EL CONTROL INTERNO EN UN MARCO DE ADMINISTRACIÓN DIGITAL: ¿RIESGOS?, Sí, PERO MUCHAS OPORTUNIDADES

Entre las muchas definiciones que podemos encontrar sobre el concepto de “control interno” quisiera destacar la definición dada por INTOSAI en su Guía para las normas de control interno del sector público (INTOSAI GOV 9100):

“El control interno es un proceso integral efectuado por la gerencia y el personal, y está diseñado para enfrentarse a los riesgos y para dar una seguridad razonable de que, en la consecución de la misión de la entidad, se alcanzarán los siguientes objetivos gerenciales:

– Ejecución ordenada, ética, económica, eficiente y efectiva de las operaciones,

– Cumplimiento de las obligaciones de responsabilidad,

– Cumplimiento de las leyes y regulaciones aplicables,

– Salvaguarda de los recursos para evitar pérdidas, mal uso y daño”.

Continúa señalando:

“El control interno es un proceso integral dinámico que se adapta constantemente a los cambios que enfrenta la organización. La gerencia y el personal de todo nivel tienen que estar involucrados en este proceso para enfrentarse a los riesgos y para dar seguridad razonable del logro de la misión de la institución y de los objetivos generales”.

Se apuntan aquí ya varias ideas importantes:

• El control interno como un proceso integral (que comprende todos los elementos o aspectos), y que además tiene que ser dinámico (movible, ajustable).

• Todo el personal que participa del control interno tiene que estar preparado y capacitado para poder responder a las nuevas necesidades, o riesgos, que puedan surgir al objeto de que se pueda asegurar que se pueden lograr los objetivos de la organización y que se actúa de acuerdo a la MISION (razón de ser de la organización) de cada organización o ente público.

Una vez asentado el marco normativo del control interno, podemos plantearnos una pequeña reflexión sobre el ejercicio de este control en términos de eficacia y eficiencia. El propio Tribunal de Cuentas de España en sus Normas de Fiscalización, aprobadas por el Pleno el 23 de diciembre de 2013, modificadas por Acuerdo del Pleno de 29 de octubre de 2015, señaló lo siguiente:

“Un sistema de control interno se entenderá adecuado cuando, con unos costes razonables e inferiores a los beneficios que reporte su existencia, proporcione suficiente seguridad de que cubre los siguientes objetivos: salvaguardar los activos o recursos de la entidad, otorgar fiabilidad a los registros contables y garantizar el funcionamiento de la organización de acuerdo con la normativa de aplicación y con los principios de buena gestión”.

Destaca esta afirmación de este órgano tan relevante en el sentido de que introduce un elemento de análisis coste/beneficio. Es decir, el control será adecuado, y será eficaz cuando se logre cumplir con los objetivos señalados a un coste asumible dados los recursos existentes. Es la materialización del siguiente principio: “NO VALE EL CONTROL POR EL CONTROL”: Busquemos la eficiencia en nuestras labores de control.

Aunque el primer órgano encargado de ejercer el control interno es el propio gestor, como máximo responsable de la actividad de gestión pública a ellos encomendada, los órganos de control propiamente dichos, y así determinados en la normativa presupuestaria debemos plantearnos, al menos, las siguientes reflexiones:

• ¿En nuestro modelo actual estamos realizando un adecuado control atendiendo a todos estos objetivos que plantea y exige la normativa presupuestaria? ¿Resulta eficaz y eficiente nuestra labor de control? ¿En qué aspectos podemos mejorar?

• ¿Estamos preparados para afrontas las labores de fiscalización en un nuevo marco/entorno de administración digital?. Veamos en este contexto la nueva realidad de análisis big data, Inteligencia Artificial, automatización de procesos etc. Estos recursos han venido para quedarse y ayudarán notablemente a realizar un control eficaz (consecución de objetivos de control) y eficiente (logro de objetivos con un considerable menor número de recursos financieros, humanos, materiales…).

Es necesario poner sobre la mesa todos aquellos aspectos que van a incidir en el necesario cambio de mentalidad, de proceder y hasta de controlar la gestión pública comparado con la forma en la que tradicionalmente lo hemos venido haciendo.

La oportunidad para avanzar, para ser más eficientes está ahí. Ya podemos disponer de las herramientas necesarias para automatizar, para reducir cargas burocráticas, para agilizar los procesos internos. Es en este entorno informatizado donde podemos y debemos movernos, solo queda aprovecharlo.

