Por qué las plantillas heredadas siguen fallando la inspección

Lo que el ICAC encuentra cuando entra

A ver. Dice la NIA-ES 1.A23 que el sistema debe ser proporcional a la naturaleza y circunstancias de la firma. En mi caso, en la mayoría de inspecciones que conozco, lo primero que pide el inspector no es el manual: pide la matriz de riesgos de calidad y la evidencia de que las respuestas diseñadas se ejecutan. Y ahí es donde se cae el sistema.

En el día a día, la firma mediana documenta políticas que copió de un modelo del ICJCE, las firma el socio director y las archiva en una carpeta compartida. Nadie las lee después. Cuando llega la inspección, los papeles están ahí (políticas, procedimientos, plantillas), pero falta chicha: no hay rastro de la evaluación de riesgos específica de la firma, no hay constancia de que las respuestas operen, y la documentación de monitoreo es un acta anual de tres páginas que dice que todo está bien. Eso es marcar la casilla. Y el inspector lo huele.

Conviene recordar el dato de contexto: el ICAC tiene aproximadamente ocho inspectores para más de 21.500 auditores inscritos en el ROAC, y abrió 302 acciones supervisoras en 2022. Pueden venir cada veinte años si hay suerte. Pero cuando vienen y la firma no tiene la evaluación de riesgos documentada con respuestas trazables, el expediente es prácticamente automático.

Lo que dice realmente la norma

En su párrafo 15, la NIA-ES 1 define ocho componentes interconectados: responsabilidades de liderazgo, ética relevante, aceptación y continuación de clientes, recursos humanos, recursos, información y comunicación, proceso de monitoreo, y proceso de corrección. Cada uno debe tener políticas (qué hace la firma), procedimientos (cómo lo hace), y respuestas a riesgos identificados específicamente para esa firma.

Donde vive la diferencia con la antigua NIC 1 es en la NIA-ES 1.25: la firma debe identificar sus propios riesgos de calidad antes de diseñar las respuestas. No vale una matriz genérica. Hay que partir de la cartera real, la estructura real y la presión competitiva real de la firma. Si la matriz de la firma de 8 socios de Valencia es idéntica a la de un despacho de 30 socios de Madrid, el inspector ya sabe que se ha copiado.

Dónde vive el juicio profesional

Aquí está la zona gris. No dice la NIA-ES 1 cuántas respuestas son suficientes para un riesgo dado, ni cuánta evidencia debe acompañar cada respuesta. Ese criterio de proporcionalidad de la NIA-ES 1.A23 queda en manos del juicio del responsable del sistema. Por lo que he visto en los encargos que llevo, el mejor proxy es el siguiente: si su respuesta a un riesgo se puede explicar en una conversación de cinco minutos con un colega y la evidencia cabe en una sola carpeta, está bien dimensionada. Si necesita treinta diapositivas para explicarla, es ornamento.

Por qué existe la norma y qué riesgo aborda

Aborda este sistema el riesgo de que la firma emita informes inapropiados de forma sistemática. Mientras que la NIA-ES 220 cubre el control de calidad del encargo individual, la NIA-ES 1 trabaja a otro nivel: el riesgo que afecta a la firma como organización. Rotación excesiva. Aceptación de clientes de alto riesgo sin la capacidad técnica adecuada. Presión comercial que erosiona la calidad. Falta de actualización técnica del equipo.

En la práctica, las deficiencias de calidad de las firmas medianas casi nunca se originan en un encargo aislado. Se originan en decisiones de la firma. Si el socio necesita el cliente, bajan los honorarios, se queda corto el equipo, y el encargo se saca adelante con lo que hay. Pone la NIA-ES 1 ese mecanismo encima de la mesa: hay que identificarlo como riesgo, y diseñar una respuesta que no sea cosmética.

Vladimir Martínez, en su análisis de los códigos de ética como mecanismo de control, lo plantea con una pregunta que aplica aquí: ¿en qué procesos de la firma es más fácil cumplir formalmente que cumplir sustancialmente? Para casi cualquier firma mediana, la respuesta honesta es: en el sistema de gestión de calidad. Por eso exige la norma que la respuesta a cada riesgo sea trazable, no declarativa.

