Definition
Vamos directamente al asunto: una excepción en una muestra de 35 órdenes no significa que el control funcionó al 97%. Significa que el auditor todavía no sabe lo que pasó en esa orden, ni en las 92 que no miró. El ICAC ha repetido en sus informes de inspección que el error más frecuente en pruebas de controles no es el muestreo. Es haber probado el diseño del control sin probar su ejecución durante el período.
Aspectos clave
- Probar un control es probar el comportamiento humano que lo ejecuta, no el procedimiento que lo describe sobre el papel. - La documentación del funcionamiento (firmas, aprobaciones, excepciones) es obligatoria. Sin ella, el control existe en el manual pero no en la auditoría. - Una excepción detectada no es una anomalía aislada por defecto. Es una señal que obliga a expandir el muestreo o a documentar por escrito por qué no se expande. - La inefectividad de controles principales sobre aseveraciones significativas puede llevar a salvedad de opinión.
Cómo funcionan
El auditor identifica un control que, si funciona, reduce el riesgo de que un error material en una aseveración no sea prevenido o detectado. Conforme a la NIA-ES 330.8, antes de confiar en ese control el auditor debe obtener evidencia sobre su efectividad operativa durante todo el período auditado. No basta con probar el diseño en abstracto.
Una prueba sustantiva examina el saldo final de una cuenta. Una prueba de controles se centra en el proceso. En lugar de verificar que cada factura registrada sea correcta, el auditor prueba si el proceso de autorización de facturas operó durante los doce meses. Eso permite reducir el alcance sustantivo cuando hay confianza en el control.
Hay una metodología típica: seleccionar una muestra de transacciones del período, examinar la evidencia de ejecución (firma, nota de autorización, comparación documentada), evaluar si el control se aplicó de forma coherente, y documentar cualquier desvío. Para tamaño de muestra y tratamiento de excepciones está la NIA-ES 330.A25.
Lo que realmente ocurre es algo más incómodo. Si miras el estándar, trata el control como un procedimiento. En la práctica es una conducta, y las conductas no se documentan a sí mismas: alguien tiene que dejarles huella, y ese alguien suele ser quien menos beneficio saca de hacerlo. Por eso aparecen casos en los que el control "se ejecutó" pero nadie lo apuntó.
La presión estructural que nadie escribe
Hay una contradicción que la NIA-ES no resuelve y que define cómo se hacen estas pruebas en la realidad. Quien firma necesita que el control funcione para reducir el alcance sustantivo. Quien hace el trabajo cobra horas presupuestadas en campaña. Documentar más excepciones implica más trabajo sustantivo, y más sustantivo implica romper presupuesto.
Resultado: la presión estructural empuja a encontrar pocas excepciones. Exactamente lo contrario de lo que la norma exige al auditor independiente. Por lo que conozco, este es el punto donde se separa el auditor que ha leído la NIA-ES del que la aplica.
Ejemplo práctico: Industrias Mecánicas Catalanas S.L.
Cliente: Fabricante de componentes metálicos, Barcelona, FY2024, ingresos de 6,8 millones de euros, reportador NIIF.
Contexto: El proceso de autorización de compras por encima de 5.000 euros reduce el riesgo de adquisiciones no autorizadas que distorsionen los gastos operativos.
Paso 1: Definir el control
El director de operaciones debe firmar todas las órdenes de compra superiores a 5.000 euros antes de que proveeduría emita el pedido.
Nota PT 3.2: Descripción del control, fuente: política de compras FY2024, aprobada por consejo de administración.
Paso 2: Seleccionar la muestra
Durante FY2024 (enero-diciembre), el sistema identificó 127 órdenes de 5.000 euros o superiores. El auditor selecciona 35 (27% de la población) usando muestreo estadístico estratificado por mes.
Nota PT 3.3: Matriz de muestreo; método: MUS con tasa de excepción esperada del 2%, nivel de confianza del 95%; población: 127 órdenes de 5.000+ EUR.
Paso 3: Examinar la evidencia de ejecución
Para cada orden de la muestra, el auditor verifica: - Presencia de firma del director de operaciones - Fecha previa a la emisión del pedido - Legibilidad de la firma
De las 35 órdenes, 34 presentan firma en regla. Una orden, la MEC-2024-0847 (julio, importe 7.200 EUR), carece de firma. Cuando se le pregunta, el director confirma verbalmente que la aprobó. No la firmó.
Nota PT 3.4: Tabla de excepciones: 1 desvío de 35 (2,9%). Orden MEC-2024-0847: falta firma autorización; control ejecutado verbalmente según declaración del director.
Paso 4: Evaluar la excepción y decidir si expandir la muestra
Aquí empieza el trabajo de verdad. Una excepción del 2,9% en 35 elementos podría parecer aislada, pero la NIA-ES 330.A28 obliga a evaluar si el desvío indica que el control no funcionó efectivamente. Y la NIA-ES 530.A22 contempla expresamente la opción de expandir el muestreo cuando aparece una excepción no esperada.
Aquí pregunta el EQR lo evidente: ¿por qué no se ha expandido a 50 órdenes después de encontrar la excepción? Si se expande a 50 y aparecen otras dos excepciones más, la conclusión cambia: el control no opera de forma fiable y hay que ir a sustantivo. Si no se expande, hay que documentar por escrito por qué se considera la excepción aislada y no sintomática.
En este caso el auditor opta por expandir. Selecciona 15 órdenes adicionales del segundo semestre (donde apareció la excepción original). Resultado: 14 con firma, 1 sin firma (orden MEC-2024-1163, octubre, 6.800 EUR, también con autorización verbal). Tasa proyectada: 2 de 50 (4%) sobre la población de 127 sugiere 5 órdenes sin documentación adecuada.
