Índice
1. Qué falla en la práctica y por qué el ICAC lo nota 2. Qué exige realmente la NIA-ES 240.29 3. Cómo preparar la sesión para que no sea un trámite 4. Guion de la sesión paso a paso 5. Documentación que aguanta una revisión 6. Ejemplo práctico: Mediterránea Logistics SL 7. Errores frecuentes y señales de alerta para el revisor 8. Contenido relacionado
Qué falla en la práctica y por qué el ICAC lo nota
El hallazgo que más me encuentro cuando reviso expedientes de fraude es este: la sesión existe, el memorando existe, las firmas están. Lo que no está es una cadena trazable desde los factores de riesgo de fraude identificados en la sesión hasta los procedimientos sustantivos que los abordan. En mi experiencia, dos de cada tres archivos que he revisado por segunda opinión tienen papeles flojos justo en ese punto: la sesión dice que hay riesgo de reconocimiento prematuro de ingresos y el programa de auditoría contiene las mismas pruebas de corte de ingresos que el año pasado, sin un solo procedimiento nuevo añadido por la sesión.
El ICAC lo nota. Los informes de supervisión publicados sobre EIPs recogen repetidamente la fórmula "procedimientos de evaluación del riesgo que no abordan los riesgos específicos identificados" o, en versión cruda, "los papeles de trabajo no evidencian la conexión entre la sesión de la NIA-ES 240 y los procedimientos realizados." Lo que eso significa en la práctica es que el revisor ha leído el memorando, ha leído el programa de auditoría, y no ha podido cerrar el círculo.
Y aquí aparece la contradicción estructural que explica por qué esto ocurre incluso en firmas que se toman la calidad en serio. La sesión se convoca en la fase de planificación, cuando la presión del equipo es cerrar el enfoque para poder empezar. El socio necesita el cliente, el equipo necesita salir del atasco de planificación, y el memorando se convierte en un documento que se firma para desbloquear las siguientes tareas, no en el motor que dirige el trabajo. Nadie lo diseñó para que fuera un trámite. Se convierte en trámite porque las fechas de entrega aprietan y porque la mayoría de riesgos de fraude que identificaría el equipo ya están cubiertos, en teoría, por los procedimientos estándar del programa.
En firmas como la nuestra, el patrón es reconocible incluso entre socios que saben lo que hacen.
Qué exige realmente la NIA-ES 240.29
La norma dice,, que el equipo del encargo debe discutir la susceptibilidad de los estados financieros a incorrecciones materiales por fraude. La NIA-ES 240.30 aclara que la discusión debe cubrir cómo y dónde podrían producirse esas incorrecciones, y la NIA-ES 240.31 exige que los factores de riesgo de fraude del Apéndice 1 se traduzcan al cliente concreto. Hasta aquí, el manual.
Lo que realmente ocurre es que hay dos lecturas de la norma circulando entre socios. Unos defienden que la sesión es procedimiento autónomo con valor propio, y que "riesgo de manipulación de ingresos" no vale: hay que decir "reconocimiento prematuro mediante asientos de venta registrados antes del envío físico en las últimas dos semanas del trimestre." Otros defienden que basta con dejar constancia de la discusión y que la especificidad se desarrolla en los papeles de los procedimientos de evaluación posteriores. Ambas posturas son defendibles si uno lee la norma estrictamente. Mi opinión es que la primera lectura gana siempre que el ICAC o un revisor externo miren el archivo, porque la trazabilidad se evalúa sobre el memorando, no sobre la intención del equipo.
Hay un punto adicional que la norma no resuelve y que es donde vive el juicio profesional: la NIA-ES 240.27 presume el riesgo de reconocimiento fraudulento de ingresos en todos los encargos, salvo refutación documentada. En la práctica, casi ninguna sesión documenta una refutación creíble cuando el equipo considera que no aplica. Se limita a repetir la presunción y seguir adelante. Eso es una bomba de relojería en el archivo: si algo sale mal después, ese párrafo será lo primero que mire el inspector.
