Este es el primer articulo de una serie sobre la transformación digital de la función de auditoría interna en base a las nuevas Normas Globales del IIA.
Por qué la transformación digital ya no es opcional
La publicación en el 2024 de las Normas Globales de Auditoría Interna (NOGAI) del Instituto de Auditores Interno (IIA) representa un momento decisivo para la profesión: por primera vez en la historia del Estándar, la adopción de tecnología ha girado de una consideración a un requerimiento mandatorio.
Con la publicación en enero 2024 de las Normas Globales de Auditoría Interna (NOGAI), se marca un hito transformacional en las expectativas de la profesión. Cuando versiones anteriores de las Normas sugerían que los auditores internos "deberían considerar" el uso de tecnología, con la actualización del 2024 ya se hace mandatorio obligaciones específicas de uso de tecnología, las cuales redefinen de manera fundamental el rol de herramientas digitales en la práctica de auditoría interna.
La Norma 10.3 es el cambio más significativo en este tenor, al requerir que los Directores de Auditoría Interna (DAI) "deben procurar que la Función de Auditoría Interna cuente con tecnologías apropiadas para apoyar el proceso de auditoría interna" y "evaluar de forma regular las tecnologías empleadas por la Función de Auditoría Interna y buscar oportunidades para mejorar su eficacia y eficiencia". Esta modificación, que se ajusta de una consideración a una implementación mandatorio crea nuevas obligaciones de cumplimiento que van más allá de una simple recomendación.
Pero este requerimiento de uso de tecnología no se limita únicamente a esta Norma citada, sino que permea en varios de los Dominios de las NOGAI. Por ejemplo:
- La Norma 9.2 establece que la estrategia de la función de auditoría interna debe incluir "la introducción y aplicación de tecnologías, si éstas mejoran la eficacia y eficiencia de la Función de Auditoría Interna".
- La Norma 8.2 requiere que los Directores de Auditoría Interna desarrollen planes de recursos que consideren de manera específica "el uso de tecnología para llevar a cabo los servicios".
- De manera más sustancial, la Norma 14.2 dirige a los auditores a "deberían comprender y utilizar tecnologías que mejoren la eficacia y eficiencia de los análisis, tales como aplicaciones de software que permiten probar una población entera, en lugar de solo una muestra."
Tal vez de manera más crítica, las nuevas Normas requieren que los DAI comuniquen limitaciones de tecnología al Consejo y la Alta Dirección; este requerimiento de transparencia eleva las discusiones sobre tecnología desde consideraciones operativas hacia conversaciones estratégicas a nivel del Consejo, cambiando de manera fundamental cómo las funciones de auditoría interna se posicionan dentro de las estructuras de gobernanza a lo interno de la organización.
Según hemos venido observando en nuestras interacciones con clientes y prospectos en Latinoamérica, aún existen brechas en funciones de auditoría interna en entender el real impacto de los nuevos estándares sobre la práctica en sus organizaciones, o que no cuentan con el presupuesto apropiado para asegurar alineación en tiempo prudente, esto a pesar de que las mismas ya entraron en vigor en enero 2025. Esta brecha de preparación representa tanto un riesgo significativo de cumplimiento, así como de una oportunidad estratégica para las funciones de auditoría interna con visión y acción decisiva.
COBIT 2019 como el marco de gobernanza para la transformación digital de auditoría
El marco COBIT 2019 de ISACA provee la arquitectura de gobernanza esencial para que las funciones de auditoría interna puedan alcanzar los nuevos requisitos de tecnología establecidos en las NOGAI. Esto se debe a que, los 40 objetivos de gobernanza y gestión establecidos en COBIT 2019 presentan una metodología estructura para ayudar a las organizaciones en navegar las complejidades de gestión de riesgo digital, y pueden ser utilizados por los auditores al momento de integrar la gobernanza de tecnología en su función.
Pero la relevancia del marco COBIT 2019 para auditoría interna va más allá que un marco tradicional de gobernanza de TI; los factores de diseño contenidos en el marco (tales como objetivos en cascada, escenarios de riesgos y temas de TI de la actualidad) se alinean perfectamente con las metodologías de planificación basadas en riesgos realizadas por las funciones modernas de auditoría interna, y se pueden aplicar para los procesos de transformación digital que se requiere asumir en base a las Normas actualizadas.
A su vez, el énfasis del marco COBIT 2019 sobre la gobernanza empresarial de tecnología e información (EGIT por sus siglas en inglés) se alinean bastante bien con las nuevas obligaciones tecnológicas definidas por el IIA. El enfoque sistemático provisto por COBIT 2019 provee un lenguaje y entendimiento común para atender a los aspectos más críticos de alcanzar los objetivos de rendimiento empresarial, manteniendo estructuras robustas de gobernanza. Esta alineación habilita a que la función de auditoría interna hable el mismo idioma que sus colegas en TI y gestión de riesgos, facilitando la colaboración interfuncional que demanda un proceso de transformación digital.
