Qué aprenderá

- Dónde la IA aporta (y dónde solo sirve para marcar la casilla) - Cómo evaluar controles automatizados de IA sin comprometer NIA-ES 220 y NIA-ES 315 - Qué exige la NIA-ES 315.13 cuando el cliente usa IA en procesos financieros - Por qué la narrativa del vendedor no cuadra con lo que pide el ICAC

Contenidos

- IA que funciona: tareas con reglas - IA que no funciona: el discurso del vendedor - Marco de decisión: cuándo usar IA - Caso práctico: Manufacturas Ibéricas S.L. - Lista de verificación práctica - Errores comunes - Contenido relacionado

IA que funciona: tareas con reglas

Procesamiento de datos estructurados

Hay tareas donde la IA sí aporta. No son las que vende el folleto. Son las aburridas. En los encargos que he llevado en los últimos dos años, los sistemas automatizados funcionan bien cuando se cumplen dos condiciones a la vez: el dato de entrada tiene estructura (números, fechas, códigos) y el resultado se puede contrastar contra algo externo.

Casos donde funciona razonablemente:

- Extracción de datos desde PDF de extractos bancarios - Conciliación de facturas de compras con el auxiliar - Análisis de duplicados en nómina y gastos - Clasificación automática por naturaleza contable cuando hay histórico limpio

La NIA-ES 500.7 permite apoyarse en herramientas automatizadas para obtener evidencia, siempre que el auditor entienda el proceso y evalúe la fiabilidad. Traducido: si no puede explicar cómo el sistema llega al resultado, no puede apoyarse en él. Por lo que conozco, aquí es donde la mitad de los despachos pequeños se cae. Usan la herramienta, les gusta el tiempo que ahorra, pero cuando llega la revisión del EQR o una hipotética inspección del ICAC, los papeles están flojos. Falta chicha en la descripción del modelo, en las limitaciones, en la validación.

Análisis de tendencias y ratios

La NIA-ES 520.5 exige que los procedimientos analíticos se apoyen en expectativas desarrolladas de forma razonable. Una herramienta de IA puede procesar cinco años de datos mensuales y calcular desviaciones estacionales en minutos. Bien. El auditor sigue teniendo que decidir si el modelo subyacente es razonable, si las expectativas capturan el negocio real del cliente, y si la desviación detectada merece un procedimiento sustantivo o no.

Aplicaciones concretas donde esto sí aporta:

- Detección de ingresos atípicos por período (posible manipulación de cut-off) - Análisis de márgenes brutos por línea de producto - Seguimiento de ratios de liquidez mes a mes

Lo que no hace el sistema es preguntarle al financiero por qué el margen de marzo se disparó. Lo hace usted.

IA que no funciona: el discurso del vendedor

"IA que lee contratos y evalúa riesgos"

Los proveedores afirman que su sistema lee contratos complejos, marca las cláusulas de riesgo y estima el impacto contable. En la práctica, lo que ocurre es que estos sistemas fallan precisamente donde usted los necesitaba: en el lenguaje ambiguo, en la cláusula que depende del marco regulatorio del sector, en la interacción entre un contrato marco y uno particular.

En un encargo del año pasado, un cliente de logística metió un software de este tipo para revisar sus contratos de arrendamiento bajo NIIF 16. El sistema clasificó como arrendamiento operativo lo que era claramente financiero porque no interpretó bien la cláusula de opción de compra. El equipo lo detectó en la revisión posterior. Ahora imagine que no lo hubieran detectado.

La NIA-ES 315.13 exige comprender la entidad y su entorno. Eso incluye aspectos cualitativos, sectoriales, específicos, que los modelos de lenguaje actuales no capturan con fiabilidad. El vendedor no le miente del todo (la herramienta sí lee texto). Le miente en el "evalúa riesgos", porque evaluar riesgos es juicio, y el juicio es suyo.

"IA que detecta fraude automáticamente"

Esto es el ejemplo de libro de cómo se vende humo. El folleto dice que el algoritmo identifica esquemas fraudulentos analizando patrones transaccionales. Los auditores que han implementado estas herramientas reportan tasas de falsos positivos del 40-60%. La mitad de las alertas que recibe el equipo son ruido. Acaban ignorándose. Y cuando algo pasa de verdad, la alerta se pierde entre las anteriores.

