NORMA INTERNACIONAL DE AUDITORÍA 402CONSIDERACIONES DE AUDITORÍA RELATIVAS A UNA ENTIDAD QUE UTILIZAUNA ORGANIZACIÓN DE SERVICIOS(Vigente para auditorías de estados financieros por ejercicios que inicien en odespués del 15 de diciembre de 2009)

CONTENIDO

Introducción PárrafoAlcance de esta NIA……………………………………………………………………. 1-5Fecha de Vigencia……………………………………………………………………… 6Objetivos.................................................................................................................. 7Definiciones……………………………………………………………………………. 8RequerimientosObtener un entendimiento de los servicios prestados por una organizaciónde servicios, incluyendo el control interno……………………………..…………. 9-14Responder a los riesgos evaluados de error material…………………………… 15-17Reportes tipo 1 y 2 que excluyen los servicios de una organización desub-servicios……………………………………………………………………………. 18Fraude, incumplimiento con leyes y regulaciones y errores no corregidos enrelación con actividades de la organización de servicios……………………… 19Reporte del auditor………………………………………………………………… 20-22Guía de aplicación y otro material explicativoObtener un entendimiento de los servicios prestados por una organizaciónde servicios, incluyendo el control interno…………………………………………. A1-A23Responder a los riesgos evaluados de error material…………………………. A24-A39Reportes tipo 1 y tipo 2 que excluyen los servicios de una organización desub-servicios………………………………………………………………………. A40Fraude, incumplimiento con leyes y regulaciones, y errores no corregidos enrelación con actividades en la organización de servicios…………………….. A41Reporte por el auditor……………………………………………………………. A42-A44

Introducción

Alcance de este NIA

1. Esta Norma Internacional de Auditoría (NIA) establece la responsabilidad delauditor de obtener suficiente y apropiada evidencia de auditoría cuando unaentidad utiliza los servicios de una o más organizaciones de servicio.Específicamente, abunda en cómo el auditor aplica la NIA 3151 y 3302 para obtenerun entendimiento de la entidad usuaria, incluyendo el control interno relevante a laauditoría, suficiente para identificar y evaluar los riesgos de error importante y en el

1 NIA 315, "Identificación y evaluación de riesgos de errores materiales a través deEntendimiento de la entidad y su entorno".

2 NIA 330, "Las respuestas del auditor a los riesgos evaluados".

diseño y desempeño de los procedimientos adicionales de auditoría querespondan a esos riesgos.

2. Muchas entidades subcontratan aspectos de sus negocios con organizaciones queprestan servicios que van desde realizar de una tarea específica bajo la direcciónde una entidad, hasta sustituir todas las unidades o funciones de negocios de laentidad, como es la función de cumplimiento de obligaciones fiscales. Muchos delos servicios prestados por estas organizaciones son integrales a las operacionesde negocios de la entidad; sin embargo, no todos esos servicios son relevantes ala auditoría.

3. Los servicios prestados por una organización de servicios son relevantes a laauditoría de estados financieros de una entidad usuaria cuando esos servicios, ylos controles sobre ellos, son parte del sistema de información de la entidadusuaria, incluyendo los procesos del negocio relacionados, relevantes a lainformación financiera. A pesar de que la mayoría de los controles en laorganización de servicios están probablemente relacionados con el proceso dereporte financiero, pueden existir otros controles que también puedan serrelevantes a la auditoría, como son los controles sobre la salvaguarda de activos.Los servicios de una organización de servicios son parte del sistema deinformación de una entidad usuaria, incluyendo los procesos de negociosrelacionados, relevantes al proceso de reporte financiero, si estos servicios afectana cualquiera de los siguientes:

(a) Las clases de transacciones en las operaciones de la entidad usuaria que seanimportantes en los estados financieros de la entidad usuaria;

(b) Los procedimientos, incluidos en los sistemas de Tecnología de la Información(TI), así como en los sistemas manuales, por medio de los cuales lastransacciones de la entidad se inician, registran, procesan o corrigen según seanecesario, se transfieren al libro mayor y se reportan en los estadosfinancieros;

(c) Los registros de contables relacionados, ya sea en forma electrónica o manual,información y cuentas específicas en los estados financieros de la entidadusuaria que son usados para iniciar, registrar, procesar y reportar lastransacciones de la entidad usuaria; esto incluye la corrección de informaciónincorrecta y cómo la información es transferida al libro mayor;

(d) Cómo el sistema de la entidad usuaria captura los hechos y condiciones,diferentes a las transacciones, que son importantes en los estados financieros;

(e) El proceso de información utilizado para preparar los estados financieros de laentidad usuaria, incluyendo las estimaciones contables importantes yrevelaciones importantes; y

(f) Controles en torno a los asientos del diario, incluyendo asientos de diario noestándares usados para registrar transacciones o ajustes no recurrentes oinusuales.

4. La naturaleza y alcance del trabajo que debe desempeñar el auditor respecto delos servicios prestados por una organización de servicios dependen de lanaturaleza e importancia de estos servicios para la entidad usuaria y la relevanciade esos servicios para la auditoría.

5. Esta NIA no aplica a servicios prestados por instituciones financieras que se limitanal procesamiento para la cuenta que tiene una entidad en la institución financierade transacciones que son autorizadas específicamente por la entidad, como es elprocesamiento de transacciones de una cuenta de cheques por un banco o elprocesamiento de transacciones de valores por un corredor de bolsa. Además,esta NIA no aplica a la auditoría de transacciones que se originen de interesesfinancieros de propiedad patrimonial en otras entidades, como sociedades,corporaciones y negocios conjuntos, cuando los intereses patrimoniales soncontabilizados y reportados a los tenedores del interés.

Fecha de vigencia

6. Esta NIA entra en vigor para auditorías de estados financieros por ejercicios queinicien en o después del 15 de diciembre de 2009.

Objetivos

7. Los objetivos del auditor, cuando la entidad usuaria usa los servicios de unaorganización de servicios, son:

(a) Obtener un entendimiento de la naturaleza e importancia de los serviciosprestados por la organización de servicios y su efecto en el control interno de laentidad usuaria relevante para la auditoría, suficiente para identificar y evaluarlos riesgos de error significativo; y

(b) Diseñar y desempeñar procedimientos de auditoría que respondan a esosriesgos.

Definiciones

8. Para fines de las NIA, los siguientes términos tienen los significados que se lesatribuyen aquí:

(a) Controles complementarios de la entidad usuaria. Controles que laorganización de servicios supone, al diseñar su servicio, que seránimplementados por las entidades usuarias, y que, si es necesario para lograrobjetivos de control, son identificados en la descripción de su sistema.

