BaFin

Cómo funciona

Vaya por delante que lo que falla en una inspección BaFin sobre una firma española casi nunca es la auditoría. Lo que falla es la metadata. En los encargos que he llevado con filiales alemanas dependientes de grupos españoles, los hallazgos no decían que el equipo no hubiera evaluado la independencia. Decían que el archivo no demostraba bajo qué párrafo de la NIA-ES 220 se realizó la evaluación. Sutil, pero suficiente para que el inspector lo documente.

La International Standard on Auditing 220.1 (ISA 220.1) exige a cada firma una política documentada de control de calidad. BaFin supervisa esa política y su aplicación a encargos individuales, y publica patrones de hallazgo en su Informe Anual de Supervisión de Auditoría. No desglosa por firma, pero quien lleva varios años leyendo el informe reconoce el patrón sin esfuerzo: documentación incompleta de la base de la evaluación de independencia, aprobaciones de socio sin fecha, papeles de trabajo donde la traza de revisión está implícita pero no firmada con marca temporal.

El alcance que BaFin examina incluye los sistemas que la firma mantiene para asegurar el cumplimiento de las International Standards on Auditing (ISA), la evaluación de independencia conforme a ISA 220.16 (con especial atención a A18), la supervisión de personal principal y la documentación de la evaluación de riesgos. También verifica que la firma aplique procedimientos de aceptación y continuación conforme a ISA 220.14. Hasta aquí, calcado a lo que el ICAC mira en una supervisión NIA-ES.

Ahora bien, la supervisión BaFin no es automática. Selecciona por riesgo, con mayor frecuencia en firmas que auditan entidades de interés público (EIP). Una firma mediana que firma entidades cotizadas, aunque sea de forma limitada, puede esperar inspección cada 3 a 6 años. El proceso incluye revisión de papeles de trabajo (PT), evaluación del cumplimiento de las políticas de control de calidad y entrevistas con personal principal.

Pues aquí viene el contraste que hace que esto importe en un despacho español. BaFin realiza alrededor de 12 inspecciones anuales sobre firmas que auditan EIP en Alemania. El ICAC, con sus aproximadamente 8 inspectores, realiza unas 302 acciones supervisoras al año sobre 21.500+ auditores registrados. La densidad de inspección por firma es radicalmente distinta. La densidad de hallazgo, también. Por lo que conozco, los honorarios para auditar la filial alemana se negocian en Madrid pero la inspección la cobra BaFin en Düsseldorf, y ese desfase es donde aparecen los hallazgos de documentación.

Ejemplo práctico: Prüfung & Consult GmbH

Cliente: Prüfung & Consult GmbH, firma alemana de 35 auditores con sede en Düsseldorf. Audita aproximadamente 12 entidades cotizadas en la bolsa regional y 40 EIP privadas conforme a ISA. Ingresos anuales: 4,2 millones de euros.

Paso 1: Selección para inspección por BaFin Prüfung & Consult recibe notificación de BaFin en marzo indicando que será inspeccionada ese ejercicio. La firma está en el radar porque audita EIP y la última inspección fue hace 4 años. Nota de documentación: la firma registra la notificación en su archivo central de control de calidad y asigna un responsable de supervisión para coordinar con los inspectores.

Paso 2: Preparación de archivos para inspección La firma selecciona 8 encargos de auditoría completados en los últimos 18 meses (mezcla de cotizadas y privadas EIP). Para cada encargo prepara: (a) el archivo de cierre; (b) la documentación de la evaluación de independencia conforme a ISA 220.16; (c) la evidencia de aprobación del socio responsable antes de emisión del dictamen; (d) la documentación de la evaluación de competencia del equipo. Nota de documentación: los PT se organizan conforme al estándar interno, que mapea los requisitos ISA 220 párrafo a párrafo.

Paso 3: Revisión de la evaluación de independencia BaFin examina los ocho archivos y detecta un defecto sistemático. En cinco encargos, la documentación de la evaluación de independencia cita la WPnV pero no cita el párrafo específico de ISA 220 que sustenta la evaluación. La firma documentó que la evaluación se realizó. No documentó qué párrafo de ISA 220 fue el fundamento. Nota de documentación: BaFin codifica este hallazgo como "Documentación incompleta de la base de la evaluación de independencia conforme a ISA 220.16(a)".

Paso 4: Hallazgo sobre procedimientos de cierre En tres de los ocho encargos, BaFin revisa la carpeta de conclusiones finales y observa que la aprobación del socio responsable (según ISA 220.A39) no contiene fecha explícita de revisión. Los PT están numerados y fechados, pero la aprobación formal del socio aparece en una lista de verificación sin fecha. BaFin cita ISA 220.A39: "documentación de la aprobación del informe de auditoría por el socio responsable del encargo antes de su emisión." Marcar la casilla, pero sin fecha. Fue un trámite. Nota de documentación: la firma debe ajustar su procedimiento para incluir fecha explícita de aprobación del socio responsable en el cierre formal.

