Índice

Marco normativo y diferencias centrales

Base normativa del ISAE 3402


El ISAE 3402 (Norma Internacional de Encargos de Aseguramiento 3402) se rige por los requisitos establecidos en los párrafos 9 a 12 para organizaciones de servicios que proporcionan servicios relevantes para los controles internos de las entidades usuarias sobre la información financiera. Esta norma se centra específicamente en controles que afectan el procesamiento, registro y comunicación de información financiera.
Según el párrafo 12 del ISAE 3402, el objetivo del auditor de la organización de servicios es obtener aseguramiento razonable sobre si la descripción de la organización de servicios presenta razonablemente el sistema en todos los aspectos materiales y, en el caso de informes Tipo 2, si los controles relacionados con los objetivos de control funcionaron eficazmente durante el período especificado.

Base normativa del SOC 2


Los informes SOC 2 se basan en AT-C 105 y AT-C 205 del AICPA, centrados en los cinco criterios de confianza del AICPA: seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad. Estos criterios van más allá de los controles financieros para abordar aspectos operacionales y de seguridad que preocupan a una gama más amplia de grupos de interés.
Los criterios de seguridad son obligatorios en todos los informes SOC 2, mientras que los otros cuatro se incluyen según la naturaleza de los servicios y los compromisos de la organización de servicios con sus clientes.

Diferencias en audiencia y propósito


La diferencia central radica en la audiencia objetivo. Los informes ISAE 3402 se dirigen a auditores de entidades usuarias que necesitan comprender los controles relevantes para la auditoría de estados financieros. Los informes SOC 2 se dirigen a la dirección de las entidades usuarias, sus auditores, reguladores y otras partes especificadas que necesitan evaluar controles más amplios sobre la seguridad y disponibilidad de datos.
Esta distinción de audiencia determina el enfoque del encargo, los procedimientos requeridos y el formato del informe final.

Alcance y criterios de evaluación

Alcance del ISAE 3402


El ISAE 3402 se limita estrictamente a controles internos relevantes para la información financiera. Esto incluye:
El párrafo A3 del ISAE 3402 establece que los controles incluidos deben ser "aquellos controles internos sobre la información financiera de las entidades usuarias" y excluye específicamente controles que no tienen relevancia directa para los estados financieros de los clientes.

Criterios del SOC 2


Los informes SOC 2 evalúan controles basados en los Trust Services Criteria del AICPA:
Seguridad (obligatorio): Protección del sistema contra acceso no autorizado, tanto físico como lógico.
Disponibilidad (opcional): El sistema está disponible para operación y uso según comprometido o acordado.
Integridad del procesamiento (opcional): El procesamiento del sistema es completo, exacto, oportuno y autorizado.
Confidencialidad (opcional): Información designada como confidencial se protege según comprometido o acordado.
Privacidad (opcional): Información personal se recopila, usa, retiene, divulga y elimina según comprometido o acordado.
La selección de criterios depende de los compromisos específicos de la organización de servicios con sus clientes y la naturaleza de los servicios proporcionados.

Período de evaluación


Los informes ISAE 3402 Tipo 1 evalúan el diseño de controles en un punto específico del tiempo, mientras que los Tipo 2 evalúan tanto el diseño como la eficacia operativa durante un período (mínimo seis meses según el párrafo A83).
Los informes SOC 2 Tipo I evalúan el diseño en un punto del tiempo, y los Tipo II evalúan diseño y eficacia operativa durante un período (típicamente 12 meses, aunque pueden ser períodos más cortos con justificación adecuada).

  • Controles sobre transacciones financieras (autorizaciones, procesamiento, registro)
  • Controles sobre acceso a sistemas financieros críticos
  • Controles sobre cambios en aplicaciones que procesan transacciones financieras
  • Controles de supervisión y monitoreo sobre el procesamiento de transacciones
  • Controles compensatorios cuando las entidades usuarias dependen de la organización de servicios

