Por: Equipo Auditool
NIA 315 (Revisada 2021) – Evaluación del riesgo y entendimiento del control interno
Potenciar el entendimiento del entorno, procesos y riesgos para diseñar auditorías más efectivas y relevantes
Muchos auditores creen que entienden el negocio de su cliente solo porque leen los estados financieros, revisan una matriz de riesgos o escuchan la presentación anual de la gerencia.
Pero la NIA 315 (Revisada 2021) exige mucho más que eso: demanda un conocimiento profundo del modelo de negocio, del entorno y de los procesos, porque sin esa comprensión no existe auditoría basada en riesgos, sino una auditoría mecánica que se repite año tras año.
Este artículo plantea una pregunta incómoda que todo auditor debería hacerse:
¿Conozco realmente cómo funciona el negocio o solo comprendo el balance y el estado de resultados?
La respuesta define la calidad del trabajo.
🧭 1. Entender el negocio NO es opcional: es la base de toda auditoría
La NIA 315 es clara: el auditor debe obtener conocimiento suficiente del negocio y de su entorno para identificar riesgos de incorrección material.
Esto implica:
-
Comprender cómo gana dinero la empresa.
-
Identificar su exposición a riesgos internos y externos.
-
Reconocer los controles relevantes que mitigan esos riesgos.
-
Conectar ese entendimiento con la estrategia de auditoría.
El problema es que muchos auditores se quedan en la superficie.
Visitan al cliente, toman notas, revisan políticas… pero no capturan la esencia del negocio.
🏭 2. “Cuéntame el proceso, no la norma”: el error común del auditor tradicional
Muchos auditores trabajan desde la norma hacia el cliente, cuando debería ser al revés.
La NIA 315 (Revisada 2021) enfatiza el enfoque top-down, comenzando por:
-
Entender el negocio
-
Entender los procesos
-
Identificar riesgos
-
Evaluar controles relevantes
-
Determinar respuestas de auditoría
Pero en la práctica, muchos auditores:
-
Preguntan por el plan de cuentas, pero no por la cadena de valor.
-
Conocen los saldos contables, pero no los puntos críticos del proceso.
-
Revisan flujos financieros, pero no los riesgos operativos que originan errores.
El resultado:
Una auditoría que detecta errores… pero no sus causas.
🌍 3. El entorno lo cambia todo (y más en Latinoamérica)
La NIA 315 pide entender:
-
Entorno económico
-
Entorno regulatorio
-
Entorno tecnológico
-
Competencia
-
Factores sociales y de mercado
En Latinoamérica estos factores pueden volverse fuentes de riesgo significativas:
-
Inflación que distorsiona precios y provisiones.
-
Cambios regulatorios constantes.
-
Cadena de suministro frágil.
-
Trabajo informal que altera estimaciones.
-
Altas tasas de interés que afectan liquidez.
-
Devaluaciones que impactan pasivos y coberturas.
El auditor que no integra el entorno en su evaluación de riesgos está ciego ante los riesgos más relevantes.
🔄 4. Los procesos hablan… si el auditor los observa
La NIA 315 (Revisada 2021) exige realizar procedimientos de evaluación de riesgos más robustos, incluyendo:
✔ Observación
Ver cómo se ejecutan las actividades clave (no solo cómo dicen que se ejecutan).
✔ Indagación profunda y estratégica
Preguntas que revelen:
-
Dependencias críticas.
-
Puntos de falla.
-
Controles que existen “en teoría”, pero no en la práctica.
✔ Recorridos (“walkthroughs”)
Seguir una transacción desde el inicio hasta la contabilidad.
Es el método más poderoso para descubrir riesgos reales, no riesgos teóricos.
✔ Exploración de TI y sistemas
Comprender cómo la tecnología procesa datos, quién tiene acceso, y qué controles automáticos existen.
Los walkthroughs y análisis de controles revelan la verdad que muchas direcciones ocultan o desconocen.
🛑 5. Los riesgos significativos NO siempre están en los números
La NIA 315 diferencia entre riesgos significativos y riesgos de negocio.
Muchos riesgos significativos se originan fuera de los estados financieros:
-
Un proceso de ventas sin segregación de funciones.
-
Un proveedor tecnológico sin controles de seguridad.
-
Un cálculo manual complejo sin doble revisión.
-
Un control automático que todos asumen que funciona, pero nadie prueba.
-
Ingresos reconocidos sin evidencia sólida.
Comprender el negocio no es un requisito documental; es la única forma de identificar riesgos reales.
🛡 6. ¿Y los controles internos? No todos importan… pero algunos valen oro
La NIA 315 actualizada pide identificar controles relevantes, especialmente:
-
Controles automáticos clave del sistema.
-
Controles sobre estimaciones significativas.
-
Controles sobre la presentación y revelación.
-
Controles preventivos sobre transacciones críticas.
-
Controles de acceso y segregación en TI.
El auditor no debe documentar “todos los controles”, sino solo los que impactan el riesgo de incorrección material.
Es un cambio mental importante.
🧠 7. El juicio profesional define la calidad del enfoque
La NIA 315 es una norma técnica, pero su aplicación depende del criterio del auditor.
Buenas prácticas que diferencian a un auditor promedio de uno sobresaliente:
-
Preguntar “¿por qué?” más veces de lo cómodo.
-
Ir a planta, no quedarse en la sala de reuniones.
-
Revisar datos de mercado y no depender solo de la gerencia.
-
Documentar riesgos específicos del negocio, no riesgos genéricos.
-
Conectar cada riesgo con un control o con una respuesta de auditoría.
-
Actualizar la matriz de riesgos cada vez que cambia la operación.
El auditor que comprende el negocio, diseña auditorías efectivas.
El que solo mira el balance, repite procedimientos sin agregar valor.
🔚 **Conclusión:
Para evaluar riesgos, primero debes entender la historia que los genera**
La NIA 315 (Revisada 2021) recuerda que la auditoría no empieza en los estados financieros, sino en los procesos, la estrategia y el entorno.
Si el auditor no entiende:
-
qué hace la empresa,
-
cómo lo hace,
-
quién lo hace,
-
con qué controles,
-
y en qué entorno compite…
entonces no puede evaluar riesgos de forma adecuada.
Conocer el negocio no es un lujo.
Es la esencia de la auditoría basada en riesgos.
Y luego Agregar a la pantalla de inicio.