Contenidos

1. Los hallazgos del FRC 2025 y por qué interesan aquí 2. Evaluación de riesgo: el fallo antes de la norma 3. Escepticismo profesional: la casilla marcada 4. Pruebas de controles: enfoque combinado sin combinar nada 5. Ejemplo: Construcciones Mediterráneas S.L. 6. Checklist para aplicar el lunes 7. Errores comunes 8. Contenido relacionado

Los hallazgos del FRC 2025 y por qué interesan aquí

El Financial Reporting Council (FRC) británico examinó 89 auditorías de firmas no Big 4 en su ciclo 2024-25. La muestra es más amplia que en años anteriores e incluye entidades de interés público y grandes no cotizadas. Los porcentajes que salieron publicados:

- Evaluación de riesgo bajo el equivalente de la NIA-ES 315: deficiente en el 42% de los archivos. - Escepticismo profesional bajo el equivalente de la NIA-ES 200: insuficiente en el 38%. - Pruebas de controles bajo el equivalente de la NIA-ES 330: inadecuadas en el 31% de los archivos con enfoque combinado.

Por lo que conozco del mercado español (y por lo que el ICAC ha publicado en sus informes de supervisión de los últimos tres años), los porcentajes locales no están lejos. El ICAC cuenta con unos 8 inspectores para supervisar a 21.500+ auditores del ROAC, así que los datos son menos granulares. Pero el patrón coincide: cuando viene el ICAC a una firma mediana, las deficiencias caen en estas tres áreas con una monotonía que ya no sorprende a nadie.

La pregunta útil no es "¿qué dice el regulador británico?". La pregunta útil es: ¿por qué firmas razonablemente serias, con profesionales ROAC con 10 o 15 años de experiencia, siguen cometiendo los mismos tres errores?

El FRC británico señala que existen "deficiencias persistentes en aspectos esenciales del sistema de control de calidad". En la práctica, eso significa que llevamos años con los mismos problemas y nadie los arregla. No porque no se sepa. Porque la estructura del mercado (honorarios a la baja, rotación forzada cada diez años, presión comercial sobre el socio) hace que arreglarlos cueste dinero que nadie quiere poner.

Evaluación de riesgo: el fallo antes de la norma

Antes de leer la NIA-ES 315, pensemos en lo que un mal papel de trabajo de evaluación de riesgo pone encima de la mesa.

Pone "riesgo elevado en ingresos" como conclusión, sin bajar a aseveración. Pone una memoria copiada del año pasado con dos cifras actualizadas. Pone un listado de riesgos genéricos (fraude de la dirección, estimaciones contables, partes vinculadas) que podrían aplicarse a cualquier cliente del mismo sector. Y pone una matriz de color verde-ámbar-rojo donde todos los riesgos significativos son rojos, porque si pones ámbar algún día vas a tener que explicarle al revisor por qué. Eso es lo que el FRC británico encontró en el 42% de los archivos. Es también lo que, en mi experiencia, el ICAC se encuentra en casi todas las inspecciones que terminan con expediente.

La NIA-ES 315.25 dice que el auditor debe identificar y evaluar los riesgos de incorrección material mediante el conocimiento de la entidad y su entorno. La NIA-ES 315.A129 concreta: los riesgos se evalúan a nivel de aseveración, no de partida. Y la NIA-ES 315.32 exige documentación suficiente para que un auditor experimentado sin conexión previa entienda la naturaleza, oportunidad y extensión de los procedimientos de evaluación realizados.

Ahí es donde vive el juicio profesional y ahí es donde los archivos se caen. ¿Cómo de granular tiene que ser la evaluación por aseveración? ¿Qué significa "documentar el proceso de razonamiento" sin escribir una novela? ¿Cuándo una memoria actualizada es "actualización" y cuándo es SALY con mejor narrativa?

El contraargumento honesto existe: si cada año reescribes la evaluación de riesgo desde cero en un cliente con negocio estable, estás quemando horas que no te van a pagar. Es cierto. Pero la norma no te pide reescribir. Te pide mostrar que has pensado. La diferencia entre "actualización real" y "trámite" está en si el equipo ha tenido una conversación de 45 minutos sobre qué cambió este año, y si esa conversación ha dejado huella en los PT. Si no hay huella, no ha habido conversación. Y el revisor del ICAC lo ve en cinco minutos.

Escepticismo profesional: la casilla marcada

El escepticismo profesional es la deficiencia más difícil de documentar y la más fácil de fingir. De ahí que aparezca en el 38% de los archivos del FRC británico.

Un ejemplo del corpus de inspecciones. En una prueba de provisiones para litigios, el auditor escribe: "discutido con la dirección, respuesta razonable". Fin del papel de trabajo. Ni confirmación independiente del abogado externo. Ni revisión de correspondencia legal. Ni comparación con el ejercicio anterior. La casilla está marcada. Fue un trámite.

