aspectos central

  • La ISAE 3402 genera un informe de aseguramiento sobre controles en un proveedor de servicios que afecta a los estados financieros de la entidad usuaria.
  • El trabajo se realiza en el proveedor, no en la entidad usuaria, pero el resultado se usa durante la auditoría de la entidad usuaria para entender y evaluar el riesgo de control en esa área.
  • Dos tipos de informe: Tipo I (estado de diseño de controles) y Tipo II (estado de diseño y funcionamiento).
  • Un hallazgo común de inspección es que los auditores de entidades usuarias aceptan informes de ISAE 3402 sin verificar que sean suficientemente actualizados o que cubran los procesos relevantes para la auditoría.

Cómo funciona

La ISAE 3402 se usa cuando una entidad usuaria contrata a un tercero para que lleve a cabo funciones que afectan a los datos contables. Por ejemplo, un banco central pequeño que subcontrata la custodia de valores a un proveedor especializado necesita entender qué controles tiene ese proveedor para que los valores no se pierdan, se dupliquen o se registren incorrectamente.
En lugar de que el auditor del banco vaya y audite directamente al custodio (lo que sería costoso y tal vez no viable por confidencialidad), el custodio contrata a un auditor independiente para que ejecute una auditoría de ISAE 3402. Ese auditor examina si los controles descritos por el custodio (en el "description of the service organization's system" o DSOS) están en su lugar y funcionan correctamente.
El auditor del banco usuaria entonces obtiene el informe de ISAE 3402 del custodio y lo usa como evidencia de auditoría de que los riesgos de control en la función de custodia están mitigados. Esto reduce el volumen de pruebas que el auditor del banco necesita realizar por su cuenta.
La ISAE 3402 es más detallada que un informe de control interno genérico porque requiere que un auditor independiente ejecute procedimientos de aseguramiento específicos sobre los controles descritos. Sin embargo, el auditor de la entidad usuaria sigue siendo responsable de evaluar si el informe de ISAE 3402 es relevante y fiable para su trabajo.

Ejemplo práctico: Banco Mediterráneo S.A.

Cliente: Banco Mediterráneo S.A., Madrid, activos bajo custodia de 240 millones de euros, IFRS.
Paso 1: Identificar qué funciones están subcontratadas
El auditor del Banco Mediterráneo identifica que el custodio de valores (Servicios de Custodia Ibérica S.A., Barcelona) maneja la entrada de valores, la reconciliación de cantidades y la generación de reportes de posición. Estos procesos afectan directamente a la integridad de las cuentas de valores del banco.
Nota de documentación: En el PT 6.2 (Procedimientos sobre servicios subcontratados) se documenta la función, el proveedor de servicios y los riesgos de negocio asociados.
Paso 2: Obtener y evaluar el informe de ISAE 3402 existente
El auditor obtiene el informe de ISAE 3402 Tipo II del custodio, que data de hace 14 meses. El informe cubre la función de custodia y describe los controles preventivos sobre entrada de datos y controles detectivos sobre la reconciliación diaria.
Nota de documentación: Se obtiene copia del informe ISAE 3402 (Anexo 6.2.1). Se verifica la fecha de emisión y se confirma que el alcance cubre las transacciones de valores que el banco procesa a través del custodio.
Paso 3: Evaluar la relevancia y la oportunidad del informe
El auditor verifica que:
Nota de documentación: Se completa la matriz de evaluación de ISAE 3402 (Anexo 6.2.2): relevancia, alcance temporal, independencia del auditor, opinión sin salvedades. Todas las verificaciones se marcan como satisfechas.
Paso 4: Desempeño de procedimientos de auditoría adicionales
Incluso con el informe ISAE 3402, la NIA-ES 402.14 requiere que el auditor del banco lleve a cabo procedimientos adicionales sobre la información que el custodio proporciona al banco. El auditor del banco confirma directamente con el custodio la posición de valores del banco al cierre (confirmación de terceros) y prueba la precisión de los reportes de custodia reconciliando una muestra de partidas frente a los registros del banco.
Nota de documentación: Confirmación externa al custodio solicitada en PT 6.3.1. Reconciliación de 25 transacciones de valores muestreadas en PT 6.3.2.
Conclusión
El informe ISAE 3402 del custodio proporciona suficiente evidencia de que los controles sobre custodia de valores están en su lugar y operan correctamente. Esto reduce el riesgo de que los valores del banco se pierdan o se registren incorrectamente en manos del custodio. El auditor del banco documenta esta conclusión en PT 6.4 (Conclusión: riesgo de control sobre función de custodia = bajo) y reduce el alcance de sus pruebas sustantivas sobre la posición de valores al importe de materialidad de funcionamiento (en lugar de materialidad de planificación). Esto es defendible porque la evidencia de ISAE 3402 mitigó el riesgo identificado en la planificación.

