Definition
Vaya por delante que el PCAOB no es competente sobre auditores españoles ni latinoamericanos. Lo que sí ocurre es que cualquier grupo con cotización en NASDAQ o NYSE, o con una filial registrada en el SEC, arrastra una capa de auditoría adicional regida por estándares estadounidenses (AS), y esa capa se solapa con la auditoría NIA-ES o pan-LatAm que la firma ya estaba ejecutando. Ahí es donde el PCAOB importa al auditor europeo: no como regulador propio, sino como segundo régimen al que el mismo equipo debe responder con los mismos papeles.
aspectos central
> - Los AS del PCAOB son sustancialmente similares a las ISA, pero más prescriptivos en documentación. La diferencia importa en inspección. > - Los informes públicos del PCAOB son indicador adelantado de lo que el ICAC, la AFM y la FRC encontrarán dos o tres años después. > - Si llega una inspección PCAOB, la regla operativa es: lo que no está documentado, no se hizo. Ese filtro es más estricto que el del ICAC.
Cómo funciona
El PCAOB nació en 2002 como respuesta a Enron y WorldCom. La Ley Sarbanes-Oxley le dio cuatro funciones: registrar a las firmas que auditan empresas públicas estadounidenses, emitir estándares, inspeccionar a las firmas registradas, y ejecutar procedimientos disciplinarios. Lo que distingue al PCAOB de la mayoría de reguladores europeos es la transparencia de las inspecciones: los informes son públicos y nominales. Cuando KPMG o Deloitte recibe una observación, sale en el informe con el ejemplar de la deficiencia.
A diferencia de los reguladores europeos que adoptan las Normas Internacionales de Auditoría (ISA), el PCAOB emite sus propios estándares. Sustancialmente similares a las ISA, sí, pero con diferencias técnicas que se notan al ejecutar. Por ejemplo, AS 2501 (evaluación de riesgos) es más prescriptivo que ISA 315 (Revisada 2019) en cuanto al detalle del memorándum y su contenido obligatorio.
El PCAOB publica dos tipos de pronunciamientos:
Estándares de auditoría (AS): requerimientos obligatorios para las auditorías de empresas públicas estadounidenses. La nomenclatura "AS" (Auditing Standard) sustituye a "ISA."
Pronunciamientos de auditoría (AP): orientación técnica que interpreta los estándares sin ser obligatoria per se, pero que los inspectores del PCAOB usan como vara de medir. La trampa práctica está aquí: un AP no es vinculante en estricto sentido, pero ignorarlo en una inspección suele acabar como observación pública.
El PCAOB inspecciona anualmente a las firmas grandes (Big 4 y algunas otras) y cada tres años a las firmas más pequeñas. Lo que realmente ocurre en una inspección no es una auditoría de la auditoría: es una revisión de papeles seleccionados con el filtro de "si no está, no se hizo." El equipo que confió en explicaciones orales, en correos perdidos, o en "el júnior lo verificó pero no lo documentó" sale con observación.
Ejemplo práctico: Auditoría de una filial estadounidense
Caso: Grupo Mediterráneo de Logística S.L., con sede en Valencia, cotiza en Mercado Continuo y tiene una filial operativa importante (Mediterráneo Logistics Inc.) en Nueva Jersey registrada en el SEC.
Paso 1: Determinación del alcance de auditoría. El grupo presenta estados financieros consolidados bajo NIIF. La filial estadounidense es material al resultado consolidado (18% de ingresos, 22% de activos). Aunque el grupo se audita bajo NIA-ES, la filial estadounidense está sujeta a auditoría PCAOB porque es filial de una empresa registrada en el SEC.
Aquí no hay debate ni zona gris: el PCAOB no permite "auditar bajo ISA" si la entidad está registrada en el SEC. Lo que sí hay es decisión sobre cómo coordinar el equipo. Una opción es que el equipo español ejecute todos los procedimientos siguiendo AS y la firma estadounidense afiliada los revise. Otra es que la firma estadounidense ejecute directamente. Por lo que conozco, la primera vía es más barata pero genera más fricción en inspección. La segunda es más cara pero el riesgo de observaciones es menor.
Nota de documentación: El memorándum de planificación identifica claramente que el equipo de EE.UU. sigue PCAOB AS (no ISA), con énfasis en AS 2501 (evaluación de riesgos), AS 1301 (evaluación de fraude) y AS 2710 (hechos posteriores).
