Lo que aprendera

  • Como la NIA 265.7-8 define una deficiencia de control y una deficiencia significativa, y donde se traza la linea
  • Cuando comunicar a los responsables del gobierno corporativo frente a la dirección según la NIA 265.9-11
  • Que forma, contenido y oportunidad requiere la comunicación (NIA 265.A14)
  • Como evitar el hallazgo de inspección mas comun: comunicaciones de deficiencias vagas o tardias

Lo que aprendera

  • Como la NIA 265.7-8 define una deficiencia de control y una deficiencia significativa, y donde se traza la linea
  • Cuando comunicar a los responsables del gobierno corporativo frente a la dirección según la NIA 265.9-11
  • Que forma, contenido y oportunidad requiere la comunicación (NIA 265.A14)
  • Como evitar el hallazgo de inspección mas comun: comunicaciones de deficiencias vagas o tardias

Tabla de contenidos

Que es una deficiencia de control bajo la NIA 265

Usted encontro una deficiencia de control durante el trabajo de campo. El proceso de aprobación de compras del cliente no tiene segregacion de funciones: la misma persona crea, aprueba y registra ordenes de compra hasta 25.000 euros. Esta bastante seguro de que esto debe ir en la carta de gestion. Pero, va dirigida a la dirección, a los responsables del gobierno corporativo, o a ambos? Y el momento de su comunicación importa para efectos de inspección?

La NIA 265 exige que el auditor comunique por escrito a los responsables del gobierno corporativo (TCWG) cualquier deficiencia significativa en el control interno identificada durante la auditoria, y comunique a la dirección las deficiencias que sean de importancia suficiente para merecer la atencion de la dirección (NIA 265.9-11). La distinción entre una deficiencia de control y una deficiencia significativa determina quien recibe la comunicación y en que forma.

La NIA 265.7(a) define que una deficiencia de control existe cuando un control esta disenado, implementado u opera de forma que no permite a la dirección o empleados, en el curso normal de sus funciones, prevenir o detectar incorrecciones oportunamente. Una deficiencia también existe cuando falta por completo un control necesario para prevenir o detectar incorrecciones.

La definicion tiene dos ramas. La primera cubre controles que existen pero no funcionan correctamente. Una conciliacion bancaria se prepara mensualmente pero nadie la revisa. El control existe (la conciliacion se prepara) pero no opera efectivamente porque el paso de revision que detectaria errores esta ausente.

La segunda rama cubre controles que deberian existir pero no existen. Si la entidad procesa 500 transacciones de compra al mes y no tiene proceso de aprobación por encima de cierto umbral, la ausencia de ese control es en si misma una deficiencia. El auditor no necesita encontrar una incorrección real para identificar una deficiencia. La brecha de control por si sola es suficiente.

La NIA 265 no exige que el auditor busque especificamente deficiencias de control. La NIA 265.7(b) es clara: el auditor comunica las deficiencias que llegan a su atencion durante la auditoria. La identificación de deficiencias es un subproducto de los procedimientos de evaluación del riesgo bajo la NIA 315 y las pruebas de controles bajo la NIA 330. Si usted realiza una auditoria completamente sustantiva y no prueba controles en absoluto, aun puede identificar deficiencias de diseno a traves de su comprension de los procesos de la entidad.

Cuando una deficiencia se vuelve significativa

La NIA 265.8 define una deficiencia significativa como una deficiencia o combinacion de deficiencias en el control interno que, a juicio profesional del auditor, es de importancia suficiente para merecer la atencion de los responsables del gobierno corporativo.

La norma deliberadamente evita un umbral rigido. No existe una prueba de "si la deficiencia pudiera resultar en una incorrección que exceda el X% de materialidad, es significativa". La NIA 265.A5-A7 proporciona indicadores que sugieren que una deficiencia puede ser significativa. Estos indicadores incluyen la probabilidad de que la deficiencia pueda conducir a incorrecciones materiales en los estados financieros en el futuro, la susceptibilidad a perdida o fraude del activo o pasivo relacionado, la subjetividad y complejidad de determinar importes estimados, los importes de estados financieros expuestos a la deficiencia, el volumen de actividad que ha ocurrido o podria ocurrir en el saldo o clase de transacciones expuesta a la deficiencia, y la importancia del control para el proceso de información financiera.

