Informe Tipo II

Cómo funciona

Donde un Tipo II falla en la práctica no suele ser en el diseño de las pruebas. Falla en la cobertura temporal. El auditor planifica 12 meses, ejecuta 8, documenta 12. El informe se emite y nadie pregunta cuándo se hicieron exactamente las pruebas.

ISAE 3402, párrafo 10, exige que el auditor evalúe tres cosas:

1. La idoneidad del diseño de los controles frente a los objetivos descritos. 2. Si los controles se aplicaron de forma efectiva. 3. Si los controles operaron de forma consistente durante todo el período de prueba.

Lo que pasa en la práctica: la tercera exigencia es la que separa el Tipo II del Tipo I, y también la primera que se sacrifica cuando el calendario se complica. Una muestra de 60 transacciones repartida 30 en enero, 20 en febrero y 10 en marzo cumple el número, pero deja nueve meses sin cubrir. Si el control falló en agosto, el informe no lo detecta. Y si nadie revisa la matriz de fechas de la muestra (que es lo habitual), el papel pasa.

La diferencia con un Tipo I es estructural. El Tipo I describe qué controles existen y si están en pie en una fecha concreta. El Tipo II tiene que demostrar que esos controles aguantaron meses. Eso implica pruebas de transacciones reales, trazabilidad documental y, en muchos casos, conciliación contra registros de excepciones, cambios de personal e incidentes reportados.

Un prestador de servicios pide un Tipo II cuando quiere que sus usuarios confíen en la operación real de los controles, no solo en su existencia teórica. Un banco custodio, un outsourcer de nómina, un centro de datos que hospeda sistemas relevantes para la NIIF de sus clientes. En mi caso, los encargos donde un Tipo II ha aportado valor real son aquellos donde la muestra estaba bien distribuida y se documentó qué pasó en los meses de cambio. Los demás son básicamente un Tipo I disfrazado.

Ejemplo práctico: Procesadora Ibérica de Nóminas S.L.

Cliente: empresa española de procesamiento de nómina, sede en Valencia, volumen de 12.000 empleados mensuales, NIIF completo.

Paso 1: Determinación del período de evaluación. El prestador define que desea un informe Tipo II que cubra el período comprendido entre el 1 de enero y el 31 de diciembre de 2024.

Nota de documentación: en el plan de auditoría se especifica que las pruebas de operación cubrirán la totalidad del período de doce meses. No se puede emitir un informe Tipo II que describa un período más corto sin reformular el alcance.

Paso 2: Identificación de los objetivos de control. Se acuerdan cuatro objetivos. (a) Todos los ficheros de entrada de datos se validan contra el contrato de cada empleado antes del procesamiento. (b) Los cálculos de retenciones se realizan conforme a la normativa fiscal vigente. (c) Los pagos se transmiten al banco con exactitud y en la fecha acordada. (d) Se genera un informe mensual de excepciones para cada usuario.

Nota de documentación: cada objetivo de control tiene un propietario identificado, un procedimiento documentado y un registro de evidencia de su ejecución.

Paso 3: Pruebas de operación. Para cada objetivo, el auditor selecciona una muestra estratificada de transacciones. Para el objetivo (a), se extraen 60 ficheros de entrada distribuidos uniformemente a lo largo del año (5 por mes) y se verifica que cada uno fue validado antes del procesamiento. Se documenta la fecha de validación, quién la ejecutó y qué reglas se aplicaron.

Nota de documentación: las pruebas de operación generan una matriz de resultados que muestra, para cada mes y cada objetivo, el porcentaje de transacciones que cumplieron el control. Se acepta un 100% de cumplimiento; cualquier desviación se investiga.

Paso 4: Evaluación de la eficacia continuada. El auditor revisa los registros de excepciones, los cambios de personal, los incidentes reportados por usuarios y las auditorías internas realizadas por el prestador.

Aquí aparece la complicación. En marzo, Procesadora Ibérica migró el motor de validación de ficheros a una nueva versión del sistema. Sobre el papel, las reglas de validación son equivalentes: el nuevo motor lee los mismos campos del contrato y compara los mismos rangos. En la práctica, una de las reglas opera distinto. El sistema antiguo marcaba como excepción cualquier fichero donde la categoría profesional declarada no coincidiera con el convenio aplicable. El sistema nuevo, por una decisión de configuración heredada en la migración, aprueba silenciosamente esos ficheros sin generar excepción. La regla existe; no salta.

El auditor lo descubre porque la muestra de marzo y abril (los meses inmediatamente posteriores al cambio) contiene tres ficheros que el sistema antiguo habría rechazado. ¿Operó el control de forma efectiva? Técnicamente sí: el sistema valida. Operativamente no: el resultado es distinto.

La resolución requiere juicio. Por lo que he visto en los encargos, la salida correcta es desdoblar la opinión sobre el período. El control operó efectivamente del 1 de enero al 14 de marzo. Del 15 de marzo en adelante, el control existió pero no produjo el efecto descrito en el objetivo. Esto se documenta como una desviación material en el período post-cambio y se refleja explícitamente en el informe. La alternativa (tratar el año como un bloque homogéneo) produce una opinión técnicamente defendible y materialmente engañosa.

Nota de documentación: se documenta la fecha exacta del cambio, los ficheros afectados, la lógica de validación pre y post-cambio, y la conclusión sobre eficacia operativa por subperíodo.

Conclusión: el auditor emite un informe Tipo II que declara haber auditado el diseño y aplicación del control de validación de ficheros, y haber verificado que este control operó de forma efectiva durante el período comprendido entre el 1 de enero y el 14 de marzo de 2024. Para el período posterior, el informe describe la desviación identificada en la regla de categoría profesional y su efecto sobre el objetivo de control. Se han examinado 60 ficheros de entrada distribuidos a lo largo del año.

