Lo que aprenderá
- Cómo evaluar si puede confiar en auditoría interna según los criterios de la NIA-ES 610.15 - Qué procedimientos aplicar cuando use el trabajo de IA en áreas de alto riesgo - Cómo documentar su evaluación con justificación que resista una revisión del ICAC - Cuándo la NIA-ES 610.30 le obliga a no usar nada del trabajo de IA
El alegato: una contradicción estructural
En mi caso, casi todos los conflictos sobre la NIA-ES 610 vienen de la misma tensión. El presupuesto del encargo aprieta. El gerente quiere usar el trabajo de IA para ahorrar horas. La norma, en cambio, exige MÁS trabajo (evaluar a IA antes de usarla y re-ejecutar parte de lo que hizo). Es decir, antes de ahorrar, hay que invertir.
Lo que pasa de verdad es que ese ahorro proyectado en el plan rara vez se materializa. La re-ejecución que pide la NIA-ES 610.20 absorbe el tiempo que se pretendía ahorrar. Esa es la verdadera trampa del estándar, y nadie la nombra en la reunión de planificación.
El marco normativo de la NIA-ES 610
Cuándo puede usar el trabajo de auditoría interna
La NIA-ES 610.15 (R) establece tres criterios centrales. Y son criterios acumulativos, no alternativos. La conjunción es "y", no "o".
Objetividad de la función. El departamento debe mantener independencia organizacional respecto de las áreas que audita. Reportar directamente al consejo de administración o al comité de auditoría proporciona esa separación. ¿Y si el director de auditoría interna reporta al director financiero y solo accede al consejo cuando el CFO le da paso? La objetividad está comprometida. Punto.
Competencia técnica. Los auditores internos deben poseer formación profesional y experiencia adecuadas. La NIA-ES 610.A17 clarifica que esto incluye certificaciones profesionales relevantes (CIA del IIA, ROAC, ACCA o equivalentes), formación continua documentada y experiencia previa en áreas similares.
Enfoque sistemático y disciplinado. El departamento debe aplicar metodología consistente, documentar adecuadamente el trabajo y disponer de procedimientos de supervisión. Los papeles de IA deben ser completos y las conclusiones respaldadas por evidencia suficiente. Si los papeles dan la sensación de que falta chicha, no está cumplido.
Restricciones absolutas
La NIA-ES 610.30 prohíbe usar el trabajo de auditoría interna para:
- Procedimientos que impliquen juicios significativos del auditor externo (incluida la evaluación de riesgos importantes conforme a la NIA-ES 315) - Procedimientos relacionados con riesgos identificados como significativos donde la incorrección material es alta - Trabajo en el que la propia IA no aplicó suficiente juicio profesional documentado
Cuanto mayor sea el juicio o el riesgo, menor es lo que se puede usar de IA. Y "menor" puede llegar a ser cero.
Las pruebas: lo que dice realmente la norma
Aquí está lo que hace que mucha gente se queme en una revisión de calidad. La NIA-ES 610.18 (R) exige al auditor externo "ejecutar procedimientos suficientes sobre el trabajo de auditoría interna en su conjunto que el auditor externo pretenda usar para determinar su adecuación a los fines de la auditoría". Y la NIA-ES 610.20 añade que esos procedimientos deben incluir la re-ejecución de "alguna" parte de ese trabajo.
"Alguna." Esa es la palabra que abre la zona gris. ¿Cuánto es "alguna"? La norma no da un porcentaje. La A28 sugiere que cuanto mayor sea el riesgo, mayor el alcance, pero deja la decisión al juicio del auditor.
Contraargumento (y por qué no se sostiene)
El argumento que oigo en cada equipo es: "Ya evaluamos a IA, son competentes, sus papeles están bien hechos. Eso debería bastar." No basta. La NIA-ES 610.18 y la 610.20 están unidas por una "y" gramatical, no por una "o". Evaluación de objetividad y competencia, además de re-ejecución sobre una porción del trabajo. La evaluación no sustituye a la re-ejecución; la habilita.
