Contenido

- El error que la norma viene a cerrar - Qué cambió, en términos prácticos - Marco normativo para denuncias de terceros - Ejemplo práctico: Manufacturas Catalanas y la denuncia que no quería investigarse - La discusión real entre socios - Lista de verificación práctica - Errores frecuentes en la documentación - Contenido relacionado

El error que la norma viene a cerrar

Lo que falla en la práctica no es que las firmas no sepan qué hacer con una denuncia. Es que la denuncia llega en el peor momento posible y nadie tiene incentivos para abrir el melón. Un correo anónimo en noviembre, con el informe a tres semanas de salir, supone reabrir circularización a proveedores, pedir verificación física en una nave que ya nadie pisa, y comunicar al consejo que su director financiero (la persona con quien el equipo lleva ocho meses cerrando ajustes) puede estar metido en algo. Por lo que conozco, en buena parte de los despachos medianos esa secuencia no se ejecutaba. Se evaluaba la credibilidad mentalmente, se concluía que la fuente "carecía de fundamento", y se sacaba adelante con lo que hay. Los papeles estaban flojos en esa parte concreta porque no había papel.

La NIA-ES 240 anterior dejaba abierta esa salida. Permitía discrecionalidad. La revisada la cierra, y lo hace con un nivel de detalle que, sinceramente, no es habitual en una NIA-ES (la norma incluso fija plazos para la comunicación al consejo). Esto es lo que un revisor del ICAC va a pedir ver cuando le abran expediente a la firma por una denuncia que se documentó mal.

Qué cambió, en términos prácticos

Antes vs. después: tratamiento de información externa

Bajo la NIA-ES 240 anterior: - El auditor tenía discreción sobre si investigar denuncias anónimas - No existía orientación específica sobre la evaluación de credibilidad de fuentes externas - La comunicación con los responsables del gobierno corporativo sobre fraude externo era opcional - Los procedimientos ante denuncias no investigadas por la dirección no estaban definidos

Bajo la NIA-ES 240 (Revisada 2023): - El párrafo 240.28 establece la obligación de evaluar toda información sobre fraude, independientemente de su fuente - El párrafo 240.A47 proporciona criterios específicos para evaluar la credibilidad de denunciantes externos - Los párrafos 240.37-240.38 exigen comunicación inmediata con los responsables del gobierno corporativo - El párrafo 240.A52 detalla procedimientos alternativos cuando la dirección no investiga denuncias

Lo que la norma dice y lo que se hacía antes están a un mundo de distancia. La discreción ya no existe. Si llega una alerta y no queda rastro de la evaluación, los papeles no cumplen.

Fecha de vigencia: Auditorías de periodos que comiencen en o después del 15 de diciembre de 2023. No se permite adopción anticipada de párrafos individuales; debe adoptarse la norma completa.

Qué necesita hacer

Establecer un registro centralizado de denuncias antes de que llegue la primera. Documentar toda información sobre posible fraude recibida durante la auditoría, incluyendo fuentes anónimas y alertas de terceros, en un PT-FRAUD numerado. Aplicar los criterios del párrafo 240.A47 sin atajos: aunque la denuncia parezca un ajuste de cuentas entre exempleados, hay que dejar la evaluación por escrito. Solicitar a la dirección por escrito (correo electrónico vale; conversación de pasillo no) que investigue formalmente las denuncias con fundamento aparente. Si la dirección se niega, aplicar 240.A52 y dejar constancia. Comunicar al consejo dentro de las 48 horas siguientes. Esa es la secuencia. Cualquier paso saltado es donde el ICAC va a meter el dedo si llega a abrirse expediente.

Marco normativo para denuncias de terceros

Obligación de evaluación inicial (NIA-ES 240.28)

El párrafo 240.28 establece que "el auditor evaluará toda información que llegue a su conocimiento que indique la existencia de un fraude o de un presunto fraude." La obligación es absoluta y se extiende a denuncias anónimas recibidas directamente por el equipo, alertas de empleados, proveedores, clientes o reguladores, información obtenida a través de canales internos de denuncia de la entidad, y comunicaciones de autoridades competentes sobre investigaciones en curso.

Lo que esto significa en la práctica: ya no vale leer el correo y decidir mentalmente que carece de fundamento. La discrecionalidad previa desapareció. Toda información sobre fraude debe documentarse y evaluarse, independientemente de su aparente credibilidad inicial. Si no hay PT-FRAUD con fecha y conclusión, los papeles están flojos.

Criterios de evaluación de credibilidad (NIA-ES 240.A47)

El párrafo 240.A47 introduce criterios específicos para evaluar la credibilidad de fuentes externas.

