Auditoría Interna

La revisión de la evidencia de auditoría

Detalles
Categoría de nivel principal o raíz: Blog
Auditoría Interna

Por: CP Iván Rodríguez. Colaborador de Auditool. 

En el mundo de la auditoría (sea interna o externa), el tiempo es un recurso precioso. Por ello, hay que ser eficiente y reducir las horas que normalmente se invierten revisando pilas de documentos - correos electrónicos, capturas de pantalla, PDFs interminables, logs de sistemas -, para evitar que se pase por alto un detalle crítico o que se ha perdido el enfoque en el riesgo. Esta es la realidad que enfrentan muchos auditores, especialmente aquellos que transitan de roles operativos a posiciones de mayor responsabilidad, como revisores senior o líderes de equipo. Hay que pasar de una revisión reactiva y caótica a una estructurada, orientada al riesgo, que ahorre tiempo y eleve la calidad del juicio profesional. En la literatura técnica hay diferentes propuestas. Una de ellas está planteada por Chinmay Kulkarni, Consultor de Riesgos Tecnológicos en EY, quien plantea un marco simple de tres pasos que permite evitar errores comunes, agilizar el proceso y fortalecer el rol de evaluador estratégico, en su documento "How to Review Audit Evidence That Saves 10+ Hours[1]" (Cómo revisar la evidencia de auditoría con ahorro de más de 10 horas).  La mayoría de los auditores cometen el error de arrancar directamente con el listado de requerimientos de evidencia, un documento que a menudo es rígido y desconectado de la realidad del negocio. En cambio, Kulkarni enfatiza que la revisión efectiva debe nacer de la comprensión profunda del riesgo y del control que se está auditando. La evidencia no es un fin en sí mismo; es un medio para validar que los controles mitigan amenazas reales, como fraudes, errores operativos o incumplimientos regulatorios. Este cambio de mentalidad es clave: pasar de ser un "procesador de documentos" a un "evaluador de riesgos".

El núcleo del documento es un marco de tres pasos secuenciales, diseñado para guiar al auditor desde la preparación hasta la evaluación final. Cada paso construye sobre el anterior, asegurando que la revisión sea lógica, exhaustiva y libre de sesgos. Antes de saltar directamente a los archivos, la metodología prepara al auditor mental y documentalmente antes de tocar un solo archivo.

Paso 1: Comprender el control a partir del riesgo

Antes de abrir cualquier archivo, hay que detenerse y reflexionar: ¿Qué riesgo busca mitigar este control? ¿Qué evidencia demostraría razonablemente que ese riesgo está cubierto?  Este paso es el ancla. En lugar de una revisión ciega, se debe generar una "checklist mental" que filtra lo esencial de lo superfluo. Kulkarni lo ilustra con un ejemplo clásico: la auditoría de cambios en sistemas productivos.

  • Riesgos clave: Cambios no autorizados (que podrían introducir vulnerabilidades), fallas por falta de pruebas (causando pérdidas de tiempo), o ausencia de segregación de funciones (permitiendo que una persona apruebe y ejecute).
  • Evidencia requerida: Aprobaciones formales del Comité de Aprobación de Cambios (CAC), resultados detallados de pruebas unitarias e integrales, registros de segregación de roles (quién aprueba vs. quién implementa), y documentación cronológica de los cambios.

Resultado: Con esta checklist en mente, la revisión se hace con ojos críticos. Ya no se revisa "por revisar"; se evalúa si cada pieza de evidencia cierra un gap de riesgo específico. Este paso solo toma 10-15 minutos, pero ahorra horas al evitar distracciones.

Paso 2: Revisar la documentación del año (o período) anterior

La historia es la mejor maestra. La evidencia del período previo establece el "estándar de oro" de lo que la firma o socio considera aceptable. Hay que preguntarse: ¿Qué se obtuvo el año pasado? ¿Cómo se documentó? ¿Hubo observaciones o evoluciones en el control? Kulkarni advierte: no se debe usar esta revisión para rediseñar el proceso en el momento. Si se ven oportunidades de mejora (por ejemplo, un formato de reporte más claro), se anotan en un registro separado para discutirlas post-revisión. Si el año anterior se aceptó un correo simple como prueba de aprobación, no debería exigirse ahora un formulario digitalizado a menos que el riesgo haya cambiado. Es una forma de mantener consistencia y evitar el "efecto novato" de ser excesivamente estricto.

Paso 3: Revisar la evidencia recibida

Ahora sí, se revisan los documentos. Pero no al azar: Debe hacerse un inventario rápido primero (cantidad, tipos, relevancia aparente, faltantes obvios). Luego, se asocia cada pieza con el riesgo (no solo con la solicitud original) y se evalúa su suficiencia y completitud (fechas correctas, nombres de responsables, aprobaciones visibles, cobertura del período auditado). Con el ejemplo de cambios en sistemas:

  • Evidencia recibida: Un correo del CAC "aprobando" el cambio.
  • Evaluación: ¿Muestra el correo el detalle del cambio específico? ¿La fecha? ¿A otros aprobadores? Si no, es insuficiente y se debe pedir más, como un reporte del sistema o el acta de reunión.

Kulkarni enfatiza: Hay que relaciona documentos entre sí. Un correo aislado podría ser débil, pero cruzado con un log de implementación, se fortalece. Este paso transforma la revisión en un ejercicio analítico, no mecánico. Su guía además de contribuir a la productividad busca la excelencia profesional. Las principales ideas son:

  • Pensar como auditor, no como procesador: Hay que priorizar riesgos y objetivos sobre documentos. La lista de requerimientos es una herramienta, no el mapa.
  • El riesgo guía la revisión: Hay que enfocarse en lo que mitiga amenazas reales; esto asegura eficiencia sin sacrificar rigor.
  • Eficiencia del enfoque, no de la velocidad: Una estructura previa evita reprocesos, trabajos y fatiga cognitiva.
  • Calidad contextual: Documentos solos no bastan; deben ser pertinentes, completos y alineados al riesgo.
  • Madurez en el juicio crítico: Desarrollar el instinto de "esto no se siente correcto" y respaldarlo con argumentos sólidos; esa es la marca de un auditor elite.

Asimismo, conviene documentar de forma clara las conclusiones de la revisión, dejando registro no solo de lo que se recibió y evaluó, sino también de las razones detrás de cada juicio sobre suficiencia o insuficiencia. Este nivel de trazabilidad facilita la defensa ante cuestionamientos y mejora la transparencia del proceso.

Al implementar este marco en próximas revisiones y medir el impacto, seguramente dará menos horas de trabajo. La auditoría no es acumular papeles, sino sobre proteger el negocio con inteligencia; por ello, hay que optimizar el flujo de trabajo, de manera que el juicio cuente más que el volumen. 

[1] Ver: The Evidence Review Method That Saves Me 10+ Hours a Week 

 

CP Iván Rodríguez - CIE AF

Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público (CP) de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Tiene amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.

Bogotá DC, Colombia.

Escribir un comentario

Enviar
Aviso Cookies

Usamos cookies en nuestro sitio web. Algunas de ellas son esenciales para el funcionamiento del sitio, mientras que otras nos ayudan a mejorar el sitio web y también la experiencia del usuario (cookies de rastreo). Puedes decidir por ti mismo si quieres permitir el uso de las cookies. Ten en cuenta que si las rechazas, puede que no puedas usar todas las funcionalidades del sitio web.

De acuerdo Rechazar
× Progressive Web App | Add to Homescreen

Para instalar esta Web App en su iPhone/iPad presione el ícono. Progressive Web App | Share Button Y luego Agregar a la pantalla de inicio.

Desconectado