Definition
Una pila de comprobantes verificados no es lo mismo que evidencia que responde al riesgo. Cuando el inspector del ICAC pide que se le explique por qué se eligieron precisamente esos 30 contratos y no otros 30, el procedimiento que no se sostiene es el que se hace por costumbre del año anterior. La NIA-ES 330.18 es explícita: cada procedimiento sustantivo tiene que ir atado a una aseveración con riesgo identificado.
Lo importante de un vistazo
- El procedimiento sustantivo responde al riesgo identificado en planificación. Si no hay esa traza riesgo → procedimiento → resultado, los papeles están flojos. - Hay dos formas: analíticos sustantivos (comparar con expectativas) y de detalles (verificar transacciones individuales). NIA-ES 330.A42-A44. - La obligación de hacer procedimientos sustantivos no desaparece por mucho que los controles funcionen. NIA-ES 330.18 lo deja claro: confiar solo en pruebas de controles no basta.
Cómo funciona en la práctica
En los encargos de cualquier tamaño, los procedimientos sustantivos toman dos formas. El analítico sustantivo compara el saldo con una expectativa derivada de datos internos o externos: el gasto de viajes contra el número de empleados, los ingresos por alquileres contra los contratos firmados, el coste de personal contra plantilla y convenio. El procedimiento de detalles examina transacciones u objetos concretos: una factura de ventas contra la orden y el albarán, un movimiento bancario contra el extracto, un asiento contra el justificante.
La NIA-ES 330.18 obliga al auditor a hacer procedimientos sustantivos sobre cada aseveración con riesgo evaluado. Naturaleza, alcance y momento se calibran al riesgo. Una aseveración de riesgo bajo puede sostenerse con un analítico bien diseñado; una aseveración de riesgo significativo no.
Lo que realmente ocurre. Muchos equipos repiten el programa del año anterior con la muestra del año anterior, cambiando solo las fechas. La aseveración no se nombra, el riesgo no se vincula al procedimiento, y la conclusión es "se ha verificado". Si el revisor de calidad pregunta por qué se eligieron precisamente esos 30 contratos, la respuesta sincera es "porque siempre se hacen 30". Eso no es una respuesta: es marcar la casilla.
La NIA-ES 330.7 es la pieza que más se olvida: el auditor no puede confiar exclusivamente en procedimientos de evaluación de riesgos ni en pruebas de controles. Aunque los controles funcionen, el procedimiento sustantivo es obligatorio para cada aseveración con riesgo. La documentación tiene que mostrar qué se eligió, por qué se eligió, qué se obtuvo y qué se concluyó. Sin esa cadena, los papeles cuentan el qué pero no el porqué.
Ejemplo práctico: Constructora Ibérica S.L.
Constructora Ibérica S.L., empresa de construcción con sede en Valencia, reporta bajo el PGC. Ingresos anuales de 18,7 millones de euros. En planificación se identificó riesgo moderado de reconocimiento de ingresos en el período incorrecto, ya que varios proyectos cerraban entre el 28 de diciembre y el 8 de enero.
Paso 1: Identificar la aseveración en riesgo Aseveración: corte (cut-off) e integridad de ingresos por ventas. Riesgo: que se reconozcan ingresos por trabajos no completados al cierre, o que se omitan trabajos completados antes del cierre pero facturados después.
Documentación: PT-5.2 (aseveraciones identificadas y procedimientos de respuesta). Riesgo de "corte" clasificado como moderado por el número de proyectos en progreso al cierre y la complejidad de los certificados de obra parcial.
Paso 2: Diseñar procedimiento analítico sustantivo Comparativo mensual de ingresos 2024 contra 2023, ajustando por la cartera conocida (2023: 14,2 millones; 2024 esperado: 18,1 millones, sobre cinco nuevos proyectos iniciados durante el ejercicio). El crecimiento de 3,9 millones encaja con los nuevos proyectos. El analítico no detecta anomalías, pero su poder probatorio es moderado: confirma la tendencia general, no la corrección de cada transacción.
Documentación: PT-6.1, tabla de comparativos mensuales con conclusión.
Paso 3: Diseñar procedimiento de detalles Muestreo de 45 transacciones de ingresos del mes de diciembre (cuando el riesgo de corte es máximo) sobre una población de 87 facturas. Para cada transacción se verifica:
- Orden de venta contra factura (¿la factura describe el trabajo realmente realizado?). - Certificado de obra o acta de finalización (¿prueba de que el trabajo se completó antes del 31 de diciembre?). - Factura contra albarán o comprobante de entrega. - Asiento contable en el mayor de ingresos.
De los 45 contratos, dos transacciones aparecen fuera de período: una factura de 42.000 euros emitida el 31 de diciembre por trabajo certificado el 5 de enero de 2025. Se rastrea el ajuste y se confirma que la dirección ha registrado una nota de reversión a 31 de diciembre.
Documentación: PT-6.2 (pruebas de detalles sobre corte de ingresos) con la lista de muestras, los resultados y el tratamiento de las excepciones.
Complicación. El día siguiente al cierre del trabajo de campo, la dirección comunica que ha emitido facturas adicionales por 215.000 euros con fecha 31 de diciembre, correspondientes a un cliente público que exigió la facturación antes de cierre fiscal. La operación no estaba en la población original. Hubo que ampliar la muestra, verificar los certificados de obra de ese cliente público (firmados el 22 de diciembre), y documentar que el reconocimiento era correcto en sustancia aunque la facturación se hizo con prisa. El analítico inicial no habría detectado nunca esta partida porque la cartera del cliente público no estaba en el listado de proyectos. La lección: el analítico sustantivo orienta, pero no sustituye al detalle cuando hay riesgo de corte.