(b) Reporte sobre la descripción y diseño de controles en una organización deservicios (citado en esta NIA como reporte tipo 1) Un reporte que comprende:

(i) Una descripción, preparada por la administración de la organización deservicios, del sistema de la organización de servicios, objetivos de control ycontroles relacionados que se han diseñado e implementados como en unafecha específica; y

(ii) Un reporte del auditor del servicio con el objetivo de transmitir unaseguridad razonable de que incluye la opinión del auditor del servicio sobrela descripción del sistema de la organización de servicios, objetivos decontrol y controles relacionados y lo adecuado del diseño de los controlespara lograr los objetivos de control especificados.

(c) Reporte sobre la descripción, diseño, y efectividad operativa de los controles enuna organización de servicios (citado en esta NIA como reporte tipo 2) Uninforme que comprende:

(i) Una descripción, preparada por la administración de la organización deservicios, del sistema de la organización de servicios, objetivos de control ycontroles relacionados, su diseño e implementación en una fecha específicao durante un periodo especificado y, en algunos casos, su efectividadoperativa durante un período especificado; y

(ii) Un reporte del auditor del servicio con el objetivo de transmitir seguridadrazonable que incluye:

a. La opinión del auditor del servicio sobre la descripción del sistema de laorganización de servicios, objetivos de control y controles relacionados,lo adecuado del diseño de los controles para lograr los objetivos decontrol especificados y la efectividad operativa de los controles, y

b. Una descripción de las pruebas del auditor del servicio a los controles ylos resultados correspondientes.

(d) Auditor del servicio. Un auditor que, a solicitud de la organización de servicios,proporciona un reporte de atestiguamiento sobre los controles de unaorganización de servicio.

(e) Organización de servicios. Una organización de un tercero (o segmento de unaorganización de un tercero) que proporciona servicios a entidades usuarias queson parte de los sistemas de información relevantes para los reportesfinancieros de esas entidades.

(f) Sistema de la organización de servicios. Las políticas y procedimientosdiseñados, implementados y mantenidos por la organización de servicios paraprestar a las entidades usuarias los servicios cubiertos por el reporte delauditor del servicio.

(g) Organización de sub-servicios. Una organización de servicios usada por otraorganización de servicios para desempeñar algunos de los servicios prestadosa las entidades usuarias que son parte de los sistemas de informaciónrelevantes para los reportes financieros de dichas entidades usuarias.financiera.

(h) Auditor. Un auditor que audita y dictamina sobre los estados financieros de unaentidad usuaria.

(i) Entidad usuaria. Una entidad que usa organización de servicios y cuyosestados financieros están siendo auditados.

REQUISITOS

Obtener un entendimiento de los servicios prestados por unaorganización de servicios, incluyendo el control interno

9. Al obtener un entendimiento de la entidad de usuaria de acuerdo con la NIA 3153,el auditor debe obtener un entendimiento de cómo utiliza una entidad usuaria losservicios de una organización de servicios en las operaciones de la entidadusuaria, incluyendo: (Párrafos A1-A2 )

(a) La naturaleza de los servicios prestados por la organización de servicios y laimportancia de esos servicios para la entidad usuaria, incluyendo el efectocorrespondiente en el control interno de la entidad usuaria, (Párrafos A3-A5)

(b) La naturaleza e importancia relativa de las transacciones procesadas o cuentaso procesos de información financiera a los que afecta la organización deservicios; (Párrafo A6).

(c) El grado de interacción entre las actividades de la organización de servicios ylos de la entidad de usuaria, y (Párrafo A7).

(d) La naturaleza de la relación entre la entidad usuaria y la organización deservicios, incluyendo los términos contractuales relevantes para las actividadesa cargo de la organización de servicios. (Párrafos A8-A11).

10. Al obtener un entendimiento del control interno relevante a la auditoría de acuerdocon la NIA 3154, el auditor debe evaluar el diseño e implementación de loscontroles relevantes en la entidad usuaria que se relacionan con los serviciosprestados por la organización de servicios, incluyendo los que se aplican a lastransacciones procesadas por la organización de servicios. (Párrafos A12-A14).

3 NIA 315, párrafo 11.4 NIA 315, párrafo 12.

11. El auditor debe determinar si se ha obtenido un entendimiento suficiente de lanaturaleza e importancia de los servicios prestados por la organización deservicios y su efecto en el control interno de la entidad usuaria que son relevantesa la auditoría para dar una base para la identificación y evaluación de los riesgosde error significativo.

12. Si el auditor no puede obtener un entendimiento suficiente de la entidad usuaria, elauditor debe obtener ese entendimiento con uno o más de los siguientesprocedimientos:

(a) Obtener un reporte 1 o tipo 2, de estar disponibles;

(b) Contactar a la organización de servicios, a través de la entidad usuaria, paraobtener información específica;

(c) Visitar la organización de servicios y realizar procedimientos que darán lainformación necesaria sobre los controles relevantes en la organización deservicios, o

(d) Utilizar otro auditor para realizar procedimientos que darán la informaciónnecesaria sobre los controles relevantes en la organización de servicios.(Párrafos A15-A20).

Utilización de un reporte tipo 1 o tipo 2 para soportar elentendimiento de la organización de servicios por el auditor

13. Al determinar la suficiencia y utilidad de la evidencia de auditoría proporcionadapor un reporte tipo 1 o tipo 2, el auditor de usuario será satisfecho en cuanto a:

(a) La competencia profesional e independencia del auditor del servicio de laorganización de servicios, y

(b) Lo adecuado de las normas bajo las que se emitió el reporte tipo 1 o tipo 2,(Párrafo A21).

14. Si el auditor planea utilizar un reporte tipo 1 o tipo 2 como evidencia de auditoríapara soportar su entendimiento del diseño e implementación de controles en laorganización de servicios, el auditor debe:

(a) Evaluar si la descripción y diseño de los controles en la organización deservicios es a una fecha o por un período que sea apropiado para los fines delauditor;

(b) Evaluar la suficiencia y utilidad de la evidencia proporcionada por el reportepara el entendimiento del control interno de la entidad usuaria relevante a laauditoría;

(c) Determinar si los controles complementarios de la entidad usuaria identificadospor la organización de servicios son relevantes a la entidad usuaria y, si es así,obtener un entendimiento de si la entidad usuaria ha diseñado e implementadoesos controles. (Párrafo A22-A23).

Responder a los riesgos evaluados de un error material

15. Al responder a os riesgos evaluados de acuerdo con la NIA 330, el auditor debe:

(a) Determinar si la suficiente y apropiada evidencia de auditoría concerniente alas aseveraciones relevantes de los estados financieros está disponible en losregistros que guarda la entidad usuaria; y, si no,

(b) Realizar los procedimientos adicionales de auditoría para obtener suficiente yapropiada evidencia de auditoría o utilizar otro auditor para desempeñar esosprocedimientos en la organización de servicios en representación del auditor.(Párrafo A24-A28).

