Definition

El equipo envía 32 confirmaciones a clientes. Recibe 24. Documenta una línea: "Confirmaciones ejecutadas." Eso es marcar la casilla, no auditar. La confirmación externa es la evidencia de auditoría obtenida cuando un tercero independiente comunica directamente al auditor información sobre transacciones, saldos o circunstancias específicas. La calidad del procedimiento depende menos de la propia solicitud y más del control que el auditor mantiene sobre el envío, la recepción y los procedimientos alternativos cuando no llega respuesta.

Cómo funciona

La confirmación externa no es una pregunta abierta al tercero. Es una petición de que confirme datos específicos que el auditor ya ha identificado en los registros de la entidad. Esa diferencia la malinterpreta cualquier equipo que prepara confirmaciones por primera vez.

El proceso tiene tres fases. Primero, el auditor determina qué información necesita confirmar (saldos de clientes, deuda con bancos, stocks en almacenes de terceros) y redacta la solicitud. Segundo, el auditor envía la solicitud directamente al tercero. La NIA-ES 505.7 permite que la entidad auditada participe materialmente en el envío bajo circunstancias específicas, pero el auditor conserva el control. Tercero, el tercero responde directamente al auditor con su confirmación o su discrepancia.

Lo que dice la norma. La NIA-ES 505.5 exige que el auditor considere si las confirmaciones externas son relevantes. Si lo son, generalmente las ejecuta salvo que el riesgo de no hacerlo sea bajo (NIA-ES 505.6). El auditor debe documentar esta evaluación, no solo el procedimiento ejecutado. Lo que ocurre en la práctica es que muchos papeles de trabajo saltan directamente a "se enviaron 32 confirmaciones" sin justificar por qué se eligió ese universo, esa muestra y ese método.

La confirmación se clasifica en dos tipos. Positiva: el tercero debe responder siempre, haya conformidad o discrepancia. Negativa: el tercero responde solo si hay discrepancia. Las positivas son más fiables porque generan respuesta explícita. Las negativas tienen un riesgo asimétrico: si no se recibe respuesta, el auditor no sabe si el tercero confirmó o no llegó a abrir el sobre. Por lo que conozco, la NIA-ES 505.15 limita el uso de confirmaciones negativas a circunstancias donde el riesgo evaluado de incorreción material es bajo y los controles operan eficazmente. Aplicarlas por defecto sobre carteras grandes de clientes es un atajo que las inspecciones del ICAC marcan habitualmente.

El riesgo que el auditor evalúa de forma constante es el riesgo de que la confirmación sea falsa. La NIA-ES 505.A20 enumera los riesgos: que la solicitud no llegue, que la respuesta sea interceptada o alterada, que la respuesta proceda de un tercero no autorizado. En contextos digitales (correo electrónico, plataformas de confirmación), este riesgo aumenta. El auditor debe considerar arreglos seguros para enviar y recibir confirmaciones directamente.

Ejemplo práctico: Grupo Exportador Mediterráneo S.L.

Cliente: empresa española de distribución y exportación textil con sede en Barcelona, facturación de 28,5 millones de euros en 2023, reporta bajo el PGC completo. Auditoría de cuentas anuales para el ejercicio terminado el 31 de diciembre de 2023.

Paso 1: Identificación del universo a confirmar

El auditor identifica que Grupo Exportador Mediterráneo mantiene relaciones comerciales con 47 clientes mayoristas. El saldo total de cuentas a cobrar es de 6,2 millones de euros. Evalúa que la confirmación externa positiva es relevante (NIA-ES 505.5) porque los ingresos por ventas representan el 94% de los ingresos totales y las cuentas a cobrar son una partida significativa frente a la materialidad de la auditoría (450.000 euros).

Nota de documentación: memorándum de decisión incluido en el papel de trabajo PT-5.1, firmado por el socio responsable: "Se decide ejecutar confirmación externa positiva de cuentas a cobrar. Universo: 47 clientes. Método: envío digital directo a través de plataforma de confirmación segura (Confirmity). Muestra: 32 clientes seleccionados, representan el 71% del saldo total."

Paso 2: Redacción de la solicitud

El auditor redacta una solicitud en formato estándar que incluye la identificación de Grupo Exportador Mediterráneo, la fecha del balance, el saldo específico que se pide al cliente confirmar, un espacio para que el cliente indique conformidad o discrepancia, e instrucciones claras de envío directo al auditor.

La solicitud no incluye referencias a la calidad de la relación comercial, bonificaciones pendientes, o cambios en condiciones de pago. Solo pide confirmación del saldo a fecha de corte: "Según nuestros registros, el saldo adeudado por su empresa a Grupo Exportador Mediterráneo S.L. a fecha de 31 de diciembre de 2023 era de [importe]. ¿Podría confirmar que este saldo es exacto a esa fecha?"

Nota de documentación: copia de la solicitud estándar archivada en PT-5.2. Revisada y aprobada por el socio responsable el 15 de enero de 2024. Enviada a través de Confirmity (plataforma con audit trail documentado) el 16 de enero de 2024.

