Definition
En la práctica española, la mayoría de los equipos de auditoría tratan el informe ISAE 3402 del proveedor como un documento que se archiva, no como evidencia que se evalúa. Por lo que conozco, el papel de trabajo dice "se ha obtenido el SOC del proveedor" y se cierra el riesgo. Eso no es lo que pide la NIA-ES 402.13. La norma exige *comprensión suficiente*, y la suficiencia es lo que separa a un equipo defendible de uno que solo marcó la casilla.
aspectos central
- El usuario es responsable de determinar cómo los controles del proveedor afectan la evaluación de riesgos de su entidad auditada. La NIA-ES 402 lo deja en manos del auditor del usuario, no del auditor del proveedor. - El auditor del usuario evalúa si la información disponible es suficiente para fundamentar la opinión. Suficiencia no es lo mismo que existencia del informe. - La falta de información del proveedor sobre controles concretos obliga al auditor a ampliar procedimientos en la entidad del usuario. - El informe del auditor del proveedor (ISAE 3402) se evalúa por su alcance, su confiabilidad y su fecha. Los tres a la vez.
Cómo funciona
El usuario es el cliente cuyas transacciones o procesos dependen de un tercero externo. La NIA-ES 402.13 exige que el auditor del usuario obtenga comprensión suficiente de cómo los controles del proveedor mitigan los riesgos relevantes. Esa palabra, suficiente, no es decorativa. Es el filtro que distingue una evidencia que defiende una opinión de un papel que ocupa espacio en el expediente.
El auditor del usuario puede seguir dos caminos. Confiar en un informe Tipo I (descripción de controles en un momento puntual) o en un Tipo II (descripción más evaluación de la efectividad operacional durante un periodo) emitido por el auditor del proveedor. O realizar procedimientos directos con el proveedor o en la propia entidad del usuario. La elección depende de la naturaleza del servicio y de la disponibilidad de evidencia confiable frente a la significación del riesgo identificado.
El usuario también debe decidir si los servicios entran en el ámbito de procedimientos especificados (informe ISAE 4400) o si requieren la evaluación de controles diseñados y operacionales propia del Tipo II bajo ISAE 3402. La distinción no es académica: un ISAE 4400 no aporta opinión sobre la efectividad de controles, y construir una conclusión de riesgo de incorrección material sobre un 4400 es exactamente la confusión que el ICAC suele detectar en sus inspecciones.
Ejemplo práctico: Soluciones Integrales Logísticas S.L.
Cliente: empresa española de logística, Madrid, facturación de 18,5 millones de euros, NIIF completa, año fiscal 2024.
Paso 1. Identificación de servicios del proveedor
Soluciones Integrales Logísticas subcontrata la gestión completa del almacén regional a ProvServicios S.L. ProvServicios mantiene los registros de inventario, procesa entradas y salidas, y emite reportes mensuales de saldos.
Nota de documentación: Se documenta el contrato, el alcance funcional (control del inventario y custodia de activos) y los riesgos derivados (inexactitud en existencias y precio unitario).
Paso 2. Evaluación de disponibilidad de informe del proveedor
El equipo solicita el informe del auditor del proveedor. ProvServicios entrega un Informe Tipo II bajo ISAE 3402, emitido cuatro meses antes del cierre, que describe controles de acceso físico, procedimientos de recepción documentada, controles de precisión de registros y conciliaciones mensuales.
Nota de documentación: Verificación del periodo cubierto. El informe es de hace cuatro meses, dentro de lo aceptable. Confirmación de que el Tipo II incluye pruebas de efectividad operacional, lo que aporta evidencia más confiable que un Tipo I.
Paso 3. La complicación
Al cruzar los controles descritos en el Informe Tipo II con los riesgos identificados en la evaluación de la entidad, aparece un desfase incómodo:
- Control de acceso físico al almacén: cubierto en el informe. - Precisión de registros de movimiento: cubierto. - Custodia de inventario de alto valor (componentes electrónicos importados): excluido del alcance del informe del proveedor.
El cliente nos comenta que ese inventario representa el 18% del saldo de existencias al cierre. La dirección de Soluciones Integrales prefiere "asumir la cobertura del Tipo II" porque "el proveedor lo gestiona todo igual." Esa frase es exactamente el momento donde un equipo se conforma y otro insiste. Aquí cabe una discrepancia legítima entre dos socios de calidad: el Socio A puede defender que la confianza en la integridad operativa del proveedor cubre por extensión el inventario de alto valor; el Socio B exigirá procedimientos directos sobre la fracción no cubierta porque la NIA-ES 402.16 explícitamente obliga a evaluar la suficiencia del alcance frente a los riesgos identificados, no frente al perímetro elegido por el proveedor. Las dos posiciones se sostienen, pero solo una sobrevive una inspección. Por lo que conozco, la posición del Socio B es la que defiende el papel cuando viene el ICAC.
Paso 4. Evaluación de confiabilidad y oportunidad
Se evalúa: (a) la edad del informe (cuatro meses es razonable si no ha habido cambios en los servicios o en el personal); (b) la fecha de validez (la entidad del usuario está dentro del periodo cubierto); (c) si los cambios en la operación del proveedor obligan a actualizar (cambio del sistema de gestión del almacén, rotación del personal principal en controles).
