Lo que aprenderá

  • La diferencia entre CUECs "Asumidos en el diseño" (donde los controles de la organización de servicios dependen de ellos) y CUECs "Adicionales recomendados" (mitigación de riesgos, no una dependencia de diseño)
  • Por qué probar CUECs solo al cierre es el hallazgo más común del PCAOB y la AFM sobre la confianza en informes de organizaciones de servicios
  • Cómo la columna "Riesgo si el CUEC no se implementa" indica al auditor de la entidad usuaria exactamente qué falla
  • Cómo el registro de CUECs del paquete de plantillas ISAE 3402 documenta las responsabilidades de pruebas con seis ejemplos precargados

Lo que aprenderá

  • La diferencia entre CUECs "Asumidos en el diseño" (donde los controles de la organización de servicios dependen de ellos) y CUECs "Adicionales recomendados" (mitigación de riesgos, no una dependencia de diseño)
  • Por qué probar CUECs solo al cierre es el hallazgo más común del PCAOB y la AFM sobre la confianza en informes de organizaciones de servicios
  • Cómo la columna "Riesgo si el CUEC no se implementa" indica al auditor de la entidad usuaria exactamente qué falla
  • Cómo el registro de CUECs del paquete de plantillas ISAE 3402 documenta las responsabilidades de pruebas con seis ejemplos precargados

Tabla de contenidos

Qué son los CUECs y por qué existen

Un revisor de calidad del encargo abre su archivo ISAE 3402 y hace una pregunta: "¿Cuándo se probaron los CUECs?" Usted revisa los papeles de trabajo. Los seis controles complementarios de entidad usuaria se evaluaron al cierre. Ninguno se probó para efectividad operativa durante el período. El revisor devuelve el archivo.

Los controles complementarios de entidad usuaria (CUECs) bajo ISAE 3402.9(b) son controles que la organización de servicios asumió que las entidades usuarias implementarían. Probarlos solo al cierre (confirmar que existen en diciembre) no alcanza el objetivo: los auditores de la entidad usuaria deben evaluar si los CUECs operaron durante todo el período cubierto por el informe de la organización de servicios, no solo si estaban implementados en la fecha de reporte.

Una organización de servicios procesa transacciones en nombre de entidades usuarias. La organización de servicios diseña controles para alcanzar sus objetivos de control. Pero algunos de esos controles asumen que la entidad usuaria está haciendo algo por su parte.

La ISAE 3402.9(b) exige que la descripción del sistema de la organización de servicios identifique los controles que la organización asumió que las entidades usuarias implementarían. Estos son los CUECs. No son controles que la organización de servicios opera. Son controles que la organización espera que la entidad usuaria opere, porque sin ellos, los propios controles de la organización no pueden alcanzar sus objetivos plenamente.

El concepto es sencillo. Un despacho de procesamiento de nóminas diseña un control de revisión de variaciones que compara la salida de nómina con la entrada. Ese control funciona solo si la entrada fue autorizada por la entidad usuaria antes de su envío. Si la entidad usuaria envía transacciones de nómina no autorizadas, la revisión de variaciones las procesará con precisión (el control "opera eficazmente") pero la salida sigue siendo incorrecta. El CUEC llena esta brecha: la entidad usuaria debe autorizar las transacciones de nómina antes de enviarlas a la organización de servicios.

La ISAE 3402.16(a)(vii) exige que los CUECs se divulguen en la descripción del sistema. La NIA-ES 402 después asigna al auditor de la entidad usuaria la responsabilidad de evaluar si los CUECs operaron en la entidad usuaria. El auditor del servicio los identifica. El auditor de la entidad usuaria los prueba.

Dos tipos: asumidos en el diseño frente a adicionales recomendados

No todos los CUECs tienen el mismo peso. El registro de CUECs del paquete de plantillas ISAE 3402 distingue entre dos tipos, y la distinción cambia cómo el auditor de la entidad usuaria aborda las pruebas.

Asumido en el diseño significa que los controles de la organización de servicios están diseñados para depender de este CUEC. Si el CUEC no opera, el objetivo de control tiene una brecha. La organización de servicios no puede compensar el fallo de la entidad usuaria porque el diseño asume que la entidad usuaria cumple su parte.

La notificación de cambios de personal es un ejemplo claro. La revisión trimestral de accesos de la organización de servicios solo puede detectar cuentas de usuario obsoletas si la entidad usuaria notifica a la organización sobre altas y bajas. Si la entidad usuaria no notifica, los exempleados retienen acceso hasta tres meses (hasta que el siguiente ciclo de revisión trimestral detecte la cuenta obsoleta). El control de revisión de accesos opera eficazmente por sí mismo (revisa la lista que tiene), pero la lista está incompleta porque la entidad usuaria no proporcionó la actualización.

