Contenido

1. Por qué los expedientes de fraude acaban siendo un "marcar la casilla" 2. Lo que el AFM inspeccionó y lo que encontró 3. Riesgos específicos de fraude: procedimientos estándar donde debería haber procedimientos a medida 4. Asientos de diario y override de la dirección: donde más expedientes fallan 5. La imprevisibilidad que casi nadie documenta 6. Ejemplo práctico: Instalaciones Técnicas Levante S.L. 7. Lista de verificación para un expediente defendible 8. Errores que el AFM marca una y otra vez 9. Contenido relacionado

Por qué los expedientes de fraude acaban siendo un "marcar la casilla"

Desde mi punto de vista, el problema no es que los auditores desconozcan NIA-ES 240. Es que la sección de fraude compite por tiempo con todo lo demás en un encargo que ya va tarde, y pierde. El equipo tiene tres semanas para cerrar el archivo, los papeles de ingresos están flojos, el socio necesita el cliente renovado, y la sección de fraude se completa al final con una matriz de riesgos copiada del ejercicio anterior.

No es negligencia en el sentido técnico. Es una consecuencia predecible de cómo funcionan los encargos de auditoría en firmas medianas. Pero esas secciones de fraude incompletas son bombas de relojería: funcionan hasta que un regulador las abre o hasta que el fraude realmente ocurre.

NIA-ES 240 pide algo incómodo: que usted diseñe procedimientos para detectar el engaño intencionado de la misma dirección que le da información, le paga los honorarios y decide si le renueva el encargo. La norma asume que el auditor puede sostener esa tensión sin que afecte a la calidad del trabajo. Lo que realmente ocurre es que la tensión se resuelve en favor de la relación comercial, y la sección de fraude se convierte en documentación retrospectiva de lo que se hubiera hecho de todas formas.

Reguladores de toda Europa y más allá llevan años diciendo lo mismo en lenguajes distintos: el AFM, el ICAC, el FRC en el Reino Unido, la PCAOB en Estados Unidos. Pero creo que el patrón persiste porque no es un problema de formación. Es un problema estructural que la formación, por sí sola, no resuelve.

Dicho esto, hay cosas concretas que sí se pueden mejorar dentro de las limitaciones de tiempo y presupuesto reales de un encargo. El resto de este artículo se centra en eso.

Lo que el AFM inspeccionó y lo que encontró

En enero de 2025, el informe del AFM "Insufficient audit procedures in response to fraud risks" examinó 32 auditorías legales de ejercicios 2022 y 2023 en 13 firmas de auditoría. Doce auditorías correspondían a firmas EIP; las 20 restantes, a firmas regulares (no EIP). Para cada auditoría, el AFM seleccionó al menos dos riesgos de fraude: el obligatorio de elusión de controles por la dirección (management override), más al menos un riesgo específico del cliente.

Dato central: 23 de 32 auditorías contenían uno o más hallazgos donde el auditor no obtuvo evidencia suficiente y adecuada para responder a los riesgos de fraude identificados. Quince de esas 32 tenían más de dos hallazgos. Solo nueve auditorías no tenían hallazgos.

En firmas no EIP la situación era peor. Diecisiete de 20 auditorías tenían hallazgos. En firmas EIP, seis de 12, aunque el AFM señaló que el número variaba entre las tres firmas EIP inspeccionadas.

Este informe continúa la publicación del AFM de junio de 2023, "More attention for fraud risks!", que se centraba en la calidad del análisis de riesgos de fraude en sí. El informe de 2025 analiza el paso siguiente: si los procedimientos de auditoría realmente responden a los riesgos identificados. La conclusión del AFM es que en la mayoría de los casos, no.

En mi caso, lo que me resulta llamativo no es el porcentaje de deficiencias. Es que las deficiencias son las mismas que aparecen en los informes de inspección de todos los reguladores europeos, año tras año. Eso sugiere que el problema no es específico de los Países Bajos ni del marco NV COS. Es algo sistémico en cómo la profesión aborda el fraude.

