Reportes de aseguramiento sobre los controles en una organización de servicio

Transcripción

1 Reportes de aseguramiento sobre los controles en una organización de servicio Estándar internacional sobre compromisos de aseguramiento (ISAE) 3402 Por: Samuel Alberto Mantilla B. El contexto que se necesita entender Si hay algo ingenuo en el presente, es considerar que cada empresa es una isla. Todo lo contrario: 1. Hace parte de una cadena que enlaza suministro, fabricación, distribución, venta, pos-venta y consumo. 2. Tercerización, y deslocalización, cadenas de suministro, alianzas, sociedades y otros entrelazados, han cambiado la definición misma de empresa. Por esa razón, el entendimiento de la información financiera (contabilidad) y del aseguramiento (auditoría) tiene que darse en los mismos términos. Información financiera En relación con la información financiera, en el mundo anglosajón hay bastante claridad al respecto. Por eso se diferencia entre bookeeping (teneduría de libros), accounting (contabilidad/contaduría), financial reporting (información financiera) y Samuel Alberto Mantilla B. / samuelalbertom@gmail.com / Bogotá, enero 2020 Pag. 1

2 accountancy. Este último término recoge, por un lado, la información de la entidad independiente; y por el otro, la información de la entidad consolidada con base en el criterio de control. El sistema IFRS, por ejemplo, es un sistema que privilegia la accountancy y no tanto el registro. En América Latina, por el contrario, pareciera que no fuera posible elevar las anclas, se identifica contabilidad con registro y se ve poco interés por mejorar las calidades técnicas. Qué difícil está siendo avanzar en una época donde la globalización genera transformaciones a un ritmo frenético! Respecto de la auditoría, no se ha progresado con la misma celeridad que como lo ha hecho la información financiera y tradicionalmente se ha centrado en dar seguridad razonable respecto de los estados financieros tomados en su conjunto. Lo relacionado con la auditoría de grupos y de relacionados ha sido un problema que solamente hasta épocas recientes comienza a resolverse. En función de ello están, por un lado, el ISA 600 (Consideraciones especiales Auditorías de los estados financieros del grupo (incluyendo el trabajo de los auditores del componente) auditoría de grupos y por el otro, el ISA 402 (Consideraciones de auditoría relacionadas con la entidad que usa una organización de servicio) auditoría de tercerización y el recientemente emitido ISAE 3402 control de la tercerización. Por esa razón se vuelve clave entender el aseguramiento, diferenciando entre el aseguramiento alto (auditoría) y el aseguramiento moderado (otros tipos, como es el caso que aborda el ISAE 3402). Respecto de los controles a la información financiera de una organización, y particularmente los controles internos relacionados con la presentación de reportes financieros, se pueden abordar de dos maneras diferentes: (1) cómo aprovecharlos para crecimiento del negocio, y (2) cómo evitar que dañen el negocio. En la práctica, antes que verlos como opuestos, es clave lograr que se perciban de una manera integrada. Estándar internacional sobre compromisos de aseguramiento En ese contexto, reconociendo el amplio uso que a nivel internacional se le está dando a la tercerización (outsourcing), la International Auditing and Assurance Standards Board (IAASB) emitió el pasado 18 de diciembre de 2009, el International Standard on Assurance Engagements Estándar internacional sobre compromisos de aseguramiento, (ISAE) 3402 Assurance Reports on Controls Samuel Alberto Mantilla B. / samuelalbertom@gmail.com / Bogotá, enero de Pag. 2

