Normas · Fraude · Auditoría externa

La NIA 240 revisada ya está aquí: el "no era mi responsabilidad detectar fraude" se acabó

El IAASB reescribió la norma de fraude más comentada de la profesión. Esto es lo que cambia, lo que te van a exigir y cómo prepararte desde ya — seas socio de firma, auditor externo o auditor interno.

BLOG Auditool · Para auditores externos e internos · Tiempo de lectura: 8 minutos
Durante décadas, el auditor se refugió en una frase: "la auditoría no está diseñada para detectar fraude". La NIA 240 revisada acaba de mover esa línea. Y conviene saber exactamente hacia dónde.

Cada vez que estalla un escándalo corporativo, la sociedad hace la misma pregunta: "¿y dónde estaban los auditores?". Y la profesión responde, desde hace décadas, con el mismo argumento técnico: la responsabilidad primaria de prevenir y detectar el fraude es de la administración y de los responsables del gobierno de la entidad; el auditor solo obtiene seguridad razonable sobre los estados financieros. Técnicamente correcto. Socialmente insuficiente. A esa distancia entre lo que la norma exige y lo que el público espera se le llama brecha de expectativas, y es la herida más antigua de la profesión.

El IAASB decidió dejar de administrar la herida y operarla: en 2025 publicó la NIA 240 (Revisada), "Responsabilidades del auditor en la auditoría de estados financieros con respecto al fraude", el resultado de uno de los proyectos más debatidos de su agenda. No convierte al auditor en detective, pero sí le sube la vara — y de forma exigible.

1La ficha técnica, en 30 segundos

Qué es
La revisión integral de la norma que regula las responsabilidades del auditor frente al fraude en la auditoría de estados financieros.
Quién y cuándo
Emitida por el IAASB, que la publicó en 2025 tras años de consulta pública marcada por el debate sobre la brecha de expectativas.
Desde cuándo aplica
Auditorías de estados financieros de periodos que comiencen el 15 de diciembre de 2026 o después. Traducción: los cierres 2027 ya van con la norma nueva, y la planeación empieza ahora.
La idea en una frase
El auditor sigue sin ser garante contra el fraude, pero su trabajo frente al riesgo de fraude será más profundo, más documentado y — por primera vez — más visible públicamente.

2Los 5 cambios que te van a exigir (y qué hacer con cada uno)

Cambio 1 · Responsabilidades clarificadas: se acabó la zona gris
Qué cambia
La norma delimita con precisión qué le corresponde al auditor frente al fraude y qué no, cerrando el espacio para interpretaciones cómodas. El "eso no me tocaba" deja de ser defendible cuando la norma dice expresamente que sí te tocaba.
Qué hacer ahora
Revisa tus cartas de encargo, metodología y plantillas de planeación: donde digan (o insinúen) que el fraude "está fuera del alcance", van a quedar en contradicción con la norma. Alinea el lenguaje antes de que lo haga un regulador.
Cambio 2 · Escepticismo profesional exigible, no decorativo
Qué cambia
El escepticismo deja de ser un principio que se cita en la introducción para convertirse en conducta demostrable a lo largo de todo el encargo: cuestionar la evidencia contradictoria, no dar por buena la explicación de la gerencia sin corroborarla, mantener la mente alerta a indicios de fraude hasta el final.
Qué hacer ahora
Entrena al equipo en cómo se documenta el escepticismo: qué explicación se recibió, qué evidencia la corroboró o la contradijo, y por qué se concluyó lo que se concluyó. Si no quedó escrito, para el revisor de calidad no ocurrió.
Cambio 3 · Identificación y respuesta al riesgo de fraude, reforzadas
Qué cambia
Se robustece todo el ciclo: entendimiento del entorno (incluidos los controles antifraude y los canales de denuncia de la entidad), identificación y valoración de riesgos de incorrección material por fraude, y diseño de respuestas a la medida del riesgo — con un "paso atrás" final para evaluar si la evidencia obtenida es suficiente.
Qué hacer ahora
Actualiza tu matriz de riesgos de fraude por industria y súmale los riesgos de esta década: fraude habilitado por IA, documentos sintéticos, deepfakes. Evalúa incorporar analítica de datos sobre poblaciones completas: es la herramienta natural para responder al nuevo estándar.
Cambio 4 · Transparencia: el fraude entra al informe de auditoría
Qué cambia
El informe del auditor será más explícito sobre sus responsabilidades frente al fraude y, en entidades cotizadas, el trabajo realizado sobre los riesgos de fraude podrá quedar expuesto ante el público a través de las cuestiones clave de auditoría. Lo que antes vivía en los papeles de trabajo, ahora puede terminar en el informe que todos leen.
Qué hacer ahora
Practica desde ya la redacción: describir el trabajo sobre riesgos de fraude con precisión, sin lenguaje defensivo ni promesas que la auditoría no puede cumplir. Ese párrafo será leído por inversionistas, reguladores… y abogados.
Cambio 5 · Comunicación continua con gobierno corporativo y más documentación
Qué cambia
La conversación sobre fraude con la administración y los responsables del gobierno de la entidad deja de ser un punto de la reunión de cierre: se exige más temprana, más frecuente y de doble vía. Y todo el recorrido — juicios, indicios, respuestas — con documentación más robusta.
Qué hacer ahora
Agenda la conversación de fraude con el comité de auditoría desde la planeación, no en el cierre. Prepara preguntas incómodas y documenta las respuestas: esa acta puede ser tu mejor evidencia de cumplimiento.

