Lo que ISAE 3402 exige sobre subproveedores: la lectura honesta

ISAE 3402 párrafo 18 obliga a elegir, cuando un subproveedor forma parte del sistema de información de la EUS, entre dos tratamientos. No es una elección estética.

El párrafo 19 fija el método carve-out: el auditor del proveedor describe en su informe los servicios del subproveedor, pero no incluye objetivos de control, controles ni pruebas sobre ellos. La pelota pasa al auditor de la EUS.

El párrafo 20 fija el método inclusive: el proveedor incorpora los objetivos de control y controles del subproveedor a su descripción del sistema, y el auditor del proveedor prueba la efectividad operacional como parte de su examen.

El párrafo 21 cierra el círculo recordando que la descripción del sistema debe identificar con claridad qué método se ha aplicado a cada subproveedor. En la práctica esa identificación a veces aparece en una nota a pie, en letra pequeña, en la página 47 del informe. Lo he visto.

Lo que realmente ocurre

La norma presupone que la decisión se toma evaluando la naturaleza del servicio y el grado de. Por lo que conozco del mercado español, la decisión se toma antes: cuando el proveedor de servicios contrata al auditor de servicios y este último cotiza el encargo. Carve-out significa menos pruebas, menos personal en el subproveedor, menos coordinación. El proveedor recibe su informe ISAE 3402 más barato y a tiempo. El auditor de la EUS se entera tres meses después de que la mitad de los controles relevantes para sus aserciones de cuentas a cobrar quedan fuera del alcance.

Eso es lo que llamamos un brindis al sol: un informe que existe, está firmado, cumple el formato, y no sirve para nada operativo.

---

El marco de decisión: cuándo cada método se sostiene

Cuándo el método inclusive es la respuesta correcta

Un método inclusive funciona cuando el proveedor principal mantiene responsabilidad operacional sobre el subproveedor y puede monitorear sus controles de forma directa.

Acceso operacional efectivo. El proveedor puede acceder a los sistemas del subproveedor, revisar logs, validar la aplicación de controles concretos. Esto suele darse en outsourcing donde el principal mantiene credenciales administrativas.

Responsabilidad contractual alineada. Los contratos establecen que el proveedor principal responde ante la EUS por la totalidad del servicio. La responsabilidad legal y la operacional caminan juntas.

Procesos integrados sin costura operacional. Las actividades del subproveedor están tan embebidas en el flujo principal que separarlas en el informe pintaría un cuadro irreal.

Cuándo el método carve-out se justifica

El carve-out tiene sentido cuando la separación entre principal y subproveedor es operacionalmente real, no contable.

Servicios técnicos genuinamente independientes. El subproveedor presta una función especializada (hosting, procesamiento de tarjetas) que opera con su propio ciclo de control y, normalmente, su propio informe ISAE 3402.

Limitaciones de acceso reales y documentadas. El proveedor principal no tiene visibilidad sobre los controles internos del subproveedor. No es que no quiera; es que el contrato no se la da y el subproveedor no la cede.

Múltiples subproveedores intercambiables. Cuando la EUS puede elegir entre proveedores equivalentes para el mismo servicio, el carve-out reconoce esa flexibilidad sin distorsionar el informe.

En la práctica: las consecuencias que el auditor de la EUS hereda

Un carve-out obliga al auditor de la EUS a obtener su propio entendimiento de los controles del subproveedor. Si el subproveedor produce su propio informe ISAE 3402, hay materia con la que trabajar. Si no lo produce (y muchos no lo producen), aparece la brecha. Toca diseñar procedimientos alternativos, computar horas no presupuestadas y, en campaña, explicarle al socio por qué el papel del SOC del proveedor no resuelve el riesgo de cuentas a cobrar.

Un inclusive transfiere la responsabilidad de evaluación al auditor del proveedor. Suena bien hasta que ese auditor no tiene la competencia técnica para evaluar controles criptográficos o de cumplimiento sectorial, y sus pruebas se reducen a una inspección de políticas. Entonces el informe está formalmente completo y materialmente vacío.

---

Donde reasonable practitioners discrepan: el informe híbrido

Hay un debate real en el mercado español sobre los informes híbridos (algunos subproveedores en inclusive, otros en carve-out).

El Socio A defiende el híbrido: refleja la realidad. No todas las relaciones con subproveedores son iguales, y forzar un único método distorsiona el cuadro de control. Su razonamiento: el lector del informe (el auditor de la EUS) prefiere precisión a uniformidad, y la NIA-ES 402 le exige evaluar cada control relevante por separado de todas formas.

El Socio B prefiere el método uniforme: si el proveedor no puede sostener inclusive para todos los subproveedores relevantes, debería usar carve-out para todos. Su razonamiento: la mezcla de métodos en un mismo informe genera errores de interpretación. El auditor de la EUS, presionado en campaña, lee el informe rápido y aplica al subproveedor en carve-out la misma confianza que al subproveedor en inclusive. Mejor un informe limitado que un informe ambiguo.

En mi caso me inclino por el híbrido, pero con condiciones: la matriz de método por subproveedor en la página 1, no en la 47, y un párrafo introductorio que diga sin rodeos qué subproveedores quedan fuera del alcance de pruebas. Si esas dos cosas no aparecen, el Socio B tiene razón.

