Controles principales vs. no principales en ISAE 3402

Lo que aprenderá

• Cómo aplicar el test de tres preguntas que distingue una clasificación principal/no principal defendible de una que genera hallazgos de revisión
• Qué ocurre cuando clasifica un control incorrectamente (tamaños de muestra, impacto en la opinión, consecuencias en el análisis de brechas)
• Cómo documentar la justificación para que supere tanto una inspección de la AFM como del PCAOB
• Cómo interactúa la clasificación principal/no principal con los controles compensatorios en el análisis de brechas

Tabla de contenidos

• Por qué esta clasificación genera más hallazgos de revisión que cualquier otra cosa
• El test de tres preguntas para la justificación
• Controles principales: qué significa la clasificación en la práctica
• Controles no principales: no irrelevantes, solo no primarios
• Cómo la clasificación fluye hacia las pruebas y la opinión
• Reclasificación durante el encargo
• Ejemplo práctico: Brouwer IT Services B.V.
• Lista de verificación práctica
• Errores comunes
• Contenido relacionado

Por qué esta clasificación genera más hallazgos de revisión que cualquier otra cosa

Usted ha construido la matriz de controles, documentado once controles en siete objetivos, y el socio del encargo lo devuelve con un comentario: "La justificación principal/no principal es vaga." Usted pensó que "PRINCIPAL porque es importante" era suficiente. Nunca lo es.

Un control principal en un encargo ISAE 3402 es aquel cuyo fallo por sí solo podría impedir el logro del objetivo de control relacionado, sin que exista un control detectivo compensatorio que proporcione cobertura equivalente. Los controles no principales proporcionan seguridad complementaria donde un control principal primario ya aborda el riesgo. La clasificación determina el alcance de las pruebas, los tamaños de muestra y la opinión cuando se encuentran desviaciones.

La distinción tiene consecuencias que no siempre son evidentes en la fase de planificación.

Los hallazgos de inspección de la AFM sobre encargos ISAE 3402 identifican de forma recurrente justificaciones vagas o ausentes para la clasificación principal/no principal. El PCAOB ha señalado observaciones similares en sus inspecciones de firmas que realizan encargos SOC bajo la norma paralela estadounidense, AT-C 320. La razón es directa: un control marcado como "PRINCIPAL" sin una explicación de por qué lo es no dice nada al revisor sobre si el equipo del encargo comprendió el entorno de control.

La clasificación no es una etiqueta que se aplica después. Es una conclusión analítica que surge de evaluar el papel del control para abordar un riesgo específico, la existencia (o ausencia) de controles compensatorios y las consecuencias del fallo del control. Cuando la columna de justificación en la matriz de controles está vacía o contiene declaraciones de una línea como "principal porque aborda un riesgo alto", el revisor no puede evaluar si la clasificación es correcta. Esa brecha entre etiqueta y razonamiento es lo que genera el hallazgo.

El problema va más allá de la documentación. Una clasificación vaga suele significar que el equipo del encargo no ha analizado el entorno de control. Han listado controles y los han etiquetado, pero no han reflexionado sobre cuáles controles hacen el trabajo real y cuáles son complementarios. El ejercicio de clasificación obliga a ese análisis. Cuando se hace correctamente, produce una matriz de controles donde la relación entre controles es visible: este control es principal porque nada más captura este riesgo, y ese control es no principal porque este otro control ya lo cubre. Cuando se hace superficialmente, todos los controles parecen iguales, y el revisor no puede distinguir los controles que importan de los que no.

ISAE 3402 en sí no prescribe una metodología específica para la clasificación principal/no principal. La norma se refiere a controles "que abordan los riesgos" (párrafo 23) y requiere que el auditor de servicio identifique aquellos controles relevantes para los objetivos de control. La distinción principal/no principal es una herramienta metodológica desarrollada en la práctica para diferenciar los controles que requieren pruebas de los que existen como capas complementarias. Los manuales de metodología de las firmas la formalizan, pero la lógica subyacente es consistente entre firmas.