Todos somos conscientes de que el ejercicio de la función interventora, tal y como se concibe hoy en día puede ser perfectamente automatizada, al menos en gran parte. La comprobación de los requisitos generales previamente establecidos puede ser perfectamente realizada por una herramienta informática, herramienta que será ajena a cualquier indicio de subjetividad, de colaboración malentendida, de susceptibilidad de error humano. Además de lo anterior, podemos hablar también del conocido “coste de oportunidad”, tan conocido en el argot económico. Este coste es el relativo al hecho de dejar de hacer algo por realizar una actividad, un proceso etc. distinto. Es decir, el tiempo empleado en el ejercicio de esta comprobación limitada puede ser focalizado en otras actividades de control.

¿Qué nos pueden aportar las nuevas tecnologías?

En palabras de Luis Terraza, Supervisor Sindicatura de Comptes de Catalunya, en el foro del XII Encuentro Técnico – VII Foro tecnológico OCEX, nos aporta algunas de las claves de lo que pueden aportar las nuevas tecnologías. Señala que las mismas nos permitirán:

• Realizar análisis de datos más grandes
• Comprender mejor la actividad desarrollada
• Identificar mejor las áreas de riesgo,
• Ofrecer mayor cobertura
• Proporcionar más valor añadido del trabajo.
• Tareas de revisión automatizadas.

Pequeña ilustración sobre el cambio que hemos o estamos afrontando:

En ese foro se plantearon las dos siguientes interesantísimas conclusiones:

• Los que realizamos actividades de fiscalización dedicaremos menos tiempo a tareas de revisión y más a los análisis de los datos y correlaciones obtenidos, con un mayor valor añadido.

• La utilización de técnicas de tratamiento masivo de datos (Big Data) y sistemas de inteligencia artificial aplicadas a la función fiscalizadora, permitirá obtener la totalidad de los datos informáticos de un ente fiscalizado para posteriormente ejecutar los procedimientos de auditoría de forma automatizada.

En cuanto a los posibles beneficios que puede aportar el big data, podemos señalar los siguientes[1]:

• Transparencia: En la medida que los entes de control sean capaces de proporcionar información a los ciudadanos, mediante la gestión de la información y documentación generada a través de Big Data se fortalecerá el sistema de transparencia y rendición de cuentas de la administración pública.

• Exactitud y precisión: Las herramientas de Big Data permiten establecer un universo mayor de la información analizada, lo que genera una mayor confianza en la exactitud de las pruebas y resultados obtenidos, disminuyendo los riesgos existentes en la ejecución de procesos de control.

• Toma de decisiones: Un efectivo modelo de análisis de la información garantizará que las fuentes de información usadas para el análisis de los datos mediante herramientas de Big Data generen información oportuna y en tiempo real que permitan tomar las decisiones acertadas.

• Potencial: El uso efectivo de los datos a través de sistemas analíticos permitirá transformarlos en información útil permitirá ser más eficientes en la administración y manejo de los datos.

En cuanto a sus limitaciones se señalan las que siguen:

• Infraestructura tecnológica: Las entidades deberán superar las restricciones presupuestarias y la dificultad para estimar la rentabilidad de desarrollar y adoptar la tecnología necesaria y requerida para almacenar, procesar y analizar adecuadamente altos volúmenes de información a la velocidad requerida.

• Recursos humanos: Esto representa una de las mayores limitantes que se puede presentar en las entidades fiscalizadoras, disponer del capital humano necesario y capacitado para explotar el potencial de dicho desarrollo tecnológico, basado en que la complejidad de los sistemas de Big Data, necesitará de equipos técnicos totalmente dedicados a dar soporte a la plataforma, a nivel de infraestructura y para el tratamiento de la información mediante el conocimiento de técnicas, procesos y metodologías para interpretar y sacar valor de los datos.

• Identificar los datos útiles: Con el volumen y variedad de la información que existe en las entidades fiscalizadoras, otra limitante es la identificación de los datos útiles y su aprovechamiento mediante la implementación del Big Data.

• Definir claramente los objetivos: Se debe estar claro en cuál es el objetivo que se quiere alcanzar mediante la utilización de grandes volúmenes de datos a fin de mejorar la toma de decisiones y una adecuada implementación de Big Data para su correcta aplicación.

• Políticas de seguridad: Con la implementación del Big Data la seguridad informática constituye un factor importante a considerar en las entidades de control, en vista, que se deberán fortalecer o rediseñar los esquemas de seguridad de la información actuales a fin de tener la capacidad de respuesta frente a incidentes que se presenten en el futuro.

