Encargo de Aseguramiento

Cómo funciona

El modelo de aseguramiento describe la relación entre tres partes: la entidad responsable de la afirmación, el auditor, y los usuarios destinatarios del informe. La ISAE 3000.15 establece que el auditor debe evaluar si los criterios de evaluación son apropiados para la materia. A diferencia de una auditoría de estados financieros (que sigue parámetros bien definidos en NIA-ES 200), un encargo de aseguramiento exige que el auditor y la entidad acuerden por escrito qué se evalúa, contra qué criterio, y a quién se dirige el informe. Sin ese acuerdo previo, todo lo que viene después se sostiene en arena.

El nivel de seguridad determina el alcance de los procedimientos. En aseguramiento razonable, el auditor ejecuta procedimientos lo suficientemente completos para respaldar una opinión positiva ("el control es eficaz"). En aseguramiento limitado, el alcance es más reducido y la opinión adopta forma negativa ("no hemos tomado conocimiento de asuntos que nos hagan pensar..."). La ISAE 3000.A6 indica que la diferencia está en la extensión y profundidad de los procedimientos, no en la naturaleza de los criterios.

Lo que realmente ocurre en muchos encargos limitados es que el responsable redacta un informe en forma negativa pero con un tono positivo, esperando satisfacer al cliente. El usuario lo lee como auditoría plena. Cuando algo sale mal, el auditor invoca el alcance limitado. La firma queda en discusión, los honorarios bajos del encargo de aseguramiento limitado no compensan el coste de defender la posición. La imagen fiel de lo que se hizo se diluye por el tono del informe.

Ejemplo práctico: Servicios Logísticos Ibéricos S.A.

Cliente: empresa española de logística, sede en Barcelona, facturación de 18,5 millones de euros, con sistemas de control de almacén y seguimiento de envíos.

Paso 1: Definición del encargo. Servicios Logísticos Ibéricos pide a un auditor externo que evalúe la eficacia de los controles internos del ciclo de ventas y cobranzas. La gerencia identifica explícitamente esta afirmación en una carta de encargo.

Nota: la carta especifica encargo de aseguramiento razonable conforme a ISAE 3000, dirigido a la junta directiva y a bancos proveedores de crédito.

Paso 2: Evaluación de criterios. El auditor valida que el Marco Integrado de Control Interno (COSO 2013) es un criterio apropiado para evaluar la eficacia de los controles. Sin un criterio explícito y acordado, no procede.

Nota: párrafo de introducción del programa: "Eficacia evaluada conforme al Marco COSO 2013, aplicable a entidades de tamaño medio del sector logístico."

Paso 3: Procedimientos de aseguramiento razonable. Pruebas de autorización en 45 transacciones de venta (muestreo estadístico), pruebas funcionales sobre la entre facturación y sistema de almacén, análisis de antigüedad de cuentas por cobrar para verificar que las excepciones se investigan dentro de 10 días.

Nota: matriz de evaluación de riesgos con calificación de eficacia para cada control determinante. Dos debilidades de diseño identificadas (falta de segregación en autorización de devoluciones, ausencia de matriz de aprobantes por rango de monto). Evidencia documentada en PT-7.3.

Paso 4: La complicación que cambia el alcance. Durante la ejecución, el auditor descubre que la entre facturación y almacén tiene una excepción no documentada: las facturas de servicios urgentes (24 horas) se procesan manualmente y no pasan por el sistema integrado. Suponen el 8% de los ingresos. El control automatizado que el auditor estaba evaluando no aplica a ese flujo. ¿Qué hace el alcance del encargo?

Aquí se abre una pregunta de juicio. El socio A dice que el encargo cubre los controles del ciclo, no segmenta por flujos, así que la excepción de facturación manual debe documentarse como debilidad de control y la opinión seguir adelante con salvedad. El socio B dice que un 8% de ingresos no cubierto por el control evaluado convierte la opinión positiva en defendible solo con un párrafo de limitación de alcance que el cliente difícilmente aceptará. Los dos están leyendo la ISAE 3000.49 ("comunique claramente el nivel de seguridad obtenido") con énfasis distinto. La presión comercial empuja a la posición A; la lectura conservadora del estándar empuja a la B.

Paso 5: Resolución. El auditor extiende los procedimientos para incluir el flujo manual: 30 transacciones adicionales, indagación al personal que las procesa, prueba de la conciliación mensual entre facturación manual e ingresos. Encuentra que el control compensatorio (revisión gerencial mensual) funciona pero no está documentado. Se incluye en el informe como debilidad significativa.

Nota del informe: "En nuestra opinión, basada en el alcance de nuestro encargo, los controles internos del ciclo de ventas y cobranzas fueron, en todos los aspectos significativos, eficaces durante el período evaluado, salvo por la debilidad significativa identificada en el flujo de facturación manual de servicios urgentes." Las dos debilidades de diseño y la debilidad significativa se desarrollan en un párrafo separado con recomendaciones.

