NIA 402 Entidad que utiliza una organización de servicios.

Lo que todo Auditor debe conocer

ARTÍCULOS AUDITORÍA EXTERNA CREADO: 04 ABRIL 2018 VISTO: 4977

Ratio: 5 / 5Inicio activadoInicio activadoInicio activadoInicio activadoInicio activado

Por favor, vote

NIA 402 Consideraciones de Auditoría Relativas a una Entidad que Utiliza una Organización de
Servicios.

Esta NIA 402 es importante por cuanto muchas Compañías (los clientes del auditor de estados
financieros), externalizan algunos de sus procesos con empresas especializadas en esas tareas.
Para el auditor de estados financieros es indispensable obtener evidencia sobre esas actividades
tercerizadas, en especial como es su control interno y la valoración de riesgos. Muchos de los
servicios prestados por dichas organizaciones son parte integrante de las actividades
empresariales de la entidad. Sin embargo, no todos los citados servicios son relevantes para la
auditoría.

Los servicios prestados por la Organización de Servicios son relevantes para la auditoría de
estados financieros del cliente, cuando dichos servicios y los controles sobre ellos son parte del
sistema de información de la entidad usuaria (el cliente), incluidos los correspondientes
procesos de negocio, relevantes para la información financiera. Si bien es probable que la
mayoría de los controles de la Organización de Servicios estén relacionados con la información
financiera, pueden existir otros controles que también sean relevantes para la auditoría, como
los controles sobre la salvaguarda de los activos.

Los servicios de la organización de servicios son parte del sistema de información de la entidad
usuaria, incluidos los correspondientes procesos de negocio, relevantes para la preparación de
información financiera, cuando dichos servicios afectan a alguno de los siguientes aspectos:

· Los tipos de transacciones dentro de las operaciones de la entidad usuaria que son
significativos para los estados financieros de dicha entidad;

· Los procedimientos, tanto los relativos a los sistemas de tecnologías de la información (TI)
como los sistemas manuales, mediante los que las transacciones de la entidad usuaria se inician,
registran, procesan en los estados financieros.

· Los correspondientes registros contables, ya estén en formato electrónico o manual, de

soporte de la información y cuentas específicas de los estados financieros de la entidad usuaria
(Cliente).

· El proceso de información financiera utilizado para la preparación de los estados financieros de

la entidad usuaria, incluidas las estimaciones contables y la información a revelar significativas.

· los controles sobre los asientos en el libro diario, incluidos aquellos asientos que no son
estándar y que se utilizan para registrar transacciones o ajustes no recurrentes o inusuales.

Entre otros, los procesos o actividades que usualmente se externalizan utilizando una
Organización de Servicios, pueden ser:

· Contabilidad.

· Tesorería.

· Impuestos.

· Nómina y Recursos Humanos.

· Facturación y cobranzas.

· Auditoria interna/control interno.

· Importaciones, Logística y almacenamiento (inventarios)

Principales definiciones de los conceptos que aparecen en esta norma.

1. Controles complementarios de la entidad usuaria: Controles que la organización de servicios,

en el diseño de su servicio, asume que serán implementados por las entidades usuarias.
2. Informe sobre la descripción y el diseño de los controles de la organización de servicios
(denominado en esta NIA “informe tipo 1”), informe que comprende:

(ii) Una descripción, preparada por la dirección de la organización de servicios, del sistema de la
organización de servicios, de los objetivos de control y de otros controles relacionados que se
han diseñado e implementado en una fecha determinada; y

(ii) Un informe elaborado por el auditor de la entidad prestadora del servicio, con el objetivo
de alcanzar una seguridad razonable, que incluya su opinión sobre la descripción del sistema de
la organización de servicios, de los objetivos de control y otros controles relacionados, así como
de la idoneidad del diseño de los controles para alcanzar los objetivos de control especificados.