Pruebas de controles

16. Cuando la evaluación del riesgo del auditor incluye una expectativa de que loscontroles en la organización de servicios están operando de manera efectiva elauditor debe obtener evidencia de auditoría sobre la efectividad operativa de esoscontroles mediante uno o más de los siguientes procedimientos:

(a) Obtener un reporte tipo 2, de estar disponible;

(b) Realizar pruebas de controles apropiadas en la organización de servicios, o(Párrafos A29-A30).

(c) Utilizar otro auditor para desempeñar pruebas de controles en la organizaciónde servicios en nombre del auditor.

Utilización de un reporte tipo 2 como evidencia de auditoría de que los controles en laorganización de servicios están operando de manera efectiva.

17. Si de acuerdo con el párrafo 16(a), el auditor planea utilizar un reporte tipo 2 comoevidencia de auditoría de que los controles en la organización de servicios estánoperando de manera efectiva, el auditor debe determinar si el reporte del auditordel servicio proporciona suficiente y apropiada evidencia de auditoría sobre laefectividad de los controles para soportar la evaluación del riesgo del auditor através de:

(a) Evaluar si la descripción, diseño y efectividad operativa de los controles en laorganización de servicios es a una fecha o por un período que sea apropiadopara los fines del auditor;

(b) Determinar si los controles complementarios de la entidad usuaria identificadospor la organización de servicios son relevantes a la entidad usuaria y, si es así,obtener un entendimiento de si la entidad usuaria ha diseñado e implementadoesos controles y, si es así, probar su efectividad operativa;

(c) Evaluar lo adecuado del período de tiempo cubierto por las pruebas decontroles y el tiempo transcurrido desde el desempeño de las pruebas decontroles, y

(d) Evaluar si las pruebas de controles desempeñadas por el auditor del servicio ylos resultados correspondientes, según se describen en el reporte del auditordel servicio, son relevantes para las aseveraciones en los estados financierosde la entidad usuaria y proporcionan suficiente y apropiada evidencia deauditoría para soportar la evaluación del riesgo por el auditor.(Párrafo A31-A39).

Reportes tipo 1 y tipo 2 que excluyen los servicios de unaorganización de sub-servicios

18. Si el auditor planea utilizar un reporte tipo 1 o tipo 2 que excluye los serviciosprestados por una organización sub-servicios y esos servicios son relevantes parala auditoría de estados financieros de la entidad de usuaria, el auditor debe aplicarlos requerimientos de esta NIA respecto de los servicios proporcionados por laorganización de sub-servicios. (Párrafo A40).

Fraude, incumplimiento con leyes y regulaciones y errores no corregidos enrelación con actividades en la organización de servicios

19. El auditor preguntar a la administración de la entidad usuaria si la organización deservicios ha reportado a la entidad usuaria, o si la entidad usuaria tieneconocimiento de algún fraude, incumplimiento con leyes y regulaciones o erroresno corregidos que afecten a los estados financieros de la entidad usuaria. Elauditor debe evaluar cómo afectan esos asuntos a la naturaleza, oportunidad yalcance de los procedimientos adicionales de auditoría del auditor incluyendo elefecto sobre las conclusiones del auditor y el dictamen del auditor.(Párrafo A41).

Reporte pro el auditor

20. El auditor debe modificar su opinión en el dictamen del auditor de acuerdo deacuerdo con la NIA 7055 si no puede obtener suficiente y apropiada evidencia deauditoría a los servicios prestados por la organización de servicios relevante a laauditoría de los estados financieros de la entidad usuaria. (Párrafo A42.)

21. El auditor no debe referirse al trabajo de un auditor del servicio en el dictamen delauditor cuando éste contenga una opinión limpia a menos de que lo requiera la leyo regulación. Si la ley o regulación requiere esa referencia el dictamen del auditor

5 NIA 705, "Modificaciones a la opinión en el informe del auditor independiente", párrafo 6.

debe indicar que la referencia no disminuye la responsabilidad del auditor sobre laopinión de la auditoría. (Párrafo A43).

22. Si la referencia al trabajo de un auditor del servicio es relevante para unentendimiento de una modificación a la opinión del auditor, el dictamen del auditordebe indicar que esa referencia no disminuye la responsabilidad del auditor sobreesa opinión. (Párrafo A44).

***

Guía de aplicación y otro material explicativo

Obtener un entendimiento de los servicios prestados por una organización deservicios, incluyendo el control interno

Fuentes de la Información (Párrafo 9)

A1. La información sobre la naturaleza de los servicios prestados por unaorganización de servicios puede estar disponible en una amplia variedad defuentes, como:

Manuales de usuario.

Descripciones del sistema.

Manuales técnicos.

El contrato o acuerdo de nivel de servicio entre la entidad usuaria y laorganización de servicios.

Reportes de las organizaciones de servicios, auditores internos oautoridades reguladoras sobre los controles en la organización de servicios.

Reportes del auditor del servicio, incluyendo cartas de recomendaciones ala administración, de estar disponibles.

A2. El conocimiento obtenido a través de la experiencia del auditor con laorganización de servicios, por ejemplo mediante experiencia en otros trabajosde auditoría, puede también ser útil para obtener un entendimiento de lanaturaleza de los servicios prestados por la organización de servicios. Estopuede ser particularmente útil si los servicios y los controles en la organizaciónde servicios sobre dichos servicios están altamente estandarizados.

Naturaleza de los servicios prestados por la organización de servicios [Párrafo 9 (a)]

A3. Una entidad usuaria puede utilizar una organización de servicios para queprocese transacciones y mantenga la respuesta apropiada correspondiente, oregistre transacciones y procese los datos relacionados. Las organizaciones deservicios que prestan esos servicios incluyen, por ejemplo, departamentosfiduciarios de bancos que invierten y dan servicio a los recursos de planes debeneficio a empleados o para otros; banqueros hipotecarios que dan servicio ahipotecas para otros; y prestadores de servicios de aplicación que proveenaplicaciones de software en paquete y ambiente de tecnología que facilita a losclientes procesar transacciones financieras y operativas.

A4. Los ejemplos de servicios de organizaciones de servicios que son relevantes ala auditoría incluyen:

Mantenimiento de los registros contables de la entidad usuaria.

Administración de activos.

Iniciar, registrar o procesar transacciones como agente de la entidadusuaria.

