Definition

El hallazgo de inspección más frecuente sobre riesgos importantes no es que el equipo no los identifique. Es que los identifican en el PT-320, después en el PT-750 ejecutan los procedimientos sustantivos sin enlazarlos al riesgo, y dan la tarea por hecha. Marcan la casilla.

Cómo funciona

Empiezo por lo que falla. Por lo que conozco de los encargos que hemos llevado, el patrón se repite: el equipo identifica el riesgo importante en septiembre, durante la planificación. Después llega el corte de febrero. Hay tres semanas para hacer todo. Los procedimientos sustantivos terminan siendo los del año pasado con fechas nuevas. La norma exige juicio fresco. El calendario no lo permite.

La NIA-ES 315.27 dice que el auditor debe consideración especial. La NIA-ES 330.25 añade que los procedimientos sustantivos para riesgos importantes deben ser independientes de los controles. Lo que realmente ocurre es que el equipo, presionado por horas, hace un sustantivo, lo enlaza superficialmente al riesgo, y firma el PT-750. Marca la casilla. Tres meses después llega la inspección y pregunta: ¿por qué este procedimiento responde a este riesgo? Y ahí no hay papel.

El auditor debe documentar la evaluación de los riesgos importantes identificados. La razón por la que se considera significativo. Los procedimientos diseñados para responder a ese riesgo en particular. El enlace causal entre uno y otro. Esa cadena es donde el ICAC se centra cuando supervisa el encargo.

Ejemplo práctico: Productos Envasados Iberia S.L.

Cliente: empresa de envases de plástico, sede en Barcelona, ingresos anuales 18,5 millones de euros, reportador NIIF.

Paso 1: Identificar los riesgos de aseveración

Durante la evaluación de riesgos en la fase de planificación, el equipo de auditoría identifica que la cuenta de "Provisiones por obligaciones ambientales" presenta riesgos importantes. La empresa está sujeta a nuevas regulaciones europeas sobre responsabilidad extendida del productor (REP), recientemente transpuestas a la legislación española. El importe de las provisiones es estimado por la dirección y no existe precedente comparativo en años anteriores.

Nota de documentación: en PT-320 se documenta la evaluación preliminar de riesgos, identificando la provisión ambiental como riesgo importante por la estimación subjetiva y la nueva norma regulatoria. Se cita NIA-ES 315.27.

Paso 2: Evaluar si los controles son suficientes

La empresa tiene un control sobre la provisión: un cálculo en hoja de cálculo que aplica un factor de coste por tonelada de producto reciclable. El auditor evalúa la efectividad del control y encuentra que:

- El factor de coste está basado en cotizaciones de enero de 2024, sin actualización. - No existe evidencia de revisión independiente del cálculo por parte de la dirección. - Las suposiciones sobre tasas de reciclaje no se han contrastado con datos de sectores comparables.

El control existe pero su diseño no responde al riesgo importante. El auditor concluye que se requieren procedimientos sustantivos específicos, independientemente del funcionamiento del control.

Nota de documentación: en PT-700 (evaluación de controles sobre riesgos importantes) se documenta que, si bien existe un procedimiento de cálculo de la provisión, no responde completamente al riesgo importante por las limitaciones identificadas. Se cita NIA-ES 330.25.

Paso 3: Diseñar procedimientos sustantivos para el riesgo importante

El auditor diseña procedimientos que no dependen del funcionamiento del control:

1. Obtiene documentación externa de organismos sectoriales (Asociación Española del Plástico) sobre tasas de reciclaje esperadas y costes de gestión actuales. Contrasta los supuestos de la dirección.

2. Examina las regulaciones europeas transcritas en la Ley de Responsabilidad Extendida del Productor para confirmar qué obligaciones específicas recaen sobre la empresa.

3. Solicita análisis realizado por expertos externos (si los hubiera) o encarga un análisis técnico independiente sobre la razonabilidad del factor de coste unitario.

4. Entrevista a la dirección sobre el proceso de estimación, documentando las suposiciones principales y el criterio aplicado.

Nota de documentación: en PT-750 se documenta cada procedimiento sustantivo ejecutado (confirmación de tasas de reciclaje, revisión normativa, validación de costes). Cada procedimiento se vincula al riesgo importante identificado en PT-320. Se cita NIA-ES 330.25 como base normativa.

Paso 4: Documentar las conclusiones y verificar la cadena causal

Tras los procedimientos, el auditor concluye que la provisión de 2,3 millones de euros reconocida por la empresa es razonable, basada en evidencia obtenida independientemente del control interno. La documentación muestra que el auditor no confió en el control flojo, sino que obtuvo evidencia directa de la razonabilidad del saldo. En el PT-750 cada procedimiento queda enlazado expresamente con el riesgo identificado en el PT-320. Esa es la cadena causal.

