20 de diciembre de 2022
Artículo

Situación de la práctica de la auditoría interna en México y actualización del MIPP para 2023

Comisión
T. Sector Empresa Auditoría Interna

Autores
C.P.C. Arturo Salvador Reyes Figueroa

Presentación

El presente trabajo de investigación pretende dar a conocer los programas de certificación con los que cuenta el Instituto Mexicano de Auditores Internos (IMAI), así como la situación actual de cómo están los auditores en materia de certificación de dichos programas, así como cuál es el alcance y los próximos cambios propuestos a la fecha en el Marco Internacional para la Práctica Profesional (MIPP) de la auditoría interna.

1. Antecedentes

El consejo de directores del Instituto de Auditores Internos (The Institute of Internal Auditors, IIA, por sus siglas en inglés), con sede en los EUA, define la función de auditoría interna como una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno.

Cabe destacar que el MIPP de la auditoría interna es emitido por el IMAI, fundado en 1941, y hoy en día es la voz global de la práctica de la auditoría interna en el mundo. En el año 2021 reunió a más de 218,000 miembros en más de 200 países y territorios, a través de los 112 afiliados internacionales y 156 capítulos.

En México, en el Código de Mejores Prácticas Corporativas en su última actualización (2018), recomienda se apliquen anexos emitidos en el código de 2014 al actual código, el cual hace referencia a la auditoría interna.

En este anexo, si bien se menciona en su alcance no pretende abarcar toda la función de auditoría interna, se pueden citar dos cosas:

Al no pretender abarcar la función de auditoría interna (no menciona el alcance del MIPP de auditoría interna).
Menciona la definición de auditoría interna (citado al principio de este boletín de investigación) con referencia al IMAI; asimismo, señala que es conveniente la certificación, pero no indica el organismo certificador ni los programas que se tienen en su definición, lo cual hace y ha mantenido por mucho tiempo el IMAI.

2. Programas de certificación del IMAI

Actualmente, el IMAI cuenta con tres programas de certificación. Una vez obtenido el certificado es necesario continuar reportando las horas de educación continua:

Cabe señalar que, en su momento, el IMAI tuvo otros programas de certificación que ha decido no continuar con otros programas de certificación, ya que el CIA y el CRMA lo tienen dentro de su alcance; sin embargo, aquellos profesionales que tengan dichas certificaciones y continúen reportando sus horas anuales de educación continua, pueden mantener dichas certificaciones como fueron:

CCSA: Certificación en Autoevaluación de Control (Certification in Control Self-Assessment).

CGAP: Certificación de Auditor Gubernamental (Certified Government Audit Professional).

CFSA: Auditor Interno Certificado en Servicios Financieros (Certified Financial Services Auditor).

QIAL: Calificación en Liderazgo de Auditoría Interna (Qualification in Internal Audit Leadership).

3. Situación del CIA en el mundo y en México

El programa de CIA, aunque tiene más de 40 años constituido, no ha tenido el impacto que debería en México. De acuerdo con el informe de la Fundación Latinoamericana de Auditores Internos (FLAI) sólo en México hay 220, lo que representa 12% del total de la región central y Sur América, que son 1,797).

A continuación, se muestran los resultados del programa de certificación con cifras al 31 de diciembre de 2021, según el informe anual del IMAI:

Fuente: Informe anual 2022 del IIA¹.

Si se tiene en cuenta el total de miembros afiliados a esta fecha, de 220,000 aproximadamente, 81% de la membresía se encuentran certificados, esto contrasta con el número de socios que tiene el IMAI de un aproximado de más de 1,500 socios a diciembre de 2021 (estimado, aunque de acuerdo con datos de la FLAI, a diciembre de 2019 era de 2,031 y en diciembre de 2020 de 796); por lo anterior debería ser mínimo de más de 1,000 miembros que estarían certificados), por lo anterior, se puede considerar una oportunidad para elevar la competencia profesional de los que se dedican a esta actividad.

4. Situación actual del MIPP de la auditoría interna

El actual MIPP de la auditoría interna tuvo su última actualización en 2017 (su primera emisión fue en 1978, 1999, 2004, 2008 y 2012). En seguida, se presenta su integración:

Dentro de los principales cambios que se emitieron fueron dos:

1. Definir la misión de auditoría interna: “Mejorar y proteger el valor de la organización proporcionando aseguramiento, asesoría y perspectivas con base en riesgos”.

