Tabla de contenidos

- Por qué surge el problema - Lo que dice de verdad la ISAE 3402 - Cómo se inventó la regla de 3 meses - Ejemplo práctico: Servicios de Nómina Valencia S.L. - Donde el juicio empieza - Lista de verificación - Errores frecuentes

Por qué surge el problema

Los informes ISAE 3402 cubren periodos definidos. Los calendarios fiscales no se alinean entre proveedor y usuario. Un proveedor puede emitir su informe para el ejercicio cerrado el 31 de diciembre. Su cliente cierra el 31 de marzo. Quedan tres meses sin cobertura.

Esa desalineación crea un vacío de aseguramiento. La ISAE 3402 párrafo A35 reconoce el problema sin resolverlo: "cuando el periodo cubierto por el informe de la organización de servicios no se alinea con el periodo cubierto por los estados financieros de la entidad usuaria, el auditor de la entidad usuaria puede obtener evidencia adicional".

La carta puente es esa evidencia adicional. Es una confirmación escrita del auditor de la organización de servicios certificando que los controles relevantes siguieron operando efectivamente durante el periodo no cubierto por el informe original. La norma no la nombra. La práctica la inventó.

El otro punto que casi nadie menciona: la carta puente no es la única evidencia posible. La inspección directa, los procedimientos sustantivos compensatorios, o la confirmación con la dirección del proveedor también encajan en el A35. La carta puente ganó porque es la opción más cómoda para el proveedor, para su auditor y para el auditor del usuario. Eso no la hace siempre la mejor.

Lo que dice de verdad la ISAE 3402

La norma no menciona específicamente las "cartas puente" ni establece límites temporales. El párrafo A35 indica que cuando existe desalineación temporal, el auditor "puede obtener evidencia adicional sobre los controles en la organización de servicios". El párrafo A36 añade que el auditor debe considerar "si han ocurrido cambios en los controles de la organización de servicios que puedan afectar a la efectividad de esos controles".

Esa redacción flexible es deliberada. La norma establece el principio (obtener evidencia adicional sobre cambios en controles) y deja al criterio profesional el método. No prescribe el formato, ni el periodo máximo, ni el contenido obligatorio.

En la práctica, eso significa que cualquier auditor que use una carta puente está construyendo soporte sobre criterio profesional propio, no sobre regla normativa. La carta puente con plantilla de Big 4 hereda parte de ese criterio: el de la firma que la diseñó. Pero en el momento en que el ICAC pregunte "¿por qué tres meses, y no cuatro?", la respuesta tiene que estar en su PT, no en la plantilla.

Cómo se inventó la regla de 3 meses

La convención surgió de la práctica de las firmas internacionales. Vaya por delante que la reconstrucción que circula entre profesionales es retrospectiva: nadie publicó un memorándum titulado "a partir de hoy, tres meses". Lo que sí hubo fueron tres factores que convergieron:

Factor 1. Frecuencia natural de revisión de controles. Muchas organizaciones de servicios revisan sus controles trimestralmente. Un periodo de 3 meses cubre al menos un ciclo completo de revisión y permite que cualquier debilidad detectada se manifieste en los registros internos del proveedor.

Factor 2. Equilibrio entre coste y beneficio. Pedir una carta puente cada mes era oneroso para el proveedor de servicios. Periodos superiores a 6 meses se consideraban excesivos. Tres meses representaba el punto medio que ambas partes podían sostener sin discusión.

Factor 3. Coherencia con SOX. SOX 404 establecía revisiones trimestrales de controles internos. Los auditores aplicaron la misma lógica temporal a las cartas puente ISAE 3402, sin que ninguna norma de aseguramiento lo exigiera.

Las Big 4 empezaron a aplicar esta convención de forma consistente alrededor de 2012-2013. Las firmas medianas la adoptaron por coherencia competitiva. Hacia 2015, la convención de 3 meses se había establecido como estándar de facto en Europa y Estados Unidos. No por norma. Por costumbre acumulada.

Esto importa porque las costumbres acumuladas son frágiles. Funcionan mientras nadie las cuestione. La primera vez que un revisor de calidad pregunta "¿qué tiene que ver SOX con su encargo ISAE 3402?", la respuesta no puede ser "esto se hace así".

Ejemplo práctico: Servicios de Nómina Valencia S.L.

