Aunque la palabra “auditoría” nos suene a una sala llena de papeles, gráficos y hojas de cálculo, lo cierto es que este concepto ha cambiado mucho durante los últimos años, sobre todo debido a la presión normativa que recae sobre las empresas. Lo que antes se centraba exclusivamente en comprobar cifras contables o balances ahora se ha convertido en un proceso mucho más amplio que también examina aspectos tan diversos como la ciberseguridad, la sostenibilidad ambiental o la transparencia en los procesos internos. Esta evolución está muy ligada a nuevas regulaciones que obligan a las compañías a revisar áreas que antes ni siquiera formaban parte del radar de los auditores.
La auditoría ya no vive en el Excel. Vive en todas partes.
Hasta hace muy poco, las auditorías se limitaban a certificar que una empresa presentaba bien sus cuentas. Hoy, sin embargo, un informe de auditoría puede analizar desde cómo se protege una base de datos hasta el grado en que la empresa está reduciendo su huella de carbono o previniendo el blanqueo de capitales. Esto ha ocurrido porque las autoridades, tanto en Europa como fuera de ella, están impulsando leyes cada vez más exigentes que afectan a múltiples capas del funcionamiento empresarial.
Y es que una auditoría ya no es solo una cuestión de contabilidad: ahora también implica evaluar si una empresa cumple con los nuevos marcos legales que regulan su actividad en relación con el entorno, las personas y la tecnología. Las directivas europeas están siendo especialmente activas en este sentido, y entre las que están teniendo más repercusión en las auditorías actuales destacan dos: la NIS 2 y la ESG (Environmental, Social and Governance).
Qué es la NIS 2 y por qué preocupa tanto a las empresas.
La NIS 2, o Directiva sobre la seguridad de las redes y sistemas de información, es una regulación que nace en la Unión Europea con el objetivo de mejorar la ciberresiliencia de sectores estratégicos. Lo que hace esta norma es exigir a empresas clave, como las de energía, transporte, salud o servicios digitales, que adopten medidas muy concretas para garantizar la seguridad informática y que respondan de forma adecuada ante ciberincidentes.
Lo interesante es que, desde la publicación de esta norma, las auditorías han tenido que ampliar su enfoque: ya no basta con mirar los libros contables, también hay que examinar cómo se protegen los datos, si existen protocolos ante ataques informáticos y cómo se evalúan los riesgos tecnológicos. Esto ha obligado a las empresas a incorporar expertos en ciberseguridad dentro de los equipos de auditoría y a revisar periódicamente su nivel de protección digital, no como una opción, más bien como una obligación legal.
Además, la NIS 2 introduce elementos que afectan directamente a los consejos de administración, ya que establece responsabilidades claras para los altos cargos. Es decir, si una empresa sufre un ciberataque por no haber tomado las medidas adecuadas, los directivos pueden tener que rendir cuentas personalmente, lo que ha provocado que muchas compañías se tomen la ciberseguridad más en serio y busquen asesoramiento técnico especializado.
Las auditorías ESG y el reto de medir lo que antes no se medía.
Por otro lado, el auge del llamado cumplimiento ESG ha generado un nuevo tipo de auditoría centrada en verificar que las empresas no solo se comportan de forma ética, sino que también son sostenibles y transparentes en su gestión. Aquí hablamos de revisar aspectos medioambientales (como emisiones de CO₂ o consumo energético), sociales (como igualdad salarial o diversidad en el empleo) y de gobernanza (como los sistemas internos de control y toma de decisiones).
Lo complejo de este tipo de auditoría es que muchas de las variables que se analizan no están del todo estandarizadas y, por tanto, requieren metodologías distintas a las que se aplican en una auditoría financiera tradicional. Por ejemplo, medir la huella de carbono de una empresa puede implicar el análisis de todos los eslabones de su cadena de suministro, algo que obliga a mirar más allá de las propias fronteras de la organización.
Este tipo de auditorías también han adquirido una relevancia especial porque ahora son obligatorias para muchas empresas que cotizan en bolsa o que operan en sectores sensibles. Además, hay una presión creciente por parte de inversores, consumidores y medios de comunicación para que las compañías presenten informes ESG completos, rigurosos y auditados, lo que hace que esta dimensión del cumplimiento sea igual de prioritaria que cualquier otra.
Cómo se están adaptando los equipos de auditoría a esta nueva realidad.
