Lo que aprendera

  • Que controles de TI pertenecen a un informe ISAE 3402 y como los ITGC se relacionan con los controles de aplicación
  • Como difieren las pruebas para controles automatizados, controles manuales y controles manuales dependientes de TI
  • Que tamanos de muestra aplican y donde encontrar las referencias correctas de parrafos ISAE 3402
  • Cuanto dura tipicamente un encargo ISAE 3402 desde la planificación hasta la emisión del informe

Lo que aprendera

  • Que controles de TI pertenecen a un informe ISAE 3402 y como los ITGC se relacionan con los controles de aplicación
  • Como difieren las pruebas para controles automatizados, controles manuales y controles manuales dependientes de TI
  • Que tamanos de muestra aplican y donde encontrar las referencias correctas de parrafos ISAE 3402
  • Cuanto dura tipicamente un encargo ISAE 3402 desde la planificación hasta la emisión del informe

Tabla de contenidos

Que controles de TI pertenecen a un ISAE 3402

Le han pedido realizar un encargo ISAE 3402 sobre un proveedor de servicios de TI gestionados. La matriz de controles del auditor del año anterior tiene 47 controles, 30 de ellos etiquetados como "controles generales de TI". Su primera pregunta es la misma que todo profesional se hace: cuales de estos pertenecen al informe, y cuantos necesito probar? La segunda pregunta sigue inmediatamente: como es "probar" un control automatizado que se ejecuta 10.000 veces al dia?

Un encargo ISAE 3402 sobre controles de TI requiere que el auditor de la organizacion de servicios pruebe los controles generales de TI (ITGC) que respaldan la fiabilidad de los controles de aplicación, y que pruebe los propios controles de aplicación cuando sean relevantes para los objetivos de control en la descripción del sistema. El alcance depende de que controles la dirección de la organizacion de servicios incluye en la descripción del sistema, pero el auditor de servicios debe evaluar si esa descripción es completa y si los controles incluidos son suficientes para cumplir los objetivos de control declarados.

La respuesta depende de la descripción del sistema de la organizacion de servicios. La ISAE 3402.13 exige que la dirección proporcione una descripción del sistema de la organizacion de servicios que incluya, entre otros, los objetivos de control y los controles relacionados. El trabajo del auditor de servicios bajo la ISAE 3402.14 es obtener evidencia suficiente y adecuada para formarse una opinion sobre si la descripción esta presentada de forma fiel y los controles estan disenados adecuadamente (Tipo I) o disenados adecuadamente y operando efectivamente (Tipo II).

Los controles de TI entran en el alcance cuando los procesos de la organizacion de servicios dependen de la tecnologia para lograr objetivos de control. Para un proveedor de servicios de TI gestionados, esto es obvio: practicamente todos los controles son de TI. Para una agencia de nominas, la division es diferente. Algunos controles son manuales (un supervisor revisa informes de excepciones), algunos son automatizados (el sistema calcula retenciones fiscales basandose en tablas codificadas) y algunos son controles manuales dependientes de TI (un supervisor revisa un informe generado por el sistema, pero la fiabilidad de ese informe depende de los ITGC).

Los controles generales de TI tipicamente se clasifican en cuatro categorías relevantes para un ISAE 3402:

  • Controles de acceso logico. Aprovisionamiento de usuarios, desaprovisionamiento, políticas de contrasenas, gestion de acceso privilegiado, revisiones periodicas de acceso. Estos protegen la integridad de los controles de aplicación al asegurar que solo personal autorizado pueda modificar configuraciones del sistema y datos.
  • Gestion de cambios. Como se solicitan, prueban, aprueban y despliegan los cambios en aplicaciones, sistemas operativos y bases de datos. Un fallo en la gestion de cambios puede desactivar un control automatizado sin que nadie lo note hasta la proxima auditoria.
  • Operaciones de TI. Programacion de trabajos, procedimientos de respaldo, gestion de incidentes, monitoreo. Estos aseguran que el entorno de TI permanezca disponible y recuperable.
  • Seguridad fisica del centro de datos. Restricciones de acceso fisico, controles ambientales, registros de visitantes. Relevante cuando la organizacion de servicios opera sus propios centros de datos.

