ISAE (NIEA) 3402 – Aseguramiento sobre Controles en las Organizaciones de Servicios

Mediante el Decreto 2496 de diciembre de 2015 se dispone la aplicación de la ISAE 3402 – Informes de Aseguramiento sobre los Controles en las Organizaciones de Servicios, en conjunto con las Normas Internacionales de Auditoría NIA300, NIA315 y NIA402, y la Norma de Aseguramiento de la Información ISAE 3000, cuya fecha de aplicación dependerá del grupo en el que se clasifique cada Compañía.

Los revisores fiscales que presten servicios a compañías que pertenezcan al Grupo 1 que sean emisores de valores o entidades de interés público deberán aplicar la ISAE 3402 a partir del 1 de enero de 2016 para los trabajos de auditoria que inicien desde principios de ese mismo año. Mientras que, los revisores fiscales de compañías que pertenezcan a los Grupos 1 y 2, que tengan más de 30.000 salario mínimos mensuales legales vigentes de activos o más de 200 trabajadores, deberán aplicar dicha norma a partir del 1 de enero de 2017 para los trabajos de auditoria que inicien desde principios del año 2017, aunque se permite de manera voluntaria su aplicación anticipada.

El objetivo de la ISAE 3402 es que un auditor independiente proporcione un informe acerca de la razonabilidad del diseño e implementación, y de la eficacia operativa de los controles establecidos en una organización que presta servicios relacionados con el tratamiento de la información financiera a otra organización.

Los aspectos más importantes a tener en cuenta de esta norma son:

1. Aplicación de la ISAE 3000 respecto de la planeación, documentación, evidencia, compromiso de aceptación, entre otros.

2. El auditor deberá asegurarse de obtener entendimiento sobre el sistema de información de la organización de servicios, incluyendo los controles contemplados en el alcance del trabajo.

3. El auditor deberá obtener evidencia suficiente sobre el diseño y funcionamiento de los controles.

4. Si la organización de servicios cuenta con un área de auditoría interna, el auditor del servicio deberá obtener un entendimiento de la responsabilidad de la auditoría interna, sus funciones y las actividades desarrolladas con el fin de identificar si esta información es relevante para el compromiso.

5. Confirmación de la Dirección de la Organización de Servicios en la cual reconoce y comprende su responsabilidad respecto de:

a. Preparar la descripción de su sistema incluyendo los objetivos de control junto con la afirmación de integridad, exactitud y método de presentación de dicha descripción.

b. Identificar los riesgos para lograr los objetivos del control indicados en la descripción del sistema, junto con el diseño e implementación que permitirán su consecución.

6. El auditor del servicio deberá tener en cuenta la materialidad en relación con la descripción del sistema y con el adecuado diseño e implementación de los controles.

7. El auditor deberá obtener conocimiento suficiente sobre el sistema de la organización de servicios incluidos los controles incluidos en el alcance del trabajo.

8. Dependiendo del alcance del trabajo, el auditor del servicio deberá obtener evidencia relativa no solo sobre el diseño e implementación de los controles sino también de la eficacia operativa de los mismos.

Según el alcance del trabajo se emiten 2 tipos de informes los cuales contienen:

Informe tipo 1: 

  • La descripción sobre el sistema de control interno realizado por la organización de servicios.
  • Si los controles fueron diseñados e implementado en la fecha especificada por la organización de servicios.
  • Que los controles asociados con los objetivos de control indicados en la descripción del sistema realizada por la organización de servicios han sido diseñados e implementados.

Informe tipo 2:

  • Todos los requerimientos descritos en el informe tipo 1.
  • Descripción de las pruebas de controles realizadas y sus hallazgos con el fin de opinar sobre la eficacia operativa de los mismos.