Contenido

Marco normativo para auditoría remota

Fundamentos bajo NIA-ES 200 y NIA-ES 500


La NIA-ES 200.13 establece que el auditor debe obtener evidencia de auditoría suficiente y adecuada para reducir el riesgo de auditoría a un nivel aceptablemente bajo. La modalidad remota no modifica este requisito central, pero sí cambia los medios para obtener dicha evidencia.
La NIA-ES 500.7 define la evidencia de auditoría como la información utilizada por el auditor para alcanzar las conclusiones en las que basa su opinión. Esta información incluye tanto la contenida en los registros contables como otra información. En auditorías remotas, "otra información" abarca datos obtenidos mediante tecnologías de conexión remota, archivos digitales verificados y comunicaciones electrónicas documentadas.
El escepticismo profesional, exigido por NIA-ES 200.15, presenta dificultades adicionales en entornos remotos. Sin la observación directa de procesos y personal, el auditor debe implementar controles compensatorios para mantener una mentalidad inquisitiva y estar alerta ante evidencia contradictoria.

Adaptación de la NIA-ES 315: comprensión de la entidad remota


La NIA-ES 315.12 requiere que el auditor comprenda la entidad y su entorno, incluido su control interno. En auditorías remotas, esta comprensión se basa en:
La documentación debe especificar las limitaciones inherentes de cada método remoto y los controles adicionales aplicados para compensar la ausencia de observación física directa.

  • Recorridos virtuales de procesos: videoconferencias donde el personal de la entidad demuestra los controles operando en tiempo real
  • Revisión de documentación digitalizada: políticas, procedimientos y evidencia de funcionamiento de controles
  • Entrevistas estructuradas por videoconferencia: con personal clave de diferentes niveles jerárquicos
  • Verificación de controles de TI: pruebas remotas de accesos lógicos, segregación de funciones y logs de sistema conforme a la NIA-ES 315.26

Tecnologías validadas y evidencia de auditoría

Herramientas de conexión remota y cumplimiento normativo


Las tecnologías aceptables para auditoría remota deben generar evidencia que cumpla los criterios de relevancia, fiabilidad y suficiencia de NIA-ES 500.A1:
Software de escritorio remoto validado:
Plataformas de videoconferencia para procedimientos de observación:
Cada sesión remota debe documentar: participantes autenticados, duración de la conexión, procedimientos ejecutados y cualquier limitación técnica que afecte la calidad de la evidencia obtenida.

Integridad de datos en transferencias remotas


La NIA-ES 500.A3 establece que la fiabilidad de la evidencia depende de su fuente y naturaleza. En transferencias de datos remotas, el auditor debe implementar:
Controles de hash criptográfico: verificación SHA-256 de archivos transferidos para confirmar integridad
Canales de transferencia seguros: SFTP, portales de auditoría con cifrado AES-256, o plataformas de intercambio de datos certificadas ISO 27001
Validación cruzada: confirmación independiente de datos críticos mediante fuentes alternativas
Registro de cadena de custodia: documentación del origen, fecha de extracción y responsable de cada archivo recibido, según la NIA-ES 500.A31

  • TeamViewer Business o superior (con autenticación de dos factores)
  • Microsoft Remote Desktop con certificación de seguridad corporativa
  • Citrix Virtual Apps con logs de sesión activados
  • Microsoft Teams con grabación activada y almacenamiento seguro
  • Zoom Pro con cifrado end-to-end y controles de acceso
  • Google Meet Enterprise con autenticación organizacional obligatoria

Procedimientos adaptados por área de auditoría

Existencias: observación remota e inventarios perpetuos


La NIA-ES 501.4 requiere que el auditor asista al recuento físico de existencias cuando estas sean significativas. En modalidad remota:
Recuento por videoconferencia en tiempo real:
El personal de la entidad ejecuta el recuento mientras el auditor observa mediante cámara móvil de alta definición. El auditor dirige la selección de ubicaciones, productos y procedimientos de conteo. La sesión se graba completa y se documenta cada ubicación verificada.
Validación de existencias mediante drones (para almacenes grandes):
aplicación de vuelos dirigidos remotamente con cámaras de alta resolución para verificar existencias en ubicaciones de difícil acceso. Requiere personal de la entidad certificado para operar drones comerciales y software de análisis de imágenes.
Reconciliación intensificada con registros perpetuos:
Cuando la observación remota tiene limitaciones, el auditor incrementa la confianza en registros de inventario perpetuo mediante procedimientos analíticos detallados y confirmaciones con proveedores de logística externa.

