PCAOB

aspectos central

El PCAOB emite estándares de auditoría que son obligatorios para auditores de empresas cotizadas estadounidenses, pero sus hallazgos de inspección y posiciones técnicas son estudiados por la profesión global.
Los auditores de grupos con actividad significativa en EE.UU. o cotización en NASDAQ/NYSE deben conocer las posiciones del PCAOB sobre materialidad, evaluación de riesgos y documentación.
El PCAOB publica informes de inspección anuales que identifican patrones de deficiencias en auditoría. Estos hallazgos son un indicador adelantado de lo que otros reguladores (AFM, FRC, ICAC) también encontrarán.

Cómo funciona

El PCAOB fue creado por la Ley Sarbanes-Oxley de 2002 como respuesta a los colapsos contables de Enron y WorldCom. Su mandato es: registrar y supervisar a las firmas de auditoría que auditan empresas públicas estadounidenses, emitir estándares de auditoría, realizar inspecciones de firmas, y ejecutar procedimientos disciplinarios.
A diferencia de muchos reguladores europeos que adoptan las Normas Internacionales de Auditoría (ISA), el PCAOB emite sus propios estándares de auditoría. Estos estándares son sustancialmente similares a las ISA, pero con diferencias técnicas específicas. Por ejemplo, el estándar del PCAOB sobre evaluación de riesgos (AS 2501) requiere un nivel de detalle y documentación de la comprensión del negocio que es más prescriptivo que la ISA 315 (Revisada 2019).
El PCAOB publica dos tipos de pronunciamientos:
Estándares de auditoría (AS): requerimientos obligatorios para las auditorías de empresas públicas estadounidenses. El PCAOB usa la nomenclatura "AS" (Auditing Standard) en lugar de "ISA."
Pronunciamientos de auditoría (AP): orientación técnica que interpreta los estándares sin ser obligatoria per se, pero que los inspectores del PCAOB usan para evaluar el cumplimiento.
El PCAOB realiza inspecciones de todas las firmas registradas. Para las firmas grandes (Big 4 y algunas otras), las inspecciones son anuales. Para firmas más pequeñas, típicamente cada 3 años. Los informes de inspección del PCAOB son públicos e identifican deficiencias en auditoría, incluyendo ejemplos específicos de procedimientos deficientes.

