Definition
El cliente cree que ha contratado una auditoría, el auditor cree que ha vendido una revisión, los dos firman lo mismo y nadie lee la letra pequeña de la carta de encargo. De ahí salen los peores hallazgos del Instituto de Contabilidad y Auditoría de Cuentas (ICAC) sobre encargos de seguridad limitada: no de mala fe, sino del malentendido inicial que ninguna de las dos partes tuvo interés en aclarar.
Cómo funciona
El error frecuente es presentar la seguridad limitada como "auditoría más barata". No lo es. La seguridad limitada es un encargo de revisión con su propio marco normativo, su propio nivel de riesgo aceptable y su propia forma de conclusión. Confundir el alcance reducido con un descuento sobre la auditoría completa es lo que produce los papeles de trabajo (PT) que el ICAC marca como insuficientes.
NIA-ES 910 párrafo 7 obliga a realizar al menos indagaciones, procedimientos analíticos y solicitudes de confirmación cuando proceda. No exige examinar registros contables completos ni evaluar el diseño de los controles internos con la misma intensidad que en una auditoría. Lo que realmente ocurre es que muchos despachos diseñan el alcance hacia abajo desde la auditoría completa (quitando pruebas) en lugar de hacia arriba desde el mínimo de la norma (añadiendo solo lo que el riesgo justifica). Las dos rutas pueden llegar al mismo papel de trabajo, pero la segunda se defiende mejor en una inspección.
La diferencia práctica es de profundidad. En seguridad limitada, una tendencia coherente en márgenes brutos, validada por indagación con la dirección y comparación con el sector, puede ser suficiente para sustentar la conclusión sobre esa partida. En seguridad razonable, esa misma tendencia es solo el punto de partida y exige pruebas de detalle adicionales. El alcance reducido no significa trabajo descuidado. Significa trabajo con un objetivo de riesgo distinto.
La conclusión refleja esa diferencia. En lugar de la opinión positiva ("hemos auditado las cuentas y, en nuestra opinión, presentan la imagen fiel"), el auditor expresa una conclusión negativa: "basándonos en nuestro trabajo, no hemos identificado ningún asunto que nos lleve a creer que las cuentas anuales adjuntas no presentan la imagen fiel del patrimonio y de la situación financiera." Es una redacción más estrecha. Por una razón concreta: el trabajo realizado tampoco da para más.
Ejemplo práctico: Consultoría Corporativa Ibérica S.L.
Cliente: empresa de consultoría empresarial española con sede en Zaragoza, facturación de 4,2 millones de euros en el ejercicio 2024, reporta bajo Plan General de Contabilidad (PGC).
Paso 1: Determinar el alcance inicial El cliente solicita una revisión limitada de sus cuentas anuales (CCAA). La facturación queda por debajo del umbral de 8,8 millones de euros que activa la auditoría obligatoria. La dirección quiere un dictamen para presentarlo a accionistas mayores y a una entidad financiera, pero no necesita una opinión de auditoría completa. Nota de documentación: se documenta el acuerdo de términos del encargo (NIA-ES 910.18) especificando explícitamente que se trata de seguridad limitada, no razonable. La carta incluye que el auditor no examinará controles internos en profundidad y que la conclusión se expresará en forma negativa. La carta la firma el administrador único, no el director financiero (cuestión de orden interno: quien la firma debe poder responder por su contenido).
Paso 2: Planificar procedimientos analíticos Se diseñan procedimientos analíticos sobre la cuenta de pérdidas y ganancias: análisis de tendencias de márgenes por línea de negocio, índices de rotación de efectivo, días de cobro medio. Se comparan con los dos ejercicios anteriores y con benchmarks del sector de consultoría. Nota de documentación: los procedimientos analíticos revelan que los costes de personal bajaron un 8,4% respecto a 2023, mientras que los ingresos subieron un 3,2%. Indagación con finanzas: dos bajas no reemplazadas en el último cuatrimestre. Validación contra resúmenes de nómina de noviembre y diciembre.
