Boletín 7090

INFORME DE ATESTIGUAMIENTO SOBRE LOS CONTROLES DE ORGANIZACIÓN DE SERVICIOS

Alcance de esta norma 

          Esta norma para atestiguar se refiere a los trabajos de atestiguamiento realizados por un auditor (contador público independiente), para proporcionar un informe a ser utilizado por las entidades usuarias y sus auditores externos, sobre los controles de una organización que le presta servicios a las entidades usuarias y que probablemente es importante para la entidad usuaria, el control interno de la información financiera relativa.

Relación con otros pronunciamientos profesionales

5.   El desempeño de trabajos de atestiguamiento distintos de la auditoría o revisión de información financiera histórica requiere que el auditor de la organización de servicios cumpla con la normatividad vigente. La normatividad vigente incluye  requerimientos relacionados  con  temas  como  la aceptación del trabajo, planificación, evidencia y documentación, que se aplican a todos los trabajos de atestiguamiento, incluyendo los trabajos a que se refiere esta norma.

Objetivos 

8.   Los objetivos del auditor de la organización de servicios son: 

(a)   Obtener certidumbre razonable de que, en todos los aspectos importantes, sobre la base de criterios adecuados: 

i. La descripción del sistema de la organización de servicios  se  presenta  razonablemente como  se  diseñó y aplicó en todo el periodo especificado 

ii.   Los controles relacionados con los objetivos de control establecidos en la descripción del sistema  preparada  por  la  organización  de  servicios fueron  diseñados adecuadamente  durante  el  periodo de tiempo 

iii. En caso de que se incluya en el alcance del trabajo, los controles operan efectivamente para proporcionar un atestiguamiento razonable de que los objetivos de control establecidos en la descripción  del  sistema  preparada  por  la  organización de servicios, se cumplieron durante el periodo de tiempo específico.

(b)    Informar sobre los asuntos descritos en el inciso (a) anterior, de conformidad con los hallazgos del auditor de la organización de servicios. 

Definiciones 

9.   Para los efectos de esta norma, los siguientes términos tienen el significado que se atribuye a continuación: 

a)  Método  de  exclusión.  Método  para  efectuar  los  servicios  proporcionados  por una  organización  de sub-servicios,  donde  la  descripción  del  sistema  de  la organización  de  servicios  incluye  la  naturaleza  de los servicios prestados por una organización de sub-servicios, pero los objetivos de control pertinentes y los  controles relacionados  de  dicha  organización  de  sub-servicios se excluyen de la descripción del sistema de la organización de servicios y del alcance del trabajo  del  auditor  de  la organización  de  servicios.  

b)   Controles complementarios de la entidad usuaria. Los controles que la organización de servicios asume, en el diseño de su servicio, que serán implementados por las entidades usuarias, deben ser los necesarios para alcanzar los objetivos de control establecidos en la descripción del sistema de la organización de servicios de su sistema.

c)   Objetivos de control. La finalidad o propósito de un aspecto particular de los controles. Los objetivos de control se relacionan con los riesgos que los controles tratan de mitigar.

d)  Controles  establecidos  en  la  organización  de  servicios. Son los controles establecidos para el logro de un objetivo de control que está cubierto en el informe de atestiguamiento del auditor de la organización de servicios.

e) Controles establecidos en la organización de sub-servicios. Son los controles establecidos en una organización de sub-servicios, para proporcionar un atestiguamiento razonable sobre el logro de los objetivos de control.

f)   Criterios. Los puntos de referencia utilizados para evaluar  o  medir  algún  asunto, incluyendo,  cuando  sea  relevante,  puntos  de  referencia  para  presentación y revelación.

g) Método de inclusión. El método para cumplir con los servicios  proporcionados  por  una organización  de sub-servicios, según el cual, la descripción de sus sistemas  incluye  la naturaleza  de  los  servicios  proporcionados por la organización de sub-servicios, los objetivos de control relevantes y los controles relativos, están incluidos en la descripción del sistema de la organización de servicios y en el alcance del trabajo del auditor de la organización de servicios.

h)   Función de auditoría interna. Una actividad de evaluación establecida o proporcionada como servicio a la organización de servicios. Sus funciones incluyen, entre otras cosas, examinar, evaluar y monitorear la efectividad y lo adecuado del control interno.

i) Auditores internos. Las personas que realizan las actividades de la función de auditoría interna. Los auditores internos pueden pertenecer a un departamento de auditoría interna o a una función equivalente.

l)  Auditor.  Contador  público  independiente  con  el  conocimiento  y  experiencia apropiados,  que  es  contratado para proporcionar un informe de atestiguamiento  sobre los  controles  de  una  organización  de  servicios.

m)  Organización   de   servicios.   Organización   independiente (segmento o parte relacionada), que proporciona servicios a usuarios de la entidad, como parte de  los propios  sistemas  de  información  relevantes para la información financiera.

n)  Sistemas de la organización de servicios. Políticas y procedimientos diseñados, implementados y mantenidos  por  la  organización  de  servicios  para  proporcionar a una entidad usuaria, servicios cubiertos por el informe del auditor de la organización de servicios. 

o)  Aseveración  de  la  organización  de  servicios.  La  aseveración  escrita  sobre  los asuntos  mencionados  en  el párrafo 9(k) (ii)

p) Organización  de  sub-servicios.  Una  organización  de  servicios utilizada por otra organización de servicios para desempeñar algún servicio proporcionado a los usuarios de la entidad, como parte de los propios sistemas de información relevantes para la emisión de información financiera.

q) Prueba de los controles. Procedimientos de auditoría diseñados para evaluar la efectividad operativa de los controles establecidos en la descripción del sistema de la organización de servicios.

r)  Auditor del usuario. Auditor que audita y reporta sobre los estados financieros de una entidad usuaria

s)  Entidad usuaria. Entidad que utiliza los servicios de una organización de servicios.

