La detección no es el problema

Por dónde aparecen las deficiencias en un encargo real

La NIA-ES 265.A1 lo deja claro desde el principio: el auditor no tiene obligación de buscar deficiencias activamente. Solo debe comunicar las que identifique como subproducto de los procedimientos planificados para la opinión sobre las cuentas anuales. Esta limitación, que el manual presenta como una salvaguarda contra el alcance excesivo, en la práctica es la primera ranura por la que se cuelan las deficiencias no documentadas.

En un encargo típico, los puntos de detección son cinco. El primero es el walkthrough exigido por la NIA-ES 315 R, donde el equipo recorre cada ciclo significativo y va anotando quién hace qué. El segundo es el test de controles cuando se ha optado por el enfoque combinado, momento en que se observa si el control opera con la frecuencia y precisión esperadas. El tercero es la fase sustantiva, donde una incidencia recurrente en muestras de existencias o en confirmaciones bancarias revela un fallo de control aguas arriba. El cuarto son los ajustes propuestos por el equipo: un ajuste del cliente que el control debería haber detectado y no detectó es, por definición, una deficiencia operativa según la NIA-ES 265.A18. Y el quinto es la conversación informal con la persona del cliente que lleva el área, la que dice, sin pensar, "es que ese cobro siempre lo hace María directamente con el banco, sin pasar por contabilidad."

Vaya por delante que de estos cinco puntos, los dos que generan más deficiencias documentables son el cuarto y el quinto. El walkthrough produce deficiencias de diseño que el cliente suele explicar, los tests de controles solo se hacen en una minoría de encargos (y en los pequeños, casi nunca), y la fase sustantiva genera muchas observaciones que el equipo no acaba de reconducir hasta su raíz de control. Por lo que conozco, los ajustes y las conversaciones laterales son donde el equipo capta lo que realmente está pasando, y es justo el material que peor se documenta.

Diseño frente a operativa: la distinción que se evade

La NIA-ES 265.A2 distingue dos tipos de deficiencia: el control no está diseñado, implantado u operado de forma que prevenga, o detecte y corrija, errores en los estados financieros de manera oportuna. La práctica aglutina las dos categorías en una sola etiqueta genérica de "deficiencia," y eso tiene consecuencias.

Una deficiencia de diseño existe cuando, aunque el control opere perfectamente, no podría cumplir su objetivo. La autorización de gastos por importe único sin segregación de quien introduce la factura y quien la paga es deficiencia de diseño: por mucho que la persona se esmere, el control no puede prevenir el riesgo. Una deficiencia operativa existe cuando el diseño es adecuado pero el control no se ejecuta, se ejecuta tarde, o se ejecuta sin la diligencia esperada. La conciliación bancaria mensual que el manual exige firmada por dos personas y que en la práctica firma una sola, dos meses tarde, es deficiencia operativa.

La razón por la que esta distinción importa tanto es porque la respuesta del cliente es radicalmente distinta. La deficiencia de diseño exige rediseñar el proceso, y eso casi nunca se hace en el ejercicio en curso. La deficiencia operativa exige disciplina y supervisión, y eso es lo que la dirección puede prometer corregir antes de la próxima auditoría. Cuando el equipo no separa los dos tipos en su evaluación, lo que ocurre es que todas las deficiencias acaban discutiéndose como si fueran operativas, porque es la conversación más cómoda con la dirección. Las deficiencias de diseño se quedan en la columna de "otras observaciones" y se repiten año tras año en la carta de recomendaciones sin que nadie haga nada.

La evaluación de severidad: donde vive el juicio

Los criterios de la NIA-ES 265.A6 a A11

La norma da una batería de factores para evaluar si una deficiencia, sola o combinada con otras, alcanza el umbral de significativa. La NIA-ES 265.A7 enumera, entre otros: la probabilidad de que la deficiencia produzca futuros errores materiales en las cuentas, la susceptibilidad a pérdida o fraude del activo o pasivo afectado, la subjetividad y complejidad en la determinación de los importes estimados (valoraciones de fair value, deterioros, provisiones), los importes en juego, el volumen de la actividad expuesta, la importancia de los controles afectados en el proceso de información financiera y la causa y frecuencia de las excepciones detectadas durante el test del control.

