Cuándo hace falta una carta puente, y cuándo no

El hueco temporal que la norma reconoce sin nombrar

ISAE 3402 no usa la expresión "carta puente". Lo que sí dice la norma, en el párrafo 25, es que el auditor del usuario debe obtener evidencia suficiente y apropiada sobre la idoneidad del diseño y eficacia operativa de los controles para el periodo cubierto por sus propios estados financieros. Cuando el periodo del informe termina antes del cierre del cliente, ese hueco existe y hay que cubrirlo.

La carta puente es el vehículo más habitual. No es el único. La norma admite también la inspección directa, la confirmación con la dirección del proveedor, o procedimientos sustantivos compensatorios. Vaya por delante que la carta puente es la opción más cómoda para todas las partes. Precisamente por eso se convierte en un trámite si nadie la cuestiona.

Los tres escenarios que disparan la carta

El primero es el más frecuente: el periodo cubierto termina antes del cierre del cliente. Septiembre como fecha de corte para clientes con cierre en diciembre.

El segundo es el inverso: el informe ISAE 3402 se emite tan tarde que el auditor del usuario ya está en campo y necesita información actual. El proveedor termina su periodo en diciembre pero no emite hasta marzo. Mientras tanto, las cuentas anuales del cliente avanzan.

El tercero es el menos comentado y el más peligroso: la organización de servicios cambia algo material después del trabajo de campo del auditor. Migración de sistema, rotación del responsable de TI, nuevo proveedor de hosting. La carta puente que ignora esos cambios y se limita a decir "nada material ha variado" es, literalmente, falsa.

El contenido obligatorio, y lo que la plantilla "tipo" omite

Cambios en la descripción del sistema

La carta debe identificar los cambios concretos en infraestructura, procedimientos de procesamiento, controles de seguridad o entorno físico. ISAE 3402.35(b) exige al auditor de la organización de servicios evaluar si los cambios están descritos adecuadamente. Cuando los cambios ocurren después del trabajo de campo, la carta puente es el vehículo de esa descripción.

En la práctica, eso significa que no basta escribir "no se han producido cambios materiales en el sistema". Hay que enumerar los cambios menores que el proveedor sí hizo (parches de seguridad, ajustes de configuración, contratación de personal de soporte) y justificar por qué no son materiales. Los hallazgos de inspección que he visto siempre se ceban en lo contrario: cartas que niegan cambios cuando el log de cambios del propio proveedor demuestra que sí los hubo.

El entorno de control y el personal

ISAE 3402.A48 sitúa al entorno de control como base de los demás componentes. Si durante el periodo intermedio rota el responsable de TI, cambia el comité de seguridad o se reorganiza la función de cumplimiento, eso afecta al entorno y debe declararse. La carta debe explicar si el personal nuevo recibió formación adecuada, si la segregación de funciones se mantuvo durante la transición, y si la supervisión directiva continuó sin interrupción.

Aquí entra un término insider que aparece en los foros: "el socio necesita el cliente". Cuando el socio del proveedor de servicios necesita renovar el contrato con el cliente final, la presión para emitir una carta puente impecable es alta. Los PT del periodo intermedio deben ser tan sólidos como los del periodo principal. Si no lo son, la carta no debe firmarse.

Controles nuevos o modificados

Cuando el proveedor introduce controles nuevos o modifica los existentes durante el periodo intermedio, la carta debe describir el cambio, la fecha efectiva, y si el control modificado cubre el mismo objetivo de control que el original. La descripción genérica ("se han actualizado los procedimientos") no aporta nada al auditor del usuario. La descripción específica ("el control de aprobación dual para movimientos superiores a 50.000 € se ha automatizado en septiembre 2025; el umbral se mantiene") sí.

Ejemplo práctico: Sistemas de Nómina Europeos S.L.

Escenario: Sistemas de Nómina Europeos S.L. presta servicios de procesamiento de nóminas a 47 empresas españolas, factura 15,2 millones de euros anuales. Cierra su informe ISAE 3402 Tipo II el 30 de septiembre de 2025. En octubre migra del sistema legado a una solución cloud.

Tres clientes con cierre el 31 de diciembre piden cobertura hasta esa fecha. El auditor del proveedor (pongamos Auditores Mediterráneos S.L.P.) recibe la petición a mediados de noviembre.

