Por: Equipo Auditool
Usted fue entrenado para mitigar riesgos, reforzar controles y reducir la incertidumbre. Nassim Taleb le diría que eso no es suficiente. Que una organización que solo resiste los golpes está condenada. Que el verdadero objetivo no es sobrevivir al caos, sino fortalecerse con él. Bienvenido al concepto que debería redefinir su rol como auditor: la antifragilidad.
En 2012, el matemático, filósofo y ex operador de bolsa Nassim Nicholas Taleb publicó Antifragile: Things That Gain from Disorder, el libro que introdujo un concepto que no existía en ningún idioma: la antifragilidad. No es sinónimo de resiliencia. No es sinónimo de robustez. Es algo fundamentalmente distinto, y tiene implicaciones profundas para todo profesional que trabaje con riesgo, incluido —y especialmente— el auditor.
Este artículo no le pedirá que abandone sus normas ni que deje de evaluar controles. Le propondrá algo más ambicioso: que amplíe su visión de lo que significa agregar valor desde la auditoría y que empiece a hacer preguntas que la mayoría de los auditores nunca se plantea.
Frágil, robusto y antifrágil: las tres formas de enfrentar la incertidumbre
Taleb propone que todo sistema, organización o proceso se comporta de una de tres maneras frente al estrés, la volatilidad y los eventos inesperados. Entender esta clasificación es el primer paso para transformar la perspectiva del auditor.
| Categoría | Definición | Metáfora | Ejemplo organizacional |
|---|---|---|---|
| Frágil | Se rompe con el estrés. El desorden lo daña. | Una copa de cristal: cualquier golpe la destruye. | Empresa con un solo proveedor, sin plan B, que colapsa ante la primera interrupción de la cadena de suministro. |
| Robusto | Resiste el estrés. El desorden no lo afecta. | Una roca: aguanta los golpes, pero no mejora con ellos. | Empresa con controles sólidos que sobrevive una crisis, pero vuelve exactamente al mismo estado previo sin aprender nada nuevo. |
| Antifrágil | Se fortalece con el estrés. El desorden lo mejora. | El sistema inmunológico: cada exposición a un patógeno lo hace más fuerte. | Empresa que después de un fraude interno rediseña su gobierno corporativo, fortalece su cultura ética y termina con un sistema de control superior al que tenía antes. |
"Lo opuesto de frágil no es robusto ni resiliente. Lo opuesto de frágil es algo que aún no tenía nombre. Es antifrágil." — Nassim Nicholas Taleb, Antifragile
La distinción es crucial. La mayoría de los marcos de auditoría y gestión de riesgos están diseñados para lograr robustez: que la organización resista los golpes. Pero Taleb argumenta que en un mundo de volatilidad creciente, la robustez no es suficiente. Lo que se necesita es un sistema que se beneficie del desorden.
La auditoría está atrapada en el paradigma de la robustez
Sea honesto consigo mismo por un momento. ¿Cuál es el objetivo implícito de la mayoría de sus encargos de auditoría? Probablemente alguno de estos:
✗ Verificar que los controles están funcionando.
✗ Identificar debilidades y recomendar correcciones.
✗ Reducir la probabilidad y el impacto de los riesgos.
✗ Asegurar el cumplimiento de normas y regulaciones.
Nada de esto está mal. Pero todo esto opera dentro de un paradigma que asume que el riesgo es el enemigo y que el éxito se mide por cuánto logramos controlarlo. Taleb diría que este enfoque tiene una limitación fundamental: no prepara a la organización para lo que no puede predecir.
Pensemos en ejemplos recientes. ¿Los mapas de riesgos corporativos de 2019 incluían "pandemia global"? ¿Las matrices de riesgo de los bancos en 2007 contemplaban un colapso sistémico del mercado inmobiliario? ¿Las evaluaciones de riesgo de las cadenas de suministro en 2021 anticipaban la crisis de contenedores? En la mayoría de los casos, no. Y eso no significa que los auditores hicieron mal su trabajo. Significa que el trabajo estaba diseñado para un mundo predecible, y el mundo dejó de serlo.
🚨 La paradoja: Un auditor puede dar una opinión favorable sobre el sistema de control interno hoy, y mañana un evento que nadie anticipó puede hacer que todo ese sistema sea irrelevante. La robustez no protege contra lo desconocido. La antifragilidad sí.
¿Qué haría un auditor antifrágil?
