Monitorización y Remediación

Cómo funciona

Lo que ocurre con frecuencia, antes de hablar de norma, es esto: la entidad redacta un plan de remediación tras la carta de puntos de control, lo archiva, y nadie vuelve a verificar si el control rediseñado opera. Por su lado, el auditor del año siguiente revisa que el plan existe, marca la casilla, y pasa a la siguiente prueba. Nadie ha probado el control en operación. Eso, por lo que conozco de los encargos que he llevado en la zona de Levante y Cataluña, es la trayectoria por defecto.

La NIA-ES 315.15 establece que la dirección aplica procesos para revisar el funcionamiento de los controles internos. Hay dos modalidades: evaluaciones continuas, donde el responsable del control revisa excepciones día a día (un supervisor que mira las aprobaciones de gasto cada mañana), y evaluaciones separadas, donde un equipo distinto, con frecuencia auditoría interna si la hay, hace un examen periódico.

Lo que realmente ocurre: en una SL de treinta empleados no hay auditoría interna y la "evaluación continua" es el gerente que revisa lo que le pasa por la mesa. Eso puede valer como monitorización, pero solo si queda rastro. Sin rastro, los papeles están flojos.

La NIA-ES 315.21 obliga al auditor a entender cómo la dirección monitoriza el sistema de control interno en su conjunto. No es un ejercicio teórico. Hay que mirar si el proceso produce información útil y si esa información se traduce en acción.

Lo que realmente ocurre: la mayoría de informes internos que veo confirman lo que la dirección ya sabe que va bien. Buscar lo que va mal requiere un incentivo que la entidad mediana española no tiene de forma natural; es la contradicción de fondo de toda esta sección de la norma. La dirección debería buscar activamente fallos que, una vez encontrados, le obligarían a invertir y podrían acabar en una limitación al alcance del auditor. El default, por tanto, es la monitorización performativa: informes en verde porque nadie está mirando con ánimo de encontrar rojo.

La NIA-ES 315.22 exige al auditor considerar si la dirección ha tomado acciones para corregir las debilidades identificadas en periodos anteriores. Y aquí entra la verificación: no basta con que el cliente diga que ha corregido. El auditor confirma con procedimientos.

Lo que realmente ocurre: en la zona gris está qué cuenta como "evidencia" en una entidad sin sistemas formales. ¿Sirve un correo del responsable de compras? ¿Una captura del ERP? ¿Una nota interna? Por mi experiencia, sirve cualquier cosa que tenga fecha, autor y trazabilidad al control concreto. Sin esos tres, es brindis al sol.

Ejemplo práctico: Comercializadora Hispana S.L.

Comercializadora Hispana es una distribuidora de componentes electrónicos con sede en Barcelona. Facturación anual de 18,6 millones de euros. En la auditoría anterior se identificó que el control de autorización de órdenes de compra por importe superior a 50.000 euros no estaba documentado: el gerente aprobaba verbalmente y no quedaba registro.

Paso 1: La monitorización inicial. El departamento de compras mantiene un listado de órdenes con su estado de aprobación. El responsable revisa mensualmente las que carecen de firma registrada. En enero de 2025 detecta cuatro casos sin documentar. El gerente reconoce las aprobaciones verbales. Nota de documentación: PT-F3, "Evaluación continua del control de autorización de compras. Resultado: debilidad identificada en enero 2025 (4 incidencias documentadas)."

Paso 2: La remediación planificada. La dirección lanza una corrección en febrero de 2025: procedimiento escrito que exige firma de aprobación en el registro antes de transmitir la orden al proveedor. Se imparte capacitación con el equipo (dos horas, asistencia documentada). Nota de documentación: PT-F4, "Plan de remediación aplicado febrero 2025. Evidencia: procedimiento escrito, acta de capacitación, cambios en el sistema de órdenes."

Paso 3: Verificación del auditor, con un matiz. Examinamos las doce órdenes superiores a 50.000 euros emitidas entre marzo y agosto de 2025. Once tienen firma registrada en el sistema. La duodécima, fechada el 17 de julio, aparece sin firma; al preguntar, el responsable de compras explica que el gerente estaba de viaje, autorizó por teléfono, y nadie regularizó luego el registro. Nota de documentación: PT-F5, "Testing de remediación: muestra de 12 órdenes posteriores. Resultado: 11 conformes, 1 con desviación documentada el 17/07."

Y aquí aparece la decisión real. ¿Es un caso aislado, propio de una situación operativa puntual, o es señal de que el control vuelve a flojear? Vaya por delante que no hay respuesta única en la NIA-ES. En mi caso, indagué tres cosas: si había habido más viajes del gerente sin desviaciones, si el procedimiento escrito contemplaba la suplencia, y si el responsable de compras había escalado la incidencia internamente. Las dos primeras respuestas fueron favorables; la tercera, no. Concluí que la remediación opera, pero el procedimiento tiene un hueco para ausencias del gerente que la dirección debe cerrar antes del cierre del próximo ejercicio. Eso quedó como punto en la nueva carta.

Lo que los revisores y auditores no terminan de ver

- Monitorización no es lo mismo que auditoría interna. La dirección monitoriza; auditoría interna, cuando existe, evalúa la monitorización. El ICAC encuentra con regularidad entidades que dan por hecho que tener auditoría interna las exime, o pymes que asumen que sin esa función no necesitan monitorizar nada. La NIA-ES 315.15 es taxativa: la responsabilidad recae en la dirección al margen de la estructura.

- Promesa de remediación no es remediación. El hallazgo más repetido en las inspecciones es que la dirección se compromete en la carta del auditor anterior y, al año siguiente, el control sigue flojo. El auditor verifica la operación real del control, no la documentación de intenciones. Si no hay test operativo, falta chicha.

- Sin rastro documental, no hay monitorización auditable. Las pymes a menudo no documentan porque "todo es informal". El auditor evalúa si la efectividad del control se documenta de forma adecuada. Si la dirección afirma que monitoriza "de forma continua" pero no aparece ningún informe, registro o memo, hay que cuestionar si la monitorización ocurre o es una afirmación sin base.

- El umbral entre desviación aislada y debilidad significativa es discutible. Hay socios en el ROAC que reentrenarían a todo el equipo del cliente si un control falla dos años seguidos. Otros sostienen que mientras la dirección demuestre conocimiento de la debilidad y siga el seguimiento, basta. Ambos pueden citar la NIA-ES 315 con la norma en la mano. La diferencia, en muchos casos, es que el socio necesita el cliente, y eso desplaza el listón sin que nadie lo diga abiertamente.

- La remediación es la pieza del control interno que más se incumple porque es la que menos se inspecciona. El ICAC examina diseño y operación; muy raramente se mete con el ciclo completo de identificación-acción-verificación. Cuando se mete, le han abierto expediente a más de un despacho por aceptar planes de remediación que nunca pasaron del papel.

Términos relacionados

- Control interno: el sistema de políticas y procedimientos que la entidad establece para alcanzar sus objetivos. La monitorización evalúa su funcionamiento. - Debilidad de control interno: la constatación de que un control no opera como se diseñó. Origen habitual de la necesidad de remediar. - Auditoría interna: función independiente que puede asistir en la evaluación de los controles, sin sustituir la responsabilidad de la dirección. - Deficiencia en el control: término más amplio que cubre cualquier aspecto en el que el diseño o el funcionamiento del control podría mejorarse. - Efectividad operativa: la conclusión de que un control opera como se diseñó bajo condiciones normales. - Aserciones de la dirección: las afirmaciones implícitas y explícitas sobre los estados financieros, que dependen en parte de que los controles internos operen.

---