Iban Porta: “Cuanto más conozcas lo que auditas, mejor será la auditoría”
26.11.2025. La NIA 315 es una norma básica de auditoría que resulta imprescindible para llevar a cabo un trabajo riguroso. Ante su reciente revisión, el auditor y socio de Práctica Profesional de Auditoría en KPMG, Iban Porta, repasa las principales implicaciones de esta NIA para la profesión, como la identificación de riesgos y la adaptación de la auditoría a cada uno de ellos, una cuestión donde cobra una gran importancia el conocimiento de la entidad que se está auditando. “Todo el mundo sabe que, cuanto más conozca el auditor lo que está auditando, mejor será la auditoría. Podrá identificar mejor los riesgos y podrá diseñar pruebas que están más adaptadas”, explica Porta.
¿Cómo impacta la NIA 315 en la práctica diaria de los auditores?
Creo que con la NIA 315 ya tenemos que hablar en pasado, porque llevamos unos cuantos años aplicándola. Eso significa que ya tenemos perspectiva, ahora estamos en la fase de implementación y, en la práctica, vemos qué funciona mejor y qué podemos evitar. Pone énfasis en el escepticismo profesional, en la idea de que el auditor tiene que diseñar los procedimientos de una forma no sesgada para obtener evidencia confirmatoria. O sea, buscar pruebas de una forma más amplia para encontrar las que pueden afirmar o contradecir lo que hay en los estados financieros. El auditor ha de ser escéptico en todo momento en el proceso de auditoría, hacer un challenge a lo que se está encontrando.
¿Qué desafíos están encontrando los equipos de auditoría en la implementación de esta norma revisada?
Es importante que la documentación refleje el trabajo que hemos hecho, ese esfuerzo intelectual de ser escépticos, para que aquella gente que nos revise efectivamente entienda lo que hemos hecho y entienda cómo hemos llegado a las conclusiones a las que hemos llegado. Creo que esta es la razón de ser fundamental que hay en la necesidad de cambiar la norma. También ha habido la necesidad de incorporar cosas nuevas al proceso de identificación y valoración de riesgos, sobre todo en la parte de la tecnología. Tenemos que entender cómo las tecnologías de la información (IT) afectan al modelo de negocio de la compañía.
“El auditor ha de ser escéptico en todo momento en el proceso de auditoría, hacer un ‘challenge’ a lo que se está encontrando”
¿Cómo influye la IT en el modelo de negocio de las empresas y en el trabajo de los auditores?
Por ejemplo, dos empresas que tengan la misma actividad no van a ser iguales si una utiliza más IT que otra, y las pruebas que hagamos los auditores tampoco deberían parecerse si hemos sido capaces de entender este modelo y cómo influye la IT en el modelo de negocio. Hay muchos más requisitos de entendimiento de las tecnologías de la información y cómo influyen en la preparación de información financiera. Se han incorporado a la norma una serie de conceptos que los auditores de IT ya tenían, pero que ahora ya están explícitos, como la identificación de capas de tecnología, la identificación de riesgos derivados de las IT, requisitos de testeo de los controles generales...
¿Y en relación con la valoración de riesgos?
En la valoración de riesgos hay algunas novedades, como la valoración de la probabilidad y la magnitud en base a unos factores de riesgo inherente, es decir, cómo son de susceptibles las afirmaciones que hacemos a las incorrecciones. El concepto de clase de transacciones significativas, saldos y cuentas nos permite ayudarnos a acotar dónde están las incorrecciones. Hay un requisito que ya está explícito: nuestra evaluación de riesgo ha de evaluar de forma separada el riesgo de control y el riesgo inherente, y de esa forma acabamos teniendo un riesgo combinado.
“Dos empresas que hagan la misma cosa no van a ser iguales si una hace más IT que otra, y las pruebas que hagamos los auditores tampoco deberían parecerse”
¿Cómo se detecta la existencia de un riesgo significativo?
Con respecto a eso, también se ha cambiado la definición de riesgo significativo, que era un poco peculiar, porque decía algo así como que era el riesgo que el auditor considera que merece una atención especial. Ahora lo que dice es que son aquellos riesgos que están en el punto más alto del espectro de riesgo, lo cual encaja mejor con todo el resto de la norma: ponemos todos los riesgos en fila y, los que estén arriba, van a ser los significativos. En la norma ha habido aclaraciones sobre qué controles debemos testear a efectos de diseño e implementación, y eso está muy bien. Tenemos que evaluar si las pruebas que vamos a diseñar proporcionan evidencia suficiente, y ya se reconoce que hay determinadas situaciones en las que las pruebas sustantivas por sí solas no van a ser suficientes para obtener toda la evidencia que necesitamos, con lo que no nos queda más remedio que testear la eficacia operativa de los controles. Y luego está el requisito de hacer un stand back: una vez terminada la evaluación de riesgos, miramos atrás para ver si hay alguna porción en los estados financieros que todavía podría contener algún riesgo que no hemos identificado.
