Isae 3402

NORMA INTERNACIONAL DE ENCARGOS DE
ASEGURAMIENTO (NIEA) 3402

INFORMES DE ASEGURAMIENTO SOBRE LOS
CONTRROLES EN LAS ORGANIZACIONES DE SERVICIOS
((Aplicable a los informes de aseguramiento de auditores del servicio que cubran
periodos que terminen a partir del 15 de junio de 2011)
CONTENIDO
Apartado
Introducción
Alcance de esta NIEA ............................................................................... 1–6
Fecha de entrada en vigor ......................................................................... 7
Objetivos ................................................................................................... 8
Objetivos .................................................................................................. 9
Requerimientos
NIEA 3000 ................................................................................................. 10
Requerimientos de ética ............................................................................ 11
Dirección y responsables del gobierno de la entidad ................................ 12
Aceptación y continuidad .......................................................................... 13–14
Evaluación de la adecuación de los criterios ............................................. 15–18
Materialidad o importancia relativa .......................................................... 19
Obtención de conocimiento del sistema de la organización de servicios .. 20
Obtención de evidencia relativa a la descripción ...................................... 21–22
Obtención de evidencia relativa al diseño de los controles ........................ 23
Obtención de evidencia relativa a la eficacia operativa de los controles .. 24–29
El trabajo de la función de auditoría interna ............................................. 30–37
Manifestaciones escritas ........................................................................... 38–40
Otra información ....................................................................................... 41–42
Hechos posteriores .................................................................................... 43–44
Documentación ......................................................................................... 45–52
Preparación del informe de aseguramiento del auditor del servicio .......... 53–55
Otras responsabilidades de comunicación ................................................ 56
NIEA 3402 238

INFORMES DE ASEGURAMIENTO SOBRE LOS CONTRROLES EN LAS ORGANIZACIONES DE
SERVICIOS
Guía de aplicación y otras anotaciones explicativas

Alcance de esta NIEA ............................................................................... A1–A2
NIEA
Definiciones .............................................................................................. A3–A4
Requerimientos de ética ............................................................................ A5
Dirección y responsables del gobierno de la entidad ................................ A6
Aceptación y continuidad .......................................................................... A7–A12
Evaluación de la adecuación de los criterios ............................................ A13–A15
Materialidad o importancia relativa .......................................................... A16–A18
Obtención de conocimiento del sistema de la organización de servicios .. A19–A20
Obtención de evidencia relativa a la descripción ...................................... A21–A24
Obtención de evidencia relativa al diseño de los controles ........................ A25–A27
Obtención de evidencia relativa a la eficacia operativa de los controles .. A28–A36
El trabajo de la función de auditoría interna ............................................. A37–A41
Manifestaciones escritas ........................................................................... A42–A43
Otra información ........................................................................................ A44–A45
Documentación ......................................................................................... A46
Preparación del informe de aseguramiento del auditor del servicio ......... A47–A52
Otras responsabilidades de comunicación ................................................ A53
Anexo 1: Ejemplos de afirmaciones de la organización de servicios
Anexo 2: Ejemplos de informes de aseguramiento del auditor del servicio
Anexo 3: Ejemplos de informes de aseguramiento modificados del auditor de la
entidad prestadora del servicio
La Norma Internacional de Encargos de Aseguramiento (NIEA) 3402, debe

interpretarse juntamente con el Prefacio de las Normas Internacionales de Control
de Calidad, Auditoría, Revisión, Otros Encargos de Aseguramiento y Servicios
Relacionados.
239 NIEA 3402

SERVICIOS
Introducción
Alcance de esta NIEA
1. Esta Norma Internacional de Encargos de Aseguramiento (NIEA) trata de los
encargos de aseguramiento, realizados por un profesional ejerciente,1 cuyo fin es
proporcionar un informe, que será utilizado por las entidades usuarias y sus auditores,
sobre los controles en una organización de servicios que presta un servicio a las
entidades usuarias que probablemente sea relevante para el control interno de las
mismas al estar relacionado con la información financiera. Complementa la NIA
402,2 en el sentido de que los informes que se preparen de conformidad con esta NIEA
pueden proporcionar evidencia adecuada según la NIA 402. (Ref.: Apartado A1)
2. El Marco Internacional para Encargos de Aseguramiento ((el Marco de
Aseguramiento) establece que un encargo de aseguramiento puede ser un “encargo
de seguridad razonable” o un “encargo de seguridad limitada” y que un encargo de
aseguramiento puede ser un “encargo de constatación” o un encargo consistente en
un informe directo. 3 Esta NIEA trata únicamente de encargos de seguridad
razonable de constatación.4
3. Esta NIEA sólo es aplicable cuando la organización de servicios es responsable de
que los controles estén adecuadamente diseñados o cuando, en otra circunstancia,
pueda realizar una declaración sobre dicho diseño. Esta NIEA no trata de encargos
de aseguramiento:
(a) Únicamente para informar sobre si los controles en una organización de
servicios han funcionado según se describen; o
(b) para informar sobre los controles en una organización de servicios distintos
de los que están relacionados con un servicio que probablemente sea
relevante para el control interno de las entidades usuarias relacionado con la
información financiera (por ejemplo, controles que afectan a los controles
de producción o de calidad de las entidades usuarias).
Sin embargo, esta NIEA sí proporciona algunas orientaciones para dichos encargos
cuando se realizan de conformidad con la NIEA 3000 (Revisada). (Ref.: Apartado
A2)
4. Además de ser contratado para emitir un informe de aseguramiento sobre controles,
el auditor del servicio puede ser contratado para proporcionar informes tales como
los siguientes, los cuales no son tratados en esta NIEA:
(a) Informes sobre las transacciones o los saldos de una entidad usuaria que son
procesados por una organización de servicios; o
1
NIEA 3000 (Revisada) Encargos de Aseguramiento distintos de la Auditoría o de la Revisión de
Información Financiera Histórica apartado 12(r).
2
NIA 402, Consideraciones de auditoría relativas a una entidad que utiliza una organización de
servicios.
3
NIA 3000 (Revisada), apartado 12.
4
Apartados 13 y 52(k) de esta NIEA.
NIEA 3402 240

SERVICIOS
(b) informes de procedimientos acordados sobre los controles en una

organización de servicios.
NIEA
Relación con la NIEA 3000 (Revisada), otros pronunciamientos profesionales y otros
requerimientos
5. Al auditor de la entidad prestadora del servicio se le requiere que cumpla con la
NIEA 3000 (Revisada) y con esta NIEA cuando lleve a cabo encargos de
aseguramiento sobre los controles en una organización de servicios. Esta NIEA
complementa, pero no reemplaza la NIEA 3000 (Revisada) y desarrolla la forma en
la que la NIEA 3000 (Revisada) se ha de aplicar en el caso de un encargo de
seguridad razonable cuyo fin sea informar sobre los controles en una organización
de servicios.
6. El cumplimiento de la NIEA 3000 (Revisada) requiere, entre otros aspectos, el
cumplimiento de las Partes A y B del Código de Ética para Profesionales de la
Contabilidad. emitido por el Consejo de Normas Internacionales de Ética para
Profesionales de la Contabilidad (Código de Ética del IESBA) relativas a los
encargos de aseguramiento u otros requerimientos profesionales o contenidos en
disposiciones legales o reglamentarias que sean al menos igual de exigentes.5
También exige que el socio del encargo sea miembro de una firma que aplica la
NICC 16 u otros requerimientos profesionales o requerimientos de disposiciones
legales o reglamentarias que sean al menos igual de exigentes que la NICC 1.
Fecha de entrada en vigor
7. Esta NIEA es aplicable a los informes de aseguramiento del auditor del servicio que
cubran periodos que terminen a partir del 15 de junio de 2011.
Objetivos
8. Los objetivos del auditor del servicio son:
(a) Obtener una seguridad razonable, en todos los aspectos materiales, sobre la
base de criterios apropiados:
(i) de que la descripción de su sistema realizada por la organización de
servicios presenta fielmente el sistema tal como estaba diseñado e
implementado durante el periodo especificado (o, en caso de un
informe tipo 1, en una determinada fecha);
(ii) de que los controles relacionados con los objetivos de control
indicados en la descripción de su sistema realizada por la
organización de servicios estaban adecuadamente diseñados durante
el periodo especificado (o, en caso de un informe tipo 1, en una
determinada fecha);
5
NIEA 3000 (Revisada) apartados 3(a), 20 y 34.
6
NIEA 3000 (Revisada) apartados 3(b) y 31(a). Norma Internacional de Control de Calidad (NICC) 1,
Control de calidad en las firmas de auditoría que realizan auditorías y revisiones de estados
financieros, así como otros encargos que proporcionan un grado de seguridad y servicios
relacionados.
241 NIEA 3402

SERVICIOS
(iii) cuando se incluya en el alcance del encargo, de que los controles

funcionaron eficazmente para proporcionar una seguridad razonable
de que los objetivos de control que se indican en la descripción de su
sistema realizada por la organización de servicios se alcanzaron a lo
largo del periodo especificado
(b) Informar sobre las cuestiones descritas en (a) de acuerdo con sus hallazgos.
Definiciones
9. A efectos de esta NIEA, los siguientes términos tienen los significados que figuran
a continuación:
(a) Método de exclusión – Método para tratar los servicios prestados por una
subcontratación de la organización de servicios en el que la descripción de su
sistema realizada por la organización de servicios incluye la naturaleza de los
servicios prestados por la subcontratación, pero en el que los correspondientes
objetivos de control y los controles relacionados con los mismos en la
subcontratación se excluyen de dicha descripción, así como del alcance del
encargo del auditor del servicio. La descripción de su sistema realizada por la
organización de servicios y el alcance del encargo del auditor del servicio
incluyen los controles existentes en la organización de servicios para el
seguimiento de la eficacia de los controles en la subcontratación, lo cual puede
incluir la revisión por parte de la organización de servicios de un informe de
aseguramiento relativo a los controles en la subcontratación.
(b) Controles complementarios de la entidad usuaria – Controles que la
organización de servicios, en el diseño de su servicio, presupone que serán
implementados por las entidades usuarias y que, si resultan necesarios para
que se alcancen los objetivos de control mencionados en la descripción de su
sistema realizada por la organización de servicios, se identifican en dicha
descripción.
(c) Objetivo de control – La finalidad o el propósito de un determinado aspecto
de los controles. Los objetivos de control están relacionados con los riesgos
que los controles intentan mitigar.
(d) Controles en la organización de servicios – Controles sobre el logro de un
objetivo de control cubierto por el informe de aseguramiento del auditor del
servicio. (Ref.: Apartado A3)
(e) Controles en la subcontratación de la organización de servicios – Controles
en la subcontratación cuyo fin es proporcionar una seguridad razonable de
que se alcanza un objetivo de control.
(f) Criterios - Referencias utilizadas para evaluar o medir la materia subyacente
objeto de análisis. Los "criterios aplicables" son los criterios utilizados en un
encargo concreto.
(g) Método de inclusión – Método para tratar los servicios prestados por una
subcontratación de la organización de servicios en el que la descripción de su
NIEA 3402 242

SERVICIOS
sistema realizada por la organización de servicios incluye la naturaleza de los

servicios prestados por la subcontratación, y los correspondientes controles
NIEA
relacionados con los mismos en dicha subcontratación se incluyen en dicha
descripción, así como en el alcance del encargo del auditor del servicio. (Ref.:
Apartado A4)
(h) Función de auditoría interna – Función de una entidad que realiza actividades
de aseguramiento y asesoramiento establecidas para evaluar y mejorar la
eficacia de los procesos de gobierno de la entidad, de gestión del riesgo y de
control interno.
(i) Auditores internos – Personas que realizan actividades correspondientes a la
función de auditoría interna. Los auditores internos pueden pertenecer a un
departamento de auditoría interna o función equivalente.
(j) Informe sobre la descripción y el diseño de los controles de una organización
de servicios (denominado o en esta NIEA “informe tipo 1”) - Informe que
comprende:
(i) una descripción de su sistema realizada por la organización de
servicios;
(ii) una declaración por escrito de la organización de servicios de que, en
todos los aspectos materiales y sobre la base de criterios apropiados:
a. la descripción presenta fielmente el sistema de la organización
de servicios tal como estaba diseñado e implementado en la
fecha determinada;
b. los controles relacionados con los objetivos de control
mencionados en la descripción realizada por la organización de
servicios estaban adecuadamente diseñados en la fecha
determinada; y
(iii) un informe de aseguramiento del auditor de la entidad prestadora del
servicio que proporciona una conclusión de seguridad razonable sobre
las cuestiones mencionadas en (ii) a. y b. anteriores.
(k) Informe sobre la descripción, el diseño y la eficacia operativa de los controles
de una organización de servicios denominado en esta NIEA “informe tipo 2”)
Informe que comprende:
(i) una descripción de su sistema realizada por la organización de
servicios;
(ii) una declaración por escrito de la organización de servicios de que, en
todos los aspectos materiales y sobre la base de criterios apropiados:
a. La descripción presenta fielmente el sistema de la
organización de servicios tal como estaba diseñado e
implementado durante el periodo determinado;
243 NIEA 3402

SERVICIOS

servicios estaban adecuadamente diseñados durante el periodo
determinado; y
c. los controles relacionados con los objetivos de control
servicios funcionaron eficazmente durante el periodo
determinado; y
(iii) Un informe de aseguramiento del auditor de la entidad prestadora del
servicio que:
a. proporciona una conclusión de seguridad razonable sobre las
cuestiones mencionadas en (ii) a., b. y c. anteriores; e
b. incluye una descripción de las pruebas de controles y de los
resultados de estas.
(l) Auditor de la entidad prestadora del servicio –Profesional ejerciente que, a
solicitud de la organización de servicios, emite un informe de aseguramiento
sobre los controles de esta.
(m) Organización de servicios - Organización externa (o segmento de una
organización externa) que presta a las entidades usuarias, servicios que
probablemente sean relevantes para el control interno de las entidades usuarias
relacionado con la información financiera.
(n) Declaración de la organización de servicios – La declaración escrita relativa a
las cuestiones mencionadas en el apartado 9(k) (ii) (o en el apartado 9(j) (ii) en
el caso de un informe tipo 1).
(o) Sistema de la organización de servicios (o el sistema) - Políticas y
procedimientos diseñados e implementados por la organización de servicios
para prestar a las entidades usuarias los servicios cubiertos por el informe de
aseguramiento del auditor del servicio. La descripción de su sistema realizada
por la organización de servicios incluye la identificación de: los servicios
cubiertos, el periodo o, en el caso de un informe tipo 1, la fecha a la que está
referida la descripción, los objetivos de control y los controles relacionados
con estos.
(p) Subcontratación de la organización de servicios - Organización de servicios
contratada por otra organización de servicios para realizar algunos de los
servicios que esta última presta a sus entidades usuarias, los cuales
probablemente sean relevantes para el control interno de las entidades usuarias
relacionado con la información financiera.
(q) Prueba de controles - Procedimiento diseñado para evaluar la eficacia
operativa de los controles para alcanzar los objetivos de control mencionados
en la descripción de su sistema realizada por la organización de servicios.
NIEA 3402 244