La NIA 265.A6 anade que una deficiencia en el entorno de control (tono desde la cima, supervisión del gobierno, competencia del personal contable) frecuentemente es significativa porque afecta la fiabilidad de todo el sistema de control, no solo un proceso.

El juicio es prospectivo. Una deficiencia que aun no ha resultado en una incorrección puede ser significativa si pudiera conducir a una incorrección material en un período futuro. Una entidad sin controles sobre asientos contables tiene una deficiencia significativa independientemente de si se registraron asientos incorrectos durante el período actual.

La NIA 265.A7 proporciona una prueba negativa útil: una deficiencia no necesita ser significativa solo porque resulto en una incorrección que fue detectada y corregida. Si el propio proceso de revision de la entidad detecto y corrigio el error antes de preparar los estados financieros, el control de deteccion funciono. La deficiencia aun puede merecer comunicación a la dirección, pero puede no alcanzar el nivel de significativa.

Quien recibe la comunicación

La NIA 265.9 exige que el auditor comunique las deficiencias significativas por escrito a los responsables del gobierno corporativo de forma oportuna. Esto no es opcional. Si el auditor identifica una deficiencia significativa, se comunica al TCWG por escrito.

La NIA 265.11 exige que el auditor comunique a la dirección, al nivel apropiado, las deficiencias en el control interno que el auditor haya identificado durante la auditoria y que sean de importancia suficiente para merecer la atencion de la dirección. Estas son deficiencias que no alcanzan el umbral de "significativa" pero aun merecen ser reportadas.

Las dos comunicaciones pueden superponerse. Una deficiencia significativa comunicada al TCWG también deberia comunicarse a la dirección (salvo que la deficiencia se relacione con las propias acciones de la dirección, en cuyo caso comunicar a la dirección seria inapropiado). La NIA 265.A14 senala que cuando la deficiencia se relaciona con la competencia o integridad de la dirección, el auditor comunica solo al TCWG.

La jerarquia funciona asi:

Deficiencia significativa: Comunicacion escrita al TCWG (obligatoria bajo NIA 265.9). También comunicar a la dirección salvo que la deficiencia implique a la dirección.

Otra deficiencia de importancia suficiente: Comunicacion a la dirección (NIA 265.11). La norma no exige que sea por escrito, pero la NIA 265.A14 senala que la comunicación escrita es normalmente apropiada. En la práctica, incluyala en la carta de gestion.

Deficiencia menor sin importancia suficiente: No se requiere comunicación. El auditor puede optar por comunicarla verbalmente, pero la NIA 265 no lo exige.

Forma, contenido y oportunidad

La NIA 265.A14 aborda la forma y oportunidad de la comunicación. Las deficiencias significativas deben comunicarse por escrito. La norma no prescribe un formato específico, pero la comunicación debe incluir una descripción de la deficiencia y una explicacion de sus efectos potenciales. La NIA 265.A12 enfatiza que el auditor no necesita cuantificar los efectos potenciales, pero debe proporcionar contexto suficiente para que el TCWG comprenda por que la deficiencia es significativa.

La comunicación debe realizarse de forma oportuna. La NIA 265.9 usa la frase "de forma oportuna" sin definir una fecha limite. En la práctica, "oportuna" significa durante o poco despues de la auditoria, no seis meses despues. La AFM ha senalado las comunicaciones tardias como hallazgo recurrente de inspección: los equipos que emiten la carta de gestion tres meses despues de firmar el informe de auditoria no han cumplido el requisito de oportunidad.

El contenido no debe incluir recomendaciones salvo que el auditor lo elija. La NIA 265.A13 aclara que el auditor no esta obligado a recomendar acciones correctivas, y muchas firmas separan la comunicación de deficiencias (que es NIA 265) de las recomendaciones de asesoria (que son trabajo de encargo separado). Mezclarlas en una sola carta puede crear confusion sobre cuales puntos son hallazgos de auditoria y cuales son asesoria.

