Tabla de contenidos
1. Qué exige la NIA-ES 402 sobre organizaciones de servicios 2. Tipos de informes SOC y qué significan 3. Evaluación de la adecuación del informe 4. Ejemplo práctico: Gestora Logística Valencia S.L. 5. Lista de verificación práctica 6. Errores frecuentes 7. Contenido relacionado
Qué exige la NIA-ES 402 sobre organizaciones de servicios
No basta con meter el informe SOC en el archivo y pasar página. La NIA-ES 402.9 exige que el auditor comprenda cómo la entidad usa los servicios de la organización de servicios, y esa comprensión debe cubrir la naturaleza de los servicios prestados, su importancia para la entidad y los controles que los rodean. Hay tres bloques de información que usted necesita antes de tocar la materialidad, y ninguno lo resuelve el manual del proveedor.
Lo que realmente ocurre es que el párrafo 402.12 obliga a ir más allá. No es suficiente con entender qué hace el proveedor. El auditor debe determinar si ha obtenido comprensión suficiente de la naturaleza y de la importancia de los servicios, y cuando esos servicios forman parte del sistema de información de la entidad (incluido el de información financiera), esa comprensión debe llegar hasta el diseño de los controles relevantes en la propia organización de servicios. En encargos donde se externaliza la contabilidad completa, saltarse este paso es garantizar que el papel de trabajo se caiga en la primera revisión.
Por qué importan los controles de la organización de servicios
No, externalizar un proceso no externaliza la responsabilidad. Cuando una entidad entrega el procesamiento de nóminas, la gestión de inversiones o el mantenimiento del libro mayor, los controles del proveedor pasan a ser parte del sistema de control interno de su cliente. El socio necesita el cliente, el cliente necesita el proveedor, y al final el riesgo lo firma usted.
La NIA-ES 402.A6 lo aclara sin ambigüedades: si la organización de servicios ejecuta procedimientos que son equivalentes a los controles internos de la entidad usuaria, esos procedimientos deben evaluarse como parte del sistema de control interno a efectos de la auditoría. Desde mi punto de vista, esto tiene una consecuencia incómoda que rara vez se explica en los cursos. Una deficiencia significativa en el proveedor se convierte automáticamente en una deficiencia significativa en el control interno de su cliente, con todo lo que eso implica para la comunicación con la dirección y con los responsables del gobierno según la NIA-ES 265.
Tipos de informes SOC y qué significan
Existen dos tipos principales de informes sobre controles en organizaciones de servicios bajo NIA-ES 3402. La confusión entre ambos es uno de los hallazgos recurrentes en revisiones de calidad, y no es un problema menor.
Informe Tipo I (sobre el diseño): - Evalúa si los controles están adecuadamente diseñados para lograr los objetivos de control especificados - Se refiere a una fecha específica (no a un período) - No incluye pruebas de eficacia operativa - Limitado para fines de auditoría porque no proporciona evidencia sobre si los controles operaron durante el período
Informe Tipo II (sobre el diseño y la eficacia operativa): - Incluye la evaluación del diseño y pruebas de eficacia operativa durante un período - Cubre un período mínimo (normalmente 3-12 meses) - Incluye resultados de las pruebas, incluyendo excepciones identificadas - Más relevante para la auditoría porque proporciona evidencia sobre el funcionamiento real de los controles
Qué buscar en el informe del auditor de servicios
El párrafo 402.A17 indica que usted debe revisar el informe del auditor de servicios para determinar si proporciona evidencia suficiente y adecuada. En la práctica, eso significa fijarse en cuatro puntos concretos antes de aceptar el informe como evidencia:
- El período cubierto por las pruebas y su relevancia para su auditoría - Los procedimientos aplicados y sus resultados - La adecuación de los criterios utilizados - Cualquier salvedad u opinión modificada
Un informe con salvedad por deficiencias significativas exige que usted evalúe específicamente cómo esas deficiencias afectan la naturaleza, el calendario y el alcance de sus procedimientos adicionales según NIA-ES 402.16. En los encargos que he llevado, este es precisamente el punto donde el archivo suele quedarse cojo. El informe SOC se guarda, las deficiencias se mencionan en una nota y ahí termina todo. Si viene el ICAC, ese "ahí termina todo" se convierte en la primera observación del acta.
