Contenidos

1. Por qué este archivo se queda flojo en tantos encargos 2. Lo que la NIA-ES 250 exige (y lo que no) 3. Identificación del marco regulatorio sin caer en la lista genérica 4. Procedimientos: del manual a lo que realmente ocurre 5. Ejemplo práctico: Transportes Mediterráneos S.A. 6. Respuesta cuando aparece el indicio 7. Lista de verificación práctica 8. Errores frecuentes 9. Contenido relacionado

Por qué este archivo se queda flojo en tantos encargos

No hay un control que pille esto, ni falta que hace cuando lo que falla es la economía del encargo. Los papeles de cumplimiento normativo se quedan flojos por una razón estructural muy concreta: el área no produce ajuste. Si revisar las licencias de transporte de un cliente no genera un asiento contable, no aparece en la conversación con el cliente; si no aparece en la conversación con el cliente, el jefe de equipo no le pide horas al socio; si no le pide horas al socio, la documentación se hace en la última semana, con plantillas heredadas. El socio necesita el cliente, el equipo saca adelante el encargo con lo que hay, y la NIA-ES 250 termina en una hoja que se rellena después del cierre.

Lo digo sin edulcorante. La mayoría de archivos de NIA-ES 250 que he leído (incluyendo, por lo que conozco, los que he revisado yo mismo en los primeros años) son ejercicios de marcar la casilla. Esto no es un fallo de los auditores. Es un fallo de presupuesto. Pero la NIA-ES 250.5 lo sabe y, por eso mismo, no le pide al auditor lo que no puede dar.

Lo que la NIA-ES 250 exige (y lo que no)

Aquí es donde el contraargumento merece un párrafo entero. Hay quien lee la NIA-ES 250 y concluye que el auditor debe convertirse en una especie de inspector de cumplimiento, repasando cada ley sectorial, cada actualización de la LOTT, cada circular medioambiental. Esta lectura es errónea, y la propia norma lo dice. La NIA-ES 250.5 reconoce explícitamente las limitaciones inherentes de la auditoría respecto al cumplimiento. Una auditoría no está diseñada para detectar el cumplimiento con todas las leyes y regulaciones, ni el auditor es abogado, ni puede ofrecer asesoramiento legal sobre disposiciones específicas.

¿Qué exige entonces? La NIA-ES 250.12 distingue dos categorías que conviene grabar a fuego. Las leyes con efecto directo sobre los estados financieros (fiscales, de pensiones, sectoriales que afectan reconocimiento y medición) entran en el alcance habitual de los procedimientos sustantivos: si el cliente paga mal el IS, eso aparece en el cierre. Las leyes sin efecto directo (licencias, permisos, regulaciones de tiempo de conducción, normativa medioambiental) no determinan las cifras, pero su incumplimiento puede generar multas, litigios o cesación de operaciones que sí afecten a los estados financieros como pasivo contingente o cuestión de empresa en funcionamiento.

La diferencia importa porque la profundidad del procedimiento cambia. Para la primera categoría, el auditor diseña pruebas específicas. Para la segunda, la NIA-ES 250.14 pide algo más modesto: permanecer alerta. Estar despierto. No firmar como si nada cuando aparece un indicio.

El veredicto provisional: la NIA-ES 250 no le pide vigilancia universal; le pide que no se haga el desentendido. Lo cual, paradójicamente, es más exigente que una lista de control, porque no se cumple rellenando un formulario.

Identificación del marco regulatorio sin caer en la lista genérica

La NIA-ES 250.13 exige obtener un entendimiento general del marco legal y regulatorio aplicable a la entidad y al sector. La trampa habitual es pegar la misma matriz cada año.

Para cualquier entidad española hay un marco básico que sí debería estar en el archivo, y conviene tenerlo identificado por nombre y por ámbito de impacto:

- Código de Comercio (obligaciones contables y de conservación de documentación) - Ley de Sociedades de Capital (TRLSC: requisitos de capital, distribución de dividendos, formulación) - Plan General de Contabilidad (normas de reconocimiento y valoración) - Ley General Tributaria (obligaciones fiscales sustantivas y formales)

Sobre este marco general se monta el sectorial, que es donde de verdad se complica el encargo. Una constructora opera bajo la Ley de Contratos del Sector Público, regulaciones medioambientales específicas y normas de prevención de riesgos laborales con requisitos más estrictos que la media. Una empresa de transporte opera bajo la LOTT, el Reglamento (CE) 1071/2009 y los reglamentos europeos de tiempo de conducción. Una clínica privada opera bajo la normativa autonómica de centros sanitarios y la normativa estatal de protección de datos en su versión sectorial. La NIA-ES 250.A6 sugiere consultar al asesor legal del cliente cuando la regulación es técnica, y este es el momento para hacerlo (no al final del encargo, cuando ya hay un indicio sobre la mesa).

