Tabla de contenidos

1. Marco regulatorio: qué exige la NIA-ES 300 2. Etapa 1: Comprensión previa de la entidad 3. Etapa 2: Evaluación de riesgos y materialidad 4. Etapa 3: Estrategia global de auditoría 5. Etapa 4: Plan detallado y procedimientos 6. Ejemplo práctico: Construcciones Mediterráneas S.L. 7. Lista de verificación práctica 8. Errores frecuentes 9. Recursos relacionados

Marco regulatorio: qué exige la NIA-ES 300

No es un documento de cumplimiento. Eso es lo primero que conviene decir, porque la mitad de los programas que he visto están escritos como si el lector fuera un inspector del ICAC y no el equipo que tiene que ejecutar el trabajo. Un buen programa se escribe para el junior que no estuvo en la reunión con el director financiero.

La NIA-ES 300.8 exige que el auditor establezca una estrategia global y desarrolle un plan de auditoría. La norma no da una plantilla. Se limita a enumerar los elementos mínimos: características del encargo, objetivos de información, calendario y naturaleza de las comunicaciones (NIA-ES 300.11), más la descripción de la naturaleza, calendario y alcance de los procedimientos (NIA-ES 300.12).

Lo que realmente ocurre es que la NIA-ES 300 asume que ya tiene la comprensión de la entidad bajo NIA-ES 315 y la materialidad bajo NIA-ES 320. En la práctica, las tres cosas se hacen a la vez, se contradicen, se revisan, y el plan que termina archivado en los PT rara vez coincide con el que se firmó en enero. Por lo que conozco, esto no es un fallo de método: es que la planificación es iterativa por naturaleza y la norma escribe sobre el resultado final, no sobre el proceso.

Por qué existe esta exigencia

El programa cumple tres funciones que el lector del manual rara vez separa. Primera: asigna horas a las áreas donde el riesgo vive de verdad (no donde el archivo del año pasado dijo que vivía). Segunda: deja constancia escrita de que la auditoría se planificó, lo cual el ICAC comprueba antes que nada cuando viene de inspección. Tercera, y la que más se descuida, comunica al equipo qué se espera de ellos. Si el senior tiene que preguntar qué muestra seleccionar, el programa ha fallado.

Etapa 1: Comprensión previa de la entidad

Aquí es donde los programas se tuercen con más frecuencia. El auditor nuevo abre la plantilla, rellena los apartados sobre "estructura del negocio" con lo que pone en la memoria de las CCAA del año anterior, y pasa al siguiente punto. El resultado es un programa que suena igual para una constructora familiar y para una tecnológica cotizada.

Información que necesita antes de escribir un solo procedimiento

Estructura del negocio y modelo de ingresos. ¿Cómo gana dinero esta entidad? Ventas directas, contratos plurianuales de construcción, arrendamientos operativos, servicios recurrentes con SaaS. La respuesta decide qué ciclo de transacciones pide más horas. En mi experiencia, auditores que se saltan esta pregunta terminan asignando las mismas horas a ingresos y a tesorería en una empresa donde el 80% del riesgo vive en reconocimiento de ingresos.

Marco de información financiera aplicable. PGC para entidades españolas no cotizadas, NIIF para grupos cotizados, marcos sectoriales específicos (entidades aseguradoras, sociedades de inversión). Esta decisión condiciona todos los procedimientos posteriores.

Entorno regulatorio sectorial. Construcción, farmacéutico, financiero, energético: cada sector añade normativa específica que crea riesgos más allá de los puramente contables. Lo que realmente ocurre es que esa normativa sectorial rara vez está en el manual de la firma y el senior tiene que buscarla por su cuenta.

Fuentes de información inicial

Las cuentas anuales del ejercicio anterior dan la estructura básica: principales partidas del balance, fuentes de ingresos, políticas contables. En auditoría inicial, pedir los informes de los tres últimos ejercicios al cliente es el mínimo. Si el cliente se resiste a entregarlos, ya tiene su primer indicador de riesgo.