Consideraciones específicas a pequeñas entidades

A5. Las pequeñas entidades pueden utilizar servicios externos de teneduría delibros que van desde el procesamiento de ciertas transacciones (por ejemplo,pago de impuestos de nómina) y mantenimiento de sus registros contableshasta la preparación de sus estados financieros. El uso de tal organización deservicios para la preparación de sus estados financieros no releva a laadministración de la pequeña entidad y, cuando sea aplicable, a losencargados del gobierno corporativo, de sus responsabilidades sobre losestados financieros.6

Naturaleza e importancia relativa de transacciones procesadaspor la organización de servicios [Párrafo 9 (b)]

A6. Una organización de servicios puede establecer políticas y procedimientos queafecten al control interno de la entidad usuaria. Estas políticas y procedimientosson; al menos en parte, físicamente y operacionalmente separadas de laentidad usuaria. La importancia de los controles de la organización de serviciospara los de la entidad usuaria depende de la naturaleza de los serviciosprestados por la organización de servicios, incluyendo la naturaleza eimportancia relativa de las transacciones que procesa para la entidad usuaria.En ciertas situaciones, las transacciones procesadas y las cuentas afectadaspor la organización de servicios pueden no parecer de importancia relativa paralos estados financieros de la entidad usuaria, pero la naturaleza de las

6 NIA 200, Objetivos generales del auditor independiente y la conducción de una auditoría deacuerdo con Normas Internacionales de Auditoría, párrafos 4 y A2- A3.

transacciones procesadas puede ser importante y el auditor puede determinarque es necesario un entendimiento de esos controles en las circunstancias.

.El grado de interacción entre las actividades de la Organización de Servicio y laentidad usuaria [Párrafo 9 (c)]

A7. La importancia de los controles de la organización de servicios para los de laentidad usuaria también depende del grado de interacción entre susactividades y las de la entidad usuaria. El grado de interacción se refiere a laextensión en que una entidad usuaria puede y decide implementar controlesefectivos sobre el procesamiento realizado por la organización de servicios. Porejemplo, existe un alto grado de interacción entre las actividades de la entidadusuaria y las de la organización de servicios cuando la entidad usuaria autorizatransacciones y la organización de servicios procesa y hace la contabilidadpara esas transacciones. En estas circunstancias, puede ser factible que laentidad usuaria implemente controles efectivos sobre dichas transacciones. Porotra parte, cuando la organización de servicios inicia o inicialmente registra,procesa, y hace la contabilidad para las transacciones de la entidad usuaria,hay un menor grado de interacción entre las dos organizaciones. En estascircunstancias, la entidad usuaria quizá no pueda, o puede decidir no hacerlo,implementar controles efectivos sobre estas transacciones en la entidadusuaria y puede depender de los controles en la organización de servicios.

Naturaleza de la relación entre la entidad usuaria y laorganización de servicios [Párrafo 9 (d)]

A8. El contrato o acuerdo de nivel de servicio entre la entidad usuaria y laorganización de servicios puede disponer de asuntos como:

La información que se va a dar a la entidad usuaria y las responsabilidadespara iniciar transacciones relativas a las actividades a cargo de laorganización de servicios;

La aplicación de requerimientos de órganos reguladores concernientes a laforma de registros que deben mantenerse, o el acceso a los mismos;

La indemnización, si la hay, que se debe dar a la entidad usuaria en casode una falla en el desempeño;

Si la organización de servicios dará un reporte sobre sus controles y, si esasí, si dicho reporte sería un reporte tipo 1 o tipo 2;

Si el auditor tiene derecho de acceso a los registros contables de la entidadusuaria mantenidos por la organización de servicios y a otra informaciónnecesaria para la conducción de la auditoría; y

Si el acuerdo permite la comunicación directa entre el auditor y el auditordel servicio.

A9. Hay una relación directa entre la organización de servicios y la entidad usuariay entre la organización de servicios y el auditor del servicio. Esas relaciones nonecesariamente crean una relación directa entre el auditor y el auditor delservicio. Cuando no haya relación directa entre el auditor y el auditor delservicio, las comunicaciones entre el auditor y el auditor de serviciogeneralmente se conducen a través de la entidad usuaria y la organización deservicios. Puede también crearse una relación directa entre un auditor y unauditor del servicio, tomando en cuenta las consideraciones relevantes de éticay confidencialidad. Un auditor, por ejemplo, puede utilizar un auditor del serviciopara desempeñar procedimientos en nombre del auditor, tales como:

(a) Pruebas de controles en la organización de servicios; o(b) Procedimientos sustantivos en las transacciones y saldos de los estados

financieros de la entidad usuaria mantenidos por una organización deservicios.

Consideraciones específicas a entidades del sector público

A10. Los auditores del sector público en generalmente tienen amplios derechos deacceso establecidos por la legislación. Sin embargo, puede haber situacionescuando dichos derechos de acceso no estén disponibles, por ejemplo, cuandola organización de servicios esté localizada en una jurisdicción diferente. Enesos casos, un auditor del sector público puede necesitar obtener unentendimiento de la legislación aplicable en la jurisdicción diferente paradeterminar si pueden obtenerse los derechos de acceso apropiados. Un auditordel sector público puede también obtener o solicitar a la entidad usuaria queincorpore los derechos de acceso en cualesquier acuerdos contractuales entrela entidad usuaria y la organización de servicios.

A11. Los auditores del sector público pueden también utilizar a otro auditor pararealizar pruebas de controles o procedimientos sustantivos en relación con elcumplimiento con la ley, regulación u otra autoridad.

Entendimiento de los controles relativos a los servicios prestados por la organizaciónde servicios (Párrafo 10)

A12. La entidad usuaria puede establecer controles sobre los servicios de laorganización de servicios que pueden ser probados por el auditor y que puedenpermitirle concluir que los controles de la entidad usuaria están operando demanera efectiva para algunas o todas las aseveraciones relacionadas, sinconsiderar los controles establecidos en la organización de servicios. Si unaentidad usuaria, por ejemplo, usa una organización de servicios para procesarsus transacciones de nómina, la entidad usuaria puede establecer controlessobre la presentación y recepción de la información de nómina que puedeprevenir o detectar errores significativos. Estos controles pueden incluir:

Comparar los datos enviados a la organización de servicios con reportes deinformación recibida de la organización de servicios después de que se hanprocesado los datos.

Recalcular la precisión de una muestra de montos de la nómina y revisar lacantidad total de la nómina para verificar su razonabilidad.

A13. En esta situación, el auditor puede realizar pruebas de los controles de laentidad usuaria sobre el procesamiento de nómina que proveer una base parael auditor concluya que los controles de la entidad usuaria están operando demanera efectiva para las aseveraciones relacionadas con transacciones denómina.

A14. Como se observa en la NIA 3157, respecto de algunos riesgos, el auditor puedejuzgar que no es posible o factible obtener suficiente y apropiada evidencia deauditoría sólo de los procedimientos sustantivos. Estos riesgos puedenrelacionarse con el registro inexacto o incompleto de las clases detransacciones importantes y rutinarias y cuentas de balance, cuyascaracterísticas a menudo permiten el procesamiento altamente automatizadocon poca o ninguna intervención manual. Dichas características deprocesamiento automatizado puede estar particularmente presentes cuando laentidad usuaria usa organizaciones de servicios. En esos casos, los controlesde la entidad usuaria sobre esos riesgos son relevantes a la auditoría y serequiere que el auditor obtenga un entendimiento de, y evalúe dichos controlesde acuerdo con los párrafos 9 y 10 de esta NIA.

