Estrategia de Auditoría

Cómo funciona

Vaya por delante que la NIA-ES 300.08 no exige un documento bonito; exige un documento útil. El que responde a tres preguntas operativas: ¿qué se audita?, ¿cuándo se hace?, ¿quién lo hace? Si la estrategia no responde a esas tres con nombres, fechas y horas, no está cumpliendo el papel que la norma le pide.

La NIA-ES 300.08 obliga a considerar la naturaleza y el alcance, los riesgos significativos identificados, la estructura de la entidad (filiales, divisiones, centros de coste) y los sectores en los que opera. No basta con escribir "enfoque basado en riesgos." La estrategia tiene que decir qué componentes pasan por procedimientos sustantivos completos, cuáles por procedimientos limitados y cuáles por revisión analítica o pruebas de cumplimiento. Lo que realmente ocurre en la mayoría de despachos: el documento se copia del año anterior y solo se cambian las cifras. El razonamiento sobre por qué se eligió ese enfoque queda implícito y, cuando llega el revisor, no aparece por ningún lado.

En la práctica, la estrategia es lo primero que escribe el socio o el gerente cuando se acepta o se renueva un encargo. Define la materialidad, fija el enfoque (sustantivo, de cumplimiento, mixto), identifica los riesgos sectoriales y de la entidad, y reparte responsabilidades. Una estrategia clara reduce el riesgo de que se omitan procedimientos. Una estrategia copiada del año anterior, sin reabrir el razonamiento, es una bomba de relojería: funciona hasta el día en que cambia algo y nadie se da cuenta de que la estrategia no recoge el cambio.

La NIA-ES 300.11 obliga a documentar la estrategia y a que el equipo la entienda antes del trabajo de campo. No exige presentación formal, pero sí que cada miembro sepa qué hace, dónde y por qué. En mi caso, cuando el junior no sabe explicar por qué está auditando un centro de coste y no otro, la estrategia ha fallado en su función básica.

Ejemplo práctico: Talleres Mecánicos Mediterráneos S.L.

Cliente: fabricante de componentes de automoción, sede en Valencia, facturación 18,5 millones de euros, reporta bajo PGC.

Paso 1: Identificar alcance y riesgos principales

Estructura: una sede central en Valencia, un taller, un almacén y tres centros de servicio post-venta. Volumen de ingresos: aproximadamente 42.000 facturas/año. Gastos dispersos entre múltiples centros de coste.

Nota de PT: "Tres localizaciones con transacciones significativas (Valencia, Barcelona, Zaragoza). El ciclo de ingresos presenta volumen alto y riesgo moderado de error por la complejidad de los acuerdos de garantía. Gastos dispersos: requiere procedimientos en los tres centros de coste principales."

Paso 2: Materialidad y materialidad de desempeño

Sobre 18,5 millones, materialidad general en 370.000 euros (2% de ingresos, estándar de manufactura). Materialidad de desempeño en 222.000 euros (60% de la general).

Nota de PT: "Materialidad general: 370.000 EUR. Desempeño: 222.000 EUR. Trivialidad: 37.000 EUR. Justificación: sector manufactura, historial del cliente con errores menores y controles internos adecuados. Si en interim aparecen errores de control, la materialidad de desempeño debe revisarse al alza-restrictiva."

Paso 3: Clasificar componentes por nivel de auditoría

- Auditoría completa (procedimientos sustantivos al 100%): ciclo de ingresos en Valencia (43% del consolidado) y nómina (riesgo elevado por cumplimiento normativo). - Auditoría parcial (procedimientos selectivos): ciclo de gastos por centro de coste y compras. - Revisión analítica (analíticos y pruebas de cumplimiento limitadas): activos fijos (bajo volumen año a año) y efectivo (transacciones simples y bien documentadas).

Nota de PT: "Asignación: Socio responsable de ingresos (Valencia) y nómina. Gerente responsable de compras y gastos en los tres centros. Junior responsable de activos fijos y efectivo bajo supervisión. Cronograma: semana 1-2 planificación, semanas 3-6 trabajo de campo, semana 7 revisión y conclusiones."

Complicación: En la semana 4 el cliente comunica que ha adquirido un competidor en Murcia con efectos retroactivos al 1 de octubre. El nuevo perímetro añade 6 millones de facturación, un cuarto centro de coste no contemplado y un sistema contable distinto que tendrá que migrar antes del cierre. La estrategia firmada en octubre ya no recoge la realidad. Aquí es donde se separan los expedientes que defenderán una inspección de los que no: el equipo que reabre la estrategia, redocumenta el alcance, recalcula la materialidad sobre la nueva facturación y deja constancia escrita de la decisión, frente al equipo que añade un anexo y sigue. La NIA-ES 300.12 exige lo primero. Las plantillas heredadas empujan a lo segundo.

Paso 4: Oportunidad de los procedimientos

Tres visitas al cliente. Visita de planificación de dos días en noviembre (aceptación, renovación, confirmación bancaria, contratos principales). Visita de auditoría de tres semanas en enero (trabajo sustantivo, después del cierre del cliente). Tercera visita de tres días en marzo (cierre, revisión final, reunión de conclusiones).

Nota de PT: "Oportunidad: Visita 1 (Nov): aceptación, planificación, observación de inventario. Visita 2 (Ene): trabajo sustantivo 85%, revisión de transacciones posteriores al 31/12. Visita 3 (Mar): conclusiones, revisión del socio, reunión de opinión."

Resultado: la estrategia documentada por escrito permitió que el equipo no malinterpretara el alcance en Barcelona y Zaragoza después de la adquisición de Murcia. El socio firmó la actualización el 12 de febrero, cinco semanas antes de la opinión. Sin ese papel, la inspección habría tenido material para abrir un expediente sobre suficiencia de procedimientos.

Lo que los revisores y auditores suelen pasar por alto

- Estrategia genérica que no dirige procedimientos específicos. Muchos equipos escriben "aplicar NIA-ES" sin indicar qué procedimientos en qué localizaciones para qué riesgos. La NIA-ES 300.11 exige que la estrategia guíe el trabajo. El ICAC ha señalado en informes de inspección que la ausencia de estrategia documentada específica es señal de que el equipo trabaja sin dirección.

- Falta de alineación entre estrategia y plan de auditoría. La estrategia anuncia auditoría completa del ciclo de ingresos; el plan asigna 40 horas cuando hacen falta 120. Esa desalineación indica que la estrategia se redactó sin pensar en los recursos. Sucede más cuando la persona que firma la estrategia no es la misma que negocia los honorarios. La revisión de calidad del encargo lo detecta tarde.

- No actualizar cuando cambian la aceptación o la evaluación de riesgos. Una adquisición, una renuncia de director financiero o un hallazgo de fraude a mitad de ejercicio modifican el perfil de riesgo. Muchos auditores dejan la estrategia original. La NIA-ES 300.12 exige revisarla cuando información nueva indique que los riesgos han cambiado. Saltarse esto es la causa de hallazgos de "procedimientos insuficientes" que en realidad eran suficientes para el riesgo viejo y deficientes para el nuevo.

Estrategia de auditoría frente a plan de auditoría

La estrategia responde "¿cuál es mi enfoque general?" El plan responde "¿qué procedimientos, cuándo y en cuántas horas?" La estrategia es el mapa. El plan, el itinerario. Una entidad puede tener una sola estrategia anual y varios planes si distintas áreas se auditan en momentos distintos o con equipos distintos.

Existe un desacuerdo legítimo entre socios sobre cuánta granularidad debe tener la estrategia. El Socio A escribe estrategias breves de tres páginas y deja la granularidad para el plan, porque considera que la estrategia que se mete en horas y procedimientos específicos se vuelve intocable y desincentiva las revisiones. El Socio B escribe estrategias detalladas de quince páginas porque sostiene que la granularidad es la prueba de que el razonamiento existió. Las dos posturas son defendibles. La que sale peor parada en inspección es la breve sin justificación, no la breve con razonamiento explícito. La granularidad por sí sola no salva un mal razonamiento; el razonamiento sí salva una estrategia breve.

El incentivo perverso es conocido. Cuando el socio necesita el cliente, hay presión para que la estrategia diga lo que el presupuesto permite, no lo que el riesgo exige. La estrategia se ajusta a las horas, no las horas a la estrategia. El equipo saca adelante con lo que hay y la documentación queda formalmente correcta. Cuando llega el ICAC y pregunta por qué no se hizo procedimiento sustantivo en el ciclo de gastos del centro de Zaragoza, la respuesta documentada ("no se identificó como riesgo significativo") encaja con la estrategia escrita. Lo que no encaja es la realidad operativa que cualquier inspector con experiencia reconoce: el centro de Zaragoza tenía indicadores de riesgo que la estrategia decidió no nombrar para mantener el alcance dentro del presupuesto. Esa brecha entre estrategia y realidad no la inventó el ICAC; la inventó el modelo de honorarios.

Términos relacionados

- Plan de Auditoría: documento que especifica los procedimientos sustantivos, de cumplimiento y analíticos para cada riesgo identificado. - Riesgo de Auditoría: combinación de riesgo de error significativo en la entidad y riesgo de que el auditor no lo detecte. - Materialidad: monto por debajo del cual los errores no afectarían la opinión del auditor. - Procedimientos Analíticos: análisis de ratios, tendencias y agregados para identificar anomalías. - Evaluación del Riesgo: identificación y evaluación de los riesgos de error significativo a nivel de entidad y de aseveración. - Componente: filial, división, unidad operativa o función auditada como parte de la auditoría consolidada.

Referencias normativas

NIA-ES 300 (Planificación de la auditoría de estados financieros) exige documentar la estrategia antes del trabajo de campo. Los párrafos relevantes:

- NIA-ES 300.08: elementos que debe contener la estrategia. - NIA-ES 300.11: obligación de documentar y de que el equipo la comprenda. - NIA-ES 300.12: obligación de revisarla cuando cambia la evaluación del riesgo o cualquier otro factor relevante.

---