Índice de contenidos

1. Qué exige la ISAE 3402 sobre muestreo 2. Los párrafos que debería estar citando 3. Ejemplo práctico: auditoría de controles de nómina 4. Lista de verificación para documentación de muestreo 5. Errores frecuentes en las referencias

Qué exige la ISAE 3402 sobre muestreo

Vaya por delante que ISAE 3402 no se redactó como NIA-ES 530. NIA-ES 530 tiene una sección unificada de muestreo, con anexos, y cualquier auditor que la abra encuentra los conceptos ordenados. ISAE 3402 no. La guía de muestreo está repartida por todo el material de aplicación, sin epígrafe propio, mezclada con consideraciones de diseño de controles y de evaluación de pruebas. Esa dispersión es, por lo que conozco, la causa raíz del problema.

Cuando un manager junior o el redactor de plantillas de la red internacional necesitan citar "algo de muestreo," lo natural es buscar el párrafo más alto que mencione "sample" en la versión inglesa. Ese párrafo es A75. A75 habla de poblaciones con desviaciones conocidas de períodos anteriores. No es el caso del 95% de los encargos ISAE 3402. Pero está bien numerado, suena técnico y la cita queda elegante en el papel de trabajo.

ISAE 3402.58 establece la exigencia central. Cuando la naturaleza y circunstancias del control son tales que la inspección de evidencia de su operación proporciona evidencia suficiente y apropiada, el auditor debe inspeccionar dicha evidencia a lo largo del período cubierto. El material de aplicación posterior baja al detalle según el tipo de evidencia, la frecuencia del control y el tipo de población.

Lo que realmente ocurre: el revisor de calidad del encargo (la EQR) no lee A75. Le pasan nueve informes ISAE 3402 para firmar entre el 15 y el 30 de marzo, y revisa la conclusión, el tamaño de muestra y poco más. Marca la casilla. La plantilla heredada se valida por inercia. Quien acaba leyendo A75 es un revisor técnico años después (a veces durante la preparación de una inspección del ICAC, a veces porque rota un partner nuevo al encargo) y entonces ese revisor se encuentra con que docenas de expedientes comparten el mismo defecto. Los papeles están flojos en exactamente el mismo punto, en exactamente el mismo párrafo citado, durante años.

Los párrafos que debería estar citando

Hay dos bloques útiles. Uno gobierna la selección de los elementos a probar. El otro gobierna qué hace usted cuando aparece una desviación.

Para la selección de elementos de prueba — párrafos A60 a A65

A60 reconoce que el auditor puede emplear muestreo estadístico o no estadístico para probar la operación efectiva de los controles. No prescribe uno u otro. A62 admite la selección dirigida de elementos específicos según el entendimiento del control en la organización de servicios. Y A64, que es el que casi nadie cita y todo el mundo necesita, vincula la frecuencia de las pruebas con la frecuencia operativa del control y con el grado de confianza que el auditor planea obtener.

Si su control opera diariamente y usted prueba 25 elementos, A64 es el párrafo que justifica por qué 25 no son suficientes. Si su control opera mensualmente y usted prueba 4, A64 es el párrafo que justifica que 4 puedan bastar. A75 no dice nada de esto.

Lo que realmente ocurre: el auditor que acaba de calcular el tamaño de muestra en una hoja Excel hereda de la plantilla suele citar A75 porque la plantilla así lo trae. Cuando el revisor técnico le pregunta de dónde sale el 93, el auditor explica oralmente exactamente lo que dice A64 — "es un control diario, queremos 95% de confianza, asumimos 1% esperado de desviación, sale 93" — pero el papel de trabajo no remite ahí. La justificación técnica vive en la cabeza del auditor; la cita escrita vive en otro párrafo que no respalda el cálculo. Esa desconexión es exactamente lo que un inspector del ICAC marcaría como deficiencia documental conforme a NIA-ES 230.

Para la evaluación de resultados — párrafos A71 a A74

A71 define qué es una deficiencia de control: un control que, por diseño, implementación u operación, no previene ni detecta y corrige incorrecciones en los estados financieros de las entidades usuarias de manera oportuna. A73 obliga a investigar las desviaciones identificadas en la muestra para determinar si representan deficiencias sistemáticas o son aisladas. La proyección al universo, la conclusión sobre operación efectiva y la decisión de comunicar la deficiencia se anclan aquí, no en A75.

