Evaluación de controles internos

Cómo funciona

La norma

NIA-ES 315.25 exige identificar los controles relevantes para la auditoría y comprender cómo la entidad busca alcanzar objetivos de control específicos. NIA-ES 315.32(c) obliga a documentar esa comprensión. NIA-ES 330.7 va más allá: si el auditor tiene previsto confiar en la operación efectiva de los controles, debe diseñar pruebas que la determinen, no la presuman.

Lo que realmente ocurre

Si el equipo solo describe el control y marca la casilla en la matriz, el inspector lo ve en dos minutos. Pregunta directa: "¿en qué papel de trabajo está la prueba de que este control operó en el período auditado?" Si la respuesta apunta a la matriz de descripción, los papeles están flojos.

La trampa habitual: el auditor habla con la dirección, le confirman el procedimiento, lo documenta y pasa al siguiente epígrafe. La conversación queda en PT. Ningún PT enseña que el control se ejecutó en marzo, en julio o en noviembre. Cuando el revisor de pares pide la trazabilidad riesgo → control → prueba → conclusión, falta chicha en el tramo "prueba".

La zona gris

Hay controles donde la línea entre comprender y probar se difumina. Los controles a nivel entidad (tone at the top, código ético, función de cumplimiento) se evalúan por inquerimiento, observación y revisión documental, sin muestreo transaccional. Aquí el inspector tampoco pide selecciones de 25, pero sí pide evidencia de que el auditor hizo más que copiar el manual interno del cliente.

La conexión con la identificación de riesgos

Cuando el auditor identifica un riesgo importante (NIA-ES 315.34), debe entender qué controles, si los hay, mitigan ese riesgo. Si no los hay, las pruebas sustantivas se amplían. Si los hay y son sólidos, NIA-ES 330.8 permite reducir el alcance sustantivo, siempre que las pruebas de control respalden esa confianza.

Por lo que conozco de los archivos que pasan por nuestra mesa, la falla recurrente no está en identificar el control sino en cerrar el ciclo. Se identifica el riesgo, se identifica el control, se describe, se da por bueno y el alcance sustantivo baja. Lo que no aparece es el PT donde el auditor probó que el control operó. El archivo lee como una novela coherente hasta que el inspector pide la página que falta.

Mi opinión, y vaya por delante que es opinión: la matriz de control sin prueba documentada es papel mojado. La razón es la NIA-ES 330.7, que exige determinar la operación efectiva, no la existencia formal. La matriz acredita lo segundo. Solo las pruebas acreditan lo primero.

Ejemplo práctico: Textiles Ibéricos S.L.

Cliente: fabricante español de textiles técnicos con sede en Barcelona, facturación anual de €18,5 millones, reporta bajo Plan General de Contabilidad (PGC).

Paso 1: identificación de riesgos a nivel de aseveración. El auditor identifica riesgo de inventario obsoleto no detectado. El PGC exige valorar el inventario al menor entre coste e importe neto realizable. El riesgo: que la entidad no identifique stock con más de 12 meses sin movimiento. PT-310, matriz de riesgos, identifica sobrevaloración de inventario (aseveración de valoración, NIA-ES 315.34).

Paso 2: comprensión de los controles existentes. El responsable de almacén realiza una revisión física semestral y marca artículos sin venta en 12 meses. Esos artículos pasan a una provisión calculada por antigüedad. PT-315, descripción de controles, recoge el procedimiento y su frecuencia.

Paso 3: prueba de la operación efectiva. El auditor no puede aceptar que "existe un procedimiento". Solicita los reportes de antigüedad de los últimos tres semestres, selecciona 15 artículos marcados como obsoletos en la revisión más reciente y verifica: - Que aparecen en los reportes históricos sin movimiento durante más de 12 meses. - Que la provisión se registró correctamente en el libro mayor. - Que el criterio de "12 meses sin movimiento" se aplicó de forma consistente. - Que la dotación contra resultados cuadra con el cálculo por antigüedad.

Selecciona también 10 artículos no marcados como obsoletos, verifica su movimiento y confirma que se justifica la exclusión. PT-330, matriz de pruebas de control, documenta las 25 selecciones, las fechas de última venta y las comparaciones con registros contables.

Paso 4: la complicación. Durante la prueba, el auditor descubre que en el segundo semestre la responsable de almacén estuvo de baja maternal. La persona que la sustituyó usó un criterio diferente: 15 meses sin movimiento en lugar de 12. El control existía sobre el papel. La operación cambió en mitad del período.

¿Mantienes la confianza?

