Definition
Vaya por delante: la AFM no es el regulador de los auditores españoles. En España manda el ICAC. La Autoridad Holandesa de los Mercados Financieros (*Autoriteit Financiële Markten*) supervisa a las firmas de auditoría holandesas bajo la Wet toezicht accountantsorganisaties (Wta). El motivo de incluirla en este glosario es práctico: sus informes anuales describen, con un nivel de detalle que ningún regulador europeo iguala, las mismas deficiencias que el ICAC encuentra cuando revisa carpetas de firmas medianas españolas. Por lo que conozco, no hay en español una fuente pública con esa profundidad técnica sobre lo que falla en una auditoría real.
Cómo funciona
La AFM opera bajo la Wta y tiene autoridad para inspeccionar firmas, regular el registro de auditores independientes y hacer cumplir los estándares de control de calidad. Publica anualmente un informe que identifica patrones de deficiencias encontradas en las auditorías revisadas durante el ejercicio.
A diferencia de los reguladores que solo investigan denuncias, la AFM hace inspecciones programadas en una muestra de firmas cada año. Las inspecciones evalúan si la firma ha implantado procedimientos para cumplir con ISA, NV COS y el Reglamento 537/2014 de la UE para auditorías de entidades de interés público. El informe anual es accesible al público y proporciona datos sobre tasas de cumplimiento por tema: evaluación de riesgos, documentación de auditoría, pruebas de controles, procedimientos analíticos.
Lo que realmente ocurre cuando una firma holandesa entra en el ciclo de inspección de la AFM es que se prepara unos meses, archiva la documentación que sabe que el inspector pedirá, y aun así suele aparecer en el informe anual del año siguiente con alguna deficiencia. La razón es estructural: el modelo de negocio del aseguramiento mediano no genera margen suficiente para hacer todo lo que ISA exige al pie de la letra. La AFM lo sabe. Su trabajo no es cazar firmas; es publicar el patrón para que el sector lo vea.
Ejemplo práctico: Hallazgos de inspección AFM en documentación
Firma: Bouwadvies Holanda B.V., Rotterdam, ingresos de 3,8 millones de euros, informes bajo ISA.
El informe anual de la AFM de 2023 identificó que el 42% de las firmas inspeccionadas no documentaron adecuadamente la base de su evaluación del riesgo de error material en la clase de transacción "ingresos" según ISA 315.13. Las deficiencias específicas:
Paso 1: La firma no documentó cómo identificó los riesgos a nivel de transacción.
Nota de documentación: el documento de evaluación de riesgos debería mostrar el razonamiento específico (por ejemplo, "Ingresos: riesgo identificado porque la entidad factura proyectos sobre la base de porcentaje de finalización; ISA 315.13(a) requiere evaluación de si los cálculos de finalización se registran de manera oportuna").
Paso 2: La firma no diferenció entre riesgos identificados en la evaluación inicial y riesgos clasificados como significativos tras considerar controles.
Nota de documentación: la matriz de evaluación de riesgos debería mostrar dos columnas — riesgos identificados a partir de procedimientos analíticos iniciales, y riesgos clasificados como significativos según ISA 315.27.
Paso 3: La firma no vinculó la evaluación del riesgo a los procedimientos de auditoría posteriores.
Nota de documentación: cada procedimiento de auditoría debería tener referencia cruzada con el riesgo que aborda (por ejemplo, "PT 3.4 Muestreo de ingresos — aborda ISA 315.13(a) evaluación: riesgo de corte en ingresos").
El paso 4 que el equipo no había hecho
Cuando el manager revisó la carpeta antes del cierre, faltaba el paso que más se olvida: la conclusión del auditor sobre por qué los procedimientos planificados son suficientes para cubrir los riesgos identificados. La carpeta tenía riesgos. Tenía procedimientos. No tenía la frase que conecta los dos. ISA 315.A81 lo exige explícitamente: el auditor debe considerar si los controles operan eficazmente para prevenir o detectar errores materiales en la afirmación. La frase no es opcional. En la práctica, se omite el 60% de las veces.
Conclusión: una documentación débil no significa que la evaluación del riesgo fuera deficiente. Significa que la AFM (o el ICAC, o un revisor EQR) no puede verificar que los procedimientos fueron apropiados sin ver la lógica. Las firmas que no conectan evaluación de riesgo con procedimientos figuran entre las deficiencias más frecuentes en cada ciclo de inspección.
Qué pasan por alto revisores y auditores
Hallazgo de regulador nombrado: En el informe de supervisión AFM 2022-2023, la deficiencia más frecuente fue la documentación insuficiente de evaluación de riesgos a nivel de afirmación. El 51% de las firmas inspeccionadas no documentó por qué los controles específicos se consideraron relevantes — o no — para reducir el riesgo a un nivel aceptable. Es una violación de ISA 315.A81. La traducción al lenguaje del profesional: nadie escribió por qué descartó los controles que descartó, así que cuando el inspector pregunta, la respuesta tiene que improvisarse.