Las fuentes que el párrafo 250.A5 identifica para construir esta matriz no son novedosas, pero conviene que aparezcan en el archivo todas y no solo dos:

- Conversaciones con la dirección y con el asesor legal interno o externo - Correspondencia con autoridades regulatorias (Hacienda, Seguridad Social, autoridades sectoriales, inspección de trabajo) - Actas de consejo y comités (auditoría, riesgos, cumplimiento) - Contratos significativos y acuerdos de financiación con cláusulas de cumplimiento - Facturas de asesores legales externos (un dato infravalorado: si la factura del despacho ha subido un 40% este año, algo está pasando)

En la práctica, eso significa que la matriz no se hace pegando la del año anterior. Se hace preguntando al cliente qué ha cambiado y leyendo el último ejercicio de la factura del abogado.

Procedimientos: del manual a lo que realmente ocurre

La NIA-ES 250.15 especifica procedimientos obligatorios durante la evaluación de riesgos. Lo que la norma dice está claro: indagaciones específicas con la dirección sobre políticas de cumplimiento, indagaciones sobre litigios conocidos, inspección de correspondencia con autoridades. Lo que realmente ocurre en muchos encargos es que estos procedimientos se documentan en una hoja con tres preguntas, todas con la respuesta "Sin incidencias". Eso, en el lenguaje del ICAC, es "documentación insuficiente para soportar el juicio del auditor". En la práctica: los papeles están flojos, y si llega una inspección, no hay forma de defender la conclusión.

Los procedimientos sustantivos deberían tejerse en el resto del trabajo, no añadirse al final. Durante las pruebas de controles, los controles relacionados con cumplimiento normativo (segregación de funciones en autorización de pagos, validación de licencias, controles sobre subvenciones) suelen revelar si el área está viva o no. Durante las pruebas sustantivas, las transacciones inusuales o los patrones de gasto a determinados proveedores son la fuente más fiable de indicios. La NIA-ES 250.16 lo formula de otra manera, pero esto es lo que pide: que el auditor abra los ojos mientras hace lo demás.

Y luego están las representaciones escritas de la NIA-ES 250.17. La carta de manifestaciones es la última línea de defensa, no la primera. Si el auditor llega al final del encargo y descubre que solo tiene la manifestación firmada por la dirección como soporte de su conclusión sobre cumplimiento, el archivo está flojo. La manifestación confirma lo que ya sabe; no sustituye lo que no se ha mirado.

Aquí discrepan dos socios reales

Conviene reconocerlo abiertamente. Sobre cómo gestionar un indicio menor de incumplimiento (digamos, un certificado caducado o un retraso en una declaración), socios experimentados discrepan de buena fe.

El Socio A documenta en detalle, comunica formalmente al órgano de gobierno y exige plan de remediación por escrito. Su razonamiento: la NIA-ES 250.22 no distingue entre incumplimientos por su importe, sino por su materialidad cualitativa, y la escalada formal protege al auditor si más adelante aparece un incumplimiento mayor en la misma área. El Socio B documenta de forma proporcional, gestiona la conversación verbalmente con el director financiero y ajusta la matriz para el año siguiente. Su razonamiento: la propia norma reconoce que los incumplimientos claramente menores no requieren comunicación al órgano de gobierno, y formalizar todo desgasta la relación con el cliente sin añadir valor de auditoría.

Los dos tienen razón en su propio terreno. La diferencia está en qué consideran "claramente menor", y ahí no hay regla. Por lo que conozco, los inspectores del ICAC tienden a darle la razón al Socio A cuando el archivo se les pone delante; los clientes tienden a darle la razón al Socio B cuando todavía no ha pasado nada. La pregunta operativa: ¿usted está dispuesto a defender, dentro de tres años y delante de un instructor del ICAC, que ese certificado caducado era claramente menor?

