El equipo de la firma completó la sección de evaluación de riesgo de fraude del expediente en la última semana antes del cierre del encargo. El cuestionario estándar se respondió, las indagaciones a la gerencia quedaron documentadas con respuestas genéricas, y la conclusión final fue que el riesgo de fraude en los estados financieros del cliente era bajo. Tres meses después, una investigación interna del cliente reveló sobreestimación deliberada de inventarios durante varios períodos. La pregunta inmediata fue: ¿cómo lo evaluó el auditor durante el encargo?
Este escenario, con variantes, se repite con más frecuencia de lo que el mercado de auditoría financiera quisiera admitir. La NIA 240 es la norma con mayor exposición ante una falla de auditoría detectada después del cierre, y al mismo tiempo es una de las áreas donde la documentación del expediente queda más débil cuando se revisa con detenimiento.
Lo que la NIA 240 exige y lo que la práctica acomoda
La Norma Internacional de Auditoría 240 establece que el auditor debe identificar y evaluar los riesgos de representación errónea material por fraude, considerar la presunción de riesgo de fraude en el reconocimiento de ingresos, mantener escepticismo profesional durante todo el encargo y diseñar respuestas específicas a los riesgos identificados. No es una sección que se complete con un cuestionario al cierre. Es una lente que debe atravesar toda la planeación, ejecución y revisión del encargo.
En la práctica, muchos expedientes muestran un patrón distinto. La evaluación de riesgo de fraude se realiza al inicio del encargo como parte del paquete de planeación, se documenta con respuestas obtenidas en una reunión inicial con la gerencia, y se considera completa cuando el cuestionario está firmado. Durante la ejecución del trabajo de campo, los procedimientos no siempre reflejan los riesgos de fraude identificados, y al cierre la sección se cierra con una conclusión que rara vez se conecta con la evidencia obtenida durante todo el encargo.
La consecuencia es un expediente que cumple formalmente con la sección obligatoria de la norma pero que no demuestra que el riesgo de fraude haya sido considerado de forma activa durante todo el trabajo de auditoría financiera. Ante una revisión de calidad o una inspección regulatoria, esa debilidad estructural es difícil de defender.
La presunción de riesgo en el reconocimiento de ingresos
La NIA 240 establece una presunción explícita: existe un riesgo de fraude en el reconocimiento de ingresos en todo encargo de auditoría financiera. El auditor que concluye que esta presunción no aplica en su caso particular debe documentar las razones específicas que sustentan esa conclusión. No es suficiente afirmar que el cliente tiene un sistema de control interno robusto o que históricamente no ha presentado problemas.
Esta es probablemente la disposición más subestimada de la norma. Muchos expedientes documentan que la presunción no aplica con argumentos genéricos, sin construir un razonamiento técnico específico al perfil de riesgo del cliente. Cuando el revisor de calidad evalúa esa documentación, la conclusión queda como una afirmación sin sustento.
La forma correcta de cerrar la presunción cuando el auditor concluye que efectivamente no aplica requiere documentar el análisis de los esquemas posibles de fraude en reconocimiento de ingresos para el cliente específico, los controles que el cliente tiene implementados para mitigar esos esquemas, los procedimientos sustantivos diseñados para detectar manifestaciones de esos esquemas y la conclusión técnica fundamentada que sostiene la posición del auditor.
Escepticismo profesional documentado, no asumido
La NIA 240 exige que el auditor mantenga escepticismo profesional durante todo el encargo. La norma reconoce que la complacencia con el cliente es una amenaza estructural a la calidad de la auditoría financiera, especialmente cuando la relación comercial es prolongada y la confianza con la gerencia es alta. Pero el escepticismo profesional no es un estado mental que se afirme. Es una práctica que debe quedar reflejada en la documentación.
Esto se traduce en evidencia específica en el expediente: indagaciones que profundizan más allá de la respuesta inicial de la gerencia, corroboración independiente de explicaciones recibidas, comparación de información obtenida de distintas fuentes para identificar inconsistencias, y documentación de juicios profesionales del auditor que muestran consideración activa de escenarios alternativos.
Un expediente que solo refleja respuestas obtenidas y aceptadas no demuestra escepticismo profesional. Demuestra recolección de información. La diferencia es relevante cuando el revisor evalúa si el auditor cumplió con el estándar de la norma o se limitó a documentar lo que el cliente le entregó.
La plataforma como soporte de la diligencia profesional
AuditBrain External integra la evaluación de riesgo de fraude dentro del expediente del encargo de forma que la documentación se construye durante todo el trabajo, no solo al cierre. Las indagaciones realizadas, las respuestas obtenidas, los procedimientos diseñados como respuesta a los riesgos identificados y las conclusiones del auditor quedan vinculados con trazabilidad completa, accesibles para la supervisión del Socio en cualquier momento del encargo.
Para las firmas de auditoría que quieren fortalecer su exposición frente a la NIA 240, la inversión no está en plantillas adicionales ni en cuestionarios más extensos. Está en un sistema que estructura la documentación del riesgo de fraude como un proceso vivo durante todo el encargo, no como una sección que se llena al cierre. La calidad de esa documentación es lo que defiende a la firma cuando, meses o años después, alguien revisa el expediente buscando respuestas.