Adicional recomendado significa que el CUEC es una medida de mitigación de riesgos pero no es una asunción de diseño. Los controles de la organización de servicios pueden alcanzar sus objetivos si este CUEC no opera, pero la entidad usuaria enfrenta un riesgo incremental.

La revisión del informe SOC de la organización de subservicios es un ejemplo típico. Bajo el método de exclusión, la organización de servicios excluye los controles del proveedor de infraestructura cloud de su informe. El CUEC recomienda que las entidades usuarias obtengan y revisen el informe SOC 2 Tipo II de la organización de subservicios. Si la entidad usuaria no lo hace, el informe de la organización de servicios sigue siendo válido. Pero la entidad usuaria ahora tiene una brecha en su propia cobertura de aseguramiento.

La consecuencia práctica: los CUECs Asumidos en el diseño son innegociables para los auditores de entidades usuarias. Si un CUEC Asumido en el diseño no opera, el auditor de la entidad usuaria no puede confiar plenamente en el informe de la organización de servicios para el objetivo de control afectado. Los CUECs Adicionales recomendados son importantes pero no crean la misma brecha en el informe del auditor del servicio.

Por qué probar solo al cierre no es suficiente

El informe de la organización de servicios cubre un período (típicamente doce meses). Se asume que los CUECs operan durante todo ese período. Probarlos al cierre le dice que existen en diciembre. No le dice que operaron en marzo, en junio o en septiembre.

Esta es la deficiencia citada con más frecuencia tanto en inspecciones del PCAOB como de la AFM sobre la confianza del auditor de la entidad usuaria en informes de organizaciones de servicios. El hallazgo es consistente: los auditores de entidades usuarias confirman al cierre que los CUECs están "implementados" y concluyen su evaluación. Pero "implementado" es una pregunta de diseño. El auditor de la entidad usuaria necesita responder una pregunta de efectividad operativa: ¿operó este CUEC durante todo el período cubierto por el informe Tipo II?

Considere el CUEC de autorización de nómina. Al cierre, la entidad usuaria tiene una política de autorización. El auditor de la entidad usuaria confirma que la política existe. Pero de enero a septiembre, la autorización fue realizada por una sola persona sin segregación de funciones. La política se revisó en octubre para requerir autorización dual. La prueba al cierre ve la política revisada. La prueba a lo largo del período ve los nueve meses de autorización inadecuada.

La distinción entre pruebas al cierre y pruebas a lo largo del período es la misma distinción entre diseño y efectividad operativa que se aplica a cualquier control. Un CUEC que existe al cierre tiene un diseño que es (presumiblemente) efectivo. Un CUEC que operó consistentemente de enero a diciembre tiene efectividad operativa que respalda la confianza en el informe de la organización de servicios para el período completo.

La columna "riesgo si no se implementa"

Cada CUEC en el registro incluye una columna que explica, en lenguaje llano, qué riesgo se materializa en la entidad usuaria si el CUEC no opera. Esta columna está escrita para auditores de entidades usuarias, no para la organización de servicios.

Para la notificación de cambios de personal (Asumido en el diseño): los exempleados retienen acceso al ERP hasta tres meses entre ciclos de revisión trimestral. El acceso no autorizado durante esta ventana no es detectado por la revisión de accesos de la organización de servicios.

Para la autorización de nómina (Asumido en el diseño): las transacciones de nómina no autorizadas son procesadas con precisión por la organización de servicios. El control de revisión de variaciones opera correctamente sobre entradas fraudulentas. La salida es técnicamente precisa pero sustancialmente incorrecta.

Para la autorización dual de asientos contables (Asumido en el diseño): los asientos manuales no autorizados o ficticios se envían a la organización de servicios, son procesados por el control de revisión del Controller Financiero y se registran. La organización de servicios comprueba el asiento contra la documentación de soporte que la entidad usuaria proporcionó. Si la entidad usuaria no autorizó independientemente el asiento, el control de la organización no puede detectar la originación no autorizada.

Para la verificación de saldos bancarios (Adicional recomendado): las entidades usuarias dependen exclusivamente de la conciliación de la organización de servicios sin verificación independiente. Si la conciliación de la organización tiene una brecha, la entidad usuaria no tiene comprobación independiente.

