aspectos centrales

  • El Tipo I responde a la pregunta: "¿Están bien diseñados los controles?" El Tipo II responde: "¿Funcionaron durante el período?"
  • La mayoría de clientes de terceros solicitan Tipo II porque proporciona una seguridad más sólida sobre la efectividad.
  • Un Tipo I es más rápido y menos costoso; un Tipo II requiere observación, pruebas y documentación del funcionamiento a lo largo del tiempo.
  • La NIA-ES 3402.A17 exige que el auditor usuario evalúe la adecuación de los procedimientos del informe recibido antes de reducir sus propios procedimientos sustantivos.

Cómo funcionan

La NIA-ES 3402 (o ISA 3402) establece dos enfoques para informar sobre los controles internos de una entidad de servicios. La norma distingue entre evaluar qué controles están en lugar (Tipo I) y evaluar si esos controles funcionaron como se describe durante un período específico (Tipo II).
Un informe Tipo I examina el diseño de los controles a una fecha particular, normalmente cerca de la fecha del informe mismo. El auditor obtiene evidencia de que los controles existen y están diseñados apropiadamente para prevenir, detectar o mitigar riesgos relevantes. Sin embargo, el Tipo I no proporciona evidencia sobre si los controles operaron de manera efectiva durante un período.
Un informe Tipo II extiende el alcance al examinar tanto el diseño como la efectividad operativa de los controles durante un período de al menos seis meses (aunque doce meses es más común). El auditor realiza pruebas de funcionamiento: observa controles en acción, examina documentación de evidencia de ejecución, y verifica que los controles operaron como se describió. La conclusión es más fuerte porque está respaldada por evidencia de que los controles funcionaron durante un período real.

Ejemplo práctico: Proveedores Logísticos Ibéricos S.L.

Cliente: Empresa prestadora de servicios de almacenamiento y distribución, facturación de 18 millones de euros anuales, España. Usa un sistema ERP estándar para procesamiento de pedidos, facturación e inventario. Sus clientes (principalmente retailers) requieren confirmación de que los controles sobre la información financiera (precisión de facturación, cortes de período, conciliaciones) funcionan correctamente.
Escenario Tipo I (enero de 2025):
Paso 1: Evaluación del diseño
El auditor recopila documentación de políticas, observa el flujo de procesos, entrevista a responsables de cada área de control. En el sistema ERP, verifica que existen validaciones programadas en los lotes de facturación (solo permite facturas sobre órdenes validadas, rechaza importes negativos, etc.). En la función de tesorería, verifica que existe una plantilla de conciliación y que está asignada a un responsable específico.
Documentación: El auditor completa una matriz de diseño identificando dónde existe cada control en el flujo de procesos. Por ejemplo: "Control: Validación de órdenes en lotes de facturación. Ubicación: módulo de ingresos del ERP. Responsable: gerente de facturación. Diseño: adecuado para prevenir facturas de órdenes no autorizadas."
Paso 2: Observación de un ciclo
El auditor observa el proceso de facturación durante una sesión en vivo con el gerente de facturación. El gerente genera un lote de facturas, el sistema rechaza automáticamente dos porque sus importes no coinciden con la orden, y el gerente las corrige antes de generarlas nuevamente. El auditor también verifica que la plantilla de conciliación existe en el servidor compartido y tiene actualización reciente.
Documentación: "Observado el ciclo de facturación del 5 de enero de 2025. El control de validación de importes funcionó como se describe: rechazó dos facturas, el gerente las corrigió, se volvieron a procesar correctamente. Plantilla de conciliación presente en el servidor con última actualización el 4 de enero."
Conclusión del informe Tipo I:
El auditor emite la opinión: "En nuestra opinión, a partir de la información examinada en la fecha de este informe [31 de enero de 2025], los controles sobre la información financiera descritos fueron diseñados apropiadamente para prevenir, detectar o mitigar errores materiales en la facturación y la conciliación." No se concluye nada sobre la efectividad durante un período; solo se verifica el diseño.
Escenario Tipo II (mismo cliente, período de 12 meses: enero-diciembre de 2024):
Paso 1: Evaluación del diseño (enero de 2024)
Igual al Tipo I: el auditor documenta que los controles existen y están bien diseñados.
Paso 2: Pruebas de funcionamiento a lo largo del período (febrero a noviembre)
El auditor no puede estar presente cada día, así que prueba una muestra de ciclos en diferentes momentos del año:
Documentación: Tabla de pruebas con columnas: Lote (fecha), número de facturas rechazadas, motivo del rechazo, evidencia de corrección y re-procesamiento. Resultado: en todos los cinco lotes probados, el control rechazó incorrecciones y se verificó la corrección antes de re-procesamiento. Conclusión: control operó efectivamente.
Documentación: Matriz de pruebas con 12 filas (un mes por fila) mostrando: fecha de completamiento, coincidencia de saldos (sí/no), discrepancias identificadas (número), resolución documentada. Para los tres meses probados detalladamente: fotos de la plantilla completa con firma del responsable, escaneo del movimiento de investigación en el registro de e-mails si hubo discrepancia.
Paso 3: Evaluación de cambios durante el período
El auditor pregunta: ¿cambió algo en los controles durante el año? Se documenta que en agosto se actualizó el sistema ERP con una nueva versión que mejoró las validaciones de límite de importe. El auditor prueba que después de esta actualización, el control seguía funcionando (prueba un lote post-agosto).
Documentación: "Actualización de sistema identificada en agosto de 2024. Se probó un lote de facturación post-actualización (septiembre) para verificar que el control de validación seguía operando correctamente bajo la nueva versión del ERP. Resultado: funcionamiento confirmado."
Conclusión del informe Tipo II:
El auditor emite la opinión: "En nuestra opinión, a partir de la información examinada, durante el período comprendido entre el 1 de enero de 2024 y el 31 de diciembre de 2024, los controles sobre la información financiera descritos operaron efectivamente para prevenir, detectar o mitigar errores materiales en la facturación y la conciliación." Esta conclusión es materialmente más fuerte que la del Tipo I porque se respalda en pruebas de funcionamiento a lo largo de doce meses.
---