La NIA-ES 265.A8 añade una lista no exhaustiva de indicadores de severidad: evidencia de aspectos ineficaces del entorno de control (incluyendo casos en los que la dirección haya pasado por encima de un control, lo que se conoce como management override), ausencia de un proceso de evaluación de riesgos en una entidad cuya naturaleza lo exija, evidencia de un proceso ineficaz de respuesta a los riesgos identificados, errores anteriormente comunicados que la dirección no haya corregido, y la incapacidad de la dirección para preparar estados financieros precisos.

Sobre el papel, los criterios son sólidos. En el ejercicio real es donde aparece la grieta. La probabilidad de que una deficiencia produzca un error material es una proyección, no un dato. La susceptibilidad al fraude es una valoración cualitativa que depende de cuánto conozca el equipo al cliente. La causa raíz de una excepción rara vez se investiga hasta el final por presión de tiempo. Y "la importancia del control afectado" depende de cómo el equipo haya mapeado los procesos en la fase de planificación, lo que a su vez depende de cuántas horas se hayan presupuestado para la NIA-ES 315 R, que en encargos pequeños son las que sobran después del trabajo sustantivo.

Desde mi punto de vista, el problema no es que los criterios sean malos. El problema es que son criterios cargados de juicio que se aplican bajo presión de tiempo y bajo presión comercial, y que el juicio por defecto, cuando esas dos presiones empujan en la misma dirección, es siempre el de subestimar.

Por qué la severidad casi nunca se decide donde debería

La NIA-ES 265.10 establece que el auditor debe determinar si las deficiencias identificadas, individualmente o combinadas, son deficiencias significativas. La norma no especifica quién dentro del equipo realiza esa determinación, pero la práctica es uniforme: el sénior la hace en el campo cuando documenta el papel de trabajo, el gerente la cuestiona en la primera revisión, y el socio la confirma o la rebaja en la revisión final. Cada nivel jerárquico tiene un incentivo distinto.

El sénior quiere terminar el papel y pasar al siguiente. Si etiqueta una deficiencia como significativa, sabe que va a generar discusión con el gerente, posiblemente reescribir el papel, y casi seguro una conversación incómoda con el cliente. Si la etiqueta como "otra observación," nadie le va a pedir cuentas. El gerente quiere cerrar el encargo en horas presupuestadas. Cada deficiencia significativa exige una sección adicional en la carta, una llamada al cliente para anticipar el contenido y una revisión más detallada del socio. El socio quiere mantener el cliente. Cada deficiencia significativa es una conversación con el consejo o con el comité de auditoría que erosiona la relación, y el socio es quien gestiona esa relación en nombre de la firma.

Lo que realmente ocurre es lo siguiente. El sénior, en el campo, identifica entre cinco y diez deficiencias por encargo. El gerente, en revisión, descarta dos por "el cliente es pequeño y no se le puede pedir más," reclasifica tres a "otras observaciones" por "ya lo tienen identificado en su MOI" y deja dos como significativas. El socio, en segunda revisión, baja una de las dos a "otras observaciones" porque "ya lo hemos hablado con el director financiero y va a corregirlo este trimestre." Lo que llega a la carta es una deficiencia significativa por encargo de tamaño medio, dos en encargos grandes, ninguna en encargos pequeños. No porque las deficiencias no existan, sino porque el filtro jerárquico está calibrado para que casi todo se quede por debajo del umbral.

