Qué es ISAE 3402 y cuándo se aplica

La International Standard on Assurance Engagements 3402 (ISAE 3402) fue desarrollada para abordar la necesidad de información creíble sobre los controles internos de las organizaciones de servicios. Cuando las entidades externalizan funciones críticas como el procesamiento de nóminas, gestión de inversiones, procesamiento de pagos o administración de sistemas TI, necesitan comprender si los controles de esos proveedores son efectivos.

El marco regulatorio


La ISAE 3402 funciona en conjunto con la ISA 402 "Audit Considerations Relating to an Entity Using a Service Organization". Mientras que la ISA 402 guía al auditor de la entidad usuaria sobre cómo obtener evidencia de auditoría cuando los servicios externalizados afectan el control interno, la ISAE 3402 establece los estándares para el auditor que emite el informe sobre esos controles.
El párrafo 7 de la ISAE 3402 define una organización de servicios como "una organización de terceros (o segmento de una organización de terceros) que proporciona servicios a entidades usuarias que forman parte del sistema de información de las entidades usuarias relevante para la información financiera".

Cuándo se requiere un informe ISAE 3402


Un informe ISAE 3402 se convierte en relevante cuando:

  • Los servicios de la organización afectan directamente la información financiera de la entidad usuaria
  • Los controles de la organización de servicios son relevantes para las aseveraciones en los estados financieros
  • La entidad usuaria no puede obtener evidencia directa suficiente sobre la eficacia de esos controles
  • El auditor de la entidad usuaria necesita confiar en los controles de la organización de servicios bajo la NIA-ES 315

Informes Tipo I vs. Tipo II: diferencias centrales

Informes Tipo I: descripción y diseño


Un informe Tipo I proporciona la opinión del auditor de servicios sobre:
Lo que incluye un Tipo I:

Informes Tipo II: diseño y eficacia operativa


Un informe Tipo II incluye todo lo del Tipo I, más:
Requisitos de período mínimo:
El párrafo A67 de la ISAE 3402 establece que para un informe Tipo II, el período cubierto debe ser al menos de seis meses. Sin embargo, reconoce que en ciertas circunstancias (como cuando la organización de servicios ha estado en operación por menos de seis meses), un período más corto puede ser aceptable.

Cuándo usar cada tipo


Use Tipo I cuando:
Use Tipo II cuando:
  • La exactitud de la descripción de la organización de servicios sobre su sistema y controles
  • La idoneidad del diseño de los controles para lograr los objetivos de control especificados
  • Descripción del sistema de la organización de servicios
  • Objetivos de control especificados por la administración
  • Controles relevantes diseñados para lograr esos objetivos
  • Opinión sobre si la descripción es exacta en una fecha específica
  • Opinión sobre si los controles están diseñados adecuadamente
  • Pruebas de la eficacia operativa de los controles durante un período específico (mínimo seis meses según ISAE 3402.A67)
  • Resultados de esas pruebas
  • Opinión sobre si los controles operaron efectivamente durante el período
  • La organización de servicios es nueva y no ha operado el tiempo suficiente para una revisión Tipo II
  • Necesita evaluación del diseño de controles para una nueva aplicación
  • Los costos de un Tipo II no se justifican dado el nivel de riesgo
  • Necesita evidencia sobre la eficacia operativa de los controles
  • Los servicios externalizados son críticos para las aseveraciones de los estados financieros
  • La confianza en los controles de la organización de servicios es parte de su estrategia de auditoría

Ejemplo práctico: evaluación de un informe ISAE 3402

Escenario: Sistemas Financieros Mediterráneos S.L.
Sistemas Financieros Mediterráneos S.L. (SFM) es una empresa de procesamiento de nóminas con sede en Valencia que proporciona servicios a más de 200 empresas cliente. Su informe ISAE 3402 Tipo II más reciente cubre el período del 1 de enero al 31 de diciembre de 2023.
Paso 1. Identificar los objetivos de control relevantes
Documentación: Lista en PT A-12 los cinco objetivos de control que afectan las aseveraciones de nóminas del cliente
El informe identifica cinco objetivos de control:
Paso 2. Evaluar la cobertura del período
Documentación: Comparar las fechas del informe con el período de auditoría del cliente en PT A-13
Su auditoría cubre el año terminado el 31 de diciembre de 2023. El informe ISAE 3402 cubre exactamente el mismo período, proporcionando cobertura completa.
Paso 3. Revisar las excepciones identificadas
Documentación: Resumir cada excepción y evaluar el impacto en PT A-14
El informe identifica dos excepciones:
Paso 4. Determinar trabajo de auditoría adicional necesario
Documentación: Plan de procedimientos complementarios en PT A-15
Para las excepciones identificadas, realice:
Conclusión: El informe ISAE 3402 proporciona evidencia de auditoría suficiente para confiar en los controles de SFM, sujeto a los procedimientos adicionales para abordar las excepciones identificadas. La documentación en los papeles de trabajo A-12 a A-15 respalda esta conclusión.

  • Exactitud del cálculo de nóminas
  • Integridad del procesamiento de transacciones
  • Autorización adecuada de cambios salariales
  • Seguridad de acceso al sistema
  • Continuidad del procesamiento
  • En junio de 2023, tres cambios salariales se procesaron sin autorización documentada adecuada
  • En agosto de 2023, el sistema experimentó dos horas de inactividad no planificada
  • Pruebas directas de una muestra de cambios salariales procesados por SFM durante junio 2023
  • Verificación de que el procesamiento de nóminas de agosto se completó sin errores a pesar de la interrupción

Lista de verificación práctica para informes ISAE 3402

  • Verificar la cobertura temporal: Confirmar que el período del informe se superpone adecuadamente con el período de auditoría. Si hay brechas, planificar procedimientos para los períodos no cubiertos.
  • Evaluar la relevancia de los objetivos de control: Cada objetivo debe relacionarse directamente con las aseveraciones en los estados financieros de la entidad usuaria que dependen de los servicios.
  • Revisar la descripción del sistema: Verificar que la descripción coincide con su comprensión de los servicios proporcionados al cliente.
  • Analizar todas las excepciones: Para cada excepción identificada, evaluar el impacto potencial y determinar si se necesitan procedimientos adicionales de auditoría.
  • Confirmar la competencia del auditor de servicios: Verificar que el auditor que emitió el informe ISAE 3402 tiene la experiencia y calificaciones apropiadas.
  • Documentar la evaluación: Registrar la evaluación del informe y cualquier trabajo adicional requerido según la NIA-ES 402.11.

Errores frecuentes en la aplicación de ISAE 3402

Aceptar informes Tipo I cuando se necesita Tipo II: Los informes Tipo I solo confirman el diseño de los controles en una fecha específica. Si su estrategia de auditoría requiere confiar en la eficacia operativa de los controles durante un período, necesita un informe Tipo II.
Ignorar las fechas de cobertura: Un informe del año anterior no proporciona evidencia sobre el año actual. El párrafo A20 de la ISA 402 requiere considerar el tiempo transcurrido entre la fecha del informe y la fecha de su auditoría.
No evaluar las excepciones adecuadamente: Cada excepción en el informe puede indicar una debilidad en el control interno que afecta su evaluación del riesgo. La ISA 402.16 requiere que considere la naturaleza y significancia de cualquier excepción identificada.

Contenido relacionado

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.