Índice

- Marco normativo: qué exigen las NIA-ES - Riesgos específicos de auditoría - Procedimientos de confirmación para criptoactivos - Ejemplo práctico: auditoría paso a paso - Lista de verificación práctica - Errores comunes - Contenido relacionado

Marco normativo: qué exigen las NIA-ES

Vaya por delante que el marco existe. Lo que no existe es una adaptación específica para criptoactivos firmada por el ICAC o la CNMV con fuerza de norma. La NIA-ES 315.A127 dice que el auditor debe identificar los riesgos de incorrección material que surgen del uso de tecnologías complejas o emergentes, y los criptoactivos combinan ambos: una infraestructura técnica densa y un mercado contable todavía en pañales. En la práctica, el auditor está aplicando NIA-ES generalistas a un activo que los redactores de esas NIA-ES jamás tuvieron en la cabeza.

Aplicación de la NIA-ES 500 a activos digitales

La NIA-ES 500.6 define la evidencia de auditoría como información que corrobora las afirmaciones de la dirección. Para los criptoactivos, estas afirmaciones incluyen:

- Existencia: los tokens existen y son accesibles en la fecha del balance. - Derechos: la entidad controla las claves privadas que permiten el acceso. - Valoración: el importe registrado refleja el valor razonable a fecha de cierre. - Clasificación: la presentación como inversión a corto plazo, largo plazo o equivalente de efectivo es apropiada.

Aquí vive la primera trampa. Los criptoactivos no tienen confirmación bancaria tradicional ni certificado físico. La evidencia de propiedad radica en el control de las claves criptográficas, y el control de una privada no se puede confirmar con una llamada al banco del cliente. No hay banco. No hay llamada.

Controles internos bajo la NIA-ES 315

La NIA-ES 315.23 requiere que el auditor obtenga conocimiento de los controles internos relevantes. Para criptoactivos, los controles críticos incluyen:

- Segregación de funciones: separación entre quien autoriza transacciones y quien custodia claves. - Autorización: límites y aprobaciones para compras, ventas y transferencias. - Custodia segura: protocolos para almacenar claves privadas (hardware wallets, cold storage, multi-signature). - Conciliación: procedimientos para verificar saldos en blockchain contra registros contables.

En los encargos que he llevado, la conciliación es donde se cae la mitad de los clientes. Tienen el hardware wallet. Tienen la política en PDF. Lo que no tienen es un log firmado que muestre quién movió qué, cuándo y con qué aprobación. Eso son papeles flojos.

Riesgos específicos de auditoría

Los criptoactivos presentan riesgos que en activos tradicionales, sencillamente, no existen.

Riesgo de existencia ficticia

Una transferencia aparentemente válida puede dirigirse a una wallet controlada por la misma entidad. Sin acceso independiente a la blockchain o confirmación de un tercero con incentivos distintos, el auditor podría aceptar como evidencia lo que es, en realidad, una transferencia circular. El cliente te envía la TxID. Tú la ves en Etherscan. La wallet destino también es suya. Has validado nada.

Riesgo de pérdida permanente

No es una cuenta bancaria bloqueada donde el banco conserva el registro. Una privada perdida hace inaccesibles los fondos de forma permanente. La dirección puede desconocer la pérdida hasta que intenta una transferencia, y cuando la intenta ya es tarde para el periodo que estás auditando.

Riesgo de valoración

Los mercados de criptomonedas operan 24/7 con una volatilidad que en renta variable llamaríamos crash. Un Bitcoin cotizado a 45.000 euros el 31 de diciembre puede valer 38.000 euros el 2 de enero cuando obtienes la confirmación de saldo. La NIIF 13 te pide mercado principal, precio representativo, jerarquía de inputs. Los exchanges no cotizan el mismo precio al mismo segundo.

Riesgo de presentación inadecuada

Los tokens pueden clasificarse mal. Un token de utilidad usado en el negocio no es una inversión financiera. Un stablecoin puede aproximarse a un equivalente de efectivo, aunque con matices que MiCA apenas empieza a tocar. El Bitcoin especulativo es claramente una inversión. La NIC 38 lo trata como intangible salvo que se tenga para venta en el curso ordinario (NIC 2). La NIC 2 lo trata como inventario si eres un broker-trader. La NIIF 9 apenas aplica para el token en sí, aunque sí aplica para derivados con cripto subyacente. Esta matriz de clasificación es el segundo sitio donde aparecen papeles flojos.