2. Emitir los Principios Fundamentales de la Práctica Profesional de la Auditoría Interna:

Demuestra integridad indiscutible.
Muestra objetividad en la mentalidad y el enfoque.
Demuestra compromiso con las competencias.
Está posicionada de forma adecuada dentro de la organización con suficiente autoridad en la misma.
Se alinea estratégicamente con las metas y objetivos de la empresa.
Tiene los recursos adecuados para abordar los riesgos importantes de forma efectiva.
Demuestra calidad y mejora continua.
Logra eficiencia y efectividad en sus trabajos.
Se comunica de forma efectiva.
Brinda aseguramiento confiable a aquellos a cargo del gobierno.
Proporciona entendimiento, es proactiva y está orientada al futuro.
Promueve el cambio positivo.

De igual forma las normas internacionales están contenidas en lo que se conoce como el libro rojo, las cuales se resumen a continuación:

Normas sobre atributos (Serie 1000)

Tratan las características de las organizaciones y los individuos que desarrollan actividades de auditoría interna:

1000-Propósito, autoridad y responsabilidad.

1010-Reconocimiento de los elementos obligatorios en el estatuto de auditoría interna

1100-Independencia y objetividad.

1110-Independencia dentro de la organización.
1111-Interacción directa con el consejo.
1112-El papel del director ejecutivo de auditoría además de auditoría interna.
1120-Objetividad individual.
1130-Impedimentos a la independencia u objetividad.

1200-Aptitud y cuidado profesional.

1310-Requisitos del programa de aseguramiento y mejora de la calidad.
1311-Evaluaciones internas.
1312-Evaluaciones externas.
1320-Informe sobre el programa de aseguramiento y mejora de la calidad.
1321-Utilización de “Cumple con las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna”.
1322-Declaración de incumplimiento.

Normas sobre desempeño (Serie 2000)

Describen la naturaleza de las actividades de auditoría interna y proveen criterios de calidad contra las cuales puede medirse la práctica de estos servicios:

2000-Administración de la actividad de la auditoría interna.

2010-Planificación.
2020-Comunicación y aprobación.
2030-Administración de recursos.
2040-Políticas y procedimientos.
2050-Coordinación y confianza.

2100-Naturaleza del trabajo.

2110-Gobierno.
2120-Eficacia.
2130-Control.

2200-Planificación del trabajo.

2201-Consideraciones sobre la planificación.
2210-Objetivos del trabajo.
2220-Alcance del trabajo.
2230-Asignación de recursos para el trabajo.
2240-Programa de trabajo.

2300-Desempeño del trabajo.

2310-Identificación de la información.
2320-Análisis y evaluación.
2330-Documentación de la información.
2340-Supervisión del trabajo.

2400-Comuinicación de resultados.

2410-Criterios para la comunicación.
2420-Calidad de la comunicación.
2421-Errores y omisiones.
2430-Uso de “Realizado de conformidad con las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna”.
2431-Declaración de incumplimiento de las normas.
2440-Difusión de resultados.
2450-Opiniones globales.

2500-Seguimiento del progreso.
2600-Comunicación de la aceptación de riesgos.

Como se puede apreciar las Normas Internacionales de Auditoría (NIA) tienen definido los DEBES, que son 132 actividades mandatarias que debería ejecutar el auditor interno, se dice fácil, pero esto demuestra el grado de especialización que se tiene que cumplir para ejecutar el proceso de auditoría interna de acuerdo con dichas normas².

5. Cambios del MIPP de la auditoría interna para el 2023

A continuación, se presentan los principales cambios que se han trabajado desde el año de 2021, por parte del Consejo de Supervisión del MIPP de la auditoría interna, conformado por el IMAI y diversas Instituciones como la Federación Internacional de Contadores (IFAC, por sus siglas en inglés), la Organización Internacional de Entidades Fiscalizadoras Superiores (INTOSAI, por sus siglas en inglés), la Asociación Nacional de Directores Corporativos (NACD, por sus siglas en inglés), la Organización para la Cooperación y el Desarrollo Económicos (OCDE, por sus siglas en inglés) y el Banco Mundial.

Cabe señalar que dicho Consejo de Supervisión del MIPP de la auditoría interna y el IMAI han conformado en marzo de 2022 el marco para establecer estándares de auditoría interna en el interés público, con la finalidad de fortalecer la participación de las partes interesadas en el establecimiento de estándares.

En la siguiente figura se representa a las partes interesadas, tanto directas como indirectas, que son atendidas por las normas:

Fuente: Marco para el establecimiento de las normas de auditoría interna en el interés público³.

