La NIA-ES 402 establece que cuando una entidad usa una organización de servicios, el auditor debe comprender cómo la entidad usa los servicios de dicha organización según el párrafo 402.9.

Tabla de contenidos

Qué exige la NIA-ES 402 sobre organizaciones de servicios

La NIA-ES 402 establece que cuando una entidad usa una organización de servicios, el auditor debe comprender cómo la entidad usa los servicios de dicha organización según el párrafo 402.9. Esto incluye la naturaleza de los servicios prestados, la importancia de esos servicios para la entidad y su relevancia para la auditoría, así como los controles sobre dichos servicios.
El párrafo 402.12 especifica que el auditor debe determinar si ha obtenido comprensión suficiente de la naturaleza y importancia de los servicios prestados por la organización de servicios. Cuando los servicios de la organización forman parte del sistema de información de la entidad, incluido el relacionado con la información financiera, esta comprensión debe abarcar el diseño de los controles relevantes en la organización de servicios.

Por qué importan los controles de la organización de servicios


Los servicios subcontratados no eliminan la responsabilidad de la dirección sobre el control interno. Cuando una entidad externaliza el procesamiento de nóminas, la gestión de inversiones o el mantenimiento de registros contables, los controles de la organización de servicios se convierten en parte del sistema de control interno de la entidad auditada.
La NIA-ES 402.A6 clarifica que si la organización de servicios ejecuta procedimientos equivalentes a los controles internos de la entidad usuaria, estos deben evaluarse como parte del sistema de control interno para efectos de la auditoría. Una deficiencia significativa en la organización de servicios puede constituir una deficiencia significativa en el control interno de su cliente.

Tipos de informes SOC y qué significan

Existen dos tipos principales de informes sobre controles en organizaciones de servicios bajo NIA-ES 3402:
Informe Tipo I (sobre el diseño):
Informe Tipo II (sobre el diseño y la eficacia operativa):

Qué buscar en el informe del auditor de servicios


El párrafo 402.A17 indica que debe revisar el informe del auditor de servicios para determinar si proporciona evidencia suficiente y adecuada. Esto incluye:
Un informe con salvedad por deficiencias significativas requiere que evalúe específicamente cómo esas deficiencias afectan la naturaleza, el calendario y el alcance de sus procedimientos adicionales según NIA-ES 402.16.

  • Evalúa si los controles están adecuadamente diseñados para lograr los objetivos de control especificados
  • Se refiere a una fecha específica (no un período)
  • No incluye pruebas de eficacia operativa
  • Limitado para fines de auditoría porque no proporciona evidencia sobre si los controles operaron durante el período
  • Incluye la evaluación del diseño más pruebas de la eficacia operativa durante un período
  • Cubre un período mínimo (normalmente 3-12 meses)
  • Incluye resultados de las pruebas, incluyendo excepciones identificadas
  • Más relevante para la auditoría porque proporciona evidencia sobre el funcionamiento real de los controles
  • El período cubierto por las pruebas y su relevancia para su auditoría
  • Los procedimientos aplicados y sus resultados
  • La adecuación de los criterios utilizados
  • Cualquier salvedad u opinión modificada

Evaluación de la adecuación del informe

Relevancia temporal


El párrafo 402.A20 aborda un problema frecuente: las brechas temporales. Si existe un período entre el final de las pruebas del auditor de servicios y el final del período de su auditoría, debe aplicar procedimientos para obtener evidencia suficiente sobre los controles durante ese período no cubierto.
Estos procedimientos pueden incluir:

Complementariedad de los controles


La NIA-ES 402.A12 establece que algunos controles de la organización de servicios pueden ser eficaces solo si la entidad usuaria aplica ciertos controles complementarios. El informe debe especificar estos controles complementarios, y usted debe verificar que su cliente los ha implementado y que operan eficazmente.
Por ejemplo, un proveedor de servicios de nómina puede tener controles sobre la exactitud del cálculo, pero requiere que la entidad usuaria revise y apruebe los archivos de datos maestros de empleados antes del procesamiento.

  • Extender las pruebas de controles hasta una fecha posterior
  • Aplicar procedimientos sustantivos que cubran el período de la brecha
  • Solicitar una representación por escrito de la dirección sobre cambios notables en los controles
  • Realizar indagaciones específicas al personal de la organización de servicios sobre incidencias o cambios en controles durante el período no cubierto, según NIA-ES 402.A21

Ejemplo práctico: Gestora Logística Valencia S.L.

