Por qué el corte no basta (aunque el archivo parezca completo)

Lo primero que he visto fallar: el equipo obtiene la conciliación de cuentas por cobrar de diciembre, la firma el controlador, la aprueba el director financiero, y la sección se cierra en tres horas. Papeles limpios. Nadie pregunta por marzo. Nadie pregunta por julio. Y sin embargo, la opinión se emite sobre doce meses, no sobre el último día.

La NIA-ES 330.8 lo dice sin rodeos: cuando el auditor confía en los controles para reducir pruebas sustantivas, debe obtener evidencia sobre la efectividad operativa durante el periodo de confianza. Si ese periodo son doce meses y la evidencia es de uno, queda una brecha de once meses que la muestra de diciembre no cubre. La NIA-ES 315.26 (revisada) refuerza el mismo punto al exigir que la evaluación de controles internos considere cómo opera el control a lo largo del ejercicio, no en una fecha específica.

Lo que realmente ocurre en la práctica: el controlador ejecuta la conciliación cada mes, pero el equipo de auditoría solo revisa la última. Puede haber fallado en marzo, haberse corregido en abril y haber vuelto a fallar en agosto cuando cambiaron los maestros de clientes. Si usted prueba solo diciembre, no lo sabe. Y los saldos que concilian esas partidas se han ido acumulando durante todo el año.

Vaya por delante que hay CUECs que sí admiten prueba puntual (los cálculos de cierre, las provisiones actuariales anuales, los ajustes de deterioro). Pero son la excepción. El grueso de los CUECs con los que los equipos trabajan (conciliaciones mensuales, validaciones de nómina, revisiones de presupuesto, aprobaciones de facturas por límites) operan de forma continua. Esos son los que exigen cobertura del periodo completo.

Qué dice la NIA-ES 330.9 y dónde vive el juicio

La norma distingue entre controles que operan de forma continua y controles que operan en momentos puntuales. Para los primeros, exige muestreo que cubra el periodo de confianza. Para los segundos, basta con probar la ocurrencia concreta.

Controles que exigen cobertura continua (prueba mensual o trimestral): - Conciliaciones mensuales de cuentas por cobrar, por pagar y bancos - Validaciones mensuales de nómina (horas trabajadas contra horas pagadas) - Revisiones mensuales de gastos contra presupuestos por departamento - Aprobaciones de facturas de proveedores por límites de autorización - Revisiones de inventario perpetuo contra recuentos cíclicos

Controles que admiten prueba puntual: - Ajustes de cierre anual (provisiones, periodificaciones, reclasificaciones) - Cálculo anual de beneficios a empleados y planes de pensiones - Cálculo de impuesto de sociedades y provisión de contingencias fiscales - Evaluaciones anuales de deterioro de activos

La zona gris vive en los controles trimestrales y en los CUECs que cambian de frecuencia durante el año. Creo que conviene tratar los trimestrales como si fueran mensuales (mínimo una muestra por trimestre), porque en mi experiencia en firmas como la nuestra, los controles que se dicen "trimestrales" acaban ejecutándose con retraso o saltándose algún trimestre, y el archivo tiene que contar la historia completa cuando llegue el ICAC.

Cómo diseñamos el programa: muestreo sobre el periodo, no sobre el cierre

Para un cliente con ejercicio cerrado a 31 de diciembre, un programa razonable de CUECs mensuales cubre al menos cuatro meses distribuidos: uno del primer trimestre, uno de temporada alta (típicamente Q4), uno intermedio y el mes de cierre. En riesgo significativo de incorrección material, subimos a seis u ocho meses.

Para controles mensuales: mínimo cuatro meses representativos. Si el CUEC es crítico para aseveraciones de alto riesgo (integridad de ingresos, valoración de existencias, exhaustividad de pasivos), seis u ocho meses. Incluya siempre el mes de cierre para conectar con procedimientos sustantivos de corte.

Para controles más frecuentes (semanales o diarios): muestreo estadístico o por atributos bajo NIA-ES 530. Una muestra por mes como mínimo, concentrando más muestra en meses de mayor volumen transaccional (cierres de trimestre, temporadas comerciales).

Documentación que exige la NIA-ES 230.8: fecha del control probado, persona que lo ejecutó, datos de entrada (informe SAP, fichero Excel, extracto bancario), resultado obtenido, excepciones identificadas y seguimiento hasta su resolución.

La norma dice esto. Lo que ocurre en los archivos reales es otra cosa. Muchos equipos documentan "conciliación mensual realizada" y adjuntan un pantallazo de diciembre. La NIA-ES 500.6 exige evidencia apropiada y suficiente sobre la operación del control, no un testimonio de que el control existe. Si el papel de trabajo no incluye la conciliación original con firma y fecha del preparador y del aprobador, no hay evidencia. Hay un resumen.

