Organización Subcontratada

Cómo funciona

Una organización de servicios típicamente subcontrata funciones no esenciales (procesamiento de nóminas, almacenamiento de datos, operaciones de centros de datos), pero también puede subcontratar funciones críticas de control. El auditor de la organización de servicios debe evaluar si esos servicios subcontratados afectan la capacidad de la organización para mantener controles efectivos sobre la información financiera que proporciona a sus clientes.

Según la NIA-ES 402, párrafo 5, el auditor evalúa si los servicios subcontratados son significativos para los objetivos de control de la organización de servicios. Si lo son, debe obtener evidencia suficiente sobre cómo el subcontratado cumple con esos objetivos. Esto puede lograrse solicitando un informe de auditoría del subcontratado (un informe ISAE 3402 Tipo I o Tipo II), visitando al subcontratado o evaluando directamente sus controles en el sitio.

¿Qué pasa en la práctica? El subcontratado entrega un informe ISAE 3402 Tipo II del año natural anterior, sin solapamiento completo con el período del cliente. El equipo lo archiva, marca la casilla y avanza. Cuando el revisor pregunta qué controles concretos del subcontratado respaldan qué objetivos de la organización de servicios, el papel no lo dice. Cuando pregunta qué procedimientos se aplicaron al período no cubierto por el informe, el papel tampoco lo dice. Eso es el hallazgo recurrente del ICAC: no que falte el informe, sino que el informe se haya tratado como conclusión cuando es solo evidencia parcial.

La distinción es que la organización de servicios sigue siendo responsable ante sus clientes de auditoría independientemente de quién ejecute el trabajo. Si el subcontratado falla en mantener los controles, la culpa no se transfiere: el auditor de la organización de servicios debe detectarla.

Ejemplo práctico: Procesadora Ibérica de Datos S.L.

Cliente: Procesadora Ibérica de Datos S.L., Madrid, facturación de 3,2 millones de euros, proveedor de servicios de procesamiento de transacciones y datos para instituciones financieras medianas.

Paso 1: Identificación de servicios subcontratados

Durante las pruebas preliminares, el auditor descubre que Procesadora Ibérica subcontrata el almacenamiento seguro de servidores y copias de seguridad a TechVault Europa S.A. en Barcelona, una empresa especializada en infraestructura en la nube certificada ISO 27001.

Nota de documentación: "Servicios subcontratados identificados: almacenamiento de datos, 15 de octubre de 2024. Proveedor: TechVault Europa S.A., Barcelona. Criticidad: alta para continuidad de servicios de cliente."

Paso 2: Evaluación de significancia

El auditor evalúa si los controles de TechVault afectan los objetivos de control de Procesadora Ibérica. Dado que el 95% de la información de transacciones de los clientes se almacena en la infraestructura de TechVault, cualquier brecha de seguridad o indisponibilidad impactaría directamente el servicio que Procesadora Ibérica proporciona.

Nota de documentación: "Evaluación de significancia: SÍ. Controles críticos de TechVault: autenticación multifactor, encriptación en reposo, auditorías trimestrales de seguridad. Evidencia obtenida: informe ISAE 3402 Tipo II de TechVault, diciembre de 2023; cumplimiento con NIA-ES 402."

Paso 3: Obtención de evidencia (con complicación)

El auditor obtiene el informe ISAE 3402 Tipo II más reciente de TechVault, que cubre el período 1 de enero al 31 de diciembre de 2023. Aquí surge la complicación: el ejercicio del cliente termina el 31 de marzo de 2025, por lo que el informe disponible deja sin cubrir 15 meses (enero de 2024 a marzo de 2025). Vaya por delante que esta brecha de cobertura es lo más habitual en la práctica, y rara vez se aborda en el papel.

¿Qué hace el equipo? El socio A acepta el informe disponible, archiva, y registra una nota de "se ha obtenido informe ISAE 3402 más reciente disponible". El socio B exige procedimientos complementarios sobre el período no cubierto: una carta del subcontratado confirmando que no han cambiado los controles desde diciembre de 2023, evidencia de auditorías internas o de seguridad realizadas durante 2024-2025, y verificación específica de incidentes reportables. La diferencia entre los dos enfoques es horas y, si entre marzo de 2024 y marzo de 2025 ha habido un incidente de seguridad no comunicado, la diferencia es la opinión.

Nota de documentación: "Informe ISAE 3402 Tipo II de TechVault Europa S.A., período 1 de enero al 31 de diciembre de 2023. Auditor: Audit & Consultoría Hispana S.L. Conclusión sobre el período cubierto: controles idóneos y operando. Procedimientos sobre el período no cubierto (1 enero 2024 a 31 marzo 2025): carta de confirmación de TechVault de 12 abril 2025; reporte interno de auditoría trimestral de TechVault Q1-Q4 2024 y Q1 2025; verificación de ausencia de incidentes reportables. Conclusión: cobertura de evidencia completa para el ejercicio del cliente."

