Frenos para ir más rápido
En el mundo automovilístico, muchos pilotos se centran en acelerar bien, pero un gran momento de la carrera para ir rápido es saber utilizar los frenos.
Lo mismo ocurre en el mundo de la contabilidad, reporte y auditoría de la información financiera. Disponer de un control interno efectivo puede contribuir a disminuir errores contables y, en muchos casos, ajustes de auditoría, así como reducir el tiempo dedicado a correcciones, dobles revisiones, etc. Pero existen ciertos detractores que indican que el control interno lleva mucho tiempo, es una carga burocrática y no aporta valor.
Ventajas de un SCIIF efectivo
Disponer de un control interno efectivo tiene sus ventajas: para la empresa porque contribuye a una mayor eficacia y eficiencia en la preparación y reporte de su información financiera, a los auditores porque puede depositar confianza en controles y equilibrar sus pruebas sustantivas y al resto de partes interesadas porque hoy en día el valor de la confianza es un activo intangible que constituye un factor diferencial en un mundo empresarial cada vez más competitivo y complejo y contribuye a la sostenibilidad de las organizaciones.
Dónde poner el tiro
Para poder maximizar las ventajas es preciso poner foco en los aspectos clave, que la experiencia y los múltiples estudios de SOX, tales como el reciente de Trends in material weaknesses (2025) o el de Fallos de control subyacentes en casos investigados y denunciados por la SEC en los años 2023 y 2024 (2025) publicados por KPMG, han identificado de manera extensiva y recurrente en los últimos años.
Controles transversales de entorno
Es muy relevante asignar roles y responsabilidades del SCIIF, sobre todo cuando se trata de grupos que operan en distintas geografías, divisiones, sucursales, etc. Es importante determinar en alguna normativa interna quién hace qué: ¿quién diseña el control?, ¿quién lo implanta?, ¿quién deja evidencia de su ejecución?, ¿quién lo certifica o rinde cuentas a final de mes? Otro aspecto clave es el establecimiento de políticas y procedimientos adecuados aplicables internamente así como con terceros.
Identificación de riesgos significativos de procesos
Generalmente, los riesgos significativos suelen derivarse de error o fraude en los estados financieros. En cuanto al error, se trata de riesgos en los procesos financieros asociados con falta de integridad o exactitud en la información financiera o valoración incorrecta, desgloses no acordes a la regulación aplicable o la no consideración de derechos y obligaciones con impacto en la contabilidad. Normalmente los aspectos o factores a considerar en términos de fraude son las transacciones inusuales, operaciones con partes vinculadas, ajustes de alto nivel después del cierre, operaciones de caja, asientos manuales y los estimados o juicios relevantes (tales como recuperabilidad de activos por impuestos, provisiones, fondos de comercio, etc). Sobre esto último, es importante identificar controles con foco en el propio cálculo y el medio en el que se realiza (con frecuencia hojas de cálculo con miles de fórmulas donde un error en una celda supone una variación que puede superar varios dígitos), la trazabilidad de la información, los análisis de sensibilidad y las aprobaciones en distintos niveles, entre otros. Estos riesgos suelen desglosarse como cuestiones clave en los informes de auditoría de la mayor parte de las empresas como lo muestra el último informe de KPMG, Cuestiones Clave de Auditoría (2025).
Identificación de controles clave
La teoría nos dice que un control clave es aquel que por sí solo mitiga un riesgo significativo. La práctica nos dice que esto no es tarea fácil porque primero hay que identificar los riesgos significativos y luego “encontrar” controles para mitigarlos, o dicho de otra manera, reducir el impacto o la probabilidad de que se materialicen. Algunos “trucos” que los expertos en SCIIF solemos considerar son: partir un proceso en actividades e identificar por cada una un potencial riesgo que pudiera aplicar; al menos cada riesgo debe disponer de un control; por coste beneficio, un control clave podría ser aquel que mitigue más de un riesgo; todo control clave debe disponer de una evidencia de su ejecución. En control interno lo que no está documentado, no existe.
Sistemas que soportan la información financiera
Es esencial identificar las aplicaciones significativas y sus controles automáticos asociados para la preparación y reporte de la información financiera y asegurar que los controles generales “superiores” en términos de accesos, de operación y cambios en los sistemas, de segregación de funciones y recuperación, entre otros, están correctamente diseñados, implementados y funcionan correctamente. Si no fuera así, no se podría confiar en controles automáticos y esos supondría la necesidad de evaluar controles manuales que mitiguen el mismo riesgo.
En definitiva, disponer de un SCIIF efectivo aporta grandes ventajas si se sabe poner foco en los aspectos más relevantes en términos de riesgos.
Yolanda Pérez es socia del área de Governance Risk and Compliance (GRC) en KPMG.
Sara Hernández es gerente del área de Governance Risk and Compliance (GRC) en KPMG.
