Definition
La mayoría de los despachos trata el paso de ISQC 1 a ISQM 1 como una actualización de documentación: cambian el encabezado del manual y lo archivan. Por lo que conozco, es un cambio de fondo y no un trámite: ISQC era un manual que se revisaba una vez al año, ISQM es un sistema que exige seguimiento continuo del riesgo de calidad a nivel de despacho. En los encargos que he llevado, los socios que no asumen esa diferencia pronto descubren que el ICAC la tiene muy presente en las revisiones.
Cómo funciona
ISQC 1, emitido en 2008 y aplicado en 2009, fijó los requisitos para que los despachos diseñen y mantengan sistemas de control de calidad en auditorías (NIA-ES) y trabajos de revisión. El estándar cubría liderazgo, políticas de recursos humanos, aceptación de clientes, desempeño de encargos y documentación. Era un estándar prescriptivo, aunque dejaba margen amplio en el diseño del sistema.
ISQM 1, emitido en 2022 y aplicado obligatoriamente a partir del 15 de diciembre de 2024, cambia la filosofía de la gestión de la calidad. En lugar de mantener controles de calidad, ISQM 1 requiere que los despachos identifiquen, evalúen y respondan a los riesgos de calidad. El párrafo 23 de ISQM 1 exige que el despacho aplique una respuesta a cada riesgo de calidad identificado. Esa es la diferencia de fondo: ISQC 1 era reactivo; ISQM 1 es preventivo.
ISQM 1 introduce también la responsabilidad explícita del socio-gerente del despacho (o equivalente). El párrafo 25 exige que el despacho designe a un socio responsable de supervisar el sistema de gestión de la calidad. Ese socio debe tener experiencia suficiente y contar con el tiempo y la autoridad para cumplir esta responsabilidad. Bajo ISQC 1, esta responsabilidad era menos clara y menos individualizada.
ISQM 1 exige una evaluación anual de la efectividad del sistema de gestión de la calidad (párrafo 34). Bajo ISQC 1, esta evaluación era menos formal y menos frecuente para muchos despachos.
Comparación lado a lado
| Dimensión | ISQC 1 (derogado) | ISQM 1 (obligatorio desde dic 2024) |
|---|---|---|
| Enfoque | Prescriptivo: diseñar controles para áreas centrales | Orientado al riesgo: identificar riesgos de calidad y responder |
| Responsabilidad del socio | Responsabilidad general del liderazgo | Socio-gerente específicamente designado, responsable por nombre |
| Evaluación de riesgos | No obligatoria de forma sistemática | Obligatoria anualmente; párrafo 22 requiere evaluación documentada |
| Alcance de cobertura | Auditorías y trabajos de revisión principalmente | Todos los trabajos de aseguramiento (auditoría, revisión, aseguramientos especializados) |
| Documentación | Política y procedimientos estándar | Política, evaluación de riesgos, matriz de respuesta a riesgos, evaluación de efectividad |
| Tecnología y datos | Menciona tecnología, no obligatoria | ISQM 1 párrafo 14 exige que el despacho use tecnología apropiada |
Cuándo importa la distinción en un encargo
Cualquier despacho que siga operando después de diciembre de 2024 debe haber completado su transición de ISQC 1 a ISQM 1 al menos tres meses antes. A partir de esa fecha, un inspector (ya sea el ICAC, la CNMV para entidades cotizadas, o un revisor externo del ICJCE) esperará ver pruebas de que el despacho opera bajo ISQM 1, no ISQC 1.
Donde empieza el juicio profesional: el socio-gerente tiene que decidir, con papeles en la mano, qué riesgos de calidad son reales en su despacho y cuáles son copia-pega del manual antiguo. Por lo que conozco, ese momento es el que separa a los despachos que aprueban una revisión de control de calidad de los que se quedan con observaciones.
Si el despacho sigue bajo ISQC 1 después del 15 de diciembre de 2024, usted tiene un incumplimiento de las normas de auditoría vigentes. Los papeles de trabajo (PT) deberían mostrar que el despacho ha identificado riesgos de calidad, ha documentado respuestas a esos riesgos, y ha evaluado la efectividad del sistema. En una inspección, la ausencia de esta documentación sugiere que el despacho aún opera bajo el marco ISQC 1 derogado.
