Cómo funciona

Una organización de servicios es cualquier entidad cuyas actividades afectan de forma notable a los controles internos de una entidad auditada (la "entidad usuaria"). Esto incluye procesadores de nóminas, proveedores de servicios de custodia, bancos que administran cobros, proveedores de servicios en la nube que alojan registros contables, y cualquier tercero cuyas operaciones son parte de la cadena de transacciones de la entidad usuaria.
La ISA 402 Auditoría de Estados Financieros: Consideraciones de Servicios de Auditoría proporciona el marco. El párrafo 5 define que un servicio es relevante para la auditoría si, basándose en la evaluación del riesgo del auditor de usuario, es probable que la actividad del proveedor de servicios produzca registros contables, registros de transacciones o datos que se incluyen en los estados financieros, o si la actividad del proveedor de servicios es parte de un proceso de información financiera.
Lo que esto significa en la práctica es que no todos los proveedores son "organizaciones de servicios" conforme a la ISA 402. Un consultor de impuestos que asesora sobre una cuestión de cumplimiento normativo no es una organización de servicios. Un proveedor en la nube que aloja la base de datos contable sí lo es. Un banco que procesa transferencias de nómina sí lo es.
El auditor debe evaluar el diseño y la operación efectiva de los controles en la organización de servicios porque esos controles son parte del sistema de control interno de la entidad usuaria. Si el proveedor de servicios ha sido auditado según ISAE 3402 (informes sobre controles en una organización de servicios), el auditor puede considerar ese informe como evidencia. Si no existe informe disponible, el auditor debe llevar a cabo procedimientos alternativos: visitas al sitio, cuestionarios al proveedor de servicios, o una auditoría interna de los procesos del proveedor (con la aprobación de la entidad usuaria).
La ISA 402.A24 señala que los informes sobre controles en una organización de servicios pueden no proporcionar toda la información que el auditor necesita. Los auditorios en el sitio, los acuerdos de nivel de servicio (SLA) y las confirmaciones directas del proveedor de servicios complementan el informe ISAE 3402.

Ejemplo práctico: Logística Ibérica S.A.

Cliente: Logística Ibérica S.A., distribuidor con sede en Tarragona, ingresos de 28 millones de euros, estados financieros NIIF.
Paso 1: Identificar si existe una organización de servicios
Durante la reunión de planificación, el auditor aprende que Logística Ibérica S.A. usa un servicio de custodia en la nube (Servidor Almacén Cloud Hispano S.L., Valencia) que aloja toda la base de datos del inventario, las facturas de clientes y los registros de costos de bienes vendidos. Este proveedor también genera automáticamente los asientos de diario de costo de mercancías vendidas basándose en los movimientos de inventario que Logística Ibérica S.A. registra.
Nota de documentación: Sección 5 del programa de auditoría ISA 402: Identificación de proveedores de servicios. Se documenta que Servidor Almacén Cloud Hispano S.L. es una organización de servicios porque procesa transacciones de inventario que se incluyen directamente en los registros contables. Se requieren procedimientos de auditoría según la ISA 402.
Paso 2: Obtener el informe ISAE 3402 disponible
El auditor solicita a Logística Ibérica S.A. el informe ISAE 3402 más reciente de Servidor Almacén Cloud Hispano S.L. El cliente proporciona un informe Tipo II de diciembre de 2024 que cubre el período de 12 meses. El informe da una opinión sobre la efectividad operativa de los controles de aceptación de datos, auditoría de cambios, y seguridad del acceso.
Nota de documentación: El informe ISAE 3402 Tipo II (auditor independiente: Deloitte España) se obtuvo el 15 de enero de 2025. El alcance cubre los controles de integridad de datos, segregación de funciones, y registro automático de asientos de diario. Se observó una excepción en un control de auditoría de cambios. Se documenta la conclusión del auditor: la excepción no afecta a las transacciones de Logística Ibérica S.A. en el período de auditoría.
Paso 3: Evaluar si el informe Tipo II es suficiente
El auditor revisa el informe ISAE 3402 y determina que cubre todos los controles relevantes para Logística Ibérica S.A., pero la excepción reportada requiere procedimientos adicionales. El auditor realiza lo siguiente:
Nota de documentación: Sección 7 del programa de auditoría ISA 402: Procedimientos de auditoría adicionales. La confirmación de remediación recibida el 18 de enero de 2025 documenta que los cambios de control de auditoría se completaron el 28 de febrero de 2024. Se prueba una muestra de 20 asientos de diario del período de febrero 2024. Todas las partidas fueron precisas y respaldadas por movimientos de inventario. Sin excepciones. Conclusión: los controles operaban efectivamente durante todo el período auditado, incluido febrero de 2024.
Paso 4: Documentar la conclusión
El auditor concluye que, aunque Servidor Almacén Cloud Hispano S.L. reportó una excepción en su informe ISAE 3402, los procedimientos adicionales (confirmación de remediación y prueba de partidas del período de excepción) proporcionan evidencia suficiente de que los controles sobre el costo de mercancías vendidas operaron efectivamente durante todo el período auditado de Logística Ibérica S.A.
Conclusión: Los controles en Servidor Almacén Cloud Hispano S.L. fueron identificados correctamente como una organización de servicios conforme a la ISA 402. El informe ISAE 3402 y los procedimientos adicionales proporcionan una base defensible para confiar en que los saldos de inventario y costo de mercancías vendidas están libres de inexactitud material.

