Contenido

Marco normativo de la comunicación de deficiencias

La NIA-ES 265.9 establece que el auditor debe comunicar por escrito las deficiencias significativas en el control interno a los responsables del gobierno corporativo. Esta comunicación no es opcional ni puede limitarse a una conversación verbal.

Deficiencias significativas versus deficiencias menores


El párrafo NIA-ES 265.12 define una deficiencia significativa como aquella que, individualmente o en combinación con otras deficiencias, merece la atención de los responsables del gobierno corporativo. La distinción importa porque determina el nivel de comunicación requerido:

Destinatarios de la comunicación


Según NIA-ES 265.13, las deficiencias significativas se comunican a los responsables del gobierno corporativo. En sociedades anónimas españolas, estos son normalmente el consejo de administración o la comisión de auditoría si existe. En sociedades de responsabilidad limitada, puede ser la junta de socios o el órgano de administración designado.
La NIA-ES 265.A21 permite comunicar primero a la dirección cuando sea apropiado, pero la comunicación formal debe dirigirse al nivel de gobierno corporativo especificado.

  • Deficiencias significativas: comunicación obligatoria por escrito a los responsables del gobierno corporativo
  • Deficiencias menores: comunicación opcional a la dirección, generalmente mediante carta de recomendaciones

Elementos obligatorios del informe de hallazgos

Cada deficiencia significativa debe documentarse con suficiente detalle para que los destinatarios comprendan:

1. Descripción de la deficiencia


La NIA-ES 265.A23 requiere una descripción clara de la deficiencia identificada. No basta con decir "controles inadecuados sobre ingresos". La descripción debe explicar qué control específico falta o funciona mal.
Ejemplo inadecuado: "Deficiencias en el control de inventarios."
Ejemplo adecuado: "La empresa no realiza recuentos físicos periódicos de inventario durante el ejercicio. El último recuento físico completo se realizó en diciembre de 2022. Los movimientos de inventario se registran únicamente basándose en albaranes de entrada y salida, sin verificación física independiente."

2. Explicación del posible efecto


La NIA-ES 265.A24 especifica que la comunicación debe explicar el posible efecto de cada deficiencia en los estados financieros. Esta sección conecta la deficiencia del control interno con el riesgo de incorrección material.
El efecto debe describirse en términos de:

3. Información contextual suficiente


El párrafo NIA-ES 265.A25 establece que la comunicación debe proporcionar información contextual suficiente. Esto incluye:

4. Fecha de comunicación y respuesta esperada


La NIA-ES 265.14 requiere que la comunicación sea oportuna. El informe debe especificar la fecha límite para la respuesta de la dirección y el seguimiento previsto en ejercicios futuros.

  • Qué cuentas o aseveraciones podrían verse afectadas
  • Qué tipo de incorrecciones podrían ocurrir (sobreestimación, subestimación, omisión)
  • La magnitud potencial del riesgo
  • Cómo se identificó la deficiencia
  • Si la deficiencia resultó en incorrecciones identificadas
  • Si existen controles compensatorios que mitiguen parcialmente el riesgo
  • Cualquier acción correctiva ya iniciada por la dirección

Estructura recomendada por hallazgo

Basándose en los requisitos de la NIA-ES 265 y las mejores prácticas de las firmas auditoras españolas, cada hallazgo debe seguir esta estructura:

Encabezado del hallazgo


[Título descriptivo] – Deficiencia significativa

Condición observada


Qué encontraste exactamente. Hechos objetivos, no interpretaciones.

Criterio aplicable


Qué norma, política o control debería existir. Referencias específicas al marco de control interno adoptado por la entidad.

Causa identificada


Por qué ocurre la deficiencia. Análisis de causa raíz cuando sea posible.

Efecto potencial


Impacto en los estados financieros si la deficiencia no se corrige. Cuantificación cuando sea factible.

Recomendación


Acción específica que debería tomar la dirección. Pragmática y factible.

Respuesta de la dirección


Comentarios recibidos de la entidad. Fecha de aplicación prevista si se acepta la recomendación.

Seguimiento del auditor


Cómo se evaluará la corrección en el próximo ejercicio.

Ejemplo práctico: Constructora Mediterránea S.L.