La NIA-ES 200.15 define el escepticismo profesional como una actitud que incluye una mente inquisitiva, la alerta ante condiciones que puedan indicar posible incorrección y la evaluación crítica de la evidencia. El FRC británico señala que "los auditores aceptaron explicaciones de la dirección sin corroboración adicional". En la práctica, eso significa que nos hemos creído lo que nos ha dicho el director financiero porque llevábamos tres semanas sin dormir y queríamos cerrar el encargo.

En procedimientos analíticos pasa algo peor. La NIA-ES 520.7 exige desarrollar expectativas independientes antes de comparar con los datos del cliente. Lo que realmente ocurre es que el auditor pide al cliente el cuadro de márgenes por línea de negocio, se fabrica una expectativa con ese cuadro y después usa el mismo cuadro para explicar las variaciones. Es un círculo. No es escepticismo. Es confirmación.

Aquí hay un punto de desacuerdo legítimo entre socios experimentados. El Socio A dice: "si el cliente lleva diez años con nosotros y conocemos el negocio, partir de los datos del cliente es razonable; fabricar una expectativa desde cero es perder el tiempo". El Socio B responde: "precisamente porque llevamos diez años, el riesgo de que hayamos interiorizado los supuestos del cliente es máximo; una expectativa externa (datos sectoriales del INE, comparables cotizados, informes sectoriales de patronal) es lo único que rompe el sesgo". Los dos tienen razón parcialmente. Mi preferencia está con el Socio B, porque he visto más expedientes abiertos por sesgo de familiaridad que por falta de eficiencia.

El FRC británico señala que "pocos archivos documentaban explícitamente cómo se había aplicado escepticismo profesional". En la práctica, eso significa que el escepticismo existía en la cabeza del socio pero no estaba en los PT. Y si no está en los PT, para el ICAC no existió.

Pruebas de controles: enfoque combinado sin combinar nada

Cuando el equipo decide aplicar un enfoque combinado bajo la NIA-ES 330, asume un compromiso: va a probar la eficacia operativa de controles para reducir procedimientos sustantivos. El 31% de los archivos que el FRC británico examinó bajo enfoque combinado fallaban en esto. Tres fallos recurrentes.

Primero, el tamaño de muestra. Los equipos aplican muestras pensadas para sustantivo (basadas en materialidad) a pruebas de controles (que deberían basarse en tasa de desviación esperada y tolerable). La NIA-ES 530.A12 lo aclara, pero la plantilla de Excel del despacho no, y la plantilla manda. El resultado: 15 órdenes de compra seleccionadas "porque siempre hacemos 15", sin trazabilidad al diseño estadístico.

Segundo, la documentación. "Control operando eficazmente" aparece como conclusión sin que los PT digan qué evidencia concreta se revisó. La NIA-ES 330.A43 exige documentación de naturaleza y extensión. En la práctica, los papeles están flojos.

Tercero, y este es el más grave, el ajuste. El equipo prueba los controles, encuentra una desviación, y sigue adelante con el plan original como si nada. La NIA-ES 330.17 obliga a reconsiderar naturaleza, oportunidad y extensión de los procedimientos sustantivos cuando los controles fallan. En firmas pequeñas/medianas como la nuestra, con el presupuesto de horas ya consumido al 80% cuando aparece la desviación, la tentación es sacar adelante con lo que hay. Y el ICAC lo detecta.

¿Por qué pasa esto? No porque los auditores sean vagos. Pasa porque el enfoque combinado se vendió al cliente como ahorro de horas, y ajustar significa devolver el ahorro. El incentivo estructural empuja en contra de la norma. Quien no lo quiera ver, que no lo vea.

Ejemplo: Construcciones Mediterráneas S.L.

Construcciones Mediterráneas S.L. es una sociedad del sector construcción con ingresos de 28 M€. Primer año como cliente. Método de porcentaje de avance bajo NIIF 15.48. Auditor distinto el año anterior con informe limpio. El equipo descubre en planificación que dos contratos grandes firmados en diciembre de 2024 concentran el 40% de los ingresos reconocidos del ejercicio. Complicación: a mitad de trabajo de campo, el cliente informa de que uno de esos contratos se está renegociando por sobrecoste de materiales y que hay dudas sobre si el cliente final pagará el importe originalmente pactado.

Cómo se documentan las tres áreas críticas con la complicación en la mesa:

evaluación de riesgo reabierta

Lo que estaba: "Riesgo elevado en reconocimiento de ingresos debido a la naturaleza de contratos de construcción a largo plazo."

Lo que queda después de la complicación:

"Riesgo elevado identificado a nivel de aseveración en ingresos por contratos de construcción, reevaluado tras comunicación del cliente (15 de abril de 2026) sobre renegociación del contrato Cx-2024-08:

- Exactitud del porcentaje de avance: riesgo ALTO (incremento desde MODERADO). La renegociación afecta al valor total estimado del contrato, que es el denominador del cálculo. - Recuperabilidad: riesgo nuevo ALTO. El reconocimiento histórico supone que el cliente final pagará; la renegociación introduce incertidumbre sobre cobrabilidad. - Corte: riesgo MODERADO (sin cambios). - Presentación: riesgo BAJO.

