Plan de Auditoría

Cómo funciona

No es posible diseñar un procedimiento sustantivo sin haber identificado el riesgo al que responde. Esa es la lógica de la NIA-ES 300 leída en serie con la NIA-ES 315: primero conoce al cliente y evalúa los riesgos a nivel de aseveración, después diseña la respuesta. El plan es el puente. Es donde el riesgo deja de ser una matriz de PT 300.2 y se convierte en horas, personas y muestras.

Lo que realmente ocurre es distinto. La metodología de la firma trae el plan precargado del ejercicio anterior. El software autocompleta los procedimientos estándar por área. El sénior cambia las fechas, ajusta el nombre del cliente, sustituye los importes de la materialidad y el plan está "actualizado". Si nadie pregunta, así sigue. Por lo que conozco, en encargos de PYME no EIP el plan se redacta de verdad en uno de cada tres engagements.

La norma exige más. La NIA-ES 300, párr 8 pide que el plan documente la naturaleza, la oportunidad y el alcance de los procedimientos planificados de evaluación de riesgos, y de los procedimientos de auditoría posteriores a nivel de aseveración. Eso significa que el plan debe contestar tres preguntas para cada riesgo: qué procedimiento, cuándo, con qué profundidad. Un plan que dice "muestreo de ingresos, confirmación de saldos, análisis analíticos" no contesta ninguna de las tres.

¿Y la zona gris? Está en la palabra "actualizar". La NIA-ES 300, párr 10 dice que el plan se revisa "cuando sea necesario" durante el encargo. Aquí los socios discrepan, y la discrepancia es legítima. El Socio A, que viene de una Big 4, defiende que el plan se cierra al iniciar el trabajo de campo y solo se modifica con un memorando de cambio firmado: si el plan es un documento vivo sin formalidad, la evaluación de riesgo nunca queda fijada y la EQR no tiene base estable que revisar. El Socio B, que lleva veinte años en firma mediana, sostiene lo contrario: el plan tiene que respirar, porque a las tres semanas de campo el cliente renegocia contratos, aparece un litigio que no estaba en el cuestionario inicial y la matriz de riesgo cambia. Si congelas el plan, congelas la realidad. Los dos tienen razón en su contexto. La NIA-ES no resuelve la discusión; la traslada al juicio profesional del socio firmante.

Ejemplo práctico: Industrias Textiles del Levante S.L.

Cliente: fabricante de tejidos técnicos, Valencia, ingresos de 12,4 millones de euros, grupo consolidado bajo NIIF. Auditor: firma mediana en el ROAC, dos socios, equipo de seis personas.

Paso 1: Evaluación de riesgos

La NIA-ES 315 exige identificar riesgos a nivel de aseveración. El equipo identifica dos: (a) integridad de ingresos por cambio de canal de ventas — antes 100% mayorista, ahora 40% directo al consumidor a través de una plataforma digital instalada en julio del ejercicio; (b) integridad de inventarios por migración del ERP en octubre.

PT 300.1: resumen ejecutivo de riesgos. PT 300.2: matriz de riesgos por aseveración.

Paso 2: Plan vinculado a riesgos

En lugar de "auditar ingresos", el plan especifica:

PT 300.3: desglose de procedimientos por riesgo. PT 300.4: asignación de personal. PT 300.5: cronograma.

Paso 3: La complicación

La auditoría arranca el 5 de noviembre. El 18 de noviembre, en revisión interina, el sénior detecta que el cliente ha refacturado el último trimestre del ejercicio anterior por una renegociación de contratos con dos distribuidores. El importe afecta a 1,8 millones de euros. La materialidad de planificación, fijada en 248.000 euros (2% del beneficio antes de impuestos), queda comprometida: el ajuste mueve el beneficio en una magnitud superior.

¿Qué hace el equipo? Aquí es donde se ve si el plan era un documento vivo o un trámite.

Si el plan es un trámite, el equipo sigue ejecutando los procedimientos previstos, anota el ajuste como "diferencia detectada" en el sumario de errores y el socio decide si lo extrapola al final del encargo. La materialidad no se recalcula. La evaluación de riesgo no se revisita. El plan archivado seguirá diciendo lo mismo que decía el 5 de noviembre.

Si el plan es un documento vivo, el equipo para. Recalibra la materialidad sobre el beneficio reexpresado, vuelve a la NIA-ES 320, párr 12 (revisión de la materialidad durante la auditoría) y formaliza un memorando de cambio en PT 300.8. La matriz de riesgo se actualiza: la integridad de ingresos del ejercicio anterior, que estaba clasificada como riesgo no significativo, sube a riesgo significativo. Aparecen procedimientos nuevos: análisis del proceso de cierre del ejercicio anterior, revisión de la documentación contractual de los dos distribuidores, evaluación del juicio del cliente al refacturar.

En mi caso, en encargos donde he visto pasar esto, la diferencia entre los dos caminos no la determina la norma. La determina si el socio entiende el plan como un instrumento de defensa frente al ICAC o como una herramienta para asignar el riesgo del encargo. Los socios que lo entienden como defensa lo dejan congelado. Los que lo entienden como asignación de riesgo lo modifican.

PT 300.8: memorando de cambio de plan. PT 320.1: recalibración de materialidad. PT 410.7: procedimientos adicionales sobre refacturación.

Qué revisor o auditor suele hacer mal

La antedatación de la formulación

Es el problema más viejo y el menos confesado. La firma redacta el plan en abril o mayo, lo fecha el 1 de febrero, y lo presenta como si la planificación se hubiera hecho antes del trabajo de campo. Fuentes Gallego lo llamó "la mentira de la formulación" en otro contexto, pero la mecánica es idéntica: el documento dice una cosa y la realidad es otra. Si el ICAC inspecciona y cruza fechas (correos, accesos al sistema, fechas de revisión del manager), la antedatación aparece. Y cuando aparece, no es un hallazgo de forma. Es un hallazgo sobre la integridad del archivo.

