La ISAE 3402.32 requiere que el auditor obtenga evidencia sobre si los controles fueron efectivos durante el período especificado. Esto significa que cada control en su matriz debe tener: Una descripción específica que permita identificar exactamente qué se está probando.

Contenido

Por qué la mayoría de matrices de controles fallan la revisión

La ISAE 3402.32 requiere que el auditor obtenga evidencia sobre si los controles fueron efectivos durante el período especificado. Esto significa que cada control en su matriz debe tener:
Una descripción específica que permita identificar exactamente qué se está probando. "Revisión de facturas" no es suficiente; "Revisión mensual de facturas superiores a 10.000 € por el director financiero, documentada en formulario CF-12" sí lo es.
Un objetivo de control claramente definido. La ISAE 3402.A47 explica que los objetivos de control deben relacionarse directamente con las aseveraciones relevantes en los estados financieros del cliente.
Criterios de evaluación medibles. No puede evaluar efectividad sin criterios específicos de qué es una operación efectiva del control.
El problema surge cuando los auditores tratan la matriz como un ejercicio de documentación posterior al trabajo de campo, en lugar de como la herramienta de planificación que debe ser. Una matriz construida después del hecho no puede guiar pruebas efectivas.

Los componentes centrales de una matriz ISAE 3402

La ISAE 3402.38 establece los elementos mínimos de documentación para controles. Su matriz debe capturar cada uno:

Descripción del control


Cada control necesita una descripción que incluya:

Objetivo de control relacionado


Los objetivos de control deben conectarse con las aseveraciones de los estados financieros del cliente. La ISAE 3402.A47 proporciona ejemplos de esta conexión. Cada objetivo debe especificar:

Frecuencia de prueba


La frecuencia depende de cuántas veces opera el control durante el período. La ISAE 3402.A80 proporciona orientación sobre tamaños de muestra apropiados según la frecuencia de operación del control.

Criterios de evaluación


Debe especificar qué es operación efectiva del control. Estos criterios deben ser observables y medibles.

  • Quién ejecuta el control (rol específico, no nombre de persona)
  • Qué acción específica se toma
  • Cuándo ocurre el control (frecuencia, momento)
  • Dónde se documenta la ejecución
  • Cómo se evidencia la revisión o aprobación
  • Qué riesgo mitiga
  • Qué aseveración de estados financieros protege

Cómo mapear controles contra objetivos según ISAE 3402.32

El mapeo efectivo empieza con entender qué está tratando de lograr el cliente. Para cada proceso dentro del alcance:
Identifique los riesgos inherentes. ¿Qué podría salir mal en este proceso que afectaría los estados financieros de los clientes usuarios? No se enfoque en riesgos operacionales genéricos; céntrese en riesgos que impacten aseveraciones específicas de estados financieros.
Defina objetivos de control específicos. Cada objetivo debe abordar un riesgo identificado y conectarse con una aseveración específica. "Asegurar la exactitud de los cálculos de nómina" es demasiado amplio. "Asegurar que los cálculos de horas extras se basen en tasas aprobadas y horas trabajadas autorizadas, afectando la completitud y exactitud de los gastos de personal reportados por clientes usuarios" es específico y conectable.
Mapee controles existentes contra objetivos. Tome cada control que opera el cliente y determine si aborda el objetivo declarado. Si un control no se relaciona claramente con un objetivo, no pertenece a la matriz.
Documente la lógica del mapeo. Cada conexión entre control y objetivo debe incluir una explicación breve de por qué ese control mitiga el riesgo identificado, de modo que un revisor pueda seguir el razonamiento sin consultas adicionales.
La ISAE 3402.A47 enfatiza que este mapeo debe ser lógico y evidente. Un revisor debe poder seguir la conexión entre riesgo, objetivo y control sin explicación adicional.

Establecer frecuencias de prueba defendibles

La frecuencia de prueba debe basarse en la frecuencia de operación del control y su importancia para los objetivos de control. La ISAE 3402.A80 proporciona orientación específica:
Para controles que operan diariamente, una muestra representativa del período debe proporcionar evidencia suficiente. Esto típicamente significa 25-60 elementos dependiendo del período cubierto y la confianza requerida.
Para controles que operan mensualmente, generalmente puede probar cada instancia durante el período de seis meses o una muestra representativa durante el período de doce meses.
Para controles que operan anualmente o con menos frecuencia, debe probar cada instancia durante el período.
La principal está en documentar su razonamiento. ¿Por qué eligió esa frecuencia específica? ¿Cómo se relaciona con la confianza que los clientes usuarios necesitan? El párrafo A80 requiere que considere estos factores explícitamente.

