Cómo Funciona

En la práctica, la supervisión de controles es el mecanismo por el que la dirección se percata de si los controles que diseñó siguen siendo adecuados y operativos. Puede adoptar muchas formas: revisiones mensuales de reportes de conciliación bancaria realizadas por el responsable de tesorería, auditorías internas que evalúan el cumplimiento de políticas de crédito, o comités de auditoría que revisan cambios en el ambiente de control.
La NIA-ES 315.20(a) requiere que el auditor identifique y entienda los procedimientos de supervisión que implementa la entidad. Esto no significa diseñar los procedimientos de supervisión (esa es responsabilidad de la dirección), pero sí entender cómo funcionan, quién es responsable, cuál es la frecuencia y qué acciones toma la dirección cuando la supervisión detecta que un control no está operativo.
En términos de evaluación del riesgo, NIA-ES 330.8 establece que el auditor debe considerar los resultados de la supervisión de controles para determinar si la evaluación inicial del riesgo de incorrección material sigue siendo apropiada o requiere ajuste. Si la dirección ha detectado durante el año que ciertos controles han fallado y ha identificado correcciones, el auditor necesita entender qué salió mal, cuándo se detectó, y si la corrección fue efectiva antes de la fecha de cierre. Esto afecta directamente a la naturaleza y alcance del trabajo de auditoría que el auditor debe realizar.

Ejemplo Práctico: Transportes Ibéricos S.L.

Cliente: Empresa española de logística de mediano tamaño, facturación anual 3,2 millones de euros, operaciones en cuatro regiones, reporta bajo PGC 2008.
Situación: El cliente tiene un proceso de supervisión formalmente documentado para evaluar la efectividad de los controles sobre la provisión de obsolescencia de inventario. Cada trimestre, el responsable de almacén compara el inventario físico con registros del sistema, identifica artículos que no han movido en 18 meses, y calcula una provisión. El controller revisa el cálculo, verifica que la metodología es consistente, y aprueba el asiento contable.
Paso 1. Identificar el control: El auditor identifica que la supervisión trimestral de la obsolescencia es un control de supervisión; la dirección lo ejecuta, genera documentación (el reporte trimestral firmado por el controller).
Nota de documentación: PT 5.3: Supervisión de controles sobre provisiones. Control identificado: revisión trimestral de obsolescencia por el controller. Frecuencia: cada 31 de marzo, 30 de junio, 30 de septiembre, 31 de diciembre. Responsable: controller.
Paso 2. Evaluar si el control es bien diseñado: El auditor verifica que la supervisión especifica qué se revisa (consistencia de metodología, cálculos matemáticos, completitud de datos de movimiento), quién es responsable (el controller, que es independiente de la función de almacén), y cuál es la frecuencia (trimestral, lo que es razonable dado que el riesgo de cambios en obsolescencia es moderado).
Nota de documentación: El control está bien diseñado. El controller es independiente, tiene acceso a datos de movimiento y a registros contables, y revisa tanto la metodología como los cálculos. No hay deficiencia de diseño.
Paso 3. Evaluar si el control operó efectivamente durante el año: El auditor solicita los cuatro reportes trimestrales de supervisión. En el reporte del 30 de junio, el controller identificó que el cálculo del trimestre anterior había omitido un lote de piezas de recambio que no habían movido en 24 meses. El controller aplicó una corrección retroactiva al 31 de marzo. En el reporte del 30 de septiembre, no se identificaron excepciones. En el reporte del 31 de diciembre, se identificó un desajuste menor en una categoría de artículos, que el controller resolvió.
Nota de documentación: El control fue operativo durante el año. Se detectaron excepciones en dos ocasiones; la dirección aplicó correcciones. No hay indicios de inefectividad sistémica. El control identificó su propia debilidad (omisión de junio) y fue corregida.
Paso 4. Evaluar si la supervisión se ejecutó con suficiente precisión: El auditor revisa los detalles de cómo el controller ejecutó la revisión. En el reporte de junio, ¿qué procedimiento específico llevó a identificar la omisión? Resulta que el controller solicitó una confirmación directa al responsable de almacén sobre artículos específicos que el controller sospechaba que estaban obsoletos. Esta es una precisión en la supervisión que el auditor reconoce y documenta.
Nota de documentación: PT 5.3b. Evidencia de ejecución de supervisión. Controller realizó revisión analítica de movimiento durante los 24 meses anteriores a la fecha de corte, comparó con saldo de cada categoría de activo, e identificó manualmente omisiones. Este nivel de procedimiento es suficiente dado el volumen de inventario. Conclusión: supervisión efectiva.
Conclusión: La dirección de Transportes Ibéricos supervisa efectivamente este control. La supervisión funcionó durante el año, detectó sus propias insuficiencias, y las corrigió. El auditor puede confiar en que el riesgo de incorrección material en la provisión de obsolescencia es bajo, y puede reducir el alcance de procedimientos sustantivos sobre esta área (por ejemplo, reducir la muestra de confirmaciones de obsolescencia directas con el cliente final, ya que la supervisión de la dirección ha operado).