SERVICIOS
(r) Auditor de la entidad usuaria - Auditor que audita y emite el informe de

auditoría sobre los estados financieros de la entidad usuaria.7
NIEA
(s) Entidad usuaria - Entidad que utiliza una organización de servicios.
Requerimientos
NIEA 3000 (Revisada)
10. El auditor de la entidad prestadora del servicio no indicará que ha cumplido esta
NIEA salvo si ha cumplido los requerimientos de esta NIEA y de la NIEA 3000
(Revisada).
Requerimientos de ética
11. El auditor de la entidad prestadora del servicio cumplirá con las Partes A y B del
Código del IESBA aplicables a los encargos de aseguramiento u otros
requerimientos de disposiciones legales o reglamentarias que sean al menos igual
de exigentes. (Ref.: Apartado A5)
Dirección y responsables del gobierno de la entidad
12. Cuando esta NIEA requiera que el auditor del servicio indague formulando
preguntas a la organización de servicios, le solicite manifestaciones, se comunique
con ella, o se relacione de cualquier otro modo con dicha organización, el auditor
del servicio determinará la persona o personas adecuadas de la dirección o de los
responsables del gobierno de la organización de servicios con los que relacionarse.
Esto incluirá considerar las personas que tienen las responsabilidades adecuadas y
conocimiento de las cuestiones de las que se trata. (Ref.: Apartado A6)
Aceptación y continuidad
13. Antes de acordar el aceptar o continuar un encargo, el auditor de la entidad
prestadora del servicio:
(a) Determinará si:
(i) tiene la capacidad y la competencia necesarias para realizar el
encargo; (Ref.: Apartado A7)
(ii) los criterios que el profesional ejerciente espera que serán aplicados
por la organización de servicios para preparar la descripción de su
sistema son adecuados y estarán a disposición de las entidades
usuarias y de sus auditores; y
(iii) el alcance del encargo y la descripción de su sistema, realizada por la
organización de servicios, no serán tan limitados que probablemente
no sean útiles para las entidades usuarias ni para sus auditores.
7
En el caso de una subcontratación de la organización de servicios, el auditor del servicio de una
organización de servicios que utiliza los servicios de una subcontratación es también un auditor de la
entidad usuaria.
245 NIEA 3402

SERVICIOS
(b) Obtendrá una confirmación de la dirección de la organización de servicios

de que ésta reconoce y comprende su responsabilidad:
(i) de preparar la descripción de su sistema y la declaración adjunta a la
misma, así como de la integridad, exactitud y método de
presentación de dicha descripción y declaración; (Ref.: Apartado A8)
(ii) de disponer de una base razonable para la declaración de la
organización de servicios que acompaña a la descripción de su
sistema; (Ref.: Apartado A9)
(ii) de indicar en su declaración los criterios que ha utilizado para
preparar la descripción de su sistema;
(iii) de indicar en la descripción de su sistema:
a. los objetivos de control; y
b. cuando éstos hayan sido establecidos por disposiciones
legales o reglamentarias o por un tercero (por ejemplo, por un
grupo de usuarios o por un organismo profesional), el tercero
que los ha establecido;
(iv) de identificar los riesgos para la consecución de los objetivos de
control indicados en la descripción de su sistema, y del diseño e
implementación de controles para proporcionar una seguridad
razonable de que dichos riesgos no impedirán que se alcancen los
objetivos de control indicados en dicha descripción y, en
consecuencia, de que los objetivos de control indicados se
alcanzarán; y (Ref.: Apartado A10)
(v) de proporcionar al auditor de la entidad prestadora del servicio:
a. acceso a toda la información, tal como registros,
documentación y otras cuestiones, incluidos los acuerdos
sobre nivel de servicios, que entienda la organización de
servicios que es relevante para la descripción de su sistema y
para la declaración adjunta a la misma;
b. información adicional que solicite el auditor del servicio a la
organización de servicios a efectos del encargo; y
c. acceso ilimitado a las personas de la organización de servicios
de las cuales el auditor considere necesario obtener evidencia
de auditoría.
Aceptación de una modificación de los términos del encargo
14. Si la organización de servicios solicita una modificación del alcance del encargo
antes de que éste se haya terminado, el auditor del servicio se asegurará de que existe
una justificación razonable para dicha modificación. (Ref.: Apartados A11–A12)
NIEA 3402 246

SERVICIOS
Determinación de la adecuación de los criterios

15. El auditor del servicio determinará si la organización de servicios ha utilizado
NIEA
criterios adecuados en la preparación de la descripción de su sistema, en la
evaluación de que los controles están adecuadamente diseñados y, en el caso de un
informe tipo 2, en la evaluación de si los controles están funcionando eficazmente.
16. Al determinar la adecuación de los criterios para evaluar la descripción de su sistema
realizada por la organización de servicios, el auditor del servicio determinará si
dichos criterios abarcan, como mínimo:
(a) Si la descripción muestra el modo en que el sistema de la organización de
servicios se diseñó e implementó, incluido, según corresponda:
(i) los tipos de servicios prestados, así como, según corresponda, las
clases de transacciones procesadas;
(ii) los procedimientos, tanto en los sistemas de tecnologías de la
información como manuales, mediante los cuales se prestan los
servicios, así como, según corresponda, los procedimientos a través
de los cuales las transacciones se generan se registran, se procesan,
se corrigen en caso necesario, y se transfieren a los informes y a la
demás información preparada para las entidades usuarias;
(iii) los correspondientes registros e información de soporte, incluidos,
cuando sea adecuado, los registros contables, información de soporte
y cuentas específicas que se utilizan para generar, registrar, procesar
e informar sobre las transacciones; esto incluye la corrección de
información incorrecta y el modo en que la información se transfiere
a los informes y demás información preparada para las entidades
usuarias;
(iv) el modo en que el sistema de la organización de servicios trata los
hechos y condiciones significativos, distintos de las transacciones;
(v) el proceso que se utiliza para preparar los informes y demás
información para las entidades usuarias;
(vi) los objetivos de control especificados y los controles diseñados para
alcanzarlos;
(vii) los controles complementarios de la entidad usuaria que se han
tenido en cuenta en el diseño de los controles; y
(viii) otros aspectos del entorno de control de la organización de servicios,
de su proceso de valoración del riesgo, de su sistema de información
(incluido los procesos de negocio relacionados) y comunicación,
actividades de control y controles de seguimiento que sean
relevantes para los servicios prestados.
247 NIEA 3402

SERVICIOS
(b) En el caso de un informe tipo 2, si la descripción incluye los detalles

relevantes de los cambios que se hayan producido en los sistemas de la
organización de servicios durante el periodo cubierto por la descripción.
(c) Si la descripción omite o distorsiona información relativa al alcance del
sistema de la organización de servicios que está siendo descrito, a la vez que
se reconoce que la descripción se prepara para satisfacer las necesidades
comunes de un amplio rango de entidades usuarias y de sus auditores y que
es posible, en consecuencia, que no incluya cada aspecto del sistema de la
organización de servicios que cada entidad usuaria por separado y sus
auditores puedan considerar importantes en su entorno particular.
17. Al determinar si los criterios son adecuados para juzgar el diseño de los controles,
el auditor del servicio determinará si dichos criterios comprenden, al menos, si:
(a) La organización de servicios ha identificado los riesgos que amenazan la
consecución de los objetivos de control indicados en la descripción de su
sistema; y
(b) los controles identificados en dicha descripción, si funcionaran según se han
descrito, proporcionarían una seguridad razonable de que dichos riesgos no
impedirían que se alcanzaran los objetivos de control indicados.
18. Al determinar si los criterios son adecuados para valorar la eficacia operativa de los
controles para proporcionar una seguridad razonable de que los objetivos de control
identificados en la descripción se alcanzarán, el auditor del servicio determinará si
dichos criterios comprenden, al menos, si los controles fueron congruentemente
aplicados tal como estaban diseñados, a lo largo del periodo especificado. Esto
incluye examinar si los controles manuales fueron aplicados por personas con la
competencia y autoridad adecuadas. (Ref.: Apartados A13–A15)
Importancia relativa
19. En la planificación y realización del encargo, el auditor del servicio tendrá en cuenta
la materialidad en relación con la presentación fiel de la descripción, con lo
adecuado del diseño de los controles y, en el caso de un informe tipo 2, con la
eficacia operativa de los controles. (Ref.: Apartados A16–A18)
Obtención de conocimiento del sistema de la organización de servicios
20. El auditor del servicio obtendrá conocimiento del sistema de la organización de
servicios, incluidos los controles comprendidos en el alcance del encargo. (Ref.:
Apartados A19–A20)
Obtención de evidencia relativa a la descripción
21. El auditor del servicio obtendrá y estudiará la descripción del sistema realizada por
la organización de servicios, y evaluará si los aspectos de la descripción que están
incluidos en el alcance del encargo se presentan fielmente, incluido si: (Ref.:
NIEA 3402 248

SERVICIOS
(a) Los objetivos de control indicados en la descripción de su sistema realizada

por la organización de servicios son razonables en las circunstancias; (Ref.:
NIEA
Apartado A23)
(b) Los controles identificados en dicha descripción fueron implementados;
(c) Los controles complementarios de la entidad usuaria, en su caso, se
describen adecuadamente; y
(d) los servicios realizados, si los hubiera, por una subcontratación se describen
adecuadamente, así como si se ha utilizado el método de exclusión o el
método de inclusión en relación con los mismos.
22. El auditor del servicio determinará, mediante otros procedimientos en combinación
con indagaciones, si el sistema de la organización de servicios ha sido implementado.
Dichos otros procedimientos incluirán la observación, así como la revisión de registros
y de otra documentación, sobre la forma de funcionamiento del sistema de la
organización de servicios y de aplicación de los controles. (Ref.: Apartado A24)
Obtención de evidencia relativa al diseño de los controles
23. El auditor del servicio determinará qué controles de la organización de servicios son
necesarios para que se alcancen los objetivos de control indicados en la descripción
de su sistema realizada por la misma, y evaluará si dichos controles se han diseñado
adecuadamente. Dicha determinación incluirá: (Ref.: Apartados A25–A27)
(a) La identificación de los riesgos que amenazan la consecución de los
objetivos de control indicados en la descripción de su sistema realizada por
la organización de servicios; y
(b) la evaluación de la vinculación de los controles indicados en la descripción
de su sistema realizada por la organización de servicios con dichos riesgos.
Obtención de evidencia relativa a la eficacia operativa de los controles
24. Cuando proporcione un informe tipo 2, el auditor del servicio probará los controles
que ha determinado que son necesarios para alcanzar los objetivos de control
indicados en la descripción de su sistema realizada por la organización de servicios,
y evaluará su eficacia operativa a lo largo del periodo. La evidencia obtenida en
encargos pasados sobre el funcionamiento satisfactorio de los controles en periodos
anteriores no se puede utilizar para reducir las pruebas, aunque se complemente con
evidencia obtenida durante el periodo actual. (Ref.: Apartados A28–A32)
25. En el diseño y aplicación de pruebas de controles, el auditor del servicio:
(a) Realizará otros procedimientos en combinación con indagaciones con el fin
de obtener evidencia acerca de:
(i) la forma en que se aplicó el control;
(ii) la congruencia con la cual se aplicó el control; y
249 NIEA 3402

SERVICIOS
(iii) la persona que aplicó el control o los medios que se utilizaron para
ello.
(b) Determinará si los controles que van a ser probados dependen de otros
controles (controles indirectos) y, en este caso, si es necesario obtener
evidencia que soporte la eficacia operativa de dichos controles indirectos; y
(Ref.: Apartados A33–A34)
(c) Determinará medios para seleccionar los elementos que serán probados que
sean eficaces para alcanzar los objetivos del procedimiento. (Ref.:
26. En la determinación de la extensión de las pruebas de controles, el auditor del
servicio considerará cuestiones que comprenden las características de la población
que ha de ser probada, lo que incluye la naturaleza de los controles, la frecuencia de
su aplicación (por ejemplo, mensual, diaria, un determinado número de veces al
día), y la tasa esperada de desviación.
Muestreo
27. Cuando el auditor del servicio utilice el muestreo: (Ref.: Apartados A35–A36)
(a) Al diseñar la muestra considerará el propósito del procedimiento y las
características de la población de la que se extraerá la muestra;
(b) Determinará un tamaño de muestra suficiente para reducir a un nivel
adecuadamente bajo el riesgo de muestreo;
(c) Seleccionará elementos de la muestra de forma que todas las unidades de
muestreo de la población tengan posibilidad de ser seleccionadas;
(d) Si un determinado procedimiento no es aplicable a un elemento
seleccionado, aplicará el procedimiento a un elemento de sustitución; y
(e) Si no puede aplicar los procedimientos diseñados o procedimientos
alternativos adecuados a un elemento seleccionado, tratará dicho elemento
como una desviación.
Naturaleza y causa de las desviaciones
28. El auditor del servicio investigará la naturaleza y la causa de cualquier desviación
que identifique y determinará:
(a) si las desviaciones identificadas corresponden a la tasa esperada de
desviación y si son aceptables; por consiguiente, si la prueba que se ha
realizado proporciona una base adecuada para concluir que el control
funciona eficazmente a lo largo del periodo especificado;
(b) si son necesarias pruebas adicionales del control o de otros controles para
llegar a una conclusión acerca de si los controles relativos a un determinado
objetivo de control funcionan eficazmente a lo largo del periodo
especificado; o (Ref.: Apartado A25)
NIEA 3402 250
SERVICIOS
(c) si las pruebas que se han realizado proporcionan una base adecuada para
concluir que el control no funcionó eficazmente a lo largo del periodo
NIEA
especificado.
29. En aquellas circunstancias extremadamente poco frecuentes en las que el auditor
del servicio considere que una desviación descubierta en una muestra es una
anomalía y en las que no se han identificado otros controles que le permitan concluir
que el correspondiente objetivo de control está funcionando eficazmente a lo largo
del periodo especificado, el auditor del servicio obtendrá un alto grado de
certidumbre de que dicha desviación no es representativa de la población. El auditor
del servicio obtendrá dicho grado de certidumbre mediante la aplicación de
procedimientos adicionales para obtener evidencia adecuada y suficiente de que la
desviación no afecta al resto de la población.
El trabajo de la función de auditoría interna8
Obtención de conocimiento de la función de auditoría interna
30. Si la organización de servicios tiene una función de auditoría interna, el auditor del
servicio obtendrá conocimiento de la naturaleza de las responsabilidades de la
función de auditoría interna y de las actividades realizadas con el fin de determinar
si la función de auditoría interna puede ser relevante para el encargo. (Ref.:
Apartado A37)
Determinación de la utilización del trabajo de los auditores internos y de la
extensión de dicha utilización
31. El auditor del servicio determinará:
(a) Si el trabajo de los auditores internos puede ser adecuado para los fines del
encargo; y
(b) en caso afirmativo, el efecto previsto del trabajo de los auditores internos
sobre la naturaleza, el momento de realización o la extensión de los
procedimientos del auditor del servicio.
32. Para determinar si el trabajo de los auditores internos puede ser adecuado para los
fines del encargo, el auditor del servicio evaluará:
(a) La objetividad de la función de auditoría interna;
(b) la competencia técnica de los auditores internos;
(c) si es probable que el trabajo de los auditores internos se realice con la debida
diligencia profesional; y
(d) la probabilidad de que se produzca una comunicación eficaz entre los
auditores internos y el auditor del servicio.
8
Esta NIEA no trata las situaciones en las que auditores internos individuales prestan asistencia directa
al auditor del servicio para la realización de los procedimientos de auditoría.
251 NIEA 3402

