Checklist de controles internos para la gobernanza, el compliance y la preparación para auditorías

Los controles internos suelen parecer sólidos sobre el papel. El verdadero problema aparece cuando nadie los ha documentado ni se ha responsabilizado de ellos. Una buena checklist de los controles internos convierte la política en algo que realmente se puede verificar y defender en una auditoría.

Esta checklist abarca los ámbitos de control más relevantes para equipos jurídicos, secretarios corporativos y funciones de cumplimiento. Está estructurada para un uso práctico y organizada en torno a los marcos que utilizan los auditores

¿Qué es una checklist de controles internos?

Una checklist de controles internos es una herramienta estructurada para evaluar si los controles clave de una organización, financieros, operativos, de compliance, informáticos y de gobierno, están implantados, funcionan correctamente y proporcionan pruebas trazables de su funcionamiento.

Una checklist sólida vincula cada control a un responsable, una periodicidad de revisión y las pruebas que solicitarán los auditores.

Las checklist de control interno suelen cubrir bien los controles estándar de contabilidad y procesos. Para los equipos jurídicos y las funciones de gobierno corporativo, la checklist debe ir más lejos. Los flujos de aprobación del consejo, las renovaciones de mandatos, la distribución segura de documentos y los plazos de presentación de entidades son controles de gobernanza que una checklist financiera estándar suele omitir.

Esa es la brecha donde reside el verdadero riesgo de auditoría.

Por qué los controles internos son importantes para la gobernanza y el cumplimiento normativo

Unos controles internos sólidos crean la infraestructura de gobernanza que necesitan consejos, reguladores y auditores externos. A partir de ella verifican cómo se tomaron las decisiones y si se cumplieron las normas.

Tres razones hacen que merezca la pena mantener durante todo el año una rigurosa checklist de control interno:

  • Responsabilidad: Los controles asignan responsabilidades. Cuando surge una deficiencia, una checklist de controles internos bien mantenida identifica quién era el responsable y cuándo se revisó por última vez.
  • Coherencia en el cumplimiento: Las obligaciones reglamentarias no se interrumpen entre auditorías. Los controles gestionados a través de una checklist de controles internos garantizan una cobertura continua, no reactiva.
  • Preparación para la auditoría: Ante una solicitud regulatoria, las organizaciones con una checklist actualizada responden en horas, no en semanas.

Para los directores jurídicos y los secretarios corporativos que gestionan estructuras complejas con múltiples entidades, esto significa disponer de una única fuente de verdad para los registros de gobernanza en todas las jurisdicciones.

El Marco COSO y los controles internos

El Marco Integrado de Control Interno COSO (Comité de Organizaciones Patrocinadoras) es la referencia estándar para elaborar y evaluar checklist de control interno. Sus cinco componentes se corresponden directamente con los ámbitos que debe abarcar cualquier checklist de control centrada en la gobernanza:

COMPONENTE COSOQUÉ CUBRE
Entorno de controlÉtica organizativa, cultura de gobierno, estructuras de responsabilidad
Evaluación de riesgosIdentificación y valoración de riesgos para los objetivos empresariales y de gobernanza.
Actividades de controlPolíticas y procedimientos que mitigan los riesgos identificados
Información y comunicaciónCalidad de los datos, estructuras de información, canales de escalado
Actividades de seguimientoRevisión continua de la eficacia de los controles y seguimiento de la auditoría interna

Una checklist de control interno eficaz vincula cada elemento de control a uno de los cinco componentes del COSO. Esto proporciona a los auditores un marco de referencia familiar y garantiza que no falte nada desde el punto de vista estructural.

Checklist de controles internos

Organizada por ámbitos de control, esta checklist de controles internos abarca las áreas más relevantes para la gobernanza, el cumplimiento y la preparación para auditorías.

Controles financieros

Una checklist de controles internos financieros debe verificar que:

  • Todas las transacciones por encima de los umbrales definidos cuentan con la aprobación documentada de un firmante autorizado.
  • Las conciliaciones bancarias se completan mensualmente y son firmadas por una persona distinta a quien las elaboró.
  • Los pedidos de compra se cotejan con las facturas y justificantes antes de autorizar el pago.
  • El acceso a los sistemas financieros está restringido por funciones y los registros de acceso se revisan trimestralmente.
  • Los asientos contables que superen los umbrales de relevancia requieren una doble autorización
  • Los indicadores de riesgo de fraude se revisan como parte del proceso anual de evaluación de riesgos

Controles operativos

La sección operativa confirma que los procesos clave están documentados, se siguen sistemáticamente y tienen un responsable asignado:

  • Todos los procedimientos operativos están documentados, revisados y son accesibles al personal pertinente.
  • Los pasos clave del proceso se asignan a responsables específicos. Ninguna persona controla todo el flujo de trabajo de principio a fin.
  • Las excepciones operativas se registran y revisan por la dirección con una periodicidad definida.
  • Los indicadores de rendimiento de los procesos clave se monitorizan y se reportan a la dirección.

