Al escribir sobre la actualización del Marco Internacional para la Práctica Profesional de la Auditoría Interna (MIPP), surgió el dilema sobre entregar un artículo corto y técnico fácilmente entendible por los auditores internos; o uno de mayor extensión, que contextualizará el tema para hacerlo asequible a cualquier tipo de lector. A riesgo de no despertar interés en los auditores internos (al fin y al cabo para ellos hay abundante y puntual literatura al respecto) ni en los que no están familiarizados con el tema (puede que el asunto les siga pareciendo desconocidamente aburrido), opté por lo segundo. Por éste artículo que usted está empezando a leer y que espero se anime a terminar. Y es que aposté al lado donde está la probabilidad de lograr la atención de todos; al de seguir aproximando la auditoría interna al ciudadano común, al de avivar la curiosidad y la exploración por nuestra profesión.

Para hablar de la actualización del Marco Internacional para la Práctica Profesional de la Auditoría Interna (MIPP), en inglés, International Professional Practices Framework (IPPF) y en adelante el Marco, lo primero es saber ¿Qué es? ¿Cómo surge? ¿A quiénes está dirigido? y ¿Para qué sirve?

¿Qué es el Marco Internacional para la Práctica Profesional de la Auditoría Interna.

Comúnmente conocido como “libro rojo” o “red book” es la publicación insigne del IIA que contiene la normativa internacional recomendada a los auditores internos de todo el mundo. Su parangón, son las Normas Internacionales de Información Financiera (NIFF), las Normas Internacionales de Auditoría (NIAS) o las Normas de Calidad, por citar algunas publicaciones similares. Es decir, el Marco es una especie de estándar internacional o como mejor lo definimos nosotros: El conjunto de mejores prácticas aplicables por los auditores internos y a la actividad de auditoría interna.

¿De dónde surge?

Surge como una iniciativa del Instituto de Auditores Internos (The Institute of Internal Auditors-IIA) fundado en 1941 en Estados Unidos y con su posterior expansión a través del Instituto de Auditores Internos Global (Institute of Internal Auditors Global –IIA Global). El IIA se ha posicionado como líder y voz autorizada en materia de auditoría interna a nivel mundial, principalmente por su contribución al mejoramiento de la práctica de la profesión.

El Marco constituye una de las más significativas de esas contribuciones. Es actualizado periódicamente por el Consejo de Normas y un Equipo de Trabajo de Revisión (ETR) que realiza una amplia labor de consulta a nivel global con encuestas, borradores de exposición, debate, propuesta final, aprobación del Consejo de Administración Global del IIA y finalmente la publicación.

El registro más antiguo de Normas del IIA se remonta a 1978 con la primera Codificación de Normas: “Standards for the Profesional Practice of Internal Auditors”. Desde entonces éstas fueron sometidas a revisiones, modificaciones, cambios parciales de texto, eliminaciones o adiciones y siguieron evolucionando hasta convertirse en lo que hoy conocemos como el Marco. La última revisión del Siglo XX fue en 1999 y en lo que va del siglo XXI ha sido sujeto de cambios en al menos cuatro ocasiones; 2004, 2008, 2012 y ahora en el 2015; ésta revisión devino en la versión vigente desde el pasado mes de julio y a la que nos referimos en el presente artículo.

¿A quiénes está dirigido?

Como ya dijimos el Marco está dirigido a los auditores internos y a la propia actividad de auditoría interna, además de las partes interesadas. La auditoría interna de acuerdo al IIA es “Una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgo, control y gobierno”.

En consecuencia, los auditores internos son los profesionales dedicados a la esta disciplina, la cual realizan mediante la prestación de servicios de aseguramiento y consultoría.

Los servicios de aseguramiento se refieren al examen objetivo de evidencias, con el propósito de proveer una evaluación independiente sobre los procesos de gestión de riesgo, gobierno y control. Algunos ejemplos son los trabajos financieros y de cumplimiento, sobre los cuales el auditor interno es responsable respecto a los juicios que emita.

Los servicios de consultoría son las asesorías, los consejos, las orientaciones; igualmente dirigidos a mejorar esos mismos procesos de riesgo, gobierno y control, con la diferencia que el auditor interno si bien es responsable de éstos, no lo es de decidir sobre la aplicabilidad o no de dichos consejos u orientaciones y de sus efectos.

Es importante entender que esta categorización de servicios es igual para el auditor interno que está dentro de la organización como para el que realiza la actividad mediante tercerizaciones.

¿Para qué sirve el Marco?