Ejemplo práctico: Auditoría de una filial estadounidense

Caso: Grupo Mediterráneo de Logística S.L., con sede en Valencia, cotiza en Mercado Continuo y tiene una filial operativa importante (Mediterráneo Logistics Inc.) en Nueva Jersey registrada en el SEC.
Paso 1: Determinación del alcance de auditoría
El grupo presenta estados financieros consolidados bajo NIIF. La filial estadounidense es material al resultado consolidado (representa el 18% de ingresos del grupo y el 22% de activos). Aunque el grupo se audita bajo NIA-ES, la filial estadounidense está sujeta a auditoría bajo los estándares del PCAOB porque es una filial de una empresa registrada en el SEC.
Nota de documentación: El memorándum de planificación debe identificar claramente que el equipo de EE.UU. sigue PCAOB AS (no ISA), con énfasis en AS 2501 (evaluación de riesgos), AS 1301 (evaluación de fraude) y AS 2710 (hechos posteriores).
Paso 2: Evaluación de riesgos según PCAOB
El PCAOB requiere que el auditor obtenga una comprensión del negocio y su entorno que es más profunda en documentación que la ISA 315. Específicamente, AS 2501.09 exige que el auditor entienda: (a) la industria, regulación y otros factores externos; (b) la naturaleza del negocio de la entidad; (c) los objetivos, estrategias y riesgos relacionados; y (d) medición y revisión del desempeño financiero. Esta comprensión debe estar documentada en detalle.
Nota de documentación: Se prepara un memorándum de riesgos de 8-12 páginas que describe la operación de logística (gestión de almacenes, transporte de terceros, cumplimiento de regulaciones DOT), los riesgos identificados (obsolescencia de inventario, litigios laborales bajo la Ley de Normas Laborales Justas, fraude en nómina), y cómo los procedimientos de auditoría responden a cada riesgo. Este memorándum está disponible para revisión del PCAOB en una inspección.
Paso 3: riesgos importantes y respuestas
Para riesgos importantes identificados, AS 2301 requiere que el auditor diseñe y ejecute procedimientos sustantivos específicos, no solo procedimientos de control. En este caso, el inventario (€12,4 millones) fue identificado como riesgo importante porque la filial mantiene stocks de productos perecederos en múltiples ubicaciones y hay riesgo de sobreevaluación.
Nota de documentación: Los papeles de trabajo de inventario incluyen: (a) descripción del procedimiento (inspección física en todas las ubicaciones principales en dos fechas); (b) tamaño de muestra y base de muestreo; (c) instrucciones detalladas de los contadores sobre qué inspeccionar; (d) documentación fotográfica; (e) conciliación de cantidades físicas con registros contables; y (f) evaluación de la edad y condición del inventario para identificar obsolescencia.
Paso 4: Documentación de fraude
AS 1301 (el equivalente del PCAOB a la ISA 240) requiere que el auditor mantenga un expediente de fraude documentado que incluya: (a) discusiones sobre posibles fraude con el equipo; (b) evaluación de factores de riesgo de fraude específicos al negocio; (c) respuestas de auditoría a riesgos de fraude identificados; y (d) conclusiones sobre si se identificó fraude o si existen indicios de fraude no resueltos.
Nota de documentación: Se prepara un memorándum de fraude que describe la evaluación del riesgo de: (i) fraude en nómina (dado el tamaño de la función de RR.HH. y los pagos en efectivo frecuentes a trabajadores por encargo); (ii) fraude en ingresos (presión para cumplir objetivos de volumen de carga); y (iii) fraude en gastos operativos (mantenimiento de vehículos facturado a la matriz de forma interna). Para cada riesgo identificado, se documentan procedimientos específicos (prueba de nómina, confirmación de ingresos con clientes, inspección de facturas de mantenimiento).
Paso 5: Revisión s posteriores
AS 2710 requiere que el auditor evalúe hechos que ocurren entre el cierre contable y la fecha del informe de auditoría, buscando aquellos que podrían requerir ajuste o revelación en los estados financieros.
Nota de documentación: Se prepara una carta de aseguramiento del cliente con fecha posterior (solicitando al cliente que indique hechos significativos posteriores), y se documenta una revisión del banco de datos de litigios, comunicaciones regulatorias y cambios operacionales entre el 31 de diciembre de 2024 y la fecha del informe de auditoría (estimado 28 de febrero de 2025).
Conclusión: El grupo Mediterráneo de Logística audita su filial estadounidense bajo estándares PCAOB con documentación más completa que la que sería exigida bajo NIA-ES solos. La documentación cumple tanto con AS como con NIA-ES, porque AS es más exigente en ciertos aspectos (particularmente en memorandos de riesgos y documentación de fraude). Esta doble conformidad es defensible ante inspecciones tanto del PCAOB como de reguladores españoles (ICAC) o europeos (AFM).

Qué inspectores y auditores entienden mal

• Confundir AS con ISA: Algunos auditores tratan los estándares del PCAOB como equivalentes a las ISA, cuando en realidad tienen diferencias técnicas importantes. El PCAOB es más prescriptivo en materialidad (los memos de materialidad del PCAOB deben incluir benchmarks alternativos), en la evaluación de riesgos (AS 2501 requiere documentación más detallada), y en hechos posteriores (AS 2710 requiere una investigación posterior formal).
• Subvaluar la documentación requerida: Las deficiencias de auditoría más frecuentes que el PCAOB identifica en sus inspecciones públicas están relacionadas con documentación insuficiente. El PCAOB requiere que el auditor mantenga un expediente que sea autoexplicativo: si un inspector abre una carpeta de auditoría, debe poder entender qué procedimientos se ejecutaron, por qué, qué se encontró, y cómo se resolvieron excepciones. Bajo las ISA, se permite mayor economía de documentación. Bajo PCAOB, la regla es: si no está documentado, el PCAOB asume que no se hizo.
• No actualizar cuando el PCAOB cambia su posición: El PCAOB emite pronunciamientos de auditoría (AP) que reinterpretan sus estándares. Un ejemplo reciente fue la orientación del PCAOB sobre contabilidad de operaciones complejas (FASB ASC 805, combinaciones de negocio) tras la Gran Recesión. Los auditores que no monitoreaban estas AP continuaban ejecutando procedimientos bajo el estándar anterior. El PCAOB castigó esto en inspecciones.