En mi caso, con encargos de la franja media en el sector industrial, he visto cómo deficiencias claramente significativas según los criterios de la NIA-ES 265.A8 (falta de segregación de funciones en tesorería, conciliaciones bancarias revisadas solo a final de año, ausencia de revisión independiente del cálculo de la prima de producción) terminaban en la columna de "otras observaciones" porque el cliente prometía que estaba implantando un nuevo ERP que lo iba a resolver todo. Año siguiente, mismo encargo, las mismas deficiencias seguían ahí, y seguían etiquetadas igual. La carta de recomendaciones se convertía, año tras año, en un brindis al sol.

La economía oculta de la evaluación

El incentivo perverso que la norma no nombra

La NIA-ES 265 está escrita asumiendo que el auditor evalúa la severidad de forma independiente, basándose solo en los criterios técnicos. La estructura comercial del encargo introduce un sesgo que la norma no contempla. Más deficiencias significativas en la carta significa más conversaciones incómodas con el consejo, una reunión adicional para presentar la carta, posiblemente una recomendación de que la dirección refuerce el comité de auditoría. Todo eso lo gestiona el socio, que es la misma persona que negocia los honorarios del año siguiente y que tiene el cliente asignado en su cartera.

El sénior que escala una deficiencia paga un coste en horas y en relación con el equipo. El socio que la rebaja se ahorra fricción con el cliente y refuerza una relación que va a renegociarse el próximo otoño. Esa asimetría no aparece en ningún manual, pero es la que decide, encargo a encargo, qué llega a la carta y qué se queda en el papel de trabajo. Es la captura comercial silenciosa de un proceso técnicamente riguroso.

Por lo que conozco, los despachos que mejor manejan esto separan funcionalmente la evaluación de severidad del equipo de campo, asignándola a un revisor técnico que no tiene relación comercial con el cliente. Los que peor lo manejan son los despachos pequeños donde el socio firmante es el único revisor, porque no hay nadie con autoridad técnica para discrepar. La NIA-ES no obliga a separar funciones, y la ISQM 1, que sí trata el control de calidad a nivel de firma, tampoco lo exige explícitamente más allá de la EQR para encargos EIP. La cura, desde mi punto de vista, no es endurecer los criterios técnicos. Es separar institucionalmente la evaluación de la severidad del equipo que tiene el cliente. Sin esa separación, el resto del marco se queda en arquitectura sin habitantes.

El desacuerdo legítimo: dos socios, dos veredictos

Tomemos una situación que aparece en cualquier encargo de tamaño medio. La empresa tiene una matriz de autorización de gastos que existe pero no está formalmente firmada por el consejo, está colgada en la intranet y todos la conocen. Las conciliaciones bancarias se hacen mensualmente por el contable, pero el director financiero las revisa solo en el cierre anual.

El socio A, con tendencia técnica, lo etiqueta como deficiencia significativa. Su razonamiento: la matriz no formalmente aprobada equivale, según la NIA-ES 265.A8, a evidencia de un entorno de control débil porque la dirección no ha establecido formalmente los límites de autoridad. La revisión anual de las conciliaciones supone que durante once meses el riesgo de error material en bancos no está cubierto por un control detectivo, lo que dada la susceptibilidad de tesorería al fraude (criterio expreso de la NIA-ES 265.A7) eleva la severidad.

El socio B, con tendencia pragmática, lo etiqueta como otra observación. Su razonamiento: la matriz se cumple en la práctica, ningún test de transacciones ha detectado autorizaciones fuera de límite, y la falta de firma del consejo es una formalidad subsanable con un punto del orden del día. Las conciliaciones mensuales no han mostrado discrepancias durante el año, y el riesgo residual está cubierto por los procedimientos sustantivos del cierre. Comunicarlo como significativo, dice el socio B, sería desproporcionado y dañaría la credibilidad del informe ante un consejo que ya ha visto todas las cartas anteriores.

Ambos socios pueden defender su veredicto bajo los criterios de la NIA-ES 265. El sistema no resuelve la discrepancia. Lo que resuelve es la asimetría de coste: el socio B tiene cliente que mantener, el socio A no. Si A es el revisor técnico y B es el responsable del cliente, el sistema tiene un freno. Si A no existe, B decide solo, y el sistema se ha quedado sin freno.