Un informe Tipo II que no documenta cómo se mantuvieron los controles a través de un cambio de sistema es, en realidad, dos informes Tipo I cosidos, y los usuarios no lo saben.

Lo que auditores y revisores pasan por alto

Confundir el período de prueba con la fecha del informe. El equipo planifica 12 meses (enero a diciembre) y emite el informe en abril del año siguiente sin describir formalmente el período cubierto en la sección de descripción de los controles. ISAE 3402, párrafo A15, exige que los usuarios comprendan claramente cuál fue el período evaluado. Una redacción vaga del tipo «Se evaluaron controles durante el período» sin fechas concretas incumple esta exigencia.

Lo que pasa en la práctica: el revisor asume que el período coincide con el ejercicio fiscal del usuario. Casi nunca se cumple del todo. Si el cliente del prestador cierra el 31 de diciembre y el Tipo II cubre del 1 de octubre al 30 de septiembre, hay tres meses del ejercicio del usuario sin cobertura, y nadie lo señala porque la portada parece consistente.

Insuficiencia de pruebas tras cambios de sistema. El prestador actualiza un módulo en julio. El auditor verifica el módulo en julio y asume que funcionará igual en agosto, septiembre y octubre sin volver a probar transacciones reales. Esto incumple el requisito de evaluar la operación efectiva durante todo el período.

Lo que pasa en la práctica: aquí es donde aparecen las bombas de relojería. Cambios de sistema mal probados que pasan por «equivalentes» en el papel y producen excepciones reales meses después, cuando ya nadie está mirando.

Subrepresentación de períodos en la muestra. El auditor toma 30 transacciones para probar un control que operó durante 12 meses, pero las 30 vienen de los primeros dos meses. Si el control se degradó en octubre, el muestreo no lo detecta. La práctica que aplico (y que defendería frente a un revisor) es distribuir la muestra con un mínimo de 2-3 transacciones por mes para controles críticos, más cobertura específica de los meses con cambios documentados.

Lo que pasa en la práctica: la muestra se concentra porque el equipo entra al campo tarde y solo le da tiempo a tirar de los meses cuya documentación está más a mano. Es marcar la casilla, no probar el control. Y como NIA-ES 530 sobre muestreo no se aplica con todo su rigor a los Tipo II (los marcos de muestreo de ISAE 3402 son menos prescriptivos), la práctica se tolera.

Informe Tipo II vs. informe Tipo I

Un informe Tipo I opina únicamente sobre el diseño y aplicación de los controles en una fecha específica. Describe qué controles existen, cómo están diseñados para lograr objetivos particulares y verifica que estaban en funcionamiento en esa fecha (normalmente por observación directa o entrevista con el personal responsable). Es una foto.

Un informe Tipo II opina sobre el diseño y aplicación y, además, sobre la operación efectiva continuada. El auditor prueba transacciones reales durante un período de tiempo (típicamente 6-18 meses) para verificar que los controles funcionaron de forma consistente, no solo en un momento puntual. El usuario sabe que el control se operó en la práctica, que no se desvió, y que continuó siendo efectivo aunque ocurrieran cambios (rotación de personal, actualizaciones de sistemas, picos de volumen de transacciones).

Para el usuario, el Tipo II es considerablemente más útil. Quien recibe un Tipo I puede aplicar la evidencia a su evaluación de riesgos pero solo concluye sobre el estado puntual en la fecha del informe. Quien recibe un Tipo II puede confiar en que los controles fueron efectivos de forma continuada, lo que reduce el riesgo residual en su evaluación.

El coste y la complejidad también son considerablemente mayores. El prestador debe mantener registros completos durante todo el período, el auditor planifica una ventana de prueba prolongada y la documentación de evidencia se multiplica. Por lo que he visto en los encargos, el coste real de un Tipo II bien hecho frente a uno mal hecho está casi todo en los PT del muestreo distribuido y en la trazabilidad de cambios de sistema.

Hay desacuerdo legítimo sobre la muestra mínima en controles de baja frecuencia. Para una conciliación mensual, ¿bastan los 12 eventos del año o hay que añadir trazabilidad adicional (re-ejecución, recálculo) sobre cada uno? Algunos colegas sostienen que 12 es el universo y se prueba al 100%; otros, que 12 es el universo pero la prueba debe incluir verificación de la integridad del expediente de cada conciliación, lo que efectivamente convierte el muestreo en una revisión completa. Hay también disputa sobre si un cambio material de sistema a mitad de período obliga a reiniciar el reloj del Tipo II o si basta con desdoblar la opinión por subperíodo. Mi posición es la segunda, porque obligar a reiniciar el período convertiría cualquier migración menor en motivo de retraso de seis meses, y eso castiga la transparencia: el prestador acabaría no documentando el cambio. Pero la posición opuesta es defendible.

Términos relacionados

- ISAE 3402: estándar internacional que rige los informes sobre controles en prestadores de servicios. Describe los requisitos tanto para Tipo I como para Tipo II. - Informe Tipo I: evaluación puntual del diseño y aplicación de controles en una fecha específica, sin pruebas de operación continuada. - Objetivo de control: descripción de lo que un control intenta lograr (por ejemplo, «garantizar que todos los pagos se realizan en la fecha acordada»). Cada objetivo genera líneas de prueba distintas en un Tipo II. - Riesgo de control: probabilidad de que un control falle en detectar un error o fraude. Un Tipo II reduce esa probabilidad documentando que el control operó sin desviaciones durante meses. - Período de prueba: intervalo de tiempo durante el cual el auditor evalúa la operación efectiva de los controles en un Tipo II. Debe quedar claramente definido en el informe.

---