Los documentos corporativos (escritura, poderes vigentes, actas de junta) revelan la estructura de gobierno y los límites a la actividad. Una SL familiar con el padre como administrador único opera de forma muy distinta a una filial de grupo cotizado con consejo y comité de auditoría.

La información sectorial (asociaciones del sector, estadísticas del INE, informes de competidores cotizados) da contexto sobre tendencias, presión competitiva y riesgos emergentes que afectan a toda la industria. Es la parte que más se salta el equipo cuando va mal de horas, y es donde suelen saltar los hallazgos más gordos cuando falla un sector.

Etapa 2: Evaluación de riesgos y materialidad

Aquí es donde empieza lo difícil. Con la comprensión inicial puede hacer evaluaciones preliminares. La palabra es "preliminares": van a cambiar durante el trabajo de campo. Pero necesita un punto de partida defendible.

Materialidad preliminar

La NIA-ES 320.10 exige determinar la materialidad para los estados financieros en conjunto al planificar la auditoría. Para entidades no cotizadas, el 5% del resultado antes de impuestos es el punto de partida habitual, ajustado por volatilidad de las ganancias y factores cualitativos.

Si el resultado antes de impuestos es volátil o no representativo (pérdidas recientes, operaciones excepcionales), use como benchmark alternativo el 0,5-1% de activos totales o el 0,5-1% de ingresos ordinarios. La materialidad de ejecución (performance materiality) suele moverse entre el 50% y el 75% de la materialidad global, según la evaluación preliminar del riesgo de control y el volumen de transacciones (NIA-ES 320.11).

Lo que el manual no dice: el 5% se elige muchas veces no porque sea el benchmark más apropiado, sino porque da una cifra de materialidad con la que caben las horas presupuestadas. Aquí está el incentivo perverso. Si calcula materialidad con el 0,5% de activos y sale una cifra mucho menor, va a tener que ampliar el tamaño de las muestras y el presupuesto no cuadra. El socio necesita el cliente, los honorarios están cerrados, y alguien empieza a buscar el benchmark que "tenga más sentido" dadas las circunstancias. La solución no es trucar el benchmark. La solución es documentar honestamente el que ha elegido y por qué, y si los honorarios no dan para el alcance, decirlo antes de firmar el encargo.

Identificación de riesgos significativos

Los riesgos significativos son los que requieren consideración especial en auditoría (NIA-ES 315.4(e)). No los puede identificar completamente sin hacer los procedimientos de evaluación del riesgo, pero sí puede anticipar algunos por la naturaleza del negocio.

Reconocimiento de ingresos es casi siempre riesgo significativo en entidades comerciales, sobre todo si hay contratos complejos, prestaciones de servicios a largo plazo, o incentivos de ventas cerca del cierre. La NIA-ES 240.26 presume el riesgo de fraude en reconocimiento de ingresos salvo que se pueda rebatir con argumentos sólidos.

Estimaciones contables complejas (deterioro de activos, provisiones para litigios, valoración de instrumentos financieros) requieren juicio significativo de la dirección y suelen llevar incertidumbre en la estimación. Son el territorio donde la auditoría deja de ser aritmética y empieza a ser pelar la cebolla para entender los supuestos que hay detrás.

Transacciones con partes vinculadas en entidades familiares o grupos. Pueden no estar a precio de mercado, pueden no estar completamente reveladas, y a veces el cliente ni sabe que son partes vinculadas hasta que el equipo se lo explica.

Evaluación preliminar del riesgo de control

Esta evaluación decide si confía en los controles internos o realiza procedimientos sustantivos extensos. En entidades pequeñas, con segregación de funciones limitada, el enfoque suele ser principalmente sustantivo. En entidades más grandes, una evaluación preliminar positiva de los controles permite reducir pruebas sustantivas, pero tendrá que diseñar pruebas de controles que soporten esa confianza.

Aquí hay un desacuerdo razonable entre socios. El Socio A dice: en una SL familiar con 45 empleados no hay controles que probar, vamos 100% sustantivo, ahorramos horas en pruebas de controles. El Socio B responde: hay controles básicos aunque sean informales (aprobación de facturas por el gerente, conciliaciones bancarias mensuales), y si los documentamos y probamos, reducimos sustantivos donde importa. Ambos tienen razón según el perfil concreto. En mi experiencia, la posición del Socio B produce mejores papeles cuando viene el ICAC, pero consume más horas en planificación. La decisión depende del presupuesto y del apetito del socio.

