Lo que verá en este artículo
> - Por qué el walkthrough de NIA-ES 315.14 se queda en la entrevista y qué añadir para que valga como comprensión del control > - Qué documentar en cada paso para que la revisión del ICAC no señale que los papeles están flojos > - Cómo detectar bombas de relojería que el manual de procedimientos no cuenta > - Cuándo la evidencia del recorrido basta y cuándo toca prueba de controles de NIA-ES 330
Tabla de contenidos
- El fallo que se repite: el recorrido como trámite - Qué pide de verdad la NIA-ES 315 - Los elementos mínimos (y los que casi nadie hace) - Ejemplo práctico: Constructora Levantina S.A. - La disputa entre socios: ¿un recorrido basta? - Lista de verificación - Errores que cuestan sanciones - Contenido relacionado
El fallo que se repite: el recorrido como trámite
Antes de entrar en la norma, conviene describir lo que realmente ocurre sobre el terreno. No es lo que dice el manual de calidad.
Primero, el walkthrough lo hace el junior con menos meses de firma. Se le entrega la narrativa del año anterior y se le dice "pregunta si ha cambiado algo". La señora de administración contesta que no, el junior firma, el senior revisa la portada. Fin.
Segundo, el walkthrough se concluye antes de testar los controles override. El papel de trabajo sale a las dos semanas. El testeo del asiento manual de cierre llega en marzo. Para entonces, la conclusión "los controles del ciclo están bien diseñados" ya está sobre el expediente, y nadie vuelve a mirarla.
Tercero, cuando el proceso cambió a mitad de año (nuevo ERP, nueva persona, nueva sucursal), el recorrido se firma sobre el proceso viejo porque es el que está documentado. El nuevo no cabía en el presupuesto de horas.
En mi caso, cuando reviso expedientes ajenos, el 70% de los papeles de recorrido que he visto adolecen de uno de esos tres vicios. Y eso antes de mirar si alguien preguntó por las excepciones.
Qué pide de verdad la NIA-ES 315
La base normativa, sin adornos
La NIA-ES 315 revisada (vigente desde ejercicios iniciados a partir de 15 de diciembre de 2022 tras la transposición del ICAC) exige en su párrafo 14 que el auditor identifique y valore los riesgos de incorrección material mediante el conocimiento de la entidad y de su control interno. El recorrido como tal aparece en la Guía de Aplicación, párrafos A75 a A87 (antigua A91-A93), como un procedimiento particularmente útil para confirmar la comprensión del diseño de los controles y si se han implementado.
Dicho así, parece poco. En la práctica, lo que realmente ocurre es que el recorrido se convierte en la única evidencia que el equipo tiene del control interno hasta que empieza la fase de NIA-ES 330. Y ahí está la primera trampa. El recorrido sirve para validar el diseño, no la eficacia operativa. Confundir ambas cosas es el error que pagan las firmas en los requerimientos del ICAC.
Recorrido frente a prueba de controles: la línea que casi nadie dibuja bien
El recorrido bajo NIA-ES 315 contesta a dos preguntas: ¿existe el control como se describe? ¿está implementado? Nada más. Una sola transacción puede bastar (NIA-ES 315.A85) si el proceso es consistente.
La prueba de controles bajo NIA-ES 330.8 es otra cosa. Mide si el control opera eficazmente durante todo el período. Necesita una muestra diseñada. Si su conclusión del recorrido fue "el control existe y está implementado" y luego, en el memorando de riesgos, marca "confianza en controles: sí", sin prueba de eficacia adicional, el revisor le va a decir que falta chicha.
Por lo que he visto en los encargos que he llevado, ese salto, de comprensión a confianza, se documenta mal en tres de cada cinco expedientes que pasan por revisión de calidad.
Cuándo la Guía de Aplicación recomienda especialmente el recorrido
Los párrafos A75-A87 de la NIA-ES 315 sugieren el recorrido como particularmente valioso cuando:
- Los controles se apoyan en sistemas de TI complejos o integrados - La documentación del proceso es escasa o está desactualizada - El proceso cruza varios departamentos o centros - El control depende del juicio de una persona concreta
Faltaría añadir un cuarto supuesto, que la norma no recoge expresamente pero que en mi caso considero obligatorio: cuando el cliente viene de una rotación de personal reciente en puestos del ciclo. Porque el proceso descrito en la narrativa es el que hacía el anterior responsable. El nuevo llevará semanas haciéndolo a su manera. Ahí están las bombas de relojería.
