Definition
Vaya por delante que, en los últimos informes de control de calidad publicados por el ICAC, una de las observaciones que más se repite en pequeñas y medianas firmas es la misma: papeles de trabajo de NIA-ES 240 párrafo 34 donde la prueba de asientos consta como ejecutada, pero la población se redujo en silencio a la nómina y a las ventas automatizadas. Los asientos manuales del director financiero. Sin probar. Y cuando al socio responsable le han abierto expediente, la defensa habitual ("el riesgo se valoró bajo") no aparece por ningún lado en el archivo. Los papeles están flojos.
Cómo funciona
Hay una tesis que conviene poner sobre la mesa antes de la mecánica: la NIA-ES 240 (en adelante, NIA 240) párrafo 34 no exige probar muchos asientos. Exige probar los asientos correctos. Esa diferencia es la que separa un papel de trabajo defendible de uno que se cae al primer requerimiento del ICAC.
En la práctica, eso significa que la decisión técnica más importante ocurre antes de seleccionar nada: definir la población. Los asientos de cierre (reversiones, reclasificaciones de fin de período, ajustes de provisiones) y los ingresados por usuarios con acceso privilegiado (directores, contadores principales) llevan un riesgo inherentemente superior al de los ciclos automatizados. Si esa población queda mal delimitada, todo lo que viene después es un trámite.
La NIA-ES 330 (NIA 330) párrafo 22 admite tanto probar todos los asientos dentro de una población de alto riesgo como aplicar muestreo. Lo que no admite es la justificación genérica. Por lo que conozco, "el resto de asientos son rutinarios" es la frase que con más frecuencia aparece subrayada en rojo en una inspección de calidad; es una conclusión, no un razonamiento.
Para cada asiento seleccionado, el auditor genera evidencia que responda a cuatro preguntas: si existió una transacción económica subyacente legítima, si el asiento fue autorizado de forma apropiada, si está soportado por documentación contemporánea, y si la lógica del importe se reconstruye sin recurrir a explicaciones posteriores al ingreso. La cuarta pregunta es la que más cuesta. Es también la que separa la prueba seria del cumplimiento ornamental.
La evaluación no es binaria. Un asiento sin documentación completa no equivale automáticamente a fraude; puede indicar deficiencias en los controles sobre procesamiento de asientos. La ausencia de soportes, combinada con el hecho de que el asiento corrija o invierta un resultado previamente reportado, eleva el riesgo evaluado. Eso es una indicación, no una sentencia.
Pues hay un segundo punto que la norma no dice de forma explícita y que merece pararse a pensar: la propia definición de la población es el agujero. Si el equipo de auditoría acepta sin discusión la categorización de "rutinario" que aporta el cliente, el fraude se esconde precisamente en lo que ambos coinciden en mirar por encima.
Ejemplo práctico: Transportes Ibéricos S.L.
Cliente: Empresa de logística con sede en Valencia, ingresos €18,4 millones, NIIF 16 reportante, año fiscal 2024.
Contexto: Durante la evaluación de riesgos de fraude, se identificó que los asientos de ajuste de provisiones por obsolescencia de flota se registraban mediante asientos manuales autorizados únicamente por el director general, sin validación adicional de un contador senior independiente. Una complicación añadida (que cambió la lectura del encargo): el contador senior cuya firma debía validar los ajustes de provisión es la cónyuge del director general. La estructura formal de doble firma existe en el organigrama; en la práctica, no aporta segregación funcional alguna.
Paso 1 Se identificaron 47 asientos manuales durante el período de auditoría. De estos, 12 relacionados con provisiones, revaluaciones de flota y eliminación de activos quedaron clasificados como población de mayor riesgo. Nota de documentación: El criterio de selección quedó en el papel de trabajo PT-240.02 incluyendo nombre de usuario, monto del asiento y tipo de transacción. Se documentó por separado la circunstancia familiar entre los dos firmantes y su efecto sobre la valoración del entorno de control.
Paso 2 Se verificó que los 12 asientos contaban con aprobación en el sistema de información (log de autorización). Se confirmó que el director general era la única persona con autorización efectiva sobre estos asientos, dado que la segunda firma de la cónyuge no constituye control independiente a efectos del párrafo 34. Nota de documentación: Se obtuvo del sistema un reporte que listaba la hora de ingreso del asiento, el usuario que lo ingresó y la marca de tiempo de aprobación. Archivado en PT-240.03.
Paso 3 Para cada asiento se requirió documentación de soporte: memorándum interno justificativo, cálculo de la obsolescencia o revaluación, y, cuando procedía, comunicación con terceros (inspectores de flota, tasadores, proveedores).
