Tabla de contenidos

1. Cambios principales y fechas efectivas 2. Marco de identificación de riesgos revisado 3. Escepticismo profesional reforzado 4. Ejemplo práctico: Talleres Valencia S.L. 5. Lista de verificación de aplicación 6. Errores más frecuentes 7. Contenido relacionado

Cambios principales y fechas efectivas

Vigencia y adopción temprana

La norma se aplica a auditorías de estados financieros para ejercicios que comiencen el 15 de diciembre de 2026 o después. La adopción anticipada está permitida, pero solo si se aplica la norma completa al encargo. No puede coger los párrafos cómodos y dejar fuera los que duelen. Algunas firmas han intentado anticipar solo la parte de identificación de riesgos sin tocar la documentación de respuestas, y eso no se sostiene.

Antes versus después: lo que cambió

Lo más práctico es decir qué hacían los equipos antes y por qué ya no sirve.

Bajo la NIA-ES 240 anterior, los auditores identificaban "indicadores de riesgo de fraude" de forma general, mencionaban el escepticismo profesional sin orientación operativa sobre cuándo intensificarlo, diseñaban respuestas para abordar el riesgo de incorrección material por fraude como concepto amplio y centraban la documentación en los procedimientos realizados, no en el razonamiento del riesgo evaluado. Lo que realmente ocurría es que el papel de fraude se copiaba año a año y nadie en el equipo podía explicar por qué esos procedimientos y no otros. En mi caso vi varios papeles donde el factor de riesgo estaba redactado para un cliente del sector farmacéutico y el encargo era una constructora.

La revisión cambia el listón en cuatro puntos concretos. La NIA-ES 240.A25 exige identificar factores de riesgo específicos del Apéndice 1, categorizados por incentivos/presiones, oportunidades y actitudes/racionalizaciones. La NIA-ES 240.16A introduce el sesgo de gestión como consideración separada que puede indicar riesgo de fraude aunque no sea una incorrección por sí mismo. La NIA-ES 240.32-.35 reescribe el bloque de management override y obliga a documentar procedimientos específicos sobre asientos contables y estimaciones. La NIA-ES 240.42-.46 reformula la comunicación con responsables del gobierno de la entidad, y la NIA-ES 240.47-.51 expande la documentación. Cuatro frentes que no se resuelven con una circular interna de tres páginas.

Qué debe hacer concretamente

1. Reescribir su metodología, no parchearla. Aquí entra la primera discusión seria de despacho. El socio A dice que se levanta el manual entero porque la norma está reescrita y un parche se nota a la legua cuando llega el revisor. El socio B dice que reescribir el manual en un despacho de cuatro socios y treinta personas es un proyecto de seis meses sin retorno comercial, y que con un anexo de adaptación, las plantillas nuevas y dos sesiones de equipo se cubre. La norma no resuelve la discusión. La inspección sí: cuando el revisor abra el archivo y vea que el papel de planificación cita la norma extant en una sección y la revisada en la siguiente, el resultado es deficiencia. Por lo que conozco, los despachos que han ganado tiempo son los que han aceptado que el manual entero tiene que reescribirse, aunque sea por bloques.

2. Rediseñar la sesión de brainstorming. El protocolo nuevo no son tres horas con café. La NIA-ES 240.16 exige una sesión documentada con asistencia, agenda, riesgos discutidos por categoría y conclusiones específicas para el encargo concreto. Los papeles tipo "se discutió el riesgo de fraude y no se identificaron riesgos significativos" se acabaron.

3. Actualizar las plantillas de identificación de riesgos con los factores específicos del Apéndice 1 revisado. Su lista actual hay que reemplazarla, no enmendarla.

4. Modificar la documentación de respuestas para conectar cada procedimiento con el factor de riesgo que lo originó.

Marco de identificación de riesgos revisado

Factores de riesgo específicos vs. indicadores generales

Antes, un auditor podía documentar "presión de gestión por resultados" como factor de riesgo y dormir tranquilo. Ahora la NIA-ES 240.A25 exige el factor concreto del Apéndice 1, con su numeración. La diferencia parece cosmética y no lo es: cuando el factor está nombrado, la respuesta tiene que apuntar a algo, y "procedimientos analíticos generales" deja de ser respuesta.

