Tabla de contenidos

Marcos normativos: SOC 1 vs ISAE 3402

SOC 1: el estándar estadounidense


SOC 1 (Service Organization Control 1) se rige por el AT-C Section 320 del AICPA. Este marco evalúa controles internos de una organización de servicios que son relevantes para el control interno sobre la información financiera de las entidades usuarias.
La norma estadounidense se centra en controles que afectan directamente las aseveraciones de los estados financieros. No requiere una evaluación completa del diseño y aplicación de todos los controles complementarios que la entidad usuaria debe establecer.

ISAE 3402: el estándar internacional


ISAE 3402 (International Standard on Assurance Engagements 3402) establece principios para encargos de aseguramiento sobre controles de organizaciones de servicios. Se aplica cuando el auditor de la entidad usuaria necesita obtener evidencia sobre la eficacia de dichos controles según la NIA-ES 402.
La ISAE 3402.12 requiere que el profesional de la práctica identifique los riesgos de incorrección material y evalúe el diseño y aplicación de controles para mitigar esos riesgos. Este análisis debe considerar la interacción completa entre los controles de la organización de servicios y los controles complementarios de la entidad usuaria.

Diferencias jurisdiccionales


En Europa, la NIA-ES 402.13 establece que el auditor debe obtener suficiente evidencia apropiada de auditoría sobre la eficacia de los controles cuando la estrategia de auditoría incluye una expectativa de que los controles operan eficazmente.
Los informes SOC 1 pueden no proporcionar el nivel de detalle requerido por la NIA-ES 402 para ciertos tipos de servicios, especialmente cuando los controles complementarios de la entidad usuaria son extensos o complejos.

Diferencias en alcance y profundidad

Evaluación de controles complementarios


SOC 1 describe los controles complementarios que las entidades usuarias deben implementar, pero no evalúa su razonabilidad o completitud de forma completa. La evaluación se limita a identificar qué controles debe establecer la entidad usuaria.
ISAE 3402 requiere una descripción más detallada de los controles complementarios y una evaluación de si la descripción es completa y precisa. La ISAE 3402.A31 especifica que esta descripción debe permitir al auditor de la entidad usuaria comprender cómo estos controles interactúan con los controles de la organización de servicios.

Período de pruebas


Los informes SOC 1 Type I evalúan el diseño de controles en un momento específico. SOC 1 Type II evalúa tanto el diseño como la eficacia operativa durante un período que normalmente abarca entre 3 y 12 meses.
ISAE 3402 permite flexibilidad en el período de cobertura, pero la NIA-ES 402.17 requiere que el auditor considere si el período cubierto por las pruebas del auditor de la organización de servicios es apropiado para los propósitos del auditor.

Materialidad y enfoque de riesgo


SOC 1 aplica conceptos de materialidad basados en estándares estadounidenses, que pueden diferir de los umbrales de materialidad calculados bajo NIA-ES 320 para entidades europeas.
ISAE 3402 requiere que el profesional de la práctica aplique materialidad apropiada para el encargo, considerando las necesidades de los auditores de las entidades usuarias que confiarán en el informe.

Criterios de independencia

Requisitos SOC 1


El AICPA requiere independencia según las reglas aplicables en Estados Unidos, incluyendo las normas del AICPA Professional Code of Conduct y, cuando aplique, las normas de la SEC.
Para servicios de procesamiento de nóminas, por ejemplo, el proveedor de aseguramiento debe cumplir con restricciones específicas sobre servicios simultáneos de consultoría o aplicación.

Requisitos ISAE 3402


La ISAE 3402.20 requiere independencia según el Código de Ética para Profesionales de la Contabilidad del IESBA o requisitos éticos nacionales equivalentes.
En jurisdicciones europeas, esto puede incluir restricciones adicionales. Por ejemplo, algunos países europeos prohíben ciertos servicios de consultoría simultáneos que podrían estar permitidos bajo normas estadounidenses.

Implicaciones para el auditor de la entidad usuaria


Cuando confía en un informe SOC 1, el auditor europeo debe evaluar si los requisitos de independencia aplicados son equivalentes a los que exigiría la NIA-ES 220 (Revisada 2022) para un encargo similar bajo ISAE 3402.
La NIA-ES 402.16 requiere esta evaluación como parte de determinar si el informe de la organización de servicios proporciona evidencia de auditoría suficiente y apropiada.

Ejemplo práctico: análisis de suficiencia

Escenario: Servicios Financieros Levante S.A.


