Cómo funciona

La confirmación externa es una solicitud que el auditor envía a un tercero externo para verificar información que ya posee la entidad auditada. No es una pregunta abierta al tercero; es una petición de que confirme datos específicos que el auditor ha identificado en los registros de la entidad.
El proceso tiene tres fases claras. Primero, el auditor determina qué información necesita confirmar (saldos de clientes, deuda con bancos, stocks en almacenes de terceros, etc.) y redacta la solicitud de confirmación. Segundo, el auditor envía la solicitud directamente al tercero o, en algunos casos, pide a la entidad auditada que la entregue (aunque el auditor conserva el control). Tercero, el tercero responde directamente al auditor con su confirmación o su rechazo.
Según ISA 505.5, el auditor debe considerar si las confirmaciones externas son relevantes para la auditoría. Si lo son, el auditor generalmente ejecuta este procedimiento a menos que estime que el riesgo de no ejecutar confirmaciones externas es bajo (ISA 505.6). La principal está en que el auditor debe documentar esta evaluación.
La confirmación se clasifica en dos tipos: positiva (el tercero debe responder siempre, haya confirmación o no) y negativa (el tercero responde solo si hay discrepancia). Las confirmaciones positivas son más fiables porque generan una respuesta explícita. Las negativas tienen un riesgo mayor: si no se recibe respuesta, el auditor no sabe si el tercero confirmó la información o no respondió.
El riesgo que el auditor debe evaluar constantemente es el riesgo de que la confirmación sea falsa. ISA 505.A20 enumera los riesgos específicos: que la solicitud de confirmación no llegue, que la respuesta sea interceptada o alterada, que la respuesta proceda de un tercero no autorizado. Por eso, el auditor debe considerar los arreglos seguros para enviar y recibir confirmaciones directamente, especialmente en contextos digitales.

Ejemplo práctico: Grupo Exportador Mediterráneo S.L.