Las razones son concretas:

- Los esquemas de fraude evolucionan más rápido que los modelos - Las transacciones inusuales casi siempre tienen una explicación comercial legítima (y distinguirlas exige preguntarle al cliente) - La colusión directiva, que es donde realmente está el fraude material, no deja rastro transaccional detectable

La NIA-ES 240.32 obliga a mantener escepticismo profesional ante el riesgo de fraude de la dirección. Ese escepticismo es cualitativo. Es evaluar inconsistencias en explicaciones, carácter del directivo, presión financiera. Un algoritmo no hace eso, y el que le diga lo contrario está vendiendo una narrativa, no una herramienta.

"IA que sustituye la planificación"

Algunos proveedores prometen generar programas de trabajo completos a partir de cuatro datos del cliente. El resultado es un programa genérico que no refleja los riesgos específicos del encargo y que omite procedimientos exigidos por el contexto. Si usted acepta ese programa tal cual y firma el encargo, ha hecho un brindis al sol: la 300.8 exige que el plan refleje las circunstancias específicas, la 315.27 exige respuestas específicas a riesgos importantes, y la 330.6 exige que cada procedimiento conecte con la evaluación de riesgos. El output del sistema no conecta nada. Lo conecta el auditor.

Marco de decisión: cuándo usar IA

Criterios de adopción

La regla es sencilla. Use IA cuando:

- La tarea procesa datos estructurados con reglas claras - El resultado se puede verificar de forma independiente - Usted entiende cómo funciona el algoritmo lo suficiente para explicárselo al EQR - La herramienta cumple los requisitos de confidencialidad del encargo

No la use cuando:

- La tarea exige juicio sobre riesgos o sobre evidencia - El resultado afecta directamente a la conclusión sin revisión humana de por medio - El proveedor no explica cómo funciona el modelo (si le dicen "es propietario", mala señal) - Los datos del cliente salen a servidores externos sin controles documentados

Evaluación de la IA del cliente

Cuando el cliente usa IA en procesos relevantes para la información financiera, la 315.13 exige entender esos sistemas como parte del entorno de control. En la práctica, eso significa que el PT-315 tiene que cubrir cuatro cosas:

- Gobierno de datos. ¿Quién controla los datos que alimentan el modelo? - Transparencia. ¿El cliente entiende las decisiones que toma su propio sistema? - Controles de cambios. ¿Existe proceso para aprobar modificaciones del modelo? - Validación continua. ¿Alguien monitoriza la precisión?

Si el cliente usa IA para reconocimiento de ingresos, provisiones o valoraciones, evalúe los controles según 315.26. Aquí hay gente que sabe más que yo en ciberseguridad y en modelos, pero en lo que toca al auditor, la pregunta es siempre la misma: ¿puede usted obtener evidencia suficiente y apropiada sobre cómo funciona el control?

Caso práctico: Manufacturas Ibéricas S.L.

Datos de la entidad. Manufacturas Ibéricas S.L., fabricante de componentes industriales en Valencia, 45 millones de euros de cifra de negocio. La empresa implementó dos sistemas de IA el año pasado: uno de clasificación automática de gastos y otro de predicción de necesidades de aprovisionamiento.

Identificación

Durante la fase de conocimiento del cliente, el equipo identificó las dos implementaciones que afectan a información financiera y las documentó en el PT-315. Descripción funcional, impacto en procesos contables, controles que tiene el cliente alrededor.

Sistema de clasificación de gastos (primera evaluación)

El sistema procesa facturas en PDF, extrae los datos con OCR y las clasifica en cuentas del PGC con un modelo entrenado sobre datos históricos de la empresa.

Controles del cliente:

- El sistema marca con revisión manual toda factura con confianza inferior al 90% - Un técnico de contabilidad revisa las marcadas - Se revisa mensualmente una muestra del 5% de las clasificaciones automáticas

Primera conclusión del equipo: control automatizado efectivo según 315.26. Se incluye en la matriz principal.

Sistema de predicción de inventarios

Analiza demanda histórica, estacionalidad y pedidos pendientes para predecir compras de los próximos tres meses. Las predicciones afectan decisiones de compra, que a su vez afectan a la valoración de inventarios.

Riesgos identificados:

- No hay proceso de validación independiente de las predicciones - El modelo no captura factores cualitativos (cambio de preferencias, competencia nueva en el sector) - El responsable de compras sigue la predicción casi al pie de la letra

Respuesta del equipo: ampliar procedimientos de valoración de inventarios (análisis de rotación por línea, revisión de obsolescencia), y documentar la deficiencia en PT-315 con procedimientos adicionales en PT-330.