El plan precargado por el software

La metodología auto-rellena el plan del ejercicio anterior. El sénior cambia tres campos y firma. El ICAC ha señalado en sus inspecciones que los planes "carecen de especificidad" y que no vinculan procedimientos a riesgos identificados. Lo que ven los inspectores son planes idénticos al ejercicio anterior con la misma narrativa para clientes muy distintos. El sistema lo permite porque el sistema no entiende la diferencia entre un fabricante de tejidos y un distribuidor farmacéutico. La diferencia la tiene que meter el auditor.

No actualizar tras cambios reales

La NIA-ES 300, párr 10 obliga. Casi nadie lo hace. Cuando el cliente cambia de director financiero a mitad de campaña, cuando aparece un litigio de un millón de euros que no estaba declarado, cuando el ERP falla y se reconstruye con un volcado manual — el plan debería revisarse. Se revisa cuando hay un sénior que insiste, no por sistema. Desde nuestra experiencia, las firmas que documentan revisiones intermedias del plan reciben menos hallazgos de control de calidad en inspección. Las que no, reciben más. La correlación no es discutible.

El plan que no incluye la EQR

En encargos EIP, el plan debe especificar el calendario y el alcance de la EQR. Hay firmas que dejan ese campo en blanco o lo redactan con una frase genérica del tipo "el revisor de calidad supervisará el encargo". Eso no es un plan: es un brindis al sol. La NIA-ES 220 R y la NIGC 2 piden algo más concreto: hitos, áreas de revisión, momento de la firma del revisor.

Plan de auditoría vs. estrategia de auditoría

Los términos se confunden. Hay distinción y conviene mantenerla.

Estrategia de auditoría (NIA-ES 300, párr 7-8): el enfoque general. Si el equipo se apoyará en controles o irá sustantivo puro, qué áreas son críticas para la opinión, qué materialidad se aplica, cómo se distribuye el equipo entre componentes. Es la decisión arquitectónica.

Plan de auditoría (NIA-ES 300, párr 9): el desglose operativo. Procedimientos concretos, asignaciones, horas, fechas. Es la ejecución de la decisión arquitectónica.

La estrategia contesta "¿qué enfoque?". El plan contesta "¿qué procedimientos, quién, cuándo?".

En firmas medianas españolas, ambos suelen vivir en el mismo documento, con una sección inicial de estrategia y un desglose operativo posterior. Es aceptable mientras los dos elementos sean explícitos y trazables. Lo que no es aceptable es que el documento diga "estrategia" en la portada y dentro solo haya un calendario.

Por qué la mayoría de los planes se redactan al revés

La pregunta de fondo no es técnica. Es estructural. ¿Por qué firmas que conocen perfectamente la NIA-ES 300 producen planes que la incumplen?

Hay tres presiones que lo explican, y ninguna se resuelve leyendo la norma con más atención.

La primera es la economía del encargo. La planificación no se factura al cliente como una fase separada con horas dedicadas; se diluye en el presupuesto total. Cuando los honorarios bajan (y en este mercado llevan bajando una década), el socio comprime planificación para proteger horas de campo. El plan se vuelve un trámite porque las horas de planear se convirtieron en horas de auditar. Nadie lo dice así en la reunión de equipo, pero todos lo saben.

La segunda es el software de metodología. Las plantillas heredadas auto-rellenan el plan con la narrativa del ejercicio anterior. El sénior, presionado por el calendario, edita lo mínimo. La plantilla es una herramienta de productividad que se convierte en una herramienta de incumplimiento cuando nadie tiene tiempo de cuestionar lo que la plantilla genera por defecto.

La tercera, la más incómoda, es que el socio que firma el plan no lo entiende como instrumento de asignación de riesgo. Lo entiende como documento defensivo: si el ICAC viene, hay un plan archivado. Si hay un plan archivado, la inspección encuentra forma. Esa lógica funciona hasta que el inspector cruza fechas o pide la matriz de riesgo del PT 300.2 y la compara con los procedimientos del PT 410. Cuando los procedimientos no responden a los riesgos, el plan deja de ser defensa. Se convierte en prueba de que el archivo no cuenta una historia coherente.

El insight de segundo orden es éste: el plan no se redacta al revés porque los auditores no sepan redactar planes. Se redacta al revés porque la economía del encargo, la inercia del software y la preferencia del socio convergen en el mismo resultado. Cambiar el resultado exige cambiar al menos una de las tres presiones. Leer la NIA-ES 300 otra vez no cambia ninguna.

Términos relacionados

- Evaluación de riesgos: el proceso de la NIA-ES 315 que precede al plan y le da contenido. - Procedimientos analíticos: respuesta frecuente a riesgos de incompletitud o inexactitud. - Muestreo de auditoría: método de selección, con tamaños y métodos documentados en el plan. - Memorándum de planificación: documento que sintetiza el conocimiento del negocio antes de cerrar el plan. - Materialidad: parámetro fijado en planificación y revisado durante el encargo si cambian las circunstancias. - Control de calidad de auditoría: marco que incluye la revisión del plan como control preventivo.

Calculadora de procedimientos por riesgo

Ciferi ofrece una calculadora de plan de auditoría que convierte evaluaciones de riesgo en procedimientos específicos y asignaciones de tiempo. Introduzca su perfil de riesgo y la herramienta genera un desglose de procedimientos y una matriz de asignación de personal alineado con la NIA-ES 300.

---