Gestión de riesgos versus gestión del fraude

Julio García Muñoz, Director Ejecutivo de Control Interno de la UCLM, participó la semana pasada en el III Congreso Internacional de control público y lucha frente a la corrupción, celebrado en la Universidad de Salamanca. Allí abordó las diferencias y puntos de convergencia que presentan la gestión de riesgos y la gestión del fraude. Insistió en diferenciar la falta, el incumplimiento, la irregularidad y, ascendiendo en la escala, el delito tipificado en el código penal, el fraude y en definitiva, la corrupción. La incardinación jurídica importa, de ello depende su persecución judicial pero, para el caso que nos ocupa, lo importante se simplifica atendiendo al grado de intencionalidad del sujeto infractor.

Recordó que el auditor/interventor, atendiendo a los objetivos de su organización, también debe gestionar los riesgos y darles respuesta a través de la planificación de actividades de control. Riesgos de legalidad, económicos, de eficiencia en el empleo de fondos públicos, reputacionales, informáticos… para todos ellos hay marcos de trabajo que ofrecen una respuesta sistemática y una metodología clara y precisa para su tratamiento.

Hablamos del marco de control interno integrado COSO II, recordando que COSO I padeció algo de miopía al hablar solo de evaluación de riesgos, obviando su fase previa – identificación- y su fase posterior: respuesta al riesgo. Otro modelo que destaca por su claridad es el Modelo de 3 líneas de defensa desarrollado por el Instituto de Auditores Internos.

Si hay un mensaje rotundo es que el control público es tarea de todos, no solo de los responsables de control interno o externo, cuya responsabilidad es supervisar el funcionamiento del sistema. El control comienza en el órgano gestor (primera línea, propietario de los riesgos), continúa reforzándose con unidades o servicios que supervisan los riesgos (segunda línea: controles financieros, asesorías jurídicas, inspecciones de servicio, función de compliance o cumplimiento normativo) y en una tercera línea, el órgano de control interno (auditoría interna o servicio de intervención) que proporcionan un aseguramiento independiente.

De entre todos esos riesgos a prevenir, detectar y gestionar, el ponente destaca uno, el riesgo de fraude, que debe ser atendido de manera especial y con herramientas específicas. El ciudadano, el político, en cuanto brota la enésima corruptela gira la cabeza hacia el interventor, hacia el auditor (interno o externo) buscando qué ha fallado y preguntando: ¿cómo el sistema de control no detectó o reprimió tan escandaloso abuso?

La respuesta es muy sencilla, y hay que repetirla pedagógicamente en todas las escuelas y medios, sobre todo para que el político no instrumentalice la figura del control. Las auditorías son mecanismos de control para emitir un juicio profesional sobre la razonabilidad de unas cuentas anuales, de la eficiencia de la compra pública o sobre la eficacia de la acción política que no son la solución ni valen para todo.

Oímos con frecuencia que el auditor no es un detective privado. No tiene ni el respaldo normativo, ni las herramientas jurídicas y técnicas para ello. No puede solicitar información bancaria o societaria sobre titulares de sociedades sospechosas, no puede solicitar o intervenir comunicaciones para fundamentar las pruebas de sus indicios, no puede hacer investigaciones internas. Para eso está el Servicio Nacional de Coordinación Antifraude y, allá donde sus competencias no alcanzan (intervención de comunicaciones o entrada a domicilios, entre otros), la Fiscalía Anticorrupción, la UDEF, la UCO o la acción jurisdiccional.

Julio ha tratado el asunto recientemente un artículo titulado “Claves abiertas por el enfoque de riesgos en la fiscalización local. Viaje a lo operativo. Cantidad o calidad” en el número extraordinario 4 (diciembre-2018) de la excelente revista El Consultor. Allí, encontramos un monográfico, coordinado por la funcionaria del Tribunal de Cuentas de España Pilar Jiménez Ríus, dedicado a la auditoria de la gestión pública local, donde una quincena de reconocidos autores abordan las diversas perspectivas del análisis de riesgos en el Plan Anual de Control Financiero implantado tras el Real Decreto 424/2017. En palabras de Julio García:

La introducción del enfoque de riesgos como germen de la fiscalización requiere del interventor local la adopción posicionamientos técnicos específicos. El sector debe autoexaminarse sobre el necesario fortalecimiento en competencias par afrontar con garantías las auditorias operativas. Al mismo tiempo, queda abierto el debate acerca de si se debe apostar por una fiscalización de cantidad o calidad.

En esta tesitura, la profesión del control público debe alzar la voz frente al oportunismo político que emplea el trabajo de interventores y de auditores internos a conveniencia de sus intereses. A saber:

• Como poste al que echar la culpa. Yo no sabía nada. Mi interventor/auditor interno nunca me avisó.
• Como purga y castigo cuando se accede al cargo y se quiere sacar los trapos sucios de un equipo de gobierno sustituido electoralmente.
• Pervirtiendo e hipotecando las actividades de control eficazmente planificadas mediante peticiones caprichosas que solo responden a un interés mediático o político coyuntural.
• Solicitando auditorías o controles como sustitución o soporte de una difícil decisión política, organizativa como la supresión de servicios o la amortización de puestos.

De igual manera y en sentido contrario, Julio García insistió en que el profesional del control público también debe asumir sus inercias, sus controles estériles e ineficientes, esa miopía que pretende sustituir un juicio profesional de valor por una Check list si/no. O esa comodidad que solo mira el control fácil y preestablecido, la regularidad cuando lo adecuado, en su opinión, es realizar una auditoría de gestión. La eficiencia exige comparar y eso ya es más complicado. O realizar auditorías financieras ante flagrantes huidas del derecho administrativo en el ejercicio de potestades publicas cuando no se necesita saber si el balance o la cuenta de pérdidas y ganancias reflejan la imagen fiel, sino que tal empresa pública, tal fundación, tal agencia o consorcio local, simplemente están actuando fuera de la legalidad, su creación no responde a un fin legítimo o su coste para las arcas públicas es inasumible.

Los españoles dejamos en América la figura del “Contralor”.

En resumen, la profesión debe evolucionar para pasar de sólo auditar o solo intervenir a gestionar riesgos. Auditores e interventores deben dejar de denominarse según la modalidad de control que apliquen. Una u otra dependerá del análisis del riesgo a controlar y de la respuesta más adecuada para ello, sea control previo o a posteriori. Pidió el ponente instaurar el termino Controller público.

La gestión de riesgos en el Sector Público requiere de una metodología sistémica e integral que conecte las funciones de gobernanza, de gestión de riesgos y de cumplimiento normativo

Y de entre todos los riesgos, el riesgo de fraude requiere de:

1. Técnicas específicas: auditoría forense, canales de denuncia, investigaciones internas, análisis de operaciones sospechosas, seguridad corporativa, análisis de datos,…
2. Normas. Protocolos específicos de detección y gestión de fraude.
3. Reglamentos y mecanismos de Protección del denunciante ante represalias morales, físicas, laborales, económicas, …

Y la máxima que el conferenciante utilizó como cierre. Por encima de todas estas herramientas técnicas, por muy buenas y perfectas que sean en su configuración, de nada servirán si no hay voluntad política desde las instancias de gobierno público. De nada servirán si no se cambia el paradigma para el que el denunciante, el empleado público o ciudadano externo, deje de ser ese Quijote contra molinos, ese héroe ante la adversidad, para pasar a ser alguien protegido y reconocido por una sociedad democrática anhelante de que cuiden el dinero que con tanto esfuerzo financia su Estado de Bienestar, su Estado de Derecho.