Procedimientos adicionales cuando no puede obtenerse un entendimientosuficiente con la entidad usuaria (Párrafo 12)

A15. La decisión del auditor en cuanto a cuál procedimiento, individualmente o encombinación, a realizar conforme al párrafo 12, para obtener la informaciónnecesaria que le proporcione una base para la identificación y evaluación delos riesgos de error significativo en relación con el uso de la entidad usuaria dela organización de servicio, puede estar influenciada por asuntos como:

El tamaño tanto de la entidad usuaria como de la organización de servicios; La complejidad de las transacciones en la entidad usuaria y la complejidad

de los servicios prestados por la organización de servicios; La ubicación de la organización de servicios (por ejemplo, el auditor puede

decidir utilizar otro auditor para realizar los procedimientos en laorganización de servicios a nombre del auditor del usuario si laorganización de servicios está en una ubicación remota);

Si es esperado que el (los) procedimiento (s) proporcionen efectivamente alauditor suficiente y apropiada evidencia de auditoría; y

La naturaleza de la relación entre la entidad usuaria y la organización deservicios.

7 NIA 315, párrafo 30.

A16. Una organización de servicios puede contratar a un auditor del servicio parareportar sobre la descripción y diseño de los controles (reporte tipo 1) o sobrela descripción y diseño de sus controles y su efectividad operativa (reporte tipo2). Los reportes tipo 1 o tipo 2 pueden emitirse bajo la Norma Internacional deTrabajos de Atestiguamiento (ISAE) 34028 o bajo normas establecidas por unaorganización establecedora de normas autorizada o reconocida (que puedeidentificarlos por diferentes nombres, como reportes Tipo A o Tipo B).

A17. La disponibilidad de un informe de tipo 1 o tipo 2 generalmente dependerá de siel contrato entre una organización de servicios y una entidad de usuaria incluyela prestación de este reporte por la organización de servicios. Una organizaciónde servicios puede elegir también, por razones prácticas, hacer disponible unreporte tipo 1 o tipo 2 a las entidades usuarias. Sin embargo, en algunos casos,puede no estar disponible un reporte tipo 1 o tipo 2 a las entidades usuarias.

A18. En algunas circunstancias, una entidad usuaria puede subcontratar una o másunidades o funciones de negocio importantes, como sus funciones completasde planeación de impuestos y de cumplimiento, o las finanzas y contabilidad ola función de contraloría a una o más organizaciones de servicios. Debido aque puede no estar disponible un reporte sobre controles en la organización deservicios en estas circunstancias, el procedimiento más efectivo puede servisitar la organización de servicios para que el auditor logre un entendimientode los controles en la organización de servicios, ya que es probable que hayauna interacción directa de la administración de la entidad usuaria con laadministración de la organización de servicios.

A19. Puede utilizarse otro auditor para realizar los procedimientos que proporcionenla información necesaria sobre los controles relevantes en la organización deservicios. Si se ha emitido un reporte tipo 1 o tipo 2, el auditor puede utilizar alauditor del servicio para que desempeñe estos procedimientos ya que elauditor del servicio tiene una relación existente con la organización deservicios. El auditor que usa el trabajo de otro auditor puede encontrar útiles loslineamientos de la NIA 6009 ya que esta se relaciona con el entendimiento deotro auditor (incluyendo la independencia y competencia profesional de eseauditor), el involucramiento en el trabajo de otro auditor en la planeación de lanaturaleza, alcance y oportunidad de ese trabajo, y para evaluar la suficiencia yutilidad de la evidencia de auditoría obtenida.

A20. Una entidad usuaria pueden utilizar una organización de servicios que a su vezusa una organización sub-servicios para prestar algunos de los serviciosprestados a una entidad usuaria que son parte del sistema de informaciónrelevante para el reporte financiero de la entidad usuaria. La organización sub-servicios puede ser una entidad separada de la organización de servicios opuede estar relacionada con la organización de servicios. Un auditor puedenecesitar considerar los controles en la organización sub-servicios. En

8 ISAE 3402, Reportes de atestiguamiento sobre controles en una organización de servicios deterceros.9 NIA 600, "Consideraciones especiales- Auditorías de estados financieros de grupo(incluyendo el trabajo de auditores de componentes)", párrafo 2, declara: "Un auditor puedeencontrar útil esta NIA, adaptada según sea necesario, en las circunstancias, cuando el auditorimplica a otro auditor en la auditoría de estados financieros que no son estados financieros degrupo... " Ver también párrafo 19 de la NIA 600.

situaciones cuando se utilizan una o más organizaciones de sub-servicios, lainteracción entre las actividades de la entidad usuaria y los de la organizaciónde servicios se expande para incluir la interacción entre la entidad usuaria, laorganización de servicios y la organización de sub-servicios. El grado de estainteracción, así como la naturaleza e importancia de las transaccionesprocesadas por la organización de servicios y las organización de sub-serviciosson los factores más importantes a considerar por el auditor al determinar laimportancia de los controles de la organización de servicios y la organizaciónde sub-servicios para los controles de la entidad usuaria.

Uso de un reporte tipo 1 o tipo 2 para soportar el entendimiento de la organización deservicios por el auditor (Párrafos 13-14)

A21. El auditor puede hacer investigaciones sobre el auditor de servicio con laorganización profesional del auditor del servicio u otros profesionistas einvestigar si el auditor del servicio está sujeto a supervisión reguladora. Elauditor del servicio puede estar ejerciendo en una jurisdicción donde se sigandiferentes normas respecto de reportes sobre controles en una organización deservicios, y el auditor puede obtener información sobre las normas que usa elauditor del servicio con la organización establecedora de normas.

A22. Un reporte tipo 1 o tipo 2, junto con información sobre la entidad usuaria, puedeayudar al auditor a obtener un entendimiento de:

Los aspectos de los controles en la organización de servicios que puedenafectar el procesamiento de las transacciones de la entidad usuaria,incluyendo el uso de las organizaciones sub-servicios;

El flujo de transacciones importantes a través de la organización deservicios para determinar los puntos en el flujo de la transacción, dondepudieran ocurrir errores significativos en los estados financieros de laentidad usuaria;

Los objetivos de control en la organización de servicio que sean relevantesa las aseveraciones de los estados financieros de la entidad; y

Si los controles en la organización de servicio están apropiadamentediseñados e implementados para prevenir o detectar errores deprocesamiento, que pudieran dar como resultado errores significativos enlos estados financieros de la entidad usuaria.

