¿La IA reemplazará a los auditores de TI? La garantía en la era de la automatización

63%. Si eres auditor de Tecnología de la Información (TI) y lees esto, los números principales no te sorprenderán: una exposición a la IA del 63% y un riesgo de automatización del 40%. La exposición es alta porque la mayor parte de lo que haces — examinar controles, muestrear transacciones, probar políticas de acceso, revisar registros de cambios — es trabajo digital que la IA puede abordar. El riesgo es menor porque la parte más importante de tu trabajo es el juicio profesional bajo incertidumbre, y ese juicio tiene peso regulatorio que las organizaciones no pueden delegar a una máquina.

Esta es una de las historias de transición más interesantes en los servicios profesionales. La auditoría de TI ha sido una carrera relativamente estable durante dos décadas. Ahora está siendo reconfigurada — no eliminada — por la IA de maneras que crearán ganadores y perdedores dentro de las mismas firmas. Los auditores que entiendan qué está cambiando ganarán más y trabajarán en compromisos más interesantes. Los que no lo hagan se encontrarán haciendo el trabajo que la IA está automatizando rápidamente, y ese trabajo es exactamente el que los clientes cada vez menos quieren pagar.

Este artículo analiza qué está sucediendo con la auditoría de TI en 2025, dónde ayuda la IA, dónde no puede ayudar y cómo el rol está evolucionando desde la garantía basada en muestreos hacia la verificación continua y rica en evidencia.

Lo que los Números Significan para la Carrera de un Auditor de TI

La puntuación de exposición del 63% refleja cuánto del inventario de tareas de un auditor de TI se superpone con las capacidades de los sistemas de IA actuales. Revisión de documentos, pruebas de controles, selección de muestras, recopilación de evidencia, documentación de papeles de trabajo, mapeo regulatorio — todos tienen herramientas de IA capaces de realizar porciones significativas del trabajo.

El 40% de riesgo de automatización es menor por tres razones específicas de la profesión de auditoría. La responsabilidad regulatoria significa que las opiniones de auditoría son firmadas por personas nombradas que llevan responsabilidad profesional bajo las normas del Instituto Americano de Contadores Públicos Certificados (AICPA), la Junta de Supervisión de la Contabilidad de Empresas Cotizadas (PCAOB) y el Instituto de Auditores Internos (IIA). Las empresas no pueden tener a la IA firmar una opinión de auditoría, y el humano en el proceso es, por tanto, obligatorio según los estándares profesionales. El escepticismo profesional es la doctrina de que los auditores deben abordar la evidencia con la duda apropiada. Los sistemas de IA son sistemáticamente deficientes en el escepticismo apropiado — tienden a aceptar lo que se les dice. El juicio orientado al cliente es la parte del trabajo que implica explicar hallazgos a los ejecutivos, negociar cronogramas de remediación y gestionar la dinámica política de los informes de auditoría. La IA no puede hacer este trabajo porque no puede leer la sala. [Afirmación]

Entonces, el 63% de exposición y el 40% de riesgo juntos describen un rol que está siendo sustancialmente reconfigurado: gran parte del hacer está siendo absorbida por la IA, pero el decidir sigue siendo humano.

Lo que la IA Está Haciendo en la Auditoría de TI Hoy

Seamos específicos sobre dónde aparece la IA productivamente en un compromiso de auditoría moderno.

Recopilación de evidencia. Conectarse a los sistemas del cliente y extraer listas de usuarios, registros de cambios, exportaciones de configuraciones y muestras de transacciones está siendo cada vez más automatizado. Herramientas como Galvanize HighBond, AuditBoard y Workiva han integrado solicitudes de evidencia asistidas por IA que producen extracciones más completas que las que los auditores solían recopilar manualmente.

Pruebas de controles. Las pruebas rutinarias de diseño y efectividad operativa — si el flujo de trabajo de aprovisionamiento de acceso funciona como está documentado, si las cuentas privilegiadas están sujetas a revisión trimestral, si los cambios de configuración se rastrean a través de ticketing — están siendo automatizadas cada vez más, con IA ejecutando la lógica de prueba contra la evidencia extraída y señalando anomalías para revisión del auditor.

