CONSIDERACIONES DE AUDITORÍA RELATIVAS A UNA ENTIDAD QUE UTILIZA UNA ORGANIZACIÓN DE SERVICIOS
NIA 420 CONSIDERACIONES DE AUDITORÍA
RELATIVAS A UNA ENTIDAD QUE UTILIZA UNA ORGANIZACIÓN DE SERVICIOS
Introducción
La Norma Internacional de Auditoría (NIA) 402, “Consideraciones
de auditoría relativas a una entidad que utiliza una organización de
servicios”, debe interpretarse conjuntamente con la NIA 200, “Objetivos
globales del auditor independiente y realización de la auditoría de conformidad
con las Normas Internacionales de
Auditoría”.
1. Alcance de esta NIA:
Esta Norma Internacional de
Auditoría (NIA) trata de la responsabilidad que tiene el auditor de la entidad
usuaria de obtener evidencia de auditoría suficiente y adecuada cuando la entidad
usuaria utiliza los servicios de una o más organizaciones de servicios.
En concreto, desarrolla el modo en que el auditor de la entidad usuaria aplica la NIA 315 y la NIA 330 para la obtención de conocimiento sobre dicha entidad, incluido el control interno relevante para la auditoría, que sea suficiente para identificar y valorar los riesgos de incorrección material, así como para diseñar y aplicar procedimientos de auditoría posteriores que respondan a dichos riesgos.
Muchas entidades externalizan
aspectos de su negocio con organizaciones que prestan servicios que comprenden
desde la realización de una tarea específica, bajo la dirección de una entidad,
hasta la sustitución de unidades o funciones enteras de negocio de la entidad,
tal como la función de cumplimiento de obligaciones fiscales. Muchos de los
servicios prestados por dichas organizaciones son parte integrante de las
actividades empresariales de la entidad. Sin embargo, no todos los citados
servicios son relevantes para la auditoría.
Los servicios prestados por la organización de
servicios son relevantes para la auditoría de estados financieros de la entidad
usuaria cuando dichos servicios y los controles sobre ellos son parte del
sistema de información de la entidad usuaria, incluidos los correspondientes
procesos de negocio, relevantes para la información financiera.
S i bien es probable que la mayoría de los controles de la organización de servicios estén relacionados con la información financiera, pueden existir otros controles que también sean relevantes para la auditoría, como los controles sobre la salvaguarda de los activos. Los servicios de la organización de servicios son parte del sistema de información de la entidad usuaria, incluidos los correspondientes procesos de negocio, relevantes para la preparación de información financiera, cuando dichos servicios afectan a alguno de los siguientes aspectos:
S i bien es probable que la mayoría de los controles de la organización de servicios estén relacionados con la información financiera, pueden existir otros controles que también sean relevantes para la auditoría, como los controles sobre la salvaguarda de los activos. Los servicios de la organización de servicios son parte del sistema de información de la entidad usuaria, incluidos los correspondientes procesos de negocio, relevantes para la preparación de información financiera, cuando dichos servicios afectan a alguno de los siguientes aspectos:
(a) los tipos de transacciones
dentro de las operaciones de la entidad usuaria que son significativos para los
estados financieros de dicha entidad;
(b)
los procedimientos, tanto los relativos a los sistemas de tecnologías de la información
(TI) como los sistemas manuales, mediante los que las transacciones de la
entidad usuaria se inician, registran, procesan, corrigen en caso necesario, se
trasladan al libro mayor e incluyen en los estados financieros.
(c)
los correspondientes registros contables, ya estén en formato electrónico o
manual, de soporte de la información y cuentas específicas de los estados
financieros de la entidad usuaria que son utilizados para iniciar, registrar y
procesar las transacciones de dicha entidad e informar sobre ellas. Esto
incluye la corrección de información incorrecta y el modo en que la información
se traslada al libro mayor.
(d)
el modo en que el sistema de información de la entidad usuaria capta los hechos
y condiciones, distintos de las transacciones, significativos para los estados
financieros.
(e)
el proceso de información financiera utilizado para la preparación de los
estados financieros de la entidad usuaria, incluidas las estimaciones contables
y la información a revelar significativas; y
(f) los controles sobre los asientos en el libro
diario, incluidos aquellos asientos que no son estándar y que se utilizan para
registrar transacciones o ajustes no recurrentes o inusuales.
La naturaleza y extensión del trabajo a realizar por
el auditor de la entidad usuaria con respecto a los servicios prestados por la
organización de servicios dependen de la naturaleza de dichos servicios y su
significatividad para la entidad usuaria, así como de su relevancia para la
auditoría.
Esta NIA no es aplicable a los
servicios prestados por entidades financieras que se limiten al procesamiento,
en relación con la cuenta que mantiene una entidad en la entidad financiera, de
transacciones que estén expresamente autorizadas por la entidad, por ejemplo,
el procesamiento de transacciones de cuenta corriente realizado por un banco o
el procesamiento de transacciones de valores realizado por un intermediario
bursátil.
Asimismo, esta NIA tampoco se aplica a la auditoría
de transacciones derivadas de la tenencia de intereses financieros en otras
entidades, tales como sociedades, cualquiera que sea su forma jurídica, y
negocios conjuntos, cuando un tercero contabiliza las variaciones que se
producen en dichos intereses e informa a los titulares.
6. Fecha de entrada en vigor
Esta NIA es aplicable a las auditorías de estados financieros
correspondientes a periodos iniciados a partir del 15 de diciembre de 2009.
7. Objetivos
Los objetivos del auditor de la entidad usuaria,
cuando ésta utiliza los servicios de una organización de servicios, son:
(a) obtener
conocimiento suficiente de la naturaleza y significatividad de los servicios
prestados por la organización de servicios y de su efecto en los controles internos
de la entidad usuaria relevantes para la auditoría, para identificar y valorar
los riesgos de incorrección material; y
(b) diseñar y aplicar
procedimientos de auditoría para responder a dichos riesgos.
Para que el auditor tenga evidencia suficiente y conveniente será
necesario que efectúe procedimientos en cada una de las tres fases de la
auditoria.
8. Definiciones
A efectos de las NIA, los siguientes términos
tienen los significados que figuran a continuación:
(a) Controles
complementarios de la entidad usuaria: controles que la organización de
servicios, en el diseño de su servicio, asume que serán implementados por las
entidades usuarias. Si es necesario para alcanzar los objetivos de control,
estos controles complementarios se identificarán en la descripción del sistema.
(b) Informe
sobre la descripción y el diseño de los controles de la organización de
servicios (denominado en esta NIA “informe tipo 1”), informe que comprende:
(i) una descripción,
preparada por la dirección de la organización de servicios, del sistema de la
organización de servicios, de los objetivos de control y de otros controles
relacionados que se han diseñado e implementado en una fecha determinada; y
( ii) un informe elaborado por el
auditor de la entidad prestadora del
servicio, con el objetivo de alcanzar una seguridad razonable, que
incluya su opinión sobre la descripción del sistema de la organización de
servicios, de los objetivos de control y otros controles relacionados, así como
de la idoneidad del diseño de los controles para alcanzar los objetivos de
control especificados.
(c) Informe sobre la descripción, el diseño y la
eficacia operativa de los controles de la organización de servicios (denominado
en esta NIA “informe tipo 2”),– informe que comprende:
(i) una descripción, preparada por la dirección de
la organización de servicios, del sistema de la organización de servicios, de
los objetivos de control y otros controles relacionados que se han diseñado e
implementado en una fecha determinada o a lo largo de un período específico y,
en algunos casos, su eficacia operativa a lo largo de un período específico; y
(ii) un informe elaborado por el auditor de la
entidad prestadora del servicio con el objetivo de alcanzar una seguridad
razonable, que incluya: a. su opinión sobre la descripción
del sistema de la organización de servicios, de los
objetivos de control y otros controles relacionados así como la idoneidad del
diseño de los controles para alcanzar los objetivos de control especificados y
la eficacia operativa de dichos controles; y
b. una descripción de las pruebas de controles
realizadas por el auditor y de los resultados obtenidos.
