Definition

Probabilidad de que los controles internos de una entidad no eviten ni detecten un error material en una aseveración de los estados financieros. Se valora por aseveración durante la planificación y se revisa según se obtiene evidencia de auditoría. Regulado por: NIA-ES 315.27.

Lo que pasa antes de mirar la norma

Encargo de empresa mediana, sección de cuentas por pagar. El equipo describe el three-way match en la narrativa de procesos, anota "control efectivo", baja la evaluación del riesgo de control a "bajo" y reduce la prueba sustantiva a una circularización limitada. Se firma. Por lo que conozco, este patrón explica una parte sustancial de los expedientes que el ICAC abre cada año en el bloque de revisión de calidad.

El error no está en la conclusión de "bajo" en sí. Está en cómo se llegó a ella. La NIA-ES 330.7 exige obtener evidencia de que el control operó efectivamente durante el período auditado. Documentar que el control existe no es lo mismo que documentar que opera. La diferencia entre ambas cosas son los días de trabajo del senior testando una muestra de transacciones, los mismos días que el socio necesita recortar para sacar adelante el encargo con lo que hay.

Cómo funciona

El equipo evalúa la efectividad de los controles internos relevantes para cada aseveración de los estados financieros. La NIA-ES 315.27 exige que esta evaluación se documente vinculada a los riesgos identificados a nivel de aseveración. El riesgo de control no es un número abstracto. Es la conclusión documentada sobre si existe una deficiencia que podría permitir que un error pase sin detectarse, sostenida por evidencia de pruebas de controles.

En la práctica, la evaluación del riesgo de control determina la naturaleza, el alcance y la oportunidad de los procedimientos sustantivos. Si la evaluación es alta (deficiencia o controles inadecuados), los procedimientos sustantivos deben ser amplios. Si es baja, porque se ha probado que los controles funcionan efectivamente, los procedimientos sustantivos pueden reducirse. La condición para reducir es la prueba documentada, no la afirmación.

Lo que realmente ocurre con frecuencia es la confusión inversa: asumir que una evaluación de riesgo de control bajo permite saltarse los procedimientos sustantivos. La NIA-ES 330.6 establece que, sea cual sea la evaluación del riesgo de control, el auditor debe diseñar e implementar procedimientos sustantivos para cada aseveración material. La reducción está permitida; la eliminación, no.

Hay otra confusión que aparece menos en los manuales pero más en los papeles de trabajo: evaluar el riesgo de control a nivel de cuenta y no de aseveración. Una entidad puede tener controles fuertes para la existencia de inventario (recuentos físicos, conciliaciones) y débiles para su valoración (sin proceso documentado de revisión de obsolescencia). Una evaluación única "media" para la cuenta de inventario oculta esta divergencia y empuja a un programa sustantivo mal calibrado.

Ejemplo práctico: Fabricaciones Cerámicas León S.L.

Cliente: Fabricante de cerámica industrial en León. Ingresos FY2024: 3,8 millones de euros. Marco contable: PGC. Cuenta a auditar: cuentas por pagar comerciales (1,2 millones de euros).

Paso 1: Identificar la aseveración y el riesgo de fraude o error

La aseveración relevante es la integridad de las cuentas por pagar comerciales: ¿se han registrado todas las obligaciones incurridas? El riesgo identificado es que facturas de proveedores se omitan del registro (incompletitud).

Documentación: Matriz de riesgos NIA-ES 315.34, identificación de riesgos de aseveración por cuenta.

Paso 2: Comprender los controles internos diseñados

La entidad tiene un procedimiento de compra y recepción: orden de compra generada en sistema, recepción física verificada contra orden, factura del proveedor recibida y casada contra orden y recepción (three-way match), aprobación por jefe de almacén, y registro manual en contabilidad.

Documentación: Narrativa de proceso en papel de trabajo NIA-ES 315.A86.

Paso 3: Evaluar si el control es efectivo para reducir el riesgo

El equipo prueba: ¿funciona este control? Selecciona 20 transacciones de compra (muestra representativa). En 18 de 20 casos el three-way match se realizó correctamente y la factura se registró en el período correcto. En los dos casos restantes, el proveedor envió una factura sin orden de compra previa (proveedores ocasionales de servicios de mantenimiento), y ambas se registraron sin la aprobación del jefe de almacén requerida.

Documentación: Pruebas de controles NIA-ES 330.7, muestra de transacciones, identificación de excepciones.

Paso 4: Conclusión sobre el riesgo de control

Las dos excepciones no son anecdóticas. Apuntan a un flujo paralelo (proveedores sin orden previa) que el control three-way match no cubre. La conclusión: existe una deficiencia de control en la autorización de compras sin orden previa. La evaluación del riesgo de control para la aseveración de integridad de cuentas por pagar es alto.

Aquí aparece la disputa clásica de revisión. El Socio A diría: dos excepciones de veinte es 10%, claramente material como tasa de fallo, deficiencia significativa, riesgo alto. El Socio B diría: ambas excepciones son del mismo tipo (proveedores ocasionales sin OC), el flujo principal es robusto, basta con expandir la muestra al flujo alternativo y mantener el riesgo en medio. La NIA-ES 265.A6 ayuda a decidir: la cuestión no es la tasa, es si la deficiencia podría permitir un error material en la aseveración. Si los proveedores ocasionales mueven 200.000 € al año y la PM es 80.000 €, hay debilidad significativa y riesgo alto. Si mueven 8.000 €, el Socio B tiene razón. El cálculo manda, no el porcentaje.

