Contenido

1. Por qué la mayoría de matrices no aguantan la revisión 2. Componentes centrales de una matriz ISAE 3402 3. Cómo mapear controles contra objetivos según ISAE 3402.32 4. Frecuencias de prueba que se pueden defender 5. Ejemplo práctico: Constructora Mediterránea S.L. 6. Lista de verificación para una matriz defendible 7. Errores frecuentes que observan los revisores

Por qué la mayoría de matrices no aguantan la revisión

El fallo más común no es técnico. Es de secuencia. El gerente recibe el mapeo del cliente, confía en que la organización de servicios conoce sus propios controles, y empieza a probar. Tres semanas después descubre que lo que el cliente llama "control" es, en muchos casos, una descripción de proceso sin responsable claro, sin momento definido, sin evidencia observable.

La ISAE 3402.32 exige que el auditor obtenga evidencia sobre si los controles fueron efectivos durante el período especificado. En la práctica, eso significa que cada fila de la matriz debe responder a cuatro preguntas antes de que se pruebe nada: qué controla, contra qué objetivo, con qué frecuencia opera y cómo sabemos que operó. Si no se puede responder las cuatro para una fila concreta, esa fila no está lista para prueba.

Un ejemplo del corpus de revisiones: "Revisión de facturas" aparece como control en el 80% de los mapeos que hemos visto. No sirve. "Revisión mensual, por el director financiero, de todas las facturas superiores a 10.000 €, documentada en formulario CF-12 firmado con fecha" sí sirve. La diferencia no es de redacción; es que la segunda versión se puede probar y la primera no.

La ISAE 3402.A47 aclara que los objetivos de control deben relacionarse directamente con aseveraciones en los estados financieros del cliente usuario. Lo que realmente ocurre es distinto. En el 60% de los encargos que revisamos en 2024, los objetivos estaban redactados en términos operativos del proveedor de servicios ("asegurar procesamiento eficiente de nóminas") sin conexión explícita con ninguna aseveración del cliente usuario. El objetivo operativo no es objetivo de control para estos efectos; es un objetivo de gestión interna que puede o no coincidir.

Aquí vive la primera zona gris. La ISAE 3402.A47 no dice "el objetivo debe ser verbatim una aseveración". Dice que debe relacionarse con aseveraciones. Dos socios experimentados pueden discrepar sobre cuánta distancia es aceptable entre el objetivo y la aseveración, y los dos tienen razón según el encargo.

Componentes centrales de una matriz ISAE 3402

La ISAE 3402.38 fija los elementos mínimos de documentación. La matriz debe capturar cada uno. Lo que no fija es cómo evitar que cada fila se convierta en prosa burocrática que nadie revisa en serio.

Descripción del control

Cada control necesita una descripción que permita a otro auditor repetir exactamente la misma prueba sin pedir aclaraciones al equipo. Eso es el test práctico, no el texto de la norma.

La descripción debe incluir: - Quién ejecuta el control (rol específico, nunca nombre propio) - Qué acción concreta se toma - Cuándo ocurre (frecuencia y momento dentro del proceso) - Dónde se documenta la ejecución - Cómo se evidencia la revisión o aprobación

En la práctica, el punto más débil es el "cómo se evidencia". Muchos clientes describen la acción pero no el rastro. Si el control se ejecuta en un sistema que no deja log, o la evidencia es una firma en un formulario que se archiva sin fecha, la prueba posterior se vuelve imposible o solo cosmética.

Objetivo de control relacionado

Los objetivos deben conectarse con aseveraciones de los estados financieros del cliente usuario. La ISAE 3402.A47 ofrece ejemplos de esa conexión. Cada objetivo debe especificar: - Qué riesgo mitiga - Qué aseveración de estados financieros protege - Qué podría salir mal si el control falla

Lo que suele ocurrir: el cliente redacta objetivos que mezclan conformidad regulatoria, eficiencia operativa y protección financiera en una sola frase. Reescribir el objetivo es una de las intervenciones de mayor impacto que hemos aplicado en encargos recientes, porque obliga al cliente a decidir qué está protegiendo realmente cada control.

Frecuencia de prueba

La frecuencia depende de cuántas veces opera el control durante el período. La ISAE 3402.A80 proporciona orientación sobre tamaños de muestra apropiados según la frecuencia de operación.

Criterios de evaluación

Qué es operación efectiva del control. Estos criterios deben ser observables y medibles. "Revisión adecuada" no es un criterio; es una aspiración.

Cómo mapear controles contra objetivos según ISAE 3402.32

El mapeo efectivo empieza antes de mirar la lista de controles del cliente. Empieza con entender qué está tratando de lograr el cliente usuario y qué podría romperse en el camino.

Para cada proceso dentro del alcance hay que identificar los riesgos inherentes. ¿Qué podría salir mal en este proceso que afectaría los estados financieros del cliente usuario? No riesgos operacionales genéricos. Riesgos que impacten aseveraciones específicas: completitud de ingresos, exactitud de gastos, existencia de saldos.