Paso 1: Inventario real de lo que cambió en el sistema

El equipo de Auditores Mediterráneos pide el log de cambios del proveedor entre el 1 de octubre y el 15 de noviembre. Aparecen 38 entradas. De ellas, 12 son cambios de configuración material (autenticación, gestión de claves, copias de seguridad), 8 son automatizaciones de controles que antes eran manuales, y 18 son ajustes menores documentados.

PT BL-01: Log de cambios completo, marcado por categoría. Anexo: matriz de cruce con los 47 controles del informe original.

Paso 2: Re-mapeo de controles

De los 47 controles probados originalmente, 12 requieren nueva descripción para la plataforma cloud, 8 desaparecen porque el proceso se automatiza (con un nuevo control automatizado que sustituye al manual), y 27 se mantienen sin cambio sustantivo.

PT BL-02: Matriz antes/después con justificación para cada cambio. La automatización no equivale a continuidad. Los 8 controles nuevos son controles distintos que necesitan prueba.

Paso 3: La complicación que la plantilla habría enterrado

Al probar los 8 controles automatizados nuevos, el auditor descubre que la regla automatizada para validar el código IBAN del beneficiario solo se aplica a transferencias nacionales. Para transferencias SEPA internacionales sigue habiendo verificación manual. El responsable cambió en octubre y la nueva persona aún no ha completado la formación.

¿Qué hace el auditor? Tres opciones:

a) Omitir el detalle. La plantilla genérica diría "los controles de validación se mantienen efectivos." Funciona hasta que un usuario sufra un fraude SEPA y el ICAC investigue.

b) Incluir el detalle como salvedad en la carta puente. Esto avisa al auditor del usuario, le permite reforzar sus pruebas sustantivas sobre transferencias SEPA, y deja al proveedor con una carta puente "sucia" que perjudica su negocio comercial.

c) Negociar con el proveedor un control compensatorio (segregación dual obligatoria para SEPA hasta que la nueva persona complete formación), documentar la aplicación, y emitir la carta puente reflejando la situación. Más trabajo, mejor cobertura.

En mi caso, la opción c) es la única que aguanta una EQR razonable. La b) es honesta pero comercialmente costosa. La a) es la que más se ve en plantillas que circulan por las firmas medianas.

PT BL-08: Documentación del control compensatorio acordado, evidencia de aplicación, prueba de operación durante 30 días antes de la firma de la carta.

Paso 4: Redacción y firma

La carta puente, fechada el 22 de diciembre de 2025, identifica los 12 controles modificados, los 8 controles nuevos automatizados, el control compensatorio para SEPA, y declara que con esos elementos el sistema mantiene los objetivos de control del informe original durante el periodo del 1 de octubre al 15 de diciembre.

No dice "no se han producido cambios materiales". Dice qué cambió, qué se probó, y qué efecto tiene sobre los objetivos. Esa es la diferencia.

Plantilla práctica: los elementos que aguantan una revisión

Encabezado y propósito

Empezar con la identificación clara: nombre de la organización de servicios, fecha del informe ISAE 3402 original, periodo intermedio cubierto, objetivos de control afectados. El propósito explícito: "Esta carta puente proporciona información sobre cambios en el sistema y los controles de [organización] ocurridos entre [fin del periodo original] y [fin del periodo intermedio] para asistir al auditor del usuario en su evaluación de riesgo de control."

Resumen de cambios

Lista concisa de todos los cambios materiales, agrupados por categoría: cambios de sistema, modificaciones de controles, cambios de personal, cambios en CUEC (Complementary User Entity Controls). Para cada uno: fecha efectiva, motivo, objetivo(s) de control afectado(s). El auditor del usuario debe poder localizar en 30 segundos qué áreas de su auditoría se ven afectadas.

Análisis detallado por cambio

Para cada cambio material:

- Naturaleza específica del cambio - Procedimientos de prueba realizados (si los hubo) - Resultados de esa prueba - Implicaciones para los controles del usuario - Controles compensatorios aplicados durante la transición

Conclusión y recomendaciones

Evaluación global del auditor de la organización de servicios sobre cómo los cambios afectan a la confianza del auditor del usuario. Recomendaciones específicas si los cambios crean riesgos nuevos o eliminan controles previamente probados. No vale "los controles siguen siendo efectivos" (eso es marcar la casilla). Vale "los controles modificados mantienen los objetivos del informe original; el control X requiere atención adicional por parte del auditor del usuario porque [motivo]."

