El control interno se evalúa identificando si los procedimientos de una empresa realmente protegen sus recursos y producen información confiable.
Cuando los controles fallan, el dinero desaparece
Imagina que en una distribuidora de FEMSA hay un empleado que autoriza pagos y también los registra. Nadie revisa su trabajo. Un día descubres que lleva seis meses pagando facturas falsas a un proveedor que él mismo inventó. El daño supera los $300,000. Esto no es un caso de mala suerte. Es una falla de control interno. Como auditor, tu trabajo es encontrar esas fallas antes de que se conviertan en pérdidas.
El Marco COSO: el sistema que todos los auditores usan
El marco más usado para evaluar el control interno se llama COSO (Committee of Sponsoring Organizations). No tienes que memorizar el nombre de la organización. Lo que sí necesitas entender son sus cinco componentes.
Piensa en COSO como una casa. Si cualquier pared falla, toda la estructura es vulnerable.
Los cinco componentes del control interno
1. Ambiente de control Es la cultura de la empresa. ¿Los directivos actúan con ética? ¿Existe un código de conducta? Si los líderes de Liverpool ignoran las políticas internas, los empleados también lo harán.
2. Evaluación de riesgos La empresa debe identificar qué puede salir mal. ¿Qué pasa si un proveedor no entrega? ¿Qué pasa si el sistema del SAT falla en época de declaraciones? Una empresa que no evalúa riesgos opera a ciegas.
3. Actividades de control Son las acciones concretas que reducen los riesgos. Firmas de autorización, contraseñas, conciliaciones bancarias, arqueos de caja. Estas son las herramientas prácticas del control interno.
4. Información y comunicación ¿La información llega a quien la necesita, en el momento correcto? Si el encargado de almacén de Bimbo no sabe que hay un faltante de inventario, no puede actuar. Los canales de comunicación deben ser claros y rápidos.
5. Supervisión y monitoreo Los controles no se instalan y se olvidan. Alguien debe revisar que siguen funcionando. Una empresa que nunca revisa sus propios controles acumula fallas silenciosas durante años.
Cómo evaluarlos en la práctica
Evaluar el control interno no significa leer manuales de procedimientos. Significa verificar que lo que dice el manual sucede en la realidad. Para eso usas tres herramientas principales.
Herramienta 1: El cuestionario de control interno (CCI)
El CCI es una lista de preguntas diseñadas para cada área. Las preguntas están redactadas para que una respuesta "No" indique una debilidad. Por ejemplo:
- ¿Las facturas de proveedores requieren dos firmas de autorización?
- ¿Se realizan conciliaciones bancarias al menos una vez al mes?
- ¿El acceso al sistema de nómina está restringido por contraseña?
Si en Mercado Libre México el responsable de cuentas por pagar responde "No" a la primera pregunta, ya tienes una debilidad documentada. Anota la respuesta en tu cédula de trabajo y prepárate para profundizar.
Herramienta 2: El flujograma de procesos
Un flujograma es un diagrama que muestra paso a paso cómo funciona un proceso. Dibuja cómo entra una factura, quién la revisa, quién la autoriza, quién la paga y quién la registra. Cuando lo terminas, buscas dos cosas:
- Puntos donde una sola persona controla todo el proceso. Eso se llama falta de segregación de funciones.
- Pasos donde no hay evidencia documentada. Si nadie firma ni registra una acción, esa acción no existe para la auditoría.
En una empresa mediana, es común encontrar que el mismo empleado recibe mercancía, valida la factura y autoriza el pago. Eso es una falla grave. Un proveedor deshonesto y ese empleado pueden fabricar compras fantasma con facilidad.
Herramienta 3: Las pruebas de recorrido (walkthrough)
Una prueba de recorrido significa tomar una transacción real y seguirla de principio a fin. Eliges una factura de un proveedor, por ejemplo de $45,000, y verificas cada paso: ¿Quién la recibió? ¿Hay orden de compra? ¿La firmó el gerente? ¿Está registrada en la cuenta correcta? ¿Cuándo se pagó?
Esta prueba te dice si el proceso descrito en el manual coincide con lo que realmente ocurre. Con frecuencia, no coincide.
Errores comunes al evaluar el control interno
Muchos auditores en formación cometen los mismos errores. Conocerlos te ahorra tiempo y te da mejores resultados.
Error 1: Confiar en los manuales sin verificar Una empresa puede tener un manual de control interno perfectamente redactado y completamente ignorado. Tu trabajo es comprobar la realidad, no leer documentos.
Error 2: Ignorar el ambiente de control Si el director general de una empresa mediana presiona a su contador para omitir registros, ningún procedimiento técnico lo va a detener. El tono ético de la alta dirección es el control más importante de todos.
Error 3: Evaluar controles sin entender el proceso de negocio Antes de evaluar los controles de inventario de Liverpool, debes entender cómo funciona su cadena de distribución. Si no entiendes el proceso, no puedes identificar dónde están los riesgos reales.
Error 4: No distinguir entre debilidad significativa y deficiencia menor No todas las fallas son iguales. Una firma de autorización que falta en una compra de $800 es distinta a la ausencia total de revisión en pagos que superan los $500,000 al mes. Clasifica las debilidades por su impacto potencial.
Clasificación de las debilidades de control
Cuando encuentras una falla, debes clasificarla. Usa esta escala simple:
| Nivel | Descripción | Ejemplo |
|---|---|---|
| Deficiencia menor | Riesgo bajo, impacto limitado | Falta de firma en un vale de caja por $200 |
| Deficiencia significativa | Riesgo moderado, puede afectar reportes | Conciliaciones bancarias con retraso de 60 días |
| Debilidad material | Riesgo alto, puede causar pérdidas graves | Una persona autoriza y registra pagos sin supervisión |
En México, cuando realizas auditorías relacionadas con el IMSS o la STPS, una debilidad material en el control de nómina puede derivar en multas, sanciones o juicios laborales. La clasificación no es solo técnica: tiene consecuencias legales y económicas.
Cómo documentar los hallazgos
Cada debilidad que encuentras se convierte en un hallazgo de auditoría. Un hallazgo bien documentado tiene cuatro partes:
- Condición: Lo que encontraste. "El 40% de las facturas revisadas carecía de firma de autorización."
- Criterio: Lo que debería existir. "La política interna establece que toda factura mayor a $5,000 requiere dos firmas."
- Causa: Por qué ocurre. "No existe un control automatizado que bloquee el pago sin las firmas requeridas."
- Efecto: Qué puede pasar. "La empresa está expuesta a pagos no autorizados que pueden superar los $120,000 mensuales."
Esta estructura, conocida como el Modelo CCCE, hace que tus hallazgos sean claros, objetivos y accionables. Cualquier gerente, sin conocimientos técnicos de auditoría, puede entender qué está mal y por qué importa.
De la evaluación a la acción
Evaluar el control interno no es el fin del proceso. Es el punto de partida. Con tus hallazgos clasificados y documentados, puedes:
- Priorizar las áreas de mayor riesgo para las pruebas sustantivas.
- Recomendar mejoras concretas a la dirección de la empresa.
- Determinar cuánta evidencia adicional necesitas para soportar tu opinión.
Una empresa con controles sólidos te permite confiar más en sus registros. Una empresa con controles débiles te exige revisar más documentos, más transacciones y más personas.
El control interno no garantiza que no habrá fraudes, pero sí hace que ocultarlos sea mucho más difícil.