Tabla de contenidos

- Marcos normativos: SOC 1 vs ISAE 3402 - Diferencias en alcance y profundidad - Criterios de independencia - Ejemplo práctico: análisis de suficiencia - Lista de verificación práctica - Errores frecuentes - Contenido relacionado

Marcos normativos: SOC 1 vs ISAE 3402

Lo que falla en la práctica

El error más frecuente no es desconocer la diferencia entre los dos marcos. Es asumir que un SOC 1 Type II es siempre suficiente porque "el cliente lleva años trabajando así". Marcar la casilla. Cerrar el papel de trabajo. La revisión de calidad del encargo no profundiza si el informe formal está en el archivo.

Cuando el ICAC pidió en su informe de control de calidad de 2023 ver papeles de trabajo sobre evaluación de suficiencia de informes de organizaciones de servicios, encontró deficiencias persistentes en este aspecto. En la práctica, eso significa: las normas están muy bien escritas pero nadie las cumple porque el plazo del cierre presiona y el revisor del proveedor "ya lo miró".

SOC 1: el estándar estadounidense

SOC 1 (Service Organization Control 1) se rige por el AT-C Section 320 del AICPA. Evalúa controles internos de una organización de servicios relevantes para el control interno sobre la información financiera de las entidades usuarias.

La norma se centra en controles que afectan directamente las aseveraciones de los estados financieros. No exige una evaluación completa del diseño y aplicación de todos los controles complementarios que la entidad usuaria debe establecer. Esa diferencia parece técnica. No lo es. Es exactamente donde la NIA-ES 402.13 le deja a usted el trabajo.

ISAE 3402: el estándar internacional

ISAE 3402 (International Standard on Assurance Engagements 3402) establece principios para encargos de aseguramiento sobre controles de organizaciones de servicios. Se aplica cuando el auditor de la entidad usuaria necesita evidencia sobre la eficacia de dichos controles según la NIA-ES 402.

La ISAE 3402.12 obliga al profesional de la práctica a identificar los riesgos de incorrección material y evaluar el diseño y aplicación de controles para mitigar esos riesgos. Este análisis considera la interacción completa entre los controles de la organización de servicios y los controles complementarios de la entidad usuaria.

Diferencias jurisdiccionales

En Europa, la NIA-ES 402.13 establece que el auditor debe obtener evidencia suficiente y apropiada de auditoría sobre la eficacia de los controles cuando la estrategia de auditoría incluye una expectativa de que los controles operan eficazmente.

Los informes SOC 1 pueden no proporcionar el nivel de detalle requerido por la NIA-ES 402 para ciertos tipos de servicios, especialmente cuando los controles complementarios de la entidad usuaria son extensos o complejos. Vaya por delante que esta es una afirmación que muchos rechazan en la práctica diaria, pero el papel de trabajo del ICAC mira lo escrito en su archivo, no la práctica del mercado.

Diferencias en alcance y profundidad

Evaluación de controles complementarios

SOC 1 describe los controles complementarios que las entidades usuarias deben implementar pero no evalúa su razonabilidad o completitud de forma exhaustiva. La evaluación se limita a identificar qué controles debe establecer la entidad usuaria.

ISAE 3402 exige una descripción más detallada de los controles complementarios y una evaluación de si la descripción es completa y precisa. La ISAE 3402.A31 especifica que esta descripción debe permitir al auditor de la entidad usuaria comprender cómo estos controles interactúan con los controles del proveedor.

Período de pruebas

Los informes SOC 1 Type I evalúan el diseño de controles en un momento específico. SOC 1 Type II evalúa diseño y eficacia operativa durante un período que normalmente abarca entre 3 y 12 meses.

ISAE 3402 permite flexibilidad en el período de cobertura, pero la NIA-ES 402.17 exige que el auditor considere si el período cubierto por las pruebas del auditor de la organización de servicios es apropiado para sus propósitos. Aquí es donde la mayoría de los SOC 1 que llegan a un encargo español se quedan cortos: cubren del 1 de octubre al 30 de septiembre, y el cierre del cliente es 31 de diciembre. Tres meses sin cobertura. El equipo necesita decidir qué hacer con esos meses, no aceptar el informe sin más.

Materialidad y enfoque de riesgo

SOC 1 aplica conceptos de materialidad basados en estándares estadounidenses, que pueden diferir de los umbrales de materialidad calculados bajo NIA-ES 320 para entidades europeas.

ISAE 3402 exige al profesional de la práctica aplicar materialidad apropiada para el encargo, considerando las necesidades de los auditores de las entidades usuarias que confiarán en el informe.

