Contenido

Los hallazgos del AFM y por qué ocurren

Hallazgo 1: Evaluación de riesgos genérica sin conexión con el cliente


Qué encontró el AFM: Matrices de riesgo copiadas entre expedientes sin personalización para el cliente específico. La evaluación no considera las circunstancias particulares de la entidad ni los factores de riesgo identificados durante el conocimiento del cliente.
Por qué ocurre: Los equipos usan plantillas heredadas y no dedican tiempo suficiente a personalizar la evaluación para cada encargo. La presión temporal lleva a copiar la evaluación del año anterior sin actualizarla.
Cómo solucionarlo: Vincular cada factor de riesgo identificado con evidencia específica del cliente. Si identificas "presión sobre la dirección por cumplir expectativas", documenta qué expectativas (convenios de deuda, pronósticos públicos, objetivos de bonificación) y qué evidencia observaste (correspondencia bancaria, actas de consejo, contratos de incentivos).

Hallazgo 2: Respuestas globales insuficientes según NIA-ES 240.35


Qué encontró el AFM: Las respuestas globales al riesgo de fraude se limitan a frases genéricas como "mantener escepticismo profesional" sin procedimientos concretos. No documentan cómo dichas respuestas modifican la naturaleza, oportunidad y alcance de los procedimientos de auditoría.
Por qué ocurre: Los auditores malinterpretan las "respuestas globales" como declaraciones de intención en lugar de modificaciones procedimentales específicas. La NIA-ES 240.35 exige cambios concretos en el enfoque de auditoría.
Cómo solucionarlo: Documentar tres tipos de modificaciones: (1) asignación de personal con mayor experiencia a áreas de riesgo, (2) incremento del nivel de supervisión, y (3) incorporación de elementos impredecibles en la selección de procedimientos. Especificar quién, cuándo y cómo para cada modificación.

Hallazgo 3: Comunicación insuficiente con el equipo de auditoría


Qué encontró el AFM: Falta evidencia de que el socio responsable comunicó la susceptibilidad de las cuentas anuales a incorrecciones materiales debidas a fraude según exige NIA-ES 240.16. Los expedientes no documentan qué se comunicó, cuándo ni a quién.
Por qué ocurre: Los socios asumen que la comunicación informal durante las reuniones de planificación es suficiente. No comprenden que NIA-ES 240.16 exige documentación específica de esta comunicación.
Cómo solucionarlo: Crear una minuta específica de la reunión de comunicación del fraude. Documentar: (1) participantes presentes, (2) riesgos específicos comunicados, (3) enfoque del escepticismo profesional enfatizado, y (4) fecha y duración de la comunicación. Que todos los participantes firmen la minuta.

Hallazgo 4: Procedimientos de respuesta específicos inadecuados


Qué encontró el AFM: Los procedimientos diseñados para responder a riesgos identificados de fraude son idénticos a los procedimientos estándar de auditoría. No demuestran cómo el equipo modificó los procedimientos para abordar específicamente el riesgo de fraude evaluado.
Por qué ocurre: Los equipos no comprenden que NIA-ES 240.30 exige procedimientos diferentes a los que aplicarían si el riesgo fuera solo de error involuntario. Copian los procedimientos estándar sin adaptarlos al contexto del fraude.
Cómo solucionarlo: Para cada riesgo importante de fraude, diseñar procedimientos que aborden específicamente la intención dolosa. Si el riesgo es manipulación de ingresos, no solo verificar facturas (procedimiento estándar) sino también analizar patrones temporales de registro, inspeccionar correspondencia con clientes sobre disputas, y revisar ajustes manuales posteriores al cierre.

Hallazgo 5: Evaluación de los programas y controles antifraude


Qué encontró el AFM: Ausencia de evaluación sobre si la entidad ha implementado programas y controles antifraude, y si dichos controles son relevantes para la auditoría según NIA-ES 240.26. Los expedientes no documentan esta consideración.
Por qué ocurre: Los equipos se enfocan en identificar riesgos de fraude pero omiten evaluar cómo la entidad previene y detecta el fraude. No leen completo el párrafo NIA-ES 240.26 que establece esta obligación.
Cómo solucionarlo: Documentar una sección específica sobre programas antifraude del cliente. Evaluar: (1) existencia de código de conducta, (2) funcionamiento de líneas de denuncia, (3) programa de formación en fraude para empleados, (4) revisiones gerenciales específicas para detectar fraude, y (5) si alguno de estos controles es relevante para la auditoría de las cuentas anuales.