Paso 4: Evaluación de la evaluación de riesgos de la entidad

El auditor revisa si Procesadora Ibérica ha evaluado formalmente los riesgos de que TechVault no pueda entregar los servicios. Existe un contrato de nivel de servicio (SLA) que garantiza disponibilidad del 99,95% y cláusulas de penalización, pero la entidad no tiene documentación de una evaluación de riesgos de continuidad.

Nota de documentación: "Control de Procesadora Ibérica: evaluación de riesgo del subcontratado. Hallazgo: SLA con TechVault vigente, pero no existe evidencia de evaluación documentada de riesgos de continuidad del servicio. Recomendación: desarrollar procedimiento de seguimiento trimestral de cumplimiento de SLA e indicadores de seguridad."

Conclusión: el auditor concluye que, aunque TechVault mantiene controles efectivos según el informe ISAE 3402 y los procedimientos complementarios sobre el período no cubierto, existe una brecha de documentación en la evaluación de riesgos de continuidad de Procesadora Ibérica. Esta brecha se documenta como observación de auditoría, pero no impide una opinión limpia porque los controles técnicos de TechVault están probados. Lo que sí cambia respecto a la práctica habitual es la cobertura del período: aquí no se firmó solo con el informe del subcontratado.

Lo que revisores y auditores no hacen correctamente

- Solicitar el informe equivocado, o ninguno. Las inspecciones de auditoría identifican con frecuencia que los auditores de organizaciones de servicios no solicitan el informe ISAE 3402 del subcontratado, o solicitan un informe desactualizado (Tipo I cuando se requeriría Tipo II, o informes de más de 12 meses de antigüedad sin procedimientos complementarios). Documentar que se "confía" en que el subcontratado mantiene buenos controles sin evidencia verificable incumple la NIA-ES 402, párrafo 7. En la práctica, eso significa que el equipo aceptó lo que el cliente puso encima de la mesa sin pedir lo que la norma exige.

- Confundir significancia con volumen. Según la NIA-ES 402, párrafo 6(a), el auditor debe evaluar si los servicios subcontratados son significativos para los objetivos de control. En la práctica, muchos auditores evalúan "significancia" basándose solo en volumen transaccional, no en criticidad del control. Un servicio de subcontratado con bajo volumen pero control crítico (custodia de claves de encriptación, por ejemplo) sigue siendo significativo. La documentación tiende a fallar en esa distinción y deja al revisor abriendo la pregunta.

- No mapear controles a objetivos. Incluso cuando el auditor obtiene un informe ISAE 3402, la evaluación de qué controles específicos del subcontratado respaldan qué objetivos de control de la organización de servicios se deja con frecuencia incompleta. El auditor debe mapear de forma explícita: control de subcontratado X → objetivo de control de organización de servicios Y → aseveración del cliente final Z. Esa cadena rara vez aparece documentada en una única matriz. Si no está, los papeles están flojos.

Vs. Organización de servicios

Una organización de servicios es la entidad que proporciona los servicios a sus clientes. Una organización subcontratada es una entidad a la que la organización de servicios encarga parte de esos servicios. La diferencia importa porque el auditor de la organización de servicios es responsable de entender tanto lo que la organización hace directamente como lo que delega. Si la auditoría de la organización de servicios es débil en la evaluación del riesgo del subcontratado, las auditorías de los clientes de la organización de servicios sufren las consecuencias en cadena. No es solo una cuestión de archivo: es la frontera entre opinar sobre evidencia completa u opinar sobre evidencia heredada.

Términos relacionados

- Informe ISAE 3402: informe de un auditor sobre controles de una organización de servicios, que el auditor de un cliente puede usar como evidencia sobre los controles del subcontratado. - Riesgo de auditoría: el riesgo de que el auditor emita una opinión incorrecta cuando existen incorrecciones materiales sin detectar. En entornos con subcontratados, este riesgo aumenta si el auditor no obtiene suficiente evidencia sobre los controles del subcontratado. - Objetivos de control: los resultados que la organización de servicios desea lograr a través de sus controles. La NIA-ES 402 obliga al auditor a comprender los objetivos de control que el subcontratado respalda. - Significancia de servicios: la evaluación de si los servicios subcontratados impactan directamente los objetivos de control de la organización de servicios. - Nivel de servicio: las garantías (típicamente SLA) que la organización de servicios negocia con el subcontratado sobre disponibilidad, seguridad y rendimiento. - Evaluación de riesgo de continuidad: el proceso mediante el cual la organización de servicios evalúa el riesgo de que un subcontratado no pueda entregar los servicios y cómo mitiga ese riesgo.

---