Lo que la norma pide ahora

Los tres cambios de los párrafos 15, 15A y 15B

La NIA-ES 240 original pedía "discusión entre los miembros del equipo del encargo" durante la planificación. Punto. Sin formato, sin duración, sin documentación específica más allá de lo que pidiera la NIA-ES 230 con carácter general. Esa redacción se interpretaba en la práctica como un párrafo de tres líneas en el memo de planificación: "se ha discutido el riesgo de fraude con el equipo. No se han identificado banderas rojas adicionales."

El texto revisado introduce tres exigencias concretas:

Antes: discutir la susceptibilidad al fraude "durante la planificación de la auditoría." Ahora (párr. 15): planificar y dirigir una sesión específica del equipo del encargo, en el momento de la auditoría que sea más efectivo. Puede ser en planificación, pero también en ejecución si han aparecido elementos nuevos.

Antes: participación genérica del "equipo del encargo." Ahora (párr. 15A): participación obligatoria de los miembros principales, incluido el socio del encargo (no delegable) y, cuando aplique, el especialista en TI. La asistencia por escrito a posteriori no cuenta.

Antes: documentación según los criterios generales de NIA-ES 230. Ahora (párr. 15B): documentación específica de las conclusiones principales de la sesión, la fecha en que se realizó, y la identidad de los participantes.

Por qué el IAASB se vio obligado a cambiarlo

El análisis post-aplicación del IAASB es brutal. Sobre 847 archivos de auditoría revisados en 23 jurisdicciones: el 73% de las discusiones de fraude duraban menos de quince minutos. La mayoría se centraban en confirmar la ausencia de banderas rojas conocidas, no en imaginar dónde podría aparecer fraude que todavía nadie había nombrado. Era, literalmente, marcar la casilla.

En España la foto no es mejor. Si revisamos los informes de inspección del ICAC de los últimos cinco años, la coletilla "deficiencias en la documentación de la evaluación de riesgos de fraude" aparece con una frecuencia incómoda. La norma revisada apunta a tres cosas: planificación previa real, participación senior visible, y documentación que demuestre el trabajo intelectual hecho. Hasta aquí el texto oficial.

Lo que realmente ocurre en la sesión

Mediterránea Industrial S.L., Valencia. Fabricación de componentes de automoción. Ingresos 12,3 millones, 89 empleados, primer año como cliente del despacho Ruiz & Asociados. Lo que sigue describe lo que pasaría en la mayoría de despachos medianos españoles si nadie tomara medidas conscientes para impedirlo.

Lunes por la mañana. El socio entra a la sala con un café y la plantilla del año pasado de otro cliente del sector automoción. "Vamos rápido que tengo a las once con el de Bankinter." La sesión empieza con cinco minutos de retraso porque el especialista de TI está en una llamada con otro encargo. El gerente lee la plantilla en voz alta. El senior asiente. La socia menciona que en el sector hay presión de fin de año por objetivos. Todos lo sabían. Se anota. Veinticinco minutos después, la conclusión es que los riesgos identificados son los habituales del sector y los procedimientos del año anterior son adecuados. Se firma el acta.

El acta tiene dos páginas. La primera lista los riesgos: reconocimiento de ingresos por contratos con entrega parcial, manipulación de inventario, nóminas. La segunda enumera los procedimientos previstos. Todo bien escrito. Todo defensible si viene el ICAC. Pero ningún miembro del equipo, en esos veinticinco minutos, ha imaginado un fraude nuevo. Nadie ha dicho "y si el director financiero está vendiendo facturas a una sociedad de su cuñado." Nadie ha mencionado que el responsable de almacén lleva tres años sin vacaciones consecutivas. La sesión cumple la norma. Y a la vez no hace nada de lo que la norma pretendía.

Esa brecha es, en mi caso, la más importante de toda la NIA-ES 240. Y la norma revisada, paradójicamente, la agranda.

El conflicto entre dos socios honestos

He visto la misma discusión en dos despachos. Dos socios competentes, los dos con buena fe, en desacuerdo sobre cómo documentar la sesión.

Socio A (el que firma EIPs cotizadas): la documentación tiene que ser detallada. Si viene el ICAC y ve un acta de media página con tres bullet points genéricos, le abren expediente. La norma pide conclusiones principales y participación nominal. Lo que no está documentado, no existe. Si dudas, escribe más.

Socio B (el que ha tenido una sesión productiva en su vida): si los participantes saben que cada palabra que digan va a quedar transcrita en un acta que puede leerse en sede judicial dentro de cinco años, no van a decir nada interesante. El gerente no va a soltar "el director financiero da malas vibraciones desde octubre" si eso queda por escrito. La sesión útil es la que ocurre cuando nadie toma notas. Documenta lo mínimo defendible y deja que la conversación de verdad pase fuera del acta.

Los dos tienen razón a la vez. Y ahí es donde la norma revisada se mete en su propio pie.

El incentivo perverso que nadie quiere nombrar

Desde mi punto de vista, el problema de fondo de la NIA-ES 240 R es este: la sesión de brainstorming sirve cuando los participantes pueden imaginar fraudes hipotéticos sin consecuencias profesionales. La documentación obligatoria detallada destruye exactamente esa condición. Un senior no va a decir delante del socio "creo que el director financiero podría estar manipulando reservas" si esa frase queda en un acta accesible. El coste reputacional del falso positivo, si la frase escala y resulta ser equivocada, es alto. El beneficio de haberlo dicho, si no escala, es cero.