Aquí no hay respuesta automática. La NIA-ES 330 obliga a evaluar el efecto del cambio en la operación efectiva. Si el sustituto solo cubrió un semestre y aplicó un criterio menos prudente, parte del inventario que debería haber entrado en provisión a los 12 meses se quedó fuera durante tres meses adicionales. La confianza no puede mantenerse sin más; toca ampliar el procedimiento sustantivo: revisión manual de artículos con movimiento cero entre 12 y 15 meses en el segundo semestre y cuantificación del posible exceso de valor en libros.

Lo que vemos en los encargos es que esta complicación, cuando aparece, suele ignorarse. Se firma como si la operación hubiera sido continua. El inspector lo detecta cruzando los reportes de antigüedad con los registros de personal del cliente.

Socio A frente a Socio B: una discrepancia legítima

El Socio A reduce el alcance sustantivo cuando el control está documentado y operó en una muestra de 25 sin excepciones. Argumenta que NIA-ES 530 admite muestras estadísticamente representativas y que ampliar es trabajo no facturable. El Socio B exige una muestra de 60 con prueba documentada de excepciones cuando el control es la base de la confianza, porque ha visto archivos donde la inspección descartó esa confianza por insuficiencia muestral. Ambos sostienen su posición con NIA-ES 530.

¿Quién tiene razón? Depende del riesgo subyacente y del histórico de excepciones de la entidad. En riesgo importante (NIA-ES 315.34), la posición del Socio B es la que aguanta una inspección. En riesgos menores, la del Socio A es defendible si la metodología muestral está documentada.

Lo que los revisores y auditores no hacen bien

- Hallazgo de inspección: confianza no documentada en controles. Los archivos sancionados describen controles ("existe revisión de obsolescencia") sin documentar la prueba de que funcionan. NIA-ES 330.7 exige determinar si los controles previenen o detectan errores. Eso no puede ser "probable" sin evidencia. Es la deficiencia de documentación más recurrente en archivos españoles según los informes de control de calidad del ICAC.

- Error de norma: falta de actualización de la evaluación. NIA-ES 315.32 obliga a mantener vigente la comprensión de los controles. Cuando el cliente implanta un nuevo software, reorganiza departamentos o cambia al responsable de una función crítica a mitad del período, la evaluación inicial deja de servir. El equipo, sin embargo, suele dejarla intacta hasta el cierre.

- Brecha documentada: evaluación sin enlace a riesgos. La evaluación de controles aparece en un PT y la matriz de riesgos en otro, sin trazabilidad. NIA-ES 315.25 exige identificar los controles "relevantes para la auditoría", relevantes para los riesgos identificados. Sin matriz de trazabilidad (riesgo → control → prueba → conclusión), el revisor de pares no puede confirmar que la evaluación cierre el círculo.

Las dimensiones de la evaluación

Hay una asimetría que vale la pena nombrar y que no se deduce de la norma. Las matrices de control existen para que el equipo pueda decir que las hizo; las pruebas existen para que el inspector pueda verificar que sirven. Son dos documentos con públicos distintos y propósitos distintos. Confundirlos es lo que cuesta sanciones.

Evaluación preliminar y evaluación final

La NIA-ES exige una evaluación preliminar en planificación y su actualización a lo largo del encargo conforme se obtiene evidencia (NIA-ES 330.8). En la práctica, el auditor puede empezar el año asumiendo que ciertos controles son efectivos, pero si encuentra excepciones durante las pruebas, debe ajustar la evaluación de riesgo y los procedimientos.

Si el auditor de Textiles Ibéricos hubiera encontrado que la provisión por obsolescencia no se calculó en dos de los tres semestres examinados, el control deja de ser efectivo. Toca registrarlo en la evaluación actualizada y diseñar procedimientos sustantivos más extensos para el cierre: revisión manual de cada artículo con movimiento cero en los últimos 12 meses y comparación con valor neto realizable estimado.

Vemos archivos donde la evaluación preliminar y la final son el mismo PT con la misma fecha. Eso, a ojos del inspector, equivale a no haber actualizado.

A veces no sé cómo seguimos firmando matrices de control sin probarlas.

Términos relacionados

- Matriz de riesgos: documento que enlaza cada riesgo identificado con los controles que lo mitigan y las pruebas diseñadas. - Pruebas de control: procedimientos específicos para verificar que un control operó efectivamente durante el período. - Riesgo importante: riesgo identificado donde el auditor requiere pruebas de control más amplias o pruebas sustantivas específicamente diseñadas. - Procedimientos analíticos: análisis de datos (por ejemplo, comparación de ratios) que puede revelar debilidades en los controles de la entidad. - Respuesta al riesgo: estrategia del auditor para responder a un riesgo identificado, incluida la decisión de confiar en controles o ir directamente a sustantivas. - Documentación de auditoría: archivo que contiene las pruebas del trabajo realizado y de las conclusiones defendibles.

---