Definition
En los últimos dos cierres, he visto tres expedientes en los que el socio firmante apoyaba la reducción de pruebas sustantivas sobre un informe Tipo I emitido en enero, con fecha única, para cubrir un ejercicio de doce meses. Los papeles están flojos. El informe Tipo I documenta cómo están diseñados los controles de la entidad de servicios (service organization) en una fecha concreta; el Tipo II prueba si esos controles funcionaron durante un período, habitualmente doce meses. Ambos se rigen por la NIA-ES 3402 (o ISA 3402 en jurisdicciones que adoptan la norma internacional sin modificación), y la diferencia determina si el auditor usuario (user auditor) puede apoyarse en el informe o si está ante un brindis al sol.
Dónde empieza el juicio profesional
Dónde empieza el juicio profesional: en decidir si el Tipo I que ha entregado su cliente basta para reducir procedimientos sustantivos, o si usted tendrá que sacar adelante con lo que hay y probar los controles por su cuenta porque el informe, en realidad, fue un trámite.
Aspectos centrales
- El Tipo I responde a la pregunta: "¿Están bien diseñados los controles?" El Tipo II responde: "¿Funcionaron durante el período?" - La mayoría de clientes de terceros solicitan Tipo II porque proporciona una seguridad más sólida sobre la efectividad. - Un Tipo I es más rápido y menos costoso; un Tipo II requiere observación, pruebas y documentación del funcionamiento a lo largo del tiempo.
Cómo funcionan
La NIA-ES 3402 (o ISA 3402) establece dos enfoques para informar sobre los controles internos de una entidad de servicios. La norma distingue entre evaluar qué controles están en lugar (Tipo I) y evaluar si esos controles funcionaron como se describe durante un período específico (Tipo II).
Un informe Tipo I examina el diseño de los controles a una fecha particular, normalmente cercana a la fecha del informe mismo. El auditor de servicios obtiene evidencia de que los controles existen y están diseñados apropiadamente para prevenir, detectar o mitigar riesgos relevantes. Sin embargo, el Tipo I no proporciona evidencia sobre si los controles operaron de manera efectiva durante un período.
Un informe Tipo II extiende el alcance al examinar tanto el diseño como la efectividad operativa de los controles durante un período de al menos seis meses (aunque doce meses es más común). El auditor de servicios realiza pruebas de funcionamiento: observa controles en acción, examina documentación de evidencia de ejecución, y verifica que los controles operaron como se describió. La conclusión es más fuerte porque está respaldada por evidencia de que los controles funcionaron durante un período real.
Dos socios, dos lecturas
El socio A lee el Tipo I de un proveedor cloud fechado el 15 de enero y anota que "los controles están bien diseñados", firma la reducción del 30 por ciento de las pruebas sustantivas sobre ingresos y pasa al siguiente legajo. El socio B lee el mismo informe y escribe en nota al margen: esto cubre un día, no un ejercicio; no hay evidencia de que el control operara en marzo ni en agosto; pedimos Tipo II o ampliamos pruebas propias al 100 por ciento. Por lo que he visto en los encargos que he llevado, cuando llega una inspección del ICAC dos años después, el expediente del socio B se sostiene y el del socio A no.
Por qué se perpetúa el problema
La entidad de servicios prefiere el Tipo I porque cuesta entre un 60 y un 70 por ciento menos y se emite en dos semanas en lugar de seis meses. Los proveedores de software en la nube venden el Tipo I como "certificación ISAE 3402" sin matizar la diferencia con el Tipo II, y sus comerciales lo usan en la propuesta para cerrar contratos. El auditor usuario acepta el informe porque exigir un Tipo II al cliente implica una conversación incómoda y el riesgo de perder el encargo el año siguiente. El resultado son expedientes llenos de bombas de relojería: se acepta marcar la casilla en enero, nadie pregunta qué pasó entre febrero y diciembre, y cuando el ICAC revisa el papel de trabajo dos cierres más tarde, la evidencia de funcionamiento operativo sencillamente no existe.
Ejemplo práctico: Proveedores Logísticos Ibéricos S.L.
Cliente: Empresa prestadora de servicios de almacenamiento y distribución, facturación de 18 millones de euros anuales, España. Usa un sistema ERP estándar para procesamiento de pedidos, facturación e inventario. Sus clientes (principalmente retailers) requieren confirmación de que los controles sobre la información financiera (precisión de facturación, cortes de período, conciliaciones) funcionan correctamente.
