Organización Subcontrante

Cómo funciona

Una organización de servicios típicamente subcontrata funciones no necesaries (procesamiento de nóminas, almacenamiento de datos, operaciones de centros de datos) pero también puede subcontratar funciones críticas de control. El auditor de la organización de servicios debe evaluar si esos servicios subcontratados afectan la capacidad de la organización para mantener controles efectivos sobre la información financiera que proporciona a sus clientes.
Según ISA 402, párrafo 5, el auditor evalúa si los servicios subcontratados son significativos para los objetivos de control de la organización de servicios. Si lo son, el auditor debe obtener suficiente evidencia sobre cómo la subcontrante cumple con esos objetivos. Esto puede lograrse solicitando un informe de auditoría del subcontrante (como un informe ISAE 3402, Tipo I o Tipo II), visitando al subcontrante, o evaluando directamente sus controles en el sitio.
La distinción es que la organización de servicios sigue siendo responsable ante sus clientes de auditoría independientemente de quién ejecute el trabajo. Si el subcontrante falla en mantener los controles, la culpa no se transfiere: el auditor de la organización de servicios debe detectarla.

Ejemplo práctico: Procesadora Ibérica de Datos S.L.

Cliente: Procesadora Ibérica de Datos S.L., Madrid, facturación de €3,2 millones, proveedor de servicios de procesamiento de transacciones y datos para instituciones financieras medianas.
Paso 1: Identificación de servicios subcontratados: Durante las pruebas preliminares, el auditor descubre que Procesadora Ibérica subcontrata el almacenamiento seguro de servidores y copias de seguridad a TechVault Europa S.A. en Barcelona, una empresa especializada en infraestructura en la nube certificada ISO 27001.
Nota de documentación: "Servicios subcontratados identificados: almacenamiento de datos, 15 de octubre de 2024. Proveedor: TechVault Europa S.A., Barcelona. Criticidad: alta para continuidad de servicios de cliente."
Paso 2: Evaluación de significancia: El auditor evalúa si los controles de TechVault afectan los objetivos de control de Procesadora Ibérica. Dado que el 95% de la información de transacciones de los clientes se almacena en la infraestructura de TechVault, cualquier brecha de seguridad o indisponibilidad impactaría directamente el servicio que Procesadora Ibérica proporciona.
Nota de documentación: "Evaluación de significancia: SÍ. Controles críticos de TechVault: autenticación multifactor, encriptación en reposo, auditorías trimestrales de seguridad. Evidencia obtenida: informe ISAE 3402 Tipo II de TechVault, diciembre de 2023; cumplimiento con estándares ISA 402."
Paso 3: Obtención de evidencia: El auditor obtiene el informe ISAE 3402 Tipo II más reciente de TechVault, que cubre el período de auditoría de Procesadora Ibérica. El informe incluye las opiniones del auditor sobre la idoneidad del diseño de los controles de seguridad de datos y su funcionamiento efectivo durante 12 meses.
Nota de documentación: "Informe ISAE 3402 Tipo II de TechVault Europa S.A., período 1 de enero al 31 de diciembre de 2023. Auditor: Audit & Consultoría Hispana S.L. Conclusión: controles idóneos y funcionando de acuerdo con lo afirmado. Recomendaciones de mejora: implantación de monitoreo de incidentes en tiempo real."
Paso 4: Evaluación de la evaluación de riesgos de la entidad: El auditor revisa si Procesadora Ibérica ha evaluado formalmente los riesgos de que TechVault no pueda entregar los servicios. Nota que existe un contrato de nivel de servicio (SLA) que garantiza disponibilidad del 99,95% y cláusulas de penalización, pero la entidad no tiene documentación de una evaluación de riesgos de continuidad.
Nota de documentación: "Control de Procesadora Ibérica: evaluación de riesgo de subcontrante. Hallazgo: SLA con TechVault vigente, pero no existe evidencia de evaluación documentada de riesgos de continuidad del servicio. Recomendación: desarrollar procedimiento de seguimiento trimestral de cumplimiento de SLA e indicadores de seguridad."
Conclusión: El auditor concluye que, aunque TechVault mantiene controles efectivos según el informe ISAE 3402, existe una brecha de documentación en la evaluación de riesgos de continuidad de Procesadora Ibérica. Esta brecha se documenta como una observación de auditoría, pero no impide una opinión limpia porque los controles técnicos de TechVault están probados y funcionando.

Lo que revisores y auditores no hacen correctamente

• Tier 1 (Hallazgo regulatorio): Las inspecciones de auditoría identifican frecuentemente que los auditores de organizaciones de servicios no solicitan el informe ISAE 3402 del subcontrante, o solicitan un informe desactualizado (Tipo I cuando se requeriría Tipo II, o informes de más de 12 meses de antigüedad). El documentar que se "confía" en que el subcontrante mantiene buenos controles sin evidencia verificable incumple ISA 402, párrafo 7.
• Tier 2 (Error estándar práctico): Según ISA 402, párrafo 6(a), el auditor debe evaluar si los servicios subcontratados son significativos para los objetivos de control. En la práctica, muchos auditores evalúan erróneamente "significancia" basándose solo en volumen transaccional, no en criticidad del control. Un servicio de subcontrante con bajo volumen pero control crítico (p. ej., custodio de claves de encriptación) sigue siendo significativo. La documentación tiende a fallar en esta distinción.
• Tier 3 (Brecha de práctica documentada): Incluso cuando el auditor obtiene un informe ISAE 3402, la evaluación de qué controles específicos del subcontrante respaldan qué objetivos de control de la organización de servicios frecuentemente se deja incompleta. El auditor debe mapear explícitamente: control de subcontrante X → objetivo de control de organización de servicios Y → aseveración del cliente final Z. Esta cadena raramente aparece documentada de forma clara.

Vs. Organización de servicios

Una organización de servicios es la entidad que proporciona los servicios a sus clientes. Una organización subcontrante es una entidad que la organización de servicios encarga para parte de esos servicios. La diferencia importa porque el auditor de la organización de servicios es responsable de entender tanto lo que la organización hace directamente como lo que delega. Si la auditoría de la organización de servicios es débil en la evaluación del riesgo de la subcontrante, las auditorías de los clientes de la organización de servicios sufren consecuentemente.

Términos relacionados

---

• Informe ISAE 3402: Informe de un auditor sobre controles de una organización de servicios, que el auditor de un cliente puede usar como evidencia sobre los controles del subcontrante.
• Riesgo de auditoría: El riesgo de que el auditor emita una opinión incorrecta cuando existen incorrecciones materiales sin detectar. En entornos con subcontrantes, este riesgo aumenta si el auditor no obtiene suficiente evidencia sobre los controles de la subcontrante.
• Objetivos de control: Los resultados que la organización de servicios desea lograr a través de sus controles. ISA 402 requiere que el auditor comprenda los objetivos de control que el subcontrante respalda.
• Significancia de servicios: La evaluación de si los servicios subcontratados impactan directamente los objetivos de control de la organización de servicios.
• Nivel de servicio: Las garantías (típicamente SLA) que la organización de servicios negocia con el subcontrante sobre disponibilidad, seguridad y rendimiento.
• Evaluación de riesgo de continuidad: El proceso mediante el cual la organización de servicios evalúa el riesgo de que un subcontrante no pueda entregar los servicios y cómo mitiga ese riesgo.