Acerca de las normas internacionales de trabajos para atestiguar (ISAE): su impacto actual y futuro en Colombia y la experiencia en España

Revista Nº 67 Jul. - Sep. 2016

Manuel Rejón López 

(España) 

CREA-SSET auditores y consultores Profesor del máster de Auditoría de la Universidad de Granada

Resumen

La adopción de las Normas de Aseguramiento de la Información (NAI) en Colombia está suscitando una serie de interrogantes que necesitan respuesta. Uno de ellos es la adopción de las ISAE, “en la evaluación del control interno y del cumplimiento de las disposiciones estatutarias y de la asamblea o juntas de socios”. Este artículo trata de resolver la duda sobre qué normas o partes de las ISAE aplican y cuál es su importancia. También se analizará su aplicación en España.

Palabras clave:

Control interno; ICJCE; ISAE; NAI; NIA; REA+REGA

Introducción

Dentro de las Normas de Aseguramiento de la Información (NAI) adoptadas por Colombia a través del Decreto 302 del 20 de febrero del 2015, normativa que fue compilada en la parte 2 del libro 1 del Decreto Único Reglamentario, DUR 2420 del 2015, y fruto de varias modificaciones al respecto de las NAI, mediante el Decreto Reglamentario 2496 de ese mismo año, hay una serie de normas que no se asocian específicamente con una auditoría de cuentas pero sí con trabajos de atestiguamiento y revisión limitada.

Entre ellas, vamos a destacar el bloque de Normas Internacionales de Trabajos para Atestiguar (más conocidas por sus siglas en inglés como ISAE), entre las que destaca la “ISAE 3402 - Informes que proporcionan un grado de seguridad sobre los controles en una organización de servicios”, puesto que ha sido objeto de mención específica en la normativa colombiana, concretamente en el artículo 11 del ya mencionado Decreto 2496, por medio del cual se modifica el numeral 2º del artículo 2.1.2 del libro 2 del DUR 2420 del 2015. En ese sentido se indica en la norma comentada que:

“(…). Los revisores fiscales que presten sus servicios a los preparadores de información financiera pertenecientes al grupo 1 que sean emisores de valores o entidades de interés público, en cumplimiento de lo señalado en el numeral 1º del artículo 1.2.1.2 del mencionado Decreto 2420 del 2015, aplicarán las ISAE en la evaluación del control interno y del cumplimiento de las disposiciones estatutarias y de la asamblea o junta de socios para los trabajos que inicien a partir del 1º de enero de 2016”.

Por tanto, en el caso de los trabajos de auditoría de las grandes corporaciones colombianas, se debe aplicar la ISAE 3402, y hacerlo en los trabajos de auditoría que comiencen desde principios del año 2016, es decir, que ya se deberían estar aplicando dichas normas. En líneas generales, esta adopción no ha debido tomar por sorpresa a las Big Four y otras importantes firmas de auditoría, habituadas a utilizar dicha norma en los mencionados procedimientos de revisión en su trabajo.

Por el contrario, para entidades con menor importancia pública se admite la aplicación de las ISAE para la evaluación del control interno a partir del 1º de enero del 2017, aunque se permite la aplicación anticipada de manera voluntaria. El literal de la norma expresa lo siguiente:

“Los revisores fiscales que presten sus servicios a entidades distintas de las anteriores y que pertenezcan o se asimilen al grupo 1, o que perteneciendo o asimilándose al grupo 2 tengan más de 30.000 salarios mínimos mensuales legales vigentes de activos o más de 200 trabajadores, aplicarán los ISAE para la evaluación del control interno del cumplimiento de las disposiciones estatutarias y de la asamblea o junta de socios para los trabajos que inicien a partir del 1º de enero de 2017, pero se permite de manera voluntaria su aplicación anticipada”.