PCAOB vs. ISA

| Dimensión | PCAOB | ISA |
|---|---|---|
| Emisor | Junta de Supervisión de la Contabilidad (organismo estadounidense independiente) | IFAC (federación de cuerpos contables profesionales internacionales) |
| Ámbito de aplicación | Auditorías de empresas públicas estadounidenses registradas en el SEC | Auditorías de cualquier entidad en jurisdicciones que han adoptado ISA (la mayoría de países excepto EE.UU.) |
| Materialidad | Requiere evaluación de materialidad cuantitativa y cualitativa; exige documentación de benchmarks alternativos considerados | ISA 320 requiere evaluación similar pero con menos prescripción en la presentación de benchmarks alternativos |
| Evaluación de riesgos | AS 2501 requiere memorándum de riesgos detallado de 8-15 páginas; especifica qué debe documentarse (industria, entidad, riesgos, controles, respuestas) | ISA 315 (Revisada 2019) requiere evaluación de riesgos pero permite más flexibilidad en el formato de documentación |
| Fraude | AS 1301 exige expediente de fraude documentado separado; requiere discusiones de equipo específicas sobre fraude | ISA 240 requiere consideración de fraude pero permite en trabajos de evaluación de riesgos |
| Hechos posteriores | AS 2710 requiere procedimientos posteriores formales (carta de aseguramiento del cliente) | ISA 560 requiere consideración s posteriores pero permite métodos menos formales |
| Inspecciones | Públicas; el PCAOB publica informes de firmas anuales que identifican deficiencias específicas | Típicamente confidenciales; los reguladores locales publican hallazgos agregados, no específicos de firma |

Cuándo importa la distinción en una auditoría

Si su firma audita una filial o una empresa cotizada estadounidense, debe aplicar estándares PCAOB para esa auditoría específica, aunque la matriz se audite bajo NIA-ES o NIIF-IFRS de otro país. El PCAOB no permite "auditar bajo ISA" si la entidad está registrada en el SEC. Las inspecciones del PCAOB son anuales para las firmas grandes y cada 3 años para las medianas, lo que significa que el riesgo de deficiencias documentadas es alto.
La inversión en procedimientos PCAOB es significativa: memorandos más largos, documentación más detallada, y papeles de trabajo más voluminosos. Pero es obligatoria, no optativa.

Términos relacionados

• Materialidad: El PCAOB requiere un enfoque a la materialidad que documenta benchmarks múltiples considerados, no solo el benchmark final seleccionado.
• Evaluación de riesgos de fraude: El PCAOB (AS 1301) requiere un memorándum de fraude separado que no es típicamente exigido bajo ISA 240.
• Hechos posteriores: AS 2710 es considerablemente más prescriptivo que ISA 560 en cuanto a procedimientos posteriores formales.
• FASB: El marco contable subyacente para empresas estadounidenses bajo la supervisión del PCAOB es US GAAP, emitido por el Financial Accounting Standards Board.
• SEC: La Comisión de Valores y Bolsa estadounidense supervisa a las empresas cotizadas; el PCAOB reporta al SEC.
• Auditoría de opinión sobre controles internos: Bajo PCAOB, muchas auditorías de empresas cotizadas incluyen una opinión adicional sobre la efectividad de los controles internos sobre información financiera (ICFR), requerida por la sección 404(b) de Sarbanes-Oxley.

Herramientas de ciferi

Aunque ciferi no emite una herramienta específica de cumplimiento PCAOB, el Kit de Evaluación del Riesgo de Fraude NIA-ES 240 proporciona un marco para la evaluación de fraude que es compatible con tanto ISA 240 como con los requisitos de AS 1301 del PCAOB en términos de documentación y análisis de riesgo.