La tesis: no fue una auditoría de "empresa pequeña", fue un fallo de fraude vestido de complejidad bancaria
Vamos directamente al asunto. Patisserie Valerie cotizaba en AIM, operaba 206 tiendas y facturaba más de 100 millones de libras cuando se descubrió el agujero. Calificarla de "auditoría de pequeña empresa" ya es parte del problema: esa etiqueta es la coartada que el sector usa para suavizar lo que pasó.
Lo que pasó es más sencillo y más feo. Durante al menos cuatro ejercicios, alguien dentro de la dirección financiera infló las cifras de tesorería en unos 28 millones de libras. Grant Thornton firmó opiniones sin salvedades cada año hasta 2017. La FRC en el Reino Unido sancionó después a la firma y a los socios responsables (con multas que rondaron los 4 millones de libras tras descuentos), y dejó por escrito algo incómodo: no se obtuvieron confirmaciones bancarias directas para todas las cuentas relevantes, y se confió en información facilitada por la propia dirección sobre la posición de caja.
Esa última frase es la que merece ser leída dos veces.
Por qué importa para su práctica en España
Vaya por delante que ICAC y CNMV no son la FRC, y que en España el caso anclaje no es Patisserie Valerie sino Gowex (2014), Pescanova (2013), URBAS, EIDF (2023) o el reciente expediente Grifols/KPMG. Por lo que conozco del mercado, la mecánica es la misma: cliente de muchos años, honorarios ajustados, dirección concentrada, equipo que firma porque rehacer la caja desde cero costaría más que el encargo entero.
La NIA-ES 315 revisada (vigente desde diciembre de 2021) reforzó la evaluación del entorno de control precisamente por casos como estos. Sobre el papel, lo de Patisserie Valerie hoy ya no se sostiene. En la práctica, los papeles que reviso me dicen que sigue ocurriendo en versión más pequeña.
Qué falló en concreto: el alegato
1. La confirmación bancaria que nunca llegó (y la que llegó, no se conciliaba)
Empecemos por el final, no por la norma. En el encargo de Grant Thornton, el procedimiento sobre la tesorería se apoyó, para una parte material del saldo, en extractos y reconciliaciones preparados por la propia compañía. La confirmación directa al banco (la de toda la vida, enviada por el auditor, recibida por el auditor, sin pasar por las manos del cliente) no cubrió todas las cuentas relevantes en todos los ejercicios.
Ahora la norma. La NIA-ES 505.7 exige que el auditor mantenga el control sobre las solicitudes de confirmación externa: diseño, envío, seguimiento y recepción de respuestas. La NIA-ES 240.32(c) añade que, cuando el riesgo de fraude es elevado, el auditor incorpora un elemento de imprevisibilidad en sus procedimientos. Y la NIA-ES 240.A35 pone el ejemplo concreto: confirmaciones bancarias en cuentas no auditadas previamente.
Lo que realmente ocurre en muchos encargos pequeños es lo siguiente: el equipo pide la circularización al cliente, el cliente "ayuda" reenviando los datos del banco, y la respuesta llega por correo electrónico de una dirección que nadie verifica de forma independiente. Eso no es una confirmación externa en el sentido de la NIA-ES 505. Eso es una representación de la dirección con sello.
En mi experiencia con encargos pequeños, los papeles están flojos justo aquí: hay una hoja de circularización, hay una respuesta, y nadie ha mirado si el remitente real coincide con el dominio oficial del banco.
2. Gestión dominante mal calibrada
Luke Johnson, presidente ejecutivo, era figura pública, inversor reconocido, y concentraba decisión operativa y financiera. La NIA-ES 240.A25 lista exactamente esto como factor de riesgo de fraude: una persona o grupo reducido que domina la dirección sin contrapesos efectivos.
Pero ojo, porque aquí hay una trampa fácil. La gestión dominante por sí sola no es fraude, ni convierte el encargo en imposible. La cuestión es la respuesta. La NIA-ES 240.17 obliga a presumir riesgo de fraude en el reconocimiento de ingresos y a considerar la posibilidad de que la dirección eluda los controles (NIA-ES 240.31). En la práctica, esto significa procedimientos que la dirección no puede coreografiar: confirmaciones directas, pruebas de partidas inusuales en asientos manuales, revisión de estimaciones en busca de sesgo.