Factores que aumentan la credibilidad: - El denunciante proporciona detalles específicos verificables - La información es coherente con otros hallazgos de auditoría - El denunciante no tiene intereses económicos aparentes en el resultado - La denuncia incluye documentación o pruebas de respaldo

Factores que reducen la credibilidad: - Acusaciones vagas sin detalles específicos - Motivaciones personales evidentes (disputas laborales, venganza) - Solicitudes de compensación económica por la información - Inconsistencias internas en la denuncia

El detalle que se escapa al leer estos factores en frío: una denuncia puede combinar señales positivas y negativas a la vez (anónima pero con cifras concretas, vengativa pero verificable). En esos casos, lo que cuenta no es el saldo de factores, sino que la denuncia abra una vía verificable. Si menciona facturas de octubre por importe X con un proveedor concreto, el auditor puede cotejar. Si solo dice "el director financiero roba", no se puede hacer nada.

Procedimientos ante falta de investigación (NIA-ES 240.A52)

Cuando la dirección se niega a investigar una denuncia con fundamento aparente, el párrafo 240.A52 exige cuatro acciones: una evaluación independiente sobre si la falta de investigación constituye una limitación al alcance, el diseño de procedimientos alternativos específicos para confirmar o descartar la denuncia, la reevaluación de los riesgos identificados de incorrección material debida a fraude, y la documentación ampliada de las razones de la dirección y la respuesta del auditor.

Lo que la norma no dice (y conviene tenerlo claro): la negativa de la dirección a investigar es, por sí misma, un indicio. No es una posición neutra. Si el director general se niega a investigar a su director financiero, eso entra en la evaluación de riesgo. La norma lo dice indirectamente, pero el revisor que lo lea va a esperar ver esa conclusión por escrito. Esto es lo que en mi experiencia diferencia los papeles que aguantan una inspección de los que no.

Ejemplo práctico: Manufacturas Catalanas y la denuncia que no quería investigarse

Escenario: Manufacturas Catalanas S.A.

Manufacturas Catalanas S.A., con sede en Terrassa, genera ingresos anuales de 28 millones de euros y emplea 180 personas en la fabricación de componentes industriales. El 15 de noviembre de 2024, durante la auditoría del ejercicio 2024, el equipo recibe un correo electrónico anónimo:

"El jefe de compras está cobrando comisiones de Proveedores Industriales Barcelona S.L. A cambio les adjudica contratos sobrevalorados. Mirar facturas de octubre por 180.000 euros por materiales que nunca llegaron."

Registro inicial de la denuncia

Documentación: Crear archivo en PT-FRAUD-01 con copia del correo, fecha de recepción, y asignación de número de seguimiento DENUNCIA-2024-01

Evaluación de credibilidad usando NIA-ES 240.A47

Factores positivos identificados: proporciona proveedor específico e importe concreto (180.000 euros), menciona mes específico (octubre 2024), describe un esquema verificable (materiales no recibidos).

Factores negativos identificados: fuente anónima sin posibilidad de seguimiento, no proporciona documentación de respaldo, motivación desconocida.

Documentación: Evaluación de credibilidad registrada en PT-FRAUD-01, conclusión "FUNDAMENTO APARENTE: REQUIERE INVESTIGACIÓN"

Solicitud formal de investigación a la dirección

Comunicación por escrito al director general y al director financiero solicitando: investigación formal del jefe de compras, revisión de todas las transacciones con Proveedores Industriales Barcelona S.L., y verificación física de materiales facturados en octubre.

Documentación: Carta de solicitud incluida en PT-FRAUD-01 con confirmación de recepción

La complicación que el ejemplo limpio no contempla

La dirección responde por escrito, pero su respuesta no es la negativa rotunda que el guion esperaba. El director general escribe: "Hemos hablado internamente con el jefe de compras, nos ha dado explicaciones razonables, consideramos cerrado el asunto. No procede investigación formal basada en una acusación anónima sin pruebas. Si quieren, ustedes pueden hacer las verificaciones que estimen oportunas."

Esta respuesta es la zona gris de 240.A52. No es una negativa pura (la dirección "ha hablado internamente"), pero tampoco es una investigación formal con conclusiones documentadas. Aquí es donde el equipo tiene que decidir: ¿la conversación informal entre el director general y el jefe de compras (la persona acusada) cumple la obligación de investigar? Por lo que conozco, no. Que el supuesto culpable dé "explicaciones razonables" a su jefe directo no es una investigación. Es el socio necesita el cliente aplicado al revés: la dirección necesita que el equipo no insista. Documentar esto exige cuidado: no se trata de acusar a la dirección de encubrimiento, sino de constatar que la respuesta no satisface los criterios de 240.A52 y que el auditor procederá con procedimientos alternativos.

Documentación: Respuesta de la dirección registrada en PT-FRAUD-01 con análisis específico de por qué la conversación interna no constituye investigación adecuada en el sentido del párrafo 240.A52. Conclusión: "FALTA DE INVESTIGACIÓN ADECUADA, APLICAR PROCEDIMIENTOS ALTERNATIVOS"

Aplicación de procedimientos alternativos (NIA-ES 240.A52)

Solicitar todas las facturas de Proveedores Industriales Barcelona S.L. del ejercicio 2024 (no solo octubre, para no acotar el sesgo a las fechas que dio el denunciante). Confirmar directamente con el proveedor los servicios prestados y materiales suministrados. Verificar físicamente la existencia de materiales facturados en octubre. Revisar autorizaciones de compra y proceso de adjudicación de contratos durante los últimos 24 meses. Cotejar las firmas de aprobación.

