aspectos central

  • El auditor debe probar si los controles funcionan efectivamente, no solo si existen en el diseño.
  • La documentación del funcionamiento (firmas, aprobaciones, excepciones) es obligatoria para fundamentar la opinión.
  • Una deficiencia en los controles probados puede aumentar sustancialmente el alcance de las pruebas sustantivas requeridas.
  • La inefectividad de controles principal sobre aseveraciones significativas puede resultar en una salvedad de opinión.

Cómo Funcionan

Las pruebas de controles se aplican cuando el auditor ha identificado un control que, si funciona efectivamente, reduce el riesgo de que un error material en una aseveración no sea prevenido o detectado. Conforme a la NIA-ES 330.8, antes de confiar en un control, el auditor debe obtener evidencia sobre su efectividad operativa durante el período bajo auditoría.
A diferencia de las pruebas sustantivas que examinan el saldo final de una cuenta, las pruebas de controles se centran en el proceso subyacente. Por ejemplo, en lugar de verificar que todas las facturas registradas sean correctas (prueba sustantiva), el auditor prueba si el proceso de autorización de facturas funcionó durante el período (prueba de control). Esto permite al auditor reducir el volumen de pruebas sustantivas cuando existe confianza en que los controles evitaron errores.
La metodología típica incluye: (1) seleccionar una muestra de transacciones del período, (2) examinar la evidencia de ejecución del control (firma de aprobación, nota de autorización, comparación documentada), (3) evaluar si el control se aplicó de forma coherente, y (4) documentar cualquier desvío o excepción. La NIA-ES 330.A25 proporciona orientación sobre el tamaño de muestra y los procedimientos de evaluación cuando se detectan excepciones.

Ejemplo Práctico: Industrias Mecánicas Catalanas S.L.

Cliente: Fabricante de componentes metálicos, Barcelona, FY2024, ingresos de 6,8 millones de euros, reportador NIIF.
Contexto: El auditor identificó que el proceso de autorización de compras por encima de 5.000 euros reduce el riesgo de que se realicen adquisiciones no autorizadas que distorsionen los gastos operativos.
Paso 1: Definir el control
El director de operaciones debe firmar todas las órdenes de compra superiores a 5.000 euros antes de que el departamento de proveeduría emita el pedido.
Nota de documentación: PT 3.2: Descripción del control, fuente: política de compras FY2024, aprobada por consejo de administración.
Paso 2: Seleccionar la muestra
Durante FY2024 (enero-diciembre), el sistema de gestión de compras identificó 127 órdenes de compra de 5.000 euros o superiores. El auditor selecciona una muestra de 35 órdenes (27% de la población) usando muestreo estadístico estratificado por mes.
Nota de documentación: PT 3.3: Matriz de muestreo; método: MUS con tasa de excepción esperada del 2%, nivel de confianza del 95%; población: 127 órdenes de 5.000+ EUR.
Paso 3: Examinar la evidencia de ejecución
Para cada orden de la muestra, el auditor localiza el archivo de compra correspondiente y verifica:
De las 35 órdenes, 34 presentan la firma en regla. Una orden (referencia MEC-2024-0847, julio) carece de firma de autorización, aunque el pedido fue emitido. El director de operaciones confirmó verbalmente que la aprobó, pero no firmó el documento.
Nota de documentación: PT 3.4: Tabla de excepciones: 1 desvío de 35 (2,9%). Orden MEC-2024-0847: falta firma autorización, aunque control fue ejecutado verbalmente. Importe: 7.200 EUR.
Paso 4: Evaluar la consistencia y las excepciones
Un desvío (2,9%) en una muestra de 35 sugiere que el control operó efectivamente, pero con una excepción documentada. Conforme a la NIA-ES 330.A28, el auditor debe evaluar si el desvío indica que el control no funcionó efectivamente durante el período. Una firma omitida en un documento es un desvío de diseño, aunque el acto de autorización ocurrió sin documentación.
El auditor proyecta la tasa de excepción a la población: 1 de 35 (2,9%) proyectado a 127 órdenes sugiere aproximadamente 3-4 órdenes sin documentación adecuada en la población total.
Nota de documentación: PT 3.5: Evaluación de excepciones: el desvío indica que la ejecución del control depende del comportamiento individual (firma física) y no está sistemáticamente forzado. Recomendación: implementar flujo de aprobación en el sistema ERP para automatizar la captura de autorización.
Conclusión: El control fue efectivo en un 97% de los casos probados. El auditor puede confiar en este control para reducir el alcance de las pruebas sustantivas de compras, pero debe aumentar ligeramente el alcance debido al desvío identificado. La excepción fue aislada y no invalidó la efectividad operativa del proceso.

