Índice

1. Marco normativo y diferencias centrales 2. Alcance y criterios de evaluación 3. Marco de decisión: cuándo usar cada informe 4. Ejemplo práctico: elección del informe correcto 5. Lista de verificación práctica 6. Errores frecuentes 7. Contenido relacionado

Marco normativo y diferencias centrales

Base normativa del ISAE 3402

El ISAE 3402 (Norma Internacional de Encargos de Aseguramiento 3402) se rige por los párrafos 9 a 12 para organizaciones de servicios cuyas actividades afectan al control interno de las entidades usuarias sobre la información financiera. La norma se ciñe a controles que tocan procesamiento, registro y comunicación de información financiera. No otra cosa.

Según el párrafo 12 del ISAE 3402, el objetivo del auditor de la organización de servicios es obtener un grado razonable de seguridad sobre si la descripción del sistema se presenta razonablemente en todos los aspectos materiales y, en informes Tipo 2, si los controles relacionados con los objetivos de control han funcionado eficazmente durante el período. Esto, a un auditor del usuario que aplica NIA-ES 402, le sirve directamente. A su director de seguridad de la información, francamente, no.

Base normativa del SOC 2

Los informes SOC 2 se basan en AT-C 105 y AT-C 205 del AICPA, sobre los cinco Trust Services Criteria: seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad. Seguridad es obligatoria. Los otros cuatro entran o no según los compromisos contractuales que la organización de servicios haya asumido con sus clientes.

Es importante entender de dónde sale ese marco. El SOC 2 nace en Estados Unidos para responder a la pregunta del CISO americano, no del auditor financiero. Su público natural es el equipo de procurement de un comprador tech, no el auditor que firma las cuentas anuales bajo NIA-ES.

Diferencias en audiencia y propósito

La diferencia central no está en los controles. Está en quién lee el informe y qué hace con él. El ISAE 3402 se dirige al auditor de la entidad usuaria que necesita comprender los controles relevantes para la auditoría de cuentas anuales. El SOC 2 se dirige a la dirección de la entidad usuaria, sus auditores, reguladores y otras partes especificadas que necesitan evaluar controles operacionales y de seguridad.

En la práctica, lo que ocurre es que esa distinción de audiencia determina todo lo demás: el alcance del encargo, los procedimientos del auditor, el formato del informe, y muy especialmente lo que el cliente puede hacer con él al día siguiente.

Alcance y criterios de evaluación

Alcance del ISAE 3402

El ISAE 3402 se limita a controles internos relevantes para la información financiera. Esto incluye:

- Controles sobre transacciones financieras (autorizaciones, procesamiento, registro) - Controles sobre acceso a sistemas financieros críticos - Controles sobre cambios en aplicaciones que procesan transacciones financieras - Controles de supervisión y monitoreo sobre el procesamiento - Controles compensatorios cuando las entidades usuarias dependen de la organización de servicios

El párrafo A3 del ISAE 3402 establece que los controles incluidos deben ser "aquellos controles internos sobre la información financiera de las entidades usuarias" y excluye específicamente los controles sin relevancia directa para los estados financieros de los clientes. En los encargos que he llevado, el debate sobre alcance suele tratar de meter controles de seguridad genérica que el cliente quiere lucir; la disciplina del A3 es decir que no.

Criterios del SOC 2

Los informes SOC 2 evalúan controles basados en los Trust Services Criteria del AICPA:

Seguridad (obligatorio): Protección del sistema contra acceso no autorizado, físico y lógico.

Disponibilidad (opcional): El sistema está disponible para operación y uso según se haya comprometido o acordado.

Integridad del procesamiento (opcional): El procesamiento del sistema es completo, exacto, oportuno y autorizado.

Confidencialidad (opcional): La información designada como confidencial se protege según lo acordado.

Privacidad (opcional): La información personal se recopila, usa, retiene, divulga y elimina según lo acordado.

La selección de criterios depende de los compromisos específicos de la organización de servicios con sus clientes y de la naturaleza de los servicios prestados. Lo que pasa cuando no se discute esa selección al inicio es que el equipo evalúa cinco criterios completos por inercia y el cliente paga un encargo el doble de caro de lo que necesita.