Cómo preparar la sesión para que no sea un trámite
La sesión se prepara antes de que la gente entre en la sala. Si el socio llega con una hoja en blanco y "vamos a hablar de fraude", la discusión se irá a riesgos genéricos en cinco minutos. Lo que hago yo antes de convocarla:
Revisar el archivo permanente con un filtro distinto. No busco lo que ya sé del cliente. Busco los cambios desde la auditoría anterior que crean presión o abren oportunidad nueva: rotación en dirección financiera, cambios en el accionariado, nuevos convenios de deuda, transacciones significativas con partes vinculadas, rediseños de sistemas que alteran el control interno.
Sacar una lista de las presiones conocidas del cliente. Convenios bancarios cerca de breach, objetivos de resultados para un bonus, venta planificada, refinanciación, necesidad de demostrar crecimiento para una ronda de capital. Las presiones no se intuyen en la sesión: se llevan preparadas.
Leer los informes de control interno del año anterior y los puntos abiertos. Las oportunidades de fraude casi siempre viven en los puntos débiles de control que llevamos dos años diciendo que hay que arreglar y no se arreglan. Si hay una carta de recomendaciones con quince puntos del año pasado y solo se han cerrado tres, esos doce que quedan son el mapa de oportunidades.
Traer dos o tres hipótesis específicas ya formuladas. No para imponerlas, sino para evitar que la sesión empiece en frío. "Mi hipótesis de partida es que el reconocimiento de ingresos de este cliente es susceptible de manipulación por registro anticipado en los últimos diez días del trimestre porque [razón concreta]. Vamos a ver si el equipo la valida, la refina o la descarta."
Esta preparación convierte la reunión de "qué riesgos de fraude vemos" en "qué riesgos concretos tenemos que validar y qué oportunidades nuevas no he visto." La diferencia es el rendimiento de los sesenta minutos siguientes.
Guion de la sesión paso a paso
Apertura: el encuadre que cambia el rendimiento
Los primeros cinco minutos determinan si la sesión produce algo o no. El encuadre que uso es: "El objetivo es salir de aquí con tres o cuatro esquemas concretos de fraude que podrían afectar a este cliente, cómo los detectaríamos, y qué procedimiento específico vamos a realizar para cada uno. Si salimos con riesgos genéricos del manual de la NIA-ES 240, hemos perdido una hora." Esto cambia el registro de la sala inmediatamente.
Presiones conocidas: de la genericidad a la cifra
Aquí es donde se cae la mitad de las sesiones que he visto. Se discute "presión por resultados" como concepto y se anota en el memorando. Eso no vale. Las presiones se documentan con cifras concretas:
- Convenio de deuda X requiere ratio de cobertura de intereses de 1,2x; el ratio proyectado a cierre es 1,15x según el forecast de octubre - Venta del 60% del capital a un fondo en Q1; la valoración está ligada al crecimiento de ingresos del último año - Cambio reciente de CFO; el nuevo viene de una empresa donde se detectó manipulación contable en 2023
"Presión por resultados" en el memorando es suficiente para que el ICAC marque el papel como insuficiente. La cifra concreta lo vuelve inatacable.
Mapeo de oportunidades por proceso
Aquí no hay atajo. Se recorre cada proceso financiero material y se pregunta, proceso por proceso, dónde están los puntos débiles de este cliente específico. El patrón que aplico:
Ingresos. ¿Cómo se reconoce el ingreso? ¿Los sistemas permiten registrar una venta sin el documento que acredita la entrega? ¿Existen términos de venta con derecho de devolución amplio, acuerdos de consignación, descuentos por volumen que creen zonas grises?
Compras y gastos. ¿Hay proveedores con transacciones recurrentes que nunca se han confirmado con circularización? ¿Los límites de aprobación son adecuados al volumen de transacciones? ¿Cómo se estiman los gastos devengados y quién los aprueba?
Nómina. En empresas con alta rotación, ¿cuánto tarda un empleado nuevo en estar completamente registrado? ¿Existen controles para detectar empleados fantasma, duplicados o inflado de horas extra?