(d)
Auditor de la entidad prestadora del servicio: auditor que, a solicitud de la
organización de servicios, emite un informe que proporciona un grado de
seguridad sobre los controles de ésta.
(e) Organización de
servicios: organización externa (o segmento
de una
organización externa) que presta a las entidades
usuarias servicios que forman parte de los sistemas de información relevantes
para la información financiera de dichas entidades usuarias.
(f) Sistema de la
organización de servicios: políticas y procedimientos diseñados, implementados
y mantenidos por la organización de servicios para prestar a las entidades
usuarias los servicios cubiertos en el informe del auditor de la entidad
prestadora del servicio.
(g) Subcontratación
de la organización de servicios
subcontratada: organización
de servicios contratada por otra organización de
servicios para realizar alguno de los servicios que esta última presta a sus
entidades usuarias, los cuales forman parte de los sistemas de información relevantes
para la información financiera de estas entidades usuarias.
(h) Auditor de
la entidad usuaria: auditor que audita y emite el informe de auditoría sobre
los estados financieros de una entidad usuaria.
(i) Entidad usuaria: entidad
que utiliza una organización de servicios y cuyos estados financieros se están
auditando.
·
Requerimientos
9. Obtención de conocimiento de los servicios
prestados por la organización de servicios, incluido el control interno
Para la obtención de conocimiento de la entidad
usuaria de conformidad con la NIA 315, el auditor de dicha entidad obtendrá
conocimiento del modo en que ella utiliza los servicios de la organización de
servicios en sus actividades, esto es, sobre: (Ref: Apartados A1-A2)
(a)
la naturaleza de los servicios prestados por la organización de servicios y la
significatividad de dichos servicios para la entidad usuaria, incluido su
efecto en el control interno de la entidad usuaria; (Ref: Apartados A3-A5)
(b) la
naturaleza y la importancia relativa de las transacciones procesadas, o las
cuentas o los procesos de información financiera afectados por la organización
de servicios; (Ref: Apartado A6)
(c) el grado de interacción entre las
actividades de la organización de servicios y las de la entidad usuaria; y
(Ref: Apartado A7)
(d) la naturaleza de
la relación entre la entidad usuaria y la organización de servicios, incluidos
los términos contractuales aplicables a las actividades realizadas por la organización
de servicios. (Ref: Apartados A8-A11)
Para la obtención de conocimiento del control
interno relevante para la auditoría de conformidad con la NIA 3154, el auditor
de la entidad usuaria evaluará el diseño y la implementación de los controles
relevantes de la entidad usuaria relacionados con los servicios prestados por
la organización de servicios, incluidos los que se aplican a las transacciones
procesadas por la organización de servicios. (Ref: Apartados A12-A14)
El auditor de la entidad usuaria determinará si se
ha obtenido conocimiento suficiente sobre la naturaleza y la significatividad
de los servicios prestados por la organización de servicios, así como sobre su
efecto en el control interno de la entidad usuaria, relevante para la
auditoría, con la finalidad de disponer de una base para la identificación y
valoración de los riesgos de incorrección material.
Si el auditor de la entidad usuaria no puede
obtener conocimiento suficiente a través de la propia entidad usuaria, obtendrá
dicho conocimiento mediante uno o más de los siguientes procedimientos:
(a) obteniendo un informe
tipo 1 o tipo 2, si lo hubiera;
(b) contactando con
la organización de servicios, a través de la entidad usuaria, para obtener
información específica;
(c)
visitando la organización de servicios y aplicando procedimientos que
proporcionen la información necesaria sobre los controles relevantes de la
organización de servicios; o
(d)
recurriendo a otro auditor con el fin de que aplique procedimientos que
proporcionen la información necesaria sobre los controles relevantes de la
organización de servicios. (Ref: Apartados A15-A20)
13. Utilización de un informe tipo 1 o tipo 2 para ayudar al auditor de
la entidad usuaria a obtener conocimiento de la organización de servicios
Para determinar si la evidencia de auditoría proporcionada por un
informe tipo 1 o tipo 2 es suficiente y adecuada, el auditor de la entidad
usuaria deberá satisfacerse de:
(a) la competencia profesional del auditor de la entidad prestadora del
servicio y de su independencia con respecto a la organización de servicios; y
(b) la adecuación de las normas
conforme a las cuales se emitió el informe tipo 1 o tipo 2. (Ref: Apartado A
21)
Si el auditor de la entidad usuaria prevé utilizar un informe tipo 1 o
tipo 2 como evidencia de auditoría para sustentar su conocimiento sobre
el diseño y la implementación de controles en la organización de
servicios, dicho auditor:
(a)
evaluará si la descripción y el diseño de los controles de la organización de
servicios se refieren a una fecha o a un periodo adecuados para los fines del
auditor de la entidad usuaria;
(b) evaluará si la
evidencia proporcionada por el informe es suficiente y adecuada para obtener
conocimiento del control interno de la entidad usuaria relevante para la
auditoría; y
(c)
determinará si los controles complementarios de la entidad usuaria
identificados por la organización de servicios son relevantes para la entidad
usuaria y, en ese caso, obtendrá conocimiento de si la entidad usuaria ha
diseñado e implementado dichos controles. (Ref: Apartados A22-A23)
15.
Respuestas a los riesgos valorados de incorrección material
Con el fin de responder a los riesgos valorados de incorrección,
de conformidad con la NIA 330, el auditor de la entidad usuaria:
(a) determinará si los registros mantenidos en la
entidad usuaria proporcionan evidencia de auditoría suficiente y adecuada con
respecto a las afirmaciones relevantes incluidas en los estados financieros; y,
en caso contrario,
(b) aplicará
procedimientos de auditoría posteriores para obtener evidencia de auditoría
suficiente y adecuada o recurrirá a otro auditor con el fin de que aplique
dichos procedimientos en la organización de servicios por cuenta del auditor de
la entidad usuaria. (Ref: Apartados A24-A28)
16.
Pruebas de controles
Cuando la valoración del riesgo por el auditor de la entidad usuaria comporte
la expectativa de que los controles de la organización de servicios operen
eficazmente, el auditor de la entidad
usuaria obtendrá evidencia de auditoría sobre
la eficacia operativa de dichos controles mediante uno o más
de los procedimientos siguientes:
(a) obteniendo un informe
tipo 2, si lo hubiera;
(b) aplicando pruebas de
controles adecuadas en la organización de servicios; o
(c) recurriendo a otro auditor con el fin de que
realice pruebas de controles en la organización de servicios por cuenta del
auditor de la entidad usuaria. (Ref: Apartados A29-A30)
17. Utilización de un informe tipo 2 como evidencia
de auditoría de que los controles de la organización de servicios están
funcionando eficazmente.
Si, de
conformidad con el apartado 16(a), el auditor de la entidad usuaria prevé
utilizar un informe tipo 2 como evidencia de auditoría de que los controles de
la organización de servicios operan eficazmente, el auditor de la entidad
usuaria determinará si el informe del auditor de la entidad prestadora del
servicio proporciona evidencia de auditoría suficiente y adecuada sobre la
eficacia de los controles, que sirva para sustentar la valoración del riesgo
efectuada por el auditor de la entidad usuaria:
(a) evaluando si la descripción,
el diseño y la eficacia operativa de los controles de la organización de
servicios se refieren a una fecha o a un periodo adecuados para los fines del
auditor de la entidad usuaria;
(b) determinando si
los controles complementarios de la entidad usuaria identificados por la
organización de servicios son relevantes para aquella y, en caso afirmativo,
comprobando si la entidad usuaria ha diseñado e implementado dichos controles
y, si así es, realizando pruebas sobre su eficacia operativa.
