Índice

1. Lo que falla en la práctica antes de hablar de la norma 2. Lo que dice realmente NIA-ES 580.10-11 y su conexión con NIA-ES 240 3. La zona gris: cuán específica debe ser la indagación 4. Caso trabajado: Industrias Mediterráneas SA y la revisión EQR 5. El argumento que defienden los partidarios del párrafo genérico 6. Por qué la práctica diverge: la economía del encargo 7. Contenido relacionado

Lo que falla en la práctica antes de hablar de la norma

Cierre de auditoría. La carta firmada por la dirección llega con los párrafos de fraude idénticos al año anterior, palabra por palabra. El director financiero la ha firmado en quince segundos, junto con otros doce documentos. Fue un trámite. Nadie ha tenido la conversación que esos párrafos certifican.

Esto es lo que realmente ocurre en la mayoría de archivos que he visto revisar. Los tres párrafos del modelo estándar (responsabilidad de la dirección, divulgación de fraudes conocidos, comunicación de sospechas) llegan al final del trabajo, cuando el presupuesto está agotado y el socio necesita el cliente firmado para emitir. Se imprime el modelo del manual interno, se cambia la fecha, se manda a firmar. Y el papel de trabajo de NIA-ES 240 indagaciones queda con la casilla de "N/A" o con un memo de hace catorce meses.

El problema no aparece hasta que entra el inspector. Cuando el ICAC entra en una revisión de calidad, el primer cruce que hace en este apartado es entre la carta y el papel de trabajo de indagación. Si los párrafos de la carta dicen "hemos comunicado al auditor todas las sospechas de fraude" y en el archivo no hay rastro de qué se preguntó, a quién, en qué fecha y qué se respondió, los papeles están flojos. Esa es la deficiencia que se documenta.

No es una observación menor. En mi caso, en los últimos dos años he visto cómo el ICAC ha tratado este punto como deficiencia recurrente en firmas no PIE, y la CNMV lo ha incluido en sus comentarios de supervisión sobre auditorías de cotizadas. El caso Grifols/KPMG (2024-2026) ha tensado el listón sobre lo que se considera indagación suficiente cuando hay denuncias de terceros, y el caso EIDF dejó claro que las manifestaciones genéricas sobre cumplimiento legal no cubren obligaciones específicas de NIA-ES 580.

Lo que dice realmente NIA-ES 580.10-11 y su conexión con NIA-ES 240

NIA-ES 580.10 obliga al auditor a solicitar manifestaciones escritas sobre el cumplimiento de las responsabilidades de la dirección. NIA-ES 580.11 añade el componente específico del fraude: la dirección debe reconocer su responsabilidad por el diseño e implantación de controles para prevenir y detectar fraude, y debe informar al auditor de los fraudes conocidos o sospechados.

Hasta aquí, el texto del manual lo cubre cualquier modelo razonable. La cuestión no es si los párrafos están redactados, sino si están sustentados.

NIA-ES 240.39 cierra el círculo: las manifestaciones escritas sobre fraude son requeridas además de las indagaciones del párrafo 17. La carta no sustituye la conversación. La carta es la confirmación documental de que la conversación ocurrió, de que la dirección entendió la pregunta y de que la respuesta queda formalizada por escrito.

Por eso, cuando los párrafos vienen idénticos año tras año mientras el riesgo evaluado bajo NIA-ES 315 ha cambiado (rotación nueva en finanzas, denuncia interna recibida en agosto, incidente de control identificado en pruebas de cumplimiento), el archivo tiene una contradicción interna. Los párrafos dicen una cosa, el papel de trabajo de evaluación de riesgo dice otra, y el inspector se queda con la diferencia.

La tesis que defiendo, vaya por delante, es esta: los párrafos de fraude de la carta de manifestaciones son la prueba documental de las indagaciones de NIA-ES 240. Si no hay rastro de las preguntas hechas a la dirección, los párrafos son palabras huecas. La firma del director financiero no convierte en evidencia lo que no es más que un texto reciclado.

La zona gris: cuán específica debe ser la indagación

Aquí está la parte que la norma no resuelve y que cada firma negocia con su revisor de calidad.

NIA-ES 240.17 dice "indagaciones a la dirección sobre". No dice cuántas reuniones, ni qué preguntas literales, ni si vale un cuestionario firmado. La práctica varía mucho. Algunas firmas usan un cuestionario estándar de 22 preguntas que el director financiero rellena en quince minutos. Otras hacen una entrevista estructurada con notas. Otras documentan una reunión informal con un memo del gerente.