Lista de verificación práctica

1. Definir el alcance del periodo intermedio. Fechas exactas, nombre del cliente final cuyo cierre se está cubriendo, objetivos de control que necesitan continuidad.

2. Inventariar todos los cambios. Log de cambios, entrevistas con responsables, revisión de documentación. No basta el self-assessment del proveedor.

3. Mapear el impacto. Cada cambio asociado a su(s) objetivo(s) de control. Distinguir nuevos, modificados, descontinuados.

4. Probar los controles nuevos o modificados. Misma metodología que el encargo original. Si se prueba menos, se dice menos en la carta.

5. Redactar comunicación específica. Plantilla como base, contenido a medida del proveedor.

6. Carta de manifestaciones. Confirmación escrita de la dirección del proveedor de que todos los cambios materiales del periodo se han revelado correctamente.

Errores frecuentes en cartas puente

Identificación insuficiente de cambios. Los auditores suelen centrarse en cambios obvios de sistema y pasan por alto rotaciones de personal, actualizaciones de política o cambios de entorno. Los hallazgos de inspección internacional sitúan esto en torno al 30% de las deficiencias detectadas en cartas puente.

Procedimientos de prueba inconsistentes. Aplicar metodología distinta en el periodo intermedio respecto al informe original genera inconsistencia que el auditor del usuario no sabe cómo integrar en su evaluación de riesgo. La regla práctica: si en el encargo original probaste 25 muestras de un control, en el periodo intermedio prueba al menos 8 (proporcional al periodo cubierto).

Evaluación vaga del impacto. Cartas que describen cambios sin explicar implicaciones para el auditor del usuario tienen valor limitado y suelen requerir comunicaciones de seguimiento que retrasan la auditoría del usuario. La carta puente es para reducir consultas, no para generarlas.

Donde el juicio empieza: Socio A frente a Socio B

¿Cuándo es legítimo emitir una carta puente "limpia" cuando han habido cambios menores no probados?

Socio A: Si el cambio no afecta a los objetivos de control del informe original, no necesita prueba específica. Basta con declararlo en la sección de cambios y mantener la conclusión global de continuidad. Lo contrario (exigir prueba para cada cambio menor) convierte cada carta puente en un mini-encargo y hace inviable el modelo comercial.

Socio B: Cualquier cambio que toque un objetivo de control debe probarse, por menor que parezca. Los cambios "menores" que no se prueban son la fuente de las cartas puente que luego no aguantan inspección. La inversión adicional protege al socio frente a expedientes del ICAC y a la firma frente a reclamaciones del auditor del usuario.

Los dos tienen razones válidas. El Socio A optimiza tiempo de equipo. El Socio B optimiza riesgo de revisión posterior. La práctica de mercado va más cerca del Socio A. Y por eso los hallazgos de inspección sobre cartas puente crecen año tras año.

El incentivo perverso

¿Por qué circulan tantas cartas puente con plantillas casi idénticas año tras año? El incentivo está en la economía del encargo. La carta puente no se factura como encargo nuevo: entra dentro del trabajo de continuidad con el proveedor. El equipo que la prepara está ya contratado para el siguiente periodo y tiene presión para cerrar el actual sin abrir frentes. El revisor de calidad ve la carta cuando ya está firmada. La única persona con incentivo real para cuestionar el contenido es el auditor del usuario, y precisamente porque sabe que cuestionar la carta retrasa su propia auditoría, suele aceptarla.

La idea de fondo

ISAE 3402 no inventó la carta puente. La práctica la inventó porque la norma exige cobertura completa y la realidad operativa rara vez se la da. La consecuencia es que la carta puente queda fuera del marco normativo formal pero dentro del marco de responsabilidad profesional. El auditor que la firma asume responsabilidad por afirmaciones que la norma no le obliga a hacer pero que el mercado espera que haga. Esa asimetría (todo el riesgo, ninguna obligación explícita) es la razón por la que las cartas puente merecen el mismo rigor que el informe original, no menos.

Contenido relacionado

- Plantilla de informe ISAE 3402 Tipo II. Marco completo de informe con de carta puente. - Pruebas de controles en organizaciones de servicios. Procedimientos de prueba para evaluación de controles del periodo intermedio. - Guía de planificación y alcance ISAE 3402. Planificación del encargo incluyendo consideraciones del periodo intermedio.

---

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.