CUEC

Cómo funciona

Un CUEC no es un procedimiento que el auditor diseña y el cliente ejecuta a petición suya. Eso sería un papel de trabajo del cliente disfrazado de evidencia, y la NIA-ES 500.A34 lo descarta sin matices. Un CUEC es un control que el cliente ejecuta operativamente, mes tras mes, porque el negocio lo necesita. El auditor llega después y se apoya en él.

La forma de apoyarse tiene dos pasos.

Primero, evaluar el diseño. ¿El control está documentado? ¿Se ejecuta cada período? ¿Hay seguimiento de excepciones? ¿La persona responsable tiene acceso al sistema y experiencia para detectar lo que tiene que detectar? Si alguno de estos elementos falla, no hay CUEC al que apoyarse y se acabó la conversación.

Segundo, probar la eficacia operativa. Aquí es donde aparece el problema. La NIA-ES 330.24 exige seleccionar excepciones reales del listado del cliente, recuperar la transacción original y verificar que el cliente las identificó correctamente. Por lo que he visto en los encargos que he llevado, el primer paso lo hace todo el mundo. El segundo, no tanto.

Lo que realmente ocurre es más simple: nadie quiere repetir la conciliación en su propio papel de trabajo, y el CUEC se convierte en la coartada técnica para no hacerlo. Marcar la casilla, redactar dos párrafos en la sección de evaluación de controles, pasar a sustantivos limitados.

Por qué esta estructura existe

La NIA-ES 500.A34 permite usar procedimientos del cliente como evidencia de auditoría siempre que el auditor evalúe Y pruebe el control. La conjunción "y" no es opcional. El BOICAC ha publicado consultas reiterando este punto a propósito de inspecciones donde el equipo evaluó el diseño, dio el control por bueno y nunca lo testeó. La traducción del lenguaje regulatorio: los papeles estaban flojos, faltaba chicha, y la firma se quedó sin enfoque sustantivo de respaldo.

Ejemplo práctico: Distribuidora Mediterránea S.L.

Cliente: Distribuidora Mediterránea S.L., Barcelona, facturación 18,5 millones de euros, distribuidor de artículos de ferretería, NIIF.

Contexto: El cliente mantiene un control de conciliación mensual entre la cuenta de deudores en el mayor general y el detalle subyacente de facturas no pagadas. Un analista de crédito verifica que cada factura registrada tiene un deudor identificable, que el deudor está activo en el sistema, y que el importe coincide. Las excepciones se documentan en un informe mensual de "excepciones de conciliación."

Paso 1: Evaluación del control

El auditor obtiene los informes de excepciones de los últimos 12 meses. Confirma que: - El control se ejecuta cada mes (observación de tres meses) - Las excepciones se resuelven documentadamente (archivo de seguimiento) - El responsable tiene experiencia y acceso a los sistemas correctos

Nota de documentación: PT 6.3.1, "Evaluación del CUEC. Deudores." Conclusión: el control está documentado, se ejecuta consistentemente, y los errores son excepcionales.

Paso 2: Prueba del control

El auditor selecciona 15 excepciones documentadas de los últimos seis meses. Para cada una: - Recupera la transacción original que generó la excepción - Verifica que el error identificado por el cliente fue correctamente identificado - Confirma que la excepción fue resuelta antes del cierre

Resultado parcial: 14 de 15 excepciones del listado fueron correctamente identificadas. Hasta ahí, todo encaja con el diseño previsto. La 15 plantea otro problema. Al revisar la transacción origen, el auditor descubre que el sistema generó dos asientos de venta a dos códigos de deudor distintos (CUST-4421 y CUST-4421B) por la misma factura subyacente. El listado de excepciones del cliente no recogió este caso. El control identifica diferencias entre lo que el cliente captura y lo que el sistema procesa, pero no detecta duplicidades que el propio sistema crea aguas arriba.

