Contenidos

1. Lo que la norma pide y lo que el mercado entrega 2. Qué cuenta como deficiencia, qué como deficiencia significativa 3. Cuándo y cómo comunicar según la norma 4. El ciclo real de la carta a la dirección 5. Carta detallada o carta accionable: el desacuerdo entre socios 6. Caso de trabajo: constructora valenciana 7. Lista de comprobación y errores frecuentes 8. Recursos relacionados

Lo que la norma pide y lo que el mercado entrega

La NIA-ES 265 ocupa apenas dieciséis párrafos del cuerpo principal y un puñado de párrafos de aplicación. Su lógica es sencilla: el auditor identifica deficiencias en el control interno durante el encargo, las clasifica según su severidad, y comunica las significativas por escrito a los responsables del gobierno de la entidad antes de la fecha del informe (párrafos .9 y .10). Las menores se comunican al nivel de dirección apropiado, oralmente o por escrito. Hasta aquí, el papel.

Lo que se entrega en la práctica es otra cosa. En mi caso, en los encargos que he llevado en sectores industriales y de servicios en España durante los últimos siete años, la carta a la dirección se genera a partir de la del año anterior, se actualiza con las cifras del ejercicio, se añade una observación nueva para que no parezca un calco, y se firma. El consejo la lee si la lee, la archiva, y nadie hace seguimiento. La norma no exige seguimiento ulterior por parte del auditor; lo que sí exige el párrafo 11 es que, en encargos recurrentes, se confirme si las deficiencias previas siguen abiertas. Esa confirmación se documenta. Lo que no se documenta es por qué siguen abiertas año tras año.

Desde mi punto de vista, ese desfase entre el diseño de la norma y su aplicación cotidiana no es una patología de despacho concreto sino una consecuencia estructural del modelo de honorarios. El auditor no cobra por que el consejo actúe; cobra por emitir el informe. Una carta útil, una carta que genere acciones del consejo, produce más preguntas en la próxima campaña sin producir más ingresos. Una carta formulaica reproduce el ciclo sin coste.

Qué cuenta como deficiencia, qué como deficiencia significativa

La definición operativa

La NIA-ES 265.5 define una deficiencia como aquella situación en la que el diseño o el funcionamiento de un control no permite a la dirección o a los empleados, en el curso normal de sus funciones, prevenir o detectar y corregir incorrecciones de forma oportuna. La definición tiene dos vertientes prácticas: hay deficiencias de diseño (el control no existe o está mal pensado) y deficiencias de funcionamiento (existe sobre el papel pero no opera). Esta distinción importa porque el remedio es distinto: una deficiencia de diseño exige rediseñar el control; una de funcionamiento, formación, supervisión o cambio de persona.

El umbral de significación

La NIA-ES 265.6 califica como significativa aquella deficiencia que, a juicio profesional del auditor, merece la atención de los responsables del gobierno de la entidad. El párrafo A7 enumera los factores: probabilidad de que la deficiencia genere incorrecciones materiales, magnitud potencial, susceptibilidad de la cuenta a fraude, importancia del importe afectado, volumen de actividad expuesto, importancia de la cuenta para los estados financieros tomados en su conjunto. El párrafo A8 añade que deficiencias que individualmente no son significativas pueden serlo cuando se combinan y afectan al mismo saldo o revelación.

El problema operativo es que ese juicio se documenta mal. He visto papeles de trabajo donde la clasificación entre significativa y menor se resuelve marcando una casilla en una hoja Excel sin más razonamiento. Eso, cuando llega una inspección del ICAC, se lee como lo que es: marcar la casilla. El inspector no busca la frase "deficiencia significativa"; busca el rastro del juicio que llevó a esa clasificación.

Controles compensatorios

El párrafo A9 obliga a considerar si existen controles compensatorios que mitiguen la deficiencia. La práctica común es invocarlos para rebajar una deficiencia de significativa a menor, y a veces es legítimo. Otras veces es brindis al sol: el "control compensatorio" es la revisión mensual del director financiero, que tiene quince empresas que revisar y dedica diez minutos a esta. Cuando se documenta el control compensatorio en un papel de trabajo, hay que documentar también su efectividad operativa, no solo su existencia.

Cuándo y cómo comunicar según la norma

Oportunidad

La NIA-ES 265.10 exige que la comunicación escrita de las deficiencias significativas se realice antes de la fecha del informe de auditoría. El párrafo A14 matiza que la comunicación oportuna puede requerir, en algunos casos, comunicar una deficiencia significativa tan pronto como se identifique, sin esperar al cierre del encargo, especialmente cuando esa deficiencia podría requerir acción inmediata por parte del consejo (por ejemplo, una falta de segregación que está permitiendo movimientos de tesorería sin doble firma).