Contexto: Servicios Financieros Levante S.A., Valencia, procesó 840.000 transacciones de nómina para 127 clientes durante 2024. Los ingresos del cliente representan 18,4 millones de euros en nuestro encargo de auditoría. El proveedor proporcionó un informe SOC 1 Type II que cubre del 1 de abril al 30 de septiembre de 2024.
Paso 1. Evaluar la cobertura temporal
Nota de documentación: El período del SOC 1 cubre 6 meses de un año fiscal de 12 meses. NIA-ES 402.17 requiere evaluar si este período es apropiado para nuestros propósitos.
Paso 2. Analizar controles complementarios descritos
El informe SOC 1 identifica 12 controles complementarios que el cliente debe implementar, incluyendo:
Nota de documentación: Verificar que el cliente ha implementado estos 12 controles. Documentar evidencia de operación efectiva durante el período no cubierto por el SOC 1.
Paso 3. Evaluar suficiencia para NIA-ES 402.13
El SOC 1 proporciona pruebas de 8 controles principales durante el período cubierto. Sin embargo, no incluye pruebas específicas de los controles de acceso lógico implementados después de julio 2024.
Nota de documentación: Procedimiento adicional requerido - inspeccionar evidencia de controles de acceso lógico del proveedor de octubre a diciembre 2024, o implementar procedimientos sustantivos adicionales para transacciones de nómina en Q4.
Paso 4. Documentar conclusión sobre suficiencia
Basado en la evaluación anterior, el informe SOC 1 proporciona evidencia de auditoría suficiente para 6 meses del período auditado. Para los 6 meses restantes, implementamos procedimientos sustantivos adicionales sobre una muestra de 45 transacciones de nómina (materialidad de ejecución: 185.000 €).
Nota de documentación: El enfoque mixto (confianza en controles para 6 meses + procedimientos sustantivos para 6 meses) cumple con NIA-ES 402.13 y proporciona evidencia suficiente y apropiada.
Conclusión: El análisis demuestra que un informe SOC 1 puede ser suficiente cuando se combina con procedimientos adicionales apropiados. La documentación debe mostrar claramente cómo se abordaron las brechas de cobertura temporal y los controles complementarios.

  • Revisión mensual de informes de excepciones de nómina
  • Aprobación de cambios en datos maestros de empleados
  • Reconciliación de saldos de cuentas por pagar relacionadas con nómina
  • Verificación de la segregación de funciones entre quien autoriza los pagos y quien los ejecuta (NIA-ES 315.A79)

Lista de verificación práctica

  • Evaluar el período de cobertura del informe - Verificar que el período cubierto por el informe SOC 1 o ISAE 3402 es apropiado para el período de auditoría según NIA-ES 402.17.
  • Revisar la descripción de controles complementarios - Confirmar que el cliente ha implementado todos los controles complementarios identificados en el informe y obtener evidencia de su operación efectiva.
  • Verificar la independencia del proveedor de aseguramiento - Evaluar si los requisitos de independencia aplicados son equivalentes a los que exigiría NIA-ES 220 (Revisada 2022) para un encargo ISAE 3402.
  • Analizar las excepciones y deficiencias reportadas - Determinar el impacto de cualquier excepción en los controles sobre las aseveraciones de los estados financieros de la entidad usuaria.
  • Documentar procedimientos adicionales cuando sea necesario - Si el informe no proporciona evidencia suficiente, implementar procedimientos sustantivos adicionales o pruebas de controles complementarios.
  • El aspecto más importante: Siempre documente por qué considera que el informe (SOC 1 o ISAE 3402) proporciona evidencia suficiente y apropiada para sus propósitos específicos bajo NIA-ES 402.13, incluyendo cualquier limitación identificada y cómo fue abordada.

Errores frecuentes

  • Aceptar automáticamente un SOC 1 como equivalente a ISAE 3402 sin evaluar las diferencias en alcance y criterios de independencia según NIA-ES 402.16.
  • No probar los controles complementarios de la entidad usuaria cuando el informe SOC 1 o ISAE 3402 indica que son necesarios para la eficacia del control interno sobre información financiera.
  • Pasar por alto brechas de cobertura temporal entre el período del informe de la organización de servicios y el período de auditoría, violando los requisitos de NIA-ES 402.17 sobre periodicidad apropiada de la evidencia.
  • No verificar la independencia del profesional que emitió el informe SOC 1 conforme a NIA-ES 220.14 (Revisada 2022), especialmente cuando el proveedor de servicios opera en una jurisdicción con normas de independencia menos estrictas.

Contenido relacionado

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.