(c) evaluando
la adecuación del periodo de tiempo cubierto por las pruebas de controles y el
tiempo transcurrido desde su realización; y
(d)
evaluando si las pruebas de controles realizadas por el auditor de la entidad
prestadora del servicio y los resultados de dichas
pruebas, tal como se describen en su informe, son relevantes para las
afirmaciones incluidas en los estados financieros de la entidad usuaria y
proporcionan evidencia de auditoría suficiente y adecuada para sustentar la
valoración del riesgo efectuada por el auditor de la entidad usuaria. (Ref:
Apartados A31-A39)
18. Informes tipo 1 y tipo 2 que excluyen los
servicios de una organización de servicios subcontratada
Si el auditor de la entidad usuaria prevé utilizar
un informe tipo 1 o tipo 2 que excluye los servicios prestados por una
organización de servicios subcontratada, y dichos servicios son relevantes para
la auditoría de estados financieros de la entidad usuaria, el auditor de la
entidad usuaria aplicará los requerimientos de la presente NIA con respecto a
los servicios prestados por la organización de servicios subcontratada. (Ref:
Apartado A40)
19. Fraude, incumplimiento de las disposiciones
legales y reglamentarias, e incorrecciones no corregidas en relación con las
actividades de la organización de servicios
El auditor de la entidad usuaria indagará ante la
dirección de esa entidad sobre si la organización de servicios le ha informado,
o si la entidad usuaria tiene conocimiento por alguna otra vía, de cualquier
fraude, incumplimiento de las disposiciones legales y reglamentarias, o
incorrecciones no corregidas que afecten a sus estados financieros. El auditor
de la entidad usuaria evaluará el modo en que dichas cuestiones afectan a la
naturaleza, el momento de realización y la extensión de los procedimientos de
auditoría posteriores que deba aplicar, incluido el efecto en sus conclusiones
y su informe de auditoría. (Ref: Apartado A41) Cualidades deseadas de los
auditores de prestadores de servicios
20. Informe del auditor de la entidad usuaria
El auditor de la entidad usuaria expresará una
opinión modificada en su informe de auditoría, de conformidad con la NIA 705,
si no puede obtener evidencia de auditoría suficiente y adecuada con respecto a
los servicios prestados por una organización de servicios que sean relevantes
para la auditoría de estados financieros de la entidad usuaria. (Ref: Apartado
A42)
Cuando exprese una opinión no modificada, el
auditor de la entidad usuaria, en su informe de auditoría, no se referirá al
trabajo del auditor de la entidad prestadora del servicio salvo que lo
requieran las disposiciones legales o reglamentarias. Si las disposiciones
legales o reglamentarias requieren dicha mención, el informe de auditoría
relativo a la entidad usuaria indicará que esta mención no reduce la
responsabilidad del auditor de la entidad usuaria en relación con la opinión de
auditoría. (Ref: Apartado A43)
Si la referencia al trabajo del
auditor de la entidad prestadora del servicio en el informe de auditoría
relativo a la entidad usuaria es relevante para entender la opinión modificada
del auditor de la entidad usuaria, se indicará que dicha mención no reduce la
responsabilidad del auditor de la entidad usuaria en relación con su opinión.
(Ref: Apartado A44)
Guía de aplicación y otras anotaciones explicativas
·
Obtención de conocimiento de los servicios prestados por la organización de
servicios, incluido el control interno
A1.
Fuentes de información (Ref: Apartado 9)
Puede obtenerse información sobre la naturaleza de los servicios
prestados por la organización de servicios a través de una amplia gama de
fuentes, tales como:
• Manuales de usuario.
• Descripciones de sistemas.
• Manuales técnicos.
• El contrato o el acuerdo de prestación de
servicios entre la entidad usuaria y la organización de servicios.
• Informes de las
organizaciones de servicios, de los auditores internos o de las
autoridades reguladoras relativos a controles en la organización de
servicios.
• Informes del auditor de la entidad prestadora del servicio, incluidas
cartas a la dirección, si las hubiera.
El conocimiento obtenido a través
de la experiencia del auditor de la entidad usuaria con la organización de servicios,
por ejemplo, debido a otros encargos de auditoría, también puede servir de
ayuda para obtener conocimiento de la naturaleza de los servicios prestados por
la organización de servicios. Esto resultará particularmente útil si los
servicios y controles de la organización de servicios sobre dichos servicios
están muy estandarizados.
A3. Naturaleza de los servicios prestados por la
organización de servicios (Ref: Apartado 9(a))
La entidad usuaria puede recurrir a una
organización de servicios que procese transacciones y rinda cuentas sobre
ellas, o que registre transacciones y procese los datos correspondientes.
Las organizaciones de servicios que prestan dichos
servicios incluyen, por ejemplo, departamentos bancarios de administración
fiduciaria que invierten y gestionan activos para los planes de pensiones de
empleados o para terceros; bancos hipotecarios que gestionan hipotecas para
terceros; proveedores de servicios de aplicaciones informáticas que
proporcionan aplicaciones informáticas estandarizadas y un entorno tecnológico
que permiten a los clientes procesar transacciones financieras y operativas.
Ejemplos de servicios prestados por una
organización de servicios que son relevantes para la auditoría incluyen:
• La llevanza de los registros
contables de la entidad usuaria.
• La gestión de activos.
• El inicio, registro o procesamiento de
transacciones en calidad de agente de la entidad usuaria.
A5.Consideraciones
específicas para entidades de pequeña dimensión
Es Posible que Las entidades
de pequeña dimensión utilicen Servicios externos de
contabilidad que vayan desde el
procesamiento de determinadas transacciones (por ejemplo, el pago de
impuestos sobre nóminas) y su registro contable, hasta la preparación de sus
estados financieros. El uso de una organización de servicios para la
preparación de sus estados financieros no exime a la dirección de la entidad de
pequeña dimensión ni, cuando proceda, a los responsables del gobierno de la
entidad, de sus responsabilidades sobre los estados financieros
A6. Naturaleza e importancia relativa de las
transacciones procesadas por la organización de servicios (Ref: Apartado 9(b))
Es posible que la organización de servicios
establezca políticas y procedimientos que afecten al control interno de la
entidad usuaria. Dichas políticas y procedimientos están, al menos en parte,
física y operativamente separadas de la entidad usuaria. La significatividad de
los controles de la organización de servicios respecto de los de la entidad
usuaria depende de la naturaleza de los servicios prestados por la organización
de servicios, incluidas la naturaleza y la importancia relativa de las
transacciones que procesa para la entidad usuaria. En determinadas situaciones,
las transacciones procesadas por una organización de servicios, y las cuentas
afectadas, pueden no parecer materiales para los estados financieros de la
entidad usuaria, pero la naturaleza de las transacciones procesadas puede ser
significativa y el auditor de la entidad usuaria puede determinar que, en
dichas circunstancias, es necesario obtener conocimiento de dichos controles.