Inventario. Si es material, ¿cómo se cuenta? ¿El corte es limpio o hay ubicaciones múltiples e inventario en tránsito que lo complican? ¿Quién aprueba los ajustes por diferencias de inventario?
Anulación de controles por la dirección
La NIA-ES 240.32 presume riesgo de anulación en todos los encargos. La sesión tiene que dedicarle espacio específico. Lo que pregunto: ¿qué controles puede anular la dirección sin que lo notemos hasta la auditoría del año siguiente? ¿Hay asientos de diario manuales significativos que pasan por la aprobación del CFO sin segunda firma? ¿Las estimaciones contables con mayor margen de juicio están en manos de quién? ¿Quién tiene acceso directo a los sistemas contables para introducir ajustes post-cierre?
Conversión a señales de alerta operativas
Cada riesgo identificado tiene que convertirse en algo que el equipo pueda buscar concretamente durante el trabajo de campo. "Riesgo de reconocimiento prematuro" no es una señal de alerta; "volumen de ventas registradas en los últimos diez días del trimestre con documento de entrega cargado más de 48 horas después" sí lo es. La conversión a señal operativa es lo que permite que la sesión dirija el trabajo real en lugar de quedarse en el memorando.
Asignación de procedimientos
El último bloque de la sesión. Para cada riesgo importante: quién lo investiga, qué procedimiento específico realiza, qué papel de trabajo documenta el resultado. Sin esta asignación la sesión no cierra el círculo y el ICAC lo detectará en cualquier revisión. La asignación se documenta en el memorando con referencia al PT correspondiente.
Documentación que aguanta una revisión
La documentación de la sesión no es un acta narrativa. Es un documento técnico con cuatro bloques identificables, y cada bloque tiene que poder leerse de forma independiente.
Encabezado operativo. Fecha, duración, participantes con rol y firma, cliente y periodo auditado. La duración importa: una sesión de 25 minutos para un cliente EIP de 200 millones de euros levanta sospechas antes incluso de leer el contenido.
Presiones identificadas con fuente. Cada presión anotada debe indicar de dónde sale: estados financieros intermedios, acuerdo bancario revisado, conversación documentada con el CFO, hallazgos del ejercicio anterior. "Presión por convenio de deuda" sin referencia a qué convenio, qué ratio y qué margen no sirve.
Oportunidades por proceso con descripción técnica. Para cada proceso, el esquema concreto. No "riesgo de manipulación de ingresos" sino "registro de asientos de venta en ERP sin documento de entrega asociado en los últimos diez días del trimestre, posible mediante usuario con rol de facturación sin validación secundaria."
Asignación de procedimientos con referencia de papel. Cada riesgo conectado con el PT que lo aborda. Esta es la línea que el inspector mira primero. Si no está, el resto del memorando pierde valor.
Ejemplo de entrada bien redactada
Riesgo: manipulación de la reserva por garantías de producto
Presión documentada. Convenio de deuda exige ratio de cobertura de intereses de 1,2x. Según forecast de octubre 2024, el ratio proyectado a 31 de diciembre es 1,15x. Fuente: acuerdo bancario firmado el 15 de marzo de 2024, revisado durante la planificación (PT 10-3).
Oportunidad técnica. La reserva por garantías se calcula sobre estimaciones históricas que la dirección financiera ajusta trimestralmente sin revisión independiente. El cálculo se documenta en una hoja Excel mantenida por el director financiero. Los gastos reales de garantía han desviado de la estimación entre un 15% y un 35% en los últimos tres ejercicios.
Señales de alerta operativas. (1) Reducción de la reserva en Q4 por encima del 10% frente al trimestre anterior sin cambio documentado en la siniestralidad; (2) cambio de metodología de cálculo sin justificación técnica en la memoria; (3) divergencia entre gastos reales de garantía del ejercicio y reserva contabilizada.
Procedimiento asignado. J. García realizará análisis de evolución trimestral de la reserva, solicitará documentación soporte del cálculo y obtendrá explicación de dirección sobre cualquier variación superior al 10%. Documentación en PT 15-2.
