Marcos de cumplimiento y diferencias normativas

Lo que falla en la práctica

El equipo recibe el SOC 2 Tipo II. Un par de seniors revisan que el informe está vigente, marcan la casilla, escriben "se ha obtenido informe del proveedor" en el papel de trabajo. La revisión EQR no pregunta. Cuando el ICAC inspecciona el archivo dos años después, encuentra que no hay análisis de qué objetivos del SOC 2 cubren las aseveraciones financieras y cuáles no. El marco normativo se convierte en un brindis al sol cuando la documentación se reduce a un sello en la portada del informe.

Esto pasa porque el SOC 2 viene con apariencia de seriedad: marca de auditoría reconocida internacionalmente, lenguaje técnico, criterios codificados. Pero los criterios SOC 2 fueron diseñados para confianza de sistemas, no para aseveraciones de estados financieros. Esa diferencia técnica es exactamente la que el papel de trabajo tiene que documentar.

ISAE 3402 bajo la perspectiva española

La Norma Internacional sobre Compromisos de Aseguramiento (ISAE) 3402 establece los requisitos para informes de aseguramiento sobre controles en organizaciones de servicios. Bajo el marco NIA-ES, el auditor debe evaluar si los controles del proveedor son relevantes para la auditoría de los estados financieros de la entidad usuaria según NIA-ES 402.8.

La NIA-ES 402.15 obliga al auditor a obtener una comprensión de los servicios prestados por el proveedor, incluidos los controles relevantes para la auditoría. Cuando los controles del proveedor son relevantes para las aseveraciones sobre clases importantes de transacciones, saldos de cuenta o revelaciones, el auditor debe obtener evidencia suficiente y apropiada conforme a NIA-ES 402.17.

SOC 2 desde la perspectiva de cumplimiento internacional

SOC 2 (System and Organization Controls 2) es un marco desarrollado por el American Institute of CPAs (AICPA) basado en cinco criterios de confianza: seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad. Aunque ampliamente usado en Estados Unidos, SOC 2 no es automáticamente evidencia suficiente bajo NIA-ES 402 sin evaluación adicional.

El período de informe SOC 2 típico cubre entre 6 y 12 meses, mientras que ISAE 3402 puede cubrir períodos diferentes según las necesidades del auditor de la entidad usuaria. Esta diferencia temporal puede crear brechas de cobertura que requieren procedimientos adicionales según NIA-ES 402.A25.

Marco de decisión para auditoría de entidades usuarias

Evaluación de la relevancia del control

Antes de mapear controles entre marcos, determine si los controles del proveedor son relevantes para las aseveraciones sobre los estados financieros. La NIA-ES 402.8 establece que esta evaluación debe considerar la naturaleza de los servicios prestados y su efecto sobre el control interno de la entidad usuaria.

Los controles son relevantes cuando afectan directamente el procesamiento de transacciones financieras, el mantenimiento de registros contables, o la preparación de información financiera. Si el proveedor procesa nóminas, administra inversiones, o mantiene registros de inventario, sus controles probablemente sean relevantes bajo NIA-ES 402.

Mapeo sistemático de objetivos

Para mapear efectivamente entre SOC 2 e ISAE 3402, alinee los objetivos de control de ambos marcos:

Criterio SOC 2: Seguridad mapea parcialmente a objetivos ISAE 3402 relacionados con controles de acceso y autorización. SOC 2 seguridad puede incluir controles físicos y ambientales que ISAE 3402 no considera relevantes para el procesamiento de transacciones financieras.

Criterio SOC 2: Integridad del procesamiento se alinea más directamente con objetivos ISAE 3402, especialmente cuando cubre completitud, exactitud y validez del procesamiento de transacciones. Este mapeo típicamente requiere menos evidencia adicional.

