Normatividad IMCP y CINIF

Procedimientos de Auditoría
Guías de Auditoría emitidas po...
Serie 6000

PROCEDIMIENTOS DE AUDITORÍA 2011 - BOLETÍN 6090

Boletín 6090. Revisión de control interno de entidades que utilizan organizaciones de servicios

ÍNDICE

  PÁRRAFOS

Generalidades 1 al 2

Objetivo del boletín 3

Alcance y limitaciones 4 al 7
Definiciones 8
El efecto de una entidad de servicio sobre la estructura del control interno
9 al 11
de la entidad usuaria
Planeación de la auditoría 12 al 16
Evaluación del riesgo de control de la entidad usuaria 17 al 19
Consideraciones relacionadas con la utilización del informe del auditor o
20 al 24
revisor del servicio
Fecha de emisión y revisión de este boletín 25

Generalidades
1 En la actualidad es común que diversas actividades, entre otras el procesamiento de
la información financiera o de parte de ésta, sea realizado por terceros y, en
consecuencia, se requiera que se establezcan diversos controles en las entidades que
permitan asegurar que dicha información sea razonable.
2 Por otra parte, el Contador Público independiente debe considerar, en su estudio y
evaluación de la estructura de control interno de la entidad a auditar, el efecto que
tiene en dicha estructura, el hecho de que el procesamiento de las transacciones sea
realizado por un tercero.
Objetivo
3 El objetivo de este boletín es establecer los factores que debe considerar el Contador
Público independiente al auditar los estados financieros de una entidad que contrata a
un tercero u organizaciones de servicios para procesar diversas transacciones, así
como recomendar cierto tipo de informes que puede emitir el auditor o revisor de las
organizaciones de servicios para el uso de otros auditores.
Alcance y limitaciones
4 Este boletín únicamente comprende los lineamientos para los auditores
independientes de entidades cuya información financiera incluye transacciones
procesadas por terceros y no incluye lineamientos para la auditoría de sistemas o
procesamiento electrónico de datos, o la evaluación del control interno de dichos
sistemas, los cuales son tratados en otros boletines de esta Comisión.
5 Los lineamientos de este boletín son aplicables a la auditoría de los siguientes
servicios:

          • Llevar a cabo transacciones y la contabilidad correspondiente.

• Registrar transacciones y el procesamiento de los datos correspondientes.

