Cómo funciona

El ISAE 3402 párrafo 3 define dos tipos de informes de una entidad de servicios. El Tipo I se centra en una evaluación puntual: el practicante examina el diseño de los controles de la entidad de servicios a una fecha específica (típicamente la fecha de cierre del período reportado) y expresa una opinión sobre si esos controles fueron diseñados apropiadamente para lograr los objetivos de control establecidos.
La palabra principal es "diseño". El Tipo I no requiere que el practicante pruebe si esos controles operaron efectivamente durante un período. En cambio, el practicante debe obtener evidencia de que los controles existen, que fueron configurados para funcionar de la manera descrita en la descripción de la entidad de servicios, y que la gestión de la entidad de servicios pretendía que funcionaran durante el período.
Esto se diferencia centralmente del Tipo II, donde el practicante prueba el funcionamiento real de los controles a lo largo de un período mínimo de seis meses. El ISAE 3402 párrafo 4 explica que un informe Tipo II proporciona evidencia de que los controles operaron de manera efectiva y consistente durante el período de prueba.
En la práctica, un informe Tipo I es útil cuando:
Sin embargo, el usuario debe comprender que la opinión sobre el diseño no le proporciona garantía alguna sobre el desempeño real. Una entidad de servicios puede tener controles perfectamente diseñados pero que fallen en la operación debido a errores humanos, cambios en procesos, o falta de supervisión consistente.

  • La entidad de servicios es nueva o ha implementado recientemente sistemas de control.
  • Se necesita evidencia rápida sobre el diseño de controles sin esperar períodos de operación.
  • Los usuarios del informe pueden satisfacer sus propias necesidades de auditoría mediante pruebas adicionales del funcionamiento.

Ejemplo práctico: Soluciones Financieras Ibéricas S.L.

Cliente: Empresa de procesamiento de nóminas con sede en Barcelona, 450 clientes corporativos, servicios de gestión de plantilla bajo IFRS 9 para clientes. Fecha del informe: 31 de diciembre de 2024.
Paso 1: Identificar objetivos de control
El equipo de auditoría identificó cinco objetivos principales: (1) transacciones de nómina son autorizadas antes del procesamiento; (2) los datos de empleado se mantienen con precisión; (3) el acceso a sistemas se limita a personal autorizado; (4) los reportes de nómina coinciden con los registros contables; (5) la información se protege según RGPD.
Nota de documentación: El documento de descripción de la entidad de servicios, firmado por la gerencia el 15 de diciembre de 2024, describe cada objetivo y el control diseñado para alcanzarlo.
Paso 2: Examinar el diseño de cada control
Para el objetivo (3), el control descrito es: "El administrador de sistemas otorga acceso a la aplicación de nómina solo después de recibir autorización firmada del director de operaciones." El equipo de auditoría revisó la estructura de permisos en el sistema, verificó que los accesos coincidían con la política de autorización, y confirmó que las autorizaciones firmadas existían para cada usuario activo.
Nota de documentación: Matriz de control documentando cada usuario activo, fecha de acceso, autorización de firma correspondiente, y validación del nivel de permiso asignado en el sistema.
Paso 3: Verificar aplicación a la fecha del informe
El auditor ejecutó un procedimiento a 31 de diciembre de 2024: seleccionó 15 transacciones de nómina del mes de diciembre procesadas antes del cierre, verificó que cada una llevaba aprobación documentada del supervisor de nóminas, y confirmó que la aplicación había rechazado cualquier entrada sin firma de autorización.
Nota de documentación: Listado de transacciones seleccionadas, evidencia de aprobación escaneada, pantallazos del sistema mostrando la funcionalidad de validación de firma configurada.
Paso 4: Expresar opinión sobre el diseño
Conclusión: El diseño de los controles de Soluciones Financieras Ibéricas S.L. fue apropiado para alcanzar los objetivos declarados, y estaban implementados a 31 de diciembre de 2024. El usuario del informe puede confiar en que la entidad pretendía que estos controles operaran para proteger sus datos de nómina. Sin embargo, el usuario no tiene garantía de que estos controles operaron consistentemente durante 2024, ni de que continuarán funcionando en 2025.