Controles de compliance

La sección de compliance se centra en las obligaciones normativas y el cumplimiento de las políticas internas:

  • Un calendario de compliance permite seguir los plazos reglamentarios en todas las jurisdicciones pertinentes.
  • Las actualizaciones de las políticas se comunican a los equipos afectados y se documenta su acuse de recibo.
  • Los contratos con terceros incluyen las cláusulas de cumplimiento exigidas y se revisan antes de su renovación.
  • Las obligaciones de protección de datos se asignan a los responsables designados en todas las jurisdicciones aplicables.

Controles informáticos y de ciberseguridad

Para las organizaciones que gestionan la gobernanza digitalmente, los controles informáticos son una parte innegociable de cualquier checklist de controles financieros o de un marco más amplio de controles internos:

  • La autenticación multifactor (MFA) está activada en todos los sistemas que manejan datos sensibles de gobernanza.
  • Los derechos de acceso al sistema se revisan trimestralmente y se revocan rápidamente cuando cambian las funciones.
  • El cifrado de datos se aplica a los documentos almacenados y en tránsito.
  • Los procedimientos de respuesta a incidentes están documentados, se prueban anualmente y son accesibles para el equipo de respuesta.

Controles de acceso y segregación de funciones

Aquí es donde las funciones de gobernanza suelen encontrar sus mayores lagunas al realizar una checklist de auditoría de controles internos:

  • Ninguna persona puede iniciar, aprobar y registrar una transacción por sí sola.
  • Los documentos del Consejo y de los comités sólo son accesibles para los miembros autorizados, y se mantienen registros de acceso.
  • Las matrices de delegación de autoridad se documentan y revisan al menos una vez al año.
  • Los permisos basados en roles se configuran a nivel de sistema, no se gestionan manualmente

Controles de documentación y pistas de auditoría

Una checklist de controles internos sin controles de documentación está incompleta. Los auditores trabajan a partir de pruebas. Las organizaciones que pueden presentarlas inmediatamente tienen una ventaja concreta:

  • Las actas del Consejo, las resoluciones y las actas de las votaciones se archivan en un plazo definido después de cada reunión.
  • Todas las decisiones de gobernanza tienen un rastro de aprobación documentado, quién aprobó qué y cuándo.
  • Se mantiene el historial de versiones del documento, con los cambios registrados por usuario y marca de tiempo.
  • Los registros históricos pueden recuperarse en cuestión de minutos en respuesta a una auditoría o a una solicitud reglamentaria.

Controles de seguimiento y revisión

Esta sección final aborda cómo las organizaciones verifican que sus controles siguen siendo eficaces con el tiempo:

  • Los controles internos se revisan formalmente al menos una vez al año. Los resultados y las medidas correctoras quedan recogidos por escrito.
  • Se realiza un seguimiento de las conclusiones de las auditorías de los controles internos hasta su resolución, y se archiva la información relativa a las medidas correctivas.
  • Los fallos de control se comunican al comité de auditoría, al consejo de administración o al asesor jurídico superior según un calendario definido.
  • Los cambios en la normativa, la estructura empresarial o el perfil de riesgo dan lugar a una revisión específica de los controles afectados.

Deficiencias comunes del control interno y riesgos para la gobernanza

Las organizaciones que mantienen su checklist de controles internos de manera informal o carecen de ella, suelen presentar las mismas vulnerabilidades en cada ciclo de auditoría. Según el Informe a las naciones de la ACFE de 2024, más del 50% de los fraudes laborales están relacionados con la falta de controles internos o la elusión de los existentes.

