aspectos central

La elusión de controles es un riesgo inherente que existe en todas las auditorías, independientemente del tamaño o sector de la entidad.
Los hallazgos de inspección más frecuentes no se refieren a la elusión en sí, sino a papeles de trabajo insuficientes que documenten cómo el auditor respondió a este riesgo.
Tres categorías de elusión (transacciones no registradas, registros manipulados, ajustes manuales fuera de ciclo) requieren respuestas de auditoría distintas.

Cómo funciona

La elusión de controles por la administración es un riesgo que el auditor debe identificar por defecto. No es una cuestión de si existe, sino de cómo responde usted a él. La NIA-ES 315.24 establece que esta categoría de riesgo siempre está presente; la NIA-ES 240.25 añade que los intentos de fraude generalmente comportan cierto grado de elusión.
En la práctica, esto significa tres cosas. Primero, no puede calificar este riesgo como "bajo" en su evaluación de riesgos inicial. Siempre enfrenta un nivel de riesgo de elusión en el que debe confiar más en procedimientos sustantivos (pruebas directas de saldos y transacciones) que en la eficacia de los controles. Segundo, debe documentar cómo identificó las circunstancias específicas que aumentan este riesgo para la entidad (acceso a sistemas, naturaleza de la industria, historial de fraude). Tercero, debe detallar qué procedimientos sustantivos aplicó para responder a ese riesgo elevado.
La NIA-ES 330.33 requiere que el auditor aplique procedimientos sustantivos en relación con aseveraciones sobre transacciones significativas, saldos de cuentas y revelaciones, con independencia de los controles evaluados. Esto no es opcional. Es la respuesta obligatoria al riesgo de elusión.

Ejemplo práctico: Transacciones de ingeniería en Construcciones Ibéricas S.L.

Cliente: Empresa constructora, Madrid, facturación de 18,5 millones de euros, IFRS, ciclo de cuentas por cobrar complejo con contratistas subcontratados.
Paso 1: Identificación del riesgo de elusión
Durante la evaluación de riesgos (NIA-ES 315.24), el auditor identificó que la administración tiene acceso directo al sistema de contabilidad para registrar ajustes manuales fuera del ciclo ordinario de facturación. El director de obra puede autorizar variaciones en contratos menores sin pasar por la función de aprobación de cambios. Documentación: registro en la matriz de riesgos, párrafo de evaluación de riesgos en el papel de trabajo de auditoría, citando NIA-ES 315.24.
Paso 2: Categorización de la elusión posible
El auditor clasificó el riesgo en dos categorías específicas para esta entidad: (a) ajustes manuales no documentados en el sistema de contabilidad que modifican márgenes de obra, y (b) registros de ingresos relacionados con trabajos parcialmente completados donde la administración podría acelerar el reconocimiento. Documentación: tabla de evaluación de elusión específica al cliente, con ejemplos de transacciones que eludirían los controles automatizados.
Paso 3: Procedimientos sustantivos de respuesta
En lugar de confiar en el control de aprobación de variaciones (que la administración puede eludir), el auditor aplicó:
Documentación: papeles de trabajo de procedimientos analíticos, cuestionario de elusión completado, conclusión del auditor indicando cómo respondió al riesgo inherente de elusión.
Conclusión: El auditor documentó que, aunque los controles de aprobación de variaciones existían, la evaluación de riesgos determinó un riesgo de elusión lo suficientemente alto como para requerir procedimientos sustantivos directos, independientemente de los controles. Los papeles de trabajo fueron defensibles porque conectaban explícitamente el riesgo de elusión (identificado en NIA-ES 315.24) con la respuesta sustantiva (exigida por NIA-ES 330.33).

  • Selección de todas las transacciones de ajuste manual registradas en el trimestre 4 por una cantidad mayor a 150.000 euros, verificación de la existencia de documentación de respaldo (cambios de orden de trabajo, correos de autorización del cliente final).
  • Prueba de una muestra de ingresos reconocidos en el mes anterior al cierre, mediante confirmación directa con el cliente y cotejo del porcentaje de finalización con documentación de progreso de obra.
  • Búsqueda de transacciones inversas (cargos que revierten ingresos) registradas después del cierre, como indicador de posible manipulación.

Qué revisores y colegas malinterpretan

  • Tier 1: Hallazgo de inspección: La ICAC ha observado en informes de auditoría que el auditor identifica "riesgo de elusión de controles" en la evaluación de riesgos, pero los papeles de trabajo de procedimientos sustantivos (pruebas de transacciones, análisis de ajustes manuales) no están claramente vinculados a esta respuesta. El vínculo causal entre el riesgo identificado y el procedimiento aplicado es lo que falta.
  • Tier 2: Error práctico referenciado en la norma: Muchos auditores tratan la elusión de controles como un riesgo separado de la evaluación general de fraude. La NIA-ES 240.24-25 establece que los riesgos de fraude incluyen siempre elusión. Los papeles de trabajo que presentan estas como categorías no relacionadas sugieren un malentendido del alcance del riesgo.
  • Tier 3: Brecha de práctica documentada: La elusión de controles por la administración es frecuentemente subdocumentada en papeles de trabajo de entidades medianas. El auditor identifica el riesgo, pero no documenta las circunstancias específicas de esa entidad que elevan el riesgo (acceso a sistemas, naturaleza de transacciones, falta de segregación de funciones) ni mapea explícitamente el procedimiento sustantivo a la mitigación de ese riesgo específico.

Términos relacionados

  • Fraude en el nivel de aseveración (NIA-ES 240): Distinción entre el riesgo de fraude que afecta la opinión de auditoría versus otros riesgos de elusión; la elusión de controles es siempre un posible mecanismo de fraude.
  • Evaluación de riesgos a nivel de aseveración (NIA-ES 315): El proceso de identificación del riesgo de elusión como parte de la evaluación obligatoria de riesgos iniciales.
  • Procedimientos sustantivos (NIA-ES 330): La respuesta requerida al riesgo de elusión; incluye pruebas de transacciones individuales y análisis de ajustes.
  • Acceso a sistemas y segregación de funciones (NIA-ES 315): Factores que el auditor evalúa para determinar si el riesgo de elusión es elevado en una entidad específica.
  • Fraude de la administración versus fraude de empleados (NIA-ES 240): La elusión de controles es característica del fraude de la administración, que es generalmente más grave.

Herramienta

Usar el Cuestionario de Elusión de Controles por la Administración de ciferi para documentar:
Acceder a la herramienta
---

  • Circunstancias específicas de la entidad que elevan el riesgo
  • Tipos de transacciones vulnerables a elusión
  • Procedimientos sustantivos aplicados en respuesta

Términos relacionados

Fraude en el nivel de aseveración (NIA-ES 240)Evaluación de riesgos a nivel de aseveración (NIA-ES 315)Procedimientos sustantivos (NIA-ES 330)Acceso a sistemas y segregación de funciones (NIA-ES 315)Fraude de la administración versus fraude de empleados (NIA-ES 240)

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.