Requerimientos 

 Normativos

El auditor de la organización de servicios no representará el cumplimiento de esta norma, a menos de que haya cubierto los requerimientos de esta norma y de la demás normatividad vigente.

Éticos

El  auditor  de  la  organización  de  servicios  deberá  cumplir los requerimientos éticos relevantes, que incluyen los relativos a independencia aplicables a los trabajos de atestiguamiento.

Administración y encargados del gobierno corporativo

Cuando esta norma obligue al auditor de la organización de servicios a interrogar, a solicitar declaraciones de, comunicarse con, u otra forma de interactuar con la organización de servicios, debe determinar la(s) persona(s) adecuada(s) de la Administración o estructura del Gobierno Corporativo de  la  organización  de  servicios  con  quienes  interactuará. 

Aceptación y continuidad

Antes de aceptar o continuar un trabajo, el auditor de la organización de servicios debe:

(a)    Determinar si:

i.   El auditor de la organización de servicios tiene la  capacidad  y  competencia profesional  para  realizar el trabajo

ii. Los criterios que serán aplicados por la organización de servicios para preparar la descripción de su sistema son apropiados y estarán disponibles para las entidades usuarias y sus auditores externos;

Evaluación de lo apropiado de los criterios

 

Por disposición de la normatividad vigente, el auditor de la organización de servicios debe evaluar si la organización de servicios ha utilizado criterios apropiados para preparar la descripción  de  su  sistema,  para  evaluar  si  los  controles  están diseñados adecuadamente y, en el caso de un informe de Tipo 2.

Obtención de un entendimiento del sistema de la organización de servicios 

El auditor de la organización de servicios debe obtener una comprensión  del  sistema  de la  organización  de  servicios, incluidos los controles comprendidos en el alcance del trabajo.

Obtención de evidencia relacionada con la descripción

El  auditor  de  la  organización  de  servicios  debe  obtener  y  leer  la  descripción  del sistema  de  la  organización  de  servicios  y  evaluar  si  los  aspectos  descritos  incluidos en  el alcance del trabajo están presentados razonablemente.

Obtención de evidencia relacionada con el diseño de los controles

El auditor de la organización de servicios debe determinar los controles de la organización de servicios que son necesarios para alcanzar los objetivos de control establecidos en  la descripción  de  su  sistema  y  debe  evaluar  si  dichos  controles  están  diseñados adecuadamente.

Obtención de evidencia relacionada con la efectividad operativa de los controles

Cuando presente un informe Tipo 2, el auditor de la organización de servicios debe probar los controles que él ha determinado necesarios para lograr los objetivos de control establecidos en la descripción del sistema elaborada por la organización de servicios, y evaluar su efectividad operativa durante el periodo.

Efecto sobre el informe de atestiguamiento del auditor de la organización de servicios

Si se ha utilizado el trabajo de auditoría interna, el auditor de la organización de servicios no debe hacer referencia alguna a ese trabajo en el informe de atestiguamiento que contiene su opinión.

Representaciones escritas

El  auditor  de  la  organización  de  servicios  debe  solicitar a la organización de servicios que entregue representaciones escritas de lo siguiente

(a)   Que confirme la aseveración relativa a la descripción del sistema;

(b) Que ha proporcionado al auditor de la organización de servicios toda la información relevante y el acceso acordado;

 (c) Que ha revelado al auditor de la organización de servicios  cualesquiera  de  los siguientes  asuntos  sobre los que tenga conocimiento:

(i)  Del  incumplimiento  de  leyes  o  regulaciones,  fraudes o desviaciones sin corregir imputables a la organización de servicios, que puedan afectar a una o más entidades usuarias;

(ii)   Deficiencias en el diseño de los controles;

(iii) Casos  en  que  los  controles  no  han  funcionado  como se describe; y

 (iv)  Cualquier  hecho  posterior  al  periodo  cubierto  por  la  descripción  del  si.

Documentación 

El auditor de la organización de servicios debe preparar la documentación necesaria que permita a algún auditor experimentado, que no tenga relación previa con el trabajo, entender:

(a) La naturaleza, oportunidad y alcance de los procedimientos realizados para cumplir con esta norma y los requerimientos legales y regulatorios relativos;

(b) El resultado de los procedimientos realizados y de la evidencia obtenida; y

(c)   Los asuntos significativos que surgieron durante el trabajo y las conclusiones alcanzadas al respecto, así como los juicios profesionales significativos realizados para llegar a esas conclusiones.

Al documentar la naturaleza, oportunidad y alcance de los procedimientos realizados, el auditor de la organización de servicios debe documentar:

(a)   Las características que identifican a las partidas o asuntos específicos que están siendo probados;

(b) Quién realizó el trabajo y la fecha en que se completó dicho trabajo.

(c) Quién  revisó  el  trabajo  realizado,  la  fecha  y  alcance  de la revisión.