Lo que dice la norma y lo que ocurre en la práctica
La ISAE 3402.15 pide al auditor de la organización de servicios entender el sistema (los controles incluidos) leyendo la descripción de la dirección y haciendo indagaciones. La 3402.26 añade que en un Tipo II hay que probar los controles necesarios para concluir, con seguridad razonable, que los objetivos de control se cumplieron durante el período.
Eso es lo que dice el papel. En la práctica, lo que veo es otra cosa. La descripción del proveedor llega ya redactada por el propio proveedor, los objetivos de control están copiados de un modelo SOC 1 traducido a medias, y el equipo de auditoría firma el alcance sin pelearlo. Marcar la casilla. Ese es el reflejo, y no me sorprende: el socio necesita el cliente, el budget está cerrado y el manager prefiere terminar el papel a abrir un melón en septiembre.
Yo no comparto ese reflejo. Y lo digo porque cuando una excepción aparece tarde (un acceso lógico mal revocado, un cambio en producción sin aprobación, un job de respaldo que falló sin alerta), la conversación con el cliente usuario se complica mucho.
Tres familias de controles, sin atajos
Los controles de TI que entran bajo ISAE 3402 caen, por lo general, en tres familias:
ITGCs (controles generales de TI). Seguridad física del CPD, gestión de accesos lógicos, gestión de cambios, operaciones. Son la base. Si los ITGCs están flojos, los controles de aplicación pierden toda fiabilidad y hay que revisar el alcance entero.
Controles de aplicación. Validaciones de entrada, cálculos automáticos, controles de integridad. Viven dentro de la aplicación que procesa la transacción.
Controles de interfaz. Gobiernan la transferencia de datos entre sistemas: completitud, exactitud y conciliación de los ficheros que se mueven.
La 3402.A15 obliga a valorar si los controles que la dirección identifica abordan los riesgos que afectan a los objetivos declarados. No hay atajo. Si el objetivo es "los datos de nómina se procesan completos y exactos" y el único control listado es un cuadre mensual, los papeles están flojos. Falta chicha.
Determinar el alcance de las pruebas
No todos los controles de la descripción se prueban. La 3402.26 lo permite. Hay que valorar:
- La relación directa entre el control y el objetivo declarado. - El riesgo de que un fallo del control deje pasar errores o fraudes con efecto material. - La existencia de controles compensatorios que de verdad mitiguen el riesgo.
Lo que ocurre en la práctica es que el alcance suele heredarse del año anterior sin cuestionar. En mi caso, cuando entro a una rotación, la primera media hora la dedico a leer el alcance del año pasado con ojos nuevos. Más de una vez ha aparecido un control "probado" que, mirado en frío, no respondía al objetivo declarado.
Tipo I y Tipo II: no son lo mismo, ni de lejos
Informe Tipo I: diseño y aplicación a una fecha
En un Tipo I, la 3402.12(a) pide opinión sobre si la descripción es exacta y si los controles están diseñados y aplicados a una fecha concreta.
Procedimientos típicos:
- Indagación al personal con responsabilidad sobre el control. - Observación de la operación. - Inspección de documentos y reportes. - Walkthrough de transacciones representativas.
No hay pruebas de efectividad operativa. Sólo se valora si en la fecha del informe el control existía y estaba operativo.
Informe Tipo II: efectividad durante un período
La 3402.12(b) sube el listón. Hay que opinar sobre si los controles operaron de forma efectiva durante el período (12 meses suele ser lo habitual) para cumplir los objetivos declarados.
Eso implica:
- Probar controles distribuidos a lo largo del período, no concentrados en un trimestre. - Valorar la consistencia operativa. - Investigar y evaluar cada excepción. - Considerar el impacto de cambios de personal o de sistemas durante el período.
Tamaños de muestra
Para el Tipo II, la 3402.A54 dice que el auditor considere la frecuencia del control al definir naturaleza y alcance. Como referencia operativa que veo aplicar en la mayoría de equipos:
| Frecuencia del control | Tamaño mínimo de muestra | Distribución |
|---|---|---|
| Diario | 25 elementos | A lo largo del período |
| Semanal | 5 elementos | A lo largo del período |
| Mensual | Todos si son ≤ 12 | n/a |
| Trimestral | Todos los casos | n/a |
Procedimientos: lo que se hace y lo que se debería hacer
Controles automatizados
Bien diseñado y bien aplicado, un control automatizado da consistencia. La 3402.A50 advierte: hay que mirar si hubo cambios de programa que pongan en cuestión esa continuidad.
