Índice de contenidos

Qué exige la ISAE 3402 sobre muestreo

La confusión surge porque la ISAE 3402 no dedica una sección completa al muestreo como hacen las NIA. En lugar de eso, los requisitos de muestreo están distribuidos a lo largo del material de aplicación, cada párrafo dirigido a una situación específica de diseño o prueba de controles.
El párrafo A75, citado erróneamente en la mayoría de plantillas, aborda únicamente "poblaciones que contienen un número conocido de desviaciones de períodos anteriores." Este párrafo asume que ya se identificaron deficiencias en controles durante auditorías previas y que el auditor está evaluando si esas deficiencias persisten. No proporciona orientación para el muestreo inicial de poblaciones sin historial conocido de errores.
La ISAE 3402.58 establece el requisito central: "Cuando la naturaleza y circunstancias de los controles son tales que la inspección del auditor de evidencia de su operación proporcionará evidencia de auditoría relevante y confiable, el auditor debe inspeccionar evidencia de que los controles han operado efectivamente durante el período cubierto." El material de aplicación posterior proporciona la guía específica para diferentes tipos de evidencia y poblaciones.
Para la mayoría de auditorías ISAE 3402, donde el auditor está evaluando controles operativos sin conocimiento previo de deficiencias sistemáticas, los párrafos relevantes son A60-A65 (selección de elementos) y A71-A74 (evaluación de resultados).

Los párrafos que debería estar citando

Para la selección de elementos de prueba (párrafos A60-A65):
El párrafo A60 aborda el concepto de representatividad: "Al seleccionar elementos para probar la operación efectiva de controles, el auditor puede usar métodos de muestreo estadístico o no estadístico." El párrafo A62 específica que "el auditor puede decidir seleccionar elementos específicos de una población basándose en factores como el entendimiento de los controles de la organización de servicios."
El párrafo A64 proporciona orientación sobre frecuencia de pruebas: "La frecuencia de las pruebas de controles está relacionada con la frecuencia de la operación de los controles y la confianza que el auditor planea obtener de los controles." Este párrafo, no el A75, debe respaldarse cuando se documenta por qué se seleccionó un tamaño de muestra específico para un control que opera diariamente versus uno que opera mensualmente.
Para la evaluación de resultados (párrafos A71-A74):
El párrafo A71 establece que "una deficiencia de control existe cuando un control está diseñado, implementado u operando de manera que no puede prevenir, o detectar y corregir, incorrecciones en los estados financieros de las entidades usuarias de manera oportuna."
El párrafo A73 aborda específicamente la proyección de errores de muestra: "Cuando el auditor identifica desviaciones en las muestras, el auditor debe investigar esas desviaciones para determinar si representan deficiencias de control que afectan el diseño o la operación efectiva de los controles."
Cuándo usar el párrafo A75 (y cuándo no):
El párrafo A75 aplica exclusivamente cuando "la población contiene un número conocido de desviaciones identificadas en períodos anteriores y el auditor desea probar si esas desviaciones específicas han sido corregidas." Por ejemplo, si el informe ISAE 3402 del año anterior identificó deficiencias específicas en la aprobación de pagos superiores a €50.000, y la organización de servicios implementó controles correctivos, entonces el párrafo A75 proporciona orientación para el re-testeo dirigido.
La mayoría de procedimientos de muestreo en auditorías ISAE 3402 no entran en esta categoría. Si está probando la operación efectiva de controles sin conocimiento específico de fallas anteriores, debe citar A60-A65 y A71-A74, no A75-A78.

Ejemplo práctico: auditoría de controles de nómina

Escenario: Servicios Administrativos Levante S.L. (Valencia) proporciona servicios de procesamiento de nómina para 47 clientes con ingresos anuales de €12,3 millones. Debe auditar el control "Todas las modificaciones salariales requieren aprobación por escrito del responsable de recursos humanos del cliente."
Población: 2.847 modificaciones salariales procesadas durante el período de 12 meses (enero-diciembre 2025).
Paso 1: Determinar el enfoque de muestreo
Documentación: "Bajo la ISAE 3402.A62, seleccionamos una muestra estadística estratificada para obtener evidencia suficiente y apropiada sobre la operación efectiva del control a lo largo del período."
Paso 2: Calcular el tamaño de muestra
Usando un nivel de confianza del 95% y una tasa de desviación tolerable del 5%, el tamaño de muestra es 93 elementos.
Documentación: "El tamaño de muestra se basa en la frecuencia de operación del control (diaria) y el nivel de confianza planificado, según la ISAE 3402.A64."
Paso 3: Seleccionar elementos
Estratificación por rango salarial: modificaciones <€30.000 (67 elementos), €30.000-€60.000 (20 elementos), >€60.000 (6 elementos).
Documentación: "La estratificación asegura representatividad de todas las categorías de riesgo en la población, cumpliendo la ISAE 3402.A60."
Paso 4: Ejecutar las pruebas
Se identifican 2 modificaciones sin aprobación escrita documentada del responsable de RRHH del cliente.
Documentación: "Dos elementos carecen de evidencia de aprobación requerida. Se investigan bajo la ISAE 3402.A73 para determinar si representan deficiencias de control sistemáticas."
Paso 5: Evaluar resultados
Tasa de desviación observada: 2/93 = 2,15%. Proyectando a la población: aproximadamente 61 modificaciones sin aprobación apropiada.
Documentación: "La tasa de desviación proyectada (2,15%) está por debajo del umbral tolerable (5%), pero indica una deficiencia de control que requiere comunicación según la ISAE 3402.A71."
Conclusión: El control opera efectivamente pero presenta deficiencias menores que afectan la confiabilidad de la evidencia de auditoría. La deficiencia se comunica en el informe como una observación sin afectar la opinión sobre el diseño y operación efectiva de los controles en su conjunto.

Lista de verificación para documentación de muestreo

  • Cite la ISAE 3402.A60 para justificar el método de selección (estadístico o no estadístico) basado en la naturaleza del control y la población.
  • Use la ISAE 3402.A64 para explicar cómo la frecuencia de prueba se relaciona con la frecuencia de operación del control y el nivel de confianza requerido.
  • Documente la representatividad bajo la ISAE 3402.A62, explicando cómo la muestra captura todas las características relevantes de la población durante el período cubierto.
  • Reserve la ISAE 3402.A75 exclusivamente para situaciones donde está re-testeando deficiencias conocidas de períodos anteriores, no para muestreo inicial.
  • Aplique la ISAE 3402.A73 cuando evalúe desviaciones identificadas, documentando la investigación realizada y las conclusiones sobre si representan deficiencias sistemáticas.
  • Use la ISAE 3402.A71 para definir qué es una deficiencia de control y cómo se relaciona con el riesgo de incorrecciones materiales en los estados financieros de las entidades usuarias.

Errores frecuentes en las referencias

Citar A75-A78 para todo muestreo: Estos párrafos aplican solo a poblaciones con desviaciones conocidas de períodos anteriores. Para muestreo inicial, use A60-A65 y A71-A74.
Omitir la justificación de frecuencia: El párrafo A64 exige explicar por qué el tamaño de muestra es apropiado dada la frecuencia de operación del control. Un control diario requiere más elementos de prueba que un control mensual con la misma materialidad.
No documentar la proyección de errores: Cuando se identifican desviaciones, el párrafo A73 requiere investigación para determinar si son aisladas o sistemáticas. reportar "2 de 93 elementos fallaron" es insuficiente sin análisis de las causas subyacentes.

Contenido relacionado

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.