Cómo funcionan estos tres estándares

Un proveedor de servicios (por ejemplo, una plataforma de nómina o un procesador de pagos) opera sistemas que afectan a múltiples clientes. Cada cliente necesita evaluar si los controles del proveedor son suficientemente sólidos para que el auditor del cliente pueda colocar algo de confianza en ellos. El AICPA creó la familia SOC para describir esos controles de forma estandarizada.
SOC 1 se dirige específicamente a auditores de usuarios finales. El auditor de la empresa cliente necesita evaluar el riesgo de que los datos financieros que pasan por el proveedor de servicios contengan errores por debajo de la materialidad del cliente. Según ISA 402, el auditor de la organización que usa el servicio debe obtener evidencia suficiente y apropiada sobre los controles en el proveedor de servicios. Un informe SOC 1 Tipo II (que cubre un período de operación, típicamente 6 a 12 meses) proporciona esa evidencia. Un auditor externo que recibe un informe SOC 1 sin salvedades puede reducir el nivel de procedimientos sustantivos en ciertos ciclos de transacciones, siempre que haya validado la designación de auditor SOC 1 y verificado la integridad del informe.
SOC 2 se dirige a cualquier parte interesada que necesite garantías sobre controles que no son financieros por naturaleza. Los criterios de servicios de confianza del AICPA definen cinco dimensiones: seguridad (protección contra acceso no autorizado), disponibilidad (el sistema está disponible para su uso previsto), confidencialidad (la información protegida se divulga solo a partes autorizadas), integridad (la información es precisa, completa y autorizada), y privacidad (la información personal se recopila, usa y divulga de acuerdo con la política declarada). Un proveedor de servicios de salud en la nube obtendría un informe SOC 2 para demostrar que implementó controles de seguridad, disponibilidad e integridad. Un banco tecnológico obtendría un informe SOC 2 que cubre los cinco criterios.
SOC 3 es la versión resumida y sin restricciones de SOC 2. Donde SOC 2 es un informe detallado de 30-50 páginas dirigido a usuarios que pueden actuar sobre los hallazgos (auditores internos, reguladores, auditores externos), SOC 3 es una declaración de una página que el proveedor de servicios puede publicar en su sitio web diciendo "hemos sido auditados bajo SOC 2 y no se identificaron deficiencias significativas." SOC 3 no proporciona ningún detalle sobre qué se probó o cómo; es una señal de confianza de marketing.

Tabla comparativa: SOC 1, SOC 2, SOC 3

| Dimensión | SOC 1 | SOC 2 | SOC 3 |
|---|---|---|---|
| Audiencia objetivo | Auditores de clientes que usan el servicio | Usuarios internos, reguladores, auditores internos, auditores externos | Público general, sitio web del proveedor |
| Criterios de control | Controles relevantes para la auditoría financiera de la organización cliente | Seguridad, disponibilidad, integridad, confidencialidad, privacidad del proveedor de servicios | Idéntico a SOC 2 (resumen de 2-3 páginas) |
| Período cubierto | Tipo I (punto en el tiempo) o Tipo II (mínimo 6 meses de operación) | Tipo I o Tipo II (típicamente 12 meses) | Punto en el tiempo basado en SOC 2 más reciente |
| Distribución | Bajo acuerdo de confidencialidad; solo para usuarios autorizados del proveedor | Bajo acuerdo de confidencialidad; clientes específicos, reguladores | Sin restricción; publicado públicamente |
| Opinión del auditor | Explícita: "conforme" o "no conforme en aspectos especificados" | Explícita: "conforme" o "no conforme en aspectos especificados" | Resumen: presencia/ausencia de deficiencias significativas |
| Procedimientos de auditoría | Pruebas de controles diseñados para reducir el riesgo de auditoría en transacciones financieras | Pruebas de controles operacionales y técnicos; sin enfoque en el riesgo de auditoría financiera | Resumen narrativo sin detalle técnico |

