Por Oswaldo Bravo, CEO de Stratos Asesores
En Ecuador, las normas de auditoría son de cumplimiento obligatorio. Cada vez que se actualizan, las organizaciones deben ajustar sus procesos internos para aplicarlas correctamente. Por eso, el interés en su cumplimiento crece no solo entre los entes de control, sino también en proveedores y en el público que demanda transparencia.
Hoy, los terceros tienen un papel decisivo en la operación de las empresas y en los servicios que llegan al cliente. Su desempeño impacta directamente en los resultados del negocio y, por lo tanto, en los estados financieros. Si el control interno es la base de la operación, gran parte de ese control está ahora en manos de los proveedores. Surge entonces una pregunta clave: ¿cómo asegurarse de que cumplen con sus responsabilidades y mantienen los estándares necesarios para proteger la operación y los resultados financieros?
La respuesta está en las Normas Internacionales de Auditoría (NIA), emitidas por la Federación Internacional de Contadores (IFAC) a través de la Junta Internacional de Normas de Auditoría y Aseguramiento (IAASB). Estas normas dieron origen a los reportes SOC (System and Organization Controls), hoy parte esencial de la arquitectura financiera mundial y una herramienta indispensable para los auditores independientes.
Qué son los reportes SOC
Nacidos en el ámbito contable, los reportes SOC evolucionaron para abarcar también la seguridad de la información, la disponibilidad de los servicios y la transparencia en la gestión de terceros.
Se elaboran siguiendo normas internacionales de aseguramiento:
ISAE 3402, enfocada en controles que afectan la información financiera. Es la base de los reportes SOC 1.
ISAE 3000, de alcance más amplio, que sustenta los reportes SOC 2 y SOC 3 y permite evaluar seguridad, disponibilidad, confidencialidad, integridad y privacidad.
Un requisito esencial es que estos informes sean elaborados y firmados por un auditor independiente (CPA), con experiencia en el modelo evaluado, apoyado en evidencia suficiente y principios éticos rigurosos.
Tipos de reportes SOC
| Tipo | Norma Base | Qué evalúa | Modalidad | Uso típico |
| SOC 1 | ISAE 3402 | Controles que impactan los estados financieros | Tipo I y II | Procesadores de nómina, contabilidad |
| SOC 2 | ISAE 3000 | Seguridad, disponibilidad, confidencialidad, integridad y privacidad | Tipo I y II | Proveedores de nube y servicios TI |
| SOC 3 | ISAE 3000 | Igual que SOC 2, pero en versión pública y resumida | Solo resumen ejecutivo | Empresas que desean mostrar cumplimiento |
Quiénes se benefician y quiénes deben cumplir
Beneficiarios
- Clientes que buscan confianza en los controles de sus proveedores.
- Auditores externos, que definen alcance y pruebas.
- Reguladores que verifican cumplimiento normativo.
- Áreas internas de cumplimiento, TI, riesgos y gobierno corporativo.
Sujetos obligados
- Proveedores de servicios críticos: TI, BPO, SaaS, PaaS, IaaS.
- Empresas reguladas que tercerizan funciones clave.
- Organizaciones que buscan diferenciarse por transparencia.
- Entidades sujetas a normas globales de auditoría y entes de control.
Normas de referencia para los reportes SOC
- ISAE 3402: controles financieros.
- ISAE 3000: controles no financieros.
- COSO Framework: control interno.
- Trust Services Criteria (TSC): seguridad, disponibilidad, confidencialidad, integridad y privacidad.
- Otros especializados: WebTrust, Global Reporting Initiative (GRI).
Ciberseguridad y auditoría interna en la mirada del IIA Global
El IIA Global actualizó en 2024 sus normas internacionales de auditoría interna, vigentes desde enero de 2025. Estas incluyen requisitos temáticos, entre ellos el de ciberseguridad, que orientan a los auditores internos sobre cómo abordar riesgos tecnológicos y de seguridad.
En el sistema financiero ecuatoriano se espera que las entidades adopten progresivamente estos lineamientos hacia 2026, incorporando los reportes SOC como parte de sus procesos de aseguramiento.
¿Qué implican estos requisitos de ciberseguridad?
- Evaluar los controles tecnológicos y de seguridad en las organizaciones.
- Usar los reportes SOC como evidencia confiable sobre proveedores y terceros.
- Documentar hallazgos y validar la calidad de la información.
¿Por qué son relevantes para las firmas de auditoría?
- Reducen pruebas duplicadas y validan controles de terceros.
- Facilitan auditorías más eficientes y focalizadas.
- Ayudan a identificar deficiencias y riesgos emergentes.
- Validan seguridad, disponibilidad y privacidad de datos.
- Se integran con auditorías de TI, cumplimiento y continuidad de negocio.
- Fortalecen un enfoque de auditoría integrada.
Recomendaciones operativas
Para adoptar un proceso SOC con éxito es recomendable iniciar la preparación al menos seis meses antes. Este tiempo permite alinear el reporte con la estrategia de cumplimiento y riesgos de la organización. También es clave capacitar a los equipos en las normas ISAE 3402, ISAE 3000 y en los Trust Services Criteria, de modo que comprendan el alcance del modelo.
La obtención del informe no es el final del trabajo: se requiere un monitoreo continuo de los controles para asegurar su vigencia. Además, el reporte SOC debe aprovecharse como evidencia de madurez operativa, compartiéndolo con clientes, auditores y reguladores. Finalmente, contar con el apoyo de expertos facilita el alineamiento con las mejores prácticas internacionales y asegura su cumplimiento.