El test de tres preguntas para la justificación

Toda justificación principal/no principal debe responder tres preguntas. El paquete de plantillas ISAE 3402 las incorpora en la matriz de controles como campos obligatorios, pero la lógica aplica independientemente de la plantilla que utilice.

Pregunta uno: ¿qué riesgo aborda este control? La respuesta debe hacer referencia a un riesgo específico de la evaluación de riesgos, no a una categoría general. "Aborda el riesgo de acceso" es insuficiente. "Previene que usuarios no autorizados conserven acceso al ERP tras cambios de rol, lo que podría resultar en transacciones no autorizadas que afecten la información financiera de las entidades usuarias" conecta el control con una amenaza específica y una consecuencia concreta.

Pregunta dos: ¿existe un control compensatorio? Si otro control en la matriz aborda independientemente el mismo riesgo con cobertura equivalente o casi equivalente, el control bajo evaluación puede ser no principal. La palabra "independientemente" es determinante. Un control detectivo que solo captura errores en el 30% de los casos no es un control compensatorio. Una revisión trimestral que captura todos los cambios de acceso no autorizados en tres meses sí es un control compensatorio a efectos de evaluar si un control preventivo en tiempo real es el único control principal.

Pregunta tres: ¿qué ocurre si este control falla? Si el control falla y ningún control compensatorio captura el fallo antes de que afecte al objetivo de control, el control es principal. Si el control falla pero un control compensatorio captura la exposición dentro de un plazo aceptable, el control puede ser no principal. La respuesta aquí debe ser específica sobre la ventana de exposición y la consecuencia para las entidades usuarias. "El objetivo de control no se lograría" es una conclusión, no un análisis. Indique qué sale mal: los usuarios no autorizados conservan acceso durante hasta tres meses, o los errores de nómina se propagan a todas las entidades usuarias antes del siguiente ciclo de conciliación. La especificidad del análisis de fallo es lo que distingue una justificación defendible de un ejercicio de cumplimiento formal.

La ventana de exposición merece atención particular. Un control que falla pero es compensado en 24 horas por una alerta automática genera una exposición mínima. Un control que falla sin detección compensatoria durante seis meses genera una exposición sustancial. La ventana determina si el control compensatorio es genuinamente eficaz como sustituto, o si es una verificación secundaria que detecta problemas demasiado tarde para prevenir el daño.

Un control es principal cuando las respuestas revelan: el riesgo es específico y material, ningún control compensatorio proporciona cobertura independiente equivalente, el fallo conduce directamente a una brecha en la seguridad razonable sobre el objetivo de control, y la ventana de exposición antes de la detección es inaceptable.

Un control es no principal cuando: existe un control compensatorio que aborda independientemente el mismo riesgo, o el control proporciona una capa complementaria de seguridad por encima de lo que ya está cubierto por un control principal. No principal no significa irrelevante. Significa que el control no es el mecanismo primario que previene o detecta el riesgo.

La justificación debe estar escrita, no solo pensada. Una clasificación que parece obvia para el equipo del encargo no es obvia para el revisor. El revisor lee la columna de justificación sin el contexto de las discusiones de planificación, los recorridos de control o la comprensión del entorno de control por parte del equipo. Si la columna de justificación está en blanco, la clasificación carece de soporte independientemente de lo sólido que fuera el razonamiento subyacente. Este es el punto que los inspectores de la AFM y el PCAOB señalan repetidamente: la clasificación puede ser correcta, pero sin una justificación escrita, no pueden evaluarla.

Controles principales: qué significa la clasificación en la práctica

Considere una revisión de acceso lógico realizada trimestralmente por el responsable de seguridad de la información. El responsable obtiene el listado completo de accesos de usuarios del sistema ERP, lo compara con la matriz de accesos aprobada, investiga las discrepancias, elimina accesos no autorizados y documenta la resolución de cada hallazgo. Este control aborda el riesgo de que empleados que han dejado la empresa o que han cambiado de rol conserven acceso inadecuado a funciones de procesamiento financiero.

