El contexto al que las empresas hacen frente no ha disminuido el nivel de exigencia. La volatilidad geopolítica —con tensiones arancelarias y bélicas que afectan a las cadenas de suministro— se combina con cambios regulatorios intensos y una transición tecnológica acelerada. Todo ello presiona a la alta dirección y al elevado nivel de vigilancia que se espera de los consejos, especialmente de las comisiones de auditoría.
En este sentido, los consejos de administración y los gestores hacen mayor énfasis en la necesidad de actuar con una vigilancia más técnica y cercana al negocio. El objetivo es adelantarse a lo que viene. “No basta con revisar lo que ya conocemos. Hay que anticiparse”, afirma David Hernanz, socio responsable de Auditoría y del ACI de KPMG España.
De esta forma, las comisiones de auditoría necesitan estar al día en diferentes frentes: desde la supervisión de la IA, la ciberseguridad y la gobernanza de los datos, hasta las nuevas normas en materia de presentación de las cuentas de resultados y los ajustes en la información sobre sostenibilidad. De igual forma, las unidades de cumplimiento deben poner en valor su trabajo mediante una supervisión rigurosa, el establecimiento de expectativas claras y de altos estándares, así como una auditoría interna capaz de anticipar riesgos.
Al final del día, se trata de generar confianza en la empresa, dice David Hernanz: “La confianza solo se construye con información consistente, trazable y alineada con la estrategia”. Estas son cuatro claves que marcarán la agenda de las comisiones de auditoría a lo largo del año.
Con el cierre del ejercicio 2025 ya en los libros, las organizaciones han comenzado a poner la vista en un horizonte regulatorio que promete transformar la manera en que se comunica el desempeño corporativo. La irrupción de la NIIF 18, que sustituirá a la veterana NIC 1, no supone una ruptura en los principios de valoración o de reconocimiento contable —el resultado final de la compañía seguirá siendo el mismo—, pero sí introduce un cambio de paradigma en la presentación y la estructura de los estados financieros.
Esta normativa, ya adoptada por la Unión Europea (UE), será de obligado cumplimiento para los ejercicios que comiencen en enero de 2027, lo que lleva a las empresas a trabajar con datos comparativos desde 2026 para garantizar una transición sin sobresaltos ante reguladores e inversores.
La génesis de esta norma responde a una carencia histórica en la comparabilidad de las cuentas. Hasta ahora, las NIIF ofrecían un enfoque de mínimos que permitía a cada grupo presentar su cuenta de resultados según criterios heterogéneos, recurriendo a indicadores no contables para explicar su gestión. La NIIF 18 busca disciplinar este escenario al integrar dichas medidas de rendimiento en las cuentas anuales.
“Al hacerlo, estos indicadores pasan a ser objeto de auditoría externa, elevando el nivel de transparencia y dotando de mayor rigor a la narrativa sobre cómo la dirección ha alcanzado sus resultados”, asegura Marisa Pérez, socia del área de Accounting and Reporting de KPMG España.
La implementación de la NIIF 18 no es un mero cambio cosmético. Afecta a la divulgación interna, a la relación con los reguladores y a la comunicación con el mercado. Las empresas que decidan no optar por la aplicación anticipada tienen menos de un año para definir sus nuevas políticas de agregación y preparar sus sistemas para el año comparativo 2026.
La gestión de vulnerabilidades ya no es responsabilidad exclusiva del departamento de sistemas. En el escenario actual, la ciberseguridad debe cuantificarse y gestionarse con el mismo rigor que los riesgos financieros. La integración masiva de tecnología en todos los procesos de negocio obliga a la alta dirección a asumir un rol activo.
“Desde las comisiones de auditoría, conviene retar a la organización para asegurar que los planes estratégicos de ciberseguridad y riesgo tecnológico no avancen de forma aislada, sino que estén 100% alineados con los objetivos comerciales y estratégicos de la compañía”, comenta Juan Ignacio Ríos, director del área de Tech Risk & Ciberseguridad de KPMG España.
Los CEO en España están priorizando la inversión en IA, pero ello implica desafíos que no pueden ignorarse. En otras palabras: establecer controles sobre qué información se introduce en los modelos de IA, concienciar a los empleados sobre el uso de herramientas no autorizadas por la empresa y contar con equipos multidisciplinares —técnicos, de cumplimiento y de riesgos— que garanticen una implementación adecuada desde el primer minuto.