A7. Grado
de interacción entre las actividades de la organización de servicios y la
entidad usuaria (Ref: Apartado 9(c)
La
significatividad de los controles de la
organización de servicios respecto de los de
la entidad usuaria depende también del
grado de interacción que exista entre sus actividades y las de la entidad
usuaria. El grado de interacción se refiere a la medida en que la entidad
usuaria puede implementar controles eficaces sobre el procesamiento realizado
por la organización de servicios, y decide así hacerlo. Por ejemplo, existe un
alto grado de interacción entre las actividades de la entidad usuaria y las de
la organización de servicios cuando la entidad usuaria autoriza las
transacciones y la organización de servicios las procesa y contabiliza. En
estas circunstancias, puede resultar factible para la entidad usuaria
implementar controles efectivos sobre dichas transacciones. Por otra parte,
cuando la organización de servicios inicia o inicialmente registra, procesa y
contabiliza las transacciones de la entidad usuaria, existe un menor grado de
interacción entre las dos organizaciones.
En estas circunstancias, es posible que la entidad
usuaria no pueda implementar controles eficaces propios sobre estas
transacciones, o decida no hacerlo, y confíe en los controles de la
organización de servicios.
A8. Naturaleza de las relaciones entre la entidad usuaria
y la organización de servicios (Ref: Apartado 9(d))
El contrato o el acuerdo de prestación de servicios
entre la entidad usuaria y la organización de servicios puede cubrir cuestiones
tales como:
•
la información que ha de proporcionarse a la entidad usuaria y las
responsabilidades relativas al inicio de las transacciones relacionadas con las
actividades de la organización de servicios;
• la
aplicación de requerimientos de las autoridades reguladoras con respecto a la
forma en que se mantendrán los registros o el acceso a éstos;
•
la indemnización, en su caso, que recibirá la entidad usuaria en caso de
incumplimiento de funciones;
• si la organización
de servicios proporcionará un informe sobre sus controles y, en ese caso, si
será un informe tipo 1 o tipo 2;
• si el auditor de la
entidad usuaria tendrá derecho de acceso a los registros contables de la
entidad usuaria que mantiene la organización de servicios y a otra información
necesaria para realizar la auditoría; y
• si el acuerdo
permite la comunicación directa entre el auditor de la entidad usuaria y el
auditor de la entidad prestadora del servicio.
Existe una relación directa entre la organización
de servicios y la entidad usuaria y entre la organización de servicios y el
auditor de la entidad prestadora del servicio. Estas relaciones no crean
necesariamente una relación directa entre el auditor de la entidad usuaria y el
auditor de la entidad prestadora del servicio. Cuando no existe relación
directa entre ambos, las comunicaciones entre el auditor de la entidad usuaria
y el auditor de la entidad prestadora del servicio se llevan a cabo normalmente
a través de la entidad usuaria y la organización de servicios. También puede
establecerse una relación directa entre el auditor de la entidad usuaria y el
auditor de la entidad prestadora del servicio, teniendo en cuenta las
consideraciones de ética y de confidencialidad aplicables.
Por ejemplo, el auditor de la entidad usuaria puede
recurrir al auditor de la entidad prestadora del servicio para que éste aplique
procedimientos en nombre de aquel, tales como:
(a) pruebas de controles en la
organización de servicios; o
(b) procedimientos
sustantivos en relación con las transacciones y los saldos de los estados
financieros de la entidad usuaria que
Competen a la organización de servicios.
A10.
Consideraciones específicas para entidades del sector público
Los auditores del sector público normalmente tienen
derechos de acceso amplios establecidos por la normativa. Sin embargo, puede
haber situaciones en las que no se disponga de dichos derechos de acceso; por
ejemplo, cuando la organización de servicios está situada en una jurisdicción
diferente.
En estos casos, puede resultar necesario que el
auditor del sector público obtenga conocimiento de la legislación aplicable en
dicha jurisdicción, con el fin de determinar si pueden obtenerse derechos de
acceso pertinentes. El auditor del sector público también puede obtener de la
entidad usuaria, o solicitar a ésta, que incorpore derechos de acceso a
cualquier acuerdo contractual entre la entidad usuaria y la organización de
servicios.
Los auditores del sector público pueden igualmente
recurrir a otro auditor para que éste realice pruebas de controles o aplique
procedimientos sustantivos en relación con el cumplimiento de las disposiciones
legales o reglamentarias u otras disposiciones.
A12. Conocimiento de los controles relacionados con
los servicios prestados por la organización de servicios (Ref: Apartado 10)
La entidad usuaria puede establecer controles para
los servicios prestados por la organización de servicios sobre los que el
auditor de la entidad usuaria pueda realizar pruebas que permitan a dicho
auditor concluir que los controles de la entidad usuaria están operando
eficazmente con respecto a algunas o a todas las afirmaciones correspondientes,
todo ello con independencia de los controles implantados en la organización de
servicios. Si la entidad usuaria, por ejemplo, utiliza una organización de
servicios para procesar las nóminas, la entidad usuaria puede establecer
controles sobre la entrega y recepción de información sobre las nóminas que
puedan evitar o detectar incorrecciones materiales. Estos controles pueden
incluir:
• La
comparación de los datos entregados a la organización de servicios con los
informes recibidos de la organización de servicios, una vez que se han
procesado los datos.
• Un
nuevo cálculo a partir de una muestra de las cantidades que figuran en las
nóminas para comprobar su exactitud aritmética y revisar la razonabilidad del
importe total de la nómina.
En esta situación, el auditor de la entidad usuaria
puede realizar pruebas de los controles de la entidad usuaria sobre el
procesamiento de las nóminas que le proporcionen una base para concluir que los
controles de la entidad usuaria están operando eficazmente respecto de las
afirmaciones relacionadas con las transacciones relativas a las nóminas.
Como se indica en la NIA 315, con respecto a
algunos riesgos, el auditor de la entidad usuaria puede juzgar que no es
posible o factible obtener evidencia de auditoría suficiente y adecuada
aplicando únicamente procedimientos sustantivos. Dichos riesgos pueden estar
relacionados con el registro inexacto o incompleto de tipos de transacciones y
de saldos contables rutinarios y significativos, cuyas características permiten
a menudo un procesamiento altamente automatizado con escasa o nula intervención
manual.
Dichas características que permiten un
procesamiento automatizado pueden estar especialmente presentes cuando la
entidad usuaria utiliza organizaciones de servicios. En estos casos, los
controles de la entidad usuaria sobre los riesgos son relevantes para la auditoría,
y se requiere que el auditor de la entidad usuaria obtenga conocimiento de
dichos controles de conformidad con los apartados 9 y 10 de la presente NIA, y
los evalúe.
A15. Procedimientos a aplicar cuando no se puede
obtener conocimiento suficiente a través de la propia entidad usuaria (Ref:
Apartado 12)
La decisión del auditor de la entidad usuaria sobre
los procedimientos enumerados en el apartado 12 que aplicará, de manera
individual o en combinación con otros, a fin de obtener la información necesaria
para disponer de una base suficiente para la identificación y valoración de los
riesgos de incorrección material relacionados con la utilización, por parte de
la entidad usuaria, de una organización de servicios, puede verse influida por
cuestiones como:
• la dimensión tanto de la
entidad usuaria como de la organización de servicios;
• la complejidad de
las transacciones de la entidad usuaria y de los servicios prestados por la
organización de servicios;
•
la ubicación de la organización de servicios (por ejemplo, el auditor de la
entidad usuaria puede decidir que otro auditor aplique procedimientos en la
organización de servicios por cuenta del auditor de la entidad usuaria si la
organización de servicios está en un lugar lejano);
• si se
espera que el procedimiento o procedimientos proporcionen eficazmente al
auditor de la entidad usuaria evidencia de auditoría suficiente y adecuada; y
• la naturaleza de la relación
entre la entidad usuaria y la organización de servicios.
