Contenidos

1. El vínculo entre riesgo evaluado y respuesta 2. Respuestas generales: lo que se exige antes de abrir el programa 3. Procedimientos adicionales: dónde se decide la auditoría 4. Constructora Mediterránea S.L.: cuando un papel no cuadra 5. Lista de verificación para respuestas defensibles 6. Errores frecuentes en la aplicación 7. Contenido relacionado

El vínculo entre evaluación de riesgos y respuestas

En la práctica, el equipo abre el archivo del año anterior, copia el programa, y modifica fechas y firmas. La NIA-ES 330.6 dice otra cosa: el auditor debe diseñar y aplicar procedimientos adicionales cuya naturaleza, momento de realización y extensión respondan a los riesgos evaluados a nivel de aseveración. La palabra "respondan" hace todo el trabajo. No dice "se relacionen con". Dice "respondan".

Si el riesgo evaluado es la integridad de los ingresos por debilidades de corte, los procedimientos van al corte. Si el riesgo evaluado es la exactitud de las provisiones por estimaciones complejas, los procedimientos van a las técnicas de estimación. No es difícil de entender. Es difícil de hacer cuando el archivo del año anterior ya tiene un programa cómodo y el plazo aprieta.

Hay una zona gris legítima. Un control que funcionó el año pasado, en una entidad estable, con el mismo personal y los mismos sistemas, puede mantener una respuesta parecida. Lo que no puede ocurrir es que la respuesta se herede sin que nadie compruebe si el riesgo subyacente sigue siendo el mismo. El año pasado no es este año.

Las tres palancas y cómo se mueven

La NIA-ES 330.A9 da tres palancas: naturaleza, momento y extensión. Yo creo que la más maltratada es la naturaleza. Subir el tamaño de muestra es fácil de defender ante el revisor. Cambiar el tipo de procedimiento exige pensar.

Naturaleza. A mayor riesgo, evidencia más fiable. Para riesgo alto, eso suele significar evidencia externa, procedimientos sustantivos sobre pruebas de controles, y procedimientos diseñados para el riesgo concreto, no genéricos para el área. Yo no aceptaría una respuesta a un riesgo significativo que descanse solo en analíticos sustantivos, porque la NIA-ES 330.15 exige pruebas de detalle y los analíticos rara vez son suficientemente precisos en pymes para detectar incorrecciones materiales en saldos volátiles.

Momento. Riesgo alto, sobre todo cuando hay indicios de fraude, no se prueba en fecha intermedia. La NIA-ES 330.A10 lo apunta y el sentido común lo confirma: cuanto más cerca del cierre, menos margen para que la entidad maquille. Si el equipo hace circularizaciones a 30 de septiembre porque "es más cómodo", los papeles están flojos.

Extensión. A mayor riesgo, mayor muestra y mayor profundidad por elemento (NIA-ES 330.A17). Es la palanca que más se mueve sola en la práctica, porque es la más fácil de documentar. Pero ampliar muestra sobre un procedimiento que no responde al riesgo es ampliar la nada.

Respuestas generales a nivel de estados financieros

Antes de tocar procedimientos específicos, la NIA-ES 330.5 exige respuestas generales. La realidad de los archivos es que esta sección suele resolverse con un párrafo genérico copiado de la metodología del despacho. No vale.

Asignación de personal y supervisión

Cuando el entorno de control es débil o el riesgo de fraude por la dirección es alto, la NIA-ES 330.A2 sugiere personal más experimentado, supervisión reforzada, e impredecibilidad. Tradúzcalo: si el cliente es una EIP con un consejo cuestionable o una pyme con un propietario-director omnipresente, el senior de tres años no firma la sección de ingresos. Punto.

En mi caso, cuando hay concentración de poder en el director propietario, una respuesta general útil es que el gerente revise en tiempo real las decisiones de muestra, no al cierre del archivo. Revisar al final es revisar conclusiones. Revisar durante es dirigir el trabajo, que es lo que la NIA-ES 330.A2 está pidiendo cuando habla de mayor supervisión.

Elementos de impredecibilidad

La NIA-ES 330.A3 exige impredecibilidad cuando hay riesgos importantes de fraude. Procedimientos sobre saldos no probados el año anterior, cambios en el momento, técnicas asistidas por ordenador para muestrear, visitas no anunciadas. Si el cliente sabe exactamente qué obras va a visitar el equipo el 15 de diciembre porque siempre son las tres mismas, eso no es impredecibilidad. Es agenda.

Diseño de procedimientos adicionales por riesgo

Aquí es donde se decide la auditoría. Lo que realmente ocurre es que muchos equipos pasan más tiempo formateando el programa que decidiendo qué procedimiento responde a qué riesgo.