Este nivel de detalle es el que aguanta una revisión. Menos que esto, los papeles están flojos.
Ejemplo práctico: Mediterránea Logistics SL
Contexto del cliente. Mediterránea Logistics SL, con sede en Valencia, dedicada a logística de última milla para plataformas de e-commerce. Ingresos 2024: 47 millones de euros. 150 vehículos de reparto, 320 trabajadores entre conductores y personal de almacén. Crecimiento interanual del 35% en los dos últimos ejercicios, apalancado en dos contratos grandes. Financiación: préstamo sindicado de 12 millones con convenios financieros trimestrales.
Participantes en la sesión. - Ana Ruiz, socia del encargo - Carlos Mendoza, manager senior - Laura Vega, supervisor senior - Miguel Torres, senior especialista en sistemas
Sesión convocada con hipótesis previas preparadas por la socia. Duración real: 90 minutos.
Bloque 1: presiones documentadas
Ana: "El convenio exige EBITDA mínimo trimestral de 4,2 millones. En Q3 cerraron en 4,3 millones, pero la presión de los combustibles está comprimiendo margen. El Q4 es ajustado."
Carlos: "Hay más. El fundador está negociando la venta del 60% a un fondo de capital riesgo. Firma prevista en Q1. La valoración está ligada al crecimiento de ingresos de los últimos doce meses."
Miguel: "Y el CFO actual entró hace ocho meses. Viene de una empresa donde hubo un expediente del ICAC por reconocimiento de ingresos en 2022, aunque él no estuvo implicado directamente."
Laura: "Tenemos que añadir que el bonus anual del equipo directivo se calcula sobre EBITDA del ejercicio completo, no trimestral."
Documentación. Presiones documentadas: (1) convenio de deuda, EBITDA mínimo trimestral 4,2M€, cierre Q3 en 4,3M€, fuente acuerdo bancario PT 10-3; (2) venta planificada del 60% del capital en Q1-2025, valoración vinculada a crecimiento de ingresos, fuente acta del consejo de septiembre 2024 PT 12-1; (3) CFO incorporado en marzo 2024, historial profesional en PT 08-2; (4) bonus directivo sobre EBITDA anual, esquema de compensación en PT 09-4.
Bloque 2: oportunidades por proceso
Ingresos (Laura). "El sistema permite marcar una entrega como completada sin subir la imagen de la firma del destinatario. El conductor marca entregado, y la imagen puede subirse hasta 48 horas después desde el almacén. La venta se factura con la marca de entrega, no con la imagen. Hay ventana para registrar ingresos sin entrega efectiva."
Complicación que surge en la sesión. Miguel interviene: "No es solo eso. Revisando la configuración del ERP la semana pasada para un control de sistemas, vi que tres usuarios del departamento comercial tienen permisos para modificar el estado de entrega después de haberla marcado. No hay log de auditoría activo sobre ese campo. Eso lo supe ayer." La sesión se detiene. Ana cambia el enfoque: el riesgo pasa de "reconocimiento anticipado por el conductor" a "modificación posterior del estado de entrega por usuario con acceso". Es un riesgo cualitativamente distinto, con un procedimiento de auditoría distinto. Se acuerda escalarlo y tratarlo como riesgo significativo separado.
Gastos de combustible (Miguel). "Tarjetas corporativas para combustible, reconciliación mensual. Con 150 vehículos y 800.000 euros trimestrales en combustible, hay margen para retrasar facturas hacia el siguiente trimestre si se quiere inflar margen puntualmente."
Nómina (Carlos). "Rotación del 40% anual en conductores. El proceso de alta completo en RRHH tarda hasta 30 días. Durante ese periodo el empleado cobra pero no está en la base de datos maestra de RRHH. Ventana para empleados fantasma o para mantener activos a empleados que ya se han ido."
Documentación. Oportunidades identificadas: (1) riesgo significativo — modificación de estado de entrega en ERP por usuarios con permisos no monitorizados, descubierto durante la sesión, escalado a riesgo significativo separado; (2) reconciliación mensual de gastos de combustible con volumen trimestral 800.000€; (3) proceso de alta de nómina de 30 días con rotación del 40% anual.