¿Existe un control compensatorio? Si ningún otro control detecta independientemente accesos no autorizados entre las revisiones trimestrales, este control es principal. Un registro automático diario de intentos de acceso fallidos no compensa porque solo captura accesos fallidos, no accesos no autorizados exitosos. Una certificación anual por el propietario de la aplicación proporciona una verificación completa pero mucho menos frecuente. La revisión trimestral es el mecanismo primario.

¿Qué ocurre si falla? Los usuarios no autorizados podrían conservar acceso al ERP durante hasta un año completo (hasta que la certificación anual lo detecte, si lo hace). Las transacciones procesadas bajo acceso no autorizado podrían afectar los estados financieros de las entidades usuarias. El objetivo de control de acceso lógico no puede lograrse si la revisión trimestral no se realiza.

La justificación para este control sería: "Control detectivo primario sobre acceso al ERP. Ningún control detectivo compensatorio proporciona cobertura equivalente entre ciclos trimestrales. El fallo por sí solo impide lograr el objetivo de control de acceso lógico. Clasificado PRINCIPAL."

Esa es una justificación que un revisor puede evaluar. Identifica el papel y la ausencia de compensación, y luego indica la consecuencia del fallo.

Controles no principales: no irrelevantes, solo no primarios

Considere una verificación de integridad de copias de seguridad realizada diariamente por un sistema automático. El sistema de monitorización de copias ejecuta copias incrementales diarias y realiza verificaciones de integridad contra sumas de comprobación. Si una verificación falla, el sistema genera una alerta. Este control respalda la disponibilidad de datos.

Pero la disponibilidad de datos también está cubierta por controles de gestión de cambios (que previenen modificaciones no autorizadas en datos de producción) y por los procedimientos de recuperación probados durante ejercicios de recuperación ante desastres. La copia de seguridad es un mecanismo de recuperación. Compensa eventos de pérdida de datos en lugar de prevenirlos. Si la verificación de integridad de copias falla durante un solo día, los controles de gestión de cambios siguen previniendo cambios de datos no autorizados, y la copia del día anterior permanece disponible.

La justificación: "Control detectivo sobre disponibilidad de datos. Clasificado no principal porque la gestión de cambios proporciona protección primaria sobre la integridad de datos. La copia de seguridad es un mecanismo de recuperación compensatorio, no el control primario. El fallo es detectable mediante alertas de monitorización diarias, y la exposición se limita a los datos incrementales de un día."

Esa justificación explica la clasificación por referencia al control primario y la relación compensatoria, y luego cuantifica la ventana de exposición limitada.

Cómo la clasificación fluye hacia las pruebas y la opinión

La clasificación principal/no principal no es un ejercicio académico. Determina tres decisiones posteriores que afectan directamente al encargo.

Intensidad de las pruebas. Los controles principales requieren pruebas de eficacia operativa en un encargo de Tipo II. Los tamaños de muestra estándar para controles principales siguen la NIA 530 por analogía: controles trimestrales probados al 100%, controles mensuales probados con 3 a 5 muestras (más para clasificaciones de alto riesgo), controles semanales con 5 a 9, controles diarios con 25. Los controles no principales pueden probarse con tamaños de muestra menores o, según la metodología de la firma, solo para eficacia del diseño. El paquete de plantillas ISAE 3402 incluye una tabla de referencia de tamaños de muestra calibrada por frecuencia del control y clasificación de riesgo.

Consecuencias de las desviaciones. Cuando un control principal tiene una desviación que supera la tasa de desviación tolerable, el equipo del encargo debe evaluar si el objetivo de control puede lograrse aún. Si ningún control compensatorio cubre la exposición, el camino conduce a una opinión con salvedades o desfavorable según el párrafo 53 de ISAE 3402. Cuando un control no principal tiene una desviación, las consecuencias se limitan típicamente a informar la excepción. El objetivo de control puede aún lograrse mediante el control principal primario.