Los elementos mínimos (y los que casi nadie hace)
Selección de la transacción: no sirva al cliente en bandeja
Lo típico: el cliente le da una factura "bonita", completa, del tamaño medio, con toda la documentación limpia. La tentación de usarla es enorme. No lo haga.
Elija usted. Siéntese con el listado completo del ciclo y seleccione una transacción que:
- Ocurriera durante el período auditado, no antes ni después - Represente el volumen y tipo habitual - Haya pasado por todos los controles principales - Esté cerrada (ni pendiente ni anulada)
Y añada una segunda selección, que la norma no exige pero la experiencia sí: una transacción inusual. Un importe fuera del rango normal, un cliente nuevo, una operación con parte vinculada, un ajuste de precio posterior. Si el proceso solo funciona bien con la transacción estándar, el recorrido no vale para su riesgo real.
Documentación: el test del auditor experimentado
La NIA-ES 230.8 exige documentación suficiente para que un auditor experimentado, sin contacto previo con el encargo, entienda la naturaleza, oportunidad y alcance de lo realizado. Para un recorrido, eso se traduce en:
Por cada paso observado: - Qué sistema o persona interviene - Qué control concreto se ha aplicado (no "el control de X", sino qué vio) - Evidencia física o electrónica de ese control (captura, firma, traza de sistema) - Excepciones observadas y cómo se resolvieron
Evidencia retenida en papeles: - Copias de documentos con marcas de control visibles (firmas, sellos, aprobaciones en pantalla) - Capturas con timestamp de los controles automáticos - Notas literales (entre comillas) de las respuestas del personal a preguntas sobre excepciones
Cuando digo notas literales, lo digo en serio. "El responsable de almacén confirmó que no se puede vender stock reservado" no es nota. "P. Sánchez: 'no, el sistema no me deja, solo el supervisor libera reservas, y eso queda en log'" sí lo es. El segundo aguanta una revisión del ICAC. El primero, no.
Preguntas operativas: donde está el valor real
El valor del recorrido no está en reproducir el manual. Está en las preguntas que el manual no contesta.
- "¿Qué hace usted cuando [condición excepcional]?" - "¿Cuántas veces al mes pasa esto?" - "¿Quién cubre su puesto cuando usted falta?" - "¿Qué datos mira antes de aprobar? Enséñeme." - "¿Alguna vez se ha saltado este control por urgencia? ¿Cómo se resolvió?"
La última pregunta es la importante. Y la que casi nadie se atreve a hacer.
Evaluación de deficiencias durante el recorrido
Una deficiencia, recordemos, existe cuando un control no está diseñado o no opera de manera efectiva para prevenir, o detectar y corregir, incorrecciones (NIA-ES 265.6). Las deficiencias que aparecen con más frecuencia en los recorridos que he revisado:
- Controles que dependen de una sola persona, sin suplente real - Aprobaciones que se firman a posteriori, sin revisión sustantiva - Controles automáticos que el administrador del sistema puede desactivar temporalmente - Segregación de funciones que se rompe por ausencias, vacaciones o bajas
Documente cada deficiencia con su impacto potencial a nivel de aseveración. Si el recorrido se queda solo en "todo funciona correctamente", el revisor va a sospechar, con razón, que no se preguntó lo que tocaba.
Ejemplo práctico: Constructora Levantina S.A.
El encargo
Constructora Levantina S.A. (Valencia) es una promotora de obra civil con cifra de negocio de 42,3 millones de euros y 180 empleados. Audita el grupo, cotiza en MAB Ampliado, tiene cuatro sucursales y dos UTEs activas. Salida a bolsa reciente, presión por crecer. El socio necesita el cliente.
El junior del equipo, con dos años de firma, recibe el encargo de hacer el recorrido del ciclo de ingresos. Presupuesto: 8 horas.
Transacción seleccionada por el junior: Factura nº 2024-15847 de 15 de octubre de 2024, cliente Manufacturas Valencia S.A., 24 unidades de componentes, importe 9.260 euros IVA incluido.
recepción del pedido
Proceso observado: Ana García (comercial) recibe el pedido por correo a las 09:45h del cliente habitual. Accede al ERP, verifica límite de crédito (125.000 euros disponibles frente a 9.260 del pedido), semáforo verde.
Evidencia: captura de pantalla del ERP con consulta de crédito, timestamp 09:47h, usuario ANA.GARCIA.
Pregunta operativa: "¿Qué hace cuando el límite está cerca del máximo?" Respuesta de Ana García (literal): "Llamo al departamento de administración para que revisen los pagos pendientes. Si hay facturas vencidas, no proceso el pedido hasta que se regularice."
reserva de stock
Proceso observado: Ana consulta inventario del producto VH-450, disponibles 156 unidades. Al procesar, el sistema reserva 24 automáticamente. Stock disponible pasa a 132.
