§ IV.B.B) 26. NORMA TÉCNICA DE AUDITORÍA SOBRE «CONSIDERACIONES RELATIVAS A LA AUDITORÍA DE ENTIDADES QUE EXTERIORIZAN PROCESOS DE ADMINISTRACIÓN». RESOLUCIÓN DEL INSTITUTO DE CONTABILIDAD Y AUDITORÍA DE CUENTAS (ICAC), DE 26 DE MARZO DE 2004

INTRODUCCIÓN

1. La entidad auditada puede utilizar empresas de servicios para que ejecuten, registren o procesen transacciones (por ejemplo, una empresa de servicios informáticos). En estos casos, algunas políticas, procedimientos y registros mantenidos por esta última pueden resultar relevantes para la auditoría de las cuentas anuales de la entidad auditada.

2. El auditor debe evaluar la manera en que el uso de una empresa de servicios afecta a los sistemas contables y de control interno de la entidad auditada, en la medida necesaria para planificar la auditoría y realizarla de manera efectiva.

OBJETO

3. El propósito de esta Norma Técnica de Auditoría es establecer los criterios de actuación para el auditor de una entidad que exterioriza procesos de administración. Esta Norma también contempla la colaboración que a estos efectos pudiera solicitarse al auditor de la propia empresa de servicios.

ASPECTOS A TENER EN CUENTA POR EL AUDITOR DE LA ENTIDAD

4. La empresa de servicios puede establecer y aplicar políticas y procedimientos que afecten a los sistemas contables y de control interno de la entidad auditada. Tales políticas y procedimientos normalmente están física y operativamente separadas de la organización de esta última.

La entidad auditada puede estar en condiciones de aplicar políticas y procedimientos efectivos en relación con la empresa de servicios cuando las prestaciones que ésta realiza se limiten al registro y procesamiento de transacciones de modo que la entidad auditada mantenga las funciones relativas a su autorización y contabilización.

Sin embargo, cuando la empresa de servicios tenga atribuida la facultad de realizar y contabilizar las transacciones por sí misma, la entidad auditada puede tener que depositar confianza en las políticas y procedimientos establecidos por dicha empresa de servicios.

5. El auditor debe determinar la relevancia que para la entidad auditada representan las actividades de la empresa de servicios, así como su posible incidencia en la auditoría.

Para ello, se tendrían en cuenta, en su caso, las siguientes cuestiones:

- Naturaleza de los servicios recibidos por la entidad auditada.

- Condiciones del contrato y relaciones entre las partes, tales como: plazo de vigencia del contrato, condiciones para su cancelación anticipada, etc.

- Informaciones significativas contenidas en las cuentas anuales cuya fuente de información provenga de la empresa de servicios.

- Riesgo inherente relativo a tales informaciones.

- Medida en que los sistemas contable y de control interno de la entidad auditada interactúan con los sistemas de la empresa de servicios.

- Alcance de las revisiones efectuadas, en su caso, por la Auditoría Interna de la entidad auditada en la empresa de servicios y, en general, controles internos que la entidad auditada aplica a las transacciones procesadas por la empresa de servicios.

- Capacidad operativa y financiera de la empresa de servicios para prestar los servicios contratados o, en su caso, la posibilidad de su sustitución.

- Información disponible sobre los sistemas contable y de control interno de la empresa de servicios, normalmente preparada por la dirección de la misma.

- Adecuación de las relaciones entre la entidad auditada y la empresa de servicios a la normativa sectorial aplicable a la empresa auditada que, en su caso, regule esta actividad.

Estas u otras consideraciones pueden hacer concluir al auditor que la evaluación del riesgo de control no resulta afectada por los controles de la empresa de servicios; en tal caso, no es de aplicación el resto de los apartados de esta Norma Técnica de Auditoría.

6. El auditor de la entidad auditada debe tener también en cuenta la posibilidad de que existan informes de terceros, tales como auditores de la empresa de servicios, auditores internos o de entidades reguladoras u otros, como medio de obtener información sobre sus sistemas contable y de control interno y sobre su operatividad y eficacia.

7. Si el auditor concluye que las actividades de la empresa de servicios son significativas para la entidad y relevantes para la auditoría, debe obtener información suficiente para conocer los sistemas contables y de control interno y para evaluar el riesgo de control al nivel que corresponda en función de las pruebas de cumplimiento realizadas.

8. Si la información no es suficiente, el auditor decidirá si solicita a la empresa de servicios que su auditor aplique procedimientos para obtener la información necesaria o si visita la empresa de servicios para obtenerla por sí mismo. En estos casos debe obtener las autorizaciones necesarias para acceder a la información precisa.

9. El auditor puede considerar más eficiente la obtención de evidencia mediante pruebas de cumplimiento que le permitan depositar un razonable grado de confianza en el control interno. Tal evidencia puede obtenerse:

- Realizando pruebas de cumplimiento de los controles establecidos por la entidad auditada sobre las actividades de la empresa de servicios.

- Obteniendo un informe específico del auditor de la empresa de servicios que recoja los procedimientos efectuados y las conclusiones obtenidas sobre los sistemas contables y de control interno en los procesos significativos para el trabajo de auditoría.

- Visitando la empresa de servicios y llevando a cabo pruebas de cumplimiento.