ASPECTOS ORGANIZATIVOS Y DE GESTION DE LOS RECURSOS

Teniendo en cuenta estos beneficios y limitaciones que aportan estos nuevos medios tecnológicos, podemos entrar en el análisis concreto de la organización de los recursos para afrontar los nuevos retos:

¿Cuál debe ser el objeto de control predominante? – Apostamos por una u otra modalidad de control. La propia Ley ya señala que tipo de modalidad de control se debe adoptar atendiendo a la naturaleza y características del ente público, pero yo no me refiero a esto. A lo que me refiero es a dónde queremos llevar el potencial de nuestra actuación, dónde agruparemos medios y recursos para resultar efectivos. Si centramos en demasía medios humanos y materiales en la fiscalización previa, olvidándonos de la calidad y materialidad del control financiero estaremos haciendo algo mal y, además, como ya he señalado anteriormente, no cumpliremos con el mandato del legislador. Lo mismo puedo decir en favor de la auditoría pública.

Me voy a parar un poco más en esta última modalidad de control: la auditoria. Sinceramente pienso que es la modalidad de control más estratégica y transversal de todas. Las otras dos modalidades: FI y CFP, se realizan en un entorno mucho más limitado o segregado, aunque es cierto que con CFP, entendido y trabajado de una forma agregada, permite obtener evidencias sobre todos aquellos aspectos de la gestión que pueden ser mejorados, interviniendo de forma notable en la mejora de la gestión.

Y es que es precisamente en la auditoría donde la actividad controladora puede tener un mayor impacto y posibilidad de interferir en la gestión realizada al objeto de que la misma sea mejorada. Todo ello deriva principalmente de la característica propia de este control, y que no es otro que al tratarse de un control posterior está dotado de una mayor información que posibilita un mayor análisis de aquellos aspectos de la gestión con una mayor repercusión económico-financiera, o bien, de aquellos que ostentan un mayor riesgo de irregularidades etc. Todo ello realizado tanto desde la óptica del cumplimiento de legalidad como de la verificación de la gestión a los principios de buena gestión financiera.

Precisamente por la característica anteriormente citada, mediante el empleo y aprovechamiento de la administración electrónica, como generadoras de DATOS, y con las nuevas tecnologías (BIG DATA, la INTELIGENCIA ARTIFICIAL…) deberíamos ser capaces de incrementar exponencialmente nuestra capacidad de análisis y de cumplimiento de unos objetivos que, ahora sí, pueden ser más ambiciosos. Otro aspecto fundamental que debe ser prioridad en esta modalidad es la necesidad de seleccionar adecuadamente el conjunto de auditorías a realizar y que se plasman en los sucesivos planes anuales de auditorías que se apruebas por las diferentes Intervenciones Generales.

Pensemos ahora en cómo estamos distribuidos, ¿Qué criterios se han seguido para determinar las plantillas? ¿Qué calidad tienen nuestras actividades de control? Ej: reparos, observaciones, actuaciones de control permanente: memorandos, informes definitivos, controles horizontales… ¿Estamos midiendo esta actividad fiscalizadora, en sus distintas modalidades? ¿Qué reporta cada una de ellas en términos de proponer mejoras en la gestión? ¿Cómo podemos ser más eficaces e “incisivos” (en el buen sentido de la palabra) a la hora de proponer recomendaciones de mejora?

En definitiva, deberíamos afrontar esta realidad. Los tiempos cambian, las necesidades son otras, las demandas de una ciudadanía mucho más preocupada por los asuntos públicos son mucho más exigentes. Por todo ello, debemos ser capaces de adaptarnos y tomar las decisiones que sean necesarias para que podamos estar orgullosos de realizar actividades de control que realmente supongan mejoría en la gestión, en definitiva, en la ejecución de las políticas públicas y en la prestación de un servicio de calidad a los ciudadanos (ej. rendición de cuentas).  

Este es sin duda el gran reto que debemos afrontar. Tenemos las herramientas jurídicas para llevarlo a cabo, solo falta apostar por el empleo de las nuevas tecnologías disponibles y que tan beneficiosas pueden resultar. Estas nuevas tecnologías y los datos generados por el expediente electrónico nos pueden ofrecer, sin lugar a dudas, una oportunidad única para ayudar en este análisis de buscar la mejor forma para afrontar los nuevos retos del control interno. La transformación digital en la que estamos inmersos debe servir de catapulta para cambiar la mentalidad de control hasta ahora existente.