Escenario: Distribuidora Mediterránea S.A. (facturación de 45 millones de euros) externaliza el procesamiento de nóminas a Servicios de Nómina Valencia S.L. El informe ISAE 3402 de Valencia cubre el periodo del 1 de enero al 31 de diciembre de 2023. Distribuidora cierra el 31 de marzo de 2024. Su auditor, Auditores Levante S.L.P., recibe la solicitud de carta puente la primera semana de abril.

Paso 1. Evaluar la brecha temporal

El hueco entre el final del periodo ISAE 3402 (31 de diciembre) y el cierre del cliente (31 de marzo) es de 3 meses exactos. Cabe dentro de la convención. Hasta aquí, todo conocido.

PT: "Brecha temporal de 3 meses entre fin del informe ISAE 3402 (31/12/2023) y cierre del cliente (31/03/2024). Se requiere evidencia adicional según ISAE 3402.A35."

Paso 2. Solicitar la carta puente

Auditores Levante solicita al auditor de Valencia (Auditores Costa Blanca S.L.P.) una carta confirmando que los controles relevantes para el procesamiento de nóminas no han cambiado de forma material entre el 1 de enero y el 31 de marzo de 2024.

PT: "Carta puente solicitada a Auditores Costa Blanca S.L.P. con fecha 15 de abril de 2024, cubriendo periodo 1 enero - 31 marzo 2024. Asunto del correo registrado en evidencia."

Paso 3. Revisar el contenido recibido

La carta llega y confirma cuatro cosas: - Los controles principales de cálculo de nóminas siguen operando. - No hay cambios de personal en el departamento de nóminas. - Los sistemas no han sufrido actualizaciones significativas. - Se mantienen los procedimientos de revisión mensual.

PT: "Carta puente recibida confirma continuidad de controles relevantes. Sin cambios materiales reportados. Anexada al expediente."

Paso 4. La complicación que la plantilla habría enterrado

Al revisar la carta, el equipo nota algo. La fecha de firma de Costa Blanca es el 12 de abril. La organización de servicios había instalado un parche crítico de seguridad el 23 de febrero, que aparece mencionado en una nota a pie. El parche modificó la lógica de validación de IBAN, pero la nota dice "sin impacto material en los controles relevantes".

¿Sin impacto material según quién? La nota no explica qué pruebas se hicieron sobre los controles afectados después del parche. La validación de IBAN forma parte del control de exactitud de pagos, que sí es relevante para Distribuidora.

Aquí es donde se decide si la carta puente sirve o no. Tres opciones:

a) Aceptar la carta tal cual. La frase "sin impacto material" cubre formalmente. El expediente queda cerrado hasta que un fraude SEPA aparezca en el ejercicio siguiente y el ICAC pida explicaciones.

b) Pedir a Auditores Costa Blanca evidencia documental del análisis de impacto del parche. Esto es lo que pide la norma cuando hay cambios reportados (A36). Costa Blanca puede tardar dos semanas en facilitarlo.

c) Aplicar procedimientos sustantivos directos sobre la muestra de pagos del primer trimestre de 2024 en Distribuidora. Más trabajo en su lado, sin dependencia del auditor del proveedor.

En mi caso, la combinación b) + c) es lo que aguanta una EQR. Pedir el soporte adicional al auditor de Valencia y, mientras llega, ampliar la muestra sustantiva sobre los pagos del primer trimestre. Sí, retrasa la auditoría una semana. Pero la alternativa es firmar sobre una afirmación ("sin impacto material") cuyo soporte usted no ha visto.

PT: "Carta puente recibida con mención de parche de seguridad de 23/02/2024 sin evidencia de análisis de impacto. Se solicita soporte adicional a Auditores Costa Blanca y se amplía muestra sustantiva sobre pagos del primer trimestre 2024 (de 25 a 60 elementos)."

Conclusión del caso: La carta puente no es un papel. Es una afirmación profesional que su firma asume al apoyarse en ella. Aceptarla sin cuestionar lo que afirma es marcar la casilla en su sentido más literal: el auditor del usuario delega su responsabilidad en el auditor del proveedor sin haber comprobado que la delegación tenga base.

Donde el juicio empieza: Socio A frente a Socio B

¿Es 3 meses siempre suficiente? Aquí los socios experimentados discrepan.

Socio A. Tres meses es más que suficiente para la mayoría de servicios estables (nóminas, hosting básico, infraestructura no crítica). Exigir más cobertura para encargos rutinarios convierte la auditoría en un coste desproporcionado para el cliente y empuja al mercado hacia firmas más laxas. La convención existe precisamente porque calibra el coste con el riesgo.

