Contenido

1. Qué cambió y por qué importa 2. Marco de decisión: cuándo aplicar cada enfoque 3. Ejemplo práctico: misma entidad, dos enfoques 4. Lista de verificación práctica 5. Errores frecuentes 6. Contenido relacionado

Qué cambió y por qué importa

La NIA-ES 240 revisada responde a dos décadas de hallazgos de inspección. Los inspectores del Instituto de Contabilidad y Auditoría de Cuentas (ICAC) llevan desde 2005 escribiendo en sus informes la misma frase con distintas palabras: el equipo aplicó procedimientos de fraude de forma mecánica, sin cuestionamiento profesional genuino, y la documentación no permite reconstruir el razonamiento. Papeles flojos, en una palabra. Falta chicha.

Hay quien dirá: si los procedimientos siguen siendo los mismos, ¿qué importa el orden? Importa, y mucho. La respuesta está en por qué los equipos empiezan por evaluar controles. No es por convicción técnica. Es porque los controles ya están mapeados del año anterior, el matriz se hereda con dos clics, y el socio necesita el cliente cerrado antes de que termine la campaña. Identificar factores de riesgo desde cero requiere pensar. Heredar la matriz de controles requiere copiar y pegar. La revisión de la norma resuelve esto a la fuerza: te obliga a empezar por lo lento.

Antes vs después: identificación de factores de riesgo

Bajo la norma actual (NIA-ES 240): Puedes comenzar evaluando la efectividad de los controles anti-fraude del cliente y después considerar si existen factores de riesgo específicos. El párrafo 240.24 permite que "la evaluación de los controles internos puede proporcionar evidencia sobre la probabilidad de representaciones incorrectas materiales debido a fraude."

En la práctica, esto significa que la matriz de factores de riesgo del año N+1 se construye leyendo la matriz de controles del año N. Lo he visto en docenas de PT. Los factores de riesgo "identificados" terminan siendo, en realidad, deficiencias de control reescritas con otra terminología. La consecuencia es predecible: si el año pasado no había deficiencia documentada en reconocimiento de ingresos, este año el factor de riesgo "no aplica". Aunque la entidad haya emitido bonos en octubre, contratado un nuevo director financiero en enero y cambiado de ERP en abril.

Bajo la norma revisada (NIA-ES 240 revisada): Debes identificar factores de riesgo de fraude específicos antes de evaluar cualquier control. El párrafo 240R.28 establece que "el auditor identificará factores de riesgo de fraude relevantes antes de evaluar el diseño e aplicación de los controles de la entidad." Esta secuencia es obligatoria. No es una recomendación.

Sobre el terreno, esto rompe el atajo. Si el factor de riesgo se identifica primero (presión de covenants, nuevo método de reconocimiento, rotación en el equipo financiero), la evaluación de control posterior se ancla a ese factor concreto. Ya no se puede heredar la matriz del año anterior sin más, porque la matriz del año anterior no contemplaba esa presión. Esto es lo único que la norma cambia. Es suficiente.

Antes vs después: cuestionamiento profesional

Bajo la norma actual: El cuestionamiento profesional se describe como una actitud general. El párrafo 240.12 requiere que "el auditor mantenga una actitud de cuestionamiento profesional durante toda la auditoría."

Lo que realmente ocurre es que "actitud general" se traduce en una declaración genérica al inicio del archivo y nada más. ¿Cómo se inspecciona una actitud? No se puede. Y lo que no se puede inspeccionar, en la práctica, no existe.

Bajo la norma revisada: Se introduce el concepto de "cuestionamiento profesional reforzado" para situaciones específicas. El párrafo 240R.15 define cinco situaciones donde "el auditor aplicará un cuestionamiento profesional reforzado": transacciones fuera del curso ordinario del negocio, estimaciones contables complejas, áreas con discreción significativa de la dirección, transacciones con partes vinculadas no rutinarias e ingresos en sectores con riesgo inherente alto.

