Definition
La mayoría de los usuarios de un Tipo I leen "controles certificados" y entienden "controles que funcionan". Y ahí empieza el problema. Un Tipo I es la opinión de un auditor sobre el diseño y la aplicación de los controles internos de una entidad de servicios a una fecha concreta, sin opinión sobre si esos controles operaron a lo largo del tiempo. Lo regula la ISAE 3402, párrafos 1-30.
Cómo funciona
Un colega me decía la semana pasada: "Para empezar, un Tipo I es suficiente". Le doy la razón a medias. Sí, es suficiente para tachar la casilla en la planificación del auditor del usuario, y sí, sirve para que el cliente diga que tiene un ISAE 3402. Pero "suficiente para empezar" arrastra un equívoco que el calendario del encargo agrava: el cliente quiere certificación para ya, el usuario del informe quiere garantía de funcionamiento, y el Tipo I no entrega lo segundo. Por lo que conozco, ese desajuste explica casi todos los desencuentros con el destinatario del informe.
La ISAE 3402, párrafo 3, define dos tipos de informe de una entidad de servicios. El Tipo I se centra en una evaluación puntual: el practicante examina el diseño de los controles a una fecha específica (típicamente la fecha de cierre del período reportado) y emite una opinión sobre si esos controles fueron diseñados apropiadamente para alcanzar los objetivos de control declarados. Lo que eso significa en la práctica: alguien dibujó los controles bien, alguien los puso en marcha, y a la fecha del informe estaban ahí. Nada más.
La palabra que importa es "diseño". El Tipo I no exige al auditor probar si esos controles operaron de forma efectiva durante un período. Debe obtener evidencia de que existen, de que están configurados como describe la entidad de servicios y de que la dirección pretendía que funcionaran durante el período. Vaya por delante que esto no es una limitación oculta de la norma; está escrito en el párrafo 4. La ISAE 3402, párrafo 4, explica que un Tipo II proporciona evidencia de que los controles operaron de manera efectiva y consistente durante el período de prueba (mínimo seis meses). Lo que eso significa en la práctica: si el usuario quiere saber si el control falló alguna vez en marzo, el Tipo I no se lo va a decir.
En los encargos que he llevado, un Tipo I tiene sentido cuando la entidad de servicios es nueva, cuando los sistemas se acaban de aplicar o cuando el usuario del informe va a probar la operación por su cuenta dentro de su propia auditoría. Fuera de esos supuestos, el riesgo es que el informe se use como sustituto de un Tipo II que el calendario no permitía. Una entidad puede tener controles dibujados con precisión y fallar en la operación por errores humanos, cambios de proceso o falta de supervisión. El Tipo I no captura nada de eso.
Ejemplo práctico: Soluciones Financieras Ibéricas S.L.
Cliente: empresa de procesamiento de nóminas con sede en Barcelona, 450 clientes corporativos, servicios de gestión de plantilla bajo NIIF 9 (IFRS 9 en su denominación inglesa) para los clientes. Fecha del informe: 31 de diciembre de 2024.
Paso 1: Identificar objetivos de control El equipo de auditoría identificó cinco objetivos: (1) las transacciones de nómina se autorizan antes del procesamiento; (2) los datos de empleado se mantienen con precisión; (3) el acceso a los sistemas se limita a personal autorizado; (4) los reportes de nómina coinciden con los registros contables; (5) la información se protege según el RGPD. Cinco, no tres ni siete. La descripción de la entidad de servicios, firmada por la dirección el 15 de diciembre de 2024, ata cada objetivo a un control concreto.
Nota de documentación: documento de descripción de la entidad de servicios firmado por la dirección, con el detalle de cada objetivo y el control diseñado para alcanzarlo.
Paso 2: Examinar el diseño de cada control Para el objetivo (3), el control descrito es: "El administrador de sistemas otorga acceso a la aplicación de nómina solo después de recibir autorización firmada del director de operaciones." El equipo revisó la estructura de permisos en el sistema, verificó que los accesos coincidían con la política de autorización y confirmó que las autorizaciones firmadas existían para cada usuario activo.
