NIA 265: Comunicación de deficiencias en el control interno
La NIA 265 establece cómo el auditor debe comunicar oportunamente las deficiencias de control interno identificadas durante la auditoría. En este artículo explicamos su alcance, obligaciones, diferencias entre deficiencia y deficiencia significativa, y ejemplos prácticos aplicados a empresas y ONGs en Perú.
¿Qué es la NIA 265 y por qué es importante?
La NIA 265: Comunicación de las deficiencias en el control interno a los responsables del gobierno y a la dirección de la entidad establece la responsabilidad del auditor de comunicar, de manera adecuada y oportuna, las deficiencias de control interno identificadas durante una auditoría de estados financieros.
En la práctica, esta norma tiene una relevancia especial porque muchas empresas y organizaciones en Perú consideran que el auditor “revisa todo” o que necesariamente “aprueba” sus controles. Sin embargo, el objetivo de la auditoría no es diseñar ni garantizar la eficacia total del sistema de control interno, sino obtener evidencia suficiente y adecuada para opinar sobre los estados financieros. Aun así, cuando en ese proceso se detectan deficiencias importantes, la NIA 265 exige comunicarlas.
Para una empresa comercial en Lima, una asociación sin fines de lucro en Cajamarca o una ONG que administra fondos de cooperación internacional, esta comunicación puede ser decisiva para prevenir fraudes, errores materiales, observaciones de donantes o contingencias tributarias ante SUNAT.
Objetivo de la NIA 265
El objetivo del auditor, según la NIA 265, es determinar si, sobre la base del trabajo realizado, ha identificado una o más deficiencias en el control interno y, en caso afirmativo, comunicar adecuadamente a la dirección y, cuando corresponda, a los responsables del gobierno de la entidad aquellas deficiencias que el auditor considere de importancia suficiente.
Esto significa que no toda observación menor debe elevarse al mismo nivel. La norma exige juicio profesional para distinguir entre:
- Deficiencias de control interno, y
- Deficiencias significativas de control interno.
¿Qué se entiende por deficiencia en el control interno?
Existe una deficiencia en el control interno cuando:
- Un control está diseñado de manera inadecuada, o
- Un control correctamente diseñado no opera eficazmente, o
- No existe un control necesario para prevenir, detectar o corregir incorrecciones en los estados financieros oportunamente.
Por ejemplo, si una empresa de servicios en Trujillo realiza cobranzas en efectivo pero no hace arqueos sorpresivos ni conciliaciones diarias, existe una debilidad de control. Del mismo modo, si una ONG en Arequipa recibe fondos restringidos por proyecto y no separa contablemente los gastos por fuente de financiamiento, podría existir una deficiencia relevante para la rendición a cooperantes y para la razonabilidad de sus estados financieros.
¿Qué es una deficiencia significativa?
La NIA 265 señala que una deficiencia significativa es aquella que, a juicio profesional del auditor, tiene la importancia suficiente para merecer la atención de los responsables del gobierno de la entidad.
No se trata únicamente del monto involucrado. También se evalúan factores cualitativos, como:
- La probabilidad de que ocurran incorrecciones materiales.
- La exposición a fraude.
- La naturaleza de las cuentas afectadas.
- El volumen de operaciones expuestas.
- La falta de supervisión por parte de gerencia o directorio.
- La reiteración de la deficiencia en varios periodos.
Por ejemplo, una falta de segregación de funciones en tesorería puede ser significativa, incluso si todavía no se ha detectado un fraude, porque incrementa sustancialmente el riesgo de apropiación indebida de fondos.
Relación de la NIA 265 con otras normas de auditoría
La NIA 265 no opera de manera aislada. Se relaciona estrechamente con otras normas internacionales de auditoría, entre ellas:
NIA 200 y el enfoque general de la auditoría
La NIA 200: Objetivos globales del auditor independiente y realización de la auditoría de conformidad con las Normas Internacionales de Auditoría establece la base del trabajo del auditor y el uso del juicio profesional y escepticismo profesional.
NIA 315 y la identificación de riesgos
La NIA 315: Identificación y valoración de los riesgos de incorrección material mediante el conocimiento de la entidad y de su entorno exige comprender el control interno para identificar y valorar riesgos. En ese proceso suelen detectarse deficiencias.
NIA 330 y las respuestas del auditor
La NIA 330: Respuestas del auditor a los riesgos valorados establece cómo responde el auditor frente a los riesgos identificados, incluyendo cambios en la naturaleza, momento de realización y extensión de procedimientos.
NIA 240 y el riesgo de fraude
La NIA 240: Responsabilidades del auditor en la auditoría de estados financieros con respecto al fraude resulta clave cuando las deficiencias de control interno aumentan el riesgo de fraude, especialmente en caja, bancos, compras, planillas y contrataciones con partes relacionadas.
