Lo que aprenderá

  • Cómo evaluar los controles internos relacionados con FATCA y CRS bajo NIA-ES 315
  • Los procedimientos de auditoría específicos para verificar el cumplimiento de las obligaciones de reporte
  • Cuándo clasificar las deficiencias FATCA/CRS como contingencias bajo NIA-ES 540
  • Qué buscar en la documentación de diligencia debida del cliente y sistemas de identificación

Lo que aprenderá

  • Cómo evaluar los controles internos relacionados con FATCA y CRS bajo NIA-ES 315
  • Los procedimientos de auditoría específicos para verificar el cumplimiento de las obligaciones de reporte
  • Cuándo clasificar las deficiencias FATCA/CRS como contingencias bajo NIA-ES 540
  • Qué buscar en la documentación de diligencia debida del cliente y sistemas de identificación

Marco regulatorio de FATCA y CRS

Obligaciones FATCA para entidades españolas


La Foreign Account Tax Compliance Act (FATCA) requiere que las instituciones financieras españolas identifiquen y reporten cuentas mantenidas por personas estadounidenses a la Agencia Tributaria Española, que luego transmite esta información al IRS estadounidense.
Bajo el acuerdo intergubernamental España-Estados Unidos, las entidades financieras españolas deben:

Estándar Común de Reporte (CRS)


El CRS, implementado en España a través de la Directiva sobre Cooperación Administrativa Tributaria, requiere el intercambio automático de información de cuentas financieras entre jurisdicciones participantes.
Las obligaciones CRS incluyen:

  • Registrarse con el IRS y obtener un Global Intermediary Identification Number (GIIN)
  • Implementar procedimientos de diligencia debida para identificar cuentas estadounidenses
  • Reportar anualmente información específica sobre cuentas de personas estadounidenses
  • Aplicar retención del 30% en ciertos pagos a entidades extranjeras no cooperativas
  • Identificación de cuentas mantenidas por residentes fiscales de otras jurisdicciones participantes
  • Recopilación de información específica sobre titulares de cuentas e ingresos
  • Reporte anual a la Agencia Tributaria Española para intercambio con otras jurisdicciones
  • Mantenimiento de registros de diligencia debida por al menos cinco años

Riesgos de auditoría específicos

Riesgo de cumplimiento normativo bajo NIA-ES 250


La NIA-ES 250.12 requiere que el auditor obtenga conocimiento suficiente del marco legal y regulatorio aplicable a la entidad. Para entidades sujetas a FATCA y CRS, esto incluye:
Evaluación de controles de cumplimiento: Los sistemas de la entidad deben identificar correctamente a los clientes sujetos a reporte, clasificar los tipos de cuenta apropiadamente y generar reportes precisos dentro de los plazos establecidos.
Documentación de procedimientos: La entidad debe mantener evidencia de sus procedimientos de diligencia debida, incluyendo la obtención de autocertificaciones, la verificación de indicios estadounidenses o de otras jurisdicciones y la resolución de cualquier inconsistencia.
Seguimiento de cambios normativos: Tanto FATCA como CRS experimentan actualizaciones regulares en cuanto a definiciones, umbrales y procedimientos de reporte.

Contingencias y provisiones bajo NIA-ES 540


Las deficiencias en el cumplimiento FATCA/CRS pueden generar sanciones significativas que requieren evaluación como contingencias.
Sanciones FATCA: Las penalizaciones por incumplimiento pueden incluir retención del 30% sobre pagos estadounidenses y exclusión del sistema financiero estadounidense.
Sanciones CRS: Los incumplimientos pueden resultar en multas de hasta €150.000 por infracción grave según la normativa española de intercambio de información tributaria.
La NIA-ES 540.13 requiere que el auditor evalúe si la dirección ha identificado adecuadamente todas las contingencias relacionadas con el cumplimiento normativo.

Ejemplo práctico: Auditoría de cumplimiento FATCA/CRS

Caso: Gestora Mediterránea de Inversiones S.L.