Ejemplo práctico: Valdés Construcciones S.L.

Entidad: Valdés Construcciones S.L., Madrid, ingresos anuales 18,4 millones de euros, ejercicio 2024.

CUEC identificado: conciliación mensual de cuentas por cobrar preparada por el controlador financiero. Concilia el mayor general contra el aging del módulo AR de SAP, investiga diferencias superiores a 5.000 euros, obtiene aprobación del director financiero dentro de los cinco días hábiles siguientes al cierre del mes.

Programa de pruebas diseñado: conciliaciones de enero, abril, julio, octubre y diciembre de 2024. Cinco meses para un CUEC que sostiene la aseveración de exactitud y valoración sobre un saldo que, a cierre, representa el 31% del activo total.

Paso 1: obtenemos las cinco conciliaciones originales con firmas de preparador y aprobador. Las cinco aparecen firmadas dentro de plazo.

Paso 2: verificamos que la cifra del mayor general coincide con el aging SAP a la misma fecha de corte.

Nota de archivo: diferencias inferiores a 500 euros en los cinco meses. Enero muestra diferencia de 1.200 euros por una factura contabilizada el 2 de febrero pero fechada el 31 de enero. Apropiadamente investigada en el propio documento.

Paso 3: revisamos que las diferencias superiores a 5.000 euros se investigaron según el procedimiento.

Nota de archivo: julio presenta diferencia de 7.300 euros por cobro recibido pero no aplicado. El controlador lo identifica, lo aplica el mismo mes, y adjunta correo electrónico con el cliente confirmando el pago.

Paso 4: confirmamos aprobación del director financiero con firma y fecha en cada conciliación.

La complicación: cambio de ERP en agosto

Hasta aquí, todo limpio. En agosto de 2024, Valdés migró de SAP a Dynamics 365. La conciliación de agosto la prepara el controlador con datos extraídos de los dos sistemas (SAP hasta el 15 de agosto, Dynamics desde el 16). La firma. La aprueba el director financiero. Formalmente, el control operó.

Pero en septiembre aparece una diferencia de 42.000 euros entre mayor y subreporte que el controlador no consigue explicar en el plazo habitual. Tarda tres semanas en identificar el problema: los saldos de apertura en Dynamics se migraron con fecha 16 de agosto, pero dos clientes tenían facturas emitidas entre el 1 y el 15 que se cargaron dos veces (una vez en SAP en el mes original, otra vez en Dynamics en la apertura). La aprobación de septiembre llega el 22 de octubre, diecisiete días fuera del plazo de política interna.

¿Operó el control efectivamente durante el periodo? Formalmente sí en agosto (hay firma y fecha). Materialmente no en septiembre (la investigación no se resolvió dentro del ciclo). El socio necesita al cliente y la tentación es documentar "excepción aislada, sin impacto material" y seguir adelante. Creo que no es defendible, porque la naturaleza del fallo (migración de sistemas que afecta a la integridad de los saldos de apertura) es exactamente el tipo de riesgo que la NIA-ES 315.19 exige identificar como cambio significativo, y el CUEC falló en detectarlo oportunamente.

Lo que hicimos: ampliamos la muestra a agosto, septiembre y noviembre (los tres meses tocados por la migración y el siguiente estable), documentamos la deficiencia de control bajo NIA-ES 265, y ampliamos los procedimientos sustantivos sobre cuentas por cobrar al 31 de diciembre con confirmaciones positivas en lugar de negativas para la población afectada.

Socio A contra Socio B: cuántas veces hay que volver a probar

Aquí hay desacuerdo legítimo entre socios experimentados, y conviene reconocerlo en lugar de fingir que la norma resuelve la duda.

Socio A: "Si el CUEC falló en un mes, hemos de volver a probar los tres meses siguientes para confirmar que la remediación funciona. Si no, no podemos reducir alcance sustantivo en esa asevación. La NIA-ES 330.17 lo implica cuando exige respuesta ante deficiencias identificadas."

Socio B: "Volver a probar tres meses por una excepción aislada es desproporcionado. Si la causa raíz está identificada y la remediación es específica (no un genérico 'formaremos al equipo'), basta con confirmar la remediación en el mes siguiente y reforzar sustantivo solo para la aserción directamente afectada. Tres meses de pruebas adicionales consumen el presupuesto sin aportar garantía incremental."