¿A quién debe comunicarse la deficiencia?
La NIA 265 distingue dos niveles de comunicación:
A la dirección
Las deficiencias identificadas deben comunicarse oportunamente a la dirección, salvo que resulte inadecuado hacerlo por las circunstancias. Esto permite que la administración tome medidas correctivas.
A los responsables del gobierno de la entidad
Las deficiencias significativas deben comunicarse por escrito a los responsables del gobierno de la entidad, como el directorio, consejo directivo, comité de auditoría, patronato o asamblea, según la estructura organizacional.
En el caso peruano, esto puede incluir:
- Directorio de una sociedad anónima.
- Consejo directivo de una asociación civil.
- Junta general o comité de vigilancia, según estatutos.
- Órganos de supervisión de una cooperativa o institución privada con fines sociales.
Forma y oportunidad de la comunicación
La norma enfatiza que la comunicación debe ser oportuna. No tiene sentido informar una debilidad grave varios meses después del cierre si esta pudo corregirse antes.
En cuanto a la forma:
- Las deficiencias significativas deben comunicarse por escrito.
- Otras deficiencias pueden comunicarse verbalmente o por escrito, según el juicio del auditor, aunque es recomendable documentarlas formalmente.
En la práctica profesional en Perú, suele emitirse una carta de control interno o carta de recomendaciones, donde se presenta:
- La condición observada.
- El riesgo asociado.
- La causa probable.
- El efecto potencial.
- La recomendación del auditor.
- El comentario o plan de acción de la gerencia.
Contenido mínimo de la comunicación
Una comunicación útil no debe limitarse a señalar que “existen debilidades”. Debe explicar con claridad:
- La naturaleza de la deficiencia.
- Sus efectos potenciales.
- El contexto en el que fue identificada.
- Que la auditoría no tuvo como objetivo expresar opinión sobre la eficacia del control interno.
- Que solo se comunican las deficiencias identificadas durante la auditoría.
Este último punto es importante para evitar interpretaciones erróneas de la gerencia, accionistas, donantes o terceros.
Tabla comparativa: deficiencia vs. deficiencia significativa
| Criterio | Deficiencia de control interno | Deficiencia significativa |
|---|---|---|
| Nivel de gravedad | Moderado o menor | Alto, requiere atención del gobierno de la entidad |
| Impacto potencial | Puede generar errores o ineficiencias | Puede facilitar incorrecciones materiales o fraude |
| Comunicación a gerencia | Sí | Sí |
| Comunicación a responsables del gobierno | No siempre | Sí, por escrito |
| Ejemplo | Retraso ocasional en conciliaciones bancarias | Ausencia total de conciliaciones bancarias por varios meses |
Ejemplo práctico: empresa comercial peruana
Escenario
Una empresa distribuidora de abarrotes en Chiclayo registra ventas diarias por aproximadamente S/ 85,000. Durante la auditoría se detecta que:
- La misma persona cobra, registra y deposita.
- No existen arqueos sorpresivos de caja.
- Las conciliaciones bancarias se realizan con dos meses de atraso.
- Las notas de crédito no son aprobadas por un nivel superior.
Análisis según la NIA 265
Estas situaciones revelan deficiencias de control interno. En particular, la falta de segregación de funciones y la ausencia de controles sobre notas de crédito pueden considerarse deficiencias significativas, porque abren la puerta a sustracción de efectivo, manipulación de ingresos y ocultamiento de faltantes.
Comunicación recomendada
El auditor debe comunicar por escrito al directorio o a la gerencia general:
- La debilidad identificada.
- El riesgo de fraude o error material.
- La necesidad de separar funciones.
- La implementación de arqueos y revisiones independientes.
Impacto tributario y societario
Si estas deficiencias derivan en registros incompletos de ingresos, podría generarse una contingencia frente a SUNAT. En ese contexto, resulta relevante recordar que el Artículo 62 del Código Tributario, aprobado por Decreto Supremo N.° 133-2013-EF, faculta a la Administración Tributaria a fiscalizar, verificar y exigir la exhibición de libros, registros y documentación sustentatoria. Un control interno débil dificulta sustentar operaciones y puede agravar observaciones tributarias.
Ejemplo práctico: ONG que administra fondos de cooperación
Escenario
Una ONG en Lima ejecuta tres proyectos financiados por cooperantes extranjeros. Durante la auditoría se observa que:
- Los gastos de proyectos se registran en una sola cuenta contable sin segmentación por financiador.
- No existe revisión independiente de las rendiciones.
- Se realizan reembolsos sustentados con declaraciones juradas, aun cuando el convenio exige comprobantes de pago.
