Ecos del IX Congreso Nacional de Auditoría del sector público (II)

en por Antonio Arias Rodriguezen Auditoría, e-Administración

La semana pasada tuvimos ocasión de escuchar un interesante panel de cierre del IX Congreso Nacional de Auditoría del sector público, moderado por Miguel Ángel Cabezas, presidente de honor de FIASEP.

Participaron Dolores Genaro Moya. Consejera del Tribunal de Cuentas, Jorge Castejón Director de la Oficina Nacional de Auditoría de la IGAE, Roberto Fernández Llera. Síndico Mayor de la Sindicatura de Cuentas del Principado de Asturias y Enrique Benítez Consejero de la Cámara de Cuentas de Andalucía. Un lujo de fiscalizadores  cuyas intervenciones resumo a continuación.

Dolores Genaro recordó que, en el caso concreto del sector público español, el índice DESI (Digital Economy and Society Index) nos sitúa en 2020 en segundo lugar de la Unión Europea en el grado de digitalización de nuestros servicios públicos, lo es consecuencia, sin duda, del gran esfuerzo realizado en este ámbito en los últimos años. Mencionó 0tros estudios a nivel europeo, como el eGovernment Benchmark 2020, también nos sitúan por encima de la media europea en digitalización como resultado de un crecimiento sostenido en la penetración de las TIC en nuestro sector público.

En este contexto, reconoció que las Instituciones de Control Externo (ICEx) no pueden permanecer ajenas a esa transformación digital: “esa preocupación nos llevó a constituir en septiembre de 2018 una Comisión de Coordinación TCU-OCEX para el impulso de la Administración Electrónica, como un foro en el que lograr sinergias aunando esfuerzos”.

El Tribunal de Cuentas ya comenzó a transitar este largo camino hacia la transformación digital hace unos años creando en 2015 de la Comisión de Estrategia TIC (CETIC), conformada por la presidenta y dos consejeras, aportando una estrategia definida a medio plazo sobre tres pilares: “Rendición de cuentas e intercambio de información de forma telemática; intensificación en el uso de herramientas de auditoría que permitan agilizar los procedimientos de fiscalización y progresar en el análisis de datos; y desarrollo de una plataforma electrónica de tramitación interna de todos los procedimientos de la institución”. La ejecución de dicha estrategia implica incrementar los recursos financieros y humanos dedicados afrontar la inversión requerida en herramientas y proyectos; sin olvidar un firme compromiso de los máximos órganos directivos para superar los retos y enfrentarse a las amenazas que conlleva el propio proceso de transformación digital.

En las próximas semanas tendremos un número especial de la Revista Española de Control Externo dedicado a la transformación digital del sector público y del control externo, con magníficas colaboraciones.

Terminó haciendo una referencia a la experiencia vivida durante los meses de confinamiento y la situación posterior: “si bien la institución ha logrado continuar llevando a cabo sus funciones con una cierta normalidad gracias al esfuerzo que se ha venido realizando, aún persiste la necesidad de avanzar en la implantación y el uso de la tecnología para poder continuar la labor de control a pesar de los retos que el teletrabajo y la auditoría en remoto están planteando al conjunto de las instituciones de control externo”.

Digitalizar no es gratis

Jorge Castejón comenzó pintando el escenario: “Las organizaciones que nos dedicamos a la auditoría pública afrontamos la transformación digital en dos niveles; cómo nos afecta incorporación de herramientas tecnológicas por parte de las entidades auditadas y cómo afrontamos la trasformación de nuestra propia actividad auditora”.

Sobre la primera de las cuestiones, la brecha que puede haber en los procesos de digitalización en el ámbito público y en el ámbito privado le parece significativa por dos factores:

  • Los objetivos del sector privado están marcados por la obtención de un beneficio económico que será tanto mayor si se incorporan mecanismos que mejoren la eficiencia del proceso y la calidad de los productos o servicios ya que ello lleva a un mejor posicionamiento en el mercado. Sin embargo, los incentivos de los decisores políticos para mejorar el funcionamiento de las administraciones son más limitados.
  • Marco regulatorio: la actividad administrativa está fuertemente reglamentada por lo que la incorporación de las TICs está muy limitada por la necesidad de cambios normativos generales. Además, está condicionado por el grado de madurez de la población objetivo de la actividad administrativa, ya que ello puede limitar la digitalización de sus relaciones.

Para Castejón, la función auditora debe adaptarse a los cambios que se produzcan en las entidades públicas con tres cautelas:

  1. Unos sistemas de información contable que están generalmente extendidos en su uso, lo que afecta directamente a la auditoría financiera. “En otros ámbitos de la gestión no ocurre así. Es rara la existencia de sistemas de información de la gestión contractual, de la gestión de subvenciones, de la gestión de los ingresos o la tesorería o sistemas integrados de gestión de personal, por lo que las auditorías públicas en este tipo de áreas deben ser adaptadas”.
  2. Evolución de los sistemas: “hoy, se apuesta por la digitalización, entendida como estructuración y capacidad de análisis automático de la información, acompañada de una reingeniería de procesos que permita la convergencia entre procedimientos y tecnología
  3. La propia evolución en la transformación digital del ente auditado emerge una ingente cantidad de información estructurada o con capacidad para su estructuración que dispara las posibilidades de análisis por el auditor a través de la analítica de datos y de la tecnología asociada. Aunque proliferan las amenazas de seguridad en las distintas dimensiones de confidencialidad, disponibilidad, integridad, trazabilidad y autenticación, y en definitiva sobre la fiabilidad de la información que pasan a ser objeto fundamental del trabajo del auditor.

