Auditor de Cuentas-Economista Forense
30 de octubre de 2025
A día de hoy, no hay una exigencia normativa específica como tal que obligue a incluir en la carta de encargo una mención expresa al uso de inteligencia artificial (IA) en los procesos de auditoría. La NIA‑ES 210, junto con lo establecido en el artículo 11 del RAC, determina el contenido mínimo del acuerdo del encargo y del contrato de auditoría sin requerir la identificación de herramientas o técnicas concretas. Aun así, puede ser recomendable, a valorar por el auditor, introducir una referencia a tecnologías utilizadas (incluida IA) cuando afecte a la gestión de datos, la intervención de terceros/proveedores de servicios o a la transparencia del auditor con el cliente. En aras de buscar esa transparencia, la gestión de riesgos como pilar básico del modelo de organización interna de las firmas de auditoría y el cumplimiento en protección de datos y ciberseguridad, puede ser recomendable incorporar cláusulas informativas y de salvaguardas que:
(i) Confirmen que el uso de la IA no altera el alcance ni las responsabilidades del auditor conforme a la legislación vigente.
(ii) refuercen el deber de secreto y la seguridad de la información.
Tenemos que tener en cuenta que la NIA‑ES 210 (Acuerdo de los términos del encargo) exige que los términos del encargo incluyan:
- Objetivo y alcance de la auditoría.
- Las responsabilidades del auditor.
- Las responsabilidades de la dirección,
- El marco de información financiera aplicable y
- Una referencia a la estructura y contenido del informe, admitiendo que este pueda variar según circunstancias.
El RAC, en su artículo 11, requiere la formalización de un contrato por escrito, que refleje, entre otros, la evaluación previa de capacidad e independencia y demás requisitos establecidos; fija el contenido y límites del contrato. No impone identificar el uso de herramientas (por ejemplo, IA u otras), ni permite otro tipo de cláusulas que puedan cambiar las obligaciones del auditor conforme a la legislación aplicable.
De forma tangencial, también debemos tener en cuenta que, respecto a la organización interna de las firmas de auditoría, la LAC exige mecanismos que aseguren el control y la protección de los sistemas informáticos del auditor (art. 28.1) que, junto con la externalización de funciones, en su caso si procede, por un lado “no menoscabe el control de calidad interno implementado”, ni la supervisión (art. 49), hechos que no van a afectar a la responsabilidad del auditor (art. 28.2 b) 4.º) respecto al encargo, junto con el establecimiento del deber de secreto (art. 31) y la custodia de documentación (art. 30).
Con carácter complementario y genéricamente, NIA‑ES 500 establece que el auditor debe diseñar procedimientos para obtener evidencia suficiente y adecuada y valorar la fiabilidad de la información utilizada (aplicación del juicio profesional y escepticismo profesional), incluida la de fuentes externas; por lo tanto, esto aplica también a salidas generadas con herramientas de IA: <<la evidencia debe ser fiable>>. Asimismo, NIA‑ES 315 R en relación a la identificación y valoración de riesgos (incluido el riesgo TI) para diseñar respuestas de auditoría.
En relación a la protección de datos, nos podemos preguntar: ¿Quién es el responsable del tratamiento de datos? En un trabajo de auditoría, el auditor suele actuar como responsable del tratamiento de datos con respecto a los datos personales que trata para sus fines de auditoría (no como mero encargado de la entidad auditada), de acuerdo con criterios de ICAC. Esto implica obligaciones propias de diseño de medidas y de selección/contratación de encargados donde deben abordarse aspectos relevantes relacionados con la seguridad y confidencialidad en el tratamiento de datos, medidas de seguridad y el deber de confidencialidad.
