Uno de los aspectos que genera más preocupación entre los profesionales de auditoría es el proceso de compilación del encargo. Este paso crucial no se limita únicamente al cierre de la documentación que respalda el trabajo realizado, las conclusiones obtenidas y el contenido del informe. También implica asegurar que el acceso a dicha documentación se encuentre restringido y su contenido no se pueda modificar, para salvaguardar su integridad, custodia y confidencialidad.
En este artículo, analizaremos la importancia y desafíos del proceso de compilación, así como las medidas necesarias para garantizar un archivo adecuado de la documentación y la protección de la información sensible.
Marco normativo para el proceso de compilación del encargo:
En el siguiente cuadro se resume brevemente la normativa que hace referencia al proceso de compilación de un encargo de auditoría:
Ley 22/2015, de 20 de julio de Auditoría de Cuentas (LAC) | – Requiere la creación de un archivo de auditoría para cada trabajo de auditoría de cuentas. |
– Establece un plazo de 60 días, conocido como plazo de compilación, para el cierre del archivo de auditoría. | |
Real Decreto 2/2021, de 12 de enero (RLAC) | – Introduce requisitos adicionales como la creación de un archivo electrónico de auditoría. |
– Prohíbe la modificación del archivo después de la fecha del informe de auditoría. | |
– Establece la identificación única del archivo compilado y la evidencia de la fecha de compilación. | |
– Se requiere la generación de un archivo complementario en caso de modificaciones. | |
– Enfatiza en la custodia, salvaguarda, accesibilidad y recuperabilidad de la documentación de auditoría. | |
NIA-ES 230 sobre Documentación de auditoría | – Define el proceso de compilación del archivo final de auditoría. |
– Establece pautas sobre qué se puede hacer después de la compilación y cómo abordar modificaciones en un archivo compilado. | |
– Requiere la reunión de la documentación de auditoría en el archivo correspondiente. | |
– Destaca que la documentación de auditoría no debe eliminarse, a menos que se cumpla el período de conservación establecido. | |
NIGC 1 ES Norma internacional de gestión de calidad | – Establece directrices para la compilación y archivo de la documentación del encargo. |
¿Desde cuándo es obligatoria la compilación del encargo?
Tal y como hemos visto en el cuadro anterior, la Ley de auditoría ya hacía referencia a la compilación del encargo.
Sin embargo no es hasta la publicación del Reglamento, donde se establece que la compilación en formato electrónico será de aplicación obligatoria para los encargos de auditoría correspondientes a ejercicios económicos cerrados con posterioridad al 1 de julio de 2022.
¿Qué encargos deben ser compilados?
En el artículo 29.2 de la LAC (Ley 22/2015, de 20 de julio, de Auditoría de Cuentas) se establece, dentro de su epígrafe “Organización del trabajo”, lo siguiente:
“Los auditores de cuentas y las sociedades de auditoría elaborarán un archivo de auditoría por cada trabajo de auditoría de cuentas”
¿De cuánto tiempo disponemos para realizar la compilación del encargo?
Como hemos indicado anteriormente, el artículo 29 de la LAC establece que “el archivo de auditoría se cerrara en un plazo máximo de 60 días a partir de la fecha del informe de auditoría”.
Si bien, no se precisa si se han de considerar los días como laborables o naturales, el artículo 30 de la LPACAP nos dice que “siempre que una ley no exprese otro computo, cuando los plazos se señalen por días, se entiende que estos son hábiles”. En consecuencia, los citados 60 días deben ser considerados como hábiles.
¿Durante cuánto tiempo debemos conservar el fichero compilado?
El plazo de conservación de los ficheros compilados no deberá ser inferior a cinco años desde de la fecha del informe de auditoría o desde la fecha del informe de auditoría del grupo, si ésta es posterior.
¿Qué documentación se debe incluir en los ficheros vinculados?
Una vez finalizado el proceso de revisión del encargo y emitido el informe de auditoría, es crucial organizar cuidadosamente la documentación obtenida por los auditores. Los papeles de trabajo y la evidencia recopilada deben ser detallados y precisos, ya que solo la información incluida en el archivo compilado se considerará como evidencia válida del trabajo de auditoría.
A pesar de la normativa en vigor no detalla la documentación que debe contener el fichero compilados, consideramos que, al menos, incluya los siguientes aspectos:
- Los criterios de identificación y valoración de riesgos de incorrección.
- Las pruebas diseñadas y realizadas por el auditor para abordar los riesgos identificados, detallando naturaleza, momento y extensión de las pruebas.
- En caso de emplear técnicas de muestreo estadístico, se deberán incluir los objetivos que se desean alcanzar , la descripción de las poblaciones empleadas, los criterios, métodos y variables aplicados, las conclusiones alcanzadas, así como la investigación de desviaciones e incorrecciones.
- Las cuestiones importantes y significativas encontradas durante la auditoría, así como las conclusiones y fundamentos a los que llegaron los profesionales, reflejando las evidencias y su aplicación.
- Las pruebas relativas a la revisión del trabajo por miembros que cuentan con experiencia y pertenecientes al equipo al que se atribuyó el encargo, así como los principales auditores que se responsabilizan de llevar a cabo el proceso de auditoría, incluyendo al auditor que firma el informe de auditoría.
¿Qué es el código HASH?
El Reglamento que desarrolla la Ley de Auditoría, requiere identificar de manera única el archivo compilado y la fecha de compilación. Para cumplir con este requerimiento, GESIA utiliza un algoritmo matemático, denominado código HASH, que transforma el conjunto de datos de entrada en una expresión alfanumérica que tiene una longitud predeterminada.
