¿La auditoría basada en riesgos realmente está funcionando?

Muchas organizaciones aseguran que ya trabajan con auditoría basada en riesgos. El problema es que, en la práctica, gran parte de las áreas de auditoría todavía operan desde un enfoque tradicional: revisan controles, validan cumplimiento y reaccionan cuando el incidente ya ocurrió. La diferencia parece pequeña, pero cambia completamente el rol de la auditoría dentro de una empresa.

En este episodio del podcast de Pirani, conversamos con Emmanuel Quiñones sobre fraude interno, auditoría basada en riesgos, inteligencia artificial, lavado de dinero y los desafíos que enfrentan hoy las organizaciones para pasar de una auditoría reactiva a una más estratégica.

Con más de 500 auditorías ejecutadas en sectores como retail, banca y oil & gas, Emmanuel comparte experiencias reales sobre cómo evolucionan los riesgos dentro de las empresas y por qué muchas veces el mayor problema no está fuera de la organización, sino dentro de ella.

Cuando la auditoría sigue operando desde el cumplimiento

Uno de los puntos más interesantes de la conversación es cómo muchas empresas creen que ya evolucionaron hacia modelos basados en riesgos, cuando en realidad continúan trabajando desde la lógica del cumplimiento.

En esos escenarios, la auditoría se enfoca en validar si un procedimiento se ejecutó correctamente, si existe evidencia documental o si un control está implementado. Pero pocas veces se cuestiona si ese control realmente protege los objetivos estratégicos del negocio o si el riesgo más importante está ocurriendo en otro lugar. Esto provoca que muchas áreas de auditoría terminen revisando consecuencias y no causas.

Además, en organizaciones con estructuras menos maduras, auditoría suele absorber funciones que originalmente pertenecerían a riesgos, compliance o control interno. El resultado es un equipo saturado, con dificultades para mantener independencia y objetividad.

El fraude interno sigue siendo uno de los mayores riesgos

Durante el episodio, Emmanuel menciona un patrón que se repite constantemente en LATAM: el fraude interno. No necesariamente porque las organizaciones estén rodeadas de personas malintencionadas, sino porque existen oportunidades, accesos y debilidades de control que terminan facilitando conductas irregulares.

• Desde manipulación de proveedores hasta uso indebido de descuentos, conflictos de interés o alteraciones operativas, muchos fraudes nacen en procesos cotidianos donde el colaborador conoce perfectamente cómo funciona el sistema.

Esto cambia la conversación sobre gestión de riesgos. El problema ya no es únicamente evitar amenazas externas, sino entender cómo las mismas dinámicas internas pueden abrir espacios para el fraude.

La independencia del auditor sigue siendo un reto crítico

Otro tema central del episodio es la objetividad del auditor. En muchas organizaciones, especialmente en Latinoamérica, auditoría participa activamente en la construcción de políticas, controles y procesos. El problema aparece después, cuando el mismo auditor debe evaluar aquello que ayudó a diseñar.

Ahí comienza uno de los mayores riesgos de gobernanza: perder independencia. La conversación deja claro que una auditoría efectiva no depende únicamente de metodología o herramientas. También requiere estructuras organizacionales donde existan límites claros entre supervisar, construir y evaluar. Sin esa separación, la auditoría corre el riesgo de convertirse en juez y parte.

Inteligencia artificial y el futuro de la auditoría

La inteligencia artificial también ocupa un lugar importante dentro del episodio. Hoy muchas organizaciones siguen trabajando con muestreo tradicional para revisar operaciones, incluso cuando la tecnología ya permite analizar volúmenes masivos de información en tiempo real.

Esto abre una discusión importante: si la IA puede revisar el 100% de las transacciones, detectar anomalías y generar alertas automáticamente, el rol del auditor empieza a cambiar. La auditoría deja de enfocarse únicamente en revisar evidencia histórica y empieza a moverse hacia capacidades más predictivas, donde el objetivo es anticipar comportamientos, identificar desviaciones tempranas y comprender patrones de riesgo antes de que se conviertan en incidentes. Más que reemplazar al auditor, la IA está obligando a redefinir qué significa realmente auditar.

Los riesgos que muchas empresas todavía evitan auditar

Uno de los temas más sensibles de la conversación aparece alrededor del lavado de dinero y el financiamiento al terrorismo. Según Emmanuel, todavía existen organizaciones que subestiman este tipo de riesgos o consideran que solo afectan a sectores altamente regulados. Sin embargo, cada vez más industrias están expuestas a obligaciones relacionadas con debida diligencia, monitoreo y conocimiento de terceros.

El episodio incluso aborda casos conocidos en México que muestran cómo una relación comercial aparentemente normal puede convertirse en un problema reputacional y regulatorio enorme cuando no existen controles adecuados. La conclusión es clara: muchos riesgos no explotan porque sean invisibles, sino porque las organizaciones prefieren no mirar demasiado cerca.

La auditoría basada en riesgos todavía está evolucionando

La conversación con Emmanuel Quiñones deja algo claro: la auditoría basada en riesgos todavía está en construcción en muchas organizaciones de LATAM. Aunque el concepto ya existe desde hace años, llevarlo a la práctica implica cambiar la forma en que se toman decisiones, cómo se priorizan recursos y qué espera realmente el negocio del área de auditoría.

Ya no se trata únicamente de revisar controles o validar cumplimiento. El reto ahora es entender el negocio, anticipar escenarios y conectar la auditoría con los riesgos que realmente pueden afectar la estrategia de la organización. Si quieres profundizar en estos temas y conocer casos reales sobre fraude, auditoría, compliance e inteligencia artificial aplicada a riesgos, puedes ver el episodio completo del podcast de Pirani con Emmanuel Quiñones.