Muestreo. La selección de muestras estadísticas solía ser una actividad tediosa que involucraba estratificación, cálculo del tamaño de la muestra y generación de números aleatorios. La IA lo maneja ahora en segundos, con documentación adecuada para los papeles de trabajo.

Redacción de documentación. Escribir las descripciones narrativas de controles, descripciones de sistemas para informes de Controles de Sistemas y Organizaciones (SOC) y redacciones de hallazgos para comentarios de cartas de gestión. La IA maneja el 60% de este trabajo de redacción en equipos de auditoría bien equipados. [Estimación]

Mapeo regulatorio. Traducir entre marcos de control — Marco de Ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST), ISO 27001, Controles del Centro para la Seguridad de Internet (CIS), Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA), Sección 404 de Sarbanes-Oxley — es un trabajo plantilizable que la IA realiza con competencia. El auditor verifica los mapeos en lugar de construirlos desde cero.

Detección de anomalías en poblaciones de transacciones. Identificar asientos de diario inusuales, patrones de acceso sospechosos o solicitudes de cambio con indicadores de riesgo elevado. Las herramientas de IA manejan el cribado inicial, presentando los elementos que merecen atención del auditor.

El Índice Económico de Anthropic y encuestas recientes de firmas de servicios profesionales muestran que la adopción de IA relacionada con la auditoría crece rápidamente. Aproximadamente el 58% de los auditores de TI en las firmas de contabilidad más grandes reportan uso regular de IA, frente al 23% de hace dos años. [Hecho]

Lo que la IA No Puede Hacer en la Auditoría de TI

Ahora las partes que resisten la automatización:

Juicio sobre materialidad. Si una deficiencia de control alcanza el nivel de deficiencia significativa o debilidad material es una decisión de juicio que depende de la empresa específica, el control específico, el impacto específico en los estados financieros y el año específico. Los sistemas de IA no pueden emitir este juicio porque el marco requiere explícitamente la responsabilidad profesional humana.

Evaluación del riesgo de fraude. Identificar qué áreas de una entidad tienen un riesgo de fraude elevado requiere comprender el negocio, las personas, las estructuras de incentivos y los patrones históricos. La IA puede señalar anomalías estadísticas; solo los humanos pueden integrar esas señales con el conocimiento contextual para formar una evaluación del riesgo de fraude.

Recorridos e indagaciones. Sentarse con el director financiero, el director de operaciones y el liderazgo de tecnología de la información para comprender cómo funcionan realmente los procesos — no cómo están documentados para funcionar — es irreduciblemente humano. Las personas responden preguntas de manera diferente a los humanos que a los formularios. El trabajo del auditor es escuchar lo que no se está diciendo.

Negociación de hallazgos de auditoría. Cuando el equipo de auditoría identifica un problema, el siguiente paso es presentárselo a la dirección y discutir la remediación. Esto suele ser confrontacional, requiere leer el lenguaje corporal y la dinámica organizacional, y con frecuencia involucra múltiples iteraciones. Ninguna IA puede hacer esto.

Formación y firma de la opinión. La opinión de auditoría es una declaración de creencia profesional firmada por un socio. Las normas requieren que el socio firmante supervise directamente los procedimientos suficientes para formar la opinión. La IA no puede tener creencia profesional, y aunque pudiera, los reguladores no aceptan opiniones firmadas por máquinas.

Comunicación con los comités de auditoría. Los auditores de TI más senior pasan un tiempo significativo presentando hallazgos a los comités de auditoría de empresas públicas. Estas presentaciones son parte sustantivas y parte políticas, y requieren el juicio senior sobre qué presentar, qué diferir y cómo enmarcar los problemas de manera constructiva.

Cómo las Diferentes Especialidades de Auditoría Se Ven Afectadas

Dentro de la auditoría de TI, el impacto varía drásticamente según la especialidad.

Auditores de TI de estados financieros (quienes apoyan la auditoría financiera) enfrentan una exposición de alrededor del 65% y un riesgo de alrededor del 42%. El trabajo de pruebas de controles que consume su tiempo es altamente automatizable, pero el juicio sobre el alcance y las conclusiones sigue siendo humano.