6 Como ejemplos de este tipo de servicios, en la práctica de las empresas, se
encuentran el manejo de las nóminas por parte de prestadores de servicios externos y
el pago de las contribuciones relativas, el servicio externo de la contabilidad o parte
de ésta y un centro de procesamiento electrónico de datos que procesa las
transacciones para terceros.
7 Los pronunciamientos de este boletín no son aplicables en situaciones en las que los
servicios de un tercero están limitados a la ejecución de transacciones que son
específicamente autorizadas por la entidad usuaria, tales como las inversiones que
realiza un corredor de valores por cuenta de terceros o la gestoría de agentes
aduanales por cuenta de sus clientes.
Definiciones
8 Para los fines de este boletín se aplican las siguientes Definiciones:
• Entidad usuaria. La entidad cuyos estados financieros son objeto de
auditoría y que contrata a una entidad de servicio.
• Entidad de servicio. La entidad que presta servicios a la entidad usuaria,
relacionados con el registro y/o procesamiento de información que incide en
los estados financieros de esta última y que no están limitados únicamente a
transacciones autorizadas por la entidad usuaria.
• Auditor del usuario. El auditor independiente que lleva a cabo el examen
de los estados financieros de la entidad usuaria. En párrafos subsecuentes se
hace también refierencia al auditor del usuario como "el auditor".
• Auditor o revisor del servicio. Persona que emite un informe sobre
políticas y procedimientos puestos en operación y en su caso, sobre pruebas
de efectividad operacional, relativos a los servicios que la entidad de servicio
presta a la entidad usuaria.
• Políticas y procedimientos de control de la entidad de servicio. Son
aquéllos que están relacionados con la prestación de los servicios contratados
por la entidad usuaria y que forman parte de la estructura de control interno
de la entidad de servicio.
El efecto de una entidad de servicio sobre la estructura del control interno de la entidad
usuaria
9 El auditor deberá considerar los aspectos que se describen en los párrafos siguientes,
al planear y llevar a cabo la auditoría de los estados financieros de una entidad
usuaria. Cuando una entidad usuaria contrata a una de servicio, las transacciones que
afectan los estados financieros de aquélla están sujetas a políticas y procedimientos
que, al menos en una parte, están separados tanto física como operativamente de la
entidad usuaria. La relación de las políticas y procedimientos de la entidad de
servicio con los de la usuaria depende, sobre todo, de la naturaleza de los servicios
contratados.
10 En ocasiones existe un alto nivel de interacción entre las políticas y procedimientos
de una y otra entidad, como sucede en el caso de servicios de procesamiento
electrónico de información, en el que la autorización y la responsabilidad de las
transacciones recae en la propia entidad usuaria, la que puede tener políticas y
procedimientos efectivos en su estructura de control, en relación con dichas
transacciones. En otras ocasiones, la entidad de servicio puede realizar transacciones
y responsabilizarse de ellas, como puede ser el caso de un servicio de manejo de
nóminas y del entero de las contribuciones relativas, en este caso, las políticas y
procedimientos de la entidad de servicio interactúan en menor grado con los de la
 usuaria, la que no tendría necesariamente elementos efectivos en su estructura de
control interno relacionados con las transacciones que están a cargo de la entidad de
servicio.
11 Para determinar la relevancia de las políticas y procedimientos de la entidad de
servicio, en cuanto a la estructura de control interno de la entidad usuaria, los
factores de mayor importancia a tener en cuenta son el nivel de interacción, la
naturaleza y la importancia de las transacciones que se procesan en la entidad de
servicio.

Planeación de la auditoría
12 El Boletín 3050 de esta Comisión define los elementos de la estructura del control
interno y establece los pronunciamientos normativos aplicables a su estudio y
evaluación, como aspecto fundamental al diseñar la estrategia de auditoría. El mismo
Boletín 3050 señala que "el auditor deberá documentar su conocimiento y
comprensión de la estructura de control interno, como parte del proceso de
planeación de la auditoría"; esta comprensión debe incluir información sobre el
diseño de políticas, procedimientos y registros relevantes y se deberá determinar si
éstos han sido implantados por la entidad.
13 Las políticas, procedimientos y registros de la entidad de servicio, pueden afectar la
habilidad de la usuaria para registrar, procesar, resumir y reportar datos financieros
que inciden en los estados financieros de ésta. El auditor del usuario debe, en
consecuencia, considerar los siguientes factores al evaluar la importancia de tales
políticas, procedimientos y registros como parte de su planeación de la auditoría:
• La materialidad de las cifras de los estados financieros que se ven afectadas
por las transacciones que son procesadas por la entidad de servicio.
• El riesgo inherente a la información que se ve afectada por las transacciones
que son procesadas por la entidad de servicio.
• La naturaleza de los servicios que se prestan a la entidad usuaria. En este
sentido, es importante considerar si tales servicios se prestan a un gran
número de empresas usuarias y, en consecuencia, tienen un alto grado de
estandarización, o si son utilizados únicamente por la entidad que se está
auditando.
• El grado en que las políticas y procedimientos que forman parte de la
estructura de control interno de la entidad usuaria, interactúan con las
políticas y procedimientos de la de servicio.
• La existencia de políticas y procedimientos dentro de la estructura de
control interno de la entidad usuaria, aplicables a las transacciones que son
procesadas en la de servicio.
• Las condiciones contractuales del servicio, considerando las
responsabilidades asumidas por la entidad de servicio.
• Las características de la entidad de servicio, tales como su prestigio,
experiencia, independencia respecto de la entidad usuaria y otras.
• Experiencias anteriores con la entidad de servicio.

