Prueba de autorización de transacciones

Cómo funciona en la práctica

La prueba de autorización responde a una pregunta que parece simple: ¿alguien con autoridad aprobó esto antes de registrarlo? La NIA-ES 500.6 obliga al auditor a obtener evidencia suficiente y adecuada cuando evalúa la efectividad de los controles de autorización. En la práctica, el procedimiento se desglosa en tres preguntas que muchos equipos contraen en una.

Primero: ¿quién tiene autoridad para aprobar cada tipo de transacción según el marco de delegación de la dirección? Esto exige leer el manual interno y verificar que las matrices de competencia están actualizadas. Segundo: ¿la transacción específica fue aprobada por la persona competente para ese importe? Esto exige cotejar firma y rango de competencia, no solo confirmar que hay firma. Tercero: ¿la aprobación ocurrió antes del registro contable? Esto exige verificar fechas, no solo verificar que existe el documento.

Lo que realmente ocurre es que se hace la primera y se asume la segunda y la tercera. El auditor verifica que el documento de aprobación existe, comprueba que está firmado, y cierra el papel. Cuando aparece el inspector con la pregunta de fechas — "¿esta firma del 7 de marzo es anterior al asiento del 5 de marzo?" — el papel se queda corto.

En ciclos como compras, ventas, nóminas o tesorería, la ausencia de autorización efectiva (no formal, efectiva) puede indicar debilidad de control que afecte a toda la población. Por eso la NIA-ES 315.29 obliga al auditor a evaluar si la autorización es un control relevante para la aseveración de ocurrencia de transacciones.

Ejemplo práctico: Distribuciones Ibéricas S.L.

Cliente: distribuidora mayorista de productos alimentarios en Madrid. Ingresos anuales de 18,6 millones de euros. PGC.

Escenario: evaluar si los controles de autorización de compras funcionan efectivamente durante el ejercicio.

Paso 1: Identificar la política

La dirección ha establecido lo siguiente: compras hasta 5.000 euros requieren firma del responsable de almacén; entre 5.000 y 20.000 euros requieren firma del director de operaciones; superiores a 20.000 euros requieren firma del consejero delegado. La política consta en el manual interno de procedimientos accesible en la intranet.

Nota: PT-400 documenta la política extraída del manual fechado el 15 de enero de 2024. Se obtiene captura del documento.

Paso 2: Seleccionar la muestra estratificada

El auditor identifica 1.247 facturas de compra registradas durante el ejercicio. Tras estratificar por importe (los límites de autorización varían), selecciona:

- 12 facturas de más de 20.000 euros (población: 47) - 18 facturas entre 5.000 y 20.000 euros (población: 156) - 10 facturas hasta 5.000 euros (población: 1.044)

Total: 40 facturas auditadas.

Nota: PT-401 contiene el enfoque de muestreo, la estratificación, la justificación del tamaño y la tabla de referencias.

Paso 3: Verificar autorización efectiva, no solo formal

Para cada factura el auditor obtiene el documento de aprobación (correo electrónico, visto bueno en el sistema, firma física en la orden de compra) y verifica:

- Identidad del firmante: ¿es la persona competente según la política para ese importe? - Fecha de la autorización: ¿es anterior a la fecha del registro contable? - Documentación: ¿existe evidencia archivada de la aprobación?

Resultado en 35 facturas: autorización correcta. Importe total: 485.200 euros.

Resultado en 5 facturas: autorización deficiente.

- Factura 2024-0847 (Proveedores García, 18.500 euros): firmada solo por el responsable de almacén. Debió aprobarla el director de operaciones. Registrada el 12 de mayo; no existe correo de aprobación posterior. - Factura 2024-1104 (Químicos del Sur, 6.800 euros): autorización por correo, pero el firmante (coordinador de compras) no aparece en la matriz de delegación con competencia para ese importe. - Tres facturas menores (hasta 3.000 euros cada una): aprobadas en buena fe pero sin documentación formal que respalde la decisión.

Nota: PT-402 documenta cada transacción deficiente con captura del documento, comparación con la política, y conclusión sobre si es error o incumplimiento de control.

Paso 4: La complicación — un patrón temporal aparece en revisión

Al revisar las cinco excepciones, el manager nota que cuatro de las cinco se concentran en un único trimestre, durante una ausencia prolongada del director de operaciones por una baja médica. En ese trimestre, el coordinador de compras aprobaba de facto en su lugar, sin formalización ni delegación documentada.

Esto cambia la calificación del hallazgo. No es debilidad de ejecución dispersa; es ausencia de plan de contingencia para sustitución de competencias durante bajas. El control fue diseñado pero no se mantuvo cuando la persona competente no estaba disponible. La NIA-ES 265 obliga a comunicar deficiencias significativas de control interno a los responsables del gobierno corporativo.

Nota: PT-403 documenta el patrón temporal, la causa raíz (ausencia sin sustituto formalizado), y la recomendación: formalizar la delegación temporal en bajas mediante adenda escrita firmada por el consejero delegado.

Paso 5: Proyección sobre la población

5 transacciones deficientes sobre 40 auditadas (12,5%) sugieren defecto de control material. El auditor evalúa si es:

- Anómalo (error aislado): no, dado el patrón temporal identificado. - Sistémico (debilidad de diseño o de ejecución sostenida): sí, durante el trimestre de la baja.

La proyección se limita al trimestre afectado. El auditor amplía procedimientos sustantivos sobre la población de transacciones de ese trimestre y documenta la conclusión.

