Contenido

1. El fallo típico, antes de la norma 2. Lo que pide la NIA-ES sin importar dónde esté el equipo 3. Procedimientos por área: qué aguanta el remoto y qué no 4. Controles de integridad: el contrapeso al remoto 5. Caso práctico con su complicación real 6. Lista de verificación útil para campaña 7. Errores frecuentes y zona gris

El fallo típico, antes de la norma

Imaginemos el caso. Manufactura Levante, S.L., en Valencia, factura 18 millones, almacén central en Sagunto y delegación logística en Murcia. La firma auditora cierra honorarios un 12% por debajo del año anterior porque el socio necesita el cliente. Resultado operativo: el recuento de existencias del 31 de diciembre se hace por videoconferencia. El cliente graba un recorrido por el almacén con el móvil. El senior pide que se enfoque a tres referencias concretas y se hace el conteo. El PT de existencias se cierra con la grabación, una hoja de muestra y la conciliación con el inventario perpetuo.

Lo que pasa después es lo de siempre. Un año más tarde, en una inspección de control técnico del ICAC, la pregunta es directa: ¿cómo demuestra usted que la grabación no fue editada? ¿Se verificó la cadena de custodia del archivo? ¿Cómo se seleccionaron esas tres referencias y no otras? ¿Qué se hizo con las existencias en consigna, las que estaban fuera del campo de la cámara y las del almacén de Murcia que ese día no se visitó? Los papeles están flojos. Falta chicha.

Esto no es un problema de tecnología, es un problema de diseño del encargo. El equipo asumió que la videoconferencia sustituía la observación física de NIA-ES 501.4. La norma no dice eso. La norma exige asistir al recuento; lo remoto solo es admisible cuando la asistencia física resulta impracticable y, en ese caso, hay que aplicar procedimientos alternativos que generen evidencia equivalente. Eso es muy distinto de "lo hago por Teams porque el cliente prefiere no recibirnos."

Lo que pide la NIA-ES sin importar dónde esté el equipo

NIA-ES 500: la suficiencia no se negocia con la distancia

La NIA-ES 500.6 es la frase de cabecera. El auditor debe diseñar y aplicar procedimientos que sean apropiados a las circunstancias para obtener evidencia de auditoría suficiente y adecuada. La modalidad remota no aparece como circunstancia eximente en ningún apartado. Lo que sí aparece, en NIA-ES 500.A31 y siguientes, es una jerarquía de fiabilidad: la evidencia obtenida directamente por el auditor es más fiable que la obtenida del cliente; la evidencia documental es más fiable que la verbal; el original es más fiable que la copia.

Aplique esta jerarquía a un procedimiento remoto y verá el problema. Una captura de pantalla que el cliente le envía es evidencia indirecta del cliente sobre una fuente que el cliente controla. Un volcado descargado por el cliente y reenviado por correo es lo mismo. Solo cuando el auditor accede directamente al sistema (sesión TeamViewer con el auditor moviendo el ratón, no el cliente; o conexión SFTP a un repositorio del que el auditor descarga el fichero original) la evidencia se acerca al nivel de fiabilidad que la jerarquía exige.

Lo que realmente ocurre en la práctica es que esta distinción se borra. La frontera entre "procedimiento ejecutado por el auditor" y "procedimiento ejecutado por el cliente y observado por el auditor" se difumina cuando la sesión es por videoconferencia. Y esa frontera es justo la que separa una evidencia fiable de una hoja de papel para marcar la casilla.

NIA-ES 315 y 330: el recorrido sigue siendo un recorrido

La NIA-ES 315 (Revisada) exige comprender la entidad y su entorno, incluyendo el control interno relevante para la auditoría. Cuando el recorrido se hace virtual, la pregunta operativa es si el auditor está observando el control en funcionamiento o si el cliente le está describiendo el control mientras el control sigue su vida en otra parte. Son dos cosas distintas, y los PT deben dejar claro cuál de las dos se hizo.

En mi caso, los recorridos virtuales que han funcionado bien tienen tres características: el auditor pide al cliente que ejecute una transacción concreta seleccionada por el equipo (no una demo preparada), el sistema está compartido en pantalla durante todo el flujo (no resúmenes verbales), y queda grabado con sello de tiempo del software de videoconferencia. El recorrido sin esas tres condiciones es, en términos de evidencia, una entrevista. La NIA-ES 315.A22 distingue entre indagación y observación; un recorrido sin observación efectiva es indagación, y la indagación no basta por sí sola para evaluar el diseño y la implementación de un control (NIA-ES 315.26).