Documentación: lo que sobrevive a una inspección

El requisito de la NIA-ES 265.11 y lo que el ICAC busca

La NIA-ES 265.11 exige documentación de la comunicación realizada y, por extensión razonable según la NIA-ES 230, también de las deficiencias identificadas y de su evaluación. La práctica habitual es archivar la carta de recomendaciones final y considerar que con eso basta. No basta.

Cuando el ICAC inspecciona un encargo, busca tres cosas en relación con la NIA-ES 265. Primera: cómo se identificaron las deficiencias durante el trabajo. Esto exige papeles que crucen entre el walkthrough de la NIA-ES 315 R y la matriz de deficiencias, mostrando el origen de cada hallazgo. Segunda: cómo se evaluó la severidad. Esto exige una matriz que aplique los criterios de la NIA-ES 265.A6 a A11 a cada deficiencia identificada, con la conclusión razonada de por qué se clasifica como significativa o como otra. Y tercera: cómo se comunicó. La carta es solo el output final.

En las inspecciones recientes del ICAC sobre firmas no-EIP, una de las observaciones recurrentes ha sido que los papeles de trabajo registran la carta pero no la matriz de evaluación. El inspector señala que "no consta evidencia de la aplicación sistemática de los criterios de la NIA-ES 265 a las deficiencias identificadas." En la práctica, eso significa que el equipo identificó deficiencias, las evaluó mentalmente, y solo dejó rastro escrito de las que sobrevivieron al filtro. Lo que el inspector está leyendo es un papel donde el juicio profesional no está documentado, solo está aplicado. La diferencia entre las dos cosas es la que separa una inspección sin observaciones de una con expediente abierto.

Qué tiene que estar en el papel

Hay un mínimo razonable que rara vez se cumple. Una matriz de deficiencias identificadas, con identificación numérica, descripción, ciclo afectado, fuente del hallazgo (walkthrough, test de control, sustantivo, ajuste, conversación) y clasificación diseño/operativa. Una columna por cada criterio de la NIA-ES 265.A7 marcando si aplica y con qué intensidad. Una conclusión razonada de severidad: significativa o otra, con remisión expresa al criterio o criterios que sostienen la conclusión. Y, para las que se han clasificado como "otras," una nota explicando por qué no se ha cruzado el umbral, con referencia a por qué los factores que apuntan a significativa están atenuados en el contexto del encargo.

Esto es trabajo. En un encargo grande con veinte deficiencias identificadas, son varias horas de papel. Por eso casi nunca se hace. Y por eso, cuando el inspector llega, los papeles están flojos, falta chicha, y el equipo intenta reconstruir de memoria un razonamiento que solo se hizo a medias en el momento.

Tres escándalos, tres lecciones sobre control interno

Pescanova, Banco Popular y Grifols son tres expedientes españoles donde el control interno fue parte central del problema. En Pescanova, el caso clásico de financiación oculta a través de sociedades vinculadas reveló una ausencia total de controles efectivos sobre operaciones intragrupo y sobre la propia contabilidad de tesorería. En Banco Popular, las inspecciones posteriores identificaron debilidades persistentes en los controles sobre el reconocimiento de activos dudosos y sobre la valoración de garantías inmobiliarias, debilidades que el auditor había identificado y comunicado pero cuya severidad había quedado por debajo del umbral año tras año. En Grifols, las cuestiones planteadas por Gotham City Research en 2024 sobre operaciones con partes vinculadas señalaron, entre otras cosas, debilidades en los controles sobre la autorización de préstamos intragrupo y sobre la consolidación de entidades de propósito especial.

Lo común a los tres casos no es que las deficiencias no se identificaran. Es que las que se identificaron se evaluaron como insuficientemente severas como para merecer un cambio de opinión, una salvedad, o una comunicación más enérgica al consejo. Cada caso fue, en su momento, una aplicación defendible de la NIA-ES 265 según los criterios técnicos. Y cada caso, visto en retrospectiva, fue una aplicación que infraestimó la severidad real. La lección operativa no es que la norma esté mal. Es que el filtro humano que la aplica está calibrado para infraestimar, y que el coste de esa calibración solo se ve cuando ya es tarde.

