Lo que aprenderás

  • Cómo el colapso de Wirecard expuso deficiencias específicas en los procedimientos de confirmación externa de la NIA-ES 505
  • Las reformas regulatorias concretas implementadas en Alemania, Reino Unido y la UE como resultado directo del caso
  • Qué cambios en los requerimientos de escepticismo profesional ahora aplican a tu trabajo de auditoría diario
  • Cómo documentar procedimientos de confirmación externa que pasen la revisión posterior al caso Wirecard

Lo que aprenderás

  • Cómo el colapso de Wirecard expuso deficiencias específicas en los procedimientos de confirmación externa de la NIA-ES 505
  • Las reformas regulatorias concretas implementadas en Alemania, Reino Unido y la UE como resultado directo del caso
  • Qué cambios en los requerimientos de escepticismo profesional ahora aplican a tu trabajo de auditoría diario
  • Cómo documentar procedimientos de confirmación externa que pasen la revisión posterior al caso Wirecard

El colapso que cambió todo

La mecánica del fraude


Wirecard operaba un modelo de negocio aparentemente simple: procesaba pagos electrónicos para comerciantes en Europa y Asia. La realidad era considerablemente más compleja y, como se descubrió posteriormente, ampliamente ficticia.
La empresa reportó €2.100 millones en efectivo e instrumentos equivalentes de efectivo en su balance consolidado de 2019. Prácticamente todo este efectivo supuestamente residía en cuentas de garantía gestionadas por socios comerciales en Asia, principalmente en Filipinas y Singapur. Cuando EY, el auditor estatutario, intentó confirmar estas posiciones durante la auditoría de 2019, recibió confirmaciones aparentemente auténticas de los bancos relevantes.
Estas confirmaciones eran falsificaciones sofisticadas. Wirecard había creado un ecosistema completo de documentación fraudulenta que incluía estados de cuenta bancarios falsos, contratos de socios comerciales inexistentes y una red de entidades relacionadas diseñadas específicamente para respaldar las confirmaciones falsificadas.

El papel de los procedimientos de auditoría


EY siguió los procedimientos estándar de confirmación externa requeridos por la NIA-ES 505. El auditor:
Sin embargo, estos procedimientos estándar resultaron inadecuados ante la escala y sofisticación del fraude. Los investigadores posteriores determinaron que Wirecard había comprometido las comunicaciones de confirmación en múltiples puntos, creando un circuito cerrado de documentación falsificada que engañó tanto a auditores como a reguladores durante años.

Las señales perdidas


Las investigaciones posteriores identificaron varias señales de advertencia que podrían haber alertado a observadores atentos:
Estas señales eran visibles en los estados financieros auditados, pero no desencadenaron los procedimientos adicionales que podrían haber descubierto el fraude.

  • Solicitó confirmaciones directamente a los bancos identificados
  • Recibió respuestas que aparentemente confirmaban los saldos reportados
  • Aplicó procedimientos de seguimiento cuando las respuestas iniciales no llegaron
  • Verificó la autenticidad aparente de las confirmaciones recibidas
  • Crecimiento excepcional en mercados asiáticos sin presencia física verificable
  • Márgenes extraordinariamente altos en un sector típicamente de márgenes reducidos
  • Dependencia desproporcionada de socios comerciales no auditables
  • Resistencia persistente de la dirección a proporcionar acceso directo a ciertos socios comerciales

Las reformas que siguieron

Cambios en la supervisión alemana


La respuesta alemana fue inmediata y de largo alcance. La Comisión de Supervisión de Auditoría Pública (APAS), que supervisa las auditorías de entidades de interés público en Alemania, implementó nuevos requerimientos efectivos desde enero de 2022:
Confirmaciones externas mejoradas: Los auditores deben ahora establecer comunicación independiente con terceros confirmantes sin depender de las direcciones proporcionadas por el cliente. Para confirmaciones bancarias en jurisdicciones consideradas de alto riesgo, se requiere verificación adicional a través de canales independientes.
Evaluación de socios comerciales: Cuando una entidad reporta transacciones significativas con socios comerciales en jurisdicciones con marcos regulatorios limitados, los auditores deben obtener evidencia adicional sobre la existencia y naturaleza de estas relaciones, incluyendo confirmación independiente cuando sea posible.
Documentación del escepticismo profesional: Los papeles de trabajo deben documentar específicamente cómo el auditor evaluó y respondió a indicadores de riesgo de gestión, particularmente en áreas donde la entidad depende de terceros para validación de activos significativos.

Reformas en la supervisión europea


La Autoridad Europea de Valores y Mercados (ESMA) coordinó una revisión de las prácticas de auditoría en toda la UE, resultando en orientación actualizada emitida en marzo de 2023:
Procedimientos de confirmación externa: Los reguladores nacionales deben revisar los procedimientos de sus firmas de auditoría para confirmaciones en jurisdicciones de alto riesgo. Esta revisión debe incluir verificación de la autenticidad de las respuestas de confirmación mediante métodos independientes.
Evaluación del entorno de control: Los auditores deben prestar particular atención al entorno de control cuando las operaciones se extienden a múltiples jurisdicciones con diferentes marcos regulatorios, especialmente cuando los controles locales no son directamente accesibles para evaluación.
Comunicación con los encargados del gobierno corporativo: Se requiere comunicación más frecuente y detallada sobre riesgos identificados relacionados con operaciones internacionales complejas y dependencia de terceros para validación de activos.

