Normas de Auditoría, para Atestiguar, Revisión y otros Servicios Relacionados

de auditoría relativo a la entidad usuaria indicará que esta mención no reduce la

responsabilidad del auditor de la entidad usuaria en relación con la opinión de
auditoría. (Ref: Apartado A43)

22. Si la referencia al trabajo del auditor de la entidad prestadora del servicio en el

informe de auditoría relativo a la entidad usuaria es relevante para entender la
opinión modificada del auditor de la entidad usuaria, se indicará que dicha men-
ción no reduce la responsabilidad del auditor de la entidad usuaria en relación con
su opinión. (Ref: Apartado A44)

***

Guía de aplicación y otras anotaciones explicativas

Obtención de conocimiento de los servicios prestados por la organización de
servicios, incluido el control interno

Fuentes de información (Ref: Apartado 9)

A1. Puede obtenerse información sobre la naturaleza de los servicios prestados por la
organización de servicios a través de una amplia gama de fuentes, tales como:

• Manuales de usuario.

• Descripciones de sistemas.

• Manuales técnicos.

• El contrato o el acuerdo de prestación de servicios entre la entidad usuaria y la

organización de servicios.

• Informes de las organizaciones de servicios, de la función de auditoría interna

o de las autoridades reguladoras relativos a controles en la organización de
servicios.

• Informes del auditor de la entidad prestadora del servicio, incluidas cartas a la

dirección, si las hubiera.

A2. El conocimiento obtenido a través de la experiencia del auditor de la entidad usuaria

con la organización de servicios, por ejemplo, debido a otros encargos de auditoría,
también puede servir de ayuda para obtener conocimiento de la naturaleza de los
servicios prestados por la organización de servicios. Esto resultará particularmente útil
si los servicios y controles de la organización de servicios sobre dichos servicios están
muy estandarizados.

Naturaleza de los servicios prestados por la organización de servicios (Ref: Apartado 9(a))

A3. La entidad usuaria puede recurrir a una organización de servicios que procese tran-
sacciones y rinda cuentas sobre ellas, o que registre transacciones y procese los datos
correspondientes. Las organizaciones de servicios que prestan dichos servicios inclu-
406 NIA 402

17 NIA 402.indd 406 01/02/17 15:30

 Consideraciones de Auditoría relativas a una entidad que utiliza una organización de servicios

yen, por ejemplo, departamentos bancarios de administración fiduciaria que invierten

y gestionan activos para los planes de pensiones de empleados o para terceros; bancos
hipotecarios que gestionan hipotecas para terceros; proveedores de servicios de aplica-
ciones informáticas que proporcionan aplicaciones informáticas estandarizadas y un
entorno tecnológico que permiten a los clientes procesar transacciones financieras y
operativas.

A4. Ejemplos de servicios prestados por una organización de servicios que son relevantes
para la auditoría incluyen:

• La llevanza de los registros contables de la entidad usuaria.

• La gestión de activos.

• El inicio, registro o procesamiento de transacciones en calidad de agente de la

entidad usuaria.

Consideraciones específicas para entidades de pequeña dimensión

A5. Es posible que las entidades de pequeña dimensión utilicen servicios externos de con-
tabilidad que vayan desde el procesamiento de determinadas transacciones (por ejem-
plo, el pago de impuestos sobre nóminas) y su registro contable, hasta la preparación
de sus estados financieros. El uso de una organización de servicios para la preparación
de sus estados financieros no exime a la dirección de la entidad de pequeña dimensión
ni, cuando proceda, a los responsables del gobierno de la entidad, de sus responsabili-
dades sobre los estados financieros.6

Naturaleza e importancia relativa de las transacciones procesadas por la organización de servicios (Ref:
Apartado 9(b))

Auditoría
A6. Es posible que la organización de servicios establezca políticas y procedimientos que afecten
al control interno de la entidad usuaria. Dichas políticas y procedimientos están, al menos
en parte, física y operativamente separadas de la entidad usuaria. La significatividad de los
controles de la organización de servicios respecto de los de la entidad usuaria depende de
la naturaleza de los servicios prestados por la organización de servicios, incluidas la natura-
leza y la importancia relativa de las transacciones que procesa para la entidad usuaria. En
determinadas situaciones, las transacciones procesadas por una organización de servicios, y
las cuentas afectadas, pueden no parecer materiales para los estados financieros de la entidad
usuaria, pero la naturaleza de las transacciones procesadas puede ser significativa y el auditor
de la entidad usuaria puede determinar que, en dichas circunstancias, es necesario obtener
conocimiento de dichos controles.

