Definition

El papel de evaluación de riesgos identifica "riesgo de elusión por la administración: alto". Veintidós páginas más allá, en la sección de procedimientos sustantivos, no hay ni una línea que conecte el procedimiento aplicado con ese riesgo identificado. El expediente sale así. Si llega el ICAC, esa desconexión es la primera bomba de relojería que estalla. Por lo que conozco, este es el patrón más recurrente en los expedientes con sanción de los últimos tres años.

aspectos centrales

> - La elusión de controles es un riesgo inherente que existe en todas las auditorías, independientemente del tamaño o el sector. > - Los hallazgos de inspección más frecuentes no se refieren a la elusión en sí, sino a papeles de trabajo flojos que no documentan cómo el auditor respondió al riesgo. > - Tres categorías de elusión (transacciones no registradas, registros manipulados, ajustes manuales fuera de ciclo) requieren respuestas de auditoría distintas.

Lo que falla en la práctica

Vaya por delante que esto no se discute: la NIA-ES 240.25 dice que los intentos de fraude generalmente comportan algún grado de elusión. Es un punto de partida. La discusión está en cómo lo respondes en el papel, no en si existe.

Lo que se ve en encargos medianos es siempre la misma escena. La evaluación de riesgos copia y pega del año anterior la frase "riesgo de elusión por la administración: alto". Adelante. Luego, cuando el equipo entra en pruebas sustantivas, aplica los mismos procedimientos analíticos de los últimos cinco ejercicios sin volver a mirar la evaluación. El vínculo entre lo identificado y lo respondido se rompe en el momento mismo del traspaso entre planificación y ejecución. Cuando el revisor de calidad del encargo (la EQR) pide la conexión, el equipo improvisa una nota a posteriori que no engaña a nadie con experiencia.

Lo que dice la norma

La NIA-ES 315.24 establece que la elusión de controles por la administración es un riesgo presente por defecto. La NIA-ES 240.25 lo confirma como característica de los riesgos de fraude. La NIA-ES 330.33 cierra el círculo: el auditor debe aplicar procedimientos sustantivos a transacciones significativas, saldos de cuentas y revelaciones, con independencia de los controles evaluados.

Esto, en la práctica, significa tres cosas:

1. No se puede calificar este riesgo como "bajo" en la evaluación inicial. Existe siempre. 2. Hay que documentar las circunstancias específicas de la entidad que elevan el riesgo (acceso a sistemas, naturaleza del sector, historial, presión sobre objetivos). 3. Hay que detallar qué procedimientos sustantivos se aplican como respuesta a ese riesgo elevado, conectando explícitamente respuesta y riesgo en el papel.

Donde vive el juicio profesional

La discusión real no es si hay elusión, sino qué procedimientos son suficientes. Hay dos posiciones razonables que aparecen una y otra vez en las salas de revisión:

Posición A: la prueba estrella es la búsqueda de asientos manuales fuera de patrón (journal entry testing) con criterios cuantitativos y cualitativos definidos por el equipo, y revisión del 100% de los asientos del cierre de los últimos tres días del ejercicio. Razón: es lo que el ICAC y los inspectores internacionales esperan ver desde el caso Pescanova en adelante; sin journal entry testing serio, la conclusión sobre fraude no se sostiene.

Posición B: la búsqueda de asientos manuales se complementa, pero no se centra en ella; el peso lo lleva la prueba dirigida a transacciones inusuales (partes vinculadas, transacciones cerca del cierre, ajustes que mejoran ratios financieros con covenant). Razón: el journal entry testing genera mucho ruido y poca señal en entidades con ERP estándar, donde casi todos los asientos son automáticos.

Las dos defensas son legítimas. La diferencia de fondo es de filosofía: A apuesta por cobertura amplia y trazable; B apuesta por enfoque sobre el vector de fraude más probable. El equipo debe decidir y dejar el motivo por escrito en la matriz de riesgos, no defenderlo verbalmente cuando llega la pregunta.

Ejemplo práctico: Construcciones Ibéricas S.L.

Cliente: empresa constructora, Madrid, facturación 18,5 M€, NIIF, ciclo de cuentas por cobrar complejo con contratistas subcontratados.

Paso 1: identificar el riesgo de elusión

En la evaluación de riesgos (NIA-ES 315.24), el equipo identifica que la administración tiene acceso directo al sistema de contabilidad para registrar ajustes manuales fuera del ciclo ordinario de facturación. El director de obra puede autorizar variaciones en contratos menores sin pasar por la función de aprobación de cambios.

Documentación: registro en la matriz de riesgos, párrafo de evaluación de riesgos en el papel de trabajo, citando NIA-ES 315.24.

Paso 2: categorizar la elusión posible

El riesgo se clasifica en dos categorías específicas para esta entidad: (a) ajustes manuales no documentados que modifican márgenes de obra, y (b) registros de ingresos relacionados con trabajos parcialmente completados donde la administración podría acelerar el reconocimiento.

Documentación: tabla de evaluación de elusión específica del cliente, con ejemplos de transacciones que eludirían los controles automatizados.

