Control interno: ¿vigilante o facilitador?
El debate que redefine el futuro de la función

La auditoría que solo detecta fallas ya está obsoleta. Las NOGAI apuntan hacia un modelo de control que construye resiliencia organizacional.

Durante décadas, el control interno fue sinónimo de vigilancia. El auditor llegaba, examinaba, hallaba fallas y las reportaba. La relación con la gerencia era predecible: el auditor inspeccionaba; la gerencia soportaba. El valor de la función se medía en número de hallazgos y en el tamaño del informe final.

Ese modelo no está muerto, pero está en terapia intensiva. Y las Nuevas Normas Globales de Auditoría Interna (NOGAI) del IIA, vigentes desde enero de 2025, firmaron la orden de revisión médica.

El Dominio III introduce una perspectiva que incomoda a muchos y libera a otros: el control interno no es solo un mecanismo para atrapar errores. Es, sobre todo, una capacidad organizacional para construir resiliencia. Y el auditor interno no es el policía que espera la infracción. Es —o debería ser— el arquitecto que ayuda a que la infracción no ocurra.

¿Está la función lista para ese rol? La respuesta honesta es: depende de qué tanto esté dispuesta a cambiar.

El modelo vigilante: su origen, su utilidad y sus límites

El modelo vigilante tiene una lógica impecable: si nadie vigila, los errores se acumulan; si los errores se acumulan, la organización falla. Esta premisa no es incorrecta. Es incompleta.

El problema no es que la vigilancia sea inútil. El problema es que una función orientada exclusivamente a detectar y reportar se convierte en reactiva por naturaleza: actúa después del hecho, su valor es forense. Además, genera tres efectos colaterales que erosionan la función:

1	Cultura del miedo al control. Cuando los equipos asocian "auditoría" con "sanción", la primera línea invierte energía en esconder problemas en lugar de resolverlos.
2	Desconexión estratégica. El auditor que solo caza fallas operativas pierde de vista los riesgos reales que amenazan la estrategia: los que no están en los manuales de procedimiento.
3	Devaluación de la función. Una auditoría que llega tarde y solo señala lo que ya se rompió es percibida por la alta dirección como un costo necesario, no como un valor indispensable.

"El auditor que solo llega cuando algo se rompe pronto dejará de ser invitado a la mesa donde se toman las decisiones que evitan que todo se rompa."

El modelo facilitador: de qué se trata exactamente

Adoptar un enfoque facilitador no significa que el auditor interno se convierta en consultor de gestión, ni que abandone su independencia para complacer a la gerencia. Esa es la confusión más frecuente —y más peligrosa— en este debate.

Significa que la auditoría agrega valor en los tres momentos del riesgo: antes de que ocurra (diseño de controles), durante su operación (monitoreo) y después de que falla (diagnóstico). No solo en el tercero. Implica un cambio en cuatro dimensiones:

Del qué al por qué	El facilitador no solo informa que un control falló. Explica por qué falló estructuralmente y qué condiciones lo hacen propenso a fallar de nuevo.
Del informe a la conversación	El hallazgo no es el final del proceso: es el inicio de un diálogo orientado a la solución. La recomendación implementada gana más protagonismo que el informe.
Del universo al riesgo estratégico	La función se concentra en los riesgos que realmente importan para la supervivencia y el crecimiento de la organización, no en el universo auditable histórico.
De la distancia al criterio	Ejercer criterio profesional con proximidad al negocio no equivale a perder independencia: equivale a ser más relevante para quien más importa.