3. Informe sobre la descripción, el diseño y la eficacia operativa de los controles de la

organización de servicios (denominado en esta NIA “informe tipo 2”),– informe que comprende:

(i) Una descripción, preparada por la dirección de la organización de servicios, del sistema de la
organización de servicios, de los objetivos de control y otros controles relacionados que se han
diseñado e implementado en una fecha determinada o a lo largo de un período específico y, en
algunos casos, su eficacia operativa a lo largo de un período específico; y

(ii) Un informe elaborado por el auditor de la entidad prestadora del servicio con el objetivo de
alcanzar una seguridad razonable, que incluya:

a. Su opinión sobre la descripción del sistema de la organización de servicios, de los objetivos de

control y otros controles relacionados así como la idoneidad del diseño de los controles para
alcanzar los objetivos de control especificados y la eficacia operativa de dichos controles; y

b. Una descripción de las pruebas de controles realizadas por el auditor y de los resultados
obtenidos.

4. Auditor de la entidad prestadora del servicio: auditor que, a solicitud de la organización de

servicios, emite un informe que proporciona un grado de seguridad sobre los controles de ésta.
5. Organización de servicios: organización externa (o segmento de una organización externa)
que presta a las entidades usuarias servicios que forman parte de los sistemas de información
relevantes para la información financiera de dichas entidades usuarias.

6. Sistema de la organización de servicios: políticas y procedimientos diseñados, implementados

y mantenidos por la organización de servicios para prestar a las entidades usuarias los servicios
cubiertos en el informe del auditor de la entidad prestadora del servicio.

7. Subcontratación de la organización de servicios subcontratada: organización de servicios

contratada por otra organización de servicios para realizar alguno de los servicios que esta
última presta a sus entidades usuarias, los cuales forman parte de los sistemas de información
relevantes para la información financiera de estas entidades usuarias.

8. Auditor de la entidad usuaria: auditor que audita y emite el informe de auditoría sobre los
estados financieros de una entidad usuaria.

9. Entidad usuaria: entidad que utiliza una organización de servicios y cuyos estados financieros
se están auditando.

El auditor debe obtener un entendimiento sobre los servicios prestados por la Organización de
Servicios, incluido el control interno.

Una vez el auditor de estados financieros haya identificada y concluido que las actividades y
procesos que el cliente ha externalizado son claves y relevantes en cuanto a las implicaciones
sobre las aseveraciones de los estados financieros, deberá obtener un entendimiento sobre el
control interno y la identificación y valoración de riesgos significativos, la razón principal para
desplegar este alcance no es otro que la motivación que le asiste al auditor de comprender el
proceso o actividades tercerizadas, como si se tratara de un proceso interno controlado por el
mismo cliente.

Para cumplir con este propósito, el auditor deberá:

· Naturaleza del servicio externalizado y la significancia o importancia de esos servicios para la

entidad Usuaria (Cliente del auditor), incluyendo el control interno.
· Grado de interacción o dependencia entre la Organización de Servicios y la Entidad Usuaria
(cliente del auditor).

· Términos Contractuales que rigen la relación entre las dos Entidades.

Entre otras fuentes para obtener el entendimiento y la evidencia, se pueden considerar: el

contrato marco, manuales de usuario, descripciones de sistemas de información, manuales
técnicos, informes de las organizaciones de servicios, de los auditores internos o de las
autoridades reguladoras relativos a controles en la organización de servicios e Informes del
auditor de la entidad prestadora del servicio, incluidas cartas a la dirección, si las hubiera.

El auditor de la entidad usuaria determinará si se ha obtenido conocimiento suficiente sobre la

naturaleza y la significatividad de los servicios prestados por la organización de servicios, así
como sobre su efecto en el control interno de la entidad usuaria, relevante para la auditoría, con
la finalidad de disponer de una base para la identificación y valoración de los riesgos de errores
materiales sobre los estados financieros.

Si el auditor de la entidad usuaria no puede obtener conocimiento suficiente a través de la

propia entidad usuaria, obtendrá dicho conocimiento mediante uno o más de los siguientes
procedimientos:

· Obteniendo un informe tipo 1 o tipo 2, si lo hubiera (ver definición de términos al inicio de este
documento);

· Contactando con la organización de servicios, a través de la entidad usuaria, para obtener

información específica;

· Visitando la organización de servicios y aplicando procedimientos que proporcionen la

información necesaria sobre los controles relevantes de la organización de servicios; o

· Recurriendo a otro auditor con el fin de que aplique procedimientos que proporcionen la
información necesaria sobre los controles relevantes de la organización de servicios.