SERVICIOS
33. Para determinar el efecto previsto del trabajo de los auditores internos sobre la
naturaleza, el momento de realización o la extensión de los procedimientos del
auditor del servicio, éste tendrá en cuenta: (Ref.: Apartado A38)
(a) La naturaleza y el alcance del trabajo específico realizado, o a ser realizado,
por los auditores internos;
(b) la importancia de dicho trabajo para las conclusiones del auditor del servicio;
y
(c) el grado de subjetividad que interviene en la evaluación de la evidencia
reunida para soportar dichas conclusiones.
Utilización del trabajo de la función de auditoría interna
34. Para utilizar el trabajo específico de los auditores internos, el auditor del servicio
evaluará y aplicará procedimientos sobre dicho trabajo para determinar si es
adecuado para sus fines. (Ref.: Apartado A39)
35. Para determinar la adecuación del trabajo específico realizado por los auditores
internos a los fines del auditor del servicio, éste evaluará:
(a) Si el trabajo fue realizado por auditores internos con una formación técnica
y una competencia adecuadas;
(b) si el trabajo fue adecuadamente supervisado, revisado y documentado;
(c) si se ha obtenido evidencia adecuada que permita a los auditores internos
alcanzar conclusiones razonables;
(d) si las conclusiones alcanzadas son adecuadas a las circunstancias y si
cualquier informe que hayan podido preparar los auditores internos es
coherente con los resultados del trabajo realizado; y
(e) si las excepciones relevantes para el encargo o las cuestiones no habituales
reveladas por los auditores internos se han resuelto adecuadamente.
Efecto sobre el informe de aseguramiento del auditor del servicio
36. Si se ha utilizado el trabajo de la función de auditoría interna, el auditor del servicio
no se referirá a dicho trabajo en la sección de su informe de aseguramiento que
contiene su opinión. (Ref.: Apartado A40)
37. En el caso de un informe tipo 2, si se ha utilizado el trabajo de la función de auditoría
interna para realizar las pruebas de controles, la parte del informe de aseguramiento
del auditor del servicio que describe sus pruebas de controles y los resultados de
estas incluirá una descripción del trabajo del auditor interno y de los procedimientos
del auditor del servicio con respecto a dicho trabajo. (Ref.: Apartado A41)
Manifestaciones escritas
38. El auditor de la entidad prestadora del servicio solicitará a la organización de
servicios que le proporcione manifestaciones escritas: (Ref.: Apartado A42)
NIEA 3402 252
SERVICIOS
(a) Que reafirmen la declaración que acompaña a la descripción del sistema;

(b) de que ha proporcionado al auditor del servicio toda la información
NIEA
relevante y el acceso acordado9; y
(c) de que ha revelado al auditor de la entidad prestadora del servicio cualquiera
de las siguientes cuestiones de las que tiene conocimiento:
(i) incumplimiento de disposiciones legales o reglamentarias, fraude o
desviaciones no corregidas atribuibles a la organización de servicios
que pueden afectar a una o más entidades usuarias;
(ii) deficiencias de diseño en controles;
(iii) casos en los que los controles no han funcionado según estaba
descrito; y
(iv) cualquier hecho posterior al periodo cubierto por la descripción de
su sistema realizada por la organización de servicios hasta la fecha
del informe de aseguramiento del auditor del servicio, que pudiera
tener un efecto significativo sobre dicho informe.
39. Las manifestaciones escritas constarán en una carta de manifestaciones dirigida al
auditor del servicio. La fecha de las manifestaciones escritas será tan próxima como
sea posible, pero no posterior, a la fecha del informe de aseguramiento del auditor
del servicio.
40. Si, después de haber discutido la cuestión con el auditor del servicio, la organización
de servicios no proporciona una o más de las manifestaciones escritas solicitadas
de conformidad con el apartado 38(a) y (b) de esta NIEA, el auditor del servicio
denegará la opinión (se abstendrá de opinar). (Ref.: Apartado A43)
Otra información
41. El auditor del servicio estudiará la otra información que, en su caso, se incluya en
un documento que contenga la descripción de su sistema realizada por la
organización de servicios y el informe de aseguramiento del auditor del servicio,
con el fin de identificar, si las hubiera, incongruencias materiales con dicha
descripción. Al estudiar la otra información con el fin de identificar incongruencias
materiales, puede ocurrir que el auditor del servicio detecte una aparente
incorrección en la descripción de un hecho en dicha otra información.
42. Si auditor del servicio identifica una incongruencia material o si llega a su
conocimiento una aparente incorrección en la descripción de un hecho en la otra
información, discutirá la cuestión con la organización de servicios. Si el auditor de
la entidad prestadora del servicio concluye que existe una incongruencia material o
una incorrección en la descripción de un hecho contenida en la otra información
que la organización de servicios rehúsa corregir, el auditor de la entidad prestadora
9
Apartado 13(b) (v) de esta NIEA.
253 NIEA 3402

SERVICIOS
del servicio adoptará cualquier medida adicional adecuada. (Ref.: Apartados A44–
A45)
Hechos posteriores
43. El auditor del servicio indagará sobre si la organización de servicios conoce algún
hecho posterior al periodo cubierto por la descripción de su sistema realizada por
ella hasta la fecha del informe de aseguramiento del auditor del servicio que pueda
llevarle a rectificar dicho informe. Si el auditor del servicio conoce un hecho de esas
características, y la organización de servicios no revela información acerca del
mismo, el auditor del servicio lo revelará en su informe de aseguramiento. Si el
auditor del servicio conoce un hecho de esas características, y la organización de
servicios no revela información acerca del mismo, el auditor del servicio lo revelará
en su informe de aseguramiento.
44. El auditor del servicio no está obligado a realizar ningún procedimiento relativo a
la descripción del sistema de la organización de servicios, ni relativo a la idoneidad
del diseño o a la eficacia operativa de los controles, con posterioridad a la fecha de
su informe de aseguramiento.
Documentación
45. El auditor de la entidad prestadora del servicio preparará oportunamente la
documentación que proporcione un registro de los fundamentos del informe de
aseguramiento que sea suficiente y adecuada para permitir a un auditor de la entidad
prestadora del servicio experimentado, que no haya tenido contacto previo con el
encargo, comprender:
(a) La naturaleza, momento de realización y extensión de los procedimientos
aplicados para cumplir con esta NIEA y con los requerimientos legales y
reglamentarios aplicables;
(b) los resultados de los procedimientos aplicados y de la evidencia obtenida; y
(c) las cuestiones significativas que surgieron durante la realización del
encargo, las conclusiones alcanzadas sobre las mismas, y los juicios
profesionales significativos realizados para alcanzar dichas conclusiones.
46. Al documentar la naturaleza, momento de realización y extensión de los
procedimientos aplicados, el auditor del servicio dejará constancia de:
(a) Las características que identifican las partidas específicas o cuestiones sobre
las que se han realizado pruebas;
(b) la persona que realizó el trabajo y la fecha en que se completó dicho
trabajo; y
(c) la persona que revisó el trabajo realizado y la fecha y alcance de dicha
revisión.
NIEA 3402 254

SERVICIOS
47. En caso de que el auditor del servicio utilice trabajo específico de los auditores
internos, documentará las conclusiones que ha alcanzado en relación con la
NIEA
evaluación de la adecuación del trabajo de los auditores internos, así como los
procedimientos que ha aplicado el auditor del servicio a dicho trabajo.
48. El auditor del servicio documentará las discusiones sobre cuestiones significativas
con la organización de servicios y con otros, así como la naturaleza de las cuestiones
significativas tratadas y la fecha y el interlocutor de dichas discusiones.
49. Si el auditor del servicio ha identificado información incongruente con su
conclusión con respecto a una cuestión significativa, documentará el modo en que
trató dicha incongruencia.
50. El auditor del servicio reunirá la documentación en el archivo del encargo y
completará el proceso administrativo de compilación del archivo final del encargo
oportunamente después de la fecha de su informe de aseguramiento.10
51. Después de haber terminado la compilación del archivo final del encargo, el auditor
del servicio no eliminará ni descartará documentación antes de que finalice el
periodo de conservación. (Ref.: Apartado A46)
52. En caso de que el auditor del servicio considere necesario modificar la
documentación del encargo existente o añadir nueva documentación después de
que se haya terminado la compilación del archivo final del encargo y cuando dicha
documentación no afecte al informe de aseguramiento del auditor del servicio,
independientemente de la naturaleza de las modificaciones o incorporaciones,
documentará:
(a) Los motivos específicos para ello; y
(b) la fecha en que se realizó y las personas que lo hicieron y revisaron.
Preparación del informe de aseguramiento del auditor de la entidad prestadora del
servicio
Contenido del informe de aseguramiento del auditor de la entidad prestadora del servicio
53. El informe de aseguramiento del auditor de la entidad prestadora del servicio incluirá
como mínimo los siguientes elementos básicos: (Ref.: Apartado A47)
(a) Un título que indique claramente que se trata de un informe de aseguramiento
emitido por un auditor del servicio independiente.
(b) Un destinatario.
(c) La identificación de:
10
Norma Internacional de Control de Calidad (NICC) 1, Control de calidad en las firmas de auditoría
que realizan auditorías y revisiones de estados financieros, así como otros encargos que proporcionan
un grado de seguridad y servicios relacionados Los apartados A54-A55, proporcionan orientación
adicional.
255 NIEA 3402

SERVICIOS
(i) La descripción de su sistema realizada por la organización de servicios

y la declaración de la organización de servicios, la cual comprende las
cuestiones descritas en el apartado 9(k)(ii) en el caso de un informe
tipo 2, o en el apartado 9(j)(ii) en el caso de un informe tipo 1.
(ii) Las partes de la descripción de su sistema realizada por la organización
de servicios que, en su caso, no estén cubiertas por la opinión del
auditor del servicio.
(iii) En el caso de que la descripción se refiera a la necesidad de controles
complementarios de la entidad usuaria, una declaración de que el
auditor del servicio no ha evaluado la adecuación del diseño ni la
eficacia operativa de dichos controles complementarios y de que los
objetivos de control indicados en la descripción de su sistema realizada
por la organización de servicios únicamente se pueden alcanzar si los
controles complementarios de la entidad usuaria están adecuadamente
diseñados o funcionan eficazmente, junto con los controles en la
(iv) Si algunos servicios son realizados por una subcontratación de la
organización de servicios, la naturaleza de las actividades realizadas
por la subcontratación, tal como se describen en la descripción de su
sistema realizada por la organización de servicios, y si se ha utilizado
el método de inclusión o de exclusión en relación con los mismos.
Cuando se haya utilizado el método de exclusión, una declaración de
que la descripción de su sistema realizada por la organización de
servicios excluye los objetivos de control y los controles relacionados
en las correspondientes subcontrataciones y de que los procedimientos
del auditor del servicio no cubren los controles en la subcontratación.
Cuando se haya utilizado el método de inclusión, una declaración de
que la descripción de su sistema realizada por la organización de
servicios incluye los objetivos de control y los controles relacionados
en las subcontrataciones y de que los procedimientos del auditor del
servicio cubrieron los controles en la subcontratación.
(d) La identificación de los criterios aplicables y del responsable de la
especificación de los objetivos de control.
(e) Una declaración de que el informe y, en el caso de un informe tipo 2, la
descripción de las pruebas de controles, se destinan solo a las entidades
usuarias y a sus auditores, quienes tienen conocimiento suficiente para su
consideración, junto con otra información, así como información sobre los
controles aplicados por las propias entidades usuarias, al valorar los riesgos de
incorrecciones materiales en los estados financieros de las entidades usuarias.
(Ref.: Apartado A48)
(f) Una declaración de que la organización de servicios es responsable de:
NIEA 3402 256

SERVICIOS
(i) preparar la descripción de su sistema y la declaración que la acompaña,

así como de la integridad, exactitud y método de presentación de dicha
NIEA
descripción y de dicha declaración;
(ii) prestar los servicios cubiertos por la descripción de su sistema
realizada por la organización de servicios;
(iii) indicar los objetivos de control (cuando no sean fijados por
disposiciones legales o reglamentarias o por un tercero, por ejemplo,
por un grupo de usuarios o un organismo profesional); y
(iv) diseñar e implementar los controles con el fin de alcanzar los objetivos
de control indicados en la descripción de su sistema realizada por la
(g) Una declaración de que la responsabilidad del auditor del servicio consiste en
expresar una opinión sobre la descripción realizada por la organización de
servicios, sobre el diseño de los controles relacionados con los objetivos de
control que se indican en dicha descripción y, en el caso de un informe tipo 2,
sobre la eficacia operativa de dichos controles, basada en los procedimientos
del auditor del servicio.
(h) Una declaración de que la firma de la que es miembro el profesional ejerciente
aplica la NICC 1 u otros requerimientos o disposiciones legales o
reglamentarias que son al menos igual de exigentes que la NICC 1. Si el
profesional ejerciente no es un profesional de la contabilidad, la declaración
identificará los requerimientos profesionales o los requerimientos de
disposiciones legales o reglamentarias aplicados, que son al menos igual de
exigentes que la NICC 1.
(i) Una declaración de que el profesional ejerciente cumple los requerimientos de
independencia y demás requerimientos de ética del Código de Ética del
IESBA o los requerimientos de disposiciones legales o reglamentarias que son
al menos igual de exigentes que las Partes A y B del Código de Ética del
IESBA relativos a los encargos de aseguramiento. Si el profesional ejerciente
no es un profesional de la contabilidad, la declaración identificará los
requerimientos profesionales o los requerimientos de disposiciones legales o
reglamentarias aplicados, que son al menos igual de exigentes que las Partes
A y B del Código de Ética del IESBA relativos a los encargos de
aseguramiento.
(j) Una declaración de que el encargo se realizó de conformidad con la NIEA
3402, Informes de aseguramiento sobre los controles en una organización de
servicios, que requiere que el auditor del servicio planifique y aplique
procedimientos con el fin de obtener una seguridad razonable de que, en todos
los aspectos materiales, la descripción de su sistema realizada por la
organización de servicios se presenta fielmente y los controles están
257 NIEA 3402

