Definition
Vaya por delante que la NIA-ES 402 es una de las normas que más se ignora en auditorías de empresa mediana. Por lo que he visto en los encargos que he llevado, cuando el cliente tiene su contabilidad alojada en la nube de un proveedor estadounidense, el equipo se conforma con un certificado SOC 2 que no cubre lo que tiene que cubrir, y nadie hace procedimientos alternativos. Una organización de servicios es una entidad que procesa transacciones o presta servicios relevantes para los estados financieros de la entidad usuaria. Gobernado por: NIA-ES 402.7.
Cómo funciona
Lo que falla primero es que el equipo acepta el informe que le pone delante el cliente sin mirar si cubre el período auditado, sin leer el apéndice de exclusiones de alcance, y sin comprobar la fecha respecto al cierre. Lo que realmente ocurre es que el revisor de calidad mira la opinión, ve que está sin salvedad, y firma. Marcar la casilla, lo llaman algunos compañeros.
La NIA-ES 402.5 define cuándo un servicio es relevante para la auditoría: si la actividad del proveedor produce registros contables, registros de transacciones o datos que se incluyen en los estados financieros, o si forma parte del proceso de información financiera. La NIA-ES 402.7 obliga al auditor de usuario a comprender la naturaleza y el alcance de los servicios prestados y su efecto sobre el control interno relevante para la auditoría. La NIA-ES 402.16 exige evaluar la operación efectiva de los controles cuando el plan de auditoría se apoya en ellos. En la práctica, eso significa que un informe Tipo I de hace 18 meses no basta por sí solo para concluir nada sobre el período actual.
La zona gris está en juzgar cuándo los procedimientos alternativos son necesarios y cuándo el informe del proveedor es suficiente. La NIA-ES 402.A8 recuerda que el auditor de usuario debe mantener el escepticismo profesional incluso ante un informe ISAE 3402 con opinión limpia. La NIA-ES 402.A18 da orientación cuando solo hay informe Tipo I o cuando la fecha del informe no cubre el cierre: visitas al proveedor, confirmaciones escritas, pruebas remotas con autorización del cliente. La NIA-ES 402.A24 advierte que el informe puede no contener toda la información necesaria, y que los acuerdos de nivel de servicio (SLA) y las confirmaciones directas complementan la evidencia.
No todos los proveedores son organizaciones de servicios bajo la NIA-ES. Un consultor fiscal que asesora sobre una contingencia normativa no lo es. Un proveedor en la nube que aloja la base de datos contable, sí. Un banco que procesa nóminas, también. Entre lo que pide la NIA-ES y lo que se hace en campaña hay un mundo: en muchas firmas medianas el archivo se cierra con el informe ISAE 3402 dentro y nada más.
Hay una confusión de nombres que conviene aclarar. La NIA-ES 402 se titula "Consideraciones de auditoría relativas a una entidad que usa una organización de servicios" y rige al auditor de usuario. ISAE 3402 se titula "Informes de aseguramiento sobre los controles en una organización de servicios" y rige al auditor del proveedor. Una norma dice qué tiene que hacer usted como auditor del cliente. La otra dice qué emite el colega que audita al proveedor. No son intercambiables.
Desde mi punto de vista, la confianza ciega en SOC 2 e ISAE 3402 es la mayor brecha de aseguramiento en auditorías con outsourcing crítico, porque la firma cobra por la auditoría de la entidad usuaria pero termina apoyándose en una opinión que no controla, sobre un período que muchas veces no encaja, y con un alcance que casi nadie compara contra el mapa de riesgos del encargo.
Ejemplo práctico: Logística Ibérica S.A.
Cliente: Logística Ibérica S.A., distribuidor con sede en Tarragona, ingresos de 28 millones de euros, estados financieros NIIF.
Paso 1: identificar si existe una organización de servicios
En la planificación, el equipo descubre que Logística Ibérica S.A. usa un servicio de custodia en la nube (Servidor Almacén Cloud Hispano S.L., Valencia) que aloja toda la base de datos del inventario, las facturas de clientes y los registros de coste de mercancías vendidas. El proveedor genera además los asientos automáticos de coste a partir de los movimientos de inventario que registra el cliente.
Nota de documentación: Sección 5 del programa de auditoría NIA-ES 402: identificación de proveedores de servicios. Se documenta que Servidor Almacén Cloud Hispano S.L. es organización de servicios porque procesa transacciones de inventario que entran directamente en los registros contables. Se aplican los procedimientos de la NIA-ES 402.
Paso 2: obtener el informe ISAE 3402 disponible
Se solicita el informe ISAE 3402 más reciente. El cliente entrega un Tipo II de diciembre de 2024 que cubre 12 meses, con opinión sobre la efectividad operativa de los controles de aceptación de datos, gestión de cambios y seguridad del acceso.
