Definition
Las inspecciones del ICAC de los últimos dos ejercicios contienen un patrón recurrente: el comité de auditoría firmó el acta, aprobó las cuentas y, sin embargo, no pudo responder preguntas básicas sobre los riesgos identificados durante el encargo. La sesión existe en el calendario; lo que ocurre dentro suele ser otra cosa. Por lo que conozco, en buena parte de las pymes españolas con consejero independiente designado, la reunión se reduce a marcar la casilla y a aprobar el material que prepara la dirección.
Cómo funciona
El error frecuente, según mi experiencia, es tratar la presencia del comité como evidencia de su funcionamiento. Un comité que se reúne una sola vez al año, cuyos miembros leen los materiales el día de la sesión, no cumple la función de supervisión que presupone la NIA-ES 260, aunque la entidad lo tenga descrito en su MOI. Lo que dice la norma es que el auditor comunica con el órgano de gobierno (ISA 260.13) sobre cuestiones significativas. Lo que realmente pasa es que el auditor describe los hallazgos a la dirección, que filtra y resume el material al comité justo antes de la firma de las CCAA.
El comité de auditoría existe en la interfaz entre tres partes: la dirección de la entidad, el auditor externo y, en su caso, los auditores internos. Su función central es garantizar que cada una de estas partes cumpla con sus responsabilidades sin conflictos de interés. En la práctica, esa garantía depende de un detalle que la norma no regula: si el comité tiene tiempo y conocimiento técnico para leer críticamente lo que le presentan.
La ISA 260.A4 requiere que el auditor comunique información sobre la independencia de la firma, incluidos los servicios distintos de auditoría prestados. La norma dice eso. Lo que vemos en los encargos que llevamos es que el documento de independencia se entrega 48 horas antes de la sesión, junto con otros 200 folios de papeles, y nadie lo lee. El comité firma el acta confirmando que ha evaluado la independencia. Vaya por delante que firmar y evaluar no son lo mismo.
Un comité de auditoría funcional supervisa:
- La preparación de estados financieros y la efectividad de los sistemas de control interno - La evaluación de riesgos de fraude y el proceso de denuncia (whistleblowing) - La selección, independencia y desempeño del auditor externo - La revisión de hallazgos de auditoría y la aplicación de recomendaciones
Sin un comité de auditoría (o con uno que no se reúna regularmente, que no entienda las cuestiones técnicas, o que no tenga acceso a la información) el auditor enfrenta un entorno de control débil. La NIA-ES 265 exige que el auditor comunique todas las deficiencias de control interno identificadas al órgano de gobierno. Si ese órgano no existe o es disfuncional, el auditor tiene una base débil para confiar en que los riesgos identificados serán remediados, y debe documentar esa limitación.
Por qué los comités fallan estructuralmente
En nuestro equipo, la hipótesis de trabajo es que los comités no fallan por mala fe sino por arquitectura. Los miembros independientes son seleccionados por la dirección a la que después tienen que supervisar. Eso ya es un problema de origen. A esto se suma que el "consejero independiente" tipo en la mediana empresa española suele sentarse en cuatro o cinco consejos a la vez, lo que limita el tiempo real de estudio de cada encargo a un par de horas antes de la sesión. La supervisión que la norma presupone exige una capacidad que la realidad del consejero múltiple no entrega.
Hay un segundo problema: en muchos comités, el presidente domina la conversación y los demás miembros asienten. Esto importa porque la NIA-ES 260 exige diálogo, no monólogo. Cuando el presidente del comité es ex-socio de la firma auditora actual, la coziness técnica reduce la fricción que la norma quiere generar.
Disenso legítimo: ¿quién debe presidir el comité?
Hay dos posiciones razonables que conviven en la práctica española y latinoamericana, y conviene nombrarlas:
- Posición A: presidente con experiencia técnica directa (típicamente ex-socio de Big 4 o ex-CFO). El argumento: nadie que no haya hecho una auditoría de verdad puede cuestionar críticamente el trabajo del equipo. La capacidad de leer un PT y detectar lo que falta requiere oficio, no buena voluntad. - Posición B: presidente externo al sector contable (académico, jurista, ex-regulador). El argumento: el ex-socio comparte códigos sociales y profesionales con la firma auditora, lo que reduce la fricción crítica. Un presidente externo hace preguntas básicas que el técnico da por contestadas.
En mi humilde opinión, la posición A funciona mejor en entidades grandes con comité activo, porque la complejidad técnica requiere oficio. La posición B funciona mejor en pymes con riesgos de fraude familiar, porque el outsider rompe la coziness. El error es asumir que una de las dos sirve para todo.
Ejemplo práctico: Manufacturas Ibéricas S.L.
Cliente: Empresa manufacturera de componentes de automoción, Bilbao, ingresos por €18,5 millones en 2024, reporta bajo PGC. Consejo de administración con seis consejeros, incluido un consejero independiente designado para presidir un comité de auditoría recién creado.
