Definition
Vaya por delante que el riesgo de auditoría es asimétrico: el coste de un falso positivo (cualificar una opinión cuando no procedía) es bajo; el coste de un falso negativo (no cualificar cuando sí procedía) puede ser el ROAC. Es la probabilidad de que firme un informe que no debería haber firmado. No es un número que cabe en una hoja de cálculo, aunque la metodología pretenda lo contrario.
El fallo antes que la norma
Hay un patrón que se repite en los expedientes del ICAC. El equipo cierra la matriz de riesgos con todas las casillas evaluadas. Cada aseveración tiene su RI, su RC, su procedimiento sustantivo asignado. La conclusión global del archivo dice algo parecido a "el riesgo de auditoría se considera bajo" y debajo va la firma del socio. Lo que no aparece en el archivo es qué tendría que ser cierto para que esa conclusión fuera errónea. No hay umbral cuantitativo, no hay descripción del riesgo residual, no hay nota del socio explicando por qué acepta firmar con seguridad razonable y no exigir procedimientos adicionales. La opinión sin salvedades se emite, y el archivo justifica los componentes pero no el agregado.
Lo que realmente ocurre en muchas firmas medianas es esto: el nivel de aseguramiento queda fijado por defecto en "razonable" porque la plantilla viene así de fábrica. Nadie lo discute en planificación. La pregunta de "¿qué movería esta auditoría a un nivel de aseguramiento menor o a una opinión modificada?" no se hace, o se hace en pasillo y no se documenta. Cuando llega el inspector, lo primero que pide es la trazabilidad entre la evaluación de riesgo y el alcance. La encuentra. Lo segundo es la trazabilidad entre el riesgo agregado y la opinión. Ahí los papeles están flojos, falta chicha.
La NIA-ES 200, en su párrafo 13(c), define el riesgo de auditoría como el riesgo de que el auditor exprese una opinión inadecuada cuando los estados financieros contienen incorrecciones materiales. Los párrafos 17 a 21 de esa misma norma son los que introducen el concepto de seguridad razonable: un nivel de aseguramiento alto, pero no absoluto, sobre la ausencia de incorrecciones materiales. La NIA-ES 705 establece los umbrales para modificar la opinión cuando el riesgo de incorrección material no se ha reducido a un nivel aceptablemente bajo, o cuando se han detectado incorrecciones que la dirección no corrige. Hasta aquí, la norma.
La zona gris vive entre dos polos. La seguridad absoluta es imposible (ni un censo completo de transacciones la garantiza, porque queda el riesgo del fraude colusivo y el de la estimación contable). La seguridad razonable es el estándar. Entre lo razonable y lo absoluto hay un margen, y ese margen es donde el socio decide si firma sin salvedad, con salvedad o se abstiene. La norma no le da un porcentaje. Le da un juicio profesional que tiene que documentar, y esa documentación es lo que el inspector buscará si la cosa se tuerce.
Lo que pasa en el papel de trabajo
El campo "riesgo de auditoría aceptable" no existe en la mayoría de los softwares de auditoría que conozco. Existen los campos para RI, RC y RD a nivel de aseveración. Existe un cuadro de conclusión global de planificación. Lo que no existe es un campo que pregunte: ¿qué tendría que ser falso de mi evaluación para que mi opinión fuera errónea?. Esa pregunta vive en la cabeza del socio cuando firma, y se documenta en una conversación de planificación si se documenta en absoluto.
En mi caso, esto se traduce en una nota de planificación que el manager redacta para el socio: dos párrafos donde se nombra el riesgo agregado, los supuestos que lo sostienen, y el procedimiento adicional que ejecutaríamos si esos supuestos se rompieran a mitad de campaña. Vaya por delante que esta práctica no es la norma del sector. La mayoría de los archivos que he visto en revisiones cruzadas no tienen ese párrafo. Tienen la matriz, tienen el plan de procedimientos, tienen la conclusión, pero no tienen la autopsia preventiva de la opinión.
Ejemplo práctico: Constructora Levantina S.L.
Cliente: constructora valenciana, ejercicio 2025, cifra de negocios 24,3 millones de euros, marco PGC con remisión a NIIF 15 para reconocimiento de ingresos. Auditor: firma mediana española, segundo año de encargo.
Planificación. El equipo identifica el reconocimiento de ingresos como cuestión de auditoría (KAM en la jerga, aunque las KAM solo son obligatorias para entidades de interés público; aquí el socio decide reportarla por relevancia). RI alto por la complejidad de NIIF 15 (obligaciones de desempeño, cambios contractuales, estimación del grado de avance). RC medio: existe autorización de cambios contractuales pero el control no se prueba de forma contemporánea, sino con un retraso de 10 a 15 días entre el evento y el registro. RD bajo: muestra de 45 partidas de ingresos, confirmación con clientes principales, recálculo del grado de avance por proyecto.
Cierre y firma. El equipo concluye que el riesgo de RI a nivel de aseveración para "exactitud y existencia" de ingresos se ha reducido a un nivel aceptablemente bajo. El socio firma una opinión sin salvedades el 31 de marzo de 2026.
La complicación. El 12 de junio de 2026, dos meses y medio después de firmar, la CNMV abre un expediente sancionador a la constructora por presunta sobreestimación del grado de avance en tres proyectos. La sospecha: ingresos reconocidos por importes que no correspondían al avance real. El socio recibe un requerimiento del ICAC pidiendo el archivo completo. Le han abierto expediente, aunque todavía es preliminar.
Lo que defiende el archivo y lo que no. El archivo defiende los componentes: la matriz de riesgos justifica el RI alto, hay prueba de controles documentada, hay confirmaciones externas, hay recálculo del grado de avance con la metodología del cliente. Lo que el archivo no defiende con claridad es el agregado: ¿por qué el socio concluyó que el riesgo de auditoría era aceptablemente bajo a pesar de que el control sobre cambios contractuales tenía un desfase temporal conocido? La respuesta verbal del socio (la sabe el equipo, la tenía en la cabeza) era que el desfase se compensaba con procedimientos sustantivos sobre el corte de operaciones a 31 de diciembre. Esa lógica no aparece en ninguna parte del archivo. La defensa del socio ante el inspector descansa ahora en si el archivo muestra el riesgo agregado como un umbral razonado, o solo como una etiqueta. Y la etiqueta sin razonamiento es exactamente lo que el ICAC ha venido marcando como deficiencia desde hace al menos cinco años.
Resolución. El equipo prepara una nota de explicación para el inspector que reconstruye el razonamiento del socio en planificación. La nota no salva el archivo del todo (lo que no se documentó en su momento difícilmente se documenta a posteriori sin levantar sospecha), pero sirve para demostrar que el riesgo agregado se evaluó, aunque la evaluación no quedara escrita. Si el expediente se sustancia, la sanción será probablemente por defecto de documentación, no por opinión incorrecta. Eso no es buena noticia: es una sanción por defecto de documentación que podría haberse evitado con dos párrafos de planificación.
Por qué el riesgo de auditoría se reduce a una casilla
Aquí está el punto que ningún manual explica. La NIA-ES 200 expresa el riesgo de auditoría como un concepto de probabilidad. Probabilidad de emitir una opinión incorrecta. Y la probabilidad, a diferencia de los procedimientos sustantivos o las pruebas de control, no produce evidencia que se pueda archivar. Se puede archivar una confirmación bancaria. Se puede archivar la documentación de un control. No se puede archivar una probabilidad sin convertirla primero en un cálculo o en un argumento, y la norma no exige ninguna de las dos cosas explícitamente.
El software de metodología refleja esto. Tiene campos para RI, RC y RD porque son evaluables a nivel de aseveración. No tiene un campo para "qué tendría que ser cierto para que mi opinión fuera errónea" porque ese campo es un párrafo, no un valor. Y los párrafos de juicio profesional son lo primero que se recorta cuando la campaña aprieta. El resultado es que el riesgo de auditoría se documenta por sustitución: en lugar del agregado, se documentan los componentes y se asume que la suma vale como prueba del agregado. No vale. Por eso los inspectores siguen encontrando el mismo hallazgo año tras año, y por eso aparece en cada ciclo de inspección como deficiencia recurrente.
Donde profesionales experimentados discrepan
El Socio A defiende que el riesgo de auditoría debería ser un umbral cuantitativo. Su posición: si el modelo profesional reconoce un nivel aceptable (tradicionalmente 5% de riesgo de incorrección material no detectada), el archivo debe documentar evidencia cuantitativa de que ese umbral se respeta. Lo argumenta así: sin un umbral numérico, "aceptablemente bajo" es lo que cada socio decide que es, y la consistencia entre encargos del mismo despacho desaparece. Si dos socios del mismo despacho llegan a conclusiones distintas con el mismo perfil de riesgo, hay un problema de control de calidad interna. El umbral cuantitativo, aunque sea convencional, ata al socio a una disciplina compartida.
El Socio B defiende lo contrario. Su posición: el riesgo de auditoría es un juicio cualitativo bajo incertidumbre. Un umbral cuantitativo da una falsa precisión que oculta el problema real, que es la calidad del razonamiento sobre supuestos no observables. Lo argumenta así: el 5% no se puede medir empíricamente porque las incorrecciones materiales no detectadas son, por definición, no observadas. Documentar evidencia cuantitativa del umbral es un ejercicio circular: el auditor calcula la probabilidad sobre los mismos datos que ya ha procesado para concluir que no hay incorrección. El juicio cualitativo, en cambio, obliga a nombrar los supuestos y a defender por qué se consideran razonables, lo cual es más auditable que un porcentaje extraído de una tabla.
Ambas posiciones tienen razón parcial. La práctica dominante en España, por lo que conozco, se inclina hacia el Socio B en la documentación pero hacia el Socio A en la cabeza del socio cuando firma. Es decir: el archivo refleja juicio cualitativo y el socio toma la decisión apoyándose mentalmente en un umbral implícito que nunca se hace explícito. Esa contradicción es parte de por qué el riesgo agregado raramente se documenta bien.
Qué captan los revisores y reguladores
Los hallazgos de inspección recurrentes vinculados al riesgo de auditoría como concepto (no a sus componentes) son tres patrones distintos.
- Riesgo agregado etiquetado pero no razonado. El archivo concluye "riesgo de auditoría aceptablemente bajo" sin descomponer qué hace que sea aceptable. La NIA-ES 200.17 exige planificar y ejecutar la auditoría para reducir el riesgo a ese nivel; marcar la casilla no equivale a documentar la reducción. Los inspectores buscan el párrafo que conecta los componentes con el agregado, y ese párrafo a menudo no existe.
- Nivel de aseguramiento por defecto sin justificación. El archivo asume "seguridad razonable" porque es el estándar de la NIA-ES 700, sin documentar qué circunstancias del encargo podrían haber requerido limitaciones al alcance, abstenciones, o un trabajo de revisión limitada (ISRE 2400/2410) en lugar de auditoría completa. Cuando el cliente tiene perfil de riesgo elevado, el inspector espera ver una nota explícita sobre por qué el nivel de aseguramiento se mantuvo en razonable y no se planteó modificación.
- Trazabilidad rota entre KAM y riesgo agregado. En auditorías de entidades de interés público con cuestiones reportadas, la KAM aparece en el informe pero el archivo no muestra cómo el riesgo asociado a la KAM se incorporó al juicio sobre el riesgo de auditoría agregado. Es un problema de costura: la KAM va al informe por exigencia de la NIA-ES 701, pero la trazabilidad hacia atrás desde la KAM hasta la conclusión sobre riesgo agregado se pierde en el camino.
Riesgo de auditoría vs. conceptos relacionados
| Dimensión | Riesgo de auditoría (esta página) | Modelo de riesgo de auditoría | Riesgo de incorrección material |
|---|---|---|---|
| Qué es | Probabilidad de emitir una opinión inadecuada cuando hay incorrección material | Descomposición operativa: RA = RI × RC × RD | Riesgo combinado de RI y RC a nivel de aseveración (RIM = RI × RC) |
| Función | Concepto agregado que el socio firma | Herramienta de planificación de procedimientos | Insumo para determinar el riesgo de detección aceptable |
| Dónde aparece | Conclusión global de planificación; juicio del socio antes de firmar | Matriz de riesgos por aseveración | Matriz de riesgos por aseveración; NIA-ES 315 revisada |
| Norma | NIA-ES 200.13(c) — definición; 200.17-21 — seguridad razonable | NIA-ES 200 (concepto) y NIA-ES 330 (respuesta a riesgos) | NIA-ES 315 revisada (2019) |
| Qué documenta el archivo | Nota de conclusión sobre nivel de riesgo agregado y aseguramiento | Componentes evaluados y procedimientos asignados | Evaluación de RI separada de RC tras la NIA-ES 315 revisada |
El concepto agrega; el modelo descompone; el riesgo de incorrección material es la mitad inherente-más-control de la ecuación. Confundir el concepto con el modelo es lo que produce archivos donde los componentes están bien documentados pero el agregado queda huérfano.
Términos relacionados
- Modelo de riesgo de auditoría: la ecuación RA = RI × RC × RD y cómo se aplica en planificación - Riesgo inherente: susceptibilidad de una aseveración a contener incorrección material sin considerar controles - Riesgo de control: posibilidad de que el sistema de control interno no prevenga ni detecte una incorrección material - Riesgo de detección: riesgo de que los procedimientos de auditoría no detecten una incorrección material - Riesgo de incorrección material: el componente RI × RC del modelo, evaluado a nivel de aseveración - Aseveraciones de auditoría: afirmaciones implícitas o explícitas que subyacen en los estados financieros - Materialidad: umbral cuantitativo y cualitativo para juzgar si una incorrección es relevante para la opinión - Procedimientos sustantivos: procedimientos diseñados para detectar incorrecciones materiales en cifras y revelaciones
---