Definition
La mayoría de los memos de riesgos que veo en revisiones de calidad son SALY: same as last year. Cambia la fecha, se actualizan dos cifras del análisis preliminar, se reciclan los riesgos identificados del ejercicio anterior y el archivo queda firmado. Cuando un inspector del ICAC revisa el papel de trabajo, la pregunta que hace no es "¿qué riesgos identificasteis?", sino "¿qué ha cambiado respecto al año pasado y por qué?". Ahí es donde se cae el papel.
Lo que ocurre cuando se hereda el memo del año anterior
El patrón es conocido. El equipo abre el papel de riesgos de la auditoría anterior, lo guarda como plantilla del año en curso, actualiza importes, mantiene la lista de riesgos significativos y firma. Esto es lo que en el sector llamamos "marcar la casilla": el procedimiento existe en el archivo, pero no ha hecho lo que debía hacer.
La NIA-ES 315 (revisada) exige otra cosa. Sus apartados 19 a 27 piden una comprensión del entorno externo, del modelo de negocio, de las políticas contables aplicadas y de los cinco componentes del control interno (entorno de control, proceso de evaluación de riesgos de la entidad, sistema de información, actividades de control y supervisión). Lo que realmente ocurre es que el equipo dedica medio día a "actualizar" el memo y vuelve al trabajo de campo. La diferencia entre lo que pide la norma y lo que se hace en la práctica no es marginal.
¿Dónde está la zona gris? En cuánto basta actualizar. Si el cliente sigue siendo el mismo, el sector no ha cambiado y los riesgos del ejercicio anterior fueron correctamente identificados, parte del trabajo del año pasado es legítimamente reutilizable. La NIA-ES 315.A11 lo reconoce. El problema aparece cuando "actualizar" significa cambiar fechas y firmar. En los encargos que llevamos, la prueba que aplico es sencilla: si no puedo señalar al menos tres elementos concretos del entorno o del control interno que se hayan reevaluado este año con evidencia documentada, los papeles están flojos.
Cómo funcionan los procedimientos en la práctica
La NIA-ES 315.14 enumera los procedimientos que deben aplicarse: indagación, procedimientos analíticos y observación e inspección. Indagación con la dirección, con responsables del gobierno de la entidad y con personal interno (la NIA-ES 315.A21 sugiere expresamente personal de niveles distintos al directivo, porque suelen ver lo que arriba no se ve). Procedimientos analíticos preliminares para detectar fluctuaciones inusuales. Observación e inspección para validar lo que se nos cuenta.
La indagación por sí sola no basta. Esto es explícito en la norma y, aun así, sigue siendo el patrón dominante en muchos archivos. Lo que vemos cuando revisamos un memo de riesgos: tres reuniones con el director financiero documentadas, ningún apunte de observación de procesos, ningún analítico preliminar más allá de un comparativo de saldos. Eso no es evaluación de riesgos. Es una conversación.
El timing también importa. Los apartados 13 y siguientes establecen la evaluación como un proceso iterativo: se inicia en planificación, pero debe revisarse cuando aparece nueva información en el trabajo de campo. Aquí entra el segundo problema estructural.
La evaluación iterativa que nadie itera
Mi opinión, y la digo con la reserva de que se basa en lo que veo en mi cartera: la NIA-ES 315 (revisada) es iterativa por diseño, pero los despachos la tratan como una puerta de un solo sentido. La razón es presupuestaria. El presupuesto del encargo asigna horas a "planificación" en una fase, y una vez consumidas, volver atrás a reabrir la evaluación de riesgos cuando una prueba sustantiva detecta algo nuevo se percibe como sobrecoste. Resultado: el riesgo nuevo aparece en el papel de la prueba sustantiva, pero no se incorpora al memo de riesgos. El archivo queda incoherente y el inspector lo nota.
