Contenido

1. Por qué los informes de hallazgos se escriben mal 2. Marco normativo de la comunicación de deficiencias 3. Elementos obligatorios del informe de hallazgos 4. Estructura recomendada por hallazgo 5. Ejemplo práctico: Constructora Mediterránea S.L. 6. Lista de verificación para cada hallazgo 7. Errores más frecuentes 8. Recursos relacionados

Por qué los informes de hallazgos se escriben mal

Un informe de hallazgos no falla porque el auditor no haya identificado la deficiencia. Falla porque la escritura del hallazgo es lo último que se hace, a las cuatro de la tarde de un viernes, con la formulación de las cuentas anuales (CCAA) pactada para el lunes. En mi caso, he visto papeles de trabajo (PT) impecables en la identificación y papeles que daban vergüenza en la comunicación. El socio A dirá que lo importante es detectar el problema y que redactar es un tema de estilo. El socio B responderá que si el consejo no entiende la deficiencia, el auditor ha cumplido formalmente y ha fallado en la sustancia. Los dos tienen parte de razón, pero el ICAC inspecciona la sustancia.

Aquí está la contradicción estructural: la NIA-ES 265 exige comunicar para que los responsables del gobierno corporativo actúen, pero el mercado paga por detectar, no por comunicar. El sistema de honorarios de auditoría español premia la eficiencia, y redactar un hallazgo bien documentado requiere tiempo que el presupuesto del encargo no tiene. Vaya por delante que esto no justifica los papeles flojos. Pero explica por qué los hay.

Marco normativo de la comunicación de deficiencias

La NIA-ES 265.9 exige al auditor comunicar por escrito las deficiencias significativas en el control interno a los responsables del gobierno corporativo. No es opcional. No puede reducirse a una conversación verbal con el director financiero al margen de la reunión de cierre.

Qué falla: confundir «gravedad» con «cantidad»

Lo que realmente ocurre es que muchos equipos agrupan todas las deficiencias en un único apartado y las gradúan por longitud del texto: las importantes llevan tres párrafos, las menores un renglón. El problema es que la NIA-ES 265 no distingue por extensión sino por destinatario. La distinción importa porque determina el canal formal.

Deficiencias significativas frente a deficiencias menores

El párrafo NIA-ES 265.12 define una deficiencia significativa como aquella que, individualmente o en combinación con otras, merece la atención de los responsables del gobierno corporativo. La distinción determina el nivel de comunicación requerido:

- Deficiencias significativas: comunicación obligatoria por escrito a los responsables del gobierno corporativo - Deficiencias menores: comunicación opcional a la dirección, normalmente mediante carta de recomendaciones

Destinatarios de la comunicación

Según la NIA-ES 265.13, las deficiencias significativas se comunican a los responsables del gobierno corporativo. En sociedades anónimas españolas cotizadas supervisadas por la Comisión Nacional del Mercado de Valores (CNMV), estos son normalmente la comisión de auditoría cuando exista (obligatoria en las Entidades de Interés Público según la Ley de Auditoría de Cuentas, o LAC). En sociedades anónimas no cotizadas, el consejo de administración. En sociedades de responsabilidad limitada, puede ser la junta de socios o el órgano de administración designado.

La NIA-ES 265.A21 permite comunicar primero a la dirección cuando sea apropiado. Pero la comunicación formal debe dirigirse al nivel de gobierno corporativo especificado. Por lo que he visto en los encargos que he llevado, el error más habitual es no hacer esta distinción y mandar todo al director financiero.

Elementos obligatorios del informe de hallazgos

Cada deficiencia significativa debe documentarse con suficiente detalle para que los destinatarios comprendan qué pasó, qué podría pasar y qué hay que hacer. Los cuatro elementos que siguen son los que un revisor del ICAC busca primero.

1. Descripción de la deficiencia

La NIA-ES 265.A23 exige una descripción clara de la deficiencia identificada. No basta con decir «controles inadecuados sobre ingresos». Esa frase describe un síntoma genérico, no un hallazgo auditable. Los papeles están flojos cuando el hallazgo se podría aplicar a cualquier empresa del sector.

Ejemplo inadecuado: «Deficiencias en el control de inventarios.»

Ejemplo adecuado: «La empresa no realiza recuentos físicos periódicos de inventario durante el ejercicio. El último recuento físico completo se realizó en diciembre de 2022. Los movimientos de inventario se registran únicamente basándose en albaranes de entrada y salida, sin verificación física independiente.»

La diferencia no es estilística. Es que el segundo ejemplo permite al consejo actuar sobre información concreta. El primero no.