3 at a Service Organization Reportes de aseguramiento sobre los controles en una organización de servicio. El nuevo estándar aborda los reportes sobre la descripción, el diseño y la efectividad de la operación de los controles relacionados con el rango amplio de servicios que hoy prestan las organizaciones de servicio. Tales servicios pueden variar desde ayudar con el procesamiento de las transacciones hasta desempeñar una o más funciones de negocio. De manera especial, la tercerización de los procesos de contabilidad, facturación, nómina, tecnología de la información, recursos humanos. El presupuesto central es que el servicio prestado por la organización de servicio (= la entidad que presta el servicio de tercerización) puede tener relevancia directa para la calidad de los reportes financieros preparados por las entidades. En consecuencia, el problema no está solamente en la calidad de la información que es la base para la preparación de los estados financieros individuales o de los estados financieros consolidados, sino que está también en la calidad de la información que suministran los proveedores de servicios. El ISAE 3402 es el primer estándar de aseguramiento, diferente a los ISA (International Standards on Auditing) desarrollado a partir de la International Framework for Assurance Engagements Estructura conceptual internacional para los contratos de aseguramiento de IAASB. Es efectivo para los reportes de los auditores de servicio que cubran períodos terminados en o después del 15 de junio del año Qué puede encontrar el lector El ISAE 3402 tiene el mismo formato de los ISA clarificados: (1) introducción; (2) objetivos; (3) definiciones; (4) requerimientos; y (5) material de aplicación y otro de carácter explicativo. El presente comentario hace una síntesis del mismo y utiliza el mismo formato, empleando tablas para hacer más fácil su lectura. A continuación se ofrece una síntesis de los elementos más importantes de tal estándar. La información se presenta en las tablas anexas y ha sido tomada del mismo en sus aspectos fundamentales. En todo caso, el punto de referencia es el estándar completo y a él debe acudir el lector (Puede obtener el texto del ISAE 3410 completo en: Samuel Alberto Mantilla B. / samuelalbertom@gmail.com / Bogotá, enero de Pag. 3

4 Solamente baste añadir que el ISAE 3402 se trata de un documento importante, aplica la metodología basada-en-riesgos de los ISA y está centrado en la evaluación de riesgos y controles previa la definición de objetivos establecidos. Usa conceptos que ya están bastante arraigados en la práctica de negocios contemporánea: el análisis de la cadena de valor del negocio y la diferenciación entre actividades centrales (de negocio) y actividades de apoyo (tercerizables). Como la tercerización es una prestación de servicios basada en contratos, no es de extrañar que haya sub-contratación. Por esa razón, se diferencia entre la organización de servicio (que contrata) y la organización que presta el sub-servicio (que sub-contrata). En todo caso, debe tenerse siempre presente que el ISAE 3402 se refiere, exclusivamente, a los controles internos asociados con la presentación de reportes financieros, no a los controles relacionados con todas las demás actividades organizacionales. Samuel Alberto Mantilla B. / samuelalbertom@gmail.com / Bogotá, enero de Pag. 4

5 1. Introducción Alcance del ISAE 3402 Se refiere a los compromisos de aseguramiento llevados a cabo por un contador profesional en ejercicio profesional público para suministrar un reporte para uso por parte de las entidades usuarias y sus auditores sobre los controles en la organización de servicio que le presta un servicio a las entidades usuarias que probablemente es relevante para el control interno de las entidades usuarias en cuanto se relaciona con la presentación de reportes financieros. Complementa el ISA 402, Consideraciones de auditoría relacionadas con la entidad que usa una organización de servicio, en que los reportes preparados de acuerdo con este ISAE son capaces de proveer evidencia apropiada según el ISA 402. Se refiere solamente a compromisos basados-en-aserción que transmiten seguridad razonable, con la conclusión del aseguramiento redactada directamente en los términos de la materia sujeto y del criterio. Por lo tanto, se trata de aseguramiento limitado. Aplica solamente cuando la organización de servicio es responsable por, o de otra manera es capaz de hacer una aseveración sobre, el diseño confiable de los controles. Este ISAE no se refiere a los contratos de aseguramiento para: (a) Reportar si los controles de la organización de servicio operaron tal y como se describió, o (b) Reportar solamente sobre los controles de la organización de servicios que son diferentes a los relacionados con el servicio que probablemente es relevante para el control interno de las entidades usuarias en cuanto se relaciona con la presentación de reportes financieros. Fecha efectiva Este ISAE es efectivo para los reportes de aseguramiento de los auditores de servicio que cubren períodos que terminan en o después del 15 de junio del Samuel Alberto Mantilla B. / samuelalbertom@gmail.com / Bogotá, enero de Pag. 5