Grado de interacción entre las actividades de la organización de servicios y la entidad usuaria (Ref: Apartado 9(c))

A7. La significatividad de los controles de la organización de servicios respecto de los

de la entidad usuaria depende también del grado de interacción que exista entre
sus actividades y las de la entidad usuaria. El grado de interacción se refiere a la

6
  NIA 200 Objetivos globales del auditor independiente y realización de la auditoría de conformidad con las normas internacionales de
auditoría, apartados 4 y A2-A3.

NIA 402 407

17 NIA 402.indd 407 01/02/17 15:30

 Normas de Auditoría, para Atestiguar, Revisión y otros Servicios Relacionados

medida en que la entidad usuaria puede implementar controles eficaces sobre el

procesamiento realizado por la organización de servicios, y decide así hacerlo. Por
ejemplo, existe un alto grado de interacción entre las actividades de la entidad
usuaria y las de la organización de servicios cuando la entidad usuaria autoriza
las transacciones y la organización de servicios las procesa y contabiliza. En estas
circunstancias, puede resultar factible para la entidad usuaria implementar con-
troles efectivos sobre dichas transacciones. Por otra parte, cuando la organización
de servicios inicia o inicialmente registra, procesa y contabiliza las transacciones
de la entidad usuaria, existe un menor grado de interacción entre las dos organiza-
ciones. En estas circunstancias, es posible que la entidad usuaria no pueda imple-
mentar controles eficaces propios sobre estas transacciones, o decida no hacerlo, y
confíe en los controles de la organización de servicios.

Naturaleza de las relaciones entre la entidad usuaria y la organización de servicios (Ref: Apartado 9(d))

A8. El contrato o el acuerdo de prestación de servicios entre la entidad usuaria y la orga-

nización de servicios puede cubrir cuestiones tales como:

• La información que ha de proporcionarse a la entidad usuaria y las responsa-

bilidades relativas al inicio de las transacciones relacionadas con las actividades
de la organización de servicios;

• la aplicación de requerimientos de las autoridades reguladoras con respecto a

la forma en que se mantendrán los registros o el acceso a éstos;

• la indemnización, en su caso, que recibirá la entidad usuaria en caso de incum-

plimiento de funciones;

• si la organización de servicios proporcionará un informe sobre sus controles y,

en ese caso, si será un informe tipo 1 o tipo 2;

• si el auditor de la entidad usuaria tendrá derecho de acceso a los registros con-

tables de la entidad usuaria que mantiene la organización de servicios y a otra
información necesaria para realizar la auditoría; y

• si el acuerdo permite la comunicación directa entre el auditor de la entidad

usuaria y el auditor de la entidad prestadora del servicio.

A9. Existe una relación directa entre la entidad prestadora del servicio y la entidad usuaria y
entre la organización de servicios y el auditor de la entidad prestadora del servicio. Estas
relaciones no crean necesariamente una relación directa entre el auditor de la entidad
usuaria y el auditor de la entidad prestadora del servicio. Cuando no existe relación directa
entre ambos, las comunicaciones entre el auditor de la entidad usuaria y el auditor de la
entidad prestadora del servicio se llevan a cabo normalmente a través de la entidad usuaria
y la organización de servicios. También puede establecerse una relación directa entre el
auditor de la entidad usuaria y el auditor de la entidad prestadora del servicio, teniendo
en cuenta las consideraciones de ética y de confidencialidad aplicables. Por ejemplo, el
auditor de la entidad usuaria puede recurrir al auditor de la entidad prestadora del servicio
para que éste aplique procedimientos en nombre de aquel, tales como:

408 NIA 402

17 NIA 402.indd 408 01/02/17 15:30

 Consideraciones de Auditoría relativas a una entidad que utiliza una organización de servicios

(a) Pruebas de controles en la organización de servicios; o

(b) procedimientos sustantivos en relación con las transacciones y los saldos de los
estados financieros de la entidad usuaria que competen a la organización de
servicios.

Consideraciones específicas para entidades del sector público

A10. Los auditores del sector público normalmente tienen derechos de acceso amplios esta-
blecidos por la normativa. Sin embargo, puede haber situaciones en las que no se dis-
ponga de dichos derechos de acceso; por ejemplo, cuando la organización de servicios
está situada en una jurisdicción diferente. En estos casos, puede resultar necesario que
el auditor del sector público obtenga conocimiento de la legislación aplicable en dicha
jurisdicción, con el fin de determinar si pueden obtenerse derechos de acceso perti-
nentes. El auditor del sector público también puede obtener de la entidad usuaria,
o solicitar a ésta, que incorpore derechos de acceso a cualquier acuerdo contractual
entre la entidad usuaria y la organización de servicios.