Por lo que conozco, el ICAC no rechaza ninguno de estos formatos por sí mismo. Lo que rechaza es la ausencia de conexión entre la indagación y los riesgos específicos del encargo. Si el cuestionario es genérico y la evaluación de riesgo bajo NIA-ES 315 identifica un riesgo específico (digamos, reconocimiento de ingresos en obra ejecutada pendiente de certificar), el cuestionario debería incluir preguntas específicas sobre ese riesgo. Si no lo incluye, falta chicha.

La segunda capa de zona gris está en quién firma y cuándo. NIA-ES 580.9 pide manifestaciones de quienes tienen responsabilidad apropiada y conocimiento. En sociedades pequeñas suele ser director general y director financiero. En grupos cotizados, la cuestión de si el comité de auditoría firma es un debate vivo. La CNMV ha empujado en algunos casos para que la respuesta sea sí. Las firmas,, prefieren limitar la firma para no abrir frentes con el comité.

Caso trabajado: Industrias Mediterráneas SA y la revisión EQR

Industrias Mediterráneas SA, fabricante de componentes automotrices con sede en Sevilla. Cifra de negocios 28,4 M EUR, 165 empleados, ejercicio cerrado a 31 de diciembre de 2024.

La evaluación de riesgo bajo NIA-ES 315 identificó dos riesgos relevantes para fraude:

1. Rotación elevada en cuentas a cobrar durante 2024 (tres bajas entre marzo y agosto), con riesgo de manipulación en el corte de ventas 2. Concentración de ingresos en un cliente (38% del volumen) con presión por mantener volumen tras pérdida de otro cliente importante

El equipo de auditoría hizo indagaciones en febrero de 2025 con el director financiero (Carmen Ruiz) y el responsable de cuentas a cobrar nuevo (entrado en septiembre de 2024). El cuestionario interno del manual incluía las 22 preguntas estándar. Las preguntas específicas sobre los dos riesgos identificados se añadieron a mano en la entrevista y se documentaron en un memo de tres páginas.

La carta de manifestaciones se firmó el 15 de marzo de 2025 con los tres párrafos del modelo estándar más una manifestación adicional sobre denuncias recibidas a través del canal interno (la entidad tenía canal formal desde 2023).

Hasta aquí, expediente normal. La complicación apareció en la revisión EQR.

El socio EQR pidió ver el memo de indagaciones específicas. El gerente del encargo lo localizó (estaba en la subcarpeta correcta), pero el socio EQR observó que el memo no recogía las respuestas literales del responsable nuevo de cuentas a cobrar sobre el corte de ventas. Solo decía "no se identificaron incidentes". El socio EQR pidió ampliación.

El gerente volvió a contactar al cliente. La respuesta tardó cuatro días. La ampliación del memo recogió que el responsable nuevo había detectado un caso de facturación adelantada en octubre, que había corregido internamente sin reportarlo formalmente porque consideró que era un error operativo, no fraude. El equipo evaluó: el importe era 18.000 EUR sobre un volumen anual de 28 M, claramente inmaterial, pero la NIA-ES 580.11 obliga a comunicar fraudes conocidos o sospechados independientemente de la materialidad para las categorías (a) dirección y (b) empleados con funciones importantes en control interno.

El responsable nuevo no estaba en categoría (a) ni (b) según la estructura de control documentada. Pero la cuestión que el socio EQR planteó fue: ¿cómo se sabía esto antes de la conversación ampliada? El cuestionario estándar no lo habría detectado. La indagación específica sobre el riesgo identificado sí.

El expediente final incluyó:

- Memo ampliado con la conversación literal y la evaluación de por qué no entraba en categoría (a) o (b) - Manifestación adicional en la carta confirmando que la dirección había evaluado el incidente y lo consideraba error operativo no fraudulento - Nota del socio sobre por qué se aceptó esa evaluación

Sin la pregunta específica sobre el corte de ventas, el incidente no habría aparecido. Los párrafos de la carta habrían sido literalmente falsos sin que nadie en el equipo lo supiera.

El argumento que defienden los partidarios del párrafo genérico

No todo el mundo en la profesión está de acuerdo con que tailorizar los párrafos sea defendible. Hay un argumento serio en contra que merece tratarse en serio.