Nota de documentación: PT 6.3.2, "Prueba del CUEC. Excepciones de Deudores." Muestra de 15. Conclusión: el control opera con eficacia para las excepciones que el cliente capta. Existe una limitación de cobertura para duplicidades de código de cliente. Se documenta como deficiencia y se modifica el alcance sustantivo.

Paso 3: Decisión de apoyo y procedimientos sustantivos

Aquí vive el juicio profesional. Tres caminos. El primero, abandonar el CUEC y volver a un enfoque sustantivo amplio sobre la población completa de deudores. Costoso, defensivo, probablemente desproporcionado. El segundo, mantener el CUEC para el grueso de la población y añadir un procedimiento sustantivo dirigido específicamente a duplicidades de código (por ejemplo, una consulta SQL sobre la base de deudores buscando coincidencias de NIF con códigos distintos). El tercero, ignorar la deficiencia, apoyarse igualmente y confiar en que la prueba sustantiva analítica capture cualquier desviación material.

Mi opinión es que el segundo camino es el correcto, porque preserva la eficiencia del CUEC para lo que el control sí cubre y añade un procedimiento dirigido a la zona ciega que la prueba acaba de descubrir. El tercer camino es el que marca la casilla. Lo elige más gente de la que admite hacerlo.

En este encargo el auditor opta por el segundo. Procedimientos sustantivos finales: - Una conciliación de la cuenta de deudores del mayor general al balance de comprobación (verificación de aritmética) - Una revisión analítica de la antigüedad de deudores mes a mes (verificación de cambios inesperados) - Una prueba de una muestra de 20 deudores posteriores al cierre para cobro - Una consulta dirigida sobre duplicidades de NIF en la base maestra de deudores, con verificación manual de las 3 coincidencias detectadas

Nota de documentación: PT 6.4, "Procedimientos sustantivos de Deudores." El CUEC evaluado en PT 6.3 cubre la integridad de las excepciones capturadas por el cliente. El procedimiento dirigido en PT 6.4.3 cubre la duplicidad de código identificada como zona ciega. Comunicación a la dirección sobre la deficiencia de control en PT 1.5 (carta de recomendaciones).

Resolución: El auditor reduce el alcance sustantivo respecto a un enfoque puramente sustantivo, pero no tanto como habría reducido si la prueba del CUEC hubiera salido limpia. El riesgo de auditoría se desplaza hacia "¿el cliente identificó todas las excepciones que el control puede identificar?" más una zona expresamente cubierta para lo que el control no puede ver. Si en el siguiente ejercicio la dirección modifica el control para detectar duplicidades de código, el alcance sustantivo dirigido se podrá retirar.

Qué confunden revisores y auditores

Confusión de control operativo con solicitud de auditoría. Los equipos a veces diseñan un procedimiento y piden al cliente que lo ejecute ("hagan un conteo físico para nosotros" o "verifiquen la conciliación bancaria de marzo"). Eso no es un CUEC. Un CUEC tiene que ser un control operativo permanente que el cliente mantiene por razones de negocio. Si el cliente solo lo hace cuando el auditor lo pide, el auditor debe ejecutar el procedimiento directamente y documentarlo como propio. La distinción es la diferencia entre apoyarse en un control y construir evidencia desde cero.

Documentación insuficiente del CUEC evaluado. La NIA-ES 330.24 exige que el auditor documente la evaluación del control y la conclusión sobre su eficacia. Un equipo que escribe "el cliente tiene un procedimiento de verificación y nos apoyamos en él" sin describir cómo fue evaluado (quién, cuándo, qué prueba, qué excepciones se examinaron, cuántas) no ha cumplido la norma. En la práctica, esto es lo que el ICAC señala una y otra vez en sus notas de inspección sobre enfoques combinados: los papeles están flojos, falta chicha, no hay manera de reconstruir el razonamiento si alguien viene a revisar.

Saltar la prueba del control. Un CUEC diseñado por el cliente pero nunca probado es la palabra del cliente con membrete del auditor. El equipo debe seleccionar una muestra de excepciones documentadas y verificar que el cliente las identificó correctamente. Sin ese paso, no hay base para apoyarse, y la sección de procedimientos sustantivos limitados pierde su justificación.