Etapa 3: Estrategia global de auditoría

La estrategia global es el documento de alto nivel que fija alcance, calendario y dirección. La NIA-ES 300.11 lista ocho elementos que debe abordar pero no da formato.

Elementos obligatorios de la estrategia

Características del encargo que definen su alcance. Marco de información financiera aplicable, requisitos sectoriales específicos, ubicación de componentes si es un grupo, fechas de los estados financieros.

Objetivos de información del encargo y comunicaciones. Fechas límite para la emisión del informe, reuniones principales con dirección y con el comité de auditoría o los responsables del gobierno, comunicaciones intermedias requeridas (por ejemplo, informes sobre deficiencias de control interno bajo NIA-ES 265).

Factores significativos, riesgos preliminares y áreas que requieren atención especial. Resultado de la evaluación preliminar del riesgo, riesgos significativos identificados, áreas de estimación contable compleja.

Naturaleza, calendario y extensión de recursos. Tamaño del equipo, necesidad de especialistas (valoración, informática, impuestos), asignación de horas por área significativa.

Formato práctico de estrategia global

Una estrategia útil ocupa dos o tres páginas y se lee en diez minutos. Más allá de eso, nadie la lee. Encabezados claros, nada de párrafos largos de teoría reciclados del manual de la firma.

Sección 1: Información básica del encargo (medio párrafo). Entidad, periodo auditado, marco aplicable, fechas principales.

Sección 2: Comprensión del negocio (un párrafo). Modelo de ingresos, principales riesgos del negocio, factores que afectan a este sector.

Sección 3: Evaluación preliminar del riesgo (una página). Riesgos significativos identificados, áreas de estimación contable, evaluación del entorno de control, enfoque de auditoría (principalmente sustantivo o mixto).

Sección 4: Recursos y calendario (medio párrafo). Miembros del equipo, fechas de trabajo de campo, fecha objetivo del informe.

Lo que realmente ocurre: la mayoría de las estrategias que he visto en firmas pequeñas son plantillas de la firma donde alguien ha sustituido el nombre del cliente y poco más. Cumplen formalmente los ocho puntos de la NIA-ES 300.11. No dirigen el trabajo. Si quien llegue nuevo al equipo en febrero no puede leer el documento y saber dónde concentrar sus horas, la estrategia no sirve.

Etapa 4: Plan detallado y procedimientos

El plan detallado convierte la estrategia en acciones concretas. La estrategia responde "qué" y "por qué"; el plan responde "cómo" y "cuándo."

Estructura del plan por ciclos de transacciones

Para la mayoría de entidades comerciales, organice el plan por ciclos lógicos: ingresos y cuentas por cobrar, compras y cuentas por pagar, nóminas, existencias, activos fijos, tesorería. Cada sección aborda la evaluación del riesgo y los procedimientos de respuesta.

Para cada ciclo significativo, el plan debe incluir:

Procedimientos de evaluación del riesgo. Indagaciones específicas con personal, observación de procesos críticos, inspección de documentación relevante, procedimientos analíticos preliminares.

Controles identificados y pruebas planificadas. Si planea confiar en controles internos, especifique qué controles va a probar y con qué frecuencia. El documento debe nombrar el control, el ejecutor, la evidencia del control, y el tamaño de muestra de la prueba.

Procedimientos sustantivos. Pruebas de detalle y procedimientos analíticos sustantivos, con tamaños de muestra preliminares y criterios de selección.

Procedimientos de auditoría específicos y ejecutables

Un procedimiento es ejecutable cuando otro auditor del equipo puede hacerlo sin volver a preguntarle. "Revisar contratos de ventas" no lo es. "Seleccionar una muestra de 25 contratos de ventas superiores a 50.000 euros del último mes del ejercicio, obtener el contrato firmado y la evidencia de entrega, y verificar que el reconocimiento de ingresos cumple el criterio de transferencia de control del PGC" sí lo es.