Documentación: Programa de trabajo específico en PT-FRAUD-02 con procedimientos detallados y responsables asignados

Comunicación con los responsables del gobierno corporativo

Comunicación inmediata (dentro de las 48 horas) al presidente del consejo de administración y al comité de auditoría sobre: recepción de la denuncia anónima, falta de investigación adecuada por parte de la dirección, y procedimientos alternativos aplicados por el equipo de auditoría.

Documentación: Acta de comunicación en PT-FRAUD-01 con fecha, asistentes y compromisos acordados

Cómo termina: Este caso produjo una evaluación documentada de credibilidad, un registro completo de la respuesta de la dirección con análisis crítico de su contenido, y un plan alternativo de procedimientos. Si el ICAC abre expediente algún día sobre Manufacturas Catalanas, los papeles cuentan una historia coherente. Si los procedimientos alternativos confirman la denuncia, el equipo tiene base para una limitación al alcance o un párrafo de énfasis. Si la descartan, también. Lo que no se podía permitir era no tener rastro.

La discusión real entre socios

Por lo que he visto en discusiones de despacho, la NIA-ES 240 revisada genera un debate honesto entre socios experimentados sobre dónde colocar el listón en denuncias de credibilidad baja. El Socio A (perfil de despacho mediano con clientes habituales) sostiene que el equipo debe documentar la recepción y la evaluación de credibilidad pero que, si los factores 240.A47 apuntan claramente a una motivación personal (un exempleado despedido seis meses atrás escribiendo desde una cuenta anónima), no procede solicitar investigación formal a la dirección porque eso solo daña la relación con el cliente sin aportar nada. El Socio B (perfil más cercano a auditorías de EIP, donde el ICAC mira con más detalle) sostiene que la negativa a solicitar investigación formal es exactamente el espacio que la norma revisada quiere cerrar; que documentar "no procede" es jugar con la discrecionalidad que la NIA-ES 240 anterior permitía y la revisada eliminó.

Yo me sitúo más cerca del Socio B, porque el coste asimétrico no está bien calibrado en el argumento del Socio A. Pedir una investigación formal y que la dirección responda razonadamente que no procede deja un papel limpio. No pedirla y que después aparezca que la denuncia tenía fundamento deja un papel imposible de defender. La fricción comercial es real, pero la asimetría de consecuencias inclina la balanza. Vaya por delante que esto depende del cliente y de la solidez de la relación, y que en algunos casos el Socio A acertará. Pero por defecto, prefiero pedir.

Lista de verificación práctica

1. Establezca un registro centralizado de todas las denuncias y alertas sobre fraude recibidas durante la auditoría, incluidas fuentes anónimas (NIA-ES 240.28)

2. Documente la evaluación de credibilidad usando los criterios específicos del párrafo 240.A47 para cada denuncia, independientemente de su fuente

3. Solicite por escrito que la dirección investigue formalmente todas las denuncias con fundamento aparente y establezca un plazo razonable para la respuesta

4. Diseñe procedimientos alternativos específicos cuando la dirección se niegue a investigar, focalizándose en verificar o descartar las alegaciones concretas (NIA-ES 240.A52)

5. Comunique inmediatamente con los responsables del gobierno corporativo sobre denuncias significativas y la respuesta de la dirección (NIA-ES 240.37-240.38)

6. Reevalúe el riesgo de fraude en todas las áreas relevantes cuando se identifiquen deficiencias en los controles internos sobre denuncias

Errores frecuentes en la documentación

Evaluación superficial de credibilidad. No aplicar sistemáticamente los criterios del párrafo 240.A47 y limitarse a calificar denuncias como "no creíbles" sin análisis detallado. Al revisor del ICAC eso le suena a marcar la casilla; el papel debe distinguir cada uno de los factores 240.A47 con conclusión propia.

Falta de seguimiento formal. Aceptar respuestas verbales de la dirección sobre denuncias sin exigir investigación documentada y conclusiones por escrito. Una conversación de pasillo con el director financiero no constituye respuesta de la dirección a efectos de 240.A52.

Procedimientos genéricos. Aplicar el mismo conjunto de pruebas ante todas las denuncias en lugar de diseñar procedimientos específicos para cada alegación concreta. Si la denuncia menciona un proveedor y unas fechas, los procedimientos deben anclarse a ese proveedor y esas fechas (más un período de control para detectar acotamiento del sesgo).

Comunicación tardía al consejo. Esperar a la siguiente reunión programada del comité de auditoría en lugar de comunicar dentro de las 48 horas. El plazo no es una sugerencia.

Contenido relacionado

- Evaluación del riesgo de fraude NIA-ES 315 - Cómo integrar información de terceros en la evaluación inicial de riesgos

- Herramienta de registro de denuncias - Plantilla para documentar y hacer seguimiento de denuncias anónimas y alertas externas

- Comunicación de deficiencias significativas NIA-ES 265 - Requisitos de comunicación cuando las denuncias revelan problemas en el control interno

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.