Para 11 de los 12 asientos la documentación estaba completa y la lógica económica era clara. El asiento 2024-08-0847 (reversión de provisión por €340 mil) presentó dos circunstancias que conviene anotar tal cual aparecieron: el memorándum justificaba la reversión pero no contenía el cálculo detallado, y la operación se registró tres días antes del cierre del ejercicio mientras que el cálculo de respaldo llegó al equipo seis semanas después, ya entrada la fase de revisión. Nota de documentación: Se solicitó el cálculo de respaldo al contador. Respuesta archivada en PT-240.04. La explicación proporcionada fue consistente con los estados financieros, pero la secuencia temporal (asiento primero, cálculo después) quedó documentada como factor adicional de juicio.
Paso 4 Se contrastó cada asiento con la realidad económica subyacente. La reversión de provisión (asiento 0847) correspondía a una flota de 14 vehículos que pasó revisión técnica satisfactoriamente, justificando la liberación de la provisión previa. El monto se alineaba con la valuación estándar de la empresa. El equipo tuvo que decidir si la combinación de vínculo familiar entre firmantes, ausencia de cálculo contemporáneo y proximidad al cierre justificaba elevar el asunto al socio EQR como posible indicio de fraude o tratarlo como deficiencia de control.
Conclusión: Tras debatirlo, se concluyó que los 12 asientos eran apropiados y tenían sustancia económica válida. La deficiencia documental del asiento 0847 (cálculo posterior y no contemporáneo) se reportó como debilidad de control interno; la ausencia de segregación de funciones efectiva entre los dos firmantes se reportó por separado a los responsables del gobierno de la entidad. Se documentó que no había indicios de fraude consumado, pero el papel de trabajo dejó constancia explícita de los dos factores de juicio. En mi caso, esa documentación dual (deficiencia técnica más entorno de control comprometido) es la que evita que la prueba se lea, en una inspección posterior, como un trámite.
Qué confunden los revisores y auditores
- Error común de Tier 1: El ICAC ha señalado en sus resultados de inspección que los auditores aceptan asientos sin documentación contemporánea basándose únicamente en la "bondad del usuario" que los ingresa. La NIA 240 párrafo 34 no permite esa presunción. La posición del usuario (director, contador senior) no reduce la carga de prueba sobre la documentación del asiento. Lo que realmente ocurre es que el equipo de campo, presionado por plazos, marca la casilla de "asiento aprobado por persona competente" y pasa al siguiente; el revisor de archivo, semanas después, no encuentra ni un soporte económico ni una valoración de competencia documentada.
- Error común de Tier 2: Muchos auditores aplican la prueba solo a los ciclos de cierre y olvidan los asientos manuales del período en ciclos operacionales normales. La vulnerabilidad a fraude no es exclusiva del cierre; un asiento manual ingresado el 15 de febrero sin supervisión implica el mismo riesgo que uno de diciembre. Vaya por delante que esa creencia ("febrero es seguro, diciembre no") no aparece en ninguna parte de la NIA 240. Es folclore profesional.
- Brecha documentada de Tier 3: Es habitual encontrar en papeles de trabajo que se haya seleccionado una muestra de asientos, pero la justificación de por qué los asientos NO seleccionados se consideran de bajo riesgo está ausente o es genérica ("los otros asientos son rutinarios"). La NIA 330 párrafo 22 exige que la estrategia de muestreo esté documentada; la decisión de no probar no es una no-decisión. Cuando un inspector llega al archivo, lo primero que mira es lo que el equipo dejó fuera y por qué. Si ahí faltan razones, los papeles están flojos por más completo que se vea el resto.
Asientos contables rutinarios vs. asientos de fraude potencial
| Aspecto | Asientos rutinarios | Asientos de fraude potencial |
|---|---|---|
| Origen | Sistema automatizado (nómina, ventas) | Ingreso manual por usuario |
| Autorización | Aprobación de workflow o control compensatorio | Aprobación única de usuario privilegiado sin validación adicional |
| Documentación | Vinculada automáticamente al documento fuente (factura, hoja de horas) | Ausente, posterior, o genérica |
| Naturaleza | Transacciones recurrentes del mismo tipo | Asientos excepcionales, reversiones, reclasificaciones, ajustes de período |
| Frecuencia de excepción | Bajo porcentaje de excepciones esperadas | Mayor proporción de excepciones justificadas de forma débil |
Cuándo la distinción importa en un encargo
Durante la evaluación de riesgos preliminares, el auditor desarrolla una estrategia de respuesta al riesgo de fraude. Si la empresa cuenta con un sistema que procesa de forma automática un alto volumen de asientos rutinarios (nómina de 1.200 empleados, ventas de e-commerce), la prueba de asientos puede diseñarse para excluir esos ciclos documentados, enfocando el esfuerzo en asientos manuales.