La organización de servicios puede contratar a un
auditor para que informe sobre la descripción y el diseño de sus controles
(informe tipo 1) o sobre la descripción y el diseño de sus controles, y su
eficacia operativa (informe tipo 2). Los informes tipo 1 y tipo 2 pueden ser
emitidos de acuerdo con la (propuesta de) Norma internacional sobre encargos de
aseguramiento (International Standards on Assurance Engagements, ISAE) 3402 o
según las normas establecidas por un organismo emisor de normas autorizado o reconocido
(el cual puede identificarlos con diferentes nombres, como informes tipo A o
tipo B).
La disponibilidad de un informe tipo 1 o tipo 2
dependerá normalmente de si está previsto en el contrato entre la organización
de servicios y la entidad usuaria que la organización de servicios proporcione
dicho informe. La organización de servicios puede también decidir, por motivos
prácticos, facilitar un informe tipo 1 o tipo 2 a las entidades usuarias. Sin
embargo, en algunos casos, las entidades usuarias pueden no disponer de un
informe tipo 1 o tipo 2.
En algunas circunstancias, la
entidad usuaria puede externalizar una o varias unidades o funciones
empresariales significativas, como, por ejemplo, todas sus funciones de
planificación fiscal y cumplimiento de las obligaciones fiscales, o la función
financiera y de contabilidad o la de control, a una o a varias organizaciones
de servicios.
Puesto que en dichas circunstancias es posible que
no se disponga de un informe sobre los controles de la organización de
servicios, la visita a la organización de servicios puede ser el procedimiento
más eficaz para que el auditor de la entidad usuaria obtenga conocimiento de
sus controles, ya que probablemente exista una interacción directa entre la
dirección de la entidad usuaria y la dirección de la organización de servicios.
Se puede recurrir a otro auditor para que aplique
procedimientos que proporcionen la información necesaria sobre los controles relevantes
de la organización de servicios. Si se ha emitido un informe tipo 1 o tipo 2,
el auditor de la entidad usuaria puede recurrir al auditor de la entidad
prestadora del servicio con el fin de que aplique dichos procedimientos, puesto
que ya existe una relación entre el auditor de la entidad prestadora del
servicio y la organización de servicios.
El auditor de la entidad usuaria que recurra al
trabajo de otro auditor puede encontrar orientaciones útiles en la NIA 6009, ya
que se refiere al conocimiento de otro auditor
(incluidas su independencia y
su competencia profesional) y la
participación en el trabajo de otro auditor de cara a la planificación de la
naturaleza, la extensión y el momento de realización de dicho trabajo, y a la
evaluación de la suficiencia y adecuación de la evidencia de auditoría
obtenida.
La entidad usuaria puede utilizar una organización
de servicios que, a su vez, subcontrate a otra organización de servicios para
proporcionar algunos de los servicios prestados a la entidad usuaria que forman
parte del sistema de información de ésta relevante para la información
financiera. La organización de servicios subcontratada puede ser una entidad
independiente de la organización de servicios o estar vinculada a ésta.
Puede
resultar necesario que el auditor de la entidad usuaria tenga en cuenta los
controles de la organización de servicios subcontratada. En situaciones en las
que se subcontratan una o varias organizaciones de servicios, la interacción
entre las actividades de la entidad usuaria y las de la organización de
servicios se amplía para incluir la interacción entre la entidad usuaria, la
organización de servicios y las organizaciones de servicios subcontratadas.
El grado de dicha interacción, así como la
naturaleza e importancia relativa de las transacciones procesadas
por la organización de servicios y las organizaciones de servicios
subcontratadas, son los factores más importantes que debe tener en cuenta el
auditor de la entidad usuaria a la hora de determinar la significatividad de
los controles de la organización de servicios y de las organizaciones de
servicios subcontratadas con respecto a los controles de la entidad usuaria.
A21. Utilización de un informe tipo 1 o tipo 2 para
sustentar el conocimiento del auditor de la entidad usuaria sobre la
organización de servicios (Ref: Apartados 13-14)
El auditor de la entidad usuaria puede realizar
indagaciones sobre el auditor de la entidad prestadora del servicio ante su
organización profesional o entre otros profesionales ejercientes, y puede
indagar sobre si el auditor de la entidad prestadora del servicio está sujeto a
una autoridad de supervisión. El auditor de la entidad prestadora del servicio
puede ejercer en una jurisdicción en la que se sigan normas diferentes con
respecto a los informes sobre controles de la organización de servicios, y el
auditor de la entidad usuaria puede obtener información sobre las normas que
utiliza el auditor de la entidad prestadora del servicio del organismo emisor
de las normas.
Un informe tipo 1 o tipo 2, junto con información sobre la entidad
usuaria, puede facilitar al auditor de la entidad usuaria la obtención de
conocimiento de:
(a) los aspectos de
los controles de la organización de servicios que pueden afectar al procesamiento
de las transacciones de la entidad usuaria, incluida la utilización de
organizaciones de servicios subcontratadas.
(b)
el flujo de transacciones significativas de la organización de servicios, para
determinar los puntos de dicho flujo de transacciones en los que podrían
producirse incorrecciones materiales en los estados financieros de la entidad
usuaria.
(c) los objetivos de control de la organización de
servicios que son relevantes para las afirmaciones de los estados financieros
de la entidad usuaria; y
(d) si los controles de la organización de
servicios se han diseñado e implementado de forma apropiada para prevenir o
detectar errores de procesamiento que podrían dar lugar a incorrecciones
materiales en los estados financieros de la entidad usuaria.
(c) los
objetivos de control de la organización de servicios que son relevantes para
las afirmaciones de los estados financieros de la entidad usuaria; y
(d) si los controles de la organización de servicios
se han diseñado e implementado de forma apropiada para prevenir o detectar
errores de procesamiento que podrían dar lugar a incorrecciones materiales en
los estados financieros de la entidad usuaria.
Un informe tipo 1 o tipo 2 de una fecha o referido
a un periodo no comprendidos en el periodo de información de la entidad usuaria
puede facilitar al auditor de la entidad usuaria la obtención de conocimiento
preliminar de los controles implementados en la organización de servicios si el
informe se complementa con información adicional actual procedente de otras
fuentes. Si la descripción de los controles de la organización de servicios es
de una fecha o se refiere a un periodo anterior al comienzo del periodo
sometido a auditoría, el auditor de la entidad usuaria puede aplicar
procedimientos para actualizar la información de un informe tipo 1 o tipo 2,
tales como:
• discutir los
cambios producidos en la organización de servicios con personal de la entidad
usuaria que esté en una situación que le permita conocer dichos cambios;
•
revisar documentación y correspondencia actual emitida por la organización de
servicios; o
• discutir los cambios con el
personal de la organización de servicios.
A24.
Respuestas a los riesgos valorados de incorrección material (Ref: Apartado 15)
Que la utilización de una organización de servicios
aumente el riesgo de incorrección material de la entidad usuaria depende de la
naturaleza de los servicios prestados y de los controles sobre dichos
servicios; en algunos casos, la utilización de una organización de servicios
puede reducir el riesgo de incorrección material de la entidad usuaria,
particularmente si la propia entidad usuaria no tiene la especialización
necesaria para realizar determinadas actividades, tales como iniciar, procesar
y registrar transacciones, o no cuenta con recursos adecuados (por ejemplo, un
sistema de tecnología de la información).
