Identificarse
x
x
x

Ratio: 5 / 5

Inicio activadoInicio activadoInicio activadoInicio activadoInicio activado
 
facebook Share on Facebook

NIA 402  Consideraciones de Auditoría Relativas a una Entidad que Utiliza una Organización de  Servicios.

Esta NIA 402 es importante por cuanto muchas Compañías (los clientes del auditor de estados financieros), externalizan algunos de sus procesos con empresas especializadas en esas tareas. Para el auditor de estados financieros es indispensable obtener evidencia sobre esas actividades tercerizadas, en especial como es su control interno y la valoración de riesgos.  Muchos de los servicios prestados por dichas organizaciones son parte integrante de las actividades empresariales de la entidad. Sin embargo, no todos los citados servicios son relevantes para la auditoría.

Los servicios prestados por la Organización de Servicios son relevantes para la auditoría de estados financieros del cliente, cuando dichos servicios y los controles sobre ellos son parte del sistema de información de la entidad usuaria (el cliente), incluidos los correspondientes procesos de negocio, relevantes para la información financiera.  Si bien es probable que la mayoría de los controles de la Organización de Servicios estén relacionados con la información financiera, pueden existir otros controles que también sean relevantes para la auditoría, como los controles sobre la salvaguarda de los activos.

Los servicios de la organización de servicios son parte del sistema de información de la entidad usuaria, incluidos los correspondientes procesos de negocio, relevantes para la preparación de información financiera, cuando dichos servicios afectan a alguno de los siguientes aspectos:

·  Los tipos de transacciones dentro de las operaciones de la entidad usuaria que son significativos para los estados financieros de dicha entidad;

·  Los procedimientos, tanto los relativos a los sistemas de tecnologías de la información (TI) como los sistemas manuales, mediante los que las transacciones de la entidad usuaria se inician, registran, procesan en los estados financieros.

·  Los correspondientes registros contables, ya estén en formato electrónico o manual, de soporte de la información y cuentas específicas de los estados financieros de la entidad usuaria (Cliente).

·  El proceso de información financiera utilizado para la preparación de los estados financieros de la entidad usuaria, incluidas las estimaciones contables y la información a revelar significativas.

·  los controles sobre los asientos en el libro diario, incluidos aquellos asientos que no son estándar y que se utilizan para registrar transacciones o ajustes  no recurrentes o inusuales.

Entre otros, los procesos o actividades que usualmente se externalizan utilizando una Organización de Servicios, pueden ser:

·  Contabilidad.

·  Tesorería.

·  Impuestos.

·  Nómina y Recursos Humanos.

·  Facturación y cobranzas.

·  Auditoria interna/control interno.

·  Importaciones, Logística y almacenamiento (inventarios)

Principales definiciones de los conceptos que aparecen en esta norma.

1.  Controles complementarios de la entidad usuaria: Controles que la organización de servicios, en el diseño de su servicio, asume que serán implementados por las entidades usuarias.

2.  Informe sobre la descripción y el diseño de los controles de la organización de servicios (denominado en esta NIA “informe tipo 1”), informe que comprende:

(ii)  Una descripción, preparada por la dirección de la organización de servicios, del sistema de la organización de servicios, de los objetivos de control y de otros controles relacionados que se han diseñado e implementado en una fecha determinada; y

(ii)    Un informe elaborado por el auditor de la entidad prestadora del servicio, con el objetivo de alcanzar una seguridad razonable, que incluya su opinión sobre la descripción del sistema de la organización de servicios, de los objetivos de control y otros controles relacionados, así como de la idoneidad del diseño de los controles para alcanzar los objetivos de control especificados.