Conclusión: las pruebas revelaron debilidad de control localizada en un trimestre, causada por ausencia de plan de contingencia para sustitución de competencias. La conclusión es defensible porque se verificó la política contra el manual, se auditó muestra estratificada por riesgo, se documentó cada excepción, se identificó la causa raíz, y se ampliaron procedimientos en consecuencia.

Qué revisores y profesionales pasan por alto

Hallazgo del ICAC en inspecciones temáticas. El ICAC ha observado en sus informes que muchos auditores verifican que existe firma sin verificar que la firma ocurrió antes del registro contable. En sociedades donde el sistema permite registros retroactivos, o donde la práctica es registrar primero y autorizar después (especialmente en tesorería), el auditor debe comprobar el orden temporal de forma explícita. Un sello de aprobación en un documento no es prueba de que la autorización precedió al asiento.

Confundir autorización de la transacción con aprobación del asiento contable. La NIA-ES 500.6 obliga a verificar la autorización de la transacción operativa (la compra, el pago, la devolución), no del registro contable. Una compra puede estar autorizada por el director de operaciones y, sin embargo, el asiento contable corresponder al contador. Son controles distintos. El auditor que verifica solo el asiento deja sin auditar el control sustantivo.

Brecha en tesorería: nadie autoriza la transferencia, todos confirman que se ejecutó. En ciclos de tesorería, muchas firmas no documentan quién autorizó la transferencia bancaria, solo que se realizó. La NIA-ES 315.29 señala que la autorización es especialmente relevante en estas transacciones por su materialidad y su irreversibilidad. El auditor debe insistir en que exista documentación de aprobación (correo, visto bueno en el sistema, formulario firmado) anterior a la ejecución, no solo evidencia de que la operación se ejecutó. Sin ese papel anterior, no hay control; hay registro.

Comparación: autorización de transacciones frente a aprobación de estados financieros

Aunque ambos términos se confunden, son controles de naturaleza distinta y con consecuencias distintas para la opinión de auditoría.

Autorización de transacciones: control de naturaleza operativa. La dirección o sus delegados aprueban una operación específica (compra, venta, pago) antes de su ejecución o registro. Bajo NIA-ES 315.29, es control sobre la aseveración de ocurrencia de transacciones. Su fallo afecta a saldos individuales y puede materializarse en ajustes a los estados financieros.

Aprobación de estados financieros: control de naturaleza directiva. El órgano de administración (consejo, junta directiva) aprueba formalmente los estados tras su preparación, en sesión documentada antes de la publicación. Bajo NIA-ES 700.13, esta aprobación es requisito legal en la mayoría de jurisdicciones. Su ausencia no invalida los procedimientos del auditor pero sí constituye debilidad de control que reportar bajo NIA-ES 265.

En la práctica, un fallo en la autorización de transacciones operativas puede generar errores en los estados financieros. Un fallo en la aprobación formal de estados financieros no invalida los procedimientos del auditor, pero deja al cliente expuesto a sanción mercantil y debe reportarse.

Donde empieza el juicio profesional: ¿muestra estadística o juicio?

Aquí hay desacuerdo legítimo entre profesionales experimentados.

Posición A: muestra estadística pura, con tamaño calculado por riesgo y proyección formal sobre la población. Da rigor matemático y se defiende mejor ante inspección. Esta es la posición de las firmas grandes con metodología estructurada.

Posición B: muestra dirigida por juicio profesional, con menor tamaño pero selección estratificada por características de riesgo (importes altos, proveedores nuevos, fin de mes, fin de trimestre). Da más calidad por hora de trabajo pero exige documentación cuidadosa del criterio de selección. Esta es la posición de muchas firmas medianas con experiencia.

A mí me convence más la B para autorización de transacciones, porque el riesgo no se distribuye uniformemente: los problemas se concentran en períodos puntuales (cierre de mes, ausencias del aprobador, proveedores nuevos). Una muestra estratificada por esas características detecta más excepciones que una aleatoria del mismo tamaño. Vaya por delante que es opinión personal y que la elección depende de la metodología de la firma y del riesgo evaluado.

Lo que realmente ocurre

Los honorarios no permiten dedicar 30 horas a pruebas de autorización en una auditoría mediana. Lo que se hace es seleccionar 25 facturas, verificar que llevan firma, y cerrar el papel. Si aparece una excepción, se documenta. Si no aparece, se concluye que el control funciona. El sistema funciona hasta que el inspector escoge precisamente la factura que el auditor no escogió, y el papel queda sin defensa.

La diferencia entre el papel que pasa la EQR y el que la suspende suele estar en la pregunta de fecha: ¿se verificó que la autorización fue anterior al registro? Y en la pregunta de competencia: ¿se cotejó la firma contra la matriz de delegación? Dos preguntas. Cinco minutos por factura. Su omisión es lo que el inspector encuentra después.

Términos relacionados

- Control preventivo: acción que evita que un error o fraude ocurra, frente a controles detectivos que lo identifican después. La autorización es control preventivo por definición. - Delegación de poderes: marco que establece quién puede actuar en nombre de la dirección y dentro de qué límites. La auditoría de autorización empieza por verificar la matriz de delegación. - Segregación de funciones: principio que exige que la persona que solicita una transacción, la autoriza, la ejecuta y la registra sean distintas. La prueba de autorización verifica un elemento de este principio. - Transacción con partes vinculadas: operación entre la entidad y partes vinculadas que requiere autorización y supervisión adicionales bajo NIA-ES 550. - Aseveración de ocurrencia: bajo NIA-ES 500, la aseveración de que las transacciones registradas efectivamente ocurrieron. La autorización es control directo sobre esta aseveración. - Evidencia de auditoría: material que el auditor recopila para fundamentar su opinión. La documentación de autorización es evidencia sobre controles.

---