Sobre aspectos relacionados con el deber de secreto al que se encuentran sujetos los auditores de cuentas, en el cumplimiento de determinados requerimientos de las normas de auditoria y de la Norma de Control de Calidad Interno.
Acceder a la respuesta del ICAC
Resumen
La consulta plantea si en el caso de auditores de cuentas y sociedades de auditoría (en adelante, firmas de auditoría) de pequeña dimensión que pudieran utilizar a personas o sociedades de auditoría externas para la realización de determinadas actuaciones en el desarrollo de su actividad de auditoría de cuentas, de conformidad con lo previsto en las NTA y en la Norma de Control de Calidad Interno (NCCI) de los auditores y sociedades de auditoría, se vulneraría o no el deber de secreto establecido en el artículo 25 del TRLAC, al tener que poner a disposición de dichas personas externas los papeles de trabajo e información correspondiente a los distintos encargos de auditoría realizados de las entidades auditadas.
Normativa aplicable:
El deber de secreto al que se encuentran sujetos los auditores de cuentas y sociedades de auditoría sobre la información de las entidades auditadas que obtienen en el ejercicio de esta actividad se encuentra regulado en el art. 25 del TRLAC, en cuyo apartado 1, establece:
“Artículo 25. Deber de secreto y acceso a la documentación.
El auditor de cuentas firmante del informe de auditoría, la sociedad de auditoría así como los socios de ésta, los auditores de cuentas designados para realizar auditorías en nombre de la sociedad de auditoría y todas las personas que hayan intervenido en la realización de la auditoría estarán obligados a mantener el secreto de cuanta información conozcan en el ejercicio de su actividad, no pudiendo hacer uso de la misma para finalidades distintas de las de la propia auditoría de cuentas, sin perjuicio del deber de denuncia contemplado en el artículo 262 de la Ley de Enjuiciamiento Criminal.”.
A su vez, el art. 57 del Reglamento del TRLAC (RAC), indica que el citado deber de secreto y acceso a la documentación “será de aplicación incluso una vez que se hayan dado de baja en el Registro Oficial de Auditores de Cuentas el auditor de cuentas o la sociedad de auditoría así como los socios de ésta, o haya cesado la vinculación con los auditores de cuentas o sociedades de auditoría por parte de las personas que intervinieron en la realización de la auditoría”.
De otro lado, la normativa actualmente vigente resultado de la transposición de la Directiva 2006/43/CE del PE y del Consejo, de 17 de mayo de 2006, relativa a la auditoría legal de las cuentas anuales y de las cuentas consolidadas, en su art. 23.2, establece que “Las normas de confidencialidad y secreto profesional relativas a los auditores legales o las sociedades de auditoría no impedirán la aplicación de las disposiciones de la presente Directiva”.
En este sentido, el art. 25.2 del TRLAC contempla las excepciones subjetivas a este deber de guardar secreto. Entre dichas excepciones subjetivas se encuentran:
- El ICAC, en el ejercicio de sus competencias;
- quienes resulten designados por resolución judicial;
- los autorizados por la ley;
- las Instituciones públicas con competencias de control y supervisión de entidades financieras, de seguros o que cotizan en el Mercado de Valores, en el ejercicio de sus funciones;
- las corporaciones representativas de los auditores de cuentas, a efectos de verificar la adecuada actuación de sus miembros;
- los auditores de cuentas y sociedades de auditoría, en los supuestos de auditoría de cuentas anuales consolidadas y de sustitución del auditor; y
- las autoridades competentes de los Estados miembros de la Unión Europea y de terceros países en los términos previstos legalmente.
Por otra parte, en los apartados A50 y A68 de la mencionada NCCI se establece la posibilidad de que los auditores de cuentas individuales y sociedades de auditoría de pequeña dimensión se vean obligados a utilizar a personas externas (ajenas a su estructura organizativa) para la realización de las revisiones de control de calidad que se requieran de acuerdo con las circunstancias y según lo dispuesto en la propia norma, incluso también en la aplicación de pruebas o procedimientos de inspección en el proceso de “seguimiento de las políticas y los procedimientos de control de calidad de dichos auditores y sociedades de auditoría”.
