¿Crees que tu empresa pasaría una auditoría externa hoy mismo? Muchos empresarios y gerentes en Costa Rica sienten un pequeño escalofrío cuando escuchan la palabra «auditoría», pero la realidad es que los auditores no están ahí para «cazarte» o actuar como policías. Su trabajo es seguir un checklist estricto basado en estándares internacionales y normativas locales para asegurar que el negocio sea sostenible y transparente.

En nuestra trayectoria en Cabrera Soto & Asociados, hemos visto cómo empresas sólidas flaquean por detalles técnicos que podrían haberse corregido en minutos. El secreto no es temerle a la revisión, sino anticiparse a ella. Por eso, hemos preparado este artículo donde descubrirás los 7 fallos más recurrentes que detectamos en las auditorías externas, para que podás corregirlos antes de que los auditores toquen tu puerta.

1. Documentación desactualizada o incompleta

Este es, por mucho, el error más común. Las empresas suelen crear manuales de procedimientos cuando abren o cuando obtienen una certificación, y luego se olvidan de ellos. Cuando llega el auditor, se encuentra con procesos que describen una realidad de hace cinco años.

Por qué los manuales de procedimientos obsoletos son una bandera roja

Si tu manual dice que el Gerente Financiero firma los cheques, pero en la realidad todo es digital y lo aprueba el Tesorero, tenés un hallazgo de auditoría. Un manual desactualizado le dice al auditor que no hay control sobre cómo se opera realmente el negocio, lo que aumenta el riesgo percibido.

El error de guardar registros en dispositivos personales

No hay nada que asuste más a un auditor que escuchar: «Ese registro está en la laptop personal de Juan y él está de vacaciones». La información de la empresa debe residir en activos de la empresa. Centralizar la documentación en servidores o nubes corporativas no es solo orden, es una medida de seguridad básica.

2. Falta de trazabilidad en los procesos clave

La trazabilidad es la capacidad de reconstruir la historia de una transacción desde su origen hasta su destino final. Si un auditor elige una factura al azar, deberías poder mostrarle la orden de compra, el recibido de bodega, el asiento contable y el comprobante de pago sin titubear.

El «agujero negro» de tres meses sin logs ni registros

A veces, por cambios de sistema o descuido administrativo, aparecen vacíos de información. Un periodo sin registros es un «agujero negro» donde el auditor no puede dar fe de lo que ocurrió. Esto suele derivar en una opinión con salvedades o, en el peor de los casos, una denegación de opinión.

Cómo la improvisación mata la evidencia auditada

Hacer las cosas «por fuera del proceso» porque había prisa es una receta para el desastre. La improvisación no deja rastro documental válido. Para evitar esto, cada paso excepcional debe estar documentado y autorizado por escrito; de lo contrario, para el auditor, ese evento simplemente no cumple con la norma.

3. Segregación de funciones inexistente (conflictos de interés)

En empresas medianas o familiares, es muy común que una sola persona tenga «las llaves del reino». Esto es un riesgo crítico de fraude y un error de control interno que ninguna auditoría dejará pasar.

Cuando la misma persona autoriza, ejecuta y revisa un pago

Si la persona que da el visto bueno a una compra es la misma que emite el pago y la misma que concilia la cuenta bancaria, el control es nulo. Para evitar esto, el proceso debe estar fragmentado: uno pide, otro autoriza y un tercero paga. La confianza no es un control interno.

Por qué los auditores odian los «superusuarios» con todos los permisos

En el sistema contable, es cómodo que el contador tenga acceso a todo, pero es peligroso. Los permisos deben otorgarse bajo el principio de «mínimo privilegio necesario». Un «superusuario» puede borrar rastros de errores o fraudes, lo cual es una debilidad técnica mayor en cualquier informe de auditoría.

4. Incumplimiento normativo por desconocimiento

Muchos errores no nacen de la mala fe, sino de la falta de actualización. En Costa Rica, las leyes tributarias y laborales cambian con frecuencia, y lo que era legal el año pasado, podría no serlo hoy.

El error de confiar en «siempre lo hicimos así»

Esta es la frase más peligrosa en los negocios. El hecho de que Hacienda o la CCSS no te hayan multado todavía no significa que estés haciendo las cosas bien. Los auditores externos comparan tus prácticas contra la ley vigente, no contra tu historial de costumbres.

