El problema: la matriz que no aguanta una revisión
La NIA-ES 240.28 exige al auditor diseñar e implementar respuestas para hacer frente a los riesgos valorados de incorrección material debida a fraude. Esto lo sabe cualquiera que haya leído la norma. La dificultad no está ahí.
En teoría, el equipo identifica riesgos específicos a nivel de aseveración, los puntúa y vincula cada uno con procedimientos diseñados para ese riesgo. En la práctica, lo que aparece en el archivo es una lista de tres o cuatro categorías genéricas ("manipulación de ingresos", "sobrevaloración de activos", "elusión de controles por la dirección") con procedimientos estándar copiados del encargo del año anterior. El papel lo aguanta todo hasta que alguien lo revisa con criterio.
El revisor lo nota en segundos. Cuando el riesgo es "reconocimiento prematuro de ingresos" y el procedimiento vinculado es "revisión analítica de ventas comparativa con el ejercicio anterior", la desconexión canta. La NIA-ES 240.A29 lo dice sin rodeos: los procedimientos eficaces para detectar errores pueden no serlo para detectar incorrecciones materiales debidas a fraude. Vaya por delante que esto no es una opinión del auditor. Es el texto de la norma.
Entonces, ¿por qué ocurre? Por una razón estructural que nadie pone por escrito. El equipo tiene presupuesto cerrado, el socio necesita el cliente, y rediseñar procedimientos cada año cuesta horas que el fee no cubre. Hemos visto esto en encargos de 24.000 euros y también en encargos de 180.000 euros. La presión es la misma: sacar adelante con lo que hay.
La matriz sirve para cortar ese nudo. No porque sea un formulario más. Sirve porque obliga a dejar por escrito el vínculo entre cada riesgo y el procedimiento que responde a él, con puntuación y fecha. Esa es la diferencia entre marcar la casilla y construir un archivo que cuente una historia.
Ejemplo práctico: Mediterránea Industrial S.L.
Contexto. Mediterránea Industrial S.L., sede en Valencia, facturación de 24,8 millones de euros, fabricante de componentes para automoción. El director comercial tiene objetivos de bonificación vinculados al crecimiento de ingresos del 15% anual. El ejercicio cierra el 31 de diciembre y el equipo está en campo desde el 15 de enero.
El año pasado la matriz del archivo tenía dos categorías ("ingresos" y "gastos") y dos procedimientos estándar. El revisor de calidad del encargo (EQR) nos pidió rehacerla. Lo que sigue es la versión que pasó esa revisión.
Identificar riesgos específicos a nivel de aseveración
La matriz empieza con riesgos concretos, no con categorías generales. Una categoría general es un titular. Un riesgo específico es una hipótesis que se puede probar.
Riesgo 1: reconocimiento prematuro de ingresos mediante facturación de mercancía no despachada en diciembre. - Aseveración afectada: corte (cut-off). - Documentación: "Entrevista con controller 12/11/2024: presión para alcanzar objetivo anual, historial de ventas concentradas en diciembre. Q4 representa el 38% de ventas anuales los últimos tres ejercicios."
Riesgo 2: sobrevaloración de inventario mediante inclusión de productos obsoletos sin reserva. - Aseveración afectada: valoración. - Documentación: "Observación de inventario 15/01/2025: productos modelo 2019-2021 sin movimiento identificados en pasillo 4. Gerente de planta indica 'todavía vendibles'. No hay soporte documental de esa afirmación."
La diferencia con la versión del año anterior es sutil pero relevante: cada riesgo nombra la aseveración afectada y la evidencia que lo justifica. En nuestra experiencia, esa es la línea que divide un riesgo trabajable de una etiqueta.
Evaluar probabilidad e impacto
Cada riesgo recibe una puntuación de 1 a 5 en probabilidad y en impacto. Por qué numérica y no cualitativa: porque "medio" significa cosas distintas para cada miembro del equipo, y cuando el revisor pregunta "¿por qué medio y no alto?", no hay respuesta defendible.