Paso 3: La complicación El mismo análisis muestra un repunte del 12% en ingresos del cuarto trimestre que no encaja con la tendencia anual ni con el comportamiento del sector. El controller financiero, al ser indagado, ofrece tres explicaciones distintas en la misma reunión: cierre de un proyecto retrasado, facturación de servicios pendientes y un cliente nuevo. No tiene a mano el desglose por proyecto.
Aquí la NIA-ES 910 deja al auditor en una zona gris. El alcance contratado no exige pruebas de detalle sobre transacciones individuales. El procedimiento analítico ha funcionado: ha detectado una variación que no se explica de forma coherente. La pregunta es qué hacer. Continuar con el alcance original y dejar la cuestión sin trabajar pondría en duda la propia razón de ser del procedimiento analítico (NIA-ES 910 párrafo 7 lo exige precisamente para identificar variaciones de este tipo). Modificar la conclusión introduciendo una salvedad o una limitación al alcance es la salida más limpia desde el punto de vista normativo, aunque la más conflictiva con el cliente. Nota de documentación: se decide ampliar el procedimiento solo sobre la partida concreta. Se solicita el desglose de facturación de octubre, noviembre y diciembre con detalle por cliente y se cruzan los importes con los contratos disponibles. El repunte se explica por tres facturas grandes a un cliente recurrente que en años anteriores facturaba en enero. La conclusión no se modifica, pero la decisión y su justificación quedan documentadas en una nota de PT específica. Coste adicional del encargo: cinco horas no presupuestadas.
Paso 4: Solicitudes de confirmación externa Se envían confirmaciones de saldos a las tres entidades bancarias del cliente. Se solicita confirmación de la línea de crédito disponible. Se envían confirmaciones a los tres clientes de mayor saldo a 31/12/2024. Nota de documentación: confirmaciones recibidas sin excepciones. Las respuestas de clientes demoran 12 días, dentro del rango razonable. Todas las confirmaciones bancarias respondidas en los plazos del Consejo Superior Bancario.
Paso 5: Indagaciones con dirección y revisión de hechos posteriores Se realizan indagaciones sobre cambios en cuentas del balance (provisiones, deuda financiera, inversiones financieras y partidas a cobrar a largo plazo), litigios pendientes, contingencias y hechos posteriores entre el cierre y la fecha del informe. Nota de documentación: la dirección comunica que no hay litigio pendiente ni contingencias significativas. Se revisan los asientos del diario de enero y febrero de 2025 para detectar reclasificaciones del ejercicio anterior. Se encuentran dos ajustes menores por facturas de enero contabilizadas como diciembre, ambos por debajo de la materialidad de la revisión (1,2% del resultado). Se documentan, no se exige reformulación.
Conclusión: el trabajo realizado es claramente menor que el de una auditoría de seguridad razonable. No se han examinado transacciones individuales más allá de la partida del Q4, no se ha evaluado el diseño de controles internos sobre el ciclo de ingresos y no se han realizado pruebas sustantivas extensas. El alcance es suficiente bajo NIA-ES 910 para expresar la conclusión negativa. Pero la documentación de la decisión sobre el repunte del Q4 es lo que defiende el encargo si más adelante alguien lo revisa: en una inspección, no se juzga solo lo que se hizo, sino también lo que se decidió no hacer y por qué.
Lo que los profesionales interpretan mal
Confundir el alcance contratado con el alcance que el riesgo exige. NIA-ES 910 párrafo 7 fija un mínimo (indagaciones, procedimientos analíticos, confirmaciones cuando proceda). Un hallazgo recurrente del ICAC es el encargo calificado como seguridad limitada cuyos PT no llegan ni siquiera a ese mínimo. Lo que realmente ocurre es que el equipo trata el encargo como si fuera un trámite (marcar la casilla, sacar el dictamen, facturar) y se queda corto incluso para el estándar más bajo de la norma. El alcance contratado puede coincidir con el mínimo, pero nunca puede quedar por debajo.
