Auditoría interna compliance tributario: requisitos clave
¿Cuándo detecta un sistema de compliance que algo no funciona? Cuando alguien lo revisa con independencia. Sin ese mecanismo, el sistema puede tener políticas aprobadas, evaluación de riesgos actualizada y órgano de compliance formalmente constituido —y seguir fallando en la operación real sin que nadie lo sepa. La auditoría interna compliance tributario es, precisamente, el proceso que cierra esa brecha. La norma UNE 19602:2019 la regula en su apartado 9.2 con requisitos precisos: objetividad, imparcialidad, enfoque basado en riesgo, programa planificado y reporte al órgano de gobierno. No es una revisión del área contable. Es, en cambio, una verificación sistemática e independiente de que el sistema funciona como fue diseñado. La diferencia entre los dos —entre revisar cuentas y auditar el sistema— es, precisamente, la diferencia entre mirar el resultado y entender por qué se produce.
La fiscalización del SAT opera con información contemporánea a las operaciones y construye su hipótesis antes de notificar al contribuyente. La organización que no tiene un ciclo de auditoría interna compliance tributario llega, igualmente, a cualquier revisión sin haber detectado sus propias vulnerabilidades. Eso no es solo un riesgo fiscal. Es una posición procesal débil. Quien demuestra que revisó su sistema periódicamente, que detectó fallas y que las corrigió, tiene un expediente de diligencia debida. Quien nunca auditó, por el contrario, no puede construirlo retroactivamente. El apartado 6.1, numeral 3 de la norma es explícito. La evidencia de cumplimiento debe generarse en el momento de realizar los controles o revisiones. De forma inalterable e íntegra. Para su posible presentación en futuros procedimientos, administrativos y judiciales. La auditoría interna genera exactamente esa evidencia.
Auditoría interna compliance tributario: objeto y fundamento normativo
Qué verifica y cuándo
Si bien el término “auditoría” evoca revisiones contables o fiscales externas, la auditoría interna compliance tributario del apartado 9.2 tiene un objeto distinto. Verifica si el sistema de gestión de compliance tributario es conforme con los requisitos de la política, el propio sistema de gestión y los previstos en la norma UNE 19602:2019. Y verifica si el sistema se implementa y mantiene eficazmente —inciso b)—. No audita declaraciones fiscales. Audita el sistema que governa cómo se toman las decisiones fiscales, cómo se controlan los riesgos y cómo se corrigen los incumplimientos cuando ocurren.
UNE 19602:2019
Apartado 9.2, párrafo primero
“La organización debe llevar a cabo auditorías, a intervalos planificados, para proporcionar información acerca de si su sistema de gestión de compliance tributario: a) Es conforme con los requisitos de su política, el propio sistema de gestión y los previstos en esta norma UNE. b) Se implementa y mantiene eficazmente.”
La norma añade en su nota 1 que pueden realizarse auditorías adicionales cuando sea necesario. Ese supuesto tiene, además, relevancia práctica en el entorno mexicano. Un cambio normativo relevante, una reestructura corporativa, la detección de un incumplimiento relevante: todos justifican una auditoría extraordinaria. Al margen, por ende, de la planificación ordinaria. La periodicidad fija es el mínimo. El criterio de riesgo determina, por ende, cuándo se necesita más.
El programa de auditoría: qué debe incluir
De ahí que el apartado 9.2 exija un programa de auditoría —no una auditoría puntual—. La organización debe planificar, establecer, implementar y mantener uno o varios programas. Deben incluir la frecuencia, los métodos, las responsabilidades y los requisitos de planificación. Y la elaboración de informes, teniendo en consideración la importancia de los procesos involucrados y los resultados de auditorías previas. Cada auditoría, además, debe tener criterios y alcance definidos. Sin esos parámetros, la revisión carece de objeto verificable. Su resultado tampoco puede, asimismo, compararse con períodos anteriores.