3.  Informe sobre la descripción, el diseño y la eficacia operativa de los controles de la organización de servicios (denominado en esta NIA “informe  tipo 2”),– informe que comprende:

(i)  Una descripción, preparada por la dirección de la organización de servicios, del sistema de la organización de servicios, de los objetivos de control y otros controles relacionados que se han diseñado e implementado en una fecha determinada o a lo largo de un período específico y, en algunos casos, su eficacia operativa a lo largo de un período específico; y

(ii)    Un informe elaborado por el auditor de la entidad prestadora del servicio con el objetivo de alcanzar una seguridad razonable, que incluya:

a.  Su opinión sobre la descripción del sistema de la organización de servicios, de los objetivos de control y otros controles relacionados así como la idoneidad del diseño de los controles para alcanzar los objetivos de control especificados y la eficacia operativa de dichos controles; y

b. Una descripción de las pruebas de controles realizadas por el auditor y de los resultados obtenidos.

4.  Auditor de la entidad prestadora del servicio: auditor que, a solicitud de la organización de servicios, emite un informe que proporciona un grado de seguridad sobre los controles de ésta.

5.  Organización de servicios: organización externa (o segmento de una organización externa) que presta a las entidades usuarias servicios que  forman parte de los sistemas de información relevantes para la información financiera de dichas entidades usuarias.

6.  Sistema de la organización de servicios: políticas y procedimientos diseñados, implementados y mantenidos por la organización de servicios para prestar a las entidades usuarias los servicios cubiertos en el informe del auditor de la entidad prestadora del servicio.

7.  Subcontratación de la organización de servicios subcontratada: organización de servicios contratada por otra organización de servicios para realizar alguno de los servicios que esta última presta a sus entidades usuarias, los cuales forman parte de los sistemas de información relevantes para la información financiera de estas entidades usuarias.

8.  Auditor de la entidad usuaria: auditor que audita y emite el informe de auditoría sobre los estados financieros de una entidad usuaria.

9.  Entidad usuaria: entidad que utiliza una organización de servicios y cuyos estados financieros se están auditando.

El auditor debe obtener un entendimiento sobre los servicios prestados por la Organización de Servicios, incluido el control interno.

Una vez el auditor de estados financieros haya identificada y concluido que las actividades y procesos que el cliente ha externalizado son claves y relevantes en cuanto a las implicaciones sobre las aseveraciones de los estados financieros, deberá obtener un entendimiento sobre el control interno y la identificación y valoración de riesgos significativos, la razón principal para desplegar este alcance no es otro que la motivación que le asiste al auditor de comprender el proceso o actividades tercerizadas, como si se tratara de un proceso interno controlado por el mismo cliente.

Para cumplir con este propósito, el auditor deberá:

·  Naturaleza del servicio externalizado y la significancia  o importancia de esos servicios para la entidad Usuaria (Cliente del auditor), incluyendo el control interno.

·  Grado de interacción o dependencia entre la Organización de Servicios y la Entidad Usuaria (cliente del auditor).

·  Términos Contractuales que rigen la relación entre las dos Entidades.

Entre otras fuentes para obtener el entendimiento y la evidencia, se pueden considerar: el contrato marco, manuales de usuario, descripciones de sistemas de información, manuales técnicos, informes de las organizaciones de servicios, de los auditores internos o de las autoridades reguladoras relativos a controles en la organización de servicios e Informes del auditor de la entidad prestadora del servicio, incluidas cartas a la dirección, si las hubiera.

El auditor de la entidad usuaria determinará si se ha obtenido conocimiento suficiente sobre la naturaleza y la significatividad de los servicios prestados por la organización de servicios, así como sobre su efecto en el control interno de la entidad usuaria, relevante para la auditoría, con la finalidad de disponer de una base para la identificación y valoración de los riesgos de errores materiales sobre los estados financieros.

Si el auditor de la entidad usuaria no puede obtener conocimiento suficiente a través de la propia entidad usuaria, obtendrá dicho conocimiento mediante uno o más de los siguientes procedimientos:

·  Obteniendo un informe tipo 1 o tipo 2, si lo hubiera (ver definición de términos al inicio de este documento);

·  Contactando con la organización de servicios, a través de la entidad usuaria, para obtener información específica;

·  Visitando la organización de servicios y aplicando procedimientos que proporcionen la información necesaria sobre los controles relevantes de la organización de servicios; o

·  Recurriendo a otro auditor con el fin de que aplique procedimientos que proporcionen la información necesaria sobre los controles relevantes de la organización de servicios.

