- La carta de encargo es el “contrato operativo” del informe: define qué se revisa y cómo se prueba.
- Si no defines evidencias y accesos, el proyecto se bloquea (y el coste sube).
- La cláusula más olvidada (y más útil): limitación de uso y destinatarios del informe.
Para qué sirve (de verdad) la carta de encargo
La carta de encargo no es “un papel para el archivo”. Es lo que alinea expectativas entre el sujeto obligado y el experto externo: qué se revisa, con qué profundidad, qué muestras se pedirán y qué entregables se generan.
Si la carta de encargo no especifica evidencias mínimas y responsables internos, el informe se vuelve un “ping-pong” de emails. Y en PBC/FT, lo que protege no es el texto: es la trazabilidad.
Cómo definir el alcance sin dejar huecos
Para una carta de encargo útil, el alcance debe bajar a tierra. No vale “revisión del sistema PBC/FT” sin concretar. Incluye, como mínimo:
- Periodo revisado (fechas exactas).
- Canales y operativa (presencial/online, agentes, países, productos).
- Bloques a revisar: gobierno/OCI, análisis de riesgos, KYC, monitorización, formación, conservación, incidencias.
- Muestreo: criterios (por riesgo/tipología) y tamaño aproximado (orientativo, sujeto a riesgo/volumen).
- Entrevistas: roles clave (compliance, operaciones, comercial, soporte, dirección si aplica).
Alcance “bonito” pero vacío: no menciona canales reales, no habla de muestreo y no asigna un responsable interno para evidencias. Resultado: retrasos + revisiones interminables.
Evidencias y accesos: lo que evita retrasos
Si quieres un informe defendible, la carta de encargo debe incluir qué evidencia se espera y cómo se entrega (carpeta, formato, responsable). Un esquema que funciona:
01_Diseño (manual, riesgos, políticas) / 02_Operacion (muestras KYC, alertas, registros) / 03_Gobierno (OCI, actas, reporting) / 04_Formacion / 05_Hallazgos_y_Plan
Qué “accesos” conviene pactar
- Acceso a herramientas KYC/CRM (solo lectura si procede).
- Acceso a registros de alertas/operaciones inusuales (export o capturas con trazabilidad).
- Acceso a repositorio documental (con control de versiones).
- Canal único de coordinación (responsable interno + backup).
Tabla: cláusula → qué debe decir → error típico
| Cláusula | Qué debe incluir | Por qué importa | Error típico |
|---|---|---|---|
| Objeto y alcance | Periodo, canales, bloques a revisar, muestreo e интервistas | Evita discusiones de “esto no entraba” | Alcance genérico sin operativa |
| Responsabilidades | Qué aporta el sujeto obligado (datos/evidencias) y qué hace el experto | Ordena el proyecto | “La empresa facilitará lo necesario” (vago) |
| Evidencias mínimas | Lista concreta: muestras KYC, alertas, formación, actas, versiones | Sin evidencias, no hay defendibilidad | Pedir “documentación” sin especificar |
| Limitación de uso | Destinatarios, finalidad, prohibición de terceros sin consentimiento | Reduce riesgo profesional y maluso | Omitirla (muy común) |
| Confidencialidad | Tratamiento de datos, canales seguros, devoluciones/borrado | Protege información sensible | Enviar muestras por email sin control |
| Plazos y calendario | Fechas de entrega de evidencias, entrevistas y borrador | Evita “lo queremos para ayer” | Sin hitos, todo se retrasa |
Plantilla de carta de encargo (lista para copiar)
Ajusta los corchetes a tu caso. La clave es que quede operativa (no solo legalista).
Entre: [Sujeto obligado], con NIF [__], domicilio [__] (“la Entidad”)
Y: [Experto externo / firma], con NIF [__], domicilio [__] (“el Experto”)
Fecha: __/__/____
1. Objeto
La Entidad encarga al Experto la realización del examen anual del sistema de control interno en materia PBC/FT correspondiente al periodo
[dd/mm/aaaa – dd/mm/aaaa], con emisión del informe escrito y, en su caso, recomendaciones y plan de acción.
