El papel de la gestión de riesgos en la auditoría pública: ¿el cuchillo de palo en la casa del herrero?

 El papel de la gestión de riesgos en la auditoría pública: ¿el cuchillo de palo en la casa del herrero?

José Miguel González Tallón
Interventor y Auditor del Estado
Interventor Delegado en la AEAT

 


RESUMEN:
La auditoría pública debería asumir la necesidad de aplicar en su propio ámbito de actividad la gestión de riesgos o cualquier otra modalidad de control interno enfocada al cumplimiento de objetivos. Para ello, y como requisitos conceptuales previos, por una parte, debería hacerse explícito que el control interno debe aplicarse a la propia auditoría pública y no sólo a la gestión auditada y, por otra, debería interiorizarse que los objetivos de la auditoría pública deben formularse en términos de resultados de mejora de la gestión pública, alejándose de visiones vinculadas a la mera realización de las actividades planificadas. En este artículo se argumenta lo anterior y se lleva a cabo un análisis de los principales procesos en la auditoría pública, con base en el que se propone un esquema de trabajo que podría servir como referencia para una aplicación inicial de la gestión de riesgos por una unidad de auditoría de una entidad pública.

The public audit should assume the need to apply in their own area of activity, the risk management or any other form of internal control focused on achieving objectives. To do this, as previous conceptual requirements, on one hand, it should make explicit that the internal control should be applied to the public audit itself and not only to the audited management and, on the other hand, it should internalize that the goals of the public audit should be formulated in terms of results to improve governance, away from visions related to the mere realization of planned activities. In this paper we argue foregoing and we carry out an analysis of the main public audit processes, proposing a scheme of work that could serve as a reference for an initial application of risk management by an audit unit of a public entity.

PALABRAS CLAVE:
Gestión de riesgos. Objetivos y resultados de la auditoría pública. Control interno. Modelo de control. Procesos de auditoría pública.


PLANTEAMIENTO

Las referencias a la gestión de riesgos corporativos (habitualmente en el marco del modelo propuesto por el Comité de Organizaciones Patrocinadoras de la Comisión Treadway, COSO) se han vuelto un hecho frecuente en el ámbito de la gestión empresarial en general y de la gestión financiera en particular. La cada vez mayor relevancia de la gestión de riesgos corporativos (GRC) hay que entenderla relacionada con el incremento en las exigencias a las que están sometidas las empresas para que acrediten de modo creíble la información que aportan respecto a su situación financiera y, más en general, respecto al cumplimiento de sus objetivos.

Teniendo en cuenta lo anterior, no resulta obvio el papel que la gestión de riesgos podría desarrollar en el contexto de la auditoría pública ya que, por una parte, la GRC parece estar vinculada al ámbito empresarial y, por otra, se aborda desde el punto de vista de su responsable o gestor. Es decir, parece pensada para la gestión (y privada) y no para la auditoría (y pública).

El objetivo de este texto será, precisamente, intentar mostrar la relevancia que la gestión de riesgos podría tener para favorecer el cumplimiento de los objetivos de la auditoría pública. Junto a ello, se lleva a cabo un análisis de los principales procesos en la auditoría pública, con base en el que se propone un esquema de trabajo que podría servir como referencia para una aplicación inicial de la gestión de riesgos por una unidad de auditoría de una entidad pública.

EL RIESGO Y SU GESTIÓN

Un arranque obligado parece ser preguntarse, desde el punto de vista de la actividad o la gestión general (no específicamente auditora), ¿qué es un riesgo? Esta pregunta se contesta en el Marco Integrado de Gestión de Riesgos Corporativos del COSO (en adelante, GRC COSO) indicando que un riesgo (evento) es un incidente o acontecimiento, derivado de fuentes internas o externas, que afecta a la implantación de la estrategia o a la consecución de objetivos.

De acuerdo con ello, y es un punto importante, lo que hay detrás de un riesgo es, básicamente, la posibilidad de incumplir un objetivo. Así pues, hablar de riesgos debe verse, en buena medida, como equivalente a hablar de objetivos.

Lo anterior nos lleva a la siguiente pregunta: ¿cómo se gestiona el riesgo? La respuesta también nos la da el propio modelo GRC COSO cuando define la gestión de riesgos corporativos como un proceso efectuado por el consejo de administración de una entidad, su dirección y restante personal, aplicable a la definición de estrategias en toda la empresa y diseñado para:

–       identificar eventos potenciales que puedan afectar a la organización,
–       gestionar sus riesgos dentro del riesgo aceptado y
–       proporcionar una seguridad razonable sobre el logro de los objetivos.