Cliente: Empresa española de distribución y exportación textil, con sede en Barcelona, facturación de 28,5 millones de euros en 2023, reporta bajo el PGC completo. Auditoría de cuentas anuales para el año terminado 31 de diciembre de 2023.
Paso 1: Identificación del universo a confirmar
El auditor identifica que Grupo Exportador Mediterráneo mantiene relaciones comerciales con 47 clientes mayoristas. El saldo total de cuentas a cobrar es de 6,2 millones de euros. El auditor evalúa que una confirmación de saldos de clientes es relevante (ISA 505.5) porque los ingresos por ventas representan el 94% de los ingresos totales y las cuentas a cobrar son una partida significativa en relación con la materialidad de la auditoría.
Nota de documentación: Memorándum de decisión incluido en el papel de trabajo PT-5.1, firmado por el socio responsable: "Se decide ejecutar confirmación externa positiva de cuentas a cobrar. Universo: 47 clientes. Método: envío digital directo a través de plataforma de confirmación segura (Confirmity). Muestra: 32 clientes seleccionados, representan el 71% del saldo total."
Paso 2: Redacción de la solicitud de confirmación
El auditor redacta una solicitud de confirmación en el formato estándar que incluye: (a) la identificación de Grupo Exportador Mediterráneo, (b) la fecha del balance, (c) el saldo específico que se pide al cliente que confirme, (d) un espacio para que el cliente indique conformidad o, si existe discrepancia, la describa, (e) instrucciones claras de envío directo al auditor.
La solicitud NO incluye referencias a la calidad de la relación comercial, bonificaciones pendientes, o cambios en las condiciones de pago. Solo pide confirmación del saldo a fecha de corte: "Según nuestros registros, el saldo adeudado por su empresa a Grupo Exportador Mediterráneo S.L. a fecha de 31 de diciembre de 2023 era de [importe]. ¿Podría confirmar que este saldo es exacto a esa fecha?"
Nota de documentación: Copia de la solicitud de confirmación estándar archivada en PT-5.2. Revisada y aprobada por el socio responsable el 15 de enero de 2024. Enviada a través de Confirmity (plataforma de audit trail documentada) el 16 de enero de 2024.
Paso 3: Envío directo
El auditor asegura que la solicitud se envía directamente a los clientes, no a través de la entidad auditada. Para esto, el auditor obtiene de forma independiente los datos de contacto de los clientes desde facturas, estados de cuenta confirmados e independientemente de los registros de la entidad. El auditor usa una plataforma de confirmación de terceros que proporciona un audit trail documentado de cuándo se envió cada solicitud y a qué dirección.
Nota de documentación: Lista de direcciones de contacto utilizada para el envío archivada en PT-5.3. Procedencia: estados de cuenta emitidos por los clientes (copias en PT-5.3.1 a PT-5.3.4). Verificación cruzada contra el registro de clientes del sistema de Grupo Exportador Mediterráneo. Discrepancias identificadas: 3 clientes con direcciones actualizadas (resueltas antes del envío). Reporte de envío de Confirmity descargado y archivado el 16 de enero de 2024.
Paso 4: Seguimiento de respuestas
En la fecha límite fijada (31 de enero de 2024), el auditor recibe 28 confirmaciones de las 32 solicitadas. De las 28 respuestas, 27 son confirmaciones sin excepciones y 1 contiene una discrepancia menor: el cliente reporta un saldo 18.000 euros inferior al que consta en los registros de Grupo Exportador Mediterráneo.
De las 4 confirmaciones no recibidas, el auditor aplica los procedimientos alternativos requeridos por ISA 505.8 y siguientes.
Nota de documentación: Resumen de respuestas archivado en PT-5.4. Matriz de estado de confirmaciones: PT-5.4.1. Discrepancia de 18.000 euros investigada y resuelta mediante análisis de nota de crédito emitida el 2 de enero de 2024, no registrada en el cliente hasta febrero. Reversión de ingreso documentada el 30 de enero de 2024. PT-5.5 contiene la justificación de la reversión y su impacto en la cuenta de resultados.
Paso 5: Procedimientos alternativos para confirmaciones no respondidas
Para las 4 confirmaciones no respondidas, el auditor ejecuta procedimientos alternativos. Estos pueden incluir: (a) examen de remesas posteriores de pago de esos clientes en febrero de 2024, (b) revisión del estado de cuenta más reciente emitido por el cliente, (c) verificación de comunicaciones posteriores entre Grupo Exportador Mediterráneo y los clientes que indiquen discrepancias, (d) análisis de actividad transaccional posterior a la fecha de cierre.
Para 3 de los 4 clientes sin respuesta, el auditor localiza remesas de pago en febrero de 2024 que confirman los saldos originales.
Para 1 cliente, el auditor no obtiene confirmación ni evidencia alternativa significativa. El auditor evalúa si esta omisión es material (ISA 505.9). El saldo de este cliente representa 156.000 euros, aproximadamente el 2,5% del saldo total de cuentas a cobrar y por debajo del nivel de materialidad de rendimiento. El auditor documenta esta conclusión.
Nota de documentación: Procedimientos alternativos para 4 clientes documentados en PT-5.6. Remesas de febrero de 2024 para 3 clientes archivadas en PT-5.6.1. Evaluación de materialidad de la omisión de confirmación de 1 cliente archivada en PT-5.6.2. Conclusión: saldo no material, procedimiento alternativo insuficiente pero evaluado contra umbral de materialidad de rendimiento (500.000 euros). Aprobado por el socio responsable el 15 de febrero de 2024.
Conclusión
Los procedimientos de confirmación externa para Grupo Exportador Mediterráneo produjeron evidencia de auditoría fiable sobre la existencia, precisión y valoración de cuentas a cobrar. Del total de 32 confirmaciones solicitadas, 27 fueron confirmadas sin excepciones, 1 contenía una discrepancia menor explicada, y 4 no se recibieron pero se respaldaron con procedimientos alternativos documentados. El auditor concluyó que el riesgo de inexactitud material en el saldo de cuentas a cobrar se ha reducido a un nivel aceptablemente bajo.

