Incorporación del Componente: “Proceso de Valoración del Riesgo de la Firma de Auditoría” para el Cumplimiento de la “Norma Internacional de Gestión de Calidad®” – 1 (NIGC-1)

“Un día seguro, seguro es un gran día”, Refrán popular

¿Sabes cómo incorporar este componente al Sistema de gestión de Calidad sobre el que deben estar trabajando para la realización de Auditorías a partir de este 2023?

La “Federación Internacional de Contadores®” (“IFAC®”, por sus siglas en inglés) en septiembre de 2021, emitió la “Guía de implementación para la NIGC-1”.Y en el presente art í culo presento un extracto para la consideración de este fundamental componente además de algunos ejemplos de herramientas y tips, a manera de introducción para este interesante proyecto que implicará grandes beneficios para nuestras Firmas.

Dentro de los objetivos de la Comisiónde Certificación de la Calidad en los Despachos de la AMCPDF, estáel difundir las NIGC-1 y 2, no por su obligatoriedad, que a partir de del pasado 15 de diciembre de 2022, corresponde iniciar su adecuación o su implementación por las Firmas de Contadores, enfocadas a la prestación de Servicios de Auditoria, Revisión de Estados financieros u Otros encargos de aseguramiento o Servicios relacionados; sino por la utilidad práctica que consideramos puede apoyar a toda la actividad contable.

Un cambio clave de la NIGC-1 al reemplazar a la “Norma Internacional de Control de Calidad” fue que las Firmas de Auditoría necesitan emplear un enfoque basado en “el riesgo” para la gestión la calidad, enfocado a que pueden surgir riesgos por la naturaleza y las circunstancias de la Firma, sus encargos, y las respuestas dadas para abordar adecuadamente los riesgos. Por lo tanto, la “Valoración del riesgo”, es un nuevo

componente dentro de la NIGC-1. Dicha norma define al riesgo “como las condiciones, hechos, circunstancias, acciones o inacciones que pueden afectar adversamente el logro de los objetivos de calidad”.

Aunque el entendimiento y la lectura de las normas NIGC-1 y 2, podría parecer como “generalizada”, y hasta“abierta”, la realidad que tenemos que tener en mente, no es solo su obligatoriedad, sino por la utilidad que implica el implementar un Sistema de Gestión de Calidad, ya que la norma establece claramente que el Sistema de Gestión de Calidad de las Firmas, debe hacerse con un criterio de “prevención de riesgos” para mitigar, corregir o hasta evitar el que se vulneren los “Objetivos de Calidad” del Sistema, por lo que es fundamental tener muy claro, que estos son los riegos a los que se refiere este elemento, dado que es fácil confundir los riesgos que perse, podrían tener las Firmas, sus integrantes y hasta las entidades con las que tiene relación de manera natural, lo que podría complicar la implementación del Sistema de gestión de Calidad.

También establece la NIGC-1 que este nuevo componente, al ser un” criterio”, pero sobre todo “un proceso” por sí mismo, no deriva en “objetivos de calidad”, como el resto de componentes que integran un Sistema de Gestión de Calidad, ya que cada uno de los mismos, tiene explícitamente sus objetivos, a excepción también del componente: “Proceso de seguimiento y corrección” (por la misma razón, del componente que nos ocupa).

La NIGC-1 nos hace recomendaciones, respecto a la consideración de los “Objetivos de Calidad” en los sentidos:

1) De que estos se deben establecer de manera clara, completa y formal, para atender, a los 6 “componentes fácticos” del sistema, que son: “Gobierno Corporativo y Liderazgo”, “Requerimientos de ética aplicables”, “Aceptación y continuidad”, “Realización del encargo”, “Recursos”, e “Información y Comunicación”.

2) De siempre considerar el “Proceso de valoración de riesgos”, EN TODOS LOS OBJETIVOS DE CALIDAD del Sistema.

3) Del Considerar todos los criterios establecidos en el “Apartado 14 de la NIGC-1”

4) Del organizar dichos objetivos, respecto: Al (o a los) componente(s) propietarios de los objetivos, los criterios y necesidades que los originan, su relevancia e importancia, y a la vulnerabilidad que le implican a la Firma. De ahí el papel fundamental de los “Procesos de valoración de riesgos”.

Con relación esta importante fase del establecimiento de los “Objetivos de Calidad”, tanto la NIGC-1 como su “Guía de implementación” nos advierten que una mala definición de los objetivos, implican fuentes de riesgos por sí mismos, por ejemplo:

• Cuando estos no se definen por el responsable de la Calidad adecuado.

• Cuando estos no se definen de manera completa, y nos da como ejemplo “La firma de auditoria establece un objetivo de calidad de la siguiente manera: La documentación del encargo se recopila oportunamente después de la fecha del informe del encargo. Sin embargo, la firma no ha establecido el resto del objetivo de conformidad con el apartado 31(f) de la NIGC-1 como sigue: La documentación del encargo se conserva y mantiene adecuadamente para satisfacer las necesidades de la firma de auditoría y para cumplir con la ley, la regulación, y los requerimientos e ética aplicables y otras normas profesionales.”

