Auditoria Inteligente

Resultados, no procesos

Invítame a un café en Ko-fi!

Pruebas de control en la tercerización: el desafío táctico

Pruebas de control en la tercerización: el desafío táctico

En el artículo anterior, hablamos sobre cómo el nuevo Requisito Temático sobre Terceras Partes del Instituto de Auditores Internos (IIA) y el Dominio III de las Normas Globales de Auditoría Interna (NOGAI) nos exigen enfocarnos más en la gobernanza estratégica. Establecimos que la decisión de tercerizar debe corresponder al apetito de riesgo aprobado por el Consejo. Sin embargo, una vez que las políticas están escritas y los contratos están firmados, nos enfrentamos a la trinchera operativa: ¿cómo probamos, de manera tangible y objetiva, que nuestros terceros están protegiendo nuestros activos?

Aquí es donde la Auditoría Interna debe pasar de la teoría a la práctica. El Dominio V de las NOGAI, “Desempeño de los servicios de auditoría interna”, requiere rigor en la planificación, ejecución y comunicación de los trabajos. No basta con utilizar simples listas de verificación (checklists) para auditar el ecosistema de un proveedor complejo. Es necesario integrar marcos de referencia consolidados de forma inteligente y aplicar un agudo escepticismo profesional.

El puente metodológico: Conectando NOGAI, COSO e ISO

No hace falta que inventemos algo nuevo que ya funciona para auditar a nuestros proveedores. Para que un trabajo de aseguramiento sobre gestión de riesgos de terceros (TPRM) sea un éxito, es preciso hablar los “idiomas” que el negocio y la industria ya entienden.

Al planificar nuestro trabajo (Normas 13.x de las NOGAI), es necesario que estructuremos nuestros programas de auditoría en base a marcos reconocidos:

  • El Marco COSO sobre Control Interno y Gestión de Riesgos: COSO es el método que se ha empleado para evaluar el entorno de control general de la relación con el tercero. ¿Se han establecido actividades de control específicas para mitigar los riesgos identificados en el contrato? ¿Cuál es el flujo de información y comunicación entre nuestra organización y el proveedor en caso de incidente operativo, y quiénes son los responsables y plazos de respuesta?
  • La familia ISO (ISO 27001 e ISO 31000): Si el tercero está manejando datos sensibles o procesos tecnológicos críticos, los estándares ISO se convierten en nuestro mapa del tesoro. La norma ISO 27001 nos da los criterios precisos para valorar que el proveedor dispone de un Sistema de Gestión de Seguridad de la Información (SGSI) maduro. ISO 31000, por su parte, nos ayuda a evaluar la madurez global de las prácticas de gestión de riesgos del propio proveedor.

Al relacionar el Requisito Temático del IIA con COSO e ISO, Auditoría Interna logra elaborar pruebas de control precisas y respaldadas por estándares internacionales, disminuyendo la subjetividad y dándole mayor peso a sus hallazgos frente a la Alta Gerencia.

Ejecución táctica: Más allá de la lectura del contrato

El Dominio V de las NOGAI nos insta a recopilar información suficiente, fiable, relevante y útil para alcanzar los objetivos del trabajo (Norma 14.3 Evaluación de la información). En el contexto de los terceros, esto significa ir más allá de verificar si existe un Acuerdo de Nivel de Servicio (SLA) firmado. Debemos auditar la realidad de la ejecución del servicio.

1. El uso (y desuso) del "derecho a auditoría"

La mayor parte de los contratos modernos poseen una cláusula de “Derecho a Auditoría” (Right-to-Audit). En la práctica, sin embargo, rara vez se ejerce, a menos que se produzca un evento catastrófico. Debemos evaluar como auditores:

¿Ejerce la organización proactivamente su derecho a auditar a sus proveedores de Nivel 1 (Tier 1 o críticos)?

No debe bastar con comprobar que la cláusula existe. Debemos pedir prueba de las inspecciones in situ que la primera o segunda línea de defensa (gestores de contratos, área de cumplimiento o ciberseguridad) han realizado a las instalaciones o sistemas del proveedor. Si la organización es ciega a la operación real del tercero, el riesgo material crece exponencialmente.

2. Informes de aseguramiento de terceros (SOC 1 / SOC 2)

Debido a la dificultad de auditar en persona a grandes empresas tecnológicas como Amazon Web Services, Microsoft o plataformas SaaS a nivel mundial, la norma es confiar en informes de aseguramiento de terceros. Esto incluye los reportes SOC (System and Organization Controls) que se emiten bajo los estándares del AICPA o ISAE 3402.

