La NIA-ES 315.A127 establece que el auditor debe identificar los riesgos de incorrección material que surgen del uso de tecnologías complejas o emergentes. Los criptoactivos combinan ambos aspectos: tecnología blockchain compleja y un mercado aún emergente desde la perspectiva contable.
Índice
Marco normativo: qué exigen las NIA-ES
La NIA-ES 315.A127 establece que el auditor debe identificar los riesgos de incorrección material que surgen del uso de tecnologías complejas o emergentes. Los criptoactivos combinan ambos aspectos: tecnología blockchain compleja y un mercado aún emergente desde la perspectiva contable.
Aplicación de la NIA-ES 500 a activos digitales
La NIA-ES 500.6 define la evidencia de auditoría como información que corrobora las afirmaciones de la dirección. Para los criptoactivos, estas afirmaciones incluyen:
La dificultad surge porque los criptoactivos no tienen confirmaciones bancarias tradicionales ni certificados físicos. La evidencia de propiedad radica en el control de las claves criptográficas.
Controles internos bajo la NIA-ES 315
La NIA-ES 315.23 requiere que el auditor obtenga conocimiento de los controles internos relevantes para la auditoría. En el caso de criptoactivos, los controles críticos incluyen:
- Existencia: Los tokens existen y son accesibles en la fecha del balance
- Derechos: La entidad controla las claves privadas que permiten el acceso
- Valoración: El importe registrado refleja el valor razonable a fecha de cierre
- Clasificación: La presentación como inversión a corto plazo, largo plazo o equivalente de efectivo es apropiada
- Segregación de funciones: Separación entre quien autoriza transacciones y quien custodia claves
- Autorización: Límites y aprobaciones para compras, ventas y transferencias
- Custodia segura: Protocolos para almacenar claves privadas (hardware wallets, cold storage, multi-signature)
- Conciliación: Procedimientos para verificar saldos en blockchain contra registros contables
Riesgos específicos de auditoría
Los criptoactivos presentan riesgos que no existen en activos tradicionales:
Riesgo de existencia ficticia
Una transferencia aparentemente válida puede dirigirse a una wallet controlada por la misma entidad. Sin acceso independiente a la blockchain o confirmación de terceros, el auditor podría aceptar como evidencia lo que es, en realidad, una transferencia circular.
Riesgo de pérdida permanente
A diferencia de una cuenta bancaria bloqueada, donde el banco conserva el registro, una clave privada perdida hace inaccesibles los fondos de forma permanente. La dirección puede desconocer la pérdida hasta intentar una transferencia.
Riesgo de valoración
Los mercados de criptomonedas operan 24/7 con alta volatilidad. Un Bitcoin cotizado a 45.000 euros el 31 de diciembre puede valer 38.000 euros el 2 de enero cuando se obtiene la confirmación de saldo.
Riesgo de presentación inadecuada
Los tokens pueden clasificarse incorrectamente. Un token de utilidad usado en el negocio no es una inversión financiera. Un stablecoin puede aproximarse a un equivalente de efectivo, mientras que el Bitcoin especulativo es claramente una inversión.
Procedimientos de confirmación para criptoactivos
La NIA-ES 505.7 requiere que las confirmaciones externas se dirijan a la parte apropiada. Para criptoactivos, esto plantea retos únicos.
Confirmaciones con exchanges
Cuando la entidad mantiene criptoactivos en un exchange (Coinbase, Kraken, Binance), el procedimiento se asemeja a una confirmación bancaria:
Nota de documentación: Archivo PT-CRP-01, confirmaciones de exchanges con responses firmadas digitalmente
Verificación independiente en blockchain
Para wallets auto-custodiadas, el auditor puede verificar saldos directamente en la blockchain usando exploradores públicos (Blockchain.info, Etherscan). El procedimiento requiere:
Nota de documentación: PT-CRP-02, capturas de blockchain explorer con verificación de timestamp
Pruebas de control de claves privadas
La NIA-ES 500.A14 indica que la mera posesión de un documento no confirma derechos si terceros pueden tener documentos idénticos. Para criptoactivos, la prueba definitiva de control es la capacidad de firmar una transacción.
Procedimiento recomendado:
- Solicitar confirmación directamente al exchange
- Incluir saldos de todas las criptomonedas, no solo las de mayor valor
- Obtener detalle de transacciones pendientes o bloqueadas
- Verificar que la dirección de email de la entidad en el exchange coincide con registros internos
- Obtener las direcciones de wallet de la entidad
- Verificar el saldo en blockchain a fecha de cierre
- Confirmar que la entidad controla la clave privada mediante firma de mensaje
- Documentar screenshots con timestamp para evidencia
- Solicitar que la entidad firme un mensaje con texto específico del auditor
- Verificar la firma criptográficamente usando herramientas públicas
- Confirmar que la dirección firmante coincide con los saldos verificados
- Documentar el proceso completo con capturas de pantalla
Ejemplo práctico: auditoría paso a paso
Entidad: Inversiones Tecnológicas Mediterráneas S.L., Valencia
Actividad: Trading de criptomonedas y consultoría blockchain
Criptoactivos al 31/12/2023: 1.850.000 euros
Composición: 3,2 BTC (156.000€), 45 ETH (94.000€), 1.600.000 euros en stablecoins USDT
Paso 1: Identificación de riesgos de auditoría
Documentar en PT-CRP-00: matriz de riesgos específicos
Aplicando la NIA-ES 315.31, identificamos:
Paso 2: Evaluación de controles internos
Documentar en PT-CRP-03: evaluación de controles sobre criptoactivos
La entidad mantiene:
Conclusión: Controles bien diseñados, pero efectividad operativa requiere pruebas.