Procedimientos de confirmación para criptoactivos

La NIA-ES 505.7 requiere que las confirmaciones externas se dirijan a la parte apropiada. Para criptoactivos, esto plantea retos únicos.

Confirmaciones con exchanges

Cuando la entidad mantiene criptoactivos en un exchange (Coinbase, Kraken, Binance), el procedimiento se parece a una confirmación bancaria pero no lo es del todo:

1. Solicitar confirmación directamente al exchange. 2. Incluir saldos de todas las criptomonedas, no solo las de mayor valor. 3. Obtener detalle de transacciones pendientes, bloqueadas o con retiradas suspendidas. 4. Verificar que la dirección de email de la entidad en el exchange coincide con los registros internos.

Nota de documentación: archivo PT-CRP-01, confirmaciones de exchanges con respuestas firmadas digitalmente.

Aviso del campo. Los exchanges responden. A veces. Con formatos distintos. En idiomas distintos. Sin timbre corporativo reconocible. Dos de los tres exchanges grandes con los que he trabajado responden desde dominios que no coinciden con su web comercial. Si uno lo da por bueno sin verificar el dominio, se está comiendo una circularización que no es circularización.

Verificación independiente en blockchain

Para wallets auto-custodiadas, el auditor puede verificar saldos directamente en la blockchain usando exploradores públicos (Blockchain.info, Etherscan). El procedimiento requiere:

1. Obtener las direcciones de wallet de la entidad. 2. Verificar el saldo en blockchain a fecha de cierre. 3. Confirmar que la entidad controla la privada mediante firma de mensaje. 4. Documentar capturas con timestamp como evidencia.

Nota de documentación: PT-CRP-02, capturas de blockchain explorer con verificación de timestamp.

Pruebas de control de claves privadas

La NIA-ES 500.A14 indica que la mera posesión de un documento no confirma derechos si terceros pueden tener documentos idénticos. Para criptoactivos, la prueba definitiva de control es la capacidad de firmar una transacción con la privada asociada a la dirección.

Procedimiento recomendado:

1. Solicitar que la entidad firme un mensaje con texto específico del auditor (incluir fecha y referencia del encargo). 2. Verificar la firma criptográficamente usando herramientas públicas. 3. Confirmar que la dirección firmante coincide con los saldos verificados. 4. Documentar el proceso completo con capturas y hash del mensaje firmado.

Aquí está el segundo insight que nadie quiere decir en voz alta. La auditoría de cripto no tiene un problema de herramientas. Tiene un problema de evidencia. Ningún algoritmo convierte una firma privada en confirmación bancaria. El que te venda esa equivalencia te vende un brindis al sol.

Ejemplo práctico: auditoría paso a paso

Entidad: Inversiones Tecnológicas Mediterráneas S.L., Valencia Actividad: trading de criptomonedas y consultoría blockchain Criptoactivos al 31/12/2023: 1.850.000 euros Composición: 3,2 BTC (156.000€), 45 ETH (94.000€), 1.600.000 euros en stablecoins USDT Custodia: 12 wallets auto-custodiadas en 3 cadenas (BTC, ETH, Polygon) más 2 cuentas en exchanges centralizados (Coinbase Pro y uno regional)

Identificación de riesgos de auditoría

Documentar en PT-CRP-00: matriz de riesgos específicos.

Aplicando la NIA-ES 315.31, identificamos:

- Riesgo alto en existencia por custodia propia de claves en 12 wallets. - Riesgo medio en valoración por volatilidad de BTC y ETH. - Riesgo bajo en valoración de USDT por ser stablecoin, matizado por el riesgo de contraparte del emisor. - Riesgo alto en concentración: 10% de las tenencias en un exchange regional con historial corto.

Evaluación de controles internos

Documentar en PT-CRP-03: evaluación de controles sobre criptoactivos.

La entidad mantiene:

- Hardware wallets Ledger para almacenamiento en frío. - Política de multi-signature 2-of-3 para cantidades superiores a 50.000€. - Conciliación semanal entre saldos en blockchain y contabilidad. - Segregación: CEO autoriza, CFO ejecuta, controlador concilia.