6 2. Objetivos Los objetivos del auditor del servicio son: (a) Obtener seguridad razonable respecto de si, en todos los aspectos materiales, con base en el criterio confiable: (i) La descripción que la organización de servicio hace respecto de su sistema representa de manera razonable el sistema tal y como fue diseñado e implementado durante el período especificado (o en el caso del reporte tipo 1, a la fecha especificada); (ii) Los controles relacionados con los objetivos de control establecidos en la descripción que la organización de servicio hace respecto de su sistema fueron diseñados de manera confiable durante el período especificado (o, en el caso del reporte tipo 1, a la fecha especificada): (iii) Se incluyen en el alcance del compromiso, los controles operaron de manera efectiva para proveer seguridad razonable de que los objetivos de control establecidos en la descripción que la organización de servicio hace respecto de su sistema fueron logrados durante el período especificado. (b) Reportar sobre las materias contenidas en (a), haciéndolo de acuerdo con los hallazgos del auditor de servicio. Samuel Alberto Mantilla B. / samuelalbertom@gmail.com / Bogotá, enero de Pag. 6

7 3. Definiciones Para los propósitos de este ISAE, los siguientes términos tienen los significados que se les atribuyen abajo. Método de escisión parcial (carve-out method) Método para tratar los servicios prestados por una organización que presta sub-servicios, en el cual la descripción que la organización de servicio hace respecto de su sistema incluye la naturaleza de los servicios prestados por la organización que presta sub-servicio, pero que los objetivos de control relevantes de la organización que presta sub-servicio, así como los controles relacionados, se excluyen de la descripción que la organización de servicio hace respecto de su sistema y del alcance del compromiso del auditor de servicio. La descripción que la organización de servicio hace de su sistema y del alcance del compromiso del auditor del servicio incluye los controles en la organización de servicio para monitorear la efectividad de los controles de la organización que presta sub-servicio, lo cual puede incluir la revisión que la organización de servicio haga respecto del reporte de aseguramiento sobre los controles en la organización que presta el sub-servicio. Controles complementarios de la entidad usuario (Complementary user entity controls) Controles que la organización de servicio asume, en el diseño de su servicio, serán implementados por las entidades usuarias, y los cuales, si son necesarios para lograr los objetivos de control señalados en la descripción que la organización de servicio hace respecto de su sistema, se identifican en esa descripción. Objetivo de control (Control objective) La intención o propósito de un aspecto particular de los controles. Los objetivos de control se relacionan con los riesgos que los controles buscan mitigar. Controles en la organización de servicio (Controls at the service organization) Controles sobre el logro de un objetivo de control que está cubierto por el reporte de aseguramiento del auditor del servicio. Controles en la organización que presta el subservicio (Controles at the service organization) Controles en la organización que presta el sub-servicio destinados a proveer seguridad razonable sobre el logro del objetivo de control. Criteria (Criterio) Comparaciones (o puntos de referencia) usados para evaluar o medir la materia sujeto, los cuales incluyen, cuando es relevante, las Samuel Alberto Mantilla B. / samuelalbertom@gmail.com / Bogotá, enero de Pag. 7

8 comparaciones para la presentación y revelación. Método inclusivo (Inclusive method) Método para tratar los servicios provistos por la organización que presta el sub-servicio, por lo cual la descripción que la organización de servicio hace respecto de su sistema incluye la naturaleza de los servicios provistos por la organización que presta el sub-servicio, y que los objetivos de control relevantes, así como los controles relacionados, de la organización que presta el sub-servicio se incluyen en la descripción que hace la organización de servicio respecto de su sistema y está dentro del alcance del compromiso del auditor del servicio. Función de auditoría interna (Internal audit function) La actividad de evaluación establecida o prestada como servicio para la organización de servicio. Sus funciones incluyen, entre otras cosas, examinar, evaluar y monitorear lo adecuado y la efectividad del control interno. Auditores internos (Internal auditors) Las personas que realizan las actividades de la función de auditoría interna. Los auditores pueden pertenecer a un departamento de auditoría interna o a una función que sea equivalente. Reporte sobre la descripción y el diseño de los controles en la organización de servicio (Report on the description and design of controls at a service organization) Este IAS lo identifica como reporte tipo 1. Es el reporte que comprende: (i) La descripción que la organización de servicio hace respecto de su sistema; (ii) La aseveración escrita, realizada por la organización de servicio, de que, en todos los aspectos materiales, y con base en el criterio confiable: a. La descripción representa razonablemente el sistema de la organización de servicio tal y como fue diseñado e implementado a la fecha especificada; b. Los controles relacionados con los objetivos de control señalados en la descripción que hace la organización de servicio respecto de su sistema fueron diseñados de manera confiable a la fecha especificada; y (iii) El reporte de aseguramiento, del auditor de servicio, que transmite seguridad razonable respecto de las materias contenidas en (ii)a-b arriba. Reporte sobre la descripción, el diseño y la efectividad de la operación de los controles en la organización de servicio (Report on the description, design Este IAS lo identifica como reporte tipo 2. Es el reporte que comprende: (i) La descripción que la organización de servicio hace respecto de su sistema; (ii) La aseveración escrita, realizada por la organización de servicio, de que, en todos los aspectos materiales, y con base en el criterio confiable: a. La descripción representa razonablemente el sistema de la organización de servicio tal y como fue diseñado e implementado durante el período especificado; Samuel Alberto Mantilla B. / samuelalbertom@gmail.com / Bogotá, enero de Pag. 8