Sin embargo, esta definición, por su propia generalidad, no puede detallar los procesos implicados en esta gestión de riesgos. Para ello es preciso analizar el desarrollo que propone el COSO para la GRC, análisis que, a los efectos de este artículo, se puede sintetizar identificando los siguientes puntos o actividades:

–       Identificar objetivos.
–       Analizar riesgos.
–       Establecer medidas mitigadoras de los riesgos.
–       Realizar un seguimiento del proceso.

Sin perjuicio de su interés, no es el objeto de este artículo profundizar en el contenido de cada una de estas actividades, para lo que ya se dispone de abundante documentación, sino analizar lo que de peculiar podría tener la realización de estas actividades (o, en otros términos, la aplicación de la gestión de riesgos) en el ámbito de la auditoría pública.

LA GESTIÓN DE RIESGOS Y LOS OBJETIVOS DE LA AUDITORÍA PÚBLICA

Si como hemos planteado anteriormente, las actividades o fases que integran la gestión de riesgos son la identificación de objetivos y riesgos y la aplicación de medidas mitigadoras y de seguimiento, la primera cuestión a concretar deberá ser cuáles son los objetivos de la auditoría pública y cuáles son los riesgos que afectan a este objetivo.

Para aclarar esta cuestión, se propone enfocarla en tres diferentes niveles de análisis o, dicho de otro modo, tres diferentes tipos de objetivos dependiendo de la auditoría pública en la que, en cada caso, se focalice el análisis.

Esos tres niveles propuestos para el análisis de la auditoría pública son los siguientes.

–       Una auditoría específica con un alcance definido, como podría ser, por ejemplo, una revisión de la gestión de personal en un organismo público concreto.
–       El control de un organismo público (o de un ámbito de gestión pública homogéneo y bien delimitado), suponiendo la existencia de una unidad de control dedicada a ello con competencia para planificar su trabajo, que se concretaría en una serie de auditorías específicas como las del punto anterior.
–       El control de un sector público en su conjunto (estatal, autonómico, local), desarrollado por un centro directivo (tribunal de cuentas, sindicatura, intervención general, consejería, dirección de control) con competencia para planificar y supervisar las actuaciones de auditoría desarrolladas por unidades de auditoría del tipo descrito en el guion anterior.

Es importante resaltar que una correcta definición de objetivos necesariamente debe estar vinculada a la obtención de resultados finales (y no limitarse a la mera realización de actividades) pues en otro caso existirá una alta probabilidad de terminar aplicando procedimientos que, en el mejor de los casos, garantizan la realización de las actividades previstas pero no que estas actividades aseguren la obtención de los resultados previstos.

En tal sentido, el objetivo principal de cualquier auditoría pública debería verse, en mayor o menor grado, vinculado con la generación de información apropiada, relevante y pertinente sobre un determinado ámbito (mayor o menor) de gestión pública, en el sentido de que sea información útil para la toma de decisiones tanto del responsable de la gestión como de sus supervisores.

Ese objetivo de generar información que promueva la mejora en la gestión se podría expresar diciendo que el objetivo del auditor público es promover que el responsable de la gestión auditada persiga correctamente sus propios objetivos, identificando y corrigiendo desviaciones en los resultados conseguidos tanto cuantitativas (se hace menos de lo que se tenía que hacer o a un coste excesivo) como cualitativas (se hace algo distinto de lo que se tenía que hacer).

LA CONEXIÓN ENTRE LOS OBJETIVOS Y LOS RIESGOS: EL PAPEL DE LOS PROCESOS.

El planteamiento anterior, desde el
punto de vista de la identificación de los riesgos, tiene más valor explicativo que operativo ya que, a un nivel tan general como el de los objetivos de máximo nivel de la auditoría pública, no es fácil concretar riesgos a los que a su vez sea posible vincular medidas mitigadoras realmente aplicables.

Siendo así, se plantea la necesidad de intermediar entre objetivos y riesgos con algún elemento que permita esa materialización y concreción que asegure la eficacia del modelo. Ese elemento se puede identificar con los objetivos operativos que están detrás del objetivo estratégico y, especialmente, con los procesos y subprocesos implicados en esos objetivos operativos.