Ejemplo práctico: cómo monta el sistema una firma de Valencia

Auditoría Mediterránea S.L., Valencia. Ocho socios, 22 empleados. Cartera: 180 auditorías anuales, principalmente sociedades familiares del sector cerámico y agroalimentario. Facturación: 2,1 millones de euros. Sin clientes EIP.

asignación de responsabilidades de liderazgo

Carmen Martínez, socia directora, asume la responsabilidad final del sistema conforme a la NIA-ES 1.21. Designa a Miguel Fernández, socio técnico, como responsable operativo del sistema según la NIA-ES 1.28.

Aquí ocurre la primera discusión interna. Miguel pide dedicación formal de 200 horas anuales; Carmen propone 120. No fija la norma un mínimo. Carmen argumenta que con 120 horas y apoyo administrativo basta para una cartera de 180 auditorías sin EIP. Miguel sostiene que sin 200 horas no podrá auditar internamente la muestra de expedientes que la NIA-ES 1.48 exige. Acuerdan 150 horas con revisión semestral. Esa discusión queda documentada en el acta del consejo de socios. Importa la traza: si llega el ICAC y la dedicación resulta insuficiente, el inspector verá que la decisión se tomó con criterio, no por defecto.

Documentación: Manual de calidad, sección 1. Nombramiento formal de Carmen como líder del sistema. Nombramiento de Miguel con dedicación de 150 horas anuales y revisión semestral. Acta del consejo de socios con la justificación.

identificación de riesgos de calidad específicos

Identifica la firma sus riesgos principales basándose en la evaluación exigida por la NIA-ES 1.25:

- Concentración sectorial: 68% de los clientes en cerámica y agroalimentario - Rotación del personal: 15% anual en auditores junior - Presión de honorarios: competencia intensa en el mercado valenciano post-pandemia - Especialización técnica: experiencia limitada en NIIF para clientes que han iniciado proceso de internacionalización

Documentación: matriz de riesgos de calidad con probabilidad, impacto y respuestas específicas. Revisión anual cada septiembre.

diseño de respuestas proporcionales

Para cada riesgo, la firma diseña respuestas concretas:

Concentración sectorial. Programa de formación sectorial anual. Participación obligatoria en conferencias del Instituto de Cerámica. Suscripción a publicaciones especializadas. Métrica trimestral: porcentaje del equipo que ha asistido a al menos una formación sectorial en el periodo.

Rotación del personal. Plan de carrera documentado. Revisiones de desempeño semestrales. Programa de mentoría socio-senior. Métrica: rotación medida trimestralmente, con disparador a los 12 meses si supera el 18%.

Presión de honorarios. Política de aceptación que incluye análisis de rentabilidad mínima por encargo. Presupuestos detallados por fase. Si el presupuesto inicial cae por debajo del umbral, el encargo va a comité. No al socio que lo trae. Esto es lo que evita que el socio necesite el cliente más de lo que la firma necesita la calidad.

Documentación: manual de procedimientos, 47 páginas. Políticas específicas por área de riesgo. Métricas trimestrales con responsable nombrado.

el momento en que la EQR encalla

Aquí aparece la complicación. En noviembre de 2024, la firma audita una sociedad cerámica con un ajuste por deterioro discutido. Registra el equipo una opinión favorable. Miguel, como responsable de calidad, programa la EQR con un socio sin involucración: Javier López. Javier revisa, plantea cuatro observaciones técnicas, y firma. Carmen, al revisar el archivo posterior, considera que las observaciones de Javier son superficiales y que la EQR no cumple realmente con la NIA-ES 1.36.

