Riesgos de auditoría en entornos de computación en la nube

Aspectos centrales

Los datos alojados en servidores remotos requieren procedimientos de auditoría diferentes a los sistemas locales; el auditor debe obtener acceso directo o pruebas del proveedor.
El control sobre la computación en la nube descansa parcialmente en el proveedor de servicios; la NIA-ES 402 exige evaluar los controles del proveedor (service auditor reports, informes ISAE 3402 Tipo I o Tipo II).
Las interrupciones del servicio en la nube, los cambios de configuración no autorizados y la pérdida de datos son riesgos materiales que deben documentarse como riesgos importantes en la planificación.
La NIA-ES 315.12 exige que el auditor documente cómo el entorno de TI afecta al sistema de información financiera; cuando la entidad depende de un proveedor de nube para procesar transacciones de ingresos o tesorería, esta dependencia debe reflejarse en la evaluación de riesgos.

Cómo funciona

La computación en la nube transfiere la responsabilidad física de los servidores a un tercero. Desde la perspectiva del auditor, esto crea una barrera: ya no se puede acceder directamente a las máquinas, los registros de control de acceso, ni verificar físicamente la segregación de funciones. La NIA-ES 315.10 exige que el auditor comprenda el entorno de tecnología de la información de la entidad. Cuando ese entorno incluye un proveedor de computación en la nube, el auditor debe identificar qué datos residen en la nube, qué controles gestiona el cliente y qué controles son responsabilidad del proveedor.
Aquí es donde entra la NIA-ES 402 (Consideraciones de auditoría relativas a entidades que usan organizaciones de servicios). Si el proveedor de nube (Amazon Web Services, Microsoft Azure, Google Cloud, o un proveedor local) procesa transacciones que afectan a los estados financieros, el auditor no puede limitar el trabajo únicamente a los controles del cliente. Debe obtener evidencia sobre los controles del proveedor. Las formas más comunes de hacerlo son: (a) obtener un informe de auditor de servicios conforme a ISAE 3402 (Tipo I para descripción de controles, Tipo II para prueba de efectividad); (b) realizar pruebas directas mediante acceso a los sistemas en la nube con credenciales del cliente; o (c) combinar ambos enfoques.
Los riesgos específicos incluyen la pérdida de datos por fallo de redundancia, la interrupción del servicio que impide el acceso a información contable, la modificación no autorizada de registros por debilidades en el control de acceso, y la exfiltración de datos por brechas de seguridad. Cada uno requiere un procedimiento de auditoría específico.

Ejemplo práctico: Constructora Andina S.A.S.

