¿Puede la Auditoría realizarse al mismo tiempo que la gestión auditada y seguir siendo auditoría? La auditoría continua y el control financiero permanente


José Miguel Gozález Tallón

Interventor Delegado, Agencia Estatal de Administración Tributaria

 ¿Puede la auditoría realizarse al mismo tiempo que la gestión auditada y seguir siendo auditoría?
La Auditoría continua y el control financiero permanente.

Resumen:


La eficacia de la auditoría pública puede exigir un rediseño de aspectos que habitualmente se consideran definidores de la propia auditoría. Este sería el caso de aquellas situaciones en las que factores de riesgo muy cualificado identificados en la gestión pública sujeta a control aconsejen o incluso exijan que la verificación se realice con una gran proximidad temporal a la gestión controlada. Desarrollos ya existentes como la auditoría continua o el control financiero permanente abordan, en parte, esta cuestión si bien el auditor público parece obligado a enfrentarse en estos casos a la planificación y ejecución de la auditoría con un enfoque más flexible y abierto.


Palabras Clave:


Eficacia de la auditoría pública. Riesgo en la gestión pública.  Auditoría continua. Control financiero permanente. Planificación y ejecución de la auditoría.


 1. Introducción.

             En la planificación de una auditoría pública, como en cualquier auditoría, los aspectos temporales afectan doblemente a sus características. Por un lado, condicionan su alcance temporal, es decir, la amplitud en el tiempo de la gestión objeto de análisis y, en segundo lugar, condicionan igualmente la periodicidad en la realización de la auditoría.

            Si bien ambos aspectos de la auditoría tienen sus propios parámetros de evaluación, sin embargo, en última instancia, la definición de uno de ellos en buena medida condiciona al otro. Así, no parece que tuviera sentido una periodicidad de la auditoría de ciclo largo (por ejemplo, bienal) con un alcance corto (por ejemplo, trimestral). Y, en sentido contrario, todavía resulta más obvio la incoherencia que se derivaría de una auditoría trimestral con alcances anuales, sin perjuicio de que fuera posible imaginar (o incluso encontrar) casos en los que estas atipicidades estuviesen justificadas, (así, se podría pensar en una auditoría que tuviese como principal resultado acreditar determinados datos que fuesen necesarios trimestralmente pero que para su cálculo tomasen como base series anuales).

            No obstante, en cualquier caso el alcance temporal de una auditoría pública debe ser incluido dentro de su planificación y la definición de su periodicidad debería ser un resultado del plan global de auditoría existente en la entidad correspondientes.

            Sin embargo, existen determinadas circunstancias que pueden afectar a la definición de una auditoría pública en un sentido temporal diferente al que normalmente se utiliza en la definición de alcances y periodicidades. Se trataría de aquellos casos en los que la evaluación de las circunstancias de una entidad y su gestión aconsejan unos alcances y periodicidades que, en realidad, aproximarían a la auditoría a un control de carácter permanente, es decir, desarrollado, si no en paralelo con la propia gestión, sí con gran proximidad temporal a ésta.

2. La auditoría desarrollada de modo continúo en el tiempo.

            Para concretar las características de este tipo de auditorías de las que se pretende tratar, se considera que puede ser útil ubicarlas en el contexto de otras modalidades de auditoría y de control.
            Así, por un lado, tendríamos las auditorías públicas convencionales, que se podrían caracterizar por las siguientes notas:

–         Realización retrospectiva y significativamente alejada en el tiempo de la gestión.
–         Periodicidad habitual superior a la anual, frecuentemente irregulares en el tiempo y sólo excepcional y puntualmente con realización inferior al año.
–         Evaluaciones normalmente basadas en la selección de muestras de operaciones.
–         Resultados de la auditoría soportados en informes sujetos a tramitación formal.

            Debe remarcarse que, salvo en lo relativo a la tramitación formal, el resto de los aspectos indicados son, en lo esencial, comunes en el ámbito público y en el privado.

            Por su parte, otra modalidad de control (ésta sí de naturaleza específicamente pública) que serviría de referencia serían los controles de carácter suspensivo, que se basarían en lo siguiente:

–         Realización operación a operación y con carácter previo a la aprobación de ésta.
–         Integrados dentro del propio proceso de gestión.
–         Descargados en buena medida de obligaciones argumentativas y expositivas de carácter formal.

