Cómo funciona

El modelo de aseguramiento describe la relación entre tres partes: la entidad responsable de la afirmación, el auditor, y los usuarios a los que va dirigida la opinión. La ISAE 3000.15 establece que el auditor debe evaluar si los criterios de evaluación son apropiados para la materia evaluada. A diferencia de una auditoría de estados financieros (que sigue parámetros bien definidos en la NIA-ES 200), un encargo de aseguramiento requiere que el auditor y la entidad auditada acuerden explícitamente qué se evalúa, cómo se evalúa, y a quién se dirige el informe.
El nivel de seguridad determina el alcance de los procedimientos. En un encargo de aseguramiento razonable, el auditor ejecuta procedimientos lo suficientemente completos para respaldar una opinión positiva ("el control es eficaz"). En un encargo de aseguramiento limitado, el alcance es más reducido y la opinión adopta una forma negativa ("no hemos tomado conocimiento de asuntos que nos hagan pensar..."). La ISAE 3000.A6 señala que la diferencia entre ambos está en la extensión y profundidad de los procedimientos, no en la naturaleza de los criterios.

Ejemplo práctico: Servicios Logísticos Ibéricos S.A.

Cliente: Empresa española de logística, con sede en Barcelona, facturación de 18,5 millones de euros, con sistemas de control de almacén y seguimiento de envíos.
Paso 1: Definición del encargo
Servicios Logísticos Ibéricos necesita que un auditor externo evalúe la eficacia de sus controles internos relativos al ciclo de ventas y cobranzas. La gerencia identifica explícitamente esta afirmación en una carta de encargo.
Nota de documentación: La carta de encargo especifica que se trata de un encargo de aseguramiento razonable conforme a la ISAE 3000, dirigido a la junta directiva y a bancos proveedores de crédito.
Paso 2: Evaluación de criterios
El auditor valida que el Marco Integrado de Control Interno (COSO 2013) es un criterio apropiado para evaluar la eficacia de los controles. Sin un criterio explícito y acordado, no puede proceder.
Nota de documentación: Párrafo de introducción del programa de auditoría: "Se evaluó la eficacia de los controles conforme al Marco COSO 2013, aplicable a entidades de tamaño medio del sector logístico".
Paso 3: Procedimientos de aseguramiento razonable
El auditor ejecuta pruebas de autorización en 45 transacciones de venta (muestreo estadístico), verifica que los sistemas de facturación están integrados con el sistema de almacén mediante pruebas funcionales, y valida que las excepciones de cobro se investigan dentro de 10 días mediante análisis de antigüedad de cuentas por cobrar.
Nota de documentación: Matriz de evaluación de riesgos de control, con calificación de eficacia para cada contfunción determinante. Se identificaron dos debilidades de diseño (falta de segregación de funciones en la autorización de devoluciones, ausencia de matriz de aprobantes por rango de monto) y se documentó la evidencia de prueba en el papel PT-7.3.
Paso 4: Informe de aseguramiento
El auditor emite un informe positivo: "En nuestra opinión, basada en el alcance de nuestro encargo, los controles internos relevantes del ciclo de ventas y cobranzas fueron, en todos los aspectos significativos, eficaces durante el período evaluado." Las dos debilidades identificadas se comunican en un párrafo separado con recomendaciones.
Nota de documentación: Informe emitido según modelo de ISAE 3000, con párrafo de limitaciones de alcance explicando que la evaluación cubre solo el período evaluado y que futuros cambios en los sistemas podrían afectar la eficacia.
Conclusión: El encargo fue defensible porque la afirmación, los criterios y el nivel de seguridad se establecieron por escrito desde el inicio. Sin este acuerdo explícito, el auditor habría estado expuesto a disputas sobre qué se evaluaba de verdad.