NIA-ES 230: documentar lo que no se hizo, no solo lo que se hizo

Aquí es donde se pierden la mayoría de los expedientes. La NIA-ES 230.8 exige que la documentación permita a un auditor experimentado, sin conexión previa con la auditoría, comprender la naturaleza, oportunidad y alcance de los procedimientos aplicados. Cuando se hace remoto, la documentación tiene que dejar claras tres cosas: por qué se eligió la modalidad remota (no "porque sí"), qué procedimiento alternativo se aplicó frente a la observación física presencial, y qué limitación residual queda y cómo se mitigó.

No basta con escribir "procedimiento ejecutado por videoconferencia." Tiene que constar el participante autenticado, el procedimiento concreto, el momento exacto, el medio técnico (con número de versión del software, si aplica), y la evidencia obtenida (grabación archivada con hash, captura, fichero descargado). Si el inspector del ICAC abre el PT y no puede reconstruir lo que pasó ese día sin llamar al senior, los papeles están flojos.

Procedimientos por área: qué aguanta el remoto y qué no

Existencias: la zona donde el remoto fracasa con más frecuencia

NIA-ES 501.4 exige asistir al recuento físico cuando las existencias son significativas. El estándar habla de "asistir," no de "observar a distancia." La asistencia presencial permite tres cosas que la cámara no permite: (a) verificar la cadena de custodia del producto físico, (b) seleccionar muestras de forma genuinamente aleatoria sin depender del operario que mueve la cámara, y (c) detectar cosas que no aparecen en el plan (existencias en consigna, en tránsito, dañadas, en zonas que el cliente prefiere no enseñar).

¿Cuándo basta el remoto? Cuando las existencias no son significativas para los estados financieros (pyme de servicios con stock anecdótico de equipos), cuando la auditoría se apoya en un sistema de inventario perpetuo bien controlado y testado, o cuando se realiza una asistencia física parcial al recuento (un componente, una localización) y el resto se cubre con confirmaciones de terceros (proveedor logístico, depositario externo) cuya independencia esté evaluada. En cualquier otro caso, conviene volver al coche.

Caja, bancos y deuda: el remoto funciona, con condiciones

Las confirmaciones bancarias bajo NIA-ES 505 son el ejemplo donde el remoto, bien hecho, es incluso superior al presencial. La condición es que el auditor controle el proceso. Eso significa que la solicitud sale de una dirección de correo del auditor, las credenciales del portal bancario las facilita el banco directamente al auditor (no el cliente), y la respuesta llega a la cuenta del auditor sin intermediación. Cualquier paso intermedio donde el cliente pueda interceptar, filtrar o reenviar la información rompe la cadena.

El error más frecuente es asumir que confirmar por email con la firma electrónica del banco es equivalente a la confirmación tradicional. Lo es siempre que el auditor verifique el certificado digital del emisor contra la base de datos del banco emisor (no contra una base de datos que el cliente le proporcione) y que la cuenta de destino sea exclusivamente del equipo de auditoría.

Ingresos y corte: ahí el remoto incluso tiene ventajas

El análisis masivo de transacciones de ventas es probablemente el área donde la auditoría remota es estructuralmente mejor que la presencial. Procesar el fichero completo de ventas con ACL, IDEA o un cuaderno de Python es algo que se hace mejor desde la oficina con doble pantalla que en una mesa prestada del cliente. Identificar duplicidades, importes anómalos, transacciones cerca del corte (los famosos cinco días antes y cinco después del 31/12), partes vinculadas no marcadas como tales: todo esto se beneficia del entorno técnico del auditor.

La precaución es la integridad del fichero. Pida el extracto directamente del ERP en una sesión donde usted esté al mando; verifique el hash SHA-256 del fichero recibido contra el generado en origen; reconcilie totales con el mayor antes de empezar el análisis. Si el cliente le envía el CSV por correo sin más, está auditando el correo del cliente, no la realidad del cliente.

Pruebas de controles automatizados: la trampa de la captura de pantalla

Aquí está la trampa más común. El cliente envía capturas de pantalla mostrando la configuración del control automático en el ERP. El equipo las pega en el PT y firma la prueba de control como ejecutada. Lo que falta es la prueba de que la configuración estaba activa durante todo el periodo auditado, no solo el día de la captura, y la prueba de que los controles generales de TI (gestión de cambios, accesos privilegiados) impidieron alterar esa configuración. NIA-ES 315.A101-A105 exige los dos niveles. Probar el control automático sin probar los ITGC es una prueba a medias.