Nota de documentación: el informe ISAE 3402 Tipo II (auditor independiente: Deloitte España) se obtuvo el 15 de enero de 2025. El alcance cubre integridad de datos, segregación de funciones y registro automático de asientos. Se observa una excepción en un control de gestión de cambios durante febrero de 2024.
Paso 3: evaluar si el informe Tipo II es suficiente
El equipo decide que el informe cubre los controles relevantes pero la excepción exige procedimientos adicionales. Hace lo siguiente:
- Solicita confirmación escrita al proveedor sobre cómo y cuándo se remediaron los fallos de gestión de cambios. - Realiza un procedimiento analítico comparando los asientos automáticos de coste de febrero de 2024 (período de excepción) con febrero de 2023 y con el resto del ejercicio para detectar anomalías. - Selecciona una muestra de 20 asientos de diario generados automáticamente en febrero de 2024 y los contrasta contra los movimientos de inventario en el sistema del proveedor, con acceso remoto autorizado por el cliente.
Aquí aparece la complicación. Tres de los 20 asientos muestran diferencias temporales superiores a la materialidad del componente: el asiento se contabiliza el día siguiente al movimiento de inventario, en lugar del mismo día. ¿Es un artefacto del muestreo? ¿Un fallo real del control durante el período de excepción? ¿O es una incidencia separada de controles generales de TI que no está cubierta por el informe ISAE 3402?
El equipo razona en este orden. Primero, comprueba que la diferencia de un día no afecta al cierre mensual porque ambos eventos caen dentro del mismo período contable. Segundo, amplía la muestra a 40 asientos para descartar el artefacto. Las tres diferencias persisten en proporción similar. Tercero, pide al proveedor el log de gestión de cambios de febrero de 2024 y descubre que la excepción reportada se refiere precisamente al desfase de timestamping entre el módulo de inventario y el módulo contable, sin que afecte al importe ni a la imputación del coste. Cuarto, documenta que se trata de un fallo de control puntual con efecto solo en el corte temporal intramensual, no en el saldo agregado, y concluye que la evidencia es suficiente sin reformular la opinión.
Nota de documentación: Sección 7 del programa de auditoría NIA-ES 402, procedimientos adicionales. Confirmación de remediación recibida el 18 de enero de 2025 que documenta el cierre del cambio el 28 de febrero de 2024. Muestra ampliada de 40 asientos. Tres diferencias temporales sin impacto en saldo ni en imputación de período. Conclusión: los controles operaron efectivamente durante todo el período auditado.
Paso 4: documentar la conclusión
El equipo concluye que, pese a la excepción reportada en el informe ISAE 3402, los procedimientos adicionales (confirmación de remediación, prueba ampliada del período de excepción, análisis del log de cambios) ofrecen evidencia suficiente sobre el coste de mercancías vendidas. La identificación del proveedor como organización de servicios bajo la NIA-ES 402 se mantiene como base defensible.
Qué revisores y profesionales entienden mal
- Confundir la responsabilidad del auditor de usuario con la del auditor del proveedor. El informe ISAE 3402 es evidencia, no es exoneración. La NIA-ES 402.A8 obliga al auditor de usuario a mantener el escepticismo profesional y a hacer procedimientos adicionales cuando los controles o el informe no aportan evidencia suficiente. Por lo que conozco, en muchas firmas el ISAE 3402 entra en el archivo sin más comentario que "auditor independiente: opinión limpia".
- Aceptar un informe Tipo I de hace 18 meses como si fuera Tipo II. El Tipo I solo cubre el diseño en una fecha concreta, no la operación efectiva durante el período auditado. La NIA-ES 402.16 exige evaluar la efectividad operativa cuando el plan se apoya en los controles, y la NIA-ES 402.A18 da las opciones cuando solo hay Tipo I: visitas al proveedor, confirmaciones, pruebas de cambios desde la fecha del informe. Saltarse este paso es la causa más común de que los papeles estén flojos en revisión de calidad.
- No leer el apéndice de exclusiones de alcance. El Tipo II cubre solo lo que el proveedor decidió documentar. Si el informe excluye una clase de transacciones relevante para el cliente (por ejemplo, el ISAE 3402 de un banco excluye el procesamiento de cambio de moneda porque otro cliente lo pidió), el auditor de usuario debe hacer procedimientos sobre esa clase. Casi nadie revisa ese apéndice. El revisor de calidad mira el ISAE 3402 una vez, ve la opinión sin salvedad, y firma. Las excepciones del informe, las exclusiones de alcance del apéndice, la fecha del informe respecto al período auditado: nada de eso se mira con seriedad. Es una de las áreas donde la documentación está flojísima en casi todas las firmas medianas que conozco, y el patrón se repite porque el socio necesita el cliente y nadie quiere ser quien retrase el cierre por pedir procedimientos adicionales.
