Por: Equipo Auditool
Cómo dejar de escribir documentos que nadie lee y empezar a generar cambio real
La entregas con orgullo: 15 páginas de observaciones cuidadosamente redactadas, hallazgos clasificados por riesgo, recomendaciones detalladas. El gerente financiero la recibe con una sonrisa cortés, dice "muy interesante, lo revisaremos", y la guarda en una carpeta que no volverá a abrir hasta que tú preguntes el próximo año: "¿Implementaron las recomendaciones?" La respuesta ya la conoces.
La carta de control interno —ese documento que la NIA 265 nos exige entregar— se ha convertido en uno de los productos más subutilizados de la auditoría. Invertimos horas en redactarla, el cliente invierte segundos en archivarla.
¿El problema? No es la norma. No es el cliente. Somos nosotros. Hemos convertido un instrumento diseñado para agregar valor en un trámite burocrático que cumplimos por obligación. Y mientras seguimos copiando las mismas observaciones genéricas año tras año, las deficiencias reales del cliente siguen ahí, esperando convertirse en el próximo fraude o error material.
73%
de las recomendaciones de control interno no se implementan en el primer año — Encuesta a CFOs, Journal of Accountancy
Por qué tu carta termina en el cajón
Antes de culpar al cliente por "no valorar nuestro trabajo", miremos qué estamos entregando realmente:
📋 Observaciones genéricas que aplican a cualquier empresa
"Se recomienda mejorar la segregación de funciones en el área de tesorería." Esta observación podría estar en la carta de cualquier cliente de cualquier firma en cualquier país. Si tu observación no menciona nombres, procesos específicos o cifras concretas, es demasiado genérica para generar acción.
📋 Lenguaje técnico que el cliente no entiende
"Deficiencia en los controles de aplicación relacionados con la interfaz entre el módulo de cuentas por pagar y el libro mayor." El CFO lee esto y piensa: "¿Y eso qué significa para mi operación?" Si el cliente necesita un diccionario para entender tu carta, no la va a implementar.
📋 Las mismas observaciones del año pasado (y del anterior)
Si tu carta de 2024 tiene las mismas 8 observaciones que la de 2023 y la de 2022, el mensaje que envías es: "Esto no es tan importante". El cliente aprende que puede ignorarlas sin consecuencias. Y tiene razón: si fueran críticas, ¿por qué sigues firmando informes limpios?
📋 Recomendaciones imposibles o impracticables
"Recomendamos implementar un sistema ERP integrado con módulos de control automatizado." Costo: USD500,000. Tiempo: 18 meses. Recursos: los que no tienen. Si tu recomendación requiere inversiones que el cliente claramente no puede hacer, estás escribiendo ficción, no consultoría.
📋 Ninguna conexión con el negocio real del cliente
Encontraste que no hay revisión de las conciliaciones bancarias. Pero, ¿explicaste que esto permitió que un empleado desviara USD45,000 el año pasado sin que nadie lo notara por 6 meses? Sin conectar la deficiencia con impacto real, el cliente no entiende por qué debería importarle.
Lo que la NIA 265 realmente pide
Muchos auditores tratan la NIA 265 como una obligación de "hacer una carta". Pero la norma es más exigente —y más útil— de lo que parece:
NIA 265.9: "El auditor comunicará por escrito las deficiencias significativas en el control interno identificadas durante la realización de la auditoría a los responsables del gobierno de la entidad oportunamente."
Notemos las palabras clave:
| Palabra Clave | Lo que implica |
|---|---|
| Significativas | No toda deficiencia merece estar en la carta. Solo las que, a juicio profesional, son suficientemente importantes para merecer la atención del gobierno corporativo. |
| Identificadas | Debes haberlas encontrado durante tu trabajo. No puedes copiar observaciones genéricas de un manual o de otro cliente. |
| Gobierno de la entidad | No es para el contador o el gerente operativo. Es para quienes tienen responsabilidad de supervisión: Junta Directiva, Comité de Auditoría, Socios. |
| Oportunamente | No tres meses después de terminar la auditoría. Si la deficiencia es significativa, debe comunicarse cuando pueda hacer diferencia, no cuando ya pasó el año. |
La NIA 265.A1 define una deficiencia significativa como aquella que, a juicio profesional del auditor, es de suficiente importancia para merecer la atención de los responsables del gobierno. Esto incluye considerar:
✓ La probabilidad de que la deficiencia cause errores materiales
✓ La susceptibilidad del activo o pasivo relacionado a pérdida o fraude
✓ La subjetividad y complejidad de la determinación de montos
✓ Los montos expuestos a la deficiencia
✓ El volumen de actividad que ha ocurrido o puede ocurrir
⚠️ Importante: La NIA 265.A7 indica que la comunicación escrita de deficiencias significativas debe incluir una descripción de las deficiencias y una explicación de sus posibles efectos. No basta con listar el problema; debes explicar por qué importa.
