Índice de Contenidos

Marco normativo: qué exige la NIA-ES 402 {#marco-normativo}

Responsabilidades del auditor usuario


La NIA-ES 402.7 establece que el auditor usuario es responsable de obtener conocimiento suficiente de la organización de servicios y sus controles para identificar y valorar los riesgos de incorrección material. Esto no es opcional: el estándar no permite al auditor asumir que los controles de la organización de servicios funcionan correctamente sin evaluación.
El párrafo 402.12 específica que cuando los servicios de la organización forman parte del sistema de información de la entidad usuaria, incluyendo los procesos de negocio relacionados con la información financiera, el auditor usuario debe obtener conocimiento de cómo la entidad usuaria usa los servicios de la organización de servicios. Esta comprensión debe incluir los controles aplicados por la entidad usuaria sobre las actividades de la organización de servicios.

Tipos de informes y su propósito


La NIA-ES 402 reconoce dos tipos de informes del auditor de la organización de servicios, definidos por la ISAE 3402:
Informe Tipo 1: Incluye la opinión del auditor de la organización de servicios sobre la descripción y el diseño de los controles (NIA-ES 402.A26). Este informe proporciona evidencia sobre si los controles están diseñados adecuadamente en una fecha específica.
Informe Tipo 2: Incluye la opinión sobre la descripción, el diseño y la eficacia operativa de los controles durante un periodo determinado (NIA-ES 402.A27). Este informe proporciona evidencia adicional sobre si los controles operaron de forma efectiva durante el periodo cubierto.

Criterios de evaluación del informe {#criterios-evaluacion}

Evaluación de la adecuación según NIA-ES 402.18


El párrafo 402.18 establece los criterios específicos que el auditor usuario debe considerar al evaluar un informe de organización de servicios:
Periodo cubierto por el informe: El informe debe cubrir un periodo que proporcione una base adecuada para la auditoría de los estados financieros de la entidad usuaria. Para informes Tipo 2, el periodo debe ser suficientemente largo para que las pruebas de controles proporcionen evidencia razonable de su eficacia operativa.
Tiempo transcurrido desde el final del periodo cubierto: Cuanto más tiempo haya transcurrido, menor será la relevancia de la evidencia sobre la eficacia de los controles. La NIA-ES 402.A43 indica que un periodo de más de seis meses entre el final del periodo cubierto y la fecha de la opinión del auditor usuario puede ser demasiado largo.
Alcance del trabajo realizado por el auditor de la organización de servicios: El auditor usuario debe evaluar si los controles probados son relevantes para las aseveraciones de los estados financieros de la entidad usuaria que dependen de los servicios.

Cuándo un informe es insuficiente


La NIA-ES 402.19 identifica situaciones específicas donde el informe puede ser inadecuado:
En estos casos, el auditor usuario debe realizar procedimientos adicionales según los párrafos 402.20-21, que pueden incluir pruebas de controles en la entidad usuaria o procedimientos sustantivos adicionales.

  • El informe no aborda todos los servicios y controles relevantes para la auditoría
  • Los controles complementarios de la entidad usuaria identificados en el informe no están operando efectivamente
  • El informe contiene excepciones que afectan a los controles relevantes para las aseveraciones de los estados financieros

Ejemplo práctico paso a paso {#ejemplo-practico}

> Constructora Mediterránea S.L.
Sede: Valencia, España
Ingresos anuales: €23,4 millones
Empleados: 174
Procesador de nóminas: Servicios Administrativos Levante S.L.
Periodo de auditoría: 1 enero - 31 diciembre 2024

Paso 1: Obtener y revisar el informe básico


Acción: Solicitar el informe ISAE 3402 más reciente del procesador de nóminas.
Documentación en papel de trabajo: "Informe ISAE 3402 recibido el 15/01/2025. Tipo 2, periodo cubierto 1/04/2024 - 30/09/2024. Auditor: García & Asociados S.L."

Paso 2: Evaluar la cobertura temporal


Acción: Comparar el periodo del informe con el ejercicio de la auditoría.
Documentación en papel de trabajo: "Brecha de cobertura: enero-marzo 2024 (3 meses) y octubre-diciembre 2024 (3 meses). Total: 6 meses sin cobertura del informe."

Paso 3: Analizar los controles relevantes


Acción: Identificar qué controles del informe afectan a las aseveraciones de nóminas en los estados financieros.
Documentación en papel de trabajo: "Controles relevantes identificados: Control 2.1 (autorización de altas/bajas), Control 3.2 (cálculo de retenciones), Control 4.1 (transferencias bancarias). Todos operaron efectivamente según el informe."

Paso 4: Revisar excepciones y deficiencias


Acción: Examinar cualquier excepción reportada y evaluar su impacto.
Documentación en papel de trabajo: "Excepción en Control 2.3: 3 casos de nóminas procesadas sin autorización previa en julio 2024. Importe total: €4.200. No material para nuestra auditoría (materialidad: €234.000)."

Paso 5: Evaluar controles complementarios del usuario


Acción: Verificar que Constructora Mediterránea tiene controles efectivos sobre los datos enviados al procesador.
Documentación en papel de trabajo: "Probamos el control de revisión mensual de nóminas por el Director Financiero. 12/12 revisiones documentadas en 2024. Control efectivo."

Paso 6: Determinar procedimientos adicionales necesarios


Acción: Decidir si se necesitan procedimientos adicionales para los periodos no cubiertos.
Documentación en papel de trabajo: "Dado el alto nivel de control complementario y la ausencia de errores en las pruebas del informe, realizamos procedimientos sustantivos adicionales para los 6 meses no cubiertos: prueba detallada del 15% de las nóminas de enero-marzo y octubre-diciembre."
Conclusión: El informe ISAE 3402, junto con los procedimientos adicionales realizados, proporciona evidencia suficiente y adecuada para respaldar nuestras conclusiones sobre los gastos de personal y las obligaciones relacionadas en los estados financieros de Constructora Mediterránea S.L.

Lista de verificación para auditores usuarios {#lista-verificacion}

  • Confirmar la cobertura temporal - Verificar que el periodo del informe sea adecuado o planificar procedimientos adicionales según NIA-ES 402.A43
  • Evaluar la relevancia de los controles - Identificar qué controles del informe afectan directamente a las aseveraciones de los estados financieros según NIA-ES 402.A38
  • Revisar todas las excepciones - Analizar cada deficiencia reportada y evaluar su impacto cuantitativo y cualitativo según NIA-ES 402.A41
  • Verificar controles complementarios - Probar la efectividad de los controles de la entidad usuaria identificados en el informe según NIA-ES 402.17
  • Documentar la evaluación completa - Registrar las conclusiones sobre la adecuación del informe y cualquier procedimiento adicional realizado según NIA-ES 402.22
  • Determinar el impacto en la estrategia de auditoría - Ajustar la naturaleza, oportunidad y alcance de los procedimientos adicionales basándose en la evaluación del informe

Errores frecuentes {#errores-frecuentes}

  • Aceptar automáticamente informes Tipo 1 para todas las auditorías - Los informes que solo evalúan el diseño pueden ser insuficientes cuando se necesita evidencia sobre la eficacia operativa de los controles
  • No evaluar la brecha temporal entre periodos - Ignorar que un informe que termina más de 6 meses antes del cierre puede requerir procedimientos adicionales sustanciales
  • Pasar por alto los controles complementarios del usuario - No verificar que la entidad usuaria mantiene controles efectivos sobre los datos enviados a la organización de servicios puede invalidar la confianza en el informe

Contenido relacionado {#contenido-relacionado}

---

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.