Bloque 3: señales de alerta operativas
- Volumen anormal de entregas marcadas completadas en los últimos diez días del trimestre sin imagen de firma cargada en 72 horas - Modificaciones de estado de entrega por usuarios distintos al conductor asignado (nuevo procedimiento derivado de la complicación) - Facturas de gasolineras con fecha de registro contable superior a 15 días desde la fecha de suministro en los últimos diez días del trimestre - Empleados activos en nómina con número de cuenta bancaria, dirección o teléfono duplicado en otro registro
Bloque 4: asignación de procedimientos
- Laura (PT 25-1): análisis de corte de ingresos comparando entregas marcadas como completadas frente a imágenes de firma cargadas en los últimos diez días de cada trimestre del ejercicio. - Miguel (PT 25-3, nuevo): extracción del log de modificaciones del campo "estado de entrega" del ERP durante todo el ejercicio y análisis de patrones anómalos por usuario. Este PT se añade a raíz de la complicación surgida en la sesión. - Miguel (PT 30-3): reconstrucción de gastos de combustible por ubicación de estación frente a rutas programadas para detectar patrones anómalos de registro. - Carlos (PT 35-2): prueba de empleados duplicados comparando cuenta bancaria, dirección, DNI y teléfono sobre el archivo maestro de nómina.
El PT 25-3 no habría existido si la sesión hubiera seguido el guion previsto. Es el valor específico que produjo la discusión: un riesgo significativo adicional detectado por cruce de contextos entre participantes.
Errores frecuentes y señales de alerta para el revisor
Sesiones genéricas. Memorando que habla de "riesgos de manipulación de ingresos" o "posibles irregularidades en compras" sin esquema concreto del cliente. Señal de trámite. En mi experiencia, estos memorandos son casi idénticos entre clientes del mismo socio. Si un revisor coge dos archivos del mismo partner y el bloque de oportunidades es intercambiable, el papel está flojo.
Presunciones no refutadas. La NIA-ES 240.27 presume riesgo de reconocimiento fraudulento de ingresos. Si el equipo considera que no aplica, la refutación debe estar documentada con argumento técnico, no con "no se considera aplicable." Cada vez que veo "no aplicable" sin desarrollo, sé que el ICAC lo marcaría.
Falta de conexión con procedimientos. Riesgos identificados en la sesión sin referencia al PT que los aborda. Es la falla más reprochada en las revisiones del ICAC sobre EIPs porque rompe la cadena de evidencia entre evaluación del riesgo y respuesta del auditor.
Sesión sin complicación. Si el memorando es un calco del año anterior con fechas actualizadas, el equipo no ha pensado. SALY. Una sesión que de verdad funciona produce al menos un cambio frente al ejercicio anterior: un riesgo nuevo identificado, un riesgo del año pasado reclasificado o retirado con justificación, o un procedimiento revisado.
Participación que no es participación. El manager que asiste en silencio y firma, el senior que toma notas sin intervenir. La NIA-ES 240.29 exige discusión, no asistencia. Si solo habla el socio, el archivo no evidencia discusión aunque el memorando diga lo contrario.
La sesión bien hecha es la que, tres meses después, cuando el trabajo de campo descubre algo, permite al equipo volver al memorando y decir "esto ya lo habíamos identificado como riesgo el 15 de octubre y el procedimiento PT 25-3 lo ha aflorado." Si no se puede decir eso, la sesión fue un trámite independientemente de lo bien redactado que esté el papel.
Contenido relacionado
- Glosario: Factores de riesgo de fraude NIA-ES 240 — definición completa y ejemplos de aplicación de los tres tipos de factores de riesgo - Kit de evaluación del riesgo de fraude NIA-ES 240 — plantillas y listas de verificación para documentar la evaluación completa del riesgo de fraude - Cómo diseñar procedimientos de auditoría específicos para riesgos de fraude identificados — conectar los resultados de la sesión de lluvia de ideas con procedimientos sustantivos efectivos
---