Como los ITGC afectan a los controles de aplicación

Esta es la pregunta que separa un buen encargo ISAE 3402 de un ejercicio de checklist.

Los ITGC no existen de forma aislada. Respaldan los controles de aplicación. Si la capa de ITGC es debil, los controles de aplicación construidos sobre ella no pueden ser confiables incluso si parecen operar correctamente.

Considere un cotejo automatico de tres vias en un sistema de cuentas por pagar. El sistema compara la orden de compra, el recibo de mercancia y la factura antes de liberar un pago. Ese control es automatizado y se ejecuta cada vez que se procesa una factura. Pero su fiabilidad depende de varios ITGC: (1) que solo usuarios autorizados puedan modificar los umbrales de tolerancia del cotejo, (2) que cualquier cambio en la logica de cotejo paso por gestion de cambios, (3) que los controles de acceso al sistema impidan que un solo usuario cree tanto la orden de compra como apruebe la factura, y (4) que los datos subyacentes no hayan sido corrompidos por un cambio de sistema no gestionado.

Si el ITGC de gestion de cambios falla (un desarrollador subio un cambio de código directamente a producción sin pruebas ni aprobación), el cotejo de tres vias podria seguir pareciendo que opera, pero usted no tiene seguridad de que esta realizando la verificación para la que fue disenado. El fallo del ITGC se propaga hacia arriba.

En la matriz de control ISAE 3402, esta relación se documenta vinculando cada control de aplicación a los ITGC de los que depende. Cuando un ITGC falla en las pruebas, el auditor de servicios debe evaluar el impacto en cada control de aplicación que depende de el. Por eso existe la columna de vinculacion.

Como probar controles automatizados vs manuales

El enfoque de prueba difiere porque la naturaleza del control difiere.

Controles automatizados operan de forma identica cada vez, asumiendo que la configuracion del sistema subyacente no ha cambiado. Una política de contrasenas impuesta por el sistema o requiere contrasenas de ocho caracteres con reglas de complejidad o no lo hace. Probar un control automatizado involucra dos elementos: (1) confirmar que la configuracion es correcta (inspeccionar los parametros del sistema), y (2) confirmar que la configuracion no cambio durante el período del informe (revisar registros de gestion de cambios). Si el entorno de ITGC es solido y no ocurrieron cambios, una sola inspección de la configuracion puede ser suficiente para un informe Tipo II porque el control opero de la misma forma cada vez.

Controles manuales dependen de la ejecucion humana, que varia. Una revision mensual de accesos podria realizarse exhaustivamente en enero, omitirse en marzo y hacerse superficialmente en agosto. Probar controles manuales requiere muestreo a lo largo del período del informe. El auditor de servicios selecciona una muestra de instancias (revisiones mensuales, aprobaciones semanales, conciliaciones diarias) y prueba si cada instancia se realizo según el diseno.

Controles manuales dependientes de TI combinan ambos elementos. El control es manual (una persona revisa un informe y toma accion) pero depende de la exactitud e integridad de un informe generado por el sistema. Las pruebas requieren dos pasos: (1) probar los ITGC que respaldan el informe (es el informe completo y exacto?), y (2) probar una muestra de instancias donde la persona realizo la revision. Omitir el primer paso es el error mas comun en las pruebas de controles de TI de ISAE 3402. El revisor ve que el supervisor firmo el informe de excepciones cada mes, pero nadie verifico si el propio informe capturo todas las excepciones.

La información producida por la entidad (IPE) es el termino formal para estos informes generados por el sistema. Todo encargo ISAE 3402 deberia incluir pruebas de IPE como procedimiento separado, no solo como una consideración secundaria en la prueba del control manual.

