ISAE 3402. Nueva normatividad
|
| El International Standard on Assurance Engagements (ISAE 3402, Assurance Reports on Controls at a Service Organization) es el nuevo estándar que sustituye al Statement on Auditing Standards 70, Service Organizations (SAS 70), el cual fue publicado por The International Auditing and Assurance Standards Board (IAASB) en diciembre de 2009, para hacer homogéneos los requerimientos y el uso de reportes de las organizaciones de servicio
Lo anterior fue apoyado por la IFAC (International Federation of Accountants), donde se acordó que el nuevo estándar debe ser adoptado y utilizado en todos los reportes cuya fecha de finalización del examen sea a partir del 15 junio de 2011, sustituyendo los estándares anteriores. Por lo tanto, a partir de la fecha citada no se podrán emitir reportes bajo la norma SAS 70 o similares.
Recordemos que el SAS 70 no era el único estándar para la revisión de control interno de organizaciones de servicio, pues existían estándares específicos en países como Canadá, Australia, Chile, China o Reino Unido. No obstante, fue adoptado como un estándar de facto para reportar el control interno en las organizaciones de servicio, cuando se estaba utilizando un esquema de trabajo sobre normatividad contable y de auditoría por empresas norteamericanas que lo solicitaban, como requerimiento de la Securities and Exchange Commission (SEC), en relación con su estructura de control interno.
En realidad, aunque el nuevo estándar tiene diferencias con su predecesor, el objetivo sigue siendo realizar un examen sobre los procesos que una organización de servicios ejecuta por cuenta de quien los contrata (entidades usuarias), y que dichos procesos sean relevantes para los estados financieros de estas. Asimismo, siguen dirigiéndose a las entidades usuarias y a los auditores de ellas, y se mantienen los dos tipos de reportes: el Tipo I, donde se examina la presentación y el diseño de los procesos de control, y el Tipo II, donde adicionalmente se revisa la eficacia operativa de los controles. Cambios en el estándar El ISAE 3402 puede representar un cambio relevante, por lo que la profesión debe conocer los nuevos requerimientos y las diferencias que tiene el nuevo estándar. A continuación se mencionan los principales cambios. Estándar Internacional de auditoría En realidad, el SAS 70 es reemplazado por dos estándares, uno de ellos es un estándar de auditoría que norma la forma en que el auditor de estados financieros debe considerar el control interno cuando las transacciones relevantes, en relación con los estados financieros sujetos a su examen son ejecutadas por una organización de servicio International Standard on Auditing 402 (ISA 402), Audit Considerations. Relating to an Entity Using a Service Organization. Este estándar no es nuevo, pero sí contiene actualizaciones que incluyen guías de alineación al ISAE 3402.
El nuevo ISA 402 recalca la importancia que los auditores deben observar sobre una transacción ejecutada por terceras partes (organizaciones de servicio) y eleva lo que era una guía o procedimiento comúnmente aceptado a un estándar de auditoría internacional; por lo que, su aplicación no debe ser exclusiva sobre auditoría a estados financieros en organizaciones que coticen en alguna bolsa de valores, sino que debería ser utilizada en cualquier auditoría, sin importar que la empresa tenga capital público o privado.
El otro estándar es el de atestiguamiento y está basado en el ISAE 3000. Se llama ISAE 3402 y sustituye al SAS 70, el cual norma cómo debe realizarse el examen de control interno en las organizaciones de servicios, cuyo procesamiento es relevante para los estados financieros de sus clientes.
El ISAE 3402 está clasificado como un estándar de atestiguamiento, ya que la administración de la organización de servicio deberá presentar una aseveración (assertion) de su control interno, en cuanto a las transacciones realizadas por sus clientes. Del mismo modo, el ISAE 3402 norma los criterios en que el auditor de la organización de servicio, debe evaluar la aseveración de la gerencia. Aseveración de la gerencia Al igual que en el SAS 70, en el ISAE 3402 se refiere a la parte de las responsabilidades de las organizaciones de servicio al definir los objetivos de control y controles que ayudaban al logro de estos, lo que se conoce comúnmente como descripción de controles. El cambio relevante en el ISAE 3402 es que el reporte no solo contendrá la descripción de controles, sino una carta firmada por la misma organización de servicio donde asegura que razonablemente los controles permiten el logro de los objetivos de control. Este documento se conoce como la aseveración de la gerencia.