Los profesionales que se dedican a la auditoría se han visto obligados a reinventarse en tiempo récord. Ya no basta con dominar la contabilidad y los principios financieros: ahora se requiere una comprensión clara de los sistemas informáticos, del análisis de riesgos, del derecho normativo y de herramientas de control interno. En muchos casos, las firmas de auditoría están integrando equipos multidisciplinares en los que conviven expertos en ingeniería informática, medio ambiente, compliance y derecho internacional.
Este cambio también ha obligado a las empresas auditadas a preparar su documentación de forma distinta. Antes, bastaba con tener las cuentas bien cerradas, pero hoy es necesario contar con informes de sostenibilidad, protocolos de ciberseguridad, políticas internas de igualdad y otros documentos que certifiquen el cumplimiento normativo en áreas que van más allá de lo puramente económico.
Según nos cuentan desde Crowe, muchas organizaciones están pidiendo auditorías integradas que combinen aspectos financieros, tecnológicos y de sostenibilidad, ya que esto les permite tener una visión completa del estado de la empresa y adelantarse a posibles sanciones o riesgos reputacionales. Este enfoque más transversal también permite detectar incoherencias internas, como por ejemplo tener políticas de sostenibilidad que no se aplican en la práctica o contar con sistemas informáticos que no están realmente protegidos frente a ataques.
Lo que se audita dice mucho de lo que importa.
Las auditorías corporativas actúan como un espejo de las preocupaciones sociales y legales de cada época. Si ahora se revisa el nivel de emisiones o la protección de datos, es porque estos temas se han convertido en centrales para los ciudadanos, los gobiernos y los mercados. Las nuevas normativas no hacen otra cosa que traducir estas prioridades sociales en obligaciones legales que las empresas deben cumplir si quieren seguir siendo competitivas y confiables.
Y esto también cambia la relación entre la empresa y su entorno. Una organización que se somete a auditorías ESG o a controles de ciberseguridad no solo está cumpliendo con una exigencia legal, también está demostrando responsabilidad ante sus empleados, sus clientes y sus proveedores.
Del papel a los algoritmos. Nuevas herramientas para una auditoría más inteligente.
Otro efecto directo de estas nuevas exigencias normativas es el impulso que han dado a la digitalización del propio proceso de auditoría. Las herramientas de análisis de datos, los programas de gestión de riesgos o los sistemas de verificación documental automatizada se han convertido en elementos esenciales para poder auditar de forma eficiente y rigurosa en un entorno cada vez más complejo.
En el caso de la NIS 2, por ejemplo, muchas auditorías ya incluyen simulaciones de ataques informáticos, análisis de tráfico de red o evaluaciones de la arquitectura de los sistemas. En el ámbito ESG, se utilizan plataformas para recopilar y comparar datos sobre sostenibilidad, diversidad o ética corporativa. Estas tecnologías no sustituyen al auditor, pero le permiten trabajar con mayor profundidad, detectar patrones y anticiparse a posibles desviaciones.
También se está normalizando el uso de inteligencia artificial para revisar grandes volúmenes de información, lo que facilita detectar operaciones irregulares, indicadores de fraude o incumplimientos normativos de forma más rápida y fiable que con una revisión manual. Todo esto está elevando el nivel de exigencia y profesionalización en las auditorías corporativas, que ya no se entienden como una obligación incómoda, sino como una herramienta de mejora interna y posicionamiento estratégico.
Las consecuencias de no adaptarse: multas, reputación y pérdida de confianza.
Quedarse al margen de esta nueva realidad regulatoria tiene consecuencias muy claras. Las empresas que no cumplen con la NIS 2 pueden enfrentarse a sanciones económicas importantes, además de verse envueltas en crisis reputacionales si sufren un ciberataque y no estaban preparadas para afrontarlo. De forma similar, las organizaciones que presentan informes ESG poco rigurosos o manipulados pueden perder la confianza de inversores, clientes y empleados, con consecuencias que van más allá de lo económico.
Además, en algunos sectores ya no es posible operar sin cumplir estas nuevas normativas. Hay licitaciones públicas que exigen a las empresas presentar certificados de cumplimiento ESG, auditorías de ciberseguridad o políticas internas que respalden su buena gobernanza. Esto convierte a las auditorías en un requisito previo para seguir haciendo negocios y competir en igualdad de condiciones.
Y no se trata solo de cumplir por cumplir. Cada vez es más frecuente que las empresas utilicen los resultados de las auditorías para rediseñar procesos internos, corregir debilidades estructurales o lanzar iniciativas que mejoren su desempeño general. En este aspecto, la auditoría deja de ser un juicio externo para convertirse en una oportunidad de aprendizaje continuo.