Nota de documentación: Carta de la dirección del proveedor confirmando que no ha habido cambios materiales en controles desde la fecha del Informe Tipo II. Conclusión: razonable confiar en el informe para los riesgos cubiertos.
Paso 5. Procedimientos complementarios
Para el inventario de alto valor no cubierto, el equipo realiza inspección física en dos fechas (durante el trabajo de campo y cerca del cierre) y prueba la circularización de saldos del proveedor con los conteos. Los conteos cuadran con los registros del proveedor, lo que reduce el riesgo de existencia y exactitud para esa fracción.
Nota de documentación: Inclusión de los conteos físicos en la sección de procedimientos del expediente, con mención expresa de que complementan la confianza limitada en el Informe Tipo II del proveedor para la fracción de alto valor.
Conclusión: El auditor puede sustentar la opinión sobre las existencias confiando en el Informe Tipo II del proveedor para la mayoría de los controles relevantes y aplicando procedimientos directos para los riesgos no cubiertos. La documentación es defensible porque cada control determinante tiene una fuente de evidencia identificada: el informe del proveedor o un procedimiento directo del equipo.
Lo que los revisores y auditores pasan por alto
- Brecha de alcance sin ampliación de procedimientos. El auditor revisa un Informe Tipo II del proveedor, ve que describe varios controles, pero no verifica explícitamente si la cobertura incluye todos los riesgos identificados en la evaluación. La NIA-ES 402.13 exige comprensión suficiente. Una brecha entre lo cubierto y los riesgos evaluados requiere procedimientos compensatorios. No se puede ignorar.
- Aceptación de Informe Tipo I sin pruebas de efectividad complementarias. Un Tipo I describe controles en un momento puntual pero no prueba que funcionaron. El auditor que confía en un Tipo I sin procedimientos adicionales asume un riesgo innecesario. Las inspecciones del ICAC muestran que muchos auditores aceptan Tipo I por costumbre, sin evaluar la calidad de las pruebas que el auditor del proveedor realmente hizo.
- Ignorar la oportunidad temporal del informe. Un Tipo II de hace 18 meses puede no servir si ha habido cambios en sistemas, personal o procesos del proveedor. El auditor debe evaluar la proximidad al cierre y la probabilidad de que los controles se mantuvieran efectivos durante el periodo auditado.
¿Por qué persisten estas omisiones? El incentivo perverso es nítido: solicitar al cliente que pida al proveedor un alcance ampliado o un informe más reciente significa retrasar el cierre, presionar la relación comercial y, con frecuencia, asumir un coste adicional. El socio necesita el cliente. El equipo necesita cerrar antes del 31 de marzo. La salida fácil es archivar el informe que el proveedor entregó y dar por buena la cobertura. La salida correcta es nombrar la brecha y diseñar el procedimiento compensatorio. Lo que parece formal acaba siendo una bomba de relojería en la siguiente inspección.
Entidad del usuario vs. proveedor de servicios: cuándo importa la distinción
La entidad del usuario es el cliente del auditor, la organización cuyas cuentas anuales se auditan. El proveedor de servicios es el tercero externo que ejecuta funciones específicas (procesamiento de nómina, gestión de tesorería, custodia de inventario, hosting de sistemas) en nombre de la entidad del usuario.
| Dimensión | Entidad del usuario | Proveedor de servicios |
|---|---|---|
| Responsabilidad de los estados financieros | Total. La dirección los prepara y los presenta | Ninguna. Solo ejecuta funciones operacionales |
| Responsabilidad de controles | Evalúa y mantiene controles sobre los procesos principales, incluida la supervisión del proveedor | Mantiene controles sobre los servicios subcontratados y los reporta al usuario |
| Auditoría aplicable | Auditoría de cuentas anuales bajo NIA-ES 200-700 | Auditoría de servicios bajo ISAE 3402 o procedimientos específicos bajo ISAE 4400 |
| Evidencia disponible para el auditor | Documentación interna y procedimientos directos | Informe del auditor del proveedor cuando existe; en su defecto, procedimientos limitados |
| Riesgo si hay discontinuidad de información | Riesgo de incorrección no detectada en cuentas anuales. El auditor amplía procedimientos | Riesgo de que el auditor del usuario no reúna evidencia suficiente sobre la efectividad del control |
La distinción importa porque el auditor del usuario no puede auditar directamente al proveedor. Depende de tres fuentes: (a) los informes de terceros (auditor del proveedor); (b) la evidencia obtenida de la entidad del usuario sobre supervisión del proveedor; (c) los procedimientos limitados que el equipo ejecute con el proveedor (encuestas, inspecciones puntuales). La calidad de la información disponible depende de quién es responsable de qué.
Términos relacionados
- Informe Tipo I: descripción de controles en una fecha puntual sin pruebas de efectividad operacional. - Informe Tipo II: descripción de controles y evaluación de su efectividad operacional durante un periodo. - ISAE 3402: norma de auditoría de servicios que regula los informes del proveedor. - Procedimientos de auditoría especificados: pruebas definidas por el usuario sobre transacciones específicas del proveedor. - Riesgo de auditoría en servicios: evaluación de cómo los controles del proveedor afectan el riesgo de incorrección en el usuario. - Supervisión de proveedores: controles de la entidad del usuario sobre el desempeño y la confiabilidad del proveedor.
---