Dada la relativa equivalencia entre objetivos operativos y procesos, para aligerar el análisis lo haremos en términos de procesos, aclarando que cada uno de ellos hay que entenderlo vinculado a un objetivo operativo más o menos explícito.

En cualquier caso, la lógica del modelo exige una conexión real de los objetivos operativos con el objetivo de máximo nivel así como de los procesos con los objetivos operativos, de forma que un adecuado desarrollo de los procesos nos esté asegurando un adecuado cumplimiento de los objetivos de la unidad auditora, y no solo la realización de unas actividades que pueden estar teniendo un efecto limitado en el logro de objetivos. Recurriendo a una imagen bastante conocida, hay que asegurarse de que la sierra esté afilada porque el objetivo es cortar el árbol, no simplemente usar la sierra.

En el punto siguiente se lleva a cabo un análisis de los principales procesos implicados en la auditoría pública, tomando como nivel de análisis, de los tres antes indicados, el de unidad de auditoría en una entidad pública y, con base en ello, se propone un modelo o esquema de trabajo que podría servir como referencia para una aplicación inicial de la gestión de riesgos por una unidad de auditoría de una entidad pública.

UN MODELO BÁSICO PARA UNA UNIDAD DE CONTROL: LOS PROCESOS CLAVE.

Para poder formular un modelo de procesos, riesgos y medidas mitigadoras para unidad de auditoría pública en una entidad pública, realizaremos algunas hipótesis:

–       No existe fiscalización previa en la entidad.
–       Se considera una unidad auditora que, por una parte, realiza directamente controles y, por otra, planifica, prepara y supervisa los controles a realizar por unidades descentralizadas.

En la línea con lo ya expresado, su misión u objetivo estratégico sería generar información relevante y oportuna tanto para los gestores directos como para sus supervisores.

Planteado lo anterior, se propone el siguiente esquema de procesos y subprocesos:

Tabla pag 38.jpg

Indiscutiblemente, la propuesta anterior podría sustituirse por otras propuestas igualmente válidas en las que otra apreciación del peso de los diferentes aspectos implicados diera lugar a una estructura y a una descripción que podría ser muy diferente. Sin embargo, debe defenderse que todas estas propuestas alternativas, si son coherentes, deberían compartir un núcleo común esencial.

Tabla pag 39.jpg

Una vez disponible un modelo básico de procesos para una entidad auditora, a continuación se completa un esquema base de gestión de riesgos vinculando a cada proceso unos resultados operativos y, ahora sí, unos riesgos concretos junto con las medidas que podrían reducir estos riesgos.

Aquí es obligado repetir lo dicho respecto al modelo de procesos, en el sentido de que pueden plantearse múltiples desarrollos detallados alternativos pero todos deberían compartir una base común que asegurase su coherencia y racionalidad. En cierto sentido, se podría decir que la elaboración de este tipo de modelos tiene valor al margen de la mayor o menor excelencia formal del modelo acabado, a condición de que en el proceso de elaboración se haya logrado hacer explícitos los aspectos clave de la gestión de la unidad de auditoría pública.

Por otra parte, debe enfatizarse que las medidas mitigadoras identificadas deberían pasar a integrarse en el plan de trabajo de la unidad, con la correspondiente asignación de responsabilidades, recurso, plazos e, idealmente, indicadores. Este último aspecto se desarrollará más adelante.

A continuación, y para completar lo anterior, se analizan tres procesos que se considera que tienen un papel esencial en el cumplimiento de objetivos de la auditoría pública y que, quizás por su naturaleza superestructural o transversal, suelen quedar fuera de foco cuando se tratan los procesos de la auditoría pública.

LA FIJACIÓN DEL MODELO DE CONTROL

La pregunta que se podría tomar como punto de partida para centrar este apartado sería si basta una adecuada planificación anual para asegurar un adecuado enfoque en la fijación de prioridades y selección de alcances. O, dicho en otros términos, de qué debería partir una adecuada planificación anual. La respuesta que se propone es que difícilmente se puede planificar correctamente los controles a realizar si antes no se ha llevado a cabo algo que se podría describir como una meta-planificación, es decir, la planificación de la planificación, entendiéndola como el proceso que permita establecer qué, quién, cómo y cuándo se controla, pero con una necesaria visión global (de modelo) y no como una serie de alcances específicos de controles puntuales caso a caso.

En el punto anterior, en el proceso de planificación anual aparecían como subprocesos la actualización del modelo general de control. Lo que se plantea aquí es tratarlo en más profundidad y diferenciarlo de la planificación anual.

