Patisserie Valerie: Qué salió mal en una auditoría

El fraude que cambió las auditorías de empresas pequeñas

Patisserie Valerie operaba 206 tiendas cuando quebró en enero de 2019. Durante cuatro años, el director financiero manipuló las cuentas bancarias, inflando el efectivo reportado en 28 millones de libras. Los auditores emitieron opiniones sin salvedades cada año.
La investigación posterior reveló un patrón familiar en empresas dominadas por la gestión. Luke Johnson, presidente ejecutivo, concentraba el poder de decisión. Los controles internos existían en el papel pero no funcionaban en la práctica. El consejo no independiente aprobaba las cuentas sin escrutinio real.

Por qué importa para la práctica de auditoría

Las empresas que usted audita probablemente comparten características estructurales con Patisserie Valerie. Gestión dominante, consejos no independientes, controles internos débiles. La diferencia entre una auditoría exitosa y un fallo público a menudo está en cómo evalúas y respondes a estas características.
La NIA-ES 315 revisada (efectiva desde diciembre de 2021) reforzó los requerimientos de evaluación del entorno de control precisamente por casos como este. Los fallos de Patisserie Valerie ya no son tolerables bajo el marco actual.

Qué salió mal: análisis de las deficiencias

1. Evaluación inadecuada del entorno de control

La NIA-ES 315.14 exige que el auditor comprenda cada uno de los cinco componentes del control interno. En Patisserie Valerie, el entorno de control presentaba múltiples deficiencias que debieron haber elevado el riesgo de auditoría:
Deficiencias identificables:
Estas deficiencias no son inusuales en empresas pequeñas y medianas. Sin embargo, la NIA-ES 315.A81 especifica que cuando el entorno de control es deficiente, el auditor debe evaluar si puede obtener evidencia suficiente y apropiada.

2. Fallo en la identificación de gestión dominante

La NIA-ES 240.A25 lista la gestión dominante como un factor de riesgo de fraude específico. En Patisserie Valerie, las señales eran evidentes:
La gestión dominante no es fraude por sí misma. Pero según la NIA-ES 240.17, cuando existe, el auditor debe diseñar procedimientos específicos para abordar el riesgo de gestión que elude los controles.

3. Respuestas de auditoría inadecuadas

Incluso identificando las deficiencias de control, los auditores pueden fallar en diseñar respuestas apropiadas. La NIA-ES 330.6 requiere que las respuestas sean específicas al riesgo evaluado.
En estructuras como la de Patisserie Valerie, las respuestas apropiadas incluyen:

4. Deficiencias en la documentación

Los papeles de trabajo de Patisserie Valerie mostraron documentación inadecuada de la evaluación de riesgos. La NIA-ES 315.32 exige documentar específicamente:
Sin esta documentación, los revisores no pueden evaluar si la auditoría fue apropiada al nivel de riesgo.

Luke Johnson ocupaba roles ejecutivo y no ejecutivo simultáneamente
El consejo carecía de directores verdaderamente independientes
No existía comité de auditoría funcional
La función de finanzas reportaba directamente al director general
Johnson controlaba las decisiones operativas y financieras
Las transacciones significativas no requerían aprobación del consejo completo
La estrategia de expansión procedía sin debate sustantivo
Los sistemas de reporte financiero dependían de una sola persona
Pruebas sustantivas expandidas en lugar de confianza en controles
Confirmaciones bancarias directas para todas las cuentas
Revisión de todas las transacciones entre partes relacionadas
Pruebas de detalle para transacciones inusuales
Los riesgos identificados a nivel de estados financieros
Los riesgos identificados a nivel de aseveraciones
La base para la evaluación de riesgo inherente y de control
Los controles identificados para abordar riesgos importantes