La aseveración deberá estar formulada sobre la presentación, diseño y eficacia operativa de sus operaciones; es decir, la gerencia de la organización de servicio deberá confirmar con su propia opinión que estas tres características aseguran razonablemente el logro de los objetivos de control que son realizados por sus entidades usuarias.
Aunado a esto, la gerencia de la organización de servicio deberá tener bases sobre la cuales realizan esta aseveración y el auditor de la organización de servicio debe verificarlas. Por lo tanto, será necesario que las organizaciones ejecuten sus propias pruebas sobre los procesos de control interno o evidencien la supervisión que tienen sobre sus controles. Alcance de las aseveraciones en el reporte Tipo II El examen Tipo I de ISAE 3402 no tuvo cambios importantes con respecto al SAS 70 Tipo I; sin embargo, el alcance de las aseveraciones en el Tipo II tuvo un cambio relevante. En el SAS 70 la revelación de la presentación y diseño de los controles era sobre el día final del periodo de evaluación, esto es, la presentación de los controles estaba descrita tal como eran ejecutados al final del periodo sujeto examen, y aunque se evaluaba la efectividad y diseño de los controles, no existía una revelación de cambios importantes. En la nueva norma, tanto la presentación como el diseño deberán ser evaluados en todo el periodo sujeto a examen y cualquier cambio significativo que sufra el sistema de control deberá ser revelado por la gerencia de la organización, y evaluado y probado por el auditor. Identificación de riesgos por parte de las organizaciones de servicio Como parte de la aseveración, es necesario que las organizaciones de servicio formalicen la identificación de los riesgos que amenazan el logro de los objetivos de control. Inclusive, sería no solo necesaria la identificación, sino que haya existido un tratamiento de dichos riesgos durante el periodo sujeto a examen. Organizaciones de sub-servicio Así como es común que una empresa delegue la responsabilidad de un proceso a un tercero, está siendo frecuente que este tercero también delegue cierta responsabilidad a otra entidad. A esta entidad se le conoce como organización de sub-servicio. Un ejemplo de esto lo podemos tener en una empresa de procesamiento de nómina que subcontrata un centro de datos en la cual van a residir sus equipos de cómputo y donde se realiza el procesamiento de las transacciones, en este caso, la organización de sub-servicio es el data center. Desde que se promulgó el SAS 70, se llevaba a cabo la incorporación de organizaciones de sub-servicios en el alcance de la revisión y sus procesos se incorporaban a la descripción del sistema de control. Esto sigue siendo consistente en el ISAE 3402, aunque existe el nuevo requisito de que la organización de sub-servicio deberá entregar una aseveración, así como una carta de representación a los auditores a cargo de la revisión bajo ISAE 3402.
Lo anterior puede representar un problema si no se tiene el adecuado apoyo por parte de la organización de sub-servicio para la firma y entrega de estos documentos.
Contraparte en Norteamérica: SSAE 16
A partir de la existencia del nuevo estándar internacional ISAE 3402, cada país puede diseñar su norma local, de tal forma que se cumpla con los requerimientos específicos que las legislaciones tengan. Este es el caso de los Estados Unidos de Norteamérica, donde se creó el SSAE 16 (Statement on Standards for Attestation Engagements 16), basado en el estándar internacional.
Esto es importante para organizaciones cuyos corporativos son norteamericanos y que coticen en la Bolsa de Nueva York, ya que es muy probable y necesaria la ejecución de un atestiguamiento, aplicando ambas normatividades en conjunto (ISAE 3402/SSAE 16).
Los puntos adicionales que presenta el SSAE16, son los siguientes:
-Actividades a realizar por parte del auditor en caso de la detección de actos intencionales realizados por el personal de la organización de servicio.
-No existe el concepto de anomalías y toda desviación de control deberá ser reportada.
-Consideraciones específicas para el uso del trabajo de auditoría interna.
-Requiere que en específico se incluya el párrafo para restringir el uso del reporte.
-Condiciones sobre la documentación del reporte.
-Condiciones específicas para la aceptación y continuación de un contrato de trabajo SSAE 16.
-Acciones específicas por parte del auditor sobre su responsabilidad en la opinión.
-Requerimientos adicionales sobre el trabajo que el auditor debe realizar.
