Cómo funciona

ISQC 1, emitido en 2008 e implementado en 2009, estableció requisitos para que las firmas diseñen y mantengan sistemas de control de calidad para auditorías y trabajos de revisión. El estándar cubría liderazgo, políticas de recursos humanos, aceptación de clientes, desempeño de encargos y documentación. Era un estándar prescriptivo pero ofrecía discreción considerable en el diseño del sistema.
ISQM 1, emitido en 2022 e implementado obligatoriamente a partir del 15 de diciembre de 2024, representa un cambio central en la filosofía de la gestión de la calidad. En lugar de mantener controles de calidad, ISQM 1 requiere que las firmas identifiquen, evalúen y respondan a los riesgos de calidad. ISQM 1 párrafo 23 exige que la firma implemente una respuesta a cada riesgo de calidad identificado. Esta es la diferencia central: ISQC 1 era reactivo; ISQM 1 es preventivo.
ISQM 1 también introduce la responsabilidad explícita del socio-gerente de la firma (o equivalente). Párrafo 25 de ISQM 1 requiere que la firma designe a un socio responsable de supervisar el sistema de gestión de la calidad. Este socio debe ser suficientemente experimentado y debe tener el tiempo y la autoridad para cumplir esta responsabilidad. En ISQC 1, esta responsabilidad era menos clara y menos individualizada.
ISQM 1 requiere una evaluación anual de la efectividad del sistema de gestión de la calidad (párrafo 34). Bajo ISQC 1, la evaluación era menos formal y menos frecuente para muchas firmas.

Comparación lado a lado

| Dimensión | ISQC 1 (derogado) | ISQM 1 (obligatorio desde dic 2024) |
|-----------|-------------------|-------------------------------------|
| Enfoque | Prescriptivo: diseñar controles para áreas central | Orientado al riesgo: identificar riesgos de calidad y responder |
| Responsabilidad del socio | Responsabilidad general del liderazgo | Socio-gerente específicamente designado, responsable por nombre |
| Evaluación de riesgos | No obligatoria de forma sistemática | Obligatoria anualmente; párrafo 22 requiere evaluación documentada |
| Alcance de cobertura | Auditorías y trabajos de revisión principalmente | Todos los trabajos de aseguramiento (auditoría, revisión, aseguramientos especializados) |
| Documentación | Política y procedimientos estándar | Política, evaluación de riesgos, matriz de respuesta a riesgos, evaluación de efectividad |
| Tecnología y datos | Menciona tecnología, no obligatoria | ISQM 1 párrafo 14 requiere que la firma use tecnología apropiada |

Cuándo importa la distinción en un encargo

Cualquier firma que siga usando ISQM 1 a partir de diciembre de 2024 debe haber completado su transición de ISQC 1 al menos tres meses antes. Después de esa fecha, un inspector (ya sea el regulador nacional o un socio de revisión de calidad externo) esperará ver pruebas de que la firma opera bajo ISQM 1, no ISQC 1.
Si la firma aún está bajo ISQC 1 después del 15 de diciembre de 2024, esto es un incumplimiento de las normas de auditoría vigentes. Los papeles de trabajo deberían mostrar que la firma ha identificado riesgos de calidad, ha documentado respuestas a esos riesgos, y ha evaluado la efectividad del sistema. En una inspección, la ausencia de esta documentación sugiere que la firma aún opera bajo el marco ISQC 1 derogado.
Para auditorías de firmas medianas que se registraron con ISQC 1 durante muchos años, la transición requiere más que cambiar el nombre del estándar. Requiere cambiar cómo la firma piensa sobre la calidad: de "tenemos controles implementados" a "hemos identificado estos riesgos específicos y aquí está nuestra respuesta documentada a cada uno."

Ejemplo práctico: Auditoría Integral S.L.

