Definition

En una auditoría convencional de sistemas de información, el auditor evalúa los controles sobre la generación, almacenamiento y recuperación de datos. En blockchain, la naturaleza distribuida y criptográficamente verificable del libro mayor cambia la naturaleza de la prueba, pero no la elimina.

Cómo funciona

En una auditoría convencional de sistemas de información, el auditor evalúa los controles sobre la generación, almacenamiento y recuperación de datos. En blockchain, la naturaleza distribuida y criptográficamente verificable del libro mayor cambia la naturaleza de la prueba, pero no la elimina.
Según la NIA-ES 330.25, el auditor debe obtener evidencia de auditoría suficiente y apropiada sobre si los registros de transacciones se han procesado completamente y con precisión. En un entorno blockchain, esto incluye:

  • Validación de la integridad del protocolo: Verificar que el mecanismo de consenso (proof-of-work, proof-of-stake, etc.) está implementado correctamente y que los bloques no han sido alterados post-creación. NIA-ES 500.5 requiere que la evidencia sea suficientemente relevante y fiable; la verificación criptográfica de hashes de bloque proporciona evidencia de relevancia alta, pero solo si el auditor entiende técnicamente cómo funciona el protocolo.
  • Evaluación de controles de acceso: Quién puede firmar transacciones, quién controla las claves privadas, y si esos controles se documentan y son auditables. NIA-ES 330.25(a) exige que el auditor obtenga evidencia sobre si se han implementado controles específicos de la entidad.
  • Análisis de datos de entrada: Blockchain no previene basura en, basura fuera. Si los datos introducidos en la cadena son incorrectos o no autorizados, ningún hash criptográfico lo detectará. NIA-ES 540.13 se aplica particularmente aquí: cuando la entidad usa blockchain para registrar estimaciones contables (por ejemplo, valoración de activos digitales), el auditor debe evaluar si el método para la estimación es apropiado.
  • Documentación de la pista de auditoría: Aunque blockchain crea un registro inmutable de transacciones, ese registro solo es útil para auditoría si el auditor entiende qué transacciones debería haber en la cadena, cuándo, y de quién.

Ejemplo práctico: Inversiones Digitales Ibéricas S.L.

