ISAE 3402

Aspectos centrales

- La ISAE 3402 genera un informe de aseguramiento sobre controles en un proveedor de servicios que afecta a los estados financieros de la entidad usuaria. - El trabajo se realiza en el proveedor, no en la entidad usuaria, pero el resultado se usa durante la auditoría de la entidad usuaria para evaluar el riesgo de control en esa área. - Dos tipos de informe: Tipo I (diseño de controles) y Tipo II (diseño y funcionamiento durante un período). - Un hallazgo de inspección recurrente del ICAC: los auditores aceptan informes ISAE 3402 sin comprobar que estén actualizados ni que cubran los procesos relevantes para la auditoría.

Cómo funciona

La ISAE 3402 entra en juego cuando una entidad usuaria contrata a un tercero para llevar a cabo funciones que afectan a los datos contables. Pongamos un banco mediano que subcontrata la custodia de valores a un proveedor especializado: necesita entender qué controles tiene ese proveedor para que los valores no se pierdan, no se dupliquen y no se registren mal.

En lugar de que el auditor del banco vaya y audite directamente al custodio (caro y muchas veces inviable por temas de confidencialidad), el custodio contrata a un auditor independiente para ejecutar el encargo ISAE 3402. Ese auditor examina si los controles descritos por el custodio en el "description of the service organization's system" (DSOS) están implantados y funcionan.

El auditor del banco usuario entonces obtiene el informe y lo usa como evidencia de que los riesgos de control en la función de custodia están mitigados. Esto reduce el volumen de pruebas sustantivas que el equipo del banco necesita ejecutar por su cuenta.

NIA-ES 402 exige que el auditor de la entidad usuaria evalúe si el informe ISAE 3402 es relevante y fiable. Lo que realmente ocurre es que el informe se archiva en PT, se cita en la sección de control interno y nadie vuelve a abrirlo hasta la siguiente revisión de calidad (si llega). El papel está flojo y, si llega el ICAC, el problema es tuyo.

La tesis: el ISAE 3402 como externalización del juicio

Voy a poner la tesis encima de la mesa. El ISAE 3402 es, en demasiados encargos, un instrumento de externalización del juicio del auditor (y eso es precisamente el problema). El cliente paga el informe, el proveedor lo encarga, el auditor del proveedor lo emite, y el auditor de la entidad usuaria lo trata como un sello de calidad sin leerlo.

El contraargumento es razonable: el ISAE 3402 es un mecanismo legítimo de eficiencia. Sin él, cada banco usuario tendría que auditar a cada custodio cada año. El coste sería enorme, el cliente acabaría pagándolo y la calidad del aseguramiento no necesariamente subiría.

Acepto el contraargumento, pero no la conclusión. El mecanismo es legítimo cuando el auditor de la entidad usuaria hace su trabajo: lee el DSOS, evalúa el período, identifica las excepciones, comprueba los CUEC (Complementary User Entity Controls) y documenta procedimientos adicionales si hace falta. Cuando el equipo se limita a marcar la casilla, el ISAE 3402 deja de ser evidencia y pasa a ser un trámite.

Tipo I frente a Tipo II

Tipo I Describe el diseño de los controles a una fecha concreta. El auditor evalúa si los controles están implantados (existen y funcionan en teoría) pero no prueba si funcionaron a lo largo de un período.

Útil para: proveedores nuevos, sistemas recién implantados, primeros años de relación contractual.

Tipo II Describe el diseño y la operación de los controles durante un período (habitualmente seis meses a un año). El auditor del proveedor ejecuta procedimientos para confirmar que los controles funcionaron como se describieron a lo largo de ese período.

Útil para: relaciones de proveedor consolidadas, evaluaciones donde el equipo necesita entender si los controles mitigan riesgos en el tiempo.

La diferencia importa porque un Tipo II aporta evidencia de funcionamiento, no solo de existencia. Un Tipo I sigue siendo válido si el auditor de la entidad usuaria complementa el informe con procedimientos adicionales (confirmaciones de terceros, inspecciones, pruebas de control propias). El error de manual: citar un Tipo I como si fuera Tipo II en el papel de trabajo. Falta chicha. La inspección lo detecta a la primera lectura.

Ejemplo práctico: Banco Mediterráneo S.A.

Cliente: Banco Mediterráneo S.A., Madrid, activos bajo custodia de 240 millones de euros, IFRS.

