Factores de riesgo de fraude

Cómo funciona

Vaya por delante que la norma no exige al auditor que detecte fraude. La NIA-ES 240.25 ordena que el auditor evalúe la atmósfera en la que opera la entidad y agrupe las señales en tres categorías: presiones que motivan, oportunidades que permiten, racionalizaciones que justifican. En la práctica, eso significa que el equipo tiene que mirar el negocio, los controles y la dirección, no solo las transacciones del muestreo.

La presencia de un factor de riesgo no condena a la entidad. Una empresa con presión financiera no comete fraude por definición. Lo que ocurre es que cuando hay factores presentes, el riesgo de distorsión material por fraude se eleva, y el auditor debe responder con procedimientos más penetrantes en esas áreas. Esto es lo que la norma llama respuesta coordinada (NIA-ES 240.26-27).

Los factores se identifican durante la fase de comprensión de la entidad (NIA-ES 315). Pero adquieren peso operativo en la NIA-ES 240. Desde nuestra experiencia, ese paso es donde se rompe el archivo. El equipo identifica los factores en una hoja, diseña los procedimientos en otra, y nadie cruza las dos. La revisión de calidad lo detecta cuando ya es tarde.

A ver. Hay un punto incómodo que conviene decir en voz alta. La mayoría de equipos ya sabe esto. Lo que falta no es conocimiento técnico de la norma, sino tiempo y el incentivo correcto para aplicarla bien.

Ejemplo práctico: Distribuidora Ibérica de Autopartes S.L.

Cliente: empresa de distribución de repuestos de automóvil, facturación de 18,2 millones de euros, operaciones en España y Portugal, NIIF.

Paso 1: Identificar los factores de riesgo de incentivo/presión

La dirección había comprometido crecimientos de ventas año a año del 12%. El año anterior la tasa de crecimiento real fue del 4,8%. El director financiero recibía una bonificación del 15% de su salario si se alcanzaban los objetivos anuales.

Nota de documentación: En el archivo de riesgo de fraude se registró "Presión por alcanzar objetivos financieros: margen de ganancia bajo en el sector (12-15%), bonus directivo vinculado a crecimiento de ingresos, ciclo de flujo de caja de 45 días".

El factor de riesgo está presente. Aumenta la probabilidad de que la dirección busque contabilizar transacciones de manera agresiva para alcanzar el objetivo.

Paso 2: Identificar los factores de riesgo de oportunidad

El sistema de control de ingresos dependía de un operador único que introducía datos en el registro de ventas. No había revisión de un segundo empleado de los precios, cantidades o términos de entrega antes del reconocimiento. El sector operaba en márgenes estrechos, y las devoluciones en los últimos tres meses habían aumentado un 28%.

Nota de documentación: "Oportunidad: un solo operador responsable de procesamiento de ingresos de fin de período. Ausencia de segregación de funciones (input, validación, cierre). Volumen alto de devoluciones permite reclasificar transacciones discrecionales como devoluciones".

La oportunidad existe. Un empleado o la dirección podrían manipular el reconocimiento de ingresos sin ser detectados de inmediato.

Paso 3: Identificar los factores de riesgo de actitud/racionalización

Durante la entrevista de evaluación de fraude con la dirección, dos miembros del equipo de liderazgo comentaron que "otros distribuidores reconocen ingresos de manera más agresiva" y que "la norma contable es conservadora para nuestro sector". El fundador había salido recientemente de la empresa, y había tensión entre la dirección saliente y la nueva.

Nota de documentación: "Actitud: quejas sobre la aplicación de las normas contables. Referencias a prácticas de competidores. Cambio de dirección genera incertidumbre".

La actitud está presente. El tono desde arriba sugiere que la dirección racionaliza comportamientos fuera de límite como necesarios o justificables.

La complicación que aparece en el archivo: los tres factores estaban identificados. El problema vino después. La plantilla del despacho tenía un campo para "factor de riesgo identificado: reconocimiento de ingresos con concentración significativa al cierre del año" que se rellenaba con un párrafo estándar y enlazaba a la sección de procedimientos sustantivos genéricos para ingresos. El procedimiento estándar era una circularización a una muestra estadística de clientes. Eso no es una respuesta a este factor concreto. La concentración al cierre y la oportunidad de reclasificar devoluciones piden otra cosa.

El equipo escaló el procedimiento de pruebas de ingresos: confirmación positiva del 100% de transacciones de ingresos del último trimestre, prueba de devoluciones posteriores al cierre y entrevistas adicionales con personal de ventas separadas de la dirección. Hubo que rediseñar el programa de trabajo a mano. El presupuesto aprobado no contemplaba estas horas. Lo que hemos comprobado en encargos similares es que ese rediseño no ocurre si el socio responsable no lo defiende ante el cliente.