En este entorno del que estamos hablando, de administración digital y de nuevas tecnologías, hay que analizar la pertinencia y suficiencia de aquellos recursos humanos, materiales y financieros que se antojen necesarios para garantizar el correcto ejercicio de nuestra función. La gestión por objetivos precisamente pretende medir el grado de consecución de objetivos, todo ello medido a través de indicadores de gestión, que bien definidos y configurados puedan dar una información importantísima sobre dónde se precisa de un mayor impulso, dónde se requiere una mayor dotación de recursos etc.

La formación y perfeccionamiento del personal controlador es otro de elementos que no deben ser olvidados y tener como pilar básico en la estrategia general definida en la propia dirección del órgano de control. La extensión y dispersión normativa, los reiterados cambios normativos a los que nos enfrentamos continuamente, el amplio espectro de materias que deben o pueden ser objeto de control y, para más inri, tenemos que “aprender” a manejarnos con las nuevas tecnologías.

Esta demanda de esfuerzo debe verse refrendada con apoyo en dos grandes elementos:

• La autoformación y enriquecimiento de conceptos, practicas, técnicas de control entendido en un ámbito individual. Este entorno cambiante, y cada vez más complejo, precisa que cada uno de nosotros estemos en continua autoevaluación de conocimientos. Para contrarrestar la posible resistencia al cambio se debe precisamente implantar un sistema de evaluación continua (también llamado ciclo de evaluación continua), favorecer una mayor rotación del personal, potenciar la especialización en materias concretas etc. Podemos destacar en este aspecto que estamos ante una situación “RENOVARSE O MORIR”.

• El aprendizaje y formación ofrecido por los órganos encargados de la gestión del personal (ámbito de cuerpo, de grupo). La apuesta por esto debe ser clara: aunque implique un relativo coste, esta formación, sin duda, revertirá positivamente en una mejor praxis en el ejercicio de las labores de control (no hablemos, por tanto, de gasto sino de inversión).  Debemos tener también presente la necesidad de incorporar perfiles TIC que permitan ayudar y extraer el máximo potencial a todo este conjunto de medios informáticos.

RIESGOS EXISTENTES O EMERGENTES EN UN ÁMBITO DE ADMINISTRACION ELECTRONICA Y DE NUEVAS TECNOLOGÍAS. LA IMPORTANCIA DE LAS AUDITORÍAS DE SISTEMAS Y PROCEDIMIENTOS.

No cabe duda que el actual marco existente, con la implantación (aún por mejorar) de una administración electrónica y con unas tecnologías cada vez más potentes y que ofrecen unos recursos potencialmente ilimitados, debemos tener en cuento también los posibles riesgos que pueden surgir cuando procedemos a realizar actuaciones de control en un entorno digital e informatizado.

Como ya hemos señalado, la eficacia y eficiencia en estas labores de fiscalización será mucho mayor (análisis masivo de datos, automatización, análisis de riesgos, mejora en el proceso de toma de decisiones, lucha contra el fraude y corrupción etc. PERO…, claramente estos medios pueden resultar perniciosos si son inadecuadamente utilizados (podemos llegar a conclusiones equivocadas), o bien, ser susceptibles de riesgos, tales como los relativos a la ciberseguridad, de las propias deficiencias que puedan plantear los sistemas de gestión y/o de información (económica, contable etc.) etc.

Es aquí donde debemos reorientar la planificación de las auditorías, tendiendo a la realización en mayor medida de auditorías relacionadas con este entorno digital y electrónico.

El journal del Tribunal de Cuentas Europeo dedicó a principios de este año un interesante ejemplar monográfico (1/2020) a estas reflexiones con los mejores conocedores del entorno digital:

“La necesidad de mantenerse al día con los avances tecnológicos es algo que la profesión de auditoría interna no puede permitirse ignorar. La gran velocidad del cambio significa que tenemos que anticiparnos, planificar y reaccionar de formas que muchos hubieran encontrado inimaginables hace tan solo unos años.

Tenemos que aprovechar esas herramientas y tecnologías que nos permitan evaluar mejor no solo los riesgos a los que se enfrenta la Comisión en este entorno cada vez más desafiante, sino también los controles establecidos para mitigarlos. Sin embargo, también necesitamos el talento y las habilidades adecuados para hacer esto en un mercado muy competitivo (…)”.