Evidencia: impresión de inventario antes (156 ud) y después (132 ud) con timestamps del sistema.
Pregunta operativa: "¿Puede alguien vender las unidades reservadas a otro cliente?" Respuesta de Ana García (literal): "No, el sistema no permite vender stock reservado. Solo el supervisor de almacén puede liberar una reserva si el pedido se cancela."
autorización
Proceso observado: Pedido supera los 5.000 euros, por lo que necesita aprobación del jefe de ventas. Ana envía por workflow a Miguel Ruiz, que aprueba a las 11:20h.
Evidencia: copia del workflow con aprobación de M.RUIZ, timestamp 11:20h, comentario "Margen OK - Proceder".
picking
Proceso observado: El sistema genera orden de picking AP-2024-15847 a las 11:25h. Juan Martín la firma.
Evidencia: copia firmada, timestamp 11:25h.
preparación y envío
Proceso observado: Juan Martín cuenta 24 válvulas, verifica números de serie, firma a las 14:30h. SEUR recoge y firma albarán.
Evidencia: orden de picking con firma de J.MARTIN, albarán de transportista.
facturación
Proceso observado: Factura generada automáticamente al confirmarse la entrega. María José López revisa precios frente a tarifa vigente.
Evidencia: factura nº 2024-15847 con timestamp automático y revisión manual de M.J.LOPEZ.
Pregunta operativa: "¿Pueden facturar sin confirmación de entrega?" Respuesta literal: "El sistema no lo permite. La facturación se activa solo cuando el transportista confirma entrega en su sistema, que se sincroniza con el nuestro."
Conclusión preliminar del junior
Todo limpio. Segregación, controles automáticos, aprobaciones. Papel de trabajo redactado. Firma.
La complicación: la segunda pregunta del socio
Aquí llega el giro. El socio revisa el papel el viernes. Hace una única pregunta al junior: "¿Y la facturación por hitos de obra civil? Eso son 38 millones de los 42 de la cifra de negocio. ¿Pasa por este mismo circuito?"
El junior no lo sabe. Vuelve al cliente. Resulta que sí, que existe un proceso paralelo. Las certificaciones de obra se emiten desde el departamento técnico (no desde comercial), las firma el director de obra en papel (no por workflow), se pasan a administración que carga el importe manualmente en el ERP (no automáticamente desde el pedido), y se facturan sin verificación de entrega física porque "la entrega es el avance de obra, ya está certificado".
El recorrido del junior validó el 9% de la cifra de negocio. Dejó fuera el 91%.
Y en ese 91% hay exactamente lo que la Guía de Aplicación A75-A87 llama riesgo significativo: carga manual, sin control automático de verificación, con un único firmante sin suplente real (el director de obra), y con un criterio de reconocimiento (avance de obra) que depende del juicio de la misma persona que firma. Imagen fiel en peligro, si hay presión para reconocer ingresos anticipadamente. Bomba de relojería clásica.
El dilema de juicio
¿Qué hacer ahora? Hay dos caminos defendibles:
Opción A: ampliar el alcance del recorrido, hacer un segundo walkthrough completo sobre certificaciones de obra, documentarlo y mantener la valoración inicial de riesgo.
Opción B: reconocer que la evaluación preliminar de riesgos era incorrecta (se valoró el ciclo de ingresos asumiendo homogeneidad), reabrir el memorando de NIA-ES 315, revaluar riesgos, y replantear la estrategia de NIA-ES 330 para el ciclo completo.
Opino que la opción B es la correcta, porque el error no fue de ejecución del recorrido sino de comprensión previa de la entidad. Aplicar la opción A tapa el síntoma y deja el diagnóstico subyacente intacto. El socio debería reasignar horas del trabajo sustantivo hacia el ciclo de certificaciones, aunque eso signifique renegociar honorarios o comer margen. Si no lo hace, toca sacar adelante con lo que hay, y eso es justo lo que acaba en requerimientos.
La disputa entre socios: ¿un recorrido basta?
Conozco a dos socios que llevan años en firmas distintas y discuten esto cada vez que coinciden.
Socio A: "Un recorrido por clase significativa de transacciones basta, si el proceso no cambió respecto al año anterior. NIA-ES 315.A85 dice expresamente que una sola transacción puede ser suficiente. Añadir recorridos adicionales sin cambio de proceso es inflar horas que el cliente no va a pagar, y el socio necesita el cliente."