Aquí conviene un aviso: por lo que conozco, aplicar cuestionamiento reforzado a todo es marcar la casilla con tinta más oscura. No hombre, no. Diluye la señal donde la norma quiere que se concentre. La norma quiere que el reforzado se aplique a esas cinco categorías, y que el resto de áreas se trate con el estándar; si todo es reforzado, nada lo es.

Qué necesitas hacer para cumplir con la norma revisada

1. Resequenciar la evaluación de riesgo: documenta factores de riesgo específicos antes de revisar controles. La fecha del PT importa: si el papel de factores de riesgo lleva fecha posterior al de controles, el revisor lo verá. 2. Aplicar cuestionamiento profesional reforzado donde toca: procedimientos adicionales en las cinco situaciones del párrafo 240R.15. En las demás, no. 3. Evaluar el impacto de la tecnología: considera cómo automatización, analytics e inteligencia artificial afectan el riesgo de fraude y tu capacidad para detectarlo (240R.A45). 4. Expandir la documentación: registra la justificación del nivel de cuestionamiento aplicado en cada área significativa. La justificación, no el resultado.

La adopción temprana está permitida para períodos que inicien en o después del 15 de diciembre de 2025. Sobre si conviene adoptar pronto, hay dos posiciones razonables y enfrentadas, y volveremos a ello.

Marco de decisión: cuándo aplicar cada enfoque

Para auditorías de períodos que inicien antes del 15 de diciembre de 2026, sigues bajo la norma actual. Para períodos que inicien en o después de esa fecha, debes aplicar la revisada. Ahora bien, la elección de adopción temprana no es trivial.

Adopción temprana: dos posiciones defendibles

Posición A (a favor de adoptar pronto): los papeles del año posterior se beneficiarán de la práctica acumulada. El equipo ya tendrá una versión del PT funcionando, la matriz de factores de riesgo estará calibrada al cliente, y la revisión del 2026 entrará rodada. Es prudente.

Posición B (en contra de adoptar pronto): ningún inspector del ICAC tiene aún criterio formado sobre la revisada. Cualquier interpretación temprana queda expuesta a que el ICAC la rechace después con criterio retrospectivo. Y los criterios retrospectivos son, por definición, los más duros de defender. Es un riesgo.

Ambas posiciones son defendibles. La elección depende de la cartera de clientes (¿hay Entidades de Interés Público en cartera?), de la tolerancia al riesgo regulatorio del despacho y de si tu equipo tiene capacidad de absorber el cambio sin quemarse en busy season. En mi caso, en los encargos que he llevado con clientes no EIP y socio dispuesto a invertir horas no facturadas, la adopción temprana ha salido bien. En encargos con honorarios ajustados al céntimo, no la recomendaría.

Factores de riesgo: secuencia de evaluación

Usa la secuencia actual cuando: - El período de auditoría inicia antes del 15 de diciembre de 2026 - Has completado ya la evaluación de controles y necesitas mantener consistencia con papeles de trabajo existentes - La entidad tiene controles anti-fraude sólidos que proporcionan un punto de partida lógico

Usa la secuencia revisada cuando: - El período de auditoría inicia en o después del 15 de diciembre de 2026 - Adoptas tempranamente la norma revisada - Los hallazgos de años anteriores sugieren que la evaluación de controles sin identificación previa de factores de riesgo fue inadecuada

Nivel de cuestionamiento profesional

Aplica cuestionamiento profesional estándar para: - Transacciones rutinarias y recurrentes - Áreas con controles automatizados efectivos - Estimaciones contables con metodologías establecidas y poca variación año tras año

Aplica cuestionamiento profesional reforzado para: - Transacciones significativas fuera del curso ordinario del negocio - Estimaciones contables que requieren juicios complejos (deterioro de activos, provisiones por litigios) - Áreas donde la dirección tiene discreción sustancial sobre reconocimiento o medición - Transacciones con partes vinculadas no rutinarias - Ingresos en sectores o circunstancias con riesgo inherente alto