Que tamanos de muestra aplican

Aqui es donde la mayoria de los profesionales recurren a la referencia de parrafo equivocada.

Los parrafos 24-29 y A28-A36 de la ISAE 3402 gobiernan los procedimientos del auditor de servicios, incluidas las pruebas de controles. Estas son las referencias correctas para decisiones de muestreo. Los parrafos A47-A54 abordan opiniones modificadas y no tienen nada que ver con tamanos de muestra. La confusion surge porque muchos papeles de trabajo de plantilla (incluidos algunos de grandes redes) citan A47-A54 en la sección de muestreo.

Para controles manuales, los tamanos de muestra siguen la misma logica que el muestreo NIA 530 para pruebas de controles. El tamaño de muestra depende de la tasa de desviacion esperada, la tasa de desviacion tolerable y el nivel de confianza. En la práctica, la mayoria de los encargos ISAE 3402 utilizan lo siguiente como linea base:

  • Controles diarios (250+ ocurrencias por año): 25 elementos, asumiendo una tasa de desviacion tolerable del 9-10% al 90% de confianza
  • Controles semanales (52 ocurrencias): 9-15 elementos
  • Controles mensuales (12 ocurrencias): Todos los 12 (la poblacion es lo suficientemente pequena para probar en su totalidad)
  • Controles trimestrales (4 ocurrencias): Todos los 4
  • Controles anuales (1 ocurrencia): Probar la única instancia

Diferencia entre Tipo I y Tipo II

Un informe Tipo I (ISAE 3402.8(a)) cubre la fidelidad de la descripción del sistema y la idoneidad del diseno de los controles a una fecha especificada. El auditor de servicios inspecciona los controles pero no prueba si operaron efectivamente durante un período.

Un informe Tipo II (ISAE 3402.8(b)) cubre todo lo que un Tipo I mas la efectividad operativa de los controles durante un período especificado (tipicamente 9-12 meses, siendo 12 meses la expectativa estándar de los auditores de usuarios).

La diferencia práctica es considerable. Un informe Tipo I le dice al auditor de usuarios "estos controles estaban disenados correctamente al 30 de septiembre de 2025". No dice nada sobre si alguien realizo la revision mensual de accesos en enero, o si el control automatizado de cotejo estaba funcionando correctamente durante todo el año. Los auditores de usuarios que confian en un informe Tipo I deben realizar sus propios procedimientos para obtener evidencia sobre la efectividad operativa durante el período, según la NIA 402.16.

La mayoria de las organizaciones de servicios comienzan con un informe Tipo I y hacen la transición a Tipo II en el año siguiente. El encargo Tipo I tipicamente cubre un período de "preparación" de 3-4 meses durante el cual la organizacion de servicios implementa controles y el auditor de servicios confirma el diseno. El encargo Tipo II cubre entonces el año completo siguiente.

Un informe Tipo I tiene una vida útil limitada. Despues del primer año, los auditores de usuarios esperan un Tipo II. Continuar emitiendo informes Tipo I año tras año plantea preguntas sobre por que la organizacion de servicios no ha hecho la transición.

Cuanto dura un encargo ISAE 3402

Los plazos varian, pero un tipico primer encargo ISAE 3402 sigue este patron:

Planificacion y alcance (4-6 semanas). Definir los limites del sistema, redactar objetivos de control con la dirección, identificar los controles a incluir, construir la matriz de controles, determinar el período del informe y acordar el calendario del encargo. Esta fase toma mas tiempo del que la mayoria de equipos espera porque la organizacion de servicios frecuentemente no tiene una lista limpia y completa de sus propios controles.

Revision de la descripción del sistema (2-3 semanas). La dirección prepara la descripción del sistema. El auditor de servicios la revisa en cuanto a integridad, exactitud y cumplimiento con la ISAE 3402.14(a)-(b). Multiples iteraciones son comunes en el primer año.