¿Cómo impactan todos estos cambios en el trabajo un auditor?
Los cambios dependerán un poco de lo que han estado haciendo los auditores anteriormente, qué metodología seguían, etc. Lo que se encuentran ahora es un requisito de forma explícita de un entendimiento de la entidad que, de alguna forma, ya tenían que tener: no podemos diseñar pruebas si previamente no sabemos qué riesgos estamos cubriendo (la NIA 315 va delante de la NIA 330). Creo que lo que han notado los auditores principalmente es que los requisitos de documentación en la parte de identificación y valoración de riesgos han crecido, porque ahora tenemos que dejar una constancia muy clara de todo este proceso.
“No podemos diseñar pruebas si previamente no sabemos qué riesgos estamos cubriendo”
¿Por qué es tan relevante el concepto de “afirmaciones” dentro del proceso de auditoría?
El concepto de afirmaciones tiene muchísima tradición en auditoría: es la idea de que los estados financieros tienen que cumplir una serie de condiciones para reflejar la imagen fiel de una entidad. Es un marco intelectual que los auditores tenemos asumido desde hace muchos años: sabemos que determinadas pruebas cubren unas afirmaciones, pero no otras, y por eso las afirmaciones son el marco en el que diseñamos las pruebas. La 315 nos dice que tenemos que identificar las afirmaciones, qué riesgo las ataca y por qué creemos que una afirmación puede no estarse cumpliendo. Es cierto que tenemos que identificar las afirmaciones según la norma, pero la misma norma también dice que podemos expresarlas de otra forma.
¿De qué otra forma?
Las afirmaciones pueden tratarse como un subproducto de la identificación de riesgos: el concepto relevante en la norma es el riesgo, y cada riesgo está ligado a determinadas afirmaciones, pero, a la hora de diseñar las pruebas, el riesgo es mucho más interesante que las afirmaciones porque es mucho más específico. En lugar de decir, en genérico, que en las ventas de una empresa hay un problema de exactitud, puedo decir que en la entidad existe un riesgo de que se estén produciendo incorrecciones en la facturación debido a la determinación del precio en base a cláusulas contractuales complejas que tengo en una determinada línea de ventas. Al haber acotado más el riesgo, eso me va a permitir diseñar pruebas más enfocadas específicamente al riesgo que quiero cubrir. Con lo cual, si yo identifico los riesgos, las afirmaciones me van a venir por sí solas.
“Si yo identifico los riesgos, las afirmaciones me van a venir por sí solas”
Para el público no especializado, ¿cómo explicarías la importancia de normas como la NIA 315 en la fiabilidad de la información financiera de las empresas?
Hay que tener presente que, a mayor conocimiento de la entidad y su entorno, más se enriquecen las conversaciones, tanto con la dirección como con los responsables de gobierno de una empresa. Todo el mundo sabe que, cuanto más conozca el auditor lo que está auditando, mejor será la auditoría. Podrá identificar mejor los riesgos y podrá diseñar pruebas que están más adaptadas. La idea de que la auditoría es una lista de pruebas iguales independientemente de lo que esté auditando quedó descartada hace muchísimo tiempo.
¿Se hace suficiente hincapié en la importancia de la auditoría para las empresas y la sociedad, más allá de las noticias que vinculan la auditoría a la identificación del fraude?
En los periódicos hace más ruido un árbol que cae que cien que crecen, pero lo cierto es que el error es una fuente de incorrecciones no despreciable. En la vida cotidiana nos equivocamos más sin querer que a propósito. Los mercados de capitales y sus decisiones se basan en la fiabilidad de la información financiera que se da y esos números pueden contener incorrecciones, pero la fuente de la incorrección no siempre tiene que ser el fraude, aunque los efectos de un fraude sean mucho más extensos por su magnitud e impacto en la confianza de los mercados. Los auditores tenemos que estar muy atentos a las incorrecciones, provengan de fraude o de error. Se ha visto que aquellas sociedades donde la economía está más desarrollada, donde los mercados de capitales son más sofisticados, son mercados donde hay confianza en los números, y eso es fundamental. El tráfico mercantil se basa en algún tipo de confianza, y la función del auditor es soportar y contribuir a esa confianza.
