Cuándo el SOC entra en juego, y cuándo no

Hablo primero del fallo más frecuente. Hay dos extremos. Equipos que piden informes SOC para cualquier proveedor que toque al cliente, incluido el de hosting de la web corporativa. Y equipos que no piden ninguno, porque "el cliente lleva años con SAP y no ha pasado nada". Ambos extremos están mal por la misma razón: ninguno aplica el filtro que pide la norma.

La NIA-ES 402.8 le obliga a obtener comprensión de cómo la entidad usa los servicios de la organización de servicios, la naturaleza de esos servicios, los términos del contrato y la significatividad de las transacciones procesadas. La 402.9 añade el filtro de relevancia para las aseveraciones materiales.

En la práctica, el test que uso es de dos preguntas. ¿El servicio forma parte del sistema de información financiera de la entidad? Las nóminas en ADP, sí. La empresa de limpieza, no. ¿Las transacciones o controles que ejecuta el tercero afectan a aseveraciones materiales? Un procesador de pagos por el que pasa el 100% de los ingresos, sí. Un proveedor de copias de seguridad cuyos controles no tocan ninguna aseveración financiera, no.

Si responde "sí" a las dos, necesita evidencia sobre los controles del tercero. Si responde "no" a alguna, déjelo documentado y siga.

La zona gris está en medio. El procesador de pagos que mueve el 100% de los ingresos pero solo tiene un SOC 2, no un SOC 1. ¿Le sirve? Por lo que conozco, no del todo. El SOC 2 cubre seguridad, disponibilidad, confidencialidad. No cubre la integridad del procesamiento de transacciones financieras al detalle que pide la auditoría de cuentas. Yo no aceptaría un SOC 2 como sustituto del SOC 1 sin procedimientos sustantivos adicionales sobre el flujo de ingresos, porque la NIA-ES 500 exige evidencia apropiada para la aseveración concreta, y la aseveración aquí es integridad y exactitud de las ventas, no la disponibilidad del servicio.

Los tipos de informe, y el malentendido del Tipo I

Lo que realmente ocurre es que el equipo recibe un SOC 1 Tipo I, lee la portada, ve "auditor independiente" e "informe sobre controles", y lo trata como si fuera Tipo II. No lo es.

La NIA-ES 402.16 lo deja claro. Un informe de Tipo I describe el diseño de los controles en un momento determinado. Le sirve para entender cómo se supone que funciona el sistema. No le dice si los controles operaron eficazmente durante el ejercicio. Para eso tiene que hacer pruebas usted mismo, o pedir un Tipo II.

La NIA-ES 402.17 es la que permite apoyarse en el trabajo del auditor de servicios para concluir sobre la efectividad operativa, y solo cuando el informe es de Tipo II. Tres condiciones simultáneas: el período cubierto es apropiado para su auditoría, el tiempo transcurrido entre el final del período cubierto y su fecha de cierre no es excesivo, y los controles testados son relevantes para sus aseveraciones.

La zona gris aquí es la bridge letter. Cuando el SOC 1 Tipo II cubre, pongamos, enero a octubre, y su cierre es 31 de diciembre, la organización de servicios suele emitir una carta puente que dice "no ha habido cambios materiales en el sistema de control entre noviembre y diciembre". La NIA-ES 402.19 no la regula expresamente. Lo que sí regula es la NIA-ES 500: evidencia apropiada y suficiente.

Yo no aceptaría una bridge letter como evidencia independiente, porque la firma la dirección de la organización de servicios, no su auditor. La carta es manifestación de la entidad, no un trabajo de aseguramiento. Le sirve como input para evaluar el riesgo del período no cubierto. No le sirve para sustituir procedimientos.

El auditor de servicios no es su auditor

Esa frase en negrita, sola, antes de seguir.

La NIA-ES 402.17 le pide que evalúe la competencia profesional y la independencia del auditor que firma el SOC. Esto, en archivo, suele aparecer como una línea: "se ha verificado que el auditor de servicios es competente e independiente". Punto. Eso, en una inspección del ICAC, no se sostiene.

Lo que sí se sostiene es algo así. La firma X está inscrita en el ROAC (o en su equivalente nacional, si emite SOC bajo SSAE 18 desde EEUU). El informe contiene declaración de independencia explícita conforme al marco aplicable. He revisado la sección de procedimientos realizados y los objetivos de control testados se mapean contra los riesgos que tengo identificados para esta entidad. Las excepciones encontradas las he leído una a una y he documentado el impacto.

La NIA-ES 402.18(a)(ii) le obliga a evaluar si el alcance del trabajo del auditor de servicios es adecuado para sus propósitos, y específicamente a considerar los controles complementarios del usuario (CUEC). Esto último se suele despachar mal. Los controles complementarios son controles que tiene que ejecutar el cliente para que los controles del SOC funcionen. Si el SOC dice "asumimos que el usuario revisa el log de accesos mensualmente" y su cliente no lo hace, los controles del SOC no le sirven en el entorno del cliente.

La discusión que hay que tener con el socio

Hay dos posiciones legítimas, y conviene saber cuál defiende cada uno antes de la reunión.

Socio A: si el SOC 1 Tipo II cubre el período, los controles complementarios del cliente están documentados y el auditor de servicios es de los grandes, no se necesita más. Llevar pruebas adicionales sobre los mismos controles es duplicar el trabajo del auditor de servicios y subir las horas sin valor.

