Auditoría Interna

🧱 Controles blandos: la nueva frontera del riesgo

Detalles
Categoría de nivel principal o raíz: Blog
Auditoría Interna

Por: Equipo Auditool

Cuando la cultura desarma cualquier control técnico

🧭 El riesgo que no aparece en los diagramas

Las organizaciones suelen sentirse seguras cuando tienen políticas robustas, sistemas automatizados y controles bien documentados.
Matrices impecables. Procedimientos aprobados. Herramientas tecnológicas de última generación.

Y aun así, los fallos ocurren.

Fraudes que nadie vio venir.
Decisiones incorrectas “a pesar de los controles”.
Incidentes que, en retrospectiva, no fueron técnicos, sino humanos.

Aquí es donde emerge una verdad incómoda para la auditoría interna:

La cultura puede neutralizar cualquier control técnico.

Bienvenidos a la nueva frontera del riesgo: los controles blandos.

🧱 ¿Qué son realmente los controles blandos?

Los controles blandos (soft controls) no están escritos en manuales ni programados en sistemas.
Viven en el comportamiento diario de las personas y en los mensajes implícitos de la organización.

Incluyen, entre otros:

  • El tono ético del liderazgo.

  • La forma en que se reaccionan los errores.

  • La coherencia entre lo que se dice y lo que se hace.

  • La apertura para reportar problemas.

  • La presión por resultados a cualquier costo.

Son “blandos” porque no se pueden medir con facilidad, pero son duros en impacto.
Cuando fallan, los controles formales dejan de funcionar como se espera.

⚠️ Cuando el control existe… pero no se usa

Uno de los mayores riesgos actuales no es la ausencia de controles, sino su desactivación cultural.

Algunos ejemplos que todo auditor ha visto:

  • Controles que se “saltan” porque retrasan el cierre.

  • Revisiones que se firman sin ejecutarse.

  • Alertas que se ignoran porque “siempre saltan”.

  • Políticas éticas que existen solo para auditorías externas.

En estos casos, el problema no es el diseño del control, sino el comportamiento alrededor de él.
La cultura envía un mensaje claro: cumplir es opcional.

Y ese mensaje es, en sí mismo, un riesgo crítico.

🧭 La mirada de las NOGAI: gobernanza que se vive, no que se declara

Las Nuevas Normas Globales de Auditoría Interna (NOGAI) refuerzan una idea clave:
la gobernanza efectiva no se limita a estructuras formales, sino que se manifiesta en cómo se toman decisiones y cómo se comportan las personas.

Desde esta perspectiva, el auditor interno no puede limitarse a verificar:

  • si existe una política,

  • si hay un control documentado,

  • si el sistema está implementado.

Debe preguntarse también:

  • ¿Se usa realmente este control?

  • ¿La gente confía en él?

  • ¿La cultura lo refuerza o lo sabotea?

Auditar gobernanza hoy implica auditar conducta.

🧠 Señales de alerta de controles blandos débiles

Existen patrones culturales que el auditor puede observar y que suelen anticipar fallas mayores:

  1. Silencio organizacional. Nadie cuestiona, nadie alerta.

  2. Normalización del atajo. “Aquí siempre se ha hecho así”.

  3. Liderazgo inconsistente. Se predica ética, pero se premia el resultado a cualquier costo.

  4. Miedo al error. Se castiga el problema en lugar de analizar la causa.

  5. Dependencia ciega de la tecnología. Se asume que el sistema controla por sí solo.

Estas señales no aparecen en los reportes, pero hablan más fuerte que cualquier KPI.

🧩 ¿Cómo evaluar controles blandos desde auditoría interna?

Evaluar cultura no significa auditar personas, sino entender el entorno en el que operan los controles.
Algunas prácticas recomendadas:

  • Entrevistas estructuradas enfocadas en dilemas reales, no en respuestas “correctas”.

  • Observación directa en comités, reuniones y procesos críticos.

  • Análisis de incentivos: qué se recompensa y qué se castiga realmente.

  • Encuestas de percepción ética y de control.

  • Revisión de decisiones pasadas, no solo de procedimientos.

El objetivo no es etiquetar culturas como “buenas” o “malas”, sino identificar brechas entre valores declarados y conductas reales.

🧱 Controles blandos como primera línea de defensa

Las organizaciones más maduras en gestión de riesgos tienen algo en común:
no dependen exclusivamente de controles formales, porque su cultura actúa como control preventivo.

Cuando hay:

  • coherencia,

  • liderazgo ejemplar,

  • comunicación abierta,

  • responsabilidad compartida,

los riesgos se detectan antes, se corrigen más rápido y no necesitan ser forzados por auditoría.

En estos contextos, el auditor interno no es visto como vigilante, sino como aliado del sistema de control.

🎯 Conclusión: el riesgo del futuro será cada vez más humano

Los riesgos emergentes —tecnológicos, reputacionales, éticos, ESG— tienen un componente común:
dependen de decisiones humanas.

Por eso, la auditoría interna que quiera seguir siendo relevante debe ampliar su foco:
de controles técnicos a controles conductuales,
de cumplimiento formal a madurez cultural,
de procesos a personas.

Porque al final, no importa cuán sofisticado sea el sistema…

si la cultura no lo sostiene, el control no existe.

🧩 Frase para reflexionar

“La cultura no falla el control: lo revela.”
— Auditool

Aviso Cookies

Usamos cookies en nuestro sitio web. Algunas de ellas son esenciales para el funcionamiento del sitio, mientras que otras nos ayudan a mejorar el sitio web y también la experiencia del usuario (cookies de rastreo). Puedes decidir por ti mismo si quieres permitir el uso de las cookies. Ten en cuenta que si las rechazas, puede que no puedas usar todas las funcionalidades del sitio web.

De acuerdo Rechazar
× Progressive Web App | Add to Homescreen

Para instalar esta Web App en su iPhone/iPad presione el ícono. Progressive Web App | Share Button Y luego Agregar a la pantalla de inicio.

Desconectado