aspectos central

  • El usuario es responsable de determinar cómo los controles del proveedor de servicios afectan la evaluación de riesgos de la entidad auditada.
  • El auditor de la entidad del usuario evalúa si la información disponible del proveedor es suficiente para fundamentar la opinión.
  • La falta de información del proveedor sobre controles específicos obliga al auditor a ampliar procedimientos en la entidad del usuario.
  • El informe del auditor del proveedor de servicios (ISA 402) se evalúa según su alcance, confiabilidad y fecha.

Cómo funciona

En la práctica, el usuario es el cliente cuyas transacciones, datos o procesos dependen de un proveedor de servicios externo. La NIA-ES 402 requiere que el auditor de la entidad del usuario obtenga comprensión suficiente de cómo los controles del proveedor mitiguen riesgos relevantes (párrafo 13).
El auditor del usuario puede seguir dos enfoques: confiar en un informe del Tipo I (descripción de controles en un momento puntual) o Tipo II (descripción más evaluación de la efectividad operacional) emitido por el auditor del proveedor, o realizar procedimientos adicionales directamente con el proveedor o en la entidad del usuario. La selección depende de la naturaleza de los servicios, la significación de los riesgos y la disponibilidad de evidencia confiable.
El usuario también debe considerar si los servicios incluyen la aplicación de procedimientos especificados por el usuario (informe de cumplimiento de procedimientos específicos, o ISAE 4400) o si requieren una evaluación de controles diseñados y operacionales (Informe Tipo II conforme a ISAE 3402).

Ejemplo práctico: Soluciones Integrales Logísticas S.L.

Cliente: empresa española de logística, Madrid, facturación €18,5 millones, NIIF completa, año fiscal 2024.
Paso 1. Identificación de servicios del proveedor
Soluciones Integrales Logísticas subcontrata la gestión completa del almacén regional a ProvServicios S.L. (proveedor de servicios). ProvServicios mantiene los registros de inventario, procesa entradas y salidas, y proporciona reportes mensuales de saldos.
Nota de documentación: Se documenta el contrato de servicios, el alcance funcional (control del inventario, custodia de activos) y los riesgos dependientes (riesgo de inexactitud en existencias y precio unitario).
Paso 2. Evaluación de disponibilidad de informe del proveedor
El auditor solicita si existe un informe de auditoría sobre controles del proveedor. ProvServicios proporciona un Informe Tipo II bajo ISAE 3402, emitido hace 4 meses, que describe controles de acceso físico, procedimientos de recepción documentada, controles de precisión de registros y conciliaciones mensuales.
Nota de documentación: Verificación del periodo cubierto (el informe es anterior a 4 meses, dentro de lo aceptable para la relación de riesgo). Evaluación de que el Tipo II incluye pruebas de efectividad operacional del auditor del proveedor (la evidencia es más confiable que un Tipo I).
Paso 3. Determinación de alcance del informe respecto a riesgos identificados
El auditor compara los controles descritos en el Informe Tipo II con los riesgos específicos identificados en la evaluación de riesgos de la entidad del usuario:
Nota de documentación: Se identifica una brecha de alcance. El auditor debe decidir si amplía procedimientos en la entidad del usuario (ej., inspección física del inventario de alto valor, pruebas de conteos cíclicos) o si reduce la confianza depositada en el proveedor.
Paso 4. Evaluación de confiabilidad y timeliness
El informe Tipo II del proveedor fue emitido por el auditor del proveedor hace 4 meses. El auditor de la entidad del usuario evalúa: (a) la edad del informe (4 meses es aceptable si no ha habido cambios notables en los servicios o personal), (b) la fecha de validez (la entidad del usuario está dentro del periodo de cobertura), (c) si cambios en la operación del proveedor requieren actualización (ej., cambio de sistema de gestión de almacén, rotación de personal principal en controles).
Nota de documentación: Se obtiene carta de la dirección del proveedor confirmando que no ha habido cambios notables en controles desde la fecha del Informe Tipo II. Se concluye que es razonable confiar en el informe para los riesgos cubiertos.
Paso 5. Determinación de procedimientos complementarios
El auditor de la entidad del usuario realiza inspección física de inventarios en dos fechas (una durante el trabajo de campo, una cerca del cierre) para validar la custodia del inventario de alto valor no cubierta en el Informe Tipo II. La inspección produce conteos conciliables con los registros del proveedor, reduciendo el riesgo de existencia y exactitud.
Nota de documentación: Inclusión de los conteos físicos en la sección de procedimientos de auditoría del expediente, especificando que complementan la confianza limitada en el Informe Tipo II del proveedor para inventario de alto valor.
Conclusión: El auditor puede fundamentar la opinión sobre las existencias confiando en el Informe Tipo II del proveedor para la mayoría de los controles relevantes, más procedimientos de inspección física específicos para los riesgos no cubiertos. La documentación es defensible porque cada contfunción determinante tiene una fuente de evidencia identificada (o el informe del proveedor, o procedimiento directo del auditor).