Riesgos específicos de fraude: procedimientos estándar donde debería haber procedimientos a medida

Aquí está el hallazgo central: los auditores planifican y ejecutan procedimientos estándar para responder a riesgos de fraude identificados sin adaptarlos al riesgo específico. NIA-ES 240.28 (equivalente a NV COS 240.31) exige que la respuesta del auditor a los riesgos evaluados de fraude esté vinculada a esos riesgos a nivel de aseveración. Cuando la respuesta es un procedimiento genérico copiado del archivo del año anterior, el vínculo no existe.

Este patrón apareció en varias categorías de riesgo de fraude.

Riesgos de corrupción. Un auditor obtuvo una lista de facturas de comisiones de agentes pero no realizó ningún procedimiento adicional. No se evaluaron los contratos con agentes. No se documentó consideración alguna. Otro auditor analizó pagos salientes a países con puntuaciones bajas en el Índice de Percepción de la Corrupción de Transparency International, lo cual era adecuado, pero después no verificó la justificación comercial contra documentación soporte para varias de las transacciones señaladas. El punto del AFM es específico: seleccionar transacciones para verificación adicional por riesgo de fraude y después no completar la verificación anula el propósito de la selección.

Riesgos de reconocimiento de ingresos. Los auditores en varios casos realizaron solo procedimientos estándar (los mismos que aplicarían sin evaluación de riesgo de fraude). El AFM encontró que en algunas auditorías no se realizaron procedimientos específicos sobre la aseveración particular a la que el auditor había vinculado el riesgo de fraude.

Riesgos en organizaciones de pagos. Los auditores no realizaron los procedimientos planificados, limitaron las pruebas a los proveedores más grandes o a una sola cuenta bancaria, o no establecieron que el proveedor existía y que el servicio facturado realmente se prestó. Un hallazgo recurrente: no se obtuvo documentación soporte al realizar las pruebas. El AFM insistió en que para riesgos de fraude específicamente, probar con profundidad suficiente significa llegar al documento fuente, no quedarse en el resumen de la dirección.

En auditorías de grupo, los hallazgos se multiplicaban. Los auditores de grupo en algunos casos no realizaron seguimiento de peculiaridades reportadas por los auditores de componente. En otros, las instrucciones del auditor de grupo a los auditores de componente no mencionaban riesgos de fraude ni los procedimientos necesarios. Algunos auditores de grupo realizaron revisiones inadecuadas del trabajo de fraude de los componentes, especialmente en asientos de diario y reconocimiento de ingresos.

Entre lo que dice el manual de la firma y lo que se hace en el expediente hay un mundo. El manual dice "diseñe procedimientos específicos para cada riesgo de fraude identificado". El equipo, con el plazo encima, copia los papeles de trabajo del año anterior, actualiza las fechas y escribe una narrativa ligeramente diferente. El resultado pasa el control de calidad interno en la mayoría de los casos. No pasa la inspección del regulador.

Asientos de diario y override de la dirección: donde más expedientes fallan

Eludir controles internos es un riesgo de fraude obligatorio bajo NIA-ES 240.32 (NV COS 240.33). Toda auditoría legal debe incluir pruebas de asientos de diario. El AFM encontró que esta área, que debería ser la parte más estandarizada de la documentación de fraude, sigue generando hallazgos.

El informe del AFM hace una distinción que la mayoría de los expedientes no hacen. Seleccionar asientos de diario para prueba basándose en criterios de riesgo de fraude es el paso uno. Probarlos es el paso dos. El AFM encontró que los auditores seleccionan asientos usando criterios adecuados (importes inusuales, registros en fin de semana, cifras redondas, asientos manuales que eluden controles) pero después no obtienen evidencia de auditoría suficiente sobre si los asientos son adecuados.