De la misma forma como el auditor debe identificar y valorar los riesgos según la NIA 330, debe
en este caso de una Organización de Servicios que provee de estas actividades al cliente de
auditoria, realizar las mismos procedimientos citados en esa norma 330, es decir pruebas sobre
el diseño y eficacia operativa de los controles, esto ocurrirá en el caso que el auditor no logre
tener el informe tipo1 o tipo2 de la Organización de Servicios.

Indagaciones sobre Fraude, incumplimiento de leyes y regulaciones por parte de una

Organización que provee Servicios al Usuario, cliente del auditor.

El auditor de la entidad usuaria, indagará ante la Dirección de esa entidad, sobre si la

organización de servicios le ha informado, o si la entidad usuaria tiene conocimiento por alguna
otra vía, de cualquier fraude, incumplimiento de las disposiciones legales y reglamentarias, o
incorrecciones no corregidas que afecten a sus estados financieros. El auditor de la entidad
usuaria evaluará el modo en que dichas cuestiones afectan a la naturaleza, el momento de
realización y la extensión de los procedimientos de auditoría posteriores que deba aplicar,
incluido el efecto en sus conclusiones y su informe de auditoría.

No esta demás enfatizar en que estas indagaciones se deben documentar en papeles de trabajo,
y ser incluidas en las representaciones escritas que se obtienen de la Dirección del cliente, al
cierre del trabajo de auditoria.

Consideración de modificar la opinión estándar sobre los estados financieros del cliente de
auditoria, por limitaciones en el alcance, o dificultades para obtener evidencia sobre la
organización de servicios.

· El auditor de la entidad usuaria expresará una opinión modificada en su informe de auditoría,

por ejemplo, si no puede obtener evidencia de auditoría suficiente y adecuada con respecto a
los servicios prestados por una organización de servicios que sean relevantes para la auditoría de
estados financieros de la entidad usuaria.

· Cuando exprese una opinión no modificada, el auditor de la entidad usuaria, en su informe de

auditoría, no se referirá al trabajo del auditor de la entidad prestadora del servicio, salvo que lo
requieran las disposiciones legales o reglamentarias.

· Si la referencia al trabajo del auditor de la entidad prestadora del servicio en el informe de

auditoría relativo a la entidad usuaria es relevante para entender la opinión modificada del
auditor de la entidad usuaria, se indicará que dicha mención no reduce la responsabilidad del
auditor de la entidad usuaria en relación con su opinión.
Informe de atestiguamiento de Tipo 1 del auditor de la organización de servicios Informe de
atestiguamiento del auditor de la organización de servicios independiente sobre la descripción
de los controles y su diseño.

Para:

Organización de servicios XYZ

Alcance

Hemos sido contratados para informar sobre la descripción de la organización de servicios XYZ
en las páginas [xx] de su sistema [tipo o nombre de] para procesar las transacciones de los
clientes al [fecha] (la descripción), y sobre el diseño de los controles relacionados con los
objetivos de control establecidos en la descripción

No realizamos procedimiento alguno con respecto a la efectividad operativa de los controles

incluidos en la descripción y, en consecuencia, no expresamos una opinión al respecto.

Responsabilidades de la Organización de servicios XYZ

La organización de servicios XYZ es responsable de: preparar la descripción y aseveración adjunta

en la página [xx], incluyendo la integridad, la exactitud y el método de presentación de la
descripción y la aseveración; proporcionar los servicios cubiertos por la descripción; establecer
los objetivos de control; y diseñar, implementar y operar eficazmente los controles para lograr
los objetivos de control establecidos.