Paso 1: identificar qué funciones están subcontratadas El equipo identifica que el custodio de valores (Servicios de Custodia Ibérica S.A., Barcelona) maneja la entrada de valores, la reconciliación de cantidades y la generación de reportes de posición. Estos procesos afectan directamente a la integridad de las cuentas de valores del banco.

Nota de documentación: en el PT 6.2 (Procedimientos sobre servicios subcontratados) se documenta la función, el proveedor y los riesgos de negocio asociados.

Paso 2: obtener y evaluar el informe ISAE 3402 existente El equipo obtiene el informe ISAE 3402 Tipo II del custodio, emitido hace 14 meses. Cubre la función de custodia y describe controles preventivos sobre entrada de datos y controles detectivos sobre la reconciliación diaria.

Nota de documentación: copia del informe ISAE 3402 (Anexo 6.2.1). Se verifica fecha de emisión y se confirma que el alcance cubre las transacciones de valores que el banco procesa a través del custodio.

Paso 3: evaluar relevancia y oportunidad del informe El equipo verifica que: - El período cubierto por el Tipo II (noviembre 2023 a octubre 2024) se solapa con el ejercicio auditado (enero a diciembre 2024). La cobertura es suficiente para 10 meses; faltan noviembre y diciembre 2024. - El informe describe los controles sobre entrada, custodia y reporte de valores. Cubre lo que el banco necesita entender. - El auditor del custodio (firma internacional, registrada) es independiente y competente. - El informe identifica que el custodio externaliza la infraestructura cloud a AWS. El alcance del ISAE 3402 usa carve-out: AWS queda fuera. Se necesita el SOC 1 / SOC 2 de AWS para cubrir los controles de TI generales.

Nota de documentación: matriz de evaluación ISAE 3402 (Anexo 6.2.2): relevancia, alcance temporal, independencia del auditor, opinión sin salvedades. Se identifica gap de período (nov-dic 2024) y gap de alcance (carve-out AWS).

Paso 4: la complicación El equipo solicita el SOC 1 / SOC 2 de AWS al custodio. AWS publica un SOC 2 Tipo II que cubre el período de abril 2023 a marzo 2024. El gap se amplía: noviembre 2023 a octubre 2024 cubierto por ISAE 3402 del custodio, abril 2023 a marzo 2024 cubierto por SOC 2 de AWS, pero el cierre del banco va hasta diciembre 2024. Faltan abril a diciembre 2024 en la pieza AWS.

Nota de documentación: se documenta la cadena (custodio -> AWS), los períodos de cada informe y los gaps. PT 6.2.3.

Paso 5: procedimientos adicionales sobre los gaps NIA-ES 402.14 exige que el equipo lleve a cabo procedimientos adicionales sobre la información que el custodio proporciona al banco. El equipo confirma directamente con el custodio la posición de valores del banco al cierre (confirmación de terceros) y prueba la precisión de los reportes reconciliando una muestra de 25 transacciones frente a los registros del banco. Para cubrir el gap AWS de abril a diciembre 2024, el equipo solicita al custodio una bridge letter de AWS y documenta walk-throughs sobre los controles de acceso y backup en el entorno cloud.

Nota de documentación: confirmación externa al custodio (PT 6.3.1). Reconciliación de 25 transacciones (PT 6.3.2). Bridge letter AWS (PT 6.3.3). Walk-through controles cloud (PT 6.3.4).

Conclusión El informe ISAE 3402 del custodio, junto con el SOC 2 de AWS, la bridge letter y los procedimientos adicionales, aportan suficiente evidencia de que los controles sobre custodia de valores están implantados y operan correctamente. El equipo documenta esta conclusión en PT 6.4 (riesgo de control sobre función de custodia = bajo) y reduce el alcance de las pruebas sustantivas sobre la posición de valores al importe de materialidad de funcionamiento (en lugar de materialidad de planificación). Esto es defendible porque la evidencia mitigó el riesgo identificado en planificación.

Una discrepancia legítima entre socios

Sobre los gaps de período hay dos posturas razonables que conviven en la profesión.

El Socio A sostiene que un gap inferior a tres meses se puede cubrir con preguntas a la dirección del proveedor más una bridge letter más walk-throughs sobre los controles relevantes. El argumento: si no ha habido cambios significativos en el sistema, el riesgo residual es bajo y la evidencia adicional cubre el agujero. El cliente no tiene por qué pagar pruebas sustantivas extras.