Paso 4: Conclusión El analítico aporta confianza moderada sobre el nivel global de ingresos. El detalle responde directamente al riesgo de corte. La excepción detectada se invirtió correctamente. La aseveración de integridad y corte queda respaldada.
Lo que pasa por alto la mayoría de auditores
- Procedimientos sin trazabilidad al riesgo. Se ejecuta una batería de pruebas estándar (verificar 30 transacciones de ventas, circularizar 25 saldos a cobrar) sin documentar cómo cada prueba responde al riesgo evaluado. La NIA-ES 330.18 lo pide explícitamente: cada procedimiento debe tener conexión demostrable con un riesgo concreto. Una prueba que se hace porque "siempre se hace" no es respuesta a riesgo; es inercia metodológica.
- Rechazo del analítico sustantivo por inseguridad. Por lo que conoce el corpus de inspección, varios equipos confían en exceso en el detalle (muestrear, muestrear, muestrear) e infrautilizan el analítico sustantivo aun cuando la NIA-ES 330.A11-A14 lo permite como respuesta principal en aseveraciones de riesgo bajo o moderado con población homogénea. El resultado es horas de auditoría sobre auditoría sin mejora real en la detección. Un buen analítico, con expectativa precisa y umbral de aceptación definido, puede aportar más confianza que 50 transacciones muestreadas al azar.
- Conclusión sin síntesis. Se ejecutan los procedimientos, se documenta lo encontrado, pero la pregunta final ("¿es esto suficiente para concluir que la aseveración está razonablemente presentada?") no se responde explícitamente. Un revisor no debería tener que adivinar si el auditor cree que la evidencia basta. Si la sección de conclusión por aseveración no existe, el revisor de calidad lo deja anotado.
Procedimientos sustantivos vs. pruebas de controles
Donde empieza el juicio profesional: un control que funciona perfectamente sobre una población contaminada en origen.
| Aspecto | Procedimientos sustantivos | Pruebas de controles |
|---|---|---|
| Propósito | Detectar errores en saldos y transacciones | Evaluar si el control opera como se diseñó |
| Pregunta que responden | ¿Es correcto el saldo? | ¿Funciona el control? |
| Cuándo son obligatorios | Siempre, para cada aseveración con riesgo (NIA-ES 330.18) | Solo si el auditor planea confiar en el control para reducir el alcance sustantivo (NIA-ES 330.8) |
| Tipo de evidencia | Transacciones verificadas, saldos reconciliados, cálculos validados | Observación de ejecución, evidencia de autorización, registros de excepciones |
Por qué la confusión es habitual en encargos pequeños
El supuesto que rompe el esquema: un control bien diseñado sobre datos defectuosos. El equipo del cliente revisa cada gasto antes de registrarlo, pero el sistema importa los importes mal porque la integración con el ERP del proveedor está rota. La prueba del control da resultado positivo (todos los gastos están aprobados), pero el saldo está mal. Solo el procedimiento sustantivo detecta el problema. Pasarlo por alto es uno de los hallazgos más habituales en revisiones de pares.
Donde dos socios razonables no se pondrían de acuerdo: si el control opera con eficacia continuada durante todo el año y la población es homogénea, ¿cuánto se puede reducir el alcance del detalle sustantivo? Un socio dirá que la NIA-ES permite reducir mucho. Otro dirá que la reducción excesiva deja el encargo expuesto a un fallo puntual del control no detectado. La norma marca el límite; la decisión es de juicio.
Ejemplo comparativo: Banco Regional Asturias S.A.
Banco Regional Asturias S.A., entidad financiera con sede en Oviedo, activos por 320 millones de euros. Mantiene un control de revisión de crédito: el responsable de cartera revisa cada préstamo nuevo antes de su entrada en vigor.
Prueba del control: muestra de 15 préstamos nuevos. Para cada uno, traza hasta la solicitud, el archivo del cliente y la firma del responsable de cartera. Los 15 tienen firma. Conclusión: el control opera.
Procedimiento sustantivo: independientemente de que el control opere, hay que verificar que el préstamo se registró por el importe correcto, que la tasa de interés aplicada es la pactada, que los términos contractuales están alineados con la política, y que la provisión por deterioro se calculó con los parámetros adecuados (antigüedad, historial, garantías). El sustantivo puede revelar un préstamo aprobado fuera de política, una tasa mal capturada en el sistema o una provisión calculada con un parámetro caducado. La prueba del control no detecta nada de eso.
Si el equipo solo hace la prueba de control y omite el sustantivo, ha obtenido evidencia de que el control funciona pero no de que los saldos de cartera están razonablemente presentados. Es la confusión que el ICAC documenta en revisiones a entidades financieras: control validado, saldo no auditado.
Lo que un practicante con años en banca ya sabe: la prueba del control responde a la pregunta "¿se aprobó el préstamo correctamente?". El sustantivo responde a "¿está el saldo bien presentado?". Son dos preguntas distintas. El expediente que solo contesta la primera está incompleto.
Términos relacionados
- Riesgo de inexactitud material: la base sobre la que se diseñan los procedimientos sustantivos. - Procedimientos analíticos: tipo de procedimiento sustantivo que compara expectativas con realidades. - Pruebas de controles: procedimientos para evaluar la operación de los controles internos. - Muestreo de auditoría: técnica para realizar pruebas de detalles. - Evidencia de auditoría: la conclusión que se extrae de los procedimientos sustantivos. - Aseveraciones: nivel de especificidad al que se dirigen los procedimientos sustantivos.
---