Cuando el papel de trabajo dice "se identifica gestión dominante" y, dos pestañas más allá, el programa de tesorería es idéntico al del año pasado, falta chicha. La identificación sin respuesta diferenciada es marcar la casilla.
3. El verdadero problema estructural: los honorarios
Aquí entra la parte que no se escribe en las sanciones. Grant Thornton no era Big 4 en este encargo, pero tampoco era una firma diminuta. Y aun así, los honorarios de auditoría de una cotizada en AIM como Patisserie Valerie eran, en términos relativos, modestos. La pregunta incómoda: ¿cuántas horas de senior y de socio se pueden meter en un encargo de fees ajustados antes de que el margen del encargo se evapore?
Esta es la bomba de relojería que no se desactiva con sanciones. La NIA-ES 240 no se cobra. El socio necesita el cliente. Y rehacer la caja desde cero, con confirmaciones independientes a 16 bancos en cuatro países, mes a mes, sale del presupuesto.
Yo creo que la FRC sancionando a Grant Thornton resuelve poco de lo estructural, porque la ratio honorarios/riesgo-de-fraude es la misma en cualquier auditor no Big 4 de cualquier empresa cotizada pequeña en cualquier mercado europeo, incluido el español. La sanción castiga el síntoma. La economía del encargo es la causa.
4. La documentación, el último eslabón
La NIA-ES 230.8 exige que el archivo permita a un auditor experimentado, sin contacto previo con el encargo, entender qué se hizo, por qué y con qué resultado. La NIA-ES 315.32 detalla la documentación específica de la evaluación de riesgos: riesgos a nivel de estados financieros, a nivel de aseveraciones, base de la evaluación inherente y de control, controles relevantes para riesgos significativos.
En la práctica, los archivos que terminan delante del ICAC en una inspección suelen tener tres patologías:
- Identificación de riesgos copiada del año anterior sin actualizar el análisis del entorno. - Programa de trabajo estandarizado que no se conecta con los riesgos identificados. - Memorando de cierre que concluye sin justificar por qué la evidencia es suficiente y apropiada.
Si le han abierto expediente a un compañero, casi seguro que el problema empezó aquí.
Caso práctico: Confitería del Mercado SL
Confitería del Mercado SL, sociedad limitada española, factura 9,2 millones de euros, opera 18 obradores en Madrid y Castilla-La Mancha. El administrador único, propietario del 84% del capital, lleva 12 años con el mismo despacho de auditoría. Los honorarios anuales: 14.500 euros.
Paso 1: entorno de control (NIA-ES 315.14). El equipo documenta concentración de propiedad y decisión, ausencia de comité de auditoría (no exigible legalmente para una SL no EIP, pero relevante a efectos de evaluación de riesgo), y función financiera reportando directamente al administrador.
Paso 2: factor de riesgo de fraude (NIA-ES 240.A25). Se identifica gestión dominante. Hasta aquí, idéntico a 200 archivos en cualquier despacho.
Paso 3: respuesta (NIA-ES 240.30 y NIA-ES 505). El equipo solicita confirmación bancaria de todas las cuentas a fecha de cierre, control directo del envío y la recepción. La respuesta del banco lista cuatro cuentas. Las CCAA preparadas por la dirección reflejan dos. Reconciliación pendiente.
Aquí es donde se separa el archivo de tier 1 del de tier 3. La opción cómoda: pedir explicación a la dirección, recibir el correo de que "las otras dos son cuentas inactivas heredadas", anotar y seguir. La opción correcta: tratar la diferencia como indicio de fraude potencial, ampliar al histórico de movimientos de las dos cuentas no reportadas, comunicar a los responsables del gobierno (NIA-ES 260) y, si procede, escalar internamente como sospecha conforme a la política de la firma.
Paso 4: documentación (NIA-ES 230.8 y NIA-ES 240.44). El PT registra: el procedimiento, la diferencia detectada, la evidencia de movimientos en las dos cuentas no incluidas en CCAA, la conclusión, y el efecto en la opinión. Sin esto, la EQR no puede revisar nada.