Los dos tienen argumentos sólidos. El Socio A prioriza la defendibilidad del archivo ante una inspección del ICAC. El Socio B prioriza la proporcionalidad y el coste. En mi experiencia, la respuesta depende de la materialidad del saldo afectado y de si la causa raíz es sistémica (migración de sistemas, cambio de personal, reorganización de funciones) o específica (un error humano aislado con remediación inmediata).

Por qué la mayoría prueba una vez: la economía del encargo

No es por desconocimiento técnico. Todo el mundo sabe que la NIA-ES 330.8 exige cobertura del periodo. El problema es que el presupuesto del encargo se construyó asumiendo una prueba de cierre, y volver a pedir horas para cinco meses adicionales exige explicárselo al socio, que a su vez tiene que explicárselo al cliente. El socio necesita al cliente, el cliente necesita los honorarios contenidos, y el equipo necesita sacar adelante con lo que hay.

La segunda presión es la metodología heredada. Muchos programas estándar de las firmas todavía describen las pruebas de CUECs como "prueba de corte con indagación sobre el periodo", una redacción que se lee deprisa como "prueba de corte" y ya está. El año uno pasa, el año dos te pilla, y al tercero el archivo arrastra el patrón sin que nadie lo haya decidido conscientemente.

La tercera presión, menos discutida: muchos CUECs dependen de informes SOC 1 / ISAE 3402 del proveedor de servicios (típicamente el proveedor del ERP o del procesador de nóminas). Esos informes llegan a cierre, no durante el año, y el equipo recibe en enero el informe que cubre hasta septiembre. Los tres meses restantes (octubre, noviembre, diciembre) quedan sin cobertura por el informe del proveedor, lo que obliga a procedimientos complementarios que nadie presupuestó.

El insight que no está en la norma: la razón estructural por la que los equipos prueban una sola vez no es pereza ni desconocimiento, es que el modelo económico del encargo se construyó asumiendo que la prueba de corte era suficiente, y cambiar esa asunción requiere renegociar honorarios con el cliente. Hasta que eso no pase en la conversación comercial, las pruebas de CUECs seguirán concentrándose en diciembre.

Lista de verificación para el archivo

1. Identifique la frecuencia real, no la declarada. Un control descrito como "mensual" puede ejecutarse realmente cada seis semanas. Revise evidencia de ejecución continua antes de diseñar el muestreo.

2. Distribuya la muestra por el periodo. Un mes del primer trimestre, uno de temporada alta, uno intermedio, y el mes de cierre. Cuatro meses como mínimo para controles mensuales de riesgo normal.

3. Verifique los datos de entrada de cada CUEC. El control se ejecuta sobre un informe del sistema. Confirme que ese informe es completo y preciso para la fecha del control, no solo para la fecha de cierre.

4. Documente excepciones hasta su resolución. Una diferencia detectada no es evidencia de control efectivo. La evidencia es que la diferencia se investigó, se explicó y se corrigió dentro del ciclo del control.

5. Evalúe el impacto de cada fallo sobre el periodo afectado. Un fallo en marzo afecta la confiabilidad de los saldos de marzo, no solo del cierre. Determine si los sustantivos deben ampliarse para ese periodo.

6. Conecte con los sustantivos bajo NIA-ES 330.18. Los hallazgos de CUECs no terminan en la sección de controles. Informan el alcance, la naturaleza y el momento de los procedimientos sustantivos.

Errores que el archivo debe evitar

- Probar solo diciembre. Un control que falló en junio pero funcionó en diciembre no respalda la confiabilidad de los datos de junio. El expediente debe contar la historia del periodo entero.

- Documentar que el control "se ejecutó" sin adjuntar la evidencia. La NIA-ES 500.6 exige evidencia apropiada y suficiente. Un resumen del preparador no es evidencia del control; es evidencia de que alguien dice que el control existió.

- Cerrar excepciones sin seguimiento a la remediación. Encontrar una diferencia y pasar a la siguiente sección es la forma más rápida de que el ICAC abra un procedimiento. Si la diferencia se investigó, dígalo con fecha. Si no se investigó, evalúe como deficiencia.

Contenido relacionado

- Glosario: Controles de usuario final de cómputo (CUECs) - Definición técnica y requisitos de la NIA-ES 315 para identificar y evaluar CUECs.

- Herramienta: Plantilla de evaluación de controles internos NIA-ES 315 - Plantilla estructurada para documentar la identificación, evaluación y pruebas de controles internos incluyendo CUECs.

- Artículo: Cómo documentar deficiencias de control interno bajo NIA-ES 265 - Guía para evaluar y comunicar deficiencias encontradas durante las pruebas de CUECs.

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.