Definition
Vamos directamente al asunto: ISQM 1 convirtió el control de calidad en una obligación de gestión de riesgos de toda la firma, y la mayoría de las firmas medianas españolas lo trataron como un papel más para marcar la casilla. Por lo que he visto en los encargos que he llevado, el primer año de implantación fue mayoritariamente performativo: se copió el manual de la red internacional, se firmó el organigrama, y se archivó.
Cómo funciona
Empecemos por lo que falla. Una firma de cuatro socios en Valencia diseña su sistema ISQM 1 con la plantilla que circula por la red, marca todas las casillas del modelo del ICJCE, y archiva el documento. Pasa un año. El socio gestor (que también es el responsable del sistema) firma 14 EQRs sin documentar nada porque "todo era estándar". Llega la inspección del ICAC y solicita la documentación del monitoreo. No existe. El sistema fue un brindis al sol.
Ahora lo que ISQM 1 requiere. La norma obliga a cada firma a establecer un sistema de control de calidad definido en el párrafo 15 como "un sistema de políticas y procedimientos que la firma ha diseñado, implementado y operado para lograr el objetivo del sistema de control de calidad." Ese objetivo, en el párrafo 12, es doble: que la firma y sus profesionales cumplan con las normas profesionales aplicables, y que generen informes de auditoría apropiados. ISQM 1 no es una lista de verificación. Es un marco basado en objetivos que la firma debe operar de forma continua.
Componente 1: gobierno y liderazgo. La firma debe designar explícitamente a una persona responsable de supervisar el sistema. Esa persona reporta al nivel más alto de dirección. El párrafo 27 exige que la dirección demuestre compromiso con la calidad mediante asignación de recursos suficientes. Lo que realmente ocurre en las firmas españolas: el responsable es el socio gestor, que también factura horas, lleva los clientes más grandes, y no tiene tiempo material para supervisar nada.
Componente 2: estructura organizacional. La firma debe definir roles, responsabilidades y líneas de reporte. Nadie puede ser supervisor de su propio trabajo. El párrafo 35 exige que las personas responsables de supervisar el cumplimiento tengan autoridad suficiente para hacerlo cumplir. Lo que ocurre: en una firma de 30 personas, el socio EQR es íntimo del socio del encargo, comieron juntos ayer, y la "autoridad" es teórica.
Componente 3: recursos (personas). La firma debe evaluar si contrata personas competentes, las capacita y las retiene. El párrafo 48 exige evaluación "objetiva y documentada" de cada persona. Lo que ocurre: la firma tiene una política general de formación continuada, una matriz de competencia genérica, y ninguna evaluación individual antes de asignar a alguien a un encargo.
Componente 4: procesos del encargo. La firma debe tener procedimientos para aceptar clientes, asignar equipos, supervisar la ejecución y revisar el resultado. El párrafo 62 requiere un revisor de control de calidad del encargo (EQR) designado explícitamente para encargos que cumplan los criterios establecidos por la firma. Lo que ocurre: el EQR firma sin revisar porque el socio necesita el cliente y el informe sale el viernes.
Componente 5: monitoreo y remediación. La firma debe llevar a cabo evaluaciones periódicas para determinar si el sistema funciona. El párrafo 80 requiere que los resultados se comuniquen a la dirección y que se apliquen acciones correctivas. Lo que ocurre: una revisión anual al final del año, dos auditorías muestreadas, ningún hallazgo importante, archivado.
Aquí está la zona gris que casi nadie discute abiertamente. ISQM 1 te exige identificar tus "riesgos de calidad" propios y tus "respuestas" propias. Si copias del modelo del ICJCE o de la red internacional sin adaptarlo, técnicamente tienes documentación, pero no tienes un sistema. Si lo adaptas en serio, descubres riesgos incómodos: por ejemplo, que tu socio gestor revisa sus propios encargos en la práctica, o que tu rotación de personal hace imposible mantener competencia sectorial. Documentar eso es documentar contra ti mismo de cara a una inspección.
Ejemplo práctico: Auditoría y Consultoría Ibérica S.L.
Cliente: Auditoría y Consultoría Ibérica S.L., firma de auditoría pequeña con sede en Valencia, 12 socios, 45 profesionales, especializada en empresas constructoras y de logística en la región de Levante. FY 2024 fue su primer año bajo ISQM 1.
Paso 1: identificar al responsable del sistema de control de calidad. Auditoría y Consultoría Ibérica designó a la socia Marta Ruiz como responsable del sistema, con reporte directo a la junta de socios. Ruiz no tiene responsabilidades operativas en encargos de auditoría (para evitar conflictos de interés). Documentación en el archivo de firma: acta de junta designando a Ruiz, versión de su carta de responsabilidades.