Discrepan los dos. Javier defiende que ha aplicado el alcance habitual de revisión: lectura de papeles principales, conclusión sobre razonabilidad, identificación de excepciones. Carmen sostiene que para una opinión con un ajuste material discutido, la EQR debe incluir una nueva lectura de la evidencia subyacente del ajuste, no solo la conclusión del equipo. No resuelve el debate la NIA-ES 1.36: pide que el revisor evalúe los juicios significativos, sin especificar la profundidad.

¿Quién tiene razón? Mi opinión: Carmen, porque el riesgo de que el revisor firme sin mirar es exactamente lo que el ICAC ha identificado como deficiencia recurrente en sus inspecciones. Se cumple la NIA-ES 1.36 en sustancia cuando el revisor puede explicar, no solo confirmar, los juicios del equipo. Pero la posición de Javier no es indefendible: aplicar la profundidad máxima a cada EQR es inviable con la dedicación disponible. Se resuelve documentando un protocolo de profundidad escalada en función del riesgo del encargo. Esa decisión queda en el manual revisado en enero de 2025.

monitoreo anual

Miguel programa el ciclo: revisión interna de doce expedientes completados al año (rotando entre socios), evaluación de quejas recibidas (cero en 2024), análisis de hallazgos de inspecciones externas si las hay, y evaluación de la rotación del personal contra el disparador del 18%.

Documentación: plan de monitoreo con cronograma. Formularios de evaluación por expediente. Informe anual presentado al consejo de socios en enero.

Resultado. Sistema documentado, operativo, adaptado a la firma. Total de documentación: 127 páginas estructuradas en cinco manuales. Tiempo de aplicación: seis meses. Costo de consultoría externa: 8.400 euros.

Lista de verificación práctica

1. Asignar responsabilidades formales. Designar líder del sistema (socio con autoridad real, no figurada) y responsable operativo conforme a la NIA-ES 1.21 y 1.28. Documentar la dedicación con justificación. 2. Completar la evaluación de riesgos específica. Identificar los riesgos reales de la firma. No usar la matriz de otro despacho. La NIA-ES 1.25 lo exige y el inspector lo comprueba. 3. Documentar los ocho componentes con respuestas trazables. Políticas y procedimientos proporcionales para cada componente de la NIA-ES 1.15, con métricas que se puedan medir. 4. Establecer el proceso de monitoreo con muestra anual. Cronograma con métricas específicas y revisión de expedientes completados según la NIA-ES 1.48. 5. Programar la evaluación anual del sistema. Informe formal presentado al liderazgo conforme a la NIA-ES 1.54. No tres páginas. La evaluación debe nombrar las deficiencias detectadas y las acciones correctivas. 6. Crear el archivo central de documentación. Acceso controlado, versiones actualizadas, responsabilidad clara de mantenimiento.

Errores frecuentes que el ICAC ya ha visto

Adoptar plantillas sin adaptación. La firma descarga modelos genéricos y los adopta sin tocarlos. El sistema deja de ser específico de la firma y se convierte en brindis al sol. El inspector pide la evaluación de riesgos y se ve que la matriz no refleja la cartera real.

Subdelegar sin autoridad. Se asigna la responsabilidad del sistema a personal técnico sin capacidad para imponer cambios. La NIA-ES 1.21 exige que el liderazgo asuma la responsabilidad final. Si quien firma el sistema no puede vetar la aceptación de un cliente problemático, el sistema no es operativo.

Documentar sin implementar. Manual de 200 páginas. Nadie lo consulta. Las plantillas no se usan en los encargos. El monitoreo anual confirma que todo va bien sin haber revisado nada en serio. Esto es exactamente la situación que genera "deficiencias persistentes en aspectos esenciales del sistema de control de calidad" en los informes del ICAC. Lo que el ICAC traduce: llevamos años con los mismos problemas y nadie los arregla.

Contenido relacionado

- Glosario: Sistema de gestión de calidad: definición y componentes obligatorios según la NIA-ES 1 - Calculadora de horas de auditoría: herramienta para presupuestar el tiempo dedicado al sistema de calidad - NIA-ES 220: control de calidad específico del encargo: cómo se relaciona el sistema de la firma con el control a nivel de encargo

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.