Caja y bancos: confirmaciones electrónicas


La confirmación bancaria directa mediante portales electrónicos de entidades financieras cumple NIA-ES 505.7 cuando el auditor controla directamente el proceso de solicitud y recepción:
Portales bancarios con autenticación dual:
El auditor accede directamente al portal de la entidad financiera usando credenciales proporcionadas por el banco, no por el cliente. La entidad auditada autoriza el acceso pero no controla la información transmitida.
Confirmaciones por email certificado:
Intercambio de confirmaciones mediante correo electrónico con certificado digital del banco emisor. El auditor verifica la autenticidad del certificado contra las bases de datos del banco emisor.

Ingresos: análisis de datos y cortes de operaciones


Los procedimientos de corte y reconocimiento de ingresos adaptan las técnicas tradicionales:
Análisis masivo de datos de ventas:
Procesamiento de archivos completos de transacciones mediante software especializado (ACL, IDEA, o Power BI con conectores de auditoría) para identificar patrones anómalos, duplicaciones y transacciones cerca del cierre.
Confirmación de saldos con clientes por medios digitales:
Envío directo de confirmaciones desde cuentas de correo del auditor, con respuestas dirigidas exclusivamente al equipo de auditoría. Seguimiento telefónico para confirmaciones no respondidas.

Controles de integridad y validación

Validación de identidad en procedimientos remotos


El escepticismo profesional bajo NIA-ES 200.15 requiere que el auditor valide la identidad de las personas que proporcionan información en sesiones remotas:
Verificación previa de identidad:
Solicitud de documentación oficial de identidad escaneada antes de sesiones críticas. Comparación con directorios corporativos y organigramas actualizados.
Confirmación triangulada:
Información crítica obtenida de una fuente se valida independientemente con al menos una fuente adicional (diferente departamento, registro externo, o confirmación de tercero).

Segregación de funciones en entornos remotos


Los controles internos de segregación de funciones pueden verse comprometidos cuando múltiples funciones se ejecutan desde ubicaciones remotas centralizadas. El auditor evalúa:
Controles tecnológicos compensatorios:
Logs de sistemas que evidencien qué usuario ejecutó cada transacción, desde qué ubicación y en qué momento. Controles de acceso por roles que mantengan la segregación lógica.
Supervisión reforzada:
Incremento de procedimientos de revisión y autorización para transacciones procesadas remotamente, especialmente en áreas de mayor riesgo (pagos, ajustes contables, acceso a datos sensibles).

Ejemplo práctico: auditoría remota completa

> Caso: Servicios Tecnológicos Aragón S.L.

Empresa de desarrollo de software con sede en Zaragoza. Facturación anual: 12,4 millones de euros. 85 empleados trabajando en modalidad híbrida (60% remoto). Cliente de auditoría desde 2019, primera auditoría completamente remota en 2024.