9 and operating effectiveness of controls at a service organización) (iii) b. Los controles relacionados con los objetivos de control señalados en la descripción que hace la organización de servicio respecto de su sistema fueron diseñados de manera confiable durante el período especificado; y c. Los controles relacionados con los objetivos de control señalados en la descripción que hace la organización de servicio respecto de su sistema operaron efectivamente durante el período especificado; y El reporte de aseguramiento, del auditor del servicio, que: a. Transmite seguridad razonable respecto de las materias contenidas en (ii)a-c arriba; y b. Incluye la descripción de las pruebas de los controles y los consiguientes resultados. Auditor del servicio (Service auditor) El contador profesional en ejercicio profesional público que, por solicitud de la organización de servicio, provee el reporte de aseguramiento sobre los controles en la organización de servicio. Organización de servicio (Service organization) La organización que es un tercero (o un segmento de ella) que le presta servicios a las entidades usuarias que probablemente son relevantes para el control interno de las entidades usuarias en cuanto se relacionan con la presentación de reportes financieras. Sistema de la organización de servicio (Service organization s system) Es el sistema. Las políticas y procedimientos diseñados e implementados por la organización de servicio para proveer a las entidades usuarias con los servicios cubiertos por el reporte de aseguramiento del auditor del servicio. La descripción que la organización de servicio hace respecto de su sistema incluye la identificación de: los servicios cubiertos; el período, o en el caso del reporte tipo 1, la fecha, con el cual se relaciona la descripción; los objetivos de control; y los controles relacionados. Aseveración de la organización de servicio (Service organization s assertion) También: Aserción (afirmación) de la organización de servicio. Es la aseveración escrita sobre las materias sujeto a las cuales se hace referencia en el reporte de aseguramiento. Organización que presta el subservicio (Subservice organization) La organización de servicio usada por otra entidad de servicio para prestar algunos de los servicios provistos a las entidades usuarias que es probable son relevantes para el control interno de las entidades usuarias en cuanto se relaciona con la presentación de reportes financieros. Test of controls (Prueba de los El procedimiento diseñado para evaluar la efectividad que la operación de los controles tiene en el logro de los objetivos de control señalados en la Samuel Alberto Mantilla B. / samuelalbertom@gmail.com / Bogotá, enero de Pag. 9

10 controles) descripción que la organización de servicio hace respecto de su sistema. Auditor del usuario (User auditor) El auditor que audita y reporta sobre los estados financieros de la entidad usuaria. Entidad usuaria (User entity) La entidad que usa la organización de servicio. Samuel Alberto Mantilla B. / samuelalbertom@gmail.com / Bogotá, enero de Pag. 10