  • El período cubierto por el Tipo II (noviembre 2023 a octubre 2024) se superpone con el período de auditoría del banco (enero a diciembre 2024). La cobertura es suficiente.
  • El informe describe explícitamente los controles sobre entrada, custodia y reporte de valores. Cubre lo que el banco necesita entender.
  • El auditor del custodio (firma internacional, registrada) es independiente y competente.

Qué cometen mal los revisores y los auditores

  • Aceptar un informe de ISAE 3402 que es demasiado antiguo. La NIA-ES 402.12 requiere que el auditor determine si la información obtenida del informe de ISAE 3402 es suficientemente contemporánea. Un informe de hace más de dos años es generalmente no defensible. Un hallazgo común de inspección es que los auditores incluyen un informe de ISAE 3402 de hace 18 meses sin documentar por qué el alcance temporal es aceptable. La solución es simple: si es más antiguo, el auditor debe llevar a cabo procedimientos adicionales significativos (por ejemplo, visita del proveedor para entrevistas, pruebas de una muestra de transacciones recientes) y documentar por qué esos procedimientos, en combinación con el informe anterior, son suficientes.
  • No verificar que el alcance del informe de ISAE 3402 coincida con el alcance de la auditoría. Un informe ISAE 3402 podría cubrir solo el procesamiento de pagos internacionales, pero el proveedor de servicios también procesa pagos nacionales que son relevantes para la auditoría. El auditor usa el informe como prueba de control sobre pagos nacionales sin verificar que el informe cubre esa función. La NIA-ES 402.11 requiere que el auditor evalúe si el "description of the service organization's system" cubre los controles relevantes. Esto requiere una lectura cuidadosa del alcance.
  • Ignorar las salvedades en el informe de ISAE 3402. Un informe de Tipo II podría incluir una restricción sobre la extensión de los procedimientos (p. ej., "el auditor no pudo observar el proceso de reconciliación debido a restricciones de acceso durante julio") o una excepción de control (p. ej., "la reconciliación manual falló en 3 casos durante el período"). El auditor de la entidad usuaria lee la opinión sin salvedades en la primera página y no examina las excepciones documentadas en la sección de resultados. La NIA-ES 402.13 requiere que el auditor evalúe si alguna excepción o restricción es relevante para la auditoría. Esto necesita documentación explícita.

Tipo I frente a Tipo II

Tipo I
Un Tipo I describe el diseño de los controles al momento de la auditoría. El auditor evalúa si los controles se implementaron correctamente (es decir, si existen y funcionan en teoría) pero no prueba si funcionaron durante un período de tiempo.
Útil para: proveedores de servicios nuevos, sistemas recién implementados, o cuando el proveedor solo ha operado durante un período breve.
Tipo II
Un Tipo II describe tanto el diseño como la operación de los controles durante un período especificado (generalmente seis meses a un año). El auditor ejecuta procedimientos para confirmar que los controles funcionaron como se describió.
Útil para: evaluaciones de seguridad en funcionamiento, relaciones de proveedores existentes, auditorías donde el auditor necesita entender si los controles mitigan riesgos a lo largo del tiempo.
La diferencia importa para el auditor de la entidad usuaria porque un informe Tipo II proporciona más evidencia de que los controles funcionaron durante el período de auditoría. Sin embargo, un Tipo I sigue siendo válido si el auditor de la entidad usuaria complementa ese informe con procedimientos adicionales (confirmaciones, inspecciones, pruebas de control propias).

Términos relacionados

Herramienta de evaluación de ISAE 3402

Nuestro Evaluador de confiabilidad de ISAE 3402 automatiza la verificación de si un informe de ISAE 3402 es lo suficientemente reciente, cubre el alcance correcto y contiene las opiniones necesarias para usarlo como evidencia de auditoría. Introduce la fecha del informe, el período cubierto y el alcance declarado, y la herramienta genera una matriz de riesgo que muestra qué procedimientos adicionales necesita el auditor de la entidad usuaria para mitigar cualquier brecha.
---

Términos relacionados

Procedimientos de auditoría en un servicio contratadoConfirmación de tercerosRiesgo de controlAuditoría de especificaciones técnicasNIA-ES 402: Consideraciones de auditoría relativas a una entidad usuaria de un servicio en línea

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.