El Socio B sostiene que cualquier gap de período exige procedimientos sustantivos en la entidad usuaria, sin excepciones. El argumento: la bridge letter es una declaración de la dirección del proveedor (no es evidencia de aseguramiento), y las preguntas no detectan fallos de control. Si el cliente quiere apoyarse en el ISAE 3402 fuera del período cubierto, el coste extra de las sustantivas es del cliente.

¿Cuál tiene razón? Depende de la materialidad del proceso, del historial del proveedor y de la criticidad de los controles. En mi caso, en encargos de banca y seguros me inclino por el Socio B, porque la regulación del Banco de España y la DGSFP no perdona los gaps documentales. En encargos de servicios menos regulados acepto la postura del Socio A si el proveedor lleva años sin cambios y la bridge letter cubre los puntos relevantes.

Qué cometen mal los revisores y los auditores

Aceptar un informe ISAE 3402 demasiado antiguo. NIA-ES 402.12 exige que el equipo evalúe si la información del informe es suficientemente contemporánea. Un informe de hace más de dos años no es defendible. El hallazgo de inspección típico: ISAE 3402 de hace 18 meses archivado sin justificación del alcance temporal. Si es más antiguo, el equipo debe ejecutar procedimientos adicionales significativos (visita al proveedor, pruebas sobre transacciones recientes) y documentar por qué esos procedimientos, en combinación con el informe anterior, son suficientes.

No verificar que el alcance del informe coincida con el alcance de la auditoría. Un informe ISAE 3402 puede cubrir solo el procesamiento de pagos internacionales, mientras el proveedor también procesa pagos nacionales relevantes. El equipo usa el informe como prueba de control sobre pagos nacionales sin comprobar la cobertura. NIA-ES 402.11 exige que el equipo evalúe si el DSOS cubre los controles relevantes. Hay que leer el alcance con calma.

Ignorar las salvedades del informe. Un Tipo II puede incluir una restricción sobre la extensión de los procedimientos ("el auditor no pudo observar el proceso de reconciliación durante julio") o una excepción de control ("la reconciliación manual falló en 3 casos durante el período"). El equipo lee la opinión sin salvedades en la primera página y no examina las excepciones documentadas en la sección de resultados. NIA-ES 402.13 exige que el equipo evalúe si alguna excepción o restricción es relevante. Hay que documentarlo de forma explícita.

Confundir Tipo I con Tipo II. El Tipo I no prueba funcionamiento. Citarlo como si fuera Tipo II en el PT es uno de los hallazgos más fáciles de detectar en una inspección. La norma no toma por tontos a los usuarios; algunas personas en la profesión sí lo hacen.

El incentivo perverso

Una observación que merece la pena pensar despacio. Los proveedores de servicio publican ISAE 3402 Tipo I (más barato, sin pruebas de funcionamiento) sabiendo que muchos auditores los van a tratar como si fueran Tipo II. El cliente paga por el informe, el auditor del proveedor lo emite, el auditor de la entidad usuaria lo archiva, nadie lee la sección de limitations y todos firman. El sistema funciona porque todos miran para otro lado. Hasta que llega una inspección del ICAC y entonces resulta que fue un trámite. Hay que echarle muchas horas (no pagadas, ) a la lectura crítica del informe. Pero ese es precisamente el trabajo del auditor de la entidad usuaria.

Términos relacionados

- Procedimientos de auditoría en un servicio contratado: cómo evaluar los riesgos de control cuando una función se delega a un tercero - Confirmación de terceros: cómo obtener directamente del proveedor la confirmación de información que afecta a la auditoría - Riesgo de control: por qué la fortaleza de los controles del proveedor reduce el riesgo que el equipo necesita mitigar - Auditoría de especificaciones técnicas: cuando se audita el proveedor directamente en lugar de apoyarse en un informe ISAE 3402 - NIA-ES 402: consideraciones de auditoría relativas a una entidad usuaria de un servicio en línea: la norma que rige cómo el auditor de la entidad usuaria usa los informes ISAE 3402

Herramienta de evaluación de ISAE 3402

Nuestro Evaluador de confiabilidad de ISAE 3402 automatiza la verificación de si un informe ISAE 3402 es lo bastante reciente, cubre el alcance correcto y contiene las opiniones necesarias para usarlo como evidencia. Introduce la fecha del informe, el período cubierto y el alcance declarado, y la herramienta genera una matriz de riesgo con los procedimientos adicionales que el equipo necesita para mitigar cualquier brecha.

---