Base del riesgo reevaluado: incentivo de la dirección (primer cierre con nosotros, queremos demostrar rentabilidad estable) combinado con incertidumbre material sobrevenida. Procedimientos sustantivos ampliados: confirmación directa con cliente final sobre importe a facturar, revisión del acta de reunión de renegociación, análisis de sensibilidad sobre el margen del contrato con el supuesto de reducción del 15% en precio final."

escepticismo con huella

Para la provisión de garantías (340.000 €):

"Cuestionamos la suficiencia de la provisión considerando:

- Incremento del 23% en reclamaciones de garantía en contratos completados en 2024 (datos del propio cliente). - Comparación sectorial: provisión media de competidores comparables 2.1% de ingresos, Mediterráneas 1.8%. - Cambios en especificaciones técnicas de uno de los contratos renegociados que pueden incrementar reclamaciones futuras.

Evidencia adicional obtenida que no está en el dossier del cliente: revisión de correspondencia con tres clientes finales sobre reclamaciones pendientes (descargada directamente del buzón del director técnico en nuestra presencia, no entregada por la dirección), análisis independiente de tendencias de reclamación por tipo de proyecto, conversación con el responsable de postventa sin presencia del director financiero.

Conclusión del equipo: la provisión al 1.8% está en el límite inferior del rango razonable. Recomendamos ajuste a 2.0% (+45.000 €). La dirección acepta después de discusión. Si no hubiera aceptado, habríamos evaluado si la diferencia (45.000 €) es material individualmente o agregada con otros ajustes propuestos."

pruebas de controles con ajuste real

Para el control de aprobación de órdenes de compra > 5.000 €:

"Diseño del control: aprobación doble (gerente de proyecto + director de operaciones). Población 284 órdenes.

Muestreo: selección estadística, tamaño 25, tasa de desviación esperada 0%, tolerable 6%.

Resultado: 1 desviación identificada (orden #CO-2024-0156 aprobada solo por gerente de proyecto). Tasa observada 4% (1/25).

Decisión del equipo: aunque la tasa observada está dentro del tolerable, el contexto de la renegociación del contrato Cx-2024-08 nos lleva a no confiar plenamente en este control. Ampliamos procedimientos sustantivos sobre compras: selección adicional de 30 órdenes > 10.000 € del segundo semestre, revisión integral de órdenes asociadas al contrato renegociado. Esto contradice nuestra planificación inicial y consume 35 horas adicionales no presupuestadas. Se comunica al socio y se documenta la decisión."

La diferencia entre el papel de trabajo "fingido" y el papel de trabajo "real" no está en la cantidad de texto. Está en si aparecen las decisiones que costaron horas al equipo. Un archivo sin decisiones incómodas es un archivo que no pasó por el mundo real.

Checklist para aplicar el lunes

1. Evaluación de riesgo (NIA-ES 315.25). Para cada riesgo identificado, nombra la aseveración afectada y el razonamiento. No "riesgo elevado en ingresos". Sí "riesgo de sobreestimación del porcentaje de avance por incentivo de la dirección de mostrar rentabilidad estable en primer cierre con nosotros". 2. Escepticismo profesional (NIA-ES 200.15). Cada vez que los PT citen una explicación de la dirección, añade la evidencia independiente obtenida o explica por qué no se obtuvo. Si la respuesta fue "discutido con la dirección, razonable", el revisor verá un trámite. 3. Pruebas de controles (NIA-ES 330.8). Si adoptas enfoque combinado, diseña el muestreo con tasa de desviación tolerable, no con materialidad. Documenta qué evidencia concreta se examinó. 4. Vinculación entre riesgos y procedimientos. Cada procedimiento sustantivo debe poder rastrearse a un riesgo evaluado. Si un procedimiento no responde a ningún riesgo, sobra. Si un riesgo no tiene procedimiento, falta. 5. Documentación del proceso. NIA-ES 315.32 pide que un auditor experimentado sin conexión previa entienda el trabajo. Lee tus PT como si fueras ese auditor. Si no entenderías por qué hiciste lo que hiciste, el revisor tampoco lo entenderá. 6. Si aparece una complicación a mitad del encargo, documenta la reevaluación. No la ocultes bajo la planificación original. Un archivo que muestra cómo cambió el plan cuando cambió la realidad es un archivo que protege al firmante.

Errores comunes

Contenido relacionado

- Evaluación de riesgo bajo NIA-ES 315 — definición completa de los requisitos y documentación exigida. - Calculadora de escepticismo profesional — herramienta para evaluar si se ha aplicado suficiente escepticismo en procedimientos específicos. - Guía de pruebas de controles NIA-ES 330 — cómo diseñar y documentar pruebas de controles que resistan una inspección del ICAC.

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.