> Contexto del riesgo: transición a trabajo remoto modificó controles de acceso a código fuente y sistemas de facturación. Nuevos procedimientos de autorización de gastos implementados durante 2023.
Paso 1: Planificación remota del encargo
Documentación: cronograma detallado de sesiones remotas, especificación técnica de herramientas requeridas, protocolos de contingencia
Reunión inicial por Microsoft Teams con el equipo directivo completo (CEO, CFO, CTO). Validación de identidades mediante cámaras encendidas y comparación con fotografías de años anteriores. Acordar calendario de disponibilidad para procedimientos críticos que requieren presencia de personal específico.
Paso 2: Comprensión de controles internos adaptados
Documentación: grabación de recorridos virtuales, capturas de pantalla de sistemas, confirmación escrita de cambios en controles
Recorrido virtual del proceso de facturación mediante conexión TeamViewer al sistema ERP de la entidad. El controller demuestra el flujo completo desde generación de factura hasta contabilización, mientras el auditor observa controles de autorización y segregación de funciones. Identificación de nuevos controles implementados: aprobación dual para facturas superiores a €5.000 mediante workflow digital.
Paso 3: Pruebas de controles mediante observación remota
Documentación: logs de sistema descargados directamente, evidencia de funcionamiento de controles automatizados
Conexión directa a logs del sistema ERP para verificar funcionamiento de controles automáticos de crédito. Descarga de reporte completo de transacciones que excedieron límites de crédito durante 2023. Validación de que el 100% de estas transacciones tuvieron aprobación manual adicional registrada en el sistema.
Paso 4: Procedimientos sustantivos de ingresos
Documentación: archivo de datos completo procesado con software de auditoría, confirmaciones recibidas directamente en buzón del auditor
Recepción de archivo completo de ventas 2023 (formato CSV, 15.847 transacciones). Procesamiento con ACL para identificar: facturas duplicadas (0 encontradas), transacciones de importes inusuales (>€50.000, 12 transacciones identificadas), y análisis de corte (últimos 5 días de diciembre y primeros 5 de enero).
Envío de 25 confirmaciones de saldo de clientes desde cuenta de correo del auditor. Respuestas recibidas: 18 confirmaciones (72%). Seguimiento telefónico para las 7 restantes, obteniendo confirmación verbal que se documenta por escrito.
Paso 5: Validación de existencias sin presencia física
Documentación: inventario perpetuo reconciliado, evidencia de controles de almacén, confirmación de ubicaciones físicas
La empresa mantiene inventario mínimo (principalmente equipos informáticos para empleados). Validación mediante: reconciliación de inventario perpetuo con contabilidad (diferencias menores al 2%), confirmación con proveedores de leasing de equipos (100% de activos bajo leasing confirmados), y inspección visual de muestra de equipos mediante videoconferencia con empleados (verificación de 15 equipos de muestra).
Paso 6: Documentación de limitaciones y controles compensatorios
Documentación: memorándum específico de limitaciones de auditoría remota, evidencia de procedimientos alternativos implementados
Conclusión: auditoría completada satisfactoriamente con evidencia suficiente y adecuada. Tiempo total de ejecución: 78 horas (comparado con 65 horas en auditoría presencial previa). Sin observaciones significativas. El informe incluye párrafo descriptivo sobre modalidad remota sin afectar la opinión de auditoría.

Lista de verificación para auditoría remota

  • Confirmar capacidades tecnológicas del cliente antes de aceptar modalidad remota (ancho de banda, software compatible, personal con conocimientos técnicos suficientes)
  • Establecer protocolos de identificación de participantes para todas las sesiones críticas (videoconferencia obligatoria, validación previa de identidades, confirmación de autoridad para proporcionar información)
  • Documentar limitaciones inherentes de cada procedimiento remoto ejecutado y los controles compensatorios aplicados
  • Implementar validación cruzada para toda información crítica obtenida remotamente (confirmación independiente mediante fuente alternativa)
  • Mantener evidencia de integridad tecnológica (logs de sesiones, verificaciones de hash de archivos, registros de acceso a sistemas)
  • El control más crítico: nunca confiar en una sola fuente de evidencia obtenida remotamente para conclusiones significativas

Errores frecuentes en aplicación

  • Confiar únicamente en capturas de pantalla proporcionadas por el cliente sin conexión directa a sistemas
  • Ejecutar confirmaciones bancarias sin controlar directamente el proceso de solicitud y recepción (el cliente no puede ser intermediario)
  • Asumir que la tecnología elimina riesgos de manipulación sin implementar controles de validación adicionales
  • No documentar las limitaciones inherentes de cada procedimiento remoto ejecutado ni los controles compensatorios aplicados, como exige la NIA-ES 230.8 respecto a la naturaleza y alcance de los procedimientos

Contenido relacionado

  • Calculadora de materialidad para auditorías remotas: Ajusta los umbrales considerando las limitaciones inherentes de procedimientos no presenciales
  • Glosario: Evidencia de auditoría: Definición actualizada considerando fuentes digitales y remotas
  • Guía de aplicación NIA-ES 500: Aplicación específica de criterios de evidencia en entornos tecnológicos modernos

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.