RESUMEN: ¿Cómo aplicar la ISAE 3000 en los encargos de aseguramiento no financiero? Esta norma se ha consolidado como el estándar central para el aseguramiento de información no financiera en Colombia, en especial para la evaluación de cumplimiento normativo, sostenibilidad, control interno y reportes de gobernanza. Esta norma, incorporada al marco técnico nacional mediante el Decreto 302 de 2015, define los lineamientos que deben seguir los contadores públicos cuando desarrollan encargos que no corresponden a auditorías de información financiera histórica.
En los últimos años, el Consejo Técnico de la Contaduría Pública ha emitido orientaciones —incluido el Concepto 016 de 2022— que refuerzan la necesidad de aplicar la ISAE 3000 en empresas de mayor complejidad y en encargos relacionados con riesgos legales, operativos o reputacionales.
La ISAE 3000 (revisada) es el estándar internacional que regula los encargos de aseguramiento distintos de la auditoría o revisión de información financiera histórica. Su adopción en Colombia deriva del artículo 8 del Decreto 302 de 2015, que establece que todos los encargos de aseguramiento no cubiertos por NIA deben ejecutarse conforme a este estándar.
El marco exige al profesional:
- Elaborar un acuerdo por escrito, obligatorio, que defina:
- alcance del encargo
- responsabilidades
- el tema sujeto a aseguramiento
- los criterios aplicables
- Garantizar independencia y competencia técnica.
- Diseñar una planeación basada en materialidad, riesgos y necesidades de los usuarios del informe.
- Obtener evidencia suficiente y adecuada mediante inspección, entrevistas, verificación documental, observación, confirmaciones o re-ejecución.
- Emitir un informe que identifique claramente el asunto evaluado, los criterios utilizados y el tipo de seguridad ofrecida (razonable o limitada).
El CTCP, a través de orientaciones como el Concepto 016 de 2022, ha reiterado que el incumplimiento del acuerdo escrito o la falta de evidencia estructurada constituye una falla grave en el aseguramiento.
¿A quiénes aplica la norma y cuáles son los efectos prácticos?
El estándar aplica en función de la naturaleza de la entidad y del tipo de encargo:
- Grupo 1 (NIIF plenas): Su aplicación es obligatoria en encargos de cumplimiento y control interno.
- Grupo 2 grandes: También obligatoria cuando existen riesgos relevantes o exigencias regulatorias.
- Grupo 2 pequeñas: No obligatoria, aunque útil para encargos especiales o por acuerdo contractual.
- Encargos sectoriales (ESG, due diligence, riesgos operativos, gobernanza): Se activa por solicitud específica del cliente o por requerimientos de terceros.
Impactos prácticos para las organizaciones:
- El informe de aseguramiento debe emitirse de forma independiente y diferenciada del dictamen financiero.
- Las empresas deben preparar documentación suficiente para soportar procesos de cumplimiento, sostenibilidad o control interno.
- El revisor fiscal no puede limitarse a revisar documentos; la ISAE 3000 exige procedimientos diseñados al riesgo, con trazabilidad de la evidencia.
Ejemplo aplicable:
Si una empresa desea certificar que sus procesos cumplen con normativa sectorial sobre protección de datos o seguridad de la información, el profesional debe aplicar la ISAE 3000 para evaluar diseño, implementación y eficacia de controles, y su informe debe reflejar claramente el grado de seguridad otorgado.
Recomendaciones para el cumplimiento adecuado del estándar
Para garantizar un encargo de aseguramiento sólido y alineado al marco técnico:
- Formalizar un acuerdo escrito antes de iniciar, definiendo criterios y metas verificables.
- Determinar si el encargo exige seguridad razonable (mayor evidencia) o seguridad limitada (procedimientos reducidos).
- Documentar toda la evidencia con enfoque de trazabilidad.
- Utilizar criterios aceptables: ley, norma sectorial, estándar técnico o política interna validada.
- Incluir todos los elementos obligatorios del informe de aseguramiento.
- Mantener independencia, revelar amenazas y documentar salvaguardas.
Ver a continuación artículo sobre: ¿Cómo aplicar la ISAE 3000 en los encargos de aseguramiento no financiero?
¿QUÉ ES LA ISAE 3000 Y POR QUÉ ES RELEVANTE?
La Norma Internacional de Encargos de Aseguramiento (ISAE) 3000, también conocida en Colombia como NIEA 3000, es el estándar global que regula los encargos de aseguramiento distintos de la auditoría o revisión de información financiera histórica.
A diferencia de las Normas Internacionales de Auditoría (NIA), que se enfocan en estados financieros pasados, la ISAE 3000 permite a los contadores públicos emitir opiniones con grado de seguridad (razonable o limitado) sobre temas como:
- Cumplimiento normativo
- Sostenibilidad ESG
- Informes de gobernanza
- Controles internos no financieros
- Indicadores de desempeño no financieros (KPIs)
El marco legal en Colombia, lo comprende el artículo 8 del Decreto 302 de 2015 (Por el cual se reglamenta la Ley 1314 de 2009 sobre el marco técnico normativo para las normas de aseguramiento de la información), el cual establece que los encargos de aseguramiento no cubiertos por NIA deben regirse por la ISAE 3000, especialmente en la evaluación del cumplimiento legal y control interno de entidades del Grupo 1 y grandes del Grupo 2.