A11. Los auditores del sector público pueden igualmente recurrir a otro auditor para que
éste realice pruebas de controles o aplique procedimientos sustantivos en relación con el
cumplimiento de las disposiciones legales o reglamentarias u otras disposiciones.

Conocimiento de los controles relacionados con los servicios prestados por la organización de servicios (Ref:
Apartado 10)

A12. La entidad usuaria puede establecer controles para los servicios prestados por la orga-
nización de servicios sobre los que el auditor de la entidad usuaria pueda realizar
pruebas que permitan a dicho auditor concluir que los controles de la entidad usua-
ria están operando eficazmente con respecto a algunas o a todas las afirmaciones
correspondientes, todo ello con independencia de los controles implantados en la

Auditoría
organización de servicios. Si la entidad usuaria, por ejemplo, utiliza una organización
de servicios para procesar las nóminas, la entidad usuaria puede establecer controles
sobre la entrega y recepción de información sobre las nóminas que puedan evitar o
detectar incorrecciones materiales. Estos controles pueden incluir:

• La comparación de los datos entregados a la organización de servicios con los

informes recibidos de la organización de servicios, una vez que se han proce-
sado los datos.

• Un nuevo cálculo a partir de una muestra de las cantidades que figuran en las
nóminas para comprobar su exactitud aritmética y revisar la razonabilidad del
importe total de la nómina.

A13. En esta situación, el auditor de la entidad usuaria puede realizar pruebas de los con-
troles de la entidad usuaria sobre el procesamiento de las nóminas que le proporcio-
nen una base para concluir que los controles de la entidad usuaria están operando
eficazmente respecto de las afirmaciones relacionadas con las transacciones relativas a
las nóminas.

NIA 402 409

17 NIA 402.indd 409 01/02/17 15:30

 Normas de Auditoría, para Atestiguar, Revisión y otros Servicios Relacionados

A14. Como se indica en la NIA 315 (Revisada), 7 con respecto a algunos riesgos, el
auditor de la entidad usuaria puede juzgar que no es posible o factible obte-
ner evidencia de auditoría suficiente y adecuada aplicando únicamente proce-
dimientos sustantivos. Dichos riesgos pueden estar relacionados con el registro
inexacto o incompleto de tipos de transacciones y de saldos contables rutinarios
y significativos, cuyas características permiten a menudo un procesamiento alta-
mente automatizado con escasa o nula intervención manual. Dichas caracterís-
ticas que permiten un procesamiento automatizado pueden estar especialmente
presentes cuando la entidad usuaria utiliza organizaciones de servicios. En estos
casos, los controles de la entidad usuaria sobre los riesgos son relevantes para
la auditoría, y se requiere que el auditor de la entidad usuaria obtenga conoci-
miento de dichos controles de conformidad con los apartados 9 y 10 de la pre-
sente NIA, y los evalúe.

Procedimientos a aplicar cuando no se puede obtener conocimiento suficiente a través de la propia entidad
usuaria (Ref: Apartado 12)

A15. La decisión del auditor de la entidad usuaria sobre los procedimientos enumerados
en el apartado 12 que aplicará, de manera individual o en combinación con otros, a
fin de obtener la información necesaria para disponer de una base suficiente para la
identificación y valoración de los riesgos de incorrección material relacionados con la
utilización, por parte de la entidad usuaria, de una organización de servicios, puede
verse influida por cuestiones como:

• la dimensión tanto de la entidad usuaria como de la organización de servicios;

• la complejidad de las transacciones de la entidad usuaria y de los servicios

prestados por la organización de servicios;

• la ubicación de la organización de servicios (por ejemplo, el auditor de la

entidad usuaria puede decidir que otro auditor aplique procedimientos en la
organización de servicios por cuenta del auditor de la entidad usuaria si la
organización de servicios está en un lugar lejano);

• si se espera que el procedimiento o procedimientos proporcionen eficazmente

al auditor de la entidad usuaria evidencia de auditoría suficiente y adecuada; y

• la naturaleza de la relación entre la entidad usuaria y la organización de servicios.

