Índice

- Cambios principales y por qué importan - Nuevos requisitos de documentación - Ejemplo práctico: Restaurantes Mediterráneo S.L. - Lista de verificación práctica - Errores frecuentes a evitar - Contenido relacionado

Cambios principales y por qué importan

Qué cambió y cuándo entra en vigor

La NIA-ES 240 (revisada 2024) convierte la documentación del riesgo de fraude en un proceso continuo y estructurado. Deja de ser un trámite puntual al inicio del encargo. La adopción anticipada está permitida, pero la aplicación obligatoria empieza para ejercicios iniciados el 15 de diciembre de 2026 o después.

Antes: con la NIA-ES 240 original bastaba con documentar que se había considerado el riesgo de fraude y que el equipo había celebrado su discusión. Tres párrafos describiendo la reunión y una lista genérica de factores de riesgo cumplían el mínimo.

Después: la norma revisada pide documentación detallada de cada fase de la evaluación, con los factores específicos identificados, cómo se discutieron en el equipo, qué procedimientos se diseñaron en respuesta y cómo evolucionó el juicio del equipo a medida que avanzaba la auditoría.

En la práctica, lo que cambia no es tanto el trabajo como la prueba del trabajo. Y ahí es donde suelen estar las bombas de relojería.

Por qué el ICAC y la CNMV aprietan ahora

Los datos de inspección internacional son tozudos. El PCAOB 2023 encontró documentación inadecuada del riesgo de fraude en el 34% de los expedientes revisados. El Institute of Chartered Accountants in England and Wales (ICAEW) publicó en su revisión temática de 2024 que el 28% de los expedientes carecía de evidencia clara de que los riesgos específicos de la entidad se hubieran considerado de verdad. Por lo que conozco del mercado español, las inspecciones del ICAC sobre EIP y las revisiones conjuntas con la CNMV sobre entidades cotizadas van por la misma línea: no es que no se trabaje el fraude, es que los papeles están flojos.

Y hay contexto local que pesa. El caso Grifols-KPMG, todavía vivo en 2025-2026, es el recordatorio de que cuando un asunto salta a prensa el expediente se lee con lupa. Gowex sigue citándose en los cursos de formación del ICAC diez años después por la misma razón. La norma revisada responde exigiendo que la documentación demuestre no sólo que se consideró el fraude, sino cómo se consideró en el contexto concreto de esta entidad, con este equipo directivo y en este ejercicio.

Nuevos requisitos de documentación

Documentación de factores de riesgo de fraude

El párrafo NIA-ES 240.A78bis exige que el auditor documente los factores de riesgo de fraude específicos identificados para la entidad, no una lista genérica extraída del Anexo 1. En el terreno, esto supone documentar:

- Factores específicos de la entidad: cuáles de los factores del Anexo 1 se han identificado como relevantes en esta auditoría en particular, y por qué. - Factores adicionales: cualquier factor propio del sector, la estructura organizativa o las circunstancias de la entidad que no aparezca en la lista estándar. - Evaluación de relevancia: por qué cada factor se considera relevante y cómo podría manifestarse en incorrecciones materiales debidas a fraude.

Lo que realmente ocurre cuando llega el inspector es simple: abre el expediente por el Anexo 1 y compara el texto con otros expedientes del mismo despacho. Si el copiado y pegado se nota, el resto de la prueba de escepticismo profesional pierde credibilidad de golpe.

Documentación de discusiones del equipo

La NIA-ES 240.16 (revisada) amplía el detalle exigible sobre la discusión del equipo. La documentación debe incluir:

Participantes y roles: quién participó en cada discusión y con qué responsabilidad dentro del encargo. Si el socio encargado no estuvo en alguna sesión, hay que documentar por qué y cómo se le trasladaron las conclusiones.

Contenido específico discutido: los riesgos de fraude concretos para esta entidad, no generalidades sobre susceptibilidad al fraude. Debe quedar claro qué partes del negocio del cliente se consideraron vulnerables y por qué.

Conclusiones del equipo: qué decidió el equipo sobre cada riesgo identificado, si lo clasificó como riesgo significativo y qué procedimientos adicionales se diseñaron.

En los encargos que he llevado, la diferencia entre una minuta útil y una minuta de trámite se ve en la tercera línea. La útil menciona nombres de procesos, importes, dudas reales del equipo. La de trámite repite el índice de la norma.