Los dos modelos cara a cara

Una comparación directa para identificar dónde está hoy tu función:

✘ Modelo vigilante (tradicional)	✔ Modelo facilitador (NOGAI)
Detecta y reporta fallas	Anticipa y previene riesgos
El control es responsabilidad del auditor	El control es responsabilidad de todos
El informe es el producto final	La mejora organizacional es el producto final
La gerencia teme la auditoría	La gerencia colabora con la auditoría
El auditor llega cuando el daño ya ocurrió	El auditor advierte antes de que ocurra

Lo que las NOGAI exigen: no es opcional

El Dominio III es explícito: la auditoría interna debe evaluar y contribuir a la mejora del control, no solo "detectar y reportar". Esa distinción, que parece semántica, es una redefinición de mandato. Implica:

→	Que el auditor tenga una opinión fundamentada sobre si los controles están diseñados para los riesgos correctos, no solo si están documentados.
→	Que la calidad de las recomendaciones —y su implementación— sea tan parte del trabajo como la ejecución de los procedimientos de campo.
→	Que la relación con la primera y segunda línea sea de colaboración estructurada, no de distancia defensiva.
→	Que el plan de auditoría responda a la estrategia de la organización, no solo al universo auditable histórico.

⚠ Atención

Contribuir a la mejora no significa ceder independencia. Significa que la independencia se ejerce con inteligencia estratégica, no solo con distancia física del auditado.

La transición práctica: tres frentes simultáneos

El cambio de modelo no ocurre de un año a otro ni por decreto del CAE. Requiere una transformación gradual en tres frentes:

1	El plan de auditoría Revisar si los trabajos están alineados con los riesgos estratégicos actuales. Si el plan del próximo año es prácticamente igual al del año anterior, algo está mal.

2	La comunicación de hallazgos Reformular el informe para que el peso esté en las recomendaciones accionables. La gerencia no necesita un diagnóstico excelente: necesita una hoja de ruta para actuar.

3	La relación con la primera línea Desarrollar briefings de riesgo, talleres de diseño de controles y revisiones de procesos antes de su implementación. No para auditar antes de tiempo, sino para construir capacidad de control donde aún no existe.

El futuro de la función es un falso dilema

Vigilante o facilitador no es una elección entre ética y conveniencia, ni entre independencia y relevancia. Es una elección entre una función que mira hacia atrás y una función que mira hacia adelante, sin perder el rigor que justifica su existencia.

Las organizaciones que sobrevivirán los próximos diez años de volatilidad y disrupción no serán las que tengan mejores informes de auditoría. Serán las que tengan culturas de control integradas, vivas y adaptables. Y esas culturas necesitan un arquitecto.

Las NOGAI le ofrecen al auditor interno ese rol.
La pregunta ya no es si el modelo debe cambiar.

¿Está la función dispuesta a liderar ese cambio
o va a esperar que alguien más lo haga?

Porque en ese segundo escenario, cuando el cambio llegue, puede que la función ya no sea necesaria.

📌 Referencia normativa

Nuevas Normas Globales de Auditoría Interna (NOGAI) — IIA Global, vigentes desde enero de 2025. Dominio III: Gobierno, Riesgo y Control.

📂 Categorías

NOGAI Control Interno Auditoría Interna Resiliencia

Comentarios

ELIANA GARCIA

1 mes hace

Juan Carlos, gracias por su lectura atenta y por el comentario.

La frase en la tabla no pretendía prescribir eso, sino señalar una distorsión que ocurre en la práctica: cuando la auditoría opera solo como vigilante, termina asumiendo de facto un rol que no le pertenece. Era la falla del modelo, no el modelo ideal. Reconocemos que la redacción pudo ser más explícita.

Gracias por contribuir al rigor del debate. Siempre bienvenido.

Me gusta Citar

Juan Carlos Sandoval Flores

1 mes hace

El articulo de las NOGAI y el control interno: el giro que cambia el rol del auditor para siempre, me parece que es una auditoria Ongoing o sobre la marcha. Con relación a la categoría de Vigilante donde se menciona que el control es responsabilidad del Auditor Interno me parece Ilusorio, ya que desde el punto de vista de COSO 2013 y COSO ERM 2017 se menciona que el Control Interno es responsabilidad de la Junta Directiva o Consejo de Administración no del Auditor interno.

Creeré que el autor del artículo no es Contador Público.

Me gusta Citar

Refrescar lista de comentarios