En la práctica, la mayoría de las organizaciones que implementan la auditoría interna compliance tributario establecen un programa anual con revisiones por áreas o procesos. Priorizados, asimismo, según el mapa de riesgos del sistema. Las áreas con riesgos tributarios más elevados —operaciones con partes relacionadas, deducciones de montos relevantes, acreditamiento de IVA en actividades mixtas— reciben, por ello, mayor frecuencia de auditoría. Las áreas con riesgos de procedimiento menores —presentación de declaraciones informativas, emisión de CFDI en operaciones estándar— pueden revisarse, en cambio, con menor frecuencia. El enfoque basado en riesgo no es una preferencia metodológica. Es un requisito expreso de la norma: las auditorías deben ser razonables, proporcionadas y, precisamente, basadas en el riesgo.
Independencia del auditor: el requisito que define la calidad del proceso
Quién puede auditar y quién no
Ahora bien, el requisito que más directamente condiciona la validez del proceso de auditoría interna compliance tributario es la independencia del auditor. El apartado 9.2 establece que, para asegurar la objetividad e imparcialidad del programa, las auditorías deben llevarse a cabo por alguna de las siguientes opciones. Una función independiente o persona específicamente designada en la organización. El órgano de compliance tributario —excepto cuando el alcance incluya procedimientos o controles de cuya ejecución directa se ocupe—. Una persona apropiada de un departamento o función distinta del que está siendo auditado. Una tercera parte apropiada. O un grupo que comprenda cualquiera de los anteriores.
UNE 19602:2019
Apartado 9.2, párrafo de independencia
“Para asegurar la objetividad y la imparcialidad de estos programas de auditoría, la organización debe asegurar de que las auditorías se llevan a cabo por: Una función independiente o una persona en la organización específicamente designada para realizar este proceso. El órgano de compliance tributario, excepto si el alcance de la auditoría incluye procedimientos o controles de cuya ejecución directa se ocupe el primero. Una persona apropiada de un departamento o función distinta del que está siendo auditado. Una tercera parte apropiada. El proceso debe asegurar que ningún auditor está auditando su propio área de trabajo o el trabajo desarrollado por él previamente.”
Ningún auditor audita su propio trabajo
La última frase del párrafo es, en definitiva, la más operativa. Ningún auditor audita su propio trabajo. En términos concretos, asimismo: quien diseñó los procedimientos de control no puede auditarlos. El área fiscal no puede auditar su propio cumplimiento. La persona que implementó el sistema de gestión no puede revisar si funciona. Esas restricciones, que pueden parecer limitantes en organizaciones pequeñas, son las que garantizan que el resultado de la auditoría es información real sobre el estado del sistema —y no una validación del trabajo propio.
La excepción del órgano de compliance tributario
Pese a que el órgano de compliance tributario puede realizar auditorías del sistema, la norma establece una excepción. No puede, tampoco, auditar los procedimientos o controles de cuya ejecución directa se ocupe. Si el órgano de compliance tributario administra el canal de denuncia o ejecuta controles sobre socios de negocio, esas áreas deben ser auditadas, en consecuencia, por alguien externo a esa función. ### Auditoría independiente: por qué la razón es siempre la misma
La razón es la misma: la independencia no es compatible con la revisión del propio trabajo.
En organizaciones donde el órgano de compliance tributario tiene un alcance funcional amplio, la solución práctica es designar un auditor externo para las áreas que ese órgano ejecuta directamente. Eso reduce el sesgo. También, asimismo, preserva la independencia. Y, además, incorpora una perspectiva externa que puede detectar vulnerabilidades que el equipo interno no identifica por proximidad. Como hemos señalado en nuestra entrada sobre el órgano de compliance tributario, la separación entre quien ejecuta y quien supervisa es estructural en el diseño de la norma. La auditoría es donde esa separación se verifica en la práctica.
Qué detecta la auditoría interna compliance tributario
Los cuatro objetos de detección del apartado 9.2
Más aún, el apartado 9.2 de la norma no deja abierto el objeto de las auditorías. Establece cuatro indicios que el proceso debe estar diseñado para detectar. Primero: materialización de riesgos tributarios. Segundo: no conformidades relacionadas con la política de compliance tributario y el resto del sistema de gestión. Tercero: fallos en el cumplimiento susceptibles de constituir riesgos, incluyendo los derivados de socios de negocio con riesgo mayor que bajo. Cuarto: debilidades o posibilidades de mejora en la política o el sistema.
