Definition
El SOC 1 del proveedor de nómina cierra el 30 de septiembre. El cierre del cliente es el 31 de diciembre. Tres meses sin cobertura del informe del auditor de servicios, y el equipo de auditoría tiene que decidir si pide carta puente o si acepta la confirmación verbal del cliente de que "no ha cambiado nada". En mi experiencia, esta decisión se toma a las 21:30 de un martes de febrero, con el socio firmando la mañana siguiente, y suele resolverse del lado equivocado.
Lo que dice la norma
NIA-ES 402 (la versión española de ISA 402, equivalente operativo a ISAE 3402 cuando se utiliza un informe de tipo 2) establece en el párrafo 16 que el auditor del usuario debe obtener evidencia sobre si los controles relevantes de la organización de servicios han operado de forma eficaz durante todo el periodo sobre el que se forma una opinión. El párrafo 17 es el que muerde: si el informe del auditor de servicios cubre un periodo que no coincide con el ejercicio del usuario, el auditor del usuario tiene que evaluar si la evidencia es suficiente y, en su caso, obtener evidencia adicional.
El párrafo A20 enumera las opciones: ampliar el alcance con procedimientos propios sobre el periodo no cubierto, contactar con el auditor de servicios, o solicitar a la dirección de la organización de servicios una carta que confirme la ausencia de cambios. Esa última opción es la carta puente.
Por lo que conozco, ICAC no ha emitido guía específica sobre cartas puente más allá de la transposición de NIA-ES 402, y CNMV las trata como parte de la documentación esperable cuando hay dependencia material de un proveedor externo en entidades cotizadas. AFM y FRC, como referencia comparativa, sí las exigen de forma más explícita en sus inspecciones sobre auditorías de fondos.
Lo que realmente ocurre
Vaya por delante que muchos equipos de auditoría no piden carta puente. Marcan la casilla con una llamada al controller del cliente, anotan en el papel de trabajo "se confirma que no ha habido cambios significativos en los controles del proveedor", y siguen. Fue un trámite. Los papeles están flojos.
En los encargos que he llevado, el patrón es bastante consistente. Cuando el cliente paga 800.000 euros de honorarios, el equipo pide la carta puente y la organización de servicios la entrega. Cuando paga 60.000 y la auditoría se cierra con presión de horas, el gerente decide que la confirmación verbal "es razonable dado el riesgo". El socio necesita el cliente, el gerente necesita cerrar el encargo, y el papel de trabajo termina diciendo lo que conviene.
El problema no es que la confirmación verbal sea inválida en abstracto. Es que la documentación queda tan delgada que cualquier inspección posterior se la come. He visto archivos en los que la única evidencia sobre tres meses de operación de controles del proveedor de nómina era un email de cinco líneas del director financiero del cliente. Eso son bombas de relojería esperando una revisión de calidad.
La zona gris
Aquí aparece la discusión real entre socios. Pongo dos posturas que he escuchado en revisiones de calidad de firma mediana en España.
Socio A: la carta puente es prácticamente obligatoria siempre que el desfase entre el cierre del SOC y el cierre del usuario supere los 30 días. NIA-ES 402.17 exige evidencia sobre el periodo, y una manifestación de la dirección del usuario sobre los controles de un tercero no es evidencia adecuada porque la dirección del usuario no opera esos controles. Si el auditor de servicios no la quiere emitir, hay que ampliar procedimientos propios o reservar la opinión sobre el alcance.
Socio B: la decisión es de juicio profesional basado en materialidad y riesgo. Si la organización de servicios procesa una función accesoria (hosting básico de IT, almacenamiento documental sin lógica de negocio), una manifestación de la dirección del usuario respaldada por indicadores indirectos (logs de incidencias, ausencia de cambios contractuales, continuidad del personal de IT del proveedor) puede ser suficiente. Pedir carta puente para todo es ritualismo y encarece el encargo sin añadir aseguramiento.
Mi opinión: el Socio B tiene razón en el principio y se equivoca en la práctica. El juicio basado en riesgo es correcto sobre el papel, pero requiere documentación de ese juicio que en el 80% de los archivos que he revisado no existe. Si va a aplicar el criterio del Socio B, escriba dos páginas justificando por qué el riesgo es bajo, qué procedimientos alternativos ha hecho, y qué evidencia tiene de la continuidad del entorno de control. Si no las va a escribir, pida la carta. La diferencia de coste es 12.000 euros; la diferencia de exposición es su licencia.
Segunda opinión que dejo apuntada: cuando el SOC 1 del proveedor es de tipo 1 (descripción y diseño, no operación), la carta puente añade poco. Lo que falta no es cobertura temporal sobre operación; es cobertura de operación, punto. Pedir carta puente sobre un tipo 1 es brindis al sol.
Ejemplo práctico
Cliente: fabricante español cotizado, ingresos 180 millones de euros, materialidad 2,5 millones, ejercicio cerrado el 31 de diciembre de 2025. Utiliza una plataforma de gestión comercial basada en Salesforce operada por un proveedor externo que produce facturación, gestión de cobros y reconocimiento de ingresos.
Cobertura SOC 1: el informe SOC 1 tipo 2 del proveedor cubre el periodo del 1 de abril al 30 de septiembre de 2025. Hay tres meses de desfase entre la fecha del informe y el cierre del cliente.
