Cómo funciona

En la práctica de auditoría, el responsable de la supervisión interna es la función (a menudo una comisión de auditoría o departamento de control interno) que monitorea la efectividad de los controles de la entidad. Según ISA 315.13, el auditor debe evaluar si esta función tiene la competencia, independencia y autoridad necesarias para llevar a cabo ese rol efectivamente.
La evaluación no es un cuestionario de cumplimiento. Es un análisis práctico: ¿qué tan probable es que este responsable identifique un error o irregularidad significativos en los controles internos? ¿Tiene autoridad para actuar? ¿Depende del director de operaciones o es lo suficientemente independiente?
ISA 315.A181 proporciona el marco: competencia (conocimiento, experiencia, autoridad formal), independencia (estructura de reporte, resistencia a la presión) y autoridad (mandato explícito, asignación presupuestaria, acceso a información). Cuando uno de estos elementos es débil, el auditor debe documentar por qué y cómo se ajusta su confianza en la supervisión interna.

Ejemplo práctico: Talleres Mecánicos Mediterráneos S.L.

Cliente: fabricante español de componentes automotrices, sede en Barcelona, ingresos de 18,5 millones de euros, estructura de grupo con filial en Portugal.
Paso 1. Identificar quién es el responsable de la supervisión interna
El consejo de administración incluye a dos consejeros independientes (no ejecutivos). La empresa tiene un departamento de control interno de una persona (analista de riesgos) que depende del director financiero.
Nota de documentación: PT 3.1: Estructura de supervisión interna documentada en acta de consejo, organigrama adjunto.
Paso 2. Evaluar competencia
El analista de riesgos tiene certificación interna en gestión de riesgos y lleva 6 años en la función. El consejo se reúne trimestralmente para revisar riesgos y controles. Competencia: moderada. El analista es competente en procesos operativos pero no tiene formación en estándares de auditoría o evaluación de control interno formal.
Nota de documentación: PT 3.2: CV del analista, certificaciones, actas de consejo últimos 12 meses que muestren participación en revisiones de riesgos.
Paso 3. Evaluar independencia
Punto de vulnerabilidad: el analista reporta al director financiero, quien es responsable de la contabilidad y la presentación de información financiera. En dos ocasiones en los últimos dos años, el director financiero rechazó recomendaciones del analista de reducir el plazo de crédito a un cliente de alto riesgo (que después resultó problemático). El consejo no tiene conocimiento formal de estos desacuerdos porque el analista no reporta directamente al consejo.
Nota de documentación: PT 3.3: Línea de reporte documentada. Evidencia de desacuerdos (correo interno) entre analista y director financiero. Conclusión: independencia limitada porque el analista no puede actuar sin autorización de quien controla.
Paso 4. Evaluar autoridad
El mandato del analista incluye monitoreo de controles operativos, pero no tiene autoridad formal para suspender procesos ni para obligar a la dirección a implementar cambios. El presupuesto de la función de control interno es de 45.000 euros anuales (costo de personal). No hay partida presupuestaria explícita para auditoría interna o investigación de incidentes.
Nota de documentación: PT 3.4: Estatutos sociales, política de control interno, límites de autoridad del analista documentados.
Paso 5. Síntesis: ¿es confiable la supervisión interna?
Conclusión: competencia moderada, independencia limitada, autoridad restringida. El auditor puede confiar en la supervisión interna para tareas de bajo riesgo (monitoreo de conformidad operativa, validación de procesos rutinarios), pero debe aplicar mayor escepticismo en áreas donde el director financiero tiene interés en mantener posiciones contables (valoración de provisiones, evaluación de impuesto diferido, cumplimiento de convenios de préstamos).
Nota de documentación: PT 3.5: Matriz de confianza resumida: supervisión interna confiable para [áreas], confianza limitada para [áreas], confianza nula para [áreas]. Incidencia en programa de auditoría.

Qué revisor y auditor se equivocan

  • Confundir responsable de supervisión interna con auditoría interna. El responsable de supervisión interna (comisión de auditoría, departamento de control de gestión) monitorea controles en marcha. La auditoría interna (si existe) evalúa la efectividad de controles de forma independiente. Son roles distintos. ISA 315.13 se refiere a supervisión interna. Si la entidad tiene ambos, el auditor debe evaluar cada uno por separado.
  • Asumir que existe supervisión interna porque hay un consejo. Muchas pequeñas y medianas entidades tienen consejo de administración pero sin estructura formal de revisión de riesgos o control interno. Un consejo que se reúne una vez al año para aprobar cuentas anuales no constituyendo responsable de supervisión interna activo. ISA 315.A181 requiere competencia, independencia y autoridad en la práctica, no solo en el papel.
  • No documentar el grado de confianza aplicado. El inspector verá que el auditor evaluó supervisión interna, pero no verá por qué decidió confiar (o no confiar) en ella. ISA 315.A181 exige documentación del razonamiento. "Supervisión interna: evaluada" es insuficiente. "Supervisión interna: independencia limitada porque el responsable reporta al CFO; confianza aplicada solo en funciones de bajo riesgo contable" es defensible.

Términos relacionados

---

Términos relacionados

Control internoRiesgo en el nivel de aseveraciónProcedimientos analíticosAuditoría de la efectividad del control internoMaterialidad en el nivel de procesoIndependencia en auditoría interna

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.