Un reporte tipo 1 o tipo 2 puede ayudar al auditor a obtener un entendimientosuficiente para identificar y evaluar los riesgos de error significativo. Sinembargo, un reporte tipo 1 no proporciona ninguna evidencia de la efectividadoperativa de los controles relevantes.

A23. Un reporte tipo 1 o tipo 2 que sea a una fecha o un período que esté fuera delperiodo de reporte de una entidad usuaria, puede ayudar al auditor a obtenerun entendimiento preliminar de los controles implementados en la organizaciónde servicios, si el reporte es complementado con información adicional actualde otras fuentes. Si la descripción de los controles por la organización de

servicios es a una fecha o por un período que precede al inicio del período bajoauditoría, el auditor puede desempeñar procedimientos para actualizar lainformación en un reporte tipo 1 o tipo 2, como:

Discutir los cambios en la organización de servicios con personal de laentidad usuaria que estuvieran en posición de conocer esos cambios;

Revisar documentación y correspondencia actual emitida por laorganización de servicios; o

Discutir los cambios con el personal de la organización de servicios.

Responder a los riesgos evaluados de error (Párrafo 15)

A24. Si el uso de una organización de servicios incrementa o no el riesgo de errorsignificativo de una entidad, depende de la naturaleza de los serviciosprestados y de los controles sobre esos servicios; en algunos casos, el uso deuna organización de servicios puede disminuir el riesgo de error significativo deuna entidad usuaria, particularmente si la entidad usuaria misma no posee lapericia necesaria para realizar actividades particulares, tales como el iniciar,procesar, y registrar transacciones, o no tiene los recursos adecuados (porejemplo, un sistema de TI).

A25. Cuando la organización de servicios mantiene elementos significativos de losregistros contables de la entidad usuaria, puede ser necesario el acceso directoa esos registros para que el auditor obtenga suficiente y apropiada evidenciade auditoría relativa a las operaciones de los controles sobre esos registros opara sustanciar las transacciones y saldos registrados en ellos, o ambas. Dichoacceso puede implicar, tanto la inspección física de los registros en lasinstalaciones de la organización de servicios o interrogar sobre los registrosmantenidos electrónicamente a la entidad usuaria o en otra localidad, o ambas.Cuando el acceso directo es efectuado en forma electrónica, el auditor puedeasí obtener evidencia, en cuanto a lo adecuado de los controles operados porla organización de servicios sobre la integridad y totalidad de los datos de laentidad usuaria de los cuales es responsable la organización de servicios.

A26. Al determinar la naturaleza y alcance de la evidencia de auditoría que se debeobtener en relación con saldos que representan activos mantenidos otransacciones que emprende una organización de servicios en nombre de laentidad usuaria, el auditor puede considerar los siguientes procedimientos:

(a) Inspeccionar registros y documentos mantenidos por la entidad usuaria: laconfiabilidad de esta fuente de evidencia está determinada por lanaturaleza y alcance de los registros contables y documentación desoporte retenidos por la entidad usuaria. En algunos casos, la entidadusuaria puede no mantener registros detallados independientes odocumentación de transacciones específicas realizadas en su nombre.

(b) Inspeccionar registros y documentos mantenidos por la organización deservicios: el acceso del auditor a los registros de la organización deservicios puede establecerse como parte de arreglos contractuales entre laentidad usuaria y la organización de servicios. El auditor puede tambiénutilizar otro auditor, en su representación, para lograr acceso a los registrosde la entidad usuaria, mantenidos por la organización de servicios.

(c) Obtener confirmaciones de saldos y transacciones por la organización deservicios: cuando la entidad usuaria mantiene un registros independientesde saldos y transacciones, la confirmación de la organización de servicioscorroborando los registros de la entidad usuaria puede constituir evidenciade auditoría confiable concerniente a la existencia de las transacciones yactivos en cuestión. Por ejemplo, cuando se usan múltiples organizacionesde servicios, como un gerente de inversiones y un custodio, y estasorganizaciones de servicios mantienen registros independientes, el auditorpuede confirmar saldos con estas organizaciones para comparar estainformación con los registros independientes de la entidad usuaria.

Si la entidad usuaria no mantiene registros independientes, la informaciónobtenida en confirmaciones de la organización de servicios es meramenteuna declaración de lo que se refleja en los registros mantenidos por laorganización de servicios. Por lo tanto, estas confirmaciones noconstituyen, por sí solas, evidencia de auditoría confiable. En estascircunstancias, el auditor puede considerar si puede identificarse unafuente alternativa de evidencia independiente.

(d) Desempeñar procedimientos analíticos sobre los registros mantenidos porla entidad usuaria o sobre los reportes recibidos de la organización deservicios: es probable que la efectividad de los procedimientos analíticosvarié por aseveración y será afectada por la extensión y detalle de lainformación disponible.

A27. Otro auditor puede realizar procedimientos que son sustantivos en naturalezapara beneficio de los auditores del usuario. Este trabajo puede implicar larealización, por otro auditor, de procedimientos convenidos por la entidadusuaria y su auditor y la organización de servicios y su auditor del servicio. Loshallazgos resultantes de los procedimientos realizados por otro auditor sonrevisados por el auditor para determinar si ellos constituyen suficiente yapropiada evidencia de auditoría. Además, puede haber requerimientosimpuestos por autoridades gubernamentales o mediante arreglos contractualespor los que un auditor del servicio realice procedimientos designados que seansustantivos en naturaleza. Los resultados de la aplicación de losprocedimientos requeridos a los saldos y transacciones procesadas por laorganización de servicios pueden utilizarse por los auditores del usuario comoparte de la evidencia necesaria para soportar sus opiniones de auditoría. Enestas circunstancias, puede ser útil para el auditor del servicio acuerden, antes

de la realización de los procedimientos, la documentación de auditoría o elacceso a la documentación de auditoría que se proporcionará al auditor.

A28. En ciertas circunstancias, en particular cuando una entidad usuaria subcontrataalgunas o todas sus funciones de finanzas con una organización de servicios,el auditor puede enfrentarse a una situación cuando porción importante de laevidencia de auditoría reside en la organización de servicio. El auditor u otroauditor en su nombre pueden necesitar realizar procedimientos sustantivos enla organización de servicios. Un auditor del servicio puede proporcionar unreporte tipo 2 y, además, puede realizar procedimientos sustantivos en nombredel auditor. El involucramiento de otro auditor no altera la responsabilidad delauditor para obtener suficiente y apropiada evidencia de auditoría para permitiruna base razonable para soportar la opinión del auditor. En consecuencia, laconsideración del auditor del usuario de si se ha obtenido suficiente yapropiada evidencia de auditoría y de si el auditor usuario necesita realizarprocedimientos sustantivos adicionales incluye el involucramiento del auditoren, o en evidencia de, la dirección, supervisión y desempeño deprocedimientos sustantivos desempeñados por otro auditor.

