Controles a Nivel de Entidad

aspectos central

- Un ELC documentado en planificación y nunca probado en ejecución no respalda la reducción de pruebas sustantivas que el archivo declara. - La NIA-ES 315.29 enumera los componentes (tono, competencia, gobierno, evaluación de riesgos, sistemas de información), pero el párrafo 26 es el que obliga a vincularlos con riesgos concretos. - Un ELC débil invalida controles de ciclo bien diseñados; un ELC fuerte permite reducir el volumen de pruebas, siempre que se haya probado. - Donde fallan los papeles de trabajo no es en describir el ELC, sino en justificar qué pruebas sustantivas se han recortado por confiar en él.

---

Cómo funcionan

Empecemos por el fallo. El ELC existe. Nadie lo ha probado.

Lo que se ve en la práctica es este patrón: el equipo describe que el director financiero revisa mensualmente las cuentas, anota "control implantado", y archiva. No hay walkthrough que muestre cómo reaccionó el director financiero cuando un margen se desvió un 15% en marzo. No hay muestra de actas del consejo. No hay traza de qué hizo el canal ético cuando entró una denuncia. Existe el control sobre el papel, pero su funcionamiento durante el ejercicio es una suposición.

Lo que dice la norma es distinto. En la NIA-ES 315.29 se enumeran los componentes que el auditor debe evaluar: políticas y procedimientos de la dirección, competencia del personal, estructura organizativa, asignación de autoridad y responsabilidad, procesos para hacer frente a riesgos identificados, y sistemas de información que respaldan los objetivos operativos y financieros. Y el requisito que de verdad muerde está en el párrafo 26: el auditor debe identificar los riesgos de incorrección material y vincular su evaluación de los controles con esos riesgos. En la práctica, eso significa que un ELC sin prueba de funcionamiento no puede, por sí solo, reducir la respuesta sustantiva a un riesgo significativo.

Y aquí está la zona gris. Un director financiero competente que revisa periódicamente los estados de resultados preliminares es un ELC. Una política que exige doble supervisión sobre las transacciones de ingresos es un ELC. Un sistema que genera el resumen mensual de variaciones presupuestarias y la dirección lo revisa con anotaciones es un ELC. Pero la revisión de un asiento concreto, la autorización de la factura de un proveedor o la conciliación de una cuenta individual no lo son. Esos son controles de ciclo o de aseveración, y se prueban con muestras, no con cuestionarios al CFO.

Por lo que he visto en los encargos que he llevado, la diferencia entre un archivo que aguanta una inspección y otro que no la aguanta no está en cómo se describen los ELCs. Está en si el equipo ha hecho al menos un walkthrough con prueba de funcionamiento sobre uno o dos de ellos: una muestra de actas del consejo de los últimos doce meses, la traza completa de una denuncia del canal ético desde entrada hasta resolución, la revisión de tres reportes mensuales firmados por el CFO con sus anotaciones manuscritas, y un cotejo de las actas del comité de auditoría con los temas elevados por el CFO en los reportes mensuales. Eso es lo que cierra el bucle de la NIA-ES 315.26.

---

Ejemplo práctico: Constructora Valenciana S.L.

Cliente: Constructora Valenciana S.L., Valencia, España. Construcción residencial, facturación de 18,5 millones de euros, NIIF voluntario, ciclo de vida de proyectos de 24 a 36 meses. Auditoría de 2025, ejecutada entre febrero y mayo de 2026.

Paso 1: Identificar la estructura de gobierno y la competencia de la dirección

Hay un director general con 22 años en el sector que revisa mensualmente el estado de situación financiera con foco en márgenes por proyecto. Por su parte, el consejero delegado fue nombrado hace tres años y tiene experiencia previa en control financiero. La junta de administración se reúne cada trimestre e incluye un consejero independiente con experiencia en construcción.

Nota de documentación: "Dirección competente confirmada. DG 22 años en sector. Revisiones mensuales documentadas con anotaciones manuscritas en 11 de 12 reportes (2025). Junta con consejero independiente con experiencia sectorial."

Paso 2: Evaluar el tono de la organización

Hay una política escrita de cumplimiento normativo que conocen los mandos intermedios. No se observa presión por alcanzar objetivos a expensas de la exactitud contable. Cierre interno completado a los 15 días del final del mes.

Nota de documentación: "Tono positivo. Política de cumplimiento formalizada. Sin indicios de presión por manipulación de resultados. Cierre ordenado a día 15."

Paso 3: Evaluar la estructura organizativa y la asignación de responsabilidades

Existe organigrama formal: el controller reporta al CFO y el CFO reporta al director general. Hay un responsable de contabilidad general con certificado de técnico superior en administración de empresas y cinco años en el puesto.

