Definition

Por lo que conozco, el hallazgo más repetido del ICAC en supervisión de controles no es que la dirección no supervise. Es que el papel de trabajo dice "supervisa" y, cuando se pide la evidencia, no aparece. La dirección lo cuenta en la reunión, el auditor lo apunta, y nadie pide el reporte firmado del controller con su fecha. La supervisión de controles es el proceso continuo mediante el cual la dirección evalúa la efectividad de los controles internos a lo largo del tiempo, identifica cambios en su funcionamiento y aplica correcciones. Regulada por: NIA-ES 315.20(a) y NIA-ES 330.8.

Cómo funciona en la práctica

Empecemos por lo que falla, no por lo que dice la norma. En despachos medianos lo más frecuente es que el responsable financiero del cliente describa con detalle un control de supervisión (revisión mensual del controller, conciliaciones aprobadas, comité de auditoría trimestral) y el equipo de auditoría lo recoja en el papel sin pedir el rastro documental. Se marcó la casilla. Cuatro meses después, en una revisión de calidad o en una visita del ICAC, alguien pide el reporte firmado de junio y el papel se queda en silencio. Los papeles están flojos.

La NIA-ES 315.20(a) exige que el auditor identifique y entienda los procedimientos de supervisión que aplica la entidad. No pide diseñarlos (eso lo hace la dirección), pero sí entender cómo funcionan, quién es responsable, con qué frecuencia se ejecutan y qué hace la dirección cuando la supervisión detecta que un control no opera. La NIA-ES 330.8 va un paso más allá: el auditor debe considerar los resultados de esa supervisión para decidir si la evaluación inicial del riesgo de incorrección material sigue siendo apropiada o si requiere ajuste.

La norma dice que el auditor "obtiene comprensión" del proceso de supervisión. Lo que realmente ocurre es que muchas veces el auditor obtiene la descripción del proceso, no la evidencia de su operación. La diferencia parece pequeña. En inspección no lo es: descripción sin evidencia es lo mismo que ausencia de evidencia.

Donde nace el juicio profesional es en el tipo de control supervisado. La supervisión de un control preventivo (algo que evita que ocurra el error) se evalúa preguntando si el control se ejecutó. La supervisión de un control de detección (algo que identifica errores tras producirse) exige más: hay que evaluar si la dirección investigó las excepciones detectadas y si la corrección llegó antes del cierre. Este segundo paso es el que se salta con más frecuencia, normalmente porque el presupuesto no contempla el tiempo y porque "el control existe" se siente como respuesta suficiente cuando faltan dos semanas para la firma. No lo es.

Ejemplo práctico: Transportes Ibéricos S.L.

Cliente: empresa española de logística de tamaño medio, facturación 3,2 millones de euros, operaciones en cuatro regiones, reporta bajo PGC 2008.

Situación. El cliente tiene un proceso de supervisión formalmente documentado para evaluar la efectividad de los controles sobre la provisión de obsolescencia de inventario. Cada trimestre, el responsable de almacén compara el inventario físico con los registros del sistema, identifica artículos que no han movido en 18 meses y calcula una provisión. El controller revisa el cálculo, verifica que la metodología es consistente y aprueba el asiento contable.

Paso 1. Identificar el control. El equipo de auditoría identifica que la supervisión trimestral de la obsolescencia es un control de supervisión: la dirección lo ejecuta y genera documentación (reporte trimestral firmado por el controller).

Papel de trabajo PT 5.3: Control identificado: revisión trimestral de obsolescencia por el controller. Frecuencia: cada 31 de marzo, 30 de junio, 30 de septiembre, 31 de diciembre. Responsable: controller.

Paso 2. Evaluar el diseño. El auditor verifica qué se revisa (consistencia metodológica, cálculos matemáticos, completitud de datos de movimiento), quién es responsable (el controller, independiente de la función de almacén) y con qué frecuencia (trimestral, razonable dado que el riesgo de cambios en obsolescencia es moderado).

PT 5.3a: el control está bien diseñado. El controller es independiente, tiene acceso a los datos de movimiento y a los registros contables y revisa tanto la metodología como los cálculos. No hay deficiencia de diseño.

Paso 3. Evaluar la operación efectiva. El auditor solicita los cuatro reportes trimestrales. En el reporte del 30 de junio, el controller identificó que el cálculo del trimestre anterior había omitido un lote de piezas de recambio que no habían movido en 24 meses; aplicó una corrección retroactiva al 31 de marzo. En el de 30 de septiembre, sin excepciones. En el de 31 de diciembre, un desajuste menor en una categoría que el controller resolvió.

Paso 4. Aparece la complicación. En febrero, justo antes de la firma, el responsable de almacén renuncia. La persona que hizo los recuentos físicos durante todo el año ya no está. ¿La supervisión sigue siendo evidencia válida sobre el último trimestre si la fuente primaria del dato físico se ha ido?

Vaya por delante que el equipo de auditoría no estuvo de acuerdo internamente. El gerente quería confiar en el control sin más; el socio pidió un recuento de control sobre una muestra antes de firmar, hecho por el equipo de auditoría junto al controller. Es un juicio donde dos auditores razonables discrepan: el primero confía en la operación histórica del control, el segundo asume que la salida del responsable es un cambio en el ambiente de control que invalida parte de la evidencia del Q4. Desde mi punto de vista, la postura del socio es la defendible. Si la fuente del dato se va, el control de supervisión no puede haber operado sobre el último trimestre con la misma fiabilidad que sobre los anteriores.