Auditores de informes de Controles de Sistemas y Organizaciones (SOC) enfrentan una exposición de alrededor del 68% y un riesgo de alrededor del 45%. La naturaleza estandarizada de los informes SOC los hace especialmente susceptibles a la asistencia de IA, pero el informe lleva una opinión profesional que los humanos deben formar.

Auditores de ciberseguridad enfrentan una exposición de alrededor del 58% y un riesgo de alrededor del 35%. Su trabajo implica más juicio técnico sobre si los controles específicos realmente mitigan las amenazas identificadas, y ese juicio es más difícil de automatizar.

Auditores de TI internos en grandes empresas enfrentan una exposición de alrededor del 60% y un riesgo de alrededor del 38%. Tienen el valor adicional de ser figuras permanentes que conocen profundamente la organización, lo que la IA no puede replicar.

Auditores de cumplimiento enfocados en HIPAA, el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) y marcos similares enfrentan una exposición de alrededor del 72% y un riesgo de alrededor del 48%. Su trabajo es el más procedimental y, por tanto, el más expuesto, aunque los hallazgos de cumplimiento de mayor riesgo todavía requieren juicio humano para aflorar.

El patrón a través de estas especialidades: cuanto más involucra el trabajo la ejecución de procedimientos estandarizados, mayor es la exposición y el riesgo. Cuanto más involucra el juicio sobre hechos y circunstancias específicos, menor.

Las Tareas que Están Desapareciendo

Al examinar el inventario de tareas de O*NET, varias actividades están siendo absorbidas rápidamente por herramientas de IA.

Revisar listas de acceso en busca de privilegios inapropiados ahora es en gran medida asistido por IA. Las herramientas señalan anomalías para confirmación del auditor en lugar de requerir que los auditores escaneen miles de usuarios línea por línea.

Comparar tickets de cambios con despliegues en producción es una reconciliación plantilizada que la IA maneja en segundos. El auditor revisa las excepciones.

Documentar procedimientos de prueba y resultados en plantillas estandarizadas. La IA redacta; el auditor revisa y firma.

Mapear controles a múltiples marcos simultáneamente. Lo que solía ser un proyecto de un trimestre ahora lo hace la IA de un día para otro, con auditores validando los mapeos.

Generar informes de auditoría estándar incluyendo entregables SOC 1 y SOC 2. La IA maneja el 70% de la prosa, con el auditor responsable del contenido sustantivo.

Para un auditor junior en 2025, esto significa que gran parte de lo que solía contener su descripción de trabajo ha sido absorbida. La implicación es incómoda: los auditores senior son más productivos que nunca, mientras que el terreno de formación de nivel inicial para la próxima generación de auditores se ha reducido drásticamente. La profesión necesitará descifrar cómo formar a las personas para el juicio senior cuando el trabajo rutinario que solía ser el terreno de formación está siendo automatizado.

Las Tareas que Están Expandiéndose

Otras partes del rol del auditor de TI están creciendo.

Gobernanza y auditoría de IA. Las empresas utilizan la IA cada vez más en sus propias operaciones, y se pide a los auditores que proporcionen garantías sobre esos sistemas de IA. Este es un trabajo genuinamente nuevo que requiere auditores que entiendan tanto la metodología de auditoría como el riesgo de IA. El Instituto de Auditores Internos publicó un marco de auditoría de IA en 2024, y la demanda de auditores con conocimiento de IA ha explotado.

Auditoría continua. Pasar de las pruebas de control basadas en puntos en el tiempo a la monitorización continua y automatizada de controles. Este es el santo grial del que la profesión ha hablado durante dos décadas, y la IA finalmente lo está haciendo práctico. Los auditores que diseñan y supervisan programas de auditoría continua son escasos y bien remunerados.

Auditoría de la nube y Software-como-Servicio (SaaS). A medida que más sistemas empresariales se trasladan a plataformas en la nube, los auditores necesitan probar controles en Amazon Web Services (AWS), Microsoft Azure, Google Cloud y los principales proveedores de SaaS. Esto requiere comprensión técnica de las arquitecturas en la nube y los modelos de responsabilidad compartida.

Auditoría de riesgos de terceros. Las empresas dependen de más terceros que nunca, y muchos reguladores requieren que los programas de riesgos de terceros sean auditados formalmente. Este trabajo está creciendo en servicios financieros, salud y cada vez más en otros sectores.