1. Las Normas Internacionales de Trabajos para Atestiguar (ISAE) y la evaluación del control interno

Llama la atención la expresión “aplicarán los ISAE en la evaluación del control interno y del cumplimiento de las disposiciones estatutarias y de la asamblea o junta de socios…” Por lo tanto, a continuación se procede a analizar la importancia de la evaluación del control interno en las normas referenciadas por el Decreto 2496, es decir, las ya mencionadas ISAE, las cuales se encuentran en el anexo 4 del DUR 2420 del 2015 y que son:

— ISAE 3000 - Trabajos para atestiguar distintos de auditoría o revisiones de información financiera histórica.

— ISAE 3400 - Examen de información financiera prospectiva.

— ISAE 3402 - Informes que proporcionan un grado de seguridad sobre los controles en una organización de servicios.

A continuación se realizará una breve descripción de los puntos más importantes de cada una de las normas ISAE mencionadas.

La ISAE 3000 establece principios y procedimientos esenciales para dar orientaciones a los contadores públicos a la hora de realizar trabajos para atestiguar que no sean auditorías o revisión de información financiera histórica cubiertos por las NIA o las Normas Internacionales de Trabajos de Revisión.

Por ejemplo, dada la creciente demanda de información sobre aspectos sociales y medioambientales de la información emitida en memorias de sostenibilidad o responsabilidad social corporativa (RSC), donde se informa respecto de aspectos cualitativos y cuantitativos sobre compromisos, políticas, actividades y KPI (indicadores clave del desempeño, por sus siglas en inglés) con objeto de contribuir al desarrollo sostenible, se hace necesaria la emisión de informes de aseguramiento de información conforme a un estándar.

Para dar una ilustración de lo indicado anteriormente, observemos en el siguiente caso el informe de revisión independiente del informe de responsabilidad social corporativa de Abengoa(1) del ejercicio 2014, en el apartado “Nuestra responsabilidad”, se menciona que:

“Nuestra responsabilidad es emitir un informe independiente de aseguramiento razonable basándonos en el trabajo que hemos realizado de acuerdo con las directrices establecidas en la Norma ISAE 3000 […] para un nivel de aseguramiento razonable. Asimismo, hemos realizado nuestro encargo de acuerdo con la Norma AA1000 Assurance Standard 2008 de AccountAbility, bajo un encargo de aseguramiento alto Tipo 2, que se corresponde con un aseguramiento razonable según la ISAE 3000.

Como vemos, hay claras referencias a la ISAE 3000. Sin embargo, aunque esta norma hace mención a los sistemas de control interno, en lo referente a la información no financiera, la normalización en materia de aseguramiento está en una fase todavía muy inicial, pues el problema principal estriba en que el marco de información no financiera que debería ser auditado no está unificado todavía, aunque haya esfuerzos evidentes.

Respecto de la ISAE 3400, el objeto de dicha norma es dar reglas y orientaciones para encargos consistentes en examinar e informar sobre información financiera prospectiva, la cual puede incluir estados financieros completos o uno o más componentes de los mismos, que se podrán preparar ya sea como una herramienta interna para la gestión, o bien para su distribución a terceros, por ejemplo para captación de inversores.

Será la dirección de la entidad la responsable de la preparación de la información financiera prospectiva. En este caso, las referencias al control interno también son escasas. Concretamente, se menciona que el auditor se debe familiarizar con los procesos utilizados por la entidad para preparar la información financiera prospectiva.

Ello nos lleva a pensar que, inevitablemente, el Decreto 2496 del 2015, para las entidades sujetas del marco de aseguramiento de la información en Colombia, hace prácticamente referencia directa a la ISAE 3402, norma que pone en su punto de mira en el control interno de la organización proveedora de servicios (outsourcing) a la entidad auditada principal. Dicho proveedor de servicios puede efectuar operaciones cuyo efecto en los estados financieros sea determinante.

