Definition

Abre la matriz de riesgos de cualquier archivo y haz la prueba: cuenta cuántas casillas dicen "moderado". En los encargos que llevamos, cuando revisamos archivos ajenos para revisión de calidad, la respuesta suele estar entre el 70% y el 85%. Cada aseveración, cada área material, evaluada como "moderado" con una justificación de dos líneas que podría servir para cualquier cliente del mismo sector. A eso lo llamamos marcar la casilla.

Cómo funciona

El auditor evalúa el RIM para cada aseveración relevante. No existe un único riesgo agregado: hay tantas evaluaciones como combinaciones de saldo o transacción significativa por aseveración (existencia, integridad, exactitud, valoración, corte, clasificación, derechos y obligaciones, presentación). En un archivo medio de una mercantil con cinco áreas materiales, eso son entre 25 y 40 evaluaciones documentadas.

La NIA-ES 315 (revisada) párrafo 26 exige identificar y evaluar los riesgos en dos niveles: estados financieros en su conjunto y aseveración para transacciones, saldos e información a revelar significativos. La evaluación a nivel de estados financieros captura riesgos pervasivos, los que afectan a múltiples aseveraciones (por ejemplo, presión por resultados, deficiencias en el entorno de control, cambios significativos de personal financiero). La evaluación a nivel de aseveración captura los riesgos específicos que se traducen en procedimientos concretos.

La NIA-ES 200/315 exige que el riesgo inherente y el riesgo de control se evalúen por separado. En la práctica, lo que ocurre es que muchos equipos siguen documentando un RIM combinado y luego retroajustan la separación cuando el revisor pregunta. Desde mi punto de vista, la separación post-NIA-ES 315 revisada es teóricamente limpia (te obliga a no inflar el riesgo inherente para luego "compensarlo" con controles que no has probado), pero operativamente frágil en auditorías pequeñas y medianas porque exige que el equipo entienda y aplique el espectro de riesgo inherente, no solo tres etiquetas. Sin formación específica, lo que terminas viendo es la separación documentada formalmente y, en el contenido, la misma evaluación combinada de siempre.

La inversión: del "moderado" copiado al RIM realmente desagregado

Lo que encontramos repetidamente en revisiones internas y de calidad: la matriz de riesgos del año anterior se reabre, se cambia la fecha, y se comprueba que las justificaciones siguen aplicando. Sacar adelante con lo que hay. Si el cliente no ha cambiado significativamente, es defendible. Si el cliente ha cambiado y la matriz no, los papeles están flojos.

Lo que la NIA-ES 315.A7-A11 exige es que el riesgo inherente se evalúe considerando factores específicos: grado en que la aseveración es susceptible a incorrección por complejidad, subjetividad, cambio, incertidumbre o susceptibilidad al sesgo o fraude. Cada uno de estos factores tiene que aparecer (explícita o implícitamente) en la justificación del riesgo inherente. Decir "riesgo inherente moderado por la naturaleza del saldo" no es una evaluación, es una etiqueta. Decir "riesgo inherente alto por subjetividad en la estimación de la provisión por insolvencias (cliente sin datos históricos suficientes para calibrar el modelo) y susceptibilidad a sesgo de dirección dado el incumplimiento del covenant en H1" sí lo es.

La zona gris está en cuán granular tiene que ser la evaluación. ¿Aseveración por aseveración para cada saldo material, aunque sean balances rutinarios sin cambios? ¿O cabe agrupar aseveraciones de bajo riesgo bajo una justificación común y desarrollar solo las que requieren atención? La NIA-ES 315.28 exige el detalle a nivel de aseveración para todos los saldos significativos. La interpretación práctica varía. Y luego está la NIA-ES 330, que exige que los procedimientos respondan al RIM evaluado, lo que significa que si el RIM está mal calibrado, los procedimientos serán o insuficientes o desproporcionados, y en ambos casos el archivo tiene un problema.

Ejemplo práctico: Industrias Textiles Álvarez S.L.

Cliente: empresa textil con sede en Barcelona, facturación de 18,6 millones de euros, NIIF completas, FY2024.