SERVICIOS
adecuadamente diseñados y, en el caso de un informe tipo 2, de que funcionan

eficazmente.
(k) Un resumen de los procedimientos aplicados por el auditor del servicio con el
fin de obtener una seguridad razonable y una declaración de que el auditor del
servicio considera que la evidencia que ha obtenido es suficiente y adecuada
para servir de base para su opinión y, en el caso de un informe tipo 1, una
declaración de que no ha aplicado ningún procedimiento en relación con la
eficacia operativa de los controles y de que, en consecuencia, no se formula
opinión alguna al respecto.
(l) Una declaración sobre las limitaciones de los controles y, en el caso de un
informe tipo 2, del riesgo que supone extrapolar a periodos futuros cualquier
evaluación de la eficacia operativa de los controles.
(m) La opinión del auditor del servicio, expresada de forma positiva, de que, en
todos los aspectos materiales, sobre la base de criterios apropiados:
(i) En el caso de un informe tipo 2:
a. la descripción presenta fielmente el sistema de la organización
de servicios que fue diseñado e implementado durante el
periodo determinado;
servicios estaban adecuadamente diseñados durante el periodo
determinado; y
c. los controles que se probaron, que eran los necesarios para
proporcionar una seguridad razonable de que se alcanzaron los
objetivos de control indicados en la descripción, funcionaron
eficazmente durante el periodo especificado.
(ii) En el caso de un informe tipo 1:
a. la descripción presenta fielmente el sistema de la organización de
servicios que fue diseñado e implementado en la fecha
determinada; y
servicios estaban adecuadamente diseñados en la fecha
determinada.
(n) La fecha del informe de aseguramiento del auditor del servicio, que no será
anterior a la fecha en la cual el auditor del servicio haya obtenido la evidencia
en la que se basa la opinión del auditor de la entidad prestadora del servicio.
(o) El nombre del auditor del servicio y el lugar de la jurisdicción en la cual ejerce.
NIEA 3402 258

SERVICIOS
54. En el caso de un informe tipo 2, el informe de aseguramiento del auditor del servicio
incluirá una sección separada después de la opinión, o un anexo, en el cual se
NIEA
describen las pruebas de controles realizadas y los resultados de las mismas. En la
descripción de las pruebas de controles, el auditor del servicio enumerará claramente
los controles que fueron probados, indicará si los elementos que fueron probados
representan la totalidad o una selección de los elementos que componen la población,
e indicará la naturaleza de las pruebas con el detalle suficiente para permitir que los
auditores de las entidades usuarias determinen el efecto de dichas pruebas sobre sus
valoraciones del riesgo. Si se han detectado desviaciones, el auditor del servicio
incluirá la extensión de las pruebas realizadas que permitieron la detección de las
desviaciones (incluido el tamaño de la muestra cuando se recurrió al muestreo), y el
número y la naturaleza de las desviaciones observadas. El auditor del servicio
informará sobre las desviaciones incluso si, sobre la base de las pruebas realizadas, ha
concluido que el objetivo de control relacionado se alcanzó. (Ref.: Apartados A18 y
A49)
Opiniones modificadas
55. Si el auditor de la entidad prestadora del servicio concluye que: (Ref.: Apartados A50–
A52)
(a) La descripción realizada por la organización de servicios no presenta
fielmente, en todos los aspectos materiales, el sistema tal como fue diseñado
e implementado;
(b) los controles relacionados con los objetivos de control indicados en la
descripción no estaban adecuadamente diseñados, en todos los aspectos
materiales;
(c) en el caso de un informe tipo 2, los controles que se probaron, que eran los
necesarios para proporcionar una seguridad razonable de que los objetivos de
control indicados en la descripción de su sistema realizada por la organización
de servicios se alcanzaron, no funcionaron eficazmente, en todos los aspectos
materiales; o
(d) el auditor del servicio no puede obtener evidencia adecuada y suficiente,
la opinión del auditor del servicio será una opinión modificada y su informe de
aseguramiento incluirá una sección con una descripción clara de todas las razones para
la modificación.
Otras responsabilidades de comunicación
56. Si ha llegado a conocimiento del auditor de la entidad prestadora del servicio un
incumplimiento de las disposiciones legales o reglamentarias, fraude o errores no
corregidos atribuibles a la organización de servicios que no sean claramente
insignificantes y que puedan afectar a una o más entidades usuarias, determinará si la
cuestión ha sido adecuadamente comunicada a las entidades usuarias afectadas. Si la
259 NIEA 3402

SERVICIOS
cuestión no ha sido comunicada y la organización de servicios rehúsa hacerlo, el

auditor del servicio llevará a cabo las actuaciones adecuadas. (Ref.: Apartado A53)
***
Guía de aplicación y otras anotaciones explicativas
Alcance de esta NIEA (Ref.: Apartados 1, 3)
A1. El control interno es un proceso cuya finalidad es proporcionar una seguridad
razonable en relación con la consecución de objetivos relacionados con la fiabilidad
de la información financiera, a la eficacia y eficiencia de las operaciones y al
cumplimiento de las disposiciones legales y reglamentarias aplicables. Los controles
relacionados con las operaciones de una organización de servicios y con los objetivos
de cumplimiento pueden ser relevantes para el control interno de una entidad usuaria
relacionado con la información financiera. Dichos controles pueden estar relacionados
con afirmaciones sobre presentación y revelación con respecto a saldos contables,
tipos de transacciones o información a revelar, o pueden estar relacionados con
evidencia que el auditor de la entidad usuaria evalúa o utiliza al aplicar procedimientos
de auditoría. Por ejemplo, los controles de una organización de servicios de
procesamiento de nóminas relativos al pago de las retenciones a las autoridades
pertinentes en los plazos establecidos pueden ser relevantes para una entidad usuaria
puesto que la demora en el pago puede originar intereses y multas que tendrían como
resultado un pasivo para la entidad usuaria. Del mismo modo, los controles de una
organización de servicios sobre la aceptabilidad de determinadas transacciones de
inversión desde la perspectiva de las disposiciones legales y reglamentarias pueden
ser relevantes para la presentación y revelación de transacciones y saldos contables
por una entidad usuaria en sus estados financieros. La determinación de si es probable
que los controles de una organización de servicios relativos a las operaciones y al
cumplimiento de las disposiciones legales y reglamentarias sean relevantes para el
control interno de las entidades usuarias relacionado con la información financiera es
una cuestión de juicio profesional, por lo que respecta a los objetivos de control fijados
por la organización de servicios y lo adecuado de los criterios.
A2. Es posible que la organización de servicios no pueda afirmar que el sistema está
adecuadamente diseñado cuando, por ejemplo, la organización está utilizando un
sistema que ha sido diseñado por una entidad usuaria o que ha sido estipulado en un
contrato entre una entidad usuaria y la organización de servicios. Debido a la
inextricable relación entre lo adecuado del diseño de los controles y su eficacia
operativa, la ausencia de una declaración con respecto a lo adecuado del diseño
probablemente impida al auditor del servicio concluir que los controles proporcionan
una seguridad razonable de que se han alcanzado los objetivos de control y, en
consecuencia, le impida opinar sobre la eficacia operativa de los controles. Como
alternativa, el profesional ejerciente puede elegir aceptar un encargo de
procedimientos acordados para realizar pruebas de controles, o un encargo de
conformidad con la NIEA 3000 para concluir sobre si, sobre la base de pruebas de
controles, los controles han funcionado como se describe.
NIEA 3402 260

SERVICIOS
Definiciones (Ref.: Apartados 9(d), 9(g))

A3. La definición de “controles en la organización de servicios” cubre aspectos de los
NIEA
sistemas de información de las entidades usuarias mantenidos por la organización de
servicios y puede cubrir también aspectos de uno o más de los demás componentes
del control interno en la organización de servicios. Por ejemplo, puede cubrir aspectos
del entorno de control de una organización de servicios y de sus actividades de
seguimiento y de control cuando están relacionados con los servicios prestados. No
cubre, sin embargo, controles en una organización de servicios que no están
relacionados con la consecución de los objetivos de control indicados en la descripción
de su sistema realizada por ella, por ejemplo, controles relacionados con la preparación
de sus propios estados financieros.
A4. Cuando se utiliza el método de inclusión, los requerimientos de esta NIEA también se
aplican a los servicios prestados por la subcontratación, incluida la obtención de un
acuerdo relativo a las cuestiones del apartado 13(b) (i) – (v) aplicables a la
subcontratación en vez de a la organización de servicios. La aplicación de
procedimientos en la subcontratación implica una coordinación y comunicación entre
la organización de servicios, la subcontratación y el auditor del servicio. El método de
inclusión por lo general sólo es factible si la organización de servicios y la
subcontratación están relacionadas, o si está previsto en el contrato entre la
organización de servicios y la subcontratación.
Requerimientos de ética (Ref.: Apartado 11)
A5. El auditor del servicio está sometido a los requerimientos de independencia aplicables,
que normalmente comprenden las Partes A y B del Código de Ética del IESBA, junto
con los requerimientos del país si éstos son más restrictivos. En la realización de un
encargo de conformidad con esta NIEA, el Código de Ética del IESBA no obliga a
que el auditor del servicio sea independiente de cada entidad usuaria.
Dirección y responsables del gobierno de la entidad (Ref.: Apartado 12)
A6. La estructura de los órganos de dirección y gobierno varía según la
jurisdicción y el tipo de entidad de que se trate, reflejando las diversas
influencias existentes, tales como diferentes entornos culturales y normativos,
y las características de dimensión y propiedad. Tal diversidad implica que no
sea posible que la presente NIEA especifique para todos los encargos las
personas con las que el auditor deberá ponerse en contacto en relación con
cuestiones específicas. Por ejemplo, puede ocurrir que la organización de
servicios sea un segmento de un tercero y no una entidad jurídica
independiente. En esos casos, la identificación de los miembros de la
dirección o de los responsables del gobierno de la entidad a los que se debe
solicitar manifestaciones escritas puede requerir la aplicación de juicio
profesional.
Aceptación y continuidad
261 NIEA 3402

SERVICIOS
Capacidad y competencia para realizar el encargo (Ref.: Apartado 13(a)(i))

A7. La capacidad y competencia necesarias para realizar el encargo comprenden
cuestiones como las siguientes:
• Conocimiento del sector correspondiente;
• conocimiento de las tecnologías y sistemas de la información;
• experiencia en la valoración de riesgos en cuanto a su relación con el diseño
adecuado de controles; y
• experiencia en el diseño y aplicación de pruebas de controles y en la
evaluación de los resultados.
Declaración de la organización de servicios (Ref.: Apartado 13(b)(i))
A8. La negativa por parte de la organización de servicios, de proporcionar una declaración
por escrito, posterior al acuerdo del auditor del servicio de aceptar o de continuar un
encargo, constituye una limitación al alcance que es causa de renuncia a dicho
encargo. Si las disposiciones legales o reglamentarias no le permiten renunciar, el
auditor de la entidad prestadora del servicio deniega la opinión.
Base razonable para la declaración de la organización de servicios (Ref.: Apartado 13(b)(ii))
A9. En el caso de un informe tipo 2, la declaración de la organización de servicios incluye
una declaración de que los controles relacionados con los objetivos de control
indicados en la descripción de su sistema realizada por ella funcionaron eficazmente
a lo largo del periodo determinado. Dicha declaración se puede fundamentar en las
actividades de seguimiento realizadas por la organización de servicios. El seguimiento
de los controles es un proceso cuyo fin es evaluar la eficacia de los controles a lo largo
del tiempo. Implica la evaluación de la eficacia de los controles de manera oportuna,
identificando e informando sobre las deficiencias a las personas adecuadas de la
organización de servicios, y la adopción de las medidas correctivas necesarias. La
organización de servicios realiza el seguimiento de los controles mediante actividades
continuas, evaluaciones independientes o una combinación de ambas. Cuanto mayor
sea el grado y la efectividad de las actividades de seguimiento continuo, menor
necesidad habrá de evaluaciones independientes. Las actividades de seguimiento
continuo a menudo están integradas en las actividades recurrentes normales de la
organización de servicios y comprenden las actividades de dirección y de supervisión
normales. Los auditores internos o el personal que realiza funciones similares pueden
contribuir al seguimiento de las actividades de la organización de servicios. Las
actividades de seguimiento pueden comprender también la utilización de información
comunicada por terceros, tales como reclamaciones de clientes y observaciones del
regulador, la cual puede indicar la existencia de problemas o poner en evidencia áreas
que necesitan ser mejoradas. El hecho de que el auditor del servicio vaya a informar
sobre la eficacia operativa de los controles no sustituye los propios procesos de la
organización de servicios para proporcionar una base razonable para su declaración.
Identificación de riesgos (Ref.: Apartado 13(b)(iv))
NIEA 3402 262
SERVICIOS
A10. Como se indica en el apartado 9(c), los objetivos de control están relacionados con
riesgos que los controles intentan mitigar. Por ejemplo, el riesgo de que una
NIEA
transacción se registre por un importe erróneo o en el periodo erróneo puede
expresarse como un objetivo de control de que las transacciones se registren por el
importe y en el periodo correcto. La organización de servicios tiene la responsabilidad
de identificar los riesgos que amenazan la consecución de los objetivos de control
indicados en la descripción de su sistema. La organización de servicios puede tener un
proceso formal o informal para la identificación de los riesgos relevantes. Un proceso
formal puede incluir la estimación de la significatividad de los riesgos que se hayan
identificado, la evaluación de su probabilidad de ocurrencia y la decisión sobre
medidas para hacerles frente. No obstante, puesto que los objetivos de control están
relacionados con riesgos que los controles intentan mitigar, una concienzuda
identificación de los objetivos de control a la hora de diseñar y de implementar el
sistema de la organización de servicios puede constituir en sí un proceso informal para
la identificación de riesgos relevantes.
Aceptación de una modificación de los términos del encargo (Ref.: Apartado 14)
A11. La solicitud de modificar el alcance del encargo puede no estar justificada
razonablemente cuando, por ejemplo, dicha solicitud se hace con el fin de excluir
determinados objetivos de control del alcance del encargo ya que es probable que, en
caso contrario, la opinión del auditor del servicio fuera una opinión modificada, o
cuando la organización de servicios rehúsa proporcionar al auditor del servicio una
declaración escrita y se le solicita que realice el encargo de acuerdo con la NIEA 3000.
A12. Una solicitud de modificar el alcance del encargo puede estar razonablemente
justificada cuando, por ejemplo, dicha solicitud tiene como finalidad excluir del
encargo a una subcontratación en el caso de que la organización de servicios no pueda
organizar el acceso del auditor del servicio y se modifique el método empleado para
tratar los servicios prestados por dicha subcontratación del método de inclusión al de
exclusión.
Evaluación de la adecuación de los criterios (Ref.: Apartados 15–18)
A13. Es necesario que los usuarios a los que se destina el informe tengan acceso a los
criterios para permitirles comprender el fundamento de la declaración de la
organización de servicios sobre la presentación fiel de su descripción del sistema, lo
adecuado del diseño de los controles y, en el caso de un informe tipo 2, la eficacia
operativa de los controles relacionados con los objetivos.
A14. La NIEA 3000 (Revisada) requiere, entre otros, que el auditor de la entidad prestadora
del servicio determine si los criterios a utilizar son adecuados y la adecuación de la
materia subyacente objeto de análisis.11 La materia subyacente objeto de análisis es la
condición subyacente de interés para los usuarios a los que se destina el informe de
11
NIEA 3000 (Revisada) apartados 24(b) y 41.
263 NIEA 3402