Socio B. Tres meses funciona si el sector es estable. En servicios financieros (procesamiento de pagos, custodia, gestión de inversiones), tres meses son una eternidad. El mercado se mueve. Los controles antifraude evolucionan. Aceptar 3 meses para un proveedor de procesamiento SEPA es asumir que tres meses no traerán cambios regulatorios, técnicos ni de personal. Esa asunción es ingenua.

Ambos tienen razón en su contexto. La práctica útil: distinguir por sector. Servicios estandarizados, 3 meses sin discusión. Servicios financieros o regulatoriamente expuestos, considere reducir el periodo a 1-2 meses o complementar con procedimientos sustantivos directos.

El incentivo perverso

¿Por qué la convención de 3 meses se ha mantenido sin debate público? Porque conviene a todos los actores menos a uno. Conviene al proveedor (no tiene que pedir cartas más a menudo). Conviene a su auditor (no tiene que emitir cartas extra). Conviene al cliente final (paga menos honorarios). Conviene al auditor del usuario (cierra antes el expediente). El único actor con incentivo para cuestionarla es el regulador, que solo aparece cuando algo ya ha fallado. Hasta entonces, la inercia gana.

La rúbrica que el manual no enseña

ISAE 3402 no es una norma que prescribe métodos. Es una norma que reparte responsabilidad. Cada vez que un auditor del usuario se apoya en evidencia que no produjo él mismo, está aceptando una transferencia parcial de responsabilidad desde el auditor del proveedor. La carta puente es el instrumento más visible de esa transferencia. Por eso merece más escrutinio que el resto del expediente, no menos. La frase que sus PT deben sostener no es "no se han producido cambios materiales en el periodo intermedio". Es "he revisado el soporte que el auditor del proveedor afirma tener, y considero que cubre razonablemente el periodo intermedio".

Sin esa segunda afirmación documentada, la carta puente es un papel. Con ella, es evidencia.

Lista de verificación

1. Identificar la brecha temporal. Documente exactamente qué periodo necesita cobertura adicional y por qué. Anote también qué alternativas a la carta puente consideró y descartó (procedimientos sustantivos directos, confirmaciones con la dirección).

2. Solicitar la carta al auditor correcto. La carta debe venir del auditor que firmó el ISAE 3402 original, no de la propia organización de servicios. Una carta del proveedor es una manifestación, no evidencia de aseguramiento.

3. Especificar los controles relevantes. La carta debe cubrir los controles concretos en los que su auditoría se apoya, no todos los del informe ISAE 3402. Una confirmación genérica ("ningún control ha cambiado") no proporciona la evidencia necesaria.

4. Verificar el periodo cubierto. Confirme que la carta cubre exactamente el periodo de la brecha, sin solapamientos ni vacíos.

5. Leer las notas a pie con detenimiento. Es donde se esconden los cambios reportados sin análisis de impacto. Cualquier mención a parche, actualización, cambio de personal o reorganización requiere soporte adicional.

6. Documentar su evaluación. Registre por qué considera que la carta puente proporciona evidencia suficiente para sus propósitos. "Soporte estándar de la firma" no es razonamiento.

7. Importante. Si la brecha supera 6 meses, considere si la carta puente sigue siendo el instrumento adecuado o si necesita procedimientos sustantivos adicionales para obtener seguridad razonable.

Errores frecuentes

Aceptar cartas firmadas por la propia organización de servicios. Solo son válidas las firmadas por su auditor.

Aceptar afirmaciones genéricas sin pedir soporte. "Sin impacto material" no es evidencia. Es un juicio que necesita base documentada.

Aplicar 3 meses en cualquier sector. La convención calibra para servicios estables. Para servicios financieros o regulatoriamente sensibles, plantear menos cobertura o complementar con sustantivos.

No documentar las alternativas descartadas. Si en una EQR le preguntan por qué no usó procedimientos sustantivos directos en lugar de carta puente, debe haber una respuesta en el expediente.

Contenido relacionado

- Guía completa ISAE 3402. Definición y requisitos de la norma internacional de aseguramiento para organizaciones de servicios. - Kit de trabajo ISAE 3402. Plantillas y listas de verificación para gestionar auditorías que dependen de organizaciones de servicios. - Evaluación de controles en organizaciones de servicios. Cómo evaluar la efectividad de controles cuando se confía en proveedores externos.

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.