Auditoria forense

La auditoría forense es un tipo de auditoría que busca evidencias que luego se

vuelvan pruebas que permitan comprobar si existen o no fraudes, o delitos en una
empresa. Para ello utiliza una serie de recursos, ya sean estos técnicas o
procedimientos. Los resultados que se obtienen de una auditoría forense pueden
ser entregados en procesos legales como pruebas o evidencias que permitan
solucionar el problema llevado a juicio.
¿Cuándo y por qué hacer una auditoría forense?
Aunque se puede creer que las auditorías forenses solo se hacen cuando ya se ha
iniciado un proceso judicial, lo cierto es que pueden hacerse antes, por la propia
empresa, de manera preventiva. De esa forma el auditor forense puede hacer una
revisión de los aspectos de control y así identificar los factores de riesgo del
negocio, por ejemplo, aquellos que originan los fraudes. De esa forma se pueden
diseñar diferentes estrategias para mitigarlos o disminuir su frecuencia.

BENEFICIOS DE UNA AUDITORÍA FORENSE

 Ayuda a prevenir el fraude, lo que repercute en que la economía de la
empresa no se vea afectada.
 Al detectar errores evitar que el valor de la empresa, en el mercado, se
deprecie.

Cuáles son sus principales características

Los principales aspectos que caracterizan esta auditoria son:
1. Es una actividad multidisciplinaria; es decir, en su realización se involucran
varias áreas del conocimiento
2. Combina los conocimientos de diferentes áreas: legal, contable, financiera,
etc.
3. Las evidencias obtenidas mediante la auditoría forense deben cumplir con
al menos tres de cinco factores para ser admisibles como pruebas.
4. Se vale de diferentes fuentes de investigación.
5. Las evidencias recopiladas en la auditoría contable deben seguir un
procedimiento que incluya el marcado, la codificación y la declaración
jurada de los auditores sobre la forma como fueron obtenidas.
 6. La auditoría forense es diferente a la tradicional o financiera pues se centra
en excepciones, irregularidades contables, y patrones de conducta, no en
errores y omisiones
7. Es una disciplina que se realiza desde la experiencia y práctica mas no bajo
el seguimiento de textos de auditoría o de los papeles dé trabajo del último
año.
8. Estudia los fraudes que se cometen por razones económicas, ideológicas o
de interés individual. Siendo el motivo económico la principal causa
9. Tiene una orientación retrospectiva que da cuenta del fraude financiero
y prospectiva que presenta propuestas de prevención, detección y
corrección con el fin de evitar fraudes financieros.
10. Determina normas de investigación; legislación penal y disposiciones
normativas relacionadas con fraudes financieros.
11. Se enfoca en combatir la corrupción financiera pública y privada.

Diferencias entre auditoría tradicional y forense

Auditoria Tradicional Auditoria Forense

Siempre es preventiva No siempre es preventiva

Estudia muestras selectivas o Examina el 100% de las operaciones

representativas de la empresa y procesos contables

Analiza procesos financieros Estudia evidencias de procesos

empresariales ilegales fraudulentos o corruptos

Pruebas: Pruebas:
 Pruebas de cumplimiento:  Prueba pericial: son aquellas
hacen referencia a que dan certeza de la verdad
comprobar qué tan bien sobre una proposición.
funciona un sistema de
 Pruebas sistematizadas:
control.
rastrea información en los
 Pruebas sustantivas: dan discos duros de los
 Auditoria Tradicional Auditoria Forense

cuenta de la validez de
computadores y archivos que
las transacciones,
han sido eliminados.
procesos administrativos,
saldos, cumplimiento de  Pruebas penales: son las que
funciones y más. se presentan ante la corte para
judicializar a los implicados del
 No maneja ni requiere de
acto fraudulento o corrupto
pruebas penales

El auditor forense debe ser

El auditor es capaz de evaluar y multidisciplinario es decir, tener
dar cuenta de la información conocimiento en varía áreas como
contable de la empresa, así penal, de psicología, derecho,
como de su estado financiero y contabilidad. También debe  tener
del control habilidades comunicativas y de
investigación.

