En un anterior post tuve ocasión de abordar, para sorpresa y asombro de muchos auditores, el nuevo desarrollo reglamentario de la Ley de Auditoría de Cuentas (LAC), de próxima publicación, sobre la documentación o papeles del auditor. Sin embargo, el principal caballo de batalla al que nos vamos a tener que enfrentar con la nueva regulación es el relativo al proceso de compilación que, como establece el art 29 de la LAC, se ha de realizar antes de los 60 días siguientes a la fecha de emisión del informe. Tema éste que voy a tratar en este escrito.
(El proceso de la compilación ya fue objeto de dos posts anteriores (parte I y parte II) cuya lectura aconsejo para una mejor comprensión del alcance del nuevo requisito reglamentario)
SOBRE EL PROCESO DE COMPILACIÓN
A riesgo de ser reiterativo, es importante tener las ideas claras sobre lo que significa e implica la compilación de la documentación de auditoría.
Como indiqué en posts anteriores (enlace): “La compilación no es algo nuevo, y menos para los que hemos trabajado en firma internacionales. A efectos normativos su primera aparición fue en la Norma de control de Calidad Interna (NCCI), requerimiento 45 y el apartado A54. Posteriormente, la NIA-ES 230 relativa a la Documentación de Auditoría en sus requerimientos 14, 15 y 16, hace referencia a este proceso y al plazo en que debe realizarse al establecer que la compilación ha de realizarse en los 60 días siguientes a la fecha del informe de auditoría (apartado A21)”.
Según la NIA-ES 230 A22 (Documentación de auditoría): “La finalización de la compilación del archivo final de auditoría después de la fecha del informe de auditoría es un proceso administrativo que no implica la aplicación de nuevos procedimientos de auditoría o la obtención de nuevas conclusiones”.
El proceso de compilación no sólo supone cerrar la documentación acreditativa del trabajo realizado, de las conclusiones obtenidas y del contenido de su informe, sino que ha de garantizar que “la documentación compilada tenga restringido su acceso a fin de asegurar su integridad, custodia y confidencialidad”. Es sobre este aspecto sobre el que el nuevo reglamento presenta especiales novedades.
SOBRE EL PLAZO MÁXIMO DE COMPILACIÓN
El nuevo reglamento resuelve una de las dudas que tanto la LAC como la NCCI suscitaban respecto a la interpretación del plazo de 60 días posteriores a la fecha de emisión del informe, ya que en ninguna de ellas precisaba si se han de considerar los días laborables o los naturales. La distinción no es en absoluto baladí.
Efectivamente el artículo 65.2. del reglamento establece: “El plazo máximo para la finalización de la compilación del archivo de cada trabajo de auditoría de cuentas será de sesenta días hábiles desde la fecha de informe de auditoría”.
La cuestión se centra en definir qué se considera como día hábil. Según el artículo 182 de la Ley Orgánica del Poder Judicial, se considera como días hábiles en España, todos los días excepto los sábados, domingos, festivos y los días 24 y 31 de diciembre. Por lo tanto y a los efectos de computo del plazo de compilación, los periodos vacacionales por ejemplo el mes de agosto, se considera como días hábiles, lo cual va a suponer que muchos auditores no podrán disfrutar de sus merecidas vacaciones hasta no ultimar en plazo el proceso de compilación de los trabajos terminados.
INFRACCIÓN POR INCUMPLIMIENTO DEL PLAZO DE COMPILACIÓN
De acuerdo con el artículo 73 apartado l) de la LAC, el incumplimiento de lo dispuesto en el artículo 29, incluido el plazo de compilación, está tipificado como falta grave, lo que puede conllevar una sanción económica (LAC 75.2) de un importe mínimo de 6.001 euros y un máximo de 18.000 euros en el caso de auditores individuales y del 3% de lo facturado en auditoría con un mínimo de 12.000 euros, en el caso de firmas o sociedades de auditoría. Sanciones que posiblemente no estarán cubiertas por la póliza de seguro.
MODIFICACIÓN DE LA DOCUMENTACIÓN COMPILADA
El citado artículo 65.2 comentado también dispone que: “En ningún caso podrá modificarse el archivo como consecuencia de revisión interna o externa del trabajo de auditoría realizadas con posterioridad a la fecha del informe de auditoría”.
La rotundidad de esta disposición y la aparente contradicción con la normativa vigente ha sido uno de los aspectos que me ha sorprendido del borrador de nuevo reglamento.