Ejemplo práctico: evaluación de una estructura similar

Escenario: Restaurantes Costa Brava S.L.
Restaurantes Costa Brava S.L. opera 15 restaurantes en Cataluña. Facturación anual: 8,4 millones de euros. María González es directora general y propietaria del 78% de las acciones. Su hermano Carlos es director financiero. El consejo incluye a María, Carlos y un asesor externo que es también su abogado.
Paso 1: Evaluación del entorno de control (NIA-ES 315.14)
Documentamos las siguientes deficiencias:
Paso 2: Identificación de factores de riesgo de fraude (NIA-ES 240.A25)
Identificamos gestión dominante y partes relacionadas significativas:
Paso 3: Diseño de respuestas (NIA-ES 330.6)
Paso 4: Evaluación de suficiencia (NIA-ES 315.A81)
Determinamos que podemos obtener evidencia suficiente mediante procedimientos sustantivos expandidos.
Conclusión: La estructura presenta riesgos manejables mediante respuestas apropiadas. La clave es no confiar en controles internos y expandir las pruebas sustantivas proporcionalmente al riesgo evaluado.

Nota de documentación: "Estructura de propiedad concentrada crea dependencia de gestión dominante. Sin separación efectiva entre propiedad y control."
Nota de documentación: "María González controla decisiones operativas y financieras. Transacciones con entidades relacionadas requieren evaluación específica según NIA-ES 550."
Confirmaciones bancarias para todas las cuentas (no solo las principales)
Revisión del 100% de transacciones entre partes relacionadas superiores a 5.000 euros
Pruebas de detalle para todos los pagos superiores a 10.000 euros
Nota de documentación: "Respuestas diseñadas para abordar riesgo específico de gestión que elude controles. No se confía en controles internos para aseveraciones materiales."
Nota de documentación: "Deficiencias del entorno de control abordadas mediante aumento en naturaleza, tiempo y alcance de procedimientos sustantivos. Riesgo de auditoría reducido a nivel aceptable."

Lista de verificación práctica

Evalúa la estructura de propiedad y control según NIA-ES 315.14 y documenta cualquier concentración de poder en una persona o familia
Identifica señales de gestión dominante usando los factores de riesgo de la NIA-ES 240.A25 y evalúa su impacto en el riesgo de fraude
Diseña respuestas específicas cuando existe gestión dominante: confirmaciones directas, pruebas de partes relacionadas, procedimientos sustantivos expandidos
Documenta la evaluación completa incluyendo riesgos identificados, controles evaluados, y base para las conclusiones sobre riesgo inherente y de control
Revisa la suficiencia de la evidencia antes de emitir la opinión: las deficiencias de control deben compensarse con procedimientos sustantivos adicionales
Considera la comunicación con los responsables del gobierno sobre deficiencias significativas identificadas según NIA-ES 265.9

Errores comunes en estructuras de gestión dominante

Confiar en representaciones de la gestión sin corroboración independiente. Las empresas dominadas por la gestión a menudo carecen de fuentes independientes de evidencia.
Documentar la existencia de controles sin evaluar su efectividad operativa. Los manuales de procedimientos no garantizan que los controles funcionen cuando la gestión puede eludirlos.
Tratar la gestión dominante como una limitación del alcance en lugar de un factor de riesgo. La NIA-ES 240 requiere respuestas específicas, no una opinión con salvedades.
No enviar confirmaciones bancarias directas a todas las entidades financieras. La NIA-ES 505.7 exige que el auditor mantenga el control sobre las solicitudes de confirmación; en estructuras con gestión dominante, limitar las confirmaciones a las cuentas declaradas por la dirección deja sin verificar posibles cuentas ocultas.

Contenido relacionado

Evaluación de control interno: Definición técnica y requerimientos de evaluación según NIA-ES 315
Guía NIA-ES 240: riesgo de fraude: Cómo identificar y documentar factores de riesgo de fraude en auditorías
Procedimientos de gestión dominante (NIA-ES 240 revisada): Guía práctica para abordar estructuras de control concentradas