Por lo tanto, tal y como mencionan Bausá y Luque (2013), al planificar una auditoría sobre los estados financieros del cliente, los auditores pueden realizar los procedimientos de revisión del control interno en la organización que presta los servicios de outsourcing o basarse en el informe de otro auditor, pero para dichas empresas de outsourcing es una carga adicional importante atender a los requerimientos de los auditores de cada uno de sus clientes.

Por el contrario, si la empresa de outsourcing tiene un auditor propio que emite un informe sobre el control interno relacionado con el servicio prestado, ello puede asegurar que todos sus clientes y los auditores de los mismos tengan acceso a la misma información, lo que podría ser suficiente para satisfacer las necesidades de los auditores de las organizaciones cliente.

Sin embargo, aunque es normal que se aplique la ISAE 3402 en la evaluación del control interno, en el Decreto 2496 del 2015 ello se concatena con la verificación del cumplimiento de las disposiciones estatutarias y de la asamblea o juntas de socios. Es decir, la aplicación de las ISAE no se limitará al análisis del control interno, sino que también se efectuarán tareas de evaluación y comprobación del cumplimiento normativo interno de la empresa. Esta matización de la norma colombiana es importante pues pone el foco en el cumplimiento de los acuerdos de los órganos sociales de la empresa. En cierta forma, quizá significa ir más allá de lo requerido por las ISAE, lo cual no tiene por qué ser malo, aunque en este punto merece la pena aportar un punto de vista crítico que a continuación se desarrolla.

En este sentido, hay que poner un hito de reflexión sobre el trabajo del auditor y su extensión, y si el legislador ha reparado en ello. Dicho de otro modo, no es lo mismo la emisión de un informe tipo 1/tipo 2, que un informe que, además, haga mención a aspectos relacionados con el cumplimiento normativo interno de la empresa, que van más allá del objetivo de las ISAE y que podría incrementar sustancialmente el trabajo de aseguramiento presupuestado. Podrá haber acuerdos de la empresa, no cabe la menor duda, cuyo cumplimiento determina una mejora en el control interno de los procesos de prestación de servicios a los clientes.

Por otro lado, dado que la finalidad de los informes emitidos bajo ISAE 3402 es que los clientes de las empresas de outsourcing obtengan una mayor seguridad acerca de los servicios contratados (tanto ellos como sus auditores), se podría dudar de la utilidad de informar acerca de cumplimiento normativo interno de la empresa de outsourcing a sus clientes, quizá porque no sea de interés.

2. Análisis del contenido de la ISAE 3402

El origen de estas normas de aseguramiento está en la SAS Nº 70 emitida por el AICPA (Instituto Americano de Contadores Públicos Certificados), cuya finalidad es regular cómo revisar el control interno en las entidades de outsourcing. Posteriormente, el IAASB en el 2009 emitió la ISAE 3402, que fue adoptada en Estados Unidos como SSAE Nº 16, de forma que la SAS Nº 70 ha sido sustituida por dicha norma.

La ISAE 3402 trata de los encargos que proporcionan un grado de seguridad, realizados por profesionales de la contabilidad, cuya finalidad es proporcionar un informe, que se utilizará por las entidades usuarias y sus auditores, sobre los controles en una organización de servicios que presta un determinado servicio, que puede ser relevante para el control interno de las entidades usuarias de ese tipo de servicios (como ya se mencionó anteriormente corresponde al servicio de outsourcing, como por ejemplo de tipo contable, una entidad que se encarga del proceso contable de otra entidad).

En este sentido, la ISAE 3402 es el complemento adecuado a la NIA 402 - Consideraciones de auditoría relativas a una entidad que utiliza una organización de servicios, en el que se menciona el trabajo de auditoría desde el punto de vista del auditor del cliente de la organización de servicios. De esta forma, cuando el auditor del cliente reciba los informes tipo 1 o tipo 2 —emitidos bajo ISAE 3402 que veremos más adelante— de la organización de servicios, ello le servirá para planificar y diseñar los procedimientos de auditoría de cuentas.