Nota de documentación: matriz de control con cada usuario activo, fecha de acceso, autorización de firma correspondiente y validación del nivel de permiso asignado en el sistema.
Paso 3: Verificar aplicación a la fecha del informe A 31 de diciembre de 2024, el auditor seleccionó 15 transacciones de nómina del mes de diciembre procesadas antes del cierre, verificó que cada una llevaba aprobación documentada del supervisor y confirmó que la aplicación había rechazado cualquier entrada sin firma de autorización. Aquí saltó la complicación: dos de las 15 transacciones presentaban anomalías en los permisos de acceso del usuario que las aprobó, anomalías "corregidas" el 30 de diciembre, un día antes de la fecha del informe. La pregunta inmediata fue si el control diseñado estaba realmente aplicado durante diciembre o solo a partir del 30 de diciembre. La ISAE 3402, párrafo 12, exige al practicante comprender el entorno de la entidad, los objetivos de control y los riesgos. La aplicación parcheada in extremis no encaja con esa comprensión. Lo que eso significa en la práctica: el equipo tuvo que ampliar la muestra a otras 10 transacciones de la primera quincena de diciembre, documentar la fecha exacta de la corrección y, finalmente, calificar la opinión señalando que el control fue aplicado a partir del 30 de diciembre, no antes. El cliente lo aceptó a regañadientes; el socio necesitaba al cliente y el cliente necesitaba el informe en enero.
Nota de documentación: listado de transacciones seleccionadas (15 + 10 ampliadas), evidencia de aprobación escaneada, registro de cambios de permisos con fecha, pantallazos del sistema mostrando la funcionalidad de validación de firma configurada.
Paso 4: Expresar opinión sobre el diseño Conclusión: el diseño de los controles de Soluciones Financieras Ibéricas S.L. fue apropiado para alcanzar los objetivos declarados y los controles estaban aplicados a 31 de diciembre de 2024, con la salvedad descrita para el control de acceso (operativo desde el 30 de diciembre). El usuario puede confiar en que la entidad pretendía que estos controles operaran para proteger sus datos de nómina. No tiene garantía de que operaran consistentemente durante 2024 ni de que vayan a funcionar en 2025.
Lo que revisores y profesionales interpretan erróneamente
- Un Tipo I = prueba de control efectivo. No es eso. La ISAE 3402, párrafo 3, distingue: un Tipo I emite opinión sobre el diseño; un Tipo II la emite sobre el funcionamiento. El usuario que lee "control certificado" en un Tipo I y entiende "control que funcionó bien todo el año" está leyendo lo que el informe no dice. La documentación debe aclarar la limitación de forma explícita, y por lo que conozco, vale la pena hacerlo verbalmente al usuario antes incluso de entregar el informe.
- El período de prueba en Tipo I es flexible. Falso. No hay mínimo de seis meses como en Tipo II, pero el practicante necesita evidencia razonable a una fecha concreta. La ISAE 3402, párrafo 12, exige comprender el entorno, los objetivos y los riesgos de la entidad. Lo que eso significa en la práctica: una visita de un día con dos pantallazos no constituye comprensión, da igual lo que diga la firma comercializadora del informe.
- La descripción descargada de la web vale como descripción de servicios. Tampoco. La ISAE 3402, párrafo A21, requiere obtener una descripción escrita de los controles relevantes, firmada por la dirección. Si la entidad no proporciona documentación formal, el practicante no puede emitir un informe fiable. He visto encargos donde la "descripción" era el folleto comercial; eso no es ISAE 3402, eso es marketing.
