Definition

Las pequeñas y medianas entidades casi nunca tienen un responsable de supervisión interna que pueda actuar de verdad. Sobre el papel hay un analista de riesgos, un departamento de control interno o una comisión de auditoría. En la práctica, ese analista depende del CFO al que debería vigilar, la comisión se reúne dos veces al año para firmar lo que ya está firmado, y el auditor lo evalúa porque tiene que rellenar la sección del PT 3. Llevo años viendo evaluaciones que son una página de cuestionario con casillas marcadas y la conclusión "función fiable". Eso es marcar la casilla, no evaluar.

Cómo funciona

Empecemos por el error habitual. La evaluación se reduce a un cuestionario: ¿hay comisión de auditoría? Sí. ¿Tiene mandato escrito? Sí. ¿Se reúne periódicamente? Sí. Tres síes y la función queda calificada como fiable. Lo que no se documenta es que esa comisión la forman dos consejeros independientes que son socios jubilados del despacho que vende fiscal a la empresa, y que el "responsable de control interno" es un analista que cobra del CFO y al que el CFO puede despedir.

ISA 315.13 exige al auditor evaluar si la función tiene competencia, independencia y autoridad. ISA 315.A181 desarrolla los tres elementos: conocimiento y experiencia (competencia), estructura de reporte y resistencia a la presión (independencia), mandato explícito, presupuesto y acceso a información (autoridad). En la práctica, lo que ocurre es que el auditor copia el cuestionario del año anterior, cambia las fechas y firma. Y cuando el ICAC inspecciona, el papel de trabajo no soporta nada.

Por lo que conozco, la evaluación útil es la que pregunta dos cosas concretas. ¿Qué pasaría si esta función detectara una irregularidad que afecta al CFO o al CEO? ¿Y cómo lo sabríamos? Si la respuesta a la primera es "supongo que la reportaría al consejo" y a la segunda es "no lo sabríamos", la función no es independiente, por mucho que el organigrama diga lo contrario.

Hay un punto incómodo que conviene admitir. El auditor tiene un incentivo perverso para encontrar la función fiable, porque la fiabilidad permite reducir pruebas sustantivas y bajar horas presupuestadas. Cuando el socio necesita el cliente y el presupuesto está apretado, la conclusión "función fiable" se escribe sola. Por eso ISA 315.A181 pide documentación del razonamiento y no solo de la conclusión.

Ejemplo práctico: Talleres Mecánicos Mediterráneos S.L.

Cliente: fabricante español de componentes automotrices, sede en Barcelona, ingresos de 18,5 millones de euros, estructura de grupo con filial en Portugal.

Paso 1. Identificar quién es el responsable de la supervisión interna

El consejo de administración tiene dos consejeros independientes (no ejecutivos). Existe un departamento de control interno de una persona, un analista de riesgos que reporta al director financiero. Detalle que no aparece en el organigrama y que descubrimos en la fase de aceptación: el analista es yerno del CFO. Llevan trabajando juntos seis años.

Nota de documentación: PT 3.1: Estructura de supervisión interna documentada en acta de consejo, organigrama adjunto, relación familiar declarada en cuestionario de partes vinculadas.

Paso 2. Evaluar competencia

El analista tiene certificación interna en gestión de riesgos y lleva 6 años en la función. El consejo se reúne trimestralmente para revisar riesgos y controles. Competencia: moderada. El analista entiende los procesos operativos de la planta pero no tiene formación en estándares de auditoría ni en evaluación formal de control interno.

Nota de documentación: PT 3.2: CV del analista, certificaciones, actas de consejo de los últimos 12 meses con participación en revisiones de riesgos.

Paso 3. Evaluar independencia

Aquí está el problema. El analista reporta al CFO, que es responsable de contabilidad y de la presentación de información financiera. En dos ocasiones en los últimos dos años, el CFO rechazó recomendaciones del analista de reducir el plazo de crédito a un cliente de alto riesgo (que después resultó problemático). El consejo no tuvo conocimiento formal de esos desacuerdos porque el analista no reporta al consejo. Súmese la relación familiar: el analista no va a escalar un problema contra su suegro al consejo.

Nota de documentación: PT 3.3: Línea de reporte documentada. Evidencia de desacuerdos (correo interno) entre analista y CFO. Conclusión: independencia inexistente porque el analista depende jerárquica y familiarmente de quien debería supervisar.