Realizar indagaciones verbales como único procedimiento no es suficiente para obtener seguridad adecuada sobre la adecuación de los asientos, dice el AFM. El auditor ya seleccionó esos asientos por riesgo elevado de fraude. La dirección está en una posición privilegiada para perpetrar fraude a través de asientos de diario. Aceptar la explicación de la dirección sin verificarla contra documentación soporte es lo contrario del escepticismo profesional. Este es el hallazgo que genera más notas de revisión, y sigue apareciendo porque trazar asientos de diario hasta documentos fuente es trabajo tedioso que parece redundante cuando la explicación suena razonable.

Por lo que conozco, el problema real es más sutil. En muchos encargos, el equipo sí selecciona los asientos, sí pregunta a contabilidad, y documenta la respuesta. El papel parece completo. Pero no hay verificación independiente. Si alguien está manipulando asientos de diario para cometer fraude, no va a confesarlo cuando le pregunte. Lo que el AFM está diciendo, sin usar estas palabras exactas, es que la prueba de asientos de diario es un "marcar la casilla" en demasiados expedientes.

Otra deficiencia recurrente: concluir exclusivamente sobre la base de la descripción del asiento era insuficiente. Si un asiento se seleccionó para prueba porque sus características coincidían con criterios de riesgo de fraude, el auditor necesita ir más allá del campo de descripción. Verificar el asiento contra su propia descripción no es probar; es documentar lo que la dirección ya le dijo.

Para la revisión retrospectiva de estimaciones contables (NIA-ES 240.32b, equivalente a NV COS 240.33b), el AFM observó que algunos auditores realizaban la revisión mecánicamente sin evaluar si los resultados indicaban posible sesgo de la dirección. La revisión debe identificar tendencias en las estimaciones que puedan señalar información financiera fraudulenta. Si todas las provisiones están consistentemente infra- o sobrevaloradas en la misma dirección durante varios ejercicios, ese patrón requiere investigación, no solo documentación.

Una firma destacó como buena práctica: usaba software de auditoría para analizar flujos de transacciones y cuentas del mayor (incluidos asientos) antes de diseñar procedimientos de fraude. El análisis de datos ayudó al auditor a enfocar la auditoría en partidas y períodos específicos con mayor riesgo de fraude. En opinión del AFM, la analítica de datos, bien utilizada, puede aumentar tanto la profundidad como la focalización de los procedimientos de fraude. Mal utilizada (sin validar la fiabilidad de los datos, o sin dar seguimiento a las anomalías identificadas), no aporta nada.

La imprevisibilidad que casi nadie documenta

NIA-ES 240.30c (NV COS 240.31c) exige al auditor incorporar un elemento de imprevisibilidad en la naturaleza, oportunidad y alcance de los procedimientos de auditoría. El AFM encontró que 13 de las 32 auditorías inspeccionadas no incluían ningún elemento adecuado de imprevisibilidad.

¿Por qué existe el requisito? Porque las personas dentro de la entidad que están familiarizadas con los procedimientos normales de auditoría están en mejor posición para ocultar información financiera fraudulenta si la auditoría sigue el mismo patrón cada año. Repetir el mismo enfoque de muestreo no es imprevisible. Anunciar por adelantado las ubicaciones del recuento de inventario elimina el elemento de sorpresa. Repetir los mismos procedimientos en el mismo momento y en las mismas áreas le dice al cliente exactamente qué se prueba y qué no.

Como buena práctica, el AFM citó un caso donde un auditor visitó obras de proyectos sin aviso previo, cubriendo tanto proyectos grandes como pequeños, incluidos proyectos en distintas fases de ejecución. El auditor verificó que la existencia de los proyectos y su progreso reportado coincidían con el estado visible in situ. Este tipo de procedimiento es imposible de anticipar y crea un riesgo de detección real para la información fraudulenta sobre proyectos.

