Qué son los controles complementarios de la entidad usuaria

La ISAE 3402.12 establece que el auditor de la organización de servicios debe identificar controles complementarios de la entidad usuaria que sean necesarios para lograr los objetivos de control establecidos. Estos controles no están bajo el control de la organización de servicios, sino que deben ser implementados por cada entidad usuaria individual.
Los CUECs surgen porque muchos controles de la organización de servicios son efectivos solo cuando la entidad usuaria realiza actividades complementarias específicas. Por ejemplo, una empresa de procesamiento de nóminas puede tener controles excelentes para procesar cambios salariales, pero solo si la entidad usuaria revisa y aprueba todos los cambios antes del procesamiento.
La ISAE 3402.A25 requiere que el auditor de estados financieros evalúe si la entidad auditada ha implementado controles complementarios identificados como necesarios en el informe SOC 1. Esta evaluación forma parte de la comprensión del control interno bajo la NIA-ES 315.

Tipos comunes de controles complementarios


Los CUECs más frecuentes se agrupan en cuatro categorías principales:
Autorización y aprobación: La entidad usuaria debe aprobar transacciones antes de que la organización de servicios las procese. Esto incluye aprobaciones de nuevos empleados, cambios salariales, transferencias de fondos y modificaciones de configuración del sistema.
Revisión y validación: La entidad usuaria debe revisar informes, excepciones y conciliaciones generadas por la organización de servicios. Ejemplos típicos incluyen revisar registros de nómina antes del pago y conciliar saldos bancarios con registros internos.
Gestión de accesos: La entidad usuaria debe establecer y mantener controles apropiados sobre quién puede acceder a los sistemas de la organización de servicios y qué funciones pueden realizar.
Salvaguarda de información: La entidad usuaria debe proteger datos confidenciales, mantener copias de seguridad de información crítica y asegurar la transmisión segura de datos.

Marco de evaluación para CUECs

Paso 1: Identificar controles complementarios aplicables


Revisa la sección específica del informe SOC 1 que detalla los controles complementarios. Esta información aparece típicamente en dos lugares: dentro de la descripción de cada objetivo de control y en una sección separada al final del informe.
Documentación: Crear una tabla que liste cada CUEC, el objetivo de control relacionado, y si aplica a los procesos de tu cliente

Paso 2: Evaluar el diseño de los controles implementados


Para cada CUEC aplicable, determina si tu cliente ha diseñado controles que abordan el requerimiento. La NIA-ES 315.12 requiere que entiendas el diseño de estos controles y determines si han sido implementados.
Documentación: Para cada control diseñado, documentar la descripción del control, la frecuencia, quién lo realiza, y qué evidencia genera

Paso 3: Probar la efectividad operacional


Si planeas confiar en estos controles para reducir procedimientos sustantivos, debes probar su efectividad operacional conforme a la NIA-ES 330. El enfoque de prueba depende de la naturaleza y frecuencia del control.
Documentación: Documentar el método de prueba, el tamaño de muestra, los elementos seleccionados, y cualquier deficiencia identificada

Paso 4: Evaluar deficiencias y su impacto


Cualquier deficiencia en los CUECs puede afectar la confiabilidad de los controles de la organización de servicios. La NIA-ES 265 requiere comunicar deficiencias significativas en el control interno.
Documentación: Evaluar si las deficiencias son deficiencias significativas y determinar el impacto en otros procedimientos de auditoría

Ejemplo práctico: Procesamiento de nóminas

Empresa: Construcciones Levante S.L., Valencia
Ingresos: 12,8 millones de euros
Empleados: 145
Organización de servicios: Empresa de procesamiento de nóminas
El informe SOC 1 de la empresa de procesamiento identifica tres CUECs críticos:
CUEC 1: La entidad usuaria debe aprobar todos los cambios en datos maestros de empleados (salario base, deducciones, información bancaria) antes del procesamiento.
Evaluación: Construcciones Levante implementó un proceso donde el director de recursos humanos debe aprobar por escrito todos los cambios antes de enviarlos a la empresa de nóminas. Se archivan las aprobaciones con fecha y firma.
Prueba realizada: Selección de 25 cambios durante el año. Verificación de que cada cambio tiene aprobación previa del director de RRHH con fecha anterior a la fecha efectiva del cambio.
Resultado: Un cambio salarial procesado sin aprobación previa documentada. Se clasificó como deficiencia, pero no significativa dado el bajo nivel de error.
CUEC 2: La entidad usuaria debe revisar y aprobar el registro de nómina antes del pago.
Evaluación: El director financiero recibe el registro de nómina dos días antes del pago y debe firmarlo tras revisar los totales contra presupuestos mensuales y investigar variaciones superiores al 5%.
Prueba realizada: Inspección de 12 registros de nómina (uno por mes) para verificar firma del director financiero y evidencia de investigación de variaciones significativas.
Resultado: Todos los registros estaban apropiados adecuadamente. En dos casos donde las variaciones superaron el 5%, se encontró documentación de la investigación y explicación.
CUEC 3: La entidad usuaria debe conciliar mensualmente los totales de nómina procesados contra sus registros contables.
Evaluación: El contador principal prepara una conciliación mensual entre el informe de nómina de la organización de servicios y los asientos contables registrados en el sistema ERP.
Prueba realizada: Revisión de las 12 conciliaciones mensuales del año para verificar preparación oportuna, identificación de diferencias, y resolución de elementos conciliatorios.
Resultado: Una conciliación se preparó con retraso de una semana debido a vacaciones del contador. Las diferencias se identificaron y resolvieron apropiadamente en todos los casos.

Conclusión del ejemplo


Los controles complementarios de Construcciones Levante funcionan efectivamente en conjunto con los controles de la organización de servicios. Las deficiencias menores identificadas no afectan la conclusión sobre la efectividad del control interno para propósitos de la auditoría financiera.

Lista de verificación práctica

  • Obtener e inspeccionar el informe SOC 1 más reciente para identificar todos los CUECs listados por la organización de servicios
  • Determinar aplicabilidad de cada CUEC basándose en los servicios que la entidad usuaria usa
  • Evaluar el diseño e aplicación de controles del cliente que abordan cada CUEC aplicable según NIA-ES 315.12
  • Probar efectividad operacional de CUECs si planeas confiar en ellos para reducir procedimientos sustantivos
  • Documentar deficiencias identificadas y evaluar si son deficiencias significativas bajo NIA-ES 265.9
  • Lo más importante: Verificar que la fecha del informe SOC 1 cubra el período relevante para tu auditoría - un informe desactualizado puede no ser confiable para la evaluación de controles

Errores frecuentes

  • No verificar la aplicabilidad específica: Asumir que todos los CUECs listados en el informe SOC 1 aplican a tu cliente, sin evaluar qué servicios usa la entidad auditada
  • Documentación insuficiente del diseño: Describir controles complementarios de manera vaga sin identificar específicamente quién realiza el control, cuándo, y qué evidencia genera según NIA-ES 315.A128

Contenido relacionado

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.