Período de evaluación

Los informes ISAE 3402 Tipo 1 evalúan el diseño de controles en un punto del tiempo. Los Tipo 2 evalúan diseño y eficacia operativa durante un período (mínimo seis meses según el párrafo A83).

Los SOC 2 Tipo I evalúan diseño en un punto del tiempo, y los Tipo II evalúan diseño y eficacia operativa durante un período (típicamente 12 meses, aunque pueden ser períodos más cortos con justificación adecuada).

Marco de decisión: cuándo usar cada informe

Empezaré por un fallo concreto, porque las decisiones se entienden mejor por sus consecuencias.

Un despacho mediano de Madrid recomendó SOC 2 a su cliente, una empresa de nóminas digitales, porque la hoja de procurement del prospect americano lo pedía con esa palabra. Tres meses después perdieron al segundo cliente español del prospecto: el auditor de cuentas de aquel cliente español necesitaba evidencia bajo NIA-ES 402.10-12 sobre los controles que afectaban a sus pasivos laborales, y el SOC 2 (centrado en seguridad y disponibilidad de la plataforma) no le servía. Hubo que hacer un ISAE 3402 paralelo, fuera de plazo, fuera de presupuesto. El socio no lo cuenta en eventos. Pero pasó.

¿Qué dice la norma? El ISAE 3402, en sus párrafos 9 a 12, exige que la organización de servicios proporcione una descripción del sistema relevante para el control interno del usuario sobre la información financiera. La NIA-ES 402, por su parte, obliga al auditor del usuario a obtener evidencia suficiente sobre esos controles cuando son significativos para su auditoría de cuentas. La conexión es directa: si el auditor del usuario lee NIA-ES 402, lo que tiene que tener encima de la mesa es un ISAE 3402.

La zona gris vive en otro sitio: clientes con audiencias mixtas. Un proveedor con clientes europeos cuyos auditores leen NIA-ES 402, y simultáneamente clientes americanos cuyo procurement pide SOC 2 porque su contable les enseñó AT-C 105. Ahí no hay fórmula. Hay decisión.

Cuándo elegir ISAE 3402

Yo creo que ISAE 3402 es la elección por defecto en España, porque la EQR del ICAC sigue el modelo IAASB y porque NIA-ES 402 es la cita que aparece en el archivo de auditoría del usuario. En nuestro despacho hemos visto que esa lógica se mantiene cuando concurren estas circunstancias:

El cliente procesa principalmente transacciones financieras: Proveedores de nóminas, procesadores de pagos, administradores de fondos, custodios de valores y centros de servicios compartidos financieros encajan en el perímetro del ISAE 3402.

La audiencia principal son auditores: Si los clientes de su cliente necesitan el informe principalmente para sus auditorías de cuentas bajo NIA-ES 402 (Consideraciones de auditoría relativas a una entidad que utiliza una organización de servicios), el ISAE 3402 entrega exactamente lo que sus auditores van a buscar.

Los contratos comerciales lo especifican: Muchos contratos de servicios financieros piden certificación ISAE 3402, en banca y en gestión de inversión, donde el cumplimiento es determinante.

Alcance internacional con presencia europea: El ISAE 3402, al ser una norma del IAASB adoptada por la mayoría de jurisdicciones, viaja mejor cuando el cliente tiene clientes en Europa, Reino Unido, Asia-Pacífico y América Latina.

Cuándo elegir SOC 2

Recomendaría SOC 2 cuando la realidad del mercado del cliente apunta hacia EE. UU. de forma clara:

El cliente maneja datos sensibles más allá de transacciones financieras: Proveedores de SaaS, centros de datos, proveedores de servicios cloud y procesadores de datos sanitarios necesitan demostrar controles bajo seguridad, disponibilidad y confidencialidad.

La audiencia incluye partes que no son auditores: Si los lectores son clientes, prospects, reguladores o socios comerciales que necesitan evaluar controles operacionales, el SOC 2 es más legible para audiencias no auditoras.