Paso 2: documentar la estructura organizacional. La firma creó un organigrama que muestra tres niveles: junta de socios, Ruiz como responsable de control de calidad, y tres directores de encargo (cada uno supervisa 4–5 auditorías en curso). Cada director tiene un EQR designado (no subordinado directo) que revisa la conclusión antes del informe final. Documentación: organigrama con firmas de aprobación de la junta.
Paso 3: evaluar competencia del personal. Auditoría y Consultoría Ibérica evaluó que de sus 45 profesionales, 8 eran auditores senior (nivel de "encargado de auditoría"), 18 eran auditores sénior (nivel de "supervisor de equipo"), y 19 eran auditores junior. Para cada nivel, documentó los requisitos de competencia (certificación de auditor, años de experiencia, especialización sectorial) y evaluó quién los cumplía. Identificó que solo 6 de los 8 encargados de auditoría cumplían el requisito de haber completado 50 horas de formación continuada anual. Documentación: matriz de competencia, planes de formación individuales para los dos deficitarios.
Paso 4: procesos de aceptación de clientes. La firma estableció que toda solicitud de nuevo cliente debe ser evaluada por la junta antes de aceptación. El protocolo: Ruiz recopila información del cliente posible (industria, volumen de transacciones, jurisdicción de operación, cualquier indicador de riesgo de fraude). El socio responsable del sector emite una opinión sobre si la firma tiene competencia. La junta vota. Si se aprueba, Ruiz asigna el encargo a un encargado de auditoría competente en ese sector. Documentación: formulario de evaluación de nuevo cliente, registro de decisiones de junta, cartas de aceptación.
Paso 5: revisor de control de calidad del encargo (EQR). Para cada auditoría que cumple los criterios de la firma, el protocolo de Auditoría y Consultoría Ibérica designa a uno de los directores de encargo (distinto del director de la auditoría en cuestión) como EQR. Este revisor es responsable de que el equipo haya reunido evidencia suficiente y apropiada, haya evaluado riesgos correctamente, y de que la opinión sea apropiada bajo NIA-ES antes de emitirse. Documentación: matriz de asignación de EQR, hojas de verificación de revisión para cada auditoría, copias de las revisiones finales.
Paso 6: monitoreo periódico. A finales de FY 2024, Ruiz llevó a cabo una evaluación retrospectiva de cinco auditorías completadas (seleccionadas al azar de las 35 ejecutadas ese año). Para cada una, revisó el archivo completo con enfoque en: si el equipo identificó correctamente los riesgos importantes según NIA-ES 315, si hubo un EQR designado, si se evaluó la materialidad de forma documentada, y si la conclusión final estaba soportada por papeles de trabajo. En una de las cinco auditorías (una pyme de logística por valor de €850K facturación), Ruiz encontró que el EQR no había documentado su conclusión sobre si el juicio de materialidad era razonable. Documentación de monitoreo: resumen de hallazgos, comunicación a la junta, plan de acción (el EQR completó la documentación ex post; se añadió una verificación ex ante a la hoja de verificación).
La complicación real. En el cuarto encargo muestreado, Ruiz descubrió que el EQR (uno de los directores) había firmado 9 revisiones durante el año sin documentar el tiempo dedicado a cada una y con una hoja de verificación idéntica palabra por palabra. Cuando preguntó, el director respondió que "fue un trámite, todos eran clientes recurrentes y conocidos." Aquí Ruiz tuvo que decidir: registrarlo como deficiencia del sistema en el SOCMP (Statement on the Operation of the Compliance with the Monitoring of Performance) y arriesgarse a que el ICAC lo lea en su próxima inspección, o tratarlo como un hallazgo individual remediado y dejarlo fuera del informe. Optó por registrarlo. Esa decisión, vista desde fuera, es lo que ISQM 1 pretende que las firmas hagan. Vista desde dentro, es escribir munición contra tu propio socio.
Qué revisores e inspectores observan de forma errónea
Tier 1 (hallazgo de inspector). El IAASB y las autoridades supervisoras europeas han alertado sobre la interpretación errónea del concepto de "escala" en ISQM 1. Hablamos concretamente de pequeñas firmas que asumen que pueden saltarse componentes porque son "pequeñas." ISQM 1, párrafo 14, exige que la firma considere su tamaño, complejidad, naturaleza y rango de servicios para calibrar el sistema, pero NO permite omitir componentes. El ICAC, en su informe de inspección 2023, señaló deficiencias persistentes en aspectos esenciales del sistema de control de calidad en un porcentaje significativo de las firmas inspeccionadas. Traducido: llevamos años con los mismos problemas y nadie los arregla. Una observación recurrente es que el 43% de firmas pequeñas no había designado explícitamente un EQR para encargos que cumplían los criterios. ISQM 1, párrafo 62 lo requiere. Sin excepción.
