Control interno: dejar de vigilar para empezar a transformar

Si la auditoría interna solo sirve para detectar lo que ya salió mal, entonces llega tarde.

Durante años, eso bastó. El auditor aparecía, revisaba, encontraba fallas y las documentaba. La gerencia recibía el informe, respondía observaciones y el ciclo se repetía. El valor de la función parecía medirse por el número de hallazgos, por la severidad de las observaciones y, a veces, hasta por el grosor del informe final.

Pero ese modelo empezó a quedarse sin aire.

Las Nuevas Normas Globales de Auditoría Interna (NOGAI) del IIA, vigentes desde enero de 2025, no eliminan la vigilancia, pero sí dejan claro que ya no es suficiente. La función ya no puede limitarse a mirar por el retrovisor. Tiene que ayudar a la organización a anticipar, adaptarse y resistir.

Ese es el verdadero cambio.

El control interno ya no debería entenderse solo como un mecanismo para atrapar errores. Debería entenderse como una capacidad para construir resiliencia organizacional. Y eso cambia también el papel del auditor interno: deja de ser únicamente el vigilante que espera la falla y pasa a ser el profesional que ayuda a que esa falla no ocurra.

La pregunta no es si ese cambio incomoda. La pregunta es si la función está lista para asumirlo.

Cuando la auditoría solo vigila

El modelo tradicional tiene lógica. Si nadie vigila, los errores crecen. Y si los errores crecen, la organización se debilita. Hasta ahí, nada que discutir.

El problema aparece cuando la vigilancia se vuelve el único lenguaje de la función.

Porque una auditoría que solo detecta y reporta termina siendo reactiva. Siempre llega después. Su valor es útil, sí, pero forense: explica lo que falló cuando el daño ya empezó.

Y ahí comienzan también sus efectos secundarios.

Primero, instala una cultura de defensa. Cuando los equipos escuchan “auditoría” y piensan “sanción”, no reaccionan corrigiendo; reaccionan cubriéndose. Se preparan para justificar, no para mejorar.

Segundo, la función empieza a perder conexión con la estrategia. El auditor persigue desvíos operativos, pero puede dejar intactos los riesgos que realmente amenazan el negocio: los que no aparecen en el checklist histórico ni en el manual de procedimiento.

Tercero, la propia auditoría se devalúa. Porque una función que solo llega a documentar lo que ya se rompió puede seguir siendo técnicamente correcta, pero deja de ser percibida como indispensable.

Dicho de otra forma: el auditor que solo aparece cuando algo falla corre el riesgo de quedarse fuera de la conversación donde se decide cómo evitar la próxima falla.

El giro incómodo: de vigilante a facilitador

Aquí es donde muchos se incomodan. Porque hablar de una auditoría “facilitadora” suele despertar sospechas.

Algunos escuchan esa palabra y piensan en una auditoría complaciente, demasiado cercana a la gerencia o confundida con consultoría. Pero no se trata de eso.

Facilitar no es suavizar. Facilitar no es ceder. Facilitar no es perder independencia.

Facilitar significa agregar valor antes, durante y después del riesgo.

Antes, ayudando a cuestionar si los controles fueron bien diseñados.
Durante, evaluando si realmente operan como deberían.
Después, analizando por qué fallaron y cómo evitar que vuelvan a fallar.

Eso no reduce el rigor. Lo amplía.

Porque el facilitador no se limita a decir: “este control falló”. Va más allá. Pregunta por qué falló, qué debilidad estructural lo explica y qué condiciones siguen presentes para que vuelva a fallar mañana.

El vigilante documenta la falla.
El facilitador revela la fragilidad.

Y ahí está la diferencia.

Dos formas de entender la función

En el fondo, este debate no es metodológico. Es cultural.

El modelo vigilante entiende la auditoría como una función que detecta errores.
El modelo facilitador la entiende como una función que fortalece la capacidad de control de la organización.

Uno mira hacia atrás.
El otro ayuda a mirar hacia adelante.

Uno entrega un informe.
El otro busca que algo mejore de verdad.

Uno genera distancia defensiva.
El otro promueve conversación útil, sin perder objetividad.

Uno llega cuando el daño ya ocurrió.
El otro intenta advertir antes.

La diferencia parece sutil en el papel, pero en la práctica cambia por completo la percepción del valor de la auditoría interna.

Lo que realmente exigen las NOGAI

Aquí conviene ser claros: este cambio no es una moda de lenguaje ni una preferencia de estilo. Es una consecuencia lógica del nuevo marco profesional.

Las NOGAI empujan a la auditoría interna a evaluar y contribuir a la mejora del control interno. Y esa frase, que puede parecer pequeña, cambia mucho.

Porque ya no basta con revisar si el control existe o si está documentado. Hace falta preguntarse si ese control responde al riesgo correcto. Si sirve. Si está diseñado con criterio. Si sigue siendo útil en un negocio que cambió, en un proceso nuevo o en una operación más compleja.

También cambia la manera de medir el trabajo. Ya no alcanza con ejecutar pruebas y redactar hallazgos técnicamente impecables. La calidad de una recomendación, su viabilidad y su capacidad real de implementación pasan a importar tanto como el trabajo de campo.

Y, sobre todo, cambia la relación con la primera y segunda línea. No para diluir roles, sino para construir una colaboración más madura, menos defensiva y más orientada a fortalecer el sistema de control.

