A día de hoy, no hay una exigencia normativa específica como tal
que obligue a incluir en la carta de encargo una mención expresa al uso
de inteligencia artificial (IA) en los procesos de auditoría. La NIA‑ES
210, junto con lo establecido en el artículo 11 del RAC, determina el
contenido mínimo del acuerdo del encargo y del contrato de auditoría sin
requerir la identificación de herramientas o técnicas concretas. Aun
así, puede ser recomendable, a valorar por el auditor, introducir una
referencia a tecnologías utilizadas (incluida IA) cuando afecte a la
gestión de datos, la intervención de terceros/proveedores de servicios o
a la transparencia del auditor con el cliente. En aras de buscar esa
transparencia, la gestión de riesgos como pilar básico del modelo de
organización interna de las firmas de auditoría y el cumplimiento en
protección de datos y ciberseguridad, puede ser recomendable incorporar
cláusulas informativas y de salvaguardas que:
(i) Confirmen que el uso de la IA no altera el alcance ni las responsabilidades del auditor conforme a la legislación vigente.
(ii) refuercen el deber de secreto y la seguridad de la información.
Tenemos que tener en cuenta que la NIA‑ES 210 (Acuerdo de los términos del encargo) exige que los términos del encargo incluyan:
- Objetivo y alcance de la auditoría.
- Las responsabilidades del auditor.
- Las responsabilidades de la dirección,
- El marco de información financiera aplicable y
- Una referencia a la estructura y contenido del informe, admitiendo que este pueda variar según circunstancias.
El RAC, en su artículo 11, requiere la formalización de un
contrato por escrito, que refleje, entre otros, la evaluación previa de
capacidad e independencia y demás requisitos establecidos; fija el
contenido y límites del contrato. No impone identificar el uso de
herramientas (por ejemplo, IA u otras), ni permite otro tipo de
cláusulas que puedan cambiar las obligaciones del auditor conforme a la
legislación aplicable.
De forma tangencial, también debemos tener en cuenta que, respecto
a la organización interna de las firmas de auditoría, la LAC exige
mecanismos que aseguren el control y la protección de los sistemas
informáticos del auditor (art. 28.1) que, junto con la externalización
de funciones, en su caso si procede, por un lado “no menoscabe el
control de calidad interno implementado”, ni la supervisión (art. 49),
hechos que no van a afectar a la responsabilidad del auditor (art. 28.2
b) 4.º) respecto al encargo, junto con el establecimiento del deber de
secreto (art. 31) y la custodia de documentación (art. 30).
Con carácter complementario y genéricamente, NIA‑ES 500 establece
que el auditor debe diseñar procedimientos para obtener evidencia
suficiente y adecuada y valorar la fiabilidad de la información
utilizada (aplicación del juicio profesional y escepticismo
profesional), incluida la de fuentes externas; por lo tanto, esto aplica
también a salidas generadas con herramientas de IA: <<la
evidencia debe ser fiable>>. Asimismo, NIA‑ES 315 R en relación a
la identificación y valoración de riesgos (incluido el riesgo TI) para
diseñar respuestas de auditoría.
En relación a la protección de datos, nos podemos preguntar:
¿Quién es el responsable del tratamiento de datos? En un trabajo de
auditoría, el auditor suele actuar como responsable del tratamiento de
datos con respecto a los datos personales que trata para sus fines de
auditoría (no como mero encargado de la entidad auditada), de acuerdo
con criterios de ICAC. Esto implica obligaciones propias de diseño de
medidas y de selección/contratación de encargados donde deben abordarse
aspectos relevantes relacionados con la seguridad y confidencialidad en
el tratamiento de datos, medidas de seguridad y el deber de
confidencialidad.