Gravedad del análisis de brechas. En el análisis de brechas, una desviación en un control principal sin cobertura compensatoria se califica como gravedad ALTA. Una desviación en un control no principal donde el control principal relacionado operó eficazmente se califica como gravedad BAJA. Todo el marco de evaluación de gravedad depende de que la clasificación principal/no principal sea correcta. Si un control fue clasificado incorrectamente como no principal y su "control principal" relacionado también falló, la evaluación agregada infravalora la deficiencia global.

Por eso los revisores se centran en la clasificación. Un error aquí se propaga a través de las pruebas y la evaluación hasta la opinión. Acertar en la justificación en la fase de la matriz de controles previene una cadena de errores posteriores.

Reclasificación durante el encargo

La clasificación principal/no principal inicial se realiza durante la planificación, pero puede cambiar durante el encargo. Si las pruebas revelan que un control compensatorio clasificado como principal tiene en realidad una tasa de desviación del 40%, el control que estaba compensando puede necesitar reclasificación de no principal a principal. Lo inverso también aplica: si un control fue clasificado como principal porque no se identificó ningún control compensatorio en la planificación, pero el trabajo de campo revela un control detectivo adicional que no estaba documentado en la matriz de controles, la clasificación puede reconsiderarse.

Cualquier reclasificación debe documentarse con el mismo rigor de tres preguntas que la clasificación original. Indique qué cambió, por qué la clasificación original ya no es apropiada y cuál es la justificación revisada. Las pruebas ya realizadas deben evaluarse contra la clasificación revisada. Si un control reclasificado de no principal a principal fue probado con un tamaño de muestra menor, pueden requerirse pruebas adicionales.

La reclasificación tardía en el encargo es un indicador de riesgo. Si el equipo del encargo reclasifica controles en la fase de informe para evitar una opinión con salvedades, el revisor cuestionará si la reclasificación está justificada o si se está utilizando para gestionar el resultado. Documente el momento y el detonante de cualquier reclasificación.

Ejemplo práctico: Brouwer IT Services B.V.

Escenario: Brouwer IT Services B.V., proveedor de hosting gestionado con sede en Rotterdam, da servicio a 28 entidades usuarias con ingresos anuales combinados de 85 millones de euros procesados a través de su infraestructura. El equipo del encargo está construyendo la matriz de controles para un encargo de Tipo II que cubre del 1 de enero al 31 de diciembre de 2025. Dos controles abordan el mismo objetivo de control (acceso lógico a la consola de gestión de hosting): una revisión de acceso trimestral y una certificación de acceso anual.

1. Identificar los dos controles y el riesgo que abordan

La revisión de acceso trimestral (realizada por el responsable de operaciones de seguridad) compara las cuentas activas de la consola con la lista de accesos aprobada. La certificación de acceso anual (realizada por el director de entrega de servicios) recertifica todas las cuentas contra los roles laborales. Ambos abordan el riesgo de que personal no autorizado conserve acceso a la consola, permitiendo cambios de configuración que afecten a las 28 entidades usuarias.

Nota de documentación: registrar ambos controles en la matriz de controles con la misma referencia de riesgo. Señalar que ambos abordan el mismo objetivo de control para acceso lógico.

2. Aplicar la pregunta uno a cada control

Ambos controles abordan el mismo riesgo: acceso no autorizado a la consola que conduce a posibles cambios de configuración que afectan la integridad de datos de las entidades usuarias. El riesgo se califica como ALTO porque la consola de hosting controla la infraestructura que da servicio a todas las entidades usuarias.

Nota de documentación: registrar la descripción y calificación del riesgo en la columna de justificación de ambos controles.

3. Aplicar la pregunta dos: controles compensatorios

Para la revisión trimestral, preguntar si la certificación anual proporciona compensación. La certificación anual es menos frecuente (una vez al año frente a cuatro). Entre revisiones trimestrales, la ventana máxima de exposición es de tres meses. Entre certificaciones anuales, es de doce meses. La revisión trimestral proporciona detección más oportuna. Para la certificación anual, la revisión trimestral proporciona cobertura más frecuente del mismo riesgo.

Nota de documentación: en la justificación de la revisión trimestral, indicar que ningún control proporciona cobertura más frecuente o equivalente. En la justificación de la certificación anual, identificar la revisión trimestral como el control primario que proporciona cobertura más frecuente.