Para despachos medianos que llevaban muchos años con ISQC 1, la transición pide más que cambiar el nombre del estándar. Pide cambiar cómo el despacho piensa sobre la calidad: de "tenemos controles" a "hemos identificado estos riesgos específicos y aquí está nuestra respuesta documentada a cada uno."
Tome dos lecturas legítimas. El socio A sostiene que tener una matriz de riesgos de calidad firmada por todos los socios y una evaluación anual basta, porque el párrafo 34 habla de evaluar "la efectividad", no de reabrir el diseño cada trimestre. El socio B sostiene que sin una revisión intermedia cuando cambian las condiciones (una baja, un cliente nuevo en un sector que no dominan, un cambio en los sistemas), la matriz se convierte en un brindis al sol: bonito en el papel, inútil en la práctica. Ambos leen la norma con criterio; en mi caso, he visto al ICAC preguntar por las dos cosas en la misma revisión.
Hay una razón estructural por la que los despachos tratan ISQM como un trámite: la presión de honorarios durante busy season. El socio que quiere dedicar setenta horas a construir una matriz de riesgos genuina no puede facturar esas horas a nadie, y si los clientes están aceptando subidas del 2 %, cada hora no facturable pesa. A eso se suma que muchas plantillas heredadas de ISQC 1 siguen circulando en el mercado español, con el encabezado cambiado pero el contenido intacto, y que cambiar de metodología obliga a formar al equipo en medio del cierre. El resultado: manuales nuevos con pensamiento viejo, y el socio necesita el cliente más de lo que necesita rehacer el sistema.
Ejemplo práctico: Auditoría Integral S.L.
Cliente: Auditoría Integral S.L., despacho de auditoría independiente con 12 socios, sede en Valencia, facturación 2,1 millones de euros anuales, mixta (auditorías, revisiones limitadas, trabajos especializados).
Situación: Es octubre de 2024. El despacho ha operado bajo ISQC 1 desde 2009. Ahora debe transitar a ISQM 1 antes del 15 de diciembre de 2024: menos de 2,5 meses.
Paso 1: Identificar riesgos de calidad a nivel de despacho Los socios se reúnen para identificar los riesgos que podrían afectar la calidad de la auditoría. Identifican: - Riesgo de recursos: dos socios jubilados en los próximos 18 meses; falta de cobertura en auditoría de empresas financieras - Riesgo de tecnología: sistema de auditoría aún basado en Excel para documentación de evaluación de riesgos - Riesgo de cumplimiento normativo: cliente en sector regulado (seguros); el equipo no ha completado la formación en regulación de seguros
Nota de documentación: El despacho documenta estos riesgos en una matriz de riesgos de calidad. Esta matriz es la piedra angular de ISQM 1; no existía bajo ISQC 1.
Paso 2: Diseñar respuestas a cada riesgo identificado Para el riesgo de recursos, el despacho diseña una respuesta: contratación de un asociado sénior con experiencia en auditoría de seguros, comenzando en enero de 2025. Se asigna presupuesto. Se identifica el socio responsable de supervisar esta contratación.
Para el riesgo de tecnología, la respuesta es: migración a una plataforma de auditoría en la nube (software específico identificado) antes de marzo de 2025. Se identifica el coste (15.000 euros en licencias de primer año) y se asigna a un socio responsable de la aplicación.
Para el riesgo regulatorio, la respuesta es: formación obligatoria en regulación de seguros para todos los socios y el equipo sénior antes de noviembre de 2024. Coste: 800 euros en matrícula de curso especializado.
Nota de documentación: Cada respuesta se documenta con: descripción de la acción, responsable asignado, fecha de aplicación esperada, criterio de éxito. Esta es la estructura de matriz de respuesta a riesgos.
Paso 3: Designar al socio-gerente de ISQM 1 El despacho designa formalmente a María Rodríguez, socia con 18 años de experiencia, como responsable de supervisar el sistema de gestión de la calidad bajo ISQM 1. Se actualiza el procedimiento del despacho para nombrar a María como el punto de contacto para la calidad. Se le asigna tiempo protegido en su presupuesto de horas facturables para esta responsabilidad.
Nota de documentación: El nombramiento se documenta en un memorando de socios. Bajo ISQC 1, esta responsabilidad era implícita. Bajo ISQM 1, es explícita y atribuible.