            Entre esos dos modelos de control, una auditoría desarrollada de modo continuo en el tiempo parece obligada a recoger los siguientes rasgos diferenciales:

–         Realización posterior a la gestión pero próxima en el tiempo a ésta.
–         Focalizada en aspectos clave de la gestión.
–         Soportada en diferentes formatos dependientes del tipo de verificaciones y resultados.

            En cualquier caso, al margen de esta caracterización teórica y general, la existencia de referencias reales a modalidades de control de la gestión económica-financiera que precisamente enfatizan el carácter permanente de su ejecución parece exigir su descripción antes de abordar los aspectos más prácticos y operativos de este tipo de auditorías y controles. Estas referencias se encontrarían en la auditoría continua y el control financiero permanente.

3. Referencias actuales de la auditoría continua.

            La referencia más clara al concepto de auditoría continua (en ocasiones, también tratada como auditoría permanente) la encontramos en el contexto de la gestión de riesgos y los desarrollos conceptuales y operativos que el COSO (Comité de Organizaciones Patrocinadoras de la Comisión Treadway) ha venido impulsando desde hace años.

            En este marco debe situarse el Libro Blanco del Instituto de Auditores Internos (IIA) “Auditoría continua: implicancias para el aseguramiento, el monitoreo y la evaluación de riesgos”, resumen de la Guía de Auditoría de Tecnología Global del propio IIA.

            La base argumental que promovería esta modalidad de auditoría se encontraría en la idea de que, por tradición, la auditoría convencional se lleva a cabo según un modelo retrospectivo y cíclico, de forma que este tipo de actividades suelen desarrollarse meses después de que hayan tenido lugar las actividades. Por otra parte, los procedimientos de evaluación suelen basarse en un enfoque de muestreo. Este enfoque otorga a los auditores un margen reducido de evaluación que, además, suele tener unas demoras que afectan negativamente a su utilidad para el responsable de la gestión.

            La auditoría continua modificaría el paradigma de la auditoría, lo que incluiría la naturaleza de las pruebas, el momento en que se las lleva a cabo, los procedimientos y el nivel de esfuerzo. Las auditorías dejarían de ser una mera revisión de muestras de operaciones para transformarse en procedimientos continuos de auditoría que evaluarían la totalidad de las operaciones y en los que la tecnología desempeñaría un papel clave.

            Como notas sintetizadoras sobre la auditoría continua en el marco del COSO y los desarrollo del IIA, se pueden señalar los siguientes puntos:

–         Necesidad de reevaluar la naturaleza de las pruebas, el momento en que se las lleva a cabo, los procedimientos y el nivel de esfuerzo.
–         Se hace uso de la tecnología para instrumentar la auditoría continua como un proceso automático que ejecuta evaluaciones de riesgos y controles con mayor frecuencia.
–         El enfoque deja de centrarse en el cumplimento de los controles y las normas para abocarse a mejorar la eficiencia de las operaciones dentro de la organización.
–         La naturaleza de la respuesta del departamento de auditoría a las incidencias no será siempre la misma y no hará falta una auditoría o una acción inmediata frente a todas las incidencias.
–         En aquellas áreas en las que la administración no ha implantado un seguimiento continuo, el auditor debería realizar evaluaciones detalladas empleando técnicas de auditoría continua.

            A continuación se aporta una síntesis de los pasos clave para la implementación de la auditoría continua:
pag 36 tablas.jpg

4. El control financiero permanente

            La segunda referencia a modalidades de auditoría desarrollados de forma continua en el tiempo lo encontramos en la normativa reguladora del control financiero de diferentes administraciones españolas. Es importante señalar que, así como la auditoría continua no está limitada al &aa
cute;mbito de la gestión pública, el control financiero permanente, por el contrario, se sitúa inequívocamente en este ámbito.

            Analizando algunas de las referencias normativas disponibles, se procederá a continuación a tratar los siguientes puntos:

–         La relación entre control financiero y auditoría.
–         La relación entre control financiero y control financiero permanente.
–         Los rasgos básicos del control financiero permanente.