  • Control de validación en facturación: El auditor selecciona cinco lotes de facturación diferentes (febrero, abril, julio, septiembre, noviembre). Para cada lote, obtiene un listado de facturas generadas y un listado de rechazos del sistema. Verifica que cada rechazo corresponde a una validación que funcionó (límite de importe excedido, orden no autorizada, etc.). Verifica en el registro de diario del ERP que las facturas rechazadas fueron corregidas antes de re-procesamiento.
  • Control de conciliación: El auditor obtiene las plantillas de conciliación que se completaron en cada mes (12 meses). Para cada una, verifica: (1) que la plantilla se completó dentro de 5 días después del cierre, (2) que los saldos coinciden con el mayor general, (3) que las discrepancias (si las hay) fueron investigadas y documentadas. Selecciona tres meses (marzo, julio, diciembre) para pruebas detalladas.

Cuándo importa la distinción en una auditoría

La diferencia es crítica cuando un usuario de los controles (por ejemplo, una cadena minorista que usa los servicios de Proveedores Logísticos Ibéricos) necesita comprender si puede confiar en los controles para ciertos períodos de auditoría.
Un usuario que recibe un informe Tipo I puede asumir que los controles están bien diseñados, pero no sabe si operaron en enero, febrero, o durante todo el año. Si el usuario realiza una auditoría de sus propias cuentas anuales, y necesita comprender si puede confiar en los datos que le envía Proveedores Logísticos, un Tipo I deja una brecha: sabe cómo deberían ser los datos, pero no tiene evidencia de cómo fueron durante el período.
Un usuario que recibe un informe Tipo II puede confiar en que los controles descritos operaron durante el período cubierto por el informe. Esto permite al usuario reducir sus propios procedimientos de validación, confiando en que los datos recibidos fueron procesados bajo controles efectivos. Para un auditor de una entidad que usa servicios, un Tipo II es casi siempre preferible porque proporciona seguridad sobre el período auditado.