Paso 1: evaluación del riesgo inherente en existencias. Industrias Textiles mantiene inventarios valorados en 4,2 millones de euros (23% del total de activos). El inventario incluye materias primas, trabajo en progreso y productos terminados localizados en tres almacenes. El riesgo inherente para la aseveración de existencia y exactitud se evalúa como alto por: materialidad relativa (4,2 millones EUR sobre 18,6 millones de facturación); valoración que requiere juicio de dirección sobre obsolescencia en una colección estacional; volumen de movimientos elevado en períodos de rebajas. Los factores NIA-ES 315.A7 que aplican: subjetividad (obsolescencia) y cambio (colección nueva con poca historia comparable).

Nota de documentación: "Riesgo inherente, existencia/exactitud existencias: ALTO. Factores aplicables NIA-ES 315.A7-A11: subjetividad (obsolescencia colección AW24 sin datos históricos comparables), cambio (apertura de almacén Tarragona en Q2), materialidad (23% activos). Procedimientos previstos: observación de inventario en dos ubicaciones, recálculo de provisión por obsolescencia con análisis de rotación, prueba de detalle sobre existencia."

Paso 2: evaluación del riesgo de control. El equipo evalúa los controles relevantes (recuento cíclico trimestral, conciliación con registros contables, revisión de obsolescencia por dirección de operaciones). Observa dos recuentos, verifica que los resultados se concilian con los registros dentro de cinco días, y comprueba que existe evidencia de revisión gerencial de variaciones superiores al 0,5%. Riesgo de control bajo, sustentado en pruebas de controles sobre una muestra de cuatro ciclos del ejercicio.

Paso 3: la complicación. A mitad del trabajo de campo, las pruebas sustantivas sobre exactitud detectan una variación del 3,2% entre el inventario contable y el inventario físico en el almacén de Tarragona, abierto en Q2. La investigación revela que el procedimiento de recuento cíclico se documentó en el manual pero nunca se ejecutó en Tarragona durante 2024 (el responsable asumió que aplicaba solo a Barcelona). El riesgo de control que se había evaluado como bajo, en Tarragona es alto. Esto activa la NIA-ES 315.37: la evaluación de riesgos es iterativa, y el auditor revisa la evaluación cuando obtiene evidencia que la contradice.

Consecuencias: ampliación de la muestra de inventario en Tarragona, revisión retrospectiva de los movimientos del almacén desde la apertura, comunicación a los responsables del gobierno (NIA-ES 265) por deficiencia significativa en el control interno, y revisión del cronograma porque los procedimientos sustantivos adicionales empujan la fecha de cierre del archivo. Esto es exactamente lo que la matriz no había capturado: las bombas de relojería de un almacén nuevo donde nadie verificó que el procedimiento se hubiera implementado de hecho.

Nota de documentación: "Revisión de evaluación de riesgo de control existencias, Tarragona: BAJO → ALTO. Evidencia: variación 3,2% (PT 6.4d), confirmación oral de responsable de almacén de no ejecución de recuentos cíclicos en 2024 (PT 6.4e). Procedimientos adicionales: ampliación de muestra a 145 artículos en Tarragona (PT 6.4f), comunicación NIA-ES 265 a comité de auditoría 12 mar 2025."

Conclusión. La revisión a mitad de trabajo no es un fallo del proceso, es el proceso funcionando como lo diseñó la NIA-ES 315.37. Lo que sí habría sido un fallo: no detectar la variación, o detectarla y no revisar la evaluación de riesgos para no rehacer documentación.

La discusión legítima: ¿aseveración o cuenta?

Aquí hay desacuerdo razonable entre profesionales con experiencia. Tomemos una cuenta de proveedores rutinaria, sin cambios significativos respecto al ejercicio anterior, con controles que han funcionado durante tres años de auditoría.

Postura A (lectura literal): la NIA-ES 315.28 dice "a nivel de aseveración" y eso significa una evaluación por aseveración relevante. Existencia, integridad, exactitud, corte, clasificación, cada una documentada. Si el riesgo es bajo en todas, se documenta el bajo en cada una. La razón es defensiva: ante una inspección, el archivo muestra que se consideraron todas las aseveraciones, no que se asumieron.

Postura B (lectura de la intención): para un saldo rutinario de bajo riesgo, evaluar a nivel de cuenta con una justificación que cubra explícitamente las aseveraciones aplicables cumple con el espíritu de la norma sin generar documentación que nadie va a leer. La razón es proporcional: el coste de generar 8 evaluaciones formales para un saldo donde el riesgo es manifiestamente bajo es mayor que el beneficio probatorio. Mientras la justificación nombre las aseveraciones, debería bastar.

