Definition

Aproximadamente el 34% de los papeles de trabajo de aseguranza revisados por inspectores NIASA en 2022 no incluían un párrafo explícito que citara los criterios aplicables. La frase que falta es esa que responde la pregunta más simple del encargo: ¿contra qué estamos comparando esto? Cuando ese párrafo no existe, la conclusión del auditor flota sin medida. El usuario previsto la lee bajo supuestos que el auditor no documentó y, en muchos casos, no formuló.

Aspectos

- Los criterios deben ser identificables, aplicables y apropiados para la materia de la encomienda. Un marco contable, una norma técnica, una ley específica o un conjunto de principios internacionales pueden servir como criterios. - Cuando los criterios no están disponibles públicamente o no están bien definidos, el auditor debe documentar qué criterios usa y obtener conformidad escrita de la dirección antes de aceptar el encargo. - Una evaluación inadecuada de la idoneidad de los criterios figura entre los hallazgos más frecuentes en las inspecciones de aseguranza del ICAC. Muchos auditores aplican criterios genéricos, incompletos o internos sin verificar si son suficientemente detallados para la conclusión que se espera emitir. - "Apropiados" en NIA-ES 3000.13(d) significa aceptados por los usuarios previstos como medida válida, no aceptados por la dirección como medida cómoda.

---

Qué falla en la práctica

Por lo que he visto en los encargos que he llevado, el patrón se repite. La dirección entrega su "manual de buenas prácticas" o una "política corporativa" y propone que esos documentos sirvan como criterios del encargo. El auditor los acepta porque están escritos, porque tienen tabla de contenidos, porque parecen profesionales. Nadie pregunta si los usuarios previstos del informe (un regulador, un inversor, un comité de auditoría externo) reconocen ese manual como medida válida. Nadie pregunta si la política se redactó antes o después de que la dirección supiera qué quería que el auditor concluyera.

A ver. La NIA-ES 3000 párrafo 13(d) exige que los criterios sean "claros, relevantes, completos, fiables, neutrales y comprensibles". Neutral significa que no los redactó la entidad auditada para su propio encargo. Eso es lo que dice la norma. Lo que ocurre es que el manual interno se acepta como "criterio complementario", se mete en la carta de encargo entre paréntesis, y nadie vuelve a mirarlo hasta que llega una inspección y pregunta dónde está la justificación de la idoneidad. Es marcar la casilla. Fue un trámite.

La zona gris vive aquí: los criterios externos (un reglamento, una norma técnica, un marco contable) suelen ser de alto nivel y dejan huecos operativos. Los criterios internos llenan esos huecos pero comprometen la neutralidad. La NIA-ES no resuelve el dilema. Lo deja al juicio profesional, y el juicio profesional, en muchos despachos, lo resuelve la presión comercial.

---

Lo que la norma exige y lo que pasa de verdad

La NIA-ES 3000 párrafo 13(c) define el sujeto de la encomienda. El párrafo 13(d) define los criterios y exige que sean apropiados. La NIA-ES 3400 traslada esos requisitos a información financiera prospectiva. La NIASA 100 párrafo 12(c) replica la lógica para encargos de sostenibilidad.

En la práctica, eso significa que el auditor debe documentar tres cosas antes de firmar la carta de encargo: qué criterios aplican, por qué son apropiados para los usuarios previstos, y cómo se concilian si hay más de uno. Vaya por delante que documentar "por qué son apropiados" no es escribir "los criterios son apropiados porque cumplen los seis atributos de NIA-ES 3000.13(d)". Eso es un brindis al sol. Documentar es nombrar a los usuarios previstos por su función (inspector autonómico, fondo ESG, comité de auditoría del comprador), explicar qué medida espera cada uno, y mostrar que el criterio seleccionado satisface esa expectativa.

Cuando los papeles están flojos en este punto, el riesgo no es solo de inspección. Es que el usuario previsto interprete la conclusión bajo un marco distinto del que aplicó el auditor, y que esa diferencia salga a la luz cuando el dato auditado se use en una decisión real (una inversión, una sanción, una adquisición). La conclusión técnica puede ser correcta y, aun así, no servir.

---

Ejemplo práctico: Industrias Térmicas Ibéricas S.L.

Cliente: fabricante español de componentes de calefacción con sede en Talavera de la Reina, ingresos de 18,7 millones de euros en FY2024, reporta bajo NIIF. Solicitó una auditoría de aseguranza sobre el cumplimiento de la Directiva de Eficiencia Energética para su línea de radiadores de aluminio.

Paso 1: identificación inicial de criterios potenciales

El cliente planteó la auditoría como "verificar que cumplimos con las normas de eficiencia energética". Demasiado vago. Los criterios potenciales identificados:

- Directiva 2010/30/UE (etiquetado de eficiencia energética) - Directiva 2012/27/UE (auditorías energéticas) - Reglamento delegado (UE) 2015/1186 (criterios técnicos específicos para radiadores) - Norma UNE-EN 15316 (métodos de cálculo para sistemas de calefacción)

Nota de documentación: cuatro marcos normativos posibles. Reunión inicial con dirección para determinar la verdadera intención del usuario previsto (inspectores de la Comunidad Autónoma, inversores, clientes finales).

