Tras la emisión de la edición 2024 de las Normas Globales de Auditoría Interna, el Instituto de Auditores Internos (IIA, por sus siglas en inglés) incorporó a su Marco Internacional para la Práctica Profesional (IPPF, por sus siglas en inglés) nuevos requisitos temáticos de obligatorio cumplimiento. Con esta actualización, el IIA busca reforzar la consistencia y calidad de la auditoría interna frente a riesgos cada vez más complejos, entre ellos la ciberseguridad, la gestión de terceros y el comportamiento organizacional.

1. ¿Qué es el IPPF?

El IPPF es el marco conceptual del IIA que compila las normas, requisitos y guías aplicables a la práctica profesional de la auditoría interna. Está compuesto por los siguientes elementos:

Normas Globales de Auditoría Interna: constituyen un componente obligatorio del IPPF que orienta, a nivel mundial, la práctica profesional de la auditoría interna. Basadas en principios, estas normas establecen el marco de referencia para evaluar la conformidad de la función de auditoría interna y fortalecer su calidad.

Requisitos temáticos: constituyen un componente obligatorio del IPPF que establece requerimientos específicos para la auditoría interna en áreas concretas de riesgo. Su propósito es promover mayor consistencia, profundidad y calidad en el desarrollo de la actividad de auditoría interna sobre esos temas.

Guías globales: proporcionan orientación, recomendaciones y mejores prácticas para apoyar la prestación de servicios de auditoría interna y promover una aplicación consistente de las Normas Globales de Auditoría Interna.

2. Edición 2024 de las Normas Globales de Auditoría Interna – ¿Qué cambió?

En enero de 2024, el IIA publicó una nueva versión de sus Normas Globales de Auditoría Interna, vigentes a nivel internacional desde el 9 de enero de 2025. Esta actualización reorganizó el marco normativo de la auditoría interna al integrar en un solo documento elementos que antes estaban dispersos en el IPPF, entre ellos, misión, definición, principios fundamentales, el Código de Ética y las antiguas Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna. Entre los principales cambios se destacan:

Fuente: tomado de IIA y traducido de forma libre.

3. Requisitos temáticos emitidos recientemente por el IIA

Ciberseguridad

Emitido el 5 de febrero de 2025 y vigente a nivel internacional a partir del 5 de febrero de 2026, este requisito temático fue incorporado al IPPF con el fin de establecer una base mínima obligatoria para los servicios de auditoría interna en materia de ciberseguridad, fortaleciendo su consistencia, calidad y confiabilidad.

Su propósito es ofrecer a la función de auditoría interna un enfoque coherente y exhaustivo para evaluar el diseño y la implementación de los procesos de gobernanza, gestión de riesgos y control relacionados con la ciberseguridad.

Para ello, exige que la auditoría interna evalúe tres frentes:

• Gobernanza: la existencia de una estrategia y objetivos de ciberseguridad, políticas actualizadas, roles y responsabilidades claramente definidos, personal competente y participación de las áreas clave en la gestión de amenazas.
• Gestión de riesgos: la identificación, evaluación, mitigación y monitoreo de los riesgos de ciberseguridad de manera transversal, con responsables definidos, mecanismos de escalamiento, comunicación a nivel organizacional y capacidades de respuesta y recuperación ante incidentes.
• Controles de ciberseguridad: la implementación y evaluación de controles para proteger la información, la gestión del talento especializado, el monitoreo continuo de amenazas, la integración de la ciberseguridad en el ciclo de vida de la tecnología y los controles técnicos sobre accesos, redes, sistemas y comunicaciones.

Terceras partes

Emitido el 15 de septiembre de 2025 y con vigencia internacional a partir del 15 de septiembre de 2026, este requisito temático se incorporó al IPPF con el propósito de establecer una base mínima obligatoria para los servicios de auditoría interna relacionados con la gestión de terceras partes. Para estos efectos, una tercera parte es entendida como la persona, grupo o entidad externa con la que la organización mantiene una relación para obtener productos o servicios mediante un contrato, acuerdo u otro mecanismo. Su propósito es ofrecer un enfoque consistente y exhaustivo para evaluar el diseño y la implementación de los procesos de gobernanza, gestión de riesgos y control relacionados con las terceras partes.