Ejemplo de la especificidad requerida:

- Genérico (ya no suficiente): "Existe presión sobre la gestión para alcanzar resultados" - Específico (NIA-ES 240 revisada): "Compromisos contractuales significativos cuyo cumplimiento depende de alcanzar determinados ratios financieros" (Factor A.1.4 del Apéndice 1)

Yo creo que aquí es donde la mayoría de los archivos van a fallar la revisión del ICAC, porque el factor genérico permite redactar el procedimiento en abstracto y eso es lo que el equipo lleva diez años haciendo. Si el factor es A.1.4 (covenant), la respuesta tiene que tocar el covenant. No basta con confirmar saldos de clientes y llamarlo cobertura de ingresos. Aplíquelo a Pescanova: el riesgo de A.1.4 estaba a la vista y lo que se documentó como respuesta no tenía nada que ver con el covenant.

Sesgo de gestión como indicador independiente

La NIA-ES 240.16A establece que el sesgo de gestión puede ser un indicador de riesgo de fraude incluso cuando no constituye una incorrección por sí mismo. En la práctica, eso significa que ya no puede archivar el sesgo de gestión bajo "asunto subjetivo a vigilar". Hay que evaluarlo como entrada al mapa de riesgos.

Para auditores de pequeñas y medianas entidades, esto pega más fuerte. En una sociedad familiar con dos niveles de mando, el sesgo de gestión es visible en cada conversación de planificación. La norma no toma por tontos a los auditores que ven al hijo director financiero discutir cada ajuste propuesto y luego escriben "controles internos efectivos" en el papel de evaluación.

Indicadores de sesgo de gestión bajo la NIA-ES 240.16A:

- Selección o aplicación de políticas contables que maximizan ingresos o minimizan gastos sin justificación técnica sólida - Estimaciones contables consistentemente optimistas que luego requieren ajustes negativos en períodos posteriores - Resistencia a ajustes propuestos por el auditor que reducirían el resultado

Evaluación del entorno de control específica para fraude

La NIA-ES 240.A18 conecta la evaluación del entorno de control con riesgos concretos de fraude. No basta con concluir que el entorno de control es efectivo. Hay que evaluar si los controles concretos mitigan los factores de fraude identificados.

Controles relevantes para la evaluación de fraude:

- Para riesgo de manipulación de ingresos: controles que garantizan que las ventas se registran en el período correcto y por el monto correcto - Para riesgo de apropiación de activos: controles de acceso físico y segregación de funciones en tesorería e inventarios - Para riesgo de gastos ocultos: controles de aprobación y documentación de transacciones con partes vinculadas

Escepticismo profesional reforzado

Cuándo intensificar el escepticismo

La NIA-ES 240.17 da por fin orientación práctica sobre cuándo subir el listón durante el encargo. Los disparadores más útiles que he visto en archivo:

- Inconsistencias en las respuestas de la dirección, cuando las explicaciones sobre transacciones inusuales cambian entre reuniones - Documentación de respaldo que "se está preparando" sesión tras sesión - Comportamiento evasivo: la dirección retrasa o evita reuniones sobre áreas concretas

A mí me pasa que en los encargos donde estos disparadores aparecen el equipo los nota pero no los escribe. El papel de planificación dice "buena cooperación de la dirección" mientras el júnior me cuenta en la pausa que llevan tres semanas pidiendo el mismo extracto. Ese desfase entre lo que sabe el equipo y lo que dice el archivo es lo que la NIA-ES 240.47 quiere cerrar.

Documentación del escepticismo aplicado

La NIA-ES 240.47 exige documentar qué observaciones específicas llevaron a intensificar el escepticismo, no solo que se intensificó. Esa documentación tiene que poder leerse de forma independiente y llegar a la misma conclusión.

Documentación insuficiente: "Se aplicó escepticismo profesional adicional"

Documentación suficiente: "Debido a que la dirección cambió la explicación sobre el timing de la venta a Distribuidora Central S.L. tres veces (primera reunión: 'venta normal de diciembre'; segunda: 'adelantaron pedido por descuento'; tercera: 'corrección de error en la fecha'), se expandió el alcance de las confirmaciones de clientes para incluir términos y condiciones de las 15 ventas más grandes de diciembre"

Ejemplo práctico: Talleres Valencia S.L.

Antecedentes del cliente: Talleres Valencia S.L., empresa manufacturera especializada en piezas de automoción con sede en Valencia. Ingresos 2026: 12,3 millones de euros. 47 empleados. Gestión familiar (padre fundador, hijo director financiero). Crédito bancario por 2,8 millones de euros con covenant de ratio corriente mínimo de 1,25x.

