Cómo funciona

La diferencia central entre un informe Tipo I y un informe Tipo II está en el período de evaluación y en la naturaleza de las pruebas. Mientras que un Tipo I describe únicamente el diseño e aplicación de los controles en una fecha determinada, un Tipo II examina si esos controles operaron de forma efectiva durante un período de tiempo específico, normalmente entre seis y dieciocho meses.
Conforme a ISAE 3402, párrafo 10, el auditor debe evaluar:
Esta última exigencia es la que diferencia de forma sustancial un Tipo II de un Tipo I. El auditor no solo verifica que los mecanismos existan; verifica que funcionaron según lo diseñado durante meses consecutivos. Esto implica pruebas de transacciones reales, trazabilidad documental, y en muchos casos, recuento físico de controles procedimentales.
En la práctica, un Tipo II se produce cuando un prestador de servicios (banco, outsourcer de nómina, centro de datos) desea proporcionar a sus usuarios confianza sobre la operación real de sus controles, no solo su existencia teórica.

  • La idoneidad del diseño de los controles en relación con los objetivos de control descritos
  • Si los controles se implementaron de forma efectiva
  • Si los controles funcionaron de forma consistente durante todo el período de prueba

Ejemplo práctico: Procesadora Ibérica de Nóminas S.L.

Cliente: Empresa española de procesamiento de nómina, sede en Valencia, volumen de 12.000 empleados mensuales, IFRS completo.
Paso 1. Determinación del período de evaluación. El prestador de servicios define que desea un informe Tipo II que cubra el período comprendido entre el 1 de enero y el 31 de diciembre de 2024.
Nota de documentación: En el plan de auditoría, se especifica que las pruebas de operación cubrirán la totalidad del período de doce meses. No se puede emitir un informe Tipo II que describa un período más corto.
Paso 2. Identificación de los objetivos de control. Se acuerdan cuatro objetivos: (a) todos los ficheros de entrada de datos se validan contra el contrato de cada empleado antes de su procesamiento; (b) los cálculos de retenciones se realizan conforme a la normativa fiscal vigente; (c) los pagos se transmiten al banco con exactitud y en la fecha acordada; (d) se genera un informe mensual de excepciones para cada usuario.
Nota de documentación: Cada objetivo de control tiene un propietario identificado, un procedimiento documentado, y un registro de evidencia de su ejecución.
Paso 3. Pruebas de operación. Para cada objetivo, el auditor selecciona una muestra estratificada de transacciones. Para el objetivo (a), por ejemplo, se extraen 60 ficheros de entrada distribuidos uniformemente a lo largo del año (5 por mes) y se verifica que cada uno fue validado antes del procesamiento. Se documenta la fecha de validación, quién la ejecutó, y qué validaciones se realizaron.
Nota de documentación: Las pruebas de operación generan una matriz de resultados que muestra, para cada mes y cada objetivo, el porcentaje de transacciones que cumplieron el control. Normalmente, se acepta un 100% de cumplimiento; cualquier desviación se investiga.
Paso 4. Evaluación de la eficacia continuada. El auditor revisa los registros de excepciones, los cambios de personal principal, los incidentes reportados por usuarios, y las auditorías internas realizadas por el prestador. Si en marzo se produjo un cambio de sistema que afectó al procedimiento de validación (objetivo a), el auditor debe determinar si el control se replicó correctamente en el nuevo sistema y si hubo un período de vulnerabilidad.
Nota de documentación: Se documenta cualquier cambio sustancial en el período, la fecha en que ocurrió, y la evidencia de que el control se mantuvo eficaz antes y después del cambio.
Conclusión: El auditor emite un informe Tipo II que declara: «Se ha auditado el diseño e aplicación del control de validación de ficheros;, se ha verificado que este control operó de forma efectiva durante el período comprendido entre el 1 de enero y el 31 de diciembre de 2024. Se han examinado 60 ficheros de entrada distribuidos a lo largo del año; todos cumplían el procedimiento de validación definido.» Este informe proporciona a los usuarios de Procesadora Ibérica considerablemente más confianza que un Tipo I habría proporcionado, porque demuestra operación real, no solo existencia.