Documentación de procedimientos de evaluación del riesgo

El párrafo NIA-ES 240.A78ter pide documentación específica de los procedimientos realizados para identificar y evaluar los riesgos de fraude. Incluye:

- Indagaciones concretas: no basta con escribir "se realizaron indagaciones sobre fraude". Hay que especificar a quién se preguntó, qué se preguntó exactamente y qué respuesta se obtuvo. - Procedimientos analíticos: si se usaron para identificar riesgos de fraude, documentar cuáles, qué patrones o anomalías aparecieron y cómo se siguieron. - Observación e inspección: cualquier observación de procesos o inspección de documentos hecha específicamente para evaluar riesgos de fraude, con resultados concretos.

Desde mi punto de vista, aquí es donde más encargos fallan, porque los analíticos de riesgo de fraude se confunden con los analíticos preliminares de planificación. Son cosas distintas, y el inspector los separa.

Ejemplo práctico: Restaurantes Mediterráneo S.L.

Entidad: Restaurantes Mediterráneo S.L., Valencia Ingresos 2024: 12,4 millones de euros Empleados: 180 Estructura: 8 restaurantes de servicio completo, cocina central, almacén

identificar factores de riesgo específicos

Documentación requerida: lista de factores identificados con justificación específica para esta entidad.

Factores de presión financiera identificados: - Márgenes reducidos por el aumento del coste de la materia prima (inflación del 8,2% en productos básicos según datos internos del cliente). - Préstamo bancario con ratio de cobertura del servicio de la deuda de 1,15x, cerca del covenant de 1,10x.

Factores de oportunidad identificados: - Manejo intensivo de efectivo en los 8 puntos de venta. - Inventario de alimentos perecederos con valoración subjetiva (mermas, rotación). - Sistemas de TPV descentralizados con supervisión limitada.

Factores de racionalización identificados: - Propiedad familiar con familiares en puestos principales: esposa como directora financiera e hijo como gerente de operaciones.

Nota de documentación: cada factor debe vincularse a evidencia específica obtenida durante los procedimientos de conocimiento de la entidad.

documentar las discusiones del equipo

Documentación requerida: minutas detalladas de cada reunión con conclusiones específicas.

Reunión inicial del equipo — 15 de enero de 2025 Participantes: José Martínez (socio), Carmen Ruiz (gerente), Luis García (senior), Ana López (junior).

Riesgos específicos discutidos: - Manipulación de ingresos: el equipo consideró la posibilidad de subregistro de ventas en efectivo para evadir impuestos. Conclusión: riesgo significativo por el alto volumen de efectivo. - Apropiación indebida de inventario: por el valor y la naturaleza perecedera del inventario, el equipo identificó riesgo de sustracciones por empleados. Conclusión: riesgo no significativo pero requiere procedimientos específicos. - Gastos ficticios: el equipo valoró la posibilidad de facturas falsas de proveedores para inflar costes. Conclusión: riesgo bajo por los controles de autorización observados.

Nota de documentación: la minuta debe recoger el razonamiento detrás de cada conclusión.

Aquí es donde aparece la discrepancia honesta que la norma revisada quiere que se documente. El socio A sostiene que el riesgo de gastos ficticios es bajo porque los controles de autorización son dobles a partir de 1.000 euros. El socio B, responsable del control de calidad, discrepa: el umbral de 1.000 euros deja fuera el grueso de las compras operativas diarias, y por lo que conoce del sector, es justo ese tramo el que usan los gerentes familiares para sacar efectivo. Los dos tienen argumentos. La norma no pide que se imponga uno sobre otro, pide que el expediente recoja la discusión y la conclusión razonada.

documentar los procedimientos de evaluación del riesgo

Documentación requerida: descripción específica de cada procedimiento con resultados obtenidos.

Indagaciones realizadas: - Al director general (15/01/2025): preguntamos sobre conocimiento de fraude, presiones financieras y cambios en controles internos. Respuesta: sin conocimiento de fraudes, reconoce presión por márgenes, confirma que no ha habido cambios en el personal principal de control. - Al director financiero (16/01/2025): preguntamos sobre procesos de cierre, revisiones de gerencia y autorización de gastos. Respuesta: cierre estándar, revisiones mensuales implementadas en 2024, gastos superiores a 1.000 euros requieren dos firmas. - Al personal operativo (20/01/2025): preguntamos sobre manejo de efectivo y supervisión en restaurantes. Respuesta: recuento diario por restaurante, revisión semanal del gerente, arqueos sorpresa trimestrales.