Cliente: empresa española de gestión de activos digitales, con ingresos de 4,2 millones de euros en 2024, reportando bajo NIIF 9 (Instrumentos Financieros). La entidad mantiene una cartera de criptomonedas y tokens en una plataforma blockchain privada, y registra las transacciones de entrada y salida en su sistema de contabilidad general a través de feeds de datos automatizados.
Paso 1: Entender el flujo de datos blockchain
El auditor obtiene documentación de la arquitectura técnica: qué nodos controla la entidad, cómo se generan las transacciones, quién posee las claves privadas para firmar, y cómo se concilian los registros de blockchain con los asientos contables en el libro mayor de Inversiones Digitales.
Nota de documentación: PT 5.3.1: Diagrama de arquitectura blockchain obtenido y revisado. Identificadas tres nodos de validación bajo control de la entidad, dos de terceros. Claves privadas custodiadas por tercero independiente (Vault Solutions Europe GmbH, Suiza). Feed de datos configurado para extraer transacciones cada 4 horas.
Paso 2: Verificar la integridad técnica de un saldo de prueba de blockchain
El auditor selecciona una muestra de 25 transacciones de tenencia de Bitcoin de la cartera de Inversiones Digitales durante el período. Para cada transacción, verifica:
Para las 25 transacciones probadas, 24 coincidieron completamente. Una transacción (6 de noviembre de 2024, entrada de 0,5 BTC) se registró en blockchain el 6 de noviembre pero no se contabilizó en el libro mayor de Inversiones Digitales hasta el 7 de noviembre. El auditor verifica el motivo: demora en la reconciliación automática debido a un reinicio del servidor. La transacción se contabilizó el 7 de noviembre sin error de importe. NIA-ES 330.25(c) requiere que el auditor evalúe la consistencia de la contabilización con las políticas contables de la entidad; las políticas de Inversiones Digitales prevén que las transacciones se registren en la fecha de ejecución en blockchain, por lo que existe un error de un día.
Nota de documentación: PT 5.3.2: Prueba de muestra de 25 transacciones de tenencia de Bitcoin. 24 de 25 coincidieron completamente entre blockchain y libro mayor. 1 de 25 mostró diferencia de fecha de 1 día (error de contabilización identificado, valor inmaterial: 0,5 BTC ≈ €21.500 frente a materialidad de rendimiento de €105.000).
Paso 3: Evaluar controles sobre quién puede crear transacciones
El auditor obtiene la documentación de control de acceso de Inversiones Digitales: qué empleados tienen permiso para firmar transacciones en blockchain, quién aprueba las transacciones, y qué ocurre si alguien intenta crear una transacción sin autorización.
Hallazgo: tres tesoreros de Inversiones Digitales tienen acceso de "creación" (pueden redactar y firmar transacciones), pero la firma privada está bajo custodia de tercero (Vault Solutions). Por lo tanto, aunque un tesorero no autorizado redactara una transacción, la custodia de la clave privada previene su ejecución. NIA-ES 330.25(a) requiere que el auditor obtenga evidencia sobre si se han implementado controles específicos para prevenir o detectar declaraciones incorrectas en transacciones. La combinación de segregación de deberes (redacción / custodia de firma) y custodia de tercero es un control efectivo.
Nota de documentación: PT 5.3.3: Evaluación de control de acceso a creación de transacciones. Matriz RACI obtenida. Tres tesoreros en rol de "creación", custodia de privada en tercero independiente. Prueba de control: seleccionar 10 transacciones de mayor importe ejecutadas durante el período, verificar que cada una fue aprobada según política (correo de autorización previo a ejecución). 10 de 10 evidenciaban aprobación documentada.
Paso 4: Analizar la fiabilidad de los datos de entrada
El auditor traza una transacción de entrada de criptomonedas: el cliente transfiere 2,5 ETH a la dirección blockchain de Inversiones Digitales el 15 de octubre. La transacción aparece en blockchain. El feed de datos de Inversiones Digitales la extrae y la contabiliza como aumento de efectivo equivalente (conversión a EUR al tipo de cambio de la fecha).
Riesgo bajo NIA-ES 540.13: la conversión de ETH a EUR depende de una estimación del tipo de cambio de mercado en el momento de la transacción. Inversiones Digitales usa una API de datos de tercero (CoinGecko) para obtener precios históricos. El auditor verifica:
Hallazgo: la política contable no especificaba la fuente de datos de tercero. NIA-ES 540.13(b) requiere que el auditor evalúe si la documentación de la entidad es suficiente para que el auditor entienda cómo se realiza la estimación. Solicitud de mejora: Inversiones Digitales debe documentar en su política contable que (i) usa CoinGecko como proveedor de tipos de cambio de criptomonedas, (ii) obtiene el precio a la hora de la transacción (no promedio diario), y (iii) qué ocurre en caso de discrepancia entre CoinGecko y otras fuentes.
Nota de documentación: PT 5.3.4: Prueba de cálculo de estimación de tipo de cambio. Seleccionar 10 transacciones de entrada de criptomonedas. Verificar que el tipo de cambio utilizado en la contabilización coincide con CoinGecko al cierre de la hora de la transacción en UTC. 10 de 10 coincidieron dentro de una tolerancia de 0,05% (inmaterial). Nota de deficiencia: política contable no documenta fuente de datos de tercero. Conversa con CFO; mejora planificada para Q1 2025.
Conclusión
Inversiones Digitales Ibéricas ha implementado controles técnicos y organizacionales sobre sus registros de blockchain que producen evidencia de auditoría de calidad media-alta. La integridad criptográfica de las transacciones es demostrable, los controles de acceso son segregados y documentados, y los datos de entrada están sujetos a procedimientos de validación. El error identificado (demora de 1 día en la contabilización) fue inmaterial. Los hallazgos se limitan a una recomendación de mejora en la documentación de política contable: esta auditoría podría opinar sin salvedades si no existieran otros temas (no mostrados en este ejemplo).

  • Que el hash de la transacción coincida con el hash registrado en el libro mayor de blockchain público (Bitcoin mainnet).
  • Que la clave pública que firmó la transacción corresponde a una dirección controlada por Inversiones Digitales según la documentación del paso 1.
  • Que la fecha y cantidad de la transacción coincidan entre el registro de blockchain y el asiento contable en el libro mayor de la entidad.
  • Que CoinGecko es una fuente de datos fiable (análisis de historial de uso, comparación con otras fuentes de datos de criptomonedas).
  • Que la API devuelve un precio único no ambiguo para la fecha/hora exacta de la transacción (no un promedio de la fecha, que sería menos preciso).
  • Que la política contable de Inversiones Digitales documenta qué fuente de tipo de cambio se usa para qué activos, con qué frecuencia se actualiza, y quién aprueba ajustes.