La "stand-back assessment" del apartado 35 era una buena idea sobre el papel: dar un paso atrás al final de la evaluación y preguntarse si los riesgos identificados explican las posibles incorrecciones materiales. En la práctica, demasiadas veces se ha convertido en una stand-back-and-do-nothing. Una frase genérica al cierre del memo: "tras la evaluación realizada, consideramos que los riesgos identificados son completos y suficientes". Firma. Cierre. Lo que no aparece es el razonamiento.
Ejemplo práctico: Hermanos Construcciones, S.L.
Cliente: empresa constructora con sede en Valencia, facturación 18,5 millones de euros, reporta bajo el Plan General de Contabilidad. No es EIP. Tres ejercicios auditados por nosotros.
Paso 1. Indagación con la dirección Reunión con el director financiero y el responsable de proyectos. Cambios del año: nuevo sistema de gestión de obras, dos altas en el equipo contable, entrada en una línea de rehabilitación con financiación europea. El DF describe el reconocimiento de ingresos por porcentaje de avance como antes, pero el sistema nuevo cambia cómo se imputan los costes a cada obra.
Documentación: cambio de sistema y nueva línea de negocio identificados como factores de riesgo del ejercicio. Reconocimiento de ingresos por avance se mantiene como riesgo significativo.
Paso 2. Indagación con personal de segunda línea La NIA-ES 315.A21 lo pide. Hablamos con el jefe de obra senior y con la administrativa que carga partes diarios. Aquí aparece algo que el DF no mencionó: el sistema nuevo no permite revertir un parte una vez cerrado el día sin pasar por el proveedor del software. Han usado una cuenta genérica de ajustes durante tres meses para corregir errores.
Documentación: posible distorsión en imputación de costes a obras. Riesgo no identificado en el papel del año anterior.
Paso 3. Observación del entorno de control Verificación de autorizaciones. El mismo empleado puede iniciar una variante de obra, autorizarla en el sistema y contabilizarla. No hay segregación.
Documentación: deficiencia de control. Riesgo de fraude e incorrección en variantes elevado.
Paso 4. Procedimientos analíticos preliminares Margen bruto por línea: obra nueva, rehabilitación, mantenimiento. Obra nueva cae 8,3 puntos respecto al ejercicio anterior. Rehabilitación, primera vez que aparece, margen positivo pero por debajo del estimado en el plan de empresa.
Documentación: anomalía de margen por confirmar; nueva línea sin histórico, evaluar reconocimiento.
La complicación Riesgos identificados al cierre de planificación: (a) reconocimiento de ingresos por porcentaje de avance, (b) variantes de obra sin segregación, (c) anomalía de márgenes. Diseñamos pruebas sustantivas como respuesta. En el trabajo de campo, al revisar la cuenta genérica de ajustes que la administrativa había mencionado, el equipo encuentra 142.000 euros de reclasificaciones entre obras sin justificación documental adecuada y, dentro de esa cifra, 38.000 euros que corresponden a costes de la nueva línea de rehabilitación imputados por error a obra nueva. Esto explica parte de la caída de margen y plantea un riesgo nuevo: la fiabilidad del sistema de información para producir información financiera por segmentos.
Aquí es donde la evaluación se reabre. Volvemos al memo de riesgos, añadimos el componente "sistema de información" como área con deficiencia identificada (NIA-ES 315.25), reevaluamos la respuesta diseñada y ampliamos el alcance de las pruebas sobre la cuenta de ajustes y sobre la imputación por obra. Esto es exactamente lo que la norma revisada anticipa con el carácter iterativo del apartado 37. En el archivo queda documentada la revisión y el motivo. Sin ese paso, el archivo habría parecido coherente sobre el papel pero habría dejado fuera la cuestión central del ejercicio.
