Definition
El auditor de grupo manda las instrucciones a la filial el viernes a las ocho de la tarde. El lunes el auditor del componente las archiva sin abrir y empieza el trabajo de campo siguiendo el plan del año pasado. Cuando el socio responsable revisa los papeles en marzo, el riesgo nuevo de fraude en registros de horas no aparece por ningún lado. Nadie lo trabajó. Por lo que conozco, esto pasa más de lo que se reconoce.
Cómo funcionan
Las instrucciones de auditoría de grupo sirven como puente de comunicación entre el equipo de auditoría de grupo (quien dirige la estrategia global) y los auditores de componentes (quienes ejecutan el trabajo en filiales o unidades operativas). Según la NIA-ES 600.28, deben incluir la estrategia del grupo, los riesgos importantes identificados a nivel de grupo, los umbrales de materialidad y desempeño, y cualquier requisito relacionado con la consolidación, eliminaciones o transacciones intercompañía.
La comunicación es bidireccional. El auditor del componente debe comunicar de vuelta hallazgos significativos, incumplimientos de normas u otros asuntos que afecten la conclusión global. El auditor de grupo no puede asumir que las instrucciones se ejecutaron correctamente; tiene que hacer procedimientos de seguimiento y supervisión que confirmen el cumplimiento.
Lo que realmente ocurre es otra cosa. Vaya por delante que llevo años viendo cartas de instrucciones que son la del año anterior con la fecha cambiada y dos párrafos retocados. Y luego nos sorprende que el auditor de la filial no tenga ni idea del riesgo nuevo. La NIA-ES 600.28 exige instrucciones específicas para el ejercicio. En la práctica los papeles están flojos: el documento existe, el correo se envió, alguien marcó la casilla, pero el contenido no comunica lo que tiene que comunicar.
Por qué las instrucciones acaban descuidadas
Hay un problema estructural que casi nadie nombra. En la mayoría de firmas medianas el tiempo de preparación de instrucciones de grupo se imputa a un código que no se factura por separado al cliente. El socio necesita el cliente, el presupuesto del grupo está apretado, y las horas dedicadas a redactar instrucciones específicas son horas invisibles para el control de rentabilidad del encargo. El auditor del componente, por su parte, opera con su propio presupuesto de auditoría estatutaria local: su incentivo es cumplir su plazo, computar horas y cerrar, no abrir un debate sobre procedimientos adicionales que no estaban en su honorarios. Y la metodología de la firma normalmente arranca con la plantilla del año anterior.
Tres incentivos alineados hacia el mismo resultado. Las instrucciones se redactan rápido, se mandan tarde y nadie las cuestiona.
Ejemplo práctico: Grupo Constructora Atlántico
Cliente: Grupo Constructora Atlántico S.A., holding inmobiliaria domiciliada en Madrid. Facturación consolidada de €127 millones en el ejercicio 2024. Incluye dos sociedades filiales significativas: Proyectos Atlántico S.L. (obra civil, €78 millones) y Atlántico Viviendas S.L. (promoción inmobiliaria, €49 millones).
Paso 1: Identificación de componentes significativos El auditor de grupo hace un análisis de riesgos y materialidad consolidada: materialidad global establecida en €1,27 millones (1% de ingresos). Las dos filiales superan el umbral de componentes significativos por ingresos. La filial de obra civil presenta riesgo de fraude específico: contratistas externos y personal temporal en obra representan rotación anual del 60%.
Nota de documentación: Se documentan en el memorando de planificación cuáles son los componentes significativos y cuál es la base de selección (materialidad relativa vs. riesgo). Se define materialidad de desempeño en filiales en €380.000 (30% de materialidad global).
Paso 2: Elaboración de instrucciones de auditoría El equipo de Madrid prepara instrucciones escritas que incluyen: (a) riesgos importantes identificados a nivel de grupo, en concreto el riesgo de fraude en registros de horas en Proyectos Atlántico; (b) cambios en políticas contables relacionadas con reconocimiento de ingresos por contratación de largo plazo; (c) procedimientos específicos para transacciones intercompañía (cuentas por cobrar/pagar entre filiales); (d) instrucciones para que los auditores de componentes documenten cualquier incumplimiento normativo o hallazgo de control interno relacionado con contratación y nómina.
Nota de documentación: Las instrucciones se documentan en un memorando de grupo fechado y firmado por el socio responsable de la auditoría de grupo. Se hace una copia al expediente de cada componente.
