Definition
Casi todos los hallazgos del ICAC sobre riesgo en los últimos cinco años apuntan al mismo sitio: la evaluación está, pero a nivel de entidad ("riesgo medio") y no por aseveración. El equipo escribe "el riesgo de inventario es alto" y se queda tan ancho. El revisor pregunta cuál aseveración (existencia, valoración, derechos) y aparece el silencio.
Lo que la norma dice y lo que realmente ocurre
NIA-ES 315.27 exige evaluar el riesgo inherente para cada aseveración relativa a saldos de cuentas, clases de transacciones y desgloses. La revisión de 2019 (vigente para encargos de períodos iniciados a partir del 15 de diciembre de 2021) introdujo los factores de riesgo inherente del párrafo A7a: complejidad, subjetividad, cambio, incertidumbre y susceptibilidad al sesgo o fraude. Y el espectro de riesgo inherente, que obliga a posicionar cada riesgo significativo dentro de un rango.
En la práctica, eso significa que la matriz que muchos equipos venían rellenando con "alto / medio / bajo" en una sola columna ya no aguanta. La inspección actual del ICAC pide que para cada aseveración material aparezcan: (i) los factores de riesgo inherente que la afectan, (ii) por qué el equipo posiciona el riesgo donde lo posiciona dentro del espectro, y (iii) qué procedimientos diseñados responden a esa posición concreta.
El riesgo inherente no es estático. NIA-ES 315.A72 obliga a considerar cambios en las circunstancias de la entidad: nuevos productos, cambios regulatorios, cambios de personal, de unidades adquiridas. Copiar el papel del año pasado sin tocar nada es una de las formas más rápidas de marcarse un hallazgo en una EQR.
Riesgo inherente, riesgo de control y riesgo de detección
Esta es la confusión que más se ve en equipos junior y, sinceramente, también en algunos socios con prisa. Una buena cultura de control no reduce el riesgo inherente. Un inventario líquido y caro sigue siendo susceptible de robo aunque la entidad tenga cámaras y arqueos diarios. Lo que cambia es la probabilidad de que el control detecte o prevenga la incorrección, que es otra variable distinta.
| Concepto | Qué mide | Quién lo controla | Procedimientos |
|---|---|---|---|
| Riesgo inherente | Susceptibilidad a la incorrección antes de controles | La naturaleza de la entidad y de la aseveración | Diseñar procedimientos por aseveración (NIA-ES 330) |
| Riesgo de control | Probabilidad de que el control no prevenga ni detecte | La entidad (al diseñar e implementar controles) | Pruebas de controles si se piensa confiar (NIA-ES 330.8) |
| Riesgo de detección | Probabilidad de que los procedimientos del auditor no detecten | El auditor (al variar naturaleza, alcance y oportunidad) | Procedimientos sustantivos calibrados al riesgo combinado |
El riesgo de auditoría es la combinación de los tres. El equipo no puede bajar el riesgo inherente con esfuerzo. Solo puede bajar el riesgo de detección con más procedimientos. Es la base del modelo, y aun así sigue habiendo papeles donde el equipo "reduce" el riesgo inherente porque "la dirección es muy de fiar." Eso es atajo, no juicio.
Ejemplo práctico: Distribuidora Mediterránea S.L.
Cliente: distribuidora mayorista de productos químicos, sede en Barcelona, cifra de negocios de 18,7 millones de euros, aplica el PGC, cierre 31 de diciembre de 2024.
Contexto del encargo. Inventario en tres almacenes, productos sujetos a REACH y a la regulación de sustancias peligrosas. Sistema de gestión parcialmente manual. Cambio reciente de jefe de compras (dos meses en el puesto) y arranque de una línea de logística inversa hace seis meses. Esto último es una bomba de relojería en términos de riesgo: nuevos procesos, sin histórico de incidencias, personal aprendiendo.
Paso 1: identificar las aseveraciones afectadas y los factores aplicables. El equipo no rellena la matriz como ejercicio de cumplimiento. La trabaja por aseveración:
| Aseveración | Factores de riesgo inherente (NIA-ES 315.A7a) | Posición en el espectro |
|---|---|---|
| Existencia (inventario) | Complejidad media (tres ubicaciones), cambio (nueva logística inversa), susceptibilidad media | Alto, lado superior |
| Valoración (inventario) | Subjetividad alta (precios químicos volátiles), cálculos en hoja sin validación, cambio | Alto, lado superior |
| Derechos y obligaciones | Mercancías recibidas en consignación que requieren segregación clara | Medio |
| Presentación y desglose | Políticas estables, sin novedades regulatorias en el ejercicio | Bajo |
PT 305.1: matriz por aseveración con factores explícitos.
Paso 2: justificar la posición dentro del espectro, no solo el adjetivo. "Alto" sin más es una etiqueta. El papel describe por qué la valoración del inventario está en el lado superior del rango: los precios de tres familias de productos (disolventes, ácidos industriales y reactivos especializados) cambian semanalmente; el cálculo de coste promedio se hace en una hoja Excel mantenida por una persona; no hay validación independiente de las fórmulas. Cualquiera de los tres factores justificaría una posición elevada; los tres juntos cierran el debate.
PT 305.2: justificación por aseveración con referencias a evidencia (extracto del libro mayor, captura de la hoja de cálculo, organigrama del departamento).
Paso 3: documentar los cambios respecto al año anterior. En el ejercicio anterior, la valoración estaba como "medio." El cambio se justifica con tres hechos: la nueva línea de logística inversa, el cambio de jefe de compras, y la volatilidad de precios documentada en facturas comparativas (PT 305.3). Esto evita el escenario clásico: el revisor pregunta por qué se subió el riesgo y nadie sabe contestar.
