Responsabilidades en las auditorías por servicios tercerizados

Los servicios de terceros comprenden la realización de actividades en específico que están bajo la autorización directa de la dirección o administración, tal como los servicios de nómina, contabilidad, impuestos, entre otros. No son aplicables los que correspondan a transacciones o actividades que están limitadas en su ejecución, o bien, que son específicamente autorizados por la entidad usuaria, tal como la gestoría de los agentes aduanales o, en su caso, los servicios prestados por entidades financieras.

El auditor de la entidad usuaria debe seguir los procedimientos que sean necesarios para el entendimiento de los servicios prestados.

En términos generales, es importante entender las siguientes figuras:

• Entidad usuaria: compañía auditada.
• Auditor de la entidad usuaria: auditor de la empresa auditada.
• Sistema de la organización de servicios: controles de los servicios prestados.
• Organización de servicios: compañía que presta servicios externos a la empresa auditada.
• Auditor de la entidad prestadora del servicio: auditor de los controles de la empresa de servicios.

El auditor de la entidad usuaria debe identificar y valorar los riesgos de incorrección material; así como diseñar y aplicar procedimientos de auditoría para responder a dichos riesgos.

Asimismo, el auditor debe obtener evidencia sobre la efectividad operativa de los controles, esto a través de los siguientes procedimientos:

• Revisión directa del auditor de la entidad usuaria (con previo acuerdo).
• Contratación de otro auditor (para revisar la efectivad de los controles).
• Revisión por parte del auditor de la entidad prestadora del servicio (entrega de un informe).

En caso de que se emita un informe por el auditor de la entidad prestadora del servicio, se presentará lo siguiente:

• Informe de tipo 1, descripción y el diseño de los controles de la organización de servicios: debe contener un reporte de la descripción de los servicios, lo cual debe ser preparado por la dirección de la organización de servicios, donde se deben de incluir los objetivos de control y controles diseñados e implementados a una fecha determinada.
• Informe de tipo 2, descripción, diseño y eficiencia operativa de los controles de la organización de servicios: debe contener el reporte del informe de tipo 1 a una fecha determinada o a lo largo de un periodo especifico; adicionalmente, en algunos casos, debe incluir su eficacia operativa a lo largo de un periodo especifico.

Estos informes deben incluir una descripción de las pruebas de control realizadas y los resultados obtenidos por el auditor del servicio; asimismo, el auditor de la entidad usuaria deberá satisfacerse de:

• Competencia profesional del auditor de la entidad prestadora del servicio, así como su independencia.
• Normatividad con la cual se emitió el informe (tipo 1 o 2) y, en su caso, puede hacer las indagaciones correspondientes.

La NIA 402 establece los lineamientos y responsabilidad de auditores independientes para que identifiquen y valoren los riesgos, y apliquen procedimientos para mitigarlos en las entidades.

Ahora bien, si el auditor de la entidad usuaria prevé utilizar los informes, debe evaluar si la descripción y diseño de los controles se refieren a una fecha o a un periodo adecuado para fines de la auditoría; tiene que determinar si la evidencia proporcionada por el informe es suficiente y adecuada para obtener el conocimiento del control interno; así como establecer si los controles complementarios son relevantes y, en ese caso, obtener conocimiento de si la entidad usuaria ha diseñado e implementado dichos controles.

Respecto de la valorización de los riesgos significativos, el auditor de la entidad usuaria tiene que:

• Determinar si la entidad usuaria proporciona la evidencia suficiente y adecuada respecto de las afirmaciones relevantes.
• Aplicar procedimientos de auditoría posteriores.
• Recurrir a otro auditor para aplicar los procedimientos.

Para la revisión en materia de fraude o incumplimiento, el auditor debe investigar con la entidad usuaria si tiene conocimiento o existe algún indicio que la organización de servicios haya presentado o reportado cualquier fraude, o bien, algún incumplimiento de las disposiciones regulatorias, así como incorrecciones no corregidas que afecten sus estados financieros.

El auditor de la entidad usuaria debe evaluar los efectos de dichas cuestiones que afectan a los estados financieros para aplicar procedimientos de auditoría posteriores o, en su caso, incluir los efectos en sus conclusiones o informe de auditoría.

En el informe de auditoría el auditor debe expresar una opinión modificada (de conformidad con la NIA 705), esto si no puede obtener evidencia de auditoría suficiente y adecuada con respecto a los servicios prestados por una organización de servicios que sean relevantes para las revisiones de estados financieros de la entidad usuaria.

En el caso de una opinión no modificada, no se referirá el trabajo del auditor de la entidad prestadora del servicio (salvo que lo requieran las disposiciones legales), o bien, se hará referencia al trabajo del auditor de la prestadora del servicio cuando sea relevante para entender la opinión modificada del auditor de la entidad usuaria. En el caso de hacer cualquiera de las dos referencias mencionadas, se indicará que dicha mención no reduce la responsabilidad del auditor de la entidad usuaria en relación con su opinión.

Por los servicios de terceros a la empresa auditada, el auditor debe tener el entendimiento de la interacción y relación entre la entidad usuaria y la organización de servicios.

Conclusiones

El auditor de la entidad usuaria debe seguir los procedimientos que sean necesarios para el entendimiento de los servicios prestados, los cuales pueden ser contactar al proveedor servicios o revisar contratos, manuales o reportes entre la entidad usuaria y la organización de servicios, así como ocupar su juicio profesional.

Para determinar si existe evidencia de auditoría suficiente y adecuada, el auditor puede utilizar los informes de tipo 1 y 2, con previa verificación de la competencia e independencia del auditor de la entidad prestadora del servicio; aplicar los procedimientos de auditoría posteriores; o bien, acudir con otro auditor para que aplique dichos procedimientos en la organización de servicios.

El auditor de la entidad usuaria, en el caso de que no haya obtenido evidencia de auditoría suficiente y adecuada sobre los servicios prestados por la organización de servicios, debe modificar su opinión y hacer la referencia correspondiente; sólo si es necesario, el auditor de la entidad usuaria puede referirse al auditor del servicio sin afectar su responsabilidad con la opinión de los estados financieros.