Cómo funciona

El auditor debe identificar y comprender los controles internos relevantes para la auditoría. Esto significa entender cómo la entidad intenta lograr objetivos de control específicos (NIA-ES 315.25). No se trata de hablar con la dirección y documentar lo que dicen. El auditor debe observar cómo operan los controles, examinar evidencia de que funcionan, y determinar si mitigan los riesgos identificados.
La evaluación de controles se conecta directamente con la identificación de riesgos. Una vez que el auditor identifica un riesgo importante (NIA-ES 315.34), debe entender qué controles, si los hay, la entidad ha implementado para responder a ese riesgo. Si no existen controles, o si los controles existentes son débiles, el auditor debe diseñar procedimientos de auditoría más extensos. Por el contrario, si los controles son fuertes y efectivos, el auditor puede confiar en pruebas de control para reducir la naturaleza, alcance y tiempo de los procedimientos sustantivos.
La documentación es crítica. NIA-ES 315.32(c) requiere que el auditor documente su comprensión de los controles internos relevantes. Esta documentación debe mostrar no solo qué controles existen, sino también cómo el auditor llegó a la conclusión de que operan de manera efectiva. Sin esta documentación, la inspección encontrará una debilidad importante.

Ejemplo práctico: Textiles Ibéricos S.L.

Cliente: Fabricante español de textiles técnicos, con sede en Barcelona, facturación anual de €18,5 millones, reporta bajo PGC.
Paso 1: Identificación de riesgos a nivel de aseveración
El auditor identifica que existe riesgo de material de inventario obsoleto no identificado. El PGC requiere que el inventario se valore al menor entre coste e importe neto realizable. El riesgo es que la entidad no identifique stock que ha estado en almacén más de 12 meses sin movimiento.
Nota de documentación: PT-310, matriz de riesgos, identifica riesgo de sobrevaloración de inventario (Aseveración de valoración, párrafo NIA-ES 315.34).
Paso 2: Comprensión de los controles existentes
El auditor inquiere si existe un procedimiento para identificar inventario obsoleto. La dirección explica que el responsable de almacén realiza una revisión física cada semestre y marca artículos que no se han vendido en 12 meses. Estos artículos se bajan de valor en una provisión calculada por antigüedad.
Nota de documentación: PT-315, descripción de controles, detalla el procedimiento de revisión de obsolescencia y su frecuencia.
Paso 3: Prueba de la operación efectiva
El auditor no puede aceptar que "existe un procedimiento." Debe probar que funciona. El auditor solicita los reportes de antigüedad de inventario de los últimos tres semestres. Selecciona una muestra de 15 artículos marcados como obsoletos en la revisión más reciente y verifica:
El auditor también selecciona una muestra de 10 artículos que NO fueron marcados como obsoletos, verifica su movimiento, y confirma que se justifica su exclusión de la provision.
Nota de documentación: PT-330, matriz de pruebas de control, documenta las 25 selecciones examinadas, las fechas de última venta, y las comparaciones con los registros contables. Conclusión: "Control de obsolescencia de inventario operativo y efectivo. La muestra del 31 de octubre mostró consistencia en la aplicación del criterio de 12 meses. Provisión por obsolescencia del 5,2% del inventario bruto es proporcional al riesgo identificado."
Paso 4: Evaluación de la efectividad
A raíz de esta prueba, el auditor puede concluir que existe un control efectivo que mitiga el riesgo de sobrevaloración por inventario obsoleto. Por lo tanto, el auditor puede reducir el alcance de los procedimientos sustantivos. En lugar de examinar 100 artículos individuales de inventario, el auditor examina 30, porque confía en que los controles están identificando y valorando correctamente el inventario obsoleto.
Conclusión: La evaluación de controles reduce el volumen de trabajo sustantivo, pero solo si el auditor documenta que los controles operan. Sin esa prueba, la evaluación es un ejercicio administrativo sin valor.