Para procedimientos analíticos, especifique la expectativa, la precisión aceptable, y la investigación adicional si las diferencias superan el umbral. "Comparar gasto de nómina con el ejercicio anterior e investigar variaciones superiores al 10% o 25.000 euros" es mejor que "realizar procedimientos analíticos sobre nóminas." Pero cuidado: el procedimiento analítico útil es el que parte de una expectativa independiente (por ejemplo, plantilla media x salario medio x 12 meses), no el que compara dos cifras. Esta distinción es la que separa el analítico sustantivo del analítico de marcar la casilla.

Para pruebas de detalle, indique el universo de selección, el método (estratificación, muestreo aleatorio, selección específica) y el tamaño de muestra. La NIA-ES 530 da orientación sobre muestreo. El plan debe reflejar decisiones específicas para este encargo, no el tamaño de muestra genérico de la plantilla.

Documentación y archivo

La NIA-ES 230.8 exige que la documentación sea suficiente para que un auditor experimentado, sin conexión previa con el encargo, entienda la naturaleza, el calendario, la extensión y los resultados de los procedimientos realizados.

El programa debe incluir una sección sobre la estructura del archivo de auditoría: qué PT va a crear, cómo se referencian entre sí, qué documentación de respaldo se guarda. Parece administrativo. Lo es. También es lo primero que el ICAC revisa cuando viene de inspección: si los PT no tienen una estructura clara, la revisión dura el doble y la pregunta "¿dónde está la evidencia de X?" tarda horas en contestarse.

Ejemplo práctico: Construcciones Mediterráneas S.L.

Antecedentes. Construcciones Mediterráneas S.L., empresa familiar de Valencia, proyectos de construcción residencial y comercial. Ingresos anuales de 8,2 millones de euros, 45 empleados, auditoría recurrente (tercer año). Marco aplicable: PGC.

Evaluación preliminar del riesgo y materialidad

Materialidad. Resultado antes de impuestos del ejercicio anterior: 485.000 euros. Aplicando el 5%: 24.250 euros, redondeado a 24.000 para permitir cálculos.

Documentación: "Materialidad global fijada en 24.000 euros, basada en el 5% del resultado antes de impuestos promedio de los dos últimos ejercicios (485.000 en 2023, 461.000 en 2022). Materialidad de ejecución: 18.000 euros (75% de la global, al considerar bajo riesgo de fraude y controles internos adecuados observados en ejercicios anteriores)."

Riesgos significativos identificados: - Reconocimiento de ingresos en contratos de construcción a largo plazo (algunos proyectos duran 18-24 meses) - Valoración de existencias de obra en curso - Provisiones para garantías y defectos de construcción

Documentación: "Riesgo de reconocimiento de ingresos considerado significativo por (1) complejidad en la determinación del grado de avance en contratos plurianuales, (2) juicio requerido para estimar costes totales del proyecto, (3) presión comercial para alcanzar objetivos de ingresos cerca del cierre del ejercicio."

Estrategia global de auditoría

Enfoque. Principalmente sustantivo, con pruebas de controles limitadas sobre nóminas (bien controladas) y aprobaciones de gastos importantes.

Recursos. Socio responsable, senior manager, dos auditores junior. Especialista en construcción para revisión de estimaciones de costes en contratos complejos superiores a 500.000 euros.

Calendario. Trabajo preliminar en enero (15 horas), trabajo de campo principal en marzo (80 horas), finalización en abril (25 horas).

Documentación: "Dado el tamaño de la entidad y la evaluación de riesgo de control (limitaciones inherentes por segregación de funciones restringida), adoptamos un enfoque principalmente sustantivo. Pruebas de controles limitadas sobre nóminas y aprobaciones de gastos de capital."

Procedimientos específicos para reconocimiento de ingresos

Procedimientos de evaluación del riesgo: 1. Indagar con el director técnico sobre métodos de estimación del grado de avance. 2. Obtener y revisar contratos vigentes superiores a 200.000 euros. 3. Observar el proceso de actualización mensual de los informes de avance de obra.