Error de auditoría estándar: Los auditores copian la evaluación de riesgos del año anterior sin actualizar los riesgos del año actual. ISA 315.26 exige obtener comprensión de los cambios en la entidad durante el período y "determinar si estos cambios tienen implicaciones para la evaluación del riesgo de error material." Una evaluación de riesgos idéntica a la del año anterior, sin documentar qué cambios se evaluaron y se descartaron, es deficiencia procedimental común — el equivalente técnico exacto de marcar la casilla del rollforward sin pensar.
Brecha de práctica documentada: Muchas firmas documentan riesgos solo a nivel de clase de transacción ("ingresos"), pero no desglosan hasta el nivel de afirmación que exige ISA 315.A4. La norma establece cinco afirmaciones: existencia, derechos y obligaciones, integridad, valoración, presentación y divulgación. Una evaluación que no aborda cada afirmación para clases significativas deja un hueco entre el riesgo identificado y los procedimientos ejecutados. Lo que realmente ocurre es que el equipo asume que "ingresos" cubre integridad y existencia simultáneamente, sin separar los procedimientos por afirmación. Cuando el inspector pide ver la cobertura de "valoración" en ingresos diferidos, no aparece.
Comparación: AFM vs ICAC (paralelos para el lector español)
| Dimensión | AFM (Países Bajos) | ICAC (España) | FRC (Reino Unido) |
|---|---|---|---|
| Cobertura | Solo firmas con licencia AFM | Auditores ROAC | Solo firmas con licencia FRC |
| Frecuencia de inspección | Ciclo de 3-4 años | Variable, limitada por recursos (~8 inspectores) | Ciclo de 3-4 años; revisiones temáticas anuales |
| Publicación | Informe anual agregado por tema técnico | Memoria anual con datos agregados, foco procedimental | Informes temáticos detallados + datos de firma anonimizados |
| Énfasis regulatorio | NV COS + ISA | NIA-ES + TRLAC + circulares ICAC | ISA (UK) + requisitos de interés público |
| Sanciones | Advertencia, multa, revocación de licencia | Apercibimiento, multa, suspensión, baja del ROAC | Advertencia, sanción financiera, prohibición de socio |
El paralelo conceptual con el ICAC es directo, pero la asimetría de recursos no lo es. El ICAC, con aproximadamente 8 inspectores para más de 21.500 auditores registrados, no puede generar el mismo volumen de hallazgos publicados. La consecuencia práctica para el auditor español: si la AFM publica que el 51% de las firmas falla en documentar la evaluación de riesgos a nivel de afirmación, es razonable suponer que el porcentaje en España no es muy distinto — solo que aquí se publica menos.
Cuándo importa la distinción en un encargo
Un auditor de una firma holandesa que trabaja en una sociedad cotizada bajo supervisión AFM debe asumir que sus papeles serán inspeccionados. La documentación de evaluación de riesgos será verificada no solo por el equipo interno, sino por inspectores externos que aplican criterios públicos. Una evaluación que funciona internamente — el equipo entiende por qué cada procedimiento se ejecutó — puede fallar en la inspección si el archivo no muestra la lógica de forma explícita.
Para el auditor español la lección práctica es la misma: en un encargo EIP, asume inspección ICAC. Documenta como si el inspector fuera a abrir tu carpeta el lunes. La diferencia entre la firma que sobrevive a una inspección y la que recibe expediente no suele ser la calidad técnica del trabajo — es la trazabilidad del juicio en los papeles.
Términos relacionados
- NV COS: Normas holandesas de control de calidad que complementan ISA para firmas holandesas; equivalente conceptual a NIA-ES + ISQM-ES en España. - Evaluación de riesgos a nivel de afirmación: Desglose de riesgos identificados por cada una de las cinco afirmaciones de auditoría. - Hallazgos de inspección de auditoría: Patrones comunes de deficiencias identificadas por reguladores. - Regulador de auditoría: Autoridades que supervisan la calidad de auditoría en sus jurisdicciones. - ISA 315: Identificación y evaluación de riesgos de error material. - Documentación de auditoría: Requisitos para registrar procedimientos, hallazgos y conclusiones.
Herramientas disponibles
Usa el Evaluador de riesgos ISA 315 para estructurar la documentación de evaluación de riesgos según los requisitos de afirmación de ISA 315.A4. La herramienta genera una matriz que vincula cada riesgo identificado con los procedimientos asociados — el rastro que un inspector AFM, ICAC o un revisor EQR pedirá ver.
---