Riesgo 1 — ingresos prematuros: - Probabilidad: 4 (incentivos directos del director comercial, historial documentado de concentración en diciembre, controles de despacho con supervisión única). - Impacto: 3 (materialidad global 248.000 €, ventas diciembre típicamente 3,2 M €, una manipulación del 10% supera holgadamente la performance materiality). - Puntuación total: 12. - Documentación: "Probabilidad alta por bonus vinculado a crecimiento. Impacto moderado basado en volumen ventas Q4. Puntuación 12 de 25."
Riesgo 2 — inventario sobrevalorado: - Probabilidad: 3 (productos identificados sin movimiento, resistencia gerencial observada, sin señales de manipulación deliberada pero sí de sesgo). - Impacto: 4 (inventario total 4,1 M €, obsoletos estimados 800.000 €, reserva supera performance materiality). - Puntuación total: 12. - Documentación: "Probabilidad media-alta por observación directa. Impacto alto: la reserva necesaria supera el umbral de materialidad de desempeño."
Aquí es donde el expediente se complica. El año pasado el gerente de planta cambió. El nuevo responsable nos dijo que los productos del modelo 2019 "se reactivarían en Q2 con un contrato pendiente". No había contrato firmado. No había oferta por escrito. Solo una conversación de café. La NIA-ES 240 no nos dice qué hacer con ese tipo de evidencia. Nos dice que mantengamos escepticismo profesional (NIA-ES 240.12). El juicio lo tiene que poner el equipo.
Lo que hicimos: subimos la probabilidad de 3 a 4 y bajamos el umbral de muestreo. El coste fue de ocho horas adicionales. Se lo justificamos al socio enseñándole la nota del papel de trabajo.
Diseñar procedimientos específicos
La puntuación determina la naturaleza y el alcance. Una puntuación de 12 exige procedimientos diseñados, no procedimientos heredados.
Para el Riesgo 1 (puntuación 12): - Procedimiento principal: prueba de corte ampliada cubriendo 15 días antes y después del cierre. - Procedimiento adicional: confirmación independiente de términos de entrega con 15 clientes de ventas diciembre, con contacto telefónico si no responden por escrito en 10 días. - Alcance: 100% de ventas superiores a 50.000 € en las últimas dos semanas del año, más muestreo estadístico del resto. - Documentación: "NIA-ES 240.A33: procedimientos diseñados específicamente para el riesgo de corte identificado. Alcance justificado por la puntuación 12 según matriz."
Para el Riesgo 2 (puntuación 12, elevada a 13 tras observación): - Procedimiento principal: análisis de antigüedad por línea de producto con prueba independiente de precios de mercado (tres cotizaciones de competencia sobre referencias representativas). - Procedimiento adicional: entrevista separada con el responsable de inventario, sin el gerente de planta presente. En nuestra experiencia, esta separación cambia lo que la gente cuenta. - Alcance: 100% de productos sin movimiento más de 12 meses, muestreo del 25% de productos con rotación entre 6 y 12 meses. - Documentación: "NIA-ES 240.26: respuesta específica al riesgo de sobrevaloración identificado en planificación y reforzado en observación."
Establecer criterios de actualización
La matriz incluye reglas para modificar procedimientos durante el encargo. Esto es lo que salva el archivo cuando aparece la "discrepancia menor" a tres semanas del cierre.
Criterio de escalación. Si cualquier riesgo aumenta de puntuación durante fieldwork por evidencia nueva, se amplía el alcance del procedimiento vinculado en un 50% y se documenta la causa.
Criterio de nuevos riesgos. Riesgos identificados después de la planificación con puntuación superior a 8 exigen procedimientos adicionales inmediatos y revisión del EQR antes del cierre del fieldwork.
Documentación del caso real: "Matriz revisada 28/01/2025: nuevo riesgo de manipulación de gastos de representación identificado en revisión de actas del consejo del 14/12/2024 (puntuación 10). Procedimientos adicionales implementados: revisión 100% de gastos superiores a 3.000 € últimos seis meses, confirmación con proveedores de tres pagos atípicos."