Pruebas de diseno y recorrido (2-4 semanas). Para un Tipo I, esta es la fase de pruebas. Para un Tipo II, es la primera etapa. El auditor de servicios realiza recorridos de cada control, confirmando que esta disenado para cumplir el objetivo de control declarado.

Pruebas de efectividad operativa (4-8 semanas, solo Tipo II). Esta es la fase intensiva de trabajo de campo. El auditor de servicios selecciona muestras, inspecciona evidencia, reejecutat controles y documenta desviaciones. Los controles de TI tipicamente requieren acceso al sistema para revisar configuraciones, registros y registros de cambios.

Informe y finalizacion (2-4 semanas). Redactar el informe, compartir con la dirección para revision de exactitud factual, resolver hallazgos, obtener la declaración escrita de la dirección y emitir el informe final.

Tiempo total transcurrido: 12-20 semanas para un primer Tipo I, 16-28 semanas para un primer Tipo II. Los encargos del segundo año son mas rapidos porque la descripción del sistema, la matriz de controles y las decisiones de alcance se trasladan.

Quien firma el informe

El auditor de servicios firma el informe ISAE 3402. Este debe ser un auditor cualificado (RA o equivalente) en una firma autorizada para realizar encargos de aseguramiento. El socio del encargo revisa y aprueba el informe antes de su emisión.

La dirección de la organizacion de servicios proporciona una declaración escrita (ISAE 3402.12) que acompana al informe. Esta declaración confirma que la descripción del sistema esta presentada de forma fiel, los controles estan disenados adecuadamente y (para Tipo II) los controles operaron efectivamente durante el período. La declaración la firma un directivo apropiado de la organizacion de servicios (tipicamente el CEO, CFO o CTO).

El informe se dirige a la organizacion de servicios. Se distribuye a las entidades de usuarios y sus auditores, normalmente bajo una clausula de uso restringido. El auditor de servicios no emite el informe directamente a los auditores de usuarios.

Ejemplo práctico

Dekker Cloud Services B.V. Ingresos: 12 millones de euros. Proporciona ERP alojado y procesamiento de nominas para 45 clientes de tamaño medio en los Paises Bajos y Belgica. Primer encargo ISAE 3402 Tipo II. Período del informe: 1 de abril de 2025 al 31 de marzo de 2026.

1. Definir objetivos de control

Trabajando con el director de TI de Dekker, se identifican siete objetivos de control: gestion de acceso logico, gestion de cambios, respaldo y recuperación de datos, gestion de incidentes, exactitud del procesamiento de nominas, autorizacion de asientos contables y procesamiento de conciliaciones bancarias.

Nota de documentación: Registre como se determino que cada objetivo de control es relevante para la información financiera de las entidades de usuarios. Referencie cruzadamente a la descripción del sistema.

2. Construir la matriz de controles

Se vinculan 22 controles a los siete objetivos. Catorce son ITGC (aprovisionamiento de acceso, revision trimestral de accesos, recertificacion anual de accesos, aprobación de solicitudes de cambio, pruebas antes del despliegue, aprobación del despliegue, ejecucion diaria de respaldos, verificación mensual de integridad de respaldos, registro de incidentes, SLA de escalamiento de incidentes, restriccion de acceso fisico). Ocho son controles de aplicación (cálculo automatizado de nomina bruto a neto, revision del informe de excepciones de nomina, cotejo de tres vias de cuentas por pagar, doble autorizacion de asientos contables, cotejo automatizado de conciliacion bancaria, revision manual de conciliacion bancaria, imposicion de segregacion de funciones, validacion de datos de entrada).

Nota de documentación: Para cada control, complete la descripción de cinco elementos: quien lo realiza, que hace, cuando lo hace, que evidencia produce y que ocurre cuando se detecta una excepción.