Finalmente, no podemos obviar que actualmente en la UE la IA se regula con el Reg. (UE) 2024/1689 que exige, “en su caso”, transparencia: "informar de la interacción con IA y etiquetar contenidos sintéticos; el informe de auditoría sigue siendo humano, pero comunicaciones externas con IA pueden requerir". Para el uso de herramientas de IA de alto riesgo, asimismo impone precisión, robustez y ciberseguridad, además de gestión de riesgos y registros; para la actividad de auditoría de cuentas, rara vez pienso que se va a utilizar la IA de alto riesgo, pero si se diese el caso, se aplican estos requisitos expuestos.
En la práctica, el auditor va a tener que revisar políticas de transparencia/etiquetado, mapear usos de IA y su clasificación de riesgo respecto al uso.
A tenor de lo expuesto, nos preguntamos: ¿Es obligatoria una mención expresa al uso de IA en la carta de encargo? No es obligatorio, ya que ni la NIA‑ES 210 ni el RAC exigen citar herramientas tecnológicas en la carta o contrato de auditoría; el contenido mínimo se centra en objetivo/alcance y responsabilidades. Por tanto, no es un requerimiento legal incluir una referencia a la IA. Ahora bien, a efectos de responsabilidad del encargo en relación a la metodología de trabajo (gobierno y liderazgo), transparencia, protección de datos y ciberseguridad, sí sería aconsejable incorporar una cláusula informativa y de salvaguardas, especialmente cuando se procesen datos personales o se recurra a proveedores tecnológicos (IA, nube, OCR, etc.).
Recomendación práctica, a juicio del auditor, de cláusulas orientativas propuestas sobre el uso de tecnologías/IA (texto modelo para adaptar caso a caso).
Uso de tecnologías y de sistemas de IA. En el desarrollo del encargo, [firma de auditoría] podrá utilizar herramientas tecnológicas avanzadas, incluyendo algoritmos de análisis automatizado e inteligencia artificial, como apoyo a ciertos procedimientos de auditoría. El uso de estas herramientas no sustituye, en ningún caso, el juicio profesional ni el escepticismo requerido por la normativa de auditoría vigente, siendo responsabilidad del equipo auditor la evaluación y validación de los resultados obtenidos. El Auditor mantendrá el deber de secreto y aplicará medidas técnicas y organizativas de seguridad; los proveedores de servicios intervinientes actuarán como encargados con contrato, sin perjuicio de la responsabilidad del Auditor. Salvo autorización expresa, los datos de XXXXXXX no se emplearán para entrenar modelos de IA.
Uso de tecnologías y de sistemas de IA. El Auditor podrá emplear herramientas tecnológicas, incluidos sistemas de IA, para la planificación, ejecución y documentación del encargo; ello no altera objetivo, alcance ni responsabilidades conforme a lo establecido en el presente contrato. El Auditor mantendrá el deber de secreto y aplicará medidas técnicas y organizativas de seguridad; los proveedores de servicios intervinientes actuarán como encargados con contrato, sin perjuicio de la responsabilidad del Auditor. Salvo autorización expresa, los datos de XXXXXXX no se emplearán para entrenar modelos de IA; la documentación se custodiará conforme a la normativa de auditoría aplicable. La utilización de dichas tecnologías no limitará los procedimientos ni el alcance, ni implica exoneración de responsabilidades respecto al presente contrato; cualquier externalización no afectará al control de calidad interno.
Nota: Lo anterior no modifica el contenido mínimo de la carta/contrato, ni limita obligaciones del auditor, ni la estructura y contenido del informe, que seguirán lo dispuesto por NIA‑ES 210 y RAC.
Conclusión:
No es obligatorio que la carta de encargo incluya una mención expresa al uso de herramientas de IA. Desde mi punto de vista, habría que tener un enfoque correcto sobre la neutralidad del uso de la IA con un grado de transparencia y salvaguardas que mantengan intactos alcance y responsabilidades del auditor (NIA‑ES 210 y RAC), reforzar secreto profesional y seguridad (LAC), y cumplir protección de datos. Añadir una cláusula breve y clara como la propuesta en párrafos anteriores aporta confianza y transparencia al cliente.
No hay comentarios:
Publicar un comentario