Para su propio expediente, la imprevisibilidad no requiere procedimientos caros ni que consuman mucho tiempo. Requiere procedimientos que el cliente no pueda predecir. Desplazar la selección de la muestra a un período diferente al del ejercicio anterior, solicitar confirmaciones bancarias para una cuenta que no se confirmó el año pasado, probar un flujo de ingresos fuera del alcance normal de los procedimientos sustantivos, o realizar observaciones de inventario no anunciadas en ubicaciones secundarias: todo eso genera imprevisibilidad sin coste adicional relevante.

Creo que el motivo por el que este requisito se incumple tanto es doble. Primero, porque requiere pensamiento activo sobre qué hacer diferente, y eso no encaja bien en plantillas. Segundo, porque un procedimiento imprevisible puede generar fricciones con el cliente ("¿por qué vienen sin avisar?"), y en muchos encargos la relación comercial pesa más que el cumplimiento técnico de NIA-ES 240.30c.

Ejemplo práctico: Instalaciones Técnicas Levante S.L.

> Escenario: Instalaciones Técnicas Levante S.L. (ITL) es una empresa de Valencia con 12,8 millones de euros en ingresos. Presta servicios de mantenimiento industrial a plantas petroquímicas en Tarragona y Castellón. Cuatro contratos representan el 78% de los ingresos: dos contratos plurianuales a precio fijo con Repsol (38% del total), uno con CEPSA (22%) y uno con un grupo industrial privado (18%). ITL paga comisiones a dos intermediarios que le consiguen subcontratas. El director financiero lleva 14 años en la empresa y tiene firma bancaria mancomunada con el director general.

Identificación de riesgos específicos a nivel de aseveración

Riesgo 1: Manipulación del reconocimiento de ingresos (aseveración: corte e integridad). El convenio de crédito exige un ratio de EBITDA/deuda inferior a 3,5x. A 30 de septiembre, el ratio era 3,3x. Hay presión directa para que los ingresos del cuarto trimestre sostengan el ratio. Los dos contratos con Repsol incluyen cláusulas de penalización por retraso que ITL no ha reconocido como contingencia. La dirección expresó que "los bancos no entienden la estacionalidad del mantenimiento industrial". La combinación de presión por covenant, concentración de ingresos y penalizaciones sin reconocer genera un riesgo de fraude específico sobre corte de ingresos en diciembre.

Riesgo 2: Corrupción en comisiones de agentes (aseveración: ocurrencia y valoración). Los dos intermediarios facturan entre un 8% y un 12% del coste del subcontratista. Los contratos con los intermediarios no especifican la tarifa. Las facturas de comisiones no llevan detalle del servicio prestado más allá de "gestión de subcontratación". Uno de los intermediarios tiene el mismo domicilio fiscal que una empresa vinculada a un familiar del director general (dato obtenido de la base de datos del Registro Mercantil).

Nota de documentación: registre cada riesgo de fraude con la aseveración específica afectada. Deje constancia explícita de por qué el procedimiento estándar para ese saldo no basta para el riesgo de fraude. Esto es exactamente la brecha que el AFM identificó en múltiples auditorías.

Comunicación al equipo de auditoría

Reunión específica sobre fraude el 20 de enero. Se comunica al equipo:

- Riesgo de manipulación de ingresos en el cuarto trimestre, especialmente en servicios facturados pero no completados antes del 31 de diciembre - Riesgo de corrupción en comisiones de intermediarios - Necesidad de obtener documentación soporte independiente para cada prueba relacionada con fraude. No se acepta la explicación verbal de la dirección como único soporte

Minuta firmada por todos los participantes.