En la práctica, esa comunicación intermedia ocurre rara vez. Por lo que conozco, las firmas medianas españolas concentran toda la comunicación en la carta única que acompaña al informe. La excusa habitual es que el consejo prefiere recibir todo junto. La razón real es que comunicar deficiencias durante el encargo abre conversaciones con la dirección que retrasan el trabajo de campo.

Forma

El párrafo .9 exige forma escrita para las deficiencias significativas. El párrafo A16 detalla qué debe incluir: descripción de la deficiencia, explicación de sus efectos potenciales, contexto suficiente para que los responsables del gobierno comprendan la comunicación. No exige recomendaciones específicas, pero el párrafo A18 indica que el auditor puede incluirlas. Aquí surge la primera decisión real del auditor.

Destinatario

El párrafo A17 establece que la comunicación escrita sobre deficiencias significativas debe dirigirse a los responsables del gobierno de la entidad. En sociedades sin consejo formalmente diferenciado de la dirección, la comunicación se dirige a quienes ejercen la función de gobierno, identificándolos como tales. La distinción importa: una carta dirigida al director financiero no satisface el requisito si quien gobierna es el consejo de administración.

El ciclo real de la carta a la dirección

Desde mi punto de vista, el problema central de la aplicación de la NIA-ES 265 en España no es de redacción de la norma sino de incentivos del mercado. Voy a describir el ciclo que he observado en la práctica.

Mes de marzo: el equipo de auditoría comienza el trabajo de campo. Identifica deficiencias mientras realiza pruebas de controles y procedimientos sustantivos. Las anota en la hoja de incidencias del archivo electrónico. Mes de abril: se cierra el trabajo de campo. El gerente revisa la hoja de incidencias y selecciona las que cree que pueden ir a la carta. Mes de mayo: se redacta la carta. Se abre la del año pasado, se copian los párrafos de las deficiencias que siguen abiertas (con la confirmación del párrafo 11 documentada en una nota), se añade la observación nueva, se ajustan cifras. Se envía al socio para revisión. El socio cambia dos comas. Se firma.

Mes de junio: el consejo recibe la carta junto con el informe de auditoría. La lee el secretario. Se incorpora al expediente. Algunos consejos piden que el auditor la presente; muchos no. Mes de julio en adelante: la carta no genera plan de acción documentado en el consejo. Las deficiencias siguen ahí. Mes de marzo siguiente: el equipo de auditoría confirma que las deficiencias previas siguen sin corregir, lo documenta, y el ciclo se cierra.

Esa descripción no es cínica. Es lo que ocurre. Y la norma, tal como está escrita, no exige nada más. El auditor cumple con .9, .10 y .11 generando la carta, aunque la carta no produzca el efecto que la NIA-ES 265 perseguía cuando fue diseñada en 2009 por el IAASB.

Carta detallada o carta accionable: el desacuerdo entre socios

En el despacho mediano donde formé parte del equipo durante varios años convivían dos socios con visiones encontradas sobre la carta a la dirección. Ambos cumplían la norma; ninguno se equivocaba técnicamente. Pero el resultado era distinto y el debate, real.

El socio A defendía la carta detallada con análisis de causa raíz por cada deficiencia significativa. Cinco páginas, a veces siete. Cada deficiencia ocupaba dos párrafos de descripción, uno de causa probable, uno de efecto, uno de recomendación. La argumentación de este socio era que esa carta protegía al despacho ante una inspección del ICAC: el inspector que la leyera vería trabajo hecho, juicio aplicado, contexto comprendido. Y, secundariamente, daba al consejo material para discutir.

El socio B defendía la carta corta con elementos accionables priorizados. Dos páginas. Tres deficiencias significativas redactadas como acciones concretas para el consejo, con responsable sugerido y plazo orientativo. La argumentación de este socio era que la carta detallada del socio A no la lee nadie en el consejo, mientras que la carta corta sí se lee y, ocasionalmente, produce acción.

Aquí está la trampa que ninguno verbalizaba en voz alta: la carta del socio B, cuando funciona, crea más trabajo para el auditor en la próxima campaña. Si el consejo actúa sobre las recomendaciones, el auditor tiene que verificar que las acciones se han implementado, evaluar si el nuevo control está bien diseñado, probar su funcionamiento. Eso son horas no facturadas, porque el presupuesto del encargo se cerró antes de que se generara la carta. La carta del socio A, paradójicamente, es la opción que protege la rentabilidad del encargo: nadie actúa, el año siguiente las deficiencias siguen ahí, se documenta el párrafo 11 y se sigue.

No lo digo para elogiar al socio B ni para condenar al socio A. Lo digo porque, hasta que el modelo de honorarios separe la auditoría del seguimiento de mejoras de control interno, este conflicto es estructural. La NIA-ES 265 no se hace cargo de él.

Caso de trabajo: constructora valenciana

Constructora Valencia Levante S.L. Empresa familiar, ingresos de 8,4 millones de euros, 45 empleados. Auditoría del ejercicio 2024. Tres deficiencias identificadas durante el trabajo de campo.