Documentación: Memo de conclusión de riesgo de control, análisis de si la deficiencia es debilidad significativa bajo NIA-ES 265.

Paso 5: Implicaciones para procedimientos sustantivos

Dado el riesgo de control alto, el equipo no puede depender del three-way match para esta aseveración. Debe ejecutar procedimientos sustantivos amplios: confirmación positiva externa de saldo a proveedores, revisión del registro contable mes a mes buscando proveedores que aparezcan una sola vez (posible omisión posterior a cierre), y examen de transacciones post-cierre por 45 días para detectar compras pertenecientes al ejercicio actual (prueba de integridad).

Documentación: Programa de auditoría sustantiva, ampliación de alcance respecto al plan inicial.

Conclusión: La evaluación insuficiente habría sido "el cliente tiene three-way match, riesgo de control bajo". Eso habría conducido a pruebas limitadas. La evaluación correcta es "el three-way match existe, pero tiene huecos documentados; riesgo de control alto, se requieren procedimientos sustantivos amplios". El papel de trabajo refleja la diferencia con dos líneas más, no con dos semanas más de trabajo.

Qué revisor y auditor suelen equivocarse

- Evaluación de riesgo de control sin prueba de efectividad. El equipo documenta que "existen controles de autorización" pero no prueba si funcionan. La NIA-ES 330.7 exige obtener evidencia de que los controles operaron efectivamente durante el período auditado. Documentar la existencia de un control no equivale a documentar su efectividad. El incentivo perverso aquí es de presupuesto: testar controles consume horas que el equipo prefiere asignar a sustantivo, y al final acaba sin testar bien ninguna de las dos cosas. Marcar la casilla de "control efectivo" sin prueba es exactamente lo que el ICAC busca cuando entra a revisar.

- Confundir "bajo riesgo de control" con "procedimientos sustantivos reducidos a cero". Aun cuando el riesgo se evalúe como bajo, la NIA-ES 330.6 exige procedimientos sustantivos para cada aseveración material. La reducción está permitida; la eliminación, nunca. El error suele aparecer en cuentas con muchos controles automáticos (por ejemplo, conciliaciones bancarias diarias generadas por el ERP), donde el equipo concluye que "el sistema lo hace todo" y omite cualquier prueba sustantiva del saldo final. Si el sistema fue mal parametrizado, el error pasa intacto a las cuentas anuales.

- Evaluación a nivel de cuenta y no de aseveración. La NIA-ES 315.27 especifica que la evaluación se realiza para cada aseveración relevante. Una entidad puede tener control fuerte para la existencia de activos pero débil para su valoración. El riesgo de control debe ser específico por aseveración, y el programa sustantivo debe responder a esa especificidad. Lo que realmente ocurre: la matriz de riesgos viene con una columna única "riesgo de control" por cuenta, el equipo rellena la columna y nadie la abre por aseveración. La conclusión termina mal calibrada en al menos una de las cinco aseveraciones por cuenta.

Riesgo de control vs. Riesgo inherente

El riesgo de control mide la probabilidad de que los controles no eviten o detecten errores. El riesgo inherente mide la susceptibilidad de una aseveración a un error material, sin considerar el efecto de los controles. Ambos contribuyen al riesgo de error material antes de aplicar procedimientos de auditoría.

Diferencia práctica: un saldo de inventario puede tener riesgo inherente alto (producto perecedero, fluctuaciones de precio, complejidad en el recuento) y riesgo de control bajo (controles de conteo físico y conciliación bien documentados y probados). Otro saldo puede tener riesgo inherente bajo (alquiler mensual fijo) y riesgo de control alto (pagos autorizados sin documentación de contrato). La combinación determina el riesgo de error material y, con el riesgo de detección que el equipo decide asumir, el riesgo de auditoría final.

Términos relacionados

Riesgo inherente: la susceptibilidad de una aseveración a un error material sin considerar controles; complementario del riesgo de control, que sí considera la efectividad de los controles.

Riesgo de auditoría: la combinación de riesgo inherente, riesgo de control y riesgo de detección; el riesgo final de que el auditor emita una opinión incorrecta.

Evaluación de riesgo de fraude: el proceso de identificar riesgos específicos de fraude bajo NIA-ES 240, donde la efectividad de los controles es una consideración adicional.

Deficiencia de control: cuando un control está ausente, mal diseñado o no funciona efectivamente; base para evaluar el riesgo de control como alto.

Debilidad significativa en el control interno: una deficiencia de control lo bastante grave para comunicarla al órgano de gobierno, conforme a NIA-ES 265.

Procedimientos sustantivos: pruebas diseñadas para detectar errores materiales directamente en saldos o transacciones; el alcance se amplía cuando el riesgo de control es alto.

Entendimiento del control interno: la evaluación requerida de cómo los controles diseñados de una entidad se relacionan con los riesgos de error material identificados.

Recurso de cálculo

La Matriz de Evaluación de Riesgo de Control NIA-ES 315 documenta la evaluación por aseveración, mapea los controles a riesgos específicos, registra los resultados de las pruebas de controles e indica el riesgo de control final. Cierra el hueco de documentación incompleta que aparece de forma repetida en los expedientes del ICAC.

---

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.