  • Que aparecen en los reportes de antigüedad como sin movimiento en más de 12 meses (revisión de datos históricos)
  • Que la provision se ha registrado correctamente en contabilidad (enlace a libro mayor)
  • Que el criterio de "12 meses sin movimiento" se aplicó de forma consistente

Lo que los revisores y auditores no hacen bien

  • Tier 1 (Hallazgos de inspección): Confianza no documentada en controles. Las inspecciones de pares frecuentemente encuentran que el auditor describe controles ("existe revisión de obsolescencia") sin documentar la prueba de que funcionan. El párrafo NIA-ES 330.7 requiere que el auditor determine si es probable que los controles previengan o detecten errores. Esto no puede ser "probable" sin evidencia. Inspecciones de colegas mostran que esta es la deficiencia de documentación más común en archivos de auditoría español.
  • Tier 2 (Error estándar): Falta de actualización de la evaluación. NIA-ES 315.32 requiere que el auditor comprenda los controles relevantes para la auditoría. Esta comprensión debe mantenerse actual. Los auditores frecuentemente realizan una evaluación de controles una sola vez y no la actualizan cuando la entidad hace cambios (implementa nuevo software, reorganiza departamentos, cambia de responsable de función crítica). Si un control material cambia durante el año, la evaluación original es deficiente.
  • Tier 3 (Brecha documentada): Evaluación sin enlace a riesgos. Un hallazgo común es que la evaluación de controles existe en un archivo separado de la matriz de riesgos. Esto genera confusión sobre cuál control responde a cuál riesgo. NIA-ES 315.25 requiere que se identifiquen los controles "relevantes para la auditoría," lo que significa relevantes para los riesgos identificados. Una matriz de trazabilidad (riesgo → control → prueba de efectividad) es el mínimo que permite a un revisor confirmar que la evaluación de controles fue completa y detallada.

elementos central en la evaluación

La evaluación cubre cuatro dimensiones:
| Dimensión | Descripción | Implicación para la auditoría |
|---|---|---|
| Diseño | ¿Ha la entidad diseñado un control para prevenir o detectar un error específico? | Si no existe control, el riesgo es alto. El auditor debe diseñar pruebas sustantivas extensas. |
| Existencia | ¿El control está implementado, o existe solo en el papel? | La entidad puede documentar un procedimiento que nunca se ejecuta. El auditor debe observar o confirmar que existe evidencia de ejecución. |
| Operación | ¿El control operó efectivamente durante el período de auditoría? | Esto requiere prueba: seleccionar transacciones, verificar que el control se ejecutó, confirmar que produjo el resultado esperado. |
| Confiabilidad | ¿Puede el auditor confiar en el control para reducir procedimientos sustantivos? | Solo si las pruebas de control (paso 3 anterior) muestran consistencia, sin excepciones significativas, y sin cambios en la forma de operar. |

Cuándo la distinción entre evaluación preliminar y evaluación final importa

La evaluación de controles no es estática. La NIA-ES requiere que el auditor realice una evaluación preliminar (típicamente en la fase de planificación) y que luego actualice esa evaluación a lo largo de la auditoría conforme obtiene evidencia (NIA-ES 330.8).
En la práctica, esto significa que el auditor puede empezar el año asumiendo que ciertos controles son efectivos, pero si encuentra excepciones durante las pruebas, debe actualizar su evaluación de riesgo y ajustar los procedimientos.
Por ejemplo, si el auditor de Textiles Ibéricos hubiera encontrado que la provisión por obsolescencia no se calculó en dos de los tres semestres examinados, entonces el control de obsolescencia no es efectivo. El auditor debe registrar esto en la evaluación actualizada y diseñar procedimientos sustantivos más extensos para el cierre (verificar manualmente cada artículo con movimiento cero en los últimos 12 meses).

Términos relacionados

---

  • Matriz de riesgos: Documento que enlaza cada riesgo identificado con los controles que lo mitigan y las pruebas de auditoría diseñadas.
  • Pruebas de control: Procedimientos específicos para verificar que un control operó efectivamente durante el período.
  • riesgo importante: Un riesgo identificado donde el auditor requiere pruebas de control extensas o pruebas sustantivas específicamente diseñadas.
  • Procedimientos analíticos: Análisis de datos (p. ej., comparación de ratios) que puede revelar debilidades en los controles de la entidad.
  • Respuesta al riesgo: La estrategia del auditor para dirigirse a un riesgo identificado, que incluye si confía en controles o si realiza pruebas sustantivas.
  • Documentación de auditoría: El archivo que contiene todas las pruebas de que el auditor realizó trabajo y llegó a conclusiones defensibles.

Términos relacionados

Matriz de riesgosPruebas de controlriesgo importanteProcedimientos analíticosRespuesta al riesgoDocumentación de auditoría

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.