Paso 3: Envío directo y validación de direcciones

El auditor obtiene de forma independiente los datos de contacto de los clientes desde estados de cuenta enviados por los propios clientes en el ejercicio (no desde el registro de clientes del ERP de Grupo Exportador Mediterráneo). Esta validación independiente es la que la mayoría de los equipos saltan. La NIA-ES 505.A2 lo señala explícitamente como riesgo: si la dirección facilita las direcciones, el auditor debe verificar al menos una muestra de forma independiente.

Nota de documentación: lista de direcciones de contacto utilizada para el envío archivada en PT-5.3. Procedencia: estados de cuenta emitidos por los clientes (copias en PT-5.3.1 a PT-5.3.4). Verificación cruzada contra el registro de clientes del sistema de Grupo Exportador Mediterráneo. Discrepancias identificadas: 3 clientes con direcciones actualizadas (resueltas antes del envío). Reporte de envío de Confirmity descargado y archivado el 16 de enero de 2024.

Paso 4: La complicación

En la fecha límite (31 de enero de 2024), el auditor recibe 28 confirmaciones de las 32 solicitadas. De las 28 respuestas, 27 son confirmaciones sin excepciones y 1 contiene una discrepancia: el cliente reporta un saldo 18.000 euros inferior al que consta en los registros de Grupo Exportador Mediterráneo.

Aquí es donde el juicio profesional empieza. La discrepancia podría ser un error de corte, una nota de crédito no registrada, o un signo de un patrón de reconocimiento prematuro de ingresos. El equipo investiga: revisa la facturación del cliente en diciembre 2023, las notas de crédito posteriores al cierre, y las comunicaciones con el departamento comercial. Resultado: el 28 de diciembre de 2023, Grupo Exportador Mediterráneo emitió una factura por 18.000 euros que el cliente nunca recibió porque la dirección de envío era incorrecta. El cliente la registró cuando llegó el original duplicado en febrero de 2024.

Esto cambia la conclusión. No es un error aislado de un cliente. Es un fallo de control en el proceso de facturación. El equipo amplía el procedimiento a otras facturas emitidas en la última semana de diciembre, identifica dos casos similares por valor agregado de 47.000 euros, y propone un ajuste de reversión de ingresos por 65.000 euros. Bajo el umbral de materialidad de planificación (450.000) pero registrado en el sumario de incorrecciones por encima del umbral de comunicación (45.000).

Nota de documentación: resumen de respuestas archivado en PT-5.4. Matriz de estado de confirmaciones: PT-5.4.1. Investigación de la discrepancia y patrón identificado: PT-5.5. Ajuste propuesto y justificación: PT-5.6.

Paso 5: Procedimientos alternativos para confirmaciones no respondidas

Para las 4 confirmaciones no respondidas, el auditor ejecuta procedimientos alternativos que la NIA-ES 505.12 exige:

- Examen de remesas posteriores de pago de esos clientes en febrero y marzo de 2024. - Revisión del estado de cuenta más reciente emitido por el cliente. - Verificación de comunicaciones posteriores que indiquen discrepancias. - Análisis de actividad transaccional posterior a la fecha de cierre.

Para 3 de los 4 clientes, el auditor localiza remesas de pago en febrero de 2024 que confirman los saldos originales. Para 1 cliente, el auditor no obtiene confirmación ni evidencia alternativa significativa. El saldo de este cliente representa 156.000 euros, aproximadamente el 2,5% del saldo total y por debajo de la materialidad de rendimiento. El auditor documenta la conclusión: el riesgo residual es aceptable.

Nota de documentación: procedimientos alternativos para 4 clientes documentados en PT-5.7. Remesas de febrero archivadas en PT-5.7.1. Evaluación de materialidad de la omisión de 1 cliente archivada en PT-5.7.2. Aprobado por el socio responsable el 15 de febrero de 2024.

Conclusión

Los procedimientos de confirmación produjeron evidencia fiable sobre la existencia, precisión y valoración de cuentas a cobrar, y revelaron un fallo de control en el proceso de facturación que no se habría detectado sin la confirmación. Sin la investigación de la discrepancia inicial, el ajuste de 65.000 euros habría pasado desapercibido. Esto es lo que la NIA-ES 505 espera del procedimiento: evidencia, no firma de cumplimiento.

Lo que cometen mal los revisores y los auditores

Primer error: envío indirecto sin control del canal

Los hallazgos de inspección del ICAC y del ICJCE han identificado que un número significativo de auditorías permiten que la entidad auditada redacte, ensobre y envíe directamente la solicitud. La NIA-ES 505.7 lo permite bajo salvaguardas específicas, pero el auditor debe controlar el proceso: seleccionar qué terceros se confirman, verificar que las direcciones sean independientes, asegurar que la respuesta llega directamente al auditor.

