aspectos central

ISAE 3402 es reconocido internacionalmente; SOC 1 es el estándar estadounidense, aunque se usa globalmente por entidades con clientes estadounidenses.
Ambos informes evalúan controles en organizaciones de servicios, pero ISAE 3402 existe en dos tipos (Tipo I y Tipo II), mientras que SOC 1 no hace esta distinción formal.
La elección depende de dónde radica la entidad de servicios y dónde operan sus clientes: SOC 1 para Estados Unidos e internacionalmente cuando los usuarios lo requieren; ISAE 3402 para Europa y mercados que siguen normas IFAC.
---

Tabla comparativa

| Aspecto | ISAE 3402 | SOC 1 |
|---|---|---|
| Autoridad emisora | IAASB (IFAC) — estándar internacional | AICPA (American Institute of CPAs) — estándar estadounidense |
| Alcance geográfico | Europa, Asia-Pacífico, América Latina, mercados que adoptan estándares IFAC | Estados Unidos; aceptado globalmente, especialmente por clientes estadounidenses |
| Estructura de tipos | Tipo I (controles en un momento dado) y Tipo II (controles durante un período) | Tipo I y Tipo II con nomenclatura similar, pero definiciones operativas ligeramente distintas |
| Período de evaluación | Tipo I: punto en el tiempo; Tipo II: mínimo 6 meses | Tipo I: punto en el tiempo; Tipo II: típicamente 6 a 12 meses |
| Alcance del control | Auditor define el alcance sobre la base de criterios de control relevantes para el usuario | Auditor define el alcance sobre criterios de control específicos de AICPA |
| Confianza del usuario | Alta en territorios que reconocen IFAC | Alta en mercados estadounidenses y entre usuarios institucionales estadounidenses |
| Costo relativo | Generalmente menor en mercados europeos | Generalmente mayor; requiere auditor certificado AICPA |
| Aceptación regulatoria | Aceptado por reguladores europeos y del Mercosur | Preferido por reguladores y supervisores estadounidenses |
---

Cuándo importa la distinción en un encargo

Un proveedor de servicios compartidos (SSC) con matriz en Alemania pero clientes distribuidos entre Europa y Estados Unidos enfrenta una pregunta clara: ¿ISAE 3402 o SOC 1?
Si la cartera de clientes es 80% europea (bancos, aseguradoras, fondos de inversión españoles, italianos, holandeses), el informe ISAE 3402 Tipo II satisface las expectativas de cumplimiento regulatorio. Los usuarios europeos lo reconocen porque sus supervisores (BCE, CNMV, BNB) lo aceptan como prueba de control en proveedores de servicios.
Si la cartera incluye un cliente estadounidense importante (un fondo de inversión estadounidense que usa el SSC para procesamiento de transacciones), ese cliente requerirá un SOC 1. Un SOC 1 Tipo II demuestra que los controles operaron durante al menos seis meses, lo que tranquiliza al usuario estadounidense sobre la consistencia del control.
Una entidad que intenta satisfacer ambos mercados tiene tres opciones:
La confusión operativa entre ISAE 3402 y SOC 1 es costosa: un SSC puede invertir tres meses y 80.000 euros en un ISAE 3402 Tipo II solo para descubrir que un cliente importante requería SOC 1. Esto obliga a una segunda auditoría.
---

  • Solicitar ambos informes. El SSC encarga un ISAE 3402 Tipo II para clientes europeos y un SOC 1 Tipo II para clientes estadounidenses. Costo: dos auditorías separadas. Beneficio: máxima aceptación en cada territorio.
  • Usar SOC 1 globalmente. El SSC encarga un SOC 1 Tipo II (que puede ser realizado por un auditor internacional certificado AICPA). Los usuarios europeos lo aceptarán, aunque con menor entusiasmo que un ISAE 3402 local. Costo: medio. Beneficio: una auditoría cubre ambos mercados.
  • Usar ISAE 3402 como principal, SOC 1 como suplementario. El SSC encarga un ISAE 3402 Tipo II (satisfaciendo a usuarios europeos) y proporciona a usuarios estadounidenses una "declaración de conformidad" o una auditoría SOC 1 limitada. Este enfoque es poco frecuente porque requiere que usuarios estadounidenses confíen en un ISAE 3402 que no comprenden completamente.