Lo que revisores e inspectores ponen en el informe
- Evaluación realizada con cuestionario genérico sin adaptar a la entidad. La NIA-ES 315.A18 exige que los procedimientos respondan a las características concretas. Un check-list cumplimentado sin notas de adaptación es uno de los hallazgos más citados. - Evaluación realizada solo en planificación. El apartado 37 exige actualización cuando aparece información nueva. Si en el archivo no hay rastro de revisión posterior y las pruebas sustantivas identificaron incidencias, el inspector pregunta por qué el memo no las recoge. - Indagación como sustituto del resto de procedimientos. Tres entrevistas con el DF no son evaluación de riesgos. Falta chicha. - Componentes del control interno tratados como bloque único. La revisión exige los cinco por separado, con documentación específica de cada uno. - Stand-back genérica. Una frase de cierre sin razonamiento no cumple el apartado 35.
Una discrepancia legítima: ITGC en clientes no EIP
Aquí no hay consenso en el sector. Tomemos un cliente no EIP, una BV o una S.L. mediana, que usa un paquete contable estándar (Sage, A3, Holded, similar) en modalidad SaaS gestionada por el proveedor. ¿Cuánta evaluación de controles generales de TI (ITGC) hay que documentar?
Posición A. El socio del despacho considera que, si el sistema es vendor-managed y el proveedor publica un informe SOC equivalente o tiene certificación reconocida, basta con documentar la confianza en ese control externo y centrar el trabajo en los controles aplicativos del cliente. Su razonamiento: la NIA-ES 315.26 permite escalabilidad y no tiene sentido auditar lo que un tercero ya certifica.
Posición B. Otro socio sostiene que la gestión de accesos del usuario (quién entra, con qué permisos, cómo se dan de baja exempleados) es responsabilidad de la entidad auditada, no del proveedor SaaS, y que sin esa documentación la confianza en cualquier control aplicativo es frágil. Su razonamiento: el componente de TI del apartado 25 incluye los controles que la entidad ejerce sobre su propio acceso al sistema, y un informe SOC del proveedor no cubre eso.
Las dos posiciones tienen base. Por lo que conozco, los inspectores tienden a inclinarse por la posición B cuando hay rotación de personal o cuando el cliente maneja datos sensibles, y aceptan la posición A cuando el cliente es muy pequeño y la separación de funciones se documenta por otras vías. No hay un umbral cerrado. Lo que sí queda claro es que el archivo debe explicar la opción tomada y por qué.
Comparación: Evaluación de riesgos vs. procedimientos sustantivos
| Aspecto | Evaluación de riesgos | Procedimientos sustantivos |
|---|---|---|
| Propósito | Identificar dónde pueden ocurrir incorrecciones materiales | Probar la precisión de cifras y aseveraciones |
| Timing | Antes de diseñar la respuesta de auditoría; iterativo | Conforme avanza el trabajo de campo |
| Naturaleza de la evidencia | Comprensión de la entidad y de los componentes del control interno | Evidencia directa de transacciones y saldos |
| Norma de referencia | NIA-ES 315 (revisada) | NIA-ES 330 |
| Resultado esperado | Identificación de riesgos y diseño de respuesta | Conclusión sobre las aseveraciones |
Términos relacionados
- Riesgo de auditoría: la posibilidad de que el auditor exprese una opinión inadecuada cuando los estados financieros contienen incorrección material. - Riesgo inherente: el riesgo de que una aseveración contenga incorrección material antes de considerar controles. - Riesgo de control: el riesgo de que el sistema de control interno no prevenga o detecte una incorrección material. - Comprensión de la entidad: conocimiento del auditor sobre sector, regulación, operaciones y estructura del negocio que justifica el diseño de los procedimientos. - Procedimientos analíticos: análisis de relaciones entre datos financieros y no financieros para identificar fluctuaciones inusuales. - Matriz de riesgos: documento de síntesis que resume riesgos identificados, su significatividad y la respuesta diseñada.
Términos relacionados en línea
Durante la lectura de las secciones anteriores, busque referencias integradas a otros términos del glosario como riesgo inherente, riesgo de control, procedimientos analíticos y sistema de control interno. Estas referencias cruzadas conectan conceptos interdependientes que el auditor debe dominar conjuntamente.
---