Definition
La mayoría de los clientes pide "un SOC 1" sin saber que lo que necesita es una ISAE 3402, o al revés. En los encargos que he llevado, el coste del error aparece tarde: cuando el auditor del usuario rechaza el informe porque el marco no encaja con su jurisdicción, y ya se han gastado tres meses y 80.000 euros en el trabajo de campo.
Aspectos centrales
> - ISAE 3402 está reconocida internacionalmente; SOC 1 es el estándar estadounidense, aunque se usa fuera cuando la cartera incluye usuarios en Estados Unidos. > - Ambos informes evalúan controles en organizaciones de servicios. ISAE 3402 distingue Tipo I y Tipo II con definiciones operativas propias; SOC 1 usa la misma nomenclatura con matices distintos. > - La elección depende de dónde reside la entidad de servicios y dónde operan sus clientes: SOC 1 para Estados Unidos (y fuera cuando el usuario lo exige); ISAE 3402 para Europa y mercados que siguen normas IFAC.
---
Tabla comparativa
| Aspecto | ISAE 3402 | SOC 1 |
|---|---|---|
| Autoridad emisora | IAASB (IFAC) — estándar internacional | AICPA (American Institute of CPAs) — estándar estadounidense |
| Alcance geográfico | Europa, Asia-Pacífico, América Latina, mercados que adoptan estándares IFAC | Estados Unidos; aceptado fuera, sobre todo por clientes con matriz estadounidense |
| Estructura de tipos | Tipo I (controles en un momento dado) y Tipo II (controles durante un período) | Tipo I y Tipo II con nomenclatura similar, pero definiciones operativas ligeramente distintas |
| Período de evaluación | Tipo I: punto en el tiempo; Tipo II: mínimo 6 meses | Tipo I: punto en el tiempo; Tipo II: normalmente 6 a 12 meses |
| Alcance del control | El auditor define el alcance sobre la base de criterios de control relevantes para el usuario | El auditor define el alcance sobre criterios de control específicos de AICPA |
| Confianza del usuario | Alta en territorios que reconocen IFAC | Alta en mercados estadounidenses y entre usuarios institucionales estadounidenses |
| Costo relativo | Generalmente menor en mercados europeos | Generalmente mayor; requiere auditor certificado AICPA |
| Aceptación regulatoria | Aceptado por reguladores europeos y del Mercosur | Preferido por reguladores y supervisores estadounidenses |
---
Cuándo importa la distinción en un encargo
Un proveedor de servicios compartidos (SSC) con matriz en Alemania pero clientes repartidos entre Europa y Estados Unidos tiene una pregunta clara delante: ¿ISAE 3402 o SOC 1? En nuestro despacho hemos visto este escenario varias veces, y el error de marcar la casilla equivocada en esta fase se paga dos veces.
Si la cartera de clientes es 80% europea (bancos, aseguradoras, fondos de inversión españoles, italianos, holandeses), el informe ISAE 3402 Tipo II satisface las expectativas de cumplimiento regulatorio. Los usuarios europeos lo reconocen porque sus supervisores (BCE, CNMV, BNB) lo aceptan como prueba de control en proveedores de servicios.
Si la cartera incluye un cliente estadounidense importante (por ejemplo, un fondo de inversión estadounidense que usa el SSC para procesamiento de transacciones), ese cliente pedirá un SOC 1. Un SOC 1 Tipo II demuestra que los controles operaron durante al menos seis meses, y eso tranquiliza al usuario estadounidense sobre la consistencia del control.
El socio A sostiene que basta con un ISAE 3402 Tipo II porque la matriz es europea y los supervisores locales lo reconocen. El socio B sostiene que hace falta un SOC 1 porque el cliente estadounidense no aceptará nada más, aunque eso suponga duplicar honorarios. Ambos han defendido su postura frente al ICAC. La norma admite los dos planteamientos, y la decisión depende de cómo se lea el peso relativo de los usuarios y el apetito de la entidad por el coste de dos auditorías.