Paso 2: Evaluación de riesgos según PCAOB. AS 2501.09 exige que el auditor entienda: la industria, regulación y otros factores externos; la naturaleza del negocio; los objetivos, estrategias y riesgos relacionados; y la medición y revisión del desempeño financiero. La diferencia con ISA 315 no es de fondo, es de extensión documental. Lo que en NIA-ES cabe en cuatro páginas, en PCAOB requiere ocho a doce.
Nota de documentación: Memorándum de riesgos de 8-12 páginas que describe la operación de logística (gestión de almacenes, transporte de terceros, cumplimiento DOT), riesgos identificados (obsolescencia de inventario, litigios laborales bajo la Ley de Normas Laborales Justas, fraude en nómina), y cómo cada procedimiento responde a cada riesgo. Disponible para revisión del PCAOB en una inspección.
Paso 3: Riesgos importantes y respuestas. AS 2301 requiere procedimientos sustantivos específicos para riesgos importantes, no solo procedimientos de control. En este caso, el inventario (12,4 millones de euros) fue identificado como riesgo importante porque la filial mantiene stocks de productos perecederos en múltiples ubicaciones y existe riesgo de sobrevaloración.
Nota de documentación: Los papeles de inventario incluyen descripción del procedimiento (inspección física en todas las ubicaciones principales en dos fechas), tamaño de muestra y base de muestreo, instrucciones detalladas a los contadores sobre qué inspeccionar, documentación fotográfica, conciliación de cantidades físicas con registros contables, y evaluación de edad y condición del inventario para identificar obsolescencia.
Paso 4: Documentación de fraude. AS 1301 (el equivalente PCAOB a la ISA 240) exige un expediente de fraude documentado separado: discusiones de equipo sobre posibles fraudes, evaluación de factores de riesgo específicos, respuestas a riesgos identificados, y conclusión sobre si se identificó fraude o si existen indicios no resueltos.
Nota de documentación: Memorándum de fraude que describe la evaluación del riesgo de fraude en nómina (dado el tamaño de la función de RR.HH. y los pagos en efectivo frecuentes a trabajadores por encargo), fraude en ingresos (presión por cumplir objetivos de volumen de carga), y fraude en gastos operativos (mantenimiento de vehículos facturado a la matriz de forma interna). Para cada riesgo identificado, procedimientos específicos (prueba de nómina, confirmación de ingresos con clientes, inspección de facturas de mantenimiento).
Paso 5: Revisión de hechos posteriores. AS 2710 obliga a evaluar hechos entre el cierre contable y la fecha del informe, buscando los que requieran ajuste o revelación. La diferencia con ISA 560 está en la formalidad: el PCAOB pide carta de aseguramiento del cliente con fecha posterior, no una declaración general.
Nota de documentación: Carta de aseguramiento del cliente con fecha posterior, revisión del banco de datos de litigios, comunicaciones regulatorias y cambios operacionales entre el 31 de diciembre de 2024 y la fecha del informe (estimado 28 de febrero de 2025).
Conclusión: El grupo Mediterráneo de Logística audita su filial estadounidense bajo PCAOB con documentación más completa que la exigida bajo NIA-ES. La doble conformidad es defensible ante inspecciones tanto del PCAOB como del ICAC o la AFM, porque el PCAOB es más exigente en documentación. Auditar al estándar más estricto cubre ambos.
Qué inspectores y auditores entienden mal
- Tratar AS como ISA con otro nombre. Algunos auditores europeos asumen que el contenido es equivalente y solo cambia el sello. No es así. El PCAOB es más prescriptivo en materialidad (los memos del PCAOB deben incluir benchmarks alternativos considerados, no solo el seleccionado), en evaluación de riesgos (AS 2501 requiere documentación más detallada), y en hechos posteriores (AS 2710 exige investigación posterior formal con carta de aseguramiento). La equivalencia funciona como aproximación, no como sustitución.
- Subestimar la documentación requerida. Las deficiencias más frecuentes que el PCAOB identifica en sus inspecciones públicas se concentran en documentación insuficiente. La regla operativa: si un inspector abre la carpeta de auditoría, debe poder reconstruir qué procedimientos se ejecutaron, por qué, qué se encontró y cómo se resolvieron las excepciones, sin hablar con nadie del equipo. Bajo ISA, se permite mayor economía documental porque el regulador local trabaja con muestras pequeñas y conversaciones. Bajo PCAOB, eso no funciona.