> Entidad auditada: Constructora Mediterránea S.L., Valencia
> Facturación 2023: 24,8 millones de euros
> Empleados: 187
> Sector: Construcción y promoción inmobiliaria
> Marco de información financiera: Plan General de Contabilidad
> Responsables del gobierno corporativo: Consejo de administración (5 miembros)
Durante la auditoría de las cuentas anuales 2023, el equipo auditor identificó tres deficiencias significativas en el control interno. El informe dirigido al consejo de administración documenta cada deficiencia siguiendo la estructura descrita:

Hallazgo 1: Ausencia de controles sobre reconocimiento de ingresos por obras en curso


Condición observada:
La empresa no dispone de procedimientos formalizados para verificar el grado de avance de las obras en curso al cierre del ejercicio. Los ingresos por obras en curso (12,4 millones de euros al 31/12/2023) se calculan basándose únicamente en estimaciones del director técnico, sin revisión independiente ni documentación de soporte.
Evidencia obtenida: Revisión de 15 obras en curso, entrevistas con el director técnico y el director financiero, análisis de la documentación de soporte disponible.
Criterio aplicable:
Según el Plan General de Contabilidad, norma 14ª sobre ingresos por ventas y prestación de servicios, los ingresos por obras en curso deben reconocerse en función del grado de realización cuando el resultado de la transacción pueda ser estimado con fiabilidad. Esto requiere sistemas de medición fiables del trabajo realizado.
Causa identificada:
La empresa ha crecido rápidamente (de 8 obras simultáneas en 2021 a 23 obras en 2023) sin actualizar los sistemas de control interno. El director técnico asume personalmente la evaluación del avance de todas las obras, creando un punto único de dependencia.
Efecto potencial:
Sin controles adecuados, existe riesgo importante de incorrecciones materiales en los ingresos reconocidos y en el resultado del ejercicio. Una desviación del 5% en las estimaciones del grado de avance afectaría el resultado en aproximadamente 620.000 euros (materialidad: 495.000 euros).
Recomendación:
Implementar un procedimiento formal de certificación de obra que incluya: (1) informes técnicos mensuales por obra con mediciones verificables, (2) revisión independiente por un segundo técnico cualificado, y (3) conciliación mensual entre certificaciones técnicas y registros contables.
Respuesta de la dirección:
"Aceptamos la recomendación. Implementaremos el procedimiento propuesto durante el primer trimestre de 2024. Hemos contratado un segundo arquitecto técnico que comenzará en febrero de 2024."
Seguimiento del auditor:
En la auditoría 2024 evaluaremos: (1) si el procedimiento se ha implementado según lo descrito, (2) si funciona eficazmente durante todo el ejercicio, y (3) si los informes técnicos proporcionan evidencia suficiente y adecuada para las certificaciones de ingresos.
Documentación: Carta de la dirección de fecha 15 de febrero de 2024, contrato de trabajo del nuevo arquitecto técnico.

Hallazgo 2: Control inadecuado sobre autorizaciones de pagos superiores a 50.000 euros


Condición observada:
Durante el ejercicio 2023 se procesaron 47 pagos superiores a 50.000 euros (total: 8,9 millones de euros) sin la doble autorización requerida por la política interna de la empresa. El sistema informático permite que el director financiero autorice y ejecute estos pagos sin aprobación adicional.
Evidencia obtenida: Análisis de todas las transferencias superiores a 50.000 euros registradas en 2023, pruebas de recorrido del proceso de pagos, revisión de la configuración del sistema bancario online.
Criterio aplicable:
La política interna de Control de Tesorería (versión 2.1, aprobada por el consejo en marzo de 2022) establece que los pagos superiores a 50.000 euros requieren autorización del director financiero más firma adicional del director general o consejero delegado.
Causa identificada:
La migración al nuevo sistema bancario online en junio de 2023 eliminó la configuración de doble autorización que existía en el sistema anterior. El departamento de sistemas no replicó correctamente los controles de autorización durante la migración.
Efecto potencial:
La ausencia de doble autorización aumenta el riesgo de pagos no autorizados o fraudulentos. Aunque no se han identificado incorrecciones en el ejercicio actual, la debilidad del control interno expone a la empresa a pérdidas significativas.
Recomendación:
Reconfigurar inmediatamente el sistema bancario online para requerir doble autorización en todos los pagos superiores a 50.000 euros. Implementar controles compensatorios hasta completar la reconfiguración: revisión semanal del director general de todos los pagos superiores al límite establecido.
Respuesta de la dirección:
"Corregiremos la configuración del sistema bancario antes del 31 de marzo de 2024. Mientras tanto, el director general revisará semanalmente todos los pagos superiores a 50.000 euros y firmará un informe de conformidad."
Seguimiento del auditor:
Verificaremos en marzo de 2024 que la configuración se ha corregido y probaremos la efectividad del control de doble autorización durante la auditoría 2024.
Documentación: Screenshots de la configuración actual del sistema bancario, correspondencia con el banco sobre la reconfiguración programada.