• Cuando este se describe de una manera distinta, lo que puede provocar que se pierda su aspecto clave, y nos da como ejemplo: “La documentación del encargo se archiva en un plazo de 60 días y se conserva durante cinco anos a partir de la fecha del informe del encargo o, si es posterior, la fecha del informe de auditoria sobre los estados financieros del grupo, en su caso. Este objetivo de calidad ha perdido inadvertidamente un aspecto clave del objetivo de calidad del apartado 31(f) de la NIGC-1 específicamente: - Falla al tratar con la necesidad de mantener la documentación. – No toma en cuenta que los periodos de retención pueden necesitar cambiar como resultado de cambios en las necesidades de la firma de auditoría, la ley, la regulación, los requerimientos de ética aplicables o las normas profesionales”.

• Lo que vulnera a la Firma para atender requerimientos legales.

• También permite el establecimiento de “Subobjetivos”, si las necesidades de la Firma así lo requieren,pero siempre teniendo en cuenta, que ni los mismos, substituyen a los objetivos de los que forman parte, o los limitan, por el contrario, el objetivo de su establecimiento es asegurar que los objetivos previstos en la NIGC-1 se atenderán de manera integral, salvo que también las necesidades de la Firma y su naturaleza no requieran la consideración o establecimiento del objetivo por su irrelevancia, ej.: “El objetivo de calidad del apartado 31(b) de la NIGC-1 que aborda la dirección, supervisión y revisión puede no ser relevante cuando la firma de auditoria es un profesional independiente.”

• Y Objetivos de Calidad que respaldan otros objetivos de calidad, ya que los mismos pueden estar correlacionados, como se aprecia en el siguiente ejemplo que presenta la misma guía: “Los objetivos de calidad en el componente de Información y Comunicación abordan el sistema de información, la comunicación y el intercambio de información de toda la firma de auditoria y con los equipos del encargo. Estos objetivos de calidad son esenciales para respaldar los objetivos de calidad en el componente de requerimientos de ética aplicables, porque la información adecuada que se comunica de manera oportuna es esencial para cumplir adecuadamente con los requerimientos de ética aplicables.”

De ahí la importancia de los Objetivos de Calidad. Lo que un servidor considera incluso que debiera ser materia de otro artículo especifico, dada su importancia, ya que es la base para el desarrollo del Sistema de Gestión de Calidad. El Proceso de valoración del riesgo se integra por 4 fases:

1) Establecer objetivos de Calidad. Ya que el objetivo de la Firma de Auditoria da sentido al objetivo del Sistema de Gestión de Calidad, y un Sistema de Gestión de Calidad es eficaz cuando logra sus objetivos DE CALIDAD. Y reitero, esto es fundamental para incluso limitar al alcance del Sistema.

2) Identificar y valorar riesgos de calidad. Es decir que este componente SIEMPRE TIENE QUE SER TENDIENTE A valorar este tipo de riesgos, lo que significa que este proceso tiene un sentido, y también un límite, aunque esto no significa que si derivado de esta fase, se identifican otro tipo de riesgos que pudieran estar relacionados con la operación, o hasta con la integridad de la Firma por sí misma, también tengan que ser administrados. Puede haber muchos riesgos que podrían afectar negativamente el logro de los objetivos de calidad; y sin embargo no todos los riesgos se consideran riesgos de calidad.

Para que un riesgo califique como riesgo de calidad, debe tener una posibilidad razonable de ocurrencia, tanto individualmente como en combinación con otros, pero sin dejar de perder de vista, que afecten de forma negativa el logro de uno o más objetivos de calidad.

El mecanismo para valorar los riesgos de calidad incluye: Primero el conocer las condiciones, hechos, circunstancias, acciones o inacciones que pueden afectar adversamente el logro de los objetivos de calidad, para: Segundo identificar y valorar los riesgos de calidad, considerando cuales riesgos tienen posibilidad razonable de ocurrir, individual o en combinación, donde se toma en cuenta el grado en que, las condiciones, hechos, circunstancias, acciones o inacciones pueden afectar adversamente el logro de los objetivos de calidad y: Tercero una vez valorada la consideración de la ocurrencia y efectos, puede considerarse que los riesgos de calidad han sido valorados. La guía de implementación nos presenta un ejemplo de este proceso de valoración en sus tres fases: En la primera fase de IDENTIFICACION como riesgo se identifica que: “El personal no puede desafiar o cuestionar las acciones y el comportamiento del liderazgo por miedo a represalias. A su vez el liderazgo puede fallar en demostrar un compromiso con la calidad a través de sus acciones y comportamientos”. En la segunda fase de IDENTIFICACION

Y VALORACION “La firma de auditoria considera que:Hay una alta posibilidad de que este riesgo ocurra dada su naturaleza; y