Deficiencia 1: autorización de pagos

Los pagos superiores a 20.000 euros requieren firma dual según el manual de procedimientos. En la muestra de quince pagos por importes entre 22.000 y 67.000 euros revisados en noviembre, doce fueron autorizados únicamente por el director financiero. Documentación en papel de trabajo P-3.4: extractos bancarios con la firma única, conciliados con el manual de procedimientos vigente desde 2021.

Clasificación: deficiencia significativa. La ausencia de segregación en pagos importantes crea exposición al fraude y al error. Los importes representan entre el 0,26% y el 0,80% de los ingresos anuales. El control compensatorio invocado por la dirección (revisión mensual del consejero delegado) no se aplicó en cinco de los doce casos según el log de aprobaciones. Argumentación documentada en P-3.4-bis: la deficiencia se mantiene como significativa porque el control compensatorio no opera de forma consistente.

Deficiencia 2: conciliaciones bancarias

Las conciliaciones se preparan mensualmente. No hay revisión independiente. El mismo empleado que las prepara puede registrar asientos de ajuste sin supervisión. Documentación: revisión de conciliaciones de octubre, noviembre y diciembre; entrevista con el responsable de tesorería.

Clasificación: deficiencia menor. Existe un control compensatorio que sí opera con regularidad: el director financiero revisa los extractos mensuales y firma la conciliación como evidencia de revisión. La firma se ha verificado en doce de doce casos del ejercicio. Recomendamos formalizar la revisión separando la preparación de la aprobación, pero no escala a significativa.

Deficiencia 3: control de inventarios de obra

No existe conteo físico sistemático de materiales en obra. Los movimientos se registran solo a partir de albaranes, sin verificación física posterior. Visita a tres obras activas en diciembre. La comparación entre registros contables y estimación física revela diferencias del 8% al 12%. Los inventarios representan el 23% del activo total a 31 de diciembre.

Clasificación: deficiencia significativa. Sin control físico no hay garantía sobre la valoración del inventario en obra, y el peso relativo en el activo total impide rebajar la clasificación. No hay control compensatorio identificable.

Comunicación recomendada

La carta al consejo incluye las deficiencias 1 y 3 como significativas (NIA-ES 265.9), con descripción, efecto potencial y recomendación accionable. La deficiencia 2 se comunica oralmente al director financiero y se documenta el contenido y el destinatario en P-3.4-ter (NIA-ES 265.A19). La carta se entrega antes de la fecha del informe.

Lista de comprobación y errores frecuentes

Lista práctica

1. Evaluar cada deficiencia individualmente con los criterios del A7: probabilidad de incorrección material y magnitud potencial. Documentar el juicio, no solo la conclusión. 2. Evaluar el efecto combinado de deficiencias menores que afecten al mismo saldo o revelación (A8). No basta con tratarlas por separado. 3. Documentar controles compensatorios y su efectividad operativa, no solo su existencia (A9). Si el compensatorio no opera de forma consistente, la deficiencia no se rebaja. 4. Preparar comunicación escrita con descripción, efectos potenciales y contexto (A16). Las recomendaciones son opcionales según A18. 5. Verificar que la comunicación se dirige a los responsables del gobierno de la entidad y no solo al equipo directivo (A17). 6. Para encargos recurrentes, confirmar el estado de las deficiencias previas y documentar por qué siguen abiertas, si lo siguen (.11).

Errores frecuentes

Comunicar todas las deficiencias como significativas para parecer diligente. El efecto es el contrario: el consejo deja de leer una carta donde todo se etiqueta igual. Algunas firmas hacen esto cuando el socio teme una inspección del ICAC; el resultado es ruido y pérdida de credibilidad técnica.

Evaluar deficiencias en aislamiento sin considerar combinaciones. Tres deficiencias menores en cuentas a cobrar pueden constituir una significativa cuando el saldo combinado expone una porción material del activo. El A8 es explícito.

Documentar la clasificación con una sola línea ("clasificada como significativa") sin razonamiento. Cuando la clasificación es de juicio, el papel debe contener el juicio. Si no, los papeles están flojos cuando llega revisión.

Incluir recomendaciones genéricas que el consejo no puede ejecutar. "Mejorar el control interno sobre tesorería" no es una recomendación accionable; "implantar doble firma para pagos superiores a 20.000 euros con verificación trimestral del log de aprobaciones" sí lo es.

Olvidar la confirmación del .11 en encargos recurrentes. Es el papel de trabajo que primero pide el inspector cuando la carta del año actual repite deficiencias del anterior.

Recursos relacionados

- Evaluación del riesgo de control interno: cómo evaluar la efectividad del control interno como parte de la evaluación del riesgo de auditoría. - Kit de evaluación NIA-ES 315: herramientas para documentar la comprensión del control interno y la evaluación de riesgos. - Material weakness frente a deficiencia significativa: comparación entre clasificaciones de deficiencias en marcos normativos distintos.

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.