3. Probar ITGC primero

Pruebe la revision trimestral de accesos (poblacion: 4 revisiones, probar todas). Revise la documentación de revision de accesos en cuanto a integridad: todos los usuarios revisados, acciones tomadas para accesos inapropiados, firma del gerente de seguridad de TI. Una desviacion encontrada: la revision del T2 se completo 11 dias tarde. Evaluar si el retraso constituye un fallo de efectividad operativa.

Nota de documentación: Registre la desviacion, la explicacion de la dirección (ausencia de personal), el control detectivo compensatorio (alertas automatizadas sobre cambios de acceso privilegiado operaron durante todo el T2) y la conclusión sobre si el objetivo de control aun se cumplio.

4. Probar controles de aplicación

Para el cálculo automatizado de nomina bruto a neto, inspeccione la configuracion del sistema (tablas fiscales, tasas de contribucion) y confirme que no hubo cambios en la logica de cálculo durante el período a traves del registro de gestion de cambios. Para la revision del informe de excepciones de nomina (mensual, poblacion: 12), pruebe las 12 instancias. Verifique que el revisor firmo, las excepciones se investigaron y las correcciones se procesaron dentro del SLA definido.

Nota de documentación: Para cada control de aplicación, documente el vinculo con los ITGC de soporte. Anote que la fiabilidad del cálculo automatizado depende de los controles de gestion de cambios y acceso probados en el paso 3.

5. Evaluar desviaciones y formar la opinion

El retraso en la revision de accesos del T2 es la única desviacion. El control compensatorio (alertas automatizadas) opero durante todo el período, proporcionando cobertura parcial. Evaluación de severidad: BAJA. No se requiere modificación de la opinion.

Nota de documentación: Registre la desviacion en el análisis de brechas con la calificacion de severidad, la evaluación del control compensatorio y la conclusión de que la desviacion no afecta la opinion general.

El informe Tipo II final cubre los siete objetivos de control con una opinion no modificada y una descripción de la única desviacion en el control de revision de accesos.

Checklist práctico

  • Antes del trabajo de campo, defina la tasa de desviacion tolerable para cada control. Establecerla despues de la primera desviacion crea la apariencia de trabajar hacia atras desde el resultado (ISAE 3402, parrafos 24-29).
  • Vincule cada control de aplicación a los ITGC de los que depende. Cuando un ITGC falla, trace el impacto hacia arriba a todos los controles de aplicación dependientes antes de concluir.
  • Para controles automatizados, pruebe la configuracion una vez y verifique que no ocurrieron cambios durante el período a traves de registros de gestion de cambios. No muestree controles automatizados como si fueran manuales.
  • Pruebe la IPE (información producida por la entidad) por separado. Confirme la integridad y exactitud de cada informe generado por el sistema utilizado en un control manual o control manual dependiente de TI.
  • Cite los parrafos 24-29 y A28-A36 para decisiones de muestreo. Si sus papeles de trabajo referencian A47-A54 en la sección de muestreo, corrijalos. Esos parrafos abordan opiniones modificadas.
  • Para encargos de primer año, construya el calendario con aporte de la dirección. Un primer Tipo II realista toma 16-28 semanas desde la planificación hasta la emisión del informe.

Errores comunes

Citar los parrafos A47-A54 de la ISAE 3402 como base para decisiones de tamaño de muestra. Estos parrafos gobiernan opiniones modificadas, no muestreo. Las referencias correctas son los parrafos 24-29 y A28-A36. Este error se propaga a traves de papeles de trabajo de plantilla y rara vez se detecta hasta una inspección.

Probar controles automatizados con los mismos tamanos de muestra usados para controles manuales. Un control automatizado con ITGC solidos y sin cambios de configuracion durante el período no requiere una muestra de 25. Una sola inspección de la configuracion, combinada con evidencia de gestion de cambios, es suficiente.

No probar la IPE. La firma mensual de un supervisor en un informe de excepciones no significa nada si el propio informe esta incompleto. El PCAOB y la AFM han senalado las pruebas de IPE como deficiencia recurrente en encargos de organizaciones de servicios.

Contenido relacionado

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.