Evaluación de la adecuación del informe
Relevancia temporal
El párrafo 402.A20 aborda el problema que aparece en el 80% de los archivos con organización de servicios: las brechas temporales. Si existe un período entre el final de las pruebas del auditor de servicios y el final del período de su auditoría, usted debe aplicar procedimientos para obtener evidencia suficiente sobre los controles durante ese período no cubierto. No basta con señalar la brecha en el memorando de planificación; hay que cubrirla con algo.
Estos procedimientos pueden incluir: - Extender las pruebas de controles hasta una fecha posterior - Aplicar procedimientos sustantivos que cubran el período de la brecha - Solicitar una representación por escrito de la dirección sobre cambios notables en los controles
Complementariedad de los controles
La NIA-ES 402.A12 establece que algunos controles de la organización de servicios solo son eficaces si la entidad usuaria aplica determinados controles complementarios. El informe debe especificar cuáles son esos controles complementarios, y usted tiene que verificar que el cliente los ha implementado y que operan eficazmente. En los encargos que he llevado, este es el hallazgo más habitual: el proveedor hace su parte, el cliente asume que con eso basta, y nadie ha probado los controles que el cliente debía aplicar.
Por ejemplo, un proveedor de servicios de nómina puede tener controles sobre la exactitud del cálculo, pero requiere que la entidad usuaria revise y apruebe los archivos de datos maestros de empleados antes del procesamiento. Si el cliente no lo hace (o lo hace sin dejar rastro), el control del proveedor pierde valor de evidencia para la auditoría. Es la clase de detalle que convierte un archivo correcto en una bomba de relojería.
Ejemplo práctico: Gestora Logística Valencia S.L.
Contexto: Gestora Logística Valencia S.L. es una empresa de distribución con ingresos de 18,7 millones de euros que usa Servicios Contables Mediterráneos S.L. para el procesamiento completo de la contabilidad general y las cuentas por pagar. La materialidad global es de 280.000 euros. Segundo año del encargo, partner nuevo, manager con dos campañas en el puesto.
Documentos recibidos: - Informe SOC 1 Tipo II de Servicios Contables Mediterráneos S.L. - Período cubierto: 1 de abril de 2023 al 31 de marzo de 2024 - Fecha del informe del auditor: 15 de abril de 2024 - Cierre de Gestora Logística: 31 de diciembre de 2024
Evaluar la adecuación temporal
Documentación: brecha de 9 meses (abril a diciembre 2024) no cubierta por las pruebas del auditor de servicios. La NIA-ES 402.A20 requiere procedimientos adicionales.
Revisar excepciones identificadas
El informe SOC identifica tres excepciones: - Control de autorización de pagos: 2 de 40 elementos probados carecían de aprobación adecuada - Control de conciliación bancaria: 1 mes con conciliación preparada con 5 días de retraso - Control de acceso al sistema: 1 usuario con acceso no revocado tras terminación laboral (revocado 15 días después)
Documentación: excepciones evaluadas. Dos son deficiencias de diseño (autorización y acceso). Una es deficiencia operativa menor (conciliación).
Aquí aparece la zona gris. Sobre el papel, dos excepciones en autorización de pagos dentro de una muestra de 40 no parecen dramáticas. En la práctica, el flujo completo pasa por ese control. Si el proveedor no autoriza correctamente el 5% de los pagos y su cliente no tiene un control complementario robusto del lado del tesorero, usted tiene un problema de aserción de exactitud y de existencia en cuentas por pagar que no se resuelve con una prueba sustantiva genérica. Yo pediría aquí una prueba ampliada específicamente sobre pagos del período de la brecha, no porque la norma lo exija palabra por palabra, sino porque la combinación de excepción de diseño y brecha temporal cambia el nivel de riesgo inherente.