Criterios de independencia

Requisitos SOC 1

El AICPA exige independencia según las reglas aplicables en Estados Unidos, incluidas las normas del AICPA Professional Code of Conduct y, cuando aplique, las normas de la SEC.

Para servicios de procesamiento de nóminas, por ejemplo, el proveedor de aseguramiento debe cumplir con restricciones específicas sobre servicios simultáneos de consultoría o aplicación.

Requisitos ISAE 3402

La ISAE 3402.20 exige independencia según el Código de Ética para Profesionales de la Contabilidad del IESBA o requisitos éticos nacionales equivalentes.

En jurisdicciones europeas, esto puede incluir restricciones adicionales. Algunos países europeos prohíben ciertos servicios de consultoría simultáneos que podrían estar permitidos bajo normas estadounidenses.

Implicaciones para el auditor de la entidad usuaria

Cuando confía en un informe SOC 1, el auditor europeo debe evaluar si los requisitos de independencia aplicados son equivalentes a los que exigiría la NIA-ES 220 (Revisada 2022) para un encargo similar bajo ISAE 3402.

La NIA-ES 402.16 exige esta evaluación como parte de determinar si el informe del proveedor proporciona evidencia de auditoría suficiente y apropiada. La práctica común: copiar la frase "se ha verificado la independencia del auditor del proveedor" sin más documentación. Eso no defiende nada en una inspección.

Ejemplo práctico: análisis de suficiencia

Escenario: Servicios Financieros Levante S.A.

Contexto: Servicios Financieros Levante S.A., Valencia. Procesó 840.000 transacciones de nómina para 127 clientes durante 2024. Los gastos de personal del cliente representan 18,4 millones de euros en nuestro encargo. El proveedor entregó un informe SOC 1 Type II que cubre del 1 de abril al 30 de septiembre de 2024.

Paso 1: Evaluar la cobertura temporal

Nota de documentación: El período del SOC 1 cubre 6 meses de un año fiscal de 12 meses. NIA-ES 402.17 exige evaluar si este período es apropiado para nuestros propósitos. Aquí hay un mes sin cubrir antes y tres después.

Paso 2: Analizar controles complementarios descritos

El informe identifica 12 controles complementarios que el cliente debe implementar: - Revisión mensual de informes de excepciones de nómina - Aprobación de cambios en datos maestros de empleados - Reconciliación de saldos de cuentas por pagar relacionadas con nómina

Nota de documentación: Verificar que el cliente ha implementado estos 12 controles. Documentar evidencia de operación efectiva durante el período no cubierto por el SOC 1.

Paso 3: Evaluar suficiencia para NIA-ES 402.13

El SOC 1 prueba 8 controles principales durante el período cubierto. No incluye pruebas específicas de los controles de acceso lógico implementados después de julio 2024.

Nota de documentación: Procedimiento adicional requerido. Inspeccionar evidencia de controles de acceso lógico del proveedor de octubre a diciembre 2024, o implementar procedimientos sustantivos sobre transacciones de nómina en Q4.

Paso 4: Documentar conclusión sobre suficiencia

El informe SOC 1 proporciona evidencia de auditoría suficiente para 6 meses del período auditado. Para los 6 meses restantes, implementamos procedimientos sustantivos sobre una muestra de 45 transacciones de nómina (materialidad de ejecución: 185.000 euros).

Nota de documentación: El enfoque mixto (confianza en controles para 6 meses + procedimientos sustantivos para 6 meses) cumple con NIA-ES 402.13 y proporciona evidencia suficiente y apropiada.

Paso 5: complicación práctica (el cambio de versión del software del proveedor)

A mitad del período cubierto por el SOC 1, el proveedor migró de la versión 7 a la versión 8 de su sistema. El informe del auditor del proveedor menciona la migración en un párrafo de información complementaria, pero no realiza pruebas específicas sobre la efectividad de los controles bajo la nueva versión. Cuatro meses bajo controles probados, dos meses bajo controles no probados, todos dentro del período "cubierto" por el SOC 1.

¿Esos dos meses cuentan como cobertura efectiva o como brecha? La respuesta común del equipo: contarlos como cubiertos porque están "dentro" del período del informe. La respuesta defendible: tratar esos dos meses como brecha y aplicar procedimientos adicionales. La diferencia entre ambas posturas es 30.000 euros de honorarios y 12 horas de trabajo de senior. Por lo que conozco, casi todos los equipos eligen la primera opción salvo que el revisor del encargo pregunte explícitamente.