Los compromisos comerciales van más allá de lo financiero: SLAs que incluyen disponibilidad, NDAs y compromisos específicos de privacidad piden criterios SOC 2.

El mercado principal es Estados Unidos: SOC 2 tiene reconocimiento dominante en EE. UU., en particular en tecnología y servicios digitales.

Casos complejos: organizaciones que necesitan ambos

Hay clientes que necesitan los dos, y conviene reconocerlo sin rodeos:

- Procesadores de pagos que también prestan servicios de datos - Proveedores de ERP que manejan transacciones financieras y datos operacionales sensibles - Bancos custodios que ofrecen servicios tecnológicos adicionales - Proveedores de payroll cuyas matrices americanas exigen SOC 2 para consolidación, mientras la filial española sigue dando servicio a clientes auditados bajo NIA-ES

Aquí la cuestión no es qué informe es mejor. Es si emitir un informe combinado (ISAE 3402 + SOC 2 con alcance solapado) o dos informes coordinados con el mismo período. La primera vía ahorra al cliente la disrupción del doble equipo en campo; la segunda evita el riesgo de que el lector de uno tropiece con criterios pensados para otro.

Ejemplo práctico: elección del informe correcto

Caso: Servicios Contables Digitales Valencia S.L.

Contexto: Empresa española que presta servicios de contabilidad y nóminas digitalizados a pymes. Procesan aproximadamente 2.400 nóminas mensuales y mantienen registros contables para 180 clientes. Los datos se almacenan en servidores en la nube y el acceso se realiza mediante una plataforma web propietaria.

Servicios prestados: - Procesamiento de nóminas (cálculos, deducciones, transferencias bancarias) - Contabilización de transacciones (ingresos, gastos, conciliaciones) - Preparación de informes financieros mensuales - Almacenamiento y backup de datos contables

Solicitudes de clientes: Tres clientes grandes han pedido informes de aseguramiento. Uno pidió "certificación SOC 2 para seguridad de datos". Otro pidió "informe ISAE 3402 para nuestros auditores externos". El tercero pidió "cualquier informe que demuestre que tienen controles adecuados".

Evaluación de servicios relevantes para información financiera

Documentación: lista de servicios con impacto directo en registros financieros de clientes

Servicios que califican bajo ISAE 3402: - Procesamiento de nóminas (impacta pasivos laborales y gastos) - Registro de transacciones contables (impacta todas las cuentas) - Cálculos de retenciones fiscales (impacta pasivos fiscales) - Generación de informes financieros (impacta presentación)

Servicios que pedirían criterios SOC 2 adicionales: - Seguridad de acceso a la plataforma web - Disponibilidad del sistema 24/7 según SLA - Confidencialidad de datos no financieros (información personal de empleados) - Backup y recuperación de datos

Análisis de audiencia

Documentación: revisión de contratos comerciales y requisitos específicos

Cliente A (solicitante SOC 2): Empresa tecnológica con 150 empleados. Su auditor externo no necesita evaluación específica de controles para la auditoría financiera porque los importes de nóminas no son materiales. Su preocupación principal es la protección de datos personales de empleados y la disponibilidad del sistema para operaciones diarias.

Cliente B (solicitante ISAE 3402): Empresa manufacturera con 400 empleados. Su auditor externo evalúa controles sobre el procesamiento de nóminas bajo NIA-ES 402 porque los gastos laborales representan el 68% de sus costes operativos. Necesita evaluación de controles sobre exactitud de cálculos y completitud de registros.

Cliente C (requisitos generales): Empresa de servicios profesionales con 80 empleados. Busca aseguramiento general para renovación de su póliza de ciberseguridad y para acreditar cumplimiento ante regulaciones de protección de datos.

La complicación

A las tres semanas de iniciado el encargo, el equipo descubre que Cliente B ha sido adquirido a mitad de período por una matriz estadounidense que exige SOC 2 para consolidación de su control interno bajo SOX. La filial española, por su parte, sigue auditándose en España bajo NIA-ES y su auditor sigue leyendo NIA-ES 402.