Ejemplo práctico: documentación completa de fraude

Cliente: Talleres Industriales Mediterráneos S.L., Valencia
Ingresos 2023: 8,4 millones de euros
Sector: Servicios de mantenimiento industrial
Particularidades: Contrato principal con cliente que representa 65% de ingresos, renovación anual en marzo

Paso 1: Identificación de factores de riesgo específicos


Los factores de riesgo identificados incluyen:
Documentación: Calcular y registrar el ratio de liquidez mensual. Obtener copia del convenio de crédito y marcar las cláusulas restrictivas. Anotar la fecha y participantes de las conversaciones con la dirección.

Paso 2: Comunicación al equipo de auditoría


El 15 de enero se realizó reunión específica sobre fraude con todos los miembros del equipo. Se comunicó:
Documentación: Minuta firmada por todos los participantes especificando los riesgos comunicados y el enfoque requerido.

Paso 3: Respuestas globales implementadas


Documentación: Actualizar la asignación de personal en el archivo permanente. Programar las revisiones del socio en el cronograma de trabajo.

Paso 4: Procedimientos de respuesta específicos


Para el riesgo de manipulación de ingresos:
Documentación: Crear matriz que vincule cada procedimiento específico con el riesgo de fraude que aborda. Documentar por qué cada procedimiento es apropiado para detectar fraude intencional.
Conclusión: La documentación demuestra una evaluación personalizada del riesgo de fraude, comunicación efectiva al equipo, respuestas globales específicas y procedimientos diseñados para detectar manipulación intencional. Un revisor puede seguir la lógica desde la identificación del riesgo hasta los procedimientos implementados.

  • Presión financiera: El convenio de crédito exige un ratio de liquidez mínimo de 1,25. A 30 de septiembre el ratio era 1,28, cerca del límite.
  • Oportunidad: El director general y el director financiero pueden anular controles de facturación sin supervisión adicional.
  • Racionalización: En conversaciones informales, la dirección expresó que "los bancos no comprenden la estacionalidad del negocio".
  • Riesgo específico de manipulación de ingresos cerca del cierre anual
  • Necesidad de escepticismo adicional en procedimientos de corte
  • Enfoque especial en asientos de diario manuales en diciembre
  • Personal: Asignar al gerente sénior (5 años experiencia) en lugar del gerente júnior inicialmente planificado
  • Supervisión: El socio revisará todos los papeles de trabajo de ingresos antes de la finalización
  • Impredecibilidad: Modificar las muestras de confirmaciones para incluir 15% de clientes pequeños seleccionados aleatoriamente
  • Analizar ingresos mensuales para identificar patrones inusuales en diciembre
  • Inspeccionar el 100% de los asientos de diario de ingresos superiores a 15.000 euros en diciembre
  • Revisar correspondencia con el cliente principal sobre facturación disputada
  • Confirmar saldos con el cliente principal usando procedimientos de confirmación modificados

Lista de verificación práctica

  • Evalúa factores de riesgo específicos del cliente: Vincular cada factor identificado con evidencia concreta del expediente (estados financieros, actas, contratos). No usar evaluaciones genéricas copiadas de otros encargos.
  • Documenta la comunicación del fraude según NIA-ES 240.16: Crear minuta específica con participantes, fecha, riesgos comunicados y enfoque del escepticismo profesional. Que todos los participantes firmen la minuta.
  • Implementa respuestas globales concretas según NIA-ES 240.35: Especificar modificaciones en personal, supervisión e impredecibilidad. Documentar quién, cuándo y cómo para cada modificación implementada.
  • Diseña procedimientos específicos para fraude: Crear procedimientos diferentes a los estándar que aborden la intención dolosa, no solo el error. Vincular cada procedimiento con el riesgo específico que detecta.
  • Evalúa los programas antifraude del cliente: Documentar si la entidad tiene controles antifraude y si alguno es relevante para la auditoría según NIA-ES 240.26.
  • La evaluación del riesgo de fraude debe ser específica para este encargo: Si copias texto de otro expediente, no cumples NIA-ES 240. Cada evaluación debe reflejar las circunstancias únicas del cliente.

Errores comunes

  • Usar la misma evaluación en múltiples clientes: El AFM identifica inmediatamente las evaluaciones copiadas. Cada cliente tiene factores de riesgo únicos que deben documentarse específicamente.
  • Omitir la comunicación formal al equipo: Datos internacionales muestran que el 73% de las deficiencias en fraude incluyen comunicación insuficiente. La reunión informal no cumple NIA-ES 240.16.
  • Confundir respuestas globales con declaraciones de intención: Escribir "mantener escepticismo profesional" no es una respuesta global. NIA-ES 240.35 exige modificaciones concretas en los procedimientos.
  • No evaluar los programas antifraude del cliente: La NIA-ES 240.26 obliga al auditor a considerar si la entidad tiene controles para prevenir y detectar fraude; omitir esta sección es una de las deficiencias más frecuentes en inspecciones del AFM

Contenido relacionado

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.