No documentar el alcance reducido en la carta de encargo. NIA-ES 910 párrafo 18 exige que los términos del encargo se acuerden por escrito. Un patrón frecuente: el cliente firma una carta donde la palabra "revisión" aparece pero no queda claro si esa revisión incluye o no opinión sobre la imagen fiel con el mismo nivel de seguridad que una auditoría. Cuando el ICAC inspecciona y pregunta, el auditor explica una cosa y el cliente otra. La carta no zanja la discusión y el ICAC concluye que la carta no era suficientemente clara. El responsable, a efectos disciplinarios, es siempre el auditor.
Expresar la conclusión en forma positiva. En seguridad limitada, la conclusión es negativa: "no hemos identificado asuntos que nos lleven a creer que las cuentas no presentan la imagen fiel." No es: "en nuestra opinión, las cuentas presentan la imagen fiel". Esa segunda formulación es la conclusión positiva propia de la seguridad razonable. Confundir las dos formas no es un error tipográfico: es transferir responsabilidad civil de auditor a la firma sin haber realizado el trabajo que respalda esa responsabilidad. Por lo que conozco, este error nace casi siempre del copiar-pegar de un modelo de informe sin revisar el verbo principal.
Seguridad limitada vs. seguridad razonable
| Dimensión | Seguridad limitada | Seguridad razonable |
|---|---|---|
| Alcance de trabajo | Indagaciones, análisis, confirmaciones externas. Sin examen detallado de registros. | Examen de registros, prueba de transacciones individuales, evaluación del diseño de controles. |
| Procedimientos sobre fraude | No hay obligación de diseñar procedimientos específicos para detectar fraude. NIA-ES 240 sigue siendo de aplicación en cuanto a respuesta ante indicios. | NIA-ES 240 exige evaluación del riesgo de fraude y procedimientos diseñados para identificarlo. |
| Forma de conclusión | Negativa: "no hemos identificado asuntos que nos lleven a creer..." | Positiva: "en nuestra opinión, las cuentas presentan la imagen fiel." |
| Riesgo de auditoría | Reducido a un nivel aceptablemente bajo, más alto que en seguridad razonable. | Reducido a un nivel bajo. |
| Cuándo se aplica | Encargos de revisión a solicitud del cliente. No sustituye a la auditoría obligatoria. | Auditoría de cuentas anuales, auditoría de grupos, auditoría de organismos públicos, EIP. |
Cuándo importa la distinción en un encargo real
Empresa manufacturera española con facturación de 6,5 millones de euros (por debajo del umbral de auditoría obligatoria) cuyo consejo accionarial pide una "revisión" de las CCAA antes de publicarlas. El auditor debe decidir explícitamente si será seguridad limitada o razonable, y la carta de encargo debe comunicarlo sin ambigüedad. En la seguridad limitada el alcance es mucho más reducido: análisis de márgenes, confirmaciones de clientes principales, indagaciones con dirección.
Aquí entra el segundo problema. El ICAC, cuando inspecciona estos encargos, verifica que el trabajo declarado como seguridad limitada haya sido efectivamente limitado en alcance, ni más ni menos. Si el auditor documentó análisis detallados, pruebas de controles o examen de transacciones, el inspector concluye que el encargo debería haberse clasificado como seguridad razonable y la conclusión expresada (negativa) era inadecuada para el trabajo realizado. La confusión entre los dos niveles es uno de los hallazgos recurrentes en inspecciones de despachos medianos. No es un detalle formal: es una incoherencia entre lo que se hizo y lo que se firmó. La presión comercial empuja en una dirección (el socio necesita el cliente, así que se ofrece "limitada" a precio de revisión) y la presión inspectora empuja en la otra (el ICAC mira el alcance documentado contra la forma del informe). Esas dos presiones tiran en sentidos opuestos sobre cada firma.