Respuestas globales

- Personal: El gerente sénior (7 ejercicios de experiencia en el sector industrial) sustituye al gerente júnior previsto inicialmente - Supervisión: El socio revisa todos los papeles de trabajo de ingresos y de comisiones antes del cierre del expediente - Imprevisibilidad: Se modifican las muestras de confirmaciones para incluir subcontratistas pequeños seleccionados aleatoriamente; se desplaza la prueba de corte a noviembre (en lugar de diciembre como el año anterior)

Procedimientos de respuesta al riesgo de ingresos

Para el riesgo de manipulación de ingresos:

- Analizar ingresos mensuales por contrato para identificar concentraciones inusuales en diciembre - Inspeccionar el 100% de las facturas de ingresos superiores a 25.000 euros emitidas en diciembre - Obtener confirmación directa de Repsol y CEPSA sobre servicios facturados en el cuarto trimestre, incluyendo estado de las penalizaciones por retraso - Revisar los asientos de diario manuales de ingresos en diciembre y enero contra documentación soporte

Aquí llega la complicación. La confirmación de Repsol vuelve con una discrepancia: ITL facturó 340.000 euros por un servicio de mantenimiento preventivo en la planta de Tarragona. Repsol confirma que el servicio estaba programado pero que se aplazó a enero por parada técnica de la planta. La dirección de ITL explica que "el trabajo de preparación ya estaba completado en diciembre y la facturación refleja ese trabajo".

Lo que realmente ocurre es que la dirección necesitaba esos 340.000 euros en diciembre para cumplir el covenant. La explicación es plausible. Pero la prueba soporte -- partes de trabajo de diciembre para el mantenimiento preventivo -- muestra que el 80% de las horas corresponden a personal subcontratado que, según las hojas de tiempo del subcontratista, estaba trabajando en la planta de Castellón en esas fechas.

Este es el tipo de situación donde el auditor tiene que decidir si acepta una explicación razonable o tira del hilo. NIA-ES 240 dice que tire del hilo. La realidad del encargo dice que el socio ya ha presupuestado los honorarios y que el cliente no va a aceptar bien que le pida explicaciones sobre inconsistencias entre partes de trabajo. Pero si no lo hace, los papeles quedan flojos y el hallazgo del regulador es inevitable.

Documentación: matriz que vincula cada procedimiento con el riesgo de fraude que aborda. Para la discrepancia con Repsol, documentar la secuencia completa: confirmación recibida, explicación de la dirección, documentación soporte obtenida, inconsistencia identificada, procedimientos adicionales realizados y conclusión.

Procedimientos de corrupción hasta documentación fuente

Obtener los contratos de los dos intermediarios. Verificar qué servicio presta cada uno y a qué tarifa. Para una muestra de pagos de comisiones, trazar el pago al extracto bancario, vincularlo a un encargo específico de subcontratista, y verificar que el subcontratista efectivamente trabajó en un proyecto de ITL.

Para el intermediario con domicilio coincidente con la empresa vinculada, solicitar la escritura de constitución de ambas entidades al Registro Mercantil. Si el vínculo se confirma, documéntelo como factor de riesgo adicional y amplíe las pruebas.

Elemento de imprevisibilidad

Visitar la planta de Castellón sin aviso previo durante el trabajo de campo de enero para verificar que los proyectos en curso coinciden con el progreso reportado. Solicitar confirmaciones bancarias para la cuenta de gastos de viaje (no confirmada en el ejercicio anterior). Ejecutar los criterios de selección de asientos de diario sobre octubre (en lugar de diciembre, que fue el mes probado el año pasado).

Documentación: documente el elemento de imprevisibilidad en la sección de fraude del expediente. Indique qué se hizo, cuándo, y por qué el cliente no podía haberlo anticipado.

Lista de verificación para un expediente defendible

1. Para cada riesgo de fraude específico del cliente, verifique que existe un procedimiento diseñado para ese riesgo a nivel de aseveración (NIA-ES 240.28). Si el procedimiento es idéntico al que realizaría sin el riesgo de fraude, la respuesta no es suficiente.

2. Confirme que los asientos de diario seleccionados se probaron contra documentación soporte, no evaluados solo por su descripción o por la explicación verbal de la dirección (según el informe del AFM de enero de 2025).