- No hay conciliación entre el presupuesto aprobado y la ejecución contable mensual.
Análisis según la NIA 265
Aunque algunas de estas situaciones podrían no generar de inmediato una incorrección material en los estados financieros generales, sí pueden constituir deficiencias significativas por su impacto en:
- La trazabilidad del gasto.
- El cumplimiento de convenios.
- La rendición a donantes.
- La recuperación o devolución de fondos no elegibles.
Recomendación del auditor
El auditor debería recomendar:
- Contabilidad analítica por proyecto y fuente.
- Aprobaciones formales de rendiciones.
- Políticas documentadas de elegibilidad del gasto.
- Conciliaciones mensuales entre presupuesto, ejecución y reporte al cooperante.
En asociaciones y fundaciones, además, una gestión ordenada del control interno fortalece la responsabilidad de los administradores. Desde el punto de vista legal, el Artículo 81 del Código Civil peruano dispone que los administradores de la asociación deben cumplir el estatuto y los acuerdos de la asamblea, lo que en la práctica exige mecanismos razonables de control y supervisión sobre el uso de recursos institucionales.
Documentación del auditor
La comunicación de deficiencias no solo debe enviarse; también debe quedar adecuadamente documentada en los papeles de trabajo. El auditor debe conservar evidencia de:
- La deficiencia identificada.
- La evaluación de su importancia.
- Las personas a quienes fue comunicada.
- La fecha y forma de la comunicación.
Esto es coherente con la NIA 230: Documentación de auditoría, que exige preparar documentación suficiente para permitir que un auditor experimentado comprenda el trabajo realizado, los resultados y los juicios significativos aplicados.
Errores frecuentes al aplicar la NIA 265
| Error frecuente | Consecuencia | Buena práctica |
|---|---|---|
| No diferenciar entre observaciones menores y significativas | Se satura a la gerencia con temas irrelevantes o se minimizan riesgos serios | Aplicar juicio profesional y priorizar según riesgo |
| Comunicar tarde las debilidades | La entidad no corrige a tiempo | Emitir comunicaciones preliminares cuando el riesgo lo amerite |
| Redactar observaciones genéricas | La gerencia no entiende el problema ni cómo corregirlo | Describir condición, causa, efecto y recomendación |
| Asumir que la auditoría cubre todo el control interno | Expectativas incorrectas de usuarios | Aclarar el alcance de la auditoría en la carta |
| No hacer seguimiento a reincidencias | Persisten fallas estructurales | Comparar con periodos anteriores e informar reincidencias |
Recomendaciones para empresas y organizaciones en Perú
1. Segregar funciones críticas
Nadie debería controlar por sí solo una operación completa de cobro, registro, custodia y conciliación.
2. Formalizar políticas y procedimientos
Muchas entidades pequeñas operan “por costumbre”. Sin embargo, la ausencia de manuales incrementa errores y dependencia de personas clave.
3. Revisar mensualmente conciliaciones y reportes
Conciliaciones bancarias, cuentas por cobrar, cuentas por pagar y ejecución presupuestal deben revisarse en forma periódica.
4. Fortalecer controles documentarios
En Perú, la sustentación adecuada de operaciones es clave tanto para auditoría financiera como para fiscalización tributaria y rendición a terceros.
5. Atender oportunamente la carta de control interno
La carta del auditor no debe archivarse sin acción. Debe convertirse en un plan de mejora con responsables y fechas.
¿La NIA 265 implica que el auditor diseña controles?
No. La responsabilidad por el diseño, implementación y mantenimiento del control interno corresponde a la administración y, según la estructura de la entidad, a los responsables del gobierno corporativo.
El auditor evalúa controles en la medida necesaria para planificar y ejecutar la auditoría. Si identifica fallas relevantes, las comunica. Pero no reemplaza a la gerencia, al contador, al jefe de administración ni al directorio.
Conclusión
La NIA 265: Comunicación de las deficiencias en el control interno a los responsables del gobierno y a la dirección de la entidad cumple una función esencial dentro de la auditoría financiera: transformar hallazgos técnicos en información útil para la toma de decisiones y la mejora institucional.
Para las empresas, asociaciones y ONGs en Perú, una comunicación adecuada de deficiencias de control interno no solo ayuda a reducir errores y prevenir fraudes, sino también a fortalecer la sostenibilidad financiera, el cumplimiento tributario y la confianza de accionistas, donantes y órganos de supervisión.
Si su organización necesita evaluar sus controles internos, atender observaciones de auditoría o fortalecer su proceso de rendición financiera, en Carlos Lingan & Asociados S.C. podemos ayudarle. Para consultas, escríbanos a auditor@carloslingan.pe.