Estas descripciones de riesgo transforman el CUEC de un elemento de cumplimiento abstracto en una herramienta práctica de evaluación de riesgos. Un auditor de entidad usuaria que lee "los exempleados retienen acceso al ERP hasta tres meses" comprende las implicaciones inmediatamente. La descripción también deja claro por qué importan las pruebas a lo largo del período: el riesgo existe cada día que el CUEC no opera, no solo al cierre.

Responsabilidad de pruebas de la entidad usuaria

Cada CUEC incluye una columna que documenta qué necesita evaluar el auditor de la entidad usuaria. No es una instrucción vaga ("considere si el CUEC opera"). Es una agenda de pruebas específica.

Para la notificación de cambios de personal, el auditor de la entidad usuaria evalúa: el proceso de notificación de RRHH de la entidad usuaria a la organización de servicios (¿existe un proceso formal?), la oportunidad de las notificaciones (¿se notifican las bajas antes o después de su último día?), la integridad de las notificaciones (¿RRHH registra todas las notificaciones enviadas?), y la cobertura durante todo el período (no solo el último trimestre).

Para la autorización de nómina, el auditor de la entidad usuaria evalúa: los controles de autorización sobre los envíos de nómina (quién aprueba, qué evidencia se conserva), las aprobaciones de cambios en datos permanentes (cambios salariales, nuevas incorporaciones, cambios de datos bancarios), y si el proceso de autorización operó consistentemente durante todo el período o se modificó a mitad de año.

Para la autorización dual de asientos contables, el auditor de la entidad usuaria evalúa: la política de asientos contables de la entidad usuaria, evidencia de autorización dual para una muestra de asientos manuales enviados a la organización de servicios durante el período, y la segregación de funciones entre el preparador y el aprobador.

La columna de responsabilidad de pruebas existe porque los auditores de entidades usuarias frecuentemente no saben qué probar. El informe de la organización de servicios divulga los CUECs en una sección descriptiva. El registro de CUECs traduce esa divulgación en un programa de pruebas que el auditor de la entidad usuaria puede ejecutar.

Ejemplo práctico: Bakker Financial Services B.V.

Entidad: Bakker Financial Services B.V., empresa holandesa de servicios financieros con 68 millones de euros de ingresos, usando una organización de servicios externalizada de nómina e información financiera. El informe ISAE 3402 Tipo II de la organización de servicios cubre del 1 de enero al 31 de diciembre de 2025. Seis CUECs divulgados. El cierre de Bakker es el 31 de diciembre de 2025.

Paso 1: Identificación y clasificación de CUECs

El auditor de Bakker obtiene el informe Tipo II de la organización de servicios e identifica seis CUECs. Tres son Asumidos en el diseño: notificación de cambios de personal, autorización de nómina, y autorización dual de asientos contables. Tres son Adicionales recomendados: revisión de SOC de organización de subservicios, verificación de saldos bancarios, y notificación de incidentes.

Nota de documentación: Listado de CUECs extraído de la sección de descripción del sistema del informe de la organización de servicios. Clasificación de tipo anotada para cada CUEC.

Paso 2: Pruebas a lo largo del período para CUECs Asumidos en el diseño

Para la notificación de cambios de personal: el auditor obtiene el registro de notificaciones de RRHH de enero a diciembre de 2025, selecciona una muestra de 15 bajas de empleados distribuidas en los cuatro trimestres y rastrea cada una hasta una notificación enviada a la organización de servicios. Oportunidad probada: ¿se enviaron las notificaciones antes del último día del empleado o después?

Nota de documentación: "Prueba de CUEC de notificación de cambios de personal: 15 bajas muestreadas en T1 (4), T2 (3), T3 (4), T4 (4). Todas las notificaciones enviadas dentro de 2 días hábiles del último día. Una notificación enviada 1 día después del último día (T2). Período de exposición: 1 día. Evaluado como inmaterial dado el ciclo de revisión trimestral de accesos."

Paso 3: Prueba de autorización de nómina

El auditor selecciona 20 envíos de nómina a lo largo del año (distribuidos en los doce meses) e inspecciona la evidencia de autorización. De enero a septiembre, se observó autorización simple. En octubre, la política se actualizó para requerir autorización dual.

Nota de documentación: "Prueba de CUEC de autorización de nómina: ene-sep autorización simple (15 elementos muestreados, todos autorizados por el Director Financiero). Oct-dic autorización dual (5 elementos muestreados, todos con dos firmas). Cambio de política señalado. La autorización simple de ene-sep no viola el CUEC tal como está redactado (que requiere 'autorización apropiada' sin especificar dual). Sin embargo, la mejora a autorización dual en octubre sugiere que la dirección identificó un riesgo. El auditor de la entidad usuaria debe evaluar si la autorización simple generó un riesgo para el período ene-sep."