Escenario Tipo I (enero de 2025):
Paso 1: Evaluación del diseño El auditor de servicios recopila documentación de políticas, observa el flujo de procesos, entrevista a responsables de cada área de control. En el sistema ERP, verifica que existen validaciones programadas en los lotes de facturación (solo permite facturas sobre órdenes validadas, rechaza importes negativos, etc.). En la función de tesorería, verifica que existe una plantilla de conciliación y que está asignada a un responsable específico.
Documentación: El auditor completa una matriz de diseño identificando dónde existe cada control en el flujo de procesos. Por ejemplo: "Control: Validación de órdenes en lotes de facturación. Ubicación: módulo de ingresos del ERP. Responsable: gerente de facturación. Diseño: adecuado para prevenir facturas de órdenes no autorizadas."
Paso 2: Observación de un ciclo El auditor observa el proceso de facturación durante una sesión en vivo con el gerente de facturación. El gerente genera un lote de facturas, el sistema rechaza automáticamente dos porque sus importes no coinciden con la orden, y el gerente las corrige antes de generarlas nuevamente. El auditor también verifica que la plantilla de conciliación existe en el servidor compartido y tiene actualización reciente.
Documentación: "Observado el ciclo de facturación del 5 de enero de 2025. El control de validación de importes funcionó como se describe: rechazó dos facturas, el gerente las corrigió, se volvieron a procesar correctamente. Plantilla de conciliación presente en el servidor con última actualización el 4 de enero."
Conclusión del informe Tipo I: El auditor emite la opinión: "En nuestra opinión, a partir de la información examinada en la fecha de este informe [31 de enero de 2025], los controles sobre la información financiera descritos fueron diseñados apropiadamente para prevenir, detectar o mitigar errores materiales en la facturación y la conciliación." No se concluye nada sobre la efectividad durante un período; solo se verifica el diseño.
---
Escenario Tipo II (mismo cliente, período de 12 meses: enero-diciembre de 2024):
Paso 1: Evaluación del diseño (enero de 2024) Igual al Tipo I: el auditor documenta que los controles existen y están bien diseñados.
Paso 2: Pruebas de funcionamiento a lo largo del período (febrero a noviembre) El auditor no puede estar presente cada día, así que prueba una muestra de ciclos en diferentes momentos del año:
- Control de validación en facturación: El auditor selecciona cinco lotes de facturación diferentes (febrero, abril, julio, septiembre, noviembre). Para cada lote, obtiene un listado de facturas generadas y un listado de rechazos del sistema. Verifica que cada rechazo corresponde a una validación que funcionó (límite de importe excedido, orden no autorizada, etc.). Verifica en el registro de diario del ERP que las facturas rechazadas fueron corregidas antes de re-procesamiento.
Documentación: Tabla de pruebas con columnas: Lote (fecha), número de facturas rechazadas, motivo del rechazo, evidencia de corrección y re-procesamiento. Resultado: en todos los cinco lotes probados, el control rechazó incorrecciones y se verificó la corrección antes de re-procesamiento. Conclusión: control operó efectivamente.
- Control de conciliación: El auditor obtiene las plantillas de conciliación que se completaron en cada mes (12 meses). Para cada una, verifica: (1) que la plantilla se completó dentro de 5 días después del cierre, (2) que los saldos coinciden con el mayor general, (3) que las discrepancias (si las hay) fueron investigadas y documentadas. Selecciona tres meses (marzo, julio, diciembre) para pruebas detalladas.
Documentación: Matriz de pruebas con 12 filas (un mes por fila) mostrando: fecha de completamiento, coincidencia de saldos (sí/no), discrepancias identificadas (número), resolución documentada. Para los tres meses probados detalladamente: fotos de la plantilla completa con firma del responsable, escaneo del movimiento de investigación en el registro de e-mails si hubo discrepancia.
Paso 3: Evaluación de cambios durante el período El auditor pregunta: ¿cambió algo en los controles durante el año? Se documenta que en agosto se actualizó el sistema ERP con una nueva versión que mejoró las validaciones de límite de importe. El auditor prueba que después de esta actualización, el control seguía funcionando (prueba un lote post-agosto).
Documentación: "Actualización de sistema identificada en agosto de 2024. Se probó un lote de facturación post-actualización (septiembre) para verificar que el control de validación seguía operando correctamente bajo la nueva versión del ERP. Resultado: funcionamiento confirmado."
Conclusión del informe Tipo II: El auditor emite la opinión: "En nuestra opinión, a partir de la información examinada, durante el período comprendido entre el 1 de enero de 2024 y el 31 de diciembre de 2024, los controles sobre la información financiera descritos operaron efectivamente para prevenir, detectar o mitigar errores materiales en la facturación y la conciliación." Esta conclusión es materialmente más fuerte que la del Tipo I porque se respalda en pruebas de funcionamiento a lo largo de doce meses.