Criterios SOC 2: Confidencialidad y privacidad rara vez mapean directamente a objetivos ISAE 3402, ya que estos se enfocan en la protección de información más que en controles sobre procesamiento financiero. Vaya por delante que esta es una afirmación incómoda para el cliente que ha pagado un SOC 2 completo y ahora oye que medio informe no le sirve para sus auditorías financieras europeas. La conversación con el cliente sobre por qué dos de los cinco criterios "no cuentan" suele ser difícil.

Ejemplo práctico: proveedor de servicios de nómina

Escenario: Usted audita Distribuidora Castellana S.L., que subcontrata el procesamiento de nóminas a TecnoNómina Solutions S.L., una empresa con certificación SOC 2 Tipo II pero sin informe ISAE 3402.

Información financiera: - Distribuidora Castellana: facturación 12,4 millones de euros - Gastos de personal: 3,8 millones de euros (31% de ingresos) - Empleados: 147 personas - TecnoNómina procesa: cálculo de salarios, deducciones, pagos a la Seguridad Social

Paso 1: Evaluar la relevancia del control según NIA-ES 402.8

Documentación: Los servicios de nómina afectan directamente a gastos de personal (3,8 M€) y pasivos relacionados. Los controles de TecnoNómina son relevantes para las aseveraciones de completitud, exactitud y corte.

Paso 2: Obtener y revisar el informe SOC 2 Tipo II de TecnoNómina

Documentación: Informe SOC 2 cubre período del 1 enero al 31 diciembre 2024. Incluye controles de seguridad, disponibilidad e integridad del procesamiento. No cubre confidencialidad ni privacidad.

Paso 3: Mapear objetivos de control SOC 2 contra necesidades de auditoría

Documentación: Controles de integridad del procesamiento cubren exactitud de cálculos salariales y completitud de reportes. Controles de seguridad cubren acceso a sistemas pero no incluyen segregación de funciones en aprobación de cambios salariales.

Paso 4: Identificar brechas de cobertura

Documentación: El informe SOC 2 no cubre controles sobre autorización de cambios en datos maestros de empleados ni conciliaciones entre reportes de TecnoNómina y registros de Distribuidora Castellana.

Paso 5: Diseñar procedimientos para brechas identificadas

Documentación: Probar una muestra de cambios en datos de empleados durante 2024, verificando autorización adecuada. Revisar conciliaciones mensuales entre reportes de TecnoNómina y registros contables.

Paso 6: complicación práctica (el cambio de subcontratista del proveedor)

A mitad del año, TecnoNómina migra parte del procesamiento a un subcontratista en India. El SOC 2 menciona la migración en una nota al pie pero no incluye pruebas sobre los controles del subcontratista. El equipo descubre la migración al revisar la facturación, no al leer el informe.

¿Esos cuatro meses cuentan como cubiertos por el SOC 2? La respuesta común: contarlos porque el período del informe los incluye. La respuesta defendible: tratarlos como brecha de cobertura efectiva y aplicar procedimientos sustantivos sobre las nóminas procesadas durante esos meses. La diferencia entre ambas respuestas son ocho horas de senior y una conversación incómoda con el cliente sobre el coste adicional.

Conclusión: El informe SOC 2 proporciona evidencia parcial. Se requieren procedimientos adicionales para cumplir con NIA-ES 402.17. La combinación de evidencia SOC 2 y pruebas adicionales satisface los requisitos de evidencia suficiente y apropiada, siempre que el papel de trabajo documente el mapeo objetivo por objetivo y las brechas que el equipo decidió cubrir o asumir.

Lista de verificación práctica

1. Evaluar la materialidad de los servicios subcontratados conforme a NIA-ES 402.8 y documentar si los controles afectan aseveraciones sobre clases importantes de transacciones. 2. Comparar períodos de cobertura entre el informe SOC 2 y su período de auditoría, identificando cualquier brecha temporal que requiera procedimientos adicionales. 3. Mapear cada criterio SOC 2 contra objetivos de control financiero relevantes, documentando qué aspectos del procesamiento financiero cubre cada criterio. 4. Identificar controles complementarios que la entidad usuaria debe implementar según la descripción del informe SOC 2, y probar su operación efectiva. 5. Documentar la evaluación de suficiencia bajo NIA-ES 402.A32, incluyendo por qué la combinación de evidencia SOC 2 y procedimientos adicionales satisface los requisitos. 6. La diferencia crítica: SOC 2 evalúa confianza del sistema. ISAE 3402 evalúa controles sobre procesamiento financiero. No asuma equivalencia automática.