Un requisito de contenido que los equipos frecuentemente pasan por alto: la NIA 265.9 exige que la comunicación incluya una declaración de que el propósito de la auditoria no era identificar todas las deficiencias en el control interno. Esta salvaguarda es importante porque gestiona expectativas. La auditoria no fue una auditoria de controles. Las deficiencias comunicadas son las que llegaron a la atencion del auditor, no una lista completa.

La carta de gestion vs la comunicación al gobierno

En la práctica, muchas firmas combinan la comunicación al TCWG y la carta de gestion en un solo documento. Esto esta permitido bajo la NIA 265.A14, pero crea un riesgo: las deficiencias significativas (que deben ir al TCWG) quedan sepultadas entre recomendaciones operativas que no tienen nada que ver con la NIA 265.

Un enfoque mas limpio separa las dos. La comunicación al TCWG cubre solo deficiencias significativas, hace referencia explicita a la NIA 265, incluye la salvaguarda sobre el alcance y se dirige al comite de auditoria o consejo supervisor. La carta de gestion cubre otras deficiencias y observaciones operativas, se dirige a la dirección y puede incluir recomendaciones.

Cuando se emite una comunicación separada al TCWG, el informe del auditor sobre los estados financieros no hace referencia a la comunicación de deficiencias. Las comunicaciones de la NIA 265 son comunicaciones privadas al TCWG y a la dirección. No son documentos publicos y no aparecen en el informe del auditor salvo que la deficiencia también active una modificación o cuestion de auditoria bajo la NIA 701.

El momento de la carta de gestion frecuentemente se retrasa porque los equipos la tratan como una tarea administrativa a completar despues de firmar la opinion de auditoria. Esta es la secuencia equivocada. Redactar los puntos de deficiencia durante el trabajo de campo (conforme los identifica) y finalizar la carta antes o junto con el informe de auditoria asegura oportunidad y reduce el riesgo de olvidar un punto que era claro durante las pruebas pero se desvanecio de la memoria al cierre.

Ejemplo práctico

Brouwer Techniek B.V. Ingresos: 35 millones de euros. Fabricante de equipos industriales en Eindhoven. 80 empleados. Primer encargo de auditoria (auditor sucesor). Durante la evaluación del riesgo y las pruebas sustantivas, el equipo de auditoria identifica cuatro deficiencias de control.

1. Identificar y describir cada deficiencia. (a) Sin segregacion de funciones en el ciclo de compras a pagos: el gerente de compras puede crear ordenes de compra, aprobar facturas e iniciar pagos hasta 10.000 euros sin una segunda aprobación. (b) Las conciliaciones bancarias mensuales las prepara el contable pero no las revisa una segunda persona. (c) Los conteos fisicos de inventario se realizan anualmente, pero los procedimientos de conteo carecen de documentación sobre como se investigan las discrepancias. (d) El sistema de libro mayor permite asientos contables por tres usuarios, sin flujo de aprobación para asientos superiores a 5.000 euros.

Nota de documentación: Para cada deficiencia, registre el control que falta o no opera efectivamente, el proceso al que se relaciona y como se identifico (procedimiento de evaluación del riesgo, recorrido, prueba sustantiva u otro procedimiento).

2. Evaluar la significatividad de cada deficiencia. Aplique los indicadores de la NIA 265.A5-A7. Deficiencia (a): el gerente de compras procesa aproximadamente 4 millones de euros en compras anualmente. La ausencia de segregacion de funciones expone a la entidad tanto a riesgo de error como de fraude. Dado el volumen de transacciones y la susceptibilidad a perdida, esta es una deficiencia significativa. Deficiencia (b): la revision de conciliaciones bancarias es un control detectivo sobre efectivo, el activo mas liquido. Conciliaciones mensuales sin revision incrementan el riesgo de que errores o irregularidades pasen desapercibidos hasta por un mes. Significativa. Deficiencia (c): la brecha en el procedimiento de conteo de inventario podria afectar la exactitud del saldo de inventarios de 6 millones de euros, pero la entidad tiene un margen bruto que se ha mantenido estable dentro del 1% durante tres años, proporcionando evidencia indirecta de exactitud del inventario. No significativa, pero de importancia suficiente. Deficiencia (d): acceso irrestricto a asientos contables para tres usuarios sin flujo de aprobación es una deficiencia significativa porque afecta todo el libro mayor.