La discusión legítima entre socios

Pongamos dos posiciones que conviven en cualquier despacho:

Socio A. "Pruebas de controles primero. Si los controles funcionan, las sustantivas pueden ser menos extensas y el archivo es más eficiente. La NIA-ES 330.8 lo permite."

Socio B. "En pymes, las pruebas de controles son una ilusión. Los controles dependen del propietario-director, y testar un control es testar a una persona. Yo voy sustantivo desde el inicio. La NIA-ES 330.8 también lo permite."

Los dos pueden citar la misma norma. La elección no la resuelve la metodología por defecto del despacho — la resuelve el entorno de control real del cliente. Y un EQR razonable aceptará cualquiera de las dos posturas siempre que la conexión riesgo-respuesta esté documentada.

Pruebas de controles versus sustantivas

La NIA-ES 330.8 dice que cuando el enfoque es solo sustantivo, los procedimientos deben incluir pruebas de detalle, analíticos sustantivos, o ambos. Para riesgo significativo, la NIA-ES 330.15 endurece: si el enfoque es solo sustantivo, hay que incluir pruebas de detalle. Sí o sí.

¿Por qué pruebas de detalle obligatorias para riesgo significativo? Porque los analíticos miden expectativas, y si la incorrección es material y deliberada, la expectativa puede estar contaminada por los mismos datos que la generan. Es un círculo que la norma cierra exigiendo evidencia transaccional.

Analíticos como sustantivos: cuándo sí

La NIA-ES 330.A16 fija las condiciones para que un analítico sustantivo sea suficiente:

- Expectativa suficientemente precisa para detectar una incorrección material - Datos fiables para construir la expectativa - Diferencia aceptable fijada en un nivel apropiado

En pymes con datos internos sin segregación, datos sin desagregación mensual, y poblaciones volátiles, estas tres condiciones se cumplen rara vez. Por lo que conozco, los analíticos sustantivos funcionan en saldos estables y predecibles (gastos de personal con plantilla constante, alquileres con contratos fijos) y casi nunca en ingresos de obra o en provisiones de juicio.

Documentación de la conexión riesgo-respuesta

La NIA-ES 330.28(a) exige documentar las respuestas generales y la naturaleza, momento y extensión de los procedimientos adicionales, vinculados a los riesgos evaluados a nivel de aseveración.

La vinculación tiene que ser explícita. No vale una sección de "procedimientos estándar" seguida de otra de "riesgos identificados" y dejar que el revisor adivine cómo se conectan. Cada procedimiento dice qué riesgo cubre y por qué esa naturaleza, ese momento y esa extensión son los apropiados para ese nivel. Si el revisor del ICAC tiene que reconstruir el razonamiento, los PT no aguantan.

El gran error en NIA-ES 330 no es responder mal a un riesgo identificado. Es identificar un riesgo y luego diseñar una respuesta que el archivo del año anterior ya tenía, porque entonces la "evaluación" fue decorativa y la respuesta es un fósil.

Ejemplo práctico: Constructora Mediterránea S.L.

> Constructora Mediterránea S.L. > Madrid: Auditoría 2024 > > Ingresos anuales: 12,4 millones € > Plantilla: 67 empleados > Actividad: Construcción residencial y rehabilitación > Materialidad global: 372.000 €

Lo que se hizo, paso a paso

Paso 1. Riesgos evaluados bajo NIA-ES 315.

Dos riesgos importantes:

- Reconocimiento de ingresos por obras en curso (riesgo alto: existencia y corte) - Valoración de inventarios de obra (riesgo moderado-alto: valoración)

Documentación: Matriz de riesgos con referencia cruzada a conclusiones NIA-ES 315.25.

Paso 2. Respuestas generales.

Entorno de control con concentración en el director propietario. Respuestas:

- Gerente senior revisa selecciones de muestra para ambos riesgos importantes - Revisión en tiempo real de conclusiones sobre estimaciones (no al cierre del archivo) - Visita no anunciada a obra seleccionada aleatoriamente

Documentación: Decisiones de dotación de personal con justificación por riesgo evaluado.

Paso 3. Procedimientos adicionales por riesgo.

Para ingresos por obras en curso (riesgo alto):

- Naturaleza: confirmación externa con subcontratistas, inspección física del estado de obras, recálculo independiente del porcentaje de finalización - Momento: procedimientos ejecutados entre el 28 y el 31 de diciembre de 2024 (no fecha intermedia) - Extensión: muestra de 8 obras (85% de cobertura del saldo) frente a 3 obras en la auditoría anterior

Documentación: programa detallado vinculando cada procedimiento al componente específico del riesgo evaluado.