¿Pero qué es un modelo de control en una entidad gestora sujeta a auditoría pública? Podría describirse como una descripción de ámbitos de gestión con riesgos homogéneos internamente (en cada ámbito), y diferenciados respecto al resto de ámbitos, a los que se puedan aplicar pautas de revisión homogéneas y coherentes con el riesgo.

Se puede visualizar un modelo de control como el “cóctel” de técnicas de revisión aplicables a los diferentes ámbitos de actividad de la entidad en función de la naturaleza de estos ámbitos. Un listado, a título de ejemplo y no exhaustivo, de los posibles ingredientes de este “cóctel” sería el siguiente:

–       Auditorías de cuentas o equivalentes: verificaciones anuales con alcance  limitado.
–       Auditorías operativas: verificaciones esporádicas con periodos superiores al año y alcances ad hoc.
–       Controles financieros permanentes: verificaciones recurrentes con periodos superiores al año y
alcances rotatorios.
–       Controles continuos: verificaciones con gran proximidad temporal a la gestión para ámbitos muy cualificados por el riesgo.
–       Controles automatizados: verificaciones integradas en la gestión y con funcionamiento en tiempo real.

Pero una cosa es identificar lo que hay que hacer y otra es hacerlo, porque ¿cómo se concreta un modelo de control?

Para ello, la lógica a aplicar sería la de cruzar los diferentes ámbitos de gestión (tipos de actividades y unidades implicadas) identificables en la entidad con los factores de riesgo que se consideren relevantes al caso.

En cuanto a los tipos de actividad, y sin espacio para profundizar en ello, puede resultar operativo diferenciar los de carácter transversal (en principio, comunes a cualquier entidad) de los finalistas y específicos de cada entidad (vinculados a sus objetivos estratégicos o misión).

En cuanto a las unidades implicadas, habría que concretar puntos básicos como el número y su tipología, teniendo en cuenta que esta última puede ser muy variable, (unidades administrativas, sociedades mercantiles dependientes, alianzas público-privadas, subcontrataciones, descentralización competencial, unidades en el extranjero…).

Por su parte, la lista de los factores de riesgo a valorar en cada ámbito debería incluir, entre otros, los siguientes:

–       Importancia estratégica.
–       Volumen de gestión.
–       Concentración de la gestión y las competencias.
–       Complejidad de la gestión.
–       Modificaciones (recientes o previstas) en la regulación o en los procesos y sistemas.
–       Resultados de controles  previos.
–       Autonomía del gestor.
–       Eficacia de los controles internos.

Con base en lo anterior, se debería llevar a cabo una valoración de riesgos por actividades y unidades que se podría visualizar, a título de ejemplo y muy simplificadamente, de la siguiente manera (RB riesgo bajo, RM riesgo medio, RA riesgo alto, RMA riesgo muy alto):
Tabal pag 41.jpg
Este esquema de análisis debería permitir, primero, identificar zonas de riesgo homogéneo (las cuales podrían tener una trama basada en actividades, en unidades, en ambas o ser de tipo puntual) y, con base en ello, concretar los enfoques y alcances de las verificaciones a desarrollar entre las diferentes posibilidades disponibles. De este modo, el cuadro anterior se transformaría en el siguiente, en el que las elipsis se corresponderían a diferentes tipos de control:

Grafico pag 41.jpg
Obviamente, la coherencia del análisis exigiría que la intensidad del control fuese proporcional al riesgo identificado, si bien hay factores que pueden condicionar esta coherencia, (como podrían ser limitaciones legales o técnicas).

Es importante señalar que una planificación anual realizada sin un análisis previo como el indicado fácilmente incurrirá en distorsiones en cuanto a eficiencia (aplicación de modelos homogéneos de control que supondrá dedicar recursos a unidades o actividades de bajo riesgo) e incluso eficacia (ámbitos de riesgo muy cualificado a los que se aplican modalidades de control de contenido insuficiente). Igualmente, en el caso de insuficiencia de recursos, la existencia de un modelo de control explícito y bien fundamentado facilitará la fijación de prioridades.