Nota de documentación: "Estructura clara. Controller reporta a CFO. CFO reporta a DG. Responsable de contabilidad con cualificación relevante y 5 años de experiencia."

Paso 4: Evaluar los procesos para identificar y responder a riesgos

Hay una evaluación de riesgos formalizada anualmente por la dirección. Identifica como riesgos principales los cambios en regulación laboral (sector intensivo en mano de obra), la volatilidad de precios de materiales, el riesgo de cobro en proyectos inconclusos y la fluctuación del coste financiero. Se ha designado a un responsable de riesgos que reporta al CFO.

Nota de documentación: "Evaluación de riesgos formalizada. Riesgos identificados son relevantes al sector. Responsabilidad asignada y reportaje formalmente establecido."

Paso 5: Evaluar los sistemas de información

Un ERP implantado hace tres años genera registro automático de transacciones de ingresos vinculadas a hitos de proyecto, informe automático mensual de margen de proyecto, registro de variaciones presupuestarias revisado por el director de proyecto y el CFO, y cuadro de antigüedad de saldos a cobrar emitido cada quincena.

Nota de documentación: "ERP implantado. Genera registros de ingresos por hito de proyecto. Reportes de margen y variaciones revisados formalmente."

Complicación a mitad del ejercicio

En septiembre de 2025, la dirección instala un canal ético externo y comunica formalmente la rotación del responsable de riesgos. Aparente refuerzo del entorno de control. Cuando solicito la traza de las denuncias recibidas en los doce meses previos al cambio (canal interno antiguo), aparecen tres entradas marcadas como "sin acción" sin nota de cierre. Una de ellas se refiere a un sobrecoste de 240.000 € en un proyecto en Castellón firmado por el director de proyecto sin la doble autorización exigida por la política interna.

Aquí es donde la cosa cambia. Sobre el papel, el ELC se ha reforzado. En la práctica, el canal anterior funcionaba como brindis al sol: existía sobre el papel y nadie tramitaba lo que entraba. Hay una traza concreta: el walkthrough sobre la denuncia del proyecto de Castellón muestra que el sobrecoste se contabilizó en obra en curso y nunca se elevó al consejo.

Veredicto

Bajo la confianza inicial en los ELCs de "evaluación de riesgos" y "tono". Mantengo la confianza en "competencia de la dirección" y "sistemas de información", que sí soportan walkthrough con prueba de funcionamiento. Aumento las pruebas sustantivas sobre obra en curso del proyecto de Castellón y de dos proyectos comparables. Documento en el papel de resumen la razón concreta por la que la respuesta sustantiva no puede recortarse: la NIA-ES 315.26 exige vincular controles con riesgos, y el riesgo de sobrecostes no autorizados ha quedado sin cobertura preventiva probada.

---

Lo que los revisores y auditores no ven bien

- Confundir valores declarados con controles reales. Una política escrita sobre "integridad" en el manual de la empresa no es un ELC si la dirección no demuestra en sus actos que los valores se cumplen. La NIA-ES 315.32 exige evaluar tanto la política como su cumplimiento observable. La forma rápida de verlo: pedir tres ejemplos del último año donde la política se aplicó frente a una excepción concreta. Si no aparecen, los papeles están flojos.

- Asumir que un ELC es débil porque una transacción individual no fue controlada. Los ELCs operan en el sistema global. Una transacción aislada que pasó sin detectarse no invalida la evaluación de que el entorno de control es fuerte. Lo que la invalida es que los procesos de detección (sistemas de información, supervisión de la dirección) no funcionaron como se diseñó para la mayoría de transacciones.

- No documentar la conexión entre el ELC evaluado y la opinión sobre los controles de ciclo. Es la deficiencia que veo con más frecuencia en revisiones internas. Muchos papeles describen ELCs pero no citan qué evaluación de riesgo o qué reducción de pruebas sustantivas se justifica por ellos. La NIA-ES 315.26 lo exige y el ICAC lo viene señalando en sus informes anuales de control de calidad.

- Tratar la "design-and-implementation" como suficiente porque la firma lo dice. Las metodologías comerciales de algunas redes incluyen la opción de evaluar ELCs solo a nivel de diseño cuando el riesgo es bajo. Eso puede sostenerse para componentes con poco impacto sobre los riesgos significativos. No se sostiene cuando el ELC es el único soporte para reducir pruebas sobre un riesgo significativo. La metodología no anula el párrafo 26 de la NIA-ES 315.

---

El debate: ¿basta con un walkthrough por categoría?