Objetivos primordiales:

Simplificar la estructura MIPP de la auditoría interna.
Clarificar y alinear elementos.
Las normas no incluyen periodos de tiempo, así como áreas emergentes.
Asegurar un enfoque práctico (no importa el tamaño, industria y madurez).
Comunicar y apoyar (con auditores internos, partes interesadas, reguladores, etc.).

Nueva estructura propuesta:

Cinco dominios de estándares y 15 principios

Fuente: IMAI⁴.

Dominio I. Propósito de la auditoría interna. La auditoría interna ayuda a la mejora del éxito de la organización al proporcionar al consejo y a la administración consejo y aseguramiento objetivo.

Auditoría interna fortalece a la organización cuando:

Crea valor, da protección y sostenibilidad.
Aporta gobernanza, administración de riesgos y control en los procesos.
Supervisión en las decisiones.
Cuida la reputación y credibilidad con las partes interesadas.

Auditoría interna es más efectiva cuando:

Su ejecución se realiza de acuerdo con las normas internacionales y es ejecutada por personal calificado.
La función de auditoría interna es independiente y está posicionada con la debida rendición de cuentas hacia el consejo.
Los auditores internos están libres de conflicto de interés y de alguna influencia que pueda comprometer su juicio de manera objetiva.

Dominio II. Profesionalismo y ética. Se demuestra que se tiene integridad, objetividad, competencia, cuidado profesional y mantiene confidencialidad cuando:

1. Demuestra integridad. En su trabajo y comportamiento, cuando tiene:

Honestidad y coraje.
Cumple con los objetivos éticos de la organización.
Su comportamiento es profesional y legal.

2. Demuestra objetividad. El auditor interno mantiene su juicio de una manera imparcial cuando realiza sus funciones y toma las decisiones, considerando:

Objetividad individual.
Deterioro en la objetividad.
Salvaguarda la objetividad.
Revela la discapacidad de su objetividad.

3. Demuestra competencia. El auditor interno aplica su conocimiento y habilidades para completar sus funciones y roles de manera exitosa, teniendo en cuenta:

Su competencia.
Desarrollo continuo.

4. Ejercer debido cuidado profesional. El auditor interno aplica su cuidado profesional en planear y ejecutar los servicios de auditoría interna, tomando en cuenta:

Conformidad con las NIA.
Escepticismo profesional.
Consideraciones de debido cuidado profesional.

5. Mantiene la confidencialidad. El auditor interno protege la información de una manera adecuada, vigilando:

El uso de la información.
Protección de la información.

Dominio III. Gobernanza en las funciones de auditoría interna.Los principios y estándares que se deben tener en cuenta:

6.Autorización por el consejo.El consejo estable la autoridad, los roles y las responsabilidades de la función de auditoría interna, supervisando:

El estatuto de auditoría interna.
Apoyo del consejo.

7. Posicionada independiente. El consejo establece y protege la independencia de la función de auditoría interna, vigilando:

La independencia organizacional.
Los roles del director ejecutivo de auditoría.
Salvaguarda de la independencia.

8. Supervisada por el consejo. El consejo supervisa y se asegura de las funciones de auditoría interna, realizando:

Interacción por parte del consejo.
Autorizando recursos.
Revisando la calidad.
Evaluando las conformidades de evaluaciones externas.

Dominio IV. Administrando las funciones de auditoría interna.Lleva a cabo los principios y estándares de acuerdo con:

9.Planeación estratégica.El director ejecutivo de auditoría realiza una planeación estratégica para cumplir con su mandato de acuerdo con sus funciones, realizando:

Un entendimiento del proceso de gobierno, riesgos y cumplimiento.
Implementando una estrategia de auditoría.
Teniendo un estatuto de auditoría.
Metodologías.
Plan de auditoría interna.
Coordinación y dependencia.

10. Manejo de los recursos. El director ejecutivo de auditoría maneja los recursos e implementa la función de auditoría interna de acuerdo con su estrategia, con la finalidad de lograr su mandato, vigilando:

Los recursos financieros.
Los recursos humanos.
Los recursos tecnológicos.

11. Comunicación Efectiva. El director ejecutivo de auditoría lleva a cabo las funciones de auditoría interna para comunicarse de una manera efectiva con las partes interesada, cuidando:

Construir relaciones y comunicaciones con las partes interesadas.
Comunicación efectiva.
Comunicando los resultados.
Los errores y omisiones.
Comunicando la aceptación de riesgos.

12. Mejora de la calidad. El director ejecutivo de auditoría lleva de conformidad con las normas las continuas mejoras en la ejecución del desempeño de la función de auditoría, realizando:

Evaluaciones internas de calidad.
Medición del desempeño.
Asegurándose de mejorar el desempeño de los compromisos.

