aspectos central

  • Una declaración de control documenta cómo una entidad mantiene la integridad y seguridad de los datos o servicios que proporciona a sus clientes.
  • Existen dos tipos: Tipo I (descripción de controles en una fecha específica) y Tipo II (descripción y evaluación del funcionamiento efectivo durante un período).
  • La mayoría de las firmas de auditoría no Big 4 experimentan una brecha de documentación entre lo que ISAE 3402 requiere registrar y lo que aparece en los papeles de trabajo.

Cómo funciona

Una declaración de control sirve a dos propósitos simultáneamente. Para el responsable del servicio (por ejemplo, un proveedor de TI), la declaración proporciona evidencia a sus clientes de que los controles están diseñados y operan efectivamente. Para los auditores de esos clientes, la declaración de control proporciona evidencia de auditoría sobre la integridad de la información que sus clientes reciben del responsable del servicio.
El auditor que emite una declaración de control debe cumplir con ISAE 3402 párrafo 5, que exige que el auditor evalúe si los controles descritos están diseñados de forma apropiada para lograr los objetivos de control establecidos. En el Tipo II, el auditor también debe probar si los controles funcionaron efectivamente durante el período especificado (ISAE 3402 párrafo 18).
La diferencia práctica es significativa. Un informe Tipo I requiere una única prueba puntual de que el control existe y está configurado correctamente en una fecha específica. Un informe Tipo II requiere pruebas de operación durante todo el período, típicamente 12 meses. Esto significa más documentación, más muestras de transacciones y una conclusión más fuerte sobre la confiabilidad del control.

Ejemplo práctico: Soluciones Digitales Ibéricas S.L.

Cliente: Proveedor de servicios de procesamiento de nómina, con sede en Barcelona, atiende a 340 clientes de recursos humanos, ingresos anuales de 4,2 millones de euros.
Paso 1: Identificación de objetivos de control
El responsable del servicio identifica que el contfunción determinante es: "Todas las transacciones de nómina se procesan solo después de la autorización de dos personas independientes." El auditor documenta este objetivo de control en el memorando de planificación.
Nota de documentación: Se registra en PT 1.2 (Descripción de objetivos de control).
Paso 2: Evaluación del diseño del control (Tipo I)
El auditor entrevista al director de operaciones, revisa la configuración de permisos en el sistema de nómina y verifica que dos usuarios (no intercambiables) tienen acceso de autorización. Comprueba que el sistema rechaza cualquier pago sin ambas aprobaciones. Esto se documenta el 31 de octubre de 2024.
Nota de documentación: Se adjunta evidencia (captura de pantalla del sistema, matriz de permisos, e-mail de confirmación) en PT 2.1 (Evaluación de diseño).
Paso 3: Pruebas de operación (Tipo II únicamente)
Si se emite un informe Tipo II cubriendo enero a octubre de 2024, el auditor selecciona una muestra de 40 transferencias de nómina de ese período (aproximadamente el 2,4% de las 1.680 transacciones procesadas). Para cada una, verifica en los registros del sistema que dos autorizaciones distintas aparecen antes del desembolso.
Nota de documentación: Se prepara el resumen de pruebas en PT 3.2 (Resultados de las pruebas de funcionamiento), detallando el método de muestreo, el tamaño de la muestra, y los resultados.
Conclusión: Si ambas pruebas se superan sin excepciones, el auditor puede emitir una opinión de control limpia para este control específico. Un informe Tipo II proporciona mayor certidumbre a los auditores de los clientes de Soluciones Digitales porque documentan el funcionamiento real durante el período, no solo la existencia del control en una fecha.

Qué revisores y auditores entienden mal

  • Confusión entre Tipo I y Tipo II en el alcance: Muchas firmas acuerdan un informe Tipo II sin comprender que requiere documentación de pruebas de funcionamiento para un período completo. La negociación se centra en el precio, no en el alcance. Cuando el cliente se da cuenta durante la ejecución de que debe mantener registros de autorización durante 12 meses, se genera fricción. ISAE 3402 párrafo 18 es claro: el Tipo II requiere pruebas de operación; el Tipo I no.
  • Bajo documentación de la evaluación de riesgos previos al diseño: Muchos auditores salta directamente a la prueba del control sin documentar qué riesgos el control está diseñado para mitigar. ISAE 3402 párrafo 15(a) requiere que el auditor evalúe si los controles descritos están diseñados de forma apropiada. Esto requiere una evaluación explícita del riesgo de negocio primero. La práctica común es documentar solo el control y asumir que es obvio por qué importa. Los revisores (incluidos los auditorios internos de firmas grandes) señalan que falta el vínculo entre riesgo y control.
  • Segmentación inadecuada de controles: ISAE 3402 párrafo 14 requiere una descripción clara de qué servicios y qué objetivos de control están cubiertos. Muchos auditores redactan descripciones amplias de controles (por ejemplo, "Controles de acceso a sistemas") sin especificar cuáles son los objetivos de negocio específicos. Esto debilita la utilidad del informe para los auditores de los clientes, quienes no pueden vincular el control a su propio riesgo de aseveración sin análisis adicional.