Tier 2 (error estándar-referenciado). La documentación de competencia es frecuentemente superficial. ISQM 1, párrafo 48 requiere evaluación "objetiva y documentada" de cada persona. En la práctica, las firmas medianas confunden esto con "tener una política de formación continuada" sin evaluación individual. La norma exige evaluación de cada persona, documentada antes de su asignación a un encargo. Si la documentación no existe o es genérica, ISQM 1 no se está operando.
Tier 3 (brecha de práctica documentada). El monitoreo se realiza ex post (después del período) cuando ISQM 1 lo contempla como un proceso en curso. El párrafo 80 requiere evaluaciones periódicas, comunicación de resultados a la dirección, y aplicación de acciones correctivas. Muchas firmas pequeñas hacen una evaluación anual al final del año. Técnicamente no incumplen, pero tampoco están operando un sistema que identifique y corrija problemas a tiempo.
Por qué el sistema falla — la discusión que nadie tiene en voz alta
Aquí hay una discrepancia legítima entre dos posturas de socios que conozco personalmente. La socia A dice que ISQM 1 funcionará en cuanto el ICAC empiece a sancionar específicamente por deficiencias del sistema (no solo por encargos individuales): cuando la primera firma reciba una multa de seis cifras por no haber operado un sistema de monitoreo creíble, todas las demás se pondrán en serio. El socio B contesta que el ICAC con su plantilla actual de inspectores nunca llegará a hacer una inspección sistémica seria, que las inspecciones siguen centradas en encargos individuales muestreados, y que por eso ISQM 1 es estructuralmente un brindis al sol durante al menos otro ciclo de inspección. Yo no tengo certeza sobre cuál de los dos tiene razón. Sospecho que ambos.
Hay un punto adicional incómodo. ISQM 1 puso la responsabilidad del sistema en el socio gestor. Ese socio normalmente lleva clientes y factura. Documentar deficiencias propias del sistema es documentar contra sí mismo de cara a una inspección, un litigio o una negociación de venta. La respuesta racional, dado el incentivo, es marcar la casilla y archivar. La norma no toma por tontos a los usuarios de informes; algunas personas en la profesión sí lo hacen.
ISQM 1 vs. ISA 220 (revisada 2022)
| Aspecto | ISQM 1 | ISA 220 (Revisada 2022) |
|---|---|---|
| Alcance | Sistema de control de calidad de toda la firma | Procedimientos de control de calidad para encargos de auditoría individuales |
| Efectiva desde | 15 de diciembre de 2022 | 15 de diciembre de 2022 (en paralelo con ISQM 1) |
| Responsabilidad | Firma completa (responsable designado por la dirección) | Encargo individual (socio del encargo) |
| Relación | ISQM 1 establece el marco; ISA 220 Rev especifica cómo aplicarlo a cada auditoría | ISA 220 Rev requiere que la firma opere un sistema de control de calidad (es decir, ISQM 1) |
| Componentes | Ocho componentes basados en objetivos | Procedimientos por encargo: aceptación, planificación, ejecución, supervisión, EQR, conclusión |
| Documentación obligatoria | Políticas, procedimientos, evaluaciones, registros de monitoreo, SOCMP anual | Matriz de asignación de EQR, hoja de verificación, conclusión documentada del socio del encargo |
ISA 220 (Revisada 2022) no reemplaza a ISQM 1. Trabajan en paralelo. ISQM 1 es el marco de la firma; ISA 220 Rev es la aplicación a cada encargo.
Términos relacionados
- Revisor de control de calidad del encargo (EQR): la persona designada para cada auditoría que cumple los criterios y verifica que el equipo ha reunido evidencia suficiente antes de emitir el informe - Control de calidad en los encargos de auditoría: los procedimientos específicos durante una auditoría (ISA 220 Revisada 2022) - Gobierno en firmas de auditoría: la estructura de poder y responsabilidad en una firma (componente 1 de ISQM 1) - Evaluación de competencia: el proceso de determinar si una persona tiene las capacidades necesarias para una función (componente recursos de ISQM 1) - Aceptación de clientes: el proceso de evaluar si una firma debe aceptar un encargo de un cliente nuevo (componente procesos del encargo) - Monitoreo de control de calidad: el proceso de evaluar periódicamente si el sistema está funcionando (componente monitoreo y remediación)
---