Luego, definir objetivos de control específicos. Cada objetivo debe abordar un riesgo identificado y conectarse con una aseveración. "Asegurar la exactitud de los cálculos de nómina" es demasiado amplio. "Asegurar que los cálculos de horas extras se basen en tasas aprobadas y horas trabajadas autorizadas, afectando la completitud y exactitud de los gastos de personal reportados por clientes usuarios" es específico y enlazable.

Después, mapear controles existentes contra objetivos. Tomar cada control que opera el cliente y determinar si aborda el objetivo declarado. Si un control no se relaciona con un objetivo, no pertenece a la matriz. Aquí aparece la segunda tentación: dejar el control "por si acaso" porque el cliente insiste en que es importante. Marcar la casilla es cómoda pero genera ruido en la muestra y diluye el informe.

La ISAE 3402.A47 enfatiza que este mapeo debe ser lógico y evidente. Un revisor debe poder seguir la conexión entre riesgo, objetivo y control sin explicación adicional. Por lo que conozco, este es el punto donde los socios revisores generan más notas: no porque el mapeo sea imposible, sino porque el equipo no documentó su razonamiento.

Aquí vive la segunda zona gris, y merece una posición propia. En un proveedor de nómina que procesa 450 clientes, ¿hasta dónde hay que descender para que el objetivo sea "específico"? Socio A sostiene que un objetivo por proceso principal (cálculo de nómina, procesamiento de impuestos, transferencias bancarias) es suficiente, porque el informe Tipo 2 se lee a nivel de proceso y descender más genera ruido sin añadir aseguramiento. Socio B sostiene que un objetivo por subproceso con riesgo identificable (cálculo de horas extras, retención de impuestos especiales, aprobación de transferencias superiores a un umbral) es lo que la A47 pide, porque la aseveración afectada difiere en cada caso. Los dos tienen razón según el perfil del cliente usuario y el riesgo residual aceptado.

Frecuencias de prueba que se pueden defender

La frecuencia de prueba debe basarse en la frecuencia de operación del control y su importancia para los objetivos. La ISAE 3402.A80 da orientación específica, pero la norma deja espacio amplio para el juicio profesional.

Para controles que operan diariamente, una muestra representativa del período debe proporcionar evidencia suficiente. Típicamente 25-60 elementos, dependiendo del período cubierto y la confianza requerida.

Para controles mensuales, normalmente se puede probar cada instancia durante un período de seis meses, o una muestra representativa durante doce meses.

Para controles anuales o con menor frecuencia, hay que probar cada instancia del período.

La cuestión decisiva está en documentar el razonamiento. ¿Por qué esa frecuencia y no otra? ¿Cómo se relaciona con la confianza que los clientes usuarios necesitan? El párrafo A80 exige considerar estos factores explícitamente. En nuestra experiencia, las excepciones del ICAC en encargos similares (no los de ISAE 3402 directamente, que el ICAC no supervisa, pero sí los de control interno en auditoría financiera) han surgido siempre del mismo fallo: el tamaño de muestra está, el razonamiento para defenderlo no.

La norma dice que se considere, en términos generales, la combinación de frecuencia, importancia y evidencia previa. En la práctica, lo que se ve en los expedientes es una tabla de tamaños muestrales copiada del manual interno del despacho sin adaptación al encargo. Eso funciona hasta que alguien pregunta por qué este encargo merece el mismo tamaño de muestra que uno con la mitad del volumen. Ahí el papel deja de aguantarlo todo.

Ejemplo práctico: Constructora Mediterránea S.L.

Contexto del cliente: Empresa de servicios de nómina con sede en Valencia que procesa nóminas para 450 empresas clientes con aproximadamente 15.000 empleados. Período del encargo: 1 enero 2024 a 30 junio 2024.

Proceso: Cálculo y procesamiento de nómina quincenal

Riesgo identificado: Cálculos incorrectos de horas extras podrían resultar en gastos de personal incorrectos en los estados financieros de los clientes usuarios

Objetivo de control: Asegurar que los cálculos de horas extras se basen en tasas aprobadas por el cliente y horas trabajadas autorizadas, manteniendo la exactitud de los gastos de personal reportados

Control específico: - Descripción: El supervisor de nómina revisa semanalmente todos los cálculos de horas extras superiores a 200 €, comparando las horas reportadas en el sistema de tiempo contra las aprobaciones de supervisores del cliente documentadas. La revisión se documenta mediante firma en el reporte HE-15 con fecha. - Criterios de evaluación: - Todas las horas extras tienen aprobación de supervisor documentada - Las tasas aplicadas coinciden con las matrices de tasas autorizadas por cliente - Los cálculos matemáticos son correctos - La revisión se documenta dentro de 24 horas del procesamiento - Frecuencia de prueba: 8 semanas durante el período de 6 meses (control opera semanalmente, 26 instancias totales)

Documentación en el papel de trabajo: "Seleccionamos 8 semanas usando muestreo sistemático con inicio aleatorio. Para cada semana seleccionada, revisamos todos los reportes HE-15 y probamos una muestra de 15 cálculos de horas extras por semana (120 elementos totales). Verificamos aprobaciones, tasas y exactitud matemática."