Paso 4: Prueba de autorización dual de asientos contables

El auditor prueba 25 asientos manuales enviados a la organización de servicios durante el año.

Nota de documentación: "Prueba de CUEC de autorización dual de asientos: 25 asientos manuales muestreados a lo largo del año. Los 25 tenían autorización dual (preparador + Director Financiero). El CUEC de autorización dual de asientos operó eficazmente durante todo el período."

Paso 5: Evaluación de CUECs Adicionales recomendados

Bakker obtuvo y revisó el informe SOC 2 Tipo II de AWS (CUEC de revisión de SOC de organización de subservicios, satisfecho). Bakker no realizó verificación independiente de saldos bancarios (CUEC de verificación de saldos bancarios, no implementado).

Nota de documentación: "CUEC de verificación de saldos bancarios no implementado. Riesgo residual: Bakker depende exclusivamente de la conciliación bancaria de la organización de servicios. Dado el hallazgo de conciliación bancaria en el informe de la organización de servicios (conciliación bancaria con salvedad), este riesgo residual está elevado. El auditor de la entidad usuaria realizará procedimientos sustantivos adicionales sobre saldos de tesorería."

Paso 6: Conclusión global

CUECs Asumidos en el diseño operaron durante todo el período. CUECs Adicionales recomendados: dos de tres implementados, uno (verificación de saldos bancarios) no implementado, con procedimientos sustantivos compensatorios diseñados.

Nota de documentación: "Evaluación de CUECs completada. La confianza en el informe de la organización de servicios está respaldada para todos los objetivos de control excepto el objetivo de control de conciliación bancaria, donde la combinación de la opinión con salvedad del auditor del servicio y la no implementación por parte de Bakker del CUEC de verificación de saldos bancarios requiere trabajo sustantivo adicional."

El archivo ahora muestra pruebas a lo largo del período para todos los CUECs Asumidos en el diseño, una evaluación documentada para los CUECs Adicionales recomendados, y un vínculo claro entre las brechas de CUECs y la respuesta de auditoría.

Lista de verificación para evaluación de CUECs

  • Obtenga el listado de CUECs del informe Tipo II de la organización de servicios y clasifique cada uno como Asumido en el diseño o Adicional recomendado. La clasificación determina la intensidad de las pruebas (NIA-ES 402.15).
  • Para cada CUEC Asumido en el diseño, diseñe pruebas a lo largo del período que cubran el período completo del informe de la organización de servicios. La confirmación de existencia al cierre no es suficiente.
  • Distribuya las muestras de pruebas de CUECs en todos los trimestres. El mismo principio de anti-agrupamiento que se aplica a las pruebas del auditor del servicio (ISAE 3402.24) se aplica a la evaluación de CUECs del auditor de la entidad usuaria.
  • Para los CUECs Adicionales recomendados que la entidad usuaria no ha implementado, documente el riesgo residual específico usando la descripción de "riesgo si no se implementa". Diseñe procedimientos sustantivos para abordar ese riesgo residual.
  • Cruce la evaluación de CUECs con cualquier hallazgo en el análisis de brechas del auditor del servicio. Una opinión con salvedad sobre un objetivo de control combinada con un CUEC no implementado sobre el mismo objetivo genera riesgo compuesto que requiere una respuesta de auditoría específica.

Errores comunes

  • Probar CUECs solo al cierre. Los hallazgos de inspección del PCAOB y la AFM identifican consistentemente esto como la deficiencia más común en la confianza del auditor de la entidad usuaria en informes de organizaciones de servicios. Los CUECs deben evaluarse para efectividad operativa durante todo el período, no solo confirmarse como existentes en la fecha de reporte.
  • Tratar todos los CUECs como igualmente importantes. Los CUECs Asumidos en el diseño afectan directamente a si los objetivos de control de la organización de servicios pueden alcanzarse. Los CUECs Adicionales recomendados son mitigaciones de riesgo. El esfuerzo de pruebas del auditor de la entidad usuaria debería reflejar esta distinción.
  • No vincular las brechas de CUECs con respuestas de auditoría. Cuando un CUEC no se implementa, el auditor de la entidad usuaria debe documentar el riesgo residual y diseñar procedimientos para abordarlo. Una brecha de CUEC sin respuesta de auditoría correspondiente es un archivo incompleto.

Contenido relacionado

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.