Paso 1: Evaluación inicial del comité Durante la planificación, el equipo se reúne con el presidente del comité para entender la estructura de gobierno y la evaluación interna de riesgos. El presidente, con experiencia en contabilidad, informa que el comité se reúne trimestralmente y ha revisado la política de fraude e independencia del auditor en la última sesión. Pedimos las actas de los últimos cuatro trimestres antes de aceptar la afirmación. Nota de documentación: En el papel de trabajo PT-100 (Comprensión del entorno de control), se documenta la existencia, composición, frecuencia de reuniones y autoridad del comité. Se confirma que el auditor anterior fue seleccionado por el comité de auditoría sin presión de la dirección.
Paso 2: Comunicación de hallazgos significativos (con complicación) Durante la auditoría, el equipo identifica una deficiencia de control interno: el proceso de autorización de compras de materia prima no requiere aprobación gerencial explícita para órdenes que superan €50.000, aunque la política de la entidad lo establece. Se trata de una deficiencia significativa, no remediada durante el periodo, aunque fue identificada internamente en octubre 2024.
Aquí surge la complicación. Al revisar la trazabilidad de la deficiencia, el equipo descubre que el director financiero (miembro del consejo, no del comité) había informado verbalmente al presidente del comité en julio, y este decidió no escalarlo al consejo completo "para no alarmar". Es decir: la deficiencia llegó al comité, pero el comité la silenció. Esto cambia el riesgo de la cuenta de "deficiencia de control" a "limitación al alcance del gobierno corporativo", un escenario que la NIA-ES 260.A11-A13 contempla pero que no resuelve con una receta. Hay que ejercer juicio profesional sobre si comunicarlo al consejo completo, al ICAC, o gestionarlo internamente con el comité.
El equipo opta por una comunicación escrita formal al presidente del comité, con copia al consejero independiente más antiguo y al consejo en pleno, exigiendo respuesta documentada. La razón: el silenciamiento del primer informe ya consumió el margen de confianza, y depender de nuevo del mismo canal habría sido marcar la casilla. Nota de documentación: Se documenta en PT-280 (Comunicación con el órgano de gobierno) la fecha, forma y contenido. Se registra la decisión razonada de escalar al consejo completo, con cita expresa de NIA-ES 260.A11-A13 y la base fáctica de la decisión.
Paso 3: Independencia del auditor El auditor envía al comité, antes de la firma del informe, un documento de independencia detallando: (a) los servicios de auditoría prestados (auditoría de CCAA consolidadas de €18,5 millones, auditoría de sistemas de control interno para ISO 45001); (b) otros servicios prestados (revisión de aseveraciones contables en un nuevo proceso de valoración de inventarios, aplicación de guía NIIF sobre reconocimiento de ingresos); (c) todas las partes relacionadas identificadas en la Memoria según la NIC 24; (d) el proceso de rotación del socio (debido después de 7 años, próximo en 2027); (e) los honorarios totales: auditoría €35.000, otros servicios €8.500.
El comité revisa esta información y concluye que los servicios no se han prestado de forma que comprometan la independencia. Firma un acta de sesión confirmando que ha evaluado la independencia y que la firma está calificada para emitir la opinión. Nota de documentación: PT-295 (Independencia del auditor) incluye copia del documento de independencia, la fecha de entrega al comité, y el acta de sesión confirmando su evaluación. La carpeta contiene evidencia de que ninguno de los servicios no permitidos bajo la NIA-ES 290 fueron prestados.
Conclusión: El comité de Manufacturas Ibéricas funciona en lo formal, falla en lo sustantivo, y se recompone bajo presión documental. Existe, se reúne, firma; el episodio del silenciamiento muestra que la supervisión exige más que la presencia. El equipo concluyó que el entorno de control no permitía confianza ciega y aumentó los procedimientos sustantivos en compras y partes vinculadas.
Qué evaluadores y auditores confunden frecuentemente
- La existencia del comité no garantiza su funcionamiento. Un comité que se reúne una vez al año, cuyos miembros no tienen formación en contabilidad o control interno, o que depende completamente de materiales preparados por la dirección sin análisis independiente, no cumple la función de supervisión que requiere la ISA 260. Los inspectores de la ICAC han documentado casos en los que el comité aprueba formalmente los estados financieros pero no puede responder preguntas básicas sobre los riesgos identificados o los cambios en políticas contables (hallazgos de inspecciones ICAC 2023-2024).
- La independencia del comité es una ficción frecuente porque la dirección selecciona a los "independientes". La NIA-ES 260.A1 requiere que el auditor considere si el órgano de gobierno tiene suficiente autoridad e independencia para que sus decisiones sean eficaces. Un auditor que encuentra un comité nominalmente independiente pero funcionalmente controlado por la dirección enfrenta un riesgo elevado que debe documentarse y, si es significativo, comunicarse a la CNMV o a los órganos reguladores cuando exista sospecha de fraude. La opinión que mantenemos en el equipo es que la independencia no se evalúa en la composición sino en el comportamiento bajo presión, porque la composición se diseña para parecer independiente; la presión revela quién manda de verdad.