Paso 3: Confirmación de saldos con terceros
Documentar en PT-CRP-04: confirmaciones externas
Para los 1.600.000€ en USDT mantenidos en Coinbase Pro:
Paso 4: Verificación independiente en blockchain
Documentar en PT-CRP-05: verificación blockchain independiente
Para BTC en custodia propia (wallet bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh):
Paso 5: Prueba de control de claves privadas
Documentar en PT-CRP-06: pruebas de control de claves
Mensaje solicitado: "Auditoría ITM 2023 - Confirmación clave privada - 05012024"
Paso 6: Procedimientos de valoración
Documentar en PT-CRP-07: procedimientos de valoración
Conforme a la NIIF 9.B5.2.1, los criptoactivos se clasifican como activos financieros a valor razonable:
Conclusión: Los procedimientos proporcionan evidencia suficiente y adecuada conforme a la NIA-ES 500.6. Los saldos están correctamente presentados y valorados.
- Riesgo alto en existencia por custodia propia de claves
- Riesgo medio en valoración por volatilidad de BTC y ETH
- Riesgo bajo en valoración de USDT por ser stablecoin
- Hardware wallets Ledger para almacenamiento en frío
- Política de multi-signature 2-of-3 para cantidades superiores a 50.000€
- Conciliación semanal entre saldos en blockchain y contabilidad
- Segregación: CEO autoriza, CFO ejecuta, controlador concilia
- Enviada solicitud de confirmación directa a Coinbase
- Respuesta confirmó saldo de 1.598.432 USDT al 31/12/2023
- Diferencia de 1.568€ corresponde a fees pendientes de contabilizar
- Saldo verificado en blockchain.info: 3,200000000 BTC
- Screenshot tomado el 02/01/2024 mostrando saldo al 31/12/2023
- Valoración: 3,2 BTC × 48.750€ = 156.000€ (cotización CoinGecko 31/12)
- Mensaje firmado digitalmente por la entidad
- Firma verificada usando herramienta bitcoin-message-tool
- Dirección confirmada: bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh
- Control de privada confirmado sin excepciones
- BTC: Precio de cierre 31/12/2023 en CoinGecko EUR: 48.750€
- ETH: Precio de cierre 31/12/2023 en CoinGecko EUR: 2.088€
- USDT: Paridad 1:1 con USD, tipo de cambio EUR/USD: 0,9065
Lista de verificación práctica
Use esta lista en sus encargos actuales:
Lo más importante: Los criptoactivos requieren evidencia de auditoría específica que no puede obtenerse mediante procedimientos tradicionales. La verificación independiente en blockchain es indispensable para formar una opinión adecuada.
- Obtener detalle completo de tenencias - Solicitar listado de todas las wallets y exchanges, incluyendo direcciones públicas y saldos según libros (NIA-ES 500.A1)
- Confirmar saldos en exchanges - Enviar confirmaciones directas usando formatos estándar adaptados para criptoactivos (NIA-ES 505.7)
- Verificar control de claves privadas - Para wallets auto-custodiadas, obtener prueba criptográfica de control mediante firma de mensaje (NIA-ES 500.A14)
- Validar valoración independiente - Obtener cotizaciones de múltiples fuentes (CoinGecko, CoinMarketCap) a fecha de cierre (NIIF 13.67)
- Evaluar clasificación contable - Verificar si los tokens son inversiones, inventario, o activos intangibles según su función (NIC 2.6, NIC 38.8)
- Documentar procedimientos de cut-off - Revisar transacciones una semana antes y después del cierre para asegurar registro en periodo correcto (NIA-ES 500.A16)
Errores comunes
- Aceptar capturas de pantalla del cliente como evidencia suficiente - Las interfaces pueden manipularse fácilmente. Obtener verificación independiente siempre.
- No probar el control de claves privadas - Un saldo visible en blockchain no confirma que la entidad puede acceder a los fondos sin prueba de control de la principal.
- Usar una sola fuente de valoración - Los precios varían de forma notable entre exchanges. La NIIF 13 requiere usar datos de mercado representativos.
- No documentar la metodología de verificación en blockchain: El auditor debe registrar qué explorador de blockchain utilizó, la fecha y hora de la consulta, y cómo verificó que la dirección corresponde a la entidad, conforme a la NIA-ES 230.8.
Contenido relacionado
- Calculadora de materialidad NIA-ES 320 - Determine umbrales apropiados para procedimientos adicionales en carteras de criptoactivos con alta volatilidad
- Glosario: Evidencia de auditoría - Comprenda qué es evidencia suficiente y adecuada bajo la NIA-ES 500 para activos no tradicionales
- Kit de confirmaciones externas NIA-ES 505 - Plantillas adaptadas para confirmaciones con exchanges y proveedores de servicios cripto