Qué cometen mal los revisores y los prácticos

  • Error Tier 1 (Hallazgo regulatorio internacional): La FRC (Financial Reporting Council, Reino Unido) en sus inspecciones de auditorías que usan informes NIA-ES 3402 (equivalente a NIA-ES 3402) ha observado que los auditores a menudo citan un informe Tipo I en su informe de auditoría cuando el período cubierto por el Tipo I (una fecha de diseño) no se alinea con el período de auditoría. La FRC ha puesto de relieve que esto no es una base suficiente para reducir procedimientos sustantivos.
  • Error Tier 2 (Práctica común documentada): Muchos auditores asumen que un Tipo II cubre "el período de auditoría" sin verificar las fechas exactas. Un informe Tipo II que cubre enero-diciembre de 2023 no cubre agosto-marzo si el período de auditoría de la entidad es agosto de 2023 a julio de 2024. El auditor debe conciliar los períodos y documentar si existe una brecha y cómo se maneja (pruebas adicionales propias, reevaluación del riesgo).
  • Error Tier 3 (Brecha documentada de aplicación): Muchas auditorías usan un informe Tipo I principalmente porque es más económico para el proveedor de servicios, pero no documentan explícitamente que el usuario (el auditor) ha evaluado el riesgo de que el diseño de los controles no garantice la operación efectiva. La NIA-ES 3402.A17 requiere que el auditor que usa un informe del servicio evalúe la adecuación de los procedimientos realizados. Un archivo que no contiene esta evaluación explícita, sino que "confía" en el Tipo I, representa una brecha de cumplimiento.
  • Error Tier 4 (Omisión de controles complementarios del usuario): Los informes NIA-ES 3402 suelen incluir una sección de "controles complementarios del usuario" que describe los controles que la entidad usuaria debe operar para que los controles del prestador sean efectivos. Muchos auditores leen el informe del prestador pero no verifican si la entidad usuaria implementó esos controles complementarios, dejando una brecha documental en la evaluación del riesgo de control.

Comparación lado a lado

| Dimensión | Tipo I | Tipo II |
|---|---|---|
| Fecha de evaluación | Una fecha específica (normalmente cercana a la fecha del informe) | Un período de al menos 6 meses, generalmente 12 meses |
| Preguntas respondidas | "¿Están bien diseñados los controles?" | "¿Estaban bien diseñados Y funcionaron durante el período?" |
| Alcance de pruebas | Observación del proceso, revisión de documentación | Pruebas de funcionamiento en múltiples ciclos durante el período |
| Fortaleza de conclusión | Moderada: solo sobre el diseño | Fuerte: sobre diseño y operación durante el período |
| Costo y tiempo | Menor (1-2 semanas típicamente) | Mayor (3-6 meses de trabajo de campo) |
| Utilidad para auditores externos | Limitada: requiere procedimientos adicionales propios | Alta: permite confiar en los controles para el período |
| Brecha común | Usuario asume que los controles operaron cuando solo fueron diseñados | Usuario asume que el período de Tipo II coincide con su período de auditoría cuando no es así |

Términos relacionados

  • NIA-ES 3402: La norma que define ambos enfoques
  • Informe del servicio: El documento emitido por el auditor del proveedor, ya sea Tipo I o Tipo II
  • Usuario del servicio: El auditor externo de la entidad que usa los controles
  • Evaluación de riesgos en el servicio: El proceso por el cual el auditor usuario decide qué procedimientos propios son necesarios además del informe recibido

Meta descripción

La diferencia principal: un informe Tipo I evalúa el diseño de controles en una fecha específica; un Tipo II evalúa el diseño y la operación durante un período. Ambos se rigen por la NIA-ES 3402. Aquí aprenderá cuándo usar cada uno y cómo aplicarlo en su auditoría.

Términos relacionados

NIA-ES 3402Informe del servicioUsuario del servicioEvaluación de riesgos en el servicio

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.