Impacto en el Reino Unido


El Financial Reporting Council (FRC) británico, aunque no fue directamente responsable de supervisar la auditoría de Wirecard, emitió orientación adicional en respuesta al caso:
Thematic Reviews: El FRC intensificó sus revisiones temáticas de confirmaciones externas, particularmente para firmas que auditan entidades con operaciones asiáticas significativas. Estas revisiones examinan tanto los procedimientos de confirmación como la documentación del escepticismo profesional aplicado.
Orientación sobre escepticismo profesional: La orientación actualizada del FRC enfatiza que el escepticismo profesional debe aumentar cuando las aseveraciones de la dirección dependen de evidencia que no es directamente accesible al auditor, como operaciones en jurisdicciones remotas o relaciones con terceros no auditables.

Ejemplo práctico: confirmaciones post-Wirecard

Comercializadora Mediterránea S.A.


Comercializadora Mediterránea S.A., con sede en Valencia, reporta €45 millones en efectivo y equivalentes de efectivo a 31 de diciembre de 2023. De este total, €28 millones supuestamente se encuentran en cuentas de garantía gestionadas por socios comerciales en Marruecos y Túnez como parte de su operación de procesamiento de pagos para comercio electrónico en el Norte de África.
Paso 1. Identificar riesgos específicos relacionados con Wirecard
Documentar en PT-CF-02: "Saldos significativos en jurisdicciones con supervisión bancaria limitada. Estructura similar a operaciones de Wirecard identificadas como problemáticas por reguladores europeos."
Paso 2. Aplicar procedimientos de confirmación mejorados
Documentar en PT-CF-03: "Confirmaciones solicitadas directamente a bancos usando direcciones verificadas independientemente a través del directorio bancario oficial de Marruecos. No se usaron direcciones proporcionadas por la entidad."
Paso 3. Obtener evidencia corroborativa adicional
Documentar en PT-CF-04: "Contratos de socios comerciales revisados y conciliados con confirmaciones bancarias. Evidencia independiente de existencia de socios obtenida a través de registros mercantiles locales."
Paso 4. Evaluar respuestas de confirmación
Documentar en PT-CF-05: "Confirmaciones recibidas verificadas contra especímenes de formato bancario oficial. Firmas y sellos validados con representante bancario local independiente."
Conclusión: Los procedimientos proporcionaron evidencia suficiente y adecuada de la existencia de los €28 millones reportados. La documentación del escepticismo profesional aplicado proporciona una defensa sólida contra críticas regulatorias posteriores.

Lista de verificación práctica

  • Verificar independientemente las direcciones de confirmación - No usar contactos proporcionados por el cliente para confirmaciones de saldos significativos en jurisdicciones de alto riesgo.
  • Documentar específicamente el escepticismo profesional aplicado - Incluir en los papeles de trabajo cómo se evaluaron y respondieron las señales de riesgo identificadas.
  • Obtener evidencia corroborativa para confirmaciones en jurisdicciones remotas - Complementar confirmaciones con evidencia independiente sobre la existencia y naturaleza de relaciones con terceros.
  • Evaluar la plausibilidad de las operaciones reportadas - Considerar si la rentabilidad y el crecimiento reportados son consistentes con las condiciones del mercado y la industria.
  • Comunicar riesgos complejos a los encargados del gobierno corporativo - Discutir específicamente riesgos relacionados con operaciones internacionales y dependencia de terceros para validación de activos.
  • El factor crítico post-Wirecard: Si tu cliente reporta activos significativos validados únicamente por terceros en jurisdicciones con supervisión limitada, los procedimientos estándar de confirmación ya no son suficientes.

Errores comunes post-Wirecard

  • Confiar únicamente en confirmaciones sin evidencia corroborativa adicional - Los reguladores europeos ahora esperan procedimientos complementarios cuando las confirmaciones provienen de jurisdicciones de alto riesgo.
  • Documentación inadecuada del escepticismo profesional - Los papeles de trabajo deben mostrar específicamente cómo se evaluaron las señales de riesgo, no solo que se siguieron los procedimientos estándar.
  • Aceptar explicaciones de la dirección sin verificación independiente - Cuando las operaciones dependen de terceros remotos, se requiere evidencia independiente de la existencia y naturaleza de estas relaciones.

Contenido relacionado

  • Confirmaciones externas bajo NIA-ES 505 - Requerimientos actualizados para procedimientos de confirmación después de las reformas regulatorias europeas.
  • Calculadora de materialidad de auditoría - Evalúa la importancia relativa de activos en jurisdicciones remotas para determinar el nivel de procedimientos adicionales requeridos.
  • Escepticismo profesional en auditoría de riesgos - Cómo documentar y aplicar escepticismo profesional mejorado en respuesta a las lecciones del caso Wirecard.

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.