Cliente: Auditoría Integral S.L., firma de auditoría independiente con 12 socios, sede en Valencia, facturación €2,1 millones anuales, mixta (auditorías, revisiones limitadas, trabajos especializados).
Situación: Es octubre de 2024. La firma ha operado bajo ISQC 1 desde 2009. Ahora debe transitar a ISQM 1 antes del 15 de diciembre de 2024: menos de 2,5 meses.
Paso 1: Identificar riesgos de calidad a nivel de firma
La firma reúne a los socios para identificar los riesgos que podrían afectar la calidad de la auditoría. Identifican:
Nota de documentación: La firma documenta estos riesgos en una matriz de riesgos de calidad. Esta matriz es la piedra angular de ISQM 1; no existía bajo ISQC 1.
Paso 2: Diseñar respuestas a cada riesgo identificado
Para el riesgo de recursos, la firma diseña una respuesta: contratación de un asociado senior con experiencia en auditoría de seguros, comenzando en enero de 2025. Se asigna presupuesto. Se identifica el socio responsable de supervisar esta contratación.
Para el riesgo de tecnología, la respuesta es: migración a una plataforma de auditoría en la nube (software específico identificado) antes de marzo de 2025. Se identifica el costo (€15.000 en licencias de primer año) y se asigna a un socio responsable de aplicación.
Para el riesgo regulatorio, la respuesta es: capacitación obligatoria en regulación de seguros para todos los socios y el equipo senior antes de noviembre de 2024. Costo: €800 en matrícula de curso especializado.
Nota de documentación: Cada respuesta está documentada con: descripción de la acción, responsable asignado, fecha de aplicación esperada, criterio de éxito. Esta es la estructura de matriz de respuesta a riesgos.
Paso 3: Designar al socio-gerente de ISQM 1
La firma designa formalmente a María Rodríguez, socia con 18 años de experiencia, como responsable de supervisar el sistema de gestión de la calidad bajo ISQM 1. Se actualiza el procedimiento de la firma para nombrar a María como el punto de contacto para la calidad. Se le asigna tiempo protegido en su presupuesto de horas facturable para esta responsabilidad.
Nota de documentación: El nombramiento se documenta en un memorando de socios. Bajo ISQC 1, esta responsabilidad era implícita. Bajo ISQM 1, es explícita y atribuible.
Paso 4: Implementar procedimientos de revisión de calidad revisados
La firma actualiza su procedimiento de revisión de encargos para verificar que las respuestas a riesgos se han aplicado a cada auditoría. Por ejemplo: antes de emitir un informe de auditoría para un cliente de seguros, la revisión de calidad verifica que (a) la capacitación regulatoria se ha completado, (b) se ha aplicado el procedimiento específico de seguros, y (c) la documentación de evaluación de riesgos está completa.
Nota de documentación: El procedimiento revisado se documenta. Una muestra de auditorías completadas bajo el nuevo procedimiento (3 a 5 auditorías en octubre de 2024) se revisa para asegurar que la estructura está funcionando.
Paso 5: Preparar la evaluación anual de efectividad (aunque sea anticipada)
Aunque formalmente ISQM 1 requiere una evaluación anual después de la aplicación (párrafo 34), la firma decide realizar una evaluación anticipada en noviembre de 2024 para asegurar que el sistema está funcionando antes de la fecha obligatoria. Esta evaluación verifica:
Nota de documentación: La evaluación se documenta en un informe de una página dirigido al consejo de socios. Este informe no era requerido bajo ISQC 1.
Conclusión: La firma pasó a ISQM 1 a tiempo. Un inspector que audite a la firma en 2025 verá: matriz de riesgos de calidad, respuestas documentadas, designación de socio-gerente, capacitación completada, procedimientos de revisión de calidad mejorados, y evidencia de que se aplicaron. La firma está en cumplimiento de ISQM 1. Si hubiera seguido operando bajo ISQC 1 después de diciembre de 2024, esto habría sido un incumplimiento de las normas de auditoría vigentes.

  • Riesgo de recursos: dos socios jubilados en los próximos 18 meses; falta de cobertura en auditoría de empresas financieras
  • Riesgo de tecnología: sistema de auditoría aún basado en Excel para documentación de evaluación de riesgos
  • Riesgo de cumplimiento normativo: cliente en sector regulado (seguros); el equipo no ha completado la capacitación en regulación de seguros
  • ¿Cada riesgo identificado en la matriz tiene una respuesta documentada?
  • ¿Las respuestas se implementaron según lo programado?
  • ¿Hay evidencia de que se aplicaron a los encargos?
  • ¿Hay excepciones documentadas o riesgos no comunicados?

Qué inspectores y socios de revisión de calidad entienden mal

  • Confundir la fecha de transición con una fecha de "opción." Algunos socios creen que si adoptan ISQM 1 antes de diciembre de 2024, pueden revertir a ISQC 1 después si lo desean. No: una vez que una firma se ha transicionado a ISQM 1, permanece bajo ISQM 1. No hay reversión.
  • Confundir "matriz de riesgos de calidad" con "evaluación de riesgos de auditoría." ISQM 1 requiere que la firma identifique riesgos que podrían afectar la calidad de cualquier encargo (riesgos a nivel de firma). Esto es diferente de la evaluación de riesgos de auditoría requerida por la NIA-ES 315 para cada auditoría específica. Una firma podría tener un riesgo de calidad a nivel de firma (por ejemplo, "falta de experiencia en sector de seguros") pero aún así aceptar una auditoría de un cliente de seguros si también implementa una respuesta a ese riesgo (capacitación, supervisión mejorada, revisión de calidad mejorada).
  • Documentar respuestas a riesgos sin evaluar su efectividad. ISQM 1 párrafo 34 requiere que la firma evalúe anualmente si el sistema de gestión de la calidad está funcionando de forma efectiva. Muchas firmas documentan respuestas (cumplimiento de requisitos formales) pero no evalúan si esas respuestas están funcionando (cumplimiento de la intención de la norma).

Términos relacionados

---

  • ISA 220 (Revisado): Control de calidad en auditorías de estados financieros. Mientras que ISQM 1 cubre la gestión de la calidad a nivel de firma, ISA 220 cubre el control de calidad a nivel de encargo individual.
  • ISQM 2: Sistema de gestión de la calidad para firmas que no son firmas de auditoría, emitido junto con ISQM 1. No aplicable a firmas de auditoría.
  • Evaluación de riesgos de auditoría: Diferente de la evaluación de riesgos de calidad. Requerida por NIA-ES 315 para cada auditoría; requerida por ISQM 1 a nivel de firma.
  • Revisión de calidad de encargo: Procedimiento específico requerido bajo ISQM 1 y ISA 220 para auditorías de alto riesgo y entidades de interés público.

Términos relacionados

ISA 220 (Revisado)ISQM 2Evaluación de riesgos de auditoríaRevisión de calidad de encargo

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.