Qué exige ISAE 3402 sobre subproveedores de servicios

ISAE 3402 párrafo 18 establece que cuando un proveedor de servicios usa subproveedores cuyos servicios forman parte del sistema de información de la entidad usuaria, el auditor del proveedor debe elegir entre dos métodos para tratarlos en el informe.
El párrafo 19 define el método carve-out: el auditor del proveedor de servicios describe en su informe los servicios realizados por subproveedores, pero no incluye ningún objetivo de control, control o prueba relacionada con dichos subproveedores. La responsabilidad de evaluar estos controles recae en el auditor de la entidad usuaria.
El párrafo 20 define el método inclusive: el proveedor de servicios incluye los objetivos de control relevantes y controles del subproveedor dentro de su descripción del sistema, y el auditor del proveedor prueba la efectividad operacional de estos controles como parte de su examen.
La decisión entre métodos afecta directamente la utilidad del informe para los auditores de entidades usuarias. Un método carve-out mal aplicado puede generar una brecha de aseguramiento que compromete la auditoría de estados financieros.

El marco de decisión: cuándo usar cada método

Factores que favorecen el método inclusive


El método inclusive es preferible cuando el proveedor de servicios mantiene responsabilidad operacional sobre los subproveedores y puede monitorear efectivamente sus controles.
Control operacional directo: Cuando el proveedor puede acceder a los sistemas del subproveedor, revisar logs de actividad y validar la aplicación de controles específicos. Esto ocurre comúnmente en relaciones de outsourcing donde el proveedor principal mantiene acceso administrativo.
Responsabilidad contractual clara: Los acuerdos de servicio establecen que el proveedor principal responde ante las entidades usuarias por la totalidad del servicio, incluyendo las actividades del subproveedor. La responsabilidad legal y operacional están alineadas.
incorporación de procesos: Las actividades del subproveedor están tan integradas en el flujo operacional que separarlas artificialmente no reflejaría la realidad del servicio prestado.

Factores que favorecen el método carve-out


El método carve-out es más apropiado cuando existe separación clara entre las responsabilidades del proveedor principal y el subproveedor.
Servicios especializados independientes: El subproveedor proporciona una función técnica específica (como hosting de infraestructura o procesamiento de pagos) que opera independientemente del sistema principal.
Limitaciones de acceso: El proveedor principal no tiene visibilidad suficiente sobre los controles internos del subproveedor para evaluarlos y probarlos efectivamente.
Múltiples opciones de subproveedor: Cuando las entidades usuarias pueden elegir entre diferentes subproveedores para el mismo servicio, el método carve-out permite mayor flexibilidad.

Las consecuencias de cada decisión


Un método carve-out requiere que los auditores de las entidades usuarias obtengan su propio entendimiento de los controles del subproveedor. Si el subproveedor no produce un informe ISAE 3402 independiente, esto puede crear una brecha no cubierta.
Un método inclusive transfiere la responsabilidad de evaluación al auditor del proveedor de servicios, pero requiere que este auditor tenga la competencia técnica y el acceso necesario para evaluar controles que pueden estar fuera de su especialización habitual.

Ejemplo práctico: Plataforma de pagos con múltiples subproveedores

Entidad: Servicios Financieros Mediterráneos S.L., Barcelona, procesa 2,4 millones de transacciones mensuales por valor de 180 millones de euros.
Situación: La plataforma usa tres subproveedores: uno para verificación de identidad, otro para procesamiento de tarjetas, y un tercero para cumplimiento regulatorio.
Paso 1: Evaluación del control operacional
Documentación: matriz de acceso y responsabilidades por subproveedor
El proveedor principal tiene acceso completo a los logs del procesador de tarjetas y puede configurar parámetros de validación. Para el verificador de identidad, solo recibe resultados binarios (aprobado/rechazado) sin visibilidad del proceso interno.
Paso 2: Análisis de responsabilidad contractual
Documentación: extractos relevantes de cada contrato de subproveedor
Los contratos establecen que el proveedor responde por errores del procesador de tarjetas, pero el verificador de identidad tiene responsabilidad directa con las entidades usuarias bajo su propio contrato.
Paso 3: Determinación del método
Documentación: justificación del método elegido por subproveedor
Procesador de tarjetas: método inclusive (control operacional y responsabilidad contractual clara). Verificador de identidad: método carve-out (servicios independientes, responsabilidad directa). Cumplimiento regulatorio: método inclusive (crítica con el flujo principal).
Resultado: Informe híbrido con dos subproveedores bajo método inclusive y uno bajo carve-out, reflejando la realidad operacional de cada relación.

Lista de verificación práctica

  • Mapear todos los subproveedores mencionados en la descripción del sistema del proveedor y clasificar por nivel de con el servicio principal (párrafo ISAE 3402.18)
  • Evaluar el acceso del proveedor a los sistemas y controles de cada subproveedor: acceso administrativo completo, solo reporting, o ningún acceso directo
  • Revisar responsabilidades contractuales tanto entre proveedor-subproveedor como entre cada parte y la entidad usuaria
  • Para método carve-out: verificar que cada subproveedor excluido produzca su propio informe ISAE 3402 o que existan procedimientos alternativos para evaluar sus controles
  • Para método inclusive: confirmar que el auditor del proveedor tiene la competencia técnica necesaria para evaluar controles especializados del subproveedor
  • El factor más importante: asegurar que el método elegido refleje la realidad operacional del servicio y proporcione información útil para los auditores de las entidades usuarias

Errores comunes en la selección del método

Método carve-out por defecto: Algunos proveedores eligen carve-out para evitar la responsabilidad adicional de evaluar subproveedores, aunque tengan control operacional suficiente para el método inclusive.
Método inclusive sin competencia: Auditores que incluyen subproveedores especializados (como criptografía o cumplimiento regulatorio) sin tener la experiencia técnica para evaluar efectivamente estos controles.
Inconsistencia entre contratos y métodos: Proveedores que usan método inclusive pero cuyos contratos no les otorgan la autoridad necesaria para monitorear y controlar al subproveedor.

Contenido relacionado

Glosario ISAE 3402 - Definición completa del estándar de aseguramiento para proveedores de servicios
Herramienta de evaluación de controles ISAE 3402 - Plantilla para evaluar la efectividad de controles en informes de proveedores de servicios
Cómo evaluar la suficiencia de informes ISAE 3402 - Guía para auditores sobre cuándo un informe del proveedor es suficiente para la auditoría de estados financieros
---

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.