  • Presencia de firma de autorización del director de operaciones
  • Fecha de la firma (debe ser previa a la emisión del pedido)
  • Legibilidad de la firma

Qué Comen los Revisores y Auditores en Cuanto a Estas Pruebas

Tier 1: Hallazgo regulatorio nombrado
El ICAC ha observado en sus informes de inspección que un error frecuente es la confusión entre probar un control en el diseño (¿existe el control?) versus probar su funcionamiento (¿funciona durante el período?). Los auditores documentan que la política de aprobación existe, pero no examinan transacciones reales para confirmar que se aplicó. Conforme a la NIA-ES 330.7, ambas pruebas son obligatorias.
Tier 2: Error práctico referenciado a la norma
Los auditores frecuentemente prueban un control "mirando hacia adelante" en lugar de "mirando hacia atrás." Por ejemplo, al final del período, el director confirma que "ahora" seguirá el proceso de autorización, pero no hay evidencia de que lo haya hecho durante los últimos 12 meses. La NIA-ES 330.8 exige que la evidencia sea sobre el período bajo auditoría, no promesas futuras. Sin una muestra de transacciones históricas con documentación de ejecución, la prueba de control no es válida.
Tier 3: Brecha documentada en la práctica
En muchas auditorías, las pruebas de controles se documentan de forma demasiado narrativa ("el control funciona bien") en lugar de con datos específicos (muestras, tasas de excepción, proyecciones de errores). Esta falta de estructura dificulta que los revisores evalúen si la conclusión sobre efectividad está fundamentada en procedimientos suficientemente definidos.

Pruebas de Controles vs. Pruebas Sustantivas

| Dimensión | Pruebas de Controles | Pruebas Sustantivas |
|-----------|---------------------|-------------------|
| Objetivo | Evaluar si los controles previenen o detectan errores | Detectar directamente errores en saldos o transacciones |
| Objeto | Proceso (ejecución del control durante el período) | Resultado (saldo final, existencia de transacción) |
| Alcance | Reducible si los controles son efectivos | No reducible por controles; siempre se aplica |
| Documentación requerida | Firmas, aprobaciones, excepciones registradas | Confirmaciones, inspecciones, recálculos |
| Momento | Durante todo el período auditado | Primariamente al cierre |
La efectividad de los controles probados determina directamente el alcance de las pruebas sustantivas. Esto es necesario en la planificación de la auditoría.

Términos Relacionados

  • Riesgo de Control: La probabilidad de que un error material en una aseveración no sea prevenido o detectado por los controles internos de la entidad.
  • Evaluación del Riesgo de Fraude: El proceso de identificar transacciones o aseveraciones donde existe un riesgo particularmente alto de fraude, que requiere pruebas de controles anti-fraude.
  • Procedimientos Analíticos: Alternativa a las pruebas de controles para áreas de bajo riesgo donde el análisis de tendencias reduce suficientemente el riesgo.
  • Muestreo de Auditoría: La técnica estadística utilizada para determinar el tamaño de muestra y la tasa de excepción tolerable en las pruebas de controles.
  • Efectividad Operativa: El concepto de que un control, aunque está bien diseñado, debe ejecutarse consistentemente durante el período para que el auditor pueda confiar en él.
  • Documentación de Auditoría: El registro de la evidencia de que cada prueba de control fue realizada, incluyendo los resultados y las conclusiones sobre efectividad.

Herramientas Relacionadas

Ciferi proporciona la Calculadora de Riesgo de Control NIA-ES 330 que ayuda a documentar las conclusiones sobre efectividad de controles y a proyectar el alcance de pruebas sustantivas requerido en función de los desvíos identificados.
---

Etiquetas de Interfaz

  • labelGlossaryTitle: Pruebas de Controles
  • labelDefinition: Definición
  • labelKeyTakeaways: aspectos central
  • labelHowItWorks: Cómo Funcionan
  • labelWorkedExample: Ejemplo Práctico
  • labelWhatReviewersGetWrong: Qué Comen los Revisores
  • labelComparison: Pruebas de Controles vs. Pruebas Sustantivas
  • labelRelatedTerms: Términos Relacionados
  • labelRelatedTools: Herramientas Relacionadas
  • labelBackToGlossary: Volver al Glosario
  • labelPrintPage: Imprimir Entrada
  • labelSharePage: Compartir

Términos Relacionados

Riesgo de ControlEvaluación del Riesgo de FraudeProcedimientos AnalíticosMuestreo de AuditoríaEfectividad OperativaDocumentación de Auditoría

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.