Cómo funciona

La NIA-ES 315.15 establece que la dirección debe implementar procesos para monitorizar el funcionamiento de los controles internos. Esto puede realizarse de dos formas: mediante evaluaciones continuas, donde los responsables del control verifican su operación día a día (por ejemplo, un supervisor que revisa las excepciones de aprobación de gastos cada mañana), o mediante evaluaciones separadas, donde un equipo independiente (a menudo la función de auditoría interna, si existe) realiza un análisis periódico de la efectividad del control.
La NIA-ES 315.21 requiere que el auditor evalúe específicamente cómo la dirección monitoriza los controles internos y el sistema de control interno en su conjunto. Esto no es un ejercicio teórico. El auditor debe examinar si los procesos de monitorización que la dirección dice que ha implementado funcionan, producen información útil y generan acciones correctoras cuando se identifican debilidades.
Cuando se identifica un control que no funciona, la remediación es la respuesta de la dirección. Esto puede ser tan simple como reentrenar al personal responsable del control, o tan complejo como rediseñar completamente un proceso o invertir en nuevos sistemas. La NIA-ES 315.22 especifica que el auditor debe considerar si la dirección ha tomado acciones para remediación de debilidades de control internos identificadas en periodos anteriores.
El auditor debe entonces evaluar si esas acciones de remediación se han implementado y si son efectivas. Esto requiere verificación: no basta con que la dirección diga que ha corregido algo. El auditor debe confirmarlo mediante procedimientos de auditoría.

Ejemplo práctico: Comercializadora Hispana S.L.

Comercializadora Hispana es una distribuidora de componentes electrónicos con sede en Barcelona. Facturación anual de 18,6 millones de euros. En auditoría anterior se identificó que el control de autorización de órdenes de compra por importe superior a 50.000 euros no estaba documentado: el gerente decía verbalmente que sí, pero no había registro escrito de la aprobación.
Paso 1: La monitorización inicial.
El departamento de compras mantiene un registro de todas las órdenes de compra, incluidas las aprobaciones. El responsable de compras revisa mensualmente un informe de órdenes sin aprobación registrada. En enero 2025 identifica 4 órdenes sin registro de aprobación. El gerente reconoce que aprobó verbalmente pero no se documentó.
Nota de documentación: PT-F3, "Evaluación continua del control de autorización de compras. Resultado: debilidad identificada en enero 2025 (4 incidencias documentadas)."
Paso 2: La remediación planificada.
La dirección implementa una remediación en febrero 2025: nuevo procedimiento escrito que exige que toda orden superior a 50.000 euros tenga una firma de aprobación en el registro de compras antes de transmitirse al proveedor. Se realizó capacitación con el equipo de compras (2 horas, asistencia documentada).
Nota de documentación: PT-F4, "Plan de remediación implementado febrero 2025. Evidencia: procedimiento escrito, acta de capacitación, cambios en sistema de órdenes de compra."
Paso 3: Verificación del auditor.
El auditor examina las órdenes de compra de marzo a agosto 2025 y verifica que todas las órdenes superiores a 50.000 euros contienen registro escrito de aprobación (12 órdenes en el período; todas con firma registrada). El auditor consulta el informe de monitorización de febrero que el departamento de compras elabora: muestra cero incidencias de órdenes sin aprobación desde febrero.
Nota de documentación: PT-F5, "Testing de remediación: muestra de 12 órdenes posteriores a la remediación. Resultado: control funciona de forma efectiva. Remediación exitosa."
Conclusión: La monitorización identificó la debilidad, la remediación fue implementada, y el auditor verificó que la remediación fue efectiva. Esta es la correcta y defensible. El ciclo está completo.

Lo que los revisores y auditores no entienden bien

  • Monitorización no es lo mismo que auditoría interna. La dirección monitoriza controles; el auditor interno (cuando existe como función separada) puede también evaluar la monitorización. Los reguladores encuentran frecuentemente que las entidades confunden estas funciones o creen que no necesitan monitorización porque tienen auditoría interna. La NIA-ES 315.15 es explícita: la responsabilidad de monitorización es de la dirección, independientemente de si existe una función de auditoría interna.
  • Remediación promesa no es remediación real. Un hallazgo frecuente en inspecciones es que la dirección promete acciones correctoras en la carta de puntos de control del auditor anterior, pero en el año siguiente el control sigue sin funcionar. El auditor debe verificar que las acciones correctoras se han implementado no solo documentado como plan. Esto requiere inspección de la operación real del control, no solo revisión de la documentación de intención.
  • La monitorización debe generar documentación. Las entidades pequeñas a menudo no documentan sus procesos de monitorización porque son informales. El auditor debe evaluar si la evaluación de la efectividad del control se documenta adecuadamente. Si la dirección dice que monitoriza un control "de forma continua" pero no hay evidencia de esa monitorización (informe, registro, memo), el auditor debe cuestionarse si la monitorización ocurre o es una afirmación sin base.

Términos relacionados

---

  • Control interno: El sistema de políticas y procedimientos que la entidad implementa para lograr objetivos. La monitorización evalúa su funcionamiento.
  • Debilidad de control interno: La identificación de que un control no funciona como se diseñó. Esto genera la necesidad de remediación.
  • Auditoría interna: La función independiente que puede asistir en la evaluación de los controles internos, pero no reemplaza la responsabilidad de monitorización de la dirección.
  • Deficiencia en el control: Un término más general que describe cualquier aspecto en el que el diseño o funcionamiento del control podría mejorarse.
  • Efectividad operativa: La conclusión de que un control funciona como se diseñó bajo condiciones normales.
  • Aserciones de la dirección: Las afirmaciones implícitas y explícitas que la dirección hace sobre los estados financieros, que dependen en parte de que los controles internos funcionen efectivamente.

Términos relacionados

Control internoDebilidad de control internoAuditoría internaDeficiencia en el controlEfectividad operativaAserciones de la dirección

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.