Ejemplo de ambos conceptos en el mismo encargo
Constructora Mediterránea S.A., empresa constructora con sede en Sevilla, facturación de 12,7 millones de euros, requiere que su auditor presente dos dictámenes: uno de auditoría de cuentas anuales (seguridad razonable, obligatoria por tamaño) y otro de revisión limitada de un extracto de cuentas destinado a una entidad crediticia en trámite de refinanciación.
Para el encargo de seguridad razonable (CCAA completas), el auditor planifica procedimientos amplios, evalúa el diseño de controles internos sobre los procesos de ingresos y costes de obra, prueba transacciones individuales de contratos de construcción, indaga sobre litigios potenciales con clientes y subcontratistas. Expresa opinión positiva.
Para el encargo de seguridad limitada (extracto para el acreedor), el auditor realiza procedimientos analíticos sobre márgenes brutos por proyecto, solicita confirmación de saldos con dos clientes principales, indaga si hay cambios en la política de reconocimiento de ingresos desde el último cierre. No examina contratos de obra individuales. Expresa conclusión negativa.
Si el equipo confunde los alcances y aplica procedimientos de seguridad razonable al encargo de seguridad limitada, ha ejecutado trabajo excesivo (ineficiencia, no incumplimiento). Si aplica solo procedimientos de seguridad limitada a las CCAA completas, ha ejecutado trabajo insuficiente y la opinión positiva no se sostiene en una inspección. La segunda equivocación es la que el ICAC sanciona.
Dónde discrepan los socios experimentados
En el caso de Consultoría Corporativa Ibérica, ante el repunte del Q4 sin explicación coherente del controller, dos socios con la misma información actuarían distinto.
El socio A amplía procedimientos sobre la partida concreta (la decisión del ejemplo). Razonamiento: la indagación con la dirección no ha sido satisfactoria; NIA-ES 910 párrafo 7 obliga a realizar procedimientos adicionales cuando los ya realizados generan dudas sobre si las cuentas pueden contener incorrecciones materiales. La ampliación es proporcional al riesgo identificado y no convierte el encargo en una auditoría completa.
El socio B mantiene el alcance original y modifica la conclusión introduciendo una limitación al alcance sobre los ingresos del cuarto trimestre. Razonamiento: ampliar procedimientos en un encargo de seguridad limitada genera el problema inverso (trabajo de razonable, papel de limitada). La limitación al alcance es lo que la NIA-ES 910 prevé para situaciones donde no se puede obtener evidencia suficiente con el alcance contratado. Mantiene la coherencia entre lo que se hizo y lo que se firma.
Las dos posiciones son defendibles. La primera es la más habitual en despachos pequeños y medianos (la ampliación es más comercial: el cliente recibe un dictamen sin salvedades). La segunda es más habitual en revisores con experiencia inspectora del ICAC, que han visto las consecuencias de la ampliación informal y prefieren la salvedad documentada. La elección no la decide la norma: la decide la lectura que el socio hace del riesgo y de su propia tolerancia.
La distinción que sostiene toda la diferencia
La forma de la conclusión es la verdadera línea divisoria. Una vez se escribe "en nuestra opinión" en lugar de "no hemos identificado asuntos que nos lleven a creer", se ha transferido al firmante la responsabilidad civil propia de una auditoría sin haber ejecutado los procedimientos que la respaldan. Esa asimetría entre la forma de la conclusión y el alcance del trabajo es exactamente el patrón que las inspecciones del ICAC buscan y sancionan.
Términos relacionados
- Auditoría de seguridad razonable: el nivel más alto de certeza que un auditor puede proporcionar, con alcance completo de procedimientos y conclusión positiva. - Procedimientos analíticos: la técnica principal en encargos de seguridad limitada, consistente en examinar tendencias y ratios. - Fraude en auditoría: aspecto con tratamiento diferente según el nivel de seguridad contratado. - Materialidad de auditoría: el umbral de importancia que se aplica también en encargos de seguridad limitada, aunque el alcance es menor. - Diccionario de auditoría: la conclusión expresada en el informe, que toma forma diferente en seguridad limitada. - NIA-ES 910: la norma que rige los encargos de revisión limitada.
---