Cómo funciona cada norma

ISAE 3402 en la práctica


La norma ISAE 3402 define dos tipos de informe. Un informe Tipo I describe los controles tal como existen en una fecha específica (por ejemplo, 31 de diciembre). El auditor examina la efectividad del diseño del control en esa fecha, pero no prueba si el control operó consistentemente durante un período.
Un informe Tipo II describe los controles y su operación durante un período especificado. El auditor prueba si el control operó de acuerdo con su diseño durante ese período (típicamente entre 6 y 12 meses). Este informe proporciona mayor seguridad al usuario.
El criterio de control bajo ISAE 3402 es flexible: el auditor y la entidad de servicios acuerdan qué controles son "relevantes" para los objetivos de control de usuario. Esto permite adaptar el alcance del informe a necesidades específicas de un sector o tipo de cliente.

SOC 1 en la práctica


Un informe SOC 1 Tipo I describe los controles en una fecha específica. El auditor proporciona una opinión sobre si los controles fueron diseñados efectivamente, pero no prueba operación a lo largo del tiempo.
Un informe SOC 1 Tipo II describe los controles y proporciona pruebas de que operaron efectivamente durante un período especificado (generalmente 6 a 12 meses). El auditor realiza pruebas de control (por ejemplo, trazas de transacciones, revisión de excepciones).
El marco SOC 1 usa criterios de control de AICPA, que son más prescriptivos que los de ISAE 3402. Esto significa que la estructura y los objetivos de control están más estandarizados: "control de cambios de sistemas," "segregación de funciones," "reconciliaciones mensuales." El auditor trabaja dentro de esos criterios predefinidos.
---

Ejemplo práctico: una entidad que ofrece servicios de nómina

Contexto: Nómina Integral S.L. (empresa ficticia con sede en Barcelona) proporciona servicios de procesamiento de nóminas a 150 empresas españolas, italianas y portuguesas, y a 12 empresas estadounidenses medianas. La empresa mantiene sistemas de nómina alojados en la nube, accede a datos bancarios de clientes para las transferencias de sueldo, y mantiene datos de empleados confidenciales.
Paso 1: Evaluación de la cartera de usuarios:
Nómina Integral obtiene una lista de clientes y su ubicación. De los 162 usuarios, 150 son europeos (residen en España, Italia, Portugal) y 12 son estadounidenses (con matriz en Estados Unidos, aunque pueden operar globalmente).
Nota de documentación: El auditor documenta esta distribución en la memoria inicial del encargo. La decisión sobre el estándar depende de dónde radica la mayoría de los usuarios finales que leerán el informe.
Paso 2: Evaluación de requerimientos regulatorios:
Nómina Integral consulta con su gerente de auditoría interna. Los usuarios españoles están regulados por la CNMV (fondos de pensión) y la Inspección de Hacienda (requisitos de control en proveedores de servicios). Los supervisores españoles aceptan ISAE 3402. Los usuarios estadounidenses están regulados por la SEC o la FINRA si cotizan o si manejan valores. La SEC y FINRA aceptan SOC 1 como prueba de control.
Nota de documentación: El auditor resume estos requerimientos en el memo de planificación. Esto documenta por qué se eligió ISAE 3402 Tipo II (no Tipo I) para satisfacer a usuarios europeos que requieren evidencia de operación consistente durante el año.
Paso 3: Definición del alcance bajo ISAE 3402:
Nómina Integral y el auditor definen los "objetivos de control relevantes para el usuario" bajo ISAE 3402. Estos incluyen:
Nota de documentación: Estos objetivos se documentan en el informe ISAE 3402 y son los mismos que aparecerían en un SOC 1, pero bajo ISAE 3402 tienen flexibilidad en la redacción y la profundidad.
Paso 4: Período de evaluación:
El auditor audita los controles durante el período 1 de enero a 31 de diciembre. Realiza pruebas trimestrales para verificar que los controles operaron efectivamente durante todo el año (por ejemplo, muestras de 20 cambios de sistema autorizados en enero, marzo, junio, octubre).
Nota de documentación: El archivo de auditoría incluye pruebas trimestrales que demuestran la operación consistente. Esto es lo que convierte el ISAE 3402 en un "Tipo II": la evidencia de operación a lo largo del tiempo, no solo en la fecha de cierre.
Paso 5: Redacción del informe:
El auditor redacta un informe ISAE 3402 Tipo II que dice: "En nuestra opinión, en todos los aspectos significativos, los controles descritos operaron de manera efectiva durante el período 1 de enero a 31 de diciembre de 2024."
Conclusión: Nómina Integral distribuye este ISAE 3402 a sus clientes europeos. Los supervisores españoles lo aceptan. Los 12 clientes estadounidenses reciben una copia pero pueden requerir un SOC 1 adicional si sus reguladores son estrictos. Nómina Integral ahora sabe que necesita planificar una segunda auditoría SOC 1 para satisfacer plenamente a esos clientes estadounidenses.
---