Identificación de factores de riesgo específicos

Aplicando el Apéndice 1 de la norma revisada, el equipo identifica tres factores aplicables: A.1.4 (covenant bancario), B.2.1 (concentración en industria de automoción) y C.1.2 (gestión familiar con controles limitados).

Documentación: "Revisión del Apéndice 1 de la NIA-ES 240 identificó tres factores de riesgo específicos aplicables al encargo: A.1.4, B.2.1, C.1.2. Factores descartados y razones: ver matriz adjunta."

Evaluación del sesgo de gestión (NIA-ES 240.16A)

Durante la planificación, el equipo observó que Talleres Valencia había cambiado su política de reconocimiento de ingresos en 2026, pasando de registrar ventas al envío a registrar ventas al momento del pedido del cliente "para mejor gestión del flujo de caja".

Documentación: "Cambio de política contable sin justificación técnica sólida, efectuado en año con presión por covenant, es indicador de sesgo de gestión bajo NIA-ES 240.16A"

Aquí surge un punto donde dos socios firmarían el papel distinto. Socio A diría que el cambio se queda en sesgo de gestión porque la política nueva todavía cabe dentro de la NRV 14ª si se aplica con coherencia, y por tanto la respuesta es ampliar el corte de operaciones de diciembre y cerrar. Socio B diría que el cambio, sumado al covenant en juego, eleva el riesgo a importante bajo NIA-ES 240.27, y por tanto exige confirmaciones externas y revisión del cumplimiento del covenant en el papel de manifestaciones. La norma admite ambos caminos. Lo que no admite es no documentar la decisión.

Diseño de respuestas específicas (NIA-ES 240.35)

Para el riesgo de manipulación de ingresos por covenant:

- Confirmaciones externas del 100% de las ventas de diciembre superiores a 50.000 euros (15 transacciones) - Procedimientos de corte ampliados: revisión de notas de envío de enero 2027 para identificar ventas de 2026 enviadas posteriormente

Para el riesgo de transacciones con partes vinculadas no reveladas:

- Solicitud escrita a la dirección sobre todas las transacciones con familiares directos - Revisión de extractos bancarios personales del director financiero (con autorización)

Documentación: "Respuestas diseñadas específicamente para factores A.1.4 y C.1.2 identificados. Naturaleza, oportunidad y alcance corresponden al nivel de riesgo evaluado"

Resultado y documentación

Los procedimientos identificaron dos ventas de diciembre (87.000 euros en total) registradas con base en pedidos verbales sin documentación de envío hasta enero 2027. El ajuste resultante llevó el ratio corriente a 1,23x, por debajo del covenant. La conversación con el cliente sobre comunicación al banco la dejamos para otro día.

Documentación: "Incorrección material identificada validó la evaluación de riesgo importante. Procedimientos fueron efectivos para detectar manipulación de ingresos relacionada con presión por covenant"

La metodología anterior, con factores genéricos y procedimientos analíticos generales, probablemente no habría llevado al alcance expandido de confirmaciones, y las dos ventas habrían pasado.

Lista de verificación de aplicación

La trampa con esta lista es leerla como ocho casillas que se marcan en una sesión de octubre. Eso es lo que hace casi todo el mundo: un workshop de un día, todo el mundo asiente, y en febrero el equipo trabaja como siempre. Para que funcione, cada punto necesita un responsable nombrado dentro del despacho y una fecha límite anterior al primer encargo bajo la norma revisada. Sin eso, lo que sigue es un papel para la pared, no una guía operativa.

1. Actualizar la metodología interna y el manual del despacho. Esto es trabajo de manual, no de circular interna. Si el manual sigue citando la NIA-ES 240 antigua, el revisor lo va a ver. En mi caso preferimos dividirlo en tres bloques (identificación, respuestas, documentación) y atribuir cada bloque a un socio responsable, con sesión de cierre con todo el equipo.

2. Diseñar el protocolo de sesión de brainstorming. Agenda escrita por adelantado, asistencia obligatoria de todo el equipo del encargo (no solo el partner y el júnior senior), discusión por categoría del Apéndice 1, conclusiones documentadas con factor específico identificado. Sin ese formato, la sesión sigue siendo lo que era antes.

3. Reemplazar las plantillas de evaluación de riesgo. Las plantillas alineadas a NIA-ES 240.15-.24 en su versión revisada son distintas. Si el equipo abre la plantilla y ve el formato de 2009 con un anexo encima, va a rellenarla como antes.