            Las referencias normativas que se han tomado para la exposición de este apartado son las siguientes:

–         Ley 47/2003, de 26 de noviembre, General Presupuestaria y Real Decreto 2188/1995, de 28 de diciembre, por el que se desarrolla el régimen del control interno ejercido por la Intervención General de la Administración del Estado.
–         Decreto Legislativo 1/2002, de 19 de noviembre, por el que se aprueba el Texto Refundido de la Ley de Hacienda de Castilla-La Mancha, desarrollados por la Circular 1/2007 de 19/06/2007 de la Intervención General de la Consejería de Economía y Hacienda de la Junta de Comunidades de Castilla-La Mancha.
–         Ley 11/2006, de 11 de diciembre, de la Hacienda Pública Canaria, desarrollados por la Norma técnica para el desarrollo de las actuaciones de Control financiero permanente sobre los sujetos del Sector público con presupuesto limitativo, de la Intervención General de la Consejería de Economía y Hacienda del Gobierno de Canarias.

            Respecto a la relación entre control financiero y auditoría, el control financiero parece configurarse como una modalidad de control próximo a la auditoría pero más amplio que ésta en la medida en la que se prevé que pueda ser desarrollado mediante técnicas diferentes de las propiamente auditoras.

            Por su parte, el control financiero permanente parece configurarse como una modalidad del control financiero caracterizado por desarrollarse de forma continua a través de unidades de control (intervenciones delegadas) integradas de forma estable en las estructuras de los órganos sometidos al control. No obstante, es significativo señalar que en algunos modelos de control (así, tanto para la Administración del Estado como  para el Gobierno Canario) no contemplan otra modalidad de control financiero que el permanente.

            Por último, como notas sintetizadoras del control financiero permanente en el marco de la normativa de diferentes administraciones públicas españolas, se pueden señalar las siguientes:

–         Se trata de un modelo de control que pretende ser desarrollado de forma continuada. No obstante, no parecen existir previsiones detalladas que materialicen el contenido de esta continuidad.
–         Su realización se concreta a través de una unidad integrada en la entidad controlada, aspecto que debe entenderse vinculado a su carácter continuado.
–         Tiene como objetivo tanto la verificación legal como la financiera
–         El modelo, desde el punto de vista de la amplitud de su alcance institucional, tiene carácter integral y busca su  aplicación al conjunto del sector público respectivo. No obstante, se prevé que sea excepcionable para determinados ámbitos. En particular, parece configurarse una distribución respecto a la auditoría pública en la que ésta sería aplicable en los ámbitos de mayor naturaleza empresarial frente a la naturaleza principalmente administrativa de las entidades sometidas a control financiero permanente.
–         La realización de los controles está condicionada a su incorporación a una planificación anual de carácter formal.
–         Los resultados de los controles deben documentarse en informes sometidos a una tramitación reglada propia de los actos administrativos.

            Se considera significativo resaltar como notas que, en algún grado pueden condicionar la aplicación práctica de este modelo de control, por un lado, la escasa concreción de sus notas diferenciales respecto a la auditoría convencional y, por otro, su significativo grado de formalismo (plan anual, emisión de informes) que, en cierto grado, puede entenderse como contradictorio con algunas de sus notas diferenciales como sería su inmediatez y proximidad a la gestión.

5. Aspectos clave de la auditoría continua y del control financiero permanente.

            Una vez descrita tanto la auditoría continua como el control financiero permanente parece necesario identificar aquellos rasgos comunes que permitan concretar orientaciones prácticas y pautas de aplicación.

            En primer lugar, debe señalarse como punto de partida tanto de la auditoría continua como del control financiero permanente la existencia de un análisis de riesgos del que se derivaría la necesidad de aplicar regularidades temporales que no parecen apropiadas a la auditoría pública, por lo menos en su planteamiento clásico.

            Simplificando la argumentación, de un análisis de riesgos se puede derivar la propuesta de una pauta de regularidad temporal de plazo tan corto (trimestral o inferior) que distorsionaría o haría inaplicable un modelo de auditoría pública ya que, un plazo de este tipo, debe entenderse como un control que se desarrolla en paralelo a la gestión o con carácter simultáneo, aun cuando no tenga efectos suspensivos.

            Si esto es así, y con ello se plantea un segundo rasgo de este modelo de control, no resultaría posible una adaptación de las pruebas de auditoría habituales y sería necesario desarrollar pruebas específicamente pensadas para las circunstancias de este control. En tal sentido, parece necesario remarcar que las peculiaridades de este tipo de controles (la auditoría continua como el control financiero permanente) han dado lugar a que, en ambos casos, se haya producido un cierto alejamiento respecto a los modelos más tradicionales de control.