Respuesta al riesgo valorado
Cuando la organización de servicios tiene a su
cargo elementos de los registros contables de la entidad usuaria que resultan
materiales, puede ser necesario que el auditor de la entidad usuaria tenga
acceso directo a dichos registros con el fin de obtener evidencia de auditoría
suficiente y adecuada con respecto al funcionamiento de los controles sobre
dichos registros o para verificar las transacciones y saldos registrados en
ellos, o con ambos fines. Dicho acceso puede implicar la inspección física de
los registros en los locales de la organización de servicios o el examen de
registros mantenidos de forma electrónica desde la entidad usuaria o desde otro
lugar, o ambas actuaciones.
Cuando el acceso directo se lleva a cabo por medios
electrónicos, el auditor de la entidad usuaria puede obtener evidencia por
dicha vía sobre la adecuación de los controles aplicados por la organización de
servicios en relación con la integridad y la exactitud de los datos de la
entidad usuaria de los que es responsable la organización de servicios.
Para determinar la naturaleza y la extensión de la
evidencia de auditoría a obtener en relación con los saldos que representan
activos mantenidos o transacciones realizadas por una organización de servicios
por cuenta de la entidad usuaria, el auditor de la entidad usuaria puede
considerar la aplicación de los siguientes procedimientos:
(a) Examen de registros y documentos mantenidos por
la entidad usuaria: la naturaleza y extensión de los registros contables y la
documentación de soporte conservada por la entidad usuaria determinan la fiabilidad
de esta fuente de evidencia. En algunos casos, la entidad usuaria puede no
mantener registros independientes detallados o documentación de transacciones
específicas realizadas por su cuenta.
(b) Examen de registros y
documentos mantenidos por la organización de servicios: el acceso del auditor
de la entidad usuaria a los registros de la organización de servicios puede
haberse establecido como parte de los acuerdos contractuales alcanzados entre
la entidad usuaria y la organización de servicios. El auditor de la entidad
usuaria puede, asimismo, recurrir a otro auditor, para que acceda, en su
nombre, a los registros de la entidad usuaria mantenidos por la organización de
servicios.
(c)
Obtención de confirmaciones de la organización de servicios sobre saldos y
transacciones: en los casos en los que la entidad usuaria mantiene registros
independientes de saldos y transacciones, la confirmación de la organización de
servicios que corrobore los registros de la entidad usuaria puede constituir evidencia
de auditoría fiable con respecto a la existencia de las transacciones y los
activos afectados.
Por ejemplo, cuando se utilicen
varias organizaciones de servicios, como una gestora de inversiones y un
depositario, y dichas organizaciones de servicios mantengan registros
independientes, el auditor de la entidad usuaria puede confirmar los saldos con
dichas organizaciones para comparar dicha información con los registros
independientes de la entidad usuaria.
Si la entidad usuaria no mantiene registros independientes,
la información obtenida de las confirmaciones procedentes de la organización de
servicios es sólo una declaración de lo que se refleja en los registros
mantenidos por la organización de servicios. Por lo tanto, tales confirmaciones
no constituyen, por sí solas, evidencia de auditoría fiable. En dichas
circunstancias, el auditor de la entidad usuaria puede considerar la
posibilidad de identificar una fuente alternativa de evidencia independiente.
(d)
Aplicación de procedimientos analíticos a los registros mantenidos por la
entidad usuaria o a los informes recibidos de la organización de servicios: la
eficacia de los procedimientos analíticos probablemente variará de una
afirmación a otra y dependerá de la extensión y detalle de la información disponible.
Otro auditor puede aplicar procedimientos que sean
de naturaleza sustantiva en beneficio de los auditores de las entidades
usuarias. Un encargo de este tipo puede implicar la aplicación, por otro
auditor, de procedimientos acordados entre la entidad usuaria y el auditor de
dicha entidad usuaria y entre la organización de servicios y su auditor de la
entidad prestadora del servicio. El auditor de la entidad usuaria revisa los
hallazgos resultantes de los procedimientos aplicados por otro auditor con el
fin de determinar si constituyen evidencia de auditoría suficiente y adecuada.
Adicionalmente, pueden existir requerimientos impuestos por las autoridades
públicas o por acuerdos contractuales que lleven a un auditor de la entidad
prestadora del servicio a aplicar determinados procedimientos de naturaleza
sustantiva.
Los
resultados de la aplicación de los procedimientos requeridos a los saldos y
transacciones procesados por la organización de servicios se pueden utilizar
por los auditores de las entidades usuarias como parte de la evidencia
necesaria para sustentar sus opiniones de auditoría. En estas circunstancias,
puede ser útil que el auditor de la entidad usuaria y el auditor de la entidad
prestadora del servicio acuerden, con anterioridad a la aplicación de los
procedimientos, la documentación de auditoría o el acceso a ella que se
proporcionará al auditor de la entidad usuaria.
En determinadas Circunstancias,
en concreto cuando la entidad
usuaria externalice alguna o todas sus funciones
financieras en una organización de servicios, el auditor de la entidad
usuaria puede enfrentarse a una situación en la que una parte significativa de
la evidencia de auditoría se encuentre en la organización de servicios.
Puede ser necesaria la aplicación
de procedimientos sustantivos en la organización de servicios por el auditor de
la entidad usuaria, o por otro auditor por cuenta de éste. El auditor de la
entidad prestadora del servicio puede proporcionar un informe tipo 2 y, además,
aplicar procedimientos sustantivos por cuenta del auditor de la entidad
usuaria. La participación de otro auditor no modifica la responsabilidad del
auditor de la entidad usuaria de obtener evidencia de auditoría suficiente y
adecuada que constituya una base razonable para sustentar su opinión.
Por consiguiente, al determinar si se ha obtenido
evidencia de auditoría suficiente y adecuada, y si necesita aplicar
procedimientos sustantivos posteriores, el auditor de la entidad usuaria tendrá
en cuenta su participación en la dirección, supervisión y aplicación de los
procedimientos sustantivos realizados por otro auditor, o la evidencia de tales
procedimientos.
A29. Pruebas de controles (Ref: Apartado 16)
La NIA 330, en determinadas usuaria que diseñe y aplique
auditoría suficiente y adecuada relevantes. En el contexto de aplica cuando:
circunstancias, requiere al auditor de la entidad pruebas de controles para obtener evidencia de con respecto a la eficacia operativa de controles la organización de servicios, este requerimiento se
(a) La
valoración de riesgos de incorrección material por el auditor de la entidad
usuaria incorpora la expectativa de que los controles de la organización de
servicios están operando eficazmente (es decir, el auditor de la entidad
usuaria tiene intención de confiar en la eficacia operativa de los controles de
la organización de servicios a la hora de determinar la naturaleza, el momento
de realización y la extensión de los procedimientos sustantivos); o
(b) Los procedimientos sustantivos, solos o
combinados con pruebas sobre la eficacia operativa de los controles de la
entidad usuaria, no pueden proporcionar evidencia de auditoría suficiente y
adecuada relativa a las afirmaciones.
Si no dispone de un informe tipo 2, el auditor de
la entidad usuaria puede contactar con la organización de servicios, a través
de la entidad usuaria, para solicitar que se contrate a un auditor de servicios
que proporcione un informe tipo 2 en el que se incluyan pruebas de la eficacia
operativa de los controles relevantes, o el auditor de la entidad usuaria
puede, asimismo, recurrir a otro auditor con el fin de que aplique
procedimientos en la organización de servicios para comprobar la eficacia
operativa de dichos controles. El auditor de la entidad usuaria puede,
asimismo, visitar la organización de servicios y realizar pruebas de controles
relevantes, si la organización de servicios presta su conformidad.
Las valoraciones del riesgo que efectúa el auditor
de la entidad usuaria se basan en la evidencia proporcionada por el trabajo del
otro auditor, combinada con la proporcionada por sus propios procedimientos.
