La tesis
La NIA-ES 315 (Revisada 2019) no falla porque las firmas no la lean. Falla porque la norma exige una evidencia granular (los cinco componentes, riesgo inherente separado del de control, los factores del párrafo A130) que el presupuesto de horas del encargo no absorbe. El equipo produce entonces la documentación que sobrevive a una revisión rápida: matrices con tres filas, plantillas genéricas, casillas con "no aplica". Marcar la casilla. Y el ICAC, con sus aproximadamente ocho inspectores para más de 21.500 auditores inscritos, encuentra año tras año las mismas deficiencias persistentes en aspectos esenciales del sistema de control de calidad.
Esto es el alegato del artículo: la calidad de la evaluación de riesgo es función directa de las condiciones económicas del encargo, no de la voluntad del equipo.
La trampa estructural del 315
Por qué el archivo siempre sale igual
Lo que realmente ocurre es que el socio firma una propuesta a 320 horas. La NIA-ES 315 R, leída de verdad, exige documentar los cinco componentes del control interno con la profundidad que pide A88-A125, evaluar el riesgo inherente con los factores específicos del A130 (complejidad, subjetividad, incertidumbre, susceptibilidad al sesgo) y separar esa evaluación de la del riesgo de control. Si usted hace eso bien para un cliente mediano, se le van entre 60 y 90 horas solo en planificación de riesgo. El presupuesto las prevé en 25.
A mí me pasa que, cuando entro a revisar un encargo así, lo primero que miro es el sello de horas reales contra horas presupuestadas en la fase de planificación. Si veo 18 horas, sé lo que voy a encontrar antes de abrir los PT: una matriz, tres riesgos importantes elegidos por inercia (ingresos, existencias, estimaciones), y los componentes del control interno despachados con un cuestionario de checklist relleno por el junior en la visita preliminar.
No es pereza. Es aritmética.
Lo que pide la NIA-ES 315.13 frente a lo que se entrega
La NIA-ES 315.13 obliga al auditor a "obtener conocimiento de la entidad y de su entorno, incluido su control interno, que sea relevante para la auditoría". El verbo es obtener, no resumir. El estándar contempla cuatro procedimientos obligatorios: indagaciones con la dirección (315.19), procedimientos analíticos preliminares (315.20), observación e inspección (315.21), más la evaluación de los cinco componentes (315.23).
En la práctica, lo que sobrevive en la mayoría de archivos pequeños y medianos es un cuestionario de indagaciones con la dirección donde la dirección responde lo que sabe que el auditor quiere oír, y un análisis horizontal de cuentas que se hizo ya con balance cerrado. El A130 (factores de riesgo inherente) aparece en el archivo como cuatro columnas en una tabla con la misma valoración "Medio" repetida.
Riesgo inherente y riesgo de control: la confusión deliberada
El párrafo 315.25 separa el riesgo inherente del riesgo de control precisamente porque la versión anterior de la norma permitía mezclarlos. Mezclarlos era cómodo. Si los controles funcionaban, uno bajaba el riesgo combinado y reducía pruebas sustantivas. La NIA-ES 315 R rompe ese atajo. Ahora hay que evaluar el riesgo inherente antes de los controles, considerando los factores del A130, y solo después decidir si los controles bajan el riesgo combinado.
Por lo que conozco, esta separación es donde más papeles están flojos. Las firmas que vienen de la NIA-ES 315 antigua siguen rellenando matrices con un único campo de "riesgo combinado" porque su software de auditoría aún no se ha adaptado, o porque adaptarlo cuesta dinero, o porque el socio prefiere no abrir esa caja durante la campaña.
Los cinco componentes, sin maquillaje
Ambiente de control (A84-A87)
El estándar pide evaluar integridad y valores éticos, compromiso con la competencia, participación del gobierno corporativo, filosofía de gestión, estructura organizativa y políticas de RR. HH. Seis dimensiones para un cliente de €30M con consejo no profesionalizado.
Lo que se hace bien: una entrevista con el responsable de RR. HH. y otra con el secretario del consejo, contraste con actas, observación directa en la visita.
Lo que se hace mal (con frecuencia): un cuestionario tipo de seis preguntas de "sí/no" que el director financiero rellena en el coche.
Evaluación del riesgo por la entidad (A88-A95)
Aquí el estándar pregunta si la entidad tiene un proceso propio para identificar riesgos. La mayoría de empresas medianas españolas no lo tiene formalizado. La pregunta no es si existe un mapa de riesgos certificado ISO; la pregunta es si la dirección piensa de forma estructurada en qué puede salir mal en sus estados financieros.