  • Control sobre el acceso a datos de empleados (quién puede ver números de cuenta bancaria)
  • Control sobre el procesamiento de nóminas (validaciones del sistema antes de las transferencias)
  • Control sobre cambios al sistema (quién autoriza actualizaciones de software)
  • Reconciliación de pagos transferidos contra registros de nómina

Lo que revisores y auditores entienden mal

---

  • Confundir Tipo I con Tipo II: Un Tipo I demuestra diseño de control en una fecha específica. Un Tipo II demuestra operación durante un período. Un auditor de un cliente estadounidense que lee un informe ISAE 3402 Tipo I sin darse cuenta de que es Tipo I puede concluir que el control operó durante un año cuando en realidad solo se evaluó en una fecha. La documentación del auditor debe declarar claramente "Tipo I" o "Tipo II" en el resumen ejecutivo.
  • Suponer que SOC 1 y ISAE 3402 son intercambiables: No lo son. Un regulador español que requiere prueba de control de un proveedor de servicios en la nube podría rechazar un SOC 1 porque no se emite bajo normas que la CNMV reconoce formalmente. Inversamente, un cliente estadounidense podría rechazar un ISAE 3402 porque sus auditores externos estadounidenses no lo conocen bien. La confirmación anticipada con el usuario de cuál es aceptable evita retrasos en el cronograma.
  • No diferenciar entre "opinión sin salvedades" e "idoneidad del diseño": Un ISAE 3402 o SOC 1 puede incluir una salvedad (por ejemplo, "uno de los cinco controles no operó efectivamente durante julio"). Una opinión con salvedad sigue siendo una opinión, pero comunica que hubo una brecha de control. Muchos usuarios leen erróneamente una salvedad como un "rechazo" cuando en realidad es una evaluación matizada de la efectividad.

Comparación adicional: consideraciones de auditoría interna

En muchas entidades de servicios, el auditor interno participa en la preparación del informe ISAE 3402 o SOC 1. El auditor interno puede realizar pruebas de control (por ejemplo, verificar que los registros de cambios de sistemas están completos) y documentar el diseño del control (por ejemplo, diagramas de flujo). El auditor externo que emite el informe revisa este trabajo.
Bajo ISAE 3402, el auditor interno puede ser más flexible en la selección de qué controles documentar porque ISAE 3402 permite alcances adaptados. Bajo SOC 1, el auditor interno debe seguir una lista más estándar de categorías de control de AICPA, lo que deja menos espacio para adaptación.
---

Términos relacionados

---

Términos relacionados

ISAE 3402 Tipo IISAE 3402 Tipo IIObjetivos de control de usuarioInforme SOC 2Auditoría de proveedor de serviciosAICPA AU-C Section 320

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.