Una entidad que busca satisfacer ambos mercados tiene tres opciones:
1. Solicitar ambos informes. El SSC encarga un ISAE 3402 Tipo II para clientes europeos y un SOC 1 Tipo II para clientes estadounidenses. Coste: dos auditorías separadas. Beneficio: máxima aceptación en cada territorio. 2. Usar SOC 1 globalmente. El SSC encarga un SOC 1 Tipo II (que puede hacer un auditor internacional certificado AICPA). Los usuarios europeos lo aceptarán, aunque con menos entusiasmo que un ISAE 3402 local. Coste: medio. Beneficio: una auditoría cubre ambos mercados. 3. Usar ISAE 3402 como principal, SOC 1 como suplementario. El SSC encarga un ISAE 3402 Tipo II (que contenta a usuarios europeos) y entrega a usuarios estadounidenses una "declaración de conformidad" o una auditoría SOC 1 limitada. Este enfoque es poco frecuente porque pide al usuario estadounidense que confíe en un informe que no conoce bien.
Aquí también aparece la presión estructural: el socio necesita el cliente, los honorarios para dos auditorías no caben en el presupuesto anual, y el equipo tiende a sacar adelante con lo que hay. La plantilla interna del despacho trae ISAE 3402 por defecto porque es lo que hemos hecho los últimos diez años. En campaña, nadie quiere reabrir la discusión del marco. Así una firma europea acaba entregando un ISAE 3402 a un fondo estadounidense que no va a aceptarlo, y el problema se detecta en febrero, cuando ya es tarde.
---
Cómo funciona cada norma
ISAE 3402 en la práctica
La norma ISAE 3402 define dos tipos de informe. Un informe Tipo I describe los controles tal como existen en una fecha concreta (por ejemplo, 31 de diciembre). El auditor examina la efectividad del diseño del control en esa fecha, pero no prueba si el control operó de forma consistente durante un período.
Un informe Tipo II describe los controles y su operación durante un período especificado. El auditor prueba si el control operó de acuerdo con su diseño durante ese período (normalmente entre 6 y 12 meses). Este informe da mayor seguridad al usuario.
El criterio de control bajo ISAE 3402 es flexible: el auditor y la entidad de servicios acuerdan qué controles son "relevantes" para los objetivos de control del usuario. Esto permite adaptar el alcance del informe a necesidades específicas de un sector o tipo de cliente.
SOC 1 en la práctica
Un informe SOC 1 Tipo I describe los controles en una fecha concreta. El auditor emite una opinión sobre si los controles fueron diseñados efectivamente, pero no prueba operación a lo largo del tiempo.
Un informe SOC 1 Tipo II describe los controles y aporta pruebas de que operaron efectivamente durante un período especificado (por lo general 6 a 12 meses). El auditor hace pruebas de control (trazas de transacciones, revisión de excepciones).
El marco SOC 1 usa criterios de control de AICPA, que son más prescriptivos que los de ISAE 3402. La estructura y los objetivos de control están más estandarizados: "control de cambios de sistemas", "segregación de funciones", "reconciliaciones mensuales". El auditor trabaja dentro de esos criterios predefinidos.
---
Ejemplo práctico: una entidad que ofrece servicios de nómina
Contexto: Nómina Integral S.L. (empresa ficticia con sede en Barcelona) presta servicios de procesamiento de nóminas a 150 empresas españolas, italianas y portuguesas, y a 12 empresas estadounidenses medianas. Usa sistemas de nómina alojados en la nube, accede a datos bancarios de clientes para las transferencias de sueldo, y guarda datos de empleados confidenciales.
Paso 1: Evaluación de la cartera de usuarios: Nómina Integral obtiene una lista de clientes y su ubicación. De los 162 usuarios, 150 son europeos (residen en España, Italia, Portugal) y 12 son estadounidenses (con matriz en Estados Unidos, aunque pueden operar fuera). Nota de documentación: El auditor documenta esta distribución en la memoria inicial del encargo. La decisión sobre el estándar depende de dónde reside la mayoría de los usuarios finales que leerán el informe.
Paso 2: Evaluación de requerimientos regulatorios: Nómina Integral consulta con su gerente de auditoría interna. Los usuarios españoles están regulados por la CNMV (fondos de pensión) y la Inspección de Hacienda (requisitos de control en proveedores de servicios). Los supervisores españoles aceptan ISAE 3402. Los usuarios estadounidenses están regulados por la SEC o la FINRA si cotizan o si manejan valores. La SEC y FINRA aceptan SOC 1 como prueba de control. Nota de documentación: El auditor resume estos requerimientos en el memo de planificación. Esto documenta por qué se eligió ISAE 3402 Tipo II (no Tipo I) para contentar a usuarios europeos que piden evidencia de operación consistente durante el año.