Nota PT 3.5: Evaluación: el desvío no es aislado. Indica que la ejecución del control depende del comportamiento individual y no está sistemáticamente forzada. Recomendación: flujo de aprobación en el ERP. Conclusión sobre confianza en el control: parcial. Aumentar alcance sustantivo en compras del segundo semestre.
Conclusión: El control no opera con la fiabilidad inicialmente prevista. Confianza parcial, alcance sustantivo aumentado. Carta de recomendaciones a la dirección sobre automatización del flujo.
Donde dos auditores razonables discrepan
Esta es la zona gris. Para el Socio A, la forma sigue al fondo. La autorización verbal ocurrió, el director lo confirma por escrito en una nota posterior, el importe es bajo y el patrón no se repite en el primer semestre. Documentar la excepción, recomendar la mejora y seguir adelante. Pedir cinco firmas que faltan en una población de 127 es perfeccionismo de manual.
Para el Socio B, si la única evidencia de que el control disparó es el recuerdo verbal del director, no hay control que se pueda auditar. Lo que se está documentando es la memoria de un ejecutivo, no la operación de un proceso. Hay que tratarlo como riesgo no mitigado y expandir sustantivo.
Por lo que conozco, ambas posturas se sostienen en la NIA-ES. No está la diferencia en la norma: está en el umbral personal de cada socio sobre qué tipo de evidencia considera "operativa" frente a "anecdótica", y ese umbral se mueve, no por convicción técnica, sino por la combinación entre el presupuesto del encargo, la antigüedad del cliente, la historia disciplinaria del despacho y, sobre todo, lo cerca que esté la próxima inspección del regulador. En los encargos que he llevado, suele ganar el Socio A cuando hay presupuesto ajustado y el Socio B cuando ya hay un hallazgo previo del ICAC en el archivo del despacho.
Qué interpretan mal los revisores
Tier 1: Hallazgo regulatorio nombrado
Hay un error que el ICAC ha observado en sus informes de inspección con frecuencia: la confusión entre probar el diseño del control (¿existe?) y probar su funcionamiento (¿opera durante el período?). Se documenta que la política de aprobación está aprobada por el consejo, pero no se examinan transacciones reales para confirmar que se aplicó. NIA-ES 330.7 exige ambas pruebas. Falta una y la prueba no es válida.
Tier 2: Error práctico referenciado a la norma
Hay equipos que prueban el control "mirando hacia adelante" en vez de "hacia atrás". Al final del período el director confirma que ahora seguirá el proceso, pero no hay evidencia sobre los doce meses pasados. NIA-ES 330.8 exige evidencia sobre el período auditado, no promesas futuras. Sin muestra histórica con documentación de ejecución, la prueba no se sostiene.
Tier 3: Brecha documentada en la práctica
En muchas auditorías los papeles de trabajo de pruebas de controles están flojos: falta chicha. Se documenta narrativamente ("el control funciona bien") en vez de con datos (muestra, tasa de excepción, proyección, decisión de expandir o no). Sin esos datos no se puede evaluar si la conclusión sobre efectividad está fundamentada. En busy-season suele aparecer la otra cara: hay que sacar adelante con lo que hay, y la documentación del control termina siendo lo primero que se recorta.
Pruebas de controles frente a pruebas sustantivas
| Dimensión | Pruebas de controles | Pruebas sustantivas |
|---|---|---|
| Objetivo | Evaluar si los controles previenen o detectan errores | Detectar directamente errores en saldos o transacciones |
| Objeto | Proceso (ejecución del control durante el período) | Resultado (saldo final, existencia de transacción) |
| Alcance | Reducible si los controles son efectivos | No reducible por controles — siempre se aplica |
| Documentación requerida | Firmas, aprobaciones, excepciones registradas | Confirmaciones, inspecciones, recálculos |
| Momento | Durante todo el período auditado | Primariamente al cierre |
La efectividad de los controles probados determina el alcance sustantivo. Esto se decide en la planificación, no a posteriori cuando ya se ha presupuestado el encargo.
Una nota desde la trinchera
Y al final del informe el control "funcionó". El director firmó el acta. La excepción quedó como nota al pie. La carta de recomendaciones se envió. Hasta el siguiente ICAC, si llega. Hay encargos en los que la prueba de controles ha sido un trámite, donde el equipo se limitó a marcar la casilla porque el presupuesto no daba para más. Es lo que hay y conviene reconocerlo.
Términos relacionados
- Riesgo de Control: probabilidad de que un error material en una aseveración no sea prevenido o detectado por los controles internos de la entidad. - Evaluación del Riesgo de Fraude: proceso de identificar transacciones o aseveraciones donde existe riesgo alto de fraude, lo que requiere pruebas de controles anti-fraude específicos. - Procedimientos Analíticos: alternativa a las pruebas de controles para áreas de bajo riesgo donde el análisis de tendencias reduce suficientemente el riesgo. - Muestreo de Auditoría: técnica estadística usada para determinar tamaño de muestra y tasa de excepción tolerable en pruebas de controles. - Efectividad Operativa: concepto de que un control bien diseñado debe ejecutarse de forma coherente durante el período para que el auditor pueda confiar en él. - Documentación de Auditoría: registro de la evidencia de que cada prueba de control fue realizada, con resultados y conclusiones sobre efectividad.
Herramientas relacionadas
Ciferi ofrece la Calculadora de Riesgo de Control NIA-ES 330 que ayuda a documentar las conclusiones sobre efectividad de controles y a proyectar el alcance sustantivo requerido en función de los desvíos identificados.
---