Ejemplo práctico: Hidráulica del Levante S.A.

Hidráulica del Levante S.A. Ubicación: Murcia, España Cifra de negocios: 42,8 millones de euros Empleados: 218 Materialidad global: 640.000 euros (1,5% del activo) Sector: fabricación de bombas industriales y equipos de riego

Deficiencia 1, identificación Durante el walkthrough del ciclo de compras, se observa que el responsable de almacén introduce las facturas de proveedor en el sistema, las concilia con el albarán y aprueba el pago dentro de la matriz de autorización (umbral interno de 25.000 euros por operación). Fuente: PT CI-01, walkthrough realizado el 18 de febrero de 2026.

Clasificación diseño/operativa: deficiencia de diseño. Aunque el control de tres vías existe, la concentración de las tres funciones en una sola persona impide que el control prevenga errores.

Aplicación de criterios NIA-ES 265.A7: - Susceptibilidad al fraude: alta (compras es área típicamente expuesta) - Volumen: aproximadamente 1.800 facturas anuales por debajo del umbral, suma agregada de 11,2 millones de euros - Subjetividad: baja (el control es procedimental) - Importancia del control: alta (es el control preventivo principal del ciclo)

Conclusión razonada: significativa. Aunque no se han detectado pagos fraudulentos en los procedimientos sustantivos del ejercicio, la susceptibilidad y el volumen agregado superan ampliamente la materialidad de planificación. La concentración de funciones es un indicador expreso de la NIA-ES 265.A8. Documentación: PT CI-03, matriz de evaluación con marca individual de cada criterio.

Deficiencia 2, identificación Durante la revisión sustantiva del epígrafe de existencias, se identifican siete diferencias entre el inventario físico de cierre y los registros contables, con un impacto agregado de 78.000 euros (12% de la materialidad). El cliente atribuye las diferencias a "ajustes habituales de inventario." Fuente: PT EX-04, recuento físico del 31 de diciembre de 2025.

Clasificación diseño/operativa: deficiencia operativa. El procedimiento de recuentos cíclicos mensuales existe y está documentado, pero el equipo de almacén no lo ha ejecutado desde el mes de septiembre.

Aplicación de criterios NIA-ES 265.A7: - Causa de las excepciones: el control no se ejecutó durante cuatro meses consecutivos - Importes: agregado por debajo de materialidad pero no inmaterial - Importancia del control: media (es el control detectivo principal de existencias) - Probabilidad de error material futuro: media-alta si la situación persiste

Conclusión razonada: significativa. Aunque el ajuste agregado no alcanza materialidad en el ejercicio actual, la inejecución prolongada del control y la opacidad de las "diferencias habituales" constituyen un patrón que la NIA-ES 265.A8 identifica como evidencia de proceso de respuesta al riesgo ineficaz. Documentación: PT CI-04 con cruce expreso al PT EX-04 y al inventario rolling del cliente.

Deficiencia 3, identificación La empresa carece de un proceso formal de revisión periódica de la lista de proveedores. Los proveedores se dan de alta cuando se necesitan y nunca se dan de baja. La lista contiene 1.430 proveedores, de los que solo 287 han tenido movimientos en los últimos 24 meses. Fuente: conversación informal con el responsable de compras el 11 de marzo de 2026, confirmada con extracción de datos del ERP.

Clasificación diseño/operativa: deficiencia de diseño. El proceso no existe.

