Por: CP Iván Rodríguez. Colaborador de Auditool
En el entorno empresarial actual, marcado por una transformación digital acelerada, la globalización intensificada y una creciente incertidumbre geopolítica y regulatoria, el rol del auditor ha experimentado una evolución profunda. Ya no se limita a la verificación retrospectiva de estados financieros ni al simple cumplimiento normativo. Hoy, el auditor se constituye en un actor estratégico esencial en la identificación, evaluación y gestión de riesgos emergentes, aquellos que surgen de tecnologías disruptivas y cambios rápidos en el panorama global. Según el Allianz Risk Barometer 2026[1], basado en la opinión de más de 3.300 expertos en gestión de riesgos de 97 países, los incidentes cibernéticos se mantienen como el principal riesgo global por quinto año consecutivo (citado por el 42% de los encuestados), superando en un 10% al segundo lugar. La inteligencia artificial (IA) por su parte. ha escalado del puesto 10 al 2 (32% de menciones), reflejando preocupaciones por desafíos de implementación, exposiciones de responsabilidad, desinformación y su interconexión con ciber amenazas. Le siguen la interrupción del negocio (incluyendo disrupciones en cadenas de suministro), cambios en legislación y regulación, y otros factores como riesgos macroeconómicos y políticos.
42%
Incidentes cibernéticos: principal riesgo global por quinto año consecutivo
32%
IA escaló del puesto 10 al 2 en riesgos globales
¿Cómo abordar estos riesgos de alta incertidumbre y rápida evolución sin descuidar los fundamentos tradicionales de control interno y gestión de riesgos? La respuesta radica en encontrar un equilibrio entre innovación y disciplina.
Este contexto genera un desafío interesante para el auditor: ¿cómo abordar estos riesgos de alta incertidumbre y rápida evolución sin descuidar los fundamentos tradicionales de control interno y gestión de riesgos? La respuesta radica en encontrar un equilibrio entre innovación y disciplina. Los riesgos emergentes se distinguen por su alta incertidumbre, su capacidad de evolucionar velozmente y la dificultad para medirlos con precisión. Entre los más relevantes destacan:
🔒 Ciberseguridad y ataques digitales
ransomware, brechas de datos, disrupciones de redes.
🤖 Uso indebido o no regulado de la inteligencia artificial
sesgos, alucinaciones, responsabilidad legal por decisiones automatizadas.
📱 Riesgos reputacionales en entornos digitales
desinformación viral, crisis en redes sociales.
🌐 Disrupciones en cadenas de suministro globales
Agravadas por tensiones geopolíticas.
📋 Cambios regulatorios acelerados
normativas de privacidad, sostenibilidad o IA.
Estos riesgos exigen que el auditor adopte un enfoque prospectivo, dinámico y multidisciplinario, en el cual debe integrar competencias en tecnología, análisis de datos, estrategia empresarial y gestión de riesgos. Por ello, herramientas tales como el análisis predictivo, la auditoría continua con IA o la simulación de escenarios se vuelven indispensables. Sin embargo, esta orientación hacia los nuevos riesgos conlleva un peligro latente: la posible desatención de los controles tradicionales (contabilidad, cumplimiento, segregación de funciones), lo que podría aumentar la exposición general de la organización a fallos sistémicos. Por ello, es necesario mantener un conjunto de prácticas básicas que mantienen un sistema de control interno efectivo y saludable. En cuanto las organizaciones centren su atención y recursos en los riesgos emergentes (ciberseguridad o IA por ejemplo), suelen producirse desviaciones:
Desviaciones frecuentes al priorizar riesgos emergentes
• Postergación de auditorías de cumplimiento rutinarias.
• Retrasos en la actualización de políticas y procedimientos.
• Reducción de programas de formación y sensibilización del personal.
• Dependencia excesiva de controles informales o "a la medida" de personas clave.
Estas desviaciones no generan alertas inmediatas, pero erosionan progresivamente la base del sistema de control. Con el tiempo, crean vulnerabilidades que pueden derivar en fallos significativos, fraudes o incumplimientos graves.
Para el auditor, esto representa un riesgo crítico: perder visibilidad sobre los riesgos "clásicos" mientras se enfoca en los novedosos o emergentes, generando una falsa sensación de seguridad.
El auditor enfrenta hoy un dilema estructural. Por un lado, debe adaptarse incorporando nuevas metodologías (auditoría basada en datos, herramientas de analítica avanzada, conocimiento de ciber arquitecturas o modelos de gobernanza de IA). Por otro, debe preservar la solidez de los controles existentes para evitar que la organización pierda disciplina operativa. Este dilema se intensifica por limitaciones reales:
El resultado frecuente es una sobrecarga operativa que eleva las expectativas sin fortalecer las capacidades reales, lo que puede comprometer la calidad del trabajo de auditoría.
Ante este panorama, el auditor debe trascender su rol tradicional y asumir una posición más estratégica.
Ante este panorama, el auditor debe trascender su rol tradicional y asumir una posición más estratégica. Se debe constituir en integrador de riesgos. No solo debe identificar riesgos aislados, sino analizar cómo interactúan los riesgos tradicionales (financieros, operativos) con los riesgos emergentes (ciber + IA). También debe operar como evaluador de madurez organizacional. Esto es, determinar si la empresa posee la capacidad real - cultural, técnica y de gobernanza - para gestionar múltiples riesgos simultáneamente.
Otras actividades que es pertinente que ejecute el auditor es velar porque la innovación no erosione los pilares básicos del control interno (COSO, por ejemplo). También debe proporcionar información oportuna, clara y accionable al consejo y la alta dirección para una toma de decisiones informada. Otras acciones son:
Inventario de controles
Verificar que los controles no solo existan en la documentación, sino que se apliquen efectivamente en la práctica diaria. Deben estar claramente definidos, actualizados y no depender exclusivamente del conocimiento informal de empleados clave.
Asignación clara de responsabilidades
Todo riesgo debe tener un propietario definido. El auditor debe revisar si existen "zonas grises" de responsabilidad, si la supervisión está formalmente asignada y si se monitorean adecuadamente áreas críticas como proveedores externos, cumplimiento normativo y programas de capacitación.
Establecimiento de ciclos de revisión
Implementar revisiones periódicas (trimestrales o semestrales) permite detectar tendencias tempranas, validar la efectividad de controles, identificar riesgos heredados o latentes y asegurar una actualización continua.
El auditor moderno más que un vigilante del cumplimiento, debe ser un arquitecto de la confianza y la sostenibilidad empresarial en una era de cambio acelerado.
Solo mediante este equilibrio se podrán construir organizaciones verdaderamente resilientes, capaces de navegar la complejidad creciente del entorno empresarial sin comprometer su estabilidad fundamental ni su integridad a largo plazo. El auditor moderno más que un vigilante del cumplimiento, debe ser un arquitecto de la confianza y la sostenibilidad empresarial en una era de cambio acelerado. Su éxito dependerá de la habilidad para combinar innovación audaz con la rigurosa disciplina de los fundamentos de su trabajo.
[1] Ver: Allianz Risk Barometer
CP Iván Rodríguez - CIE AF
Colaborador de Auditool
Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público (CP) de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Tiene amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.
Y luego Agregar a la pantalla de inicio.
Escribir un comentario