- Los auditores no diferencian entre comité de auditoría y auditoría interna. La auditoría interna reporta a la dirección (o al comité de auditoría, en estructuras más maduras) y prueba la efectividad de controles. El comité de auditoría supervisa a la auditoría interna y recibe sus informes. En entidades sin auditoría interna formal, el comité debe comprender quién es responsable de evaluar el control interno antes de que el auditor externo comience su trabajo. Esta falta de claridad genera vacíos documentales que el ICAC suele detectar en la inspección.
Comparación: Comité de auditoría vs. Junta directiva completa
| Dimensión | Comité de auditoría | Junta directiva (consejo completo) |
|---|---|---|
| Responsabilidad principal | Supervisión específica de finanzas, auditoría y control | Dirección estratégica, todas las responsabilidades de gobierno corporativo |
| Frecuencia de reuniones | Trimestral o según sea necesario (~4+ reuniones al año) | Anual o semestral |
| Conocimiento técnico requerido | Conocimiento especializado en contabilidad y auditoría (al menos un miembro debe ser "experto" en contabilidad según regulación) | Conocimiento empresarial general |
| Comunicación con auditor externo | Directa y regular; el auditor presenta hallazgos al comité antes del cierre | A través del consejo completo; puede filtrar por la dirección |
| Acceso a auditoría interna | Frecuente; auditoría interna reporta al comité | Indirecto; acceso limitado |
| Independencia de la dirección | Debe ser independiente de la dirección operativa | Incluye ejecutivos (CEO, CFO) |
| Remoción de auditor externo | Recomienda; junta aprueba | Junta aprueba |
La NIA-ES 260 requiere comunicación efectiva con el órgano de gobierno. En entidades pequeñas sin comité formalizado, ese órgano puede ser toda la junta o incluso un único socio propietario. En entidades grandes, debe ser un comité especializado. La existencia de un comité eficaz reduce de forma notable la fricción en la comunicación de auditoría, siempre que "eficaz" signifique algo más que la mera presencia formal.
Errores comunes en la evaluación del comité de auditoría
- Aceptar la presencia sin evaluar la función. Un auditor que no inquiere activamente sobre la independencia, conocimiento, y frecuencia real de reuniones del comité corre el riesgo de descubrir durante el encargo que el "comité" es una ficción de cumplimiento. La planificación debe incluir una entrevista estructurada con el presidente del comité (o con el consejero independiente designado, en su caso) sobre cómo y con qué frecuencia el comité supervisa cuestiones de auditoría, control y fraude. La norma exige que este diálogo exista; la falta de diálogo evidencia un entorno débil.
- No documentar la evaluación de independencia de forma explícita. El auditor que comunica cuestiones al comité debe documentar, en sus papeles de trabajo, que ha evaluado si el comité tiene la autoridad e independencia necesarias para actuar. Esto es especialmente crítico en entidades familiares o con accionistas concentrados, donde la "independencia" del comité puede ser nominal.
- Confundir la comunicación con el comité con la comunicación con la dirección. La NIA-ES 260 requiere comunicación con el órgano de gobierno (comité) sobre ciertos temas: deficiencias significativas de control interno, desacuerdos con la dirección, limitaciones del alcance impuestas por la dirección. Estos no deben comunicarse primero (o únicamente) a la dirección. La ausencia de una comunicación formalmente documentada al comité es un hallazgo de inspección común (ICAC: comunicación incompleta o únicamente a través de la dirección en el 31% de los casos muestreados 2022-2023).
Términos relacionados
- Órgano de gobierno: entidad legal y responsable de la supervisión. Puede ser el comité de auditoría, la junta completa, o incluso el propietario de una empresa individual. La ISA 260 requiere comunicación con este órgano. [Enlace: /es/glossary/governance-body]
- Independencia del auditor (ISA 290): capacidad de la firma de formar una opinión sin influencia de grupos de interés. El comité de auditoría es responsable de evaluar si los servicios no de auditoría comprometieron esta independencia. [Enlace: /es/glossary/auditor-independence]
- Deficiencia de control interno: proceso de control que no funciona como está diseñado o no existe. Debe comunicarse al comité de auditoría antes de que la junta apruebe las cuentas anuales. [Enlace: /es/glossary/control-deficiency]
- Comunicación con el órgano de gobierno (ISA 260): proceso de diálogo entre el auditor y el comité. Incluye hallazgos de auditoría, cambios en políticas contables, independencia, y evaluación de riesgos. [Enlace: /es/glossary/communication-governance]
- Auditoría interna vs auditoría externa: la auditoría interna evalúa la efectividad de controles para la dirección o el comité. La auditoría externa emite una opinión sobre los estados financieros. Ambas comunican con el comité, pero con autoridades diferentes. [Enlace: /es/glossary/internal-vs-external-audit]
- Fraude en la administración (ISA 240): riesgo de que los miembros de la dirección o del comité manipulen registros financieros. Un comité de auditoría fuerte es la primera línea de defensa contra este riesgo. [Enlace: /es/glossary/management-fraud]
---