Consecuencias de la clasificación incorrecta

Si aplicas la secuencia actual a una auditoría sujeta a la norma revisada, un revisor (interno, EQR o ICAC) verá que los factores de riesgo se identificaron después de evaluar controles. La documentación no cumplirá el párrafo 240R.28. Necesitarás rehacer la evaluación de riesgo en el orden correcto, lo cual en busy season significa horas no pagadas y, peor, un PT con dos versiones de la misma matriz que un inspector sabrá leer. Por lo que conozco, esto último es lo que se sanciona: no la versión vieja, sino el rastro de haber rehecho mal.

Si aplicas cuestionamiento profesional estándar donde se requiere reforzado, los procedimientos pueden ser insuficientes para la naturaleza del riesgo. Un revisor cuestionará por qué no se aplicaron procedimientos adicionales. Y, lo más doloroso, podrías no detectar representaciones incorrectas materiales en áreas de alto riesgo: las llamadas bombas de relojería, esas que estallan dos años después de tu informe y aparecen en prensa.

Vaya por delante que digo esto sin paternalismo. Yo el primero he aplicado el cuestionamiento estándar donde habría debido aplicar el reforzado, y lo descubrí un año después leyendo el informe de inspección del ICAC sobre otro despacho con el mismo cliente. La sensación no se olvida.

Ejemplo práctico: misma entidad, dos enfoques

Mediterránea Industrial S.A., Valencia - Facturación 2024: 45 millones de euros - Sector: fabricación de componentes automotrices - Emisión de bonos corporativos por 15 millones de euros en octubre 2024 - Nueva línea de productos con reconocimiento de ingresos por porcentaje de terminación - ERP migrado en marzo 2024, con módulo de analytics que el equipo de TI no documenta del todo

Enfoque bajo NIA-ES 240 actual

Paso 1: evaluación de controles anti-fraude existentes. PT: revisión del manual de políticas, entrevistas con personal de finanzas, pruebas de controles de autorización. Heredado, en buena parte, del año anterior.

Paso 2: identificación de factores de riesgo basada en la evaluación de controles. PT: matriz de factores de riesgo que referencia deficiencias de control identificadas. La emisión de bonos figura como nota al margen, no como factor central, porque el control de tesorería no presentó deficiencias.

Paso 3: aplicación de cuestionamiento profesional estándar. PT: procedimientos de auditoría estándar para ingresos, con énfasis en controles de TI.

Paso 4: respuesta a riesgos identificados. PT: procedimientos adicionales basados en la evaluación de controles.

Conclusión: enfoque válido hasta diciembre de 2026. Punto de partida en la efectividad de controles. Y aquí está la trampa: si los controles no muestran deficiencias, los factores de riesgo se quedan corto.

Enfoque bajo NIA-ES 240 revisada

Paso 1: identificación de factores de riesgo específicos antes de evaluar controles. PT: la emisión de bonos crea presión financiera por covenants (240R.A12); el nuevo método de reconocimiento de ingresos permite discreción gerencial sobre el grado de avance (240R.A15); la migración de ERP introduce un riesgo tecnológico no maduro.

Aquí aparece la complicación. El módulo de analytics del nuevo ERP marca 14 transacciones inusuales del último trimestre. El equipo de TI del cliente no puede explicar cómo el algoritmo las puntúa: el proveedor lo describe como "puntuación de riesgo basada en patrones aprendidos", lo cual significa, en román paladino, que nadie en la entidad sabe por qué exactamente están marcadas esas 14. El auditor afronta una decisión de juicio. ¿Confiar en analytics que no entiende? ¿O aplicar cuestionamiento reforzado a las 14 manualmente?