En la figura 1 podemos ver de forma más gráfica cómo se aplica la ISAE 3402.

A modo de ejemplo:

— XXX S.A. es el cliente final, siendo su auditor Auditores del Sur.

— Contadores S.A. presta el servicio de outsourcing contable a XXX S.A. (cliente final).

— El auditor de Contadores S.A. es Auditores del Norte.

— Auditores del Norte, aplicando la ISAE 3402, emitirá un informe de atestiguamiento, sobre el control interno de Contadores S.A., que dará soporte a la evidencia para obtener por parte de Auditores del Sur respecto de la auditoría bajo NIA 402 que realiza a XXX S.A.

FIGURA PAGINA 77
 

Fuente: Adaptado de REJÓN para la obra Explicado NAI de LEGIS EDITORES S.A.

La ISAE 3402 es aplicable cuando la organización de servicios es responsable de que los controles estén adecuadamente diseñados, o cuando pueda realizar una afirmación sobre dicho diseño.

En este sentido, los objetivos del auditor del servicio serán:

a) Obtener una seguridad razonable, en todos los aspectos materiales, sobre la base de criterios apropiados:

i) Que la descripción presenta fielmente el sistema.

ii) Que los controles de los objetivos de control indicados en la descripción estaban adecuadamente diseñados durante el periodo especificado.

iii) Cuando se incluya en el alcance del encargo, que los controles funcionaron eficazmente para proporcionar una seguridad razonable de que los objetivos de control de la descripción se alcanzaron a lo largo del periodo especificado.

b) Informar sobre las cuestiones descritas en a) de acuerdo con sus hallazgos.

2.1.Requerimientos de la ISAE 3402 

En relación con las obligaciones para el auditor de la organización de servicios, hay muchos aspectos relevantes a comentar. Respecto de la aceptación/continuidad, antes de aceptar el encargo, el auditor de la organización de servicios debe resolver los siguientes interrogantes:

• Si tiene la capacidad y competencia necesarias.

• Si los criterios que serán aplicados por la organización de servicios para describir su sistema serán adecuados.

• Si el alcance del encargo y la descripción de su sistema no serán tan limitados que probablemente no sean útiles para las entidades usuarias ni sus auditores.

Además, dicho auditor deberá obtener confirmación de la dirección de la organización de servicios de que esta reconoce sus responsabilidades respecto:

• De preparar la descripción de su sistema.

• De disponer de una base razonable para la afirmación de la organización de servicios que acompaña a la descripción de su sistema.

• De indicar en la descripción de su sistema los objetivos de control, y si estos han sido establecidos por terceros.

• De identificar los riesgos para la consecución de los objetivos de control descritos.

• De proporcionar al auditor del servicio la información necesaria para realizar su trabajo.

En relación con los tipos de informes que emite el auditor del servicio, el auditor de la organización de servicios puede efectuar dos tipos de informes:

— Tipo 1, en el que dicho auditor de servicios informa acerca de la objetividad en la descripción del sistema de control interno, hecha por la administración de la organización de servicios; así como sobre la suficiencia solo en el diseño de los controles para alcanzar los objetivos de control descritos, para una fecha específica.

— Tipo 2, que es más completo que el tipo 1, en el que el auditor de la entidad de servicios informa, además de lo expuesto en el tipo 1, de la eficacia en la operación de los controles, para alcanzar los objetivos de control descritos, durante un período de tiempo específico.

Con dicho informe, el auditor del cliente de dicha organización, efectuando su trabajo bajo la NIA 402(2), obtendrá del auditor de la organización de servicios un informe que será muy importante como parte de evidencia obtenida.

Además, el auditor de la entidad de outsourcing debe evaluar si la organización de servicios ha utilizado criterios adecuados para:

• Describir adecuadamente el sistema.

• La evaluación de que los controles están adecuadamente diseñados.

• En caso de un informe de tipo 2, definido anteriormente, la evaluación de si los controles están funcionando eficazmente.

