Este es el primer artículo de una serie sobre la transformación digital de la función de auditoría interna en base a las nuevas Normas Globales del IIA.
Por qué la transformación digital ya no es opcional
La publicación en el 2024 de las Normas Globales de Auditoría Interna (NOGAI) del Instituto de Auditores Interno (IIA) representa un momento decisivo para la profesión: por primera vez en la historia del Estándar, la adopción de tecnología ha girado de una consideración a un requerimiento mandatorio.
Con la publicación en enero 2024 de las Normas Globales de Auditoría Interna (NOGAI), se marca un hito transformacional en las expectativas de la profesión. Cuando versiones anteriores de las Normas sugerían que los auditores internos "deberían considerar" el uso de tecnología, con la actualización del 2024 ya se hace mandatorio el cumplimiento de obligaciones específicas de uso de tecnología. Estas obligaciones redefinen de manera fundamental el rol de herramientas digitales en la práctica de auditoría interna.
La Norma 10.3 es el cambio más significativo en este tenor, al requerir que los Directores de Auditoría Interna (DAI) "deben procurar que la Función de Auditoría Interna cuente con tecnologías apropiadas para apoyar el proceso de auditoría interna" y "evaluar de forma regular las tecnologías empleadas por la Función de Auditoría Interna y buscar oportunidades para mejorar su eficacia y eficiencia". Esta modificación, que se ajusta de una consideración a una implementación mandatoria, crea nuevas obligaciones de cumplimiento que van más allá de una simple recomendación.
Pero este requerimiento de uso de tecnología no se limita únicamente a esta Norma citada, sino que permea en varios de los Dominios de las NOGAI. Por ejemplo:
- La Norma 9.2 establece que la estrategia de la función de auditoría interna debe incluir "la introducción y aplicación de tecnologías, si éstas mejoran la eficacia y eficiencia de la Función de Auditoría Interna".
- La Norma 8.2 requiere que los Directores de Auditoría Interna desarrollen planes de recursos que consideren de manera específica "el uso de tecnología para llevar a cabo los servicios".
- De manera más sustancial, la Norma 14.2 dirige a los auditores a "deberían comprender y utilizar tecnologías que mejoren la eficacia y eficiencia de los análisis, tales como aplicaciones de software que permiten probar una población entera, en lugar de solo una muestra."
Tal vez de manera más crítica, las nuevas Normas requieren que los DAI comuniquen limitaciones de tecnología al Consejo y la Alta Dirección. Este requerimiento de transparencia eleva las discusiones sobre tecnología desde consideraciones operativas hacia conversaciones estratégicas a nivel del Consejo. Esto cambia de manera fundamental cómo las funciones de auditoría interna se posicionan dentro de las estructuras de gobernanza a lo interno de la organización.
Según nuestras interacciones con clientes y prospectos en Latinoamérica, aún existen brechas en las funciones de auditoría interna para comprender el impacto real de los nuevos estándares en la práctica de sus organizaciones. Además, no cuentan con el presupuesto apropiado para asegurar alineación en tiempo prudente; esto ocurre a pesar de que las mismas ya entraron en vigor en enero 2025. Esta brecha de preparación constituye un riesgo significativo de cumplimiento y, a la vez, una oportunidad estratégica que recomendamos abordar con visión, prioridades claras y acciones específicas.
COBIT 2019 como el marco de gobernanza para la transformación digital de auditoría
El marco COBIT 2019 de ISACA provee la arquitectura de gobernanza esencial para que las funciones de auditoría interna puedan alcanzar los nuevos requisitos de tecnología establecidos en las NOGAI. Esto se debe a que los 40 objetivos de gobernanza y gestión establecidos en COBIT 2019 presentan una metodología estructurada para ayudar a las organizaciones a navegar las complejidades de gestión de riesgo digital, y pueden ser utilizados por los auditores al momento de integrar la gobernanza de tecnología en su función.
Pero la relevancia del marco COBIT 2019 para auditoría interna va más allá que un marco tradicional de gobernanza de TI; los factores de diseño contenidos en el marco (tales como objetivos en cascada, escenarios de riesgos y temas de TI de la actualidad) se alinean perfectamente con las metodologías de planificación basadas en riesgos realizadas por las funciones modernas de auditoría interna, y se pueden aplicar para los procesos de transformación digital que se requiere asumir en base a las Normas actualizadas.
A su vez, el énfasis del marco COBIT 2019 sobre la gobernanza empresarial de tecnología e información (EGIT por sus siglas en inglés) se alinea bastante bien con las nuevas obligaciones tecnológicas definidas por el IIA. El enfoque organizado que ofrece COBIT 2019 proporciona un lenguaje y comprensión compartidos para abordar los aspectos más importantes de lograr los objetivos de desempeño empresarial, al mismo tiempo que se mantienen estructuras fuertes de gobernanza. Esta alineación habilita a que la función de auditoría interna hable el mismo idioma que sus colegas en TI y gestión de riesgos, facilitando la colaboración interfuncional que demanda un proceso de transformación digital.