4. Aplicar la pregunta tres: consecuencias del fallo

Si la revisión trimestral falla y ningún otro control opera, el acceso no autorizado podría persistir hasta doce meses (hasta la certificación anual). Esa es una ventana de exposición inaceptable para un objetivo de control de riesgo ALTO. Si la certificación anual falla pero la revisión trimestral continúa operando, el acceso no autorizado se detecta en tres meses. La exposición es limitada.

Nota de documentación: registrar el análisis de fallo para cada control. Indicar la ventana de exposición en meses.

5. Clasificar y documentar

La revisión de acceso trimestral se clasifica como PRINCIPAL: control detectivo primario, ningún control compensatorio proporciona frecuencia equivalente, el fallo por sí solo impide lograr el objetivo de control. La certificación anual se clasifica como NO PRINCIPAL: control detectivo complementario, la revisión trimestral proporciona cobertura equivalente más frecuente, el fallo por sí solo no impide el logro porque la revisión trimestral captura las mismas exposiciones en tres meses.

Nota de documentación: registrar la justificación completa en la columna de justificación de la matriz de controles, respondiendo las tres preguntas para cada control.

Un revisor ve dos controles que abordan el mismo riesgo, con la clasificación explicada por referencia a frecuencia, cobertura y ventanas de exposición, con la relación compensatoria entre ellos claramente documentada.

Lista de verificación práctica

• Para cada control en la matriz, complete la columna de justificación antes de enviar a revisión. Responda las tres preguntas: riesgo abordado, existencia de control compensatorio, consecuencia del fallo.
• Verifique que cada control principal tenga una declaración explícita de por qué ningún control compensatorio proporciona cobertura equivalente. "No existe control compensatorio" por sí solo es incompleto; indique qué cobertura falta.
• Verifique que cada control no principal identifique el control principal relacionado por nombre y explique cómo ese control principal proporciona cobertura primaria del mismo riesgo.
• Confirme que la clasificación es consistente con el enfoque de pruebas. Un control clasificado como principal pero probado con un tamaño de muestra apropiado para controles no principales será señalado.
• Revise el análisis de brechas para confirmar que las calificaciones de gravedad se alinean con las clasificaciones principal/no principal. Un hallazgo de alta gravedad en un control no principal (o un hallazgo de baja gravedad en un control principal sin cobertura compensatoria) señala un error de clasificación.

Errores comunes

• Clasificar todos los controles como principales para evitar el análisis. Esto infla el alcance de pruebas sin mejorar la calidad y señala a los revisores que el equipo del encargo no evaluó el entorno de control. La AFM ha señalado que clasificaciones principales generalizadas indican falta de comprensión de la estructura de control.
• Escribir una justificación de una línea que reformula la clasificación ("PRINCIPAL porque es un control principal") sin responder las tres preguntas. Este es el hallazgo de revisión más frecuente en matrices de controles ISAE 3402, tanto en inspecciones de la AFM como del PCAOB.
• Clasificar un control como no principal sin identificar el control principal compensatorio. Si no se nombra un control compensatorio, la clasificación no principal carece de base, y un revisor preguntará qué previene una brecha de seguridad si tanto este control como su compensador no identificado fallan.

Contenido relacionado

• Glosario: ISAE 3402: cubre la estructura de un encargo de Tipo II, los objetivos de control y la relación entre el trabajo del auditor de servicio y la evaluación de confianza del auditor de la entidad usuaria.
• Paquete de plantillas ISAE 3402: la matriz de controles incluye la columna principal/no principal con la estructura de justificación de tres preguntas descrita en este artículo, con 11 ejemplos completos mostrando clasificaciones PRINCIPAL y NO PRINCIPAL con justificaciones completas.
• Análisis de brechas ISAE 3402: de la desviación a la opinión en cuatro ejemplos prácticos: muestra cómo la clasificación principal/no principal determina las calificaciones de gravedad y el impacto en la opinión cuando se encuentran desviaciones durante las pruebas.