Complicación. Llegamos a noviembre y el cliente nos pasa una versión actualizada del cálculo de la provisión: el factor de coste subió un 18% porque el contrato con el gestor de residuos se renegoció. ¿Reabrimos los procedimientos sustantivos o aceptamos la actualización con una nota? En los encargos que hemos llevado, la respuesta corta es reabrir, porque el factor de coste era precisamente el supuesto que validamos en el Paso 3. La actualización cambia el supuesto. Aceptarla con una nota deja el PT-750 desconectado del PT-320, y eso es lo que el ICAC pilla.

Conclusión: El riesgo importante se trató con procedimientos sustantivos específicamente diseñados, documentando por qué cada procedimiento respondía al riesgo identificado. El auditor no pudo cumplir con pruebas del control; fue necesario el trabajo de auditoría directo. Y cuando el supuesto cambió, hubo que reabrir.

Qué interpretan incorrectamente los revisores y auditores

Confundir riesgo importante con riesgo de importancia relativa. Un riesgo no es significativo porque el importe sea material. La NIA-ES 315.27 se refiere a la naturaleza del riesgo (complejidad, subjetividad, potencial de fraude), no al tamaño en euros. Un error pequeño en una estimación contable compleja puede ser un riesgo importante.

Asumir que el riesgo importante se cubre con un único procedimiento. El ICAC y reguladores internacionales como la FRC han hallado que los equipos documentan "un procedimiento sustantivo" para el riesgo importante y consideran la tarea hecha. La NIA-ES 330.25 no limita el número de procedimientos. Puede requerirse una combinación de análisis, confirmaciones, recálculos y entrevistas. Aquí hay una discrepancia legítima entre socios. Partner A: si el cliente tiene un control documentado, hago test de control y un sustantivo de validación, y eso cubre. Partner B: con riesgo importante el control nunca cubre solo, necesitas dos sustantivos independientes mínimo, da igual lo bueno que sea el control. En mi opinión Partner B tiene razón, porque la NIA-ES 330.25 exige independencia del control y un único sustantivo de validación se contamina con la lógica del control que pretende validar.

Documentar los procedimientos sin enlazar explícitamente con el riesgo. Práctica común: el PT-750 enumera procedimientos realizados, pero no hay evidencia de que el auditor consideró cómo cada procedimiento responde al riesgo importante documentado en el PT-320. Esto es donde se cae el papel. Y es donde el inspector pone el lápiz rojo. La documentación tiene que trazar la línea causal expresamente.

Nadie disfruta documentando la cadena causal procedimiento por procedimiento. Es la parte tediosa del encargo. Pero saltársela es exactamente cómo se generan los expedientes del ICAC.

Riesgo importante vs. asunto de auditoría (KAM)

Aunque relacionados, no son sinónimos. Un riesgo importante es el juicio profesional del auditor sobre la naturaleza del riesgo durante la auditoría. Un asunto de auditoría es un asunto que fue significativo en la auditoría y, si aplica, debe comunicarse en el informe (NIA-ES 701). No todos los riesgos importantes generan un KAM, aunque la mayoría sí, especialmente en encargos EIP.

Si la provisión ambiental fue identificada como riesgo importante y el auditor realizó procedimientos sustantivos específicos que fueron complejos o involucraron juicio significativo, el asunto se comunicará como KAM en el informe. Si, por el contrario, el procedimiento fue sencillo y la conclusión directa, el auditor puede determinar que el asunto no es tan significativo en la auditoría global como para requerir comunicación pública. La línea entre lo uno y lo otro es de juicio.

Un apunte: en encargos EIP, el ICAC presta atención especial al enlace entre los riesgos importantes documentados y los KAM comunicados. Si un riesgo se documentó como importante pero no aparece como KAM, el revisor querrá ver la lógica de exclusión por escrito.

Términos relacionados

- Aseveraciones de auditoría: los objetivos específicos de auditoría a nivel de transacción y saldo donde se evalúan los riesgos importantes. - Procedimientos sustantivos: los procedimientos directos diseñados para responder a los riesgos importantes identificados. - Control interno: el sistema de controles que el auditor evalúa para responder a los riesgos. - Importancia relativa o materialidad: el umbral cuantitativo, distinto del concepto de riesgo importante aunque relacionado. - Asuntos de auditoría (KAM): los riesgos importantes que resultan en hallazgos complejos y se comunican en el informe. - NIA-ES 315: Identificación y evaluación de riesgos: la norma que rige la identificación completa de riesgos importantes.

---

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.