Nota de documentación: Para cada deficiencia, documente los indicadores de la NIA 265.A5-A7 evaluados, el juicio alcanzado y la justificacion. Este es el papel de trabajo que los equipos de inspección revisaran.

3. Determinar los destinatarios de la comunicación. Las deficiencias significativas (a), (b) y (d) deben comunicarse por escrito al TCWG bajo la NIA 265.9. La deficiencia (c) se comunica a la dirección en la carta de gestion bajo la NIA 265.11.

4. Redactar las comunicaciones. Prepare la carta al TCWG abordando las deficiencias (a), (b) y (d). Incluya la salvaguarda de la NIA 265 de que la auditoria no fue disenada para identificar todas las deficiencias. Prepare la carta de gestion abordando la deficiencia (c) e incluyendo las deficiencias (a), (b) y (d) para información de la dirección.

5. Emitir de forma oportuna. El informe de auditoria se firma el 28 de marzo de 2026. La comunicación al TCWG se emite el 21 de marzo de 2026 (antes del informe de auditoria). La carta de gestion se emite el 28 de marzo de 2026 junto con el informe.

Un revisor ve: cuatro deficiencias identificadas, tres evaluadas como significativas con justificacion documentada, la carta al TCWG emitida antes del informe de auditoria y la carta de gestion emitida simultaneamente.

Checklist práctico

  • Durante el trabajo de campo, mantenga un registro continuo de deficiencias de control conforme las identifique. No espere al cierre para compilar la lista. Una hoja de cálculo con columnas para descripción, area de proceso, evaluación de indicadores NIA 265.A5-A7 y conclusión de significatividad es suficiente.
  • Para cada deficiencia evaluada como significativa, documente los indicadores específicos de la NIA 265.A5-A7 que respaldan el juicio. Una nota de una linea ("problema de segregacion de funciones, significativa") no es suficiente para inspección.
  • Emita la comunicación al TCWG antes o al mismo tiempo que el informe de auditoria. La NIA 265.9 exige comunicación "oportuna". Una carta emitida meses despues del informe de auditoria es un hallazgo esperando ocurrir.
  • Incluya la salvaguarda de la NIA 265 en la comunicación al TCWG: el propósito de la auditoria no era identificar todas las deficiencias en el control interno (NIA 265.9).
  • Separe las comunicaciones de deficiencias significativas (TCWG) de las recomendaciones operativas (carta de gestion). Si las combina en un documento, etiquete claramente cuales puntos son deficiencias significativas según la NIA 265.
  • Cuando una deficiencia implique la competencia o integridad de la dirección, comunique solo al TCWG. No la incluya en una carta dirigida a la persona responsable de la deficiencia.

Errores comunes

Emitir la carta de gestion meses despues del informe de auditoria. La AFM ha senalado repetidamente las comunicaciones tardias como deficiencia. "Oportuna" bajo la NIA 265.9 significa durante o poco despues de la auditoria, no cuando el equipo tenga tiempo.

No distinguir entre deficiencias significativas y otras deficiencias. Los equipos de inspección verifican si el auditor aplico los indicadores de la NIA 265.A5-A7 y documento la evaluación de significatividad. Una carta de gestion que enumera 12 puntos sin indicar cuales son significativos no cumple.

Omitir la salvaguarda de la NIA 265 de que el propósito de la auditoria no era identificar todas las deficiencias. Esta salvaguarda protege tanto al auditor como al TCWG de la expectativa de que la comunicación sea una evaluación completa de controles.

Contenido relacionado

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.