Si durante la revisión de controles internos se identifica que el entorno de TI permite a los usuarios privilegiados (el director de finanzas, el propietario) ingresar asientos directamente sin validación de una segunda persona, la población de asientos de alto riesgo se expande. Y aquí surge una discusión legítima dentro del propio equipo. El Socio A diría que basta con reforzar la prueba sobre los asientos manuales del director financiero porque la responsabilidad última de fraude por dirección está concentrada ahí; el Socio B diría que conviene examinar una muestra de asientos del contador senior porque la posibilidad de colusión interna está documentada en la propia NIA 240 y el riesgo no se neutraliza con concentrar la prueba en un único usuario. Ambas posiciones son defendibles. La que no es defendible es no haber tenido la conversación.
Hay que decirlo con el registro que merece. Resulta francamente irritante ver papeles de trabajo donde un asiento manual de seis cifras firmado por un usuario privilegiado se despacha con un "aprobación verificada en el sistema". Eso no es una prueba; eso es marcar la casilla. Y cuando dos años después el ICAC pide explicaciones, la firma se encuentra defendiendo una conclusión que nadie razonó en su momento.
Un equipo de auditoría que confunde estas poblaciones corre el riesgo de concluir que "el 87% de los asientos han sido testeados" cuando en realidad ha probado solo los asientos automatizados de bajo riesgo y ha dejado sin prueba la población vulnerable. La NIA 240 exige que el procedimiento de prueba de asientos se dirija de forma específica a identificar manipulación, no solo a verificar que los asientos fueron registrados.
Lo que captan los revisores y la profesión
- Hallazgo de inspección documentado (Tier 1): Las autoridades regulatorias de la Unión Europea, incluyendo los datos publicados por el ICAC en España, han señalado que la prueba de asientos para detectar fraude es subestimada con frecuencia en pequeñas y medianas auditorías. Los auditores tienden a asumir que el riesgo de fraude es bajo en empresas de propiedad familiar sin estructuras complejas, omitiendo la prueba por completo. Esa conclusión requiere documentación explícita de la evaluación de riesgos, no omisión de procedimiento. Desde mi punto de vista, el patrón se repite porque la firma percibe el incentivo económico al revés: dedicar dos horas a documentar por escrito por qué no se prueba parece coste; dedicar las mismas dos horas a una prueba ligera parece valor. En una inspección, la primera defiende y la segunda no.
- Error práctico referenciado en norma (Tier 2): La NIA 240 párrafo 34 requiere que si el auditor determina que el riesgo de fraude es bajo en un área específica, esa evaluación conste por escrito. Encontrar papeles de trabajo sin constancia de tal evaluación es deficiencia recurrente. Si se aplica la prueba pero se seleccionaron únicamente asientos de bajo riesgo aparente (por ejemplo, solo asientos de nómina) sin estrategia defensible para excluir los asientos de cierre, se está ante un error de procedimiento.
- Brecha de práctica (Tier 3): Existe una brecha entre lo que prescriben las normas de control interno y lo que los auditores documentan en papeles de trabajo. Un auditor puede haber conversado con el director financiero sobre la autorización de asientos; si esa conversación no consta en el papel de trabajo junto con la confirmación de quién autoriza qué tipos de asientos, falta chicha en el archivo y la prueba posterior se hace difícil de defender.
Términos relacionados
- Evaluación de riesgos de fraude: El proceso anterior mediante el cual el auditor identifica áreas donde el fraude es plausible, determinando entonces dónde aplicar pruebas de asientos contables. - Controles sobre procesamiento de transacciones: Los controles que previenen o detectan asientos no autorizados o incorrectos, evaluados como contexto para la prueba de asientos. - Procedimientos analíticos: Un procedimiento complementario que puede revelar asientos inusuales antes de la prueba de detalle. - Materialidad en auditoría: El umbral que determina si un asiento fraudulento identificado requeriría ajuste o comunicación. - Muestreo de auditoría: La metodología para seleccionar los asientos a probar cuando no se examinan todos. - Ambiente de control: El contexto organizacional que afecta a la probabilidad de fraude y, por lo tanto, a la extensión de la prueba de asientos.
Herramienta relacionada
Ciferi ofrece el Kit de evaluación del riesgo de fraude NIA-ES 240 que incluye plantillas para documentar la evaluación preliminar de riesgos de fraude, identificar asientos de alto riesgo y diseñar procedimientos de prueba de asientos de forma defensible.
---