- No actualizar cuando el PCAOB cambia su posición. El PCAOB emite AP que reinterpretan sus estándares. Un equipo que no monitoriza estos AP se queda ejecutando procedimientos bajo el estándar anterior, y dos años después aparece la observación en el informe público. La actualización no es opcional: forma parte del control de calidad de la firma.
PCAOB vs. ISA
| Dimensión | PCAOB | ISA |
|---|---|---|
| Emisor | Junta de Supervisión de la Contabilidad (organismo estadounidense independiente) | IFAC (federación de cuerpos contables profesionales internacionales) |
| Ámbito de aplicación | Auditorías de empresas públicas estadounidenses registradas en el SEC | Auditorías de cualquier entidad en jurisdicciones que han adoptado ISA (la mayoría de países excepto EE.UU.) |
| Materialidad | Requiere evaluación de materialidad cuantitativa y cualitativa; exige documentación de benchmarks alternativos considerados | ISA 320 requiere evaluación similar pero con menos prescripción en la presentación de benchmarks alternativos |
| Evaluación de riesgos | AS 2501 requiere memorándum de riesgos detallado de 8-15 páginas; especifica qué debe documentarse (industria, entidad, riesgos, controles, respuestas) | ISA 315 (Revisada 2019) requiere evaluación de riesgos pero permite más flexibilidad en el formato de documentación |
| Fraude | AS 1301 exige expediente de fraude documentado separado; requiere discusiones de equipo específicas sobre fraude | ISA 240 requiere consideración de fraude pero permite integrarla en los papeles de evaluación de riesgos |
| Hechos posteriores | AS 2710 requiere procedimientos posteriores formales (carta de aseguramiento del cliente) | ISA 560 requiere consideración de hechos posteriores pero permite métodos menos formales |
| Inspecciones | Públicas; el PCAOB publica informes de firmas anuales que identifican deficiencias específicas | Típicamente confidenciales; los reguladores locales publican hallazgos agregados, no específicos de firma |
Cuándo importa la distinción en una auditoría
Si su firma audita una filial o una empresa cotizada estadounidense, debe aplicar PCAOB para esa auditoría específica, aunque la matriz se audite bajo NIA-ES o NIIF de otro país. La inversión en procedimientos PCAOB es real: memorandos más largos, documentación más detallada, papeles de trabajo más voluminosos. Y obligatoria, no optativa.
Aquí está el punto que la guía de la firma rara vez explica: la doble conformidad AS + NIA-ES es eficiente cuando se planifica desde el principio. Es ruinosa cuando el equipo audita primero bajo NIA-ES y después intenta "reconstruir" los papeles para que pasen una inspección PCAOB. Por lo que conozco de firmas medianas con clientes con cotización en EE.UU., el equipo que no se sienta a planificar el doble alcance en julio acaba en febrero con dos campañas en paralelo y honorarios que no llegan a cubrir ninguna de ellas. Esa es la fricción estructural que pocos honorarios reflejan.
Términos relacionados
- Materialidad: El PCAOB requiere un enfoque a la materialidad que documenta benchmarks múltiples considerados, no solo el benchmark final seleccionado. - Evaluación de riesgos de fraude: El PCAOB (AS 1301) requiere un memorándum de fraude separado que no es típicamente exigido bajo ISA 240. - Hechos posteriores: AS 2710 es considerablemente más prescriptivo que ISA 560 en cuanto a procedimientos posteriores formales. - FASB: El marco contable subyacente para empresas estadounidenses bajo la supervisión del PCAOB es US GAAP, emitido por el Financial Accounting Standards Board. - SEC: La Comisión de Valores y Bolsa estadounidense supervisa a las empresas cotizadas; el PCAOB reporta al SEC. - Auditoría de opinión sobre controles internos: Bajo PCAOB, muchas auditorías de empresas cotizadas incluyen una opinión adicional sobre la efectividad de los controles internos sobre información financiera (ICFR), requerida por la sección 404(b) de Sarbanes-Oxley.
Herramientas de ciferi
Aunque ciferi no emite una herramienta específica de cumplimiento PCAOB, el Kit de Evaluación del Riesgo de Fraude NIA-ES 240 proporciona un marco para la evaluación de fraude que es compatible con tanto ISA 240 como con los requisitos de AS 1301 del PCAOB en términos de documentación y análisis de riesgo.
---