14 En algunos casos, la consideración de estos factores puede llevar al auditor a la

conclusión de que su evaluación del control interno de la entidad usuaria, no se ve
afectada de manera importante por las políticas y procedimientos de control de la
entidad de servicio. En estos casos, no sería necesario considerar lo que se describe
en los párrafos siguientes.
15 El auditor del usuario deberá considerar la información disponible sobre las políticas
y procedimientos de la entidad de servicio, incluyendo:

a) La información que tenga la propia entidad usuaria, como pueden ser manuales y
otro tipo de descripciones de los sistemas.
 b) La existencia, en su caso, de informes sobre políticas y procedimientos puestos en
operación de la entidad de servicio, que pueden ser emitidos por auditores o revisores
externos o internos de la misma entidad.

16 El auditor del usuario debe llegar a una conclusión, una vez considerados los factores
anteriores y al haberse evaluado la información disponible, acerca de si existen los
elementos necesarios para alcanzar un nivel suficiente de conocimiento de la
estructura de control interno para planear su auditoría. En caso de que el auditor del
usuario concluya que no cuenta con elementos suficientes para lograr este
conocimiento, puede considerar la posibilidad de ponerse en contacto con la entidad
de servicio, por medio de la entidad usuaria, para obtener más información o
solicitar, si es viable, que el auditor o revisor del servicio lleve a cabo los
procedimientos necesarios para obtener información suficiente. Si finalmente el
auditor del usuario no puede obtener evidencia suficiente para cumplir con los
objetivos de su auditoría, deberá considerar la posibilidad de que esta situación
tuviera efecto en su opinión por una limitación al alcance de su revisión.
Evaluación del riesgo de control de la entidad usuaria

17 Una vez que el auditor del usuario tiene una comprensión adecuada de la estructura
del control interno, debe evaluar el riesgo de control relativo a las transacciones que
se ven afectadas por las actividades de la entidad de servicio. En esta evaluación se
pueden identificar las políticas y procedimientos de la estructura de control interno
que, de ser efectivos, permitirían calificar el riesgo de control por debajo de un nivel
alto. Estas políticas y procedimientos pueden corresponder tanto a la entidad usuaria
como a la de servicio. Asimismo, el auditor del usuario puede llegar a la conclusión
de que sería eficiente para su examen obtener evidencia sobre la efectividad
operativa de estas políticas y procedimientos y así sustentar su evaluación del riesgo.

18 En caso de que la entidad usuaria tenga controles efectivos sobre las actividades de la
de servicio y éstos sean sometidos a prueba por parte del auditor, podría no ser
eficiente ni necesario obtener evidencia sobre la efectividad de las políticas y
procedimientos de dicha entidad de servicio, para disminuir la evaluación del grado
de riesgo de control en la auditoría de la entidad usuaria.

19 En caso de que el auditor del usuario tenga conocimiento de que las políticas y
procedimientos, que son relevantes para evaluar el riesgo de control por debajo de un
nivel alto, se apliquen en la entidad de servicio y pretenda tal evaluación, deberá
obtener evidencia sobre la efectividad operativa de dichas políticas y procedimientos,
para lo cual puede optar por alguno de los siguientes procedimientos:

a) Revisión directa del auditor. En este caso el auditor del usuario, previo acuerdo de
su cliente y la entidad de servicio, puede llevar a cabo pruebas sobre la efectividad de
los controles en dicha entidad de servicio.

b) Revisión por parte del auditor/revisor del servicio. En este caso, el auditor del
usuario puede obtener un informe del auditor/revisor del servicio, en alguna de las
siguientes modalidades.