Responsabilidades del auditor de servicio

Nuestra responsabilidad es expresar una opinión sobre la descripción de la organización de

servicios XYZ y sobre el diseño de los controles relacionados con los objetivos de control
establecidos en dicha descripción, con base en nuestros procedimientos. Llevamos a cabo
nuestro trabajo de conformidad con la Norma para Atestiguar 7090, Informes de
atestiguamiento sobre los controles en una organización de servicio, emitida por el Instituto
Mexicano de Contadores Públicos (IMCP). La norma prevé que cumplamos con los
requerimientos éticos, y que planifiquemos y realicemos nuestros procedimientos para obtener
certidumbre razonable de que, respecto de todo lo importante, la descripción está presentada
razonablemente y los controles están diseñados adecuadamente respecto de todo lo
importante.

Un trabajo de atestiguamiento para informar sobre la descripción y el diseño de los controles en

una organización de servicios implica llevar a cabo procedimientos para obtener evidencia sobre
las revelaciones en la descripción del sistema de la organización de servicios, y en el diseño de
los controles. Los procedimientos seleccionados dependen del juicio del auditor de servicios,
incluida la evaluación de que la descripción no está presentada razonablemente, y que los
controles no están diseñados adecuadamente. Un trabajo de atestiguamiento de este tipo
también incluye evaluar la presentación general de la descripción, lo apropiado de los objetivos
de control establecidos en ella, y la idoneidad de los criterios fijados por la organización de
servicios y descritos en la página [xx].

Como se señaló anteriormente, no realizamos ningún procedimiento con respecto a la

efectividad operativa de los controles incluidos en la descripción y, en consecuencia, no
expresamos una opinión al respecto. Creemos que la evidencia que hemos obtenido es
suficiente y apropiada para proporcionar una base para nuestra opinión.

Limitaciones de los controles en una organización de servicios.

La descripción de la organización de servicios XYZ está preparada para satisfacer las necesidades
comunes de una amplia gama de clientes y sus auditores, y no puede, por lo tanto, incluir todos
los aspectos del sistema que cada cliente puede considerar importante en su entorno particular.
Además, debido a su naturaleza, los controles en una organización de servicios quizá no puedan
prevenir, ni detectar todos los errores u omisiones en el procesamiento o en el informe de
transacciones.

Opinión

Nuestra opinión se ha formado sobre la base de los asuntos señalados en este informe. Los
criterios que utilizamos para formar nuestra opinión son los descritos en la página [xx]. En
nuestra opinión, respecto de todo lo importante:

(a) La descripción presenta razonablemente el sistema [el tipo o nombre de] como fue diseñado
e implementado a partir del [fecha]; y

(b) Los controles relacionados con los objetivos de control establecidos en la descripción fueron
diseñados adecuadamente al [fecha].

Usuarios previstos y propósito

Este informe es solo para el propósito de los clientes que han utilizado el sistema [tipo o nombre
de] de la organización de servicios XYZ, y a sus auditores, que tienen un conocimiento suficiente
para considerarlo, junto con otra información que incluye los datos sobre controles operados por
los propios clientes, al obtener una comprensión de los sistemas de información de los clientes
importantes para los informes financieros.

[Firma del auditor de servicio]

[Fecha del informe de atestiguamiento del auditor de servicio]

[Dirección del auditor de servicio]

Informe de atestiguamiento Tipo 2 del auditor de la organización de servicios Informe del

auditor independiente de la organización de servicios sobre la descripción de los controles, su
diseño y efectividad operativa.

Para:

Organización de servicios XYZ

Alcance

Hemos sido contratados para informar sobre la descripción de la organización de servicios XYZ,
incluida en las páginas [xx] de su sistema [tipo o nombre de] para procesar las transacciones de
los clientes durante todo el periodo comprendido del [fecha] al [fecha] (la descripción), y sobre
el diseño y la operación de los controles relacionados con los objetivos de control establecidos
en la descripción.

Responsabilidades de la organización de servicios XYZ

La organización de servicios XYZ es responsable de: preparar la descripción y aseveración adjunta

en la página [xx], incluida la integridad, la exactitud y el método de presentación de la
descripción y aseveración; proporcionar los servicios cubiertos por la descripción; establecer los
objetivos de control; y diseñar, implementar y operar eficazmente los controles para lograr los
objetivos de control establecidos.