Donde empieza el juicio profesional

Llega un encargo nuevo y el cliente lleva tres años usando un proveedor de servicios cloud que solo emite SOC 2. El proveedor representa el corazón operativo del cliente: facturación, conciliaciones, reportes mensuales. Pedir un ISAE 3402 separado es imposible. El proveedor no lo emitirá para una sola firma auditora.

El Socio A acepta el SOC 2 como evidencia y aplica procedimientos sustantivos sobre los controles complementarios de la entidad usuaria. Su razonamiento: el SOC 2 es un marco serio del AICPA, las brechas con ISAE 3402 son menores en términos prácticos para este tipo de servicio, y exigir más sería irrealista. Conoce al cliente, conoce al proveedor por reputación, ha trabajado con varios SOC 2 antes.

El Socio B exige procedimientos amplios sobre los controles del proveedor, incluyendo pruebas de detalle sobre transacciones procesadas y conciliaciones independientes. Su razonamiento: la NIA-ES 402.13 es clara y el ICAC ha endurecido su criterio sobre evidencia de controles de proveedores. Confiar en un SOC 2 sin pruebas adicionales no es defendible ante una inspección, sea cual sea la reputación del proveedor.

Los dos tienen razón parcial. El Socio A tiene razón sobre la imposibilidad práctica de exigir un ISAE 3402 separado. El Socio B tiene razón sobre el estándar regulatorio que el archivo tiene que cumplir. La salida que aplican muchos equipos: aceptar el SOC 2 con procedimientos adicionales mínimos y cruzar los dedos. Esto funciona hasta que llega el ICAC.

El incentivo perverso aquí es estructural. El equipo cierra muchos encargos con honorarios bajos. El procedimiento adicional para cubrir las brechas del SOC 2 cuesta entre veinte y cuarenta horas de senior por encargo. Esas horas no están presupuestadas y nadie las cobra. El socio necesita el cliente, el manager necesita cumplir el presupuesto, el senior saca adelante el encargo con lo que hay. Todos saben que el papel está flojo. Nadie tiene tiempo de arreglarlo.

La idea que no aprende del manual: el problema con SOC 2 vs ISAE 3402 no es de marco. Es de presupuesto. La NIA-ES 402 es perfectamente cumplible si el equipo dispone de las horas necesarias para mapear objetivos y aplicar procedimientos sobre las brechas. Cuando el presupuesto del encargo no incluye esas horas, el equipo recurre a documentación genérica que parece cubrir el requisito pero no resiste una inspección. La solución técnica está clara desde 2009. La solución comercial (quién paga las horas necesarias) sigue sin estar resuelta en la mayoría de los despachos medianos españoles.

Errores comunes en el mapeo

- Aceptar SOC 2 como equivalente directo a ISAE 3402 sin evaluar diferencias en objetivos de control y cobertura de riesgo. - Ignorar controles complementarios de la entidad usuaria que el informe SOC 2 identifica como necesarios para la operación efectiva de controles. - No considerar diferencias en períodos de prueba entre el informe SOC 2 disponible y el período de auditoría de la entidad usuaria.

Contenido relacionado

- Glosario: NIA-ES 402 (consideraciones de auditoría relativas a una entidad que usa una organización de servicios). Requisitos completos para auditar entidades que subcontratan servicios que afectan el procesamiento financiero. - Plantilla de evaluación de controles de organización de servicios. Herramienta para documentar la evaluación de controles y mapear evidencia disponible contra requisitos NIA-ES 402. - NIA-ES 315: identificación de riesgos en servicios subcontratados. Cómo integrar la comprensión de servicios subcontratados en el proceso de evaluación de riesgos.

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.