Lo que realmente ocurre: muchos auditores documentan una única línea, "Confirmaciones ejecutadas." No es suficiente. El papel de trabajo debe mostrar quién envió la solicitud, cuándo, a qué dirección, cómo se validó esa dirección, cuándo se recibió la respuesta y de quién procedía exactamente. Cuando viene el ICAC, esa línea no defiende nada.

Segundo error: procedimientos alternativos sin sustancia

La NIA-ES 505.12 exige que, cuando una confirmación positiva no se recibe, el auditor ejecute procedimientos alternativos suficientes para reducir el riesgo a un nivel aceptable. Muchas auditorías carecen de documentación clara del procedimiento alternativo ejecutado.

Un error frecuente es registrar: "Cliente no respondió. Se verificaron pagos posteriores." Eso no es un procedimiento alternativo. El auditor debe documentar qué pagos posteriores se verificaron, qué período se examinó, qué cantidad se consideró suficiente para respaldar la existencia del saldo, y cómo se llegó a la conclusión de que el procedimiento alternativo cubrió el riesgo identificado. Sin ese detalle, los papeles están flojos.

Tercer error: confundir "confirmación recibida" con "confirmación validada"

Algunos auditores registran una confirmación como "respondida" cuando reciben una respuesta. No evalúan si la respuesta fue enviada por una persona autorizada del tercero, si la dirección de respuesta era la del cliente independiente, o si la respuesta fue modificada después del envío.

La NIA-ES 505.A20 identifica el riesgo de que la confirmación sea falsificada, interceptada o alterada. En contextos digitales o cuando el cliente proporciona su propia dirección de correo electrónico, este riesgo es mayor. El procedimiento correcto es verificar que la respuesta procede de una persona autorizada del tercero (nombre, posición), que fue enviada desde un dominio corporativo del tercero (no una dirección de Gmail personal), y obtener idealmente una segunda fuente de validación (un número de referencia único enviado en la solicitud original que aparezca en la respuesta).

Donde dos socios razonables disputan

Socio A defiende que las plataformas digitales de confirmación (Confirmity, Capium, Inflo) son hoy el estándar mínimo defendible para encargos en empresas de cierto tamaño. Razón: el audit trail automático elimina la mayoría de las disputas de procedencia y es lo que el ICAC espera ver en encargos EIP. Sin plataforma, la documentación del canal cae sobre el equipo y rara vez se hace bien.

Socio B sostiene que las plataformas externalizan un control que el auditor debería ejercer y crean dependencia de un tercero adicional cuya integridad también hay que validar. Razón: lo que demuestra fiabilidad no es la plataforma sino el procedimiento del auditor; un equipo que envía cartas físicas con control adecuado tiene mejor evidencia que un equipo que pulsa un botón en una plataforma sin entender el flujo.

Por lo que conozco, ambos tienen parte de razón. La plataforma reduce el ruido operativo, pero no sustituye el juicio del auditor sobre el riesgo del canal. La regla práctica que aplico: usar plataforma para encargos EIP y para empresas con más de 500 cuentas a confirmar; mantener procedimientos manuales bien documentados para encargos pequeños donde la plataforma añade coste sin valor proporcional.

Confirmación externa vs. confirmación interna

Una confirmación interna es información obtenida del personal interno de la entidad auditada (por ejemplo, una declaración del responsable de tesorería confirmando que los saldos de efectivo son correctos). Una confirmación externa es información obtenida de un tercero independiente.

La diferencia es material para el riesgo. Una declaración interna tiene un riesgo inherente más alto de sesgo: el personal puede estar bajo presión para confirmar cifras, puede tener intereses personales en el resultado, o está repitiendo información que ya proporcionó. Una confirmación externa de un tercero independiente reduce ese riesgo de forma notable.

Según la NIA-ES 505.2, la confirmación externa es evidencia más fiable que la interna, especialmente cuando el tercero tiene incentivos independientes para proporcionar información exacta (un banco que mantiene un registro de transacciones, por ejemplo).

Términos relacionados

- Evidencia de auditoría: material que el auditor recopila para respaldar sus conclusiones sobre la presentación fiel de las cuentas anuales. - Riesgo de auditoría: riesgo de que el auditor exprese una opinión incorrecta cuando las cuentas anuales contienen una incorreción material. - Procedimientos analíticos: análisis de información financiera para identificar fluctuaciones o relaciones inusuales. - Saldos de clientes: derechos de cobro de la entidad frente a sus clientes por venta de bienes o prestación de servicios. - Procedimientos sustantivos: pruebas diseñadas para detectar incorrecciones materiales en saldos de cuentas de forma independiente. - Responsabilidad de la dirección en la auditoría: obligación de la dirección de diseñar y ejecutar controles internos para mitigar riesgos.

Herramientas relacionadas

Consulta nuestro Generador de confirmaciones externas para redactar plantillas de solicitud de confirmación personalizadas según la naturaleza del saldo a confirmar (cuentas a cobrar, deuda bancaria, stocks en terceros, arrendamientos). La herramienta incluye ejemplos de lenguaje para confirmaciones positivas y negativas, así como orientación sobre selección de muestra en función del riesgo identificado.

---

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.