Existen cuatro focos críticos de riesgo que las comisiones de auditoría deben vigilar con especial atención:
Europa ha desplegado un ecosistema normativo que busca armonizar la seguridad. Además de NIS2 (directiva europea de seguridad para sectores críticos y de alta dirección) o DORA (reglamento de resiliencia digital para el sector financiero), el nuevo Reglamento de IA y las leyes de resiliencia obligarán a las empresas a inventariar sus algoritmos y a reportar incidentes en plazos extremadamente cortos, que a veces no superan las 24 horas.
Estar preparados para estas exigencias evita sanciones económicas y permite a la empresa ser más ágil en la identificación de la causa raíz de un problema, minimizando la pérdida de operaciones y garantizando la integridad de la información.
España vive un momento de impasse. Mientras sigue vigente la Ley 11/2018 para empresas de más de 250 empleados, la esperada transposición de la directiva europea CSRD (Corporate Sustainability Reporting Directive) se ha visto frenada por la directiva Ómnibus, lanzada por la Unión Europea, que busca simplificar las normas para no asfixiar la competitividad de las empresas.
En febrero, la UE aprobó de forma definitiva el paquete Ómnibus I de Sostenibilidad (Directiva (UE) 2026/470), ya publicado en el Diario Oficial. Este conjunto legislativo introduce una simplificación sustancial en los requisitos y en el alcance tanto de la CSRD como de la Directiva de Diligencia Debida, reduciendo su complejidad y ajustando su aplicación.
El cambio más drástico se produce en quien debe reportar. Los umbrales de aplicación se han elevado considerablemente: la obligatoriedad ya no empezará en las compañías con 250 empleados, sino en las con más de 1.000 trabajadores y 450 millones de euros de facturación. Esto reduce significativamente el número de firmas afectadas.
De igual forma, conviene tener en cuenta que la reforma reciente de la Taxonomía Europea no cambia el concepto de qué actividades pueden ser elegibles o alineadas, sino que simplifica de forma relevante cómo se reporta y cómo se aplica en la práctica.
En particular, el acto delegado introduce umbrales de materialidad que permiten no entrar en un análisis detallado cuando determinadas actividades o exposiciones son poco significativas, y reduce y reordena plantillas y data point para mejorar la operatividad y la consistencia del reporting.
El resultado esperado es un reporte más proporcional: menos complejidad en lo no material y más foco en las actividades que realmente mueven los indicadores clave de la Taxonomía.
Este cambio regulatorio, junto con la falta de trasposición de la CSRD inicial en España y la Ley 11/2018 de información no financiera, motivó que el Instituto de Contabilidad y Auditoría de Cuentas (ICAC) y la Comisión Nacional del Mercado de Valores (CNMV) recomendaran a las empresas que elaboren sus informes de sostenibilidad conforme a la directiva y normas ESRs, considerando la flexibilización introducida por la nueva normativa europea.
Con el cambio en el marco de reporting, la supervisión desde el consejo debe tener en cuenta si la dirección ha identificado y evaluado los impactos (materialidad de impacto), riesgos y oportunidades (materialidad financiera) derivados de los temas recogidos en los Estándares ESRS.
“El contenido de estos informes debe basarse en un análisis de doble materialidad, un ejercicio metodológico que obliga a la empresa a identificar tanto sus impactos en el entorno como los riesgos que pueden afectar a su propia resiliencia financiera, por ejemplo, los derivados del cambio climático o de tipo social en relación con el talento o los mercados”, explica Patricia Reverter, socia responsable de Assurance ESG de KPMG España.
El último informe del World Economic Forum (WEF) marca un hito histórico al situar la desinformación masiva y las fake news (o noticias falsas) como el principal riesgo global a corto plazo, superando por primera vez a los factores ambientales o económicos tradicionales. En un entorno donde la vida media de las empresas no supera los 15 años debido a la aceleración del cambio y la disrupción tecnológica, la confianza y la credibilidad se perciben como el activo estratégico diferencial.
Ante la incertidumbre geopolítica y las tensiones en las cadenas de suministro, la supervivencia de las organizaciones depende de su capacidad para transformar estos riesgos emergentes en oportunidades competitivas. “Resulta imperativo evolucionar hacia una visión holística e integrada de la gestión de riesgos que rompa los silos departamentales mediante protocolos de coordinación y herramientas tecnológicas transversales”, destaca Yolanda Pérez, socia de Gobierno, Riesgo y Cumplimiento de KPMG España.
Por ello, se sugiere a la comisión de auditoría en su labor supervisora pasar de los indicadores históricos (KPI) a indicadores de riesgo prospectivos (KRI) que les permitan anticiparse a las tendencias externas.
Deja un comentario