Vaya por delante que esta es una cuestión donde profesionales experimentados discrepan razonablemente. Lo he discutido tres veces en los últimos dos años con socios de mi entorno y sigue sin haber consenso.

Para el Socio A, en una entidad pequeña (facturación bajo 25 millones, sin EIP), un walkthrough por categoría de ELC es proporcionado: la NIA-ES 315 exige relación con riesgos, no exhaustividad. Si el archivo demuestra que la dirección, el gobierno, los procesos de evaluación de riesgos y los sistemas de información se han revisado al menos una vez por categoría, se cumple el espíritu del párrafo 26.

Para el Socio B, la lectura es la contraria. La obligación del párrafo 26 es vincular cada riesgo significativo con su control mitigador, lo que fuerza al menos una prueba de funcionamiento (ToCE) por cada ELC declarado significativo, con independencia del tamaño de la entidad. Si el archivo declara que el "tono" mitiga el riesgo de fraude en ingresos, ese "tono" debe tener prueba de funcionamiento.

Yo me inclino por la posición B porque la lectura A asume que la proporcionalidad afecta a la vinculación, cuando la NIA-ES 315.26 no admite proporcionalidad en esa vinculación. Lo proporcional es el alcance de la prueba (cuántas actas, cuántos informes), no su existencia. Pero entiendo el argumento A: en encargos de fee comprimido, exigir ToCE por cada ELC significativo puede no ser realista, y entonces lo honesto es no declararlos significativos. Esa es la decisión que los archivos suelen evitar.

---

Por qué la brecha persiste: el escudo de la metodología

Hay una razón estructural por la que los ELCs se documentan como trámite y no se prueban. En las metodologías que las firmas medianas heredan de sus alianzas internacionales suele estar la opción de "diseño implantado" como nivel suficiente para componentes de bajo impacto. Esa opción, pensada para un caso concreto, se convierte en el camino por defecto cuando hay presión de honorarios.

Lo que realmente ocurre es que el socio necesita el cliente, el equipo tiene 480 horas presupuestadas y la prueba de funcionamiento de un ELC consume tiempo que no aparece en el escandallo. Sirve entonces de escudo la metodología: si el revisor pregunta, se cita la opción de diseño implantado. No es la metodología en sí lo problemático; es que la opción se aplica donde no procede. Conviene recordar que la NIA-ES 315 trata los ELCs como amortiguadores transversales del riesgo. Si esos amortiguadores no se prueban, la respuesta sustantiva tiene que crecer; y si no crece, el archivo cuenta una historia que la documentación no soporta. Cuando el ICAC inspecciona, no lee la metodología. Lee la NIA-ES.

---

Controles a nivel de entidad frente a controles de ciclo

Los ELCs operan horizontalmente en toda la entidad. Operan verticalmente, en cambio, los controles de ciclo, dentro de una secuencia de transacciones. Un ELC sería "la dirección revisa mensualmente el estado de resultados con foco en márgenes". Un control de ciclo sería "los asientos de ingresos superiores a 100.000 € requieren aprobación del CFO". Mientras que el primero afecta a la confianza en la efectividad del sistema completo, el segundo afecta solo a la precisión de los asientos de ingresos. Por eso la NIA-ES 315.29 obliga a evaluar primero los ELCs: si son débiles, incluso controles de ciclo bien diseñados pueden no prevenir errores significativos. Lo que la práctica olvida con frecuencia es que la evaluación de ELC sin prueba de funcionamiento no soporta la reducción de pruebas en los ciclos donde el archivo dice que sí lo hace.

---

Términos relacionados

- Entorno de control: el conjunto de valores, comportamientos y procedimientos que la dirección establece para que el sistema de control interno funcione. - Control de ciclo: un procedimiento de control aplicado a una secuencia específica de transacciones (ingresos, compras, nómina). - Control de aseveración: un procedimiento de control diseñado para afectar a una aseveración específica en una cuenta (por ejemplo, integridad de las compras). - Evaluación de riesgos por la dirección: el proceso formal o informal mediante el cual la dirección identifica riesgos que podrían afectar a los objetivos de la entidad. - Tono en la cúspide: el ambiente que el consejo y la dirección establecen sobre la importancia del control interno.

---

Herramientas Ciferi relacionadas

La Matriz de Evaluación de Controles NIA-ES 315 automatiza la evaluación de ELCs. Permite registrar qué controles se han identificado, evaluar su diseño, documentar las pruebas de funcionamiento y vincular cada control a los riesgos identificados que mitiga. La herramienta genera un resumen ejecutivo para el papel de trabajo de resumen de auditoría.

---