La tesis: el SOC 1 no audita a su cliente

Hay una idea que circula en algunas firmas medianas: si el SOC 1 viene con opinión limpia, el riesgo del proceso externalizado está controlado. Esa idea es falsa, y la ISAE 3402 lo dice con claridad. El informe del auditor de la organización de servicios cubre los controles del proveedor. No cubre los controles que el cliente debe ejecutar para que esos controles del proveedor sirvan de algo.

Pongámoslo así. El proveedor de nóminas tiene un control que dice "procesamos los cambios de datos maestros que recibimos por el portal autorizado". El control funciona. El auditor del proveedor lo prueba y emite informe sin salvedades. Bien. Pero ¿quién autoriza los cambios antes de que entren al portal? El cliente. Si el cliente no tiene un control que filtre los cambios, el proveedor procesa lo que le llegue, autorizado o no, y el control conjunto deja de existir. El SOC 1 nunca le dirá si su cliente filtra. Eso es trabajo de usted.

Qué dice la norma y qué falla en la práctica

La ISAE 3402.12 obliga al auditor del proveedor a documentar los CUECs cuando son necesarios para alcanzar los objetivos de control. La ISAE 3402.A25 exige al auditor financiero evaluar si la entidad auditada los ha implantado. La NIA-ES 315.12 sitúa esto dentro del entendimiento del control interno, y la NIA-ES 330 fija el listón cuando uno pretende reducir sustantivo con base en esos controles.

En la práctica, lo que pasa es otra cosa. El equipo descarga el SOC 1, lo archiva, lee la sección de CUECs en diagonal y firma una conclusión genérica del tipo "los controles complementarios están implementados". Sin matriz. Sin nombres. Sin evidencia. En los encargos que he llevado donde había SOC 1 en el alcance, diría que más de la mitad tenían los papeles flojos en este punto. Falta chicha en la documentación.

Hay una razón por la que esto ocurre. La descubre cualquiera que haya pasado una busy season con el cronómetro: el partner necesita el cliente, el presupuesto está apretado, y probar CUECs uno a uno con muestras de 25 elementos no entra en horas. Entonces se saca adelante con lo que hay y se cruza los dedos hasta la siguiente revisión de calidad. El día que el ICAC pide el papel, el papel no existe.

Esa es la presión real. Nombrarla importa porque la solución no es decir "documenten mejor". Es decir: si el partner no protege dos jornadas de senior para esto en la planificación, el equipo no las saca de la nada.

Categorías de CUECs que aparecen casi siempre

Los CUECs típicos se agrupan en cuatro bloques. No son los únicos posibles, pero cubren el 80% de lo que verá en SOC 1 de proveedores de nóminas, ERP en la nube, custodios y servicios financieros tercerizados.

Autorización y aprobación. El cliente aprueba transacciones antes del procesamiento por el proveedor. Altas de empleados, cambios salariales, transferencias, modificaciones de configuración del sistema.

Revisión y validación. El cliente revisa informes, listados de excepciones y conciliaciones generadas por el proveedor. Registros de nómina antes del pago, cuadres bancarios contra contabilidad interna, listados de errores de procesamiento.

Gestión de accesos. El cliente decide quién accede a los sistemas del proveedor y con qué permisos. Altas, bajas, modificaciones de roles, revisiones periódicas de la matriz de accesos.

Salvaguarda de la información. El cliente protege los datos confidenciales en su lado, mantiene copias de seguridad de la información crítica que envía al proveedor y asegura los canales de transmisión.

Marco de evaluación que aguanta inspección

identificar los CUECs aplicables (no copiar la lista entera)

Localice la sección del SOC 1 que enumera los controles complementarios. Suele aparecer en dos sitios: dentro de cada objetivo de control y en una sección aparte al final. Lea las dos. La trampa: no todos los CUECs listados en el informe aplican a su cliente. El proveedor publica la lista completa de servicios que ofrece. Su cliente puede contratar solo dos módulos de seis. Aplique solo los que correspondan a los servicios efectivamente usados.