Al menos se deberá:

a) Examinar si la organización de servicios ha identificado los riesgos que existen para consecución de los objetivos de control indicados en la descripción.

b) Comprobar si los controles identificados funcionan correctamente y proporcionarán una seguridad razonable respecto de los objetivos de control.

No demos olvidar la materialidad, que también debe ser considerada por el auditor del servicio.

2.2.Obtención de conocimiento del sistema de la organización de servicios 

La obtención de conocimiento del sistema de la organización de servicios, así como otros controles comprendidos en el alcance, pueden facilitar cuestiones como:

• La identificación de los límites de dicho sistema.

• La evaluación de si los sistemas fueron eficazmente diseñados.

• La evaluación de si la descripción realizada por la organización de servicios presenta fielmente el sistema.

Entre los procedimientos que puede realizar el auditor del servicio para obtener dicho conocimientos está, por ejemplo, observar operaciones e inspeccionar documentos.

Respecto de la obtención de evidencia, en la tabla 1 se clasifican en tres clases: evidencia sobre la descripción, sobre el diseño de los controles, y sobre la eficacia operativa de los controles.

TABLA PAG 77
 

Fuente: Elaboración propia.

En relación con la muestra que se va a tomar, el auditor del servicio deberá efectuar su trabajo, conforme a la figura 2 que a continuación se expone:

IMAGEN PAG 77
 

Fuente: Elaboración propia.

En el caso de detectarse desviaciones por las pruebas de auditoría, se investigará la naturaleza y la causa de cualquier desviación identificada. En caso de detectarse anomalías, el auditor del servicio obtendrá una alta seguridad de que dicha desviación no es representativa de la muestra.

Por su parte, si la organización de servicios cuenta con un departamento de auditoría interna, ello podría ser determinante en el diseño de pruebas del auditor del servicio.

Por ello, lo primero es obtener conocimiento de las responsabilidades de la función de auditoría interna para concluir si esta es relevante para el encargo.

2.3.Determinación de la utilización del trabajo de los auditores internos y de la extensión de dicha utilización 

El auditor de la organización de outsourcing debe contestar a los siguientes interrogantes:

a) ¿El trabajo de los auditores internos puede ser adecuado para los fines del encargo? Para ello evaluará la objetividad y la competencia técnica de dicho departamento.

b) En caso afirmativo de a), ¿cuál es el efecto del trabajo de tales auditores internos en el trabajo del auditor de la organización de outsourcing (naturaleza, momento y extensión)?

El trabajo de los auditores internos, ya sea bueno o malo, no exonera de responsabilidad al auditor de la empresa de servicios.

2.4.Obtención de manifestaciones escritas 

El auditor del servicio solicitará manifestaciones escritas a la organización de servicios con tres finalidades principales:

a) Confirmar las afirmaciones que acompañan a la descripción del sistema.

b) Reafirmar que se ha proporcionado toda la información relevante y el acceso a ella.

c) Ratificar que se ha revelado al auditor del servicio el incumplimiento de disposiciones legales, deficiencias de diseño en controles, casos en los que los controles no han funcionado o cualquier hecho posterior al periodo cubierto por la descripción de su sistema.

La fecha de dichas manifestaciones será tan próxima como sea posible a la fecha del informe del auditor, pero nunca posterior a este.

2.5.Preparación del informe del auditor del servicio 

El contenido del informe será conforme a lo expuesto en la siguiente tabla:

TABLA PAG 79
 

Fuente: Elaboración propia.

Opinión modificada

Se producirá una opinión modificada en los siguientes casos:

a) La descripción realizada por la organización de servicios no presenta fielmente el sistema.

b) Los controles relacionados con los objetivos de control indicados en la descripción no estaban adecuadamente diseñados.

c) En caso de informes de tipo 2, los controles que se probaron no funcionaron eficazmente.

d) El auditor del servicio no puede obtener evidencia adecuada y suficiente.