Pruebas de controles (Párrafo 16)

A29. La NIA 33010 requiere que el auditor diseñe y realice pruebas de controles paraobtener suficiente y apropiada evidencia de auditoría en cuanto a la efectividadoperativa de los controles relevantes en ciertas circunstancias. En el contextode una organización de servicios, este requisito aplica cuando:

(a) La evaluación del auditor de los riesgos de error significativo incluye unaexpectativa de que los controles en la organización de servicios estánoperando de manera efectiva (es decir, el auditor pretende apoyarse en laefectividad operativa de los controles en la organización de servicio aldeterminar la naturaleza, oportunidad y alcance de los procedimientossustantivos); o

(b) Los procedimientos sustantivos en forma individual, o en combinación conpruebas de la efectividad operativa de los controles en la entidad usuaria, nopueden proporcionar suficiente evidencia apropiada de auditoría a nivelaseveración.

A30. Si no está disponible un reporte tipo 2, el auditor de usuario puede contactar ala organización de servicios, a través de la entidad usuaria, para solicitar quese contraste a un auditor del servicio que proporcione un reporte tipo 2 queincluya pruebas de la efectividad operativa de los controles relevantes o elauditor de usuario puede utilizar otro auditor para realizar procedimientos en laorganización de servicios que prueben la efectividad operativa de dichoscontroles. El auditor puede también visitar a la organización de servicios yrealizar pruebas de los controles relevantes si la organización de servicios estáde acuerdo en ello. Las evaluaciones del riesgo del auditor se basan en la

10 NIA 330, párrafo 8.

evidencia combinada obtenida por el trabajo de otro auditor y los propiosprocedimientos del auditor.

Uso de un reporte tipo 2 como evidencia de auditoría de que los controles en laorganización de servicios están operando de manera efectiva (Párrafo 17)

A31. Un reporte tipo 2 pueden tener el propósito de satisfacer las necesidades devarios auditores del usuario diferentes, por lo tanto, las pruebas de controles yresultados descritos en el reporte del auditor del servicio pueden no serrelevantes para las aseveraciones que son importantes en los estadosfinancieros de la entidad usuaria. Las pruebas relevantes de controles yresultados son evaluadas para determinar que el reporte del auditor del servicioproporciona suficiente evidencia apropiada de auditoría sobre la efectividad delos controles para soportar la evaluación del riesgo del auditor. Al hacerlo, elauditor puede considerar los siguientes factores:

(a) El período de tiempo cubierto por las pruebas de controles y el tiempotranscurrido desde el desempeño de la prueba de controles;

(b) El alcance del trabajo del auditor de servicios y los servicios y procesoscubiertos, los controles proados y las pruebas que fueron realizadas, y laforma en que los controles probados se relacionan con los controles de laentidad usuaria; y

(c) Los resultados de esas pruebas de controles y la opinión del auditor delservicio sobre la efectividad operativa de los controles.

A32. Para ciertas aseveraciones, mientras menso sea el período cubierto por unaprueba específica y mayor el tiempo transcurrido desde la realización de laprueba, menor es la evidencia de auditoría que la prueba puede proporcionar.Al comparar el período cubierto por el reporte tipo 2 con el período deinformación financiera de la entidad usuaria, el auditor puede concluir que elreporte tipo 2, ofrece menos evidencia de auditoría, si hay poco traslape entreel período cubierto por el reporte tipo 2, y el período por el que el auditor sepropone apoyarse en el reporte. Cuando es este el caso, un reporte tipo 2, quecubra un período precedente o posterior puede proporcionar evidencia deauditoría adicional. En otros casos, el auditor puede determinar que esnecesario realizar, o utilizar otro auditor para realizar pruebas de controles en laorganización de servicios para obtener suficiente evidencia y apropiadaevidencia de auditoría sobre la efectividad operativa de esos controles.

A33. Puede también ser necesario para el auditor del usuario la obtención deevidencia adicional sobre cambios importantes relevantes en la organización deservicios fuera del período cubierto por el reporte tipo 2 o determinar losprocedimientos adicionales de auditoría que deben ser realizados. Los factoresrelevantes para determinar la evidencia de auditoría adicional sobre obtener loscontroles en la organización de servicios que estuvieran operando fuera delperíodo cubierto por el reporte del auditor de servicios pueden incluir: La importancia de los riesgos evaluados de error significativo a nivel de

aseveración;

Los controles específicos que fueron probados durante el períodointermedio, y los cambios importantes en ellos desde que se sometieron aprueba, incluyendo cambios en el sistema de información, procesos ypersonal;

El grado obtenido de evidencia de auditoría sobre la efectividad operativade esos controles;

La duración del período restante; El alcance en que el auditor se propone reducir los procedimientos

sustantivos adicionales con base en la dependencia de los controles, y La efectividad del entorno del control y monitoreo de controles en la entidad

usuaria.

A34. Puede obtenerse evidencia de auditoría adicional, por ejemplo, extendiendo laspruebas de controles por el período restante o probando el monitoreo decontroles de la entidad usuaria.

A35. Si el período de pruebas del auditor del servicio está completamente fuera delperíodo de información financiera de la entidad usuaria, el auditor usuario nopodrá apoyarse en dichas pruebas para concluir que los controles de la entidadusuaria están operando de manera efectiva, porque no proporcionan evidenciade la efectividad de los controles del período de auditoría actual, a menos deque se realicen otros procedimientos.

A36. En ciertas circunstancias, un servicio provisto por la organización de serviciospuede ser diseñado bajo el supuesto de que la entidad usuaria implementaráciertos controles. Por ejemplo, el servicio puede ser diseñado bajo el supuestode que la entidad usuaria tendrá controles establecidos para autorizar lastransacciones antes de que se manden a la organización de servicios paraprocesamiento. En tal situación, la descripción de los controles de laorganización pueden incluir una descripción de eso controles complementariosde la entidad complementaria usuaria. El auditor considera si esos controlescomplementarios de la entidad usuaria son relevantes para el servicio provistoa la entidad usuaria.

A37. Si el auditor cree que el reporte del auditor de servicio no puede proporcionarsuficiente y apropiada evidencia de auditoría, por ejemplo, si un reporte delauditor de servicio no contiene una descripción de las pruebas de controles delauditor de servicios y los resultados correspondientes , el auditor puedesuplementar el entendimiento de los procedimientos y conclusiones del auditorde servicios contactando la organización de servicios, mediante la entidadusuaria, para solicitar una discusión con el auditor del servicio sobre el alcancey resultados del trabajo del auditor del servicio. También, si el auditor cree quees necesario, puede contactar a la organización de servicios, mediante laentidad usuaria, para solicitar que el auditor realice procedimientos en laorganización de servicios. De forma alternativa, el auditor, u otro auditor asolicitud del auditor puede desempeñar esos procedimientos.