Dominio V. Desempeñando los servicios de auditoría interna.Se realiza de acuerdo con los principios y estándares, ejecutando:

13. Planeación efectiva de los compromisos. Los auditores internos deben cumplir sus compromisos usando un enfoque sistemático y disciplinado, implementando:

Una comunicación efectiva en sus compromisos.
Evaluación de los riesgos.
Determinación de objetivos y alcance.
Criterios de evaluación.
Recursos en los compromisos.
Programas de trabajo en los compromisos.

14. Conducción del trabajo planeado. Los auditores internos deben implementar programas de trabajo para lograr el cumplimiento de los objetivos contraídos, vigilando:

Una comunicación efectiva en sus compromisos.
Evaluación de los riesgos.
Determinación de objetivos y alcance.
Criterios de evaluación.
Recursos en los compromisos.
Programas de trabajo en los compromisos.

15. Los auditores internos deben implementar programas de trabajo para lograr el cumplimiento de los objetivos contraídos, vigilando:

Obtener información para análisis y evaluación.
Analizar los hallazgos y sus potenciales compromisos.
Evaluar los hallazgos.
Las recomendaciones.
Desarrollar conclusiones en los compromisos (planes de acción).
Documentar los compromisos.

Comunicación final de las revisiones y el monitoreo.Las comunicaciones de los auditores internos con base en sus hallazgos deben comunicarse con las partes interesadas de una manera adecuada con objeto de que se desarrollen los planes de acción, asegurándose de:

Tener comunicación final de los compromisos.
Confirmar la implementación de los planes de acción.
Divulgar las no conformidades de los compromisos.

6. Requerimientos actuales (en proceso)

Se tienen pendientes de emisión, algunas prácticas recomendadas, así como la cobertura de aspectos de gobernanza, administración de riesgos y controles, así como la aplicación de compromisos en asuntos específicos de auditoría.

Algunos temas que están en proceso de emitirse:

Ciberseguridad.
Sostenibilidad ambiental, social y gobernanza (ASG).
Administración de terceros.
Gobernanza de tecnologías de información.
Aseguramiento de la gobernanza organizacional.
Administración de riesgo de fraude.
Administración de riesgos de privacidad.
Desempeño de las auditorías del sector público.

7. Conclusiones

Como se puede apreciar el IMAI y el Consejo de Supervisión del MIPP de la auditoría interna se han coordinado para emitir un marco para la práctica profesional de auditoría interna, teniendo en cuenta las partes interesadas, en las cuales el consejo de las organizaciones debe tener una debida rendición de cuenta, por lo que la responsabilidad del director de auditoría interna tiene mayor visibilidad, y responsabilidad en la administración de las organizaciones, razón por la cual, la competencia de los auditores internos debe incrementarse.

Se espera que este esfuerzo por parte del IMAI tenga impacto en México y sus partes interesadas para que se adhieran al cumplimiento de estas normas, que como se ha visto, son muy completas y cubren todas las áreas de gestión al interior de las organizaciones. El objetivo final es que el auditor interno agregue valor con sus evaluaciones y sea percibido como un agente de cambio al interior de las entidades; reforzar con ello la cultura organizacional de las empresas y apoyar al logro de los objetivos de las mismas.

8. Referencias

¹Informe anual 2022 del IIA. https://www.theiia.org/globalassets/site/about-us/leadership/2022-4276-annual-report-fnl_digital_spreads.pdf

²Normas internacionales para el ejercicio profesional de la auditoría interna. https://www.theiia.org/globalassets/site/standards/mandatory-guidance/ippf/2017/ippf-standards-2017-spanish.pdf

³Marco para el establecimiento de las normas de auditoría interna en el interés público. https://www.theiia.org/globalassets/site/standards/ippfoc_framework-standard-setting-in-public-interest_final

⁴IMAI. https://www.theiia.org/en/standards/ippf-evolution/

Texto de investigación editado por el Colegio de Contadores Públicos de México, A.C. con el objeto investigar y analizar temas de actualidad relacionados con la contaduría pública y los negocios como una aportación técnica y objetiva para los lectores. El contenido de este material es responsabilidad exclusiva de sus autores y no refleja la opinión o postura del Colegio de Contadores Públicos de México, A.C. sobre los temas abordados en él. Se prohíbe la reproducción total o parcial del material contenido en esta publicación sin autorización previa de los autores y el Colegio de Contadores Públicos de México, A.C.