De la misma forma como el auditor debe identificar y valorar los riesgos según la NIA 330, debe en este caso de una Organización de Servicios que provee de estas actividades al cliente de auditoria, realizar las mismos procedimientos citados en esa norma 330, es decir pruebas sobre el diseño y eficacia operativa de los controles, esto ocurrirá en el caso que el auditor no logre tener el informe tipo1 o tipo2 de la Organización de Servicios.

Indagaciones sobre Fraude, incumplimiento de leyes y regulaciones por parte de una Organización que provee Servicios al Usuario, cliente del auditor.

El auditor de la entidad usuaria, indagará ante la Dirección de esa entidad, sobre si la organización de servicios le ha informado, o si la entidad usuaria tiene conocimiento por alguna otra vía, de cualquier fraude, incumplimiento de las disposiciones legales y reglamentarias, o incorrecciones no corregidas que afecten a sus estados financieros. El auditor de la entidad usuaria evaluará el modo en que dichas cuestiones afectan a la naturaleza, el momento de realización y la extensión de los procedimientos de auditoría posteriores que deba aplicar, incluido el efecto en sus conclusiones y su informe de auditoría.

No esta demás enfatizar en que estas indagaciones se deben documentar en papeles de trabajo, y ser incluidas en las representaciones escritas que se obtienen de la Dirección del cliente, al cierre del trabajo de auditoria.

Consideración de modificar la opinión estándar sobre los estados financieros del cliente de auditoria, por limitaciones en el alcance, o dificultades para obtener evidencia sobre la organización de servicios.

·  El auditor de la entidad usuaria expresará una opinión modificada en su informe de auditoría, por ejemplo, si no puede obtener evidencia de auditoría suficiente y adecuada con respecto a los servicios prestados por una organización de servicios que sean relevantes para la auditoría de estados financieros de la entidad usuaria.

·  Cuando exprese una opinión no modificada, el auditor de la entidad usuaria, en su informe de auditoría, no se referirá al trabajo del auditor de la entidad prestadora del servicio, salvo que lo requieran las disposiciones legales o reglamentarias.

·  Si la referencia al trabajo del auditor de la entidad prestadora del servicio en el informe de auditoría relativo a la entidad usuaria es relevante para entender la opinión modificada del auditor de la entidad usuaria, se indicará que dicha mención no reduce la responsabilidad del auditor de la entidad usuaria en relación con su opinión.

Informe de atestiguamiento de Tipo 1 del auditor de la organización de servicios Informe de atestiguamiento del auditor de la organización de servicios independiente sobre la descripción de los controles y su diseño.

Para:

Organización de servicios XYZ

Alcance

Hemos sido contratados para informar sobre la descripción de la organización de servicios XYZ en las páginas [xx] de su sistema [tipo o nombre de] para procesar las transacciones de los clientes al [fecha] (la descripción), y sobre el diseño de los controles relacionados con los objetivos de control establecidos en la descripción

No realizamos procedimiento alguno con respecto a la efectividad operativa de los controles incluidos en la descripción y, en consecuencia, no expresamos una opinión al respecto.

Responsabilidades de la Organización de servicios XYZ

La organización de servicios XYZ es responsable de: preparar la descripción y aseveración adjunta en la página [xx], incluyendo la integridad, la exactitud y el método de presentación de la descripción y la aseveración; proporcionar los servicios cubiertos por la descripción; establecer los objetivos de control; y diseñar, implementar y operar eficazmente los controles para lograr los objetivos de control establecidos.

Responsabilidades del auditor de servicio

Nuestra responsabilidad es expresar una opinión sobre la descripción de la organización de servicios XYZ y sobre el diseño de los controles relacionados con los objetivos de control establecidos en dicha descripción, con base en nuestros procedimientos. Llevamos a cabo nuestro trabajo de conformidad con la Norma para Atestiguar 7090, Informes de atestiguamiento sobre los controles en una organización de servicio, emitida por el Instituto Mexicano de Contadores Públicos (IMCP). La norma prevé que cumplamos con los requerimientos éticos, y que planifiquemos y realicemos nuestros procedimientos para obtener certidumbre razonable de que, respecto de todo lo importante, la descripción está presentada razonablemente y los controles están diseñados adecuadamente respecto de todo lo importante.

