El alegato: por qué el Tipo I rara vez basta para confianza recurrente
Vaya por delante que la tesis de este artículo es contundente y conviene enseñarla pronto. Aceptar un informe ISAE 3402 Tipo I como base de confianza para un control externalizado relevante a las aseveraciones, año tras año, sin procedimientos complementarios sustantivos, es una práctica que el marco normativo permite leer como cumplimiento mientras la realidad técnica del aseguramiento queda sin cubrir. La NIA-ES 402.11 nos pide entender el servicio. La .16 nos pide responder a los riesgos. La ISAE 3402.A67 explica por qué un Tipo II cubre normalmente al menos seis meses. La lectura combinada es difícil de conciliar con un Tipo I anual recurrente. Y aun así, todos lo hemos visto.
Qué se externaliza, y por qué eso importa
Las entidades subcontratan funciones que tocan directamente la información financiera. Nómina. Custodia y administración de inversiones. Procesamiento de pagos. Hosting de aplicaciones contables. Cuando esos controles forman parte del sistema de información de la entidad usuaria conforme al párrafo 7 de la ISAE 3402, el auditor de la entidad usuaria no puede mirar hacia otro lado. La NIA-ES 315 le obliga a entender el riesgo. La NIA-ES 402.11 le obliga a entender lo suficiente del servicio para evaluarlo. Hasta aquí, todo el mundo está de acuerdo.
Lo que realmente ocurre: el auditor de la entidad usuaria recibe el informe del proveedor, lo archiva, marca la casilla del programa y sigue adelante. El control sobre el control nunca se ejerce. Por lo que conozco, esa es la lectura honesta de muchos encargos pyme.
Tipo I y Tipo II: qué cubre cada uno y qué no
Lo que un Tipo I dice de verdad
Un Tipo I opina sobre dos cosas. Que la descripción del sistema y los controles redactada por la organización de servicios es exacta a una fecha concreta, y que el diseño de esos controles, también a esa fecha concreta, es adecuado para alcanzar los objetivos de control declarados. Eso es todo. No dice nada sobre si los controles operaron. No dice nada sobre los 364 días restantes del año. La opinión es una foto fija.
Lo que realmente ocurre: muchos socios leen el Tipo I como si fuera Tipo II ligero. No lo es. Es otra cosa.
Lo que un Tipo II añade
El Tipo II conserva todo lo del Tipo I y suma pruebas de eficacia operativa durante un período. La ISAE 3402.A67 establece que ese período cubre normalmente al menos seis meses, con excepciones acotadas (proveedores con menos historia operativa). El informe Tipo II describe las pruebas, los resultados, las desviaciones y opina sobre si los controles operaron eficazmente. Es la diferencia entre "el extintor está colgado en la pared" y "se ha probado el extintor cada trimestre y descarga".
El cuadro corto
| Aspecto | Tipo I | Tipo II |
|---|---|---|
| Descripción del sistema | Sí, a fecha | Sí, durante el período |
| Diseño de controles | Sí, a fecha | Sí, durante el período |
| Eficacia operativa | No | Sí, durante el período |
| Período mínimo | n.a. | Seis meses, salvo excepciones (ISAE 3402.A67) |
| Sirve para confianza recurrente | Solo en circunstancias estrechas | Sí, si encaja el período |
Cuándo un Tipo I es defendible
Hay casos. Proveedor nuevo sin seis meses de historia. Aplicación nueva en su primer año. Control externalizado de bajo riesgo donde no se pretende confiar en eficacia operativa, sino solo entender el sistema. Cambio de proveedor a mitad de año donde el Tipo II del antiguo cubre solo parte. Fuera de esos supuestos, el Tipo I para confianza recurrente es lo que en mi experiencia se llama "sacar adelante con lo que hay" elevado a categoría.
Lo que dice realmente la norma cuando se rasca
La NIA-ES 402.11 exige obtener entendimiento de la naturaleza y significatividad de los servicios y de su efecto en el control interno relevante. Hasta aquí, descriptivo.
La NIA-ES 402.16 sube el nivel. Cuando el riesgo evaluado de incorrección material no puede reducirse a un nivel aceptablemente bajo solo con procedimientos sustantivos, el auditor debe obtener evidencia sobre la eficacia operativa de los controles relevantes. Léase despacio. Si la confianza en los controles es parte de la estrategia de auditoría (porque sin ella la población es demasiado grande, o el riesgo demasiado alto), un Tipo I no entrega esa evidencia. Lo dice la propia norma sin necesidad de florituras.