Conclusión: El análisis demuestra que un informe SOC 1 puede ser suficiente cuando se combina con procedimientos adicionales apropiados. La documentación debe mostrar claramente cómo se abordaron las brechas de cobertura temporal y los controles complementarios. Sin esa documentación, el informe SOC 1 no defiende nada en una inspección.

Lista de verificación práctica

1. Evaluar el período de cobertura del informe. Verificar que el período cubierto por el informe SOC 1 o ISAE 3402 es apropiado para el período de auditoría según NIA-ES 402.17.

2. Revisar la descripción de controles complementarios. Confirmar que el cliente ha implementado todos los controles complementarios identificados en el informe y obtener evidencia de su operación efectiva.

3. Verificar la independencia del proveedor de aseguramiento. Evaluar si los requisitos de independencia aplicados son equivalentes a los que exigiría NIA-ES 220 (Revisada 2022) para un encargo ISAE 3402.

4. Analizar las excepciones y deficiencias reportadas. Determinar el impacto de cualquier excepción en los controles sobre las aseveraciones de los estados financieros de la entidad usuaria.

5. Documentar procedimientos adicionales cuando sea necesario. Si el informe no proporciona evidencia suficiente, implementar procedimientos sustantivos adicionales o pruebas de controles complementarios.

6. El aspecto crítico: Documente siempre por qué considera que el informe (SOC 1 o ISAE 3402) proporciona evidencia suficiente y apropiada para sus propósitos específicos bajo NIA-ES 402.13, incluyendo cualquier limitación identificada y cómo fue abordada.

Donde empieza el juicio profesional

Llega un encargo nuevo con un cliente que usa un proveedor de servicios estadounidense. El proveedor solo tiene SOC 1, nunca ha emitido ISAE 3402. El cliente representa el 35% del trabajo de su firma este año.

El Socio A aceptará el SOC 1 con procedimientos adicionales mínimos. Su razonamiento: el SOC 1 es un marco serio, el AICPA tiene estándares de calidad equivalentes en la práctica, y exigir un ISAE 3402 separado supondría perder al cliente porque el proveedor no lo emitiría solo para una firma. Conoce el caso. Lleva años con el cliente. Confía en el equipo.

El Socio B exigirá un ISAE 3402 o procedimientos sustantivos amplios. Su razonamiento: la NIA-ES 402.13 es clara y el ICAC ha sancionado a firmas que aceptaron evidencia insuficiente sin documentar la evaluación. La equivalencia entre SOC 1 e ISAE 3402 es debatible y, ante un inspector, "el AICPA tiene estándares serios" no es un argumento técnico defendible.

Los dos tienen razón parcial. El Socio A entiende la realidad del mercado: si exige procedimientos imposibles, el cliente cambia de auditor. El Socio B entiende la realidad regulatoria: si el ICAC inspecciona, el papel manda. La diferencia no se resuelve mirando la norma. Se resuelve mirando qué riesgo está dispuesto a asumir el socio firmante. Y aquí entra el incentivo perverso: el socio necesita el cliente, y nadie quiere perder un encargo del 35% por un punto técnico que "todo el mundo acepta".

La consecuencia operativa: muchos equipos terminan en la postura del Socio A sin documentar la evaluación que justifique esa decisión. Cuando llega el ICAC, la postura es defensible solo si el papel está completo. El papel rara vez está completo cuando la decisión se tomó por presión comercial.

La idea que no aprende del manual: el problema con SOC 1 vs ISAE 3402 no es técnico. Es de gestión del riesgo del encargo. La norma le permite usar SOC 1 si documenta la evaluación de suficiencia. Lo que falla en la práctica es la documentación, no el criterio. Si su archivo demuestra que evaluó las brechas, las cubrió con procedimientos adicionales, y razonó por qué eso es suficiente, el SOC 1 es defendible. Si su archivo dice "informe SOC 1 obtenido", no lo es. La diferencia entre las dos versiones del archivo son cuatro horas de trabajo de senior. Nadie las paga hasta que llega la inspección.

Errores frecuentes

Contenido relacionado

- Glosario: Organización de servicios. Definición técnica y requisitos de la NIA-ES 402 para evaluar controles de terceros. - Kit de evaluación NIA-ES 402. Plantillas para documentar el análisis de suficiencia de informes SOC 1 e ISAE 3402. - Guía de controles complementarios. Cómo identificar y probar los controles que debe implementar la entidad usuaria según diferentes tipos de servicios.

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.