10 señales de que tu carta no aporta valor
| # | Señal | Por qué es un problema |
|---|---|---|
| 1 | Puedes intercambiar el nombre del cliente y usarla para otro | Es demasiado genérica para ser útil |
| 2 | Las observaciones son idénticas a las del año anterior | Demuestra que no hay consecuencias por ignorarla |
| 3 | Ninguna observación menciona cifras o montos específicos | Sin números, el impacto parece abstracto |
| 4 | No incluye ejemplos concretos de transacciones afectadas | El cliente no puede visualizar el problema |
| 5 | La recomendación es "mejorar" o "fortalecer" sin decir cómo | No es accionable |
| 6 | No identificas quién debería implementar la recomendación | Sin responsable, nadie actúa |
| 7 | El cliente nunca pregunta ni pide aclaraciones | Probablemente no la leyó |
| 8 | La entregas junto con el informe final, no antes | Demasiado tarde para que importe en este período |
| 9 | Nunca haces seguimiento al año siguiente | El cliente aprende que puede ignorar sin consecuencias |
| 10 | Nadie en tu equipo recuerda qué observaciones incluyeron | Si tú no las recuerdas, ¿por qué el cliente las implementaría? |
Observaciones que no sirven vs. observaciones que generan acción
La diferencia entre una carta que va al cajón y una que genera cambio está en cómo escribes cada observación:
EJEMPLO 1: Segregación de funciones
❌ GENÉRICA
"Se observó falta de segregación de funciones en el proceso de tesorería. Se recomienda implementar controles que aseguren una adecuada separación de responsabilidades."
✓ ESPECÍFICA
"María González (Tesorera) tiene acceso para crear proveedores, registrar facturas, generar pagos y conciliar bancos. En 2024 procesó USD4.2M en pagos sin revisión de terceros. Recomendación: Asignar la creación de proveedores a Compras (Juan Pérez) y la conciliación bancaria a Contabilidad (Ana Ruiz). Costo: USD0. Tiempo: 1 semana."
EJEMPLO 2: Conciliaciones bancarias
❌ GENÉRICA
"Las conciliaciones bancarias no se preparan oportunamente. Se recomienda mejorar el proceso para asegurar que se realicen mensualmente."
✓ ESPECÍFICA
"La cuenta Bancolombia #4521 (USD890K al cierre) tuvo un atraso promedio de 47 días en sus conciliaciones. En octubre encontramos 3 cheques por USD23,500 que el sistema mostraba como pendientes pero ya habían sido cobrados hace 60 días. Recomendación: Establecer cierre de conciliación al día 5 de cada mes. Que el Controller (Roberto Silva) revise y firme antes del día 10."
EJEMPLO 3: Accesos al sistema
❌ GENÉRICA
"Los accesos al sistema ERP no se revisan periódicamente. Se recomienda implementar revisiones de accesos para asegurar que solo personal autorizado tenga acceso a funciones críticas."
✓ ESPECÍFICA
"Encontramos 12 usuarios activos en SAP que ya no trabajan en la empresa (ver Anexo 3). El usuario 'LMARTINEZ' (ex-contador, renunció en marzo) realizó 34 transacciones en abril antes de ser desactivado. Recomendación: Vincular altas/bajas de SAP con RRHH mediante ticket automático. IT debe desactivar accesos el mismo día de la baja. Revisión trimestral de usuarios activos vs. nómina."