Estudia la historia para determinar

Estudia y centra las cifras y la cuáles son los motivos que dan pie a
información del año en curso los actos ilícitos presentados en los
estados financieros.

El informe lo presenta el superior

El investigador presenta el reporte de
encargado de la visita o de la
su trabajo.
firma

Tipos de auditoria forense

Dentro de esta modalidad de auditoria existen 2 tipos que permiten la
especificidad de los procesos y casos presentados alrededor de las evidencias.
 Auditoria Forense Preventiva
Permite evaluaciones o asesoramiento a empresas públicas y privadas con el fin
de disuadir, prevenir, detectar y proceder de manera inequívoca ante las acciones
ilegales de fraude y corrupción. Esta tipología permite tomar decisiones y
acciones frente al hecho detectado, así como, la implementación de medidas
preventivas como programas de control anti fraude, mecanismos electrónicos
capaces de alertar oportunamente las irregularidades que se presenten y sistema
de denuncias.
 Auditoria Forense Detectiva
Identifica fraudes mediante una ardua investigación para establecer los siguientes
aspectos: Cuál es el fraude o acto de corrupción, su tipificación, sus efectos,
presuntos autores y cómplices. En la mayoría de los casos
estos resultados son dispuestos ante la justicia para que sea ella quien analice,
juzgue y dictamine el respectivo correctivo o sentencia.
¿Qué hace un auditor forense?
A la hora de realizar una auditoría forense, un contador público no solo interviene
en el proceso investigativo. También determina la sanción y resolución de los
delitos. Para ello toma como base la información contable que ha sido registrada
como evidencia, la cual se utiliza para juzgar los casos de fraude, enriquecimiento
ilícito, apropiación o falsedad.
Los auditores forenses suelen trabajar para firmas contables, bufetes de abogados
y entidades del gobierno con el fin de cuidar la legalidad y transparencia de los
procesos e imagen de la organización. En este sentido las principales funciones
de un auditor forense son:
 Revisar y analizar información financiera 
 Detectar acciones inusuales e ilegales  dentro de los procesos corporativos
 Documentar todos los informes financieros
 Investigar actividades que respondan a prácticas relacionadas con lavado
de activos 
 Reportar fraudes y actos corruptos
 Administración y riesgo del fraude
 Presentar testimonio ante el juez de ser necesario
 Realizar auditorías o entrevistas para recopilar y analizar información
 Recopilar evidencias probatorias
 Minimizar el riesgo de pérdida de activos.  

¿Cómo se realiza una auditoria forense?

El proceso para realizar auditoria forense depende de 4 fases
1. Planeación
En la planeación el auditor o contador forense identifica los riesgos e indicadores
que dan cuenta del fraude para luego evaluar el control interno.
2. Desarrollo del programa de auditoria forense
Una vez identificados los riesgos y evaluados los indicadores de fraude el
auditor define y tipifica el fraudes o acción corrupta encontrada
3. Comunicación del informe técnico
Es el momento en el cual el investigador presenta el informe técnico del hecho que
detectó como fraudulento o corrupto.
4. Seguimiento y monitoreo
Luego de haber elaborado el informe con el hecho, se procede a hacer
seguimiento del mismo para así confirmar los resultados expuestos evitando que
se genere impunidad.
Ahora que sabes lo que es la auditoria forense y que esta te permite tener
el control legal de tus procesos supervisando que cada uno se cumpla a cabalidad
y que no se presenten actos fraudulentos, no le des más vueltas y realízala
periódicamente en tu organización.

Auditoria de ciberseguridad
La auditoría de ciberseguridad es una de las herramientas más demandadas
actualmente para hacer un análisis de las vulnerabilidades de los sistemas
informáticos y estructurales de una compañía.

Una auditoría de ciberseguridad es un proceso sistemático y metódico que

consiste en evaluar la efectividad de las medidas de seguridad de las tecnologías
de la información (TIC) de una empresa. Este servicio puede abordar una amplia
gama de áreas de seguridad, desde el diseño y la implementación de políticas y
procedimientos, hasta el rendimiento del personal de seguridad y la gestión del
riesgo.

Uno de los objetivos de estas auditorías es determinar si las medidas de seguridad

de una organización están diseñadas e implementadas correctamente para
proteger los sistemas y los datos de un ataque cibernético. Es decir, se realiza
para determinar el nivel de protección de una red o sistema contra ataques
informáticos y para identificar qué áreas deben mejorar en la seguridad.

La auditoría puede realizarse internamente por un equipo de seguridad de la

empresa, o externamente por una firma de seguridad especializada.

¿Qué se determina en una auditoría de ciberseguridad?

Los sistemas informáticos y de ciberseguridad de una empresa son muy amplios,
independientemente de la naturaleza de la empresa, pues actualmente no existe
organización que no disponga de las TIC en sus áreas de trabajo.

Pero la cuestión realmente está en qué se determina en estas auditorías de

ciberseguridad. Aspectos que se determinan en una auditoría de ciberseguridad:

 El análisis general de la situación actual de los sistemas.

 El análisis de la red interna del sistema.
 La eficacia de las medidas de seguridad de una empresa para proteger sus
sistemas y datos de ataques cibernéticos.
 Se evalúan los mecanismos de seguridad existentes y se determina si son
adecuados para proteger la información de la empresa.
 La capacitación del personal y su nivel de conocimiento sobre temas de
ciberseguridad.
  Las posibles propuestas de mejora técnica en todos los aspectos que se
mencionan.
 El análisis de las comunicaciones y sus vulnerabilidades.
 El análisis del hardware y el software y políticas de actualización.
 Las recomendaciones para solventar las vulnerabilidades y mejoras de
configuración.
 La identificación de áreas que necesitan mejorar la seguridad.
 Identificar cada una de estas fases es primordial para que una auditoría de
seguridad resulte exitosa. Sin embargo, también hay que tener en cuenta
otros aspectos iguales o más importantes, como el tipo de cliente al que irá
destinada la auditoría o qué tipo de auditoría hay que realizar.

Tipos de auditoría
Existe una gran variedad de auditorías, que según su objetivo o el aspecto al que
se orienten, van a tener una serie de objetivos y un funcionamiento diferente.

Auditoría web. Es el proceso sistemático que se realiza para determinar la

eficacia y optimización de un sitio web. Analiza el diseño, el contenido, la
estructura, el funcionamiento y la usabilidad de un sitio web. El principal objetivo
es mejorar el rendimiento y la seguridad del sitio web, así como detectar y corregir
problemas.
Auditoría de código. Una auditoría de código es un proceso llevado a cabo por
un experto en el área que evalúa si el código de una aplicación cumple con las
mejores prácticas y estándares de calidad. La auditoría puede incluir un análisis
del código fuente, una revisión de los requisitos del sistema, una evaluación de los
procesos de desarrollo y una revisión de los documentos de diseño.
Auditoría de la red. Es el proceso de evaluación de la seguridad y el rendimiento
de una red de computadoras. Durante una auditoría de red, un auditor evalúa la
configuración de la red y los dispositivos de seguridad, así como el tráfico de red y
el uso de recursos. Los resultados de la auditoría de red se pueden utilizar para
mejorar la seguridad y el rendimiento de la red.
Auditoría WiFi. Una auditoría WiFi es un proceso que busca comprobar la
seguridad de una red wifi. Se realiza mediante el uso de un software especializado
para escanear la red y buscar debilidades. Los resultados de la auditoría pueden
usarse para mejorar la seguridad de la red wifi.
Hacking ético. El hacking ético es una forma de invadir un sistema informático
con el consentimiento de la persona u organización que lo posee. Se utiliza con el
propósito de evaluar la seguridad del sistema y mejorar sus defensas contra
ataques reales.
Auditoría de vulnerabilidades. Consiste en identificar las fallas de seguridad de
los aplicativos. También incluye, por ejemplo, la revisión de contraseñas que
utilizan los empleados, ¿qué tan seguras son?, ¿la empresa exige unas
condiciones mínimas para la creación de contraseñas (número mínimo de
caracteres, uso de mayúsculas, números y caracteres especiales)?
Auditoría forense. Se realiza luego de haberse materializado algún incidente de
seguridad y su objetivo es identificar y reunir el mayor número de evidencias y
datos que permitan establecer las causas del incidente, es decir, qué
vulnerabilidades, fallas o errores había que facilitaron que este ocurriera.
La puesta en marcha de una auditoría es un proceso que las empresas deben
llevar a cabo regularmente. No se trata de hacer auditorías una vez al año, sino
que consiste en un proceso que debe ponerse en marcha regularmente, para
evitar posibles ataques a la ciberseguridad de los sistemas.

¿Cuáles son los beneficios?

Entre los principales beneficios de realizar una auditoría de ciberseguridad, Jairo
Andrés destaca los siguientes:
La mejora continua porque al conocer si lo que se está haciendo en la empresa
para garantizar la ciberseguridad está sirviendo o no (las políticas, los controles, el
equipo humano) se toman acciones para mejorar o fortalecer lo que ya hay.
Además, permite estar en constante evolución.
Contribuye a la continuidad del negocio, pues al saber cuáles son las
vulnerabilidades existentes en la ciberseguridad de la empresa se pueden tomar
acciones de manera oportuna para corregirlas y así, evitar que se materialice una
amenaza o ciberataque que pueda significar no solo pérdidas financieras y de
reputación, sino también de continuidad en el mercado. “Como decimos en
Pragma, las auditorías sirven para que la empresa esté hoy, mañana y por
muchos años más”, asegura.

Etapas de una auditoría de ciberseguridad

las auditorías siguen las mismas etapas, pues esto depende de aspectos como el
enfoque que cada empresa y auditor le vaya a dar, el alcance (cuáles procesos se
van a auditar) y el criterio, es decir, bajo qué estándar, norma o marco de trabajo
se va realizar la auditoría, por ejemplo: ISO 27302 (ciberseguridad), ISO 9011
(auditoría de sistemas de gestión), Framework de Ciberseguridad del NIST, entre
otros.

Aun así, sí es importante tener en cuenta algunos puntos claves para realizar de
forma eficiente una auditoría de ciberseguridad, por ejemplo:

 Tener claridad del contexto de la empresa, a qué industria pertenece, qué

tipo de productos o servicios ofrece, etc.

 Determinar cuáles son los sistemas de información, servicios o procesos

que se van a auditar, es decir, el alcance que tendrá.

 Verificar, según cada organización, cuánto se cumple de los estándares de

calidad y seguridad.

 Hallar y determinar las vulnerabilidades a las que están expuestos los

sistemas, redes e incluso, personal de la empresa.

A partir de los hallazgos, construir y presentar un informe dirigido a la alta

gerencia, debe estar comprometida con la ciberseguridad y con la toma oportuna
de decisiones, que incluya información como:
- Datos generales de la auditoría (alcance, criterio, procesos auditados, tiempo de
duración, etc.)
- Comparativo de auditorías anteriores.
- Incumplimientos o no conformidades.
- Oportunidades de mejora.
- Conclusiones.

Recomendaciones para una auditoría de ciberseguridad

Algunas recomendaciones adicionales que puedes poner en práctica al auditar la
ciberseguridad en tu empresa son:
  Realizar auditoría interna y auditoría externa. Si bien la auditoría interna
puede servir para encontrar algunas vulnerabilidades, la externa permite
tener un panorama mucho más amplio y conocer realmente si lo que se
está haciendo sí funciona o no.

 Contar con un especialista en seguridad informática y ciberseguridad, en

caso de no tenerlo, contratar el servicio de un tercero que pueda orientar y
acompañar a la organización en el desarrollo de la auditoría.
 Realizar la auditoría mínimo una vez al año, sin embargo, como asegura
Jairo Andrés, esto también depende del contexto de cada empresa porque,
por ejemplo, hay unas que están en constante auditoría.
La información proporcionada en el informe de auditoría debe estar bien
documentada, ser muy clara, fácil de entender e incluir los diferentes hallazgos sin
juicios de valor.