Conclusión: controles bien diseñados. La efectividad operativa requiere pruebas porque en los tres últimos encargos el papel decía multi-sig y la práctica era single-sig del CEO con el CFO mirando.

Confirmación de saldos con terceros

Documentar en PT-CRP-04: confirmaciones externas.

Para los 1.600.000€ en USDT mantenidos en Coinbase Pro:

- Enviada solicitud de confirmación directa a Coinbase. - Respuesta confirmó saldo de 1.598.432 USDT al 31/12/2023. - Diferencia de 1.568€ corresponde a fees pendientes de contabilizar.

Verificación independiente en blockchain

Documentar en PT-CRP-05: verificación blockchain independiente.

Para BTC en custodia propia (wallet bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh):

- Saldo verificado en blockchain.info: 3,200000000 BTC. - Captura tomada el 02/01/2024 mostrando saldo al 31/12/2023. - Valoración: 3,2 BTC × 48.750€ = 156.000€ (cotización CoinGecko 31/12).

Prueba de control de claves privadas

Documentar en PT-CRP-06: pruebas de control de claves.

Mensaje solicitado: "Auditoría ITM 2023 - Confirmación control privada - 05012024".

- Mensaje firmado digitalmente por la entidad. - Firma verificada usando herramienta bitcoin-message-tool. - Dirección confirmada: bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh. - Control de la privada confirmado sin excepciones.

Procedimientos de valoración

Documentar en PT-CRP-07: procedimientos de valoración.

Conforme a la NIIF 9.B5.2.1 (cuando la clasificación aplique), los criptoactivos se valoran a valor razonable con cambios en resultados:

- BTC: precio de cierre 31/12/2023 en CoinGecko EUR: 48.750€. - ETH: precio de cierre 31/12/2023 en CoinGecko EUR: 2.088€. - USDT: paridad 1:1 con USD, tipo de cambio EUR/USD: 0,9065.

La complicación real: el exchange regional congela retiradas

El 18 de enero, trabajo de campo en curso. El exchange regional donde la entidad mantiene 185.000€ en USDT (10% del total) suspende retiradas "por revisión operativa". La cuenta del cliente sigue visible en la interfaz. El saldo sigue ahí. Salir de ahí no se puede.

Tres opciones sobre la mesa:

a) Continuar la auditoría con mención como hecho posterior bajo NIA-ES 560, sin modificar opinión. b) Modificar la opinión por limitación al alcance sobre existencia y recuperabilidad de ese 10%. c) Renunciar al encargo.

Nuestro equipo discutió. El socio A defendía (a): el saldo está registrado, el exchange no ha quebrado formalmente, es hecho posterior que no ajusta. El socio B defendía (c): con un 10% del activo cripto ilíquido y sin visibilidad del exchange, la materialidad está comprometida y el riesgo reputacional no compensa. La decisión final fue (b): opinión con salvedad por limitación al alcance sobre ese 10%, manteniendo el encargo para el 90% restante donde la evidencia sí es suficiente y adecuada (NIA-ES 705.A10).

¿Por qué (b) y no (c)? Porque declinar a mitad del trabajo de campo con honorarios ya facturados exige algo más que sospecha: exige evidencia de que la entidad no está en condiciones de que se emita opinión. El 90% restante estaba, y sigue estando, limpio. Modificamos por limitación al alcance sobre la parte problemática y emitimos. Si el exchange quiebra formalmente en los dos meses siguientes, el informe de 2024 llevará hecho posterior que ajusta y deterioro pleno. Si no quiebra, tampoco habremos certificado algo que no podíamos verificar.

El alegato: por qué la mayoría de auditorías de cripto son bombas de relojería

Planteo el caso como alegato, no como resumen.

Tesis: auditar criptoactivos bajo el marco actual de NIIF y NIA-ES es una decisión binaria. O se declina el encargo, o se aplican procedimientos radicalmente reforzados. El punto medio produce bombas de relojería en el balance del cliente y papeles flojos en el archivo del auditor, y esa combinación es exactamente lo que la próxima inspección postcolapso del ICAC va a castigar.