Paso 3: Comunicación a auditores de componentes Las instrucciones se comunican formalmente a los auditores de componentes mediante correo electrónico con confirmación de lectura. El auditor de grupo pide que cada auditor de componente responda confirmando que ha entendido las instrucciones y que cuenta con la experiencia y recursos para ejecutarlas. Como Proyectos Atlántico tiene riesgos de fraude específicos, también se convoca una reunión inicial antes de que comience el trabajo de campo.
Nota de documentación: Correos de confirmación de recepción archivados. Acta de reunión inicial con auditor de Proyectos Atlántico firmada y fechada antes del 1 de febrero (fecha de inicio de trabajo de campo).
Paso 4: Supervisión, seguimiento y la conversación incómoda Durante la auditoría, el auditor de grupo revisa los papeles de trabajo de los componentes en al menos dos momentos: revisión intermedia (durante el trabajo de campo) y revisión final (antes del cierre). En la revisión intermedia de Proyectos Atlántico detecta que el auditor del componente no ha completado los procedimientos específicos sobre fraude en registros de horas.
Y aquí empieza la parte que las plantillas no cuentan. El auditor del componente responde por escrito que esos procedimientos no estaban en el alcance de su auditoría estatutaria local cuando se acordó el honorario, que requieren entre 40 y 60 horas adicionales, y que su firma no las va a absorber. Hay tres caminos. Uno: el equipo de grupo manda gente desde Madrid a hacer los procedimientos como trabajo del auditor de grupo, lo que dispara su propio presupuesto. Dos: el socio responsable de grupo negocia con el cliente un honorario adicional para el auditor del componente, lo que abre una conversación comercial fea a mitad de campaña. Tres: el auditor de grupo acepta cubrir el riesgo mediante revisión analítica a nivel consolidado, lo que documentalmente es defendible pero deja la sensación de que el riesgo no se ha trabajado donde de verdad vive.
En mi caso solemos ir por la opción dos cuando el riesgo es de fraude, porque el procedimiento analítico a nivel consolidado no llega a detectar manipulaciones específicas en registros de horas en una sola obra. Pero requiere que el socio asuma una conversación con el cliente que nadie quiere tener en febrero.
Nota de documentación: La decisión y su justificación se documentan en el memorando del archivo de grupo, junto con la comunicación al auditor del componente y al cliente.
Cierre del caso: Las instrucciones de auditoría de grupo documentadas y comunicadas permitieron identificar (a) qué trabajo debía hacerse en cada componente, (b) quién lo haría y con qué expectativa de calidad, y (c) cómo el auditor de grupo supervisaría ese trabajo. Sin instrucciones escritas, Proyectos Atlántico habría completado su auditoría sin abordar el riesgo de fraude específico del grupo, y el socio se habría enterado del problema en abril.
Qué auditores y revisores interpretan mal
Tier 1: Hallazgo regulatorio específico. El ICAC ha identificado en informes de inspección que la ausencia de instrucciones de auditoría de grupo por escrito es una deficiencia recurrente. Cuando las instrucciones existen pero no comunican cambios en la estrategia (por ejemplo, un nuevo riesgo importante identificado tras la reunión de planificación inicial), el auditor del componente sigue ejecutando el trabajo con información incompleta.
Tier 2: Error estándar. Muchos auditores de grupo asumen que la comunicación del plan de auditoría de grupo es "suficientemente clara" y no preparan instrucciones adicionales. La NIA-ES 600.28 especifica que las instrucciones deben incluir riesgos importantes a nivel de grupo, que a menudo no se conocen hasta que se completa la evaluación del entorno de control consolidado. Un error frecuente es confundir la comunicación de la estrategia global (que es necesaria) con instrucciones específicas para cada componente (que es un requisito distinto).
Tier 3: Brecha de documentación. Incluso cuando existen instrucciones, falta evidencia de su comunicación. Una instrucción que se envía por correo sin confirmación de lectura es más débil que una que se documenta en un acta de reunión o con un formulario de confirmación firmado. Marcar la casilla no equivale a comunicar.
El debate: ¿documento a medida cada año o plantilla actualizada?
Hay dos posiciones razonables sobre cómo deberían construirse las instrucciones de auditoría de grupo, y conviene reconocerlo en lugar de fingir consenso.
La socia A defiende que las instrucciones tienen que escribirse desde cero cada ejercicio, porque solo así se obliga al equipo a pensar de verdad sobre los riesgos del año. Una plantilla que se actualiza arrastra inercia: el auditor del componente reconoce el formato, asume que es lo mismo del año pasado y deja de leerlo con atención. Su argumento es que la fricción de redactar de cero es precisamente lo que produce instrucciones útiles.