Tipo I vs. Tipo II
| Aspecto | Tipo I | Tipo II |
|---|---|---|
| Período de prueba | Punto en el tiempo (típicamente cierre de período) | Mínimo seis meses de funcionamiento |
| Opinión sobre | Diseño de controles | Diseño y funcionamiento operativo |
| Evidencia de funcionamiento | No requerida; solo que el control fue aplicado | Requerida; transacciones reales, registros, muestras |
| Garantía al usuario | Limitada; el control estaba diseñado pero no se probó su operación | Mayor; control demostró funcionamiento consistente |
| Tiempo para completar | Más rápido (típicamente 4-8 semanas) | Más largo (típicamente 12-16 semanas) |
| Cuando usar | Entidades nuevas, necesidad urgente de evidencia de diseño, usuarios pueden probar operación por su cuenta | Entidades establecidas, usuarios necesitan evidencia de funcionamiento consistente, certificación a nivel de usuario |
Cuándo importa esta distinción en un encargo
"Necesitamos un Tipo I ahora, en marzo, para que nuestros usuarios puedan reportar control a su auditor en abril." Eso lo dijo el director financiero de una empresa de servicios compartidos internacionales, sobre los controles de procesamiento de pagos. Y la frase resume toda la dinámica comercial del Tipo I: el cliente quiere ya, el calendario manda, el informe va a salir.
El auditor explicó que un Tipo I a marzo es defensible técnicamente (la ISAE 3402 no lo prohíbe), pero que los usuarios sofisticados iban a preguntar lo que siempre preguntan: "¿Y qué pasó en enero? ¿El control falló alguna vez?" El Tipo I no responde a eso. Solo responde: "A 31 de marzo, el control estaba diseñado y aplicado." Aquí surge una discusión legítima entre profesionales. Hay quien defiende que un Tipo I nunca debería emitirse sin una conversación previa con el usuario sobre lo que el informe NO cubre, porque el riesgo reputacional del auditor de servicios es real cuando el usuario descubre la limitación tarde. Otros sostienen que la responsabilidad informativa del usuario es suya y que la opinión publicada habla por sí misma. No tengo una respuesta cerrada; en mi caso, prefiero hacer la llamada de cortesía aunque no me la exija la norma.
Si el cliente podía esperar a octubre (seis meses de aplicación más auditoría), un Tipo II resolvía el problema real. Si no, el Tipo I servía para tachar la casilla en abril y para nada más. Lo que el usuario realmente quiere de un Tipo I es lo que solo un Tipo II le puede dar (y los auditores de servicios lo sabemos), pero el calendario manda y el socio necesita al cliente. Hay una zona gris donde la verificación de "aplicación" del Tipo I empieza a oler a prueba de funcionamiento del Tipo II; cruzar esa línea sin reconocerlo convierte el informe en un brindis al sol técnicamente correcto pero materialmente engañoso.
Un Tipo I no certifica que los controles funcionen. Certifica que alguien los dibujó bien y que existían a la fecha del informe. La diferencia explica casi todos los desencuentros con el destinatario, y vale la pena tenerla escrita en algún sitio antes de aceptar el encargo.
Términos relacionados
- Informe Tipo II: evaluación de diseño y funcionamiento operativo de controles durante un período mínimo de seis meses. - ISAE 3402: norma que rige los informes de entidades de servicios sobre controles en auditoría. - Descripción de la entidad de servicios: documento que describe los servicios prestados, los objetivos de control y los controles diseñados para alcanzar esos objetivos. - Objetivo de control: la meta que la entidad de servicios pretende alcanzar mediante un control específico. - Control relevante: control que afecta directamente la capacidad del usuario de confiar en que los servicios de la entidad se prestaron de manera consistente con los objetivos de control declarados. - Prueba de funcionamiento: procedimiento para obtener evidencia de que un control operó de manera consistente durante el período de prueba.
Herramientas relacionadas
La Matriz de Evaluación de Controles ISAE 3402 de ciferi le ayuda a documentar objetivos de control, diseño de control y evidencia de aplicación para informes Tipo I. Produce automáticamente el mapeo entre sus procedimientos de auditoría y los párrafos pertinentes de la ISAE 3402.
---