Para cerrar este apartado se propone concretar lo expuesto en términos equivalentes a los usados anteriormente para los procesos más habituales de la auditoría pública:

Tabla2 pag 41.jpg

LA GESTIÓN DE PERSONAL

Este apartado debe partir de la constatación de que los manuales de auditoría pública y los procesos formativos de auditores públicos están dirigidos a garantizar la aplicación de los estándares de una auditoría pública específica y no suelen abordar la gestión de personal. Sin embargo, existe un riesgo claro en la gestión de personal derivado de que los recursos humanos dedicados a la realización de la actividad no sean los apropiados y que puede afectar claramente al cumplimiento de los objetivos).

Esta falta de ajuste puede corresponder a diversos factores:

–       Insuficientes recursos humanos.
–       Insuficiente o inadecuada formación.
–       Ineficiente asignación de recursos a tareas.
–       Inapropiada actitud en la realización de tareas.

Estas circunstancias pueden producirse o no, así que la cuestión inicial que se plantea es de diagnóstico. No obstante, en la medida en la que la asignación de nuevos recursos suele ser una decisión ajena al responsable de la unidad, la alternativa se encontraría en buscar el aumento de la eficiencia mediante tres líneas de actuación complementarias:

–       Mejora del diseño de los procesos y subprocesos.
–       Asignación de recursos en función de prioridades correctamente establecidas.
–       Desarrollo de las capacidades del personal de la unidad.

Renunciando a tratar este punto en mayor detalle, dada su poca especificidad en el ámbito de la auditoría pública, se aporta una posible orientación en términos de gestión de riesgos:

Tabla pag 42.jpg

SEGUIMIENTO Y EVALUACIÓN DE RESULTADOS

En su momento, se sintetizaron los pasos de la gestión de riesgo en los siguientes:

–       Identificar objetivos.
–       Analizar riesgos.
–       Establecer medidas mitigadoras de los riesgos.
–       Realizar un seguimiento del proceso.

En los puntos anteriores se abordaron los tres primeros, organizándolos alrededor de la identificación de los procesos implicados en la auditoría pública. Ahora es preciso cerrar el planteamiento añadiendo un proceso que, al igual que el desarrollo del modelo de control, tiene una naturaleza “meta”: si el modelo de control era una meta-planificación (la planificación de la planificación), el seguimiento y evaluación es una meta-proceso, es decir, el proceso que integra los procesos.

Este objetivo deber&iacut
e;a ser desarrollado mediante un modelo de seguimiento basado en indicadores que tendrían como posibles referencias los tres niveles de análisis planteados: objetivo estratégico (por ejemplo, identificando y valorando el efecto de las recomendaciones asumidas y aplicadas por el gestor), procesos de auditoría (por ejemplo, estableciendo un cuadro de mando que informe sobre el grado de avance de los procesos) y medidas mitigadoras, (por ejemplo, analizando la evolución de las deficiencias detectadas en los controles de calidad realizados a los informes). Como ya se ha insistido, será importante que los indicadores focalicen el seguimiento de resultados más que el de actividades.

Lo que se acaba de exponer, en términos de gestión de riesgos, se resumiría en el siguiente cuadro:
Tabla pag 43.jpg

CAMBIO DE ESCALA: LA GESTIÓN DE RIESGOS EN LOS CENTROS DIRECTIVOS DE AUDITORÍA Y CONTROL

Como ya se indicó, el análisis efectuado se ha centrado en uno de los tres posibles niveles de análisis de la auditoría pública, el de una unidad auditora en una entidad gestora frente a una auditoría específica y frente a la auditoría pública gestionada por un centro directivo con un ámbito de sector público.

Respecto a la auditoría específica, es precisamente en ella donde se concentran las técnicas habituales que podrían contemplarse como las herramientas al servicio de su gestión de riesgos: memorando de planificación, materialidad, muestreo, planificación anual, etc.

Se plantea ahora esbozar las peculiaridades que podrían apreciarse en los desarrollos expuestos de gestión de riesgos pública en el caso de aplicarlos a un centro directivo de auditoría pública.

En términos comparativos y tomando como referencia los procesos considerados en apartados anteriores, estas peculiaridades se podría describir en los siguientes términos:
Tabla 2 pag 43.jpg

De lo anterior se podría derivar una conclusión de fondo y otra organizativa, ambas relacionadas. Por una parte, se podría afirmar que los riesgos que aparecen en el ámbito del centro directivo son algo más que versiones corregidas y aumentadas de los existentes en la unidad de auditoría y que se produce una acumulación de elementos cuantitativos que da lugar a un salto de escala y a la emergencia de un nuevo tipo de riesgos.