3. Verifique que la revisión retrospectiva de estimaciones contables evalúa explícitamente si los resultados indican sesgo direccional, no solo si las estimaciones individuales cayeron dentro de un rango aceptable.

4. Confirme que el expediente documenta al menos un elemento de imprevisibilidad (NIA-ES 240.30c) que vaya más allá de la variación normal del muestreo. El AFM no encontró imprevisibilidad en 13 de 32 auditorías.

5. En auditorías de grupo, verifique que las instrucciones a los auditores de componente incluyen procedimientos específicos de fraude y que el auditor de grupo revisó el trabajo de fraude del componente (NIA-ES 600.40).

6. Cuando se usó analítica de datos en procedimientos de fraude, verifique que se probó la fiabilidad de los datos subyacentes y que las anomalías identificadas se investigaron hasta el nivel de documento fuente.

Errores que el AFM marca una y otra vez

- El informe de auditoría describe procedimientos de fraude que no se realizaron. El AFM encontró esto en 10 de 32 auditorías. Si su informe describe procedimientos que no se ejecutaron, o que se ejecutaron a una profundidad insuficiente para sostener la conclusión, el propio informe se convierte en un hallazgo. Piense en el caso EIDF en España: cuando las cuentas se desplomaron, la primera pregunta fue qué había hecho exactamente el auditor. Los papeles tienen que soportar esa pregunta.

- Escepticismo profesional insuficiente, medido objetivamente. En seis de 32 auditorías, el AFM identificó escepticismo profesional insuficiente, definido como casos donde había múltiples hallazgos en procedimientos de fraude y ningún seguimiento adecuado de contraindicaciones o peculiaridades. El criterio del AFM es factual, no actitudinal: no evalúa la mentalidad del equipo sino si las anomalías encontradas durante las pruebas se investigaron o se ignoraron.

- Firmas no EIP que no identifican riesgos de fraude más allá del override de la dirección. Solo el 11% de las auditorías legales en firmas no EIP identificaron al menos un riesgo de fraude específico del cliente, frente al 30% en firmas EIP. Desde 2022 hay una tendencia positiva, pero la brecha sigue siendo grande. Si su expediente de una empresa no EIP identifica cero riesgos de fraude más allá del management override, los datos del AFM sugieren que su evaluación de riesgos probablemente es incompleta. El ICAC ha señalado deficiencias similares en su supervisión de firmas medianas españolas.

- Auditorías de grupo sin instrucciones de fraude a componentes. Los auditores de grupo en varios casos no incluyeron procedimientos de riesgo de fraude en las instrucciones a los auditores de componente, o no revisaron el trabajo de fraude del componente con profundidad suficiente. El AFM trató la falta de seguimiento del auditor de grupo sobre hallazgos de fraude a nivel de componente como una deficiencia separada.

Hay un debate legítimo sobre la proporcionalidad de estos requisitos. Un auditor de una firma mediana que audita pymes me diría, con razón, que el nivel de documentación que el AFM espera está diseñado para auditorías de entidades cotizadas y que sacar adelante un encargo de 15.000 euros con ese nivel de detalle no es viable. Y tiene parte de razón. NIA-ES 240 no distingue entre una auditoría de una empresa del IBEX y una de una SL con 5 millones de facturación. El nivel de riesgo de fraude es diferente, pero los requisitos de documentación son formalmente los mismos. La profesión no ha resuelto esta tensión, y mientras no lo haga, los hallazgos seguirán apareciendo.

Contenido relacionado

- Glosario: Fraude: Definición técnica del fraude según NIA-ES 240 y diferencia con el error - Kit de evaluación de riesgo de fraude NIA-ES 240: Plantillas y matrices para documentar la evaluación completa del riesgo de fraude - Procedimientos analíticos para detectar fraude: Cómo usar ratios financieros y análisis de tendencias para identificar indicadores de manipulación

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.