La respuesta, bajo 240R.A45, es que la tecnología no puede ser sustituto del cuestionamiento profesional. Si el algoritmo no es auditable en su lógica, su salida es un input al juicio del auditor, no una conclusión. Las 14 transacciones se revisan manualmente. Aquí está la realidad: cinco resultan ser ajustes de fin de período sin documentación adecuada. No es fraude, pero es exactamente la zona gris donde el "factor de riesgo" y la "deficiencia de control" se confunden, y donde la secuencia de la norma evita que se ignoren.

Paso 2: evaluación de controles en el contexto de los factores ya identificados. PT: revisión de controles específicos para reconocimiento de ingresos por porcentaje de terminación, considerando la presión por cumplir covenants. La pregunta cambia: ya no es "¿funciona el control?" sino "¿funciona este control frente a esta presión concreta?".

Paso 3: aplicación de cuestionamiento profesional reforzado donde corresponde. PT: procedimientos adicionales para ingresos por porcentaje de terminación. Se documenta por qué se aplica el reforzado (estimación compleja, presión por covenants), no sólo que se aplica.

Paso 4: evaluación del impacto de la tecnología. PT: el algoritmo del ERP no es auditable; las 14 transacciones se reprocesan manualmente; se documenta la limitación.

Paso 5: documentación del nivel de cuestionamiento aplicado. PT: justificación del reforzado en ingresos, del estándar en gastos operativos. La justificación se firma por el partner, no sólo por el manager.

Conclusión: enfoque obligatorio para períodos que inicien después del 15 de diciembre de 2026. Documentación más sólida del razonamiento. Y, sobre todo, una secuencia que un inspector puede reconstruir leyendo las fechas de los PT.

Lista de verificación práctica

Usa esta lista en la próxima evaluación de riesgo de fraude:

1. Verifica la fecha efectiva. Si el período inicia el 15 de diciembre de 2026 o después, aplica NIA-ES 240 revisada. Antes, puedes elegir adopción temprana (15 de diciembre de 2025) o mantener la actual.

2. Identifica factores de riesgo específicos primero. Bajo la revisada, documenta presiones, oportunidades y actitudes antes de evaluar controles (240R.28). La fecha del PT manda.

3. Clasifica el nivel de cuestionamiento requerido. Aplica reforzado en las cinco situaciones del 240R.15, estándar en el resto. No conviertas el reforzado en valor por defecto.

4. Documenta el impacto de la tecnología. Considera cómo crea nuevos riesgos y cómo (o no) mejora la detección.

5. Registra la justificación, no sólo la conclusión. Documenta por qué aplicaste el nivel de cuestionamiento usado en cada área material.

6. Lo más importante. La revisada no cambia qué es fraude. Cambia cómo lo buscas. El objetivo sigue siendo detectar representaciones incorrectas materiales debidas a fraude.

Errores frecuentes

Veredicto

La revisión de la NIA-ES 240 no es una expansión de procedimientos. Es una corrección de secuencia. Toda la diferencia está ahí, y es suficiente. El verdadero motivo por el que el ICAC ha tardado dos décadas en presionar para esta revisión no es técnico, es político: con un cuerpo de inspectores reducidísimo para varios miles de auditores ejercientes, sólo se puede sancionar lo que está documentadamente mal hecho, y la secuencia es lo único documentable a posteriori. Esa es la lógica. A partir del 15 de diciembre de 2026, quien empiece por controles tendrá un problema, y será un problema que no podrá explicar leyendo la letra de la norma, porque la letra es prácticamente la misma. Tendrá que explicar el orden. Y en el orden no hay donde esconderse.

Contenido relacionado

- Factores de riesgo de fraude: definición completa y ejemplos por categoría según NIA-ES 240 revisada - Kit de evaluación del riesgo de fraude NIA-ES 240: herramientas actualizadas para cumplir con los nuevos requisitos de documentación - Cuestionamiento profesional reforzado en la práctica: guía de aplicación con ejemplos por sector

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.