En mi caso, me inclino por la postura A para EIP y por una versión moderada de la postura B para el resto, pero entiendo el argumento contrario y conozco firmas que defienden la lectura estricta para todos los encargos. La NIA-ES no resuelve el debate, y la ICAC ha sido más exigente en los últimos ciclos de inspección.

Por qué "moderado" gana siempre

Una observación de segundo orden que vale la pena explicitar: el RIM tiende a comprimirse hacia "moderado" porque ambos extremos generan más trabajo. Alto exige procedimientos sustantivos ampliados y, si hay riesgo significativo, pruebas que no se basen únicamente en procedimientos analíticos sustantivos (NIA-ES 330.21). Bajo exige evidencia documentada de la fiabilidad de los controles, lo que implica pruebas de controles que muchos archivos no quieren costear. "Moderado" es el mínimo local de la superficie de esfuerzo del auditor: justifica los procedimientos que ya tenías planeados sin obligarte a probar controles ni a expandir muestras.

Esto no es cinismo. Es una observación sobre los incentivos económicos del juicio profesional, y es la razón por la que la NIA-ES 315 revisada introdujo el espectro de riesgo inherente. La idea era forzar al auditor a calibrar más finamente, no a refugiarse en una etiqueta intermedia. Funciona cuando el equipo entiende los factores. Funciona menos cuando el equipo añade un campo más a la matriz y sigue marcando "moderado" en todos.

Lo que revisores y profesionales interpretan mal

- Confundir RIM con materialidad. El RIM es la probabilidad de que exista una incorrección; la materialidad es el importe que importa si existe. La NIA-ES 315 evalúa dónde existe el riesgo; la NIA-ES 320 cuánto importaría si se materializa. La ICAC ha observado que los equipos no separan estos dos elementos en la documentación, lo que produce procedimientos mal escalados respecto al riesgo real. La solución es una matriz que nombre la aseveración, el riesgo evaluado, y la justificación específica.

- Documentar el riesgo sin documentar la respuesta. Nombrar un riesgo como elevado sin describir los procedimientos específicos que se ejecutarán en respuesta no cumple con NIA-ES 330. La documentación tiene que explicitar el vínculo: "Riesgo inherente alto en valoración de provisiones (NIA-ES 540) por estimaciones de dirección sin datos históricos; respuesta: procedimientos analíticos sustantivos con datos sectoriales independientes, recálculo de la provisión con metodología alternativa, consulta técnica."

- Evaluar a nivel de cuenta sin desglose por aseveración. Decir "el riesgo en cuentas por cobrar es moderado" no cumple. El desglose correcto: existencia bajo (confirmación directa disponible), valoración alto (provisión por insolvencias requiere juicio), corte moderado (despacho automatizado pero período de gracia de 3 días). Cada nivel justifica una respuesta proporcional.

- No revisar la evaluación cuando la evidencia la contradice. La NIA-ES 315.37 exige que la evaluación de riesgos sea iterativa. Si los procedimientos sustantivos revelan que el riesgo era mayor del evaluado, la matriz se actualiza y se documenta el cambio. Lo que no debe ocurrir: ajustar los procedimientos al riesgo nuevo sin actualizar la matriz, porque eso deja un archivo internamente incoherente.

Términos relacionados

- Riesgo inherente: la susceptibilidad de una aseveración a una incorrección antes de considerar cualquier control. Componente del RIM. - Riesgo de control: la probabilidad de que los controles internos no prevengan o detecten una incorrección. Segundo componente del RIM. - Materialidad: el importe por debajo del cual las incorrecciones no influirían en las decisiones de los usuarios. Determinante de qué riesgos son significativos y requieren documentación formal. - Procedimientos analíticos: herramienta para evaluar el riesgo inherente identificando patrones o excepciones que sugieren vulnerabilidad a incorrección. - Evaluación de riesgos: el proceso NIA-ES 315 de obtener comprensión de la entidad e identificar dónde existe RIM. - Aseveraciones: las afirmaciones implícitas o explícitas en los estados financieros sobre existencia, integridad, valoración, derechos, presentación y corte de períodos.

---

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.