Donde discrepan los profesionales

¿Cuántas excepciones bastan para concluir que un CUEC opera con eficacia? La NIA-ES 330 no fija un número. Un Socio A defenderá que 15 excepciones de un listado que cubre seis meses (una por cada quincena, en términos de prevalencia) es suficiente para concluir, siempre que la población anual de excepciones supere las 100 y la tasa de error en la muestra sea cero o uno. Un Socio B argumentará que en escenarios de riesgo significativo (por ejemplo, un cliente con presión de cumplimiento de covenants bancarios cuyas excepciones son precisamente las partidas más sensibles a la dirección) hay que ir al 100% de las excepciones del último trimestre como mínimo, o cambiar a un enfoque sustantivo. Las dos posturas tienen lógica. La diferencia está en cuánto pesa la posibilidad de que el cliente esté gestionando el listado de excepciones igual que gestiona los demás juicios contables.

CUEC vs. Control de Usuario Final Manual

Aunque a veces se usan de forma intercambiable, la distinción importa.

En la práctica, muchos controles manuales de usuario final incluyen un componente de excepción. Un gerente que verifica una conciliación e identifica diferencias está realizando un control de verificación (¿coinciden los números?) y un control de excepción (¿qué diferencias quedan?) al mismo tiempo. La distinción tiene poco peso en la operativa diaria del cliente. Sí lo tiene en la documentación del auditor: la sección "evaluación del control" no describe lo mismo en un caso que en otro.

Documentación en papeles de trabajo

El esquema estándar para documentar un CUEC en cuatro papeles de trabajo:

PT X.X.1 (Descripción del control). Qué datos procesa el cliente, qué está diseñado para detectar el control, con qué frecuencia se ejecuta, quién es responsable, cómo se documentan las excepciones. Si falta cualquiera de estos cinco elementos, el papel de trabajo no soporta una decisión de apoyo.

PT X.X.2 (Evaluación del diseño). El control está documentado en la política de la empresa, es apropiado para el riesgo (suficientemente sensible para detectar lo que tiene que detectar), y se ejecutó durante el período cubierto por el encargo.

PT X.X.3 (Prueba del control). Selección de una muestra de excepciones documentadas. Verificación de que cada una fue correctamente identificada. Conclusión sobre la eficacia operativa, incluyendo cualquier zona ciega detectada que requiera procedimientos dirigidos adicionales.

PT X.X.4 (Procedimientos sustantivos). Procedimientos sustantivos efectivamente realizados. Si el CUEC opera con eficacia, los sustantivos pueden limitarse a revisión analítica, eventos posteriores y una muestra de detalles. Si el CUEC tiene zonas ciegas, los sustantivos deben cubrirlas explícitamente. Si el CUEC no es fiable, los sustantivos vuelven a un alcance amplio sobre la población.

El CUEC produce confianza inversa: cuanto mejor diseñado parece el control, más tentación tiene el equipo de creer en sus excepciones sin testearlas, porque el diseño se ve tan sólido que probarlo se siente redundante. Mi opinión es que precisamente los CUEC bien diseñados son los que merecen una prueba más cuidadosa, porque el coste de equivocarse al confiar es mayor cuando todo el enfoque sustantivo se ha reducido apoyándose en ellos.

Términos relacionados

- Control de Usuario Final: un control operativo mantenido por el usuario de negocio (no el auditor) sobre datos que el auditor necesita [/es/glossary/control-usuario-final] - Procedimiento Analítico: una comparación de cifras contra expectativas, a menudo usado junto con un CUEC efectivo [/es/glossary/procedimientos-analíticos] - Excepción: un elemento que no cumple con los criterios del control, capturado y documentado por el cliente [/es/glossary/excepcion] - NIA-ES 500: la norma que aborda la evidencia de auditoría y el uso de procedimientos de la entidad [/es/glossary/isa-500] - NIA-ES 330: la norma que aborda los procedimientos de respuesta al riesgo evaluado [/es/glossary/isa-330]

---