Paso 2: la pelea por el criterio

Aquí se complicó el encargo. La dirección llegó con un documento de 84 páginas titulado "Manual de buenas prácticas de eficiencia térmica de Industrias Térmicas Ibéricas". Lo había redactado el responsable de calidad junto con un consultor externo. El director financiero pidió que ese manual fuera el criterio primario, "porque está adaptado a nuestros productos y nuestros procesos, y los reglamentos europeos son demasiado generales".

Mi respuesta inicial fue rechazo directo. El manual lo había redactado la propia entidad auditada para su propio encargo. Eso es exactamente lo que la NIA-ES 3000.13(d) excluye cuando exige neutralidad. Yo creo que aceptarlo como criterio primario habría comprometido el encargo desde la carta de aceptación, porque cualquier inspector del ICAC que mirara los papeles habría visto que el auditor aceptó una vara de medir fabricada por el medido.

El cliente escaló. El director financiero llamó al socio. Argumentó que llevaban tres años con nuestro despacho, que el manual era el resultado de un trabajo serio, y que si no podíamos aceptarlo como criterio se irían a otro despacho que sí lo hiciera. Pasaron dos semanas de tiras y aflojas. El socio sostuvo la posición técnica. Por lo que conozco, no todos los socios lo habrían hecho.

La solución fue separar funciones. Reglamento (UE) 2015/1186 quedó como criterio primario (apropiado, neutral, reconocido por los usuarios previstos). El manual interno se mencionó en los papeles de trabajo como evidencia de que la entidad había implantado controles operativos para cumplir el reglamento, pero no como criterio. La distinción es la que separa "contra qué medimos" de "qué hace la entidad para cumplir lo que medimos".

Paso 3: evaluación de idoneidad usando los atributos de NIA-ES 3000.13(d)

Los usuarios previstos confirmados por la dirección: auditores de cumplimiento regulatorio de Castilla-La Mancha y, potencialmente, fondos ESG. Reglamento (UE) 2015/1186 satisface los seis atributos:

- Claridad: especifica qué parámetros técnicos deben medirse (coeficiente de transferencia de calor, eficiencia estacional) - Relevancia: es el criterio que los reguladores españoles aplican en inspecciones del sector - Integridad: cubre la cadena de producción relevante para radiadores - Fiabilidad: emitido por la Comisión Europea previa consulta a expertos técnicos - Neutralidad: no fue redactado por la entidad auditada - Comprensibilidad: los usuarios previstos lo reconocen como medida válida

Nota de documentación: matriz de evaluación de idoneidad completada. Resumen de criterios seleccionados documentado en la carta de encargo. Confirmación escrita de la dirección.

Paso 4: alcance y materia incluida

Los criterios cubrían conformidad técnica, documentación de pruebas y trazabilidad de componentes. La dirección pidió que se verificara también que el control interno sobre los procesos de cumplimiento fuera "sólido". Se valoró agregar la NIA-ES 315.32 como criterio secundario, pero eso habría convertido el encargo en una mezcla de cumplimiento y efectividad de controles, fuera del alcance inicial.

Nota de documentación: se comunicó a la dirección que la verificación del cumplimiento técnico seguiría Reglamento (UE) 2015/1186, y que la evaluación de la efectividad del control interno se trataría en un encargo separado.

Paso 5: documentación de la aceptación de criterios

La carta de encargo incluyó:

- Párrafo que cita Reglamento (UE) 2015/1186, párrafos 4 a 7 (especificaciones técnicas de radiadores de aluminio) - Tabla que asigna cada procedimiento de auditoría a un párrafo específico del criterio - Aclaración de que cualquier cambio regulatorio posterior a la aceptación requeriría enmienda

Nota de documentación: carta de encargo firmada por la dirección. Copia en el archivo de aseguranza. Documento del manual interno archivado como anexo de evidencia operativa, no como criterio.

---

Qué revisores y profesionales confunden

Hallazgo de revisión NIASA frecuente: muchas encomiendas carecen de criterios documentados de forma explícita. En la revisión NIASA de 2022, en torno al 34% de los papeles examinados no incluían un párrafo que citara los criterios aplicables. El usuario previsto, sin ese párrafo, interpreta la conclusión bajo supuestos que el auditor no formuló.

Error de aplicación frecuente: los auditores aceptan criterios internos de la entidad (un manual de buenas prácticas, una política corporativa) sin validar que sean apropiados. La NIA-ES 3000.13(d) exige que los criterios sean apropiados, lo que significa aceptados por los usuarios previstos como medida válida. Una política interna puede ser clara, pero si no se alinea con estándares externos reconocidos, no es apropiada. Que un documento exista no lo convierte en criterio.

Brecha de documentación: muchos auditores aplican criterios múltiples (una ley, una norma técnica, una política interna) sin documentar cómo se reconcilian cuando producen conclusiones conflictivas. Si el reglamento exige X y la norma técnica exige Y, ¿cuál prevalece? Esa jerarquía debe quedar fijada antes de aceptar el encargo.