Informe ISAE 3402 vs. Certificación SOC 2
Una distinción práctica que se confunde a menudo:
| Aspecto | ISAE 3402 | SOC 2 |
|---|---|---|
| Estándar emisor | Internacional (IAASB) | Estados Unidos (SSAE 18 / AT-C 320) |
| Foco | Controles sobre integridad de transacciones y registros relevantes para los estados financieros | Criterios de seguridad, disponibilidad, integridad de procesamiento, confidencialidad, privacidad |
| Tipo de opinión | Sobre diseño (Tipo I) o sobre diseño y operación efectiva (Tipo II) | Sobre cumplimiento con los criterios de Trust Services |
| Uso típico fuera de EE.UU. | Aceptado como evidencia primaria | Evidencia parcial, normalmente requiere procedimientos complementarios |
Para un auditor de usuario fuera de EE.UU. (por ejemplo, auditando una entidad española cuyos registros están alojados en un servidor estadounidense con solo un certificado SOC 2), el SOC 2 ofrece evidencia limitada. El auditor debe valorar si el certificado cubre el alcance de transacciones relevantes, si la fecha del certificado encaja con el período auditado, si los criterios de Trust Services se alinean con los riesgos de control identificados, y si las exclusiones del informe afectan a clases de transacciones que el plan de auditoría confía a controles del proveedor.
Aquí aparece un desacuerdo legítimo entre socios que he visto resolverse de las dos maneras. El socio A acepta el SOC 2 como evidencia suficiente cuando el proveedor en la nube es de tamaño global, porque sostiene que los criterios de integridad de procesamiento del Trust Services Framework cubren materialmente lo mismo que los objetivos de control sobre la información financiera y porque la presión de mercado sobre estos proveedores hace improbable un fallo sistémico de control no detectado. El socio B exige siempre procedimientos alternativos o confirmación escrita, porque sostiene que los criterios SOC 2 no se mapean limpiamente contra los objetivos de control de la NIA-ES 402 sobre información financiera, que la opinión SOC 2 está dirigida a usuarios distintos del auditor de estados financieros, y que firmar sin procedimientos propios es trasladar el riesgo de auditoría al despacho. Las dos posiciones son razonables y la diferencia suele decidirla la cultura de la firma más que la norma.
Cuanto más grande es el proveedor en la nube, más difícil es obtener procedimientos alternativos significativos, y eso convierte el ISAE 3402 (o el SOC 2) en la única evidencia disponible aunque el auditor desconfíe. Esa es la trampa estructural de auditar entidades con outsourcing crítico: a veces no queda más remedio que sacar adelante con lo que hay, y el archivo refleja esa renuncia con eufemismos.
La objeción habitual es que el auditor no puede auditar al proveedor en la nube. Es cierto que no puede entrar como auditor del proveedor. Puede pedir confirmaciones escritas, examinar el SLA contra la matriz de riesgos, hacer pruebas remotas con autorización del cliente, y exigir un Tipo II que cubra el período. Si el proveedor se niega y el cliente no presiona, eso ya es información sobre el ambiente de control que pertenece al archivo. La verdad práctica es que la mayoría de firmas medianas no llega a ese nivel de exigencia porque el socio necesita el cliente, los plazos aprietan, y nadie quiere abrir un frente con el proveedor durante campaña.
Términos relacionados
- ISAE 3402: norma internacional de aseguramiento que regula el informe que emite el auditor de la organización de servicios sobre los controles relevantes para los usuarios. No regula al auditor de usuario (eso lo hace la NIA-ES 402).
- Informe Tipo I vs. Tipo II: el Tipo I cubre el diseño de los controles en una fecha concreta. El Tipo II cubre diseño y operación efectiva durante un período. En la práctica, el Tipo I rara vez basta sin procedimientos adicionales.
- Control en una organización de servicios: control operado por el proveedor que forma parte del sistema de control interno de la entidad usuaria a efectos de los estados financieros.
- Evaluación del riesgo de la entidad usuaria: proceso por el que el auditor de usuario identifica si una entidad presta servicios suficientes para activar la NIA-ES 402, decisión que cambia los procedimientos exigibles.
- Procedimientos de auditoría alternativos: cuando no hay informe ISAE 3402 o el existente no basta, el auditor de usuario realiza visitas al proveedor, confirmaciones escritas, cuestionarios o pruebas remotas con autorización del cliente.
- Custodia de activos: caso particular de organización de servicios donde el proveedor mantiene físicamente activos (valores, efectivo) de la entidad usuaria.
---