Lo que aprenderá

- Cómo evaluar los controles internos relacionados con FATCA y CRS bajo NIA-ES 315 - Los procedimientos de auditoría específicos para verificar el cumplimiento de las obligaciones de reporte - Cuándo clasificar las deficiencias FATCA/CRS como contingencias bajo NIA-ES 540 - Qué buscar en la documentación de diligencia debida del cliente y sistemas de identificación

Qué falla en la práctica (y por qué lo del checklist es un brindis al sol)

Antes de entrar en el marco normativo, vale la pena nombrar lo que realmente ocurre en los encargos. Tres patrones se repiten.

Autocertificaciones W-8BEN firmadas pero no verificadas. El cliente aporta el formulario, el sistema lo escanea, queda archivado. Nadie cruza la dirección que figura con la dirección real del titular, nadie revisa si el país de residencia fiscal declarado es coherente con el IBAN, el teléfono o el histórico de transferencias. Cuando pregunto por el procedimiento de verificación, la respuesta suele ser "lo tiene compliance". Cuando pregunto en compliance, me dicen que "lo revisa el gestor comercial". Los papeles están flojos.

Clasificaciones de entidad incorrectas. Un trust familiar con una sociedad patrimonial en medio se clasifica como Active NFFE porque "no hace actividad financiera". En realidad, más del 50% de sus ingresos son pasivos (dividendos, rentas inmobiliarias), y cualifica como Passive NFFE bajo la Sección IV del Anexo I del IGA modelo 1. La consecuencia es que las controlling persons nunca se identifican, y los beneficiarios reales nunca se reportan.

Cuentas no identificadas por cambio de circunstancias. El titular abrió la cuenta como residente español, años después se traslada a EE.UU., mantiene la cuenta. El sistema no capturó el cambio porque no hubo reaper­tura. Eso es lo que los inspectores de la AEAT están sacando desde 2023, y es lo que acaba en expediente.

Marco regulatorio de FATCA y CRS

Obligaciones FATCA para entidades españolas

FATCA exige que las instituciones financieras españolas identifiquen y reporten cuentas mantenidas por personas estadounidenses a la AEAT, que luego transmite esta información al IRS.

Bajo el IGA España-EE.UU. (modelo 1, firmado en 2013), las entidades financieras españolas deben:

- Registrarse con el IRS y obtener un GIIN - Implementar procedimientos de diligencia debida para identificar cuentas estadounidenses - Reportar anualmente información específica sobre cuentas de personas estadounidenses - Aplicar retención del 30% en ciertos pagos a entidades extranjeras no cooperativas

Estándar Común de Reporte (CRS)

El CRS, implementado en España a través de la DAC2 (Directiva 2014/107/UE) y la normativa doméstica de la AEAT, requiere el intercambio automático de información de cuentas financieras entre jurisdicciones participantes.

Las obligaciones CRS incluyen:

- Identificación de cuentas mantenidas por residentes fiscales de otras jurisdicciones participantes - Recopilación de información específica sobre titulares de cuentas e ingresos - Reporte anual a la AEAT para intercambio con otras jurisdicciones - Mantenimiento de registros de diligencia debida por al menos cinco años

Riesgos de auditoría específicos

Riesgo de cumplimiento normativo bajo NIA-ES 250

La NIA-ES 250.12 exige que el auditor obtenga conocimiento suficiente del marco legal y regulatorio aplicable a la entidad. Para entidades sujetas a FATCA y CRS, esto incluye:

Evaluación de controles de cumplimiento. Los sistemas de la entidad deben identificar correctamente a los clientes sujetos a reporte, clasificar los tipos de cuenta apropiadamente y generar reportes precisos dentro de los plazos establecidos. Aquí aparece la zona gris más incómoda: entidades híbridas, estructuras de trust con controlling persons de residencia múltiple, y cuentas custodiales donde el titular legal y el beneficiario económico divergen. La norma no las resuelve, y el despacho tiene que tomar posición.

Documentación de procedimientos. La entidad debe mantener evidencia de sus procedimientos de diligencia debida, incluyendo la obtención de autocertificaciones, la verificación de indicios estadounidenses o de otras jurisdicciones y la resolución de cualquier inconsistencia. En mi caso, cuando la documentación del procedimiento se limita a "se aplican los protocolos CRS/FATCA del grupo", el papel de trabajo va a dar problemas en la inspección del ICAC.