Visto en escenarios reales: en la inspección del ICAC sobre PIE de 2024, una de las observaciones recurrentes en firmas medianas fue precisamente esa, papeles que documentaban la evaluación de IA pero no contenían evidencia de re-ejecución, o contenían tan poca que ningún revisor podía rastrear cómo el auditor externo había concluido sobre la suficiencia. Recordemos también el caso Gowex: una de las críticas posteriores a su auditoría fue justamente la sobre-confianza en controles internos que nadie re-validó externamente con suficiente profundidad. La documentación firme decía "evaluamos", pero la re-ejecución brillaba por su ausencia.
Evaluación práctica del departamento
Análisis de objetividad organizacional
Examine la estructura de reporte. La NIA-ES 610.A7 considera indicadores de objetividad comprometida cuando el director de IA es nombrado o removido por la dirección ejecutiva sin participación del consejo, cuando el presupuesto del departamento depende exclusivamente del CEO o del CFO, o cuando las restricciones de alcance provienen de la dirección ejecutiva en lugar del comité de auditoría.
Para cada área donde planee usar trabajo de IA, documente si la función tuvo autonomía completa para diseñar y ejecutar los procedimientos sin interferencia de las áreas auditadas.
Evaluación de competencia técnica
La NIA-ES 610.A17 pide evaluar tres dimensiones: formación profesional (CIA, ROAC, ACCA o titulaciones locales equivalentes); experiencia específica en el área auditada (no experiencia general, específica); y formación continua documentada en normas contables y de auditoría aplicables.
Solicite los CV del personal que ejecutó el trabajo concreto que pretende usar. La competencia se evalúa a nivel individual, no como promedio del departamento.
Verificación del enfoque sistemático
Revise la documentación de IA y confirme cuatro cosas: que planifican el trabajo con base en evaluaciones de riesgo documentadas; que aplican procedimientos apropiados para los objetivos establecidos; que documentan conclusiones con referencias cruzadas a la evidencia; que mantienen procedimientos de supervisión y revisión visibles. Si una de las cuatro cojea, ya hay una bomba de relojería en el papel.
Ejemplo práctico: Textiles Mediterráneos S.L.
Entidad: Textiles Mediterráneos S.L., empresa familiar de Barcelona con ingresos de 28 millones de euros, especializada en tejidos técnicos para automoción.
Situación: la empresa mantiene un departamento de auditoría interna de tres personas encabezado por María Vázquez (12 años de experiencia y CIA del IIA en vigor). Durante 2025, IA completó una revisión integral del proceso de inventarios que cubre cuatro almacenes (representan el 90% del inventario total).
evaluar objetividad
María reporta directamente al presidente del comité de auditoría y tiene acceso trimestral al consejo sin presencia de la dirección ejecutiva. Su nombramiento requiere aprobación del consejo y el presupuesto del departamento se aprueba de forma independiente.
Conclusión sobre objetividad: cumplida. El departamento mantiene independencia organizacional suficiente.
evaluar competencia
María posee CIA en vigor y 8 años de experiencia específica en inventarios textiles. Los dos auditores internos junior completaron formación en NIA-ES durante 2024 y ambos participaron en el recuento físico anual los últimos tres años.
Conclusión sobre competencia: cumplida para inventarios. Experiencia específica documentada.
evaluar el enfoque sistemático
Los papeles de IA incluyen evaluación de riesgo específica para cada ubicación, procedimientos de recuento físico con referencias a normas internas, pruebas de valoración con cálculos verificables, y supervisión evidenciada con iniciales de revisión en cada papel. Cumplido.
complicación (el giro real)
Aquí viene lo que me he encontrado en encargos parecidos. IA reprocesó 25 revisiones de control sobre acceso lógico al SAP del módulo de inventario. El equipo externo re-ejecutó cinco de esas 25 (la NIA-ES 610.20 pide "alguna"). De los cinco, dos arrojaron resultados distintos a los que IA documentó: una asignación de rol no segregada y una excepción de aprobación que IA había marcado como aceptable.