• Un informe sobre políticas y procedimientos puestos en operación y pruebas

de cumplimiento.
• Un informe sobre la aplicación de procedimientos previamente convenidos
que incluyan las pruebas que el auditor del usuario determine como
necesarias, sobre la efectividad de los controles relevantes.
En cualquier caso, el auditor del usuario es responsable de evaluar la evidencia
obtenida y de determinar su efecto sobre la evaluación del riesgo de control en la
entidad usuaria.
Consideraciones relacionadas con la utilización del informe del auditor o revisor del
servicio

20 El tipo de trabajo acordado y el informe correspondiente, deben ser establecidos por

la entidad de servicio. Sin embargo, cuando lo permiten las circunstancias, es
 conveniente que la entidad de servicio y la entidad usuaria, sostengan pláticas para
determinar el tipo de informe más adecuado para las necesidades de esta última. A
continuación se describen los dos tipos de informes que pueden ser emitidos:

a) Informe sobre políticas y procedimientos puestos en operación. Es el informe de

un auditor/revisor del servicio sobre la descripción de la entidad de servicio, acerca
de las políticas y los procedimientos de su estructura de control interno que pueden
ser importantes para una entidad usuaria. En este informe, el auditor/revisor del
servicio reporta si la descripción que hace la entidad de servicio es razonable, si las
políticas y los procedimientos fueron adecuadamente diseñados para lograr los
objetivos de control establecidos, y si fueron puestos en operación en una fecha
específica. Dichos informes pueden ofrecer al auditor de la entidad usuaria una
comprensión sobre las políticas y procedimientos que son necesarios para planear la
auditoría y para diseñar pruebas de cumplimiento y pruebas sustantivas en la entidad
usuaria, pero no se pretende que ofrezcan al auditor del usuario, una base para
reducir por debajo de un nivel alto su evaluación del riesgo de control.

b) Informe sobre políticas y procedimientos puestos en operación y pruebas de

cumplimiento. Es un informe del auditor/revisor del servicio que, adicionalmente a lo
contenido en el informe mencionado en el párrafo anterior, indica si las políticas y
procedimientos sometidos a prueba se encontraban en operación con suficiente
efectividad, con el objeto de ofrecer una seguridad razonable, mas no absoluta, de
que los objetivos de control correspondientes fueron logrados en el periodo
establecido. Dichos informes pueden ofrecer al auditor del usuario un conocimiento
sobre las políticas y los procedimientos necesarios para planear la auditoría y
también contar con una base para reducir, por debajo de un nivel alto, su evaluación
del riesgo de control. Al respecto, es importante que el auditor del usuario considere
el periodo cubierto por las pruebas del auditor/revisor del servicio para los fines de su
examen.
Las características de estos informes forman parte de la sección de normas para
atestiguar.
21 Al auditor/revisor del servicio se le puede solicitar que aplique pruebas de
cumplimiento, específicamente, requeridas por el auditor del usuario y/o
procedimientos sustantivos a las transacciones del usuario que fueron procesadas por
la entidad de servicio. En estas circunstancias, el auditor/revisor del servicio deberá
emitir un informe sobre el resultado de la aplicación de procedimientos previamente
convenidos, conforme a los lineamientos que al efecto ha establecido esta Comisión.
22 Al determinar si el informe del auditor/revisor del servicio es suficiente para cumplir
con sus objetivos, el auditor del usuario puede considerar la necesidad de discutir con
el primero el alcance y los resultados de su trabajo. Asimismo, en algunos casos, el
auditor del usuario podrá solicitar que, previo acuerdo de la entidad usuaria y la
entidad de servicio, el auditor/revisor del servicio lleve a cabo ciertos procedimientos
adicionales para complementar la evidencia necesaria para su evaluación, o bien, que
al propio auditor del usuario se le permita llevar a cabo tales procedimientos.

23 Al evaluar las políticas y procedimientos de una entidad de servicio y la manera en

que interactúan con los de la entidad usuaria, el auditor del usuario puede observar la
existencia de situaciones a informar. En este caso, se deben tomar en consideración
los lineamientos establecidos en el Boletín 3050 de esta Comisión, relativos a la
"Comunicación de situaciones a informar".
24 El auditor del usuario no debe hacer refierencia al informe del auditor del servicio
que, en su caso, haya obtenido como parte de la evidencia necesaria para su examen,
como base de su propia opinión sobre los estados financieros del usuario.

Fecha de emisión y revisión de este boletín

25 Este boletín se emitió el 31 de diciembre de 2004 y fue revisado en marzo de 2011.