Marco de decisión: cuándo usar cada informe

Cuándo elegir ISAE 3402


Recomendaría ISAE 3402 cuando:
El cliente procesa principalmente transacciones financieras: Proveedores de nóminas, procesadores de pagos, administradores de fondos, custodiarios de valores, y centros de servicios compartidos financieros se benefician del enfoque específico del ISAE 3402.
La audiencia principal son auditores: Si los clientes de su cliente necesitan el informe principalmente para sus auditorías de estados financieros bajo NIA-ES 402 (Consideraciones de auditoría relacionadas con una entidad que usa una organización de servicios), el ISAE 3402 proporciona exactamente lo que necesitan.
Los contratos comerciales especifican ISAE 3402: Muchos contratos de servicios financieros requieren específicamente certificación ISAE 3402, especialmente en sectores bancarios y de inversión donde el cumplimiento regulatorio es determinante.
Alcance internacional: El ISAE 3402 tiene reconocimiento global más directo, siendo una norma del IAASB adoptada por la mayoría de jurisdicciones.

Cuándo elegir SOC 2


Recomendaría SOC 2 cuando:
El cliente maneja datos sensibles más allá de transacciones financieras: Proveedores de SaaS, centros de datos, proveedores de servicios en la nube, y procesadores de datos de salud necesitan demostrar controles sobre seguridad, disponibilidad y confidencialidad.
La audiencia incluye partes no auditores: Si los clientes, prospectos, reguladores o socios comerciales del cliente necesitan evaluar controles operacionales, el formato del SOC 2 es más accesible para audiencias no técnicas en auditoría.
Los compromisos comerciales van más allá de lo financiero: Acuerdos de nivel de servicio (SLA) que incluyen disponibilidad, acuerdos de confidencialidad, o compromisos específicos de privacidad requieren evaluación bajo criterios SOC 2.
El mercado principal es Estados Unidos: SOC 2 tiene mayor reconocimiento en el mercado estadounidense, especialmente en tecnología y servicios digitales.

Casos complejos: organizaciones que necesitan ambos


Algunas organizaciones de servicios necesitan tanto ISAE 3402 como SOC 2:
En estos casos, evaluar el costo-beneficio de informes duales versus la elección de un informe que cubra las necesidades críticas primarias.

  • Procesadores de pagos que también proporcionan servicios de datos
  • Proveedores de ERP que manejan transacciones financieras y datos operacionales sensibles
  • Bancos custodios que ofrecen servicios de tecnología adicionales

Ejemplo práctico: elección del informe correcto

Caso: Servicios Contables Digitales Valencia S.L.


Contexto: Una empresa española que proporciona servicios de contabilidad y nóminas digitalizados para pymes. Procesan aproximadamente 2.400 nóminas mensuales y mantienen registros contables para 180 clientes. Los datos se almacenan en servidores en la nube y el acceso se realiza mediante una plataforma web propietaria.
Servicios proporcionados:
Solicitudes de clientes: Tres clientes grandes han solicitado reportes de aseguramiento. Uno pidió específicamente "certificación SOC 2 para seguridad de datos." Otro pidió "informe ISAE 3402 para nuestros auditores externos." El tercero pidió "cualquier reporte que demuestre que tienen controles adecuados."

Paso 1: Evaluación de servicios relevantes para información financiera


Documentación: Lista de servicios con impacto directo en registros financieros de clientes
Servicios que califican bajo ISAE 3402:
Servicios que requieren criterios SOC 2 adicionales:

Paso 2: Análisis de audiencia


Documentación: Revisión de contratos comerciales y requisitos específicos
Cliente A (solicitante SOC 2): Empresa de tecnología con 150 empleados. Su auditor externo no necesita evaluación específica de controles para la auditoría financiera porque los montos de nóminas no son materiales. Su principal preocupación es protección de datos personales de empleados y disponibilidad del sistema para operaciones diarias.
Cliente B (solicitante ISAE 3402): Empresa manufacturera con 400 empleados. Su auditor externo está evaluando controles sobre el procesamiento de nóminas bajo NIA-ES 402 porque los gastos laborales representan el 68% de sus costos operativos. Necesita específicamente evaluación de controles sobre precisión de cálculos y completitud de registros.
Cliente C (requisitos generales): Empresa de servicios profesionales con 80 empleados. Busca aseguramiento general para renovación de su póliza de ciberseguridad y cumplimiento con regulaciones de protección de datos.