La independencia no desaparece en ese proceso.

Se vuelve más exigente.

Porque ya no se trata solo de mantener distancia, sino de ejercer criterio profesional sin dejar de ser relevante.

La verdadera prueba: cómo se ve esto en la práctica

Imagina una organización que rediseña un proceso crítico, digitaliza aprobaciones y acelera operaciones. Todo parece eficiente. Todo parece moderno. Todo parece bajo control.

Seis meses después aparecen errores, reprocesos, excepciones y reclamos.

El enfoque vigilante llega, revisa, identifica que faltaron controles o que algunos no operaron bien, y lo documenta. Su trabajo es correcto, pero tardío.

El enfoque facilitador habría aparecido antes. Habría formulado preguntas incómodas durante el rediseño. Habría advertido vacíos de control, concentración de funciones, riesgos de acceso o ausencia de monitoreo. Habría contribuido a fortalecer el proceso antes de que el problema se materializara.

Esa diferencia no es cosmética.

Es la diferencia entre auditar consecuencias y ayudar a prevenirlas.

La transición no ocurre sola

Ninguna función cambia de modelo por declararlo en una presentación del comité de auditoría. Tampoco por actualizar el manual. El cambio exige decisiones concretas.

La primera está en el plan de auditoría. Si el plan del próximo año luce casi igual al del anterior, probablemente la función sigue anclada al universo auditable histórico y no a los riesgos estratégicos del presente.

La segunda está en la forma de comunicar. Un informe extenso puede estar muy bien redactado y aun así generar poco movimiento. La gerencia no necesita solo una descripción precisa del problema; necesita recomendaciones útiles, accionables y priorizadas.

La tercera está en la relación con la primera línea. No para invadir la gestión, sino para interactuar con más inteligencia. Briefings de riesgo, revisiones tempranas de diseño de controles y conversaciones preventivas pueden generar más valor que una observación impecable emitida cuando ya todo salió mal.

El falso dilema

Presentar este debate como una elección entre “vigilante” y “facilitador” puede llevar a una trampa.

No se trata de escoger entre independencia y cercanía.
No se trata de escoger entre ética y relevancia.
No se trata de escoger entre control y colaboración.

Se trata de decidir si la auditoría interna quiere seguir siendo una función que explica el pasado o una función que ayuda a preparar a la organización para lo que viene.

Porque una auditoría que solo vigila puede seguir siendo correcta.
Pero una auditoría que además facilita puede volverse verdaderamente estratégica.

Y en un entorno de volatilidad, transformación digital, presión regulatoria y disrupción permanente, esa diferencia importa más que nunca.

Las organizaciones no necesitarán únicamente mejores informes. Necesitarán mejores capacidades de control. Más vivas. Más integradas. Más adaptables.

Y esas capacidades no se construyen solo con un vigilante.

Se construyen con una función que también sabe actuar como arquitecta.

Jorge Gutiérrez Guillen
JGutierrez Auditores Consultores

#AuditoríaInterna#ControlInterno#GestiónDeRiesgos#GobiernoCorporativo#ResilienciaOrganizacional

Share This Post
Jorge Gutiérrez Guillén

With over 15 years of experience in auditing and financial consulting, I serve as the founder and managing partner of JGutierrez Auditores Consultores S.A.—a boutique firm dedicated to delivering exceptional, value-driven solutions that consistently exceed industry standards. Our mission is to promote transparency, efficiency, and sustainability by combining international best practices with in-depth knowledge of Costa Rican and regional regulations. We operate under the guiding principles of integrity, innovation, and excellence. Our Expertise At JGutierrez Auditores Consultores, we provide comprehensive audit and consulting services tailored to meet the evolving needs of today’s businesses. Our core areas of specialization include: Financial Audits: Independent evaluations aligned with international standards, ensuring reliability and accuracy in financial reporting. Regulatory Compliance: Expert navigation of complex tax and financial frameworks to ensure full adherence and strategic advantage. Internal Controls: Strengthening governance structures to mitigate risk and boost operational effectiveness. Fraud Prevention: Implementing forward-looking strategies to detect, prevent, and respond to financial irregularities. Process Optimization: Streamlining workflows and improving resource allocation for enhanced productivity and long-term growth. Environmental & Financial Sustainability: Supporting compliance with emerging ESG regulations to reinforce resilience. Information Security: Protecting critical systems and data through robust cybersecurity and risk management measures. Value-Centered Consulting Beyond our audit services, we offer strategic consulting designed to help organizations innovate and compete in an increasingly dynamic environment: Information Systems & Operational Management: Integrating technology and operations to boost performance and scalability. ISO Standards Compliance: Providing expert guidance to achieve and maintain globally recognized certifications. Transfer Pricing Studies: Ensuring compliance with international tax obligations while enhancing cross-border efficiency. Industrial Cost Analysis: Delivering deep insights into cost structures to support sound decision-making and margin improvement. Why Choose JGutierrez Our strength lies in a collaborative, multidisciplinary team that brings together seasoned professionals and next-generation talent, equipped with expertise in emerging technologies. This synergy enables us to deliver innovative, high-impact solutions that support growth, reinforce resilience, and unlock strategic opportunities. As a trusted advisor, I am committed to building lasting partnerships and helping organizations navigate the challenges of today while preparing for the opportunities of tomorrow. Jorge Gutiérrez Guillén Certified Public Accountant | Business Consultant

Related Articles

Traduce »