Lo Que Revisores y Auditores Pasan Por Alto

  • Tier 1 (Hallazgo de Regulador): La ICAC ha documentado en reportes de inspección que muchas firmas de auditoría no evalúan adecuadamente si la supervisión de controles de la entidad se ejecutó, confundiendo "controles diseñados" con "controles supervisados." La firma documenta que existe un control de supervisión, pero no obtiene evidencia de que la dirección ejecutó ese control durante el año. Este es un hallazgo típico en empresas medianas donde la supervisión es ejecutada por personal de la dirección que no deja evidencia sistemática.
  • Tier 2 (Error práctico referenciado en Norma): Muchos auditores documentan la supervisión de controles como si fuera un aspecto único, cuando en realidad NIA-ES 315.20 requiere identificar CÓMO la dirección supervisa (qué procedimientos específicos usa, quién es responsable, con qué frecuencia). Sin esto, no se puede evaluar si la supervisión es efectiva. Un error común es escribir "la dirección supervisa controles" sin especificar el mecanismo concreto.
  • Tier 3 (Brecha Documentada de Práctica): Existe una brecha documentada entre cómo las firmas evalúan la supervisión de controles preventivos (controles que evitan errores) versus controles de detección (controles que detectan errores después de que ocurren). La supervisión de un control preventivo es más simple de evaluar (¿se ejecutó?), mientras que la supervisión de un control de detección requiere que el auditor evalúe si la dirección investigó las excepciones detectadas. Muchos auditores se saltan este paso de investigación.

Supervisión versus Seguimiento de Hallazgos de Auditoría

La supervisión de controles (responsabilidad de la dirección, componente del control interno) es distinta del seguimiento de hallazgos de auditoría (acción que la dirección toma en respuesta a recomendaciones del auditor). La confusión ocurre porque ambas implican evaluación de control, pero en contextos distintos.
Supervisión de controles: La dirección evalúa si los controles que ella diseñó e implementó siguen siendo efectivos y apropiados conforme el entorno cambia. Esta es una responsabilidad permanente de la dirección y es un componente del control interno tal como lo define la NIA-ES 315.
Seguimiento de hallazgos de auditoría: La dirección responde a una recomendación específica del auditor (p. ej., "implemente una revisión mensual de conciliaciones") y evalúa si la acción correctiva fue implementada y funciona. Esto es específico para cada hallazgo y está relacionado con la auditoría anterior, no con el control interno general.
En la práctica, un auditor puede identificar un hallazgo (p. ej., "falta supervisión sistemática de conciliaciones bancarias") y recomendar que la dirección establezca un procedimiento de supervisión. En el siguiente año, el auditor evaluará si ese procedimiento de supervisión fue implementado y operó efectivamente. En ese momento, el auditor está evaluando supervisión de controles (no seguimiento de hallazgo), porque evalúa un componente que ahora forma parte del control interno permanente de la entidad.

Términos Relacionados

---

  • Control Interno): el marco general dentro del cual la dirección diseña e implementa controles, incluyendo los procedimientos de supervisión.
  • Riesgo de Incorrección Material): el riesgo que el auditor evalúa basándose, en parte, en los resultados de la supervisión de controles de la dirección.
  • Pruebas de Eficacia Operativa): el trabajo del auditor para verificar que los controles, incluyendo los controles de supervisión, operaron efectivamente durante el período auditado.
  • Evaluación del Riesgo): el proceso NIA-ES 315 en el que el auditor identifica y comprende los componentes del control interno, incluyendo supervisión de controles.
  • Control de Prevención): un tipo de control que evita que ocurra un error; su supervisión es generalmente más sencilla que la de un control de detección.
  • Control de Detección): un tipo de control que identifica errores después de que ocurren; su supervisión requiere que el auditor evalúe si la dirección investigó excepciones.

Términos Relacionados

Control InternoRiesgo de Incorrección MaterialPruebas de Eficacia OperativaEvaluación del RiesgoControl de PrevenciónControl de Detección

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.