En tales circunstancias, se expresará una opinión modificada en el informe, incluyéndose una descripción detallada de los motivos que llevaron a ella.

3. La aplicación de las ISAE en España

En España son de aplicación obligatoria únicamente las Normas Internacionales de Auditoría adaptadas para España (denominadas NIA-ES), que difieren de las NIA tras la revisión de la IFAC publicada en marzo del 2015(3), relacionada con el nuevo informe de auditoría.

Las normas de ética y calidad han sido incorporadas a través de la Ley de Auditoría de Cuentas (L. 22/2015, de 20 de julio) y del reglamento de auditoría de cuentas que la desarrolla (actualmente en fase de revisión para actualizarse a la Ley de Auditoría de Cuentas anteriormente mencionada). No obstante, en España se usa una norma de calidad similar a la NICC, recogida en la Resolución de 26 de octubre del 2011 del Instituto de Contabilidad y Auditoría de Cuentas, por la que se publica la Norma de Control Calidad Interno de los auditores de cuentas y sociedades de auditoría(4).

Respecto de normas con menor nivel de aseguramiento como son las Normas Internacionales de Trabajos de Revisión (NITR), las Normas Internacionales de Trabajos para Atestiguar (ISAE, por sus siglas en inglés) y las Normas Internacionales de Servicios Relacionados (NISR), debemos decir que no son de aplicación obligatoria en España, pero en el fondo sí se aplican, a través de los desarrollos normativos de los colegios profesionales. Ahora veremos cómo se lleva a cabo.

En España, la profesión de auditoría de cuentas no está aglutinada en un único colectivo profesional, sino que hay dos, digamos, colegios profesionales:

— El Instituto de Censores Jurados de Cuentas de España (ICJCE), creado en 1942, que agrupa a los censores jurados(5) de cuentas de España y a las sociedades de auditoría de cuentas constituidas de acuerdo con las reglas previstas legalmente.

— El Registro de Economistas Auditores (REA+REGA(6)) que es un órgano especializado del Consejo General de Economistas, creado en 1982 para impulsar la renovación de la auditoría de cuentas en España.

En España, casi la totalidad de los auditores y sociedades de auditoría pertenecen a una de las dos corporaciones (incluso en algunos casos, están inscritos en ambas por apego a ambas instituciones).

Entre las funciones que tienen las corporaciones están, por ejemplo, la publicación de guías de actuación en aquellos casos donde la legislación vigente de los órganos estatales de control de la profesión, que es el Instituto de Contabilidad y Auditoría de Cuentas de España (ICAC), no alcanzan.

Por ejemplo, el ICJCE, ha publicado la Guía de Actuación 18R “Guía para Trabajos de Revisión Limitada”, basada en las Normas Internacionales de Revisión o ISRE 2400 y 2410. El motivo de actuar de esta forma por parte del ICJCE es el siguiente: ante la demanda de trabajos de revisiones limitadas de información financiera en diferentes ámbitos al auditor de cuentas de la entidad y en ausencia de una norma técnica española específica para la realización de este tipo de trabajos, la comisión técnica del ICJCE recoge en dicha guía ciertas recomendaciones para la prestación de estos servicios, facilitando una norma de referencia y unos modelos de informe para la realización de este tipo de encargos, así como determinadas recomendaciones para su ejecución. De este modo, el auditor deberá considerar lo establecido en la guía así como el contenido de las Normas Internacionales de Revisión, ISRE 2410 y 2400. Dicho de otro modo, se aplica la norma internacional con ciertas adaptaciones locales para España, adaptaciones que no olvidemos, son recomendaciones.