Derivado de ello, si bien en el ámbito de la unidad de auditoría la gestión de objetivos, procesos y riesgos puede ser de dudosa aplicación sin algún grado de sistematización, la porosidad derivada de su tamaño relativamente reducido podría no excluirlo completamente. Por el contrario, en un centro directivo, sea mediante la gestión de riesgos corporativos u otra técnica, es innegable la necesidad de una dedicación significativa de recursos específicos, reflejada organizativamente y procedimentalmente.

RETOMANDO EL HILO: LA GESTIÓN DE RIESGOS Y LA PARADOJA DEL CONTROL INTERNO

A estas alturas del artículo podría comenzar a resultar chocante que, por el momento, no se entrevea la contestación a la pregunta incluida en el título: ¿es la gestión de riesgos en la auditoría pública el cuchillo de palo en la casa del herrero? Para contestar, antes es preciso explicar el papel del control interno en la auditoría pública.

Si se le pregunta a cualquier auditor público cuál considera el papel del control interno en la auditoría pública, con toda probabilidad contestará pensando en el control interno desarrollado en la unidad gestora respecto a la que se esté realizando la auditoría pública, en el sentido de que, si el auditor externo acredita la eficacia del control interno, el alcance de su trabajo no puede ser el mismo que si no existe un adecuado control interno. Sin embargo, el enfoque cambia si se tienen en cuenta dos importantes circunstancias.

Primera. La relación entre el control interno y la gestión de riesgos. De acuerdo con el propio Marco Integrado GRC COSO, el control interno está inmerso en la gestión de riesgos corporativos y forma parte íntegra de ella. En tal sentido, el control interno podría verse como una modalidad simplificada de la gestión de riesgos pero, en cualquier caso, vinculada como esta al cumplimiento de los objetivos.

Segunda. Teniendo en cuenta lo anterior, y aunque no siempre sea consciente de ello, cuando el auditor público analiza el control interno de su auditado está analizando su gestión de riesgos, entendiéndola en términos de cumplimiento de objetivos.

Ahora bien, es indudable que el auditor público debe analizar el control interno del gestor pero, y esta es la pregunta clave, ¿qué control interno está aplicando el auditor público a su propia actividad para conseguir sus propios objetivos? O, en otros términos, ¿cómo gestiona el auditor público los riesgos que se proyectan sobre sus propios procesos y objetivos?

Y la pregunta final es previsible: ¿es habitual que los auditores públicos dispongan de modelos de control interno aplicados a su propia actividad y que vayan más allá de los riesgos de una auditoría específica?

CONCLUSIÓN

Se decía al comienzo del texto que no resulta obvio el papel que la gestión de riesgo podría desarrollar en el contexto de la auditoría pública. Sería deseable haber conseguido, si no demostrar, por lo menos mostrar la relevancia de la gestión de riesgos para favorecer el cumplimiento de los objetivos de la auditoría pública. La conclusión anticipada en la introducción era que una auditoría pública que dé la espalda a la gestión de riesgos (o a cualquier otro tipo de control interno entendido como proceso dirigido al logro de resultados y al cumplimiento de objetivos de la auditoría pública) podría estar justificando la crítica de exigir a otros lo que uno mismo no está en condiciones de acreditar.

Por otra parte, para un correcto enfoque de una gestión de riesgos aplicable a la auditoría pública, parece igualmente necesario que la auditoría pública interiorice sus objetivos en términos de resultados de mejora de la gestión pública (mediante la generación de información relevante para la toma de decisiones por parte de los responsables de esta gestión), alejándose de visiones vinculadas a la mera realización de actividades planificadas.

BIBLIOGRAFÍA:
Committee of Sponsoring Organizations of the Treadway Commission
, (2004). Gestión de Riesgos Corporativos – Marco Integrado.
Subcomité de Normas de Control Interno de la INTOSAI, (2007). Guía para las Normas del Control Interno del Sector Público – Información adicional sobre la Administración de Riesgos de la Entidad.
José Luis de los Santos Tejero, (2009). El Risk Assesment en auditoría interna. En &ldqu
o;La información económica-financiera de las Administraciones Públicas: la importancia de los sistemas de control y las reformas contables”, XVII Jornadas de Presupuestación, Contabilidad y Control Público, (IGAE).
Organización Latinoamericana y del Caribe de Entidades Fiscalizadoras Superiores, (2002). Guía para la evaluación del desempeño de entidades fiscalizadoras superiores.

n° 61

Descargar artículo en pdf

La revista se encuentra indexada en: