Definition
El ICAC ha señalado en varios expedientes recientes que los papeles de trabajo (PT) sobre el riesgo de fraude del ejercicio son idénticos a los del año anterior con un cambio de fecha, y nada más. Misma sesión de brainstorming. Misma matriz. Mismos cinco escenarios genéricos. Y, debajo, los mismos procedimientos sustantivos copiados sin tocar.
El problema antes de la tabla
La mayoría de los equipos lee la revisión de NIA-ES 240 como una reordenación del documento. El brainstorming sigue siendo brainstorming, la matriz sigue siendo matriz, y los escenarios de fraude del ejercicio anterior se copian con un cambio de fecha. Pero la revisión no afecta al formulario; afecta a cómo la evaluación del riesgo debe modificar los procedimientos posteriores, y no hacerlo es lo que el ICAC señala en las inspecciones publicadas en 2024 y 2025. Tratar la sesión de brainstorming como un trámite fue, en buena medida, lo que dejó al descubierto los expedientes Grifols/KPMG y Gowex.
Aspectos centrales
- La Revisada exige una evaluación inicial del riesgo de fraude más estructurada, con preguntas específicas a la dirección sobre cambios en el perfil de riesgo desde el período anterior. - La versión vigente permite una aproximación más flexible. La Revisada introduce procedimientos obligatorios de evaluación periódica durante la ejecución del encargo. - Ambas versiones requieren comunicación de fraude a los órganos de gobierno, pero la Revisada fija plazos y marcos de comunicación más explícitos. - En encargos pequeños y medianos, la mayoría de los cambios no altera centralmente cómo se audita el fraude, pero sí obliga a una documentación más estructurada.
Comparación lado a lado
| Dimensión | NIA-ES 240 (vigente) | NIA-ES 240 Revisada |
|---|---|---|
| Evaluación de riesgo inicial | Procedimiento general de evaluación de fraude | Cuestionario estructurado obligatorio sobre cambios en perfil de riesgo, presencia de presiones, oportunidades e incentivos |
| Evaluación periódica | No requerida explícitamente; queda a criterio del auditor | Requerida al menos trimestralmente o ante cambios en circunstancias |
| Comunicación de hallazgos | A los órganos de gobierno cuando exista evidencia de fraude | Comunicación obligatoria, con plazo máximo de 10 días hábiles desde la detección inicial |
| Documentación del procedimiento de fraude | Referencia general a ISA 240 | Requisitos específicos de documentación incluidos en los procedimientos obligatorios |
| Evaluación de presiones/incentivos | Consideración general | Análisis explícito requerido en la evaluación de riesgo inicial y periódica |
| Alcance de procedimientos analíticos | Discrecional; enfoque del auditor | Procedimientos analíticos comparativos obligatorios para ciertas áreas (ingresos, gastos significativos) |
Dónde vive el juicio profesional
Dónde vive el juicio profesional: en decidir si la presunción de anulación de controles por parte de la dirección (NIA-ES 240.32) se evalúa como riesgo significativo independiente o como componente de una evaluación integrada con NIA-ES 315. La Revisada es más estricta en la documentación, pero la interpretación sigue siendo responsabilidad del socio firmante del informe. La norma describe el "qué" con más detalle; el "cómo" y el "cuánto" siguen siendo decisiones del encargo.
Dos socios, dos lecturas
Un socio con experiencia considera que la revisión de NIA-ES 240 es una clarificación de requisitos existentes: mismas pruebas, más documentación, papeles más ordenados. Otro socio discrepa. Para él, el cambio real está en cómo la evaluación del riesgo debe dirigir la selección de procedimientos en fases posteriores del encargo, y quien no revisa todo el programa de auditoría desde esa óptica recibe observaciones de inspección. Por lo que he visto en los expedientes del ICAC publicados en 2024 y 2025, la segunda postura es la que ha prevalecido.
Por qué los papeles de fraude están flojos
La presión estructural que sostiene la reutilización del documento del año anterior es sencilla. La sesión de brainstorming de fraude se celebra al inicio del encargo, cuando el presupuesto aún no está comprometido pero las horas ya cuentan. Un brainstorming serio de dos horas con tres miembros del equipo son seis horas facturables que el cliente no va a pagar. El socio necesita el cliente, el cliente necesita el informe antes del cierre, y los papeles de trabajo se rellenan con lo mínimo para que la matriz exista. Marcar la casilla es el equilibrio de fuerzas, hasta que llega el ICAC.
Y nadie disfruta la sesión de fraude. Está usted buscando algo que tiene miedo de encontrar, en un cliente que conoce desde hace siete años, con un Director Financiero al que va a ver mañana. Por eso los papeles de fraude son los primeros que se copian del año anterior, y todos lo saben.
Cuándo importa la distinción en un encargo
La diferencia más visible aparece en encargos donde ocurren cambios notables en la estructura de gobierno, la propiedad o los incentivos de la dirección. Tome el caso de una pequeña empresa manufacturera que cambia de gerencia. Bajo la NIA-ES 240 vigente, el auditor podría documentar que consideró el fraude y continuó. Bajo la Revisada, el auditor debe aplicar el cuestionario estructurado sobre cambios de riesgo, documentar las respuestas de la dirección, evaluar cómo esos cambios afectan el perfil de riesgo de fraude, y seguir reevaluando durante el encargo. Si se descubre fraude, la comunicación tiene que ocurrir dentro del marco explícito de 10 días hábiles, no en el informe final.
Para auditorías de entidades cotizadas o de gran complejidad, la Revisada introduce un nivel de exigencia muy distinto. Para auditorías de pequeñas entidades sin cambios en gobierno, el impacto es principalmente en la estructura de documentación: el procedimiento que ya hacía debe ahora reflejarse en un formulario o cuestionario específico.
Ejemplo práctico: Industrias Textiles Valdés S.L.
Cliente: empresa familiar de manufactura textil, ingresos 18,3 millones de euros, cambio de gerencia en medio del período auditado (enero 2025).
Bajo NIA-ES 240 (vigente, auditoría FY2024):
Paso 1: El auditor identifica que existe riesgo de fraude relacionado con ingresos (la industria textil tiene la manipulación de facturación como riesgo documentado). Documenta este riesgo en el memorándum de planificación.
Nota de documentación: PT-301, Memorándum de planificación, párrafo "Evaluación de fraude": "Riesgo de fraude en ingresos identificado conforme a NIA-ES 240.32. No hay evidencia de presión anormal sobre la dirección. Procedimiento: pruebas de recepción de bienes y evidencia de envío; reconciliación de clientes principal."
Paso 2: Durante la auditoría, el auditor ejecuta procedimientos analíticos (comparación de márgenes mensuales) y pruebas de detalle. No encuentra excepciones.
Nota de documentación: PT-540, Procedimientos de ingresos: "Márgenes mensuales varían 2,3% a 2,8%; consistente con años anteriores. No se identificaron anomalías."
Conclusión: El auditor concluye en el informe que no hay evidencia de fraude y firma con opinión sin salvedades.
Bajo NIA-ES 240 Revisada (auditoría FY2025 con cambio de gerencia en enero 2025):
Paso 1: El auditor administra el cuestionario estructurado de NIA-ES 240 Revisada.14 a la dirección anterior y a la nueva. Las preguntas cubren: ¿Ha habido cambios en la estructura de incentivos? ¿Nuevas presiones financieras? ¿Cambios en sistemas de control?
Nota de documentación: PT-301, Cuestionario de Evaluación de Fraude NIA-ES 240 R: "Administrado a Director General saliente (marzo 2025) y nuevo Director General (marzo 2025). Cambio de responsabilidades de tesorería (enero 2025) identificado. Presión de crecimiento para alcanzar objetivos de ingresos comentada por nuevo DG. Respuesta: 'Necesitamos crecer un 15% este año.' Evaluación: Riesgo elevado en ingresos."
Paso 2: El auditor diseña procedimientos analíticos específicos para el período post-cambio de gerencia (enero-diciembre 2025). Además de márgenes, compara número de transacciones de ingresos, días de cobro y tendencias de clientes nuevos frente a clientes existentes.