Decisión inicial: el equipo solicita carta puente. El proveedor cobra 12.000 euros por emitirla. El director financiero del cliente protesta por el coste; el socio confirma que dada la materialidad de los ingresos procesados (140 millones de los 180), la carta es necesaria. Se solicita el 15 de enero.
Complicación: el proveedor entrega la carta puente el 28 de febrero, tres semanas antes de la fecha prevista del informe de auditoría. La carta confirma ausencia de cambios significativos pero menciona un cambio de control: el despliegue de autenticación multifactor (MFA) para usuarios con privilegios de administrador, implementado el 12 de noviembre. La carta lo describe como "sin impacto sobre la descripción del sistema" y mantiene la conclusión general de no cambios materiales.
Lo que tiene que decidir el equipo: ¿es realmente "sin impacto"? El control afectado (autenticación de administradores) es relevante para la integridad de los maestros de clientes y precios. Si el despliegue del MFA tuvo problemas de transición durante noviembre, podría haber existido una ventana donde el control de acceso fue más débil, no más fuerte.
Procedimientos adicionales realizados: el equipo solicita al proveedor el log de incidencias de acceso de noviembre, identifica que hubo 14 reseteos manuales de credenciales de administrador en los primeros 10 días del despliegue, y obtiene confirmación de que los reseteos requirieron aprobación dual documentada. Se concluye que el cambio efectivamente reforzó el control y que la afirmación de la carta puente es razonable. Se documenta en PT-412 con tres páginas de análisis del log y la conclusión específica.
Lo que habría pasado sin carta puente: la confirmación verbal del controller del cliente ("nos dijeron que no habían cambiado nada") no habría detectado el despliegue de MFA. El equipo no habría hecho los procedimientos sobre el log de noviembre. El papel de trabajo habría dicho "sin cambios" cuando en realidad había un cambio relevante, aunque benigno. Una inspección habría preguntado por qué el archivo no menciona el MFA si la entidad lo comunicó en su informe anual de gobierno corporativo de marzo.
Carta puente vs. ampliación de procedimientos propios
| Elemento | Carta puente | Ampliación de procedimientos del auditor del usuario |
|---|---|---|
| Quién emite la evidencia | Dirección de la organización de servicios (a veces co-firmada por su auditor) | Auditor del usuario directamente |
| Coste típico | 8.000-15.000 EUR (lo cobra el proveedor) | 40-120 horas del equipo del usuario |
| Cobertura sobre el periodo puente | Confirmación de no cambios; no es testing sustantivo | Testing directo sobre transacciones del periodo |
| Soporte normativo | NIA-ES 402.A20 | NIA-ES 402.16 y NIA-ES 330 |
| Riesgo residual | Depende de la fiabilidad de la dirección del proveedor | Depende del acceso del auditor a la organización de servicios |
Lo que un revisor de calidad busca en su archivo
Por lo que conozco de inspecciones recientes, un revisor mira tres cosas:
Primero, si la decisión sobre el periodo puente está documentada antes de tomar la decisión, no después. Un memo fechado el 5 de febrero que justifica no pedir carta puente tiene peso; un memo fechado el 20 de marzo cuando la inspección está pidiendo papeles, no.
Segundo, si la carta puente, cuando existe, ha sido leída. Suena obvio. No lo es. He visto cartas puente con cláusulas materiales de cambios de control que el equipo no había procesado porque archivó el documento como referencia y no lo integró en la evaluación.
Tercero, si la decisión de no pedir carta puente está respaldada por procedimientos alternativos efectivos. Una manifestación verbal del cliente del usuario sobre controles operados por un tercero no es procedimiento alternativo. Es ausencia de procedimiento.
Por qué existe este mercado
Las cartas puente existen porque los calendarios de informes SOC se fijaron hace 20 años, cuando los grandes proveedores estandarizaron sus periodos de aseguramiento al ciclo fiscal estadounidense, y los cierres de los usuarios europeos no se sincronizaron. El resultado es un mercado de 12.000 euros por documento que dice "no, nada ha cambiado desde septiembre". La presión estructural de honorarios sobre los auditores del usuario los empuja a saltarse el procedimiento; la oportunidad estructural de honorarios para los auditores de servicios los empuja a venderlo. Ninguno de los dos incentivos está alineado con valor de aseguramiento real.
Lo que sacaría adelante con lo que hay si tuviera que rediseñarlo: SOC 1 de ciclo natural alineado con el cierre del usuario más material del proveedor, con un periodo puente máximo de 30 días que se cubre con un anexo gratuito al informe principal. No va a ocurrir. Mientras tanto, la regla práctica es pedir la carta cuando la materialidad lo justifica, leerla cuando llega, y documentar la decisión cuando se toma.
Términos relacionados
- ISAE 3402 / NIA-ES 402: Norma sobre auditoría de organizaciones que utilizan proveedores de servicios. - Informe SOC 1 tipo 2: Informe de aseguramiento sobre diseño y operación de controles de una organización de servicios. - Subservice organisation: Proveedor que la organización de servicios principal utiliza para parte de los controles cubiertos. - Carve-out vs inclusive method: Tratamiento de las subcontratas dentro del informe SOC. - Manifestación de la dirección: Soporte documental que la dirección emite al auditor sobre asuntos no verificables por otros medios.
Herramienta: Calculadora de Materialidad
Si está evaluando si el riesgo derivado del periodo puente justifica procedimientos ampliados, la Calculadora de Materialidad NIA-ES 320 le ayudará a fijar el umbral de desempeño que orienta esa decisión.
---