La nueva disposición reglamentaria contraviene aparentemente lo establecido en la NIA 23O.16 que establece: “cuando el auditor considere necesario modificar la documentación de auditoría existente o añadir nueva documentación de auditoría después de que se haya terminado la compilación del archivo final de auditoría, independientemente de la naturaleza de las modificaciones o incorporaciones, el auditor documentará:
(a) los motivos específicos para hacerlas; y
(b) la fecha y las personas que las realizaron y revisaron”.
Es más, el apartado A24 de la NIA-ES 230 pone como ejemplo de posible causa de “modificar la documentación de auditoría existente o añadir nueva documentación de auditoría después de completarse la compilación del archivo la necesidad de aclarar documentación de auditoría existente como consecuencia de comentarios recibidos durante las inspecciones de seguimiento realizadas por personal interno o terceros”.
El Reglamento (65.4) resuelve las situaciones de eventuales cambios en la documentación compilada mediante la creación de un archivo complementario:
“Una vez compilado el archivo, en el caso de hechos posteriores a la fecha del informe de auditoría o hechos anteriores a dicha fecha que hubieran llegado a conocimiento del auditor con posterioridad que requieren la aplicación de procedimientos de auditoría o en aquellas situaciones en las que con motivo de un plan de subsanación sea necesario incluir documentación adicional, el auditor deberá contar con políticas y procedimientos detallados que permitan generar a partir del archivo compilado, un archivo complementario en el que deberá quedar documentado, quien autoriza el cambio en el archivo complementario respecto al compilado, los motivos del cambio, fecha del cambio y la documentación original conjuntamente con la documentación modificada con el objeto de que cualquier tercero pueda realizar un adecuado seguimiento de las modificaciones”.
Solución que va a complicar aún más el ya de por sí complejo proceso de compilación.
MEDIDAS DE SEGURIDAD INFORMÁTICA RELATIVAS A LA DOCUMENTACIÓN DE AUDITORIA
Un aspecto realmente novedoso en la nueva regulación reglamentaria que se avecina es el de las medidas de seguridad informática que tanto los despachos individuales como firmas de auditoría, y con independencia de su tamaño, deberán implantar para garantizar la integridad, acceso y confidencialidad de la documentación compilada.
El nuevo texto reglamentario establece: “Los sistemas informáticos, deberán contar con controles, generales y de aplicaciones, implementados eficazmente para que no sea posible la modificación de los archivos de cada trabajo de auditoría una vez transcurrido el plazo máximo de compilación.. El sistema de informático deberá permitir una identificación inequívoca del archivo generado compilado y de la fecha de la compilación y a tal efecto asignará una referencia única para cada archivo, la cual será comunicada al Instituto de Contabilidad de Auditoría de Cuentas en el plazo que se determine mediante Resolución”.
La lectura detallada de esta disposición va a requerir la puesta en marcha de complejos y costosos procedimientos informáticos que, en el caso de los despachos y pequeñas firmas de auditoría, van a complicar las cada vez más costosas tareas administrativas y de control.
Entre los aspectos más importantes a considerar se encuentran los siguientes:
Un archivo único
La compilación supone la creación de un archivo único conteniendo TODA la documentación correspondiente al encargo terminado.
La primera idea que nos viene a este concepto es el de un fichero comprimido tipo ZIP o RAR que en encargos de pequeñas entidades puede no entrañar demasiados problemas; sin embargo, para grandes entidades y sobre todo para grupos consolidados, la cuestión se complica de forma notable.
Si bien es cierto que, por la información técnica que he podido obtener, la creación de un fichero único que contenga de forma inequívoca la documentación de auditoría de un encargo es factible, su aplicación práctica requiere de medidas y procedimientos informáticos complejos que, desde luego, no están al alcance de los pequeños auditores.
Las aplicaciones empaquetadoras de ficheros para grandes volúmenes de información son complejos. Su uso y control requieren de conocimientos técnicos especializados no disponibles en las pequeñas firmas y despachos.
Medidas cautelares del archivo electrónico (proceso de compilación)
Sorprenden y, en cierto modo atemorizan, las medidas cautelares que los auditores han de adoptar en sus organizaciones internas para restringir no sólo el acceso al archivo de documentación de auditoría compilado y la necesidad de identificar el responsable de su implementación y control, sino para impedir que, de ninguna manera y por ningún motivo, su contenido pueda ser modificado una vez compilado.