Nota de documentación: PT-540, Procedimientos analíticos requeridos NIA-ES 240 R.A45: "Comparativa enero-diciembre 2025 (post-cambio gerencia) con enero-diciembre 2024: ingresos +14,8%, margen 2,4% (versus 2,6% en 2024), días de cobro +3 días (38 días en 2025 vs 35 días en 2024). Cinco clientes nuevos representan 12% de ingresos totales. Procedimiento: pruebas de existencia y cobranza en estos cinco clientes principal."
Paso 3: El auditor realiza pruebas de cobranza y encuentra que uno de los cinco clientes nuevos no existe. Notificación de hallazgo.
Nota de documentación: PT-540-A1: "Cliente 'Textiles Europa S.r.l.' facturado 1.850.000 euros. Dirección registral inexistente (calle ficticia). Contacto telefónico no responde. Conclusión: venta fraudulenta. Comunicación requerida bajo NIA-ES 240 R.C3 dentro de 10 días hábiles."
Paso 4: Comunicación a los órganos de gobierno (consejero independiente, en este caso) dentro de 10 días hábiles desde la detección (NIA-ES 240 Revisada párrafo C3).
Nota de documentación: PT-301-FRAUDE, Comunicación a órganos de gobierno: "Correo al Consejero Independiente, 15 de abril de 2025 (5 días hábiles desde detección el 10 de abril). Fraude identificado: venta no existente por 1.850.000 euros, autorizada por nuevo Director General. Recomendación: investigación interna; revisión de políticas de aprobación de clientes nuevos."
Conclusión: El auditor informa que se identificó fraude en la determinación de las cuentas anuales y que la entidad debe corregir la facturación ficticia. El informe incluye párrafo sobre hallazgos de fraude comunicados a órganos de gobierno (NIA-ES 700.50 aplicable).
Diferencia principal: La versión vigente habría permitido documentar que se consideró el fraude y seguir adelante. La Revisada exige que el cambio de gerencia dispare evaluaciones estructuradas, que esas evaluaciones generen procedimientos específicos (los procedimientos analíticos son obligatorios, no opcionales), y que cualquier hallazgo se comunique dentro de un marco temporal definido.
Qué confunden los revisores y auditores
- Error Tier 1: El ICAC ha identificado en sus programas de inspección que algunos equipos auditores aún no han incorporado los cambios de la NIA-ES 240 Revisada en sus programas, aunque la versión Revisada entra en vigor en diciembre de 2026. Equipos que auditan períodos que comienzan después de esa fecha deben ya estar usando la Revisada, no la versión vigente.
- Error Tier 2: Muchas firmas leen "evaluación periódica de riesgo de fraude" como "hacer lo que ya hacíamos, pero llamarlo periódico". La NIA-ES 240 Revisada párrafo A45 exige procedimientos analíticos específicos sobre ingresos y gastos significativos. No es discrecional. No es "si el auditor lo considera necesario." Es obligatorio. Omitir estos procedimientos analíticos es una infracción de la Revisada.
- Error Tier 3: La comunicación a órganos de gobierno dentro de 10 días hábiles se interpreta a menudo como "comunicar en el informe final de auditoría." La NIA-ES 240 Revisada párrafo C3 exige comunicación durante el encargo, no al final. Eso significa correo, carta o reunión con el consejero u órgano de gobierno dentro de 10 días hábiles desde la detección inicial. Reflejarlo en el informe es un paso adicional, no un sustituto.
Términos relacionados
- NIA-ES 315 (Identificación y evaluación de riesgos de error material) – trabajo previo que identifica dónde podría ocurrir fraude - NIA-ES 330 (Procedimientos del auditor en respuesta a riesgos evaluados) – diseño y aplicación de procedimientos basados en la evaluación de fraude - NIA-ES 700 (Formar una opinión y reportar sobre estados financieros) – cómo comunicar hallazgos de fraude en el informe final - NIA-ES 260 (Comunicación con órganos de gobierno) – marco de comunicación de asuntos significativos - ISA 240 (International Standard on Auditing 240) – versión internacional base de la que NIA-ES 240 Revisada se deriva
---