Socio B: "No estoy de acuerdo. El proceso descrito en la narrativa puede no haber cambiado, pero el cómo-se-hace-de-verdad depende de las personas. Si cambió el responsable del ciclo, si entró un nuevo controller, si la sucursal nueva lleva seis meses, eso es un proceso nuevo a efectos de control interno, aunque el flujograma sea idéntico. Hay que re-walkthrough. Siempre."
Los dos tienen argumento. El Socio A se apoya en la letra de la norma y en la eficiencia. El Socio B se apoya en que el control implementado vive en las personas, no en el diagrama. Por lo que conozco de la práctica del ICAC, la tendencia reciente de los requerimientos va hacia la postura del Socio B: cuando el supervisor encuentra rotación de personal en puestos sin re-walkthrough, lo marca. Pero la norma escrita todavía da cobertura al Socio A.
Mi posición, que no es la de ninguno de los dos: re-walkthrough siempre que haya rotación en puestos que firman o aprueban, o cuando el proceso cruce un sistema que se haya actualizado. El resto, confirmación escrita del responsable de que el proceso no ha cambiado, con nota literal, y una transacción de verificación. Intermedio, pero defendible.
Por qué esto se hace mal: la economía del recorrido
Vaya una observación sobre el fondo. El recorrido se factura como "planificación". El presupuesto de planificación lo aprieta la firma porque el cliente no ve valor en horas que no se traducen en una cifra en las cuentas anuales. Dentro de planificación, el recorrido cae al junior, que es el perfil más barato.
Pero el propósito real del recorrido (validar el diseño del control antes de confiar en él para modular el trabajo sustantivo) exige juicio de senior o de gerente. Exige saber qué preguntar cuando algo huele raro. Exige, como en el caso de Constructora Levantina, sospechar que un 42 millones de cifra de negocio no puede venir todo del mismo circuito. La economía horaria empuja la tarea hacia el perfil menos cualificado, precisamente el perfil al que la tarea más le conviene que sea rutinaria. Ahí está el círculo que produce recorridos-trámite.
Lo sabe el ICAC. Por eso los requerimientos recientes insisten tanto en la formación del personal asignado al encargo. No es casualidad.
Lista de verificación
1. Selección: ¿Seleccionó usted la transacción, o se la eligió el cliente? ¿Añadió una transacción inusual?
2. Alcance: ¿Confirmó que la transacción seleccionada representa la totalidad del ciclo, o existen procesos paralelos (hitos, certificaciones, contratos marco) que requieren recorrido separado?
3. Seguimiento completo: ¿Documentó cada paso desde origen hasta contabilización final, con todos los sistemas y personas?
4. Evidencia de controles: ¿Obtuvo evidencia física o electrónica de que cada control operó, no solo que figura en el manual?
5. Excepciones: ¿Preguntó al personal cómo manejan situaciones atípicas, quién cubre ausencias, y si alguna vez se saltaron el control? ¿Tiene las respuestas literales?
6. Segregación de funciones: ¿Verificó que autorización, procesamiento y registro los hacen personas distintas, con accesos adecuados y suplentes reales?
7. Rotación: ¿Comprobó si hubo cambios de personal en puestos del ciclo desde el año anterior? Si los hubo, ¿hizo re-walkthrough?
8. Documentación NIA-ES 230.8: ¿Permiten sus papeles que un auditor experimentado reconstruya lo que hizo y concluya lo mismo?
Errores que cuestan sanciones
- Copiar el walkthrough del año anterior sin refrescar. El ICAC lo detecta por timestamps de la narrativa. Es una de las tres señales que más aparecen en requerimientos.
- Confiar en la narrativa del cliente. El manual de procedimientos describe el proceso diseñado. El recorrido debe observar el implementado. Si los papeles solo transcriben el manual, los papeles están flojos.
- No preguntar por excepciones. Los controles funcionan el 95% del tiempo. El riesgo vive en el otro 5%.
- Concluir el recorrido antes de testar override. El asiento manual de cierre, la aprobación de ajustes, el acceso del administrador de sistema. Si el recorrido termina antes de eso, falta chicha.
- Saltar de comprensión a confianza sin prueba de eficacia. Recorrido es NIA-ES 315. Confianza en controles para modular el sustantivo es NIA-ES 330.8. Son dos procedimientos, no uno.
Contenido relacionado
- Evaluación de riesgos según NIA-ES 315: cómo los recorridos alimentan la identificación de riesgos de incorrección material - Calculadora de tamaños de muestra para pruebas de controles: cuando el recorrido concluye que hace falta prueba de eficacia - Documentación de controles internos: papeles que aguantan revisión del ICAC