Estructura de una observación que genera acción
Cada observación en tu carta debería seguir esta estructura:
| Elemento | Qué incluir | Ejemplo |
|---|---|---|
| 1. Condición | Qué encontraste (hechos, cifras, ejemplos) | "En 8 de 25 pagos revisados (USD156K), no encontramos orden de compra aprobada." |
| 2. Criterio | Contra qué lo comparas (política, norma, mejor práctica) | "El Manual de Compras (sección 4.2) requiere OC aprobada para todo pago mayor a USD500." |
| 3. Causa | Por qué está pasando | "Compras urgentes se procesan sin OC para 'ganar tiempo'. No hay bloqueo en el sistema." |
| 4. Efecto | Qué puede pasar si no se corrige (impacto) | "Pagos no autorizados, precios inflados, posibles sobornos. USD156K sin control este año." |
| 5. Recomendación | Qué hacer específicamente (acción, responsable, plazo) | "Activar bloqueo en SAP que impida pago sin OC. IT (Carlos M.) puede implementarlo en 2 días." |
El seguimiento que nadie hace (y que marca la diferencia)
La carta de control interno no termina cuando la entregas. Si quieres que tus recomendaciones se implementen, necesitas un proceso de seguimiento:
PASO 1: Presentación formal (no solo envío por email)
✓ Agenda una reunión específica para presentar la carta (no la adjuntes al informe)
✓ Invita a quienes pueden tomar decisiones: CFO, Controller, Comité de Auditoría
✓ Explica cada observación, responde preguntas, discute prioridades
PASO 2: Solicita plan de acción del cliente
✓ Pide que respondan por escrito: qué harán, quién lo hará, para cuándo
✓ Si deciden no implementar algo, que lo documenten con la razón
✓ Comparte esta respuesta con el Comité de Auditoría
PASO 3: Seguimiento intermedio (antes de la siguiente auditoría)
✓ A los 6 meses, pregunta por el estado de implementación
✓ Ofrece ayuda si hay obstáculos
✓ Documenta lo que te respondan
PASO 4: Validación en la siguiente auditoría
✓ Verifica si implementaron cada recomendación (no asumas)
✓ Si no lo hicieron, incluye la observación nuevamente CON la nota de que es recurrente
✓ Considera si la no-implementación afecta tu evaluación de riesgos
⚠️ Sobre observaciones recurrentes: Si una deficiencia significativa aparece 3 años seguidos sin que el cliente actúe, debes preguntarte: ¿La gobernanza de esta entidad es adecuada? ¿Esto afecta mi evaluación de riesgos? ¿Debería comunicarlo de otra forma? La NIA 265.A14 permite considerar si la no-respuesta a comunicaciones anteriores constituye en sí misma una deficiencia significativa.
Más allá del cumplimiento: La carta como herramienta de valor
Cuando la carta de control interno se hace bien, deja de ser un trámite y se convierte en uno de los productos más valiosos de la auditoría:
Ahorra dinero al cliente
Una buena observación sobre controles en cuentas por pagar puede prevenir pagos duplicados, fraude de proveedores, o sobrecostos. El ROI de implementar tus recomendaciones puede ser 10x o más.
Protege tu firma
Documentar deficiencias significativas por escrito te protege si después ocurre un fraude o error en esa área. Puedes demostrar que advertiste al cliente y que la responsabilidad de no actuar es de ellos.
Fortalece la relación
Un cliente que implementa tus recomendaciones y ve resultados positivos valorará mucho más tu trabajo. La carta se convierte en una razón para renovar el contrato, no en un trámite que tolerar.
Genera oportunidades de consultoría
Observaciones bien hechas pueden derivar en proyectos adicionales: diseño de controles, implementación de sistemas, capacitación. El cliente ya confía en tu diagnóstico.
Conclusión: Deja de escribir para el archivo
La carta de control interno puede ser uno de los productos más valiosos que entregas, o puede ser un documento que nadie lee. La diferencia no está en el cliente; está en cómo la escribes, cómo la presentas, y si le das seguimiento.
La próxima vez que te sientes a redactar tu carta, pregúntate: ¿Estoy escribiendo algo que el cliente realmente puede usar? ¿Mis observaciones son tan específicas que no podrían aplicarse a otro cliente? ¿Mis recomendaciones son implementables con los recursos que tienen? ¿Voy a hacer seguimiento?
Si la respuesta a cualquiera de estas preguntas es "no", tienes trabajo que hacer. Porque una carta que va al cajón del olvido no cumple con el espíritu de la NIA 265, no protege a tu firma, y definitivamente no aporta valor.
"Una carta de control interno que no genera acción es solo papel. Y papel, el cliente ya tiene suficiente."
✅ CHECKLIST: ¿Tu carta aporta valor?
☐ Cada observación incluye cifras, nombres o ejemplos específicos
☐ Las observaciones son diferentes a las del año pasado (o están marcadas como recurrentes)
☐ Cada recomendación es implementable con los recursos del cliente
☐ Identificas quién debería implementar cada recomendación
☐ Explicas el impacto potencial de no corregir cada deficiencia
☐ Programaste una reunión para presentar la carta (no solo la enviaste por email)
☐ Solicitaste plan de acción por escrito al cliente
☐ Tienes programado seguimiento para validar implementación
📘 Referencia Normativa: NIA 265 - Comunicación de las deficiencias en el control interno a los responsables del gobierno y a la dirección de la entidad. Párrafos clave: 5-6 (Definiciones), 7-8 (Determinación de deficiencias significativas), 9-11 (Comunicación). Normas relacionadas: NIA 260 (Comunicación con los responsables del gobierno), NIA 315 (Identificación y valoración de riesgos), NIGC 1 (Gestión de calidad).
Y luego Agregar a la pantalla de inicio.
Escribir un comentario