Debemos tener una visión amplia y ser palanca de cambio conformando equipos mixtos de auditoría (privados y públicos), formaciones y consultorías de entidades más avanzadas (públicas o privadas) incentivando la transformación no solo en los órganos de control sino también en las propias entidades públicas auditadas.

El ponente entiende que la adaptación a estos cambios supone la incorporación de, al menos, las siguientes respuestas del auditor:

  • Las auditorías de sistemas de información: fiabilidad e integridad de la información (perfiles del auditor)
  • El impacto de la externalización de los servicios a terceros en la forma de auditar: aplicación de la NIA-ES-SP 1402

En segundo lugar, valorar qué procedimientos de fiscalización son considerados claves para la mejora en las prácticas auditoras, buscando el binomio eficiencia y seguridad en la opinión. Aquí, la incorporación de paquetes de ofimática, de herramientas de reconocimiento óptico de caracteres (OCR) y herramientas de gestión de las auditorías o las relaciones con el auditado mediante sistemas electrónicos, la adaptación del trabajo auditor se debe centrar en herramientas de analytics, de muestreo, de RPA.

Pero todo este proceso no es gratis apuntando al menos tres los retos existentes:

  1. La inversión de recursos humanos con un perfil compatible con estas tecnologías
  2. La inversión económica en herramientas que permitan estos procesos
  3. La gestión del cambio cultural para “pensar en digital”.

Además, debe tenerse en cuenta el tamaño de las organizaciones auditoras y su grado de especialización que es una cuestión recurrente, sobre todo, en el ámbito local.

Una nueva ICEx

El Dr. Fernández Llera planteó la transformación digital en la auditoría pública como un problema matemático de optimización condicionada, sujeta sin embargo a numerosas restricciones.

En primer lugar, la obvia restricción presupuestaria, de tal forma que no se puede predicar una inmersión tecnológica si no se dotan presupuestos suficientes en los OCEX (por supuesto, no solo en dotación informática, sino también en personal) para acometer el desafío.  Una segunda restricción es la normativa, puesto que la realidad suele ir por delante de la ley y muchas veces queremos hacer lo que ni siquiera la norma nos habilita. Esta restricción, por fortuna, debe ir cediendo, sobre todo si apostamos por el pleno desarrollo de las leyes 39 y 40 de 2015, sin más dilaciones.

La tercera restricción es la burocrática: “Nadie puede negar que la inercia o la resistencia del sector público es muy fuerte frente a la innovación, también en el ámbito digital. Hay que innovar la tradición o, de otro modo, seguiríamos todavía cazando y comiendo carne cruda”. Avisó de no crear nuevos “ciberburócratas” o inercias digitales que sustituyan a inercias analógicas.

Una cuarta restricción es, evidentemente, la tecnológica. Como ocurre con la ley, a veces la tecnología nos estrecha el camino, pero en modo alguno debe ser una disculpa: “Lo que hay que hacer es aprovechar la tecnología que tenemos hoy disponible (que no es poca) y no aspirar a “lo mejor”, que siempre es enemigo de “lo bueno”.

Y por supuesto, mencionó la restricción volitiva, la más importante, en su opinión, por ser una envolvente de todas las demás: “La que nos hace avanzar en digitalización (y en otros ordenes de la vida) porque queremos hacerlo. A la inversa, si falta la voluntad del fiscalizado, del fiscalizador o de los terceros (parlamentos incluidos), tampoco podremos”. Puso como ejemplos, reivindicar la plena compartición de bases de datos (Banco de España, Seguridad Social, Agencia Tributaria…), con el evidente respeto a los datos protegidos, pero sin más impedimentos o prevenciones de acceso para los OCEX o el Tribunal de Cuentas.

El ponente reivindicó el papel de los OCEX en la transformación digital de la auditoría pública y ensalzó el vanguardista acervo técnico-normativo de los OCEX, integrado por las ISSAI-ES, las NIA-ES-SP (aplicables por los OCEX desde el 1 de enero de 2021) y las guías prácticas de fiscalización (GPF-OCEX). En materia de digitalización, hay un conjunto de normas y guías que no se encuentran en los manuales de auditoría al uso, y que son seña de identidad y “fruto maduro” de la cooperación entre OCEX a través de Asocex. Entre otros aspectos, las GPF-OCEX se ocupan de la computación en la nube, la evidencia electrónica de auditoría, la ciberseguridad o los riesgos digitales.