¿Qué se hace? El reflejo del comercial sería emitir un informe dual con cobertura completa de los cinco TSC más todos los objetivos de control financiero. Cuando hicimos los números, salía un encargo aproximadamente un 70% más caro y el equipo entrando dos veces en campo en el mismo período.

La decisión fue otra: dos informes, mismo período, alcance coordinado. Un ISAE 3402 Tipo 2 con los controles que cubren procesamiento financiero (los 23 que ya estaban en la matriz original) y un SOC 2 Tipo II con seguridad obligatoria más confidencialidad opcional, reutilizando la evidencia donde el control es el mismo (acceso lógico a la plataforma, segregación de funciones, gestión de cambios). El riesgo que asumimos fue el solapamiento: tener que documentar que dos informes con criterios distintos llegaban a conclusiones consistentes sobre el mismo entorno de control, sin contradicciones que un revisor del PCAOB pudiera explotar contra la matriz americana.

Lo que decidió la cuestión fue una conversación de hora y media con el auditor de Cliente B y con el contable de la matriz. El primero quería NIA-ES 402.10-12. El segundo quería seguridad TSC. Una vez que ambos vieron en papel que el alcance respondía a sus respectivas obligaciones, la firma del compromiso fue cuestión de días.

Recomendación final

Documentación: matriz de decisión con justificación

Recomendación: ISAE 3402 Tipo 2 como informe principal para Clientes B y C (vía habitual), con SOC 2 Tipo II adicional para Cliente A y para la matriz americana de Cliente B, ambos sobre el mismo período (enero a diciembre 2024) para capturar un ciclo completo de procesamiento incluyendo declaraciones anuales fiscales.

Justificación: Los servicios core (procesamiento de nóminas y contabilización) tienen impacto directo material en los estados financieros de la mayoría de clientes. El ISAE 3402 cubre las necesidades de los Clientes B y C. Para Cliente A y para la matriz americana, el SOC 2 Tipo II con seguridad obligatoria y confidencialidad opcional responde a los TSC sin sobreingeniería.

Estructuración del encargo

Documentación: cronograma detallado y asignación de recursos

Controles a evaluar (muestra del ISAE 3402): - Autorización de cambios salariales (control manual mensual) - Recálculo independiente de nóminas superiores a 3.000 euros (control automatizado) - Conciliación de transferencias bancarias con registros de nóminas (control semiautomatizado semanal) - Revisión de exactitud de retenciones fiscales (control manual mensual) - Backup de datos contables (control automatizado diario con verificación manual semanal)

Resultado: ISAE 3402 Tipo 2 limpio con 23 controles evaluados y SOC 2 Tipo II coordinado, mismo período enero-diciembre 2024, papeles de trabajo cruzados donde la evidencia es compartida. Los tres clientes españoles obtienen lo que su auditor pide, y la matriz americana obtiene lo que SOX requiere.

La respuesta al consultor que vende SOC 2 como "el estándar internacional moderno"

Conviene nombrar algo que pasa en muchas reuniones comerciales. Aparece un consultor (a veces de una firma cuatro letras, a veces de una boutique tech) explicando que "SOC 2 es el estándar internacional moderno" y que "ISAE 3402 está obsoleto". Esa frase tiene una parte de verdad y una parte de pereza.

La parte de verdad: sí, los compradores tech estadounidenses piden SOC 2, y para una organización de servicios que vende SaaS al mercado norteamericano, ignorar esa demanda es perder negocio. Estoy de acuerdo en eso.

La divergencia: para una organización de servicios cuyas entidades usuarias son empresas españolas auditadas bajo NIA-ES, el informe que el auditor necesita leer es el ISAE 3402. Reconstruir un SOC 2 cada año cuando lo que sus clientes auditados necesitan es ISAE 3402 cuesta entre un 40% y un 70% más por encargo, y deja al auditor del usuario con un documento que no encaja en NIA-ES 402.10-12. Lo que pasa cuando se vende SOC 2 al cliente equivocado es que el cliente paga dos veces: una por el SOC 2 de su comercial, otra por el ISAE 3402 que su auditor le exige el año siguiente.