Para precisamente tratar de mitigar estos riesgos, los distintos órganos de control externo (ICEX) han previsto a través de varias de las GPF-OCEX (Guías de trabajo de fiscalización) un conjunto de pruebas a realizar por los auditores al objeto de emitir una opinión sobre la fiabilidad (o no) de estos sistemas o riesgos:

En definitiva, tal y como señala la GPF-5330:

“la finalidad de los controles generales de un entorno informatizado es establecer un marco general de control y confianza sobre las actividades del sistema informático y asegurar razonablemente la consecución de los objetivos generales de control interno y el correcto funcionamiento de los controles de aplicación”.

Las siguientes guías de fiscalización son las relacionadas con controles relativos a los sistemas de información propiamente dichos:

• GPF-OCEX 5311- Ciberseguridad.
• GPF-OCEX 5312- Glosario de Ciberseguridad.
• GPF-OCEX 5313- Guía básica de Ciberseguridad.
• GPF-OCEX 5330- Revisión de los controles generales de tecnología de información en un entorno de administración electrónica.
• GPF‐OCEX 5340- Los controles de aplicación: qué son y cómo revisarlos.
• GPF‐OCEX 5370- Guía para la realización de pruebas de datos.
• GPF‐OCEX 1403- Consideraciones de auditoría relativas a una entidad que utiliza una organización de servicios de computación en la nube.
• GPF‐OCEX 1503- La evidencia electrónica de auditoría.

Comprender la actividad y el funcionamiento de la entidad y de los principales procesos de gestión, incluye entender cómo se emplean las aplicaciones informáticas para soportar esos procesos.

Actualmente, en una auditoría financiera basada en el análisis de los riesgos realizada de acuerdo con la ISSAI‐ES 200, el estudio y revisión de los sistemas de información en los que se sustenta la gestión de una entidad (empresa o fundación pública, ayuntamiento, administración de la comunidad autónoma, etc.) se ha convertido en una actividad de importancia creciente, en la medida en que esa gestión se apoya en unos sistemas de información interconectados que, con la plena implantación de la administración electrónica, han ido adquiriendo una complejidad cada vez mayor. Esta situación ha generado una serie de nuevos e importantes riesgos de auditoría (inherentes y de control) que deben ser considerados en la estrategia de auditoría. 

El objetivo de la auditoria de los controles de tecnologías de la información será obtener una seguridad razonable de que el sistema de control interno proporciona una seguridad razonable sobre la confidencialidad, integridad, autenticidad, disponibilidad, y trazabilidad de los datos, la información y los activos de los sistemas de información. Con este objetivo, será indispensable que el equipo de fiscalización cuente con la colaboración de especialistas en auditoría de sistemas de información (internos o externos).

CONCLUSIONES

1.- La administración digital es una realidad. El entorno en el que nos movemos y ejercernos nuestra función de control se encuentra prácticamente informatizado. No debemos ser ajenos a esta realidad y debemos apostar por confiar y sacar el máximo rendimiento a los datos que nos proporciona este entorno.

2.- En cuanto a las tareas/modalidades de control, la automatización de procesos (especialmente los que engloban la función interventora) nos va a permitir emplear una mayor cantidad de recursos (humanos, temporales, materiales) en las otras dos modalidades de control, más completas (por decirlo de alguna manera) para verificar la gestión pública (van mucho más allá del simple control de legalidad).

3.- El aspecto organizativo será otra de las claves en todo este proceso de transformación. Sería un error seguir acumulando recursos en las tareas propias de la función interventora mientras podemos tener infradotados los medios para ejercer el CFP o la auditoria pública. Es esencial el papel que puede jugar la División de CFP y AUDITORIAS en su proceso de toma de decisiones sobre la orientación y configuración del marco de control a realizar. Esta toma de decisiones estará basada en la información extraída de las propias Intervenciones Delegadas o de las herramientas informáticas.

4.- La existencia de este entorno digital, de aparición de nuevas tecnologías (IA, BIG DATA etc.) no es ajeno a la aparición de nuevos riesgos que, como órganos de control que somos, demos afrontar. Aquí debe cobrar un papel fundamental la realización de auditorías operativas, en concreto, de sistemas y procedimientos, de ciberseguridad, de análisis de la gestión en un entorno de administración electrónica.

[1] Ventajas de la utilización del Big Data en el proceso auditor- OLACEF (Nicaragua 2018).