Tabla de contenidos

Requisitos de documentación según NIA-ES 315

La NIA-ES 315.13 establece que "el auditor debe obtener conocimiento de la entidad y de su entorno, incluido el control interno de la entidad, que sea suficiente para identificar y evaluar los riesgos de incorrección material". Esta no es una actividad superficial.

Qué debe incluir la documentación


Según NIA-ES 315.13, la documentación debe demostrar que el auditor ha obtenido conocimiento suficiente para:
La NIA-ES 315.A113 aclara que "la naturaleza y el alcance de la documentación están influidos por el tamaño y la complejidad de la entidad". Una entidad con 15 empleados requiere menos documentación que una con 1.500, pero ambas necesitan evidencia de que se comprendió el control interno.

Profundidad requerida por componente


No todos los componentes del control interno requieren el mismo nivel de detalle. La NIA-ES 315.A114 indica que el auditor debe documentar "los aspectos más significativos" de cada componente. Para empresas pequeñas, esto puede significar:
Ambiente de control: Documentar la actitud de la dirección hacia el control y la integridad, especialmente en áreas donde la segregación de funciones es limitada.
Evaluación de riesgos: Registrar cómo la entidad identifica riesgos de negocio relevantes para la información financiera.
Actividades de control: Enfocar en controles que aborden riesgos importantes identificados.

  • Identificar riesgos de incorrección material a nivel de los estados financieros y de las aseveraciones
  • Evaluar la probabilidad de ocurrencia y magnitud potencial de las incorrecciones
  • Diseñar procedimientos adicionales de auditoría que respondan efectivamente a los riesgos evaluados

Los cinco componentes del control interno

1. Ambiente de control


El ambiente de control forma la base de todos los demás componentes. La NIA-ES 315.14 requiere que el auditor obtenga conocimiento del ambiente de control.
Para documentar efectivamente:
Técnica de documentación: Use narrativas breves que conecten las características del ambiente con riesgos específicos. No liste características sin conectarlas a implicaciones de auditoría.

2. Proceso de evaluación de riesgos de la entidad


La NIA-ES 315.15 establece que el auditor debe obtener conocimiento de si la entidad tiene un proceso para identificar riesgos de negocio relevantes para los objetivos de información financiera.
Los elementos a documentar incluyen:
Para entidades pequeñas sin procesos formales, documente los procesos informales que la dirección usa para identificar y responder a riesgos.

3. Sistema de información y comunicación


La NIA-ES 315.18 requiere conocimiento del sistema de información, incluidos los procesos de negocio relacionados, relevante para la información financiera.
Documente:

4. Actividades de control


La NIA-ES 315.17 indica que el auditor debe obtener conocimiento de las actividades de control relevantes para la auditoría. No todas las actividades de control son relevantes.
Concentre la documentación en actividades de control que:

5. Seguimiento de controles


La NIA-ES 315.19 requiere conocimiento de las principales actividades que la entidad usa para dar seguimiento al control interno sobre la información financiera.
Documente:

  • Evalúe la integridad y valores éticos de la dirección mediante observación de comportamientos y políticas escritas
  • Documente la estructura organizacional y las líneas de autoridad y responsabilidad
  • Analice el compromiso con la competencia profesional a través de descripciones de puesto y programas de capacitación
  • Cómo la entidad identifica riesgos relevantes para la información financiera
  • La estimación de la significatividad de los riesgos identificados
  • La evaluación de la probabilidad de ocurrencia
  • Las acciones para abordar dichos riesgos
  • Las clases de transacciones significativas en las operaciones de la entidad
  • Los procedimientos de tecnología de información y manuales mediante los cuales se inician, registran, procesan e informan dichas transacciones
  • Los registros contables relacionados que respaldan la información financiera
  • Cómo el sistema de información captura eventos distintos de las transacciones que son significativos para los estados financieros
  • Se relacionen con riesgos importantes
  • Se refieran a riesgos para los cuales los procedimientos sustantivos por sí solos no proporcionan evidencia suficiente y apropiada
  • Sean consideradas relevantes para el juicio del auditor
  • Las fuentes de información utilizadas para las actividades de seguimiento
  • La base sobre la cual la dirección considera que la información es suficientemente confiable
  • Las acciones correctivas tomadas como resultado de las actividades de seguimiento

Métodos de documentación efectivos

Flujogramas de procesos


Los flujogramas proporcionan una representación visual clara de los flujos de transacciones y controles asociados. Son especialmente útiles para procesos complejos o cuando participan múltiples departamentos.
Elementos necesaries:

Narrativas detalladas


Las narrativas complementan los flujogramas proporcionando contexto y detalles que no se pueden capturar visualmente.
Una narrativa efectiva incluye:

Matrices de controles


Las matrices organizan la información de control en formato tabular, facilitando la evaluación y revisión. Las columnas típicas incluyen:

Cuestionarios de control interno


Los cuestionarios proporcionan estructura y consistencia, especialmente útiles para equipos de auditoría y entidades recurrentes.
Diseñe cuestionarios que:

  • Inicio y fin claramente definidos
  • Puntos de decisión marcados con rombos
  • Controles identificados con símbolos específicos
  • Responsabilidades asignadas por función o departamento
  • Descripción secuencial del proceso
  • Identificación de personal responsable
  • Frecuencia de las actividades de control
  • Excepciones y procedimientos alternativos
  • Proceso o ciclo
  • Riesgo identificado
  • Control relacionado
  • Responsable del control
  • Frecuencia del control
  • Evaluación preliminar
  • Se enfoquen en controles específicos del cliente
  • Requieran evidencia de respaldo para respuestas afirmativas
  • Incluyan seguimiento para respuestas negativas

Ejemplo práctico paso a paso

Constructora Mediterránea S.L., Valencia, facturación anual de €12,4 millones, 47 empleados, especializada en rehabilitación de edificios históricos.