PT 5.3c: complementación del Q4 con recuento conjunto sobre una muestra de 35 SKU; reconciliación del importe ajustado en provisión.

Paso 5. Evaluar la precisión de la supervisión. En el reporte de junio, ¿qué procedimiento concreto llevó a identificar la omisión? El controller solicitó una confirmación directa al responsable de almacén sobre artículos específicos que sospechaba obsoletos. Esa precisión es lo que el auditor reconoce y documenta.

PT 5.3b: evidencia de ejecución de supervisión. El controller realizó revisión analítica de movimiento durante los 24 meses anteriores a la fecha de corte, comparó con saldo de cada categoría e identificó manualmente omisiones. Nivel de procedimiento suficiente dado el volumen de inventario. Conclusión: supervisión efectiva sobre Q1-Q3, complementada en Q4.

Conclusión. La dirección de Transportes Ibéricos supervisa efectivamente este control. La supervisión funcionó durante el año, detectó sus propias insuficiencias y las corrigió. El cambio de personal en febrero obligó a complementar la evidencia, no a desestimarla. El auditor puede confiar en que el riesgo de incorrección material en la provisión de obsolescencia es bajo y reducir el alcance de procedimientos sustantivos sobre esta área.

Lo que revisores y auditores pasan por alto

- Hallazgo de regulador. El ICAC ha documentado en sus informes anuales que muchas firmas no evalúan adecuadamente si la supervisión de controles de la entidad llegó a ejecutarse, confundiendo "controles diseñados" con "controles supervisados". La firma documenta que existe un control de supervisión, pero no obtiene evidencia de que la dirección ejecutó ese control durante el año. Es un hallazgo típico en empresas medianas donde la supervisión la realizan personas de la dirección que no dejan rastro sistemático. El ICAC pregunta "¿con qué papel?" y la respuesta es silencio.

- Error práctico referenciado en la norma. Muchos auditores documentan la supervisión como un único bloque cuando la NIA-ES 315.20 exige identificar CÓMO supervisa la dirección: qué procedimientos concretos usa, quién es responsable, con qué frecuencia. Sin ese desglose, no hay base para evaluar la efectividad. Escribir "la dirección supervisa controles" sin especificar el mecanismo es marcar la casilla.

- Brecha de práctica. Existe una diferencia documentada entre cómo las firmas evalúan la supervisión de controles preventivos frente a la de controles de detección. La supervisión de un control preventivo es más simple de testar (¿se ejecutó?). La de un control de detección requiere que el auditor evalúe si la dirección investigó las excepciones y si la corrección entró antes de cierre. Muchos equipos se saltan ese paso. Lo hacen porque cuesta tiempo y porque el socio necesita el cliente del año siguiente y los honorarios no permiten más horas. Es una decisión que se ve fácil hasta que cae el expediente.

Supervisión versus seguimiento de hallazgos de auditoría

La supervisión de controles (responsabilidad permanente de la dirección, componente del control interno) es distinta del seguimiento de hallazgos de auditoría (acción que la dirección toma frente a una recomendación específica del auditor). La confusión ocurre porque las dos implican evaluación de control, pero en contextos distintos.

Supervisión de controles. La dirección evalúa si los controles que ella diseñó e implementó siguen siendo efectivos y apropiados conforme cambia el entorno. Es una responsabilidad permanente y un componente del control interno tal como lo define la NIA-ES 315.

Seguimiento de hallazgos de auditoría. La dirección responde a una recomendación específica del auditor (por ejemplo, "implemente una revisión mensual de conciliaciones") y evalúa si la acción correctiva quedó implementada y funciona. Es específico para cada hallazgo y está atado a la auditoría anterior, no al control interno general.

El cruce ocurre así: en el año N, el auditor recomienda establecer una supervisión mensual de conciliaciones. En el año N+1, evalúa si ese procedimiento operó. En ese momento ya no estamos en seguimiento de hallazgo, estamos en supervisión de controles, porque el procedimiento se ha incorporado al control interno permanente de la entidad. La distinción importa en inspección: el ICAC pregunta de dónde viene el control y qué evidencia hay de su operación.

Términos relacionados

- Control interno: el marco general dentro del cual la dirección diseña e implementa controles, incluyendo los procedimientos de supervisión. - Riesgo de incorrección material: el riesgo que el auditor evalúa basándose, en parte, en los resultados de la supervisión de controles de la dirección. - Pruebas de eficacia operativa: el trabajo del auditor para verificar que los controles, incluyendo los de supervisión, operaron efectivamente durante el período auditado. - Evaluación del riesgo: el proceso NIA-ES 315 en el que el auditor identifica y comprende los componentes del control interno, incluyendo la supervisión. - Control preventivo: tipo de control que evita que ocurra un error; su supervisión es generalmente más sencilla que la de un control de detección. - Control de detección: tipo de control que identifica errores tras producirse; su supervisión exige que el auditor evalúe si la dirección investigó las excepciones.

---

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.