Hallazgo 3: Ausencia de revisión independiente de conciliaciones bancarias


Condición observada:
Las conciliaciones bancarias mensuales de las 8 cuentas bancarias de la empresa son preparadas y revisadas por la misma persona (el contable senior). No existe evidencia de revisión independiente por parte del director financiero o un supervisor.
Evidencia obtenida: Revisión de las 96 conciliaciones bancarias del ejercicio 2023 (8 cuentas x 12 meses), entrevistas con el contable senior y el director financiero.
Criterio aplicable:
Las mejores prácticas de control interno requieren segregación de funciones en procesos críticos como las conciliaciones bancarias. El Marco Integrado de Control Interno (COSO) especifica que las actividades de revisión deben ser independientes de quien prepara la información.
Causa identificada:
El departamento de contabilidad tiene recursos limitados (3 personas) y el director financiero considera que confía plenamente en la competencia del contable senior. No se ha formalizado un proceso de revisión por considerarlo innecesario.
Efecto potencial:
Sin revisión independiente, existe riesgo de que errores o irregularidades en las conciliaciones bancarias pasen desapercibidos. Las cuentas bancarias representan 3,2 millones de euros al cierre del ejercicio, y incorrecciones en este saldo afectarían directamente la liquidez reportada.
Recomendación:
El director financiero debe revisar mensualmente todas las conciliaciones bancarias antes del día 10 del mes siguiente, documentando su revisión mediante firma y fecha en cada conciliación. Establecer un procedimiento que requiera investigación y resolución de todas las partidas pendientes de conciliar superiores a 5.000 euros o con más de 30 días de antigüedad.
Respuesta de la dirección:
"Implementaremos la revisión mensual del director financiero a partir de enero de 2024. Crearemos un checklist de revisión que incluya los elementos sugeridos."
Seguimiento del auditor:
Durante la auditoría 2024 probaremos una muestra de conciliaciones bancarias para verificar que incluyen evidencia de revisión independiente y que las partidas antiguas se investigan según el procedimiento establecido.
Documentación: Modelo de checklist de revisión proporcionado por la dirección.

Lista de verificación para cada hallazgo

Antes de finalizar el informe de deficiencias, verificar que cada hallazgo incluye:

  • Descripción factual de la condición observada
  • Qué se encontró específicamente
  • Cómo se identificó la deficiencia
  • Cuantificación cuando sea relevante (montos, frecuencias, porcentajes)
  • Criterio de referencia claro
  • Norma contable, legal o de control interno que aplica
  • Política interna de la entidad si es relevante
  • Mejores prácticas del sector cuando sea apropiado
  • Análisis de causa identificada
  • Por qué ocurre la deficiencia
  • Si es un problema sistémico o aislado
  • Factores contribuyentes (recursos, formación, sistemas, etc.)
  • Evaluación del impacto potencial
  • Efecto posible en los estados financieros
  • Cuentas o aseveraciones que podrían verse afectadas
  • Cuantificación del riesgo cuando sea factible
  • Recomendación específica y factible
  • Acción concreta que debe tomar la dirección
  • Plazo razonable para la aplicación
  • Responsable sugerido para la corrección
  • Documentación de la respuesta de la dirección
  • Aceptación o rechazo de la recomendación
  • Fecha de aplicación comprometida
  • Acciones alternativas si no acepta la recomendación original
  • Plan de seguimiento del auditor
  • Cómo se evaluará la corrección en ejercicios futuros
  • Qué evidencia se solicitará
  • Cuándo se realizará el seguimiento

Errores más frecuentes

Descripción genérica de la deficiencia: Escribir "controles inadecuados" sin especificar qué control falta o funciona mal. Los destinatarios no pueden actuar sobre información vaga.
Omisión de la respuesta de la dirección: Enviar el informe sin solicitar y documentar los comentarios de la entidad sobre cada hallazgo. La NIA-ES 265.A26 alienta obtener esta respuesta.
Recomendaciones impracticables: Sugerir controles que requieren recursos significativos sin considerar el tamaño y naturaleza de la entidad. Las recomendaciones deben ser proporcionales al riesgo y factibles para la organización.

Recursos relacionados

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.