ANEXO A: Plan Anual de Auditoría Continua sobre Población Total (PAT-100)¶
CLASIFICACIÓN DEL DOCUMENTO: MARCO OPERATIVO / ESTRATÉGICO
OBJETIVO: PRIORIZACIÓN DE DESPLIEGUE DE AUDITORÍA CONTINUA
ALCANCE: SISTEMAS CRÍTICOS Y REPOSITORIOS DE EVIDENCIA
REFERENCIA: DOCTRINA DE LA EVIDENCIA (FISCALÍA DIGITAL)
1. El Fin del Muestreo Estadístico¶
La auditoría tradicional prioriza qué muestras tomar basándose en la limitación humana para revisar grandes volúmenes de papel. El Plan de Auditoría Continua prioriza en qué dominios se desplegarán las reglas de validación sobre la población total.
El nivel de riesgo no define el "tamaño de la muestra", sino el orden cronológico en el que se automatiza el control. Si existe la capacidad técnica de evaluar un registro mediante código, existe la capacidad de evaluarlos todos. El muestreo en bases de datos es negligencia por diseño.
2. Cobertura Técnica y Población Total¶
En el entorno digital, el estándar de diseño de control exige la cobertura total del universo auditable. Aceptar porcentajes intermedios es aceptar puntos ciegos sistémicos. El Plan Anual no busca revisar el 75% de los servidores; busca desplegar una regla de auditoría continua que abarque el 100% de la población.
| Dominio de Control | Universo Auditable | Cobertura Exigida | Método de Evidencia (Artefacto) |
|---|---|---|---|
| Identidad Privilegiada (IAM) | 100% de las cuentas admin | 100% | Extracción API del Proveedor de Identidad (IdP) |
| Infraestructura y Configuración | 100% de los nodos/servidores | 100% | Escaneo de Repositorio (Infraestructura como Código) |
| Datos Críticos (Nivel L3) | 100% de las transacciones | 100% | Reglas de Auditoría Continua (Logs/SIEM) |
| Resiliencia Operativa | 100% de los respaldos | 100% | Logs automáticos y Test de Restauración con timestamp |
3. Axioma de Cobertura y Presunción de Falla¶
El Plan Anual establece la siguiente regla innegociable para los equipos de auditoría y tecnología:
Cualquier cobertura inferior al 100% en un entorno digitalizado y centralizado se presumirá automáticamente como "Falla de Diseño de Control", independientemente del resultado arrojado por una muestra parcial.
Si un sistema no permite la extracción total de sus registros para ser validados mediante rutinas de auditoría continua, el sistema en sí mismo constituye un riesgo de caja negra y debe ser reportado como un hallazgo estructural, no operativo.
En entornos de custodia delegada (SaaS, Cloud), confiar exclusivamente en las exportaciones periódicas provistas por el tercero no satisface el axioma de cobertura. Un PAT-100 sin mecanismos de reconciliación que verifiquen que la exportación incluye la totalidad de los eventos generados es, en la práctica, auditoría de muestreo delegada.
4. Resultado y Entregables del Plan¶
El Plan Anual de Auditoría bajo este modelo no produce un calendario de "visitas a terreno" ni entrevistas de validación. El plan se convierte en un roadmap de ingeniería de control y debe producir:
- Priorización de Dominios: La secuencia en la que se integrarán los sistemas al motor de auditoría continua.
- Requerimiento de Artefactos y Extracción Soberana: La especificación técnica de las APIs de streaming o repositorios que las áreas de TI deben exponer, garantizando la extracción en tiempo real fuera del dominio del proveedor.
- Scripts de Traducción y Validación (Reglas): El código (SQL, Python, Rego) que primero neutralizará cualquier "evidencia rehén" (convirtiéndola a formatos abiertos) y luego se ejecutará contra la población total para cada dominio priorizado.
- Dashboard Forense de Estado de Control: El paso de un informe estático en PDF a una visualización de estado continuo basada en evidencia inmutable.
5. El Prerrequisito de Reconciliación en Custodia Delegada¶
Como se establece en el Anexo E (Custodia Delegada y Soberanía Probatoria), desplegar el PAT-100 sobre infraestructura de terceros exige una validación arquitectónica previa.
Antes de ejecutar las reglas de validación sobre la población de datos, el pipeline de auditoría debe ejecutar un control de integridad sobre la ingesta misma: el diferencial entre los eventos operacionales generados en el proveedor y los registros efectivamente capturados por la organización debe ser matemáticamente cero. Sin este paso de reconciliación, la "población total" es una ilusión garantizada únicamente por el contrato del proveedor, no por evidencia criptográfica.