Lo que aprenderás

- Por qué los procedimientos de confirmación externa de Wirecard fallaron sin que la NIA-ES 505 fuera técnicamente insuficiente - Qué reformas concretas introdujeron APAS (Alemania), ESMA (UE) y FRC (Reino Unido) tras el caso, y cómo afectan a las inspecciones del ICAC en España - Cómo documentar un PT-CF (papeles de trabajo de confirmaciones) que aguante una revisión post-Wirecard - Por qué la presión de honorarios sobre las Big 4 en encargos de EIP debilita estructuralmente la rigidez del canal de confirmación

El colapso que cambió todo

Lo que realmente ocurrió en los papeles de trabajo

Wirecard procesaba pagos para comerciantes en Europa y Asia. Hasta ahí, un negocio identificable. El problema venía después: la empresa reportó €2.100 millones en efectivo y equivalentes en su balance consolidado de 2019, y prácticamente todo ese saldo residía en cuentas fiduciarias gestionadas por socios comerciales en Filipinas y Singapur. Cuentas que no existían.

Cuando EY, el auditor estatutario, solicitó confirmaciones en la auditoría de 2019, recibió respuestas aparentemente auténticas de los bancos relevantes. La sorpresa habría sido recibirlas firmadas por el propio CEO. Eran, claro, falsificaciones. Wirecard había construido un circuito cerrado: estados de cuenta falsos, contratos con socios inexistentes, una red de entidades vinculadas, y direcciones postales de bancos que la propia entidad facilitaba al equipo de auditoría.

Esto último es donde se cae el caso. La NIA-ES 505.7 exige que el auditor mantenga el control sobre las solicitudes de confirmación, incluida la determinación de la información que debe confirmarse, la selección de la parte confirmante y el envío de las solicitudes. Y la NIA-ES 505.A11 es explícita: cuando la fiabilidad de la respuesta puede verse comprometida, el auditor debe considerar procedimientos adicionales para verificar la autenticidad del canal. EY usó las direcciones que le dio Wirecard. Punto.

Las bombas de relojería que nadie quiso oír

Hay señales que estaban en los estados financieros y que cualquier inspector del ICAC reconocería como bombas de relojería:

Crecimiento extraordinario en mercados asiáticos sin presencia física verificable. Márgenes muy por encima de la media del sector de procesamiento de pagos. Dependencia desproporcionada de socios comerciales no auditables. Resistencia persistente del management a permitir acceso directo a esos socios.

Vaya por delante que ninguna señal aislada obliga a calificar el informe. Pero cuatro juntas, en una EIP, en un sector con márgenes notoriamente bajos, son materia de NIA-ES 240 y de escepticismo elevado. No de confirmaciones rutinarias.

La defensa de EY, y por qué no se sostiene

Existe una lectura post-Wirecard, popular en los foros de auditores y en alguna columna del Handelsblatt, según la cual el estándar era inadecuado y EY no podía haber detectado un fraude tan sofisticado. La tesis suena así: las falsificaciones eran de tal calidad que ningún procedimiento ordinario las habría desmontado, y exigir verificación independiente del canal en cada confirmación bancaria es desproporcionado.

Por lo que conozco de los expedientes APAS y de los informes Wambach (el comisionado especial del Bundestag), esta defensa no aguanta el contraste con el texto del estándar.

La NIA-ES 505.6 obliga al auditor a mantener el control sobre las solicitudes externas, lo que incluye determinar la dirección a la que se envían. La NIA-ES 505.A11 enumera ejemplos de factores que reducen la fiabilidad de la respuesta, y el primero es el riesgo de que la respuesta no provenga de la fuente apropiada. La NIA-ES 505.16 exige procedimientos alternativos cuando se duda de la fiabilidad. Y la NIA-ES 240.A40 vincula confirmaciones con procedimientos para responder a riesgos significativos de fraude.

¿El veredicto? El fracaso no fue normativo. Fue de aplicación. Las normas no son optativas, y aceptar confirmaciones de €1.900M usando direcciones postales facilitadas por el cliente es marcar la casilla en su forma más extrema. Los papeles de trabajo de EY, según los extractos publicados por la APAS, mostraban que la confirmación se había recibido, no que el canal se hubiese verificado. Faltaba chicha. Los papeles estaban flojos.

Las reformas que siguieron

APAS: lo que parecía nuevo y no lo era

Desde enero de 2022, la APAS exige a los auditores de EIP en Alemania:

Verificación independiente de las direcciones de las partes confirmantes en jurisdicciones de alto riesgo, sin usar contactos facilitados por la entidad auditada. Evidencia adicional sobre la existencia de socios comerciales cuando la entidad reporta transacciones materiales con contrapartes en marcos regulatorios débiles. Documentación específica del escepticismo profesional aplicado, incluida la respuesta del equipo a indicadores de riesgo de gestión.

