Lo que los consejeros deberían estar preguntando ahora sobre la auditoría y los auditores
Notas de una velada con la Junta de Supervisión Contable de las Sociedades Anónimas
Si formas parte del consejo de administración de una empresa que cotiza en bolsa, especialmente del comité de auditoría, tu vida ya gira en torno a la información financiera, la auditoría y el proceso de auditoría. Los auditores están constantemente tanto en primer plano como en segundo plano en todo lo que ocurre: auditorías anuales, revisiones trimestrales, controles internos. En las empresas más grandes, la auditoría de los controles internos es muy exhaustiva y, a veces, saca a la luz deficiencias significativas o, peor aún, debilidades materiales. (Nadie quiere oír esas palabras.) Te entregan gruesas cartas de representación para que las firmes y cuestionarios que hay que rellenar. Quieren documentos. Quieren entrevistas. Presentar tus formularios 10-K y 10-Q puede parecer un suspenso. El trabajo acapara las reuniones del comité de auditoría. Cuesta una fortuna. Tarda una eternidad.
Lo que a menudo no nos damos cuenta es qué es lo que hace que este proceso sea tan difícil y por qué (exactamente).
La semana pasada organizamos una velada que nos proporcionó algunas respuestas a esa pregunta en las que nunca habíamos pensado. Recibimos a la sección de California del Norte de la NACD en nuestra oficina de Palo Alto, justo tras la celebración del Stanford Directors’ College. Nuestros invitados destacados fueron George Botic, miembro del consejo de administración de la Junta de Supervisión Contable de Empresas Cotizadas (la «PCAOB»), y su colega Ellen Graper.
Entre los dos, llevamos más de 25 años asesorando a fundadores, inversores y consejos de administración. Sin embargo, la supervisión de los auditores no es nuestro ámbito habitual, ya que normalmente nos ocupamos de operaciones, gobernanza y rondas de financiación. Por eso fuimos a escuchar. Y hay que decir que salimos de allí mucho más informados. A continuación, compartimos algunas de las ideas que más nos han llamado la atención.
En primer lugar: ¿qué es la PCAOB?
La forma más sencilla de explicarlo es que la PCAOB es el auditor de los auditores (piensa en el departamento de «asuntos internos» de la jefatura de policía).
Así es como funciona. Tu empresa es auditada por una firma de auditoría pública registrada e independiente. Esa firma forma parte de las «Cuatro Grandes», las «Seis Grandes» u otras firmas de auditoría pública registradas que compiten por prestar el servicio esencial de «auditoría» que exigen los informes financieros de las empresas que cotizan en bolsa. A continuación, la PCAOB inspecciona a esas firmas de auditoría pública registradas. La PCAOB analiza en profundidad una muestra de auditorías reales que estas firmas han realizado a empresas que cotizan en bolsa como la tuya. Así pues, cuando su auditor firma el informe de auditoría de los estados financieros y los controles internos de su empresa, sus auditores tienen la mirada puesta en la PCAOB, sabiendo que esta dispondrá de la perspectiva perfecta para analizar a posteriori el trabajo realizado en su empresa, y que esas observaciones se publicarán y tendrán consecuencias para todos los implicados.
Una vez que comprendes la función y el proceso de la PCAOB, gran parte del misterio se aclara: los formularios, las solicitudes de documentación, la precaución adicional en torno a ciertos temas. Tu empresa auditora sabe que podría ser objeto de una inspección y, créenos, no quiere en absoluto que tu expediente sea devuelto por algún problema. En cuanto echas un vistazo a la PCAOB tras el telón de la auditoría, todo el proceso empieza a cobrar sentido.
Cómo funciona una inspección
Por lo general, una inspección se lleva a cabo en dos fases.
La primera vía analiza la empresa en su conjunto: el liderazgo, la ética, la independencia, el proceso de selección de clientes, la formación y la remuneración. Los inspectores denominan a este último aspecto la «cultura» de la empresa, ya que la forma en que se remunera a los socios influye en las decisiones que toman en cada auditoría. La segunda vía se centra en auditorías concretas y las examina en detalle.
Por lo general, las empresas más grandes son objeto de un mayor escrutinio. Las «Cuatro Grandes» son inspeccionadas durante todo el año y se revisan entre 50 y 60 auditorías de empresas concretas al año, mientras que las empresas más pequeñas suelen someterse a unas 30 revisiones de auditorías de empresas concretas.