Cuándo la distinción importa en un encargo de auditoría

Supongamos que está auditando Grupo Logístico Andaluz S.L., una empresa de distribución con ingresos de 18,5 millones de euros. Usan una plataforma de facturación en la nube alojada por CloudPayments Ibérica. Usted necesita evaluar si puede confiar en que los datos de facturación registrados en el módulo de ingresos de CloudPayments son precisos y están autorizados.
Solicita a CloudPayments un informe de control. Reciben un informe SOC 2. Usted lo abre y espera ver evidencia de que los controles de acceso, autorización y integridad de datos fueron probados. En cambio, ve principalmente controles de seguridad de la infraestructura: encriptación en tránsito, pruebas de penetración, gestión de acceso físico a centros de datos. Estos controles son valiosos para la seguridad general, pero no le dicen nada sobre si los registros de facturación fueron autorizados correctamente o si el cálculo del impuesto sobre el valor añadido es correcto.
Lo que necesita es un informe SOC 1. Un SOC 1 habría incluido procedimientos de auditoría específicos para los controles de autorización de facturas, las validaciones de impuestos y la conciliación del libro mayor de ingresos. El auditor de CloudPayments habría probado que los cambios no autorizados en las tarifas de facturación se rechazaban automáticamente, y que los reportes de ingresos se reconciliaban mensalmente con datos de facturación de origen. Con un SOC 1 Tipo II (que cubre 12 meses de operación), usted puede reducir el número de transacciones de ingresos que prueba manualmente, porque la evidencia del control del proveedor respalda el enfoque.
Si Grupo Logístico Andaluz también quisiera publicar en su memoria de sostenibilidad que su infraestructura de pagos es segura, podrían obtener un informe SOC 3 de CloudPayments. Esto les permitiría incluir una línea de confianza en su informe anual sin exponer los detalles técnicos de los controles. Pero el SOC 3 no ayudaría a su auditoría financiera.
Documentación: En el expediente de ingresos, usted registraría: "Recibido informe SOC 1 Tipo II de CloudPayments (período: 1/1/2024–31/12/2024). Auditor: [nombre]. Sin salvedades identificadas. Procedimientos de auditoría de [especificar ciclo] reducidos en línea con NIA-ES 402.25."

Lo que los revisores y auditores internos confunden

  • Usando SOC 2 como base para reducir procedimientos sustantivos de ingresos: Un hallazgo de inspección frecuente es que los auditores han confiado en un informe SOC 2 de un procesador de pagos para reducir las pruebas de autorización de ingresos. El SOC 2 proporciona garantías sobre la seguridad de la infraestructura, pero no es suficiente para cumplir la NIA-ES 402.25, que requiere evidencia sobre controles relevantes para la auditoría financiera específicamente. Un SOC 1 Tipo II es el artefacto de evidencia correcto. La confusión surge porque los proveedores de servicios a menudo publican "tenemos un informe SOC 2" sin aclarar que también pueden obtener un SOC 1 si lo pide el cliente.
  • No solicitar un informe SOC 1 Tipo II con una carta de gestión o período de cobertura adecuado: Cuando un cliente se integra con un proveedor de servicios antes del final de su año fiscal (por ejemplo, migrando a CloudPayments en octubre), algunos auditores aceptan un SOC 1 Tipo I (punto en el tiempo en septiembre) como evidencia para octubre-diciembre. La NIA-ES 402 requiere un período de operación suficiente para evaluar la eficacia del control (típicamente un mínimo de 6 meses, 12 meses es mejor). Un Tipo I captura un solo punto en el tiempo y no proporciona evidencia de que el control funcionara consistentemente. El auditor debe documentar por qué el período reducido de cobertura es suficiente para su evaluación del riesgo de auditoría.
  • Aceptar un informe SOC 3 como sustituto de due diligence de controles: Algunos auditores menos experimentados ven que un cliente es una entidad controladora de un grupo tecnológico y que ese grupo "tiene un informe SOC 3 publicado." Aceptan esto como garantía de control. Un SOC 3 es una declaración de una página sin detalles. No reemplaza el análisis de controles específicos de la entidad cliente bajo auditoría. Si la empresa cliente ejecuta sus propios servidores o aplica un software licenciado diferente, los controles de SOC 3 de su proveedor tecnológico padre no son relevantes.

Términos relacionados

---

  • ISA 402: el estándar internacional que gobierna cómo un auditor obtiene evidencia sobre controles en proveedores de servicios. Requiere que el auditor de la organización cliente determine si puede confiar en los controles del proveedor y, en caso afirmativo, qué evidencia necesita para hacerlo
  • Informe ISAE 3402: en jurisdicciones que no usan SOC (principalmente fuera de Estados Unidos), ISAE 3402 proporciona el marco equivalente para que un auditor de servicios emita un informe sobre los controles en un proveedor de servicios
  • Carta de gestión de proveedores de servicios: una carta del auditor del proveedor de servicios al auditor del cliente, explicando el alcance, los criterios de control y cualquier salvedad o deficiencia identificada en el informe de control
  • Deficiencias en los controles: hallazgos documentados en un informe SOC 1 o SOC 2 donde un control no fue diseñado para ser efectivo, o funcionó de manera incompleta durante el período cubierto
  • Período de cobertura de un informe de control: el período de tiempo durante el cual el auditor del proveedor de servicios probó los controles. Un Tipo I es un punto en el tiempo; un Tipo II es un período mínimo de 6 a 12 meses
  • Riesgo de auditoría relacionado con el proveedor de servicios: el riesgo de que los controles insuficientes en un proveedor de servicios resulten en errores en los datos o transacciones que se registran en el cliente y que no sean detectados por los procedimientos de auditoría del cliente

Términos relacionados

ISA 402Informe ISAE 3402Carta de gestión de proveedores de serviciosDeficiencias en los controlesPeríodo de cobertura de un informe de controlRiesgo de auditoría relacionado con el proveedor de servicios

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.