Lic. Alejandra Báez Curiel
Socia Área ERS
Deloitte
abaez@deloittemx.com
Debido a la tendencia clara en la utilización de servicios de terceros, relacionados con procesos críticos de negocios, como: tecnología de información, finanzas y administración de la contabilidad, recursos humanos, sueldo y beneficios, y la administración de la cobranza, estas organizaciones han cobrado relevancia en términos de control interno de las empresas y han tenido un impacto directo en sus estados financieros
Normalmente, este tipo de organizaciones requiere proporcionar confianza y confiabilidad en los servicios que prestan a sus clientes, razón por la cual son contratados los servicios de auditores independientes (auditor de servicio), cuya responsabilidad es evaluar la suficiencia del sistema de control interno de quien provee el servicio. El resultado es una opinión independiente sobre la razonabilidad en el diseño y efectividad de operación de los controles.
Esta auditoría se basa en la Declaración de Normas de Auditoría No. 70 (SAS 70), emitidas por el Instituto Americano de Contadores Públicos Certificados (AICPA, por sus siglas en inglés) de Estados Unidos. Este estándar regula la revisión del control interno de las organizaciones de servicio para salvaguardar los intereses de los clientes, y toda la información que se recoge se compila en dos tipos de informes. Estos informes se denominan: Tipo I y Tipo II.
Panorama general del reporte Tipo I
El reporte de auditor de servicio Tipo I, también es conocido como “Reporte de controles puestos en operación”. Este tipo de auditoría provee una verificación independiente por un tercero, acerca de que las políticas y procedimientos de la organización de servicio fueron correctamente diseñados e implementados a una fecha determinada para alcanzar objetivos de control específicos.
Uso del auditor a un reporte Tipo I
Un auditor puede apoyarse en los resultados de esta auditoría para realizar la evaluación a la organización de servicio, con el objeto de determinar si la descripción de los controles provistos por la organización de servicios representan, de manera exacta, todos los aspectos materiales y relevantes de los controles que están puestos en operación a una fecha determinada, y si los controles especificados están, adecuadamente, diseñados e implementados para proveer seguridad razonable para lograr los objetivos de control y si estos controles se cumplieron satisfactoriamente.
La emisión de este tipo de reportes debe incluir la siguiente información:
- Reporte de opinión del auditor de servicio.
- Descripción de los controles y servicios provistos por la organización de servicios, tales como: controles generales y de aplicación, proceso de evaluación de riesgos, procedimientos de monitoreo y ambiente de control, entre otros.
- Consideraciones de usuario. Este tipo de controles también debe ser incluido en el reporte y la organización usuaria debe estar consciente de que dichos controles son responsabilidad de un usuario del servicio.
Consideraciones comunes para la obtención de un reporte Tipo I
En relación con el tema de presupuesto, una auditoría Tipo I es típicamente menos costosa y de menor profundidad que una auditoría encaminada a la obtención del reporte Tipo II.
Cuando una compañía requiere cumplir con aspectos contractuales o requerimientos para participar en propuestas (RFP, Request for proposal, o solicitud de propuesta) y carece del suficiente tiempo para una auditoría completa, una auditoría Tipo I es un buen ejercicio previo para la obtención de un reporte Tipo II, pues además de ser una herramienta para identificar oportunidades de mejora en procesos, proporciona un buen entendimiento de la estructura de control implementada a los auditores y clientes.
Introducción del reporte SAS 70 Tipo II
Este tipo de reportes es normalmente solicitado por los clientes de organizaciones de servicio y sus auditores, ya que es considerado como el estándar para evaluar a terceros (organizaciones de servicio). También es conocido como “Reporte de auditor de servicios independiente de controles puestos en operación y pruebas de efectividad operativa”.
El reporte Tipo II provee una verificación de que las políticas y procedimientos de una organización de servicios fueron correctamente diseñados en un periodo determinado en el tiempo y si operaron con suficiente efectividad durante este (mínimo seis meses, máximo un año).
Durante una auditoría de Tipo II, además de ejecutarse todos los procedimientos llevados a cabo en una auditoría Tipo I, el auditor de servicio realiza pruebas de operación a los controles de la organización de servicios. Una vez completados los procesos de la auditoría, la opinión del reporte contendrá:
- Descripción de los controles provistos por la organización de servicios, que representa de manera exacta todos los aspectos materiales y relevantes de los controles que están puestos en operación a una fecha específica.
- Si los controles especificados están adecuadamente diseñados para proveer seguridad razonable para lograr los objetivos de control y si estos controles se cumplieron de manera satisfactoria.
- Pruebas a los controles específicos para obtener evidencia sobre su efectividad y cumplimiento con los objetivos de control por el periodo evaluado.
En adición, un reporte Tipo II identifica oportunidades de mejora en áreas operativas, permite minimizar los esfuerzos de múltiples auditorías requeridas por sus clientes (organizaciones usuarias), reduciendo tiempos y costos.
Organizaciones que pueden requerir una auditoría Tipo II
Estas organizaciones de servicio pueden ser: las que tengan un impacto directo o considerable en los reportes financieros de sus clientes, las que cuenten con una obligación contractual para proveer un reporte de auditoría a sus clientes las que no cuenten con un departamento de auditoría interna y deseen utilizar el reporte Tipo II como una alternativa para auditar los controles operacionales y de tecnología de información; así como las que presten servicios a compañías públicas y se adhieran a cumplimientos regulatorios como la Ley Sarbanes-Oxley.