2. Explicación del posible efecto

La NIA-ES 265.A24 especifica que la comunicación debe explicar el posible efecto de cada deficiencia en las cuentas anuales. Esta sección conecta la deficiencia del control interno con el riesgo de incorrección material. Es el punto donde la mayoría de los informes se convierten en trámite: se dice que «podrían existir incorrecciones» sin atarlo a nada.

El efecto debe describirse en términos de: - qué cuentas o aseveraciones podrían verse afectadas - qué tipo de incorrecciones podrían ocurrir (sobreestimación, subestimación, omisión) - la magnitud potencial del riesgo

3. Información contextual suficiente

El párrafo NIA-ES 265.A25 establece que la comunicación debe proporcionar información contextual suficiente. Esto incluye:

- cómo se identificó la deficiencia - si la deficiencia resultó en incorrecciones identificadas - si existen controles compensatorios que mitiguen parcialmente el riesgo - cualquier acción correctiva ya iniciada por la dirección

En mi opinión, este apartado es el que separa un hallazgo que aguanta la EQR del que no, porque es donde se demuestra que el auditor entendió el contexto del cliente y no se limitó a marcar la casilla. Digo esto porque el contexto es lo que permite al revisor evaluar si la gravedad asignada por el auditor es coherente con la situación real del encargo.

4. Fecha de comunicación y respuesta esperada

La NIA-ES 265.14 exige que la comunicación sea oportuna. El informe debe especificar la fecha límite para la respuesta de la dirección y el seguimiento previsto en ejercicios futuros. «Oportuna» no significa al cierre. Significa cuando el consejo todavía puede actuar.

Estructura recomendada por hallazgo

Basándose en los requisitos de la NIA-ES 265 y en los modelos del Instituto de Censores Jurados de Cuentas de España (ICJCE), cada hallazgo debe seguir esta estructura. La teoría dice que es una forma de organizar la información. Lo que realmente ocurre en las firmas con EQR exigente es que esta estructura también funciona como escudo: si el revisor pregunta, el hallazgo responde por secciones.

Encabezado del hallazgo

[Título descriptivo] – Deficiencia significativa

Condición observada

Qué encontraste exactamente. Hechos objetivos, no interpretaciones.

Criterio aplicable

Qué norma, política o control debería existir. Referencias específicas al marco de control interno adoptado por la entidad.

Causa identificada

Por qué ocurre la deficiencia. Análisis de causa raíz cuando sea posible.

Efecto potencial

Impacto en las cuentas anuales si la deficiencia no se corrige. Cuantificación cuando sea factible.

Recomendación

Acción específica que debería tomar la dirección. Pragmática y factible.

Respuesta de la dirección

Comentarios recibidos de la entidad. Fecha de aplicación prevista si se acepta la recomendación.

Seguimiento del auditor

Cómo se evaluará la corrección en el próximo ejercicio.

Ejemplo práctico: Constructora Mediterránea S.L.

> Entidad auditada: Constructora Mediterránea S.L., Valencia > Facturación 2023: 24,8 millones de euros > Empleados: 187 > Sector: Construcción y promoción inmobiliaria > Marco de información financiera: Plan General de Contabilidad (PGC) > Responsables del gobierno corporativo: Consejo de administración (5 miembros)

Durante la auditoría de las cuentas anuales 2023, el equipo auditor identificó tres deficiencias significativas en el control interno. Hasta aquí la narrativa limpia. La complicación: dos de las tres deficiencias no aparecieron en la fase de evaluación de riesgos inicial. Surgieron en el trabajo sustantivo, cuando el equipo encontró que el sistema bancario nuevo no replicaba los controles del antiguo. Y eso obligó a replantear la gravedad del hallazgo 2 a mitad de encargo. El informe dirigido al consejo de administración documenta cada deficiencia siguiendo la estructura descrita:

Hallazgo 1: Ausencia de controles sobre reconocimiento de ingresos por obras en curso

Condición observada: La empresa no dispone de procedimientos formalizados para verificar el grado de avance de las obras en curso al cierre del ejercicio. Los ingresos por obras en curso (12,4 millones de euros al 31/12/2023) se calculan basándose únicamente en estimaciones del director técnico, sin revisión independiente ni documentación de soporte.

Evidencia obtenida: Revisión de 15 obras en curso, entrevistas con el director técnico y el director financiero, análisis de la documentación de soporte disponible.

Criterio aplicable: Según el PGC, norma 14ª sobre ingresos por ventas y prestación de servicios, los ingresos por obras en curso deben reconocerse en función del grado de realización cuando el resultado de la transacción pueda ser estimado con fiabilidad. Esto requiere sistemas de medición fiables del trabajo realizado.