4. Reescribir el bloque de management override. La NIA-ES 240.32-.35 exige procedimientos específicos sobre asientos contables, estimaciones y transacciones inusuales. El papel de "revisión de asientos manuales" genérico no llega. Hay que diseñar el muestreo, los criterios de selección y la documentación de las explicaciones.

5. Adaptar la comunicación con responsables del gobierno de la entidad. La NIA-ES 240.42-.46 amplía qué hay que comunicar. Las cartas modelo del despacho probablemente cubren la mitad. Antes del primer encargo bajo la norma, la plantilla nueva tiene que estar firmada y en uso.

6. Subir el estándar de documentación. La NIA-ES 240.47-.51 exige conexión explícita entre factor de riesgo, respuesta diseñada y evidencia obtenida. Esto se traduce en una matriz que muchos despachos no tienen, y que es el primer papel que el revisor va a pedir.

7. Plan de formación interna. No vale el curso online de tres horas para computar horas. La sesión tiene que ser específica del despacho, con casos del despacho, conducida por un socio que se haya leído la norma entera y no por un proveedor externo que repite las diapositivas estándar.

8. Impacto en auditorías de grupo bajo NIA-ES 600 R. Si el despacho actúa como auditor del grupo, el componente fraude tiene que comunicarse a los auditores de componentes con el nivel de detalle que exige la norma revisada, no como antes. Y si actúa como componente, espere que el auditor del grupo le pida más papeles. Esto se subestima sistemáticamente en la planificación.

Aquí aparece el incentivo perverso del despacho de tamaño medio: los socios con cartera de clientes en plena campaña no tienen tiempo material de reescribir nada en febrero, marzo o abril. La ventana real son los meses de junio a octubre, y dentro de esos meses compite con vacaciones, formación obligatoria y la planificación de la campaña siguiente. Por eso la lista termina convirtiéndose en un workshop de un día en octubre que nadie internaliza. El despacho que quiera evitarlo necesita aceptar que esto cuesta horas que no se facturan, y que esas horas las paga el socio responsable, no el cliente.

Y un punto incómodo que conviene plantear ahora, no después de la primera inspección. Una lista de verificación que se diseña para defender el archivo cuando llegue el ICAC no es la misma lista que mejora la detección de fraude. La primera busca cubrir cada párrafo de la norma con un papel. La segunda busca encontrar la incorrección. Las dos no son compatibles sin una decisión explícita: en mi caso preferimos la segunda y aceptamos que algunos papeles del archivo van a ser más cortos y más expuestos en una inspección, porque no estamos jugando a hacer el archivo bonito. Es una elección de despacho, y el socio que firme tiene que asumirla.

Errores más frecuentes

Usar el Apéndice 1 como checklist genérico. Los factores hay que evaluarlos cliente por cliente. No puede marcar todos como "no aplicable" sin análisis y esperar que pase la EQR.

Documentar procedimientos sin conectar con factores de riesgo específicos. La NIA-ES 240.47 exige mostrar la conexión entre el factor identificado y la respuesta diseñada. Sin esa conexión, los papeles están flojos.

Confundir sesgo de gestión con deficiencia de control interno. El sesgo de gestión puede existir incluso con controles efectivos; es una consideración de fraude independiente bajo la NIA-ES 240.16A.

Tratar la sesión de brainstorming como un trámite. El caso EIDF en BME Growth y la lectura que hizo la CNMV de los papeles de planificación demuestran que cuando la sesión es un trámite, la documentación lo refleja en cada renglón. Después no hay manera de defender el archivo.

Copiar la matriz de respuestas del cliente parecido. Lo hace casi todo el mundo y la norma revisada lo cierra. Cada respuesta tiene que estar conectada al factor del cliente concreto. Si el papel se puede usar tal cual en otro encargo, es que no responde a este.

Contenido relacionado

Factores de riesgo de fraude: Definición completa de los factores específicos del Apéndice 1 de la NIA-ES 240 con ejemplos de aplicación por sector.

Kit de evaluación del riesgo de fraude NIA-ES 240: Plantillas actualizadas con los factores de riesgo específicos y matrices de respuesta para aplicar la norma revisada.

Escepticismo profesional en la práctica: Cómo aplicar y documentar el escepticismo profesional intensificado que exige la NIA-ES 240.17.

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.