A31. Utilización de un informe tipo 2 como
evidencia de auditoría de que los controles de la organización de servicios
operan eficazmente (Ref: Apartado 17)
Un informe tipo 2 puede tener como finalidad
satisfacer las necesidades de varios auditores distintos de entidades usuarias.
Por ello, las pruebas de controles y los
resultados
descritos
|
en
|
el informe del auditor de
la entidad prestadora del
|
servicio
pueden no
|
ser
|
relevantes con respecto a afirmaciones
significativas de los
|
estados financieros de la entidad usuaria.
Las pruebas de controles y sus resultados se evalúan
con la finalidad de determinar si el informe del auditor de la entidad
prestadora del servicio proporciona evidencia de auditoría suficiente y
adecuada sobre la eficacia de los controles para sustentar la valoración del
riesgo efectuada por el auditor de la entidad usuaria. Al hacerlo, el auditor
de la entidad usuaria puede tener en cuenta los siguientes factores:
(a) el periodo de
tiempo cubierto por las pruebas de controles y el tiempo transcurrido desde su
realización;
(b) el alcance del trabajo
del auditor de la entidad prestadora del servicio y los servicios y procesos
cubiertos, los controles comprobados y las pruebas que se han realizado, y el
modo en que los controles comprobados están relacionados con los controles de
la entidad usuaria; y
(c) los resultados de
dichas pruebas de controles y la opinión del auditor de la entidad prestadora
del servicio sobre la eficacia operativa de los controles.
Con respecto a determinadas afirmaciones, cuanto más
corto sea el periodo cubierto por una prueba específica y mayor sea el tiempo
transcurrido desde la realización de la prueba, menor será la evidencia de
auditoría que la prueba puede proporcionar. Al comparar el periodo cubierto por
un informe tipo 2 con el periodo de información financiera de la entidad
usuaria, el auditor de la entidad usuaria puede concluir que un informe tipo 2
ofrece menos evidencia de auditoría si hay poco solapamiento entre el periodo
cubierto por el informe tipo 2 y el periodo en el que el auditor de la entidad
usuaria pretende basarse en el informe.
En ese caso, un informe tipo 2 que cubra un periodo
anterior o posterior puede proporcionar evidencia de auditoría adicional. En
otros casos, el auditor de la entidad usuaria puede determinar que es necesario
realizar pruebas de controles de la organización de servicios, o recurrir a
otro auditor para que las realice, a fin de obtener evidencia de auditoría
suficiente y adecuada sobre la eficacia operativa de dichos controles.
También puede resultar necesario que el auditor de
la entidad usuaria obtenga evidencia adicional sobre cambios significativos en
los controles relevantes de la organización de servicios fuera del periodo
cubierto por el informe tipo 2, o que decida aplicar procedimientos de
auditoría adicionales. Entre los factores relevantes para determinar la
evidencia de auditoría adicional que se debe obtener sobre los controles de la
organización de servicios aplicados fuera del periodo cubierto por el informe
del auditor de la entidad prestadora del servicio pueden incluirse:
• la significatividad de los riesgos valorados de
incorrección material en las afirmaciones;
•
los controles específicos
|
sobre los que se
realizaron pruebas durante el
|
periodo
intermedio, así como
|
los cambios significativos introducidos en ellos
desde
|
que se verificaron, incluidos los cambios en el
sistema de información, los procesos y el personal;
• el grado en que se ha
obtenido evidencia de auditoría sobre la eficacia operativa de dichos
controles;
• la duración del periodo
restante;
• la
medida en que el auditor de la
entidad usuaria tiene previsto reducir los
procedimientos sustantivos posteriores basándose en la fiabilidad de los
controles; y
• la eficacia del entorno de control y el
seguimiento de los controles de la entidad usuaria.
Puede obtenerse evidencia de auditoría adicional,
por ejemplo, ampliando las pruebas de controles al periodo restante o
realizando pruebas sobre el seguimiento de los controles de la entidad usuaria.
Si el periodo sobre el que el auditor de la entidad
prestadora del servicio ha realizado pruebas queda completamente fuera del periodo
de información financiera de la entidad usuaria, el auditor de la entidad
usuaria no podrá basarse en dichas pruebas para concluir que los controles de
la entidad usuaria operan eficazmente, ya que no proporcionan evidencia de la
eficacia de los controles correspondiente al periodo de auditoría actual, salvo
que se hayan aplicado otros procedimientos.
En determinadas circunstancias, un servicio
prestado por una organización de servicios puede diseñarse bajo la hipótesis de
que la entidad usuaria implementará determinados controles. Por ejemplo, el
servicio puede diseñarse bajo la hipótesis de que la entidad usuaria dispondrá
de controles para autorizar las transacciones antes de que éstas se envíen a la
organización de servicios para su procesamiento. En dicha situación, la
descripción de los controles de la organización de servicios puede incluir una
descripción de los controles complementarios de la entidad usuaria.
El auditor de la entidad usuaria determinará si los
mencionados controles complementarios de la entidad usuaria son relevantes para
el servicio prestado a la entidad usuaria.
Si el auditor de la entidad usuaria considera que
el informe del auditor de la entidad prestadora del servicio puede no
proporcionar evidencia de auditoría suficiente y adecuada, por ejemplo, cuando
el informe del auditor de la entidad prestadora del servicio no contiene una
descripción de las pruebas de controles realizadas por él y de los resultados
de éstas, el auditor de la entidad usuaria puede completar el conocimiento
derivado de los procedimientos y de las conclusiones del auditor de la entidad
prestadora del servicio contactando con la organización de servicios, a través
de la entidad usuaria, para solicitar la posibilidad de discutir con el auditor
de la entidad prestadora del servicio sobre el alcance y los resultados de su
trabajo.
Igualmente, si el auditor de la entidad usuaria lo
considera necesario, puede contactar con la organización de servicios, a través
de aquélla, para solicitar que el auditor de la entidad prestadora del servicio
aplique ciertos procedimientos a la organización de servicios.
Alternativamente, el auditor de la entidad usuaria u otro auditor a solicitud
del auditor de la entidad usuaria, pueden aplicar dichos procedimientos.
El informe tipo 2 del auditor de la entidad
prestadora del servicio identifica los resultados de las pruebas, incluidas las
excepciones y otra información que puedan afectar a las conclusiones del
auditor de la entidad usuaria. Las excepciones señaladas por el auditor de la
entidad prestadora del servicio o una opinión modificada en el informe tipo 2
del auditor de la entidad prestadora del servicio no significan automáticamente
que el informe tipo 2 del auditor de la entidad prestadora del servicio no sea
útil para la auditoría de los estados financieros de la entidad usuaria en la
valoración de los riesgos de incorrección material.
Antes al contrario, las excepciones y la cuestión
que ha dado lugar a una opinión modificada en el informe tipo 2 del auditor de
la entidad prestadora del servicio se tienen en cuenta en la valoración que el
auditor de la entidad usuaria hace de las pruebas de controles realizadas por
el auditor de la entidad prestadora del servicio. Al considerar las excepciones
y las cuestiones que han dado lugar a una opinión modificada, el auditor de la
entidad usuaria puede discutir dichas cuestiones con el auditor de la entidad
prestadora del servicio. Dicha comunicación depende de que la entidad usuaria
contacte con la organización de servicios y obtenga la autorización de ésta
para que tenga lugar la comunicación.
A39. Comunicación de deficiencias en el control
interno identificadas durante la realización de la auditoría
Se requiere que el auditor de la entidad usuaria
comunique oportunamente por escrito, a la dirección y a los responsables del
gobierno de la entidad, las deficiencias significativas identificadas durante
la realización de la auditoría. Asimismo, se requiere que el auditor de la
entidad usuaria comunique a la dirección, oportunamente y a un nivel de
responsabilidad adecuado, otras deficiencias en el control interno
identificadas durante la realización de la auditoría que, según su juicio
profesional, tengan la suficiente importancia como para merecer la atención de
la dirección.