Ejemplo práctico: Transportes Mediterráneos S.A.

Transportes Mediterráneos S.A. es una empresa familiar de transporte de mercancías con sede en Murcia. Facturación anual: 12 millones de euros. Flota: 35 camiones. Empleados: 28 conductores y 8 administrativos. El negocio opera principalmente en rutas nacionales con servicios ocasionales a Francia y Portugal. Es el tercer ejercicio que la firma audita esta sociedad.

Identificación del marco regulatorio específico

Documentación: matriz de cumplimiento por área regulatoria con responsable interno asignado y fecha de última revisión normativa.

Marco general: Código de Comercio, TRLSC, PGC, LGT. Marco específico del transporte:

- Ley de Ordenación de Transportes Terrestres (LOTT) - Reglamento de servicios de transporte por carretera (ROTT) - Reglamento (CE) 1071/2009 sobre acceso a la profesión de transportista - Reglamento (CE) 561/2006 sobre tiempos de conducción y descanso

Evaluación de controles internos de cumplimiento

Documentación: narrativa de controles por área normativa con prueba de diseño y evidencia de operatividad.

La empresa mantiene registro de infracciones de tráfico por conductor, control de tacógrafos digitales y tiempos de conducción, archivo de certificados de aptitud profesional (CAP) y seguimiento de inspecciones técnicas de vehículos.

Hueco identificado: no existe procedimiento documentado para el seguimiento de cambios regulatorios. El responsable de tráfico lee las circulares del Ministerio "cuando tiene tiempo". Esto es exactamente el tipo de hallazgo que la NIA-ES 250 obliga a documentar: no porque haya generado un incumplimiento esta vez, sino porque la falta de proceso significa que el próximo cambio normativo entrará en la organización por accidente o por sanción.

Procedimientos sustantivos específicos

Documentación: programa de trabajo con muestra, hallazgos y conclusiones por línea de prueba.

Sobre licencias y autorizaciones: verificación de la vigencia de la autorización de transporte público, confirmación de que el número de vehículos no excede la capacidad autorizada, revisión de los certificados de competencia profesional del responsable de transporte.

Sobre cumplimiento laboral y de tiempos: muestra de 10 conductores con verificación de licencia CAP vigente, revisión de los registros de tiempo de conducción frente al Reglamento 561/2006, confirmación de afiliación a la Seguridad Social de todos los empleados.

Resultado inicial: se identifican 3 conductores con certificado CAP caducado desde hace 2 meses. Multas administrativas potenciales: 2.001 a 6.000 € por conductor según LOTT artículo 140.25.

La complicación que aparece a la cuarta semana

Hasta aquí el ejemplo es de manual. El problema, en mi caso, es que estos ejemplos nunca terminan en el paso 3. En la cuarta semana del trabajo de campo aparece el correo del cliente en el que el responsable de tráfico admite, sin que se le pregunte, que dos de los tres CAP caducados los detectó él en marzo y el director financiero le pidió que esperara a que pasara la auditoría para renovarlos, "porque ahora hay otras prioridades". El correo está reenviado por error al jefe de equipo desde una cadena interna.

Esto cambia el caso completamente. Lo que era un incumplimiento administrativo menor (multas de 18.000 € sobre una materialidad de 120.000 €, claramente no material por importe) se convierte en una indicación de que la dirección sabía y decidió ocultar. La NIA-ES 250.18 obliga ahora a obtener entendimiento de las circunstancias en las que ha ocurrido el incumplimiento, y la NIA-ES 250.19 pide evaluar las implicaciones sobre la confiabilidad de las representaciones de la dirección. Aquí no hay fórmula. Hay juicio.

Conclusión documentada en el archivo: (1) extender los procedimientos sobre cumplimiento normativo a otras licencias caducadas, porque la actitud de la dirección sugiere que el caso no es aislado; (2) reevaluar la fiabilidad de la carta de manifestaciones que ya estaba redactada; (3) elevar la cuestión al socio del encargo y al órgano de gobierno por escrito antes de la firma. La materialidad cuantitativa no se ha movido. La materialidad cualitativa ha cambiado de naturaleza. Ese giro es lo que la NIA-ES 250 protege con la frase "permanecer alerta": no se trata de encontrar el incumplimiento, sino de no taparlo cuando aparece reenviado por error.