El ICJCE y el REA+REGA emitieron en el 2013 una importante guía denominada “Guía de Actuación y modelo de Informe del auditor referidos a la información relativa al Sistema de Control Interno sobre la Información Financiera (SCIIF) de las entidades cotizadas”, cuyo objeto es el establecimiento de un marco mínimo en relación con la realización de trabajos por parte de auditores de cuentas sobre la descripción del SCIIF. Pues bien, en dicha guía se menciona la ISAE 3000, así como la Auditing Standard 5 “An audit of internal control over financial reporting that is integrated with an audit of financial statements” emitido por el Public Company Oversight Board (PCAOB) de conformidad con el sistema establecido por la Ley Sarbanes-Oxley (SOX), como normas de referencia.

Conclusiones

La adopción de las Normas de Aseguramiento de la Información (NAI) en Colombia están suponiendo un importante esfuerzo formativo y de asimilación, sobre todo por parte de las pequeñas y medianas firmas de auditoría y revisoría fiscal. Las denominadas Big Four y otras firmas grandes y medianas, por el contrario, conocen bien desde hace años la aplicación de este nuevo paquete normativo. El requerir que la adopción de las ISAE y, más concretamente, la ISAE 3402 esté dirigida para empresas en las que los clientes y sus prestadores de servicios son de dimensiones elevadas, exige un control interno bien diseñado. Algo que parece lógico, por cuanto que al aplicarse la NIA 402, es coherente que la norma en la que se apoyan los informes tipo 1 y tipo 2, la ISAE 3402, también se aplique. En buena lógica, aquellas entidades que no sean usuarias de los servicios de outsourcing no requerirán este tipo de informes tipo 1 y tipo 2, dado que ninguno de los principales ciclos de control interno está externalizado. Por otro lado, podría resultar innecesario, de acuerdo con los requerimientos de la ISAE 3402, el establecimiento de verificaciones adicionales relacionadas con el cumplimiento normativo interno de la empresa (estatutos y acuerdos de asambleas y juntas), si ello no afecta a los ciclos de control interno objeto de la ISAE mencionada.

Bibliografía

INSTITUTO DE CENSORES JURADOS DE CUENTAS DE ESPAÑA Y REGISTRO DE ECONOMISTAS AUDITORES (2013) “Guía de Actuación y modelo de Informe del auditor referidos a la información relativa al Sistema de Control Interno sobre la Información Financiera de las entidades cotizadas”, disponible en: www.icjce.es

INTERNATIONAL FEDERATION OF ACCOUNTANTS (IFAC) “ISAE 3402 - Informes que proporcionan un grado de seguridad sobre los controles en una organización de servicios”.

INTERNATIONAL FEDERATION OF ACCOUNTANTS (IFAC) “Norma Internacional de Auditoría 402 - Consideraciones de auditoría relativas a una entidad que utiliza una organización de servicios”.

LUQUE, J. y BAUSÁ, C. (2013) “El informe sobre los controles en empresas de servicios: ISAE 3402”, Auditoría interna: publicación periódica del Instituto de Auditores Internos de España, ISSN 1137-3911, (29, 104) 32-35.

REJÓN M. (2016) “Explicado NAI”. LEGIS EDITORES S.A. Disponible en: http://www.tiendalegis.com/Libreria/internet/nai-integral-y-de-la-profesion-contable-internet.asp

(1) Empresa española que, actualmente, está pasando por serias dificultades financieras. Disponible en: http://www.abengoa.es/export/sites/abengoa_corp/resources/pdf/gobierno_corporativo/informes_anuales/2014/Tomo2/2014_Tomo2_IA_15.pdf

(2) NIA 402 - Consideraciones de auditoría relativas a una entidad que utiliza una organización de servicios.

(3) Ver en la web de la IFAC: http://www.iaasb.org/new-auditors-report

(4) Ver en: http://www.icac.meh.es/Temp/201605080128 39.PDF

(5) Término, quizás un poco anacrónico, con el que también se denomina a los auditores de cuentas en España, aunque muy poco usado.

(6) El Registro General de Auditores (REGA), que era la tercera corporación que había en España, está fusionado con el REA en la actualidad, de ahí las siglas REA+REGA.