Cómo funciona

El auditor evalúa la efectividad de los controles internos relevantes para cada aseveración en los estados financieros. La NIA-ES 315.27 requiere que esta evaluación se documente en relación con los riesgos identificados a nivel de aseveración. El riesgo de control no es un número abstracto; es la conclusión documentada sobre si existe una deficiencia de control que podría permitir que un error pase sin ser detectado.
En la práctica, la evaluación del riesgo de control determina la naturaleza, el alcance y la oportunidad de los procedimientos sustantivos. Si se concluye que el riesgo de control es alto (es decir, que existe una deficiencia o que los controles son inadecuados), entonces los procedimientos sustantivos deben ser amplios. Si se concluye que el riesgo de control es bajo, porque se ha evaluado que los controles funcionan efectivamente, entonces se pueden reducir los procedimientos sustantivos, siempre que se obtenga evidencia de que los controles operaron como se diseñó.
La confusión frecuente es asumir que una evaluación de riesgo de control bajo permite saltarse los procedimientos sustantivos. La NIA-ES 330.6 requiere que independientemente de la evaluación del riesgo de control, el auditor debe diseñar e implementar procedimientos sustantivos para cada aseveración importante. La reducción en procedimientos sustantivos es permitida, no su eliminación.

Ejemplo práctico: Fabricaciones Cerámicas León S.L.

Cliente: Fabricante de cerámica industrial en León, España. Ingresos FY2024: €3,8 millones. Marco contable: Plan General de Contabilidad (PGC). Cuenta a auditar: Cuentas por pagar comerciales (€1,2 millones).
Paso 1: Identificar la aseveración y el riesgo de fraude o error
La aseveración relevante es "integridad de las cuentas por pagar comerciales": ¿todas las obligaciones incurridas han sido registradas? El riesgo identificado es que facturas de proveedores sean omitidas del registro (incompletitud).
Documentación: Matriz de riesgos NIA-ES 315.34, identificación de riesgos de aseveración por cuenta.
Paso 2: Comprender los controles internos diseñados
La entidad tiene un procedimiento de compra y recepción: (1) orden de compra generada en sistema; (2) recepción física verificada contra orden; (3) factura del proveedor recibida y casada contra orden y recepción (three-way match); (4) aprobación por jefe de almacén; (5) factura ingresada manualmente a contabilidad.
Documentación: Narrativa de proceso en papel de trabajo NIA-ES 315.A86.
Paso 3: Evaluar si el control es efectivo para reducir el riesgo
El auditor prueba: ¿funciona este control? Se seleccionan 20 transacciones de compra (muestra representativa). Se verifica que en 18 de 20 casos, el three-way match se realizó correctamente y la factura fue registrada en el período correcto. Sin embargo, se identifican dos casos donde el proveedor envió una factura sin orden de compra previa (proveedores ocasionales de servicios de mantenimiento), y ambas fueron registradas sin la aprobación de jefe de almacén requerida.
Documentación: Pruebas de controles NIA-ES 330.7, muestra de transacciones, conclusión de deficiencia.
Paso 4: Conclusión sobre riesgo de control
Debido a las dos excepciones identificadas, el auditor concluye: "Existe una deficiencia de control en la autorización de compras sin orden previa. El control three-way match no se extiende a este flujo alternativo de compras." Por lo tanto, la evaluación del riesgo de control para la aseveración de integridad de cuentas por pagar es alto.
Documentación: Memo de conclusión de riesgo de control, análisis de si la deficiencia es una debilidad significativa bajo NIA-ES 265.
Paso 5: Implicaciones para procedimientos sustantivos
Dado el riesgo de control alto, el auditor no puede depender del control three-way match para esta aseveración. Debe ejecutar procedimientos sustantivos amplios: (1) confirmar saldo a proveedores (confirmación positiva externa); (2) revisar el registro contable mes a mes buscando proveedores que aparecen una sola vez (posible omisión posterior a cierre); (3) examinar transacciones post-cierre por 45 días para detectar compras pertenecientes al ejercicio actual (prueba de integridad).
Documentación: Programa de auditoría sustantiva, aumento de alcance respecto a plan inicial.
Conclusión: La evaluación insuficiente del riesgo de control habría sido: "El cliente tiene un three-way match, así que el riesgo de control es bajo." Esto habría conducido a pruebas limitadas de cuentas por pagar. La evaluación correcta es: "El three-way match existe, pero tiene gaps de control documentados. El riesgo de control es alto, así que se requieren procedimientos sustantivos amplios."