Aquí está el segundo orden del asunto. Estos requisitos no son nuevos. La NIA-ES 505 ya los implicaba desde 2009. Que un regulador codifique de forma explícita lo que un estándar profesional ya exigía implícitamente es, en sí, una admisión incómoda: el estándar implícito no se estaba aplicando. APAS no inventó nada. Reescribió en obligación lo que antes era expectativa, porque la expectativa había fallado en el caso más visible posible.

ESMA: revisión coordinada en la UE

La ESMA coordinó una revisión transfronteriza con resultados publicados en marzo de 2023. La orientación pide a los reguladores nacionales (incluido el ICAC) tres cosas:

Primero, revisar los procedimientos de las firmas de auditoría para confirmaciones en jurisdicciones de alto riesgo, con verificación independiente de la autenticidad de las respuestas. Segundo, prestar atención reforzada al entorno de control cuando las operaciones se extienden a múltiples jurisdicciones con marcos regulatorios distintos. Tercero, ampliar la comunicación con los encargados del gobierno corporativo sobre riesgos vinculados a operaciones internacionales complejas.

Para el ICAC, esta orientación se ha traducido en un foco temático específico en sus inspecciones de auditorías de EIP españolas con operaciones en Latinoamérica, Norte de África y Asia. Si su entidad auditada tiene cuentas fiduciarias en Marruecos, Túnez o Filipinas, los inspectores del ICAC entran al PT-CF antes que a ningún otro papel.

FRC: el efecto Reino Unido

El FRC británico, sin responsabilidad directa sobre Wirecard, intensificó sus thematic reviews de confirmaciones externas, particularmente en firmas que auditan entidades con operaciones asiáticas materiales. La orientación FRC actualizada insiste en que el escepticismo profesional debe elevarse cuando las aseveraciones del management dependen de evidencia no accesible directamente al auditor.

El ángulo ICAC

En España, el ICAC no ha emitido una normativa específica post-Wirecard, pero las revisiones de control de calidad de 2023 y 2024 han incorporado el cuestionario de confirmaciones reforzado. Desde mi punto de vista, el cambio operativo es claro: en una inspección de EIP, la primera pregunta sobre confirmaciones bancarias ya no es "¿se recibieron?". Es "¿cómo verificó el equipo, de forma independiente del cliente, que la respuesta venía del banco?". Si la respuesta del socio firmante es "usamos la dirección del archivo permanente", el inspector pide la fuente original de esa dirección. Y aquí es donde muchos archivos se quedan cortos.

Ejemplo práctico: confirmaciones post-Wirecard

Comercializadora Mediterránea S.A.

Comercializadora Mediterránea S.A., con sede en Valencia, reporta €45 millones en efectivo y equivalentes a 31 de diciembre de 2023. De ese total, €28 millones supuestamente residen en cuentas fiduciarias gestionadas por socios comerciales en Marruecos y Túnez como parte de su operación de procesamiento de pagos para comercio electrónico en el Norte de África.

Vamos directamente al asunto. El equipo de auditoría aplica el procedimiento reforzado.

Paso 1: identificar el riesgo específico PT-CF-02: "Saldos materiales en jurisdicciones con supervisión bancaria limitada. Estructura asimilable a las operaciones identificadas como problemáticas por reguladores europeos en el caso Wirecard. Riesgo de fraude evaluado como significativo conforme a NIA-ES 240."

Paso 2: verificación independiente del canal PT-CF-03: "Direcciones de los bancos confirmantes obtenidas del directorio oficial de Bank Al-Maghrib (Marruecos) y de la Banque Centrale de Tunisie. No se usaron datos facilitados por la entidad auditada."

Paso 3: primera ronda y complicación PT-CF-04a: La confirmación del banco marroquí llega en plazo, en formato oficial, con sello y firma. En la práctica, eso significa que el procedimiento estándar habría concluido aquí. No conviene.

PT-CF-04b: Al cruzar la entidad confirmante con el registro regulador de Bank Al-Maghrib, el equipo detecta que la sucursal firmante había devuelto su licencia de operaciones fiduciarias seis semanas antes de la fecha del corte. La confirmación es auténtica del banco. La capacidad jurídica del banco para mantener cuentas fiduciarias en esa fecha, no.

Paso 4: respuesta a la complicación PT-CF-05: El equipo eleva el hallazgo al socio del encargo. Se solicita a la entidad explicación documental sobre la migración de los fondos a otra contraparte. La entidad aporta contratos firmados con un banco tunecino sustituto, pero las fechas de transferencia son posteriores al corte. Hay un periodo de cuatro semanas en que los €11 millones afectados no tenían custodio fiduciario regulado.