Cuando no hay proceso, el auditor debe documentarlo así, evaluar la deficiencia y planificar pruebas adicionales. Cuando uno escribe "el cliente cuenta con procesos informales pero efectivos de identificación de riesgos" sin más, eso es un brindis al sol.
Sistema de información (A96-A109)
Los procedimientos para iniciar, procesar, registrar y reportar transacciones, incluido el cierre. Aquí se concentra el trabajo real, sobre todo desde que las migraciones de ERP se han generalizado.
Actividades de control (A110-A118)
Preventivos, detectivos, manuales, automatizados, controles generales de TI. La NIA-ES 315 R obliga a entender los CGTI cuando el auditor planea apoyarse en controles automatizados. No basta con decir que el ERP "tiene controles".
Monitoreo (A119-A125)
Auditoría interna, comités de auditoría, revisiones gerenciales recurrentes. Si el cliente no tiene auditoría interna, el monitoreo se reduce a la supervisión del director financiero. Hay que documentarlo así, sin adornos.
Caso práctico: Industria Cerámica Valenciana S.A.
> Industria Cerámica Valenciana S.A. > > Fabricante de azulejos con sede en Castelló de la Plana. Ingresos: €28.400.000. Empleados: 240. Exporta el 70% de la producción a Francia, Italia y Portugal. Maneja tres líneas de producción automatizadas instaladas entre 2019 y 2022. ERP: SAP Business One implementado el 01/07/2025. Cierre 31/12/2025.
conocimiento de la entidad y su entorno
Procedimiento aplicado: revisión de documentación corporativa, informes de gestión del último ejercicio, actas del consejo de los últimos doce meses, estados financieros 2023 y 2024. Visita a planta el 15/11/2025, dos días.
Hallazgo principal: la empresa migró a SAP Business One el 01/07/2025. El sistema antiguo (Galdón ERP) se mantuvo en paralelo durante tres meses, hasta el 30/09/2025, exclusivamente para la facturación de exportación CIF a Francia e Italia, porque el módulo de Incoterms del nuevo ERP no tenía configurada la transferencia de riesgo en destino.
Implicación inmediata: la evaluación del riesgo de control no puede tratar el ejercicio 2025 como un único entorno tecnológico. Hay tres tramos:
| Tramo | Periodo | Sistema | Volumen aprox. ingresos |
|---|---|---|---|
| 1 | 01/01/2025 - 30/06/2025 | Galdón ERP (todos los flujos) | €13.800.000 |
| 2 | 01/07/2025 - 30/09/2025 | SAP B1 + Galdón en paralelo (export) | €7.900.000 |
| 3 | 01/10/2025 - 31/12/2025 | SAP B1 (todos los flujos) | €6.700.000 |
Esto es el tipo de complicación que los manuales no recogen. La práctica sí.
identificación de riesgos inherentes (A130)
Aplicando los cuatro factores del A130, y considerando los tres tramos del paso anterior:
Valoración de existencias: alto. Productos semiterminados con alto componente de mano de obra directa imputada vía órdenes de fabricación. La migración de ERP afecta la imputación de costes de la línea 3 (la más reciente, 2022) porque su maestro de rutas se reconfiguró durante la migración. Subjetividad alta, complejidad alta.
Reconocimiento de ingresos por exportación: alto durante el tramo 2. Bajo Incoterms CIF la transferencia de riesgo ocurre en destino. Durante el periodo de paralelismo, la facturación se generaba en Galdón pero los costes asociados (transporte marítimo, seguro) se imputaban en SAP B1. Reconciliación intersistemas semanal, hecha manualmente por el controller. Susceptibilidad al sesgo: el cierre del 30/09 coincide con el corte del paralelismo, justo antes del periodo de mayor presión comercial.
Estimación de obsolescencia de existencias: alto. Modelos descatalogados con dieciocho o más meses de antigüedad. La política de provisión es del 100% para más de 24 meses, 50% entre 18 y 24, 25% entre 12 y 18. Juicio gerencial significativo en la clasificación por familia.
Provisiones por garantías: medio. Histórico de tres años con métrica estable. Subjetividad moderada.
evaluación del riesgo de control por componentes
El equipo no puede confiar en los controles automatizados de SAP B1 para todo el ejercicio. La decisión es:
Tramos 1 y 2: prueba sustantiva ampliada sobre la facturación de exportación, con confirmaciones directas a clientes franceses e italianos representativos sobre fecha de transferencia de riesgo (no fecha factura). Selección no estadística orientada a operaciones de los días 28-30 de cada mes en el tramo 1 y 2.