Para estandarizar el ejercicio de la profesión. Si bien su aplicabilidad depende de las regulaciones y voluntad de cada país, sigue siendo el referente de excelencia que tiene un auditor interno para la realización de su trabajo. Promueve una cultura ética a través de principios y reglas de conducta; establece requerimientos de atributo y desempeño y provee consejos y guías de carácter práctico.

Una mirada más profunda a la actualización

Con el contexto anterior es probable que el punto focal de este documento, la Actualización del Marco, sea más digerible para todos. Así las cosas lo primero es comparar el Marco anterior con su nueva versión y después describir en qué consistieron los cambios.

Cuadro propiedad de Gamma Consulting, S.A.

¿Qué hay de nuevo?

Lo nuevo en el Marco es la misión de auditoría interna y los 10 Principios Fundamentales para la Práctica Profesional de la Auditoría Interna. Estos dos elementos no existían.

Misión: “Mejorar y proteger el valor de la organización proporcionando aseguramiento, asesoría y perspectivas en base a riesgos”.

Principios Fundamentales para la Práctica Profesional de la Auditoría Interna:

1. Demostrar integridad.
2. Demostrar competencia y debido cuidado profesional.
3. Demostrar objetividad y estar libre de influencias (independencia).
4. Estar alineado a las estrategias, objetivos y riesgos de la organización.
5. Estar posicionado correctamente dentro de la organización y contar con los recursos adecuados.
6. Demostrar compromiso con la calidad y mejora continua.
7. Comunicar eficazmente.
8. Proporcionar aseguramiento basado en riesgos.
9. Ser perspicaz, proactivo y orientado al futuro.
10. Promover la mejora de la organización.

¿Qué permanece en el Marco?

Su estructura. Ésta sigue siendo de dos partes conformadas por dos tipos de Guías; las de carácter obligatorio y las recomendadas.

¿Qué se modifica en el Marco?

El fondo y forma de las Guías como se explica a continuación:

Las Guías Obligatorias además de la Definición de Auditoría Interna, Código de Ética y las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna, ahora incluyen los Diez Principios. De hecho, estos junto a la misión constituyen los cambios más trascendentales.

Las Guías Fuertemente Recomendadas cambian su nombre a Guías Recomendadas y su estructura cambia a Guías de Implementación y Guías Suplementarias. Se debe tener presente que la estructura anterior incluía los Consejos para la Práctica, las Guías Prácticas y las Declaraciones de Posición y es aquí donde trascienden otros cambios interesantes:

• Las Guías de Implementación reemplazan los Consejos para la Práctica. El IIA ha previsto un periodo de 18 meses para realizar la transición. Se definirán y actualizarán los Consejos y se realizarán las adiciones, adecuaciones y ampliaciones necesarias para reforzar sus contenidos orientados a metodologías, enfoques y validación de implementación y cumplimento de las Normas, sin adentrarse en procesos y procedimientos detallados.
• Las Guías Suplementarias por su parte reemplazan en su totalidad las Guías Prácticas (GP), Guías de Auditoría de Tecnología Global (GTAGS) y las Guías para la Evaluación de Riesgos de TI (GATI). Las Guías Suplementarias mantienen el enfoque de especificidad, por lo tanto seguirán dictando pautas sobre temas puntuales y sectorizados. Es decir, sí desarrollan procesos y procedimientos detallados, incluso se prevén entregables (modelos) para facilitar el trabajo del auditor interno.
• Las Declaraciones de Posición seguirán disponibles, pero quedan fuera del Marco. La razón es porque éstos documentos se enfocan más en las partes interesadas, incluso en quienes no están vinculados a la auditoría interna o bien en declaraciones de defensa de la profesión y no necesariamente constituyen herramientas para la realización del trabajo del auditor interno.

En nuestra opinión y en orden de relevancia los cambios al Marco se resumen en la incorporación de la misión de auditoría interna; incorporación de los 10 Principios Fundamentales para la Práctica Profesional de la Auditoría Interna; la mejora progresiva prevista para las Guías Recomendadas durante los próximos 18 meses y la reestructuración de forma y fondo de éstas.

La actualización es un proceso continuo. Los auditores internos sabemos que el IIA ya ha modificado la estructura del examen de certificación CIA de cuatro a tres partes; está próximo a liberar una nueva versión del examen de certificación CGAP y acaba de lanzar la actualización del Marco, además de otros cambios en marcha. En los próximos dos años veremos como las publicaciones y otros productos del IIA seguirán siendo sujetos de actualización. Estar atentos a estos cambios es fundamental para los auditores internos, y esperaríamos que también fuesen de interés para los destinatarios de nuestros servicios, como para le público en general.