Lo que auditores y revisores pasan por alto

  • Confundir el período de prueba con la fecha del informe. El auditor diseña un plan de pruebas que cubre 12 meses (enero a diciembre) pero luego emite el informe en abril del año siguiente sin informar formalmente sobre el período cubierto en la descripción de los controles. ISAE 3402, párrafo A15, requiere que los usuarios comprendan claramente cuál fue el período de evaluación. Una descripción vaga («Se evaluaron controles durante el período» sin especificar fechas) viola esta exigencia.
  • Insuficiencia de pruebas de operación después de cambios de sistema. Un prestador de servicios actualiza un módulo de software en julio. El auditor verifica el módulo en julio pero asume que funcionará igual en los meses posteriores sin ejecutar pruebas de transacciones reales en agosto, septiembre y octubre. Esto incumple el requisito de ISAE 3402 de evaluar la operación efectiva durante todo el período.
  • Subrepresentación de períodos en la muestra de prueba. El auditor toma 30 transacciones para probar un control que operó durante 12 meses, pero todas las 30 provienen de los primeros dos meses. Si el control sufrió una degradación en octubre, este muestreo no lo detectará. La práctica estándar es distribuir la muestra uniformemente (mínimo 2-3 transacciones por mes para controles críticos).

Informe Tipo II vs. Informe Tipo I

Un informe Tipo I proporciona una opinión únicamente sobre el diseño e aplicación de los controles en una fecha específica. El informe describe qué controles existen, cómo están diseñados para lograr objetivos particulares, y verifica que estaban en funcionamiento en esa fecha (normalmente, a través de observación directa o entrevista con personal principal).
Un informe Tipo II proporciona una opinión tanto sobre el diseño e aplicación como sobre la operación efectiva continuada. El auditor prueba transacciones reales durante un período de tiempo (típicamente 6-18 meses) para verificar que los controles funcionaron de forma consistente, no solo en un momento puntual. Esto requiere que el usuario sepa que el control se operó en la práctica, que no se desvió, y que continuó siendo efectivo incluso si ocurrieron cambios (cambios de personal, actualizaciones de sistemas, incremento de volumen de transacciones).
En términos de valor para los usuarios, un Tipo II es considerablemente superior. Un usuario que recibe un informe Tipo I puede aplicar la evidencia del informe a su propia evaluación de riesgos, pero solo puede concluir sobre el estado puntual en la fecha del informe. Un usuario que recibe un Tipo II puede confiar en que los controles fueron efectivos de forma continuada; esto reduce dramáticamente el riesgo residual en su evaluación.
El costo y la complejidad de un Tipo II son también considerablemente mayores. El prestador de servicios debe mantener registros completos, el auditor debe planificar un período de prueba prolongado, y la documentación de evidencia se multiplica.

Términos relacionados

---

  • ISAE 3402: El estándar internacional que rige los informes sobre controles en prestadores de servicios. ISAE 3402 describe los requisitos para tanto Tipo I como Tipo II.
  • Informe Tipo I: Evaluación puntual del diseño e aplicación de controles en una fecha específica, sin pruebas de operación continuada.
  • Objetivo de control: Descripción de lo que un control intenta lograr (por ejemplo, «garantizar que todos los pagos se realizan en la fecha acordada»). Cada objetivo genera líneas de prueba distintas en un Tipo II.
  • Riesgo de control: La probabilidad de que un control falle en detectar un error o fraude. Un Tipo II reduce esta probabilidad documentando que el control operó sin desviaciones durante meses.
  • Período de prueba: El intervalo de tiempo durante el cual el auditor evalúa la operación efectiva de los controles en un Tipo II. Debe ser claramente definido en el informe.

Términos relacionados

ISAE 3402Informe Tipo IObjetivo de controlRiesgo de controlPeríodo de prueba

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.