            Así, la auditoría continua parece invitar al desarrollo e implantación de sistemas de seguimiento y control integrados en la propia gestión, a modo de tablero de mandos o cuadro de control, sistemas que, a todas luces, no se corresponden con los modelos tradicionales de la auditoría. Por s
u parte, el control financiero, desde su misma definición normativa, recoge una voluntad de incorporar procedimientos distintos de los tradicionales de la auditoría.           De acuerdo con ello, puede esperarse que estos modelos de control tengan una naturaleza específica o atípica derivada de las peculiaridades de los objetivos perseguidos.

            En tercer lugar, será necesario prever las adaptaciones de procedimiento necesarias para aplicar este modelo de control en el ámbito público (como las relativas a justificación, documentación y tramitación), ya que las exigencias formales de la gestión pública no dejarían de ser aplicables en este ámbito de la auditoría continua o control financiero permanente.

            Estas cuestiones se tratarán a continuación de forma más detallada.

6. Factores a considerar a la hora de definir un modelo de auditoría continua o control financiero permanente.

a) Análisis previo de riesgos

            El análisis de los riesgos existentes en la gestión controlada no es en sí mismo diferente de la evaluación que debe realizarse en cualquier modalidad de control. No obstante, sí pueden identificarse factores que cualifiquen el riesgo y hagan que, en su conjunto, deba plantearse la posibilidad de optar por un modelo de control muy próximo a la gestión.

pag 39 tablas.jpg

            A modo de síntesis del cuadro anterior, debe señalarse que lo peculiar de la evaluación del riesgo en la auditoría continua y el control financiero permanente no es su contenido sino su resultado. El factor clave se encuentra en que se detecten elementos de riesgo que, en su conjunto, hagan inapropiado o insuficiente la aplicación de un modelo de auditoría pública periódica.

b) Justificación del control, documentación y tramitación de resultados

            No debe perderse de vista que la auditoría pública, en cualquiera de sus modalidades, es ella misma un procedimiento administrativo y está sometida por ello a los requisitos correspondientes. Junto a ello, al afectar de modo importante a responsables y gestores, tanto en su ejecución como por sus resultados, su planificación y realización suele estar sometida a importantes requisitos formales, que van desde la aprobación de planes anuales de control por autoridades habilitadas legalmente para ello, la existencia de comunicaciones formales entre controlador y gestor, el derecho del gestor a formular alegaciones y que se reflejen en los informes, o la existencia de obligaciones legales para el gestor respecto al contenido de los informes.

            Por todo lo anterior, el ejercicio de la auditoría continua o del control financiero permanente deberá someterse a las mismas previsiones legales que cualquier otro modelo de control. Sin embargo, hay que constatar que algunos de sus rasgos dificultan que le sean de aplicación sin adaptaciones el modelo de la auditoría pública periódica.

            Así, en primer lugar, su desarrollo de modo continuo y en paralelo a la gestión, dificulta que se realice una planificación anual, la cual normalmente exige la identificación de informes con fechas de emisión, cuestión que se adapta mal a estos casos.

            Por otra parte, la propia documentación y tramitación de los resultados del control con base en informes sometidos a tramitación administrativa también resulta una exigencia de difícil cumplimiento para la auditoría continua y el control financiero permanente.

            Las alternativas que se plantearían serían, básicamente, dos:

–         Que la normativa reguladora del control prevea esta modalidad, reflejando y dando soporte jurídico a las especialidades de su realización.
–         Utilizar la regulación de la auditoría periódica como soporte para la realización de la auditoría continua.

            Desde la perspectiva del responsable del control, y asumiendo tanto el retraso con el que las normativas reflejan nuevos desarrollos (y así pueden entenderse la auditoría continua y el control financiero permanente) como la reducida o nula capacidad de influir en la existencia de modificaciones normativas, resulta aconsejable que se intente en lo posible utilizar el modelo ya existente de la auditoría periódica.

            Para ello, sin deformar el espíritu del modelo normativo, bastaría con, por un lado, incluir en los planes anuales la previsión de informes que puedan soportar los resultados de las pruebas realizadas de manera continua y, por otro, considerar este proceso de verificación desarrollado de modo paralelo a la gestión como parte del trabajo de campo del control que, en un momento significativamente alejado en el tiempo, dará lugar a la emisión del informe.