Lo que el papel tiene que demostrar
1. Riesgos específicos a nivel de aseveración. No vale "fraude de gestión". Vale "reconocimiento prematuro por facturación de mercancía no despachada en diciembre (corte)". 2. Criterios de puntuación documentados. Probabilidad e impacto en escalas numéricas con justificación escrita. Si alguien del equipo no podría defender por qué un riesgo es 3 y no 4, la puntuación no es suya: es del archivo del año pasado. 3. Vínculo explícito entre puntuación y procedimiento. La NIA-ES 240.28 exige procedimientos diseñados para cada riesgo. Un procedimiento sustantivo estándar copiado de la NIA-ES 330 no cumple esta exigencia si el riesgo es específicamente de fraude. 4. Lógica de naturaleza y alcance. Por qué este procedimiento, por qué este alcance, por qué este momento. Una línea por cada decisión. 5. Criterios de actualización firmados. Cuándo se modifica, quién decide, qué evidencia dispara el cambio. Sin esto, la matriz es fotografía, no película. 6. Revisión semanal durante fieldwork. La NIA-ES 240.31 exige reevaluar cuando aparece información nueva. Una revisión semanal durante campaña es el mínimo defendible.
Donde los socios discrepan
Hay un punto donde dos socios razonables llegan a conclusiones distintas con los mismos datos: el peso relativo de los incentivos de la dirección en la puntuación de probabilidad.
Posición A (Socio A): los incentivos son una señal fuerte y justifican subir probabilidad a 4 o 5. Razonamiento: la NIA-ES 240.A11 enumera los incentivos como uno de los tres vértices del triángulo del fraude, y cuando el bonus está directamente vinculado al indicador manipulable, la presión es estructural. No valorarlo alto es ignorar la norma.
Posición B (Socio B): los incentivos son una condición necesaria pero no suficiente. Razonamiento: la mayoría de directivos con incentivos agresivos no cometen fraude, y puntuar alto por defecto genera procedimientos desproporcionados que consumen horas sin añadir evidencia útil. Hay que combinar incentivo con oportunidad observada (controles débiles) y racionalización detectable (cultura de resultados a cualquier precio).
Por lo que conozco, la Posición B refleja mejor cómo se aplica la norma en la práctica, pero la Posición A es más defensiva ante una inspección del ICAC. Si la puntuación la sube el socio más defensivo, el equipo tiene que ejecutar procedimientos adicionales sin fee adicional. Ese es el coste real de la discrepancia.
Errores frecuentes que hemos visto en revisión
- Procedimientos genéricos para riesgos específicos. Aplicar la prueba estándar de corte cuando el riesgo es corte con manipulación deliberada. Son procedimientos distintos con alcance distinto. - Evaluación cualitativa sin criterios. "Alto", "medio", "bajo" sin escalas numéricas ni justificación. El revisor no puede evaluar una puntuación si no sabe qué significa. - Matriz estática durante el encargo. No actualizar procedimientos cuando nueva evidencia modifica la evaluación inicial. La matriz de planificación que nunca se toca es un formulario, no una herramienta. - Puntuación heredada del año anterior. Copiar probabilidad e impacto del ejercicio previo sin reevaluar. Los riesgos cambian con la empresa, con la dirección y con el mercado.
¿Por qué tan pocas matrices aguantan una inspección?
Porque construir una matriz que funcione exige tiempo que el fee no paga. Ese es el nudo. La NIA-ES 240 asume un auditor con presupuesto suficiente para diseñar procedimientos específicos cada año. El mercado español asume un auditor que compite por precio. Mientras esos dos supuestos no se reconcilien, la matriz genérica seguirá siendo la norma y la matriz específica seguirá siendo la excepción que defiende el archivo cuando llega el ICAC.
Contenido relacionado
- Glosario: Riesgo de fraude. Definición técnica y requerimientos de evaluación según NIA-ES 240. - Kit de Evaluación del Riesgo de Fraude NIA-ES 240. Plantillas de trabajo y cuestionarios estructurados para identificar y evaluar riesgos. - Documentación de Procedimientos Sustantivos NIA-ES 330. Cómo vincular procedimientos con riesgos identificados de manera que resista revisión.