En estos supuestos, las personas externas contratadas por los citados auditores o sociedades de auditoría de pequeña dimensión tendrán que acceder a la documentación correspondiente al trabajo o trabajos de auditoría de las distintas entidades realizados por dichos auditores o sociedades de auditoría y que son objeto de su revisión o inspección, de modo que puedan realizarse los trabajos que a ese respecto deben desarrollar, tal y como se configuran las citadas funciones en la propia NCCI.
Esta misma situación se puede producir en los casos en los que un auditor de cuentas o sociedad de auditoría requiera realizar consultas a expertos en una materia determinada o sobre una cuestión concreta que pudiera surgir en la realización de un trabajo de auditoría de cuentas o incluso cuando dicho auditor o sociedad de auditoría utilice el trabajo de un experto externo o ajeno a su propia estructura organizativa. En este sentido, la NIA-ES 620 “Utilización del trabajo de un experto del auditor” prevé que la firma de auditoría pueda utilizar a un experto externo a la firma para poder en base al trabajo de éste obtener la evidencia necesaria y suficiente sobre una determinada cuestión, para lo cual la firma de auditoría deberá acordar por escrito con el experto utilizado, entre otras cuestiones, que el experto externo cumpla los requerimientos de confidencialidad.
Existen otros supuestos en los que se impone el derecho a acceder a la documentación de un trabajo de auditoría, con el correlato deber de permitir su acceso, y sin que se vulnere por ello el deber de secreto; esto son los supuestos de sustitución de un auditor o de la realización de la auditoría de cuentas consolidadas, conforme a lo previsto en el artículo 25.2.f) del TRLAC.
En resumen:
Atendiendo a lo dispuesto en la normativa de auditoría de cuentas citada, puede concluirse que:
a) Todas las firmas de auditoría, incluyendo a las de pequeña dimensión, estarán obligados a asegurar que quien firma el informe de auditoría, los socios auditores, y los auditores designados para actuar en nombre de una sociedad auditora mantengan el secreto de cuanta información conozcan en relación con la actividad de auditoría desarrollada por dicha firma, no pudiendo hacer uso de la misma para fines distintos a los de la propia auditoría de cuentas.
Esta obligación es exigible igualmente a las personas que presten servicios para la firma de auditoría, que hayan “intervenido en la realización de un trabajo de auditoría”, ya sean integrantes de la firma o pertenecientes a ella cualquiera que sea la naturaleza de vinculación (internas), ya sean ajenas a la estructura organizativa de la firma (externas).
b) La participación o intervención en “la realización de un trabajo de auditoría” puede y debe producirse por la realización de los procedimientos, evaluaciones, verificaciones y demás actuaciones que pudieran darse tanto en relación con el ejercicio de la actividad auditora de la firma, como en las distintas actuaciones correspondientes a la realización de un trabajo concreto de auditoría, y que resulten exigidas por la normativa reguladora de auditoría. Así, y a título enunciativo, entre dichas actuaciones se encontrarían:
– Las revisiones de control de calidad de un trabajo de auditoría (A50 de la NCCI).
– Los procedimientos de seguimiento del sistema de control de calidad de la firma (A68 de la NCCI).
– La realización de consultas a expertos externos (apartados 34 y A36 a A40 de la NCCI o apartados 18 y A22 de la NIA-ES 220 “Control de calidad de la auditoría de estados financieros”) y la utilización del trabajo de expertos externos del auditor prevista en la NIA-ES 620 “Utilización del trabajo de un experto del auditor” (apartados 7 y 11).