Causa identificada: La empresa ha crecido rápidamente (de 8 obras simultáneas en 2021 a 23 obras en 2023) sin actualizar los sistemas de control interno. El director técnico asume personalmente la evaluación del avance de todas las obras. Un punto único de dependencia.

Efecto potencial: Sin controles adecuados, existe riesgo importante de incorrecciones materiales en los ingresos reconocidos y en el resultado del ejercicio. Una desviación del 5% en las estimaciones del grado de avance afectaría el resultado en aproximadamente 620.000 euros (importancia relativa: 495.000 euros).

Recomendación: Implantar un procedimiento formal de certificación de obra que incluya: (1) informes técnicos mensuales por obra con mediciones verificables, (2) revisión independiente por un segundo técnico cualificado, (3) conciliación mensual entre certificaciones técnicas y registros contables, y (4) documentación retenida durante el ejercicio, no reconstruida al cierre.

Respuesta de la dirección: «Aceptamos la recomendación. Aplicaremos el procedimiento propuesto durante el primer trimestre de 2024. Hemos contratado un segundo arquitecto técnico que comenzará en febrero de 2024.»

Seguimiento del auditor: En la auditoría 2024 evaluaremos si el procedimiento se ha aplicado según lo descrito, si funciona eficazmente durante todo el ejercicio, y si los informes técnicos proporcionan evidencia suficiente y adecuada para las certificaciones de ingresos.

Documentación: Carta de la dirección de fecha 15 de febrero de 2024, contrato de trabajo del nuevo arquitecto técnico.

Hallazgo 2: Control inadecuado sobre autorizaciones de pagos superiores a 50.000 euros

Condición observada: Durante el ejercicio 2023 se procesaron 47 pagos superiores a 50.000 euros (total: 8,9 millones de euros) sin la doble autorización requerida por la política interna de la empresa. El sistema informático permite que el director financiero autorice y ejecute estos pagos sin aprobación adicional.

Evidencia obtenida: Análisis de todas las transferencias superiores a 50.000 euros registradas en 2023, pruebas de recorrido del proceso de pagos, revisión de la configuración del sistema bancario online.

Criterio aplicable: La política interna de Control de Tesorería (versión 2.1, aprobada por el consejo en marzo de 2022) establece que los pagos superiores a 50.000 euros requieren autorización del director financiero más firma adicional del director general o consejero delegado.

Causa identificada: La migración al nuevo sistema bancario online en junio de 2023 eliminó la configuración de doble autorización que existía en el sistema anterior. El departamento de sistemas no replicó correctamente los controles de autorización durante la migración. Esto es, por lo que conozco, una bomba de relojería habitual en migraciones de sistemas bancarios: el control técnico desaparece sin que nadie del área financiera se entere hasta la auditoría siguiente.

Efecto potencial: La ausencia de doble autorización aumenta el riesgo de pagos no autorizados o fraudulentos. Aunque no se han identificado incorrecciones en el ejercicio actual, la debilidad del control interno expone a la empresa a pérdidas potencialmente graves.

Recomendación: Reconfigurar inmediatamente el sistema bancario online para requerir doble autorización en todos los pagos superiores a 50.000 euros. Aplicar controles compensatorios hasta completar la reconfiguración: revisión semanal del director general de todos los pagos superiores al límite establecido.

Respuesta de la dirección: «Corregiremos la configuración del sistema bancario antes del 31 de marzo de 2024. Mientras tanto, el director general revisará semanalmente todos los pagos superiores a 50.000 euros y firmará un informe de conformidad.»

Seguimiento del auditor: Verificaremos en marzo de 2024 que la configuración se ha corregido y probaremos la efectividad del control de doble autorización durante la auditoría 2024.

Documentación: Capturas de pantalla de la configuración actual del sistema bancario, correspondencia con el banco sobre la reconfiguración programada.

Hallazgo 3: Ausencia de revisión independiente de conciliaciones bancarias

Condición observada: Las conciliaciones bancarias mensuales de las 8 cuentas bancarias de la empresa son preparadas y revisadas por la misma persona (el contable senior). No existe evidencia de revisión independiente por parte del director financiero o un supervisor.

Evidencia obtenida: Revisión de las 96 conciliaciones bancarias del ejercicio 2023 (8 cuentas x 12 meses), entrevistas con el contable senior y el director financiero.

Criterio aplicable: Las mejores prácticas de control interno requieren segregación de funciones en procesos críticos como las conciliaciones bancarias. El Marco Integrado de Control Interno (COSO) especifica que las actividades de revisión deben ser independientes de quien prepara la información.

