Auditoría interna: un acercamiento a su importancia en la actualidad

Desde 1984, fecha de creación del Instituto Mexicano de Auditores Internos (IMAI), la práctica de la auditoría interna en el país ha sufrido una constante evolución sistemática y gradual en paralelo a las tendencias e innovaciones que en materia de contabilidad, tecnologías, cumplimiento y sustentabilidad han ido imperando en el ámbito empresarial.

La creación del IMAI permitió la institucionalización, regulación y aplicación de normatividad en materia de auditoría interna, volviéndola una práctica de vital importancia para el desarrollo y crecimiento del sector empresarial en el país; esto, en conjunto con la mejora del desarrollo profesional de aquellos que la practican, incrementó en gran medida el cumplimiento de los objetivos y metas de las entidades que otorgaron la importancia que se merece a la auditoría interna dentro de su organización.

¿Pero qué busca la auditoría interna? Mejor dicho, ¿por qué es una actividad vital para el desarrollo empresarial? Para responder estos cuestionamientos, es preciso partir de la conceptualización de la auditoría interna, lo cual nos brinda un mayor entendimiento de esta práctica.

El Instituto Mexicano de Auditores Internos la define como "una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno".¹

Lo anterior, en principio, nos da una perspectiva de los fines que tiene la auditoría interna en relación con las empresas:

He aquí su importancia para el desarrollo organizacional y por qué es fundamental y de suma importancia la función de la auditoría interna en toda entidad que busque su desarrollo y permanencia en el mercado actual.

Sin embargo, ¿cómo logra la auditoría interna estos fines para los cuales fue implementada? Para conseguirlo, la práctica de la auditoría interna deberá ceñirse a dos directrices: el primero es el seguimiento y apego al marco regulatorio aplicable a su práctica; en segundo lugar, las acciones para evaluar y mejorar la eficacia de los procesos en tres elementos de la organización: gestión de riesgos, sistemas de control interno y gobierno corporativo.

Ambas directrices deben entenderse en conjunto y no como dos caminos o componentes separados para el ejercicio de la actividad profesional: el marco normativo o regulatorio brindará a la auditoría interna una base sólida y conceptual para la realización de sus actividades, mientras que la evaluación y mejora de procesos será la aplicación práctica de dichas normas. Podemos entender esto como una aplicación teórica-práctica de la auditoría interna.

Ahora bien, abordando la primera directriz, que es el marco normativo y regulatorio de la auditoría interna, tenemos al Instituto de Auditores Internos (IIA por sus siglas en inglés) como el máximo organismo internacional dedicado al desarrollo y regulación de la práctica profesional en la materia. Esta institución brinda un marco internacional para la práctica profesional de la auditoría interna y el IMAI promueve su adopción y cumplimiento para la materia en México.

El Marco Internacional para la Práctica Profesional de la Auditoría Interna está conformado por dos tipos de normatividad: la obligatoria, que, como su nombre lo indica, comprende guías y normas de aplicación estrictamente obligatoria que señalan los requerimientos mínimos para llevar a cabo la práctica de auditoría interna; por otro lado, las guías y normatividad recomendada brindan guías de aplicación opcional y situacional a la práctica de la auditoría interna.

La normatividad obligatoria se conforma de los siguientes marcos:

Por su parte, las guías o normatividad recomendada comprenden:

Es preciso señalar que, en adición a este marco normativo que fomenta el IIA, a la labor profesional debe aplicarse la normatividad local de cada país o nación en la cual se ejerza la práctica. Un ejemplo de este tipo de normatividad referente a un país es la Ley Sarbanes Oxley -o Ley SOX, como es conocida comúnmente-, que fue promulgada en 2002 en Estados Unidos con la finalidad de legalizar la práctica de la auditoría interna para las empresas que cotizan en la bolsa de valores de ese país.

Tras abordar la primera directriz para la práctica de la auditoría interna -la cual, de manera personal, me gusta denominar como la "teoría"-, es hora de tratar su desarrollo en la "praxis"; es decir, la segunda directriz, referente a las acciones para evaluar y mejorar la eficacia de los procesos.

