Índice
1. Lo que ocurre en la práctica (y por qué) 2. Qué exige la NIA-ES 402 de verdad 3. Criterios de evaluación del informe 4. Ejemplo práctico: seis meses cubiertos, seis sin cubrir 5. Lista de verificación del auditor usuario 6. Donde los profesionales discrepan: Tipo 1 cuando no hay Tipo 2 7. Errores frecuentes 8. Contenido relacionado
Lo que ocurre en la práctica (y por qué)
Los papeles de trabajo de compromiso existen. Un SOC con una carve-out sobre el subservicio, una carta puente (bridge letter) de diciembre que no menciona el cambio de proveedor de hosting que ocurrió en noviembre, tres CUECs que el cliente "aplica" pero de los que no existe evidencia documental: todo eso entra en el expediente sin ser reejecutado. No es un fallo individual. Es el resultado de tres presiones estructurales combinadas:
1. Honorarios y tiempo. El presupuesto del encargo asume que el informe llega el 15 de enero y cubre el ejercicio completo. Cuando el informe cubre 1/04 a 30/09 y llega el 20 de febrero, el socio necesita el cliente y nadie va a renegociar honorarios a estas alturas. 2. Especialistas de TI. Revisar los controles de sistemas de un ISAE 3402 exige a alguien que entienda lo que lee. En equipos medianos, ese perfil está sobresuscrito en campaña. 3. Plantillas heredadas. El programa de trabajo del encargo anterior incluía "revisión del ISAE 3402 recibido" como un epígrafe. Nadie lo cuestiona el año siguiente.
En mi humilde opinión, esta es la finding que más review notes genera cuando el ICAC o el revisor interno miran un encargo con organización de servicios significativa. Y la razón es casi siempre la misma: el expediente no cuenta una historia. Cuenta que llegó el informe y que se marcó la casilla.
Qué exige la NIA-ES 402 de verdad
La NIA-ES 402 (en adelante, 402) establece que el auditor usuario es responsable de obtener conocimiento suficiente de la organización de servicios y sus controles para identificar y valorar los riesgos de incorrección material (402.7). No permite asumir que los controles funcionan. Tampoco permite externalizar el juicio al auditor de la organización de servicios: su informe es una evidencia, no una conclusión prestada.
Cuándo aplica el 402.12
El párrafo 402.12 exige que, cuando los servicios de la organización forman parte del sistema de información de la entidad usuaria (incluidos los procesos relacionados con la información financiera), el auditor usuario obtenga conocimiento de cómo la entidad usa esos servicios. Esto incluye los controles aplicados por la entidad usuaria sobre las actividades de la organización de servicios.
Lo que ocurre en la práctica: el conocimiento que se documenta es una descripción genérica copiada del contrato de servicios ("el proveedor procesa las nóminas"). El 402.12 pide algo más específico: qué datos viajan, en qué momento del mes, quién los autoriza y quién los revisa al volver.
Tipo 1 vs Tipo 2 (y por qué importa la diferencia)
- Tipo 1: opinión sobre la descripción y el diseño de los controles en una fecha concreta (402.A26). - Tipo 2: opinión sobre la descripción, el diseño y la eficacia operativa de los controles durante un periodo (402.A27).
La diferencia no es académica. Un Tipo 1 le dice al auditor usuario que el control, si se ejecuta, está bien diseñado. No le dice que se haya ejecutado ni una sola vez. Para una aseveración donde usted piensa confiar en la operación del control (y reducir el trabajo sustantivo), un Tipo 1 no es suficiente evidencia. Para una aseveración donde su estrategia es 100% sustantiva, el Tipo 1 puede bastar. La confusión entre ambos casos es, por lo que conozco, el segundo error más frecuente en este terreno.
Criterios de evaluación del informe
El 402.18 no es una checklist. Es una lista de criterios que exigen juicio. El problema es que los programas de trabajo los convierten en casillas y el juicio desaparece.
Periodo cubierto
La norma dice que el periodo debe proporcionar una base adecuada para la auditoría de la entidad usuaria y que, para los Tipo 2, las pruebas deben ser suficientemente largas. La 402.A43 indica que un desfase superior a seis meses entre el fin del periodo cubierto y la fecha de opinión puede ser excesivo.
Lo que ocurre en la práctica: la bridge letter. Una carta del proveedor afirmando que no ha habido cambios significativos entre el fin del periodo auditado y la fecha de cierre del cliente. Se archiva, se da por bueno. Lo que casi nunca hacemos es contrastar la carta contra cambios documentados en el propio entorno del cliente: contratos renegociados, rotación de personal en el proveedor, migraciones de plataforma. Vaya por delante que esto es donde más fácilmente se cuela una brecha real.
Relevancia de los controles probados
El informe cubre decenas de controles. Solo algunos afectan a las aseveraciones relevantes para sus estados financieros. El 402 exige identificar cuáles, no certificar que se ha leído el informe entero.
