Auditoría interna y control interno: cómo detectar riesgos y asegurar el compliance
Hugo Valenzuela
Auditoría interna y control interno: cómo detectar riesgos y asegurar el compliance
En un entorno regulatorio y operativo cada vez más complejo, la auditoría interna y el control interno pasan de ser procesos administrativos a convertirse en palancas estratégicas. No solo ayudan a detectar errores o fraudes: permiten anticipar riesgos, proteger la reputación y garantizar que las políticas de compliance realmente funcionen en la práctica.
¿Por qué son críticos?
En un entorno donde los riesgos operativos, financieros y reputacionales se entrelazan con crecientes exigencias regulatorias, la auditoría interna y el control interno son hoy herramientas esenciales para la sostenibilidad organizacional. Su función va mucho más allá de la revisión de procesos: permiten identificar vulnerabilidades antes de que se transformen en incidentes, asegurar el cumplimiento normativo y fortalecer la confianza de los stakeholders. En síntesis, son el punto de equilibrio entre la gestión del riesgo y la creación de valor.
Son críticos porque proporcionan la estructura necesaria para alcanzar los objetivos estratégicos de manera controlada. El Marco COSO, ampliamente adoptado en el mundo, ofrece una base integral para evaluar y mejorar los sistemas de control interno. Este modelo se sustenta en cinco componentes, a saber: ambiente de control, evaluación de riesgos, actividades de control, información y comunicación, y monitoreo, que en conjunto, permiten establecer una “seguridad razonable” sobre la eficacia operativa, la fiabilidad de los reportes financieros y el cumplimiento de las leyes y regulaciones (COSO, 2013). En la práctica, aplicar el marco COSO significa pasar de controles reactivos a un enfoque proactivo de gestión del riesgo.
La auditoría interna aporta una mirada independiente y objetiva: su rol no es solo verificar cumplimiento sino evaluar la eficacia de los controles, proponer mejoras y asegurar que la gestión responda a los riesgos reales del negocio (The IIA, 2020). La actualización del modelo de "Three Lines" o “Tres líneas” enfatiza justamente la colaboración entre la operación, las funciones de control y la auditoría para un gobierno más robusto (The IIA, 2020). Más precisamente es un marco de gestión de riesgos que divide las funciones de una organización en tres grupos: la primera línea son los que poseen y gestionan los riesgos (operaciones), la segunda línea son los que supervisan los riesgos (gestión de riesgos, cumplimiento), y la tercera línea son los auditores internos, quienes proporcionan aseguramiento independiente sobre la efectividad de las dos primeras. Este modelo tiene como objetivo mejorar la gobernanza y el control interno al asignar responsabilidades claras para la gestión de riesgos.
Evidencia y hallazgos prácticos
Investigaciones en Chile muestran que la efectividad de las unidades de auditoría interna depende tanto de su capacidad técnica como del apoyo institucional y de recursos. Estudios sobre unidades públicas señalan brechas de dotación y necesidad de formación para implementar estándares internacionales de aseguramiento (Zavala González, 2024; CAIGG, 2023). En palabras más simples: una auditoría interna sin respaldo ni presupuesto difícilmente cumplirá su objetivo. (Zavala González, 2024; CAIGG, 2023). Esto generalmente choca con un habitus e intereses de la organización, sea desde los tomadores de decisiones, los equipos o los dueños/directores, en el que considerar muy costoso algo, termina por impregnar a la organización de cierta apatía respecto a los problemas que puede identificar una auditoría o sistema que esté continuamente verificando un proceso. A la postre, esta visión simplemente terminará costando el doble a la empresa.
A escala internacional, los llamados a reforzar la función de auditoría interna han aumentado tras crisis corporativas recientes: por ejemplo, en el Reino Unido se recomendó adoptar códigos más exigentes para la auditoría interna tras fallos corporativos que expusieron debilidades de control (Reuters, 2024). Estas lecciones son relevantes para el sector privado y público chileno: la ausencia de control interno robusto es un riesgo sistémico.
Qué debe hacer una empresa hoy (checklist práctico)
- Mapear riesgos reales y dinámicos: no te quedes con listas estáticas; actualiza la matriz de riesgo considerando ciberseguridad, fraude, lavado de activos, ESG y riesgos de terceros.
- Alinear control interno con COSO: estructura políticas, controles y pruebas de operación bajo principios comprobables. (COSO, 2013).
- Fortalecer la auditoría interna: independencia, recursos y capacitación (MIPP/PAMC cuando aplique) son esenciales; asegúrate de que la unidad tenga acceso directo al directorio o comité de auditoría. (Zavala González, 2024).
- Integrar tecnología: automatiza monitoreo, red flags y reconciliaciones para transformar datos en alertas accionables. No consideres que la tecnología es un gasto innecesario o un gasto, las directrices institucionales deben permear a la organización en la adopción y adaptación de tecnologías.
- Ejecutar pruebas y simulacros: los simulacros de incidentes y las pruebas de penetración (para riesgos digitales) permiten validar controles bajo presión.
- Cerrar el ciclo: medir la implementación de recomendaciones, no solo emitir informes; exige responsables, plazos y evidencia de cierre.
Debemos considerar que una auditoría interna efectiva reduce tiempos de respuesta a hallazgos, disminuye la exposición a sanciones regulatorias y mejora la confianza de inversores y clientes, así como también la efectividad de adoptar procesos continuos de auditoría o control, permiten segmentar el problema en pequeñas partes, haciendo que la auditoría general sea expedita y con mayor certeza. Además, actúa como catalizadora de cultura de cumplimiento: cuando las recomendaciones se implementan, la organización aprende y mejora sus procesos.
Auditoría interna y control interno no son trámites: son mecanismos de resiliencia. Invertir en su independencia, dotación y modernización, alineados a marcos como COSO y al modelo de Tres línea, es invertir en continuidad operativa y en la protección del valor intangible más sensible: la reputación. En Chile, los estudios recientes y las recomendaciones internacionales convergen en una misma idea: quien adelante la mejora de sus controles ganará en previsibilidad y confianza (COSO, 2013; The IIA, 2020; Zavala González, 2024; CAIGG, 2023).