Ejemplo práctico: Constructora Mediterránea S.L.

Empresa de servicios de nómina con sede en Valencia que procesa nóminas para 450 empresas clientes con aproximadamente 15.000 empleados. Período del encargo: 1 enero 2024 a 30 junio 2024.
Proceso: Cálculo y procesamiento de nómina quincenal
Riesgo identificado: Cálculos incorrectos de horas extras podrían resultar en gastos de personal incorrectos en los estados financieros de los clientes
Objetivo de control: Asegurar que los cálculos de horas extras se basen en tasas aprobadas por el cliente y horas trabajadas autorizadas, manteniendo la exactitud de los gastos de personal reportados
Control específico:
Documentación en el papel de trabajo: "Seleccionamos 8 semanas usando muestreo sistemático con inicio aleatorio. Para cada semana seleccionada, revisamos todos los reportes HE-15 y probamos una muestra de 15 cálculos de horas extras por semana (120 elementos totales). Verificamos aprobaciones, tasas y exactitud matemática."
Resultado: Control operó efectivamente en 7 de 8 semanas probadas. Una excepción identificada en la semana del 15 de abril donde 3 de 15 cálculos carecían de aprobación documentada del supervisor.
Conclusión documentada: "Basándose en las pruebas realizadas, el control operó efectivamente durante el período, con excepción de la deficiencia identificada el 15 de abril que el cliente remedió mediante procedimientos compensatorios."

  • Descripción: El supervisor de nómina revisa semanalmente todos los cálculos de horas extras superiores a 200 € comparando las horas reportadas en el sistema de tiempo contra las aprobaciones de supervisores de cliente documentadas. La revisión se documenta mediante firma en el reporte HE-15 con fecha.
  • Criterios de evaluación:
  • Todas las horas extras tienen aprobación de supervisor documentada
  • Las tasas aplicadas coinciden con las matrices de tasas autorizadas por cliente
  • Los cálculos matemáticos son correctos
  • La revisión se documenta dentro de 24 horas del procesamiento
  • Frecuencia de prueba: 8 semanas durante el período de 6 meses (control opera semanalmente, 26 instancias totales)

Lista de verificación para una matriz defendible

Use esta lista en cada encargo ISAE 3402 antes de comenzar el trabajo de campo:

  • Descripción completa: Cada control especifica quién, qué, cuándo, dónde y cómo de manera que permita pruebas replicables.
  • Objetivos conectados: Cada objetivo de control se relaciona directamente con un riesgo específico y una aseveración de estados financieros identificables.
  • Criterios medibles: Los criterios de evaluación son observables y específicos, no subjetivos o genéricos.
  • Frecuencias justificadas: La frecuencia de prueba se basa en la frecuencia de operación del control y está documentada con razonamiento específico.
  • Cobertura completa: Todos los procesos significativos dentro del alcance tienen controles mapeados que abordan los riesgos principales.
  • Conexión con el reporte: Cada control en la matriz se conecta con un control descrito en la sección 4 del reporte Tipo 2.

Errores frecuentes que observan los revisores

Descripciones genéricas de controles. "Se revisan las facturas" no proporciona suficiente especificidad para pruebas consistentes. Los revisores buscan descripciones que permitan a otro auditor ejecutar exactamente las mismas pruebas.
Objetivos de control desconectados. Objetivos que no se relacionan claramente con aseveraciones de estados financieros o que son demasiado amplios para ser útiles. La ISAE 3402.A47 requiere esta conexión explícita.
Frecuencias de prueba sin justificación. Seleccionar tamaños de muestra arbitrarios sin documentar cómo la frecuencia elegida se relaciona con la frecuencia de operación del control y el nivel de confianza requerido.
Criterios de evaluación subjetivos. Criterios como "revisión adecuada" o "aprobación apropiada" no proporcionan base suficiente para evaluar efectividad de manera consistente.

Contenido relacionado

  • Glosario: Objetivo de control ISAE 3402 - La definición técnica y los requisitos de documentación según el párrafo A47
  • Guía: Documentación de excepciones en encargos ISAE 3402 - Cómo manejar las deficiencias identificadas durante las pruebas de controles

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.