Auditoría SAP: lo que nadie revisa en las evidencias (y que termina generando hallazgos)

¿Quién debe ser el owner de la matriz de riesgos en una compañía?

19 de marzo de 2026

Publicado por m.martos en 16 de abril de 2026

Categorías

Y aun así aparecen hallazgos.

No suele ser porque el control esté mal. De hecho, muchas veces está bien ejecutado. El problema es otro, más silencioso: cómo se ha documentado. O mejor dicho, cómo no se ha documentado. Porque hacer el control no basta. Si no puedes enseñarlo de forma clara, ordenada y sin tener que explicarlo en un correo aparte… pierde fuerza. Rápido.

He visto evidencias que parecían correctas a primera vista, pero al revisarlas con calma dejaban huecos.

Una fecha que no encaja del todo, un ticket que no corresponde exactamente, una acción que no se puede seguir de principio a fin.

Cosas pequeñas, sí. Pero suficientes para generar dudas. Y cuando hay dudas, nadie valida nada. El auditor no revisa todo. Va a muestras y reconstruye lo ocurrido como si llegara de nuevas. Necesita ver una historia completa, sin tener que interpretarla.

Ahí es donde muchas evidencias fallan. No porque falte todo, sino porque falta justo lo necesario para entenderlo sin esfuerzo.

Y luego está el otro extremo: evidencias interminables. Pantallas y más pantallas, información duplicada, datos que no aportan nada… con la idea de cubrirse. Pero lo que se consigue es lo contrario: dificultar la revisión.

Cuanto más ruido hay, más fácil es que lo importante pase desapercibido.

Otro clásico: usar algo que “se parece”.

Funciona en el día a día. En auditoría no. Si el usuario es correcto pero el ticket no, si la fecha no coincide o si la modificación no es la misma, la evidencia no sirve. No es una cuestión de criterio; es que no corresponde.

Esto suele venir de procesos poco definidos. Cada uno selecciona lo que cree que encaja y se generan inconsistencias. Cuando alguien externo revisa con lupa, esas diferencias saltan rápido. Hay un gesto sencillo que evita muchos problemas y, curiosamente, es de los que más se ignoran: revisar antes de enviar. No por encima. Revisar de verdad.

Pararte un momento y preguntarte si esa evidencia aguanta por sí sola. Si alguien que no sabe nada del proceso podría entender qué ha pasado sin pedir aclaraciones. Si todo encaja sin forzar. Cuando eso no ocurre, lo normal es que haya que volver atrás. Ajustar, completar, justificar… y el tiempo que parecía ahorrado se pierde por duplicado.

Al final, esto no va de SAP ni de auditoría en sí. Va de método.

Tener claro qué se espera de una evidencia, aplicar siempre el mismo criterio y no dejar la validación para el último momento. Parece básico —lo es—, pero marca una diferencia enorme.

Una recomendación práctica: define un “mínimo obligatorio” de evidencia que siempre tenga que cumplirse (aunque el control sea sencillo) y revisa contra ese estándar antes de enviar. Sin excepciones. Eso reduce muchísimo la variabilidad y evita decisiones improvisadas.

Porque la auditoría no se gana cuando empieza. Para entonces ya vas con lo que tienes.

Y lo que tienes, en muchos casos, no es el control. Es cómo lo has dejado por escrito.