COLABORACIÓN DEL AUDITOR DE LA EMPRESA DE SERVICIOS

10. Cuando se utilice la colaboración del auditor de una empresa de servicios, el auditor de la entidad auditada debe determinar los procedimientos a realizar y evaluar el contenido del informe resultante, de acuerdo con lo regulado en la Norma Técnica de Auditoría sobre la «Relación entre Auditores» en los apartados 43.º a 46.º de colaboración entre auditores.

En estos casos, el auditor de la entidad, deberá además considerar la necesidad de indagar sobre su competencia profesional en el contexto del trabajo que se le requiera.

11. El auditor de la entidad auditada debe tener en cuenta el alcance del trabajo realizado por el auditor de la empresa de servicios y evaluar la utilidad y adecuación de los informes emitidos a este objeto.

El alcance del trabajo de colaboración del auditor de la empresa de servicios, puede consistir únicamente en informar de la razonabilidad de la descripción de los sistemas contables y de control interno preparada por la Dirección de la empresa de servicios, o puede abarcar un contenido más amplio para informar sobre el resultado de determinadas pruebas de cumplimiento realizadas. En el primer caso el informe puede ser útil para obtener el necesario conocimiento de los sistemas de control interno, mientras que en el segundo puede servir de base para evaluar el riesgo de control, siempre y cuando las pruebas efectuadas y sus resultados sean adecuados.

En el Anexo se presenta un ejemplo orientativo de informe de procedimientos acordados para estos casos. Estos informes, en los que no se expresará opinión por no ser un trabajo de auditoría de cuentas, normalmente describirán su propósito, los procedimientos realizados y sus resultados, de forma que el destinatario entienda la naturaleza y alcance del trabajo realizado y contendrán una restricción a la utilización de los mismos.

12. Si los resultados de las pruebas de cumplimiento realizadas por el auditor de la empresa de servicios fueran relevantes para el auditor de la entidad auditada, se debe evaluar si la naturaleza, momento de realización y alcance de las pruebas citadas suministran evidencia adecuada y suficiente sobre la efectividad de los sistemas contable y de control interno para apoyar la evaluación del nivel de riesgo de control a utilizar.

13. Asimismo, el auditor de la empresa de servicios puede recibir el encargo de realizar pruebas sustantivas útiles para el auditor de la entidad auditada. Tal compromiso puede implicar la realización de procedimientos acordados entre la entidad y su auditor y entre la empresa de servicios y su auditor.

14. Cuando el auditor de la entidad utilice un informe del auditor de la empresa de servicios, no debe hacer ninguna referencia al mismo en su informe de auditoría sobre las cuentas anuales de la entidad.

EFECTO EN EL INFORME DEL AUDITOR POR LIMITACIONES AL ALCANCE

15. En el caso de que el auditor, tal como se indica en el párrafo 7.º anterior, concluya que las actividades de la empresa de servicios son significativas para la entidad y no pueda obtener la información necesaria o llevar a cabo alguno de los procedimientos indicados en esta norma, este hecho constituye una limitación al alcance de su trabajo. El auditor deberá evaluar tal limitación y su posible efecto en el informe de auditoría.

ANEXO

Ejemplo de informe del auditor de la empresa de servicios de los procedimientos efectuados sobre los sistemas contables y de control interno de la empresa de servicios que se utilizan para el proceso de las transacciones de la entidad auditada

A (entidad con la que se contrató el encargo):

Hemos llevado a cabo los procedimientos acordados con ustedes, que se indican más adelante, sobre los sistemas contables y de control interno de (nombre de la empresa de servicios) que se utilizan para el proceso de las transacciones de (nombre de la entidad auditada) relativas al ejercicio terminado el … de … de 20… Nuestro trabajo se ha realizado a los efectos previstos en la Norma Técnica de Auditoría sobre «Consideraciones relativas a la auditoría de entidades que exteriorizan procesos de administración», sobre la base de que los destinatarios de este informe son quienes obtienen sus propias conclusiones.

Los procedimientos fueron efectuados con el objeto principal de facilitar información al auditor de cuentas de (entidad auditada) y consistieron en:

(Detalle de los procedimientos que han sido realizados).

A continuación les informamos del resultado de los procedimientos aplicados:

(Detalle de los resultados para cada uno de los procedimientos llevados a cabo, incluyendo, en su caso, suficiente información sobre los errores y excepciones detectados).

Dado que los procedimientos anteriormente descritos tienen un alcance reducido y sustancialmente menor que el de una auditoría, no expresamos una opinión ni damos otro tipo de seguridad sobre los sistemas contables y de control interno que la entidad (nombre de la empresa de servicios) utiliza para el proceso de las transacciones de (nombre de la entidad auditada). De haberse aplicado otros procedimientos, se podrían haber identificado otros asuntos significativos sobre los que les habríamos informado.

Este informe ha sido preparado con el objeto anteriormente mencionado para uso exclusivo de ustedes, que incluye su presentación al auditor de cuentas de la entidad (nombre de la entidad auditada) y, por consiguiente, no debe utilizarse para ninguna otra finalidad o ser distribuido a otros terceros.

Nombre de la Firma (o firmante si es individual)

Firma

Fecha del informe