  • Control de acceso físico al almacén: sí, cubierto en el informe
  • Precisión de registros de movimiento: sí, cubierto
  • Custodia de inventario de alto valor: no, excluido del alcance del informe del proveedor

Lo que los revisores y auditores pasan por alto

  • Brecha de alcance sin ampliación de procedimientos: el auditor revisa un Informe Tipo II del proveedor, ve que describe varios controles, pero no verifica explícitamente si la cobertura incluye todos los riesgos identificados en la evaluación de riesgos de la entidad del usuario. La NIA-ES 402.13 requiere obtener comprensión suficiente. Una brecha entre lo cubierto en el informe y los riesgos evaluados requiere procedimientos compensatorios, no se puede ignorar.
  • Aceptación de Informe Tipo I sin examinar en pruebas de efectividad: un Informe Tipo I describe controles en un momento puntual pero no prueba que funcionaron correctamente. El auditor que confía en un Tipo I sin procedimientos adicionales asume un riesgo innecesario. La literatura de inspección muestra que auditores aceptan informes superficiales sin evaluar la calidad de las pruebas de efectividad del auditor del proveedor.
  • Ignore la timeliness del informe: un Informe Tipo II de hace 18 meses puede no ser suficientemente reciente si ha habido cambios en sistemas, personal o procesos en el proveedor. El auditor debe evaluar la proximidad temporal al cierre y la probabilidad de que los controles se mantuvieran efectivos durante el periodo auditado.

Entidad del usuario vs. proveedor de servicios: cuándo importa la distinción

La entidad del usuario es el cliente del auditor, la organización cuyas cuentas anuales se auditan. El proveedor de servicios es el tercero externo que ejecuta servicios específicos (procesamiento de nómina, gestión de tesorería, custodia de inventario, hosting de sistemas) en nombre de la entidad del usuario.
| Dimensión | Entidad del usuario | Proveedor de servicios |
|---|---|---|
| Responsabilidad de estados financieros | Total. La dirección prepara y presenta los estados financieros | Ninguna. Solo ejecuta servicios operacionales |
| Responsabilidad de controles | Evalúa y mantiene controles sobre procesos principales, incluida supervisión del proveedor | Mantiene controles sobre servicios subcontratados, reporta al usuario |
| Auditoría aplicable | Auditoría de estados financieros (NIA-ES 200-700) | Auditoría de servicios conforme a ISAE 3402 o procedimientos específicos (ISAE 4400) |
| Evidencia disponible para el auditor | Documentación interna, procedimientos de auditoría directa | Informe del auditor del proveedor, si existe; sino, procedimientos limitados |
| Riesgo si hay discontinuidad de información | Riesgo de incorrección en cuentas anuales no detectada. El auditor debe ampliar procedimientos | Riesgo de que el auditor del usuario no obtenga suficiente evidencia sobre la efectividad del control |
La distinción importa porque el auditor de la entidad del usuario no puede auditar directamente el proveedor. Depende de: (a) informes de terceros (auditor del proveedor), (b) evidencia obtenida de la entidad del usuario sobre supervisión del proveedor, o (c) procedimientos de auditoría limitados directamente con el proveedor (encuestas, inspecciones puntuales). La calidad de la información disponible depende de quién es responsable de qué.

Términos relacionados

---

Términos relacionados

Informe Tipo IInforme Tipo IIISAE 3402Procedimientos de auditoría especificadosRiesgo de auditoría en serviciosSupervisión de proveedores

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.