El control de acceso puede ser cubierto mediante sistemas de cifrado de forma que únicamente las personas autorizadas puedan abrir los archivos electrónicos. El procedimiento de compilación y cifrado podría ser el que se muestra en pantalla (obtenido de la aplicación de auditoría GESIA) [1]:
En cuanto al contenido de la información a compilar, se deberá disponer de un índice o relación de carpetas como la siguiente:
Por último, es conveniente que el responsable del encargo firme una declaración en relación con el proceso de compilación (ver PDF).
El control de las modificaciones de los ficheros compilados control se complica sobremanera ya que, para sea eficaz no basta como algunos consideran, tomar nota del tamaño del fichero de forma que pueda identificarse cualquier cambio por la mera modificación de éste. Como muchos lectores conocen, determinados tipos de ficheros pueden ser alterador sin que por ello cambie su tamaño. La alternativa de disponer de un listado-relación con todos los ficheros indicando fecha de creación, tipo de archivo y tamaño sería una tarea impensable.
Existen, cómo no, medios y procedimientos informáticos que permiten controlar si un fichero ha sido modificado lo cual se logra con aplicaciones específicas que, mediante algoritmos diseñados al efecto, generan unos códigos al ser creados que se modifican cuando se produce cualquier cambio. La implementación de este tipo de aplicaciones y procesos, como he comentado anteriormente, no está al alcance de los pequeños y medianos despachos de auditoría.
Cambios organizativos para cumplir con la compilación en plazo
La disposición del reglamento por la cual: ”El sistema de informático deberá permitir una identificación inequívoca del archivo generado compilado y de la fecha de la compilación y a tal efecto asignará una referencia única para cada archivo, la cual será comunicada al Instituto de Contabilidad de Auditoría de Cuentas en el plazo que se determine mediante Resolución”, augura nuevas medidas de control por parte del ente regulador que obligarán a las firmas a adoptar medidas y procedimientos precisos que permitan:
- Revisar, supervisar los encargos a medida que el trabajo avanza, asegurarse que a su término la documentación se encuentra debidamente completada, digitalizada y referenciada.
- Cerrar la documentación del encargo.
- Compilar los trabajos en fecha, es decir dentro de los 60 días hábiles siguientes a la emisión del informe.
- Empaquetar la información de forma que se genere un ÚNICO e INEQUÍVOCO fichero conteniendo toda la documentación de auditoría del encargo terminado.
- Encriptar el fichero con una clave inequívoca que impida el acceso a la información compilada a personas no autorizadas.
- Asignar una clave especial creada mediante un algoritmo o por la utilización de programas específicos de forma que pueda identificarse los cambios posteriores del archivo electrónico una vez compilado.
- Garantizar que la documentación contenida en el archivo electrónico, es susceptible de ser recuperada en su integridad.
- Permitir incorporar en fichero complementario al compilado, los cambios o adiciones posteriores de documentación relativa al encargo terminado con indicación de quién los autoriza, los motivos y fecha del cambio que permita realizar un adecuado seguimiento de las modificaciones.
MAYOR CONTROL DEL ICAC
Por parte del ICAC es muy posible que, al igual que se le informa trimestralmente de los informes emitidos para la liquidación y pago de la tasa, se exija con la misma periodicidad y mediante el formulario que se diseñe al efecto, información relativa a la fecha de emisión de los informes de auditoría, la de su compilación y la referencia inequívoca del archivo electrónico compilado.
Una de las conclusiones primeras que deducirá el lector es que, a partir de la puesta en marcha del nuevo reglamento, en las inspecciones que realice el ICAC ya no se concederá plazo alguno para la remisión de la documentación de los encargos a inspeccionar por estar la información solicitada contenida en el archivo electrónico compilado. Aspecto éste que ha de ser considerado al realizar el proceso de cierre y compilación.
PUESTA EN MARCHA DEL NUEVO REGLAMENTO
Aunque no se sabe con precisión la fecha de publicación del nuevo reglamento, parece que verá la luz antes del verano. Muchas de sus disposiciones, por ejemplo las referidas a la independencia del auditor, serán de efecto inmediato, otras, como las que afectan a los presupuestos por auditoria y la inclusión de las horas en la carta de encargo, lo serán para los trabajos que se contraten a partir de su publicación.
Sin embargo, las relativas a la organización interna de los despachos y firmas y a las de organización del trabajo del auditor, de forma similar a lo que ocurrió con la norma de calidad (NCCI), parece que se concederá una moratoria de forma que sean exigibles a partir del uno de enero de 2020, es decir, los auditores vamos a disponer de un plazo aproximado de año y medio, para la total y efectiva implantación de las medidas, políticas y procedimientos que permitan cumplir con las nuevas disposiciones y que, como he indicado en éste y anteriores artículos, va a suponer profundos cambios organizativos dentro de los despachos y firmas, tanto grandes como pequeños.