La ISA 402.A20 añade el factor tiempo. Cuanto más tiempo haya transcurrido entre la fecha del Tipo I (o el final del período del Tipo II) y la fecha de cierre del auditor, menos evidencia aporta el informe. La A20 no es una sugerencia estética. Es la base técnica para los procedimientos puente.
Lo que realmente ocurre: estos tres párrafos se citan en el archivo de auditoría con un copia-pega y se da por cumplido. La traducción al lenguaje del despacho sería: si vamos a confiar en el control del proveedor, tenemos que ver pruebas de que el control operó cuando nos importa que operara. No basta con que existiera el día que pasó el auditor de servicios.
La trampa de las excepciones (y por qué crecen al tirar del hilo)
El Tipo II honesto describe sus excepciones. Ahí empieza el trabajo del auditor de la entidad usuaria. La NIA-ES 402.16 pide considerar la naturaleza y significatividad de cada excepción y decidir si afectan a las aseveraciones. En la práctica, hay dos modos de leer una excepción. El modo rápido (lo que hace el manual): contar las excepciones, comprobar que la opinión del auditor de servicios sigue siendo limpia, y archivar. El modo lento (lo que hace un buen profesional): trazar la excepción a las transacciones del cliente y ver si el problema es periférico o nuclear.
No siempre cabe el modo lento. Cuando el equipo está en campaña y el archivo cierra el viernes, el modo rápido gana. Lo digo con conocimiento de causa.
Ejemplo práctico: SFM Valencia, donde lo limpio se complica
Escenario: Sistemas Financieros Mediterráneos S.L. (SFM)
SFM es una empresa de procesamiento de nóminas con sede en Valencia que da servicio a más de 200 empresas cliente. El informe ISAE 3402 Tipo II más reciente de SFM cubre el período del 1 de enero al 30 de septiembre de 2023. Mi cliente cierra a 31 de diciembre. La primera lectura es positiva: tenemos Tipo II, no Tipo I. La segunda lectura ya no lo es tanto: faltan tres meses, y son los meses con la paga extra de Navidad y el cierre de IRPF anual.
Paso 1: Identificar los objetivos de control relevantes Documentación: Lista en PT A-12 los cinco objetivos de control que afectan a las aseveraciones de nóminas del cliente
El informe identifica cinco objetivos de control: - Exactitud del cálculo de nóminas - Integridad del procesamiento de transacciones - Autorización adecuada de cambios salariales - Seguridad de acceso al sistema - Continuidad del procesamiento
Paso 2: Evaluar la cobertura del período Documentación: Comparar las fechas del informe con el período de auditoría del cliente en PT A-13
El informe cubre nueve meses. La auditoría cubre doce. Hay una brecha trimestral en el peor momento del calendario de nómina española. La ISA 402.A20 obliga a tomar postura. Las opciones son: pedir un bridge letter al auditor de servicios, ejecutar procedimientos complementarios sobre octubre-diciembre, o reducir el alcance de la confianza en los controles y compensar con sustantivo. En mi caso, opté por bridge letter más prueba sustantiva sobre la nómina de diciembre.
Paso 3: Revisar las excepciones identificadas Documentación: Resumir cada excepción y evaluar el impacto en PT A-14
El informe identifica dos excepciones: - En junio de 2023, tres cambios salariales se procesaron sin autorización documentada adecuada - En agosto de 2023, el sistema sufrió dos horas de inactividad no planificada
Aquí viene la parte incómoda. Al trazar la excepción de junio a las transacciones de mi cliente, los tres cambios salariales no autorizados afectan a un mando intermedio del propio cliente, con un incremento del 18% sobre la nómina previa. Eso ya no es una excepción menor de control. Es un posible indicio de fraude que requiere expediente conforme a NIA-ES 240. Lo que parecía un PT A-14 de media página se convierte en una conversación con el socio.
Paso 4: Determinar el trabajo de auditoría adicional necesario Documentación: Plan de procedimientos complementarios en PT A-15
Para las excepciones identificadas, planificamos: - Pruebas directas sobre la totalidad de cambios salariales con incremento superior al 10% durante junio 2023 - Verificación de que el procesamiento de nóminas de agosto se cerró sin diferencias pese a la interrupción - Procedimientos puente para octubre-diciembre 2023, combinando bridge letter del auditor de SFM con prueba sustantiva sobre la nómina de cierre - Revisión de la competencia del auditor de servicios. El auditor de SFM resultó ser un despacho pequeño que no me sonaba. La ISAE 3402 no exige que el auditor de servicios sea de tamaño determinado, pero sí que el auditor de la entidad usuaria evalúe su competencia. Pedí la inscripción ROAC, una muestra de su política de calidad, y la confirmación de que el equipo del encargo tenía experiencia en aseguramiento de servicios.