  • Solicita una confirmación escrita de Servidor Almacén Cloud Hispano S.L. sobre cómo se remediaron los errores de auditoría de cambios y cuándo fueron corregidos
  • Realiza un procedimiento analítico: compara las transacciones de costo generadas automáticamente para Logística Ibérica S.A. en febrero de 2024 (durante la excepción) con febrero de 2023 y el resto del período auditado para detectar anomalías
  • Verifica una muestra de 20 asientos de diario generados automáticamente en febrero de 2024 contra las evidencias de movimiento de inventario en los sistemas de Servidor Almacén Cloud Hispano S.L. (con acceso remoto autorizado por el cliente)

Qué revisores y profesionales entienden mal

  • Confundir "organización de servicios" con "auditoría de terceros." El auditor de Logística Ibérica S.A. es responsable de evaluar si los controles del proveedor de servicios son efectivos. El informe ISAE 3402 (que es una auditoría del proveedor por su auditor, no por el auditor de la entidad usuaria) es evidencia, pero no elimina la responsabilidad del auditor de usuario. La ISA 402.A8 es clara: el auditor de usuario debe mantener el escepticismo profesional y realizar procedimientos adicionales si los controles o el informe no proporcionan evidencia suficiente.
  • Aceptar un informe ISAE 3402 Tipo I sin procedimientos de auditoría adicionales. Un informe Tipo I solo cubre el diseño de los controles en una fecha específica. No proporciona evidencia de operación efectiva durante el período auditado. Muchos auditores aceptan un informe Tipo I de hace 18 meses sin realizar procedimientos adicionales, violando la ISA 402.16 que requiere que el auditor evalúe la efectividad operativa de los controles. El párrafo A18 da orientación: si no existe un informe Tipo II, el auditor realizará visitas al sitio, confirmaciones, o pruebas de cambios en los sistemas desde la fecha del informe Tipo I.
  • Olvidar que los informes ISAE 3402 tienen limitaciones de alcance. Un informe Tipo II cubre solo los controles que la organización de servicios eligió documentar. Si el informe excluye una clase de transacciones relevante para la entidad usuaria (p. ej., el informe ISAE 3402 de un banco excluye procesamiento de cambio de moneda si el cliente solicitó una exclusión), el auditor de usuario debe realizar procedimientos adicionales sobre esa clase de transacciones. Muchos auditores leen solo la opinión del informe ISAE 3402 y no revisan el Apéndice de Alcance Excluido.

Informe ISAE 3402 vs. Certificación SOC 2

Una distinción práctica que a menudo se confunde:
Para un auditor de usuario fuera de EE.UU. (p. ej., auditando una entidad española cuyos registros están alojados en un servidor estadounidense con solo un certificado SOC 2), la certificación SOC 2 proporciona evidencia limitada. El auditor debe considerar si:
Muchos auditores aceptan un certificado SOC 2 sin cuestionamiento cuando debería ser complementado con procedimientos adicionales.

  • Informe ISAE 3402: Auditoría según un estándar internacional de auditoría. Cubre controles sobre la integridad de transacciones y registros. Gobierna en casi todos los países fuera de EE.UU. El auditor expresa una opinión sobre si los controles fueron diseñados apropiadamente y operaban efectivamente.
  • Certificación SOC 2: Auditoría según estándares de EE.UU. (SSAE 18 / AT-C 320). Cubre criterios de "confiabilidad, disponibilidad, procesamiento, integridad y confidencialidad." Emitida principalmente por proveedores de servicios en la nube con base en EE.UU. que no tienen informes ISAE 3402.
  • El certificado SOC 2 cubre el alcance de transacciones relevantes para la entidad auditada
  • La fecha del certificado está suficientemente dentro del período auditado
  • Los criterios de confiabilidad, integridad y disponibilidad en el certificado se alinean con los riesgos de control identificados en la evaluación del riesgo del auditor

Términos relacionados

---

  • ISAE 3402: Estándar de auditoría para informes sobre controles en una organización de servicios. Proporciona el marco para que el auditor de la organización de servicios reporte sobre controles relevantes para usuarios auditados.
  • Informe Tipo I vs. Tipo II: Clasificación de los informes ISAE 3402. Tipo I reporta sobre el diseño de controles en una fecha específica. Tipo II reporta sobre el diseño y la operación efectiva durante un período de auditoría completo.
  • Control en una organización de servicios: Cualquier control operado por el proveedor de servicios que sea parte del sistema de control interno de la entidad usuaria.
  • Evaluación del riesgo de la entidad usuaria: El proceso mediante el cual el auditor de usuario identifica si una entidad es una organización de servicios (determinación que afecta qué estándares de auditoría se aplican).
  • Procedimientos de auditoría alternativos: Cuando no existe un informe ISAE 3402 disponible, el auditor de usuario realiza visitas al sitio, cuestionarios, confirmaciones, o auditorías internas del proveedor de servicios para obtener evidencia sobre la efectividad de los controles.
  • Custodia de activos: Un caso específico de organización de servicios donde el proveedor mantiene físicamente activos (valores, efectivo) de la entidad usuaria.

Términos relacionados

ISAE 3402Informe Tipo I vs. Tipo IIControl en una organización de serviciosEvaluación del riesgo de la entidad usuariaProcedimientos de auditoría alternativosCustodia de activos

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.