---

Ejemplo práctico: plataforma de pagos con tres subproveedores

Entidad: Servicios Financieros Mediterráneos S.L., Barcelona. Procesa 2,4 millones de transacciones mensuales por valor de 180 millones de euros.

Situación: la plataforma usa tres subproveedores. Uno verifica identidad, otro procesa tarjetas y un tercero gestiona cumplimiento regulatorio.

evaluación del control operacional

Documentación: matriz de acceso y responsabilidades por subproveedor.

El proveedor principal tiene acceso completo a los logs del procesador de tarjetas y puede configurar parámetros de validación. Para el verificador de identidad solo recibe resultados binarios (aprobado/rechazado) sin visibilidad del proceso interno.

análisis de responsabilidad contractual

Documentación: extractos de cada contrato.

Los contratos establecen que el proveedor responde por errores del procesador de tarjetas. El verificador de identidad mantiene responsabilidad directa con la EUS bajo su propio contrato. El gestor de cumplimiento opera bajo cláusula de back-to-back.

la complicación que te encuentras en la vida real

A mitad de ejercicio, el verificador de identidad cambia su algoritmo. Sin aviso. Sigue devolviendo binarios (aprobado/rechazado), pero el modelo subyacente ha cambiado, y el proveedor principal no tiene cómo evaluarlo., el verificador no produce su propio informe ISAE 3402. Imagine la cara del auditor de la EUS al descubrirlo en febrero, con la firma a tres semanas.

¿Qué hacer? Inclusive no se sostiene: el principal no tiene acceso ni competencia técnica. Carve-out deja al auditor de la EUS sin nada sobre lo que apoyarse, porque no hay informe del subproveedor. Tampoco hay tiempo para una auditoría ad hoc.

La solución en este encargo (y vaya por delante que es una solución imperfecta): carve-out documentado, con el proveedor principal incorporando en su descripción del sistema un control compensatorio propio (reconciliación diaria entre los outputs del verificador y un segundo verificador interno aplicado a una muestra). El auditor del proveedor prueba ese control compensatorio. El auditor de la EUS lo combina con procedimientos sustantivos sobre cuentas a cobrar. No es elegante. Funciona. Y deja constancia escrita de la limitación, que es lo que la imagen fiel exige.

determinación del método para los otros dos

Procesador de tarjetas: inclusive (control operacional y responsabilidad contractual claros). Cumplimiento regulatorio: inclusive (integrado en el flujo principal). Verificador de identidad: carve-out con control compensatorio.

Resultado: informe híbrido que, leído rápido en campaña, todavía requiere que el auditor de la EUS computa horas adicionales sobre el verificador. La imagen fiel se sostiene porque la brecha está nombrada, no escondida.

---

Lista de verificación práctica

1. Mapear cada subproveedor que aparece en la descripción del sistema y clasificarlo por nivel de con el servicio principal (párrafo ISAE 3402.18).

2. Evaluar el acceso real del proveedor principal a los sistemas y controles de cada subproveedor: administrativo completo, solo reporting, o sin acceso directo. La declaración del proveedor no basta.

3. Revisar las responsabilidades contractuales entre proveedor-subproveedor y entre cada parte y la EUS. El back-to-back perfecto rara vez existe.

4. Para carve-out: confirmar que el subproveedor produce su propio informe ISAE 3402. Si no, exigir procedimientos alternativos documentados.

5. Para inclusive: validar que el auditor del proveedor tiene la competencia técnica concreta para evaluar los controles especializados. Pedir el papel de planificación si hace falta.

6. Asegurar que el método elegido refleja la realidad operacional, no la conveniencia presupuestaria del auditor de servicios.

---

Errores comunes que veo en los encargos que he llevado

Carve-out por defecto. El proveedor lo elige para evitar la responsabilidad adicional de evaluar al subproveedor, aunque tenga control operacional suficiente para inclusive. La señal: el informe describe acceso administrativo del principal al subproveedor y luego excluye sus controles del alcance. Eso es marcar la casilla, no cumplir la norma.

Inclusive sin competencia técnica. Auditores que incluyen subproveedores especializados (criptografía, compliance sectorial) sin la experiencia para evaluarlos. El resultado: pruebas reducidas a inspección de políticas. Falta chicha.

Inconsistencia entre contratos y método. Proveedores que aplican inclusive pero cuyos contratos no les otorgan autoridad para monitorear al subproveedor. Si llega una inspección y le abren expediente al firmante, ese contrato es la primera prueba que pide el ICAC.

---

Una observación final, para los que firman

El auditor de la EUS no controla la decisión del método. Pero sí controla qué informes acepta como suficientes. Si el carve-out llega sin informe del subproveedor, sin control compensatorio del principal y sin justificación operacional, el papel está flojo. Y los papeles flojos, antes o después, son bombas de relojería.

Contenido relacionado

Glosario ISAE 3402 - Definición completa del estándar de aseguramiento para proveedores de servicios

Herramienta de evaluación de controles ISAE 3402 - Plantilla para evaluar la efectividad de controles en informes de proveedores de servicios

Cómo evaluar la suficiencia de informes ISAE 3402 - Guía para auditores sobre cuándo un informe del proveedor es suficiente para la auditoría de estados financieros

---

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.