Verificar controles complementarios
El informe especifica que la entidad usuaria debe: - Revisar y aprobar facturas antes del envío al proveedor - Proporcionar autorizaciones por escrito para nuevos proveedores - Mantener segregación entre quien autoriza pagos y quien accede al sistema
Documentación: probados los tres controles complementarios en Gestora Logística. Segregación adecuada verificada mediante inspección de perfiles de usuario. Autorizaciones de nuevos proveedores probadas en muestra de 15 elementos.
Abordar la brecha temporal
Para cubrir abril-diciembre 2024: - Ampliamos las pruebas sustantivas de cuentas por pagar - Solicitamos confirmación por escrito de que no hubo cambios notables en controles - Revisamos conciliaciones bancarias mensuales preparadas por el cliente
Documentación: procedimientos adicionales cubren la brecha temporal. No se identificaron incorrecciones materiales.
Aquí hay desacuerdo legítimo entre profesionales experimentados. El Socio A del despacho aceptaría este enfoque porque la confirmación escrita de la dirección (bajo NIA-ES 580) sumada a las pruebas sustantivas ampliadas cubre el riesgo remanente. El Socio B rechazaría la confirmación como evidencia principal y exigiría una extensión formal de las pruebas de controles hasta al menos septiembre de 2024 con visita al proveedor, porque considera que una declaración de la dirección usuaria no es evidencia suficiente sobre controles que no operan en la propia entidad. Ambas posiciones son defendibles. La elección depende de la evaluación del riesgo y del perfil del cliente, no de una regla automática.
Conclusión del caso: el informe SOC es adecuado con modificaciones. Las excepciones identificadas no constituyen deficiencias significativas cuando se consideran los controles complementarios implementados por el cliente. Los procedimientos adicionales proporcionan seguridad razonable sobre la brecha temporal de 9 meses.
Lista de verificación práctica
1. Verificar el tipo y período del informe: confirme que es Tipo II y que el período es relevante para su auditoría (mínimo 3 meses de superposición con el ejercicio auditado).
2. Evaluar las excepciones: para cada excepción identificada, determine si es una deficiencia en el control interno según NIA-ES 265.A6 y documente el impacto en la evaluación del riesgo.
3. Probar controles complementarios: verifique que los controles que debe implementar la entidad usuaria están diseñados e implementados eficazmente.
4. Abordar brechas temporales: para períodos no cubiertos, aplique procedimientos sustantivos adicionales o extienda las pruebas de controles según NIA-ES 402.A20.
5. Documentar la evaluación: el archivo debe incluir su evaluación de cómo los servicios de la organización afectan el control interno del cliente y su respuesta en términos de naturaleza, calendario y alcance de los procedimientos.
6. Lo más importante: si el informe contiene salvedades por deficiencias significativas, evalúe específicamente si esas deficiencias afectan las aseveraciones relevantes para su auditoría y ajuste los procedimientos en consecuencia.
Errores frecuentes
La segunda observación no es un detalle técnico. Una firma que revisa informes SOC sin traducir las excepciones al lenguaje del riesgo del cliente (qué aserción afectan, qué procedimientos adicionales se derivan, qué evidencia cierra el loop) está haciendo trabajo defensivo, no trabajo de auditoría. Y esa diferencia es la que el ICAC encuentra antes que cualquier otra cosa cuando abre el archivo.
Contenido relacionado
- Glosario: Organización de servicios: definición completa y marco regulatorio según NIA-ES 402 - Herramienta: Kit de evaluación NIA-ES 402: plantillas y listas de verificación para documentar la revisión de informes SOC - Blog: Deficiencias significativas en el control interno: cómo evaluar y comunicar deficiencias identificadas en organizaciones de servicios
---