Lo que revisores y profesionales interpretan erróneamente

  • Un informe Tipo I = prueba de control efectivo. Incorrecto. El ISAE 3402 párrafo 3 aclara que un Tipo I proporciona una opinión sobre el diseño; un Tipo II proporciona opinión sobre el funcionamiento. Muchos usuarios de informes creen que si un control está "certificado" en un Tipo I, ha funcionado bien, cuando en realidad solo se verificó que fue diseñado. La documentación debe aclarar explícitamente esta limitación.
  • El período de prueba en Tipo I es flexible. Incorrecto. Aunque no se requiere un período mínimo de seis meses como en Tipo II, el practicante aún debe obtener evidencia en un punto en el tiempo. El ISAE 3402 párrafo 12 exige que el practicante comprenda el entorno de la entidad de servicios, los objetivos de control, y los riesgos. Esto requiere más que una revisión superficial en un día.
  • Los servicios descargados del sitio web de la entidad de servicios son una descripción suficiente. Incorrecto. El ISAE 3402 párrafo A21 requiere que el practicante obtenga una descripción escrita de los controles relevantes. Si la entidad de servicios no proporciona documentación formal de sus controles, el practicante no puede emitir un informe fiable.

Tipo I vs. Tipo II

| Aspecto | Tipo I | Tipo II |
|---|---|---|
| Período de prueba | Punto en el tiempo (típicamente cierre de período) | Mínimo seis meses de funcionamiento |
| Opinión sobre | Diseño de controles | Diseño y funcionamiento operativo |
| Evidencia de funcionamiento | No requerida; solo que el control fue implementado | Requerida; transacciones reales, registros, muestras |
| Garantía al usuario | Limitada; el control estaba diseñado pero no se probó su operación | Mayor; control demostró funcionamiento consistente |
| Tiempo para completar | Más rápido (tipicamente 4-8 semanas) | Más largo (tipicamente 12-16 semanas) |
| Cuando usar | Entidades nuevas, necesidad urgente de evidencia de diseño, usuarios pueden probar operación por su cuenta | Entidades establecidas, usuarios necesitan evidencia de funcionamiento consistente, certificación a nivel de usuario |

Cuándo importa esta distinción en un encargo

Un auditor de una empresa de servicios compartidos internacionales se encontró con esta decisión prácticamente: un cliente grande solicitó un informe ISAE 3402 para sus usuarios sobre los controles de procesamiento de pagos internacionales. El cliente dijo: "Necesitamos un Tipo I ahora, en marzo, para que nuestros usuarios puedan reportar control a su auditor en abril."
El auditor debió explicar que un Tipo I a marzo es defensible técnicamente (ISAE 3402 no prohíbe esto), pero que los usuarios probablemente preguntarían: "¿Qué evidencia de funcionamiento tienen?" Un informe Tipo I respondería: "Verificamos que los controles fueron diseñados e implementados a 31 de marzo." Un usuario sofisticado habría respondido: "¿Y qué pasó en enero? ¿El control falló alguna vez?"
Si el cliente podía esperar hasta octubre (seis meses después de la aplicación), un Tipo II sería más útil. Si necesitaba evidencia inmediata para reportar control interno, un Tipo I era aceptable, pero el auditor debía documentar que la opinión cubrió solo el diseño, no la operación.

Términos relacionados

  • Informe Tipo II: Evaluación de diseño y funcionamiento operativo de controles durante un período mínimo de seis meses.
  • ISAE 3402: Norma que rige informes de entidades de servicios sobre controles en auditoría.
  • Descripción de la entidad de servicios: Documento que describe los servicios prestados, objetivos de control, y controles diseñados para lograr esos objetivos.
  • Objetivo de control: La meta que la entidad de servicios pretende alcanzar mediante un control específico.
  • Control relevante: Control que afecta directamente la capacidad del usuario de confiar en que los servicios de la entidad de servicios se prestaron de manera consistente con los objetivos de control declarados.
  • Prueba de funcionamiento: Procedimiento para obtener evidencia de que un control operó de manera consistente durante el período de prueba.

Herramientas relacionadas

La Matriz de Evaluación de Controles ISAE 3402 de ciferi le ayuda a documentar objetivos de control, diseño de control, y evidencia de aplicación para informes Tipo I. Produce automáticamente el mapeo entre sus procedimientos de auditoría y los requisitos del párrafo del ISAE 3402.
---

Términos relacionados

Informe Tipo IIISAE 3402Descripción de la entidad de serviciosObjetivo de controlControl relevantePrueba de funcionamiento

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.