Socio B: el SOC documenta los controles del proveedor, no los del cliente. Los CUEC son los que hay que testar siempre por procedimientos propios, porque sin ellos los controles del proveedor no operan en el entorno auditado. La NIA-ES 402.18(a)(ii) lo dice explícitamente. La duplicación no existe: el auditor de servicios no testa los controles del cliente.

Las dos posiciones citan partes legítimas de la norma. La diferencia es de interpretación práctica, y es mejor resolverla en planificación que en revisión.

Caso: Logística Mediterránea S.L.

Logística Mediterránea S.L. (Valencia). Facturación 45 millones de euros. SAP Cloud para toda la contabilidad financiera. ADP para nóminas, 8,2 millones anuales en gastos de personal. Cierre 31 de diciembre de 2023.

Paso 1. Identificar las organizaciones de servicios relevantes.

SAP procesa el 100% de las transacciones de ventas, compras y contabilidad general. Materialidad: alta. ADP procesa el 100% de la nómina. Materialidad: alta. Hay un tercero más, una empresa de mantenimiento informático, que no toca el sistema de información financiera. Fuera del alcance.

Paso 2. Obtener los informes SOC 1.

SAP entrega un Tipo II que cubre del 1 de enero al 31 de diciembre de 2023. ADP entrega un Tipo II para el mismo período. Cobertura temporal: exacta, sin brechas, sin necesidad de bridge letter.

Paso 3. Leer las excepciones, no la portada.

ADP: sin excepciones. SAP: tres excepciones en controles de acceso de usuarios. Las tres se documentan como "remediadas durante el período de prueba".

Paso 4. Aquí es donde el caso se complica.

Una de las tres excepciones de SAP, control de acceso de usuarios, fue corregida el 12 de diciembre. Tres semanas antes del cierre. Y ese mes es precisamente el que el cliente usó SAP para ejecutar los asientos de cierre. Las preguntas que se quedan abiertas son las siguientes. ¿Eran fiables los controles de acceso para las transacciones del 1 al 12 de diciembre? ¿Y para los asientos de ajuste posteriores, una vez remediado el control? ¿Hace falta un procedimiento sustantivo sobre los movimientos de diciembre o, al menos, sobre los asientos manuales del cierre?

Yo aquí no archivaría sin más. La excepción remediada en diciembre coincide con el período de mayor actividad de cierre. Diseñaría una prueba sustantiva sobre los asientos manuales registrados entre el 1 y el 12 de diciembre, con foco en los que tocan cuentas materiales, y compararía los autores de esos asientos contra la matriz de roles antes y después de la remediación. No es trabajo enorme. Pero es el trabajo que separa "se ha leído el SOC" de "se ha usado el SOC".

Paso 5. Controles complementarios del cliente.

El SOC de SAP lista CUEC: revisión periódica de la matriz de roles por el cliente, segregación de funciones aprobada por dirección, gestión de altas y bajas de usuarios. Logística Mediterránea tiene política escrita pero la última revisión documentada de la matriz es de junio. Eso no llega. Pruebas adicionales sobre las altas y bajas del segundo semestre, y conclusión de que los CUEC operan parcialmente. Eso modula la confianza en los controles SAP.

Conclusión del archivo. Los SOC 1 dan evidencia sobre los controles generales del proveedor. El cliente cumple parcialmente los CUEC. Los procedimientos sustantivos sobre asientos de diciembre cubren la zona temporal sensible. La conclusión sobre el sistema de información se sostiene.

El error que importa

El error mayor en NIA-ES 402 no es ignorar el informe SOC. Es leer la portada, no leer el apéndice, y sentir que se ha hecho el trabajo. La portada es un resumen del trabajo de otro auditor. Las excepciones son las que dicen si ese trabajo se sostiene en su entorno.

Otra forma de decirlo: el SOC no es evidencia. La lectura del SOC, contrastada con su mapa de riesgos y los CUEC, eso sí es evidencia. La diferencia se ve en una hora de archivo y en cinco minutos de inspección.

Tres fallos que se ven una y otra vez en revisiones de calidad:

- Aceptar un informe que cubre enero-octubre para una auditoría con cierre en diciembre y llamarlo evidencia, sin bridge letter ni procedimientos sobre el período no cubierto. Si se admite el problema, es respetable. Pretender que no hay brecha, no. - Confiar en un informe "sin excepciones" porque eso pone la portada, mientras el apéndice tiene quince. Bombas de relojería. - Despachar la evaluación de competencia del auditor de servicios con una línea genérica. Eso, en inspección, son los papeles flojos.

Lista de verificación

1. Identifique todas las organizaciones de servicios que tocan el sistema de información financiera y aplique el test de la NIA-ES 402.8 / 402.9. 2. Pida los SOC 1 Tipo II más recientes que cubran su período. Si la cobertura no llega al cierre, pida bridge letter y diseñe procedimientos para el gap. 3. Lea el apéndice de excepciones entero. Mapee cada excepción contra sus aseveraciones materiales. 4. Documente la evaluación de competencia e independencia del auditor de servicios con citas concretas del informe, no con una línea genérica. 5. Identifique los CUEC y póngalos en su programa de pruebas. No los del proveedor: los del cliente. 6. Concluya por escrito qué procedimientos adicionales hace y por qué.

Contenido relacionado

- Evaluación de riesgos con terceros — cómo evaluar el riesgo cuando su cliente depende de servicios externos - Calculadora de materialidad de servicios — para decidir si los servicios de terceros son materiales para la auditoría - Documentación de controles complementarios — cómo documentar los controles que opera su cliente sobre los servicios de terceros [PUBLICACIÓN FUTURA]

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.