Cuándo sí aplica A75 — el supuesto estrecho

A75 vive para un caso muy concreto: la población contiene un número conocido de desviaciones identificadas en períodos anteriores y el auditor desea probar si esas desviaciones específicas se han corregido. Es re-testeo dirigido. Si en el informe ISAE 3402 del año pasado se identificaron seis fallos en la aprobación de pagos por encima de un umbral, y la organización de servicios implementó controles correctivos, entonces A75 sí da el marco para ese seguimiento concreto. Para el muestreo inicial sobre una población sin historial conocido, A75 es la cita equivocada.

En mi experiencia, el supuesto de A75 aparece en uno de cada quince encargos como mucho. Los otros catorce viven en A60-A65 más A71-A74. Y aun así la plantilla por defecto sigue citando A75.

Ejemplo práctico: auditoría de controles de nómina

Escenario: Servicios Administrativos Levante S.L. (Valencia) presta servicios de procesamiento de nómina para 47 clientes con ingresos anuales de 12,3 millones de euros. El control a auditar es: "Toda modificación salarial requiere aprobación por escrito del responsable de recursos humanos del cliente."

Población: 2.847 modificaciones salariales procesadas durante el período de 12 meses (enero-diciembre 2025).

Paso 1: Determinar el enfoque de muestreo Documentación: "Conforme a ISAE 3402.A60 y A62, se aplica muestreo estadístico estratificado para obtener evidencia suficiente y apropiada sobre la operación efectiva del control durante el período cubierto."

Paso 2: Calcular el tamaño de muestra Nivel de confianza del 95%, tasa de desviación tolerable del 5%. Tamaño de muestra: 93 elementos. Documentación: "El tamaño de muestra responde a la frecuencia diaria de operación del control y al grado de confianza planificado, conforme a ISAE 3402.A64."

Paso 3: Seleccionar elementos Estratificación por rango salarial: modificaciones inferiores a 30.000 € (67 elementos), entre 30.000 € y 60.000 € (20 elementos), superiores a 60.000 € (6 elementos). Documentación: "La estratificación recoge las categorías de riesgo relevantes en la población, conforme a ISAE 3402.A60."

Paso 4: Ejecutar las pruebas Se identifican 2 modificaciones sin aprobación escrita documentada del responsable de RRHH del cliente. Documentación: "Dos elementos carecen de evidencia de aprobación. Se investigan conforme a ISAE 3402.A73 para determinar si representan una deficiencia sistemática o son aisladas."

Paso 5: Evaluar resultados — y aquí salta la complicación

Tasa de desviación observada: 2/93 = 2,15%. Proyectada al universo: aproximadamente 61 modificaciones sin aprobación apropiada. La tasa proyectada queda por debajo del umbral tolerable del 5%.

Hasta aquí, todo limpio. Salvo que cuando se investigan las dos desviaciones aplicando A73, las dos pertenecen al mismo cliente. Mismo cliente, dos meses consecutivos, mismo proceso de envío de modificaciones por correo electrónico sin firma adjunta. El resto de la muestra (otras 91 modificaciones distribuidas entre 46 clientes) está limpio.

¿Qué hace usted? La interpretación literal del cálculo dice que está por debajo del tolerable y el control opera. La lectura honesta de A73 dice que las desviaciones no son aleatorias: están concentradas en un único usuario, lo que sugiere que la población está mal estratificada. Quizás la estratificación que importa no es por importe salarial sino por cliente. Quizás el control opera bien para 46 clientes y mal para uno, y promediar oculta el patrón.

Aquí es donde el revisor técnico (uno serio, no el de trámite) le va a hacer una segunda pregunta incómoda: ¿el umbral de 60.000 € es material para la entidad usuaria? Si la entidad usuaria es una pyme valenciana con plantilla de 30 personas, una modificación salarial de 65.000 € puede ser un caso al año. Si es un grupo del Ibex con 8.000 empleados, 60.000 € son ruido. La estratificación que la plantilla trae por defecto no fue diseñada pensando en la materialidad de la entidad usuaria. Fue diseñada pensando en facilitar el cálculo.

Conclusión razonada: se documenta la deficiencia atribuyéndola al cliente concreto, se rehace el análisis de proyección excluyéndolo para evaluar si el control opera efectivamente para el resto de la población, y se comunica la deficiencia específica a la dirección de la organización de servicios. No se concluye operación efectiva sin esta segunda mirada. Y el respaldo del papel de trabajo cita A73 explícitamente, no A75.