Implicaciones prácticas para los líderes de auditoría interna
La convergencia de los requerimientos establecidos en las Normas del IIA en conjunto con los marcos de gobernanza de la ISACA crea un ambiente de cumplimiento en la que la adopción de tecnología ya no queda puramente a discreción ejecutiva. Las organizaciones que fallen en implementar tecnología apropiada para la función de auditoría interna se pudieran potencialmente encontrar con incumplimiento con estándares profesionales, escrutinio regulatorio y exposición.
Este requisito no solo implica cumplir con un chequeo: los reguladores esperan cada vez más que la auditoría interna muestre habilidades tecnológicas en su trabajo de aseguramiento y control. La complejidad de las operaciones digitales del negocio requiere metodologías de auditoría que puedan evaluar de manera efectiva riesgos y controles habilitados por tecnología. Los enfoques tradicionales y manuales de auditoría simplemente ya no pueden proveer cobertura razonable de aseguramiento en el ambiente digital de hoy.
Estos cambios requieren que los líderes de auditoría interna actúen con prontitud y dentro de sus competencias y límites institucionales. Los DAI deben llevar a cabo análisis de brechas de cumplimiento contra los nuevos requerimientos en las Normas, desarrollar presupuestos para inversiones tecnológicas de la función de auditoría y someter para aprobación al Consejo, y establecer fuertes relaciones con las funciones de TI para asegurar cumplimiento.
Otro reto que enfrentan los líderes de auditoría es desarrollar competencias tecnológicas dentro de sus equipos, asegurando mantener calidad y cobertura de la auditoría. Para lograrlo, la organización deberá invertir en capacitación, herramientas y estrategias claras para atraer y retener talento.
La oportunidad dentro de la obligación
Aunque los requerimientos regulatorios crean presión de cumplimiento, también presentan oportunidades sin precedentes para que las funciones de auditoría interna demuestren valor estratégico. Organizaciones con capacidades de auditoría digital madura alcanzarán demostrablemente mejores resultados para el negocio, incluyendo mayor crecimiento de ingresos y mejor gestión de riesgos.
La naturaleza mandataria de la adopción de tecnología elimina barreras tradicionales para las inversiones de transformación digital de la función. Los líderes financieros que antes cuestionaban presupuestos de tecnología para auditoría ahora enfrentan requerimientos regulatorios que justifican programas comprensivos de digitalización de la auditoría. Este soporte regulatorio habilita a las funciones de auditoría a acelerar los tiempos del plan de transformación digital y asegurar los recursos necesarios para lograrlo.
Las funciones de auditoría también pueden aprovechar este imperativo regulatorio para posicionarse como líderes de transformación digital dentro de sus organizaciones. Al demostrar cumplimiento con estándares profesionales y marcos de gobernanza reconocidos, la auditoría interna puede establecer credibilidad que se extiende a roles de asesoría estratégica en esfuerzos más amplios de digitalización a nivel organizacional.
Cómo convertir una necesidad regulatoria en una ventaja estratégica
Esta nueva obligación creada por la actualización del 2024 de las Normas Globales del IIA, combinada con los marcos de la ISACA, representa tanto retos como oportunidades para las funciones de auditoría interna. Si las organizaciones ven estos requisitos solo como cumplimiento, perderán la oportunidad estratégica de digitalizar la auditoría de forma integral.
Las auditorías más efectivas combinarán el cumplimiento de las normas con estrategias más amplias de transformación digital, utilizando los requisitos tecnológicos como impulso para el cambio en la organización. Al alinearse con las estrategias de tecnología y datos organizacionales, las funciones de auditoría pueden acelerar su propia madurez digital y a la vez contribuir con los objetivos estratégicos organizacionales.
El ambiente regulatorio ha cambiado de manera fundamental, y las funciones de auditoría deben responder con urgencia y visión estratégica. La pregunta ya no es si adoptar tecnología de auditoría, sino qué tan expeditas y efectivas son las organizaciones en implementar los cambios necesarios para alcanzar sus obligaciones profesionales y expectativas de sus interesados.
En lo que usted evalúa su ambiente tecnológico de auditoría actual contra los requerimientos de las Normas 2024, ¿qué brechas ha identificado que necesitan acción inmediata? ¿Qué retos de cumplimiento regulatorio y qué causas los generan enfrenta su organización en la transformación digital de la función de auditoría, y qué apoyo necesita? Contáctenos para conversar más al respecto.