Este código se caracteriza porque:
- Los códigos hash son únicos para cada fichero. y cualquier mínima variación de los datos de entrada generaría un código hash diferente.
- Los códigos hash son unidireccionales, es decir, a partir de los datos de entrada, se generarán códigos hash. Sin embargo, partiendo del código hash, no se puede descifrar o inferir cuáles fueron los datos introducidos inicialmente.
¿Qué ocurre si necesito modificar la información contenida en el fichero compilado?
Como hemos comentado anteriormente, la documentación de auditoría debe que ser compilada en formato electrónico, no pudiendo ser modificada una vez realizada la compilación, lo que proporciona las medidas de seguridad necesarias y salvaguarda su autenticidad.
No obstante, la normativa establece que, en casos de hechos posteriores a la fecha del informe de auditoría o de hechos previos a esa fecha ,que sean conocidos por el auditor después de dicha fecha y requieran la aplicación de procedimientos de auditoría, o en situaciones en las que se requiera incluir documentación adicional debido a un plan de corrección, el auditor debe contar con políticas y procedimientos que permitan generar un archivo complementario. Esto implica que el archivo original no sufrirá modificaciones, siendo el archivo complementario el que contendrá la nueva documentación y los motivos que justifican la nueva compilación.
Este archivo complementario deberá documentar quién realiza los cambios, incluyendo las causas, la fecha de modificación, así como los cambios realizados en la documentación pertinente, facilitando el correcto seguimiento.
Un ejemplo de esta circunstancia, en la que el auditor puede encontrar necesario modificar la documentación de auditoría existente o añadir nueva documentación de auditoría después de completarse la compilación del archivo, es la necesidad de aclarar documentación de auditoría existente como consecuencia de comentarios recibidos durante las inspecciones de seguimiento realizadas por personal interno o terceros.
¿Dónde puedo guardar el fichero vinculado?
Según el artículo 72 del Reglamento, los auditores de cuentas son responsables de adoptar las medidas necesarias para salvaguardar y conservar la documentación, información, archivos y registros. Para ello, deben contar con sistemas informáticos que incluyan controles que aseguren la custodia, integridad y recuperación de la información. Estos sistemas deben permitir utilizar la diligencia necesaria para reducir el riesgo de deterioro o pérdida, así como garantizar el acceso restringido y autorizado a los documentos.
También se establece que se deben realizar copias de seguridad de forma rutinaria en formato informático, al momento de crear los documentos, cuando se realicen modificaciones y, al menos, una vez al año, incluso si no ha habido cambios. Esto asegura una protección adicional y facilita la recuperación de los archivos en caso de necesidad.
Cuando el proceso de compilación de auditoría haya finalizado, la documentación que haya sido informatizada y compilada podrá ser custodiada mediante sistemas de distinta naturaleza, como por ejemplo:
- Discos duros externos que se encuentren bajo la custodia del responsable de calidad o director de la firma. De este modo, se garantiza el acceso a su contenido.
- Mediante un archivo alojado en el servidor de la firma, siempre que su acceso esté restringido para la documentación de trabajos ya finalizados. Esto puede conseguirse mediante sistemas especiales de claves.
- Soporte en la nube. Recordemos que también deberá contar con acceso restringido
¿Qué pasa si no consigo compilar un encargo a tiempo?
El incumplimiento del deber de conservación y custodia, salvo que concurran causas de fuerza mayor no imputables al auditor de cuentas o a la sociedad de auditoría, está tipificado como una infracción muy grave. Este hecho puede conllevar una sanción económica por importe de seis a nueve veces la cantidad facturada por el trabajo de auditoría en el que se haya cometido la infracción. En ningún caso puede ser inferior a 18.001 euros, ni superior a 36.000 euros. Este máximo no se aplicará cuando la infracción se refiera a un trabajo de auditoría de cuentas de una entidad de interés público (EIP).
¿Qué implicaciones tiene esta normativa al control de calidad interno de las firmas?
En primer lugar, los pasos necesarios para completar a tiempo la recopilación de los papeles de trabajo deben estar claramente definidos en los protocolos de control de calidad internos de cada firma o despacho.
Resulta interesante crear una hoja de control, como registro de calidad, donde se registren la lista de entidades auditadas, los días transcurridos entre las fechas de emisión de los informes y la compilación del encargo, así como sus códigos hash.
Además, el manual de calidad debe describir el proceso de modificación posterior de la documentación compilada, estableciendo un procedimiento de autorización adecuado.
El proceso de compilación con Gesia
El reglamento de auditoría incorpora el nuevo concepto denominado “archivo electrónico de auditoría”, por lo que una vez finalizado el proceso de revisión de la documentación de auditoría se procederá a su empaquetado, compresión y, en su caso, encriptación como archivo restringido.
El programa GESIA incorpora una herramienta que permite cumplir con el requerimiento de compilación mediante los tres pasos siguientes:
- Comprobación previa al empaquetado y encriptado de los ficheros informáticos,
- Creación de un fichero compilado y en su caso,
- Encriptación del fichero mediante clave de seguridad.
Como parte del proceso se genera un certificado a firmar por el auditor responsable del trabajo, en el que declara haber realizado el proceso de revisión de la documentación compilada y establecido los mecanismos que impida el acceso no autorizado a la misma.
Para más detalle del proceso de compilación con GESIA, ponemos a su disposición un video en el que el Gerente de Audinfor, Carlos Barroeta, analiza los principales aspectos del proceso de compilación, a través de la herramienta GESIA.
¿Deseas conocer más acerca de lo que podemos ofrecerte?
Si tienes cualquier duda en relación con el proceso de compilación, el equipo de Audinfor está a tu disposición. Puedes ponerte en contacto con nosotros a través de este enlace.