Tramo 3: prueba de controles automatizados de SAP B1 (corte por fecha, cálculo de coste estándar, conciliación de inventario perpetuo) más prueba sustantiva reducida.
El A88-A125 obliga a documentar los cinco componentes en cada tramo donde el sistema cambie. Esto añade aproximadamente 35 horas al presupuesto inicial. El socio firmante autoriza el sobrecoste interno; no se factura al cliente porque el contrato es a precio cerrado y el cliente alegaría que la migración la conocían desde la propuesta.
riesgos importantes (315.28)
Tres riesgos importantes documentados:
1. Reconocimiento de ingresos durante el tramo 2 (paralelismo de sistemas). Justificación: complejidad técnica + susceptibilidad al sesgo en el corte trimestral. 2. Valoración de existencias línea 3 tras reconfiguración de maestros de rutas. Justificación: subjetividad alta en el reparto de costes indirectos. 3. Provisión por obsolescencia. Justificación: juicio gerencial y materialidad histórica.
Dos socios, dos enfoques: cuál es defendible
Esta es una discusión real que se oye en cualquier comité técnico de firma mediana española.
Socio A (firma de 30 personas, cliente de €28M): "Documentar los cinco componentes con la profundidad de A88-A125 para un cliente de este tamaño es desproporcionado. Uso una matriz reducida que cubre lo esencial y centro el esfuerzo en los riesgos importantes del 315.28. Si el ICAC me inspecciona, defiendo el criterio profesional."
Socio B (firma de 50 personas, cliente similar): "La NIA-ES 315 R no permite reducir granularidad por tamaño de cliente. La documentación de los cinco componentes es exigible siempre. Mi enfoque cubre todo, aunque consume horas que no facturo. Si me inspeccionan, gano. Si me inspeccionan a Socio A, depende del inspector."
Los dos tienen razones legítimas. La norma está del lado del Socio B en sentido estricto. La economía del encargo está del lado del Socio A. La diferencia entre ambos es el coste de un expediente disciplinario si llega la inspección, descontado por la probabilidad de que llegue.
El insight que la norma no le va a dar
Vaya por delante que esto es opinión del autor, no jurisprudencia. El equipo que rellena la matriz de riesgos en quince minutos no está siendo perezoso; está calculando que probablemente nadie del ICAC leerá ese papel, y que si lo lee, la sanción individual al socio firmante es menor que el coste de hacer la evaluación bien dentro del presupuesto que la firma cobró. Esa aritmética es la que la NIA-ES 315 R no resuelve, y por eso las inspecciones encuentran las mismas deficiencias persistentes año tras año.
Lista de verificación práctica
1. Documente el conocimiento de la entidad cubriendo: naturaleza del negocio, objetivos y estrategias, medición del rendimiento financiero, control interno relevante para la auditoría. 2. Aplique los cuatro procedimientos de evaluación del riesgo: indagaciones con la dirección (315.19), procedimientos analíticos preliminares (315.20), observación e inspección (315.21), más la evaluación de componentes (315.23). 3. Evalúe cada uno de los cinco componentes del control interno por separado, con calificación específica y soporte documental. 4. Identifique riesgos a nivel de estados financieros y a nivel de aseveración (315.25). 5. Aplique los criterios del 315.28 para riesgos importantes: naturaleza, magnitud potencial y probabilidad de ocurrencia. 6. Archive los PT en formato que permita supervisión externa: matriz de riesgos por tramos cuando proceda, memorándum de entendimiento, plan de respuesta de auditoría.
Errores frecuentes (los reales, no los del manual)
Evaluar controles preguntando "¿tienen controles?". No es prueba de efectividad operativa. Si usted no observa el control ejecutándose, no lo ha probado.
Mezclar riesgo inherente y riesgo de control en una sola valoración. La NIA-ES 315 R los separa y la inspección lo mira.
Plantillas genéricas sin adaptar al sector. Una plantilla industrial usada en un cliente cerámico, sin tocar los factores del A130, dice al inspector que el equipo no ha pensado el encargo.
Documentar componentes con frases tipo "el cliente tiene controles adecuados". Eso no documenta nada. Documente qué control, qué frecuencia, qué evidencia, qué deficiencia.
Contenido relacionado
- Glosario: riesgo inherente. Definición operativa según NIA-ES 315 y diferenciación frente al riesgo de control. - Matriz de evaluación de riesgos. Plantilla estructurada para los cinco componentes. - Guía NIA-ES 330: respuestas de auditoría. Diseño de procedimientos a partir de la evaluación bajo NIA-ES 315.