Respuesta cuando aparece el indicio

Cuando el auditor identifica o sospecha un incumplimiento, la NIA-ES 250.18 pide entender la naturaleza del acto y las circunstancias en que ha ocurrido. Esta comprensión informa sobre las implicaciones para el resto del trabajo. La NIA-ES 250.19 las concreta:

- Sobre la fiabilidad de las representaciones de la dirección. Un incumplimiento conocido y no revelado al auditor cuestiona la integridad del resto de manifestaciones del ejercicio. - Sobre la evaluación de riesgo de fraude. Algunos incumplimientos indican un ambiente de control débil o una actitud permisiva hacia actos ilegales que eleva el riesgo de incorrección material por fraude (puente con la NIA-ES 240). - Sobre la suficiencia del trabajo realizado. Es muy probable que se necesiten procedimientos adicionales en otras áreas con dinámicas de control similares.

El párrafo 250.20 obliga a evaluar las consecuencias financieras: multas y sanciones específicas que las autoridades pueden imponer; costes de remediación; posible invalidación de contratos; pérdida de licencias o autorizaciones operativas. Cada una de estas tiene una traducción contable: provisión, pasivo contingente, hecho posterior, cuestión de empresa en funcionamiento. Y cada una de estas tiene una traducción de informe: párrafo de énfasis, opinión modificada, denegación.

La NIA-ES 250.22 cierra el círculo: comunicación al órgano de gobierno corporativo, salvo que sean claramente menores; oportuna; por escrito cuando el incumplimiento es material. La comunicación debe incluir descripción del incumplimiento, evaluación de las implicaciones financieras, respuesta de la dirección al hallazgo y consecuencias para el informe.

Aquí toca decir algo incómodo. La inspección del ICAC, con sus aproximadamente ocho inspectores para más de veintiún mil auditores en el ROAC, no llega a casi ningún encargo. Pero cuando llega, mira esta área porque sabe que es donde los archivos suelen estar más flojos. El marco normativo NIA-ES en este apartado se le hace al auditor un poco brindis al sol: muy bien escrito, poco aplicado, escasamente supervisado. Y ese es exactamente el motivo por el que conviene dejar el archivo cerrado como si fueran a venir mañana, no porque vayan a venir, sino porque no merece la pena defender lo indefendible si llegan.

Lista de verificación práctica

1. Identificar el marco regulatorio específico del cliente durante la planificación según NIA-ES 250.13, con regulaciones sectoriales y jurisdiccionales por línea de negocio significativa, y con fecha de la última revisión normativa documentada.

2. Incorporar indagaciones específicas sobre cumplimiento en cada entrevista con la dirección, conforme al párrafo 250.15, preguntando por cambios regulatorios recientes, monitorización establecida y áreas donde el cliente sabe que va más justo.

3. Revisar la correspondencia con autoridades durante la auditoría, no al final, para identificar investigaciones, multas o requerimientos pendientes de respuesta. Incluir la facturación del asesor legal externo del año.

4. Documentar la evaluación de materialidad para cada incumplimiento identificado, considerando importe, materialidad cualitativa, indicios sobre la integridad de la dirección y el efecto sobre la fiabilidad de las manifestaciones.

5. Obtener representaciones escritas específicas sobre cumplimiento normativo según NIA-ES 250.17, con confirmación de políticas actualizadas y ausencia de investigaciones no reveladas; tratar la carta como confirmación, no como soporte único.

6. Comunicar hallazgos al órgano de gobierno corporativo de forma oportuna y por escrito cuando sean materiales, según el párrafo 250.22, con independencia del impacto sobre el informe.

La acción individual más importante: revisar y actualizar la matriz de cumplimiento regulatorio en cada auditoría recurrente, porque las regulaciones cambian más a menudo que los riesgos de negocio tradicionales y,, porque una matriz heredada es la primera evidencia de que el área se ha gestionado por inercia.

Errores frecuentes

Contenido relacionado

- Glosario de cumplimiento normativo: definiciones de los términos del marco regulatorio en auditoría - NIA-ES 240: Fraude en auditoría: cómo evaluar el riesgo de fraude cuando aparecen indicios de incumplimiento normativo - Kit de evaluación de riesgo normativo: herramientas para documentar y evaluar el cumplimiento de leyes y regulaciones específicas del cliente

---

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.