Paso 4: traducir la evaluación en procedimientos. El equipo no diseña los procedimientos en abstracto. La matriz de NIA-ES 330 deriva directamente de la posición en el espectro: para existencia y valoración (alto, lado superior) se programa recuento físico completo en las tres ubicaciones bajo supervisión del auditor, prueba del 100 % de los cálculos de coste promedio del último trimestre, y análisis de varianzas de precio por familia. Para presentación (bajo) basta con la revisión de políticas y el muestreo de desgloses.
PT 310: matriz de procedimientos por aseveración con referencia cruzada a la posición en el espectro.
La complicación. A mitad del trabajo de campo, la entidad informa de que el ERP cambió de proveedor en noviembre y que el módulo de inventario lleva tres meses con desajustes intermitentes. Esto modifica la evaluación: la complejidad del proceso crece, aparece un nuevo factor de cambio que no estaba en la matriz original, y el riesgo de incorrección en existencia sube dentro del espectro alto. La matriz se actualiza (PT 305.4: cambio documentado con fecha y motivo), no se reescribe el papel original. El equipo añade procedimientos: conciliación inventario físico vs. ERP por almacén, no solo a nivel agregado. Es la diferencia entre un papel vivo y un papel decorativo.
Conclusión. La estrategia de auditoría se concentra donde el riesgo inherente es alto y se aligera donde es bajo. La opinión es defendible no porque "se evaluó el riesgo," sino porque está documentado por aseveración, posicionado en el espectro, y trazado a procedimientos concretos.
Qué encuentran los revisores cuando algo falla
Confundir riesgo inherente con riesgo de control. El error clásico: "el control de inventario es bueno, así que el riesgo inherente es bajo." No. La buena cultura de control reduce el riesgo de control, no el inherente. Si el producto es naturalmente susceptible a incorrección (liquidez, volatilidad de precio, complejidad de cálculo), ese riesgo inherente persiste. Lo que cambia es si los controles lo capturan o no, y eso se prueba aparte. La inversión de causalidad que comete el equipo es exactamente lo que NIA-ES 315.31 separa.
Evaluar por entidad y no por aseveración. "Esta entidad tiene riesgo medio" no es una evaluación bajo NIA-ES 315. Es una etiqueta. La aseveración de existencia puede ser alta y la de derechos baja para la misma cuenta. El desglose es lo que permite diseñar procedimientos diferenciados. Una matriz que solo tiene una columna por cuenta (en lugar de una por aseveración) es la huella visible del problema.
No actualizar la evaluación cuando cambia el contexto. El equipo copia el papel del año anterior y firma. Si la entidad ha integrado una unidad nueva, ha cambiado de jefe de tesorería, o ha entrado en un mercado regulado distinto, la matriz tiene que reflejarlo. NIA-ES 315.A72 lo exige. En las inspecciones recientes del ICAC, "matriz no actualizada" aparece como deficiencia formal en el sistema, no solo como observación.
Por qué los equipos siguen sacándolo adelante con lo que hay
La presión estructural es honesta y conocida. La evaluación de riesgo inherente bien hecha lleva tiempo: hay que entender el negocio, hablar con personas que no son del departamento de contabilidad, leer actas de consejo, mirar facturas representativas. Eso no se factura como hora de auditoría productiva. Cuando el partner pide cerrar el papel "para tener algo," el junior rellena la matriz copiándola. El socio necesita el cliente, el cliente quiere el informe en marzo, y el equipo saca adelante con lo que hay.
El segundo factor es la falta de feedback. Una matriz mal hecha que no genera hallazgo en la inspección no se corrige el año siguiente. Solo cuando el ICAC abre expediente o el revisor de calidad la marca en una EQR aparece el incentivo para invertir tiempo. Por eso hay despachos pequeños donde la calidad de la evaluación de riesgo inherente es función de cuándo fue la última inspección, no de la metodología propia.
Hay un punto donde profesionales experimentados discrepan razonablemente. El Socio A piensa que el espectro de riesgo inherente del NIA-ES 315 revisado es una mejora porque obliga a graduar el juicio. El Socio B piensa que añade complejidad documental sin mejorar la calidad real de la evaluación, porque los equipos acaban posicionando todo en el mismo punto del espectro por inercia. Los dos tienen razón en parte. La revisión funciona en despachos donde hay cultura de revisión interna; donde no la hay, el espectro es un campo más que rellenar.
Términos relacionados
- Riesgo de Control: la probabilidad de que los controles internos de la entidad no prevengan ni detecten incorrecciones materiales. Distinto del riesgo inherente, evaluado conjuntamente. - Riesgo de Detección: la probabilidad de que los procedimientos del auditor no detecten una incorrección material. Lo controla el auditor variando naturaleza, alcance y oportunidad. - Riesgo de Auditoría: la combinación de los tres riesgos; el riesgo de emitir una opinión inadecuada sobre estados materialmente incorrectos. - Procedimientos Analíticos: técnicas que evalúan riesgos inherentes mediante cambios en ratios, tendencias y relaciones. - Pruebas de Controles: procedimientos para evaluar la eficacia operativa de los controles internos relevantes. - Aseveraciones de Auditoría: las afirmaciones implícitas y explícitas sobre las que el auditor evalúa riesgos.
Calculadora de Riesgo Inherente
Use nuestra calculadora de matriz de riesgo inherente para documentar evaluaciones por aseveración, comparar perfiles entre períodos y generar un sumario ejecutivo para los papeles de trabajo.
---