El riesgo tendrá un algo grado de posibilidad de afectar el logro del objetivo de calidad, debido a que tiene una relación directa con el mismo. En su tercera fase de: RIESGO VALORADO: Se considera la ocurrencia y el efecto en el logro del objetivo de calidad”,

El riesgo tendrá un algo grado de posibilidad de afectar el logro del objetivo de calidad, debido a que tiene una relación directa con el mismo. En su tercera fase de: RIESGO VALORADO: Se considera la ocurrencia y el efecto en el logro del objetivo de calidad”,

3) Diseñar e implementar respuestas. Derivado del ejemplo anterior tomado de la Guía de implementación y a fin de implementar medidas de prevención, como: “La retroalimentación y supervisión al personal responsable, establecer dinámicas de integración, establecer canales de comunicación y auxilio entre personal operativo con canales superiores, el establecer métricas de valoración de resultados, o cualquier medida tendiente a prevenir el riesgo identificado y valorado”.

En esta fase se analiza:

La razón de la valoración: Como y el grado en que las condiciones, hecho, circunstancias, acciones o inacciones afectan los objetivos de calidad.

Como la razón de la valoración afecta el diseño de la respuesta: Ejemplo: “Un riesgo de calidad de que el personal no llame la atención de la firma de auditoria sobre las diferencias de opinión con el liderazgo puede no ser respondido de manera adecuada a través de políticas que involucren al mismo liderazgo en el proceso de diferencias de opinión. Un riesgo de calidad de que los equipos del encargo no estén adecuadamente dirigidos y supervisados, y su trabajo no sea revisado durante una pandemia global, pueden tener un alto grado de efecto en el logro de los objetivos de calidad debido a la generalidad del riesgo de calidad en toda la firma de auditoría. En consecuencia, puede ser necesaria una respuesta más robusta.”

La posible ocurrencia de los riesgos de calidad: Ejemplo: “Un riesgo de calidad acerca de que puede haber incumplimientos a la independencia que surjan los intereses financieros del personal puede tener una mayor probabilidad de ocurrir si la firma de auditoria tiene mucho personal. Como resultado, es posible que se necesite una respuesta más robusta”.

Con el ejemplo anterior, podemos ver como una aparentemente simple situación, puede convertirse en un derivador de problemas internos, en especial cuando están involucrados nuestros recursos humanos, que son un activo fundamental para nuestras Firmas.

4) 4º) Identificar información indicando la necesidad de adicionar/modificar objetivos de calidad, riesgos de calidad o respuestas. Lo que hace que el sistema sea dinámico y garantiza su permanencia, utilidad, aplicabilidad y valor agregado.

Además la norma establece la libertad a que cada Firma desarrolle e implemente un Sistema de Gestión de Calidad, adecuado su tamaño, complejidad, obligaciones, responsabilidades y necesidades específicas; pero basado en un esquema de administración de riesgos. Bajo los puntos de vista, consideraciones y acotaciones señaladas anteriormente.

Para nuestra profesión, la “Administración de riesgos” no es ajena, ya que al ser de nuestro conocimiento pleno, una correcta información financiera desde su generación, por sus variaciones nos percatamos haciendo análisis de “causa-efecto”, de la ocurrencia de uno o varios riesgos, pero un valor importante de una “Administración de riesgos”, esta en la prevención, y mucho de sus ingredientes, se toman de la información financiera misma, sin tampoco olvidar los procesos de elaboración de presupuestos.

En el caso de la auditoria, como el área de nuestra profesión que oficialmente nos ocupa, existen esquemas estandarizados de control interno, como el “Modelo COSO®” (“Comité de Organizaciones patrocinadoras de la Comisión de Comercio COSO®”, por sus siglas en inglés), donde la administración de Riesgos representa un segmento toral. Esto significa que todas las herramientas, del “modelo COSO®”, se pueden aplicar para formar parte de nuestros Sistemas de Gestión de Calidad, pero para hacerla acorde con la NIGC-1, será necesario organizar las herramientas de administración de riesgos COSO®, a los 6 componentes “facticos”. Por lo mismo es compromiso de esta Comisión de trabajo y del autor del presente artículo, también presentarles otras herramientas que coadyuvan en el establecimiento de nuestros Sistemas; como el “modelo COSO”, e incluso otras herramientas como la Norma Internacional para la Gestión de Riesgos: ISO31000® (“Organización Internacional de Estándares”, por sus siglas en inglés) que ayuda a las Organizaciones en el análisis y la evaluación de riesgos.

Por último, dos recomendaciones: La lectura analítica de la NIGC-1, con el fin de establecer que elementos de la norma son: Necesarios, aplicables y hasta útiles para nuestras Firmas, y el compartir abierta y solidariamente con otros Contadores experiencias de soluciones implementadas en los Sistemas de Gestión de Calidad, y si cuidando, acotando y salvaguardando en todo momento la seguridad y la información.