Cliente: Empresa de construcción colombiana con sede en Bogotá, ingresos de 45 millones de pesos colombianos (COP), NIIF completas.
Contexto: La entidad usa Google Workspace para correo y documentos colaborativos, pero almacena su sistema de contabilidad (ERP personalizado) en servidores locales del data center de un proveedor regional, ISOTech Latinoamérica. El director financiero reporta que ISOTech proporciona backups diarios, acceso 24/7 mediante VPN, y una garantía de disponibilidad del 99,5%. Pero el auditor de planificación revisa los términos de servicio y descubre que ISOTech no tiene certificación ISAE 3402.
Paso 1: Identificar datos en la nube
El auditor lista los datos de la entidad que residen fuera del control directo: el ERP (código de cliente, transacciones de ingresos, saldos de proveedores, diarios contables), los correos de facturación (Google Workspace), y los documentos de nómina compartidos (Google Drive). Todos estos podrían afectar a los estados financieros.
Nota de documentación: Inventario de sistemas en la nube completado en la reunión de planificación. Mapa de procesos que muestran qué datos se almacenan donde. Cronograma de acceso: "ERP accesible 24/7 vía VPN a 192.168.1.50. Credenciales registradas en PT-300."
Paso 2: Evaluar si se aplica la NIA-ES 402
El auditor evalúa si el proveedor es una "organización de servicios" conforme a la NIA-ES 402.5. ISOTech Latinoamérica procesa transacciones relevantes para los estados financieros (mantiene el ERP donde residen los ingresos y pasivos). Esto significa que la NIA-ES 402 se aplica. El auditor debe evaluar los controles del proveedor.
Nota de documentación: Conclusión preliminar: "ISOTech = organización de servicios bajo NIA-ES 402. Requerimiento de evidencia sobre controles de proveedor. Se solicitará informe ISAE 3402 o se planificarán pruebas directas. PT-310."
Paso 3: Solicitar el informe ISAE 3402 o diseñar procedimientos alternativos
El auditor solicita a la dirección que obtenga un informe ISAE 3402 Tipo II de ISOTech (que incluya pruebas de controles durante un período de seis meses). ISOTech responde que no tiene certificación pero ofrece un documento interno que describe sus controles: redundancia mediante servidores espejo, registro de intentos de acceso fallidos, encriptación en tránsito, y cambios de contraseña cada 90 días. Esto no es suficiente. Un documento interno no es equivalente a una auditoría de terceros.
El auditor entonces diseña pruebas directas: (a) solicita un listado de todos los accesos fallidos al ERP durante los últimos dos meses y verifica que no hay patrones sospechosos; (b) obtiene un listado de cambios de configuración del sistema (backups, permisos de usuario) autorizados por ISOTech en los últimos seis meses y verifica que la dirección de la entidad fue notificada por cada uno; (c) prueba la recuperación mediante un test de restauración de backup: ISOTech restaura datos de hace 30 días en un servidor de prueba, el auditor verifica que el contenido coincide con los registros del cliente, confirmando que los backups son funcionales y completos.
Nota de documentación: "Pruebas de controles del proveedor realizadas. Listado de accesos fallidos: cero en agosto, dos intentos en septiembre (ambos con IP esperada, sin hallazgos). Listado de cambios de configuración: seis cambios de permiso en seis meses, todos notificados. Test de restauración: backup de 2024-08-15 recuperado con éxito, datos completos. PT-320, PT-321, PT-322."
Paso 4: Evaluar riesgos importantes de continuidad y seguridad
El auditor pregunta qué sucede si ISOTech pierde acceso a los datos (fallo de servidores espejo, ataque de ransomware, desastre natural). La dirección responde que no tiene un plan de recuperación documentado con un tercero. Esto es un riesgo importante conforme a la NIA-ES 315.34.
El auditor documenta: "riesgo importante identificado: pérdida de datos contables por fallo de servicio del proveedor. Mitigación: ISOTech mantiene redundancia, pero no hay contrato de recuperación ante desastres con tercero. NIA-ES 315.34 se aplica. Procedimiento de auditoría: (1) verificar que los backups se ejecutan automáticamente cada 24 horas; (2) seleccionar 3 backups al azar durante el año y solicitar que ISOTech restaure uno para confirmar viabilidad; (3) revisar si la dirección ha evaluado la necesidad de un acuerdo de continuidad."
Nota de documentación: "riesgo importante por continuidad de datos. Evaluación: La entidad no tiene plan de recuperación ante desastres, pero la probabilidad de fallo de ISOTech es baja dados los controles de redundancia. Procedimientos realizados: test de restauración completado (ver PT-322). Conclusión: Riesgo identificado pero mitigado por controles técnicos. Considerar recomendación de mejora."
Conclusión: El auditor completa su evaluación de la computación en la nube mediante una combinación de (a) pruebas de controles del proveedor, (b) evaluación de la accesibilidad de datos, y (c) identificación de riesgos importantes relacionados con la continuidad. Documentó todo conforme a la NIA-ES 315 y la NIA-ES 402. El enfoque es defensible porque combina pruebas directas de controles del proveedor con procedimientos de auditoría específicos para los riesgos de nube.

Lo que auditores y revisores se equivocan

• El error más frecuente (Tier 1: hallazgo de inspección): Muchas auditorías tratan la computación en la nube como un factor de riesgo menor, delegando la evaluación a un cuestionario administrativo sin diseñar procedimientos específicos. La NIA-ES 315.34 exige que los riesgos importantes se identifiquen formalmente; cuando hay datos en la nube sin un informe ISAE 3402 del proveedor, esto es un riesgo importante no documentado. Los inspectores del ICAC han señalado en reportes de auditoría que la falta de evidencia sobre controles del proveedor (mediante ISAE 3402 o pruebas directas) es una debilidad de control recurrente.
• Error de alcance (Tier 2): El auditor obtiene un informe ISAE 3402 Tipo I del proveedor pero no ejecuta procedimientos sustantivos sobre los datos alojados. La NIA-ES 402.9 exige que el auditor diseñe procedimientos para obtener evidencia apropiada sobre las aseveraciones afectadas por los controles del proveedor. Un informe Tipo I describe qué controles tiene el proveedor, pero no prueba que funcionaron. Si la materialidad de ingresos es significativa y esos ingresos se procesan en el ERP del proveedor, no se pueden confiar únicamente en el diseño de controles (Tipo I); se requieren pruebas de operatividad o procedimientos sustantivos directos.
• Falta de evaluación de riesgo de continuidad (Tier 2): Muchas auditorías no evalúan la existencia de procedimientos de recuperación ante desastres en el proveedor. La NIA-ES 315.23 exige que el auditor considere los riesgos relacionados con la continuidad de la información. Si el proveedor de nube no tiene un contrato de nivel de servicio (SLA) que especifique un objetivo de tiempo de recuperación (RTO) y un objetivo de punto de recuperación (RPO), y si la dirección no ha evaluado la implicación, esto indica un riesgo no mitigado.
• No considerar la ubicación geográfica de los datos (Tier 2): La NIA-ES 402.8 requiere que el auditor entienda la naturaleza de los servicios prestados por la organización de servicios. En una auditoría de una empresa española con 20 millones de euros de ingresos cuyos datos contables se alojan en servidores fuera de la UE, el auditor debe evaluar si la transferencia internacional de datos cumple con el RGPD y si las jurisdicciones afectan a la disponibilidad de evidencia de auditoría en caso de litigio.