2. Alcance del trabajo
El alcance incluirá, como mínimo, revisión de: (i) gobierno y funcionamiento del OCI/comité equivalente; (ii) análisis de riesgos y actualizaciones;
(iii) KYC/diligencia debida (normal y reforzada); (iv) monitorización, alertas y escalado; (v) conservación documental; (vi) formación; (vii) incidencias relevantes.
La Entidad declara que su operativa incluye: [canales, países, productos].
3. Muestreo y entrevistas
El Experto realizará pruebas selectivas mediante muestreo representativo, con especial atención a clientes/operaciones de mayor riesgo.
Se prevén entrevistas con: [Compliance], [Operaciones], [Comercial], [Dirección], y otros que se consideren necesarios.
4. Entregables
(a) Informe escrito del examen anual.
(b) Matriz de hallazgos y recomendaciones (si aplica).
(c) Plan de acción propuesto / validación de plan (si aplica).
5. Responsabilidades de la Entidad
La Entidad facilitará la información y evidencias necesarias, designando un responsable de coordinación: [Nombre, cargo, email].
La Entidad garantiza la integridad de la información proporcionada y el acceso a registros/sistemas necesarios (lectura, export, capturas con trazabilidad).
6. Evidencias mínimas a facilitar
Manual y control de versiones; análisis de riesgos; procedimientos KYC; muestra de expedientes; registros de alertas y su resolución; plan y evidencias de formación; actas OCI; registro de incidencias y acciones correctoras.
7. Plazos y calendario
• Entrega evidencias: __/__/____ · • Entrevistas: semana __ · • Borrador hallazgos: __/__/____ · • Informe final: __/__/____
8. Honorarios
Honorarios: [importe] + impuestos. Condiciones de pago: [__]. Alcances adicionales (si aparecen): [método de aprobación].
9. Confidencialidad y seguridad
Las partes mantendrán confidencialidad. La transferencia de evidencias se realizará por [repositorio seguro / canal cifrado].
10. Limitación de uso del informe
El informe se emite para uso interno de la Entidad y para los fines de cumplimiento aplicables. Cualquier entrega a terceros
(p. ej., entidades financieras, contrapartes, inversores) requerirá autorización expresa y por escrito, salvo obligación legal.
11. Aceptación
Firmado por duplicado en la fecha indicada.
Por la Entidad: ____________ · Por el Experto: ____________
Checklist antes de firmar
- ¿El alcance menciona tu operativa real? (canales, países, productos, volumen, riesgos)
- ¿Hay responsable interno único? (y backup)
- ¿Está pactada la evidencia mínima? (muestras KYC, alertas, formación, actas)
- ¿Hay calendario con hitos? (entrega evidencias, entrevistas, borrador, final)
- ¿Incluye limitación de uso? (evita malentendidos con bancos/terceros)
Si necesitas que el Informe de Experto Externo salga “con evidencia” (y no como un PDF genérico), aquí tienes el servicio:
FAQ
¿La carta de encargo es obligatoria?
No es “un formalismo”: es la forma más práctica de fijar alcance, evidencias, responsabilidades y limitación de uso. Sin carta de encargo, el riesgo de malentendidos y retrasos se dispara.
¿Qué cláusula suele evitar más problemas?
La limitación de uso + la lista de evidencias mínimas. Son las más olvidadas y las más útiles.
¿Puedo usar la carta de encargo para “reducir alcance” y que sea más barato?
Puedes acotar, pero ojo: si el alcance no refleja tu operativa y tu riesgo, el informe pierde defendibilidad. Lo inteligente es ajustar muestreo y foco por riesgo, no “recortar a ciegas”.
¿Qué debo preparar antes de firmar?
Una lista de cambios del año, una muestra representativa de expedientes y un registro de alertas/decisiones. Eso hace que el encargo arranque sin fricción.
Artículos relacionados
Referencias oficiales:
• Ley 10/2010 (BOE): boe.es
• RD 304/2014 (BOE): boe.es
• SEPBLAC (Expertos externos): sepblac.es
• Guía técnica sobre carta de encargo (ICJCE): icjce.es