Un trabajo de atestiguamiento para informar sobre la descripción y el diseño de los controles en una organización de servicios implica llevar a cabo procedimientos para obtener evidencia sobre las revelaciones en la descripción del sistema de la organización de servicios, y en el diseño de los controles. Los procedimientos seleccionados dependen del juicio del auditor de servicios, incluida la evaluación de que la descripción no está presentada razonablemente, y que los controles no están diseñados adecuadamente. Un trabajo de atestiguamiento de este tipo también incluye evaluar la presentación general de la descripción, lo apropiado de los objetivos de control establecidos en ella, y la idoneidad de los criterios fijados por la organización de servicios y descritos en la página [xx].

Como se señaló anteriormente, no realizamos ningún procedimiento con respecto a la efectividad operativa de los controles incluidos en la descripción y, en consecuencia, no expresamos una opinión al respecto. Creemos que la evidencia que hemos obtenido es suficiente y apropiada para proporcionar una base para nuestra opinión.

Limitaciones de los controles en una organización de servicios.

La descripción de la organización de servicios XYZ está preparada para satisfacer las necesidades comunes de una amplia gama de clientes y sus auditores, y no puede, por lo tanto, incluir todos los aspectos del sistema que cada cliente puede considerar importante en su entorno particular. Además, debido a su naturaleza, los controles en una organización de servicios quizá no puedan prevenir, ni detectar todos los errores u omisiones en el procesamiento o en el informe de transacciones.

Opinión

Nuestra opinión se ha formado sobre la base de los asuntos señalados en este informe. Los criterios que utilizamos para formar nuestra opinión son los descritos en la página [xx]. En nuestra opinión, respecto de todo lo importante:

(a) La descripción presenta razonablemente el sistema [el tipo o nombre de] como fue diseñado e implementado a partir del [fecha]; y

(b) Los controles relacionados con los objetivos de control establecidos en la descripción fueron diseñados adecuadamente al [fecha].

Usuarios previstos y propósito

Este informe es solo para el propósito de los clientes que han utilizado el sistema [tipo o nombre de] de la organización de servicios XYZ, y a sus auditores, que tienen un conocimiento suficiente para considerarlo, junto con otra información que incluye los datos sobre controles operados por los propios clientes, al obtener una comprensión de los sistemas de información de los clientes importantes para los informes financieros.

[Firma del auditor de servicio]

[Fecha del informe de atestiguamiento del auditor de servicio]

[Dirección del auditor de servicio]

 Informe de atestiguamiento Tipo 2 del auditor de la organización de servicios Informe del auditor independiente de la organización de servicios sobre la descripción de los controles, su diseño y efectividad operativa.

Para:

Organización de servicios XYZ

Alcance

Hemos sido contratados para informar sobre la descripción de la organización de servicios XYZ, incluida en las páginas [xx] de su sistema [tipo o nombre de] para procesar las transacciones de los clientes durante todo el periodo comprendido del [fecha] al [fecha] (la descripción), y sobre el diseño y la operación de los controles relacionados con los objetivos de control establecidos en la descripción.

Responsabilidades de la organización de servicios XYZ

La organización de servicios XYZ es responsable de: preparar la descripción y aseveración adjunta en la página [xx], incluida la integridad, la exactitud y el método de presentación de la descripción y aseveración; proporcionar los servicios cubiertos por la descripción; establecer los objetivos de control; y diseñar, implementar y operar eficazmente los controles para lograr los objetivos de control establecidos.

Responsabilidades del auditor de servicios

Nuestra responsabilidad es expresar una opinión sobre la descripción de la organización de servicios XYZ y sobre el diseño y la operación de los controles relacionados con los objetivos de control establecidos en dicha descripción, con base en nuestros procedimientos. Llevamos a cabo nuestro trabajo de conformidad con la Norma para Atestiguar 7090, Informes de atestiguamiento sobre los controles en una organización de servicios, emitida por el Instituto Mexicano de Contadores Públicos (IMCP). La norma prevé que cumplamos con los requerimientos éticos, y que planifiquemos y realicemos nuestros procedimientos para obtener certidumbre razonable de que, respecto de todo lo importante, la descripción está presentada razonablemente y los controles están diseñados adecuadamente y operan con efectividad.