Tipo I vs. Tipo II: cuándo aplicar cada uno

| Dimensión | Tipo I | Tipo II |
|---|---|---|
| Período cubierto | Una fecha específica (p. ej., 30 de septiembre de 2024) | Un período especificado (p. ej., enero a diciembre de 2024) |
| Alcance de pruebas | Evaluación de diseño únicamente; el control existe y está configurado correctamente | Evaluación de diseño más pruebas de funcionamiento; se demuestra operación efectiva durante el período |
| Esfuerzo de auditoría | Menor; típicamente 40-80 horas para un conjunto de 5-8 controles | Mayor; típicamente 120-200 horas para el mismo conjunto |
| Utilidad para auditores de clientes | Proporciona cierto nivel de confianza en el control, pero limitado a la fecha | Proporciona mayor certidumbre porque el control ha demostrado funcionar durante el período de las transacciones auditadas |
| Costo para el responsable del servicio | Menor | Mayor; requiere que el responsable mantenga y documente registros durante todo el período |

Cuándo la distinción importa en un encargo real

Considere un auditor externo evaluando los controles de un proveedor de servicios compartidos de tesorería. El cliente mantiene miles de transacciones de tesorería cada mes en nombre de sus entidades clientes. El auditor debe evaluar si la segregación de funciones en la autorización de transferencias opera efectivamente.
Si se presenta un informe Tipo I a fecha 30 de septiembre, el auditor lo revisará y notará que cubre solo esa fecha. Sin embargo, sus transacciones auditadas abarcan enero a diciembre. El Tipo I deja una brecha de cobertura: ¿cómo sabe que el control funcionó en febrero o junio?
Un informe Tipo II cubriendo enero a diciembre cierra esa brecha. El auditor puede reducir sustancialmente su prueba de controles de segregación de funciones porque el informe Tipo II proporciona evidencia de que el control operó efectivamente durante todo el período relevante para su auditoría.

Lo que revisores y colegas entienden erróneamente

  • Asumir que "Tipo II es siempre mejor": Algunos auditores piensan que un Tipo II es automáticamente superior. En realidad, si el cliente necesita evidencia de controles en una fecha específica (por ejemplo, para un análisis de posición al final del período fiscal), un Tipo I es suficiente. El Tipo II añade costo sin beneficio adicional en ese escenario. La elección correcta depende del riesgo que se evalúa y del período cubierto por la auditoría del cliente.
  • Omitir la evaluación de cambios de controles durante el período Tipo II: ISAE 3402 párrafo 19 requiere que, si un control cambió durante el período cubierto, el auditor debe documentar cómo cambió y cómo esos cambios afectaron el funcionamiento. Muchos auditores prueban el control al final del período sin documentar si funcionó de manera idéntica al principio. Esto deja al revisor sin evidencia de que el control fue consistentemente efectivo durante todo el período.
  • Confundir "funcionamiento efectivo" con "sin excepciones": Una excepción aislada a un control durante el período Tipo II no significa automáticamente que el control no funcionó efectivamente. ISAE 3402 párrafo 20 permite excepciones si son raras y no sistémicas. El auditor debe documentar cuántas excepciones ocurrieron, por qué, y si eran aisladas o indicativas de un control débil. Algunos auditores asumen cualquier excepción invalida el informe Tipo II. La realidad es que debe documentarse y evaluarse la materialidad de la excepción.

Términos relacionados

Informe de control Tipo II - Declaración de control que cubre un período y proporciona evidencia de que los controles funcionaron efectivamente durante ese período.
ISAE 3402 - Norma Internacional de Encargos de Aseguramiento que establece los requisitos para que los auditores emitan informes de control sobre servicios.
Segregación de funciones - Control que separa responsabilidades para autorizar, registrar y custodiar transacciones, mitigando el riesgo de fraude o error.
Evaluación de riesgo de control - Proceso mediante el cual los auditores determinan el nivel de riesgo asociado con el funcionamiento deficiente de un control identificado.
Informe de control Tipo I - Declaración de control que describe solo el diseño de controles en una fecha específica, sin pruebas de funcionamiento.
Procedimientos analíticos en encargos de control - Técnicas que los auditores usan para validar la consistencia de datos o patrones de transacciones bajo los controles descritos.

Términos principal relacionados encontrados en el texto

---

  • Responsable del servicio: La entidad que proporciona servicios y mantiene los controles descritos en el informe.
  • Objetivos de control: Los objetivos específicos de negocio que cada control está diseñado para lograr.
  • Pruebas de funcionamiento: Las transacciones, registros o interacciones que el auditor examina para verificar que un control operó durante el período cubierto.

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.