Aquí está uno de los hallazgos de auditoría más comunes y críticos. Muchas organizaciones simplemente solicitan el informe SOC 2 de su proveedor, lo guardan en una carpeta compartida y marcan la casilla de “cumplimiento”. Es un falso sentimiento de seguridad.

El trabajo táctico de Auditoría Interna, alineado con las expectativas de recopilación de evidencia de las NOGAI, exige revisar con detalle estos informes:

  • Excepciones del auditor externo son: El auditor del proveedor identificó fallas de control; se requiere detallar sus causas y el plan de remediación. ¿Cuáles fueron dichas fallas y cuál es el plan de remediación?
  • Controles Complementarios de la Entidad Usuaria (CUEC): En cada informe SOC hay una sección fundamental, denominada CUEC. Son los controles que el proveedor supone que nuestra organización está haciendo por su cuenta (por ejemplo, gestión de altas y bajas de usuarios en nuestra propia red). Auditoría Interna tiene que comprobar si realmente nuestra empresa ha diseñado y está operando esos CUEC específicos. Si fallamos en nuestros CUEC, el control general de proveedor queda nulo.

3. Ciberseguridad compartida y gestión de incidentes

El Requisito Temático del IIA pone especial énfasis en la ciberseguridad. Si un proveedor tiene una violación de datos, para nuestros clientes y reguladores la violación es nuestra.

Al momento de ejecutar las pruebas, no es suficiente que el proveedor haya completado un cuestionario de seguridad durante su proceso de contratación (onboarding). La situación de amenazas cambia cada semana. La auditoría debe valorar:

  • Integración de la respuesta ante incidentes: Si el tercero sufre un ataque de ransomware un viernes a las 3:00 a.m., ¿cuál es exactamente el protocolo de escalamiento con nuestra organización? ¿Se han llevado a cabo ejercicios de simulación (tabletop exercises) conjuntos entre los equipos técnicos del proveedor y nuestro propio equipo de seguridad (CISO)?
  • Cuartas partes: Debemos rastrear la cadena tal como exige el IIA. ¿Puede confirmar el proveedor de TI dónde se alojan físicamente los servidores del proveedor de base de datos? La auditoría debe pedir el inventario de subcontratistas críticos y valorar cómo el principal proveedor controla los riesgos de seguridad que introducen estos.

Resiliencia operativa y continuidad de los negocios (BCP)

Ilustración de validación de los planes de continuidad de los servicios tercerizados.
Ilustración de validación de planes de continuidad de negocios (Gemini/Auditoría Inteligente)

Y, por último, la resiliencia operativa debe ser un pilar esencial de nuestras pruebas. La pandemia mundial y las recientes disrupciones en la cadena de suministro nos enseñaron que el “Just-in-Time” sin resiliencia es una bomba de tiempo.

Auditoría Interna debe verificar la manera en la que la gerencia confirma los Planes de Continuidad del Negocio (BCP) y de Recuperación ante Desastres (DRP) del proveedor. Como ocurre con los informes de SOC, no es suficiente con tener una copia en PDF del plan del proveedor. Las pruebas táctiles de auditoría deben comprobar los resultados de las pruebas BCP del tercero. ¿Cuáles fueron los Objetivos de Tiempo de Recuperación (RTO) reales que se lograron en el último simulacro? ¿Los resultados se encuentran dentro de los límites máximos tolerables establecidos en nuestros SLA contractuales?

Conclusión y próximos pasos

Realizar auditorías exhaustivas al ecosistema de terceros requiere planificación clara, intención definida y coordinación técnica rigurosa. Al relacionar la norma del Dominio V de las NOGAI con los criterios de COSO e ISO, Auditoría Interna puede aclarar operaciones que muchas veces resultan difíciles de entender en los proveedores. Asegurarnos de que los CUECs están funcionando, de que los simulacros de incidentes son conjuntos, de que el derecho a auditoría se está ejerciendo, transforma nuestra función en un escudo protector real de los activos de la compañía.

Sin embargo, a medida que la cartera de proveedores se incrementa a miles, la manera de hacer pruebas manuales y de revisar documentos una vez por año se vuelve insostenible. Tenemos que subir nuestro nivel.

En el tercer y último artículo de esta serie, saltaremos hacia el futuro: ¿Cómo podemos utilizar la analítica de datos, el monitoreo permanente y la inteligencia artificial (Auditoría 4.0) para controlar a nuestros terceros de forma proactiva, automatizada y en tiempo real? Nos vemos en la próxima entrega.

Redactado por:

Christian Vargas

Christian fundó Auditoría Inteligente para compartir sus conocimientos y experiencias sobre la transformación y mejora de procesos de aseguramiento en toda Latinoamérica.

Categorías: ,