¿Cuáles son fases críticas de un encargo bajo ISAE 3000?
La ISAE 3000 (revisada) estructura todo encargo de aseguramiento en tres etapas esenciales:
- Planeación del encargo
La planeación es la base para la calidad y eficiencia del trabajo. Según la ISAE 3000, debe incluir:
- Comprensión del tema del aseguramiento: ¿Qué se va a atestiguar? (ej.: cumplimiento de la Ley 1778 de 2016 sobre protección de datos).
- Identificación de las partes interesadas: ¿Quién solicita el informe? ¿Quién lo usará?
- Evaluación de la materialidad y riesgos: ¿Qué errores o incumplimientos serían relevantes?
- Acuerdo por escrito: Obligatorio. El contador debe documentar el alcance, responsabilidades, criterio de medición y forma del informe.
- Independencia y competencia profesional: Verificación previa al inicio del trabajo.
Consejo práctico: En Colombia, muchos auditores / revisores fiscales omiten el acuerdo escrito. ¡Esto es un incumplimiento grave! La ISAE 3000 lo exige explícitamente en el párrafo 11.
2. Obtención de evidencia suficiente y adecuada
La calidad del informe depende de la evidencia obtenida. La ISAE 3000 exige que el profesional:
- Diseñe procedimientos específicos al riesgo y naturaleza del asunto.
- Use técnicas como:
- Entrevistas a responsables
- Inspección de documentos y registros
- Observación de procesos
- Confirmaciones externas
- Re-cálculo o re-ejecución de controles
- Documente todo en papeles de trabajo claros y trazables.
- Evalúe si la evidencia respalda una opinión con seguridad razonable (aseguramiento razonable) o seguridad limitada (aseguramiento limitado).
Ejemplo real: Al evaluar el cumplimiento del control interno en una entidad Grupo 1, el revisor fiscal debe aplicar la ISAE 3000 con enfoque de aseguramiento razonable, no solo fiscalizador. Esto implica pruebas sustantivas y de cumplimiento, no solo revisión documental superficial.
3. Elaboración y emisión del informe de auditoría y/o revisoría fiscal.
El informe bajo ISAE 3000 debe contener, como mínimo:
- Título claro que incluya “Informe de Aseguramiento”
- Destinatario identificado
- Identificación del tema objeto de aseguramiento
- Criterios utilizados (ej.: marco legal, norma sectorial)
- Opinión o conclusión del profesional
- Declaración de independencia
- Firma, fecha y lugar
Existe un error común, el cual es emitir un “informe de revisoría fiscal” sin distinguir entre el dictamen financiero (NIA) y el informe de cumplimiento (ISAE 3000). ¡Son dos productos distintos y deben reportarse por separado!
¿Cuándo es obligatoria?
| TIPO DE ENTIDAD | APLICACIÓN DE ISAE 3000 |
| Grupo 1 (NIIF completas) | ✓ Obligatoria para cumplimiento y control interno |
| Grupo 2 grande (>30.000 SMMLV o >200 empleados) | ✓ Obligatoria |
| Grupo 2 pequeña | ❌ No obligatoria, se rige Ley 43 de 1990 |
| Encargos contractuales específicos (ej.: due diligence, ESG) | ✓ Aplicable por acuerdo con el cliente |
Fuente: Decreto 302 de 2015 (Art. 2–4 y 8) y Resolución 016 del CTCP de 2022.
Diferencia clave: NIA vs. ISAE 3000
| ASPECTO | NIA | ISAE 3000 |
| Objeto | Estados financieros históricos | Cualquier tema de aseguramiento no financiero |
| Grado de seguridad | Siempre razonable | Puede ser razonable o limitado |
| Acuerdo por escrito | Recomendado | Obligatorio |
| Alcance en Colombia | Auditoría financiera | Cumplimiento, control interno, ESG, etc. |
Checklist rápido para cumplir ISAE 3000 en 2025
- ¿El encargo no es una auditoría financiera? **Aplica ISAE 3000.
- ¿Se firmó un acuerdo por escrito con el cliente?
- ¿Se evaluó la independencia y competencia del equipo?
- ¿Se identificó el criterio de medición aceptable (ley, norma, marco)?
- ¿Se obtuvo evidencia suficiente y adecuada?
- ¿El informe incluye todos los elementos exigidos por la norma?
¿Quieres dominar los encargos de aseguramiento?
Suscríbete a nuestro boletín mensual en G&D CONSULTING GROUP y recibe guías técnicas, actualizaciones normativas y plantillas listas para usar.
Comparte este boletín con colegas que aún confunden NIA con ISAE 3000.
Puedes encontrar más información sobre: ¿Cómo aplicar la ISAE 3000 en los encargos de aseguramiento no financiero?, en gydconsulting.com/blog
Además del tema relacionado con: ¿Cómo aplicar la ISAE 3000 en los encargos de aseguramiento no financiero?, quizás te interese leer: ¿Cómo regular los protocolos de familia y el gobierno corporativo en pequeñas empresas? Supersociedades Oficio No. 220-260021