A16. La organización de servicios puede contratar a un auditor para que informe sobre
la descripción y el diseño de sus controles (informe tipo 1) o sobre la descripción y el
diseño de sus controles, y su eficacia operativa (informe tipo 2). Los informes tipo 1 y
tipo 2 pueden ser emitidos de acuerdo con la Norma Internacional sobre Encargos
de Aseguramiento (International Standards on Assurance Engagements, ISAE) 34028
o según las normas establecidas por un organismo emisor de normas autorizado o
reconocido (el cual puede identificarlos con diferentes nombres, como informes tipo A
o tipo B).

7
  NIA 315 (Revisada), apartado 30.
8
  ISAE 3402, Informes de aseguramiento sobre los controles en las organizaciones de servicios.

410 NIA 402

17 NIA 402.indd 410 01/02/17 15:30

 Consideraciones de Auditoría relativas a una entidad que utiliza una organización de servicios

A17. La disponibilidad de un informe tipo 1 o tipo 2 dependerá normalmente de si está

previsto en el contrato entre la organización de servicios y la entidad usuaria que la
organización de servicios proporcione dicho informe. La organización de servicios
puede también decidir, por motivos prácticos, facilitar un informe tipo 1 o tipo 2 a las
entidades usuarias. Sin embargo, en algunos casos, las entidades usuarias pueden no
disponer de un informe tipo 1 o tipo 2.

A18. En algunas circunstancias, la entidad usuaria puede externalizar una o varias unida-
des o funciones empresariales significativas, como, por ejemplo, todas sus funciones de
planificación fiscal y cumplimiento de las obligaciones fiscales, o la función financiera
y de contabilidad o la de control, a una o a varias organizaciones de servicios. Puesto
que en dichas circunstancias es posible que no se disponga de un informe sobre los
controles de la organización de servicios, la visita a la organización de servicios puede
ser el procedimiento más eficaz para que el auditor de la entidad usuaria obtenga
conocimiento de sus controles, ya que probablemente exista una interacción directa
entre la dirección de la entidad usuaria y la dirección de la organización de servicios.

A19. Se puede recurrir a otro auditor para que aplique procedimientos que proporcionen
la información necesaria sobre los controles relevantes de la organización de servicios.
Si se ha emitido un informe tipo 1 o tipo 2, el auditor de la entidad usuaria puede
recurrir al auditor de la entidad prestadora del servicio con el fin de que aplique dichos
procedimientos, puesto que ya existe una relación entre éste y la entidad prestadora
del servicio. El auditor de la entidad usuaria que recurra al trabajo de otro auditor
puede encontrar orientaciones útiles en la NIA 600,9 ya que se refiere al conocimiento
de otro auditor (incluidas su independencia y su competencia profesional) y la parti-
cipación en el trabajo de otro auditor de cara a la planificación de la naturaleza, el
momento de realización y la extensión de dicho trabajo, y a la evaluación de la sufi-
ciencia y adecuación de la evidencia de auditoría obtenida.

A20. La entidad usuaria puede utilizar una organización de servicios que, a su vez, sub-

Auditoría
contrate a otra organización de servicios para proporcionar algunos de los servicios
prestados a la entidad usuaria que forman parte del sistema de información de ésta
relevante para la información financiera. La organización de servicios subcontratada
puede ser una entidad independiente de la organización de servicios o estar vinculada
a ésta. Puede resultar necesario que el auditor de la entidad usuaria tenga en cuenta
los controles de la organización de servicios subcontratada. En situaciones en las que
se subcontratan una o varias organizaciones de servicios, la interacción entre las activi-
dades de la entidad usuaria y las de la organización de servicios se amplía para incluir
la interacción entre la entidad usuaria, la organización de servicios y las organizacio-
nes de servicios subcontratadas. El grado de dicha interacción, así como la naturaleza
e importancia relativa de las transacciones procesadas por la organización de servicios
y las organizaciones de servicios subcontratadas, son los factores más importantes que
debe tener en cuenta el auditor de la entidad usuaria a la hora de determinar la signi-
ficatividad de los controles de la organización de servicios y de las organizaciones de
servicios subcontratadas con respecto a los controles de la entidad usuaria.

9
  El apartado 2 de la NIA 600, Consideraciones especiales – Auditorías de estados financieros de grupos (incluido el trabajo de los
auditores de los componentes), indica: “Cuando un auditor involucre a otros auditores en la auditoría de unos estados
financieros que no sean los de grupo, esta NIA puede resultar de utilidad para dicho auditor, adaptada en la
medida en la que las circunstancias lo requieran…”. Véase también el apartado 19 de la NIA 600.

NIA 402 411

17 NIA 402.indd 411 01/02/17 15:30