Saltar al contenido
Neuroon AuditNeuroon Audit
NIA-ES 402·Servicios suministrados por tercerosPlanificación y riesgos

NIA-ES 402: organizaciones de servicios

Regula cómo el auditor de la entidad usuaria obtiene comprensión y evidencia cuando partes relevantes de los procesos están externalizadas.

Solicitar demo · 30 min← Volver al hub NIA-ES
Norma
NIA-ES 402
Fase del encargo
Planificación
Aspectos clave
5
Estado en BOE
Vigente · 2026
Resumen operativo

¿Qué es la NIA-ES 402 y por qué importa?

La NIA-ES 402 regula la actuación del auditor cuando la entidad auditada utiliza una organización de servicios para procesos relevantes (nómina externalizada, gestor de inversiones, plataforma cloud que procesa transacciones). La norma exige comprender los servicios prestados, su efecto sobre el control interno de la entidad usuaria y los riesgos asociados. Para obtener evidencia sobre los controles del servicio el auditor puede utilizar informes específicos emitidos por el auditor del proveedor (ISAE 3402 tipo 1 o tipo 2), realizar procedimientos directamente sobre el proveedor con su consentimiento, o aplicar procedimientos sustantivos completos sin apoyarse en sus controles. La elección depende del nivel de control externalizado y del riesgo asociado al servicio.

Aspectos clave

Los puntos centrales de la NIA-ES 402

  1. 01Comprensión de los servicios externalizados y su efecto sobre el control interno.
  2. 02Uso de informes ISAE 3402 tipo 1 (diseño) o tipo 2 (operatividad) del proveedor.
  3. 03Posibilidad de procedimientos directos sobre el proveedor con su consentimiento.
  4. 04Alternativa: procedimientos sustantivos completos sin apoyo en controles externalizados.
  5. 05Evaluación del informe del auditor del proveedor: competencia, alcance y conclusiones.
Consideraciones del auditor

Lo que el auditor debe tener en cuenta

Aspectos operativos que el equipo del encargo debe interiorizar al planificar y ejecutar el trabajo sobre la NIA-ES 402.

  • Identificar los servicios externalizados materiales y comprender su efecto sobre el control interno.
  • Decidir la estrategia: usar informes ISAE 3402, procedimientos directos o sustantivos completos.
  • Si se usan informes ISAE 3402, evaluar la competencia del auditor del proveedor, alcance y conclusiones.
  • Si se aplican procedimientos directos, obtener consentimiento del proveedor antes de actuar.
  • Documentar la estrategia elegida y la evidencia obtenida sobre los controles externalizados.
Errores típicos

Lo que no debe obviar

Patrones detectados en peer review e inspecciones del ICAC. Conocerlos por adelantado reduce el riesgo de hallazgos en revisión de calidad.

  • Ignorar los procesos externalizados materiales (nómina, gestión de inversiones, sistemas críticos).
  • Aceptar informes ISAE 3402 sin evaluar competencia del auditor emisor y alcance del trabajo.
  • Asumir que el proveedor tiene controles efectivos sin evidencia documental sobre su operatividad.
  • No considerar el tipo (1 o 2) del informe ISAE 3402 al evaluar la evidencia que aporta.
Preguntas habituales

Dudas concretas sobre la NIA-ES 402

¿Qué es la NIA-ES 402 en una frase?

La NIA-ES 402 regula la actuación del auditor cuando la entidad auditada utiliza una organización de servicios para procesos relevantes (nómina externalizada, gestor de inversiones, plataforma cloud que procesa transacciones). La norma exige comprender los servicios prestados, su efecto sobre el control interno de la entidad usuaria y los riesgos asociados. Para obtener evidencia sobre los controles del servicio el auditor puede utilizar informes específicos emitidos por el auditor del proveedor (ISAE 3402 tipo 1 o tipo 2), realizar procedimientos directamente sobre el proveedor con su consentimiento, o aplicar procedimientos sustantivos completos sin apoyarse en sus controles. La elección depende del nivel de control externalizado y del riesgo asociado al servicio.

¿Por qué la NIA-ES 402 es relevante en una auditoría española?

La NIA-ES 402 forma parte de las NIA-ES adaptadas a España por el ICAC. Toda auditoría de cuentas anuales en territorio español debe aplicarla cuando concurren los supuestos previstos por la norma. Su correcta aplicación es objeto de revisión en las inspecciones del ICAC y en los procesos de control de calidad de las firmas.

¿Cuáles son los errores más frecuentes al aplicar la NIA-ES 402?

Ignorar los procesos externalizados materiales (nómina, gestión de inversiones, sistemas críticos). Aceptar informes ISAE 3402 sin evaluar competencia del auditor emisor y alcance del trabajo. Asumir que el proveedor tiene controles efectivos sin evidencia documental sobre su operatividad. No considerar el tipo (1 o 2) del informe ISAE 3402 al evaluar la evidencia que aporta.

Otras NIA-ES

Las que aplican junto a esta

Demo personalizada

Cómo aplicar la NIA-ES 402 a tu cartera de encargos

Demo de 30 minutos con un caso real de tu firma. Sin guion preestablecido.

Solicitar demo · 30 minVolver al hub NIA-ES

Te respondemos en un plazo aproximado de veinticuatro horas hábiles.