  • Falta de documentación: Las decisiones de gobierno tomadas sin registros escritos crean una exposición directa a la responsabilidad.
  • Separación de funciones no documentada: Los controles que existen en la práctica pero nunca se asignan formalmente dejan lagunas de responsabilidad que los auditores señalan inmediatamente.
  • Permisos de acceso obsoletos: Cuando los usuarios cambian de función y los derechos de acceso no se revocan con prontitud, un riesgo estructural permanece activo hasta la siguiente revisión.
  • Ausencia de periodicidad en la supervisión: Un control que no se revisa regularmente es funcionalmente inactivo. Sin un calendario definido, la checklist de los controles internos se convierte en un ejercicio puntual en lugar de un documento de gobernanza vivo.
  • Registros fragmentados: Cuando las actas del consejo de administración, las aprobaciones de contratos y los expedientes de cumplimiento se encuentran en sistemas diferentes, reunir pruebas de auditoría se convierte siempre en una crisis.

¿Por qué son importantes las plataformas de gobernanza y compliance?

Gestionar una checklist de controles internos manualmente, a través de hojas de cálculo, unidades compartidas e hilos de correo electrónico, es manejable para las organizaciones pequeñas. Para cualquier organización que gestione múltiples entidades, comités o jurisdicciones, este enfoque introduce riesgos que se agravan con el tiempo.

Una plataforma de gobernanza centraliza los flujos de trabajo para los que se han diseñado los controles internos. La gestión de reuniones del consejo, el seguimiento de resoluciones, la renovación de mandatos, la supervisión de entidades jurídicas y los flujos de trabajo del ciclo de vida de los contratos generan pruebas de auditoría automáticamente, sin necesidad de compilación manual antes de cada ciclo de auditoría.

El resultado: un cambio del cumplimiento reactivo a la responsabilidad de gobierno incorporada. Cuando su plataforma mantiene por defecto un registro de auditoría con marca de tiempo, la checklist de los controles internos pasa de ser un documento que se actualiza antes de una auditoría a un registro en tiempo real del funcionamiento real de su organización.

Por qué DiliTrust para la gobernanza y la supervisión del control interno

La plataforma de DiliTrust está diseñada específicamente para los flujos de trabajo de gobernanza que aparecen en todas las checklist de auditoría de controles internos, pero que suelen estar ausentes de las herramientas de GRC genéricas.

  • El Board Portal gestiona el ciclo de vida completo de las reuniones del consejo: preparación del orden del día, distribución de documentos, registro de votaciones, aprobación de actas y archivo de resoluciones, todo ello con una pista de auditoría integrada y a prueba de manipulaciones.
  • El módulo de gestión de entidades se ocupa de las filiales, las estructuras de propiedad, los plazos de presentación de solicitudes y las delegaciones de autoridad en distintas jurisdicciones.
  • Para los equipos que desean una visibilidad potenciada por IA de los riesgos contractuales y documentales, la detección de riesgos potenciada por IA de DiliTrust identifica los problemas antes de que lleguen a conclusiones de auditoría.

Si su organización está preparada para pasar de una checklist de controles internos manual a una plataforma en la que la preparación para auditorías es el estado por defecto, solicite una demostración.

Preguntas frecuentes sobre la checklist de control interno

¿Con qué frecuencia debe revisarse la checklist de controles internos?

Como mínimo, una vez al año. Las funciones de gobernanza de alto rendimiento revisan su checklist de controles internos cada vez que se produce un cambio significativo, una actualización normativa, una reestructuración empresarial, la entrada en una nueva jurisdicción o un hallazgo de auditoría relevante

¿Quién es responsable de mantener la checklist de controles internos?

La responsabilidad se comparte entre las distintas funciones: el departamento financiero se encarga de los controles financieros, el de TI de los controles de acceso y ciberseguridad, y el jurídico o de compliance suele encargarse de los controles de gobernanza y documentación. El requisito clave es que cada elemento de control tenga un responsable designado, no solo un departamento.

¿Cuál es la diferencia entre una checklist de controles internos y una auditoría de controles internos?

Una checklist de controles internos define qué controles deben estar implantados y cómo deben funcionar. Una auditoría de controles internos comprueba si dichos controles funcionan realmente según lo previsto. La checklist es el marco; la auditoría es la verificación.

¿Qué incluye una checklist de controles internos financieros en comparación con una checklist de gobernanza?

Una checklist de controles financieros se centra en la exactitud financiera, la aprobación de transacciones, las conciliaciones y la prevención del fraude. Una checklist de controles internos centrada en la gobernanza va más allá: registros de las decisiones del consejo de administración, delegación de poderes, presentación de informes de las filiales y documentación de los comités, es decir, los controles que más importan durante las revisiones reglamentarias y las auditorías de gobernanza corporativa.

Entradas relacionadas