Qué revisores y auditores suelen pasar por alto

- Error de Tier 1: Los hallazgos de inspección del ICAC identifican repetidamente que los auditores documentan factores de riesgo de manera genérica sin vincularlos a áreas específicas de la auditoría. Un auditor escribirá "Presión financiera identificada" pero no especificará cuáles saldos o transacciones requieren procedimientos ampliados como resultado. La NIA-ES 240.26-27 exige que la respuesta del auditor esté coordinada con la naturaleza y el grado de riesgo identificado. Una documentación vaga debilita esa respuesta y deja al equipo sin defensa cuando viene la inspección.

- Error de Tier 2: Muchos auditores tratan los factores de riesgo como un ejercicio de cumplimiento de la norma sin reflejar sus propios hallazgos. Completan una lista de factores estándar, marcan las casillas que aplican y avanzan sin preguntar: "¿Qué tengo que hacer diferente aquí?" La NIA-ES 240.26 ordena que el auditor responda con procedimientos específicos. Si no cambia la planificación como resultado, no ha cumplido la norma. Marcar la casilla no es responder.

- Error de Tier 3: El análisis de factores de riesgo se desvincula de la evaluación de los controles internos. La NIA-ES 315 y la NIA-ES 240 usan el mismo marco de evaluación de riesgo. En la práctica, muchos auditores crean dos evaluaciones paralelas sin cruzarlas. Si identifica un factor de riesgo de oportunidad ("un solo empleado responsable de un proceso"), eso es un hallazgo de control interno que afecta a la evaluación del riesgo de distorsión material. Por lo que he visto en los encargos que he llevado, los equipos que cruzan las dos evaluaciones detectan bombas de relojería que de otro modo se pasan por alto.

Donde los profesionales discrepan

No hay consenso real sobre qué factor pesa más en la práctica. El Socio A, que viene de auditoría de cotizadas españolas, sostiene que el override-of-controls de la dirección es el riesgo dominante porque ningún sistema de control interno resiste a un director financiero decidido. Su procedimiento por defecto es prueba de asientos manuales con criterios agresivos, entrevistas separadas con personal financiero subalterno y revisión de estimaciones contables del año. El Socio B, que trabaja sobre todo en pyme con auditoría obligatoria por umbrales, sostiene que el reconocimiento de ingresos es el riesgo dominante porque ahí es donde el ICAC encuentra más sanciones y donde la presión por alcanzar objetivos se materializa primero. Su procedimiento por defecto es corte de operaciones, análisis de devoluciones y confirmación ampliada al cierre.

Ambos tienen razón en su segmento. La NIA-ES 240.26 presume riesgo de fraude en el reconocimiento de ingresos (presunción rebatible) y exige tratar el override como riesgo significativo en todos los encargos. Lo que ocurre es que el archivo del Socio A pierde profundidad en revenue y el del Socio B la pierde en override. Ninguno está mal hasta que el ICAC mira el archivo concreto donde el otro factor era el dominante.

Por qué el archivo termina como termina

Hay una razón estructural por la que el mismo despacho recibe el mismo hallazgo año tras año. Las plantillas del archivo electrónico vienen pre-rellenadas con "no se han identificado factores de riesgo de fraude adicionales" como respuesta por defecto. Aceptar el valor por defecto cuesta cero horas de presupuesto. Cambiarlo cuesta una conversación con el manager, una con el socio y a veces una con el cliente. El socio necesita el cliente. La campaña apremia. Y aunque todo el mundo sabe que el factor está ahí, el archivo dice que no. Esto no es un problema de formación, es un problema de incentivos.

El insight que no aparece en la NIA-ES 240: las firmas que reducen los hallazgos del ICAC sobre fraude no lo hacen invirtiendo en formación adicional. Lo hacen rediseñando la plantilla por defecto para que el camino de menor resistencia sea documentar el factor, no archivarlo. Mientras la plantilla recompense el silencio, el silencio gana.

Términos relacionados

- Riesgo de distorsión material por fraude (en inglés, material misstatement due to fraud): el riesgo de que los estados financieros contengan un error material causado por manipulación intencional, no por error.

- Triada del fraude (fraud triangle): el marco de tres elementos (incentivo, oportunidad, racionalización) que explica la motivación psicológica para cometer fraude.

- Procedimientos de evaluación de riesgo: las técnicas que el auditor usa para recopilar información sobre la entidad, incluyendo entrevistas, observación, y análisis de la industria.

- Comunicación de deficiencias de control: la obligación del auditor de informar a la dirección sobre debilidades significativas de control que identificó durante la auditoría.

- Respuestas al riesgo evaluado (en inglés, responses to assessed risk): los procedimientos sustantivos y de control que el auditor diseña después de evaluar el riesgo de distorsión material.

- Escepticismo profesional: la actitud que requiere que el auditor cuestione la evidencia y no acepte las afirmaciones de la dirección sin verificación.

---