Finalmente, no podemos obviar que actualmente en la UE la IA se
regula con el Reg. (UE) 2024/1689 que exige, “en su caso”,
transparencia: "informar de la
interacción con IA y etiquetar contenidos sintéticos; el informe de
auditoría sigue siendo humano, pero comunicaciones externas con IA
pueden requerir". Para el uso
de herramientas de IA de alto riesgo, asimismo impone precisión,
robustez y ciberseguridad, además de gestión de riesgos y registros;
para la actividad de auditoría de cuentas, rara vez pienso que se va a
utilizar la IA de alto riesgo, pero si se diese el caso, se aplican
estos requisitos expuestos.
En la práctica, el auditor va a tener que revisar políticas de
transparencia/etiquetado, mapear usos de IA y su clasificación de riesgo
respecto al uso.
A tenor de lo expuesto, nos preguntamos: ¿Es obligatoria una mención expresa al uso de IA en la carta de encargo? No
es obligatorio, ya que ni la NIA‑ES 210 ni el RAC exigen citar
herramientas tecnológicas en la carta o contrato de auditoría; el
contenido mínimo se centra en objetivo/alcance y responsabilidades. Por
tanto, no es un requerimiento legal incluir una referencia a la IA.
Ahora bien, a efectos de responsabilidad del encargo en relación a la
metodología de trabajo (gobierno y liderazgo), transparencia, protección
de datos y ciberseguridad, sí sería aconsejable incorporar una cláusula
informativa y de salvaguardas, especialmente cuando se procesen datos
personales o se recurra a proveedores tecnológicos (IA, nube, OCR,
etc.).
Recomendación práctica, a juicio del auditor, de cláusulas orientativas propuestas sobre el uso de tecnologías/IA (texto modelo para adaptar caso a caso).
Uso de tecnologías y de sistemas de IA. En
el desarrollo del encargo, [firma de auditoría] podrá utilizar
herramientas tecnológicas avanzadas, incluyendo algoritmos de análisis
automatizado e inteligencia artificial, como apoyo a ciertos
procedimientos de auditoría. El uso de estas herramientas no sustituye,
en ningún caso, el juicio profesional ni el escepticismo requerido por
la normativa de auditoría vigente, siendo responsabilidad del equipo
auditor la evaluación y validación de los resultados obtenidos. El
Auditor mantendrá el deber de secreto y aplicará medidas técnicas y
organizativas de seguridad; los proveedores de servicios intervinientes
actuarán como encargados con contrato, sin perjuicio de la
responsabilidad del Auditor. Salvo autorización expresa, los datos de
XXXXXXX no se emplearán para entrenar modelos de IA.
Uso de tecnologías y de sistemas de IA. El
Auditor podrá emplear herramientas tecnológicas, incluidos sistemas de
IA, para la planificación, ejecución y documentación del encargo; ello
no altera objetivo, alcance ni responsabilidades conforme a lo
establecido en el presente contrato. El Auditor mantendrá el deber de
secreto y aplicará medidas técnicas y organizativas de seguridad; los
proveedores de servicios intervinientes actuarán como encargados con
contrato, sin perjuicio de la responsabilidad del Auditor. Salvo
autorización expresa, los datos de XXXXXXX no se emplearán para entrenar
modelos de IA; la documentación se custodiará conforme a la normativa
de auditoría aplicable. La utilización de dichas tecnologías no limitará
los procedimientos ni el alcance, ni implica exoneración de
responsabilidades respecto al presente contrato; cualquier
externalización no afectará al control de calidad interno.
Nota: Lo anterior no modifica el contenido mínimo de la carta/contrato, ni limita obligaciones del auditor, ni la estructura y contenido del informe, que seguirán lo dispuesto por NIA‑ES 210 y RAC.
Conclusión:
No es obligatorio que la carta de encargo incluya una mención
expresa al uso de herramientas de IA. Desde mi punto de vista, habría
que tener un enfoque correcto sobre la neutralidad del uso de la IA con
un grado de transparencia y salvaguardas que mantengan intactos alcance y
responsabilidades del auditor (NIA‑ES 210 y RAC), reforzar secreto
profesional y seguridad (LAC), y cumplir protección de datos. Añadir una
cláusula breve y clara como la propuesta en párrafos anteriores aporta
confianza y transparencia al cliente.
.png){kind=logo}
