Escenario: Usted audita Distribuidora Castellana S.L., que subcontrata el procesamiento de nóminas a TecnoNómina Solutions S.L., una empresa que tiene certificación SOC 2 Tipo II pero no informe ISAE 3402. Información financiera: Paso 1. Evalúe la relevancia del control según NIA-ES 402.

Marcos de cumplimiento y diferencias normativas

ISAE 3402 bajo la perspectiva española


La Norma Internacional sobre Compromisos de Aseguramiento (ISAE) 3402 establece los requisitos para informes de aseguramiento sobre controles en organizaciones de servicios. Bajo el marco NIA-ES, el auditor debe evaluar si los controles de la organización de servicios son relevantes para la auditoría de los estados financieros de la entidad usuaria según NIA-ES 402.8.
La NIA-ES 402.15 exige que el auditor obtenga una comprensión de los servicios prestados por la organización de servicios, incluidos los controles que son relevantes para la auditoría. Cuando los controles de la organización de servicios son relevantes para las aseveraciones sobre clases importantes de transacciones, saldos de cuenta o revelaciones, el auditor debe obtener suficiente evidencia apropiada de auditoría conforme a NIA-ES 402.17.

SOC 2 desde la perspectiva de cumplimiento internacional


SOC 2 (System and Organization Controls 2) es un marco desarrollado por el American Institute of CPAs (AICPA) basado en cinco criterios de confianza: seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad. Aunque ampliamente usado en Estados Unidos, SOC 2 no es automáticamente evidencia suficiente bajo NIA-ES 402 sin evaluación adicional.
El período de informe SOC 2 típico cubre entre 6 y 12 meses, mientras que ISAE 3402 puede cubrir períodos diferentes según las necesidades del auditor de la entidad usuaria. Esta diferencia temporal puede crear brechas de cobertura que requieren procedimientos adicionales según NIA-ES 402.A25.

Marco de decisión para auditoría de entidades usuarias

Evaluación de la relevancia del control


Antes de mapear controles entre marcos, determine si los controles de la organización de servicios son relevantes para las aseveraciones sobre los estados financieros. La NIA-ES 402.8 establece que esta evaluación debe considerar la naturaleza de los servicios prestados y su efecto sobre el control interno de la entidad usuaria.
Los controles son relevantes cuando afectan directamente el procesamiento de transacciones financieras, el mantenimiento de registros contables, o la preparación de información financiera. Si la organización de servicios procesa nóminas, administra inversiones, o mantiene registros de inventario, sus controles probablemente sean relevantes bajo NIA-ES 402.

Mapeo sistemático de objetivos


Para mapear efectivamente entre SOC 2 e ISAE 3402, alinee los objetivos de control de ambos marcos:
Criterio SOC 2: Seguridad mapea parcialmente a objetivos ISAE 3402 relacionados con controles de acceso y autorización. Sin embargo, SOC 2 seguridad puede incluir controles físicos y ambientales que ISAE 3402 no considera relevantes para el procesamiento de transacciones financieras.
Criterio SOC 2: Integridad del procesamiento se alinea más directamente con objetivos ISAE 3402, especialmente cuando cubre completitud, exactitud y validez del procesamiento de transacciones. Este mapeo típicamente requiere menos evidencia adicional.
Criterios SOC 2: Confidencialidad y privacidad rara vez mapean directamente a objetivos ISAE 3402, ya que estos se enfocan en la protección de información más que en controles sobre procesamiento financiero.

Ejemplo práctico: Proveedor de servicios de nómina

Escenario: Usted audita Distribuidora Castellana S.L., que subcontrata el procesamiento de nóminas a TecnoNómina Solutions S.L., una empresa que tiene certificación SOC 2 Tipo II pero no informe ISAE 3402.
Información financiera:
Paso 1. Evalúe la relevancia del control según NIA-ES 402.8
Documentación: Los servicios de nómina afectan directamente a gastos de personal (3,8 millones de euros) y pasivos relacionados. Los controles de TecnoNómina son relevantes para las aseveraciones de completitud, exactitud y corte.
Paso 2. Obtenga y revise el informe SOC 2 Tipo II de TecnoNómina
Documentación: Informe SOC 2 cubre período del 1 enero al 31 diciembre 2024. Incluye controles de seguridad, disponibilidad e integridad del procesamiento. No cubre confidencialidad ni privacidad.
Paso 3. Mapee objetivos de control SOC 2 contra necesidades de auditoría
Documentación: Controles de integridad del procesamiento cubren exactitud de cálculos salariales y completitud de reportes. Controles de seguridad cubren acceso a sistemas pero no incluyen segregación de funciones en aprobación de cambios salariales.
Paso 4. Identifique brechas de cobertura
Documentación: El informe SOC 2 no cubre controles sobre autorización de cambios en datos maestros de empleados ni conciliaciones entre reportes de TecnoNómina y registros de Distribuidora Castellana.
Paso 5. Diseñe procedimientos para brechas identificadas
Documentación: Pruebe una muestra de cambios en datos de empleados durante 2024, verificando autorización adecuada. Revise conciliaciones mensuales entre reportes de TecnoNómina y registros contables.
Conclusión: El informe SOC 2 proporciona evidencia parcial, pero se requieren procedimientos adicionales para cumplir completamente con NIA-ES 402.17. La combinación de evidencia SOC 2 y pruebas adicionales satisface los requisitos de evidencia suficiente y apropiada.

  • Distribuidora Castellana: facturación de 12,4 millones de euros
  • Gastos de personal: 3,8 millones de euros (31% de ingresos)
  • Empleados: 147 personas
  • TecnoNómina procesa: cálculo de salarios, deducciones, pagos a la Seguridad Social

Lista de verificación práctica

  • Evalúe la materialidad de los servicios subcontratados conforme a NIA-ES 402.8 y documente si los controles afectan aseveraciones sobre clases importantes de transacciones
  • Compare períodos de cobertura entre el informe SOC 2 y su período de auditoría, identificando cualquier brecha temporal que requiera procedimientos adicionales
  • Mapee cada criterio SOC 2 contra objetivos de control financiero relevantes, documentando qué aspectos del procesamiento financiero cubre cada criterio
  • Identifique controles complementarios que la entidad usuaria debe implementar según la descripción del informe SOC 2, y pruebe su operación efectiva
  • Documente la evaluación de suficiencia bajo NIA-ES 402.A32, incluyendo por qué la combinación de evidencia SOC 2 y procedimientos adicionales satisface los requisitos
  • La diferencia más importante: SOC 2 evalúa confianza del sistema; ISAE 3402 evalúa controles sobre procesamiento financiero. No asuma equivalencia automática.

Errores comunes en el mapeo

  • Aceptar SOC 2 como equivalente directo a ISAE 3402 sin evaluar diferencias en objetivos de control y cobertura de riesgo
  • Ignorar controles complementarios de la entidad usuaria que el informe SOC 2 identifica como necesarios para la operación efectiva de controles
  • No considerar diferencias en períodos de prueba entre el informe SOC 2 disponible y el período de auditoría de la entidad usuaria
  • Confiar en criterios SOC 2 de confidencialidad o privacidad como evidencia de controles financieros, cuando estos criterios no evalúan la exactitud ni la completitud del procesamiento de transacciones según NIA-ES 402.8

Contenido relacionado

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.