Esta es la clave: la PCAOB no selecciona las auditorías al azar. Las selecciona en función del riesgo. Los inspectores están atentos a la economía, a las tendencias del sector y a las empresas que destacan. Esos expedientes son los primeros en ser seleccionados.
Esta es la traducción para los directores: ¿Cerró su empresa algún acuerdo complejo el año pasado? ¿Una adquisición? ¿Un análisis de deterioro complicado? ¿Opera en un sector en dificultades? ¿O se encuentra su empresa en la fase ascendente de un ciclo de expectación? En ese caso, es más probable que su auditoría sea objeto de un escrutinio más minucioso. Por eso su auditor se centra tanto en esas áreas: porque sabe que puede que alguien esté pendiente. Es posible que aún tengan el recuerdo de una inspección o revisión anterior o en curso.
Según los responsables de la PCAOB, observan año tras año cuestiones que trascienden los ciclos económicos: el reconocimiento de ingresos, las existencias, la contabilidad de adquisiciones, el deterioro del valor, las pérdidas crediticias en los bancos y los controles internos.
Buenas noticias: los resultados negativos han descendido con respecto a los máximos alcanzados durante la pandemia. Malas noticias: los controles internos siguen siendo el aspecto más complicado.
Lo que nunca descubrirás a menos que preguntes
El siguiente punto cambió por completo nuestra forma de ver todo el asunto.
La PCAOB regula a las empresas de auditoría. No te regula a ti. Por lo tanto, sus conclusiones se transmiten a tu auditor, no a tu consejo de administración. No existe ninguna norma que las remita a ti. Ni un calendario. Ni un canal.
Quizá tu auditor fue objeto de una inspección el año pasado. Quizá surgió algún problema en tu auditoría, o en la de otra empresa de tu sector, realizada por la misma firma. No te enterarás necesariamente de ello a menos que preguntes.
Eso supuso un gran aprendizaje para mí. A menos que preguntes, tanto tú como tu junta directiva podéis veros sorprendidos por cuestiones que conviene evitar. ¿La buena noticia? La solución no te cuesta nada: basta con hacer una pregunta, de forma oficial, cada año.
Una nueva norma de auditoría denominada «QC1000»
Existe una nueva norma de control de calidad para las empresas de auditoría en Estados Unidos denominada QC1000. Ya se había aprobado anteriormente, pero su fecha de entrada en vigor se ha pospuesto y se prevé que se vuelva a posponer. ¿Se abandonará o se suavizará? Nadie lo sabe a ciencia cierta.
No es necesario que hagas un seguimiento de cada paso. Pero sí que debes saber en qué punto se encuentra tu empresa. El grado de preparación varía de una empresa a otra dentro del sector. «Estamos trabajando en ello» no es una respuesta válida. Pregunta en qué punto se encuentra tu empresa en cuanto a la preparación para el QC 1000. Pregunta qué carencias quedan por subsanar. Insiste en que te den detalles concretos.
La IA llegó antes que las normas
Esto es algo que observamos constantemente en nuestro día a día: la tecnología llega antes que las normas.
Las empresas de auditoría ya están utilizando la inteligencia artificial en sus trabajos. La PCAOB plantea las preguntas obvias: ¿Es necesario establecer nuevas normas de auditoría para la inteligencia artificial? ¿Nuevas normas de documentación? ¿Una mejor orientación en materia de riesgos? La respuesta sincera (y agradecemos su franqueza) es que el organismo regulador aún está tratando de averiguarlo. Todavía no saben qué implica inspeccionar una auditoría que se haya basado en la inteligencia artificial.
Hay dos aspectos que hay que tener en cuenta. El segundo aspecto se da dentro de vuestra propia empresa. La oficina de vuestro director financiero está empezando a utilizar la inteligencia artificial para la contabilidad y la elaboración de informes. Por lo tanto, vuestro comité debe comprender ambos aspectos: qué hace el auditor con la inteligencia artificial en vuestra auditoría y qué controles aplica vuestro propio equipo financiero a las cifras generadas por la inteligencia artificial.
Una máquina puede emitir un juicio. Pero aún así hay que documentarlo de forma que cumpla con una norma de auditoría. Si nadie se hace responsable de ello, se produce una laguna.