Actualizaciones legales que las empresas ignoran hasta la auditoría

Desde cambios en el manejo del IVA hasta nuevas regulaciones de Beneficiarios Finales, mantenerse al día es una tarea titánica. Por eso, contar con asesoría contable recurrente es la mejor forma de evitar que estos cambios te agarren fuera de base durante una auditoría anual.

5. Evidencia de controles manuales y subjetivos

El auditor busca evidencia objetiva. Si le decís «yo reviso eso todos los lunes», te va a preguntar: «¿Dónde está la firma o el registro que prueba que lo hiciste?».

El peligro de los archivos Excel sin protección ni validación

Amamos Excel, pero para un auditor, un archivo de Excel sin celdas bloqueadas ni historial de cambios es una evidencia muy débil. Es fácil de manipular. Si usás Excel para controles críticos, asegurate de proteger las hojas y guardar versiones PDF firmadas mensualmente.

Correos electrónicos como «comprobante oficial»: ¿es suficiente?

Un correo puede servir de evidencia, pero no sustituye a un formulario de autorización formal. Si tu proceso exige una firma física o digital en un documento específico, un «ok» por correo se queda corto y será señalado como una debilidad en el diseño del control.

6. Brechas de seguridad y acceso a la información

Hoy en día, la auditoría externa también pone un ojo en la tecnología. Si tus datos contables no están seguros, tu información financiera no es confiable.

Contraseñas compartidas y usuarios genéricos

Si el usuario en el sistema es «Admin» o «Contabilidad1» y lo usan tres personas, el auditor no sabe quién hizo qué. La falta de responsabilidad individual (accountability) es un error grave. Cada usuario debe tener su propio acceso personal e intransferible.

La falta de auditoría de accesos de exempleados

Es asombroso cuántas empresas mantienen activos los accesos de personas que se fueron hace meses. Esto es una brecha de seguridad masiva. Tu checklist de salida de personal debe incluir la revocación inmediata de accesos a sistemas contables y bancarios.

7. Inconsistencia entre lo que dices y lo que haces

Este es el punto donde la documentación choca con la realidad operativa. Es lo que llamamos el «síndrome del doble discurso».

Políticas de calidad preciosas… que nadie sigue sobre el terreno

Podés tener manuales empastados en oro, pero si el auditor entrevista a un empleado y este le describe un proceso totalmente diferente, tu control interno no existe. La cultura de cumplimiento debe bajar desde la gerencia hasta el último eslabón de la empresa.

El «síndrome del doble discurso»: documentación vs. realidad

Para evitar este error, realizá pruebas de recorrido (walkthroughs) internas. Seguí una transacción desde que nace hasta que muere y verificá si realmente sigue el camino que dice el manual. Si no es así, ajustá el manual o ajustá la operación antes de que llegue la auditoría externa.

---

Preguntas frecuentes sobre los errores en auditorías externas

¿Qué pasa si detectan solo uno de estos errores?

Depende de la gravedad. Un error aislado puede ser solo una «oportunidad de mejora» en la carta a la gerencia. Sin embargo, si ese error afecta materialmente los estados financieros, podría cambiar la opinión del auditor de «limpia» a «con salvedades».

¿Se puede subsanar un error durante la misma auditoría?

Podés corregir la cifra contable, pero el auditor igual deberá reportar que el control falló durante el periodo revisado. Lo ideal es detectar y corregir el error mediante una auditoría interna antes de que lleguen los auditores externos.

¿Cada cuánto debería hacer una autoevaluación para evitar esto?

Recomendamos una revisión de controles al menos cada seis meses. Esto permite identificar vicios operativos y corregir la documentación antes del cierre fiscal anual.

Conclusión: Convierte los errores en oportunidades de mejora

Pasar una auditoría externa sin hallazgos no es cuestión de suerte, es cuestión de orden sistemático. En resumen: actualizá tus manuales, asegurá la trazabilidad, segregá funciones, mantenete al día con la ley, digitalizá tus evidencias, protegé tus accesos y asegurate de que tu realidad coincida con tus políticas.