Entidad: Sociedad de gestión de patrimonio con sede en Valencia
Activos bajo gestión: €45 millones
Clientes: 280 cuentas, incluyendo residentes de EE.UU., Reino Unido, Alemania y Francia
Año fiscal: 2023

Paso 1: Evaluación del diseño de controles


Documentación: Memorándum de entendimiento de los controles FATCA/CRS, incluyendo flujograma de procesos
El auditor revisa los procedimientos escritos de la entidad para identificación y clasificación de clientes. Gestora Mediterránea implementó un sistema de tres niveles:

Paso 2: Pruebas de controles operativos


Documentación: Selección de 25 expedientes de clientes con indicios FATCA/CRS, verificando completitud de autocertificaciones y exactitud de clasificaciones
Se identifican dos deficiencias:

Paso 3: Pruebas sustantivas de reportes


Documentación: Conciliación entre registros internos, reportes FATCA modelo 1 y reportes CRS remitidos a la AEAT
El auditor verifica que los 18 clientes estadounidenses identificados aparecen correctamente en el reporte FATCA y que los 31 clientes de otras jurisdicciones CRS están incluidos en los reportes correspondientes.

Paso 4: Evaluación de contingencias


Documentación: Carta de representación legal sobre exposición potencial a sanciones
Las deficiencias identificadas no son incumplimientos materiales. La entidad corrige las autocertificaciones caducadas y reclasifica al cliente alemán durante el período de auditoría.
Conclusión: Los controles son adecuados con deficiencias menores. No se requieren ajustes ni provisiones para contingencias normativas.

  • Screening automático basado en indicios documentales
  • Revisión manual para casos ambiguos
  • Validación trimestral de clasificaciones existentes
  • Tres clientes con autocertificaciones W-8BEN caducadas (más de tres años)
  • Un cliente alemán clasificado incorrectamente como no reportable

Lista de verificación práctica

  • Obtener el registro GIIN de la entidad y verificar su vigencia en el portal del IRS. Documentar cualquier cambio de estatus desde la auditoría anterior.
  • Revisar los procedimientos escritos para identificación de cuentas reportables bajo ambos regímenes, prestando especial atención a las definiciones de "cuenta financiera" y umbrales de reporte.
  • Probar una muestra de autocertificaciones (formularios W-8, W-9 y CRS) verificando que estén completas, firmadas y dentro de vigencia (máximo tres años para FATCA).
  • Conciliar los registros internos con los reportes oficiales remitidos, incluyendo verificación de TINs, direcciones y montos reportados.
  • Evaluar la existencia de contingencias relacionadas con sanciones por incumplimiento, incluyendo consulta con asesores legales especializados.
  • Revisar hechos posteriores que puedan afectar las clasificaciones de clientes o generar obligaciones de reporte adicionales hasta la fecha del informe de auditoría.

Errores frecuentes

  • Autocertificaciones incompletas o caducadas: Las entidades a menudo no implementan controles adecuados para renovar formularios W-8 y autocertificaciones CRS dentro de los plazos requeridos.
  • Clasificación incorrecta de entidades: La distinción entre entidades financieras y no financieras bajo CRS genera confusión, especialmente para estructuras de inversión complejas.
  • Falta de consideración de doble residencia fiscal: Los clientes pueden ser reportables bajo múltiples jurisdicciones, requiriendo reportes tanto FATCA como CRS.

Contenido relacionado

  • Glosario: Contingencias fiscales - Definición y tratamiento contable de las contingencias derivadas del incumplimiento normativo tributario.
  • Herramienta: Evaluador de riesgo normativo - Plantilla para documentar la evaluación de controles de cumplimiento bajo NIA-ES 250.
  • [Post relacionado: Auditoría de entidades financieras: Riesgos regulatorios específicos] - Análisis detallado de los riesgos de auditoría en el sector financiero español.

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.