Para inventarios de obra (riesgo moderado-alto):

- Naturaleza: arqueo físico, revisión de facturas de compra posteriores, evaluación independiente de obsolescencia - Momento: arqueo a 31 de diciembre, procedimientos de valoración en enero de 2025 - Extensión: 100% de arqueo de materiales >5.000€, muestreo estadístico para el resto

Documentación: conexión explícita entre la metodología de valoración probada y la naturaleza del riesgo identificado.

Paso 4. Lo que ocurrió en campo.

Aquí viene lo interesante. En la circularización con un subcontratista de una de las 8 obras, la respuesta no reconcilia con el porcentaje de avance que la entidad había declarado al cierre. Diferencia: pequeña en términos de materialidad de ejecución, pero conceptualmente fea, porque toca directamente la aseveración de existencia/corte que era el riesgo significativo.

¿Qué hace el equipo? Tres caminos:

1. Tratarlo como caso aislado de mala documentación del subcontratista 2. Ampliar la muestra de obras y volver a circularizar 3. Subir el riesgo evaluado a "indicio de fraude" y reabrir la conversación con el socio

La norma no resuelve esto. Lo resuelve el equipo. En mi caso, ampliaría la muestra antes que tratarlo como aislado, porque una sola excepción en un riesgo significativo no se puede etiquetar de "aislada" sin ampliar la base. Si la ampliación confirma que es puntual, el papel de trabajo lo justifica. Si la ampliación destapa más, el riesgo sube y el archivo lo refleja.

Paso 5. Suficiencia de la evidencia.

Tras ejecutar los procedimientos y resolver la excepción, se evalúa si la evidencia obtenida reduce el riesgo de auditoría a un nivel aceptablemente bajo para cada aseveración. La NIA-ES 330.26 exige esa evaluación específica, riesgo a riesgo, no en bloque al final del archivo.

Conclusión del archivo: las respuestas diseñadas, ajustadas tras la excepción de circularización, proporcionaron evidencia suficiente y apropiada. La conexión entre el riesgo evaluado, el procedimiento ejecutado y la conclusión queda trazable para revisión.

Lista de verificación para respuestas defensibles

Para usar sobre el archivo actual:

1. Respuestas generales documentadas. ¿Están establecidas y documentadas las respuestas a nivel de estados financieros (NIA-ES 330.5), incluyendo asignación de personal, supervisión e impredecibilidad cuando aplica?

2. Conexión riesgo-procedimiento explícita. ¿Cada procedimiento adicional dice qué riesgo evaluado cubre y por qué esa naturaleza, momento y extensión son apropiados?

3. Procedimientos sustantivos para riesgos importantes. ¿Todos los riesgos significativos tienen procedimientos sustantivos específicamente dirigidos, incluyendo pruebas de detalle (NIA-ES 330.15)?

4. Momento ajustado al riesgo. ¿Los riesgos altos se abordan con procedimientos cerca del cierre, no en fecha intermedia (NIA-ES 330.A10)?

5. Suficiencia documentada. ¿Está la evaluación de suficiencia y adecuación de la evidencia, riesgo a riesgo, en los PT (NIA-ES 330.26)?

6. Lo que más pesa en revisión. Una respuesta débil a un riesgo alto. Es el defecto más común y el que más cuesta defender ante el ICAC.

Errores frecuentes en la aplicación

- Programa heredado sin reevaluar. Aplicar el conjunto de procedimientos del año anterior sin verificar si el riesgo subyacente sigue siendo el mismo. Es respetable que se engañe a sí mismo. No es respetable llamar respuesta al riesgo a un programa que no se ha tocado en cinco años. - Suficiencia automática. Concluir que la evidencia es suficiente sin evaluar si los procedimientos reducen cada riesgo concreto al nivel planificado. La NIA-ES 330.26 exige evaluación, no asunción. - Pruebas de controles para "ahorrar horas sustantivas". Si el control no se confía de verdad, no hay que probarlo. Probar un control para luego ignorar el resultado es trabajo perdido y papeles flojos.

Contenido relacionado

- Materialidad de ejecución NIA-ES 320: la materialidad de ejecución afecta directamente a la extensión de los procedimientos diseñados bajo NIA-ES 330 - Calculadora de materialidad: herramienta para determinar umbrales que influyen en el diseño de procedimientos de respuesta - Evaluación de riesgos NIA-ES 315: la evaluación de riesgos es el fundamento sobre el que se construyen las respuestas según NIA-ES 330

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.