Aplicación de criterios NIA-ES 265.A7: - Susceptibilidad al fraude: alta (proveedores inactivos son vector clásico de fraude por proveedores ficticios) - Volumen: 1.143 proveedores inactivos pero técnicamente disponibles para emitir y cobrar facturas - Importancia del control: media-alta como control preventivo de fraude - Otros indicadores: combinada con la deficiencia 1, eleva la severidad agregada del ciclo de compras

Conclusión razonada: significativa por combinación. Sola, sería otra observación. Combinada con la deficiencia 1, según la NIA-ES 265.A6 que exige evaluar el conjunto, la severidad agregada del ciclo de compras es alta y la combinación cruza el umbral. Documentación: PT CI-05 con sección específica sobre evaluación combinada.

Comunicación final: las tres deficiencias se incluyen en la carta de recomendaciones como significativas. La deficiencia 1 con propuesta de rediseño del flujo (separar la introducción de factura, la conciliación y la aprobación de pago en al menos dos personas). La deficiencia 2 con propuesta de auditoría interna mensual del cumplimiento del calendario de recuentos cíclicos. La deficiencia 3 con propuesta de proceso anual de revisión y depuración de proveedores. La comunicación al órgano de administración se realiza dentro del plazo de la NIA-ES 265.16, antes de la fecha del informe.

Lista de verificación práctica para el sénior

1. Identifique la fuente de cada deficiencia (walkthrough, test de control, sustantivo, ajuste del cliente, conversación lateral) y documente el cruce al papel correspondiente. La NIA-ES 230 lo exige indirectamente y el inspector lo busca explícitamente.

2. Clasifique cada deficiencia como de diseño u operativa antes de evaluar la severidad. La conversación con el cliente y la respuesta correctiva dependen de esa distinción.

3. Aplique los criterios de la NIA-ES 265.A7 uno a uno, marcando intensidad para cada uno. No se conforme con una conclusión global no razonada.

4. Evalúe combinaciones de deficiencias según la NIA-ES 265.A6. Una deficiencia que aislada es "otra observación" puede elevar la severidad del ciclo cuando se suma a otras.

5. Documente el razonamiento completo, no solo la conclusión. Si el papel solo dice "se clasifica como otra observación" sin justificar por qué los factores agravantes están atenuados, el papel no sobrevive una inspección.

6. Anticipe la conversación con el gerente y el socio. Si va a defender una deficiencia como significativa frente a un revisor que tiene incentivos para rebajarla, prepare la documentación que sostiene la clasificación y los criterios concretos en los que se apoya. La defensa del juicio profesional empieza en el papel.

Errores frecuentes en la práctica

- Aglutinar deficiencias de diseño y operativas bajo una etiqueta genérica, perdiendo la información que orienta la respuesta correctiva del cliente y banalizando la conversación con la dirección.

- Evaluar la severidad mentalmente sin dejar rastro escrito, de modo que solo las deficiencias finalmente comunicadas tienen papel, y las descartadas se evaporan sin justificación documentada.

- Aplicar el filtro jerárquico de severidad sin documentar la rebaja. Cuando el gerente o el socio reclasifican a la baja una deficiencia que el equipo había marcado como significativa, esa decisión necesita su propio rastro escrito con razones técnicas, no comerciales.

- Tratar la matriz de autorización informal o las excepciones tolerables como contexto justificante sin aplicar los criterios de la NIA-ES 265.A8 a la propia tolerancia. La frase "es una empresa pequeña, no hay otra forma de organizarlo" no es una conclusión de evaluación, es la antesala de una deficiencia no documentada.

- Repetir las mismas "otras observaciones" en la carta año tras año sin reevaluar si la falta de respuesta de la dirección es ya, en sí misma, un indicador de severidad que la NIA-ES 265.A8 nombra explícitamente.

Contenido relacionado

- Deficiencia de control interno - Definición técnica y ejemplos de los tres tipos de deficiencias según la NIA-ES 265 - Evaluador de riesgo NIA-ES 315 - Herramienta para documentar la evaluación de controles internos y identificar deficiencias sistemáticamente - NIA-ES 260: Comunicación con los Responsables del Gobierno Corporativo - Requisitos complementarios para comunicar asuntos significativos identificados durante la auditoría

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.