El socio B defiende lo contrario. Una plantilla estructurada con secciones fijas y un apartado claramente marcado de "cambios respecto al ejercicio anterior" permite comparación año a año, evita que se olviden secciones, y reduce el riesgo de que un equipo nuevo improvise mal. Su argumento es que la consistencia documental es lo que defiende el archivo en una inspección del ICAC.
Las dos posturas tienen razón y las dos tienen modos de fallo. La plantilla deriva en copia perezosa. El documento desde cero deriva en omisiones cuando hay presión de plazo. Por lo que conozco, lo que mejor funciona es plantilla con campo obligatorio de "qué cambia este año y por qué", con el "por qué" firmado por el socio. Pero es opinión y no está en la norma.
Instrucciones de auditoría de grupo vs. plan de auditoría de grupo
La distinción entre estos dos conceptos es fuente frecuente de confusión, aunque son elementos complementarios de la auditoría de grupo.
| Dimensión | Instrucciones de auditoría de grupo | Plan de auditoría de grupo |
|---|---|---|
| Propósito | Comunicar al auditor del componente qué trabajo debe hacer y cómo supervisarlo | Describir la estrategia general del auditor de grupo y la asignación de riesgos a niveles de aseveración |
| Destinatario | Auditores de componentes | Equipo de auditoría de grupo (interno) |
| Contenido | Riesgos importantes a nivel de grupo, umbrales de materialidad, procedimientos específicos, transacciones intercompañía | Riesgos a nivel de entidad y de aseveración, materialidad, programa de auditoría |
| Momento de preparación | Después de que se completa la evaluación de riesgos iniciales del grupo | Antes de comenzar cualquier trabajo de auditoría |
| Revisión y aprobación | El auditor de grupo la revisa y aprueba antes de comunicar | El socio responsable la aprueba antes de la reunión de planificación |
Cuándo la distinción importa en un encargo
Un equipo de auditoría de grupo en una firma de tamaño medio trabaja en la consolidación de cinco componentes. El socio prepara un plan de auditoría de grupo completo que incluye la evaluación de riesgos consolidados y la materialidad. No prepara instrucciones de auditoría de grupo escritas para los auditores de componentes. En su lugar, asume que una reunión de inicio con cada auditor de componente es suficiente.
Durante la auditoría, uno de los auditores de componentes no es consciente de un riesgo importante a nivel de grupo (relacionado con eliminaciones intercompañía complejas) porque no estuvo en la reunión inicial. Completa su trabajo enfocado solo en riesgos a nivel de componente. El auditor de grupo descubre la omisión durante la revisión de papeles y tiene que ampliar el alcance retroactivamente, con los retrasos y el coste adicional que eso implica.
Con instrucciones escritas y comunicadas, ese riesgo habría estado explícitamente identificado en la hoja de ruta del auditor del componente desde el primer día.
Lo que revisores e inspectores encuentran incorrecto
- Hallazgo común: Instrucciones de auditoría de grupo que no se comunican antes de que comience el trabajo de campo, o que se comunican verbalmente sin evidencia documentada. - Hallazgo común: Cambios en la estrategia de auditoría (por ejemplo, identificación de un nuevo riesgo importante) que no se comunican a auditores de componentes en una instrucción de actualización. - Hallazgo común: Instrucciones genéricas o copiadas de auditorías anteriores sin adaptación a los riesgos específicos del ejercicio actual. - Hallazgo común: Falta de procedimientos de seguimiento del auditor de grupo para verificar que los auditores de componentes cumplieron con las instrucciones.
Términos relacionados
- Riesgo importante a nivel de grupo - Riesgos que afectan a múltiples componentes o al proceso consolidado y que deben ser objeto de procedimientos específicos en las instrucciones. - Auditor de componente - Auditor responsable de realizar procedimientos de auditoría en un componente individual bajo las instrucciones del auditor de grupo. - Transacciones intercompañía - Transacciones entre componentes que requieren procedimientos de auditoría especiales y que con frecuencia son objeto de instrucciones de auditoría de grupo. - Materialidad de desempeño - Umbral establecido para cada componente, comunicado habitualmente en las instrucciones de auditoría de grupo. - Procedimientos de supervisión del auditor de grupo - Procedimientos que el auditor de grupo ejecuta para verificar que los auditores de componentes cumplieron con las instrucciones. - NIA-ES 600 Auditoría de estados financieros consolidados - Norma que establece los requisitos de auditoría de grupo y de instrucciones a componentes.
---