Responsabilidades del auditor de servicios

Nuestra responsabilidad es expresar una opinión sobre la descripción de la organización de

servicios XYZ y sobre el diseño y la operación de los controles relacionados con los objetivos de
control establecidos en dicha descripción, con base en nuestros procedimientos. Llevamos a
cabo nuestro trabajo de conformidad con la Norma para Atestiguar 7090, Informes de
atestiguamiento sobre los controles en una organización de servicios, emitida por el Instituto
Mexicano de Contadores Públicos (IMCP). La norma prevé que cumplamos con los
requerimientos éticos, y que planifiquemos y realicemos nuestros procedimientos para obtener
certidumbre razonable de que, respecto de todo lo importante, la descripción está presentada
razonablemente y los controles están diseñados adecuadamente y operan con efectividad.

Un trabajo de atestiguamiento para informar sobre la descripción, el diseño y la efectividad

operativa de los controles en una organización de servicios implica llevar a cabo procedimientos
para obtener evidencia acerca de las revelaciones en la descripción del sistema de la
organización de servicios, y en el diseño y la efectividad operativa de los controles. Los
procedimientos seleccionados dependen del juicio del auditor de servicios, que incluyen evaluar
los riesgos acerca de que la descripción no se presente razonablemente, y que los controles no
estén diseñados de manera adecuada, ni que operen eficazmente. Nuestros procedimientos
incluyeron pruebas de la efectividad operativa de los controles que consideramos necesarios
para ofrecer certidumbre razonable de que se lograron los objetivos de control establecidos en
la descripción. Un trabajo de atestiguamiento de este tipo también incluye evaluar la
presentación general de la descripción, lo apropiado de los objetivos establecidos en ella, y la
idoneidad de los criterios fijados por la organización de servicios y descritos en la página [xx].
Consideramos que la evidencia que hemos obtenido es suficiente y apropiada para proporcionar
una base para nuestra opinión.
Limitaciones de los controles en una organización de servicios

La descripción de la organización de servicios XYZ está preparada para satisfacer las necesidades
comunes de una amplia gama de clientes y sus auditores, y no puede, por lo tanto, incluir todos
los aspectos del sistema que cada cliente puede considerar importante en su entorno particular.
Además, debido a su naturaleza, los controles en una organización de servicios quizá no puedan
prevenir ni detectar todos los errores u omisiones en el procesamiento o el informe de
transacciones. Asimismo, la proyección de cualquier evaluación de la efectividad a periodos
futuros está sujeta al riesgo de que los controles en una organización de servicios puedan llegar
a ser insuficientes o fallar.

Opinión

Nuestra opinión se ha formado sobre la base de los asuntos señalados en este informe. Los
criterios que utilizamos para formar nuestra opinión son los descritos en la página [xx]. En
nuestra opinión, respecto de todo lo importante:

a. La descripción presenta razonablemente el sistema [el tipo o nombre de] como fue diseñado
e imple mentado, en todo el periodo comprendido entre el [fecha] al [fecha];

b. Los controles relacionados con los objetivos de control establecidos en la descripción fueron
diseñados adecuadamente durante todo el periodo comprendido entre el [fecha] al [fecha]; y

c. Los controles probados, que eran los necesarios para ofrecer certidumbre razonable de que
se lograron los objetivos de control establecidos en la descripción, operaron eficazmente
durante todo el periodo comprendido entre el [fecha] al [fecha].

Descripción de las pruebas de los controles.

Los controles específicos probados y la naturaleza, duración y resultados de esas pruebas se

detallan en las páginas [yy-zz].

Usuarios previstos y propósito

Este informe y la descripción de las pruebas de los controles en las páginas [yy-zz] son solo para
el propósito de los clientes que han utilizado el sistema [tipo o nombre de] de la organización de
servicios XYZ, y para sus auditores, que tienen un conocimiento suficiente para considerarlo,
junto con otra información que contendrá datos sobre los controles operados por los propios
clientes, al evaluar los riesgos de error material de los estados financieros de los clientes.

[Firma del auditor de la organización de servicios]

[Fecha del informe de atestiguamiento del auditor de servicio]

[Dirección del auditor de servicio].