– El acceso y la revisión de los papeles de trabajo de otro auditor correspondientes a la auditoría de una determinada entidad en los supuestos de auditoría de cuentas consolidadas (artículo 5 del TRLAC y NIA-ES 600 “Consideraciones especiales- auditoría de estados financieros de grupos”) o de sustitución de auditor (NTA relación entre auditores y NIA-ES 510 “Encargos iniciales de auditoría- Saldos de apertura”). Véase también consulta nº 1 BOICAC 93.
De acuerdo con la citada normativa de auditoría, la realización de dichas actuaciones forman parte del desarrollo de un trabajo de auditoría de cuentas o incluso de la actividad de auditoría de cuentas de la firma, de modo que para cumplir debidamente las obligaciones derivadas de la normativa citada, resulta imprescindible el deber de acceso, y correlativo derecho, a esa documentación por parte de las personas encargadas de su realización, puesto que de lo contrario no podrían cumplirse debidamente estas obligaciones.
Resulta, por tanto, necesario el acceso a determinada información correspondiente a los trabajos de auditoría respecto de los cuales se impone el deber de secreto por parte de las personas encargadas de la realización de tales funciones, para poder cumplir lo exigido en la normativa reguladora de la actividad de auditoría de cuentas.
De no llegarse a esta interpretación, no podría darse el debido cumplimiento a las obligaciones que se imponen a las firmas por la normativa reguladora de la actividad auditora, siendo así que, en el caso planteado en la consulta, la realización de la adecuada revisión y seguimiento lleva consigo el necesario acceso a la documentación de modo que pueda verificarse y justificarse su efectivo cumplimiento por parte de la firma.
c) En este contexto, y de acuerdo con la obligación de guardar secreto referida en la letra a) anterior, las firmas de auditoría deben establecer como parte de su sistema de control de calidad interno, tanto a nivel global de firma de auditoría, como de cada trabajo de auditoría a realizar, los procedimientos y mecanismos adecuados que les garantice el cumplimiento efectivo del deber de confidencialidad, custodia e integridad de la documentación e información correspondiente a cada uno de los trabajos de auditoría realizado. Todo ello al objeto de que tanto las personas pertenecientes o integradas en las estructura de la firma (internas) como todas las personas ajenas a ella (externas) que participen en la realización de aquellas actividades exigidas por la normativa reguladora aplicable a la actividad de auditoría cumplan con las obligaciones de confidencialidad requeridas a la firma, independientemente de que las citadas personas acceden a información concreta de una entidad auditada como consecuencia de su participación directa durante la realización del trabajo de campo de la auditoría de dicha entidad o por su participación en cualesquiera de los objetivos o procesos que integran el sistema de control interno de la firma de auditoría, exigidos en ambos casos por la normativa reguladora de la actividad de auditoría de cuentas.
Entre dichos procedimientos y políticas de la firma deberá encontrarse el de poder exigir a todo el personal integrante de la firma de auditoría (socios y empleados) la correspondiente cláusula de confidencialidad que asegure el debido cumplimiento del deber de secreto exigido legalmente, tanto a nivel de firma como del personal, de acuerdo con lo previsto en la NCCI y en la NIA-ES 220. Y ello será aplicable de forma análoga cuando la firma de auditoría contrate a personas externas a la firma para la realización de cualquier función exigida normativamente relativa a la actividad de auditoría que ejerza la entidad, entre las que se pueden encontrar los expertos cuyo trabajo el auditor debe utilizar.
d) De acuerdo con lo anterior, pudiera ser conveniente incorporar en el contrato de auditoría que se suscriba con la entidad auditada las disposiciones o acuerdos de acceso a la documentación correspondiente de otros auditores y expertos, tal como prevé el apartado A24 de la “Guía de aplicación y otras anotaciones explicativas” de la NIA-ES 210 “Acuerdo de los términos del encargo de auditoría”.