Qué revisores y profesionales entienden mal

  • Error frecuente en Tier 2: Los auditores confunden "encargo de aseguramiento" con "auditoría financiera". Todo encargo de auditoría de estados financieros es un encargo de aseguramiento, pero no todo encargo de aseguramiento es una auditoría de estados financieros. Cuando una firma acepta un encargo de evaluación de cumplimiento normativo, control interno de TI, o sostenibilidad, debe aplicar la ISAE 3000 (o su equivalente local), no la NIA-ES. La falencia más común es no documentar explícitamente el criterio de evaluación, lo que genera incertidumbre sobre qué se evaluó.
  • Error frecuente en Tier 2: Aceptar un encargo de aseguramiento limitado sin comunicar claramente el alcance reducido a los usuarios previstos. La ISAE 3000.49 requiere que el auditor "comunique claramente el nivel de seguridad obtenido". Las firmas a menudo entregan opiniones en forma negativa sin enfatizar en el informe que el alcance fue limitado, generando la impresión en el lector de que se ejecutó una auditoría completa.
  • Tier 3 práctica documentada: Encargosy de aseguramiento sobre sostenibilidad y reporting no financiero, donde no existe un criterio de evaluación completamente establecido (ESRS vs GRI vs estándares de industria en competencia). El auditor debe negociar y acordar por escrito cuál es el criterio exacto antes de comenzar los procedimientos, pero muchas firmas comienzan a trabajar sin este acuerdo, exponiendo el encargo a disputas sobre alcance y conclusiones.

Comparación: Aseguramiento razonable vs. aseguramiento limitado

| Dimensión | Aseguramiento razonable | Aseguramiento limitado |
|-----------|------------------------|----------------------|
| Procedimientos | Extensos y profundos, incluyen muestreo estadístico, pruebas de control, inspección física | Procedimientos moderados, principalmente revisión analítica, indagación, observación |
| Forma de la opinión | Positiva: "En nuestra opinión, la materia es eficaz en todos los aspectos significativos" | Negativa: "No hemos tomado conocimiento de asuntos que nos hagan pensar que la materia no está..." |
| Alcance documentado | Debe estar implícito en el nivel de detalle de los procedimientos descritos | Debe establecerse explícitamente en el informe, con párrafo de limitaciones |
| Riesgo de auditoría | Reducido a un nivel aceptablemente bajo | Tolerado a un nivel más elevado |
La distinción importa porque los usuarios destinatarios interpretan la forma de la opinión como indicador de la extensión del trabajo. Un encargo de aseguramiento limitado sobre controles de TI no debe presentarse con la misma forma que una auditoría razonable, o los usuarios asumirán un nivel de evaluación que no existió.

Términos relacionados

  • Afirmación: La declaración que el auditor evalúa (puede ser explícita en una carta de la entidad, o implícita si el auditor la identifica examinando la materia)
  • Criterios de evaluación: El marco o norma contra el cual la afirmación es medida (COSO, COBIT, normas de industria, marcos de sostenibilidad)
  • Auditoría de cumplimiento normativo: Un encargo de aseguramiento que evalúa si la entidad cumple con leyes y regulaciones específicas
  • Revisión de información financiera intermedia: Un encargo de aseguramiento limitado sobre estados financieros no auditados (regulado por ISAE 2400)
  • Auditoría de control interno: Un encargo de aseguramiento razonable sobre la eficacia de un sistema de control interno (regulado por ISAE 3402)
  • Servicios relacionados con aseguramiento: Encargosy que no proporcionan un nivel de seguridad (comprobación de información financiera prospectiva, auditoría de información no financiera bajo ISAE 3410)

Calculadora de materialidad relacionada

Cuando planifica un encargo de aseguramiento sobre información financiera, determine la materialidad de la materia evaluada usando nuestra herramienta de cálculo. La materialidad es el umbral cuantitativo y cualitativo por debajo del cual los errores se consideran insignificantes en el contexto del encargo.
Acceder a la calculadora de materialidad
---

Términos relacionados

AfirmaciónCriterios de evaluaciónAuditoría de cumplimiento normativoRevisión de información financiera intermediaAuditoría de control internoServicios relacionados con aseguramiento

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.