---
Cuándo importa la distinción en una auditoría
La diferencia pesa cuando un usuario de los controles (por ejemplo, una cadena minorista que usa los servicios de Proveedores Logísticos Ibéricos) necesita comprender si puede confiar en los controles para ciertos períodos de auditoría.
Un usuario que recibe un informe Tipo I puede asumir que los controles están bien diseñados, pero no sabe si operaron en enero, febrero, o durante todo el año. Si el usuario realiza una auditoría de sus propias cuentas anuales, y necesita comprender si puede confiar en los datos que le envía Proveedores Logísticos, un Tipo I deja una brecha: sabe cómo deberían ser los datos, pero no tiene evidencia de cómo fueron durante el período.
Un usuario que recibe un informe Tipo II puede confiar en que los controles descritos operaron durante el período cubierto por el informe. Esto permite al usuario reducir sus propios procedimientos de validación, confiando en que los datos recibidos fueron procesados bajo controles efectivos. Para un auditor de una entidad que usa servicios, un Tipo II es casi siempre preferible porque proporciona seguridad sobre el período auditado.
Qué cometen mal los revisores y los prácticos
- Error Tier 1 (Hallazgo regulatorio internacional): La FRC (Financial Reporting Council, Reino Unido) en sus inspecciones de auditorías que usan informes ISAE 3402 (equivalente a NIA-ES 3402) ha observado que los auditores a menudo citan un informe Tipo I en su informe de auditoría cuando el período cubierto por el Tipo I (una fecha de diseño) no se alinea con el período de auditoría. La FRC concluye que esto no constituye una base suficiente para reducir procedimientos sustantivos.
- Error Tier 2 (Práctica común documentada): Muchos auditores asumen que un Tipo II cubre "el período de auditoría" sin verificar las fechas exactas. Un informe Tipo II que cubre enero-diciembre de 2023 no cubre agosto-marzo si el período de auditoría de la entidad es agosto de 2023 a julio de 2024. El auditor debe conciliar los períodos y documentar si existe una brecha y cómo se maneja (pruebas adicionales propias, reevaluación del riesgo).
- Error Tier 3 (Brecha documentada de aplicación): Muchas auditorías usan un informe Tipo I principalmente porque es más económico para el proveedor de servicios, pero no documentan explícitamente que el usuario (el auditor) ha evaluado el riesgo de que el diseño de los controles no garantice la operación efectiva. La NIA-ES 3402.A17 requiere que el auditor que usa un informe del servicio evalúe la adecuación de los procedimientos realizados. Un archivo que no contiene esta evaluación explícita, sino que "confía" en el Tipo I, representa una brecha de cumplimiento.
Comparación lado a lado
| Dimensión | Tipo I | Tipo II |
|---|---|---|
| Fecha de evaluación | Una fecha específica (normalmente cercana a la fecha del informe) | Un período de al menos 6 meses, generalmente 12 meses |
| Preguntas respondidas | "¿Están bien diseñados los controles?" | "¿Estaban bien diseñados Y funcionaron durante el período?" |
| Alcance de pruebas | Observación del proceso, revisión de documentación | Pruebas de funcionamiento en múltiples ciclos durante el período |
| Fortaleza de conclusión | Moderada: solo sobre el diseño | Fuerte: sobre diseño y operación durante el período |
| Costo y tiempo | Menor (1-2 semanas típicamente) | Mayor (3-6 meses de trabajo de campo) |
| Utilidad para auditores externos | Limitada: requiere procedimientos adicionales propios | Alta: permite confiar en los controles para el período |
| Brecha común | Usuario asume que los controles operaron cuando solo fueron diseñados | Usuario asume que el período de Tipo II coincide con su período de auditoría cuando no es así |
Términos relacionados
- ISA 3402 o NIA-ES 3402: La norma que define ambos enfoques - Informe del servicio: El documento emitido por el auditor del proveedor, ya sea Tipo I o Tipo II - Usuario del servicio: El auditor externo de la entidad que usa los controles - Evaluación de riesgos en el servicio: El proceso por el cual el auditor usuario decide qué procedimientos propios son necesarios además del informe recibido
---
Meta descripción
La diferencia principal: un informe Tipo I evalúa el diseño de controles en una fecha específica; un Tipo II evalúa el diseño y la operación durante un período. Ambos se rigen por la NIA-ES 3402. Aquí aprenderá cuándo usar cada uno y cómo aplicarlo en su auditoría.
---