3Mito vs. realidad: la responsabilidad frente al fraude

✗ Mito
"Con la NIA 240 revisada, el auditor ahora es responsable de detectar todo fraude."
✓ Realidad
No. La responsabilidad primaria sigue siendo de la administración y del gobierno corporativo, y la seguridad sigue siendo razonable, no absoluta. Lo que cambia es cuánto rigor, escepticismo y transparencia se te puede exigir en el camino.
✗ Mito
"Esto es solo para auditores externos; a la auditoría interna no la toca."
✓ Realidad
El auditor externo va a preguntar más y mejor por los controles antifraude, los canales de denuncia y la respuesta a incidentes. ¿Quién evalúa eso dentro de la organización? Auditoría interna. La vara sube para todo el ecosistema.
✗ Mito
"Falta mucho para 2027; hay tiempo de sobra."
✓ Realidad
Aplica a periodos que inicien desde el 15 de diciembre de 2026: la planeación de esas auditorías ocurre en 2026, y actualizar metodología, plantillas y entrenamiento de una firma toma meses. El margen ya se está gastando.

4Si eres auditor interno, esta norma también te habla

Cuando el auditor externo llegue con la NIA 240 revisada bajo el brazo, va a examinar con lupa cosas que hoy son tuyas:

El programa antifraude de la organización: evaluación de riesgos de fraude, controles preventivos y detectivos, y su efectividad real — no la del manual.
Los canales de denuncia: el auditor externo va a entender cómo la entidad recibe y trata las denuncias. Si el canal existe pero nadie lo usa (o nadie responde), eso ya no pasará desapercibido.
La coordinación entre líneas: lo que auditoría interna ya evaluó sobre fraude es insumo valioso para el externo — y una función interna sólida reduce sorpresas, retrabajos y honorarios adicionales.
El comité de auditoría, mejor informado: con más comunicación obligatoria entre auditor externo y gobierno corporativo, el comité hará preguntas más duras… también a la función de auditoría interna.
La lectura estratégica

La NIA 240 revisada no es solo una norma de auditoría externa: es un estándar de facto para todo el sistema antifraude de la organización. Donde el externo está obligado a mirar, la administración tendrá que fortalecer — y auditoría interna tiene la oportunidad de llegar primero.

El CAE que hoy presente a su comité un diagnóstico del programa antifraude "visto con los ojos de la NIA 240 revisada" no está cumpliendo una norma ajena: está agregando exactamente el valor que la profesión le reclama.

5La pregunta de fondo: ¿se puede cerrar la brecha de expectativas?

Aquí está el debate que esta norma no resuelve — porque quizá no se pueda resolver con normas. La sociedad seguirá esperando que el auditor detecte el fraude; la auditoría seguirá ofreciendo seguridad razonable, no garantía. La NIA 240 revisada acorta la distancia por los dos lados: exige más al auditor y explica mejor al público qué puede esperar del informe.

Pero seamos francos: ninguna redacción normativa consuela al pensionado que perdió sus ahorros en un fraude que la auditoría no vio. La brecha de expectativas no es (solo) un problema técnico: es un problema de confianza. Y la confianza no se recupera con párrafos en el informe, sino con auditorías donde el escepticismo se note — en las preguntas que hacemos, en la evidencia que no aceptamos y en las veces que decimos "esto no me cuadra" aunque incomode.

¿Crees que la sociedad tiene razón al esperar que el auditor detecte el fraude, o la brecha de expectativas es imposible de cerrar?
Te leemos en los comentarios: ¿tu firma o tu función ya empezó a prepararse para la NIA 240 revisada, o todavía está en la lista de pendientes?
Publicado en el BLOG de Auditool · Red de conocimiento en auditoría, riesgos y control interno
Basado en la NIA 240 (Revisada) del IAASB y su material de soporte · 2026

Escribir un comentario

Enviar
× Progressive Web App | Add to Homescreen

Para instalar esta Web App en su iPhone/iPad presione el ícono. Progressive Web App | Share Button Y luego Agregar a la pantalla de inicio.

Desconectado