Conclusión: el informe ISAE 3402 sirve como punto de partida, no como punto final. La conclusión final descansa tanto en el Tipo II como en los procedimientos puente, en la prueba sustantiva sobre la excepción de junio, y en la evaluación documentada de la competencia del auditor de servicios. Los papeles A-12 a A-15 sostienen esa cadena.
Por qué el mercado español produce tantos Tipo I flojos
Aquí va el insight que no aparece en la norma. Los proveedores de servicios contratan al auditor de servicios que les dé el informe más limpio al precio más bajo. No son entidades fiscalizadas por el ICAC con la misma intensidad que un emisor cotizado. Son sociedades que necesitan un papel para entregar a sus clientes y poder venderles tranquilidad. Esa estructura de incentivos produce una oferta de Tipo I baratos, donde la descripción del sistema es genérica, los objetivos de control se redactan a la medida de los controles que sí existen (y no de las aseveraciones que importan al auditor de la entidad usuaria), y las excepciones se redactan en lenguaje neutro. El auditor de la entidad usuaria hereda toda esa calidad. Si no la cuestiona, la importa entera al archivo.
Desacuerdo legítimo: dos socios, dos posiciones
El Socio A del despacho refuse confiar en el Tipo I del proveedor de nómina y planifica procedimientos sustantivos directos sobre el ciclo de nómina cada año, asumiendo el coste. Su razonamiento: la NIA-ES 402.16 no se cumple con un Tipo I cuando la confianza en el control es parte de la estrategia, y discutirlo con el ICAC en una inspección sería incómodo.
El Socio B del despacho acepta el Tipo I con bridge procedures y deja una limitación documentada en el archivo. Su razonamiento: la prueba sustantiva exhaustiva de la nómina anual de un cliente con 800 empleados consume horas que el honorario no cubre, el riesgo evaluado de error material en nóminas es bajo en este cliente concreto, y los procedimientos puente más una indagación robusta sobre cambios significativos son una respuesta razonable.
Los dos tienen razones. El Socio A es más conservador y duerme mejor. El Socio B es más eficiente y asume el riesgo de explicarse. En mi experiencia, los inspectores del ICAC entienden mejor al Socio A, pero no siempre castigan al Socio B si el archivo está bien construido. Es zona gris real.
Lista de verificación para informes ISAE 3402
1. Cobertura temporal. ¿Qué meses cubre el informe? ¿Encajan con el período de auditoría? Cualquier brecha exige bridge letter, procedimientos puente, o reducción de la confianza.
2. Relevancia de los objetivos de control. Cada objetivo debe atarse a una aseveración concreta de los estados financieros del cliente. Si los objetivos están redactados en abstracto y no se mapean, los papeles están flojos.
3. Descripción del sistema. ¿Coincide con lo que el cliente nos ha contado del servicio? Las divergencias entre la descripción del informe y la realidad del cliente son material de indagación adicional.
4. Excepciones, una por una. Cada excepción debe trazarse a las transacciones del cliente. No basta con contarlas. Hay que mirarlas.
5. Competencia del auditor de servicios. Si el firmante no le suena, mírelo. ROAC, política de calidad, experiencia en ISAE 3402. La NIA-ES 402 no es opcional en esto.
6. Documentación final. Registrar la evaluación, el trabajo adicional, el bridge work si lo hay, y la posición tomada conforme a NIA-ES 402.11 y .16.
Errores frecuentes en la aplicación de ISAE 3402
- Aceptar Tipo I como sustituto de Tipo II para confianza recurrente. El Tipo I no opina sobre eficacia operativa. Si la estrategia confía en el control, el Tipo I no la sostiene.
- Ignorar la brecha temporal. Un informe que cierra en septiembre no aporta evidencia sobre noviembre. La ISA 402.A20 no se cumple con buena voluntad.
- Tratar las excepciones como ruido estadístico. Cada excepción puede ser una bandera. Trazarla a transacciones del cliente es lo mínimo. Si no se traza, fue un trámite.
Contenido relacionado
- Glosario: Organización de servicios - Definición completa y ejemplos de cuándo una entidad se considera organización de servicios bajo las normas de auditoría - Calculadora de materialidad NIA-ES 320 - Herramienta para calcular la materialidad cuando los servicios externalizados afectan las cifras de los estados financieros - Guía de evaluación del riesgo NIA-ES 315 - Cómo incorporar los riesgos de las organizaciones de servicios en su evaluación integral del riesgo