Paso 5: La complicación que aparece al cruzar dos registros Aquí es donde el caso deja de ser limpio. En uno de los ocho archivos revisados, la cita de ISA 220.16(a) sí aparece, formalmente correcta. Pero el socio firmante había dejado caducar su registro alemán como Wirtschaftsprüfer (el equivalente al ROAC) tres días antes de la fecha de firma del informe. El archivo no lo refleja, pues nadie cruzó la fecha de firma con el registro de la Wirtschaftsprüferkammer. BaFin sí lo cruzó. La firma defiende, con razón técnica, que la auditoría sustantiva la dirigió un socio cualificado durante todo el encargo y que la caducidad fue un descuido administrativo de tres días. BaFin replica, también con razón, que el dictamen lo firma quien lo firma, y que si la firma quiere refutar el hallazgo el sitio para hacerlo no es la inspección sino la respuesta formal al borrador. La firma aprende algo más útil que cualquier curso de control de calidad: el archivo no demuestra lo que pasó. Demuestra lo que se puede demostrar que pasó.

Lo que BaFin documenta y lo que no La inspección identifica dos áreas estructurales (citación de párrafo en independencia y fecha de aprobación del socio en cierre) y un caso individual de registro caducado. Estos no son incumplimientos sustantivos de ISA. La evaluación de independencia se hizo. El socio revisó. El equipo era competente. La deficiencia es la documentación de esos controles. La firma incorpora los cambios en su próxima revisión del manual de calidad.

Qué revisores y profesionales entienden mal

La supervisión BaFin se centra en control de calidad, no en opiniones incorrectas. BaFin no dice que la auditoría haya sido insuficiente. No dice que el socio no haya revisado. Dice que el archivo no demuestra cuándo se revisó. Confundir esto lleva a firmas que responden rehaciendo auditorías completas cuando lo que necesitan es mejorar la documentación de procedimientos que ya ejecutan. ISA 220.A39 exige documentación de la aprobación; mejorarla cuesta menos que rehacer el trabajo.

BaFin inspecciona por riesgo, no por tamaño de firma. Una firma pequeña que audita una EIP relevante será inspeccionada. Una firma grande que solo audita entidades privadas no cotizadas puede pasar años sin ver al inspector. La notificación debe leerse como riesgo percibido, no como juicio sobre la calidad absoluta. ISA 220.1 exige que toda firma tenga políticas de control de calidad; BaFin verifica que existan y se apliquen.

La supervisión BaFin no sustituye al control de calidad interno. BaFin inspecciona retrospectivamente, sobre archivos cerrados. El control de calidad de la firma (ISA 220.14, 220.18, 220.20) debe operar de forma prospectiva: aceptación, supervisión durante el encargo, revisión EQR antes de emisión. Una firma que delega en BaFin la detección de deficiencias está fallando bajo ISA 220.1.

Aquí los profesionales razonables se dividen. Una postura defiende mirror BaFin al alza: aplicar el estándar documental alemán a todos los encargos del despacho, españoles incluidos, por consistencia interna y porque el día que el ICAC suba el listón ya estará el archivo preparado. La otra postura defiende el doble estándar: el archivo alemán recibe el detalle adicional que BaFin va a buscar, el archivo español se mantiene en el nivel ICAC. Cuesta menos horas y refleja la realidad regulatoria. Ambas tienen defensores serios. En mi caso, la segunda gana cuando los honorarios no soportan la primera, que es casi siempre.

Términos relacionados

ISA 220 (Norma Internacional de Auditoría sobre control de calidad) es el marco que BaFin supervisa. La autoridad verifica que las firmas implementen sus requisitos.

Independencia en auditoría: uno de los focos principales de BaFin. ISA 220.16 exige evaluación documentada; BaFin verifica que la documentación contenga la cita de párrafo, no solo la afirmación de que la evaluación ocurrió.

Evaluación de competencia del equipo: otro foco. ISA 220.18 exige que el socio responsable tenga competencia. BaFin revisa la evidencia archivada de esa evaluación.

Supervisión de auditoría en Europa: BaFin es ejemplo de autoridad nacional bajo el modelo europeo descentralizado. Cada Estado miembro mantiene su propio régimen de supervisión, lo que crea exactamente el desfase en estándares documentales que un grupo cotizado con filiales en varios países descubre el día de la inspección.

Archivos de cierre: documentación que BaFin revisa en inspección. ISA 230 exige que el archivo demuestre que el auditor completó las actividades relevantes.

---