---

El alegato: políticas internas como criterios

Tesis: las políticas internas de la dirección no son criterios apropiados para encargos de aseguranza sin validación externa, por mucho detalle operativo que aporten.

Pruebas: NIA-ES 3000.13(d) exige neutralidad. Un documento redactado por la entidad auditada, para el propio encargo de aseguranza, falla la prueba de neutralidad por construcción. El párrafo no admite excepción cuando el manual está bien redactado o cuando la dirección lo defiende con vehemencia. La neutralidad es un atributo binario: o el criterio fue redactado por un tercero con autoridad técnica reconocida, o no lo fue.

Contraargumento: la dirección argumenta que los criterios internos son los únicos que reflejan la realidad operativa de la entidad. Los reglamentos europeos son de alto nivel y dejan huecos. El manual interno los llena con detalle de proceso que el inspector externo necesita para entender el cumplimiento real.

Refutación: "apropiado" en NIA-ES 3000.13(d) significa aceptado por los usuarios previstos como medida válida. Los usuarios previstos en encargos de aseguranza suelen ser externos: reguladores, inversores, contrapartes en una operación. Esos usuarios no reconocen un manual interno como medida válida porque no tienen forma de verificar su independencia. El detalle operativo del manual puede entrar en los papeles como evidencia de que la entidad implanta controles, pero no como vara para medir el cumplimiento. Confundir las dos cosas equivale a aceptar que el medido fabrique la regla.

Veredicto: el manual interno es documentación de soporte, no criterio. La carta de encargo cita el reglamento externo. El manual entra como anexo. Si la dirección no acepta esa distinción, el encargo no puede aceptarse en los términos planteados.

---

Desacuerdo legítimo entre socios

Este punto está en discusión real entre profesionales. Conviene nombrar las dos posiciones tal como las he oído defender.

El Socio A acepta el manual interno de la dirección como criterio complementario porque aporta detalle operativo que el reglamento no especifica, y porque considera que rechazarlo de plano genera fricción comercial sin mejorar la calidad técnica del informe. Su razonamiento: el reglamento europeo y el manual interno se pueden leer como capas, no como alternativas, siempre que la jerarquía quede documentada y el manual no contradiga el reglamento.

El Socio B rechaza cualquier criterio de origen interno porque considera que comprometer la neutralidad en la fase de selección de criterios contamina todo el encargo posterior. Su razonamiento: la independencia del auditor empieza en la definición de la vara de medir, no en la ejecución de los procedimientos. Si la dirección redacta parte de la vara, la conclusión pierde valor de aseguranza para cualquier usuario previsto que no sea la propia dirección.

Ambas posiciones tienen base técnica. La práctica del despacho debe fijar cuál sigue.

Hay un incentivo perverso que hace este desacuerdo más interesante de lo que parece: muchos despachos aceptan criterios débiles porque empujar contra la dirección pone en riesgo el encargo, y un encargo con criterios flojos sigue facturando, mientras que la negativa a aceptar el encargo no factura nada. El socio necesita el cliente. La calidad del criterio es lo primero que cede.

---

Insight no obvio

El criterio no es un punto de partida técnico. Es la primera negociación comercial del encargo, y la posición que el auditor ocupe en esa negociación determina cuánto valor tendrá la conclusión final, mucho antes de que se escriba un solo procedimiento.

---

Criterios vs. procedimientos de auditoría

La distinción es necesaria. Los criterios responden a la pregunta "¿contra qué medimos?". Los procedimientos responden a "¿cómo verificamos el cumplimiento con esos criterios?".

Un criterio podría ser "Reglamento (UE) 2015/1186 párrafo 7.2 exige que el coeficiente de transferencia de calor sea menor que 2,0 W/(m²·K)".

Un procedimiento de auditoría podría ser "solicitar certificados de prueba de los tres últimos lotes de producción, verificar que las pruebas las realizó un laboratorio acreditado según ISO 17025, y comparar los resultados con el umbral de 2,0".

Un error frecuente es confundir un procedimiento con un criterio. Si un auditor escribe que su criterio es "realizar pruebas de laboratorio acreditadas", ha confundido el método con la medida. El criterio es el valor umbral. El procedimiento es cómo se verifica que se cumple ese umbral.

---

Términos relacionados

- Sujeto de la encomienda (matter subject to assurance): la cosa que está siendo auditada (cuentas anuales, datos de emisiones, conformidad normativa, efectividad de controles internos). - Usuario previsto (intended user): la persona u organización que dependerá de la conclusión de aseguranza para tomar una decisión. Los usuarios previstos deben poder evaluar si los criterios son apropiados para sus necesidades. - Información sobre la materia (subject matter information): los datos u observaciones reales sobre el sujeto que el auditor recopila durante el encargo. - Aceptación de un encargo (engagement acceptance): el proceso de determinar si los criterios, el sujeto y los usuarios previstos son claros y apropiados antes de aceptar el trabajo.

---

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.