¿Por qué persiste la confusión? Porque el procurement de las grandes tech americanas tiene en su lista "SOC 2" como obligatorio (su contable les enseñó AT-C 105, no NIA-ES) y a un comercial español le cuesta menos vender un SOC 2 que explicar por qué un ISAE 3402 cubre más en el contexto de la auditoría de cuentas. La etiqueta vende. El contenido del informe, no.

Y aquí hay un desacuerdo legítimo entre profesionales españoles que conviene reconocer. Las firmas Big 4 en España suelen recomendar a sus clientes con audiencia mixta el SOC 2 como informe por defecto, complementado con una carta o memo ISAE-style cuando un auditor del usuario lo pide. Los despachos de tamaño medio (incluido el ICJCE en sus orientaciones más recientes) tienden al contrario: ISAE 3402 por defecto, complemento SOC 2 cuando hay clientes americanos que lo exigen. Los argumentos a favor de cada postura tienen peso.

A favor del default SOC 2 (Big 4 Spain): si el cliente acaba teniendo cualquier exposición a EE. UU. (matriz americana, comprador americano, inversión venture americana), el SOC 2 viaja en cualquier paquete y el equipo de procurement lo reconoce sin explicaciones. Un ISAE 3402 sobre la mesa de un CISO americano genera diez minutos de reunión perdida explicando qué es. Los socios commerciales lo saben.

A favor del default ISAE 3402 (mid-tier ES): la mayoría de las entidades usuarias de un proveedor español son empresas españolas auditadas bajo NIA-ES. Sus auditores leen NIA-ES 402. Un SOC 2 sobre la mesa del auditor del usuario genera trabajo adicional para el auditor (que tiene que documentar por qué el SOC 2 no responde plenamente a sus necesidades de evidencia bajo NIA-ES 402). El coste se traslada al cliente final.

Yo me inclino por el default ISAE 3402 con SOC 2 complementario porque, en el mercado español, la mayoría de los lectores reales del informe son auditores que leen NIA-ES 402, no equipos de procurement americanos. Pero entiendo el otro argumento. La decisión correcta no se toma en abstracto: se toma sabiendo qué lectores tendrá el informe en los próximos doce meses.

Lista de verificación práctica

Esta lista cubre la reunión inicial con el cliente para determinar el informe correcto:

1. Identificar servicios core: ¿Los servicios del cliente afectan directamente al procesamiento, registro o comunicación de información financiera de las entidades usuarias? Si la respuesta principal es sí, ISAE 3402 es la vía probable.

2. Evaluar audiencia principal: ¿Quién va a leer el informe? Auditores externos apuntan a ISAE 3402; dirección, IT y compliance apuntan a SOC 2.

3. Revisar contratos existentes: ¿Los acuerdos de servicios especifican un tipo de informe particular o compromisos sobre seguridad, disponibilidad o confidencialidad?

4. Considerar el sector: Servicios financieros, nóminas y contabilidad piden ISAE 3402. Tecnología, SaaS y centros de datos piden SOC 2.

5. Evaluar mercado geográfico: Europa y Asia-Pacífico favorecen ISAE 3402. EE. UU. favorece SOC 2. Mercados con clientes en ambos lados pueden necesitar los dos, coordinados.

6. Comprobar la cadena de propiedad: ¿Hay matriz americana que exija SOC 2 para consolidación? ¿Hay venture capital americano en próxima ronda? Anticipar evita rehacer.

Errores frecuentes

Contenido relacionado

- Guía de materialidad en encargos de aseguramiento: cómo aplicar consideraciones de materialidad en informes ISAE 3402 y SOC 2 - Calculadora de honorarios para encargos ISAE 3402: herramienta para estimar recursos y honorarios según el alcance del encargo - Encargos de aseguramiento limitada vs razonable: diferencias en niveles de aseguramiento y su aplicación en informes de organizaciones de servicios

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.