Esos cuatro objetos de detección corresponden, asimismo, a cuatro niveles de gravedad distinta. La materialización de un riesgo tributario —un crédito fiscal ya determinado, una pérdida fiscal cuestionada por la autoridad— es el nivel más grave: el riesgo ya se materializó. Una no conformidad con la política es un nivel intermedio: el sistema falló en algún punto, pero puede corregirse antes de que el riesgo se materialice. Un fallo en el cumplimiento susceptible de generar riesgo es un nivel de advertencia temprana: el control no está funcionando como se diseñó. Una debilidad o posibilidad de mejora es el nivel preventivo: el sistema funciona, pero puede fortalecerse. La auditoría interna compliance tributario debe estar diseñada, igualmente, para detectar los cuatro. No solo los más graves.
Los indicadores del apartado 9.1.6: predictivos y reactivos
Aunado a lo anterior, la norma establece en el apartado 9.1.6 que la organización debe desarrollar un conjunto de indicadores medibles que ayuden a cuantificar el desempeño del sistema. ### Indicadores del apartado 9.1.6 y su función preventiva
Esos indicadores alimentan la auditoría: permiten detectar tendencias antes de que se conviertan en no conformidades. La norma distingue tres tipos de indicadores. Los de actividad: porcentaje de personal capacitado, número de acciones correctivas por no conformidad, nivel de utilización de los mecanismos de reporte. Los predictivos del riesgo: tendencias de no conformidades basadas en datos históricos, riesgos de no conformidades a través de la medición de pérdidas potenciales. Y los de eficacia: problemas y no conformidades identificados por tipo, área y frecuencia, consecuencias de las no conformidades incluyendo compensaciones monetarias, multas y sanciones.
En México, esos indicadores tienen una conexión directa con el sistema de comprobación del SAT y con los sistemas de gestión de cumplimiento tributario que las organizaciones construyen como defensa preventiva. Un indicador que muestre incremento sostenido en las deducciones observadas por el área contable, por ejemplo, es una señal predictiva de riesgo de interpretación. Antes, en definitiva, de que la autoridad lo detecte. La auditoría que incorpora ese indicador en su diseño tiene, asimismo, la capacidad de intervenir preventivamente. La que solo revisa el cumplimiento formal, no.
Reporte y mejora continua
El reporte al órgano de gobierno: apartados 9.2 y 9.3
En definitiva, la auditoría interna compliance tributario no termina con el hallazgo. El apartado 9.2 exige que los resultados de las auditorías se pongan en conocimiento del órgano de gobierno y de la alta dirección. También de otras áreas o funciones cuando proceda. El apartado 9.3 añade que el órgano de compliance tributario debe informar al órgano de gobierno a intervalos planificados. O siempre que sea necesario, sobre la implementación y adecuación del sistema, incluyendo los resultados de las auditorías. La nota 1 del mismo apartado recomienda que esa frecuencia sea al menos anual.
Ese doble canal de reporte —del auditor al órgano de compliance, del órgano de compliance al órgano de gobierno— garantiza que la información llega a quien tiene la autoridad para ordenar cambios. Sin ese canal, los hallazgos de la auditoría quedan en el expediente interno del área fiscal. Sin consecuencias para el sistema. Con él, el consejo de administración puede, por ello, ejercer la función de revisión periódica que le exige el apartado 5.1.1, inciso g) de la norma.
No conformidades y acciones correctivas: el ciclo del apartado 10.1
Por ello, los hallazgos de la auditoría interna alimentan directamente el ciclo de mejora continua del apartado 10.1. Cuando se detecta una no conformidad, la organización debe reaccionar de manera transparente y diligente. Adoptar acciones para tomar el control de la situación. Valorar la necesidad de acciones correctivas para eliminar las causas. Implementarlas. Hacer seguimiento de su eficacia. Y realizar los cambios que sean precisos en la política o el sistema. La información documentada de ese ciclo —naturaleza de la no conformidad, acciones adoptadas, resultados de las acciones correctivas— debe conservarse.