Paso 3: Recomendación final


Documentación: Matriz de decisión con justificación
Recomendación: ISAE 3402 Tipo 2 como informe principal, con evaluación complementaria de controles de seguridad documentada por separado.
Justificación: Los servicios core (procesamiento de nóminas y contabilización) tienen impacto directo material en estados financieros de la mayoría de clientes. El ISAE 3402 satisface las necesidades del Cliente B completamente y proporciona aseguramiento suficiente para evaluaciones de auditoría financiera.
Para el Cliente A, desarrollar un memo complementario detallando controles de seguridad, disponibilidad y confidencialidad evaluados durante el encargo ISAE 3402, haciendo referencia a procedimientos específicos y hallazgos relevantes.
Período de evaluación: 12 meses (enero a diciembre 2024) para capturar un ciclo completo de procesamiento incluyendo declaraciones anuales fiscales.

Paso 4: Estructuración del encargo


Documentación: Cronograma detallado y asignación de recursos
Controles a evaluar (muestra):
Resultado: Informe ISAE 3402 Tipo 2 limpio con 23 controles evaluados, período enero-diciembre 2024, que satisface requisitos de los tres clientes con documentación complementaria específica donde necesaria.

  • Procesamiento de nóminas (cálculos, deducciones, transferencias bancarias)
  • Contabilización de transacciones (ingresos, gastos, conciliaciones)
  • Preparación de informes financieros mensuales
  • Almacenamiento y backup de datos contables
  • Procesamiento de nóminas (impacta pasivos laborales y gastos)
  • Registro de transacciones contables (impacta todas las cuentas)
  • Cálculos de retenciones fiscales (impacta pasivos fiscales)
  • Generación de informes financieros (impacta presentación)
  • Seguridad de acceso a la plataforma web
  • Disponibilidad del sistema 24/7 según SLA
  • Confidencialidad de datos no financieros (información personal de empleados)
  • Backup y recuperación de datos
  • Autorización de cambios salariales (control manual mensual)
  • Recalculación independiente de nóminas superiores a 3.000 euros (control automatizado)
  • Conciliación de transferencias bancarias con registros de nóminas (control semiautomatizado semanal)
  • Revisión de exactitud de retenciones fiscales (control manual mensual)
  • Backup de datos contables (control automatizado diario con verificación manual semanal)

Lista de verificación práctica

Usar esta lista en la reunión inicial con el cliente para determinar el informe correcto:

  • Identificar servicios core: ¿Los servicios del cliente afectan directamente el procesamiento, registro o comunicación de información financiera de las entidades usuarias? Si la respuesta principal es sí, ISAE 3402 es probable.
  • Evaluar audiencia principal: ¿Quién usará principalmente el informe? Auditores externos apuntan a ISAE 3402; dirección, IT, y compliance apuntan a SOC 2.
  • Revisar contratos existentes: ¿Los acuerdos de servicios especifican un tipo de reporte particular o compromisos específicos sobre seguridad, disponibilidad o confidencialidad?
  • Considerar el sector: Servicios financieros, nóminas y contabilidad generalmente requieren ISAE 3402. Tecnología, SaaS y centros de datos generalmente requieren SOC 2.
  • Evaluar mercado geográfico: Europa y Asia-Pacífico favorecen ISAE 3402. Estados Unidos favorece SOC 2. Mercados globales pueden necesitar ambos.
  • Determinar criterios aplicables: Si los controles van considerablemente más allá de información financiera (backup, disponibilidad de sistemas, encriptación de datos), evaluar si SOC 2 proporciona marco más completo.

Errores frecuentes

  • Asumir intercambiabilidad: Un cliente con informe SOC 2 puede no satisfacer requisitos de auditoría bajo NIA-ES 402 si los controles evaluados no cubren aspectos financieros específicos.
  • Subestimar diferencias de audiencia: Los informes ISAE 3402 usan terminología técnica de auditoría que puede ser inaccesible para usuarios de negocio que esperan un SOC 2.
  • Ignorar requisitos contractuales: No revisar acuerdos de servicios existentes antes de recomendar puede resultar en un informe técnicamente correcto pero comercialmente inutilizable.

Contenido relacionado

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.