Garantía de ciberseguridad. Los consejos de administración quieren garantías independientes sobre la postura de ciberseguridad, y las pruebas de seguridad tradicionales por sí solas no son suficientes. Se pide a los auditores que proporcionen opiniones formales sobre la efectividad del control de seguridad, que es un trabajo de alto juicio que la IA no puede realizar.

Compensación y Trayectorias Profesionales en 2025

El mercado laboral de auditoría de TI es saludable pero bifurcado. Los gerentes senior de auditoría de TI y los socios en las grandes firmas ganan entre $220,000-$520,000 de compensación total, con los socios en las cuatro firmas globales más grandes obteniendo el extremo superior. Los gerentes senior en la industria (funciones de auditoría interna en grandes empresas públicas) ganan entre $185,000-$300,000. Los roles de personal y asociados senior, por el contrario, están viendo un crecimiento salarial modesto a medida que la absorción de IA de su trabajo los hace menos escasos. [Hecho]

El mensaje estratégico para un auditor de TI en cualquier nivel: invierte en las partes del trabajo que la IA no está absorbiendo — juicio, comunicación, profundidad técnica y alfabetización en gobernanza de IA — porque esas son las partes que determinarán tu trayectoria durante la próxima década.

En qué Enfocarse Hasta 2030

Un manual específico para auditores de TI que planifican sus próximos cinco años:

Vuélvete fluido en el riesgo de IA. Lee el Marco de Gestión del Riesgo de IA del NIST, el Marco de Auditoría de IA del Instituto de Auditores Internos y la Ley de Inteligencia Artificial de la Unión Europea. Las empresas necesitan auditores que puedan hablar este idioma, y ahora mismo hay muy pocos.

Desarrolla profundidad en auditoría de la nube. Elige AWS, Azure o Google Cloud y apréndelo lo suficientemente bien como para diseñar pruebas de control para sistemas nativos de la nube. Los auditores que pueden hacer esto son escasos y obtienen tarifas premium.

Desarrolla habilidades de comunicación agresivamente. Los auditores senior que son promovidos son los que pueden presentar hallazgos a ejecutivos y comités de auditoría de manera clara y constructiva. La IA no amenaza esta habilidad; amplifica su importancia.

Aprende el diseño de auditoría continua. Hacia allí va la profesión, y las personas que dan forma a los programas de auditoría continua en las empresas importantes son escasas. Participa en el pensamiento líder del IIA, la investigación de auditoría continua del AICPA y las publicaciones de las grandes firmas.

Mantente cerca de los clientes. Las relaciones que construyes con la dirección del cliente y los comités de auditoría son activos duraderos que la IA no puede copiar. Invierte en ellas.

La Perspectiva Honesta a Largo Plazo

Para 2030, la auditoría de TI se verá bastante diferente a hoy. Las pruebas de control basadas en muestreos estarán sustancialmente automatizadas. La monitorización continua será estándar en las grandes empresas. La composición de los equipos de auditoría se desplazará hacia roles de juicio senior y se alejará de las grandes pirámides de personal junior. Las firmas de auditoría probablemente emplearán a menos personas pero les pagarán más por cabeza, con la capacidad excedente reinvertida en servicios consultivos en torno al riesgo de IA y las áreas de cumplimiento emergentes.

Para un auditor individual que lee este artículo, la implicación estratégica es clara. Inclínate hacia las partes del trabajo que requieren juicio, comunicación y profundidad técnica. Siéntete cómodo con la IA como herramienta en lugar de una amenaza. La profesión no está muriendo; se está actualizando, y los auditores que se actualicen con ella tendrán carreras más interesantes y mejor compensadas que nunca.

Para desglose de automatización a nivel de tarea por especialidad de auditoría, tendencias salariales por región y un cronograma detallado de cambios esperados, consulta nuestro perfil de ocupación de Auditores de TI.

---

Análisis basado en el modelado de automatización a nivel de tarea de ONET, el Índice Económico de Anthropic (2025), investigación del Instituto de Auditores Internos, normas profesionales del AICPA e informes del Observatorio de Políticas de IA de la OCDE. Investigación y redacción asistida por IA; revisión y edición humana por el equipo editorial de AIChangingWork.*