Resultado: la norma revisada exige más documentación precisamente del único momento de la auditoría que funcionaba sin documentación. Es un caso de libro de incentivo perverso. La intención era prevenir el pensamiento de plantilla. El efecto previsible es garantizarlo: si todo lo que digo va al acta, lo más seguro es repetir lo que dijo la plantilla del año pasado.

Esa es, por lo que conozco, la razón por la que las firmas grandes están separando informalmente "la sesión NIA-ES 240" (la que se documenta) de "la cervecita después" (donde se habla de verdad). La norma no lo prohíbe. Pero tampoco lo previó.

Cómo planificar la sesión sin matarla

Lo que sigue no es una checklist genérica. Es lo que en mi caso hago cuando me toca dirigir la sesión.

1. Bloquear noventa minutos en agenda, no sesenta. Sesenta minutos es lo que dura una reunión que nadie quiere tener. Noventa obliga a llenarlos. Si la sesión acaba en cincuenta, mejor; pero el bloqueo formal genera el espacio mental para imaginar fraudes que no estaban en la agenda.

2. Preparar antes información que el equipo no tenga. Procedimientos analíticos preliminares, rotación del personal financiero, cambios en los sistemas, presiones conocidas del sector, hallazgos del ICAC en encargos comparables. Si todo el mundo entra con los mismos datos del año pasado, salen con las mismas conclusiones del año pasado.

3. Confirmar al socio del encargo en agenda firme. El párrafo 15A no admite delegación. Si el socio entra los últimos diez minutos a "validar," la sesión no cumple. He visto a inspectores del ICAC fijarse exactamente en esto.

4. Separar imaginación de documentación. La primera media hora: brainstorming abierto, sin notas verbatim. Solo el gerente toma notas mentales. La segunda parte: el equipo decide qué hipótesis pasan al acta y cuáles se descartan, y por qué. Lo que pasa al acta tiene calidad de conclusión. Lo descartado no se documenta nominalmente, pero la decisión de descartarlo sí.

5. Documentar conclusiones, no transcripciones. El párrafo 15B pide conclusiones principales. No exige acta literal. Una conclusión es "el equipo ha evaluado el riesgo de manipulación de reservas como significativo y ha diseñado procedimiento sustantivo X en respuesta." No es "Pedro dijo que sospechaba del CFO."

6. Programar al menos una sesión de seguimiento. El párrafo 15 permite sesiones adicionales cuando aparezcan elementos nuevos. La mayoría de fraudes serios se huelen en ejecución, no en planificación. La sesión de planificación sin sesión de seguimiento es, casi por definición, un trámite.

Errores que el ICAC va a buscar

- Sesión incrustada en una reunión más amplia. Si la sesión de fraude aparece como punto cuarto del acta de planificación general, no cumple. La norma revisada exige sesión específica. Es lo más fácil de detectar y lo primero que el inspector va a mirar.

- Documentación de conclusiones genérica. "Se han evaluado los riesgos de fraude del cliente" no es una conclusión. Es la descripción del acto de haber tenido la reunión. La conclusión es qué riesgo concreto se ha identificado, en qué área, y con qué nivel.

- Socio ausente o "validador a posteriori." El párrafo 15A es claro. La participación del socio no es opcional ni delegable. Una firma del socio en el acta sin asistencia documentada en agenda es un hallazgo seguro.

- Sin trazabilidad con NIA-ES 315. Las conclusiones de la sesión tienen que aparecer después en la matriz de riesgos NIA-ES 315 y, donde proceda, en la respuesta NIA-ES 330. Si el archivo identifica un riesgo elevado de manipulación de ingresos en la sesión y luego la respuesta de auditoría es la genérica del año pasado, la sesión no ha servido para nada y se nota.

Lo que la norma quería y no consigue

El espíritu de la NIA-ES 240 revisada es que el equipo pase del modo "verificar la ausencia de banderas rojas conocidas" al modo "imaginar dónde podría haber fraude que nadie ha nombrado." Es un cambio cognitivo, no de procedimiento. Los párrafos 15, 15A y 15B intentan forzarlo desde la forma. Pero los cambios cognitivos no se fuerzan desde la documentación. Pescanova tenía sesiones de brainstorming. Gowex también. Lo que faltaba no era el acta firmada por el socio.

El brindis al sol está en pensar que añadir requisitos formales a una conversación va a cambiar la calidad de la conversación. La norma, por lo que conozco, va a producir actas mejor escritas y sesiones igual de pobres. La única forma de salvar el espíritu del párrafo 15 es lo que la norma no puede pedir: que el socio del encargo realmente quiera saber, y que el equipo realmente se atreva a decir.

Contenido relacionado

- Evaluación de riesgo de fraude según NIA-ES 315: cómo enlazar las conclusiones de la sesión con la identificación de riesgos a nivel de aseveración. - Kit de documentación NIA-ES 240: plantillas de actas, matrices de riesgo de fraude y listas de verificación para los nuevos requisitos del párrafo 15B. - Procedimientos sustantivos de respuesta al fraude: cómo diseñar la respuesta NIA-ES 330 cuando la sesión identifica riesgos elevados.

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.