QUÉ PASA CON LOS AUDITORES DE PEQUEÑA DIMENSIÓN
Como indiqué en mi anterior post, el reglamento, como no podía ser de otra manera, hace una mención –en mi opinión insuficiente– a los despachos y pequeñas firmas de auditoría en los términos siguientes:
“Las políticas y los procedimientos de documentación y de comunicación en estos auditores de cuentas y sociedades de auditoría (los que sólo auditen entidades pequeñas según la definición del artículo 3.9 de la Ley de Auditoría de Cuentas) podrán ser menos formales y exhaustivos o más simplificados que en las sociedades de auditoría de mayor dimensión. El alcance y grado de dicha formalidad y extensión guardarán proporcionalidad y adecuación con la dimensión y estructura organizativa de aquellos auditores….” (65.2).
“No obstante, todo lo anterior, los auditores de cuentas y sociedades de auditoría deberán asegurar razonablemente la consecución de los fines previstos en este capítulo, incluso cuando externalicen los procedimientos de control de calidad que, en su caso, prevean las normas de control de calidad. La menor formalidad permitida no eximirá de la obligación de dejar constancia de las evaluaciones realizadas y de los resultados obtenidos.” (65.3).
En consecuencia los procedimientos podrán ser menos formales y exhaustivos. Sin embargo, el segundo párrafo echa un jarro de agua fría al establecer que, con independencia del tamaño, se han alcanzar los objetivos previstos en el reglamento, lo que significa que aunque de forma menos compleja que en las grandes y medianas firmas, se han de implementar controles organizativos que permitan cumplir con las disposiciones reglamentarias, incluidas obviamente las relativas a la documentación de auditoría.
COMENTARIOS FINALES
Muchos y profundos cambios va a suponer la puesta en marcha del nuevo reglamento tanto en la grandes como en las pequeñas firmas de auditoría.
Entre los principales efectos que la nueva regulación reglamentaria tendrá sobre las pequeñas firmas destacaría los siguientes:
- La digitalización de toda la documentación tanto corriente (del ejercicio) como la recurrente (permanente) exige de unos claros y bien diseñados protocolos que fijen los criterios y procedimientos a seguir sobre la definición, selección, control y referenciación de la documentación a escanear.
- El archivo de la documentación elaborada por el auditor en su formato original requiere a su vez protocolos bien definidos y mejor cumplimentados de forma que quede perfectamente constancia de qué, quién y cómo se han llevado a cabo las pruebas de auditoría, así como del trabajo realizado y las conclusiones alcanzadas.
- La cultura y disciplina de trabajar con soportes informáticos, no está suficientemente implementada en las pequeñas firmas, lo que va a suponer un esfuerzo adicional para conseguir la total digitalización de los procesos de auditoría, desde la realización y organización de papeles de trabajo como para el registro y control de horas que. con el nuevo reglamento, deberá constar de forma obligatoria en la documentación de auditoría.
- La implementación de sistemas de seguridad informática más rigurosos que permitan responder a las nuevas exigencias reglamentarias va a conllevar sobrecostes importantes que, una vez más, van a mermar los ya escuálidos márgenes de los trabajos de auditoría.
- La consecución de los plazos de compilación, no sólo exigidos por la nueva ley, sino por el control periódico que en un futuro inmediato implemente el ICAC, va a requerir profundos cambios en la metodología y forma de trabajar de los despachos. (Sobre este aspecto sugiero la lectura del post sobre compilación).
CONCLUSIÓN
El reglamento de auditoría, que en la actualidad se encuentra en la fase final de tramitación, exigirá profundos cambios organizativos en las firmas de auditoría, especialmente con los procesos de cierre, compilación y custodia de la documentación de los encargos. Las exigencias de control y seguridad supondrán la puesta en marcha de procedimientos que, en el caso de pequeñas y medianas firmas, se traducirá en un esfuerzo adicional de adaptación al nuevo marco normativo.
En un siguiente y último post, abordaré aspectos menos complejos relativos a la custodia, conservación y confidencialidad de la documentación de auditoría.
Esteban Uyarra Encalado
Mayo 2018
[1] La inclusión del módulo de compilación en GESIA fue una de las novedades del programa en el ejercicio 2017 al objeto de cumplir con lo exigido en el artículo 29.2 de la Ley de Auditoría de Cuentas.