11 4. Requerimientos ISAE 3000 El auditor del servicio no puede señalar el cumplimiento con este ISAE 3402 a menos que el auditor del servicio haya cumplido con los requerimientos de este ISAE 3402 y de ISAE 3000 (Contratos de aseguramiento diferentes a las auditorías o revisiones de información financiera histórica). Requerimientos éticos El auditor del servicio tiene que cumplir con los requerimientos éticos relevantes, incluyendo los que corresponden a independencia, relacionados con los contratos de aseguramiento. Ver: Código de ética para contadores profesionales. La administración y quienes tienen a cargo el gobierno Interacción, consulta, solicitud de representaciones, comunicación, entre el auditor del servicio y la organización de servicio. El auditor del servicio determinará las personas apropiadas dentro de la estructura de gobierno o administración de la organización de servicio. Aceptación y continuación Antes de aceptar o continuar un compromiso, el auditor del servicio tiene que: a) determinar si: el auditor del servicio tiene las capacidades y las competencias para llevar a cabo el compromiso; si el criterio a ser aplicado por la organización de servicio será confiable y estará disponible para las entidades usuarios y sus auditores; y el alcance del compromiso y la descripción que la organización de servicio hace respecto de su sistema no estarán tan limitados de manera que sea improbable que sean útiles para las entidades usuarios y sus auditores; b) obtener el acuerdo de la organización de servicio respecto de que reconoce y entiende su responsabilidad. c) estar satisfecho de que hay justificación razonable para el cambio (en el caso de que la organización de servicio solicite un cambio en los términos del compromiso). Valoración de la confiabilidad del criterio En relación con: 1. La descripción que la organización de servicio hace respecto de su sistema 2. El diseño de los controles 3. La efectividad de la operación de los controles (en el caso del reporte tipo 2). Materialidad Con relación a: Samuel Alberto Mantilla B. / samuelalbertom@gmail.com / Bogotá, enero de Pag. 11

12 1. La presentación razonable de la descripción 2. La confiabilidad del diseño de los controles 3. La efectividad de la operación de los controles (en el caso del reporte tipo 2). Obtención de un entendimiento del sistema de la organización de servicio El auditor del servicio tiene que obtener un entendimiento del sistema de la organización del servicio, incluyendo los controles que se incluyen en el alcance del compromiso. Obtención de evidencia en relación con la descripción El auditor del servicio tiene que: a) Obtener y leer la descripción que la organización de servicio hace respecto de su sistema; y b) Evaluar si los aspectos de la descripción que se incluyen en el alcance del compromiso están representados de manera razonable, incluyendo: a. objetivos de control señalados en la descripción b. controles, identificados en la descripción, que fueron implementados c. controles complementarios de la entidad usuaria, si los hay y si están adecuadamente descritos; d. servicios desempeñados por la organización que presta el servicio, si los hay y si están adecuadamente descritos. Obtención de evidencia en relación con el diseño de los controles El auditor del servicio tiene que: 1. Determinar cuáles de los controles de la organización de servicio son necesarios para lograr los objetivos de control señalados en la descripción 2. Valorar si esos controles fueron diseñados de manera confiable. Esta determinación tiene que incluir: a. Identificación de los riesgos que amenazan el logro de los objetivos de control señalados en la descripción b. Evaluación del vínculo que los controles identificados (en la descripción) tienen con esos riesgos. Obtención de evidencia en relación con la efectividad de la operación de los controles APLICA SOLAMENTE PARA EL REPORTE TIPO 2. El auditor del servicio tiene que: 1. Probar los controles que el auditor del servicio determinó son necesarios para lograr los objetivos de control señalados en la descripción; y 2. Valorar la efectividad de su operación durante el período. Herramientas que puede utilizar: Muestreo Naturaleza y causa de las desviaciones El trabajo de la El auditor del servicio tiene que: Samuel Alberto Mantilla B. / samuelalbertom@gmail.com / Bogotá, enero de Pag. 12