Paso 3: procedimientos sustantivos de respuesta

En lugar de confiar en el control de aprobación de variaciones (que la administración puede eludir), el equipo aplica:

- Selección del 100% de las transacciones de ajuste manual registradas en el Q4 por importe superior a 150.000 €, con verificación de documentación de respaldo (cambios de orden de trabajo, correos de autorización del cliente final). - Prueba de una muestra de ingresos reconocidos en el mes anterior al cierre, con confirmación directa al cliente y cotejo del porcentaje de finalización contra documentación de progreso de obra. - Búsqueda de transacciones inversas (cargos que revierten ingresos) registradas después del cierre, como indicador de posible manipulación.

Documentación: papeles de procedimientos analíticos, cuestionario de elusión completado, conclusión del auditor que indica cómo respondió al riesgo inherente de elusión.

Paso 4: la complicación que cambia el alcance

A las dos semanas de iniciado el trabajo de campo, la confirmación de uno de los clientes finales (un ayuntamiento) llega con discrepancia significativa: el porcentaje de obra ejecutada según el cliente es del 62%, frente al 78% reconocido en libros. La administración alega que el dato del cliente está mal y aporta un acta interna de obra firmada por el jefe de obra.

El equipo, en lugar de aceptar la explicación, amplía el alcance: pide la última certificación oficial firmada por las dos partes y un contraste con el avance físico real (visita a obra). La certificación oficial confirma el 62% del cliente. El acta interna no había sido contrastada con la propiedad. Se propone ajuste por sobrevaloración de ingresos de 480.000 €.

Documentación: papel de revisión de la discrepancia, decisión de ampliación de alcance firmada por el socio, ajuste propuesto y aceptado por la dirección.

Conclusión: el auditor documenta que, aunque los controles de aprobación de variaciones existían, la evaluación de riesgos determinó un riesgo de elusión lo suficientemente alto como para exigir procedimientos sustantivos directos. Los papeles fueron defendibles porque conectaban explícitamente el riesgo identificado (NIA-ES 315.24) con la respuesta sustantiva (NIA-ES 330.33), y porque el equipo no se quedó con la primera explicación de la administración cuando los datos no encajaban.

Qué revisores y colegas malinterpretan

- Hallazgo de inspección: el ICAC ha observado que el auditor identifica "riesgo de elusión de controles" en la evaluación de riesgos, pero los papeles de procedimientos sustantivos no están claramente vinculados a esa respuesta. El vínculo causal entre riesgo identificado y procedimiento aplicado es lo que falta. La carga de probar el vínculo cae sobre el papel; no sobre la memoria del equipo.

- Error práctico referenciado en la norma: muchos auditores tratan la elusión como riesgo separado de la evaluación general de fraude. La NIA-ES 240.24-25 establece que los riesgos de fraude incluyen siempre elusión. Los papeles que presentan estas categorías como no relacionadas indican un malentendido del alcance del riesgo y suelen producir conclusiones inconsistentes entre la sección 240 y la sección 315 del expediente.

- Brecha de práctica documentada: la elusión está frecuentemente subdocumentada en encargos de entidades medianas. El equipo identifica el riesgo, pero no documenta las circunstancias específicas que lo elevan (acceso a sistemas, segregación débil, presión por covenants, historial). Sin ese ancla, la respuesta sustantiva parece genérica y no defensiva.

Por qué se repite el patrón

El incentivo estructural es la separación funcional dentro del propio equipo. Quien hace la evaluación de riesgos es a menudo el sénior con menos antigüedad o el manager nuevo en el cliente. Quien ejecuta los procedimientos sustantivos es el equipo de campo, que tiene su propio plan de horas. Las dos partes rara vez se reúnen para conectar lo identificado con lo respondido. Cuando el revisor de calidad del encargo pide la conexión, el papel se rellena a posteriori y se nota.

A esto se suma que los procedimientos para elusión consumen horas no presupuestadas: journal entry testing, búsquedas en bases de datos, contraste con documentación externa. En encargos donde el socio necesita el cliente y los honorarios están a la baja, sacar adelante con lo que hay se traduce en cortar precisamente esta partida. La carta a la dirección llega limpia, los papeles parecen completos, y la bomba de relojería queda armada para el ejercicio siguiente.

Términos relacionados

- Fraude en el nivel de aseveración (NIA-ES 240): distinción entre el riesgo de fraude que afecta a la opinión y otros riesgos de elusión; la elusión es siempre un posible mecanismo de fraude. - Evaluación de riesgos a nivel de aseveración (NIA-ES 315): el proceso de identificación del riesgo de elusión como parte de la evaluación inicial obligatoria. - Procedimientos sustantivos (NIA-ES 330): la respuesta requerida al riesgo de elusión; incluye pruebas de transacciones individuales y análisis de ajustes. - Acceso a sistemas y segregación de funciones (NIA-ES 315): factores que el auditor evalúa para determinar si el riesgo de elusión está elevado en una entidad concreta. - Fraude de la administración versus fraude de empleados (NIA-ES 240): la elusión es característica del fraude de la administración, generalmente más grave.

Herramienta

Usa el Cuestionario de Elusión de Controles por la Administración de ciferi para documentar:

- Circunstancias específicas de la entidad que elevan el riesgo - Tipos de transacciones vulnerables a elusión - Procedimientos sustantivos aplicados en respuesta

Acceder a la herramienta

---

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.