Definition

Vamos al asunto. Cada vez que el ICAC abre un expediente por planificación deficiente, hay una casilla concreta que aparece marcada en los PT y vacía por dentro: la del entorno de control. El auditor pidió el código de conducta, lo recibió, lo guardó en la carpeta de planificación y siguió adelante. Diez meses después, llega el requerimiento, y resulta que tener el documento no era el procedimiento. Era el principio del procedimiento.

Cómo funciona

No se evalúa un entorno de control con un cuestionario. Se evalúa porque la NIA-ES 315.15 obliga a obtener una comprensión de cómo la dirección y el consejo de administración comunican la importancia de la integridad y los valores éticos en toda la entidad, y un cuestionario no comunica nada: lo rellena la propia dirección. Por lo que conozco, los inspectores del ICAC no piden ver el cuestionario. Piden ver la evidencia que respalda la respuesta.

La norma dice que el auditor evalúa el tono desde la dirección, la competencia, la responsabilidad y la estructura de gobierno. En la práctica, eso significa que usted se sienta con el director financiero, le pregunta cómo se gestionó el último error contable significativo, y observa si la respuesta concreta (qué pasó, quién lo detectó, cómo se cerró, si alguien asumió responsabilidad) coincide con el discurso oficial. Si la dirección dice "aquí se hace todo correctamente" y no recuerda un solo error de los últimos cinco años, hay dos hipótesis posibles. Una es que la entidad nunca se equivoca. La otra es que los errores no llegan arriba. En mi caso, la segunda hipótesis explica más auditorías que la primera.

La NIA-ES 315.16 enumera los componentes (comunicación de responsabilidades, competencia profesional, responsabilidad, estructura de gobierno) y exige evidencia observable. La intuición no es evidencia. La conversación informal con el propietario tampoco. Lo que vale es lo que se puede pegar en los PT y defender ante un revisor.

Aquí vive la zona gris: un entorno débil no implica una opinión con salvedades. Implica más trabajo, más escepticismo y más procedimientos sustantivos. La calificación inicial del entorno reorienta el plan de auditoría; no decide la opinión.

Es respetable que la dirección se engañe sobre la calidad de su control interno. No es respetable que nos lo quiera hacer creer a nosotros, y nuestro trabajo no es seguirles la corriente.

Ejemplo práctico: Industrias Texturales Hispánicas S.L.

Cliente: empresa textil familiar, segunda generación, sede en Valencia, facturación de 12,8 millones EUR, reporta bajo PGC 2016.

Paso 1: Evaluación inicial del tono desde la dirección El auditor pregunta al consejo y a la dirección con qué frecuencia se comunica internamente la importancia del cumplimiento. La empresa no tiene código de conducta escrito. El consejero delegado, que es el propietario, responde con la frase de manual: "aquí siempre se ha hecho lo correcto". La contabilidad la dirige la hermana del propietario, sin formación reglada en NIC/NIIF ni en normas de auditoría.

Nota PT 2.3: Se solicita el código por escrito. No existe. Se documenta el nivel de formación de la dirección financiera. Tono inicial calificado como "moderado", pendiente de reevaluación por ausencia de formalización.

Paso 2: Evaluación de la estructura organizativa y responsabilidades El auditor revisa el organigrama. Toda transacción superior a 5.000 EUR requiere aprobación del propietario. La asistente contable introduce datos, hace conciliaciones y revisa su propio trabajo. El consejo se reúne una vez al año.

Nota PT 2.4: Organigrama pegado en la pared. Sin manual de políticas escrito. Centralización extrema de aprobaciones. La falta de segregación de funciones se documenta como deficiencia de control interno; la incapacidad de la organización para detectar el problema, como síntoma del entorno.

Paso 3: Evaluación de la política de personal y competencia Expediente de la asistente contable: contratada hace 8 años, sin formación posterior sobre PGC, sin cursos de cierre. Salario de 1.200 EUR mensuales. No hay presupuesto formal para formación. Las vacaciones se cubren con personal temporal sin transferencia documentada de conocimiento.

Nota PT 2.5: Competencia "insuficiente para los requisitos de la función". Se documenta el incumplimiento práctico de la NIA-ES 315.16(c). Observación abierta: revisar la formación contable del equipo de cierre.

Paso 4: Evaluación de los mecanismos de denuncia Se pregunta cómo reportarían los empleados un error contable o un incumplimiento. La respuesta: "Se lo dicen a la directora contable o al propietario." No hay canal anónimo ni independiente. La dirección no recuerda un solo caso reportado en cinco años.

Nota PT 2.6: Sin mecanismo formal de denuncia. Déficit relevante a efectos de la NIA-ES 315.15.

Paso 5: La complicación Durante el cierre, el auditor detecta una transferencia de 47.000 EUR a una sociedad cuyo administrador comparte apellido con la directora contable. El propietario presiona para cerrar la auditoría antes del 30 de marzo, "porque hay una operación con el banco". La directora contable explica que es un anticipo a un proveedor de hilatura. No hay contrato. Hay una factura emitida tres días después del pago.

Aquí es donde el entorno de control deja de ser un párrafo de planificación y se convierte en una decisión. Un entorno calificado como "moderado" en el Paso 1 ya no es defendible: no hay segregación, no hay canal de denuncia, hay una operación con parte vinculada no declarada como tal y hay presión temporal del propietario. El auditor reescala el riesgo de fraude bajo NIA-ES 240.25, amplía las pruebas sobre operaciones vinculadas, solicita confirmación externa al supuesto proveedor y documenta la presión recibida en el papel de planificación. La operación con el banco no es razón para acelerar; es razón para revisar qué información se le está dando al banco.

Paso 6: Conclusión sobre el entorno El entorno se califica como "débil". No es una calificación cosmética: dispara la ampliación de procedimientos sustantivos en ingresos, gastos de viaje y vinculadas, y obliga a documentar por qué la confianza en los controles del cliente se reduce a cero. La opinión final dependerá de lo que aparezca en esos procedimientos sustantivos, no de la etiqueta del entorno.

Si el entorno hubiera sido sólido (código aplicado, formación documentada, segregación real, canal de denuncia operativo), el auditor habría podido apoyarse en una muestra menor de transacciones, siempre que las pruebas de controles confirmaran su funcionamiento eficaz a lo largo del periodo.

Lo que captan mal revisores y profesionales

- Confundir el entorno de control con tener una política escrita. El entorno no es un documento. Es la demostración observable de si la dirección valora la integridad cuando nadie del despacho está mirando. La NIA-ES 315.15 exige evaluar la comunicación efectiva, no la existencia formal del papel. Las inspecciones del ICAC vuelven una y otra vez sobre lo mismo: papeles que prueban que el código existe, ningún papel que pruebe que se aplica. Marcar la casilla y seguir adelante es exactamente el patrón que el ICAC sanciona.

- Asumir que un entorno débil obliga a una opinión modificada. Un entorno débil amplía los procedimientos y exige más escepticismo. No invalida la auditoría. La opinión depende de la evidencia obtenida con esos procedimientos ampliados, no de la calificación del entorno. Aquí viven los desacuerdos profesionales: el Socio A diría que un entorno débil, por sí solo, justifica extender procedimientos sustantivos en todas las áreas porque la fiabilidad agregada del sistema es baja. El Socio B diría que sin indicadores de riesgo concretos a nivel de aseveración, ampliar a todas las áreas es trabajo no facturable y tampoco proporcional bajo NIA-ES 330. Ambas posiciones son defendibles; lo que no es defendible es no haber tomado ninguna de las dos y haberlo documentado.

- No conectar el entorno con el riesgo de fraude. La NIA-ES 240.25 exige evaluar cómo el entorno afecta específicamente al riesgo de fraude. Calificar el entorno de forma genérica y no enlazarlo con riesgos concretos (presión sobre márgenes, incentivos por comisiones, centralización de aprobaciones, vinculadas no declaradas) es donde el ICAC suele encontrar el hueco. La conexión tiene que estar escrita en el papel de planificación, no implícita.

- Olvidar que la presión que usted recibe también es información. Cuando el cliente acelera plazos sin razón técnica, cuando aparece una transferencia que nadie sabía explicar, cuando el socio del despacho recibe llamadas insistiendo en cerrar, eso es entorno de control. No es una conversación de pasillo: va al PT.

Desde mi experiencia en este tipo de encargos, hay un dato incómodo que la norma no dice y conviene asumir: el ICAC encuentra deficiencias parecidas en firmas distintas porque la presión de honorarios hace que evaluar el entorno con profundidad sea, en muchas auditorías de pequeño y mediano tamaño, económicamente imposible. La norma asume tiempo. La campaña no lo tiene. Por eso los papeles se quedan flojos justo en este punto, y por eso el ICAC vuelve aquí cada vez que mira.

Términos relacionados

- Gobierno corporativo: la estructura y los procesos por los que la dirección se supervisa a sí misma; pieza nuclear de la evaluación del entorno - Fraude de la dirección: riesgo más alto cuando el entorno es débil, porque la dirección puede saltarse o anular los controles - Competencia profesional: componente del entorno que aborda la formación y experiencia del personal de la entidad - Tono desde la dirección: indicador principal del entorno; comunica los valores éticos de la entidad - Riesgo de error material: se evalúa, en parte, en función de la calidad del entorno de control

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.