Documentación: informe emitido según modelo ISAE 3000, con párrafo de limitaciones explicando que la evaluación cubre solo el período evaluado y que cambios futuros en sistemas podrían afectar la eficacia.

Conclusión: el encargo fue defensible porque la afirmación, los criterios y el nivel de seguridad se establecieron por escrito desde el inicio, y la complicación se incorporó al alcance en lugar de ignorarse. Sin ese acuerdo explícito y sin esa extensión, el auditor habría quedado expuesto a disputas sobre qué se evaluó de verdad.

Qué revisores y profesionales entienden mal

Confundir aseguramiento con auditoría financiera. Toda auditoría de estados financieros es un encargo de aseguramiento, pero no todo encargo de aseguramiento es una auditoría de estados financieros. Cuando una firma acepta un encargo de evaluación de cumplimiento normativo, control interno de TI o sostenibilidad, debe aplicar ISAE 3000 (o su equivalente local), no NIA-ES. El fallo más habitual es no documentar de forma explícita el criterio de evaluación, lo que genera incertidumbre sobre qué se evaluó y bajo qué marco.

Aseguramiento limitado mal comunicado. La ISAE 3000.49 exige que el auditor comunique claramente el nivel de seguridad obtenido. En la práctica, las firmas entregan opiniones en forma negativa sin enfatizar en el informe que el alcance fue limitado, y el lector saca la impresión de auditoría completa. Esto no es solo una cuestión de redacción. Es una decisión sobre qué riesgo asume la firma. Lo he visto en encargos de revisión de información intermedia donde el banco pide "el informe del auditor" y la firma entrega un informe limitado que el cliente reenvía como si fuera auditoría plena. Cuando aparece un problema, la firma se defiende con la letra del informe. El banco se defiende con cómo lo leyó. La discusión termina en arbitraje.

Aseguramiento sobre sostenibilidad sin criterio cerrado. Encargos sobre reporting no financiero donde no existe un criterio plenamente establecido (ESRS vs GRI vs estándares de industria en competencia). El auditor debe negociar y acordar por escrito cuál es el criterio exacto antes de empezar los procedimientos, pero muchas firmas comienzan a trabajar sin ese acuerdo, exponiendo el encargo a disputas sobre alcance y conclusiones. Aquí entra una presión comercial concreta: el socio necesita el cliente, el cliente quiere el sello, y se sacar adelante el encargo con el criterio que aparezca. En ESRS la zona gris es enorme y los honorarios son ajustados, así que el incentivo a marcar la casilla está construido en la economía del encargo.

Comparación: aseguramiento razonable vs. aseguramiento limitado

La distinción importa porque los usuarios destinatarios interpretan la forma de la opinión como indicador de la extensión del trabajo. Un aseguramiento limitado sobre controles de TI no debe presentarse con la misma forma que una auditoría razonable, porque los usuarios asumirán un nivel de evaluación que no existió. Y cuando ese asumido se rompe, la firma defiende su informe contra una expectativa que ella misma no aclaró.

La idea que la norma no dice

ISAE 3000 está pensada para encargos cuya economía permite acordar criterio, alcance y nivel de seguridad antes de empezar. La realidad de muchos encargos de aseguramiento (especialmente sostenibilidad, ciberseguridad, ESG) es que el cliente quiere el informe la semana que viene y el criterio se cierra a la vez que se ejecutan los procedimientos. Esto convierte el modelo de tres partes en una negociación de dos: auditor y cliente. El usuario destinatario, que en teoría es el centro del modelo, queda fuera de la conversación. Por eso los informes terminan con un lenguaje que cuida más a quien paga que a quien lee.

Términos relacionados

- Afirmación: la declaración que el auditor evalúa, explícita en una carta de la entidad o implícita si el auditor la identifica al examinar la materia. - Criterios de evaluación: el marco contra el cual la afirmación es medida (COSO, COBIT, normas de industria, marcos de sostenibilidad). - Auditoría de cumplimiento normativo: encargo de aseguramiento que evalúa si la entidad cumple con leyes y regulaciones específicas. - Revisión de información financiera intermedia: encargo de aseguramiento limitado sobre estados financieros no auditados (ISAE 2400). - Auditoría de control interno: encargo de aseguramiento razonable sobre la eficacia de un sistema de control interno (ISAE 3402). - Servicios relacionados con aseguramiento: encargos que no proporcionan un nivel de seguridad (comprobación de información financiera prospectiva, auditoría de información no financiera bajo ISAE 3410).

Calculadora de materialidad relacionada

Cuando planifique un encargo de aseguramiento sobre información financiera, determine la materialidad de la materia evaluada con nuestra herramienta. La materialidad es el umbral por debajo del cual los errores se consideran insignificantes en el contexto del encargo.

Acceder a la calculadora de materialidad

---