Controles de integridad: el contrapeso al remoto

Identidad y triangulación

El escepticismo profesional de NIA-ES 200.15 obliga a verificar la identidad de quien proporciona información. En remoto, la verificación se vuelve operativa: cámara encendida obligatoria en sesiones críticas, contraste con la fotografía del año anterior si es un cliente recurrente, y triangulación de información sensible con al menos una fuente independiente del informante (otro departamento, registro mercantil, confirmación externa).

Curiosamente, esta exigencia funciona mejor en remoto que en presencial. En la oficina del cliente uno saluda a quien le presentan; por Teams uno tiene la imagen, el correo, el directorio activo y, si quiere, el LinkedIn abiertos en otra pestaña. Use esa ventaja.

Segregación de funciones y trabajo desde casa

Cuando el cliente trabaja en modalidad híbrida, la segregación de funciones puede haberse erosionado sin que conste en la documentación de control interno. Pregunte específicamente: ¿quién aprueba pagos cuando el responsable está teletrabajando? ¿hay una delegación tácita? ¿qué controles compensatorios se han añadido (doble validación, alertas automáticas)? Si la respuesta es "lo hace fulano cuando no está mengano," tiene un riesgo de control no evaluado.

Caso práctico con su complicación real

> Servicios Tecnológicos Aragón, S.L. > > Empresa zaragozana de desarrollo de software. Facturación 12,4 millones €. 85 empleados, 60% en remoto. Cliente desde 2019. Esta es la primera campaña en formato totalmente remoto. > > Riesgos identificados en la planificación: la transición al teletrabajo modificó controles de acceso al código fuente y al sistema de facturación; durante 2025 se implantó un nuevo flujo de aprobación de gastos con workflow digital; partes vinculadas (la matriz holandesa centraliza los servicios de IT compartidos).

Paso 1. Planificación remota. Reunión inicial con CEO, CFO y CTO por Teams, cámara obligatoria, calendario detallado de sesiones críticas. Hasta aquí, libro.

Paso 2. Recorrido del proceso de facturación. Sesión TeamViewer en el ERP de la entidad. El controller ejecuta una factura concreta seleccionada por el equipo (no la demo que tenía preparada): factura del 17 de noviembre de 2025 a un cliente con vinculación accionarial declarada. Se observa el flujo completo, se descarga el log de aprobación, se verifica que el límite de 5.000 € activó la doble firma.

Paso 3. Aquí entra la complicación. Al cruzar el listado de aprobadores con el organigrama, dos de los aprobadores duales no aparecen como personal con poderes según el registro mercantil. El controller explica que son responsables de delegación firmados internamente. Se pide la documentación. Llega un PDF con la delegación, firmada en febrero de 2025. El metadato del PDF muestra fecha de creación enero de 2026.

¿Qué se hace? Tres caminos posibles. Uno: aceptar la explicación verbal del controller (que el documento original se reescaneó por un problema de archivo) y seguir adelante. Dos: ampliar pruebas, pedir el original en papel, contrastar con actas del consejo. Tres: comunicar al socio y considerar si esto es un indicio bajo NIA-ES 240 (fraude). Yo, en este caso, iría a la opción dos por defecto y a la tres si la documentación adicional no aparece en 48 horas. La razón es que un metadato de PDF no es un hallazgo de fraude por sí solo, pero sí es una alarma que exige procedimientos adicionales antes de descartarla. La NIA-ES 240.A26 advierte de que las explicaciones verbales del personal directivo no constituyen evidencia suficiente cuando hay indicios contradictorios de origen documental.

Paso 4. Sustantivas de ingresos. Fichero completo de 18.243 transacciones en CSV, descargado en sesión controlada y verificado por hash. Procesamiento con IDEA: 0 duplicados, 14 transacciones por encima de 50.000 €, análisis de corte de los últimos 5 días de diciembre. Confirmaciones de saldos a 30 clientes desde la cuenta del equipo; 22 respuestas (73%); seguimiento telefónico de las 8 restantes con confirmación verbal documentada.

Paso 5. Existencias. Aquí no hay drama: el inventario relevante son equipos informáticos en leasing operativo. Se confirma con el lessor (Caixabank Equipment Finance) por confirmación directa que cubre el 100% del parque. Inspección visual por videoconferencia de una muestra de 15 equipos en domicilios particulares de empleados (con el consentimiento de cada uno). El remoto basta porque la materialidad del epígrafe es baja y la confirmación externa cubre el riesgo de existencia.