Paso 4. Evaluar autoridad

El mandato del analista incluye monitoreo de controles operativos, pero no tiene autoridad formal para suspender procesos ni para obligar a la dirección a implementar cambios. El presupuesto de la función de control interno es de 45.000 euros anuales (coste de personal). No hay partida presupuestaria para auditoría interna ni para investigación de incidentes.

Nota de documentación: PT 3.4: Estatutos sociales, política de control interno, límites de autoridad del analista documentados.

Paso 5. Síntesis: ¿es fiable la supervisión interna?

No, no para áreas sensibles. Competencia moderada, independencia inexistente, autoridad restringida. El equipo puede confiar en la función para tareas de bajo riesgo (monitoreo de conformidad operativa, validación de procesos rutinarios), pero tiene que aplicar mayor escepticismo donde el CFO tiene interés en mantener posiciones contables: valoración de provisiones, evaluación de impuesto diferido, cumplimiento de convenios bancarios, registro de devoluciones de la filial portuguesa.

Nota de documentación: PT 3.5: Matriz de fiabilidad: función fiable para [áreas operativas], fiabilidad limitada para [áreas contables sensibles], fiabilidad nula para [áreas con interés directo del CFO]. Incidencia en programa de auditoría: ampliación de pruebas sustantivas en provisiones e impuestos diferidos.

Donde dos socios pueden discrepar

El caso anterior admite lecturas distintas. Un socio A, leyendo el mismo expediente, defiende que la dependencia jerárquica y familiar del analista respecto al CFO descalifica cualquier confianza en la función, incluso para áreas operativas, porque la independencia es un atributo binario en la práctica de las pymes. Un socio B argumenta que existen controles compensatorios (los dos consejeros independientes aprueban contrataciones y despidos del analista, hay un canal externo de denuncias contratado con un despacho), y que esos controles permiten una fiabilidad parcial sobre áreas operativas no relacionadas con cierre contable. Los dos tienen lectura defendible. La diferencia se documenta en el PT y la decisión la firma el socio del encargo.

Qué se equivocan revisor y auditor

- Confundir responsable de supervisión interna con auditoría interna. El responsable de supervisión interna (comisión de auditoría, departamento de control de gestión) monitoriza controles en marcha. La auditoría interna, si existe, evalúa la efectividad de controles de forma independiente. ISA 315.13 se refiere a supervisión interna. Si la entidad tiene las dos, el auditor evalúa cada una por separado.

- Asumir que existe supervisión interna porque hay un consejo. Muchas pymes tienen consejo de administración pero sin estructura formal de revisión de riesgos o control interno. Un consejo que se reúne una vez al año para aprobar las CCAA no constituye un responsable de supervisión interna activo. ISA 315.A181 pide competencia, independencia y autoridad en la práctica, no solo en el papel.

- No documentar el grado de fiabilidad aplicado. El inspector verá que el auditor evaluó la función, pero no verá por qué decidió confiar o no confiar. ISA 315.A181 exige documentación del razonamiento. "Supervisión interna: evaluada" no aguanta una revisión de calidad. "Supervisión interna: independencia limitada porque el responsable reporta al CFO; fiabilidad aplicada solo en funciones de bajo riesgo contable" sí aguanta.

- Tratar la evaluación como un trámite anual. La pregunta que no se hace casi nadie: ¿cambió algo desde el ejercicio anterior que invalide la evaluación previa? Cambio de CFO, salida de un consejero independiente, modificación del mandato del analista, ampliación del perímetro de consolidación. Si nada de eso se revisó y la evaluación se copió del año pasado, fue un trámite y el papel no soporta NIA-ES 315 ante el ICAC.

Términos relacionados

- Control interno: el sistema de procesos que la supervisión interna monitoriza - Riesgo en el nivel de aseveración: el riesgo que evalúa el auditor después de considerar la efectividad de la supervisión interna - Procedimientos analíticos: herramienta de auditoría que puede complementar la confianza en supervisión interna - Auditoría de la efectividad del control interno: evaluación integral del entorno de control, distinta de la evaluación del responsable de supervisión - Materialidad en el nivel de proceso: umbral usado por supervisión interna para determinar qué variaciones controlar - Independencia en auditoría interna: concepto relacionado pero distinto, aplicable a auditoría interna formal y no a supervisión interna

---

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.