13 función de auditoría interna 1. Obtener un entendimiento de la función de auditoría interna 2. Determinar si, y en qué extensión, usar el trabajo de los auditores internos 3. Usar el trabajo de la función de auditoría interna (si la evaluación que realice le da apoyo para ello) Aunque use el trabajo de la función de auditoría interna, en su reporte de aseguramiento el auditor del servicio no hace referencia al mismo. Representaciones escritas El auditor del servicio tiene que solicitarle a la organización de servicio que provea representaciones escritas que: a) Re-afirmen la aserción que acompaña la descripción b) Manifiesten que le han suministrado al auditor del servicio toda la información y el acceso relevantes acordados c) Le revelen al auditor del servicio si es consciente de: (1) nocumplimiento con leyes y regulaciones, fraude o desviaciones nocorregidas atribuibles a la organización de servicio que puedan afectar a una o más entidades usuarias; (2) deficiencias en el diseño de los controles; (3) casos en que los controles no operaron como fueron descritos; y (4) cualesquiera eventos subsiguientes que pudieran tener un efecto importante en el reporte de aseguramiento. Otra información El auditor del servicio tiene que leer: 1. La otra información, si la hay, que se incluya en el documento que contenga la descripción que la organización de servicio hace respecto de su sistema 2. El reporte de aseguramiento, del auditor del servicio, para identificar inconsistencias materiales, si las hay, con esa descripción. Eventos subsiguientes El auditor del servicio tiene que indagar si la organización de servicio es consciente de cualesquiera eventos subsiguientes que podrían tener un efecto importante en el reporte de aseguramiento. Documentación El auditor del servicio tiene que preparar documentación que sea suficiente para permitirle a un auditor de servicio experimentado, que no tenga vinculación anterior con el compromiso, que entienda: (a) La naturaleza, oportunidad y extensión de los procedimientos aplicados para cumplir con este ISAE y con los requerimientos legales y regulatorios que sean aplicables; (b) Los resultados de los procedimientos aplicados y la evidencia obtenida; y (c) Materias importantes que surjan dentro del compromiso, así como las conclusiones alcanzadas y los juicios profesionales importantes hechos al llegar a esas conclusiones. Preparación del reporte de aseguramiento del auditor del servicio Contenido del reporte de aseguramiento: (a) Título que señale claramente que el reporte es un reporte de aseguramiento del auditor de servicio independiente (b) Dirección Samuel Alberto Mantilla B. / samuelalbertom@gmail.com / Bogotá, enero de Pag. 13

14 (c) Identificaciones: (1) descripción y aseveración, de la organización de servicio; (2) partes de la descripción cubiertas por la opinión; (3) necesidad de controles complementarios de la entidad usuaria. (d) Identificación del criterio (e) Declaración de que el reporte está dirigido únicamente a las entidades usuarias y a sus auditores (f) Declaración de que la organización de servicio es responsable por: (1) preparación de la descripción y de las aserciones; (2) prestación de los servicios cubiertos por la descripción; (3) definición de los objetivos de control; y (4) diseño e implementación de los controles. (g) Declaración de la responsabilidad del auditor del servicio (h) Declaración de que el compromiso fue realizado de acuerdo con el ISAE 3402 (i) Resumen de los procedimientos del auditor del servicio para obtener seguridad razonable y declaración de la convicción del auditor del servicio respecto de que la evidencia obtenida es suficiente y apropiada para proveer una base para la opinión del auditor (j) Declaración de las limitaciones de los controles (k) Opinión del auditor del servicio, expresada en la forma positiva, o si, en todos los aspectos materiales, se basó en el criterio confiable (l) Fecha del reporte de aseguramiento (m) Nombre del auditor del servicio, y la localización en la jurisdicción donde ejerce el auditor del servicio. Casos especiales: Opiniones modificadas Responsabilidades relacionadas con otras comunicaciones Si el auditor del servicio es consciente de no-cumplimiento con leyes y regulaciones, fraude o errores no-corregidos, atribuibles a la organización de servicio y que no sean claramente triviales y puedan afectar a una o más entidades usuarias, el auditor del servicio determinará si la materia ha sido comunicada de manera apropiada a las entidades usuarias afectadas. Si la materia no ha sido comunicada y la organización de servicio no está dispuesta a hacerlo, el auditor de servicio tiene que tomar la acción que sea apropiada. 5. Material de aplicación y otro de carácter explicativo El ISAE 3402 usa el mismo formato de los ISA clarificados, el cual se ha estado resumiendo en las anteriores gráficas. Parte de ese formato es el material de aplicación y otro de carácter explicativo. Se refiere a los mismos elementos contenidos en los requerimientos y es bastante útil para la implementación práctica. No se incluye en el presente comentario, pero se le recomienda al lector que acuda al mismo como una referencia imprescindible. * * * * * Samuel Alberto Mantilla B. / samuelalbertom@gmail.com / Bogotá, enero de Pag. 14