Procedimientos analíticos realizados: - Análisis de márgenes por ubicación: el restaurante de la Ciudad de las Artes muestra márgenes 3,2 puntos superiores a la media sin explicación operativa aparente. - Revisión de fluctuaciones de inventario: variaciones de mermas entre 2,1% y 4,8% por ubicación, dentro del rango esperable para el sector.

Nota de documentación: cada anomalía identificada debe tener seguimiento documentado en fases posteriores de la auditoría.

conclusión y evaluación continua

Documentación requerida: resumen de conclusiones y plan para la evaluación continua durante la auditoría.

Con base en los procedimientos realizados, concluimos que existe un riesgo significativo de incorrecciones materiales debidas a fraude relacionado con el reconocimiento de ingresos en efectivo. Los procedimientos adicionales incluyen arqueos sorpresa extra, conciliación de ingresos con registros de pagos con tarjeta y análisis detallado de la ubicación con márgenes anómalos.

Un matiz que la mayoría de guías pasa por alto: si el inspector identifica que su evaluación inicial del riesgo no cambió en ningún momento entre enero y el cierre, la conclusión más probable no es que su juicio fuera perfecto, es que no hubo reevaluación real. La documentación del riesgo de fraude bajo la norma revisada se juzga por cómo se mueve, no sólo por cómo empieza.

Lista de verificación práctica

Esta lista sirve para verificar que su documentación cumple con los nuevos requisitos de la NIA-ES 240 (revisada):

1. Factores de riesgo documentados: cada factor identificado está vinculado a circunstancias específicas de la entidad, no copiado de una lista genérica.

2. Discusiones del equipo documentadas: las minutas incluyen participantes, riesgos específicos discutidos y conclusiones del equipo con su justificación.

3. Procedimientos de evaluación documentados: cada indagación, procedimiento analítico y observación realizada para evaluar riesgos de fraude está documentada con resultados específicos.

4. Conexión con procedimientos posteriores: la documentación muestra cómo los riesgos identificados se tradujeron en procedimientos de auditoría adicionales en fases posteriores.

5. Evaluación continua: el expediente demuestra que la evaluación del riesgo de fraude se revisó durante la auditoría cuando se obtuvo información nueva relevante.

6. Revisión del socio: la documentación incluye evidencia de que el socio encargado revisó y aprobó las conclusiones sobre riesgos de fraude según NIA-ES 220.16A.

Errores frecuentes a evitar

- Documentación genérica: copiar factores del Anexo 1 de la NIA-ES 240 sin vincularlos a circunstancias específicas. Los inspectores del ICAC (y de la CNMV cuando se trata de EIP) detectan este patrón de inmediato porque lo ven en varios expedientes del mismo despacho a la vez.

- Minutas vagas: escribir "se discutió el riesgo de fraude" sin especificar qué riesgos se consideraron y qué concluyó el equipo sobre cada uno. Si falta chicha en la minuta, el inspector concluye que faltó chicha en la reunión.

- Falta de seguimiento: identificar riesgos de fraude pero no documentar cómo se tradujeron en procedimientos específicos o en modificaciones al enfoque de auditoría. La norma revisada convierte esta desconexión en hallazgo casi automático.

Un último aviso. Hay un incentivo perverso que conviene nombrar: cuando el socio necesita el cliente, el riesgo de fraude acaba clasificándose como bajo con más frecuencia de lo que la evidencia sostendría. La norma revisada no va a resolver ese sesgo, pero sí obliga a dejarlo por escrito. Y lo escrito, en caso de inspección o en caso Grifols, pesa.

Contenido relacionado

- Glosario: Factores de riesgo de fraude — Definición y ejemplos de los tres tipos de factores según NIA-ES 240, Anexo 1.

- Kit de evaluación del riesgo de fraude NIA-ES 240 — Plantillas de documentación que cumplen con los nuevos requisitos de la NIA-ES 240 (revisada), incluyendo formatos para minutas de reuniones del equipo y listas de verificación de factores de riesgo.

- Entrada de blog: Cómo aplicar escepticismo profesional en la evaluación de riesgo de fraude — Técnicas prácticas para mantener escepticismo profesional durante la evaluación de riesgos de fraude bajo los requisitos revisados.

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.