Cómo funciona

La prueba de autorización de transacciones responde a una pregunta simple pero central: ¿ha aprobado la dirección o alguien delegado por ella esta operación antes de que se registrase en contabilidad?
Según la NIA-ES 500.6, el auditor debe obtener evidencia de auditoría a través de procedimientos de prueba de detalles cuando evalúa la efectividad de los controles de autorización. En la práctica, esto significa:
La prueba de autorización es un procedimiento de evidencia directa. No se trata de "documentación que existe" sino de "documentación que ocurrió en el orden correcto." Un cheque firmado después de que ya se registró el asiento es una transacción no autorizada, aunque exista la firma.
En ciclos como compras, ventas, nómina o tesorería, la ausencia de autorización documentada puede indicar un riesgo de control deficiente que afecte toda la población de transacciones. Por eso la NIA-ES 315.29 requiere que el auditor evalúe si la autorización es un control relevante para la aseveración de ocurrencia de transacciones.

  • Identificar quién tiene autoridad para aprobar cada tipo de transacción según el marco de delegación de poderes establecido por la dirección.
  • Verificar que la transacción específica fue aprobada por la persona con competencia para ello.
  • Comprobar que la aprobación ocurrió antes del registro contable.

Ejemplo práctico: Distribuciones Ibéricas S.L.

Cliente: Distribuidora mayorista de productos alimentarios, Madrid, con ingresos anuales de 18,6 millones de euros, marco PGC.
Escenario: Evaluar si los controles de autorización de compras funcionan efectivamente durante el período auditado.
Paso 1: Identificar la política de autorización
La dirección ha establecido que: compras hasta 5.000 euros requieren firma del responsable de almacén; compras entre 5.000 y 20.000 euros requieren firma del director de operaciones; compras superiores a 20.000 euros requieren firma del consejero delegado. Estas políticas constan en el manual de procedimientos internos, accesible en la intranet.
Nota de documentación: En el papel de trabajo PT-400, se registra la política de autorización extraída del manual de control interno fechado el 15 de enero de 2024. Se toma fotografía del documento en el archivo.
Paso 2: Seleccionar la muestra
El auditor ha identificado 1.247 facturas de compra registradas durante el ejercicio. Tras aplicar la estratificación por importe (dado que los límites de autorización varían según el importe), se selecciona:
Total: 40 facturas auditadas.
Nota de documentación: En PT-401 aparece el enfoque de muestreo, la estratificación aplicada y la justificación del tamaño. Se adjunta tabla Excel con números de referencia de las 40 facturas.
Paso 3: Verificar la autorización de cada transacción
Para cada factura auditada, el auditor obtiene el documento de autorización (correo electrónico de aprobación, visto bueno en el sistema, firma física en la orden de compra) y comprueba:
Resultado en 35 de las 40 facturas: autorización correcta. Importe total: 485.200 euros.
Resultado en 5 facturas: autorización deficiente.
Nota de documentación: En PT-402 aparece cada transacción deficiente con fotografía del documento, comparación contra política, y conclusión de si es un error o incumplimiento de control. Las 5 facturas deficientes se flagean para discusión con la dirección.
Paso 4: Evaluar la proyección
Las 5 transacciones deficientes de las 40 auditadas (12,5%) sugieren un defecto de control. El auditor evalúa si este defecto es:
En este caso, las entrevistas con el personal revelan que la política existe pero no está formalizada en el sistema. Las aprobaciones ocurren por correo electrónico, y no hay verificación automática de que el aprobador sea competente para cada importe. Se trata de una debilidad de ejecución del control, no de diseño.
Nota de documentación: En PT-403 aparece la conclusión: "Control de autorización de compras con debilidad detectada en los procedimientos de ejecución. Probabilidad de error material bajo dada la muestra auditada, pero se requiere ampliación de procedimientos analíticos sobre la población de transacciones no auditadas. Se comunica hallazgo a la dirección con recomendación de implementar validación automática de autorización en el sistema."
Conclusión:
Las pruebas de autorización revelaron que la política existe pero su ejecución es inconsistente. Esta conclusión es defensible porque:

  • 12 facturas de más de 20.000 euros (población = 47)
  • 18 facturas entre 5.000 y 20.000 euros (población = 156)
  • 10 facturas hasta 5.000 euros (población = 1.044)
  • Identidad del firmante: ¿es la persona competente según la política? (Por ejemplo, una factura de 8.500 euros debe llevar firma del director de operaciones, no del responsable de almacén.)
  • Fecha de autorización: ¿es anterior a la fecha de registro contable? (La factura de Carnes Ribera S.L. por 12.400 euros está fechada el 3 de marzo; el asiento se registró el 5 de marzo. El correo de aprobación del director de operaciones está fechado el 2 de marzo. Orden correcto.)
  • Documentación: ¿existe evidencia física o digital de la aprobación?
  • Factura 2024-0847 de Proveedores García (18.500 euros): firma solo del responsable de almacén. Debería haber sido aprobada por el director de operaciones. Registrada el 12 de mayo; no existe correo de aprobación posterior.
  • Factura 2024-1104 de Químicos del Sur (6.800 euros): autorización documentada en correo, pero la firma del aprobador (coordinador de compras) no consta en la política de autorización como facultado. Requiere investigación.
  • Otras tres facturas menores (hasta 3.000 euros cada una): aprobadas en buena fe pero sin documentación formal que respalde la decisión.
  • Anómalo (un error de ejecución aislado)
  • Sistémico (debilidad del diseño de control)
  • Se verificó la política contra manual de procedimientos.
  • Se auditó una muestra representativa estratificada por riesgo.
  • Se documentó cada transacción deficiente con evidencia de falta de cumplimiento.
  • Se comunicó el hallazgo y se evaluó su carácter sistémico.

Qué revisores y profesionales pasan por alto

  • Hallazgo de regulator: La AFM ha observado que muchas firmas auditan "que existe la firma" sin verificar que la firma ocurrió antes del registro contable. En sociedades donde el sistema contable permite registros retroactivos o donde la práctica es registrar primero y autorizar después (especialmente en tesorería), el auditor debe comprobar explícitamente el orden temporal. Un sello de aprobación en un documento no es evidencia de que la autorización precedió al asiento.
  • Error estándar en la práctica: Confundir "autorización de la transacción" con "aprobación del asiento contable." La NIA-ES 500.6 requiere autorización de la transacción operativa (la compra, el pago, la devolución), no del registro contable. Una compra puede estar autorizada por el director de operaciones pero el asiento contable puede ser responsabilidad del contador. El auditor debe verificar ambas, pero son controles distintos.
  • Brecha de documentación común: En ciclos de tesorería, muchas firmas no documentan quién autorizó la transferencia bancaria, solo que se realizó. La NIA-ES 315.29 señala que la autorización es especialmente relevante en transacciones de tesorería. El auditor debe insistir en que exista documentación de aprobación (correo, visto bueno en el sistema, formulario firmado) anterior a la ejecución de la operación, no solo que la operación se ejecutó.

Autorización frente a aprobación de estados financieros

Aunque los términos se usan a veces de forma intercambiable, existe una distinción importante:
Autorización de transacciones: Control de naturaleza operativa. La dirección o alguien delegado por ella aprueba la realización de una operación (compra, venta, pago) antes de que ocurra o se registre. Según la NIA-ES 315.29, es un control sobre la aseveración de ocurrencia de transacciones.
Aprobación de estados financieros: Control de naturaleza directiva. La dirección en pleno o un órgano competente (consejo de administración, junta directiva) aprueba formalmente los estados financieros tras su preparación, generalmente una sesión antes de su publicación. Según la NIA-ES 700.13, esta aprobación es un requisito legal en la mayoría de jurisdicciones, pero su ausencia no invalida el informe de auditoría si el auditor ha verificado la integridad de los estados.
En la práctica, un fallo en la autorización de transacciones operativas puede conducir a errores en los estados financieros. Un fallo en la aprobación formal de estados no invalidaría el auditor sus procedimientos, pero sí constituiría una debilidad de control a reportar.

Términos relacionados

---

  • Control preventivo: Acción que previene que ocurra un error o fraude antes de que suceda, a diferencia de controles detectivos que identifican errores después del hecho. La autorización es un control preventivo.
  • Delegación de poderes: Marco que establece quién puede actuar en nombre de la dirección y dentro de qué límites. La auditoría de autorización siempre comienza verificando la delegación de poderes formal.
  • Segregación de funciones: Principio que requiere que la persona que solicita una transacción, la que la autoriza, la que la ejecuta y la que la registra sean distintas. La prueba de autorización verifica un elemento de este principio.
  • Transacción relacionada: Operación entre la entidad y partes vinculadas que requiere autorización y supervisión adicionales según la NIA-ES 550.
  • Aseveración de ocurrencia: En la NIA-ES 500, la aseveración de que las transacciones que se han registrado ocurrieron. La autorización es un control directo sobre esta aseveración.
  • Evidencia de auditoría: Material que el auditor recopila para fundamentar su opinión. La documentación de autorización es un ejemplo de evidencia de auditoría sobre controles.

Términos relacionados

Control preventivoDelegación de poderesSegregación de funcionesTransacción relacionadaAseveración de ocurrenciaEvidencia de auditoría

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.