Controles complementarios del usuario (CUECs)
Aquí vive el problema silencioso. El informe SOC enumera los CUECs que asume que la entidad usuaria opera para que los controles del proveedor funcionen. Un ejemplo típico: "el cliente debe revisar mensualmente el informe de excepciones de acceso". Si ese control no existe del lado del usuario, o existe solo en papel, el informe SOC pierde valor para usted aunque la opinión sea limpia.
Lo que ocurre en la práctica: nadie prueba los CUECs del lado del usuario con el mismo rigor que los controles del proveedor. Se pregunta al Director Financiero, se obtiene confirmación verbal, se documenta como "operativo" y se sigue. El ICAC ha señalado esto en varias inspecciones a firmas no-EIP.
Subservice organisations (carve-out vs inclusive)
Si el proveedor externaliza parte del servicio (por ejemplo, aloja la infraestructura en AWS), el informe SOC puede seguir dos enfoques: - Carve-out: excluye el subservicio. Usted tiene que obtener evidencia separada. - Inclusive: lo incluye. Poco frecuente en la práctica.
El 85% de los SOC que he visto usan carve-out. Lo que casi nunca se hace es ir al subservicio y pedir su propio informe. El expediente registra "carve-out identificado" y continúa. En mi humilde opinión, esta es la brecha de evidencia que con más frecuencia acaba siendo una deficiencia significativa cuando alguien la examina con tiempo.
Ejemplo práctico: seis meses cubiertos, seis sin cubrir
> Constructora Mediterránea S.L. > - Sede: Valencia > - Ingresos anuales: 23,4 millones de euros > - Empleados: 174 > - Procesador de nóminas: Servicios Administrativos Levante S.L. > - Periodo de auditoría: 1 enero a 31 diciembre 2024 > - Materialidad: 234.000 euros
obtener y revisar el informe
Solicitamos el ISAE 3402 más reciente del procesador. Llega el 15 de enero de 2025. Tipo 2, periodo cubierto del 1 de abril al 30 de septiembre de 2024. Auditor: García y Asociados S.L.
Papel de trabajo: "Recibido el 15/01/2025. Tipo 2. Cobertura 1/04/2024-30/09/2024 (6 meses). Auditor firmante: García y Asociados S.L. Carta puente solicitada."
evaluar la cobertura temporal
Aquí es donde el trabajo empieza, no donde termina. El informe cubre seis meses. Faltan enero-marzo y octubre-diciembre. Para la opinión del auditor usuario, esto implica doce semanas sin evidencia directa antes del comienzo del periodo del informe y trece semanas después.
Papel de trabajo: "Brecha temporal: enero-marzo 2024 (3 meses) + octubre-diciembre 2024 (3 meses) = 6 meses sin cubrir. Consideración 402.A43: desfase entre fin del periodo cubierto y fecha de nuestra opinión estimada en 4 meses."
analizar los controles relevantes
Identificamos qué controles del informe afectan a las aseveraciones de nóminas (exactitud, integridad, corte, valoración).
Papel de trabajo: "Controles relevantes identificados en informe: 2.1 (autorización de altas/bajas), 3.2 (cálculo de retenciones), 4.1 (transferencias bancarias), 2.3 (autorización previa al procesamiento). Aseveraciones afectadas: exactitud, integridad, corte. Los controles 2.1, 3.2 y 4.1 operaron efectivamente según el informe. El control 2.3 presenta excepción."
la complicación
Aquí el ejemplo deja de ser lineal. Al revisar las excepciones del control 2.3, tres nóminas procesadas sin autorización previa en julio, importe total 4.200 euros, no materiales. Caso cerrado. O eso parece.
Una semana después, durante el trabajo sustantivo, el Director Financiero menciona de pasada que en noviembre hubo un "problema con el proveedor de alojamiento" del procesador: una migración no anunciada que tumbó el acceso al portal de nóminas durante tres días. No aparece en el informe ISAE 3402 (cubre hasta septiembre). Tampoco aparece en la carta puente que solicitamos, que es silenciosa sobre cualquier incidencia posterior.
Esto cambia el análisis. La migración implica un cambio en el subservice organisation (carve-out en el informe original), ocurrido en el periodo no cubierto. Los controles 2.1 y 2.3 dependen del portal. Sin portal operativo durante tres días, las autorizaciones se hicieron por correo electrónico sin la traza habitual del workflow.
Papel de trabajo: "Incidencia no reportada: migración de hosting del proveedor en noviembre 2024. Bridge letter no la menciona. Efecto estimado sobre controles 2.1 y 2.3: suspensión del workflow habitual durante tres días, autorizaciones ejecutadas por canal alternativo sin traza digital. Requerido: procedimiento sustantivo adicional sobre las nóminas procesadas en esos tres días."
controles complementarios del usuario
El informe identifica dos CUECs que Constructora Mediterránea debe ejecutar: revisión mensual de nóminas por el Director Financiero, y conciliación trimestral del gasto de personal contra registros contables.