Comparación: Auditoría de sistemas locales vs. sistemas en la nube

| Aspecto | Sistemas locales | Sistemas en la nube |
|---|---|---|
| Acceso directo a controles | Auditor puede verificar físicamente el servidor, el control de acceso, los registros de cambios | Acceso limitado; requiere credenciales o documentación del proveedor (informe ISAE 3402) |
| Responsabilidad de controles | Entidad es responsable de todos los controles (seguridad física, acceso, backups, encriptación) | Responsabilidad compartida: proveedor controla infraestructura; entidad controla acceso de usuarios y configuración de aplicación |
| Estándar NIA-ES aplicable | NIA-ES 315 (Identificación de riesgos) | NIA-ES 315 + NIA-ES 402 (Organizaciones de servicios) |
| Prueba de controles más común | Inspección física, revisión de registros de control de acceso del sistema local | Informe ISAE 3402 Tipo I/II, o pruebas directas vía acceso remoto |
| Riesgo de continuidad | Riesgo localizado en el data center de la entidad (mitigación: backup en ubicación alterna) | Riesgo distribuido; fallo del proveedor afecta a múltiples clientes simultáneamente |
| Documentación de evaluación de riesgo | PT donde el auditor documenta el entorno IT local y riesgos identificados | PT adicional: evaluación de la organización de servicios conforme a NIA-ES 402.5-9 |

Cuándo importa la distinción en un encargo

Un auditor planifica la auditoría de una empresa de distribución. El sistema de gestión de inventario (donde residen la mayoría de transacciones de costo de ventas) está en servidores locales con control total de la entidad. El sistema de facturación (ingresos) está en la nube mediante una aplicación SaaS de un tercero. El auditor debe evaluar ambos: el sistema local bajo NIA-ES 315, y el sistema en la nube bajo NIA-ES 402. No puede tratarlos de forma idéntica. Los procedimientos de auditoría para verificar la exactitud de los ingresos deben incluir evaluación de los controles de la SaaS (mediante informe ISAE 3402 o pruebas directas), no solo revisar los registros contables locales de la entidad.

Términos relacionados

---

• ISAE 3402: El estándar internacional que rige los informes de auditor de servicios. Cuando se necesita evidencia sobre los controles de un proveedor de nube, se solicita un informe ISAE 3402 Tipo I (diseño de controles) o Tipo II (diseño y operatividad).
• NIA-ES 402: Consideraciones de auditoría relativas a entidades que usan organizaciones de servicios. Define cuándo el auditor debe evaluar controles del proveedor y qué evidencia es necesaria.
• Riesgo importante: Un riesgo que requiere atención especial del auditor conforme a la NIA-ES 315.34. La pérdida de datos en la nube o la interrupción del servicio suelen ser riesgos importantes si no hay mitigaciones documentadas.
• Control de acceso: En entornos de nube, el control de acceso es responsabilidad compartida: el proveedor controla el acceso físico e infraestructura; la entidad controla quién de su equipo puede acceder a la aplicación.
• Segregación de funciones: En sistemas locales, el auditor puede verificar la segregación mediante inspección del código de aplicación o configuración de tablas de permisos. En la nube, depende de qué controles el proveedor haya implementado y cómo la entidad los configure.
• Continuidad del negocio: Los planes de recuperación ante desastres son críticos cuando los datos residentes están en manos de un proveedor. La NIA-ES 315.23 exige considerar este riesgo.