Conclusión:
En consecuencia, sobre la cuestión concreta planteada, el ICAC entiende que cuando las firmas de auditoría (de pequeña dimensión) utilicen o contraten a personas externas ajenas a su estructura organizativa para realizar revisiones de control de calidad de algún trabajo de auditoría o para la aplicación de procedimientos en el proceso de seguimiento del sistema de control de calidad de la firma (conforme a lo previsto en los apartados A50 y A68 de la NCCI), dichas personas externas tienen el derecho y deber de acceder a la documentación correspondiente que sea necesaria para el cumplimiento de sus funciones respectivas, no vulnerándose por tal acceso el deber de secreto al que las firmas de auditoría se encuentran sujetas, de acuerdo con lo exigido en el artículo 25 del TRLAC.
En este caso, las firmas de auditoría deberán establecer los procedimientos adecuados que sean necesarios para asegurar en todo caso el estricto cumplimiento de su deber de secreto al que se encuentran legalmente sujetos, de modo que las personas (pertenecientes o no a la estructura organizativa de la firma) que participen o estén relacionadas con la realización de la actividad de auditoría de la firma, cumplan con las obligaciones relativas a dicho deber de secreto requerido legalmente, debiendo a este respecto suscribir los acuerdos contractuales correspondientes sobre confidencialidad.
Las mismas conclusiones deben alcanzarse para el resto de los supuestos mencionados para los que, de acuerdo con la normativa reguladora de la actividad de auditoría de cuentas, se precisa el acceso a cierta documentación del trabajo de auditoría e información de la entidad auditada por parte de personas ajenas a la estructura organizativa de la firma de auditoría.
Se recuerda, por otra parte, que el deber de guardar secreto al que se encuentran sujetos los auditores de cuentas y todos los intervinientes en el desarrollo de la actividad de auditoría de cuentas sobre la información que hubiesen conocido en la realización de un trabajo de auditoría de las cuentas anuales de una entidad, implica la prohibición de que dicha información pueda utilizarse para finalidades distintas a las de la propia auditoría de cuentas, conforme a lo dispuesto en el apartado 1 del artículo 25 del TRLAC.
Por otra parte, se indica que entre la información que ha de recabar el auditor en el ejercicio de sus funciones (según el art. 4 del TRLAC) de la entidad auditada relativa a las cuentas objeto de auditoría, está la contabilidad cuyo carácter secreto declara el Código de Comercio (artículo 32) y demás normativa aplicable por razón de la naturaleza jurídica de la entidad. Sin embargo, este carácter secreto de la contabilidad queda delimitado con las excepciones contenidas en el propio artículo 32, apartados 2 y 3, y en otras leyes, de modo que únicamente dicho secreto de la contabilidad no será oponible a quienes sean titulares del derecho de requerir o acceder a tal información. Entre dichas excepciones establecidas en otras leyes, están precisamente y entre otras la establecida a favor del auditor de cuentas de la entidad cuya información está protegida.
Por tanto, resulta justificado que el acceso a la información obtenida por los auditores en relación con el trabajo de una auditoría de una entidad sólo sea utilizada para y exclusivamente para estos fines, no pudiendo utilizarse por determinadas personas y entidades, de acuerdo con lo previsto en el artículo 25.2 del TRLAC, las cuales podrán acceder a la citada información y documentación de la auditoría de cuentas de una entidad a los efectos exclusivos de lo previsto en el citado artículo y quedando en todo caso sujetas a su vez a las obligaciones del mismo deber de secreto.
Es decir, fuera de los supuestos aquí planteados no pueden los auditores de cuentas o sociedades de auditoría divulgar o permitir el acceso de la información obtenida para fines distintos de los de la propia auditoría, puesto que dicho acceso supondría vulnerar el deber legal de secreto impuesto a los auditores y, a su vez, del secreto que protege la contabilidad y de los datos que se reflejan en ella por parte de la entidad auditada, con la consiguiente posible exigencia de responsabilidad, no sólo administrativa, sino la que pudiera derivarse en otras sedes.