ISAE 3402 Bridge Letter: La Convención de 3 Meses que Nadie Encuentra en la Norma

Tabla de contenidos

• Por qué surge la necesidad de cartas puente
• Lo que dice la ISAE 3402
• El origen práctico de la convención de 3 meses
• Ejemplo práctico: Servicios de Nómina Valencia S.L.
• Lista de verificación para cartas puente
• Errores frecuentes
• Contenido relacionado

Por qué surge la necesidad de cartas puente

Los informes ISAE 3402 cubren períodos específicos, normalmente un año completo. Pero los calendarios de auditoría rara vez se alinean perfectamente. Un proveedor puede emitir su informe ISAE 3402 para el año terminado el 31 de diciembre, mientras que su cliente cierra sus cuentas el 31 de marzo del año siguiente.
Esta desalineación temporal crea un vacío de seguridad. La ISAE 3402 párrafo A35 reconoce este problema al establecer que "cuando el período cubierto por el informe de la organización de servicios no se alinea con el período cubierto por los estados financieros de la entidad usuaria, el auditor de la entidad usuaria puede obtener evidencia adicional".
La carta puente es esa evidencia adicional. Es una confirmación escrita del auditor de la organización de servicios que certifica que los controles relevantes continuaron operando efectivamente durante el período no cubierto por el informe original.
Los auditores de las Big 4 desarrollaron esta práctica en los años 2010 como respuesta a la creciente dependencia de servicios subcontratados. Cuando SOX 404 aumentó la presión sobre los controles internos en Estados Unidos, las empresas comenzaron a externalizar más procesos, creando más brechas temporales que cubrir.

Lo que dice la ISAE 3402

La ISAE 3402 no menciona específicamente las "cartas puente" ni establece límites temporales para su uso. El párrafo A35 indica que cuando existe una desalineación temporal, el auditor "puede obtener evidencia adicional sobre los controles en la organización de servicios".
Esta evidencia adicional puede incluir:
El párrafo A36 añade que el auditor debe considerar "si han ocurrido cambios en los controles de la organización de servicios que puedan afectar a la efectividad de esos controles".
Esta redacción deliberadamente flexible permitió que la práctica profesional desarrollara convenciones específicas. La norma establece el principio (obtener evidencia adicional sobre cambios en controles) pero no prescribe el método exacto.

• Comunicación directa con la organización de servicios
• Revisión de documentación específica sobre cambios en los controles
• Procedimientos de confirmación con el auditor de la organización de servicios

El origen práctico de la convención de 3 meses

La convención de 3 meses surgió de la práctica de las firmas internacionales, no de la norma. Su origen se encuentra en tres factores convergentes:
Factor 1: Frecuencia natural de revisión de controles
La mayoría de organizaciones de servicios revisan sus controles trimestralmente. Un período de 3 meses permite capturar al menos un ciclo completo de revisión y permite que cualquier debilidad detectada se manifieste.
Factor 2: Equilibrio entre coste y beneficio
Solicitar una carta puente cada mes sería excesivamente oneroso para la organización de servicios. Períodos superiores a 6 meses comenzaron a considerarse demasiado largos para proporcionar seguridad razonable. Tres meses representaba el punto de equilibrio.
Factor 3: Precedente de otros marcos normativos
La normativa SOX establecía revisiones trimestrales de controles internos. Los auditores aplicaron esta misma lógica temporal a las cartas puente ISAE 3402, creando coherencia entre diferentes marcos de aseguramiento.
Las Big 4 comenzaron a aplicar esta convención de forma consistente alrededor de 2012-2013. Las firmas de segunda línea adoptaron la práctica por coherencia competitiva. En 2015, la convención de 3 meses se había establecido como estándar de facto en Europa y América del Norte.

Ejemplo práctico: Servicios de Nómina Valencia S.L.

Escenario: Distribuidora Mediterránea S.A., con facturación de 45 millones de euros, externaliza su procesamiento de nóminas a Servicios de Nómina Valencia S.L. El informe ISAE 3402 de Valencia cubre el período del 1 de enero al 31 de diciembre de 2023. Distribuidora cierra sus cuentas el 31 de marzo de 2024.
Paso 1: Evaluar la brecha temporal
La brecha entre el final del informe ISAE 3402 (31 de diciembre) y el cierre del cliente (31 de marzo) es de 3 meses exactos.
Documentación: "Brecha temporal identificada de 3 meses entre final del informe ISAE 3402 y fecha de cierre del cliente. Se requiere evidencia adicional según ISAE 3402.A35."
Paso 2: Solicitar la carta puente
Se solicita al auditor de Valencia (Auditores Costa Blanca S.L.) una carta confirmando que los controles relevantes para el procesamiento de nóminas no han cambiado de forma notable entre el 1 de enero y el 31 de marzo de 2024.
Documentación: "Carta puente solicitada a Auditores Costa Blanca S.L. con fecha 15 de abril de 2024, cubriendo período 1 enero - 31 marzo 2024."
Paso 3: Revisar el contenido de la carta
La carta recibida confirma:
Documentación: "Carta puente recibida confirma continuidad de controles relevantes. Sin cambios notables reportados en el período intermedio."
Paso 4: Evaluar la suficiencia de la evidencia
El equipo auditor evalúa si la carta puente proporciona seguridad razonable sobre la continuidad de controles durante los 3 meses no cubiertos.
Documentación: "Carta puente considerada evidencia suficiente para el período intermedio. Riesgo de control mantiene evaluación inicial."
Conclusión: La carta puente permite mantener la confianza en los controles de la organización de servicios para todo el ejercicio auditado, eliminando la brecha temporal sin necesidad de procedimientos sustantivos adicionales sobre las transacciones de nómina.

• Los controles principal para cálculo de nóminas siguen operando
• No se han producido cambios en personal principal del departamento de nóminas
• Los sistemas informáticos no han sufrido actualizaciones significativas
• Se mantienen los mismos procedimientos de revisión mensual

Lista de verificación para cartas puente

• Identificar la brecha temporal específica - Documentar exactamente qué período necesita cobertura adicional y por qué es necesario para la auditoría.
• Solicitar la carta al auditor correcto - La carta debe venir del auditor que firmó el informe ISAE 3402 original, no de la propia organización de servicios.
• Especificar los controles relevantes - La carta debe cubrir específicamente los controles en los que confía su auditoría, no todos los controles del informe ISAE 3402.
• Verificar el período cubierto - Confirmar que la carta cubre exactamente el período de la brecha, sin solapamientos ni vacíos.
• Documentar la evaluación - Registrar por qué considera que la carta puente proporciona evidencia suficiente para sus propósitos de auditoría.
• Lo más importante: Si la brecha supera 6 meses, considere si una carta puente es suficiente o si necesita procedimientos sustantivos adicionales para obtener seguridad razonable.

Errores frecuentes

• Aceptar cartas de la propia organización de servicios - Solo son válidas las cartas firmadas por el auditor de la organización de servicios.
• No especificar los controles relevantes - Una confirmación genérica de que "no han cambiado los controles" no proporciona la evidencia necesaria.
• Usar cartas puente para períodos superiores a 6 meses - Más allá de este punto, se necesitan procedimientos sustantivos adicionales.

Contenido relacionado

• Guía completa ISAE 3402 - Definición y requisitos de la norma internacional de aseguramiento para organizaciones de servicios.
• Kit de trabajo ISAE 3402 - Plantillas y listas de verificación para gestionar auditorías que dependen de organizaciones de servicios.
• Evaluación de controles en organizaciones de servicios - Cómo evaluar la efectividad de controles cuando se confía en proveedores externos.