Lista de verificación para documentación de muestreo

1. Cite ISAE 3402.A60 para justificar el método de selección (estadístico o no estadístico) según la naturaleza del control y la población.

2. Use ISAE 3402.A64 para vincular la frecuencia de prueba a la frecuencia operativa del control y al grado de confianza requerido.

3. Documente la representatividad conforme a ISAE 3402.A62, explicando cómo la muestra captura las características relevantes de la población durante el período cubierto.

4. Reserve ISAE 3402.A75 exclusivamente para re-testear deficiencias conocidas de períodos anteriores.

5. Aplique ISAE 3402.A73 al evaluar desviaciones, documentando la investigación realizada y la conclusión sobre si son sistemáticas o aisladas.

6. Use ISAE 3402.A71 para definir la deficiencia de control y vincularla al riesgo de incorrección material en los estados financieros de las entidades usuarias.

Errores frecuentes en las referencias

Citar A75-A78 para todo el muestreo: estos párrafos aplican solo a poblaciones con desviaciones conocidas de períodos anteriores. Para el muestreo inicial, los párrafos correctos son A60-A65 y A71-A74.

Omitir la justificación de frecuencia: A64 exige explicar por qué el tamaño de muestra es apropiado dada la frecuencia operativa del control. Un control diario requiere más elementos que uno mensual con la misma materialidad.

No documentar la proyección de desviaciones: cuando aparecen desviaciones, A73 obliga a investigar si son aisladas o sistemáticas. Reportar "2 de 93 elementos fallaron" es insuficiente sin el análisis de causa.

El desacuerdo dentro del despacho

Aquí entra una decisión real que se discute en cualquier despacho mediano cuando se detecta el defecto de cita. Hablo de socio A y socio B, ambos con 20 años de oficio, ambos sensatos, posiciones opuestas.

El socio A defiende actualizar todos los expedientes abiertos retroactivamente antes del cierre de diciembre. Su razonamiento: si el ICAC viene mañana, no quiere encontrar 200 expedientes con la misma cita defectuosa, porque eso ya no parece error puntual sino fallo del sistema de control de calidad. Le han abierto expediente a firmas por menos. Prefiere asumir el coste interno de revisar y reemitir la documentación de muestreo en los expedientes vivos.

El socio B defiende actualizar la plantilla y aplicar prospectivamente. Su razonamiento: la cita es defectuosa pero el trabajo sustantivo no lo es (los tamaños de muestra, las pruebas y las conclusiones son técnicamente correctas; solo el ancla normativa está mal). Reabrir 200 expedientes para cambiar una referencia es un coste enorme con beneficio dudoso, y crea su propio riesgo (una reapertura mal hecha es peor que la cita original). Documenta la corrección de plantilla en el MOI con fecha de aplicación y deja constancia de que el equipo técnico identificó el defecto.

En mi caso me inclino por la posición del socio B, porque el defecto es de etiquetado, no de sustancia, y la trazabilidad documental de la corrección protege más que la reapertura masiva. Pero entiendo perfectamente al socio A. Si el despacho ha tenido alguna interacción previa con el ICAC sobre control de calidad, la balanza se inclina hacia su lado.

El insight que la norma no le da

Lo que ningún manual de ISAE 3402 explica es por qué este defecto de cita es endémico. La razón estructural no es pereza ni ignorancia. Es que ISAE 3402 carece de una sección unificada de muestreo equivalente a NIA-ES 530, y por eso quien redacta plantillas para una red internacional acaba grabando una cita razonable en 2021 que pasa por revisión y se convierte en estándar de facto durante años. La cadena de revisión no detecta el error porque toda esa cadena (manager, partner del encargo, EQR) confía en la plantilla. La plantilla es la autoridad. El párrafo citado es solo un brindis al sol que nadie verifica hasta que un revisor técnico, con tiempo y sin prisa, se sienta con la norma abierta y la plantilla en paralelo. Por eso el defecto vive durante años en docenas de despachos al mismo tiempo.

Contenido relacionado

- Guía de cálculo de materialidad para auditorías ISAE 3402: cómo establecer umbrales de materialidad específicos para auditorías de controles de servicios - Plantilla de documentación de muestreo ISAE 3402: plantilla Excel con referencias de párrafos correctas y cálculos automáticos de tamaño de muestra - Deficiencias de control vs. observaciones menores en ISAE 3402: cuándo una desviación de muestra es una deficiencia reportable

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.