Procedimientos de respuesta: 1. Para una muestra de 8 contratos (todos los superiores a 500.000 euros más una selección de menores), recalcular el grado de avance basado en costes incurridos frente a costes totales estimados. 2. Verificar la razonabilidad de los costes totales estimados comparando con proyectos similares completados. 3. Para contratos iniciados en los últimos tres meses del ejercicio, realizar procedimientos de corte adicionales.

Documentación: "Selección de muestra: 8 de 23 contratos vigentes, que representan el 73% del total de ingresos por construcción. Criterio: todos los contratos superiores a 500.000 euros (5 contratos) más selección aleatoria de 3 contratos entre 100.000 y 500.000 euros."

La complicación

Lo que el procedimiento encontró no estaba en el plan. Al recalcular el grado de avance del Contrato 2023-15 (Residencial Torre Azul, presupuesto 1,8 millones), el ratio costes incurridos sobre costes totales estimados daba 75%. La dirección había registrado 85%. Diferencia en ingresos: 31.000 euros reconocidos de más. Supera la materialidad.

Hasta aquí es un hallazgo de manual. Pero al preguntar al director técnico por qué el grado de avance registrado era del 85%, la respuesta fue que habían "ajustado" la estimación de costes totales porque un proveedor había reducido precios en marzo. Es decir: no era que el avance físico de la obra fuera del 85%; era que habían recalculado el denominador para que el porcentaje subiera. El resultado contable era parecido. La cuestión de fondo era distinta.

Aquí es donde el juicio profesional aparece. ¿Error de estimación o indicio de fraude en reconocimiento de ingresos? La NIA-ES 240.35-37 exige evaluar si los ajustes identificados durante la auditoría son coherentes con otros indicios de sesgo de la dirección. Buscamos otros casos en la muestra. Encontramos dos más donde los costes totales estimados se habían revisado a la baja en el último trimestre. Pequeños, pero con el mismo patrón. El ajuste final se propuso por el total acumulado y se documentó como indicio de riesgo de reconocimiento anticipado para la auditoría del año siguiente.

Documentación: "Error identificado: reconocimiento anticipado de 31.000 euros en ingresos del Contrato 2023-15 (Residencial Torre Azul). Causa inmediata: revisión a la baja de costes totales estimados en el último trimestre sin evidencia suficiente de soporte. Patrón observado en dos contratos adicionales de menor cuantía. Impacto: sobrevaloración de ingresos y cuentas por cobrar. Ajuste propuesto y aceptado por la dirección. Comunicado al comité de dirección y marcado como área de atención para el encargo 2024."

Lista de verificación práctica

1. Antes de comenzar. Confirme el marco de información financiera aplicable y obtenga las CCAA de los dos ejercicios anteriores más el informe de auditoría del ejercicio precedente.

2. Evaluación preliminar. Calcule materialidad global y de ejecución con documentación del benchmark seleccionado. Identifique al menos tres riesgos significativos potenciales basados en la naturaleza del negocio.

3. Estrategia global. Documento de 2-3 páginas que aborda los ocho elementos de la NIA-ES 300.11, legible por cualquier miembro del equipo en 10 minutos.

4. Plan detallado. Cada procedimiento especifica qué hacer, con qué muestra, y qué umbral usar para investigación adicional. Un auditor experimentado puede ejecutar cualquier procedimiento sin consultas adicionales.

5. Revisión antes de comenzar trabajo de campo. Otro manager puede leer su programa y entender la lógica de conexión entre riesgos identificados y procedimientos diseñados.

6. Documentación según NIA-ES 230.8. Suficiente para que un auditor experimentado sin conexión previa con el encargo entienda las decisiones tomadas y los procedimientos planificados.

Errores frecuentes

Recursos relacionados

- Glosario: Estrategia de auditoría — Definición completa y diferencias con el plan de auditoría detallado - Calculadora de materialidad — Herramienta para calcular materialidad global y de ejecución con diferentes benchmarks - Plantilla de programa de auditoría NIA-ES 300 — Plantilla con secciones para estrategia global y plan detallado

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.