Esa documentación es, también, evidencia procesalmente relevante ante el SAT o ante el Tribunal Federal de Justicia Administrativa. Demuestra, además, que la organización no solo detectó fallas en su sistema sino que tomó medidas concretas para corregirlas. La distinción entre detección y corrección documentada, frente a la ausencia de cualquier revisión, determina si la organización puede invocar la diligencia debida. Eso, en definitiva, es lo que separa los expedientes sólidos de los débiles. Como hemos analizado en nuestra entrada sobre compliance tributario UNE 19602, la evidencia generada de forma contemporánea —antes del requerimiento de la autoridad— es técnicamente superior en cualquier procedimiento.
¿Con qué frecuencia debe realizarse la auditoría interna compliance tributario?
La norma UNE 19602:2019 establece auditorías a intervalos planificados, sin fijar una frecuencia mínima. La nota 1 del apartado 9.3 recomienda que el informe del órgano de compliance al órgano de gobierno sea al menos anual. En la práctica, las organizaciones con perfil de riesgo tributario elevado realizan auditorías internas anuales y revisiones extraordinarias ante cambios normativos o incumplimientos relevantes.
¿La auditoría interna compliance tributario puede realizarla el propio director fiscal?
No. El apartado 9.2 es explícito: ningún auditor puede auditar su propio área de trabajo o el trabajo desarrollado por él previamente. El director fiscal ejecuta las decisiones fiscales de la organización. No puede, asimismo, auditar con objetividad el sistema que gobierna esas mismas decisiones.
¿Qué diferencia hay entre la auditoría interna y la revisión del órgano de compliance tributario?
El órgano de compliance tributario realiza una supervisión continua del sistema —apartado 9.3—. La auditoría interna es un proceso formal, planificado y con alcance definido, destinado a verificar si el sistema cumple con sus propios requisitos y con los de la norma. Ambos procesos son complementarios. Ninguno sustituye al otro.
¿La auditoría externa reemplaza a la auditoría interna compliance tributario?
No. La auditoría externa —fiscal, contable o de certificación— tiene objetos distintos. La auditoría interna compliance tributario verifica el funcionamiento interno del sistema de gestión. Una auditoría externa puede aportar perspectiva adicional y es especialmente útil cuando el órgano de compliance tributario no puede auditar áreas que él mismo ejecuta.
¿Qué documenta la auditoría interna compliance tributario?
El apartado 9.2 exige conservar información documentada como evidencia de la implementación del programa de auditoría y de los resultados de las auditorías. Eso incluye el programa de auditoría aprobado, el alcance y criterios de cada auditoría realizada, los hallazgos documentados, las no conformidades identificadas y las acciones correctivas implementadas con seguimiento de su eficacia.
¿Qué ocurre si la auditoría interna detecta un riesgo ya materializado?
El apartado 10.1 exige reaccionar de manera transparente y diligente. Adoptar acciones para tomar el control de la situación. Gestionar las consecuencias tratando de reducir sus efectos adversos. Y valorar la necesidad de acciones correctivas para que no se reproduzca. La documentación de esa respuesta —contemporánea a la detección— es la evidencia de que la organización actuó con diligencia una vez conocido el problema.
¿La auditoría interna compliance tributario tiene valor ante el SAT?
Sí. El apartado 6.1, numeral 3 de la norma exige que las evidencias de cumplimiento se generen de forma inalterable e íntegra para su posible presentación en futuros procedimientos, administrativos y judiciales. Los informes de auditoría interna —fechados, con alcance documentado y hallazgos verificables— son, también, evidencia contemporánea que acredita que el sistema fue revisado antes de cualquier requerimiento de la autoridad. Eso, ante el SAT o el TFJA, tiene, por ende, un peso procesal diferente al de un expediente construido después de la notificación.
