Qué exige la NIA-ES 315 (Revisada 2019)

Marco conceptual de la evaluación del riesgo


La NIA-ES 315 (Revisada 2019), efectiva desde diciembre de 2021, reorganizó completamente el enfoque de evaluación del riesgo. El párrafo 315.13 establece que el auditor debe "obtener conocimiento de la entidad y de su entorno, incluido su control interno, que sea relevante para la auditoría". Esta no es una revisión superficial del negocio. Es una evaluación estructurada de cada componente que afecta el riesgo de incorreción material.
El párrafo 315.25 introduce el concepto de "riesgo inherente" separado del "riesgo de control". El riesgo inherente considera la susceptibilidad de una aseveración a incorrecciones antes de los controles. Los factores que influyen en esta susceptibilidad incluyen: el grado de subjetividad en la medición, la complejidad de los cálculos, la incertidumbre en las estimaciones contables, y el grado de juicio gerencial requerido.

Los cinco componentes del control interno


La NIA-ES 315.23 mantiene los cinco componentes tradicionales pero los redefine con mayor granularidad:
Ambiente de control (315.A84-A87): Incluye la integridad y valores éticos, el compromiso con la competencia profesional, la participación del gobierno corporativo, la filosofía de gestión, la estructura organizacional, y las políticas de recursos humanos.
Evaluación del riesgo por la entidad (315.A88-A95): El proceso de la entidad para identificar riesgos relevantes para los objetivos de información financiera, estimar la importancia de los riesgos, evaluar la probabilidad de ocurrencia, y decidir sobre las acciones para gestionarlos.
Sistema de información (315.A96-A109): Los procedimientos y registros establecidos para iniciar, procesar y reportar las transacciones de la entidad, incluyendo los procesos de cierre de los estados financieros.
Actividades de control (315.A110-A118): Las políticas y procedimientos que ayudan a asegurar que se llevan a cabo las instrucciones de la gerencia, incluidos controles preventivos, detectivos, manuales, automatizados, y controles generales de TI.
Monitoreo de controles (315.A119-A125): El proceso para evaluar la efectividad del desempeño del control interno a lo largo del tiempo, incluidas evaluaciones continuas, evaluaciones separadas, y la comunicación de deficiencias.

Ejemplo práctico paso a paso

> Industria Cerámica Valenciana S.A.

Fabricante de azulejos con sede en Castelló de la Plana. Ingresos: €28,4 millones. Empleados: 240. Exporta el 70% de la producción a Francia, Italia y Portugal. Maneja tres líneas de producción automatizadas instaladas entre 2019-2022.

Paso 1: Conocimiento de la entidad y su entorno


Procedimiento: Revisar la documentación corporativa, informes de gestión del último ejercicio, actas del consejo de los últimos 12 meses, y estados financieros de los dos ejercicios anteriores.
Nota de documentación: Resumen de 2 páginas de la estrategia comercial, mercados objetivo, principales competidores, y cambios notables en el año.
hallazgos principal: La empresa implementó un nuevo sistema ERP (SAP Business One) en julio 2023. Los ingresos por exportación aumentaron 34% interanual debido a la recuperación post-COVID del sector construcción europeo.

Paso 2: Identificación de riesgos inherentes


Procedimiento: Aplicar el modelo de factores de riesgo inherente del párrafo 315.A130: complejidad, subjetividad, incertidumbre, y susceptibilidad al sesgo gerencial.
Nota de documentación: Tabla de riesgos inherentes por ciclo de transacciones con valoración alta/media/baja para cada factor.
Riesgos identificados:

Paso 3: Evaluación del control interno por componentes


Procedimiento: Documentar cada uno de los cinco componentes mediante indagación con la dirección, observación directa, e inspección de evidencia soporte.
Nota de documentación: Matriz de evaluación de controles con calificación por componente y identificación de deficiencias significativas.
Ambiente de control: El código de ética se revisó en 2023. El comité de auditoría se reúne trimestralmente. Dos consejeros independientes nombrados en 2022.
Sistema de información: Nueva aplicación ERP completada. Conciliaciones automatizadas operativas. Proceso de cierre reducido de 15 a 8 días laborables.

Paso 4: Identificación y documentación de riesgos importantes


Procedimiento: Evaluar si algún riesgo identificado califica como "significativo" según la NIA-ES 315.28: riesgos que requieren consideración especial de auditoría.
Nota de documentación: Memorándum de riesgos importantes con justificación individual y respuesta de auditoría planificada.
Conclusión: Tres riesgos importantes identificados. La valoración de inventarios requiere especialista interno. Los ingresos por exportación necesitan confirmaciones directas con clientes franceses e italianos. El nuevo sistema ERP requiere pruebas de controles automáticos sobre cálculo de costes.

  • Valoración de inventarios (Alto): Productos semi-terminados con alto componente de mano de obra directa
  • Ingresos por exportación (Medio): Reconocimiento bajo Incoterms CIF con transferencia de riesgo en destino
  • Estimación de obsolescencia (Alto): Modelos descatalogados con 18+ meses de antigüedad

Lista de verificación práctica

  • Documente el conocimiento de la entidad en cinco áreas específicas: naturaleza de la entidad, objetivos y estrategias, medición y revisión del rendimiento financiero, control interno relevante para la auditoría.
  • Aplique los cuatro procedimientos de evaluación del riesgo obligatorios: indagaciones con la gerencia (NIA-ES 315.19), procedimientos analíticos (315.20), observación e inspección (315.21).
  • Evalúe cada componente de control interno por separado: complete la matriz de los cinco componentes con calificaciones específicas por cada área evaluada.
  • Identifique riesgos a dos niveles: estados financieros (afectan múltiples aseveraciones) y aseveración (específicos de saldos de cuentas o clases de transacciones).
  • Determine riesgos importantes aplicando los criterios del párrafo 315.28: naturaleza del riesgo, magnitud potencial de incorreción, y probabilidad de ocurrencia.
  • Archive la documentación en un formato que permita supervisión: matriz de riesgos, memorándum de entendimiento, y plan de respuesta de auditoría específico.

Errores frecuentes

Evaluación superficial de controles: Limitarse a preguntar "¿tienen controles?" en lugar de probar la efectividad operativa de controles específicos.
Mezclar riesgo inherente y de control: No separar la susceptibilidad natural de una aseveración de la efectividad de los controles que la mitigan.
Documentación genérica: Usar plantillas estándar sin adaptar las evaluaciones a las circunstancias específicas del cliente y su sector.

Contenido relacionado

Glosario: Riesgo inherente - Definición completa según la NIA-ES 315 y cómo diferenciarlo del riesgo de control
Matriz de evaluación de riesgos - Plantilla estructurada para documentar los cinco componentes del control interno
Guía NIA-ES 330: Respuestas de auditoría - Cómo diseñar procedimientos que respondan a los riesgos identificados bajo la NIA-ES 315

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.