La evaluación y mejora de la eficacia de los procesos es entendida como el conjunto de acciones que, realizadas de forma correcta y en atención a las necesidades y el ambiente de la entidad, lleva a cabo la función de la auditoría interna sobre los procesos de gestión de riesgos, control y gobierno con la finalidad de dar alcance a los objetivos de la entidad. Es indispensable señalar que estas acciones deben realizarse únicamente con los recursos disponibles para la entidad y con énfasis en los resultados que tengan en consecuencia.

Es importante profundizar en los tres elementos o áreas sobre los cuales la auditoría interna aplicará esta evaluación y mejora de procesos:

a) Gestión de riesgos
b) Control
c) Gobierno

Por su parte, la gestión o administración de riesgos consiste en el tratamiento que se debe dar por, parte de la empresa y la función de la auditoría interna, a los diversos riesgos en los que incurre la entidad. En este sentido, es importante decir que un riesgo se puede entender como aquella posibilidad de ocurrencia que un hecho puede tener, considerando su impacto sobre la entidad de forma positiva o negativa y que deriva de la actividad y el entorno externo e interno de la organización.

El proceso de la gestión y administración de riesgos debe ser aplicado por la función de la auditoría interna en la entidad y consta, de forma general, de tres pasos: identificación del riesgo, evaluación del riesgo y el establecimiento de controles para su mitigación. En este último paso se une el elemento de la evaluación y mejora la eficacia de los procesos con el segundo de ellos, el control.

El control, en el contexto de este artículo, debe ser entendido como aquella acción o procedimiento establecido por algún miembro de la entidad (en este caso, por la función de auditoría interna) y que tiene el objetivo de mitigar un riesgo específico que afecta de forma significativa. Los controles, en su conjunto, pertenecen, como componentes individuales, al Sistema de Control Interno establecido en la entidad, el cual, según las Normas de Auditoría para Atestiguar, Revisión y Otros Servicios Relacionados (2021) en su norma 315, se define de la siguiente manera: "Proceso diseñado y mantenido por los responsables de gobierno, la dirección y otro personal, para proporcionar seguridad razonable para el logro de los objetivos de la entidad, relativos a la fiabilidad de la información financiera, la eficiencia y eficacia de las operaciones y cumplimiento de disposiciones legales y reglamentarias".²

Los diversos controles, así como el Sistema de Control Interno en su conjunto, deben ser establecidos y tener un seguimiento permanente por parte del área de control interno y la función de auditoría interna de la entidad. Los controles, de forma individual, deben ser acordes al tipo de criticidad que representan el riesgo al cual deben mitigar y los resultados de su eficiencia tienen que ser evaluados de forma periódica.

El gobierno, como tercer elemento de la evaluación y mejora de la eficacia de los procesos, es entendido como el gobierno corporativo que impera en la entidad. Según la Bolsa Mexicana de Valores (BMV), éste es "el marco de normas y prácticas que se refieren a las estructuras y procesos para la dirección de las compañías".³

Una estructura de gobierno corporativo está conformada por órganos que, de forma genérica, son una asamblea de socios o accionistas, un consejo de administración y la alta dirección. La función de la auditoría interna -ubicada en el comité de auditoría, que a su vez pertenece a la estructura del consejo de administración- tiene, entre otras, el objetivo de permitir a los accionistas contar con un aseguramiento y una consulta razonable sobre el cumplimiento de los propósitos de la organización; lo anterior, siguiendo los principios de independencia, transparencia y rendición de cuentas.

Como es posible observar, el correcto seguimiento y apego al marco regulatorio aplicable a la práctica de la auditoría interna, así como las acciones para evaluar y mejorar la eficacia de los procesos, le dan a ésta su importancia dentro de una organización y se convierte en una piedra angular que brinda valor agregado, confianza para las partes interesadas, cumplimiento acertado de objetivos y eficiencia en la evaluación de la gestión empresarial, entre otros beneficios.