En este sentido, exige que la auditoría interna evalúe tres componentes:

• Gobernanza: definición de criterios para la selección y contratación de terceras partes, políticas para gestionar su ciclo de vida, asignación clara de responsables y mecanismos de comunicación con las partes interesadas, en función del riesgo asociado a cada relación.
• Gestión de riesgos: identificación, evaluación, priorización y tratamiento de los riesgos asociados a terceras partes, incluidos los subcontratistas, así como los mecanismos para gestionar incumplimientos y definir la continuidad o terminación de la relación.
• Controles: aplicación de debida diligencia en la selección, contratación y supervisión de terceras partes; formalización y administración de los contratos; mantenimiento de registros actualizados; monitoreo continuo del cumplimiento; implementación de acciones correctivas; y procesos de renovación y terminación segura de la relación.

Comportamiento organizacional

Emitido el 15 de diciembre de 2025 y con vigencia internacional a partir del 15 de diciembre de 2026, este requisito temático se incorporó al IPPF para establecer una base mínima y un enfoque consistente para los servicios de auditoría interna relacionados con el comportamiento organizacional.

Su emisión responde a la necesidad de abordar la dimensión humana del riesgo dentro de las organizaciones, entendida como las conductas observables, las decisiones y las dinámicas interpersonales de individuos y grupos. De acuerdo con el IIA, los comportamientos desalineados pueden impedir el logro de los objetivos estratégicos, afectar las expectativas de las partes interesadas y comprometer el cumplimiento de exigencias regulatorias.

En este contexto, el mencionado requisito busca ofrecer a la auditoría interna un enfoque claro para evaluar el diseño y la efectividad de los procesos de control relacionados con el comportamiento organizacional.

Puntualmente, exige que la auditoría interna evalúe tres frentes:

• Gobernanza: definición de responsabilidades sobre expectativas de comportamiento, supervisión de su alineación con los objetivos y existencia de políticas que permitan gestionar los riesgos asociados.
• Gestión de riesgos: identificación de comportamientos críticos, monitoreo continuo, análisis de brechas entre el comportamiento esperado y el observado, y el seguimiento de las acciones necesarias hasta su corrección.
• Controles: existencia de mecanismos para identificar y mitigar patrones de comportamiento inadecuados, comunicar expectativas, habilitar canales de denuncia, alinear incentivos, gestionar desviaciones, fortalecer la formación del personal y asegurar que los procesos de selección sean coherentes con la cultura organizacional.

4. Aplicación en Colombia

En Colombia, el IPPF del IIA no es de obligatorio cumplimiento. Según indicó el CTCP a través de su Concepto 742 de 2016, cuando un contador público realiza profesionalmente actividades distintas a la Revisoría Fiscal, debe aplicar las Normas de Aseguramiento de la Información (NAI) emitidas por el Consejo de Normas Internacionales de Aseguramiento (IAASB, por sus siglas en inglés) adoptadas en el DUR 2420 de 2015:

• Normas Internacionales de Auditoría (NIA – ISA).
• Normas Internacionales de Encargos Revisión (NIER – ISRE).
• Normas Internacionales de Servicios Relacionados (NISR – ISRS).
• Normas Internacionales de Encargos de Aseguramiento (NIEA – ISAE).

No obstante, el hecho de que las normas del IIA no sean obligatorias en el país no les resta relevancia. Por el contrario, constituyen un referente técnico de alto valor para fortalecer la calidad, consistencia y profundidad de la auditoría interna, especialmente en asuntos que hoy demandan respuestas más robustas por parte de las organizaciones. En ese sentido, su adopción voluntaria puede enriquecer la práctica profesional, complementar el marco normativo colombiano y contribuir a que la función de auditoría interna responda de mejor manera a riesgos cada vez más complejos y cambiantes.

Redacción INCP