Verdad incómoda: este caso, con honorarios de 14.500 euros, no da para los 25-40 horas adicionales que la respuesta correcta exige. La decisión profesional honesta es renegociar los honorarios o renunciar al encargo. La decisión real, en demasiados despachos, es firmar la mentira de la formulación.
Contraargumento honesto: ¿se puede prevenir la colusión al más alto nivel?
Aquí hay desacuerdo legítimo dentro de la profesión, y conviene reconocerlo.
Socio A: "Cuando director financiero, director general y, eventualmente, alguien del propio banco se ponen de acuerdo para falsificar extractos, ningún procedimiento estándar de auditoría lo detecta. La NIA-ES 240.5 lo dice expresamente: el riesgo de no detectar fraude por colusión es mayor que el de no detectar error. El auditor no es un investigador forense, ni se le pagan honorarios para serlo."
Socio B: "Sí se puede, pero exige procedimientos que la dirección no controle. Confirmación directa al banco, por canal verificado por el auditor, con respuesta a una dirección del propio auditor, contrastada con el registro mercantil del banco y con la base de datos del propio Banco de España para la apertura de cuentas. Si el equipo se salta esto porque consume horas, no es que no se pueda detectar, es que no se ha querido pagar el procedimiento."
Las dos posiciones tienen base. Pero la NIA-ES 240.32 y la NIA-ES 505.7 se inclinan por la segunda: el auditor debe diseñar respuestas específicas y mantener control sobre las confirmaciones. La norma no toma por tontos a los usuarios de los estados financieros. Algunas personas en la profesión, a veces, sí.
Veredicto
Patisserie Valerie no fue un accidente. Fue un fallo predecible de un modelo económico en el que el coste de auditar bien una caja sospechosa supera los honorarios cobrados. La FRC sancionó. El ICAC, ante un Gowex o un EIDF, sanciona. La estructura sigue.
Mientras los honorarios de auditoría de empresas pequeñas sigan siendo el resultado de una subasta a la baja entre cinco firmas que se necesitan al cliente más que el cliente a ellas, el siguiente Patisserie Valerie español ya está auditado. Solo no lo sabemos todavía.
Lista de verificación práctica
1. Confirmaciones bancarias bajo control directo del auditor (NIA-ES 505.7): envío desde correo del despacho, respuesta a buzón controlado por el equipo, comparación del listado de cuentas confirmadas con las reflejadas en CCAA. 2. Respuesta diferenciada a gestión dominante (NIA-ES 240.31): pruebas de asientos manuales, revisión de estimaciones por sesgo, partidas inusuales fuera del cierre. 3. Imprevisibilidad incorporada (NIA-ES 240.32(c)): al menos un procedimiento que el cliente no haya visto en años anteriores. 4. Documentación que aguante una inspección del ICAC (NIA-ES 230.8): riesgo, respuesta, evidencia, conclusión, en ese orden y conectados. 5. Comunicación con los responsables del gobierno (NIA-ES 260 y NIA-ES 265.9) sobre deficiencias significativas, por escrito, antes de la opinión. 6. Honorarios y alcance: si los fees no permiten ejecutar lo anterior, renegociar o renunciar. La opción "firmar y rezar" no figura en la norma.
Errores comunes en encargos con gestión dominante
- Confiar en información de tesorería preparada por la dirección sin confirmación independiente. Las CCAA pueden estar firmadas por personas que controlan también las contraseñas del banco. - Documentar que existen controles sin probar si funcionan. Un manual de procedimientos no detecta una transferencia ficticia. - Tratar la gestión dominante como una limitación del alcance. La NIA-ES 240 pide respuestas específicas, no salvedades.
Contenido relacionado
- Control interno en empresas pequeñas: Definición técnica y requerimientos de evaluación según NIA-ES 315 - Evaluador de riesgo de fraude NIA-ES 240: Herramienta para identificar y documentar factores de riesgo de fraude en auditorías - Gestión dominante: identificación y respuestas: Guía práctica para abordar estructuras de control concentradas