            No obstante, en ámbitos de gestión pública en los que las exigencias de tipo procedimental sean menores, es posible que estas modalidades de control puedan aplicarse sin tener que recurrir a modificaciones normativas ni adaptaciones o interpretaciones en la aplicación de las normas existentes.

            Por otro lado, la documentación y tramitación de los resultados de un control continuo con base en el modelo de la auditoría periódica, es decir, informes normalmente sometidos a tramitación administrativa, resulta una exigencia que podría producir distorsiones relevantes.

            Lo más apropiado sería prever diferentes formas de documentación y comunicación dependiendo del tipo de resultado generado. A continuación se realiza una exposición de diferentes posibilidades y los casos de utilización que se consideran apropiados para cada una.
pag 41 tablas.jpg
c) Diseño de pruebas específicas

            Una vez identificada la necesidad de implantar un modelo de auditoría continua o del control financiero permanente y soportada jurídicamente su realización, se plantea la definición de sus contenidos como siguiente paso.

&
nbsp;           Se pueden identificar, a modo de lista de comprobación, los puntos que se considera que deben ser abordados en el diseño del modelo, indicando las peculiaridades con las que deberían plantearse:

–         Identificación de las operaciones a verificar. Éstas deberían ser, en todo caso, muy relevantes y, por ello, de número relativamente reducido dentro del conjunto del ámbito de gestión de que se trate.

–         Contenido de las verificaciones. Las verificaciones deben centrarse en los puntos críticos de las operaciones seleccionadas, debiéndose evitar, en principio, enfoques exhaustivos. No obstante, puede ocurrir que, por motivos de eficacia y economía del control, pueda ser aconsejable incorporar al procedimiento pruebas de carácter no tan crítico como las que justifican el modelo.

–         Momento de realización. Obviamente, la proximidad a la gestión es en buena medida la que justifica estas modalidades de control y, por ello, debe entenderse como un factor básico de las verificaciones. Cuando la gestión lo permita, debería optarse por implantar sistemas de información integrados en la propia gestión y que reporten en tiempo real sobre la situación y evolución de determinados parámetros de gestión u operaciones concretas. No obstante, lo habitual será tener que recurrir a procedimientos de revisión recurrentes, que podría ir desde la periodicidad diaria hasta la trimestral o semestral. La carga de trabajo derivada de la verificación, evidentemente, debería ser inversamente proporcional a la brevedad del plazo de repetición.

–         Procedimiento de obtención de información. Esta cuestión está muy relacionada con la anterior ya que la disponibilidad de sistemas informáticos del gestor accesibles para el controlador condicionarán en buena medida el momento y alcance de la verificación. En cualquier caso, cuando se necesite la colaboración del gestor para la realización de las pruebas, y especialmente para aquellas que se repitan con gran frecuencia, deberían consensuarse procedimientos de trabajo poco invasivos para el gestor.

7. Conclusión.

            La eficacia de la auditoría pública, en determinados casos, puede exigir un rediseño de aspectos que habitualmente se consideran definidores de la propia auditoría, situación que podría considerarse algo paradójica pues para mejorar la auditoría parecería necesario transformarla hasta el punto de convertirla en algo diferente, que quizás no debería llamarse auditoría. Este sería el caso de aquellas situaciones en las que factores de riesgo muy cualificado identificados en la gestión pública sujeta a control, aconsejen o incluso exijan que la verificación se realice con la máxima proximidad temporal posible a la gestión controlada o, por lo menos, con una proximidad temporal difícilmente compatible con el planteamiento de ciclo largo más habitual en las auditorías.

            Sin embargo, hacer frente a este aparente dilema no tiene por qué exigir modificaciones normativas relevantes y, de hecho, se puede abordar dentro de los procedimientos habituales de auditoría pública, si bien para ello el auditor debe asumir el reto de enfrentarse a la planificación y ejecución del control modificando las pautas aplicadas tradicionalmente. Esta posibilidad, no obstante, no debería impedir que los nuevos desarrollos normativos de las diferentes administraciones fueran concretando y materializando las necesarias especificidades de la auditoría continua o del control financiero permanente, cuestión que a día de hoy se puede ver como una debilidad de la normativa reguladora del control.

n° 54

Descargar artículo en pdf

La revista se encuentra indexada en: