La expansión de los activos digitales exige que las funciones de auditoría interna adapten sus metodologías. Las organizaciones que manejan criptomonedas y soluciones basadas en blockchain enfrentan retos técnicos y operativos que no siempre encajan en marcos tradicionales; por ello, los auditores deben combinar conocimientos contables, tecnológicos y de seguridad.
En este artículo se ofrece un recorrido práctico para comprender cómo se usan estas tecnologías, qué riesgos principales surgen y qué controles resultan pertinentes.
Antes de diseñar procedimientos, es imprescindible tener claridad sobre el alcance del examen: ¿la entidad custodia claves privadas? ¿utiliza exchanges centralizados o wallets frías? ¿opera contratos inteligentes? Responder a estas preguntas permite al auditor enfocar su trabajo y coordinarse con equipos de finanzas y tecnología para obtener evidencias suficientes.
Comprender el uso y el alcance
El primer paso en una auditoría de criptomonedas consiste en mapear el uso actual y los planes futuros de la organización. Esto incluye identificar qué tokens se manejan (por ejemplo, activos nativos de una red o stablecoins), dónde se almacenan y qué procesos los afectan.
Una evaluación clara revela si la función financiera, TI u otras áreas son responsables, y si existen procedimientos formales para registrar movimientos y valorar saldos. Sin un mapa operativo, los controles tienden a quedar incompletos.
Inventario y documentación
Realizar un inventario detallado —direcciones de wallets, contratos inteligentes activos, claves de custodia y plataformas empleadas— facilita la verificación. El auditor debe solicitar documentación que respalde transacciones, como extractos de exchanges, logs de nodos y confirmaciones on‑chain. Además, revisar las políticas internas sobre gestión de claves privadas y segregación de funciones ayuda a detectar debilidades organizativas.
Identificar riesgos esenciales
Los riesgos asociados a criptoactivos suelen agruparse en cuatro grandes áreas: operativa, tecnológica, de cumplimiento y de valoración. En lo operativo, la pérdida o mal manejo de claves privadas es un riesgo crítico; en lo tecnológico, los errores en contratos inteligentes o la elección de una cadena insegura pueden provocar pérdidas irrecuperables. El cumplimiento incluye riesgos AML/KYC y fiscales; la valoración implica la volatilidad y la dificultad para seguir transacciones entre múltiples exchanges y wallets.
Riesgos técnicos y de seguridad
Desde un punto de vista técnico, no todas las cadenas de bloques presentan idénticos niveles de seguridad: algunas son públicas y ampliamente auditadas, otras son redes privadas o experimentalmente configuradas. El auditor debe trabajar con TI para evaluar el modelo de consenso, la exposición a vulnerabilidades de contratos inteligentes y las prácticas de gestión de secretos. También conviene verificar si la liquidez está bloqueada y si los contratos han pasado por auditorías externas.
Proponer y evaluar controles
Tras identificar riesgos, el paso siguiente es recomendar controles proporcionales. Las medidas pueden incluir la implementación de custodia multisig, límites en transferencias, segregación de responsabilidades, registros contables automatizados que integren datos on‑chain y off‑chain, y pruebas periódicas de conciliación entre balances internos y exploradores públicos. También son útiles controles de acceso, cifrado de llaves y procesos de aprobación para movimientos de fondos.
Es importante que los controles sean prácticos y compatibles con la operativa: por ejemplo, proponer un sistema de staking o recompensas solo si la organización entiende implicaciones de bloqueo de liquidez y mecanismos de quema de tokens. Para activos respaldados por múltiples clases, como metales o bienes raíces, es clave documentar las fuentes de respaldo y los mecanismos de valoración utilizados.
Colaboración y competencias
La auditoría eficaz de activos digitales exige colaboración entre auditoría interna, finanzas, legal y TI. En ocasiones será necesario incorporar expertos en activos digitales o formación especializada para el equipo auditador. Además, adoptar un enfoque proactivo —monitoreo continuo, pruebas de penetración y revisiones de código de contratos inteligentes— reduce la probabilidad de incidentes y mejora la respuesta ante eventos.
Finalmente, la auditoría debe plasmar hallazgos en informes claros con recomendaciones accionables: priorizar controles críticos, planificar remediaciones y diseñar pruebas de seguimiento. De esa manera, la función de auditoría contribuye a proteger la integridad de las transacciones, garantizar el cumplimiento y fomentar la transparencia en un entorno cada vez más digitalizado.