SERVICIOS
aseguramiento. En el siguiente cuadro se muestran la materia objeto de análisis y los

criterios mínimos para las opiniones en informes tipo 2 y tipo 1.
Materia objeto de Criterios Comentarios
análisis
Opinión sobre la El sistema de la La descripción se Es posible que la redacción
presentación fiel de organización de presenta fielmente si: específica de los criterios para dicha
la descripción de su servicios que (a) presenta el modo en opinión tenga que ser adaptada para
sistema realizada por probablemente sea que fue diseñado e ser congruente con criterios fijados,
la organización de relevante para el implementado el por ejemplo, por disposiciones
servicios (informes control interno de las sistema de la legales o reglamentarias, por grupos
tipo 1 y tipo 2) entidades usuarias organización de de usuarios o por un organismo
relacionado con la servicios así como, en profesional. Ejemplos de criterios
información financiera su caso, las cuestiones para dicha opinión pueden verse en
y está cubierto por el identificadas en el el ejemplo de declaración de una
informe de apartado 16(a)(i)– organización de servicios en el
aseguramiento del (viii); Anexo 1. En los apartados A21-A24
auditor del servicio. (b) en el caso de un pueden encontrarse orientaciones
informe tipo 2, si la adicionales para determinar si se
descripción incluye los cumplen los criterios. (En términos
detalles relevantes de de los requerimientos de la NIEA
los cambios que se 3000 (Revisada), la información
hayan producido en los sobre la materia objeto de análisis 12
sistemas de la para esta opinión es la descripción
organización de de su sistema realizada por la
servicios durante el organización de servicios y su
periodo cubierto por la declaración de que dicha
descripción y descripción se presenta fielmente).
(c) no omite ni
distorsiona
información
relacionada con el
alcance del sistema de
la organización de
servicios que está
siendo descrito, a la
vez que se reconoce
que la descripción se
prepara para satisfacer
las necesidades
comunes de un amplio
rango de entidades
usuarias y de sus
auditores y que es
posible, en
consecuencia, que no
incluya cada aspecto
del sistema de la
organización de
servicios que cada
entidad usuaria por
separado y sus
auditores puedan
considerar importantes
en su entorno
particular.
Opinión sobre la La idoneidad del Los controles están Cumplir estos Los objetivos
idoneidad del diseño diseño y la eficacia adecuadamente criterios no de control
y la eficacia operativa de aquellos diseñados y funcionan proporciona, en indicados en la
operativa (informes controles que son eficazmente si: sí, seguridad descripción de
tipo 2) necesarios para alguna de que se su sistema
12
Información sobre la materia objeto de análisis – El resultado de la medida o evaluación de la materia
subyacente objeto de análisis sobre la base de ciertos criterios, es decir, la información que resulta de
aplicar los criterios a la materia subyacente objeto de análisis.
NIEA 3402 264

SERVICIOS

análisis
cumplir los objetivos (a) la organización de lograron los realizada por
NIEA
de control servicios ha objetivos de la
mencionados en la identificado los riesgos control ya que no organización
descripción de su que existen para la se obtuvo de servicios
sistema realizada por consecución de los ninguna son parte de
la organización de objetivos de control seguridad sobre los criterios
servicios. indicados en la el para este tipo
descripción de su funcionamiento de opiniones.
sistema. de los controles. Los objetivos
(b) los controles (En términos de de control
identificados en dicha los indicados
descripción, si requerimientos diferirán de un
funcionaran según se de la NIEA 3000 encargo a otro.
han descrito, (Revisada), la En el caso de
proporcionarían una información que, al
seguridad razonable de sobre la materia formarse una
que dichos riesgos no objeto de análisis opinión sobre
impedirían que se para esta opinión la descripción,
alcanzaran los objetivos es la declaración el auditor de la
de control indicados. de la entidad
(c) los controles fueron organización de prestadora del
aplicados de manera servicios de que servicio
uniforme tal como los controles concluyera
estaban diseñados a lo están que los
largo del periodo adecuadamente objetivos de
especificado. Esto diseñados). control
incluye examinar si los mencionados
controles manuales no se
fueron aplicados por presentan
personas con la fielmente,
competencia y entonces
autoridad adecuadas. dichos
objetivos de
control no
serían
adecuados
como parte de
los criterios
para formarse
una opinión ni
sobre el diseño
ni sobre la
eficacia
operativa de
los controles.
Opinión sobre la La idoneidad del Los controles están
idoneidad del diseño diseño de aquellos adecuadamente
(informes tipo 1) controles que son diseñados si:
necesarios para lograr (a) la organización de
los objetivos de control servicios ha
mencionados en la identificado los riesgos
descripción de su que amenazan la
sistema realizada por consecución de los
la organización de objetivos de control
servicios. indicados en la
descripción de su
sistema; y
(b) los
controles identificados
en dicha descripción, si
funcionan según se han
descrito,
proporcionarían una
seguridad razonable de
265 NIEA 3402

SERVICIOS

análisis
que dichos riesgos no
impiden que se
alcancen los objetivos
de control indicados.
A15. En el apartado 16(a) se identifican como apropiados ciertos elementos que se

incluyen en la descripción de su sistema realizada por la organización de servicios.
Es posible que dichos elementos no sean apropiados si el sistema que se describe
no es un sistema que procese transacciones, por ejemplo, si el sistema está
relacionado con los controles generales sobre el alojamiento (“hosting”) de una
aplicación de TI pero no con los controles incorporados en la propia aplicación.
Importancia relativa (Ref.: Apartados 19, 54)
A16. En un encargo para informar sobre los controles en una organización de servicios,
el concepto de materialidad está relacionado con el sistema sobre el que se informa,
no sobre los estados financieros de las entidades usuarias. El auditor del servicio
planifica y aplica procedimientos con el fin de determinar si la descripción de su
sistema realizada por la organización de servicios se presenta fielmente, en todos
los aspectos materiales, si los controles en la organización de servicios están
adecuadamente diseñados, en todos los aspectos materiales y, en el caso de un
informe tipo 2, si los controles en la organización de servicio funcionan eficazmente
en todos los aspectos materiales. El concepto de materialidad tiene en cuenta que el
informe de aseguramiento del auditor del servicio proporciona información sobre el
sistema de la organización de servicios para satisfacer las necesidades de un amplio
rango de entidades usuarias y sus auditores, que tienen conocimiento del modo en
que ha sido utilizado dicho sistema.
A17. La materialidad en relación con la presentación fiel de la descripción de su sistema
realizada por la organización de servicios y al diseño de los controles comprende
principalmente la consideración de factores cualitativos, por ejemplo: si la
descripción incluye los aspectos significativos del procesamiento de transacciones
significativas; si la descripción omite o distorsiona información relevante y la
capacidad de los controles, tal como están diseñados, para proporcionar una
seguridad razonable de que se alcanzarían los objetivos de control. La materialidad
en relación con la opinión del auditor del servicio sobre la eficacia operativa de los
controles comprende la consideración de factores tanto cuantitativos como
cualitativos, por ejemplo, la tasa de desviación tolerable y la tasa de desviación
observada (una cuestión cuantitativa), y la naturaleza y causa de cualquier
desviación observada (una cuestión cualitativa).
A18. El concepto de materialidad no es aplicable a la hora de revelar los resultados de
aquellas pruebas en las que se identificaron desviaciones. Esto es así porque, en las
circunstancias particulares de una entidad usuaria específica o del auditor de una
entidad usuaria, una desviación puede ser significativa más allá de si, en opinión del
auditor del servicio, impide que un control funcione eficazmente. Por ejemplo, el
NIEA 3402 266

SERVICIOS
control con el que está relacionada la desviación puede ser especialmente

significativo para prevenir un determinado tipo de error que puede ser material en
NIEA
las circunstancias particulares de los estados financieros de una entidad usuaria.
Obtención de conocimiento del sistema de la organización de servicios (Ref.: Apartado
20)
A19. La obtención de conocimiento del sistema de la organización de servicios, así como
de los controles comprendidos en el alcance del encargo, facilita al auditor de la
entidad prestadora del servicio:
• La identificación de los límites de dicho sistema y del modo en que se
relaciona con otros sistemas.
• La evaluación de si la descripción realizada por la organización de servicios
presenta fielmente el sistema que ha sido diseñado e implementado.
• La obtención de conocimiento del control interno sobre la preparación de la
declaración de la organización de servicios.
• La determinación de los controles que son necesarios para alcanzar los
objetivos de control indicados en la descripción realizada por la organización
de servicios de su sistema.
• La evaluación de si los controles fueron adecuadamente diseñados.
• La evaluación, en el caso de un informe tipo 2, de si los controles
funcionaban eficazmente.
A20. Los procedimientos del auditor del servicio para obtener dicho conocimiento
pueden incluir:
• Indagar, mediante preguntas a aquellos en la organización de servicios que,
a juicio del auditor del servicio, pueden tener información relevante.
• Observar operaciones e inspeccionar documentos, informes, registros
impresos y electrónicos del procesamiento de transacciones.
• Revisar una selección de acuerdos entre la organización de servicios y
entidades usuarias con el fin de identificar sus términos comunes.
• Ejecutar de nuevo procedimientos de control.
Obtención de evidencia relativa a la descripción (Ref.: Apartados 21–22)
A21. Considerar las siguientes preguntas puede facilitar al auditor de la entidad prestadora
del servicio la determinación de si los aspectos de la descripción incluidos en el
alcance del encargo se presentan fielmente en todos los aspectos materiales:
• ¿Trata la descripción los principales aspectos del servicio prestado (dentro
del alcance del encargo) que sería razonable esperar que fueran relevantes
para las necesidades comunes de un amplio rango de auditores las entidades
267 NIEA 3402

SERVICIOS
usuarias en la planificación de sus auditorías de los estados financieros de

las entidades usuarias?
• ¿Se ha preparado la descripción con un nivel detalle del cual se puede
esperar que proporcione información suficiente a un amplio rango de
auditores de las entidades usuarias para obtener conocimiento del control
interno de conformidad con la NIA 315 (Revisada)13 No es necesario que la
descripción cubra todos los aspectos del procesamiento por la organización
de servicios ni de los servicios prestados a entidades usuarias, ni es necesario
que sea tan detallada como para permitir que un lector pudiera comprometer
la seguridad u otros controles en la organización de servicios.
• ¿Se ha preparado la descripción de modo que no omita o distorsione la
información que pueda afectar las necesidades comunes de las decisiones de
un amplio rango de auditores de las entidades usuarias, por ejemplo,
contiene la descripción alguna omisión significativa o inexactitudes en el
procesamiento que conozca el auditor del servicio?
• Cuando se han excluido del alcance del encargo algunos de los objetivos de
control indicados en la descripción de su sistema realizada por la
organización de servicios, la descripción ¿identifica claramente los objetivos
excluidos?
• ¿Han sido implementados los controles identificados en la descripción?
• ¿Se describen adecuadamente los controles complementarios de la entidad
usuaria, en su caso? En la mayoría de los casos, la descripción de los
objetivos de control está redactada de forma que se puedan cumplir los
objetivos de control mediante un funcionamiento eficaz de los controles
implementados únicamente por la organización de servicios. Sin embargo,
en algunos casos los objetivos de control indicados en la descripción de su
sistema realizada por la organización de servicios no los puede cumplir sola
la organización de servicios ya que su consecución requiere que
determinados controles sean implementados por las entidades usuarias. Este
puede ser el caso cuando, por ejemplo, los objetivos de control son
determinados por un regulador. Cuando la descripción incluya controles
complementarios de las entidades usuarias, la descripción los identifica por
separado junto con los objetivos de control específicos que no puede
alcanzar sola la organización de servicios.
• Si se ha utilizado el método de inclusión, la descripción ¿identifica por
separado los controles en la organización de servicios y los controles en la
subcontratación? Si se ha utilizado el método de exclusión, la descripción
¿identifica las funciones realizadas por la subcontratación? Cuando se utiliza
13
NIA 315 (Revisada), Identificación y valoración de los riesgos de incorrección material mediante el
conocimiento de la entidad y de su entorno.
NIEA 3402 268

SERVICIOS
el método de exclusión, no es necesario que la descripción describa de

manera detallada el procesamiento o los controles en la subcontratación.
NIEA
A22. Los procedimientos del auditor del servicio para evaluar la presentación fiel de la
descripción pueden incluir:
• Considerar la naturaleza de las entidades usuarias y el modo en que los
servicios prestados por la organización de servicios pueden afectarlas, por
ejemplo, si las entidades usuarias pertenecen a un determinado sector y si
son reguladas por autoridades gubernamentales.
• Lectura de contratos tipo o de cláusulas estándar de contratos (en su caso)
con entidades usuarias para obtener conocimiento de las obligaciones
contractuales de la organización de servicios.
• Observar los procedimientos realizados por el personal de la organización
de servicios.
• Revisar los manuales de políticas y procedimientos de la organización de
servicios y otra documentación de los sistemas, por ejemplo, flujogramas y
narrativas.
A23. En el apartado 21(a) se requiere que el auditor del servicio evalúe si los objetivos de
control indicados en la descripción de su sistema realizada por la organización de
servicios son razonables en las circunstancias. Considerar las siguientes preguntas
puede facilitar al auditor del servicio dicha evaluación:
• ¿Han sido fijados los objetivos de control por la organización de servicios
o por terceros externos, tales como un regulador, un grupo de usuarios o
un organismo profesional que aplican un proceso establecido
transparente?
• Cuando los objetivos de control indicados han sido fijados por la
organización de servicios, ¿están relacionados con los tipos de
afirmaciones comúnmente incorporadas en los estados financieros de un
amplio rango de entidades usuarias, con las que es razonable esperar que
estén relacionados los controles en la organización de servicios? Aunque
por lo general el auditor del servicio no podrá determinar el modo en el
que los controles en una organización de servicios se relacionan
específicamente con las afirmaciones incorporadas en los estados
financieros de distintas entidades usuarias, utiliza su conocimiento de la
naturaleza del sistema de la organización de servicios, así como de los
controles y de los servicios que se prestan para identificar los tipos de
afirmaciones con los que pueden estar relacionados los controles.
• Cuando los objetivos de control han sido fijados por la organización de
servicios ¿son completos? Un conjunto completo de objetivos de control
puede proporcionar a un amplio rango de auditores usuarios un marco
para evaluar el efecto de los controles en la organización de servicios sobre
269 NIEA 3402