Causa identificada: El departamento de contabilidad tiene recursos limitados (3 personas) y el director financiero confía plenamente en la competencia del contable senior. No se ha formalizado un proceso de revisión por considerarlo innecesario. Este es el tipo de causa que, en la práctica, solo se resuelve cuando hay un susto, porque el coste percibido de la revisión es concreto y el coste del riesgo es abstracto.

Efecto potencial: Sin revisión independiente, existe riesgo de que errores o irregularidades en las conciliaciones bancarias pasen desapercibidos. Las cuentas bancarias representan 3,2 millones de euros al cierre del ejercicio, y las incorrecciones en este saldo afectarían directamente la liquidez reportada.

Recomendación: El director financiero debe revisar mensualmente todas las conciliaciones bancarias antes del día 10 del mes siguiente, documentando su revisión mediante firma y fecha en cada conciliación. Establecer un procedimiento que requiera investigación y resolución de todas las partidas pendientes de conciliar superiores a 5.000 euros o con más de 30 días de antigüedad.

Respuesta de la dirección: «Aplicaremos la revisión mensual del director financiero a partir de enero de 2024. Crearemos un checklist de revisión que incluya los elementos sugeridos.»

Seguimiento del auditor: Durante la auditoría 2024 probaremos una muestra de conciliaciones bancarias para verificar que incluyen evidencia de revisión independiente y que las partidas antiguas se investigan según el procedimiento establecido.

Documentación: Modelo de checklist de revisión proporcionado por la dirección.

Lista de verificación para cada hallazgo

Antes de finalizar el informe de deficiencias, verificar que cada hallazgo incluye:

1. Descripción factual de la condición observada - qué se encontró específicamente - cómo se identificó la deficiencia - cuantificación cuando sea relevante (importes, frecuencias, porcentajes)

2. Criterio de referencia claro - norma contable, legal o de control interno que aplica - política interna de la entidad si es relevante - mejores prácticas del sector cuando sea apropiado

3. Análisis de causa identificada - por qué ocurre la deficiencia - si es un problema sistémico o aislado - factores contribuyentes (recursos, formación, sistemas, etc.)

4. Evaluación del impacto potencial - efecto posible en las cuentas anuales - cuentas o aseveraciones que podrían verse afectadas - cuantificación del riesgo cuando sea factible

5. Recomendación específica y factible - acción concreta que debe tomar la dirección - plazo razonable para la aplicación - responsable sugerido para la corrección

6. Documentación de la respuesta de la dirección - aceptación o rechazo de la recomendación - fecha de aplicación comprometida - acciones alternativas si no acepta la recomendación original

7. Plan de seguimiento del auditor - cómo se evaluará la corrección en ejercicios futuros - qué evidencia se solicitará - cuándo se realizará el seguimiento

Errores más frecuentes

Los tres errores que aparecen con más frecuencia en las inspecciones del ICAC sobre comunicación de deficiencias no son teóricos. Los he visto en expedientes reales, y lo cierto es que se repiten con independencia del tamaño de la firma.

Descripción genérica de la deficiencia: escribir «controles inadecuados» sin especificar qué control falta o funciona mal. Los destinatarios no pueden actuar sobre información vaga. El revisor del ICAC dirá que fue un trámite y tendrá razón.

Omisión de la respuesta de la dirección: enviar el informe sin solicitar y documentar los comentarios de la entidad sobre cada hallazgo. La NIA-ES 265.A26 anima a obtener esta respuesta. Sin ella, el seguimiento del ejercicio siguiente queda cojo.

Recomendaciones impracticables: sugerir controles que requieren recursos desproporcionados sin considerar el tamaño y naturaleza de la entidad. Las recomendaciones deben ser proporcionales al riesgo y factibles para la organización. Recomendar a una sociedad limitada con tres contables que implante un comité de auditoría de cinco miembros es, en la práctica, un brindis al sol.

Y el insight que no sale del texto de la norma pero que un revisor del ICAC reconoce: el informe de hallazgos no se juzga por lo que dice, sino por lo que permite hacer al consejo. Si un consejero leyendo el hallazgo no sabe qué decisión debe tomar el mes siguiente, el hallazgo no sirve, aunque cumpla formalmente con los párrafos de la NIA-ES 265.

Recursos relacionados

- Deficiencias significativas del control interno: Definición completa y criterios de evaluación según NIA-ES 265 - Plantilla de carta de deficiencias NIA-ES 265: Modelo reutilizable con secciones predefinidas y ejemplos de redacción - Comunicación con los responsables del gobierno corporativo: Guía práctica para cumplir con NIA-ES 260 en la comunicación de hallazgos

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.