Probamos ambos. La revisión mensual está documentada (12 de 12 meses). La conciliación trimestral existe en papel pero las cuatro firmas son del mismo día (28 de diciembre). Claramente retrospectiva.
Papel de trabajo: "CUEC 1 (revisión mensual): 12/12 documentadas, cadencia mensual verificada. Efectivo. CUEC 2 (conciliación trimestral): documentación con fecha única 28/12/2024, las cuatro conciliaciones se firmaron en el mismo día. El control existe como concepto pero no operó con la cadencia requerida. Deficiencia identificada (comunicar a gobierno corporativo vía NIA-ES 265)."
procedimientos adicionales
Con todo esto, la estrategia inicial (confiar en el SOC para los 6 meses cubiertos y hacer sustantivo para los otros 6) no aguanta. La debilidad en el CUEC 2 y la incidencia de noviembre extienden el ámbito del sustantivo.
Papel de trabajo: "Procedimientos adicionales: (a) prueba detallada del 15% de las nóminas de enero-marzo y octubre-diciembre; (b) examen individual de las nóminas procesadas los tres días de la migración de noviembre; (c) conciliación gasto de personal contra cuenta contable a 31/12 con soporte documental independiente del procesador."
Conclusión: el informe ISAE 3402, combinado con los procedimientos sustantivos ampliados y el examen específico de la incidencia de noviembre, proporciona evidencia suficiente y adecuada. Sin los procedimientos adicionales, no. El expediente tiene que contar esta historia: qué cubría el informe, qué no cubría, qué se descubrió fuera del informe y cómo se respondió.
Lista de verificación del auditor usuario
1. Cobertura temporal. Contrastar el periodo del informe con el ejercicio auditado. Identificar la brecha en meses concretos, no "hay desfase" (402.A43). 2. Carta puente (bridge letter). Solicitarla siempre. Leerla contra cambios documentados en el entorno del cliente. No aceptar el silencio como ausencia de cambios. 3. Relevancia de los controles. Identificar qué controles del informe afectan a aseveraciones específicas, con referencia cruzada al programa de trabajo (402.A38). 4. Excepciones. Analizar cada deficiencia reportada cuantitativa y cualitativamente. Una excepción inmaterial puede invalidar la confianza si señala un patrón (402.A41). 5. CUECs probados de verdad. Verificar la operación efectiva de los controles complementarios con la misma evidencia que exigiría para un control del cliente (402.17). 6. Subservice organisations. Identificar el enfoque (carve-out o inclusive). Si es carve-out y el subservicio afecta a controles relevantes, planificar evidencia separada. 7. Documentación que cuente una historia. Registrar la evaluación y los procedimientos adicionales. El expediente debe explicar qué se confió al informe, qué no y por qué (402.22).
Donde los profesionales discrepan: Tipo 1 cuando no hay Tipo 2
Este es un punto donde el Socio A y el Socio B, ambos con veinte años de experiencia, harían cosas distintas.
Socio A: acepta el Tipo 1 cuando el Tipo 2 no existe, siempre que la estrategia para las aseveraciones afectadas sea 100% sustantiva. Su razonamiento: el Tipo 1 confirma el diseño, el sustantivo cubre la operación, no hay doble trabajo. Es la postura dominante en firmas no-EIP por razones de eficiencia.
Socio B: no acepta Tipo 1 si el servicio es significativo para los estados financieros, aunque la estrategia sea sustantiva. Su razonamiento: el sustantivo cubre el saldo final pero no captura ciertos errores de proceso (por ejemplo, transacciones que se compensan entre sí dentro del mismo periodo). Si el proveedor no publica Tipo 2, hay que renegociar el servicio o retirar la confianza en el procesamiento.
Los dos tienen argumentos defendibles. El Socio A es práctico y cita eficiencia. El Socio B es conservador y cita riesgo de compensación. En encargos con materialidad alta respecto al volumen procesado por el proveedor, en mi humilde opinión, el Socio B tiene mejor posición: el sustantivo no detecta todo. En encargos donde el proveedor procesa un volumen modesto, el Socio A es razonable.
Lo que nunca es defendible es aceptar un Tipo 1 cuando la estrategia del encargo confía en la operación del control (enfoque combinado). Esa es la confusión que el ICAC ha flagged en inspecciones recientes.
Errores frecuentes
Contenido relacionado
- Organización de servicios (glosario): definición y marcos aplicables bajo NIA-ES 402 - Kit de evaluación de controles internos: plantillas para documentar la evaluación de CUECs - Cómo documentar deficiencias de control interno significativas bajo NIA-ES 265: guía práctica para comunicar hallazgos relacionados con controles de organizaciones de servicios
---