Documentación: matriz con cada CUEC aplicable, el objetivo de control del proveedor al que sirve, y los procesos del cliente afectados.

evaluar el diseño y la implantación

Para cada CUEC aplicable, determine si el cliente tiene un control diseñado que lo cubra y si está implantado. La NIA-ES 315.12 pide entendimiento de diseño y de implementación, no de eficacia operativa todavía.

Documentación: descripción del control, frecuencia, responsable identificado por nombre y puesto, evidencia que genera, walkthrough con una transacción.

probar la eficacia operativa (si va a confiar)

Si va a reducir sustantivo apoyándose en estos controles, la NIA-ES 330 exige prueba de eficacia operativa con tamaño de muestra defendible. Para controles diarios o por transacción, muestras de 25 a 60 elementos según riesgo. Para controles mensuales, normalmente 2 a 5 elementos. Para anuales, 1.

Documentación: método de prueba, base de selección, tamaño de muestra justificado, elementos seleccionados, hallazgos, conclusión.

evaluar deficiencias y comunicar

Una deficiencia en un CUEC puede romper la cadena de control conjunta. La NIA-ES 265.9 obliga a comunicar las deficiencias significativas al gobierno corporativo. La NIA-ES 330 obliga a replantear el sustantivo si el control en el que pensaba apoyarse falla.

Documentación: clasificación de la deficiencia, impacto en la estrategia de auditoría, replanteamiento del sustantivo si procede, carta a la dirección.

Caso práctico: Construcciones Levante S.L.

Sector: construcción residencial, Valencia Cifra de negocio: 12,8 millones de euros Plantilla: 145 empleados Servicio externalizado: procesamiento de nóminas

El SOC 1 del proveedor identifica tres CUECs críticos para la operativa de Construcciones Levante.

CUEC 1. El cliente aprueba todos los cambios en datos maestros de empleados (salario base, deducciones, datos bancarios) antes del procesamiento.

Diseño implantado. El director de RRHH firma por escrito cada cambio antes de enviarlo. Las aprobaciones se archivan con fecha y firma manuscrita.

Prueba. Selección de 25 cambios del ejercicio. Comprobación de que cada uno lleva firma del director de RRHH con fecha anterior a la fecha efectiva.

Resultado. Un cambio salarial procesado sin aprobación previa documentada. La aprobación llegó por correo dos días después. Se clasificó como deficiencia no significativa por bajo nivel de error y porque la persona afectada confirmó el cambio por otra vía.

CUEC 2. El cliente revisa y aprueba el registro de nómina antes del pago.

Diseño implantado. El director financiero recibe el registro dos días antes del pago. Lo firma tras revisar totales contra presupuesto mensual e investigar variaciones superiores al 5%.

Prueba. Inspección de los 12 registros mensuales del ejercicio. Verificación de firma y, en los meses con variación superior al 5%, evidencia documental de la investigación.

Resultado. Los 12 registros llevan firma. En dos meses con variación por encima del 5% (julio por pagas extra, diciembre por finiquitos de obra cerrada) la investigación está documentada con explicación razonada.

CUEC 3. El cliente concilia mensualmente los totales procesados contra contabilidad.

Diseño implantado. El contable principal prepara la conciliación entre el informe de nómina del proveedor y los asientos del ERP cada mes.

Prueba. Revisión de las 12 conciliaciones del ejercicio. Comprobación de preparación oportuna, identificación de partidas conciliatorias y resolución.

Resultado. Una conciliación se preparó con una semana de retraso por vacaciones del contable. No hubo cobertura asignada durante la ausencia. Las partidas conciliatorias se identificaron y resolvieron en todos los meses.

La complicación de juicio profesional

El equipo discute cómo tratar el retraso de la conciliación de agosto. Aquí no hay regla mecánica.