Paso 5: juicio profesional y EQR El socio convoca al revisor de control de calidad del encargo (EQR). La conclusión: error material en presentación, no fraude. Los fondos existían pero estaban mal clasificados durante el periodo gris. Se propone ajuste de reclasificación de €11M de "efectivo en cuentas fiduciarias" a "otras cuentas a cobrar". La entidad acepta. El informe se emite limpio.

Lo que demuestra este caso: la imagen fiel no se cumple solo con confirmar saldos. Se cumple cuando el auditor verifica que la contraparte podía legalmente retener esos saldos en la fecha de balance. Y eso requiere salir del procedimiento estándar.

Una disensión legítima

¿Debería un auditor declinar el encargo cuando una EIP española opera con cuentas fiduciarias materiales en jurisdicciones con supervisión bancaria opaca?

Posición A: sí, NIA-ES 220.A18 obliga a evaluar la capacidad de la firma para obtener evidencia suficiente antes de aceptar el encargo. Si las contrapartes están en mercados donde el equipo no puede verificar de forma razonable la autenticidad del canal, la respuesta correcta es no aceptar. Wirecard no se habría producido si EY hubiera aplicado este criterio.

Posición B: declinar transfiere el riesgo a una firma menos competente. El mercado de auditoría de EIP españolas es estrecho, y empujar al cliente hacia firmas con menos recursos forenses no protege al inversor; lo expone más. Mejor aceptar con procedimientos reforzados, honorarios consistentes con el riesgo, y un EQR robusto.

Mi posición personal: B, pero con una condición. Aceptar solo si los honorarios permiten el tiempo de verificación independiente del canal. Esto conecta con el problema estructural que pocos quieren nombrar.

El problema estructural que las reformas no resuelven

El socio necesita el cliente. En auditoría de EIP, Wirecard era un cliente importante para EY Alemania. La presión de honorarios sobre las Big 4 en EIP cotizadas se ha mantenido o reducido durante la última década, mientras los procedimientos exigidos crecen. Cuando un equipo de auditoría tiene presupuesto para 1.200 horas en una entidad que requeriría 1.600 para verificar canales de confirmación de manera independiente, los recortes ocurren en alguna parte. Suelen ocurrir donde el riesgo no es visible hasta que estalla. Eso es Wirecard.

Las reformas APAS, ESMA y FRC añaden requisitos. No añaden honorarios. Esa es la asimetría que ningún regulador europeo ha querido abordar de frente.

Lista de verificación práctica

1. Verificación independiente de direcciones de confirmación. No usar contactos facilitados por el cliente para saldos materiales en jurisdicciones de alto riesgo. Documentar la fuente de la dirección en PT-CF.

2. Documentación específica del escepticismo profesional. Los papeles deben mostrar cómo se evaluaron las señales de riesgo, no solo que se siguieron los procedimientos.

3. Evidencia corroborativa para confirmaciones en jurisdicciones remotas. Complementar con registros mercantiles, licencias bancarias y verificación de capacidad jurídica de la contraparte en la fecha de balance.

4. Evaluación de plausibilidad operativa. Comparar márgenes y crecimiento reportados con benchmarks del sector y la geografía.

5. Comunicación reforzada con los encargados del gobierno corporativo sobre riesgos de operaciones internacionales y dependencia de terceros para validación de activos.

6. Factor crítico post-Wirecard: si su cliente reporta activos materiales validados únicamente por terceros en jurisdicciones con supervisión limitada, los procedimientos estándar de confirmación ya no son suficientes ante el ICAC.

Errores comunes post-Wirecard

- Confiar únicamente en confirmaciones sin evidencia corroborativa adicional. Los reguladores europeos esperan procedimientos complementarios cuando las confirmaciones provienen de jurisdicciones de alto riesgo. - Documentación inadecuada del escepticismo profesional. Los papeles de trabajo deben mostrar específicamente cómo se evaluaron las señales de riesgo, no solo que se siguieron los procedimientos estándar. - Aceptar explicaciones del management sin verificación independiente. Cuando las operaciones dependen de terceros remotos, se requiere evidencia independiente de la existencia y naturaleza de esas relaciones. - Tratar la confirmación como un brindis al sol. Si el equipo no puede explicar cómo verificó el canal, no ha verificado nada.

Contenido relacionado

- Confirmaciones externas bajo NIA-ES 505 - Requerimientos actualizados para procedimientos de confirmación después de las reformas regulatorias europeas. - Calculadora de materialidad de auditoría - Evalúa la importancia relativa de activos en jurisdicciones remotas para determinar el nivel de procedimientos adicionales requeridos. - Escepticismo profesional en auditoría de riesgos - Cómo documentar y aplicar escepticismo profesional mejorado en respuesta a las lecciones del caso Wirecard.

---

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.