Procedimientos que aplicamos:
- Revisión del log de cambios al sistema durante el período, con conciliación frente al control de cambios formal. - Pruebas de los parámetros de configuración en distintos cortes (inicio, mitad y fin del período). - Verificación de que el control no admite override manual sin trazabilidad. - Confirmación de que no hubo paradas no planificadas que afecten al control.
Lo que realmente ocurre: en muchos engagements, el equipo prueba el parámetro a una sola fecha, normalmente la del corte. Si alguien cambió el umbral en marzo y lo restauró en noviembre, no aparece. Eso es trabajar con los ojos cerrados.
Controles manuales
Para los controles que dependen de una persona, hay que valorar competencia y consistencia. La evidencia típica:
- Firma o iniciales del responsable en el documento de control. - Marca temporal que pruebe cuándo se ejecutó. - Seguimiento documentado de las excepciones detectadas. - Evidencia de supervisión o revisión independiente.
Mi opinión, y aquí me mojo, porque la firma sin marca temporal no prueba nada. Sé que muchos equipos la aceptan porque siempre se ha aceptado. Para mí no aguanta una inspección si el inspector pregunta "¿cuándo se hizo este control?" y la respuesta es "antes del cierre, supongo". Esa respuesta no vale.
Accesos lógicos: el control que más cae
La gestión de accesos es de los ITGCs que más se prueban y de los que más fallan. Los inspectores del ICAC suelen tirar de este hilo. Estos son los puntos que reviso:
Altas. Autorización formal antes de crear la cuenta, privilegios alineados con la función laboral, evidencia del flujo de aprobación.
Modificaciones. Solicitud formal del cambio, aprobación del responsable funcional y del propietario del sistema, aplicación oportuna y trazable.
Bajas. Desactivación inmediata al fin del contrato, revisión periódica de cuentas inactivas, expiración automática de accesos temporales.
Recertificaciones. Revisión periódica por parte del responsable funcional, identificación de privilegios inadecuados, evidencia de las acciones correctivas y su aplicación efectiva.
Caso práctico: CPD de un proveedor de nómina
Contexto. Servicios Tecnológicos Ibéricos S.L., con sede en Madrid, presta servicios de procesamiento de nómina a 150 clientes corporativos. Facturación anual: 12 millones de euros. Encargo ISAE 3402 Tipo II que cubre del 1 de enero al 31 de diciembre de 2024.
objetivos de control
La dirección declara este objetivo de seguridad física: "El acceso físico al CPD está restringido a personal autorizado para evitar accesos no autorizados a los equipos de procesamiento."
Documentación: copia de la descripción de controles entregada por la dirección.
controles asociados
La dirección identifica tres controles:
- Control 1: tarjeta electrónica obligatoria para entrar al CPD. - Control 2: registro de visitantes mantenido por el personal de seguridad. - Control 3: cámaras de vigilancia con monitorización continua.
Documentación: lista de controles con frecuencia y responsable.
evaluación del diseño
Se valora si los controles, operando como están descritos, alcanzan el objetivo declarado.
Para el Control 1, se verifica que sólo el personal autorizado tenga tarjeta activa y que el sistema registre todos los accesos.
Documentación: walkthrough con capturas del sistema de control de acceso.
pruebas de efectividad
Control 1 (tarjetas). Muestra de 40 registros distribuidos durante el año. Todos los accesos correspondían a personal con autorización vigente, salvo lo que figura abajo.
Excepción detectada. En agosto aparecen 3 accesos de un empleado cuyo contrato había terminado 5 días antes. La tarjeta no se desactivó a tiempo.
Documentación: reporte de excepción con fechas, investigación y acción correctiva de la dirección.
Control 2 (visitantes). Muestra de 25 visitas en el período. Se verificó autorización previa, identificación válida y acompañamiento por personal autorizado.
Documentación: copias de los registros con firma de autorización.
Control 3 (vídeo). Revisión de los reportes mensuales del personal de seguridad. Se confirmó funcionamiento continuo y seguimiento de actividad inusual.