SERVICIOS
las afirmaciones comúnmente incorporadas en los estados financieros de

las entidades usuarias.
A24. Los procedimientos del auditor del servicio para determinar si se ha implementado
el sistema de la organización de servicios pueden ser similares a, y realizarse
conjuntamente con, los procedimientos para obtener conocimiento de dicho
sistema. También pueden comprender el seguimiento de elementos en el sistema de
la organización de servicios y, en el caso de un informe tipo 2, la realización de
indagaciones específicas sobre cambios en controles que fueron implementados
durante el periodo. Los cambios que son significativos para las entidades usuarias o
para sus auditores se incluyen en la descripción de su sistema realizada por la
Obtención de evidencia relativa al diseño de los controles (Ref.: Apartados 23, 28(b))
A25. Desde el punto de vista de una entidad usuaria o del auditor de una entidad usuaria,
un control está adecuadamente diseñado si, individualmente o combinado con otros
controles, proporcionaría, en caso de que se aplicara de manera satisfactoria, una
seguridad razonable de que se previenen, o de que se detectan y corrigen, las
incorrecciones materiales. Sin embargo, la organización de servicios o el auditor del
servicio no conocen las circunstancias que determinarían en cada entidad usuaria
que una incorrección producida por una desviación de un control sea material para
dicha entidad usuaria. En consecuencia, desde el punto de vista del auditor de una
entidad usuaria, un control está adecuadamente diseñado si, individualmente o
combinado con otros controles, proporciona, en caso de que se aplique de manera
satisfactoria, una seguridad razonable de que se cumplen los objetivos de control
indicados en la descripción de su sistema realizada por la organización de servicios.
A26. El auditor del servicio puede considerar la utilización de flujogramas, cuestionarios
o árboles de decisión para facilitar el conocimiento del diseño de los controles.
A27. Los controles pueden consistir en un cierto número de actividades dirigidas al
cumplimiento de un objetivo de control. Por lo tanto, si el auditor del servicio evalúa
que ciertas actividades no son eficaces para alcanzar un determinado objetivo de
control, la existencia de otras actividades puede permitir al auditor del servicio
concluir que los controles relacionados con el objetivo de control están
adecuadamente diseñados.
Obtención de evidencia relativa a la eficacia operativa de los controles
Evaluación de la eficacia operativa (Ref.: Apartado 24)
A28. Desde el punto de vista de una entidad usuaria o del auditor de una entidad usuaria,
un control funciona adecuadamente si, individualmente o combinado con otros
controles, proporciona una seguridad razonable de que se previenen, o de que se
detectan y corrigen, las incorrecciones materiales debidas a fraude o error. Sin
embargo, la organización de servicios o el auditor del servicio no conocen las
circunstancias, al nivel de cada entidad usuaria, por las que una desviación de un
control produciría una incorrección y, en su caso, si esta fuera material. En
NIEA 3402 270
SERVICIOS
consecuencia, desde el punto de vista del auditor del servicio, un control está
adecuadamente diseñado si, individualmente o combinado con otros controles,
NIEA
proporciona, en caso de que se aplique de manera satisfactoria, una seguridad
razonable de que se cumplen los objetivos de control indicados en la descripción de
su sistema realizada por la organización de servicios. Del mismo modo, la
organización de servicios o el auditor del servicio no están en condiciones de
determinar si una desviación de un control observada ocasionaría una incorrección
material desde el punto de vista de una determinada entidad usuaria.
A29. La obtención de conocimiento de los controles suficiente para opinar sobre la
idoneidad de su diseño no es evidencia suficiente con respecto a su eficacia
operativa, salvo si existe alguna automatización que garantice un funcionamiento
sistemático de los controles tal como fueron diseñados e implementados. Por
ejemplo, la obtención de información sobre la implementación de un control manual
en un determinado momento no proporciona evidencia sobre el funcionamiento del
control en otros momentos. No obstante, debido a la coherencia inherente al
procesamiento mediante TI, la realización de procedimientos para determinar el
diseño de un control automatizado y si ha sido implementado puede servir como
evidencia de la eficacia operativa de dicho control, supeditada a la evaluación y
prueba por el auditor del servicio de otros controles, tales como los controles sobre
cambios en los programas.
A30. Para ser de utilidad a los auditores de las entidades usuarias, un informe tipo 2 cubre
por lo general un periodo mínimo de seis meses. Si el periodo es inferior a seis
meses, el auditor del servicio puede considerar adecuado describir en su informe de
aseguramiento los motivos de un periodo más corto. Las circunstancias que pueden
dar lugar a un informe que cubra menos de seis meses incluyen cuando (a) se
contrata al auditor del servicio en una fecha próxima a aquella en la que se ha de
emitir el informe sobre controles; (b) la organización de servicios (o un determinado
sistema o aplicación) lleva menos de seis meses en funcionamiento; o (c) se han
realizado cambios significativos en los controles y no es factible esperar seis meses
antes de emitir un informe o emitir un informe que cubra el sistema tanto antes como
después de los cambios.
A31. Puede ocurrir que determinados procedimientos de control no dejen evidencia de su
funcionamiento que pueda ser probada en una fecha posterior y, en consecuencia,
es posible que el auditor del servicio tenga necesidad de probar la eficacia operativa
de dichos procedimientos de control en varios momentos a lo largo del periodo
cubierto por el informe.
A32. El auditor del servicio proporciona una opinión sobre la eficacia operativa de los
controles durante cada periodo, por lo tanto, se necesita suficiente evidencia
adecuada del funcionamiento de los controles durante el periodo actual para que el
auditor del servicio pueda expresar una opinión. Sin embargo, el conocimiento de
desviaciones observadas en anteriores encargos puede llevar al auditor del servicio
a incrementar la extensión de las pruebas durante el periodo actual.
271 NIEA 3402

SERVICIOS
Prueba de controles indirectos (Ref.: Apartado 25(b))

A33. En algunas circunstancias, puede ser necesario obtener evidencia que soporte que
los controles indirectos funcionan eficazmente. Por ejemplo, cuando el auditor del
servicio decide realizar pruebas sobre la eficacia de una revisión de los informes de
excepciones que detallan ventas que superan los límites de crédito autorizados,
dicha revisión y el correspondiente seguimiento constituyen el control directamente
relevante para el auditor. Los controles sobre la exactitud de la información en los
informes (por ejemplo, los controles generales de TI) se consideran controles
“indirectos”.
A34. Debido a la coherencia inherente al procesamiento mediante TI, la evidencia sobre
la implementación de un control de aplicación automatizada, cuando se considera
juntamente con la evidencia sobre la eficacia operativa de los controles generales de
la organización de servicios (especialmente de los controles de cambios), puede
proporcionar también evidencia importante sobre su eficacia operativa.
Medios de selección de elementos para su comprobación ((Ref.: Apartados 25(c), 27)
A35. Los medios de que dispone el auditor del servicio para seleccionar los elementos
que serán comprobados son:
(a) Selección de todos los elementos (examen a 100%). Puede resultar
adecuado para probar controles que no son aplicados con frecuencia, por
ejemplo, trimestralmente, o cuando la evidencia relativa a la aplicación del
control hace que sea eficiente una prueba a 100%.
(b) Selección de elementos específicos. Puede resultar adecuado cuando una
prueba al 100% no sería eficiente y el muestreo no sería eficaz, como, por
ejemplo, cuando se prueban controles que no se aplican con la suficiente
frecuencia como para que exista una población amplia para el muestreo,
controles que se aplican mensual o diariamente; y
(c) Muestreo. Puede resultar adecuado para probar controles que son aplicados
con frecuencia de manera uniforme y que dejan evidencia documentada de
su aplicación.
A36. Aunque el examen selectivo de elementos específicos a menudo sea un medio
eficiente de obtención de evidencia, no constituye muestreo. Los resultados de
procedimientos aplicados a elementos seleccionados de esta manera no se pueden
extrapolar a la población total; en consecuencia, el examen selectivo de elementos
específicos no proporciona evidencia sobre el resto de la población. Por otra parte,
el muestreo tiene como finalidad permitir que se obtengan conclusiones sobre la
totalidad de la población basadas en la comprobación de una muestra extraída de la
misma.
El trabajo de la función de auditoría interna
Obtención de conocimiento de la función de auditoría interna (Ref.: Apartado 30)
NIEA 3402 272

SERVICIOS
A37. La función de auditoría interna puede ser responsable de proporcionar análisis,

evaluaciones, seguridad, recomendaciones y otra información a la dirección y a los
NIEA
responsables del gobierno de la entidad. La función de auditoría interna en una
organización de servicios puede realizar actividades relacionadas con el sistema de
control interno de la propia organización de servicios o actividades relacionadas con
los servicios y sistemas, incluidos los controles, que la organización de servicios
proporciona a las entidades usuarias.
Determinación de la utilización del trabajo de los auditores internos y de la extensión de
dicha utilización (Ref.: Apartado 33)
A38. Para determinar el efecto previsto del trabajo de los auditores internos sobre la
naturaleza, el momento de realización o la extensión de los procedimientos del
auditor del servicio, los siguientes factores pueden indicar la necesidad de
procedimientos diferentes o menos extensos que los que normalmente se
requerirían:
• La naturaleza y el alcance del trabajo específico realizado, o a realizar, por
los auditores internos son bastante limitados.
• El trabajo de los auditores internos se refiere a controles que son menos
significativos para las conclusiones del auditor del servicio.
• El trabajo realizado, o a realizar por los auditores internos no requiere juicios
subjetivos o complejos.
Utilización del trabajo de la función de auditoría interna (Ref.: Apartado 34)
A39. La naturaleza, momento de realización y extensión de los procedimientos del
auditor del servicio sobre trabajo específico de los auditores internos dependerá de
su evaluación de la importancia de dicho trabajo para sus conclusiones (por ejemplo,
la importancia de los riesgos que los controles probados intentan mitigar), de la
evaluación de la función de auditoría interna y de la evaluación del trabajo
específico de los auditores internos.
• El examen de elementos ya examinados por los auditores internos;
• el examen de otros elementos similares; y
• la observación de procedimientos realizados por los auditores internos.
Efecto sobre el informe de aseguramiento del auditor del servicio (Ref.: Apartados 36-37)
A40. Independientemente del grado de autonomía y objetividad de la función de
auditoría interna, dicha función no es independiente de la organización de servicios
como se requiere que lo sea el auditor del servicio cuando realiza el encargo. El
auditor del servicio es el único responsable de la opinión que expresa en su informe
de aseguramiento y su responsabilidad no se reduce por el hecho de que utilice el
trabajo de los auditores internos.
273 NIEA 3402

SERVICIOS
A41. La descripción por el auditor del servicio del trabajo realizado por la función de
auditoría interna se puede presentar de varias maneras, por ejemplo:
• Mediante la inclusión de material introductorio en la descripción de las
pruebas de controles indicando que al realizar las pruebas de controles se
utilizó determinado trabajo de la función de auditoría interna.
• Mediante la atribución de determinadas pruebas a la auditoría interna.
Manifestaciones escritas (Ref.: Apartados 38, 40)
A42. Las manifestaciones escritas que se exigen en el apartado 38 son independientes de
y adicionales a, la declaración de la organización de servicios que se define en el
apartado 9(o).
A43. Si la organización de servicios no facilita las manifestaciones escritas requeridas de
conformidad con el apartado 38(c) de esta NIEA, puede resultar apropiado que la
opinión del auditor del servicio sea una opinión modificada de conformidad con el
apartado 55(d) de esta NIEA.
Otra información (Ref.: Apartado 42)
A44. El Código de Ética del IESBA requiere que el auditor del servicio no se vincule con
información cuando considere que la misma:
(a) contiene una declaración materialmente falsa o que induce a error;
(b) contiene declaraciones o información proporcionada de manera
irresponsable u
(c) omite u oculta información que debe ser incluida cuando dicha omisión u
ocultación inducirían a error. 14
Si otra información que se incluye en un documento que contiene la descripción de
su sistema realizada por la organización de servicios junto con el informe de
aseguramiento del auditor del servicio contiene información orientada a futuro tal
como planes de recuperación o de contingencia, o planes para modificaciones al
sistema que tratarán las desviaciones que se identifican en el informe de
aseguramiento del auditor del servicio, o manifestaciones de carácter promocional
que no pueden ser razonablemente fundamentadas, el auditor del servicio puede
solicitar que dicha información sea eliminada o reformulada.
A45. Si la organización de servicios rehúsa eliminar o reformular la otra información,
entre las actuaciones adicionales que resultarían adecuadas se incluye, por ejemplo:
• Solicitar a la organización de servicios que obtenga asesoramiento jurídico
para determinar el modo de actuar adecuado.
• Describir la incongruencia material o la incorrección de hecho material en
el informe de aseguramiento.
14
Código de Ética del IESBA, apartado 110.2.
NIEA 3402 274

SERVICIOS
• Retener el informe de aseguramiento hasta que se resuelva la cuestión.