Una de las GPF-OCEX, la 5300 se ocupa expresamente de la auditoría de sistemas de información. Como ejemplos de informes de fiscalización que se pueden acometer con este hilo conductor están los de análisis de la fiabilidad de los datos de los sistemas de información, los de cumplimiento en los procesos de gestión de los sistemas de información, los que buscan proporcionar seguridad de que los recursos digitales permiten alcanzar los objetivos de la organización y, cómo no, los de evaluación del nivel de ciberseguridad de la entidad fiscalizada.

Por último, el ponente recordó la plena vigencia de algunas conclusiones formuladas en lejanos encuentros técnicos de los OCEX, donde por ejemplo se abogaba por la multidisciplinariedad del personal técnico al servicio de los OCEX (Pamplona 1987) o por un régimen jurídico especial para dicho personal especializado, incluyendo el acceso y la promoción, las funciones y el régimen de compatibilidades (Las Palmas de Gran Canaria 1996). En esta tercera década del siglo XXI todo ello debe formar parte del “menú” de la digitalización o dentro de 30 años nos veremos hablando de lo mismo.

El nuevo auditor

Enrique Benitez abordó, entre otros temas, el tema de la Robotic Process Automation (RPA); una realidad ya palpable en el ámbito de la gestión pública y también en el terreno de la auditoría. Su utilización y sus posibles consecuencias se entienden con un ejemplo concreto que puso: El 31 de julio de 2020, el diario ABC recogía una noticia ilusionante: «La Junta de Andalucía utiliza por primera vez robots capaces de tramitar hasta 2.500 ayudas en un solo día». En efecto, más de 67.000 expedientes fueron tramitados y pagados gracias a la ayuda de esta herramienta maravillosa. Su presupuesto total, que se adjudicó a la consultora Ernst & Young, apenas superó los 105.000 euros.

Sin duda es una iniciativa loable a la que se debería dar mucha más publicidad de la que ha recibido. Sin embargo, algunos autores invitan a la cautela. Desde el punto de vista del control externo surgen varias preguntas: ¿se ha completado en todos los casos el correspondiente expediente administrativo? ¿Han accedido a la ayuda todos los posibles beneficiarios? ¿Todos los que han percibido la ayuda reunían los requisitos para cobrarla? ¿Qué ha dicho el control interno de la Junta de Andalucía sobre este tema?

Una segunda implicación parece obvia. De la misma manera que no tiene sentido que los Órganos de Control Externo aborden procesos de modernización tecnológica más avanzados que los de las instituciones públicas sometidas a su control, puede ocurrir exactamente lo contrario: que la carrera tecnológica de las administraciones públicas y su uso de herramientas avanzadas de gestión automatizada de procesos impidan de hecho su fiscalización correspondiente. Un asunto muy relevante y que debe ser objeto de atención prioritaria.

Benítez abordó en su exposición algunas ideas que desarrolla también en un brillante artículo del número monográfico dedicado al IX Congreso. Interesa especialmente la cuestión de las nuevas capacidades y habilidades que se necesitan en la profesión auditora. Repasando la bibliografía más reciente, se pregunta sobre el valor del auditor «humano» en un sistema automatizado de auditoría donde es crucial prestar atención a las interacciones hombre/máquina, y tratar de corregir las posibles «limitaciones cognitivas»: «Lo que para muchos puede ser una oportunidad, para otros tantos puede acabar siendo una verdadera pesadilla».

Concluyó con seis ideas finales básicas:

  • Las soluciones tecnológicas basadas en aplicaciones de IA ya se están usando y van a crecer en los próximos años.
  • La RPA nos obliga a realizar auditorías de sistemas y códigos fuente si queremos hacer un adecuado control externo del uso de los fondos movilizados.
  • Los asistentes virtuales inteligentes constituyen una herramienta de apoyo al trabajo de los auditores.
  • El uso de big data puede servir para afinar muestras pero presenta ciertos riesgos legales que es necesario tener en cuenta.
  • Existen consideraciones éticas derivadas de la digitalización y sus implicaciones para la profesión de auditor que es obligatorio incorporar a los métodos de trabajo.
  • Se requieren nuevas habilidades, tanto técnicas como por ejemplo comunicativas, que deben proporcionarse a los auditores.

Interesantes reflexiones de cuatro grandes ponentes, quizás los más punteros y solicitados del momento.

 

6 comentarios en “Ecos del IX Congreso Nacional de Auditoría del sector público (II)

  3. Pingback: El triángulo del fraude se jubila – Fiscalizacion.es

  4. Pingback: Ciberseguridad. Los ricos también lloran. – Fiscalizacion.es

  5. Pingback: El análisis de los ciberriesgos como rutina del auditor. CCIL21 (2) – Fiscalizacion.es

  6. Pingback: Algoritmos y decisiones públicas: últimas novedades – Fiscalizacion.es

Gracias por comentar con el fin de mejorar

Introduce tus datos o haz clic en un icono para iniciar sesión:

Gravatar
Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Cancelar

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.