Implicaciones prácticas para los líderes de auditoría interna
La convergencia de los requerimientos establecidos en las Normas del IIA en conjunto con los marcos de gobernanza del ISACA crean un ambiente de cumplimiento en la que la adopción de tecnología ya no queda puramente a discreción ejecutiva. Las organizaciones que fallen en implementar tecnología apropiada para la función de auditoría interna se pudieran potencialmente encontrar con incumplimiento con estándares profesionales, escrutinio regulatorio y exposición.
Dicho imperativo regulatorio se extiende más allá de simplemente marcar un cotejo para decir que está cumpliendo: los reguladores cada vez más esperan que la función de auditoría interna demuestre competencia tecnológica en sus actividades de aseguramiento y monitoreo. La complejidad de las operaciones digitales del negocio requiere metodologías de auditoría que puedan evaluar de manera efectiva riesgos y controles habilitados por tecnología. Los enfoques tradicionales y manuales de auditoría simplemente ya no pueden proveer cobertura razonable de aseguramiento en el ambiente digital de hoy.
Estos cambios también demandan acción inmediata por parte de los líderes de auditoría interna. Los DAI deben realizar análisis de brechas de cumplimiento contar los nuevos requerimientos en las Normas, desarrollar presupuestos para inversiones tecnológicas de la función de auditoría y someter para aprobación al Consejo, y establecer fuertes relaciones con las funciones de TI para asegurar cumplimiento.
Otro reto que enfrentan los líderes de auditoria es en desarrollar competencias tecnológicas dentro de sus equipos, asegurando mantener calidad y cobertura de la auditoría. Esta transformación demandará inversión en capacitación, herramientas y estrategias de adquisición de talento.
La oportunidad dentro de la obligación
Aunque los requerimientos regulatorios crean presión de cumplimiento, también presentan oportunidades sin precedentes para que las funciones de auditoría interna demuestren valor estratégico. Organizaciones con capacidades de auditoría digital madura alcanzarán demostrablemente mejores resultados para el negocio, incluyendo mayor crecimiento de ingresos y mejor gestión de riesgos.
La naturaleza mandataria de la adopción de tecnología elimina barreras tradicionales para las inversiones de transformación digital de la función. Los líderes financieros que antes cuestionaban presupuestos de tecnología para auditoría ahora enfrentan requerimientos regulatorios que justifican programas comprensivos de digitalización de la auditoría. Este soporte regulatorio habilita a las funciones de auditoría en acelerar los tiempos de plan de transformación digital y asegurar los recursos necesarios para lograrlo.
Las funciones de auditoría también pueden aprovechar este imperativo regulatorio para posicionarse como lideres de transformación digital dentro de sus organizaciones. Al demostrar cumplimiento con estándares profesionales y marcos de gobernanza reconocidos, auditoría interna puede establecer credibilidad que se extiende a roles de asesoría estratégica en esfuerzos más amplios de digitalización a nivel organizacional.
Como convertir una necesidad regulatoria a una ventaja estratégica
Esta nueva obligación creada por la actualización del 2024 de las Normas Globales del IIA, combinado con los marcos del ISACA representan tanto retos como oportunidades para las funciones de auditoría interna. Las organizaciones que visualicen estos requerimientos como simples obligaciones de cumplimiento no reconocen el potencial estratégico de una digitalización comprensiva de la auditoría.
Las funciones de auditoría de mayor éxito integrarán el cumplimiento normativo con estrategias más amplias de transformación digital, aprovechando requerimientos tecnológicos como catalizadores para el cambio organizacional. Al alinearse con las estrategias de tecnología y datos organizacionales, las funciones de auditoría pueden acelerar su propia madurez digital y a la vez contribuir con los objetivos estratégicos organizacionales.
El ambiente regulatorio ha cambiado de manera fundamental, y las funciones de auditoría deben responder con urgencia y visión estratégica. La pregunta ya no es si adoptar tecnología de auditoría, sino qué tan rápido y efectivas son las organizaciones en implementar los cambios necesarios para alcanzar sus obligaciones profesionales y expectativas de sus interesados.
En lo que usted evalúa su ambiente tecnológico de auditoría actual contra los requerimientos de las Normas 2024, ¿qué brechas ha identificado que necesita acción inmediata? ¿Cuáles retos de cumplimiento regulatorio enfrenta en su ruta de transformación digital para la función de auditoría?