El argumento dice así: los párrafos de la carta de manifestaciones son una declaración de la dirección, no del auditor. Si el auditor empieza a tailorizar el lenguaje en función de los riesgos identificados, está orientando la respuesta de la dirección. La carta deja de ser una manifestación libre y se convierte en un documento dirigido. Si después el ICAC discute, el auditor queda en peor posición porque ha mezclado su evaluación con la declaración del firmante.

Este argumento lo defiende un sector importante de socios, sobre todo en firmas medianas. La conclusión práctica es: dejar el modelo estándar tal cual, documentar la indagación específica en el papel de trabajo de NIA-ES 240, y no contaminar la carta. Los párrafos genéricos protegen a la firma porque no comprometen al auditor con una evaluación específica que después pueda ser cuestionada.

Hay parte de razón. La carta es de la dirección, no del auditor. Y orientar la redacción puede dar problemas si el inspector entiende que el auditor ha redactado en lugar de la dirección.

Pero la rebatida tiene más peso, en mi opinión, por dos razones. Primero, porque la NIA-ES 580.A25 habla expresamente de manifestaciones adicionales cuando los riesgos lo justifican. La norma contempla que la carta se adapte. No es contaminación, es cumplimiento. Segundo, porque la separación rígida entre carta genérica y papel de trabajo específico funciona mientras nadie cruza los dos documentos. En el momento en que el inspector cruza la carta con el papel de trabajo de evaluación de riesgo, la incoherencia salta. Y salta contra el auditor, no contra la dirección.

El veredicto, en mi caso: la carta debe reflejar los riesgos específicos cuando son significativos, y la indagación detrás debe quedar documentada con respuestas literales o cercanas. Los párrafos estándar valen para encargos donde la evaluación de riesgo no ha identificado nada relevante. Cuando sí ha identificado algo, sacar adelante con lo que hay deja de ser opción.

Por qué la práctica diverge: la economía del encargo

Hay una razón estructural por la que los párrafos llegan idénticos año tras año, y no es pereza.

La carta de manifestaciones se firma al final del encargo. Al final, el presupuesto está consumido. Tailorizar los párrafos requiere volver al papel de trabajo de NIA-ES 240, extraer el rastro de indagación, identificar qué riesgos justifican manifestaciones adicionales bajo NIA-ES 580.A25, redactar el texto adaptado, justificarlo internamente con el socio, mandarlo al cliente para revisión, gestionar las preguntas del cliente sobre por qué este año los párrafos son distintos. Eso son entre dos y cinco horas de gerente, más una hora de socio.

En un encargo presupuestado a 180 horas con 215 ya gastadas, esas horas no existen. Las plantillas internas de las firmas resuelven esta tensión: hacen que lo genérico parezca aceptable. El modelo del manual está aprobado por revisión de calidad. Si el modelo se sigue, el formalmente está cubierto. La economía del encargo y la cobertura formal coinciden en el camino más cómodo.

El problema es que cuando el inspector entra, la cobertura formal se rompe. La firma descubre que el modelo aprobado no era suficiente cuando había riesgos específicos identificados. La revisión de calidad interna, que firmó el modelo en abstracto, no firmó el uso del modelo en encargos donde había rotación, denuncias, incidentes o concentración. La norma no toma por tontos a los inspectores. Algunos en la profesión escriben los párrafos como si lo hicieran.

Resolver esto exige reconocer la tensión, no taparla. Las firmas que han salido bien de revisiones recientes son las que han metido en su metodología un paso explícito: antes de imprimir la carta, el gerente revisa la matriz de riesgos de NIA-ES 315 y marca cuáles requieren manifestación adicional bajo 580.A25. Es media hora de gerente. Pero esa media hora documenta que la decisión se tomó conscientemente, no por defecto.

Si el inspector entra después y el archivo muestra esa revisión, los párrafos genéricos son defendibles porque hubo decisión documentada. Si el archivo no muestra nada, los párrafos genéricos son indefendibles aunque sean literalmente correctos. La diferencia entre defendible e indefendible está en treinta minutos de trabajo y en aceptar que la carta no es un trámite, aunque la dirección la firme como si lo fuera.

Contenido relacionado

- Glosario: manifestaciones de la dirección — definición y requisitos bajo la NIA-ES 580 - Herramienta: generador de cartas de manifestaciones — plantilla con párrafos específicos de fraude para distintos tipos de entidades - Artículo relacionado: evaluación del riesgo de fraude bajo la NIA-ES 240 — cómo las manifestaciones se integran con los procedimientos de evaluación del riesgo

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.