¿Puede una empresa plantar cara?
Uno de los presidentes de los comités de auditoría presentes en la sala planteó una cuestión muy pertinente, y nos alegramos de ello. Las empresas tienen una razón inherente para no rebatir una conclusión. Una disputa da lugar a un largo proceso y una empresa sometida a revisión no está dispuesta a plantar cara al organismo que la inspecciona.
Nuestros invitados de la PCAOB explicaron que llevan a cabo varias fases de revisión interna antes de que cualquier conclusión se incluya en un informe. La Junta respalda el derecho de las empresas a mostrar su desacuerdo, y las respuestas por escrito se leen con atención. Cada uno puede valorar esto a su manera. Pero fue positivo escuchar la descripción de este proceso.
Cinco preguntas que debes plantearle a tu auditor
Aunque hoy no leas nada más, toma nota de estas preguntas para tu próxima reunión del comité de auditoría (y para todas las que se celebren cada año).
- ¿Se revisó la auditoría de nuestra empresa durante el último ciclo como parte de la inspección anual de su despacho? ¿Qué áreas se revisaron y qué conclusiones se extrajeron? Y, si no fue en nuestro caso, ¿se extrajeron conclusiones de las auditorías que su despacho realizó a otras empresas de nuestro sector?
- ¿Qué hace el auditor con la IA en nuestra auditoría? ¿Bajo qué controles? ¿Cómo se documentan esos juicios asistidos por IA?
- ¿Qué estamos haciendo con la IA? ¿Cómo se tiene en cuenta el uso que hace de ella nuestro propio equipo financiero en la evaluación de riesgos de la auditoría? ¿Estamos por delante, a la par o por detrás de nuestros homólogos?
- ¿Cuál es la postura de la empresa de auditoría respecto a la norma QC1000? ¿Qué cambios se están produciendo y a qué lagunas debemos prestar atención?
- De las áreas problemáticas habituales de la PCAOB —ingresos, deterioro del valor, controles internos y contabilidad de operaciones—, ¿cuáles nos afectan en este ciclo? ¿Y qué medidas está tomando la empresa al respecto?
Y para los directores financieros y los equipos jurídicos que lean esto: las preguntas dos y tres también os conciernen a vosotros. Se evaluará conjuntamente el uso que haga vuestro auditor de la IA y el que hagáis vosotros mismos. Sed quienes marquen el rumbo de esa historia, no quienes tengan que dar explicaciones a posteriori.
Dónde obtener más información
La PCAOB publica más información dirigida a los comités de auditoría de lo que la mayoría de los consejeros creen. Consulta su «Información sobre inspecciones para comités de auditoría», su página de «Recursos» y su «Actualización del personal sobre las actividades de inspección de 2024». (La edición de 2025 aún no se ha publicado.) Suscríbete a su lista de correo electrónico. Vale la pena añadir todas estas páginas a tus favoritos.
Conclusión
Esto es a lo que siempre volvemos.
Para muchos consejeros, la auditoría siempre ha sido como una caja negra. Te ocurre, pero tú no la controlas. La PCAOB es la que explica el resto. Y casi nada de lo que descubre te llega, a menos que lo pidas expresamente.
Pues pregunta. En cada ciclo. La información está ahí. Las preguntas son sencillas. Los consejeros que preguntan están ejerciendo una verdadera función de supervisión. ¿Y el resto de nosotros? Nosotros solo hablamos del tema.
Queremos dar las gracias a George Botic y Ellen Graper, de la PCAOB, por organizar una velada que resultó tan sincera como útil. Gracias también a Lisa Spivey y Kate Azima, de la sección de Norte de California de la NACD, y a Marcel Bucsescu, de la NACD, por conseguir que todos los asistentes se sintieran en familia. Las mejores veladas son aquellas en las que el público hace la mitad del trabajo, y esta fue una de ellas.
Más información próximamente.
Louis Lehot es socio de Foley & Lardner LLP en Silicon Valley. Kelly Boyd es asesora jurídica en la oficina de San Francisco. Juntos, asesoran a emprendedores, inversores, consejos de administración y empresas que cotizan en bolsa sobre cuestiones relacionadas con el gobierno corporativo, los valores, los mercados de capitales y las fusiones y adquisiciones.