Transición hacia el nuevo estándar Los usuarios de ISAE 3402 y las organizaciones sujetas al estándar, deberán profundizar más sobre los cambios aquí descritos (mencionados los principales y más significativos). Ahora bien, es fundamental que todos aquellos de la profesión que se vean inmersos en esta dinámica elaboren su propio plan de transición y contemplen los pasos necesarios, ya sea desde la perspectiva usuaria o de la organización de servicio. A manera de resumen, los puntos que deben contemplar para su transición serían:
Desde una perspectiva de organización usuaria o auditor usuario:
-Determinar el efecto que tiene una organización de servicio en las aseveraciones de los estados financieros.
-Verificar si el reporte de organización de servicio adecuado será el ISAE 3402 o el SSAE 16.
-Verificar si el alcance del nuevo reporte cubrirá todos los aspectos relevantes para los estados financieros.
-Verificar el reporte de organización de servicio sea del Tipo II, ya que para cubrir los aspectos relevantes de estados financieros debe contemplarse la aseveración de efectividad operativa.
-Evaluar si los objetivos de control que serán descritos en el reporte estarán completos; es decir, que cubran todos los aspectos de control que están bajo la responsabilidad de la organización de servicio.
-Determinar cuáles serían los controles complementarios que vayan a estar descritos en el reporte y que reflejan la responsabilidad que la entidad usuaria tiene sobre el control interno.
-Una vez emitido el reporte, verificar el tipo de prueba ejecutada por el auditor, así como el resultado de la misma.
Ahora bien, desde una perspectiva de organización de servicio:
-Identificar y comprometer a las áreas internas, como por ejemplo la legal, por contratos con clientes y auditoría interna para la preparación de las aseveraciones, así como a estos clientes.
-Involucrar a sus auditores del SAS 70 en la transición al nuevo reporte.
-Evaluar contratos con clientes y actualizarlos si es necesario, ya que muchos pueden tener tipificado la entrega de un SAS 70, ahora será ISAE 3402 o SSAE 16.
-Determinar el proceso base para la creación de la aseveración; es decir, definir los procesos sobre las cuales se afirmará que la presentación, diseño y eficacia operativa aseguran razonablemente el logro de los objetivos de control.
-Identificar a la entidad interna que tendrá a su cargo la formulación de la aseveración. Esta entidad debería ser alguien cuya área tenga contacto con la supervisión del control interno, y quien firme, tenga la suficiente representatividad en la organización.
-Evaluar los riesgos en cuanto a las organizaciones de sub-servicio, sobre todo tomando en cuenta que deberán firmar una aseveración, una carta de representación y entregar su descripción de controles.
-Identificar y documentar los riesgos que amenazan el logro de los objetivos de control.
-Evaluar los cambios que se realicen al sistema durante el periodo y documentarlos.
-Evaluar la presentación, diseño y efectividad operativa de los controles para confirmar la aseveración.
-Evaluar y actualizar, como sea necesaria, su descripción de controles para determinar que el sistema de la organización es efectivo.
-Preparar la aseveración de la administración y las cartas de representación.
Por último, los cambios que presenta el nuevo estándar son la formalización de actividades que los auditores y las organizaciones de servicio ya realizaban. Estos cambios no representan grandes retos a los auditores, pero sí lo pueden ser para las organizaciones de servicio como la autoevaluación de riesgos y controles.
Sin embargo, hay que recalcar que los beneficiados de estos cambios serán los clientes de las propias organizaciones usuarias que podrán obtener una mejor confianza sobre el control interno de sus proveedores.
En adición, es importante considerar que la convergencia y adopción de las Normas Internacionales de Auditoría (ISA, por sus siglas en inglés) ya está en puerta, los reportes sobre controles de las organizaciones de servicio, cada vez están siendo más solicitados por usuarios específicos y firmas auditoras para la adecuada confianza de los procesos clave y de la evaluación de los controles existentes, por los cuales tendrán un impacto en sus enfoques de auditoría.
C.P.C. Edgar de la Rosa Cabello
Socio de KPMG Cárdenas Dosal, S.C. Académico de la Asociación Mexicana de Auditoría Integral y al Desempeño, S.C.
Lic. Rommel García VegaDirector de Advisory en KPMG Cárdenas Dosal, S.C.
Fuente: Revista Contaduría Pública www.contaduriapublica.org.mx del Instituto Mexicano de Contadores Públicos http://www.imcp.org.mx/ |
CONTACTO
