Cuándo necesitas un informe de organización de servicios

La NIA-ES 402.8 establece que cuando una entidad usa servicios de una organización de servicios, el auditor debe obtener comprensión de cómo la entidad usa los servicios de esa organización, incluyendo la naturaleza de los servicios, los términos del contrato y la significatividad de las transacciones procesadas.
Esto no significa que necesites un informe para cada proveedor de servicios. La principal está en la materialidad y el control. Si la organización de servicios procesa transacciones materiales o ejecuta controles que son relevantes para las aseveraciones de los estados financieros, entonces necesitas evidencia sobre esos controles.

El test de dos preguntas


La NIA-ES 402.9 te da el marco de decisión:
Si respondes "sí" a ambas, necesitas evidencia sobre los controles de la organización de servicios.

  • ¿Los servicios son parte del sistema de información de la entidad? Los salarios procesados por ADP sí. El servicio de limpieza no.
  • ¿Afectan las transacciones o controles procesados por la organización de servicios a las aseveraciones materiales? Un proveedor de hosting que guarda copias de seguridad probablemente no. Un procesador de pagos que registra todas las ventas sí.

Tipos de informes y qué puedes hacer con cada uno

SOC 1 Tipo I (descripción de controles en un momento específico)


La NIA-ES 402.16 permite usar estos informes para comprender el diseño de los controles, pero no te proporciona evidencia sobre su efectividad operativa. Es mejor que nada, pero no suficiente para confiar en los controles durante todo el período.
Qué hacer: Usar para planificación y evaluación de riesgos. Necesitarás procedimientos adicionales para probar la efectividad operativa.

SOC 1 Tipo II (diseño y efectividad operativa durante un período)


Este es el estándar de oro. La NIA-ES 402.17 establece que puedes usar este tipo de informe como evidencia de auditoría si:
Qué hacer: Verificar las fechas de cobertura y evaluar si necesitas procedimientos de actualización.

Informes bridge letters


Cuando hay una brecha entre el final del período cubierto por el informe y tu fecha de cierre, la organización de servicios puede proporcionar una carta puente que confirme que no hubo cambios notables en los controles.
La NIA-ES 402.19 no menciona explícitamente estas cartas, pero el principio de evidencia apropiada y suficiente bajo la NIA-ES 500 aplica. Una carta puente de la administración de la organización de servicios no es evidencia independiente, así que necesitarás procedimientos adicionales.

  • El período cubierto por el informe es apropiado
  • El tiempo transcurrido desde el final del período no es demasiado largo
  • Los controles probados son relevantes para tus aseveraciones

Evaluación del auditor de servicios y su trabajo

La NIA-ES 402.17 requiere que evalúes la competencia profesional del auditor de servicios. En la práctica, esto significa:

Evaluación de la calidad del trabajo


La NIA-ES 402.18 establece que debes evaluar si el alcance del trabajo del auditor de servicios es adecuado para tus propósitos. Esto incluye:

  • Verificar su licencia profesional: ¿Es miembro de un instituto profesional reconocido?
  • Evaluar su independencia: ¿El informe contiene una declaración de independencia clara?
  • Revisar su reputación: ¿Has trabajado con esta firma antes? ¿Conoces su trabajo?
  • Revisión de los objetivos de control probados: ¿Cubren los riesgos que has identificado?
  • Evaluación de los procedimientos de prueba: ¿Son apropiados para el tipo de control?
  • Análisis de las excepciones encontradas: ¿Hay deficiencias que afecten tu auditoría?

Ejemplo práctico: Auditoría de Logística Mediterránea S.L.

Contexto: Logística Mediterránea S.L. (Valencia) factura 45 millones de euros anuales. Usa SAP Cloud para toda la contabilidad financiera y ADP para nóminas. Ambos servicios procesan transacciones materiales.
Paso 1. Identificar organizaciones de servicios relevantes
Documentación: Lista en el papel de trabajo de planificación todas las organizaciones de servicios, evaluando materialidad de las transacciones procesadas
SAP Cloud procesa el 100% de las transacciones de ventas, compras y contabilidad general. Materialidad: alta. ADP procesa €8.2 millones en gastos de personal anuales. Materialidad: alta.
Paso 2. Solicitar informes SOC 1
Documentación: Correspondencia con el cliente solicitando los informes más recientes
SAP proporcionó informe SOC 1 Tipo II para el período del 1 enero al 31 diciembre 2023. ADP proporcionó informe similar para el mismo período. Cierre de auditoría: 31 diciembre 2023.
Paso 3. Evaluar cobertura temporal y relevancia
Documentación: Tabla comparando período cubierto por el informe vs. período de auditoría, identificando brechas
Ambos informes cubren exactamente el período de auditoría. Sin brechas temporales. Los controles probados incluyen controles de acceso, procesamiento de transacciones y interfaces con sistemas del cliente.
Paso 4. Evaluar excepciones y deficiencias
Documentación: Resumen de todas las excepciones mencionadas en los informes y evaluación de su impacto en la auditoría
El informe de SAP incluye 3 excepciones en controles de acceso de usuarios, pero todas se corrigieron durante el período de prueba. El informe de ADP no tiene excepciones. Impacto: mínimo, no requiere procedimientos adicionales.
Paso 5. Diseñar procedimientos complementarios
Documentación: Programa de auditoría específico para procedimientos sobre saldos afectados por organizaciones de servicios
Aunque los informes SOC 1 cubren los controles generales, necesitamos probar la configuración específica del cliente y los controles complementarios que opera Logística Mediterránea.
Conclusión: Los informes SOC 1 proporcionan evidencia suficiente sobre los controles generales de ambas organizaciones de servicios. Los procedimientos de detalle sobre saldos afectados completarán la evidencia necesaria.

Lista de verificación práctica

  • Identificar todas las organizaciones de servicios materiales - Revisar contratos, facturas y mapeo de procesos bajo NIA-ES 402.8
  • Evaluar la necesidad de informes de control - Aplicar el test de dos preguntas de la NIA-ES 402.9
  • Solicitar informes SOC 1 Tipo II actualizados - Verificar que cubran el período de auditoría completo
  • Evaluar competencia e independencia del auditor de servicios - Según NIA-ES 402.17
  • Analizar deficiencias y excepciones reportadas - Evaluar impacto en aseveraciones de estados financieros
  • Documentar la evaluación y conclusiones - Incluir decisión sobre procedimientos adicionales necesarios

Errores frecuentes

  • No evaluar la competencia del auditor de servicios: Los datos internacionales del IFAC muestran que muchos auditores asumen que todos los informes SOC 1 tienen la misma calidad. La NIA-ES 402.17 requiere evaluación específica.
  • Usar informes desactualizados: Aceptar un informe SOC 1 que cubre enero-octubre para una auditoría con cierre en diciembre sin procedimientos de actualización.
  • No leer las excepciones: Confiar en un informe "limpio" sin leer que tiene 15 excepciones documentadas en el apéndice.

Contenido relacionado

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.