Qué revisor y auditor suelen equivocarse

  • Evaluación de riesgo de control sin prueba de efectividad: El auditor documenta que "existen controles de autorización" pero no prueba si funcionan. La NIA-ES 330.7 requiere que el auditor obtenga evidencia de que los controles operaron de manera efectiva durante el período auditado. Documentar la existencia de un control no equivale a documentar su efectividad.
  • Confundir "bajo riesgo de control" con "procedimientos sustantivos reducidos a cero": Incluso cuando el riesgo de control se evalúa como bajo, la NIA-ES 330.6 requiere que se ejecuten procedimientos sustantivos para cada aseveración importante. La reducción es permitida, pero la eliminación nunca lo es.
  • Evaluación del riesgo de control al nivel de la cuenta, no al nivel de la aseveración: La NIA-ES 315.27 especifica que la evaluación debe realizarse para cada aseveración relevante (existencia, integridad, derechos, valoración, presentación). Una entidad puede tener un control fuerte para la existencia de activos pero un control débil para su valoración. El riesgo de control debe ser específico a cada aseveración.

Riesgo de control vs. Riesgo inherente

El riesgo de control es la probabilidad de que los controles no prevean o detecten errores. El riesgo inherente es la susceptibilidad de una aseveración a un error importante, sin considerar el efecto de los controles. En conjunto, ambos contribuyen al riesgo de error importante sin aplicar procedimientos de auditoría.
Diferencia práctica: Un saldo de inventario puede tener riesgo inherente alto (producto perecedero, fluctuaciones de precio, complejidad en el conteo) pero riesgo de control bajo (controles de conteo físico y conciliación bien documentados). Otro saldo puede tener riesgo inherente bajo (pago de alquiler mensual fijo) pero riesgo de control alto (pagos autorizados sin documentación de contrato). La combinación de ambos determina el riesgo de error importante en auditoría.

Términos relacionados

Riesgo inherente: la susceptibilidad de una aseveración a un error importante sin considerar controles; diferente del riesgo de control, que sí considera la efectividad de los controles.
Riesgo de auditoría: la combinación de riesgo inherente, riesgo de control y riesgo de detección; el riesgo final de que el auditor emita una opinión incorrecta.
Evaluación de riesgo de fraude: el proceso de identificar riesgos específicos de fraude bajo NIA-ES 240, donde la efectividad de los controles es una consideración adicional.
Deficiencia de control: cuando un control está ausente, mal diseñado o no funciona efectivamente; base para la evaluación de riesgo de control alto.
Debilidad significativa en el control interno: una deficiencia de control lo suficientemente grave como para ser comunicada al órgano de gobierno, conforme a NIA-ES 265.
Procedimientos sustantivos: pruebas diseñadas para detectar errores importantes directamente en los saldos de cuentas o en las clases de transacciones; el alcance se expande cuando el riesgo de control es alto.
Entendimiento del control interno: la evaluación requerida de cómo los controles diseñados de una entidad se relacionan con los riesgos de error importante identificados.

Recurso de cálculo

La Matriz de Evaluación de Riesgo de Control NIA-ES 315 permite documentar la evaluación del riesgo de control por aseveración, mapear controles a riesgos específicos, registrar resultados de pruebas de controles e indicar el riesgo de control final. Elimina el riesgo de documentación incompleta que frecuentemente se identifica en inspecciones.
---

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.