Paso 4: Aplicar procedimientos de revisión de calidad revisados El despacho actualiza su procedimiento de revisión de encargos para verificar que las respuestas a riesgos se han aplicado a cada auditoría. Por ejemplo: antes de emitir un informe de auditoría para un cliente de seguros, la revisión de calidad del encargo (EQR) verifica que (a) la formación regulatoria se ha completado, (b) se ha aplicado el procedimiento específico de seguros, y (c) la documentación de evaluación de riesgos está completa.
Nota de documentación: El procedimiento revisado se documenta. Una muestra de auditorías completadas bajo el nuevo procedimiento (3 a 5 auditorías en octubre de 2024) se revisa para asegurar que la estructura está funcionando.
Paso 5: Preparar la evaluación anual de efectividad (aunque sea anticipada) Aunque formalmente ISQM 1 requiere una evaluación anual después de la aplicación (párrafo 34), el despacho decide realizar una evaluación anticipada en noviembre de 2024 para asegurar que el sistema está funcionando antes de la fecha obligatoria. Esta evaluación verifica: - ¿Cada riesgo identificado en la matriz tiene una respuesta documentada? - ¿Las respuestas se aplicaron según lo programado? - ¿Hay evidencia de que se aplicaron a los encargos? - ¿Hay excepciones documentadas o riesgos no comunicados?
Nota de documentación: La evaluación se documenta en un informe de una página dirigido al consejo de socios. Este informe no era requerido bajo ISQC 1.
Cierre del ejemplo: El despacho pasó a ISQM 1 a tiempo. Un inspector que revise al despacho en 2025 verá: matriz de riesgos de calidad, respuestas documentadas, designación de socio-gerente, formación completada, procedimientos de revisión de calidad mejorados, y evidencia de que se aplicaron. El despacho cumple con ISQM 1. Si hubiera seguido operando bajo ISQC 1 después de diciembre de 2024, esto habría sido un incumplimiento de las normas de auditoría vigentes.
Qué inspectores y socios de revisión de calidad entienden mal
- Confundir la fecha de transición con una fecha de "opción." Algunos socios creen que si adoptan ISQM 1 antes de diciembre de 2024, pueden revertir a ISQC 1 después si lo desean. No: una vez que un despacho ha transitado a ISQM 1, permanece bajo ISQM 1. No hay vuelta atrás.
- Confundir "matriz de riesgos de calidad" con "evaluación de riesgos de auditoría." ISQM 1 requiere que el despacho identifique riesgos que podrían afectar la calidad de cualquier encargo (riesgos a nivel de despacho). Esto es diferente de la evaluación de riesgos de auditoría requerida por la NIA-ES 315 para cada auditoría específica. Un despacho podría tener un riesgo de calidad a nivel de despacho (por ejemplo, "falta de experiencia en sector de seguros") pero aún así aceptar una auditoría de un cliente de seguros si también aplica una respuesta a ese riesgo (formación, supervisión mejorada, revisión de calidad mejorada).
- Documentar respuestas a riesgos sin evaluar su efectividad. ISQM 1 párrafo 34 requiere que el despacho evalúe anualmente si el sistema de gestión de la calidad está funcionando. Muchos despachos documentan respuestas (cumplimiento de requisitos formales) pero no evalúan si esas respuestas están funcionando: marcan la casilla y siguen. Esa es exactamente la trampa que el ICAC busca en una revisión.
Términos relacionados
- ISA 220 (Revisado): Control de calidad en auditorías de estados financieros. Mientras que ISQM 1 cubre la gestión de la calidad a nivel de despacho, ISA 220 cubre el control de calidad a nivel de encargo individual. - ISQM 2: Sistema de gestión de la calidad para despachos que no son despachos de auditoría, emitido junto con ISQM 1. No aplicable a despachos de auditoría. - Evaluación de riesgos de auditoría: Diferente de la evaluación de riesgos de calidad. Requerida por NIA-ES 315 para cada auditoría; requerida por ISQM 1 a nivel de despacho. - Revisión de calidad de encargo (EQR): Procedimiento específico requerido bajo ISQM 1 y ISA 220 para auditorías de alto riesgo y entidades de interés público.
---