Paso 1: Mapeo inicial del ambiente de control


Documentación: Entrevista con el director general y observación durante la visita inicial.
El director general, Miguel Herrera, fundó la empresa hace 15 años. Mantiene supervisión directa sobre todos los contratos superiores a €50.000 y revisa semanalmente los informes de proyecto. La empresa carece de un código de ética formal, pero las políticas de la empresa prohíben explícitamente conflictos de interés en la selección de subcontratistas.
Implicación para la auditoría: El fuerte liderazgo puede compensar algunos controles formales limitados, pero se requiere mayor atención a los controles de autorización en ausencia del director.

Paso 2: Documentación del ciclo de ingresos


Documentación: Flujograma del proceso desde la cotización hasta el cobro.
Contfunción determinante identificado: La aprobación dual (jefe de proyecto + director general) antes de la facturación mitiga el riesgo de reconocimiento prematuro de ingresos.

Paso 3: Evaluación del sistema de información


Documentación: Narrativa del software contable y controles de tecnología.
La empresa usa ContaPlus para el registro contable básico y un sistema específico del sector (ConstruManager) para el seguimiento de proyectos. Carmen realiza conciliaciones manuales mensuales entre ambos sistemas. Los respaldos se realizan diariamente de forma automática, pero no se prueba la restauración de manera regular.
Deficiencia identificada: La falta de pruebas de restauración de respaldos podría afectar la continuidad de las operaciones en caso de falla del sistema.

Paso 4: Documentación de actividades de control relevantes


Documentación: Matriz de controles para los ciclos significativos.
| Ciclo | Riesgo | Control | Responsable | Frecuencia | Evaluación |
|-------|--------|---------|-------------|------------|------------|
| Ingresos | Reconocimiento prematuro | Aprobación de facturación por jefe de proyecto | Jefe de proyecto | Por factura | Efectivo |
| Gastos | Pagos no autorizados | Firma dual en cheques >€1.000 | Miguel + Carmen | Por transacción | Efectivo |
| Nómina | Empleados ficticios | Revisión mensual de nómina por Miguel | Miguel Herrera | Mensual | Efectivo |
Conclusión: Los controles manuales son generalmente efectivos dado el tamaño de la entidad y la participación activa de la dirección.

Paso 5: Evaluación del seguimiento


Documentación: Revisión de informes de gestión y reuniones directivas.
Miguel recibe informes mensuales que incluyen: estado de proyectos activos, análisis de márgenes por proyecto, cuentas por cobrar vencidas y comparación presupuesto vs. real. Las desviaciones significativas se investigan durante reuniones mensuales con jefes de proyecto.
Fortaleza identificada: El seguimiento activo por parte de la dirección proporciona detección oportuna de problemas operativos y financieros.

  • Cotización: El jefe de proyecto prepara estimaciones basadas en visitas al sitio y especificaciones técnicas
  • Aprobación: Miguel Herrera revisa y aprueba todas las propuestas antes del envío
  • Ejecución: Los supervisores de obra reportan avances semanalmente usando formularios estándar
  • Facturación: La contable, Carmen López, prepara facturas basada en los reportes de avance aprobados por el jefe de proyecto
  • Cobranza: Carmen realiza seguimiento a las cuentas por cobrar y reporta mensualmente los saldos vencidos a Miguel

Lista de verificación práctica

Documentación mínima requerida

Evidencia de respaldo a obtener

Conexión con la evaluación de riesgos

  • Ambiente de control: Narrativa de 1-2 páginas que describa la actitud de la dirección, estructura organizacional y políticas principal
  • Evaluación de riesgos: Descripción de cómo la entidad identifica y responde a riesgos de negocio (formal o informalmente)
  • Sistema de información: Flujogramas o narrativas de los ciclos significativos (ingresos, gastos, nómina)
  • Actividades de control: Matriz o listado de controles principal con responsables y frecuencia
  • Seguimiento: Descripción de la supervisión de la dirección y acciones correctivas
  • Manuales de procedimientos o documentación de políticas (si existen)
  • Organigramas actualizados con líneas de autoridad
  • Ejemplos de reportes de gestión y evidencia de revisión por la dirección
  • Evidencia de funcionamiento de controles principal (firmas, sellos de fecha, iniciales de revisión)
  • Documentación de seguimiento de deficiencias previamente identificadas
  • Identificar deficiencias de control interno que afecten la evaluación de riesgos
  • Documentar la implicación de cada deficiencia en el diseño de procedimientos adicionales
  • Evaluar si las deficiencias son deficiencias significativas según NIA-ES 265
  • Planificar pruebas de controles donde sea apropiado y eficiente

Errores frecuentes

Documentación genérica: Copiar descripciones de controles de archivos anteriores sin verificar que apliquen a la entidad actual. Cada cliente tiene procesos únicos que deben documentarse específicamente.
Falta de conexión con riesgos: Documentar controles sin explicar cómo se relacionan con riesgos específicos identificados. La documentación debe demostrar el vínculo entre entendimiento y evaluación de riesgos.
Profundidad inadecuada para el tamaño: Aplicar el mismo nivel de documentación a entidades de 20 empleados que a entidades de 200. La NIA-ES 315.A113 requiere que la documentación sea proporcional al tamaño y complejidad.

Contenido relacionado

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.