La complicación de cierre (donde todo se tuerce)

Llegamos al cierre. El senior estaba cruzando clasificaciones del sistema de gastos con el detalle del impuesto de sociedades y encontró algo raro. Partidas claramente de I+D estaban clasificadas como gasto general. Varias. No una.

Investigación. El modelo se entrenó con datos de 2018-2021, antes de que la empresa empezara a activar deducciones fiscales por I+D con peso. El training data no contenía el patrón, y el sistema, con su confianza del 90%, estaba clasificando facturas de I+D como gastos generales sin marcarlas. Falso negativo sistemático. Con impacto directo en la provisión del IS, porque la deducción aplicable cambia según la clasificación.

Tres opciones sobre la mesa:

- (a) Degradar el control a no efectivo y rehacer la matriz - (b) Mantener el control pero ampliar sustantivo sobre clasificación de I+D - (c) Reportar la deficiencia en la carta de recomendaciones

El Socio A y el Socio B discreparon abiertamente.

Socio A: hay que ir con (a). Si el modelo tiene un falso negativo estructural documentado, el control no es efectivo. Punto. Degradar, ampliar sustantivo sobre toda la cuenta de gastos, y reflejarlo en la matriz. Las herramientas de análisis de datos son supervivencia comercial (sin ellas no se baja el coste por encargo), pero el límite es que la documentación aguante una inspección.

Socio B: la degradación completa es desproporcionada. El control funciona bien para el 90% del volumen; el problema es específico de una categoría (I+D) y una causa identificable (sesgo del training data). Opta por (b) y (c): mantener el control, ampliar sustantivo sobre R&D, y comunicar al cliente la deficiencia por escrito. No hay guía específica del ICAC sobre controles de IA todavía, y sobredimensionar la respuesta nos pone en peor posición en el resto del encargo.

Resolución. El equipo fue con (b) + (c): ampliación sustantiva sobre la clasificación de I+D durante el año, revisión de toda partida superior a un umbral, confirmación del impacto en la provisión del IS, carta de recomendaciones al cliente con la deficiencia documentada. No se degradó el control en la matriz, pero se añadió una limitación explícita: "efectivo excepto para categorías cuyos patrones no estén presentes en el training data".

La conclusión del caso es incómoda: el sistema seguía siendo útil, pero el papel del auditor no se redujo. Se desplazó. El tiempo que el equipo ahorró en clasificación automática lo gastó en validar la propia automatización. En bruto, el encargo no fue más barato.

Lista de verificación práctica

1. Antes de incorporar IA en la firma. Verifique confidencialidad, y asegúrese de que puede explicar las limitaciones técnicas a un tercero.

2. Para herramientas de análisis de datos. Confirme que puede explicar la metodología al cliente y validar una muestra de resultados de forma independiente.

3. Al evaluar la IA del cliente. Documente en PT-315 cómo los sistemas afectan a procesos de información financiera y qué controles tiene el cliente alrededor.

4. Para sistemas complejos del cliente. Valore involucrar a un especialista según NIA-ES 620 si la tecnología supera el conocimiento técnico del equipo.

5. En la documentación. Explique cómo la herramienta contribuyó a obtener evidencia suficiente y apropiada. No basta con decir "usamos X". Hay que contar qué hace X y qué comprobó usted.

6. Lo principal. Mantenga escepticismo profesional ante las promesas del folleto. La IA automatiza tareas; el juicio sigue siendo suyo.

Errores comunes

Una observación que no va a encontrar en el discurso del vendedor. Los proveedores no venden IA. Venden una narrativa de productividad que permite al despacho bajar honorarios sin reconocer que baja la calidad. La IA actual es el disfraz contable de la presión comercial: el mercado paga menos, el equipo saca adelante con lo que hay, y la herramienta aparece como justificación para no admitir que se está auditando con menos horas de las necesarias. Cuando el ICAC inspeccione (si le toca), no verá algoritmos. Verá papeles.

Contenido relacionado

- Glosario: Controles automatizados: Definición y evaluación de controles que operan mediante tecnología. - Calculadora de materialidad: Cálculo de niveles de materialidad según NIA-ES 320. - Entrada futura: Auditoría de controles de IA. Procedimientos específicos para evaluar sistemas de inteligencia artificial del cliente.

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.