Documentación: reportes mensuales con evidencia de revisión.
complicación que pide juicio
Volvamos a la excepción del Control 1. La primera lectura es benigna: el empleado pasó por recepción, las cámaras grabaron, no entró a zonas sensibles, la dirección instaló un nuevo procedimiento. Cierre limpio.
Pero al revisar el log completo aparece un matiz. El mismo empleado tenía, al cese, accesos lógicos activos a la aplicación de nómina, y esos accesos se desactivaron 11 días después del cese, no 5. El control físico es solo un pico del iceberg. La pregunta de fondo es si el proceso de baja, considerado como sistema, está roto.
Aquí cabe legítima discrepancia. El Socio A concluiría que la excepción es aislada porque el impacto material no se materializó (ningún acceso a datos sensibles ni operaciones). El Socio B abriría una excepción ampliada al Control de gestión de accesos lógicos porque el patrón apunta a una deficiencia de proceso, no a un incidente puntual, y la efectividad operativa no se evalúa por daño materializado sino por consistencia.
Yo me alineo con el Socio B. Porque cuando una baja tarda 11 días en propagarse a sistemas, eso es deficiencia operativa, no mala suerte.
evaluación final
La excepción no compromete el objetivo del Control 1 si se mira en aislamiento, pero sí obliga a evaluar el control de baja de usuarios en su conjunto. La dirección amplió el procedimiento de baja para incluir un checklist coordinado entre RRHH, seguridad física y administración de sistemas.
Documentación: memo de evaluación que conecta la excepción física con la deficiencia de proceso, y plan de remediación con fecha de aplicación.
Por qué la práctica se desvía de la norma
A ver, voy a decirlo claro. La razón por la que tantos ISAE 3402 vienen con "sin excepciones" cuando luego salen sustos no es incompetencia. Es incentivo perverso.
El proveedor de servicios paga el encargo. El equipo de auditoría compite con otras firmas en una licitación que se renueva cada dos o tres años. Si el informe sale con excepciones materiales, los clientes usuarios del proveedor llaman al proveedor con preguntas incómodas, el proveedor presiona a su comité para revisar al auditor, y al año siguiente el engagement se va a otra firma. Esa cadena no aparece escrita en ningún manual. Pero está en la cabeza del manager cuando decide si esa anomalía de un día se documenta como excepción o como "evento aislado que la dirección remedió".
Esto no es una crítica al colega. Es una crítica al diseño del incentivo. Mientras el proveedor pague y la rotación de auditor sea voluntaria, el sesgo va a existir. Lo que cada uno haga dentro de ese sistema es lo que define la calidad del informe.
Checklist práctica para pruebas de ITGC
1. Descripción actualizada. Obtener la descripción vigente de todos los ITGCs en alcance según ISAE 3402.15. Verificar que refleja los controles operativos durante el período, no los del año pasado.
2. Mapeo a objetivos. Cada control debe estar asociado a un objetivo declarado y abordar un riesgo concreto. Si no se entiende qué riesgo cubre, sobra.
3. Estrategia de muestreo. Definir tamaño en función de frecuencia y distribuir las pruebas a lo largo del período. Concentrar todo en noviembre y diciembre es señal de alarma.
4. Documentación de procedimientos. Suficiente detalle para que un revisor independiente entienda la naturaleza, momento y alcance del trabajo, sin tener que preguntar.
5. Investigación de excepciones. Cada desviación se investiga, se concluye sobre la causa y se evalúa el impacto en el objetivo. Las acciones correctivas se verifican, no se aceptan por declaración.
6. Competencia del personal. En controles manuales, valorar rotación, formación, supervisión y carga de trabajo durante el período.
Errores frecuentes que aparecen en inspección
- Muestreo concentrado. Pruebas hechas todas en un mismo mes en lugar de distribuidas. - Excepciones sin causa raíz. Se identifica la desviación, no se investiga por qué pasó. - Compensatorios ignorados. No se valoran controles que mitigarían la deficiencia. - Cambios de sistema fuera de radar. Cambios de configuración durante el período que no se cruzan con el log de gestión de cambios.
Contenido relacionado
- Guía de materialidad para encargos ISAE 3402 - Cómo determinar umbrales de materialidad para organizaciones de servicios - Kit de documentación ISAE 3402 - Plantillas de papeles de trabajo para Tipo I y Tipo II - Controles de la organización de servicios frente a controles del usuario - Cuándo el control es del proveedor y cuándo del cliente