Seguimiento de cambios normativos. Tanto FATCA como CRS sufren actualizaciones continuas en definiciones, umbrales y formatos XSD de reporte. La entidad debe demostrar que monitoriza esos cambios; un procedimiento escrito en 2019 y no revisado desde entonces es un indicio claro de debilidad de control.

Contingencias y provisiones bajo NIA-ES 540

Las deficiencias en el cumplimiento FATCA/CRS pueden generar sanciones significativas que requieren evaluación como contingencias.

Sanciones FATCA. Las penalizaciones por incumplimiento pueden incluir retención del 30% sobre pagos estadounidenses y, en el peor escenario, revocación del GIIN con exclusión efectiva del sistema financiero estadounidense.

Sanciones CRS. Los incumplimientos pueden resultar en multas de hasta 150.000 euros por infracción grave según la normativa española de intercambio de información tributaria, sin perjuicio de las sanciones autonómicas y la responsabilidad solidaria del administrador.

La NIA-ES 540.13 exige que el auditor evalúe si la dirección ha identificado adecuadamente todas las contingencias relacionadas con el cumplimiento normativo. Cuando la entidad responde "no tenemos constancia de expedientes abiertos", el auditor no puede quedarse ahí: tiene que revisar la correspondencia con la AEAT, los borradores de contestación a requerimientos y el histórico de reportes remitidos con marca de error.

La zona gris: divergencia FATCA/CRS y arbitraje de clasificación

Aquí está el punto que rara vez se discute y que, desde mi punto de vista, es el que más expedientes genera. FATCA es US-centrista y se articula sobre el GIIN; CRS es multilateral y se articula sobre el TIN del país de residencia. Las definiciones de "entidad financiera", "cuenta financiera" y "controlling person" se parecen, pero no coinciden.

Lo que realmente ocurre es que un cliente sofisticado, con asesoramiento fiscal decente, puede estructurar su participación de forma que quede fuera del perímetro FATCA (por falta de US indicia) pero dentro del perímetro CRS (por residencia declarada en jurisdicción participante). O al revés. Esas asimetrías son precisamente las que la AEAT y el IRS están cruzando desde 2022 mediante el intercambio espontáneo de información fuera de CRS.

La NIA-ES 250 no resuelve qué hacer ante el arbitraje. El socio responsable tiene que decidir si eso es un indicio de incumplimiento que exige procedimientos adicionales, o si es planificación fiscal legítima del cliente. Aquí es donde la discrepancia entre socios es legítima.

Dos posiciones defendibles en sala de discusión

Socio A. "El cliente es responsable de su clasificación FATCA/CRS. Nuestro alcance bajo NIA-ES 250 es revisar que existan procedimientos, no opinar sobre la clasificación concreta de cada cuenta. Si la entidad aplica sus procedimientos documentados de forma consistente, hemos terminado."

Socio B. "Si vemos red flags en el IGA filing —por ejemplo, un salto de 40 clientes reportables a 8 en un ejercicio sin explicación— la NIA-ES 250.20 exige que investiguemos. No firmar sobre eso porque 'es del cliente' es cerrar los ojos. Y si luego salta la inspección, no hay NIA-ES 250 que nos salve."

Por lo que conozco del criterio del ICAC en inspecciones recientes, la posición del Socio B resiste mejor. Pero la del Socio A no es indefendible, y no conviene tratarla como si lo fuera, porque la NIA-ES 250 no es NIA-ES 240: el auditor de estados financieros no es el inspector tributario.

Ejemplo práctico: auditoría de cumplimiento FATCA/CRS

Caso: Gestora Mediterránea de Inversiones S.L.

Entidad. Sociedad de gestión de patrimonio con sede en Valencia Activos bajo gestión. 45 millones de euros Clientes. 280 cuentas, incluyendo residentes de EE.UU., Reino Unido, Alemania y Francia Año fiscal. 2023

Paso 1: evaluación del diseño de controles

Documentación: memorándum de entendimiento de los controles FATCA/CRS, incluyendo flujograma de procesos.

Gestora Mediterránea implementó un sistema de tres niveles: screening automático basado en indicios documentales, revisión manual para casos ambiguos y validación trimestral de clasificaciones existentes. Hasta aquí, sobre el papel, correcto.