Qué revisores y auditores cometen como error

Primer error común: Envío indirecto de confirmaciones
Los hallazgos de inspección del ICAC y del Instituto de Censores Jurados de Cuentas de España (ICJCE) han identificado que un número significativo de auditorías ejecutan confirmaciones permitiendo que la entidad auditada redacte, ensobrezca y envíe directamente la solicitud de confirmación. Aunque ISA 505.7 permite esto bajo circunstancias específicas (con salvaguardas), el auditor debe controlar el proceso: seleccionar qué terceros se confirman, verificar que las direcciones sean independientes, asegurar que la respuesta llega directamente al auditor, no a la entidad.
Muchos auditores documentan una única línea: "Confirmaciones ejecutadas". Esto no es suficiente. El papel de trabajo debe mostrar: quién envió la solicitud, cuándo, a qué dirección, cómo se validó esa dirección, cuándo se recibió la respuesta y de quién procedía exactamente.
Segundo error común: Falta de procedimientos alternativos documentados
ISA 505.8 exige que, cuando una confirmación positiva no se recibe, el auditor ejecute procedimientos alternativos. Estos procedimientos deben ser suficientes para reducir el riesgo de auditoría a un nivel aceptable. Sin embargo, muchas auditorías carecen de documentación clara del procedimiento alternativo ejecutado.
Un error frecuente es registrar: "Cliente no respondió. Se verificaron pagos posteriores." Esto no es suficiente. El auditor debe documentar: qué pagos posteriores se verificaron, qué período se examinó, qué cantidad se consideró suficiente para respaldar la existencia del saldo, y cómo se llegó a la conclusión de que este procedimiento alternativo fue suficiente frente al riesgo identificado.
Tercer error común: Confundir "confirmación recibida" con "confirmación validada"
Algunos auditores registran una confirmación como "respondida" cuando reciben una respuesta. No evalúan si la respuesta fue enviada por una persona autorizada del tercero, si la dirección de respuesta era la dirección del cliente independiente, o si la respuesta fue modificada después del envío.
ISA 505.A20 identifica específicamente el riesgo de que la confirmación sea falsificada, interceptada o alterada. En contextos digitales o cuando el cliente proporciona su propia dirección de correo electrónico, este riesgo es mayor.
El procedimiento correcto es: verificar que la respuesta procede de una persona autorizada del tercero (nombre, posición), que fue enviada desde un dominio de correo electrónico del tercero (no una dirección de Gmail personal), y idealmente obtener una segunda fuente de validación (por ejemplo, un número de referencia único enviado en la solicitud original que aparece en la respuesta).

Confirmación externa vs. Confirmación interna

Una confirmación interna es información obtenida del personal interno de la entidad auditada (por ejemplo, una declaración del responsable de tesorería confirmando que los saldos de efectivo son correctos). Una confirmación externa es información obtenida de un tercero independiente de la entidad auditada.
La diferencia es material para el riesgo de auditoría. Una declaración interna tiene un riesgo inherente más alto de sesgo: el personal interno puede estar bajo presión para confirmar cifras, puede tener intereses personales en el resultado de la auditoría, o está repitiendo información que ya proporcionó. Una confirmación externa de un tercero independiente reduce de forma notable este riesgo.
Según ISA 505.2, la confirmación externa es evidencia de auditoría más confiable que la confirmación interna, especialmente cuando el tercero tiene incentivos independientes para proporcionar información exacta (por ejemplo, un banco que mantiene un registro de transacciones en una cuenta).

Términos relacionados

Herramientas relacionadas

Consulta nuestro Generador de confirmaciones externas para redactar plantillas de solicitud de confirmación personalizadas según la naturaleza del saldo a confirmar (cuentas a cobrar, deuda bancaria, stocks en terceros, arrendamientos). La herramienta incluye ejemplos de lenguaje para confirmaciones positivas y negativas, así como orientación sobre selección de muestra en función del riesgo identificado.
---

Términos relacionados

Evidencia de auditoríaRiesgo de auditoríaProcedimientos analíticosSaldos de clientesProcedimientos sustantivosResponsabilidad de dirección en la auditoría

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.