Un trabajo de atestiguamiento para informar sobre la descripción, el diseño y la efectividad operativa de los controles en una organización de servicios implica llevar a cabo procedimientos para obtener evidencia acerca de las revelaciones en la descripción del sistema de la organización de servicios, y en el diseño y la efectividad operativa de los controles. Los procedimientos seleccionados dependen del juicio del auditor de servicios, que incluyen evaluar los riesgos acerca de que la descripción no se presente razonablemente, y que los controles no estén diseñados de manera adecuada, ni que operen eficazmente. Nuestros procedimientos incluyeron pruebas de la efectividad operativa de los controles que consideramos necesarios para ofrecer certidumbre razonable de que se lograron los objetivos de control establecidos en la descripción. Un trabajo de atestiguamiento de este tipo también incluye evaluar la presentación general de la descripción, lo apropiado de los objetivos establecidos en ella, y la idoneidad de los criterios fijados por la organización de servicios y descritos en la página [xx]. Consideramos que la evidencia que hemos obtenido es suficiente y apropiada para proporcionar una base para nuestra opinión.

Limitaciones de los controles en una organización de servicios

La descripción de la organización de servicios XYZ está preparada para satisfacer las necesidades comunes de una amplia gama de clientes y sus auditores, y no puede, por lo tanto, incluir todos los aspectos del sistema que cada cliente puede considerar importante en su entorno particular. Además, debido a su naturaleza, los controles en una organización de servicios quizá no puedan prevenir ni detectar todos los errores u omisiones en el procesamiento o el informe de transacciones. Asimismo, la proyección de cualquier evaluación de la efectividad a periodos futuros está sujeta al riesgo de que los controles en una organización de servicios puedan llegar a ser insuficientes o fallar.

Opinión

Nuestra opinión se ha formado sobre la base de los asuntos señalados en este informe. Los criterios que utilizamos para formar nuestra opinión son los descritos en la página [xx]. En nuestra opinión, respecto de todo lo importante:

a.  La descripción presenta razonablemente el sistema [el tipo o nombre de] como fue diseñado e imple mentado, en todo el periodo comprendido entre el [fecha] al [fecha];

b.  Los controles relacionados con los objetivos de control establecidos en la descripción fueron diseñados adecuadamente durante todo el periodo comprendido entre el [fecha] al [fecha]; y

c.  Los controles probados, que eran los necesarios para ofrecer certidumbre razonable de que se lograron los objetivos de control establecidos en la descripción, operaron eficazmente durante todo el periodo comprendido entre el [fecha] al [fecha].

Descripción de las pruebas de los controles.

Los controles específicos probados y la naturaleza, duración y resultados de esas pruebas se detallan en las páginas [yy-zz].

Usuarios previstos y propósito

Este informe y la descripción de las pruebas de los controles en las páginas [yy-zz] son solo para el propósito de los clientes que han utilizado el sistema [tipo o nombre de] de la organización de servicios XYZ, y para sus auditores, que tienen un conocimiento suficiente para considerarlo, junto con otra información que contendrá datos sobre los controles operados por los propios clientes, al evaluar los riesgos de error material de los estados financieros de los clientes.

[Firma del auditor de la organización de servicios]

[Fecha del informe de atestiguamiento del auditor de servicio]

[Dirección del auditor de servicio].

mao

José Mauricio Farfán Cárdenas - contacto@jmfarfan.com - 57 3188491237

Fundador y Director General de la firma JMFarFán Assurance S.A.S. Contador público con especializaciones en revisoría fiscal y en gestión de finanzas. Certificado en IFRS por el instituto ICAEW, Country Manager en una firma de BPO, 20 años de experiencia en firmas internacionales de auditoría y consultoría, realiza catedra universitaria en postgrados.

Bogotá, Colombia



Directorio Firmas de Auditoría

Más Leídas