Contexto: Gestora Logística Valencia S.L. es una empresa de distribución con ingresos de €18,7 millones que usa Servicios Contables Mediterráneos S.L. para el procesamiento completo de su contabilidad general y cuentas por pagar. La materialidad global es €280.000.
Documentos recibidos:

Paso 1: Evaluar la adecuación temporal


Documentación: Brecha de 9 meses (abril a diciembre 2024) no cubierta por las pruebas del auditor de servicios. NIA-ES 402.A20 requiere procedimientos adicionales.

Paso 2: Revisar excepciones identificadas


El informe SOC identifica 3 excepciones:
Documentación: Excepciones evaluadas. Dos son deficiencias de diseño (autorización y acceso), una es deficiencia operativa menor (conciliación).

Paso 3: Verificar controles complementarios


El informe especifica que la entidad usuaria debe:
Documentación: Probados los tres controles complementarios en Gestora Logística. Segregación adecuada verificada mediante inspección de perfiles de usuario. Autorizaciones de nuevos proveedores probadas en muestra de 15 elementos.

Paso 4: Abordar la brecha temporal


Para cubrir abril-diciembre 2024:
Documentación: Procedimientos adicionales cubren la brecha temporal. No se identificaron incorrecciones materiales.
Conclusión: El informe SOC es adecuado con modificaciones. Las excepciones identificadas no son deficiencias significativas cuando se consideran los controles complementarios implementados por el cliente. Los procedimientos adicionales proporcionan seguridad razonable sobre la brecha temporal de 9 meses.

  • Informe SOC 1 Tipo II de Servicios Contables Mediterráneos S.L.
  • Período cubierto: 1 de abril de 2023 al 31 de marzo de 2024
  • Fecha del informe del auditor: 15 de abril de 2024
  • Cierre de Gestora Logística: 31 de diciembre de 2024
  • Control de autorización de pagos: 2 de 40 elementos probados carecían de aprobación adecuada
  • Control de conciliación bancaria: 1 mes con conciliación preparada con 5 días de retraso
  • Control de acceso al sistema: 1 usuario con acceso no revocado tras terminación laboral (revocado 15 días después)
  • Revisar y aprobar facturas antes del envío al proveedor
  • Proporcionar autorizaciones por escrito para nuevos proveedores
  • Mantener segregación entre quien autoriza pagos y quien accede al sistema
  • Ampliamos las pruebas sustantivas de cuentas por pagar
  • Solicitamos confirmación por escrito de que no hubo cambios notables en controles
  • Revisamos conciliaciones bancarias mensuales preparadas por el cliente

Lista de verificación práctica

  • Verificar el tipo y período del informe: Confirme que es Tipo II y que el período es relevante para su auditoría (mínimo 3 meses de superposición con el ejercicio auditado).
  • Evaluar las excepciones: Para cada excepción identificada, determine si es una deficiencia en el control interno según NIA-ES 265.A6 y documente el impacto en la evaluación del riesgo.
  • Probar controles complementarios: Verifique que los controles que debe implementar la entidad usuaria están diseñados e implementados eficazmente.
  • Abordar brechas temporales: Para períodos no cubiertos, aplique procedimientos sustantivos adicionales o extienda las pruebas de controles según NIA-ES 402.A20.
  • Documentar la evaluación: El archivo debe incluir su evaluación de cómo los servicios de la organización afectan el control interno del cliente y la respuesta en términos de naturaleza, calendario y alcance de los procedimientos.
  • Lo más importante: Si el informe contiene salvedades por deficiencias significativas, evalúe específicamente si estas deficiencias afectan las aseveraciones relevantes para su auditoría y ajuste los procedimientos en consecuencia.

Errores frecuentes

  • Aceptar informes Tipo I sin procedimientos adicionales: Los informes sobre diseño únicamente no proporcionan evidencia sobre la eficacia operativa durante el período.
  • No abordar brechas temporales: Documentos internacionales muestran que las brechas de más de 3 meses sin procedimientos adicionales se señalan con frecuencia en revisiones de calidad.
  • Pasar por alto controles complementarios: El 60% de las deficiencias relacionadas con organizaciones de servicios surgen por no verificar que el cliente implementó los controles que le corresponden.
  • No evaluar el impacto de las excepciones sobre aseveraciones específicas: Cuando el informe SOC incluye excepciones, el auditor debe vincular cada excepción con las aseveraciones relevantes de los estados financieros y ajustar los procedimientos adicionales conforme a la NIA-ES 402.16.

Contenido relacionado

---

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.