Evidencia. Primera pata: la ausencia de fuentes fiables de evidencia para existencia, valoración y titularidad efectiva simultáneamente. La blockchain confirma existencia pero no titularidad. La firma de mensaje confirma control pero no exclusividad del control. Los exchanges confirman saldo pero no son depositarios regulados en sentido NIA-ES 505. Segunda pata: las advertencias de la CNMV (2021-2023) y los statements de ESMA sobre volatilidad y riesgo de custodia. Tercera pata: los colapsos de 2022-2024 (Luna, FTX, Celsius, bancos regionales expuestos a cripto) que dejaron tenedores de buena fe con saldos visibles en interfaces que nunca volverían a ser retirables.

Contraargumento. "MiCA entra en plena aplicación y las herramientas de analítica blockchain han madurado. El problema se resuelve solo."

Réplica. Dos puntos. Primero: las provisiones de MiCA relevantes para auditores se concentran en los CASP (proveedores de servicios de criptoactivos autorizados). Si el cliente auditado no es CASP sino una sociedad operativa que tiene cripto en balance, MiCA no resuelve el problema de evidencia. La sociedad sigue auto-custodiando. El auditor sigue sin confirmación bancaria. Segundo: las herramientas de analítica son dependientes del proveedor y no verifican el control de la privada. Chainalysis, Elliptic, TRM te dicen de dónde vino un token. No te dicen que tú controlas la wallet donde está hoy. Confundir trazabilidad con titularidad es exactamente el error que convierte una auditoría en brindis al sol.

Veredicto. La imagen fiel (art. 34 Código de Comercio) de unas cuentas con exposición material a cripto exige evidencia que el marco actual no permite obtener por vías ordinarias. O se diseña un procedimiento extraordinario (NIA-ES 620 con experto en blockchain, circularización reforzada a CASP, pruebas de control de con mensaje específico y hash, y verificación cruzada entre al menos dos fuentes de valoración independientes), o se declina. Aceptar el encargo sin el primero es firmar la propia salvedad futura.

Dos posturas defendibles en el socio director

Socio A: aceptar el encargo en clientes con exposición cripto inferior al 1% de las CCAA consolidadas o en clientes que sean CASP regulados, aplicando NIA-ES 620 con experto blockchain, circularización a custodios y tooling. Es manejable con honorarios adecuados y un protocolo firmado por el socio. Declinar todo es perder mercado en un segmento que va a crecer.

Socio B: declinar categóricamente hasta que la CNMV o el ICAC emitan guía específica de auditoría de criptoactivos con fuerza normativa. Tras el caso Grifols-KPMG y la inspección correspondiente, el riesgo reputacional de figurar en un expediente por una opinión defectuosa sobre cripto supera cualquier honorario razonable. Que otro se queme primero.

En mi caso, me inclino por una postura cercana a la del socio A, pero con una condición: el socio firmante tiene que conocer el tooling que usa el equipo, no solo confiar en el nombre del proveedor. La experiencia con "blockchain analytics" subcontratado es que el socio firma sin entender qué firma. Ese es el camino corto al expediente.

Lista de verificación práctica

Use esta lista en sus encargos actuales:

1. Obtener detalle completo de tenencias. Listado de todas las wallets y exchanges, direcciones públicas y saldos según libros (NIA-ES 500.A1).

2. Confirmar saldos en exchanges. Confirmaciones directas con verificación de dominio del remitente (NIA-ES 505.7).

3. Verificar control de claves privadas. Para wallets auto-custodiadas, prueba criptográfica de control mediante firma de mensaje con referencia del encargo (NIA-ES 500.A14).

4. Validar valoración cruzada. Cotizaciones de al menos dos fuentes (CoinGecko, CoinMarketCap) a fecha de cierre con reconciliación de diferencia (NIIF 13.67).

5. Evaluar clasificación contable. Verificar si los tokens son inversiones, inventario o intangibles según función y modelo de negocio (NIC 2.6, NIC 38.8).

6. Documentar procedimientos de cut-off. Revisar transacciones una semana antes y después del cierre para asegurar registro en periodo correcto (NIA-ES 500.A16).

Errores comunes

Contenido relacionado

- Calculadora de materialidad NIA-ES 320 - Determine umbrales apropiados para procedimientos adicionales en carteras de criptoactivos con alta volatilidad - Glosario: Evidencia de auditoría - Comprenda qué es evidencia suficiente y adecuada bajo la NIA-ES 500 para activos no tradicionales - Kit de confirmaciones externas NIA-ES 505 - Plantillas adaptadas para confirmaciones con exchanges y proveedores de servicios cripto

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.