Lo que revisores y profesionales entienden mal

  • La inmutabilidad técnica no es prueba de control: Un hallazgo frecuente de auditoría en entornos blockchain es la suposición de que, porque un registro está en blockchain, no necesita auditoría convencional de controles. NIA-ES 330.25 aún requiere que el auditor obtenga evidencia de que los registros se han procesado "completamente y con precisión." La inmutabilidad previene alteraciones post-hecho, pero no previene que datos incorrectos o no autorizados se creen en primer lugar. Revisor: "¿Fue verificado que la clave privada de la cartera se guardó de forma segura?" Respuesta incorrecta: "Está en blockchain, así que es seguro." Respuesta correcta: "Sí, la clave se guarda con Vault Solutions bajo encriptación de umbral; se testó que ningún empleado individual puede acceder."
  • Custodia de activos digitales confundida con registro de transacciones: El auditor debe evaluar tanto si el cliente posee el activo digital (¿dónde están las claves privadas? ¿quién tiene control? NIA-ES 500.5) como si las transacciones de tenencia se registraron correctamente. Estos son dos controles distintos. Un cliente podría registrar transacciones de blockchain con precisión pero no poseer los activos si las claves privadas están bajo control de tercero sin documentación clara de propiedad beneficiaria.
  • Falta de documentación de los controles criptográficos: Muchas entidades que usan blockchain no documentan explícitamente en su procedimiento de control interno cómo se verifican los registros de blockchain. NIA-ES 330.1 requiere que el auditor evalúe la efectividad del diseño de los controles; un control que no está documentado no puede ser evaluado. Hallazgo frecuente: "Se probaron transacciones de blockchain de forma manual al final del período, pero no existía un procedimiento de control periódico documentado para monitorear la integridad de los registros."
  • Valoración de activos digitales sin fuente verificable: Conforme a la NIA-ES 540.13(b), el auditor debe evaluar si la fuente de datos usada para valorar criptomonedas es fiable y apropiada. Por ejemplo, si una sociedad gestora en Madrid valora su cartera de Ethereum usando el precio de cierre de una sola plataforma de intercambio sin verificar contra fuentes alternativas, el auditor debe cuestionar la suficiencia de esa fuente y documentar la comparación con al menos una fuente independiente adicional.

Comparación: Blockchain frente a bases de datos centralizadas

| Dimensión | Blockchain | Base de datos centralizada |
|---|---|---|
| Fuente de la evidencia de integridad | Hash criptográfico verificable de forma independiente; auditor puede rehash datos y confirmar coincidencia con blockchain público | Controles de acceso a base de datos, logs del sistema, respaldos; auditor depende de controles técnicos internos del cliente |
| Riesgo de alteración post-hecho | Bajo (técnicamente inmutable en blockchains públicas; en privadas depende de permisos) | Moderado-alto (los administradores de base de datos pueden alterar datos históricos sin huella en algunos sistemas) |
| Riesgo de entrada errónea o no autorizada | Alto (igual que cualquier entrada de datos; blockchain no valida lógicamente los datos, solo su integridad criptográfica) | Alto (igual) |
| Documentación de procedimientos de control | A menudo falta; el cliente confía en la inmutabilidad técnica en lugar de documentar procedimientos explícitos | Normalmente presente; el cliente documenta políticas de acceso y auditoría |
| Esfuerzo de auditoría para probar integridad | Medio (el auditor debe entender criptografía y tener acceso a nodos para verificar; la verificación es técnicamente objetiva) | Medio-alto (el auditor debe depender de controles de la entidad; la verificación requiere confianza en procedimientos internos) |
Conclusión de comparación: Blockchain proporciona una forma de evidencia técnicamente más objetiva (hash criptográfico), pero esto no elimina la necesidad de controles de entrada y acceso auditables. muchos auditores encuentran que blockchain añade complejidad porque requiere comprensión técnica que no siempre está disponible en los equipos de auditoría no especializados.

Términos relacionados

  • Controles generales de TI: marco general en el que blockchain es un caso especial de tecnología de registro de datos.
  • Evidencia de auditoría: la documentación y análisis que el auditor debe obtener conforme a la NIA-ES 500.5, incluso cuando los registros residen en una cadena de bloques.
  • Evidencia de auditoría suficiente y apropiada: el umbral que se aplica igualmente a transacciones registradas en blockchain que a las registradas en bases de datos convencionales.
  • Procedimientos analíticos: técnicas de auditoría que el auditor puede adaptar para analizar patrones de transacciones y flujos en entornos de cadena de bloques.

Calculadora de riesgo de auditoría en blockchain

Si su cliente usa blockchain para registrar transacciones de activos digitales, use nuestra calculadora de evaluación de riesgos NIA-ES 315 para cuantificar el riesgo inherente por tipo de blockchain (pública, privada, híbrida) y por tipo de activo (criptomoneda, token, activo virtual), así como para documentar los procedimientos de auditoría que planea ejecutar.
---

Términos relacionados

Controles generales de TIEvidencia de auditoríaEvidencia de auditoría suficiente y apropiadaProcedimientos analíticos

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.