A38. El reporte tipo 2 del auditor del servicio identifica los resultados de pruebas,incluyendo excepciones y otra información que pudieran afectar lasconclusiones del auditor. Las excepciones anotadas por el auditor del servicio ouna opinión modificada en el reporte tipo 2 tipo del auditor de servicios, nosignifican automáticamente que el reporte tipo 2 del auditor del servicio no seráútil para la auditoría de los estados financieros de la entidad usuaria, al evaluarlos riesgos de error significativo. Más bien, las excepciones y el asunto que daorigen a una opinión modificada en el reporte tipo 2 del auditor del servicio seconsideran en la evaluación del auditor de las pruebas de controlesdesempeñadas por el auditor del servicio. Al considerar las excepciones yasuntos que dan origen a una opinión modificada, el auditor puede discutirestos asuntos con el auditor del servicio. Esta comunicación depende de que laentidad usuaria contacte a la organización de servicios, y obtenga laaprobación de la organización de servicios para que tenga lugar lacomunicación.

Comunicación de las deficiencias en el control interno identificadas durante laauditoría.

A39. Se requiere que el auditor comunique oportunamente y por escrito lasdeficiencias importantes encontradas durante la auditoría, tanto a laadministración como a los encargados del gobierno corporativo11. Se requieretambién que el auditor comunique oportunamente a la administración a un nivelapropiado de responsabilidad otras deficiencias en control interno identificadasdurante la auditoría que, a juicio profesional del auditor, son de suficienteimportancia como para merecer la atención de la administración12. Los asuntosque el auditor puede identificar durante la auditoría y puede comunicar a laadministración y a los encargados del gobierno corporativo de la entidadusuaria incluyen:

Cualquier monitoreo de controles que pudiera implementarse por la entidadusuaria, incluyendo los identificados como resultado de obtener de unreporte tipo 1 o tipo 2;

Instancias donde se observaron controles complementarios de la entidadusuaria en el reporte ripo 1 o tipo 2 y no están implementados; y

Controles que pueden necesitarse en la organización de servicios que noparecen haber sido implementados o que se cubren específicamente por unreporte tipo 2.

Reportes tipo 1 y tipo 2 que excluyen los servicios de una organización de sub-servicios (Párrafo 18.)

A40. Si una organización de servicios usa una organización de sub-servicios, elreporte del auditor del servicio puede incluir o excluir los objetivos de control ycontroles relacionados relevantes de la organización de sub-servicios y en el

11 NIA 265, "Comunicación de deficiencias en el control interno a los encargados del gobiernocorporativo y a la administración", párrafos 90-10.12 NIA 265, párrafo 10.

alcance del trabajo del auditor del servicio. Estos dos métodos de reportar seconocen como el método inclusivo y el método de separación o exclusión,respectivamente. Si el reporte tipo 1 o tipo 2 excluye los controles en unaorganización de sub-servicios, y los servicios provistos por la organización desub-servicios son relevantes para la auditoría de los estados financieros de laentidad usuaria, se requiere que el auditor aplique los requerimientos de estaNIA respecto de la organización de sub-servicios.La naturaleza y alcance del trabajo que debe ser realizado por el auditorrespecto de los servicios provistos por una organización de sub-serviciosdependen de la naturaleza e importancia de eso servicios para la entidadusuaria y la relevancia de esos servicios para la auditoría. La aplicación delrequisito en el párrafo 9 ayuda al auditor a determinar el efecto de laorganización de sub-servicios y la naturaleza y alcance del trabajo a serrealizado.

Fraude, incumplimiento con leyes y regulaciones, y errores no corregidos enrelación con las actividades en la organización de servicios (Párrafo 19)

A41. Una organización de servicios puede ser requerida bajo los términos delcontrato con entidades usuarias para revelar a las entidades usuariasafectadas de cualquier fraude, incumplimiento con leyes y regulaciones oerrores no corregidos atribuibles a la administración o empleados de laorganización de servicios. Según requiere el párrafo 19, el auditor haceinvestigaciones con la administración de entidad usuaria respecto de si laorganización de servicios ha reportado cualquiera de esos asuntos y evalúa sicualesquier asunto reportado por la organización de servicios afecta lanaturaleza, oportunidad y alcance de los procedimientos adicionales deauditoría del auditor. En ciertas circunstancias, el auditor puede requeririnformación adicional para realizar esta evaluación, y puede solicitar a laentidad de usuaria contactar a la organización de servicios para obtener lainformación necesaria.

Reporte por el auditor

42. Cuando el auditor no puede obtener suficiente y apropiada evidencia deauditoría respecto de los servicios provistos por la organización de servicios relevantespara la auditoría de los estados financieros de la entidad usuaria, existe una limitaciónal alcance de la auditoría. Este puede ser el caso cuando:

El auditor de usuario no puede obtener un entendimiento suficiente de losservicios provistos por la organización de servicios y no tiene una base parala identificación y evaluación de los riesgos de error significativo;

Una evaluación de riesgo del auditor incluye una expectativa de que loscontroles en la organización de servicios están operando de maneraefectiva y el auditor no puede obtener suficiente evidencia apropiada deauditoría sobre la efectividad operativa de estos controles; o

Sólo hay disponible, suficiente y apropiada evidencia de auditoría de losregistros mantenidos en la organización de servicios; y el auditor no puedeobtener acceso directo a estos registros.

El que el auditor exprese una opinión calificada o una abstención de opinióndepende de su conclusión en cuanto a si los posibles efectos sobre los estadosfinancieros son de importancia relativa o penetrante.

Referencia al trabajo de un auditor del servicio (Párrafos 21-22)

A43. En algunos casos, la ley o regulación pueda requerir una referencia al trabajode un auditor del servicio en el dictamen del auditor, por ejemplo, para fines detransparencia en el sector público. En esas circunstancias, el auditor puedenecesitar el consentimiento del auditor del servicio antes de hacer talreferencia.

A44. El hecho de que una entidad usuaria use a una organización de servicios noaltera la responsabilidad del auditor bajo las NIA de obtener suficiente yapropiada evidencia de auditoría para obtener una base razonable parasoportar su opinión. Por lo tanto, el auditor de usuario no hace referencia alreporte del auditor del servicio como base, en parte, por la opinión del auditorsobre los estados financieros de la entidad usuaria. Sin embargo, cuando elauditor expresa una opinión modificada debido a una opinión modificada en unreporte del auditor del servicio, el auditor no está impedido de referirse alreporte del auditor del servicio, si tal referencia ayuda a explicar la razón parala opinión modificada del auditor. En esas circunstancias, el auditor puedenecesitar el consentimiento del auditor de servicios antes de hacer estareferencia.