Las cuestiones que el auditor de
la entidad usuaria puede identificar durante la realización de la auditoría y
comunicar a la dirección o a los responsables del gobierno de la entidad
incluyen:
• cualquier
seguimiento de los controles que la entidad usuaria podría implementar,
incluidos los identificados como consecuencia de la obtención de un informe
tipo 1 o tipo 2;
• casos en los que en
el informe tipo 1 o tipo 2 se señalan controles complementarios de la entidad usuaria
y no se han implementado en ella; y
• controles en
la organización de servicios que pueden resultar necesarios y que no parecen
haber sido implementados o no se abordan de forma específica en un informe tipo
2.
A40. Informes tipo 1 y tipo 2 que excluyen los
servicios de una organización de servicios subcontratada (Ref: Apartado 18)
Si la organización de servicios subcontrata a otra
organización de servicios, el informe del auditor de la entidad prestadora del servicio
puede incluir o excluir los pertinentes objetivos de control de la
subcontratada, y otros controles relacionados, en la descripción del sistema de
la organización de servicios y en el alcance del encargo del auditor de la
entidad prestadora del servicio. Estos dos métodos de información se conocen
como el método inclusivo y el método excluyente, respectivamente. Si el informe
tipo 1 o tipo 2 excluye los controles de la subcontratada, y los servicios
prestados por ésta son relevantes para la auditoría de los estados financieros
de la entidad usuaria, se requiere que el auditor de la entidad usuaria aplique
los requerimientos de esta NIA con respecto a la organización de servicios
subcontratada.
La naturaleza y extensión del trabajo que debe
realizar el auditor de la entidad usuaria con respecto a los servicios
prestados por la organización de servicios subcontratada dependen de la
naturaleza y significatividad de dichos servicios para la entidad usuaria y de
su relevancia para la auditoría. La aplicación del requerimiento recogido en el
apartado 9 facilita al auditor de la entidad usuaria la determinación del
efecto de la organización de servicios subcontratada y la naturaleza y el
alcance del trabajo que debe realizar.
Fraude, incumplimiento de las disposiciones legales
y reglamentarias, e incorrecciones no corregidas relacionados con las
actividades de la organización de servicios (Ref: Apartado 19)
La organización de servicios puede estar obligada, de acuerdo con los
términos del contrato con las entidades usuarias, a revelar a las entidades
usuarias afectadas cualquier fraude, incumplimiento de las disposiciones
legales y reglamentarias e incorrecciones no corregidas atribuibles a la
dirección de la organización de servicios o a sus empleados. Tal como requiere
el apartado 19, el auditor de la entidad usuaria efectúa indagaciones ante la
dirección de dicha entidad sobre si la organización de servicios le ha
informado sobre este tipo de cuestiones, y evalúa si las posibles cuestiones
comunicadas por la organización de servicios afectan a la naturaleza, el
momento de realización y la extensión de los procedimientos de auditoría
posteriores del auditor de la entidad usuaria.
En determinadas circunstancias, el auditor de la
entidad usuaria puede necesitar información adicional para realizar esta
evaluación, y puede solicitar a la entidad usuaria que contacte con la
organización de servicios para obtener la información necesaria.
A42.
Información del auditor de la entidad usuaria (Ref: Apartado 20)
Cuando el auditor de la entidad usuaria no pueda
obtener evidencia de auditoría suficiente y adecuada con respecto a los
servicios prestados por una organización de servicios que sean relevantes para
la auditoría de los estados financieros de la entidad usuaria, existirá una
limitación al alcance de la auditoría. Esto puede ocurrir cuando:
• el auditor de la entidad usuaria no puede obtener
conocimiento suficiente de los servicios prestados por la organización de
servicios y no tiene una base suficiente y adecuada para identificar y valorar
los riesgos de incorrección material;
• la valoración del
riesgo por el auditor de la entidad usuaria parte del supuesto de que los
controles de la organización de servicios funcionan eficazmente y el auditor de
la entidad usuaria no puede obtener evidencia de auditoría suficiente y
adecuada sobre la eficacia operativa de dichos controles; o
• la evidencia
de auditoría suficiente y adecuada sólo está disponible en los registros mantenidos
en la organización de servicios y el auditor de la entidad usuaria no puede
obtener acceso directo a dichos registros.
El hecho de que el auditor de la entidad usuaria
exprese una opinión con salvedades o deniegue la opinión depende de su conclusión
con respecto a si los posibles efectos sobre los estados financieros son
materiales o generalizados.
Referencia
al trabajo del auditor de la entidad prestadora del servicio (Ref: Apartados
21-22)
En algunos casos, disposiciones legales
o reglamentarias pueden requerir que se haga referencia
al trabajo del auditor de la entidad prestadora del servicio en el
informe del auditor de la entidad usuaria, por ejemplo, a efectos de
transparencia en el sector público. En tales circunstancias, el auditor de la
entidad usuaria puede necesitar el consentimiento del auditor de la entidad
prestadora del servicio antes de hacer dicha referencia.
El hecho de que la entidad usuaria utilice una
organización de servicios no modifica la responsabilidad del auditor de la
entidad usuaria establecida por las NIA de obtener evidencia de auditoría
suficiente y adecuada que proporcione una base razonable para sustentar su
opinión. Por lo tanto, el auditor de la entidad usuaria no se referirá al
informe del auditor de la entidad prestadora del servicio como fundamento, en
parte, de su opinión sobre los estados financieros de la entidad usuaria.
Sin embargo, cuando el auditor de la entidad
usuaria exprese una opinión modificada debido a una opinión modificada del
informe del auditor de la entidad prestadora del servicio, nada impide que el
auditor de la entidad usuaria haga referencia al informe del auditor de la
entidad prestadora del servicio si dicha referencia sirve para explicar el
motivo de la opinión modificada del auditor de la entidad usuaria. En dichas
circunstancias, puede ser necesario que el auditor de la entidad usuaria
obtenga el consentimiento del auditor de la entidad prestadora del servicio
antes de hacer dicha referencia.
Sinopsis
NIA 402:
Consideraciones de auditoría relativas a una entidad que utiliza una
organización de servicios
Esta Norma
Internacional de Auditoría (NIA) trata de la responsabilidad que tiene el
auditor de la entidad usuaria de obtener evidencia de auditoría suficiente y
adecuada cuando la entidad usuaria utiliza los servicios de una o más
organizaciones de servicios.
LOS OBJETIVOS del auditor
de la entidad usuaria, cuando ésta utiliza los servicios de una organización de
servicios, son:
(a) obtener conocimiento
suficiente de la naturaleza y significatividad de los servicios prestados por
la organización de servicios y de su efecto en los controles internos de la
entidad usuaria relevantes para la auditoría, para identificar y valorar los
riesgos de incorrección material; y
aplicar procedimientos de auditoría para responder a dichos riesgos.
Esta norma
contempla que el auditor debe obtener conocimiento acerca de los servicios
prestados por la organización de servicios, incluido el control interno, para
esto utilizará un informe tipo 1 o tipo 2 , además el auditor debe dar
respuestas a los riesgos valorados de incorrección material y realizará pruebas
de controles para obtener evidencia de auditoría, adicionalmente, el auditor de
la entidad usuaria indagará ante la dirección sobre cualquier fraude que
afecten los estados financieros, y emitirá un informe
Comentarios
Publicar un comentario