El socio A diría que es deficiencia significativa porque la NIA-ES 265 exige evaluar el potencial de error agregado, y un mes sin conciliación oportuna en una empresa con 145 empleados puede tapar errores de hasta el importe de una nómina mensual completa, lo cual supera la materialidad de ejecución del encargo.

El socio B diría que no es significativa porque la conciliación se hizo, las diferencias se resolvieron, no hubo error material identificado, y la causa raíz fue una ausencia puntual y no un fallo de diseño. La carta a dirección recomienda asignar cobertura, pero la opinión de control interno no se ve afectada.

Por mi parte, en los encargos que he llevado con perfil similar, he tirado por el socio A en las primeras auditorías del cliente y por el socio B una vez establecida la rutina y comprobado el historial. La razón es que en el primer año uno no sabe si la ausencia sin cobertura es excepción o costumbre, y conviene documentar la conversación con dirección antes de relajar el criterio.

El insight que el SOC 1 no le va a dar

Aquí va lo que no aprenderá leyendo solo la ISAE 3402: el riesgo real de los CUECs no está en el cliente que no los entiende. Está en el cliente que sí los entiende y los degrada con el tiempo. Los CUECs cuestan tiempo del personal del cliente. Cuando una empresa atraviesa un mal trimestre y recorta horas en RRHH o en finanzas, los primeros controles que se relajan son los que parecen administrativos. El cliente sigue creyendo que el proveedor "hace la nómina". El control conjunto se rompe sin que nadie lo note.

Por eso el segundo año de un cliente con SOC 1 importa más que el primero. En el primero documenta. En el segundo verifica si el cliente ha mantenido el listón cuando nadie miraba. Eso es lo que el ICAC busca cuando escarba en estos papeles, y es lo que distingue una matriz CUEC de oficio de una matriz CUEC con valor de auditoría.

Lista de verificación práctica

1. Obtener el SOC 1 vigente y comprobar que el período cubre el ejercicio auditado o se complementa con bridge letter.

2. Filtrar los CUECs aplicables según los servicios contratados por el cliente, no copiar la lista entera.

3. Evaluar diseño e implantación de los controles del cliente que cubren cada CUEC aplicable conforme a NIA-ES 315.12.

4. Probar eficacia operativa cuando vaya a confiar en los controles, con tamaños de muestra defendibles según NIA-ES 330.

5. Documentar deficiencias y clasificarlas como significativas o no según NIA-ES 265.9, con razonamiento explícito.

6. Verificar la fecha del SOC 1 y la cobertura temporal. Un informe que termina en septiembre y un cierre en diciembre exige bridge letter o trabajo adicional.

Errores frecuentes en expediente

- Asumir que toda la lista aplica. El proveedor publica el catálogo completo. Su cliente usa una parte. Filtrar es trabajo del auditor financiero, no del proveedor.

- Documentación vaga del diseño. "El cliente revisa la nómina" no es descripción de control. Quién revisa, cuándo, contra qué, qué evidencia genera, qué hace si encuentra una variación. Sin esos cinco campos, la NIA-ES 315.A128 no se cumple.

- Saltar la prueba de eficacia y reducir sustantivo igualmente. La NIA-ES 330 no permite confiar en un control que no se ha probado. Si no prueba, no reduce.

- Tratar el retraso de la conciliación mensual como hallazgo trivial. Lo es o no lo es según el contexto. Documente el juicio.

Contenido relacionado

- Glosario: Controles complementarios de la entidad usuaria - Definición completa con referencias normativas de ISAE 3402

- Herramienta: Kit de evaluación ISAE 3402 - Plantillas para documentar la evaluación de CUECs y controles de organizaciones de servicios

- Artículo: Auditoría de organizaciones de servicios bajo NIA-ES 402 - Marco completo para auditar entidades que usan organizaciones de servicios

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.