Resultado: El control operó efectivamente en 7 de 8 semanas probadas. Una excepción identificada en la semana del 15 de abril, donde 3 de 15 cálculos carecían de aprobación documentada del supervisor.

Aquí entró la complicación. La primera reacción del equipo fue documentar la excepción, marcar la casilla de "cliente remedió mediante procedimientos compensatorios" y seguir. El socio exigió más. Pidió saber si las 3 semanas anteriores al 15 de abril habían tenido el mismo problema de manera no detectada. Al extender la prueba, aparecieron 2 excepciones adicionales en la semana del 8 de abril que no habíamos encontrado en la muestra original.

Esta es la parte que no se enseña en el manual. El tamaño de muestra era defendible según la A80. La extensión no era obligatoria. Pero la conclusión "el control operó efectivamente con una excepción puntual" era distinta de la conclusión "el control falló en al menos dos semanas consecutivas del mes de abril". La segunda conclusión requirió renegociar el alcance del informe Tipo 2 con el cliente y ajustar el párrafo de modificación.

Conclusión documentada tras la extensión: "Basándose en las pruebas realizadas y en la extensión de alcance ejecutada tras la identificación inicial de excepción, el control no operó efectivamente durante el mes de abril de 2024. El cliente documentó procedimientos compensatorios que mitigan parcialmente la deficiencia, pero insuficientes para concluir efectividad durante el subperíodo."

Socio A habría aceptado la conclusión original sin extensión, argumentando que la muestra estadística no exige extensión tras una excepción y que la modificación del informe por una excepción aislada es desproporcionada. Socio B (el nuestro en este caso) exigió la extensión, argumentando que cuando la excepción afecta a aprobación documental (un control de segregación), la presunción por defecto debe ser buscar más antes de concluir aislamiento. Ambos razonamientos son defendibles. La diferencia cambia la conclusión del informe.

Lista de verificación para una matriz defendible

Use esta lista en cada encargo ISAE 3402 antes de comenzar el trabajo de campo:

1. Descripción completa: Cada control especifica quién, qué, cuándo, dónde y cómo, de manera que permita pruebas replicables por otro auditor.

2. Objetivos conectados: Cada objetivo se relaciona directamente con un riesgo específico y una aseveración de estados financieros identificable en los clientes usuarios.

3. Criterios medibles: Los criterios de evaluación son observables y específicos, no subjetivos ni genéricos.

4. Frecuencias justificadas: La frecuencia de prueba se basa en la frecuencia de operación del control, y está documentada con razonamiento específico (no "según la metodología del despacho").

5. Cobertura completa: Todos los procesos significativos dentro del alcance tienen controles mapeados que abordan los riesgos principales.

6. Conexión con el reporte: Cada control en la matriz se conecta con un control descrito en la sección 4 del reporte Tipo 2.

Errores frecuentes que observan los revisores

Descripciones genéricas. "Se revisan las facturas" no tiene la especificidad necesaria para pruebas consistentes. El revisor busca descripciones que permitan a otro auditor ejecutar exactamente las mismas pruebas.

Objetivos de control desconectados. Objetivos que no se relacionan con aseveraciones de estados financieros, o que son demasiado amplios para ser útiles. La ISAE 3402.A47 exige esta conexión explícita.

Criterios de evaluación subjetivos. Criterios como "revisión adecuada" o "aprobación apropiada" no proporcionan base para evaluar efectividad de manera consistente entre pruebas y entre auditores.

Hay un patrón más profundo detrás de estos tres errores, y es la razón por la que persisten pese a que todos los conocemos. El mercado de ISAE 3402 está dominado por la presión de fecha de informe: el cliente necesita el Tipo 2 para sus propios auditores antes del cierre del año, y un rechazo o una modificación del informe tiene consecuencias comerciales directas. Bajo esa presión, la tentación de sacar adelante con lo que hay (aceptar el mapeo del cliente, reducir el análisis de riesgos, tomar las frecuencias del manual) es constante. La matriz construida al inicio es la única defensa estructural contra esa presión, porque obliga a documentar el razonamiento antes de que la fecha de informe convierta cada decisión en urgencia.

Contenido relacionado

- Glosario: Objetivo de control ISAE 3402 - La definición técnica y los requisitos de documentación según el párrafo A47

- Herramienta: Calculadora de tamaños de muestra ISAE 3402 - Para determinar frecuencias de prueba estadísticamente defendibles

- Guía: Documentación de excepciones en encargos ISAE 3402 - Cómo manejar las deficiencias identificadas durante las pruebas de controles

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.