Pues bien, esos dos hallazgos sobre cinco no son un problema de muestreo. Son una señal. Si dos de cada cinco re-ejecuciones difieren, ¿qué confianza puedo tener sobre las 20 restantes que IA testó y yo no toqué? Desde mi punto de vista, en ese momento se cae la posibilidad de usar el trabajo de IA en esa área tal cual está. O se amplía la re-ejecución hasta entender la causa, o se desestima.
determinar naturaleza y alcance del trabajo finalmente usado
Tras el ajuste, el plan final fue:
Trabajo de IA usado: recuentos físicos en Barcelona y Girona (75% del inventario), pruebas de corte en el almacén principal.
Procedimientos adicionales del auditor externo: observación directa del recuento físico en Valencia (25% restante); reproceso de 10 cálculos de valoración seleccionados de la muestra de IA; revisión independiente de las provisiones por obsolescencia; ampliación de la re-ejecución sobre controles de acceso SAP a 15 ítems (en lugar de los cinco iniciales).
Resultado: reducción de 18 horas en procedimientos de inventarios (no las 28 que se proyectaron al inicio), manteniendo cobertura adecuada del riesgo. Un ahorro real, pero menor que el sueño del plan. Eso es la NIA-ES 610 en la práctica.
Lista de verificación práctica
| # | Punto a verificar | Referencia normativa |
|---|---|---|
| 1 | Obtener el manual de auditoría interna y confirmar que los procedimientos cubren los objetivos del auditor externo | NIA-ES 610.15(c) |
| 2 | Evaluar la rotación del personal de IA en áreas críticas — alta rotación señala posibles problemas de competencia o presión organizacional | NIA-ES 610.A17 |
| 3 | Documentar por qué el trabajo de IA es suficiente para los objetivos (no basta con confirmar que el trabajo existe) | NIA-ES 610.18 |
| 4 | Re-ejecutar una muestra del trabajo de IA — la norma exige verificación directa, no solo revisión documental | NIA-ES 610.20 |
| 5 | Restringir el uso en áreas de alto riesgo a procedimientos de apoyo, nunca como evidencia principal | NIA-ES 610.A28 |
| 6 | Mantener procedimientos directos en áreas materiales para formar conclusión propia sobre la suficiencia | NIA-ES 610.30 |
Errores frecuentes
Asumir que la certificación garantiza competencia técnica para el área concreta. Un CIA con experiencia en sistemas puede no ser competente para auditoría de instrumentos financieros derivados. La competencia se evalúa por área, no por título.
Revisar objetividad y competencia, pero saltar la evaluación del enfoque sistemático. Es el criterio que más papeles flojos genera, porque exige juicio sobre la metodología de IA y nadie quiere documentar ese juicio por escrito.
Confundir "evaluación de IA" con "re-ejecución de IA". Son dos requisitos distintos en la NIA-ES 610. El primero (610.15) habilita el uso. El segundo (610.20) lo valida.
Una discusión legítima entre socios
Aquí no hay una respuesta única. Existen dos posiciones razonables sobre cómo usar el trabajo de IA, y conviene conocer ambas.
Socio A (uso conservador): solo confiar en IA en áreas de bajo riesgo donde la re-ejecución sea proporcionada y rápida. La lógica es protegerse en revisión: cuanto más bajo el riesgo, menos cuestionable es la decisión de apoyarse en IA. El ahorro es modesto pero el riesgo de revisión también lo es.
Socio B (uso por volumen): apoyarse en IA en áreas de mayor volumen donde IA ya tiene cobertura amplia, aunque la re-ejecución sea más extensa. La lógica es aritmética: si IA cubrió el 90% del inventario y el auditor externo solo iba a cubrir el 60% por restricción presupuestaria, el ahorro neto sigue existiendo aunque la re-ejecución consuma más horas que en el escenario A.
Ambas posiciones cumplen la NIA-ES 610. La diferencia está en el apetito de riesgo de revisión y en la confianza inicial sobre la propia IA.
Contenido relacionado
- Glosario: Auditoría interna: Definición completa según NIA-ES 610 y diferencias con la auditoría externa. - Herramienta: Evaluador de confianza en auditoría interna: Calculadora que puntúa objetividad, competencia y enfoque sistemático. - Artículo: NIA-ES 315 y la evaluación del entorno de control: Cómo la función de auditoría interna afecta su evaluación del entorno de control bajo NIA-ES 315.