No se trata de abandonar la auditoría basada en riesgos. Se trata de expandir la conversación. Un auditor con mentalidad antifrágil no solo pregunta "¿están funcionando los controles?", sino que añade una capa de preguntas más poderosas.
| El auditor tradicional pregunta | El auditor antifrágil también pregunta |
|---|---|
| ¿Están los controles funcionando correctamente? | ¿Qué pasa cuando los controles fallan? ¿La organización tiene la capacidad de adaptarse y mejorar a partir de esa falla? |
| ¿Los riesgos están identificados y mitigados? | ¿Qué riesgos no hemos imaginado? ¿La estructura está diseñada para sobrevivir y aprender de eventos que no están en el mapa? |
| ¿La organización tiene un plan de continuidad? | ¿El plan de continuidad se ha probado con escenarios extremos? ¿La organización aprendió algo nuevo de las pruebas o solo verificó el documento? |
| ¿Se reportó la pérdida y se corrigió la causa? | ¿La pérdida generó un cambio sistémico? ¿La organización salió más fuerte del evento o solo tapó el agujero? |
| ¿Las funciones clave tienen respaldo? | ¿Existe sobredependencia de una sola persona, sistema o proveedor? ¿Qué pasa si desaparece mañana? |
7 principios de Taleb que el auditor puede aplicar desde hoy
Estos principios extraídos del pensamiento de Taleb pueden traducirse directamente a la práctica de auditoría, tanto interna como externa:
| # | Principio de Taleb | Aplicación en auditoría |
|---|---|---|
| 1 | Ama los pequeños errores | Los sistemas antifrágiles necesitan pequeñas fallas para aprender. El auditor debe evaluar si la organización tiene mecanismos para detectar errores menores rápidamente y aprender de ellos antes de que se conviertan en crisis. ¿Existe una cultura donde reportar errores pequeños sea seguro? ¿O se castiga todo error, asegurando que los grandes se oculten? |
| 2 | Evita la fragilidad concentrada | La concentración excesiva es la madre de la fragilidad. El auditor debe buscar puntos únicos de falla: un solo proveedor, un solo sistema, una sola persona que sabe cómo funciona un proceso crítico. Si lo encuentra, no basta con reportarlo: debe recomendar diversificación y redundancia. |
| 3 | Desconfía de las predicciones | Taleb demuestra que somos pésimos prediciendo eventos extremos. El auditor debe cuestionar los modelos de riesgo que dependen de estimaciones de probabilidad. En lugar de solo evaluar "¿qué tan probable es?", preguntar también: "¿qué tan preparados estamos si sucede lo improbable?" |
| 4 | Valora la opcionalidad | Un sistema antifrágil tiene opciones. El auditor debe evaluar si la organización tiene alternativas reales cuando algo falla: ¿puede cambiar de proveedor en 48 horas? ¿Puede operar con un sistema de respaldo? ¿Tiene reservas financieras para absorber un golpe inesperado? La opcionalidad es la vacuna contra la fragilidad. |
| 5 | Skin in the game | Taleb insiste en que los sistemas funcionan mejor cuando quienes toman las decisiones sufren las consecuencias de sus errores. El auditor debe evaluar si los incentivos están alineados con los riesgos: ¿el ejecutivo que aprueba una inversión arriesgada también asume la pérdida si falla? ¿O la estructura de bonos premia la ganancia a corto plazo sin penalizar el desastre a largo plazo? |
| 6 | Menos es más (vía negativa) | La antifragilidad se logra más frecuentemente quitando lo que daña que agregando lo que protege. El auditor debe preguntarse: ¿la organización necesita otro control, o necesita eliminar el proceso innecesario que genera riesgo? A veces la mejor recomendación no es "implemente un control adicional", sino "elimine la complejidad que lo hace vulnerable". |
| 7 | Estrategia barbell | Taleb propone una estrategia dual: ser extremadamente conservador en lo vital y agresivamente experimental en lo accesorio. En auditoría, esto significa evaluar si la organización protege sus funciones críticas con controles inquebrantables, mientras mantiene la flexibilidad para experimentar, innovar y fallar en áreas de bajo impacto. Lo peor es el término medio: controles mediocres en todas partes. |
Caso práctico: evaluando la antifragilidad de una organización
Imagine que está auditando una empresa manufacturera de tamaño mediano. Además de su evaluación tradicional de controles, podría agregar un diagnóstico de fragilidad con las siguientes preguntas:
| Dimensión evaluada | Pregunta de antifragilidad |
|---|---|
| Cadena de suministro | Si su proveedor principal desaparece mañana, ¿en cuántos días puede reanudar la producción? ¿Tiene proveedores alternativos evaluados y listos? |
| Personas clave | ¿Cuántos procesos críticos dependen de una sola persona? ¿Existe documentación suficiente y entrenamiento cruzado para que alguien más pueda asumir esas funciones? |
| Tecnología | Si el sistema ERP se cae durante 72 horas, ¿puede la empresa seguir operando manualmente? ¿Se ha probado alguna vez? |
| Financiera | ¿La empresa tiene reservas para operar 3 meses sin ingresos? ¿Su estructura de deuda la hace vulnerable a un cambio brusco en las tasas de interés? |
| Cultura organizacional | ¿Qué pasó la última vez que alguien reportó un error? ¿Fue castigado o fue valorado? ¿La organización aprendió algo o solo buscó culpables? |
| Aprendizaje post-crisis | Después del último incidente significativo, ¿la organización solo restauró la normalidad o rediseñó el proceso para que sea más fuerte? ¿Existe un mecanismo formal de lecciones aprendidas? |
💡 Valor agregado: Este tipo de diagnóstico complementa la auditoría convencional con una perspectiva que la alta dirección rara vez recibe: no solo "¿estamos protegidos?" sino "¿estamos preparados para hacernos más fuertes con lo que venga?". Ese es el tipo de hallazgo que llega al comité de auditoría y genera conversaciones estratégicas.
Lo que la antifragilidad NO significa para el auditor
Es importante poner límites claros para no malinterpretar el concepto:
✗ No significa "dejar que las cosas fallen". La antifragilidad no es negligencia disfrazada de filosofía. Los controles siguen siendo necesarios. Lo que cambia es la pregunta: además de prevenir, ¿estamos construyendo la capacidad de aprender y mejorar cuando inevitablemente algo falle?
✗ No significa abandonar la normativa. ISO 31000, COSO, las Normas Globales de Auditoría Interna siguen siendo el marco de referencia. La antifragilidad es una lente adicional que enriquece la evaluación, no la reemplaza.
✗ No significa aceptar riesgos sin criterio. La estrategia barbell de Taleb es clara: protección extrema en lo vital, experimentación solo en lo accesorio. No es un argumento para que la organización tome riesgos irresponsables.
✗ No significa que todo estrés es bueno. La antifragilidad tiene límites. Un golpe demasiado grande destruye cualquier sistema. El objetivo es que la organización sea capaz de convertir estrés moderado y fallas pequeñas en aprendizaje y mejora sistémica.
Reflexión final: el auditor que la organización necesita
Durante décadas, el auditor ha sido el profesional que llega a decir qué está mal y qué debe corregirse. Ese rol sigue siendo necesario. Pero ya no es suficiente.
Las organizaciones que van a prosperar en un mundo volátil no son las que tienen más controles, sino las que tienen la capacidad de adaptarse, aprender y mejorar cada vez que algo sale mal. Y el auditor está en una posición única para evaluar esa capacidad, porque ve transversalmente toda la organización, conoce sus puntos ciegos y tiene acceso al nivel más alto de gobierno.
La pregunta que le deja Taleb al auditor no es "¿están los riesgos controlados?", sino algo mucho más poderoso:
¿Esta organización sale más fuerte después de cada golpe, o solo sobrevive esperando el próximo?
Si usted puede responder esa pregunta con evidencia, habrá hecho algo que ningún checklist de cumplimiento puede lograr: habrá ayudado a la organización a prepararse para un futuro que nadie puede predecir.
"El viento apaga una vela y aviva un fuego. Lo mismo ocurre con el caos: lo frágil se rompe, lo antifrágil se fortalece. ¿Su organización es una vela o un fuego?"
📚 Referencia bibliográfica:
Taleb, N. N. (2012). Antifragile: Things That Gain from Disorder. Random House.
🎯 Competencia desarrollada: Evaluación estratégica de la capacidad organizacional de adaptación, aplicación de pensamiento antifrágil a la auditoría basada en riesgos, identificación de puntos únicos de falla, diagnóstico de fragilidad sistémica y generación de recomendaciones que trascienden el cumplimiento para aportar valor estratégico.
Y luego Agregar a la pantalla de inicio.
Comentarios