Paso 3: Definición del alcance bajo ISAE 3402: Nómina Integral y el auditor definen los "objetivos de control relevantes para el usuario" bajo ISAE 3402. Incluyen: - Control sobre el acceso a datos de empleados (quién puede ver números de cuenta bancaria) - Control sobre el procesamiento de nóminas (validaciones del sistema antes de las transferencias) - Control sobre cambios al sistema (quién autoriza actualizaciones de software) - Reconciliación de pagos transferidos contra registros de nómina
Nota de documentación: Estos objetivos se documentan en el informe ISAE 3402 y son los mismos que aparecerían en un SOC 1, pero bajo ISAE 3402 tienen flexibilidad en la redacción y la profundidad.
Paso 4: Período de evaluación: El auditor audita los controles durante el período 1 de enero a 31 de diciembre. Hace pruebas trimestrales para verificar que los controles operaron efectivamente durante todo el año (por ejemplo, muestras de 20 cambios de sistema autorizados en enero, marzo, junio, octubre). Nota de documentación: El archivo de auditoría incluye pruebas trimestrales que demuestran la operación consistente. Esto es lo que convierte el ISAE 3402 en un "Tipo II": la evidencia de operación a lo largo del tiempo, no solo en la fecha de cierre.
Paso 5: Redacción del informe: El auditor redacta un informe ISAE 3402 Tipo II que dice: "En nuestra opinión, en todos los aspectos significativos, los controles descritos operaron de manera efectiva durante el período 1 de enero a 31 de diciembre de 2024."
Conclusión: Nómina Integral reparte este ISAE 3402 a sus clientes europeos. Los supervisores españoles lo aceptan. Los 12 clientes estadounidenses reciben una copia pero pueden pedir un SOC 1 adicional si sus reguladores son estrictos. Nómina Integral ya sabe que necesita planificar una segunda auditoría SOC 1 para cubrir plenamente a esos clientes estadounidenses.
---
Lo que revisores y auditores entienden mal
- Confundir Tipo I con Tipo II: Un Tipo I demuestra diseño de control en una fecha concreta. Un Tipo II demuestra operación durante un período. Un auditor del usuario que lee un informe ISAE 3402 Tipo I sin darse cuenta de que es Tipo I puede concluir que el control operó durante un año cuando en realidad solo se evaluó en una fecha. Los papeles están flojos cuando el resumen ejecutivo no declara claramente "Tipo I" o "Tipo II".
- Suponer que SOC 1 y ISAE 3402 son intercambiables: No lo son. Un regulador español que pide prueba de control de un proveedor de servicios en la nube puede rechazar un SOC 1 porque no se emite bajo normas que la CNMV reconoce formalmente. A la inversa, un cliente estadounidense puede rechazar un ISAE 3402 porque sus auditores externos estadounidenses no lo conocen bien. Confirmar con el usuario antes del encargo cuál es aceptable evita retrasos en el cronograma.
- No diferenciar entre "opinión sin salvedades" e "idoneidad del diseño": Un ISAE 3402 o SOC 1 puede incluir una salvedad (por ejemplo, "uno de los cinco controles no operó efectivamente durante julio"). Una opinión con salvedad sigue siendo una opinión, pero comunica que hubo una brecha de control. Muchos usuarios leen erróneamente una salvedad como un "rechazo" cuando en realidad es una evaluación matizada de la efectividad.
---
Comparación adicional: consideraciones de auditoría interna
En muchas entidades de servicios, el auditor interno participa en la preparación del informe ISAE 3402 o SOC 1. Puede hacer pruebas de control (por ejemplo, verificar que los registros de cambios de sistemas están completos) y documentar el diseño del control (diagramas de flujo). El auditor externo que emite el informe revisa este trabajo.
Bajo ISAE 3402, el auditor interno tiene más flexibilidad en la selección de qué controles documentar porque la norma permite alcances adaptados. Bajo SOC 1, el auditor interno debe seguir una lista más estándar de categorías de control de AICPA, lo que deja menos margen para adaptación.
---
Términos relacionados
- ISAE 3402 Tipo I: descripción puntual de controles en una fecha específica - ISAE 3402 Tipo II: descripción de controles y evidencia de operación durante un período - Objetivos de control de usuario: criterios que definen qué controles son relevantes para los usuarios del informe - Informe SOC 2: informe SOC centrado en seguridad, disponibilidad, integridad de procesamiento, confidencialidad e privacidad - Auditoría de proveedor de servicios: auditoría de controles en una entidad que presta servicios a terceros - AICPA AU-C Section 320: marco de auditoría estadounidense que rige la emisión de informes SOC
---