• Renunciar al encargo.
NIEA
Documentación (Ref.: Apartado 51)
A46. La NICC 1 (u otros requerimientos profesionales o requerimientos de disposiciones
legales o reglamentarias que sean al menos igual de exigentes que la NICC 1)
requiere que las firmas establezcan políticas y procedimientos para completar
oportunamente la compilación de los archivos del encargo.15 Un plazo adecuado
para completar dicha compilación habitualmente no excede de 60 días después de
la fecha del informe de aseguramiento del auditor del servicio.16
Preparación del informe de aseguramiento del auditor de la entidad prestadora del
servicio
Contenido del informe de aseguramiento del auditor de l a entidad prestadora del servicio
(Ref.: Apartado 53)
A47. Los Anexos 1 y 2 contienen ejemplos ilustrativos de informes de aseguramiento del
auditor del servicio y de las correspondientes declaraciones de la organización de
servicios.
Usuarios a los que se destina el informe de aseguramiento del auditor del servicio y
propósito de este (Ref.: Apartado 53(e))
A48. Los criterios utilizados en los encargos para informar sobre los controles en una
organización de servicios únicamente son relevantes para proporcionar información
sobre el sistema de la organización de servicios, incluidos los controles, a aquéllos
que tienen conocimiento del modo en que el sistema ha sido utilizado por las
entidades usuarias para la preparación de información financiera. En consecuencia,
este hecho se menciona en el informe de aseguramiento del auditor del servicio.
Adicionalmente, el auditor del servicio puede considerar adecuado incluir un
párrafo que restrinja específicamente la distribución del informe de aseguramiento
a los usuarios a los que se destina, su utilización por terceros o su utilización para
otros propósitos.
Diseño y aplicación de pruebas de controles (Ref.: Apartado 54)
A49. En la descripción de la naturaleza de las pruebas de controles para un informe tipo
2, es útil para los lectores del informe de aseguramiento del auditor del servicio si
este incluye:
• Los resultados de todas las pruebas en las que se han identificado
desviaciones, incluso si se han identificado otros controles que permiten al
auditor del servicio concluir que el objetivo de control relevante se ha
15
NICC 1, apartado 45
16
NICC 1, apartado A54.
275 NIEA 3402

SERVICIOS
alcanzado o si el control probado ha sido posteriormente eliminado de la

descripción de su sistema realizada por la organización de servicios.
• Información sobre los factores causantes de las desviaciones identificadas,
siempre que el auditor del servicio los haya identificado.
Opiniones modificadas (Ref.: Apartado 55)
A50. En el Anexo 3 se incluyen ejemplos ilustrativos de informes de aseguramiento
modificados del auditor del servicio.
A51. Incluso cuando el auditor del servicio haya expresado una opinión desfavorable
(adversa) o haya denegado la opinión (se haya abstenido de opinar), puede ser
adecuado que describa en el párrafo de fundamento de la modificación los motivos
de cualquier otro hecho del que tenga conocimiento que hubiera requerido una
opinión modificada y los efectos correspondientes.
A52. Cuando la denegación (abstención) de opinión se produzca por una limitación al
alcance, por lo general no es adecuado identificar los procedimientos realizados ni
incluir declaraciones que describan las características del encargo del auditor del
servicio; hacerlo podría restar visibilidad a la denegación (abstención) de opinión.
Otras responsabilidades de comunicación (Ref.: Apartado 56)
A53. Entre las actuaciones adecuadas para responder a las circunstancias mencionadas en
el apartado 56, salvo que lo prohíba una disposición legal o reglamentaria, se
incluyen:
• Obtención de asesoramiento jurídico en relación con las consecuencias de
las diferentes posibilidades de actuación.
• Comunicación con los responsables del gobierno de la organización de
servicios.
• Determinar si debe comunicar con terceros (por ejemplo, las disposiciones
legales, reglamentarias o los requerimientos de ética aplicables pueden
requerir que el auditor del servicio informe a una autoridad competente
ajena a la entidad o al auditor externo de la organización de servicios, 17 o
establecer responsabilidades según las cuales puede ser adecuado informar
de ello según las circunstancias).
• Modificación de la opinión del auditor del servicio o inclusión de un párrafo
sobre otras cuestiones.
• Renunciar al encargo.
17
Véanse, por ejemplo, las Secciones 225.44 a 225.48 del Código del IESBA.
NIEA 3402 276

SERVICIOS
Anexo 1
NIEA
Ejemplos de declaraciones de la organización de servicios
Los siguientes ejemplos de declaraciones de la organización de servicios son sólo orientativos
y no pretenden ser exhaustivos ni aplicables a todas las situaciones.
Ejemplo 1: Ejemplo de declaración tipo 2 de la organización de servicios
Declaración de la organización de servicios
La descripción adjunta se ha preparado para los clientes que han utilizado el sistema [tipo o
nombre del mismo] y para sus auditores, quienes tienen conocimiento suficiente para tenerla en
cuenta, junto con otra información, incluida información sobre los controles aplicados por los
propios clientes, al valorar los riesgos de incorrecciones materiales en los estados financieros de
los clientes. [Nombre de la entidad] confirma que:
(a) La descripción adjunta en las páginas [bb-cc] presenta fielmente el sistema [tipo o
nombre de este] para procesar las transacciones de los clientes durante el periodo de
[fecha] a [fecha]. Los criterios utilizados al realizar la presente declaración fueron que
la descripción adjunta:
(i) Presenta el modo en que se diseñó e implementó el sistema, incluido:
• los tipos de servicios prestados, así como, según corresponda, las clases
de transacciones procesadas;
• Los procedimientos, tanto en los sistemas de tecnologías de la
información como manuales, mediante los cuales las transacciones se
generaron, registraron, procesaron, corrigieron en caso necesario, y se
transfirieron a los informes preparados para los clientes.
• Los correspondientes registros e información de soporte y cuentas
específicas que se utilizaron para generar, registrar, procesar e informar
sobre las transacciones; esto incluye la corrección de información
incorrecta y el modo en que la información se transfirió a los informes
preparados para los clientes.
• El modo en que el sistema trató los hechos y condiciones significativos
distintos de las transacciones.
• El proceso que se utilizó para preparar los informes para los clientes.
• Los objetivos de control relevantes y los controles diseñados para su
cumplimiento.
• Controles que, al diseñar el sistema, supusimos que serían
implementados por las entidades usuarias y que, si resultan necesarios
para que se cumplan los objetivos de control mencionados en la
277 NIEA 3402

SERVICIOS
descripción adjunta, se identifican en la misma junto con los objetivos de

control que no podemos alcanzar por nosotros mismos.
• Otros aspectos del entorno de control, del proceso de valoración del
riesgo, del sistema de información (incluidos los procesos de negocio
relacionados) y comunicación, de las actividades de control y controles
de seguimiento que fueron relevantes para el procesamiento de las
transacciones de los clientes y para informar sobre las mismas.
(ii) Incluye los principales detalles de los cambios que se han producido en los
sistemas de la organización de servicios durante el periodo de [fecha] a [fecha].
(iii) No omite ni distorsiona información relacionada con el alcance del sistema de la
organización de servicios que está siendo descrito, a la vez que se reconoce que
la descripción se prepara para satisfacer las necesidades comunes de un amplio
rango de clientes y de sus auditores y que es posible, en consecuencia, que no
incluya cada aspecto del sistema de la organización de servicios que cada cliente
por separado pueda considerar importante en su entorno particular.
(b) Los controles relacionados con los objetivos de control mencionados en la descripción
realizada por la organización de servicios funcionaron eficazmente durante el periodo
de [fecha] a [fecha]. Los criterios utilizados para realizar la presente declaración fueron
que:
(i) se han identificado los riesgos que amenazaban la consecución de los objetivos
de control indicados en la descripción;
(ii) los controles identificados, aplicados según se describe, proporcionarían una
seguridad razonable de que dichos riesgos no impidieron que se alcanzaran los
objetivos de control; y
(iii) los controles se aplicaron de manera congruente tal y como fueron diseñados, y
los controles manuales fueron aplicados por personas con la competencia y
autoridad adecuadas, a lo largo del periodo de [fecha] a [fecha].
Ejemplo 2: Ejemplo de declaración tipo 1 de la organización de servicios
La descripción adjunta se ha preparado para los clientes que han utilizado el sistema [tipo o
nombre de este] y para sus auditores, quienes tienen conocimiento suficiente para tenerla en
cuenta, junto con otra información, incluida información sobre los controles aplicados por los
propios clientes, al obtener conocimiento de los sistemas de información de los clientes
relevantes para la preparación de información financiera. [Nombre de la entidad] confirma que:
(a) La descripción adjunta en las páginas [bb-cc] presenta fielmente el sistema [tipo o
nombre del mismo] para procesar las transacciones de los clientes a [fecha]. Los criterios
utilizados al realizar la presente declaración fueron que la descripción adjunta:
(i) Presenta el modo en que se diseñó e implementó el sistema, incluido:
• los tipos de servicios prestados, así como, según corresponda, las clases
de transacciones procesadas;
NIEA 3402 278
SERVICIOS
• Los procedimientos, tanto en los sistemas de tecnologías de la

información como manuales, mediante los cuales las transacciones se
NIEA
generaron, registraron, procesaron, corrigieron en caso necesario, y se
transfirieron a los informes preparados para los clientes.
• Los correspondientes registros e información de soporte y cuentas
específicas que se utilizaron para generar, registrar, procesar e informar
sobre las transacciones; esto incluye la corrección de información
incorrecta y el modo en que la información se transfiere a los informes
preparados para los clientes.
• El modo en que el sistema trató los hechos y condiciones significativos
distintos de las transacciones.
• El proceso que se utilizó para preparar los informes para los clientes.
• Los objetivos de control relevantes y los controles diseñados para su
cumplimiento.
• Controles que, al diseñar el sistema, supusimos que serían
implementados por las entidades usuarias y que, si resultan necesarios
para que se cumplan los objetivos de control mencionados en la
descripción adjunta, se identifican en la misma junto con los objetivos de
control que no podemos alcanzar por nosotros mismos.
• Otros aspectos del entorno de control, del proceso de valoración del
riesgo, del sistema de información (incluidos los procesos de negocio
relacionados) y comunicación, de las actividades de control y controles
de seguimiento que fueron relevantes para el procesamiento de las
transacciones de los clientes y para informar sobre las mismas.
(ii) No omite ni distorsiona información relacionada con el alcance del sistema de la
organización de servicios que está siendo descrito, a la vez que se reconoce que
la descripción se prepara para satisfacer las necesidades comunes de un amplio
rango de clientes y de sus auditores y que es posible, en consecuencia, que no
incluya cada aspecto del sistema de la organización de servicios que cada cliente
por separado pueda considerar importante en su entorno particular.
(b) Los controles relacionados con los objetivos de control indicados en la descripción
estaban adecuadamente diseñados a [fecha]. Los criterios utilizados para realizar la
presente declaración fueron que:
(i) se han identificado los riesgos que amenazaban la consecución de los objetivos
de control indicados en la descripción;
(ii) los controles identificados, aplicados según se describe, proporcionarían una
seguridad razonable de que dichos riesgos no impidieron que se alcanzaran los
objetivos de control.
279 NIEA 3402

SERVICIOS
Anexo 2
Ejemplos de informes de aseguramiento del auditor de la entidad prestadora
del servicio
Los siguientes ejemplos de informes son sólo orientativos y no pretenden ser
exhaustivos ni aplicables a todas las situaciones.
Ejemplo 1: Informe tipo 2 del auditor de la entidad prestadora del servicio.
Informe del auditor del servicio independiente sobre
la descripción de los controles, su diseño y su eficacia operativa
A: La organización de servicios XYZ
Alcance
Hemos sido contratados para informar sobre la descripción realizada por la
organización de servicios XYZ de su sistema [tipo o nombre de este] para procesar
transacciones de clientes durante el periodo de [fecha] a [fecha] en páginas [bb–
cc] (la descripción), y sobre el diseño y funcionamiento de los controles
relacionados con los objetivos de control indicados en la descripción. 18
Responsabilidades de la organización de servicios XYZ
La organización de servicios XYZ es responsable de la preparación de la
descripción y de la declaración adjunta a la misma que se muestra en la página
[aa], así como de la integridad, exactitud y método de presentación de la
descripción y de la declaración; de prestar los servicios cubiertos por la
descripción; de indicar los objetivos de control; y de diseñar, implementar y
aplicar eficazmente los controles para alcanzar los objetivos de control indicados.
Nuestra independencia y control de calidad
Hemos cumplido los requerimientos de independencia y demás requerimientos de
ética del Código de Ética para Profesionales de la Contabilidad emitido por el
Consejo de Normas Internacionales de Ética para contadores, que se basa en los
principios fundamentales de integridad, objetividad, competencia y diligencia
profesionales, confidencialidad y comportamiento profesional.
La firma aplica la Norma Internacional de Control de Calidad 1 19 y mantiene, en
consecuencia, un exhaustivo sistema de control de calidad que incluye políticas y
procedimientos documentados relativos al cumplimiento de requerimientos de
ética, normas profesionales y disposiciones legales y reglamentarias aplicables.
18
Si no se incluyen algunos elementos de la descripción en el alcance del encargo, este hecho
se deja claro en el informe de aseguramiento.
19
NICC 1 Control de calidad para las firmas de auditoría que realizan auditorías y revisiones
de estados financieros, así como otros encargos que proporcionan un grado de seguridad y
servicios relacionados.
NIEA 3402 280

SERVICIOS
Responsabilidades del auditor de la entidad prestadora del servicio

Nuestra responsabilidad es expresar una opinión sobre la descripción realizada por
NIEA
la organización de servicios XYZ y sobre el diseño y el funcionamiento de los
controles relacionados con los objetivos de control indicados en dicha descripción,
basada en nuestros procedimientos. Hemos realizado nuestro encargo de
conformidad con la Norma Internacional de Encargos de Aseguramiento (NIEA)
3402 Informes de aseguramiento sobre los controles en una organización de
servicios, emitida por el Consejo de Normas Internacionales de Auditoría y
Aseguramiento. Dicha norma exige que planifiquemos y apliquemos nuestros
procedimientos con el fin de obtener una seguridad razonable de que, en todos los
aspectos materiales, la descripción se presenta fielmente y los controles están
adecuadamente diseñados y funcionan con eficacia.
Un encargo de aseguramiento sobre la descripción, el diseño y la eficacia operativa
de los controles en una organización de servicios implica la aplicación de
procedimientos para obtener evidencia sobre la información revelada en la
descripción realizada por la organización de servicios de su sistema, y sobre el
diseño y eficacia operativa de los controles. Los procedimientos seleccionados
dependen del juicio del auditor del servicio, así como de la valoración de los
riesgos de que la descripción no se presente fielmente y de que los controles no
estén adecuadamente diseñados o no funcionen eficazmente. Nuestros
procedimientos incluyeron probar la eficacia operativa de los controles que
consideramos necesarios para proporcionar una seguridad razonable de que se
alcanzaron los objetivos de control indicados en la descripción. Un encargo de
seguridad de este tipo también comprende la evaluación de la presentación general
de la descripción, de la adecuación de los objetivos que se indican en la misma, y
de la adecuación de los criterios detallados por la organización de servicios y que
se describen en la página [aa].
Consideramos que la evidencia que hemos obtenido proporciona una base
suficiente y adecuada para nuestra opinión.
Limitaciones de los controles en una organización de servicios
La descripción realizada por la organización de servicios XYZ se prepara para
satisfacer las necesidades comunes de un amplio rango de clientes y de sus
auditores y es posible, en consecuencia, que no incluya cada aspecto del sistema
que cada cliente por separado pueda considerar importante en su entorno
particular. Así mismo, debido a su naturaleza, puede ocurrir que los controles en
una organización de servicios no prevengan o detecten todos los errores u
omisiones en el procesamiento de transacciones o en la preparación de informes
sobre las mismas. Así mismo, la extrapolación de cualquier evaluación de la
efectividad a periodos futuros está sujeta al riesgo de que los controles en una
organización de servicios puedan convertirse en inadecuados o fallar.
281 NIEA 3402