Paso 6. Documentación de limitaciones. Memorándum específico que recoge: qué procedimientos se hicieron en remoto, por qué (decisión de planificación documentada, no improvisación), qué procedimientos alternativos se aplicaron frente al estándar presencial, y qué limitación residual queda. La documentación cita los párrafos NIA-ES 230.8, 500.A31 y 501.A1 como anclas.

Conclusión del caso. Auditoría completada con evidencia suficiente y adecuada. El asunto del PDF con metadato discordante se resolvió: la delegación original existía en papel, archivada en otra oficina, escaneada de nuevo en enero por petición del equipo. 78 horas de ejecución (frente a 65 del año anterior presencial); el delta lo absorbieron las pruebas adicionales del paso 3. Sin salvedades. Lo que costó cinco horas extra esa tarde es la diferencia entre una opinión defendible y un papel para marcar la casilla.

Lista de verificación útil para campaña

1. Capacidad técnica del cliente confirmada antes de aceptar la modalidad remota (ancho de banda, software compatible, personal con autonomía operativa para compartir pantalla y descargar ficheros). 2. Identidad de los participantes verificada en sesiones críticas mediante cámara y contraste con organigramas y directorios actualizados. 3. Limitaciones documentadas en el PT para cada procedimiento remoto, con el procedimiento alternativo aplicado y la limitación residual. 4. Validación cruzada de toda información crítica obtenida en remoto contra al menos una fuente independiente del informante. 5. Evidencia técnica de integridad archivada (logs de sesión, hashes de ficheros transferidos, registros de acceso a sistemas con sello de tiempo). 6. Decisión documentada sobre qué áreas exigen presencia física (recuento de existencias significativo, arqueo de caja, observación de procesos productivos en industrias específicas) con la justificación firmada por el socio del encargo. 7. El control que más expediente nos ha ahorrado: nunca cerrar una conclusión significativa sobre la base de una sola fuente de evidencia obtenida remotamente.

Errores frecuentes y zona gris

Los tres fallos que más se repiten cuando el ICAC abre un PT remoto:

- Confiar en capturas de pantalla del cliente sin sesión de conexión directa donde el auditor maneje el cursor. - Confirmaciones bancarias donde el cliente actúa como intermediario en cualquier punto del flujo (eso rompe NIA-ES 505 directamente). - Asumir que la videoconferencia equivale a la observación de NIA-ES 501.4 cuando las existencias son significativas. No equivale.

Y aquí entra la disputa real entre profesionales. El socio A dice: con el coste de los desplazamientos y la presión de honorarios, el remoto-por-defecto con visitas presenciales puntuales en áreas críticas es la única forma de mantener calidad sin destruir el margen del despacho. El socio B responde: en EIP, en clientes con riesgo significativo de fraude, en sectores con inventarios físicos relevantes, el híbrido obligatorio (al menos una visita presencial al cierre, sin excepción) no es opcional, porque el día que el ICAC pregunte, "es que era más barato hacerlo remoto" no figura como respuesta admisible en ninguna NIA-ES. Los dos tienen razón en su parcela. La conclusión práctica: la modalidad debe decidirse en planificación, por escrito, área por área, con criterio de riesgo y no de comodidad.

El insight de fondo, el que la guía oficial sobre auditoría remota suele esquivar, es este: el remoto funciona bien para procedimientos donde la cadena de custodia de la evidencia ya estaba digitalizada (analíticos sobre datos del ERP, confirmaciones electrónicas, recálculos sobre ficheros de trabajo) y falla en procedimientos donde el auditor genera la cadena de custodia con su propia presencia (recuento físico, arqueo, observación in situ del proceso productivo, entrevista con personal de planta). La discusión "remoto sí o no" es secundaria; la discusión real es "¿quién genera la cadena de custodia de esta evidencia, y se puede hacer eso a distancia?". Conteste a esa y la modalidad se decide sola.

Contenido relacionado

- Calculadora de materialidad para auditorías remotas: ajusta los umbrales considerando las limitaciones inherentes de procedimientos no presenciales. - Glosario: Evidencia de auditoría: la definición actualizada considerando fuentes digitales y remotas. - Guía de aplicación NIA-ES 500: aplicación de los criterios de evidencia en entornos tecnológicos.

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.