Paso 2: pruebas de controles operativos

Documentación: selección de 25 expedientes de clientes con indicios FATCA/CRS, verificando completitud de autocertificaciones y exactitud de clasificaciones.

Se identifican dos deficiencias y una complicación que merece detenerse. Tres clientes con autocertificaciones W-8BEN caducadas —más de tres años— y un cliente alemán clasificado incorrectamente como no reportable. La complicación: uno de los expedientes seleccionados corresponde a una estructura de trust familiar donde la sociedad patrimonial española está participada al 60% por un trust irlandés cuyo settlor es residente alemán y cuyos beneficiarios son tres hijos residentes en EE.UU., Suiza y España.

La entidad clasificó la estructura como Active NFFE. Revisado el detalle, más del 60% de los ingresos del ejercicio proceden de dividendos y arrendamientos, lo que la convierte en Passive NFFE. Eso dispara la obligación de identificar controlling persons bajo el IGA y de reportar a los tres hijos bajo sus respectivas jurisdicciones. El GIIN asignado a la sociedad patrimonial,, corresponde a una clasificación Financial Institution que no cuadra con la actividad real: el registro se hizo años atrás cuando la estructura tenía otro perfil y nadie lo actualizó.

Aquí es donde el socio necesita el cliente y dónde el trabajo se pone incómodo. Reclasificar implica reportes retroactivos de tres ejercicios, posible regularización ante la AEAT y exposición a sanciones CRS. No reclasificar implica firmar sabiendo que la clasificación está mal.

Paso 3: pruebas sustantivas de reportes

Documentación: conciliación entre registros internos, reportes FATCA modelo 1 y reportes CRS remitidos a la AEAT.

Verifico que los 18 clientes estadounidenses identificados aparecen correctamente en el reporte FATCA y que los 31 clientes de otras jurisdicciones CRS están incluidos en los reportes correspondientes. Tras la reclasificación del trust, los tres beneficiarios se añaden al reporte complementario.

Paso 4: evaluación de contingencias

Documentación: carta de representación legal sobre exposición potencial a sanciones.

La entidad corrige las autocertificaciones caducadas, reclasifica al cliente alemán y presenta los reportes rectificativos del trust durante el período de auditoría. El asesor legal estima la sanción máxima probable en 45.000 euros, no materiales en el contexto de los estados financieros. No se dota provisión, se incluye revelación.

Conclusión. Controles adecuados con deficiencias relevantes corregidas durante el encargo. Se emite carta a la dirección señalando la necesidad de revisar el inventario completo de clasificaciones de entidades, no sólo los casos seleccionados.

Lista de verificación práctica

1. Obtener el registro GIIN de la entidad y verificar su vigencia en el portal del IRS. Documentar cualquier cambio de estatus desde la auditoría anterior y cruzar la clasificación registrada con la actividad real.

2. Revisar los procedimientos escritos para identificación de cuentas reportables bajo ambos regímenes, prestando especial atención a las definiciones de "cuenta financiera", umbrales de reporte y tratamiento de cambios de circunstancias.

3. Probar una muestra de autocertificaciones (formularios W-8, W-9 y CRS) verificando que estén completas, firmadas, dentro de vigencia (máximo tres años para FATCA) y coherentes con los datos del expediente KYC.

4. Conciliar los registros internos con los reportes oficiales remitidos, incluyendo verificación de TIN, direcciones y montos reportados. Atención a saltos interanuales inexplicados en el número de clientes reportables.

5. Evaluar contingencias por sanciones de incumplimiento, incluyendo consulta con asesores legales especializados y revisión de correspondencia con la AEAT.

6. Revisar hechos posteriores bajo NIA-ES 560 que puedan afectar las clasificaciones de clientes o generar obligaciones de reporte adicionales hasta la fecha del informe.

Errores frecuentes

Contenido relacionado

- Glosario: contingencias fiscales - Definición y tratamiento contable de las contingencias derivadas del incumplimiento normativo tributario.

- Herramienta: evaluador de riesgo normativo - Plantilla para documentar la evaluación de controles de cumplimiento bajo NIA-ES 250.

- [Post relacionado: auditoría de entidades financieras, riesgos regulatorios específicos] - Análisis detallado de los riesgos de auditoría en el sector financiero español.

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.