SERVICIOS
Opinión
Nuestra opinión se ha formado sobre la base de las cuestiones mencionadas en este informe.
Los criterios que utilizamos en la formación de nuestra opinión son los que se describen en
la página [aa]. En nuestra opinión, en todos los aspectos materiales:
(a) La descripción presenta fielmente el sistema [tipo o nombre del mismo] como se
diseñó e implementó durante el periodo de [fecha] a [fecha];
(b) Los controles relacionados con los objetivos de control mencionados en la descripción
estuvieron adecuadamente diseñados durante el periodo de [fecha] a [fecha]; y
(c) Los controles que se probaron, que eran los necesarios para proporcionar una
seguridad razonable de que los objetivos de control indicados en la descripción se
alcanzaron, funcionaron eficazmente durante el periodo de [fecha] a [fecha].
Descripción de las pruebas de controles
Los controles específicos que se probaron y la naturaleza, momento de realización y
resultados de dichas pruebas se detallan en las páginas [yy–zz].
Usuarios a los que va dirigido y propósito
Este informe y la descripción de las pruebas de controles de las páginas [yy–zz] se han
preparado para los clientes que han utilizado el sistema [tipo o nombre del mismo] y para sus
auditores, quienes tienen conocimiento suficiente para tenerlo en cuenta, junto con otra
información, incluida información sobre los controles aplicados por los propios clientes, al
valorar los riesgos de incorrecciones materiales en los estados financieros de los clientes.
[Firma del auditor del servicio]
[Fecha del informe de aseguramiento del auditor del servicio]
[Dirección del auditor del servicio]
Ejemplo 2: Informe tipo 1 del auditor del servicio.
Informe del auditor del servicio independiente sobre
la descripción de los controles y su diseño
A: La organización de servicios XYZ
Alcance
Hemos sido contratados para informar sobre la descripción realizada por la organización de
servicios XYZ de su sistema [tipo o nombre de este] para procesar transacciones de clientes
a [fecha] (la descripción), y sobre el diseño de los controles relacionados con los objetivos de
control indicados en la descripción.20
20
Si no se incluyen algunos elementos de la descripción en el alcance del encargo, este hecho
se deja claro en el informe de aseguramiento.
NIEA 3402 282

SERVICIOS
No hemos aplicado ningún procedimiento con respecto a la eficacia operativa de los controles
que se incluyen en la descripción y, en consecuencia, no expresamos una opinión sobre la
NIEA
misma.
Responsabilidades de la organización de servicios XYZ
La organización de servicios XYZ es responsable de la preparación de la descripción y de la
declaración adjunta a la misma que se muestra en la página [aa], así como de la integridad,
exactitud y método de presentación de la descripción y de la declaración; de prestar los
servicios cubiertos por la descripción; de indicar los objetivos de control; y de diseñar,
implementar y aplicar eficazmente los controles para alcanzar los objetivos de control
indicados.
Nuestra independencia y control de calidad
Hemos cumplido los requerimientos de independencia y demás requerimientos de ética del
Código de Ética para Profesionales de la Contabilidad emitido por el Consejo de Normas
Internacionales de Ética para contadores, que se basa en los principios fundamentales de
integridad, objetividad, competencia y diligencia profesionales, confidencialidad y
comportamiento profesional.
La firma aplica la Norma Internacional de Control de Calidad 121 y mantiene, en
consecuencia, un exhaustivo sistema de control de calidad que incluye políticas y
procedimientos documentados relativos al cumplimiento de requerimientos de ética, normas
profesionales y disposiciones legales y reglamentarias aplicables.
Nuestra responsabilidad es expresar una opinión sobre la descripción realizada por la
organización de servicios XYZ y sobre el diseño de los controles relacionados con los
objetivos de control indicados en dicha descripción, basada en nuestros procedimientos.
Hemos realizado nuestro encargo de conformidad con la Norma Internacional de Encargos
de Aseguramiento (NIEA) 3402 Informes de aseguramiento sobre los controles en una
organización de servicios, emitida por el Consejo de Normas Internacionales de Auditoría y
Aseguramiento. Dicha norma exige que planifiquemos y apliquemos nuestros
procedimientos con el fin de obtener una seguridad razonable de que, en todos los aspectos
materiales, la descripción se presenta fielmente y los controles están adecuadamente
diseñados y funcionan con eficacia.
Un encargo de aseguramiento sobre la descripción y el diseño de los controles en una
organización de servicios implica la aplicación de procedimientos para obtener evidencia
sobre la información revelada en la descripción realizada por la organización de servicios de
su sistema y sobre el diseño de los controles. Los procedimientos seleccionados dependen del
juicio del auditor del servicio, así como de la valoración de los riesgos de que la descripción
no se presente fielmente y de que los controles no estén adecuadamente diseñados. Un
21
NICC 1 Control de calidad para las firmas de auditoría que realizan auditorías y revisiones
de estados financieros, así como otros encargos que proporcionan un grado de seguridad y
servicios relacionados.
283 NIEA 3402

SERVICIOS
encargo de aseguramiento de este tipo también incluye la evaluación de la presentación

general de la descripción, de la adecuación de los objetivos de control que se indican en la
misma, y de la adecuación de los criterios detallados por la organización de servicios y que
se describen en la página [aa].
Como indicamos anteriormente, no hemos aplicado ningún procedimiento con respecto a la
eficacia operativa de los controles que se incluyen en la descripción y, en consecuencia, no
expresamos una opinión sobre la misma.
Consideramos que la evidencia que hemos obtenido proporciona una base suficiente y
adecuada para nuestra opinión.
Limitaciones de los controles en una organización de servicios
La descripción realizada por la organización de servicios XYZ se prepara para satisfacer las
necesidades comunes de un amplio rango de clientes y de sus auditores y es posible, en
consecuencia, que no incluya cada aspecto del sistema que cada cliente por separado pueda
considerar importante en su entorno particular. Así mismo, debido a su naturaleza, puede
ocurrir que los controles en una organización de servicios no prevengan o detecten todos los
errores u omisiones en el procesamiento de transacciones o en la preparación de informes
sobre las mismas.
Opinión
Nuestra opinión se ha formado sobre la base de las cuestiones mencionadas en este informe.
Los criterios que utilizamos en la formación de nuestra opinión son los que se describen en
la página [aa]. En nuestra opinión, en todos los aspectos materiales:
(a) La descripción presenta fielmente el sistema [tipo o nombre de este] a [fecha] como
se diseñó e implementó; y
(b) Los controles relacionados con los objetivos de control indicados en la descripción
estaban adecuadamente diseñados a [fecha].
Usuarios a los que va dirigido y propósito
Este informe se ha preparado únicamente para los clientes que han utilizado el sistema [tipo
o nombre del mismo] de la organización de servicios XYZ y para sus auditores, quienes
tienen conocimiento suficiente para tenerlo en cuenta, junto con otra información, incluida
información sobre los controles aplicados por los propios clientes, al obtener conocimiento
de los sistemas de información de los clientes relevantes para la preparación de información
financiera.
[Firma del auditor del servicio]
[Fecha del informe de aseguramiento del auditor del servicio]
[Dirección del auditor del servicio]
NIEA 3402 284

SERVICIOS
Anexo 3
NIEA
Ejemplos de informes de aseguramiento modificados del auditor de la entidad
prestadora del servicio
Los siguientes ejemplos de informes modificados son sólo orientativos y no pretenden
ser exhaustivos ni aplicables a todas las situaciones. Se basan en los ejemplos de
informes del Anexo 2.
Ejemplo 1: Opinión con salvedades - la descripción del sistema realizada por la
organización de servicios no se presenta fielmente, en todos los aspectos
materiales.
…
…
Consideramos que la evidencia que hemos obtenido proporciona una base suficiente
y adecuada para nuestra opinión con salvedades.
Fundamento de la opinión con salvedades
La descripción adjunta indica en la página [mn] que la organización de servicios XYZ
utiliza números de identificación de los operadores y claves para impedir accesos no
autorizados al sistema. Basándonos en nuestros procedimientos, los cuales incluyeron
indagaciones mediante preguntas al personal y la observación de las actividades,
hemos determinado que los números de identificación de los operadores y las claves
se utilizan en las Aplicaciones A y B pero no en las Aplicaciones C y D.
Opinión con salvedades
Nuestra opinión se ha formado sobre la base de las cuestiones mencionadas en este
informe. Los criterios que utilizamos en la formación de nuestra opinión son los que
se describen en la declaración de la organización de servicios XYZ de la página [aa].
En nuestra opinión, excepto por la cuestión que se describe en el párrafo de
Fundamento de la opinión con salvedades:
(a) …
Ejemplo 2: Opinión con salvedades – los controles no están adecuadamente
diseñados para proporcionar una seguridad razonable de que los objetivos de
control indicados en la descripción de su sistema realizada por la organización
de servicios se alcancen, aunque los controles funcionen eficazmente.
…
…
285 NIEA 3402

SERVICIOS
Como se indica en la página [mn] de la descripción adjunta, de vez en cuando la
organización de servicios XYZ realiza cambios en los programas de las aplicaciones
con el fin de corregir deficiencias o de aumentar su capacidad. Los procedimientos
que se siguen para determinar si se deben realizar cambios, para el diseño de los
cambios y para su implementación, no incluyen su revisión y aprobación por personas
autorizadas que sean independientes de las que participan en la realización de los
cambios. Tampoco se han establecido requisitos de probar tales cambios o de
proporcionar los resultados de las pruebas a un revisor autorizado antes de
implementar los cambios.
se describen en la afirmación de la organización de servicios XYZ de la página [aa].
(a) …
Ejemplo 3: Opinión con salvedades – los controles no funcionaron con eficacia
durante el periodo especificado (sólo en informes tipo 2)
…
…
La organización de servicios XYZ afirma en su descripción que ha puesto en
funcionamiento controles automatizados para conciliar los cobros por reembolsos de
préstamos con el resultado generado. Sin embargo, como se indica en la página [mn]
de la descripción, dicho control no funcionó eficazmente durante el periodo
comprendido entre el dd/mm/aaaa y el dd/mm/aaaa debido a un error de programación.
El resultado fue que no se cumpliera el objetivo de control “Los controles
proporcionan una seguridad razonable de que se registran adecuadamente los cobros
por reembolsos de préstamos” durante el periodo comprendido entre el dd/mm/aaaa y
el dd/mm/aaaa. XYZ implementó un cambio en el programa que realiza el cálculo y
nuestras pruebas indican que funcionó eficazmente durante el periodo comprendido
entre el dd/mm/aaaa y el dd/mm/aaaa.
NIEA 3402 286

SERVICIOS

NIEA
…
Ejemplo 4: Opinión con salvedades – El auditor de la entidad prestadora del
servicio no puede obtener evidencia adecuada y suficiente
…
…
La organización de servicios XYZ afirma en su descripción que ha puesto en
funcionamiento controles automatizados para conciliar los cobros por reembolsos de
préstamos con el resultado generado. No obstante, los registros electrónicos de la
realización de dicha conciliación durante el periodo comprendido entre el dd/mm/aaaa
y el dd/mm/aaaa fueron borrados como resultado de un error de procesamiento
informático y, en consecuencia, no pudimos probar el funcionamiento de dicho control
durante ese periodo. En consecuencia, no pudimos determinar si el objetivo de control
“Los controles proporcionan una seguridad razonable de que se registran
adecuadamente los cobros por reembolsos de préstamos” funcionó eficazmente
durante el periodo comprendido entre el dd/mm/aaaa y el dd/mm/aaaa.
(a) …
287 NIEA 3402

Isae 3402

Cargado por

Copyright:

Formatos disponibles

Isae 3402

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Isae 3402

Cargado por

Copyright:

Formatos disponibles

NORMA INTERNACIONAL DE ENCARGOS DE

ASEGURAMIENTO (NIEA) 3402

NIEA 3402 238

Guía de aplicación y otras anotaciones explicativas

La Norma Internacional de Encargos de Aseguramiento (NIEA) 3402, debe

239 NIEA 3402

NIEA 3402 240

(b) informes de procedimientos acordados sobre los controles en una

241 NIEA 3402

(iii) cuando se incluya en el alcance del encargo, de que los controles

NIEA 3402 242

sistema realizada por la organización de servicios incluye la naturaleza de los

243 NIEA 3402

b. los controles relacionados con los objetivos de control

NIEA 3402 244

(r) Auditor de la entidad usuaria - Auditor que audita y emite el informe de

245 NIEA 3402

(b) Obtendrá una confirmación de la dirección de la organización de servicios

NIEA 3402 246

Determinación de la adecuación de los criterios

247 NIEA 3402

(b) En el caso de un informe tipo 2, si la descripción incluye los detalles

NIEA 3402 248

(a) Los objetivos de control indicados en la descripción de su sistema realizada

249 NIEA 3402

251 NIEA 3402

(a) Que reafirmen la declaración que acompaña a la descripción del sistema;

253 NIEA 3402

NIEA 3402 254

255 NIEA 3402

(i) La descripción de su sistema realizada por la organización de servicios

NIEA 3402 256

(i) preparar la descripción de su sistema y la declaración que la acompaña,

257 NIEA 3402

adecuadamente diseñados y, en el caso de un informe tipo 2, de que funcionan

NIEA 3402 258

259 NIEA 3402

cuestión no ha sido comunicada y la organización de servicios rehúsa hacerlo, el

NIEA 3402 260

Definiciones (Ref.: Apartados 9(d), 9(g))

261 NIEA 3402

Capacidad y competencia para realizar el encargo (Ref.: Apartado 13(a)(i))

263 NIEA 3402

aseguramiento. En el siguiente cuadro se muestran la materia objeto de análisis y los

NIEA 3402 264

Materia objeto de Criterios Comentarios

265 NIEA 3402

Materia objeto de Criterios Comentarios

A15. En el apartado 16(a) se identifican como apropiados ciertos elementos que se

NIEA 3402 266

control con el que está relacionada la desviación puede ser especialmente

267 NIEA 3402

usuarias en la planificación de sus auditorías de los estados financieros de

NIEA 3402 268

el método de exclusión, no es necesario que la descripción describa de

269 NIEA 3402

las afirmaciones comúnmente incorporadas en los estados financieros de

271 NIEA 3402

Prueba de controles indirectos (Ref.: Apartado 25(b))