Conclusiones de los XIII Encuentros Técnicos de los OCEX 2019
26 y 27 de septiembre de 2019
En los XIII Encuentros Técnicos de los Órganos de Control Externo se han tratado temas muy actuales y de gran interés para todos los que trabajamos en las tareas de control, tomando como hilo conductor un aspecto central y presente en buena parte de las ponencias: la fiscalización en la era de la administración electrónica.
Aunque no es fácil sintetizar en unas breves conclusiones todo el contenido de los Encuentros, parece imprescindible tratar de extraer algunas ideas y mensajes de las exposiciones de los ponentes. Por ello, a continuación se recogen las principales conclusiones y aspectos debatidos ordenados por los principales temas tratados.
CIBERSEGURIDAD
Ya en la conferencia inaugural, impartida por Javier Candau, jefe del Servicio de Ciberseguridad del Centro Criptológico Nacional, se puso de manifiesto que en los entornos de administración electrónica en los que todos los entes públicos desarrollan actualmente sus funciones es una necesidad ineludible adoptar medidas eficaces para hacer frente a las cada vez más ubicuas ciberamenazas. Los continuos casos conocidos no hacen sino reforzar esta necesidad. También se señaló el papel que pueden jugar los OCEX en las auditorías de ciberseguridad.
En el curso de los Encuentros se abundó en la necesidad que tienen los OCEX de incorporar en sus actuaciones la revisión de los controles de ciberseguridad, con el objetivo de evaluar el nivel de protección de la información y de los sistemas de las entidades fiscalizadas frente a las graves consecuencias de las amenazas de ciberseguridad.
La base metodológica para realizar esta revisión y la evaluación de los niveles de ciberseguridad se basa en el Esquema Nacional de Seguridad, de obligado cumplimiento en todo el sector público, con el que están alineadas las GPF-OCEX.
Los resultados preliminares de trabajos en marcha sobre esta materia no ofrecen resultados tranquilizadores, razón por la cual los OCEX deben ser proactivos en la concienciación en esta materia.
AUDITORÍAS OPERATIVAS, CON ESPECIAL ÉNFASIS EN LAS MEDIOAMBIENTALES
Se ha constatado la importancia de que los OCEX sigan por el camino ya iniciado hace años de realizar auditorías operativas, es decir, evaluar si los recursos públicos se utilizan de acuerdo con los criterios de eficiencia, eficacia y economía.
Adicionalmente, se ha analizado el desarrollo de este tipo de auditorías cuando tienen por objeto evaluar aspectos relativos al medio ambiente, que están adquiriendo una importancia muy significativa por la incidencia en nuestras vidas y en las de las generaciones futuras.
Se ha expuesto la metodología que aplica el Tribunal de Cuentas Europeo en las auditorías que tienen como objeto el análisis de aspectos medioambientales, especialmente en lo relativo a los 17 objetivos de desarrollo sostenible (ODS) de la Agenda 2030.
Así mismo, se han puesto de manifiesto las conclusiones y recomendaciones más significativas sobre las auditorías operativas realizadas por dos OCEX de la gestión del abastecimiento y saneamiento del agua en los municipios de sus comunidades autónomas respectivas.
También se ha destacado que los OCEX no solo debemos mostrar nuestro compromiso incorporando temas medioambientales en nuestras fiscalizaciones, sino que, además, debemos dar ejemplo en nuestras organizaciones adoptando medidas internas tendentes a la sostenibilidad medioambiental.
En la conferencia de clausura, “El sistema socioeconómico ante los retos del siglo XXI”, impartida por José Anastasio Urra Urbieta, profesor titular de la Universitat de València, se alertó de los desafíos a los que se enfrenta la sociedad, la economía y el sector público, provocados por el cambio climático y por la inminente reducción de la energía neta disponible ocasionada por el cénit en la extracción de combustibles fósiles y por las limitaciones de las denominadas energías renovables. El ponente animó a anticipar estos retos en la tarea fiscalizadora de los OCEX, ante el nuevo escenario para el sector público.
NORMAS TÉCNICAS DE AUDITORÍA
La próxima aprobación de las NIA-ES-SP va a suponer una importante mejora en el ámbito de la auditoría pública en nuestro país, ya que representa una actualización de las normas técnicas de auditoría y su homologación tanto a nivel nacional como internacional.
Las nuevas NIA-ES-SP suponen un cambio importante, pero en la práctica no van a suponer un cambio en la forma de trabajar en aquellos OCEX que tienen implantadas las GPF-OCEX, ya que de hecho las NIA-ES están incluidas en estas.
Se han expuesto los resultados de la encuesta remitida a los 12 OCEX sobre el grado de implantación de las GPF-OCEX. El resultado muestra que su implantación es desigual y que, si bien todos los OCEX reconocen que son útiles y de ayuda en su actividad fiscalizadora, únicamente están plenamente implementadas en unos pocos OCEX. Entre los comentarios recabados en la encuesta cabe destacar que deberían ser menos teóricas y más prácticas.
En este sentido, la aprobación de las NIA-ES-SP y su aplicación por los OCEX permitirá solucionar esta objeción, ya que se podrá eliminar de las guías todo el componente “teórico” y centrarlas en los aspectos prácticos, incluyendo ejemplos de aplicación.
La implantación de las GPF-OCEX en cuanto a modelos y estructura de los informes presenta un grado desigual en los distintos OCEX. El formato propuesto en la GPF-OCEX 4001 para las auditorías de cumplimiento se sigue en menor medida que el formato de auditoría financiera de la GPF-OCEX 1730. Los asistentes consideran que debe indicarse de forma clara en todos los informes el nivel de seguridad de la fiscalización realizada, sus objetivos y alcance, la normativa de aplicación y las normas de auditoría aplicadas.
Por otra parte, interesa destacar la importancia del lenguaje utilizado en los informes para conseguir que el resultado de nuestro trabajo y, en definitiva, el ejercicio de nuestra función llegue a la sociedad de una forma fácil y comprensible.
Otro aspecto que se ha destacado en los Encuentros es la utilidad de las GPF-OCEX como guías prácticas para la revisión de los controles internos automatizados en las fiscalizaciones en entornos de administración electrónica avanzada, cada vez más extendidos. Este grupo de guías para entornos TIC están alineadas con el Esquema Nacional de Seguridad y con las mejores prácticas internacionales en la materia.
AUDITORÍA/FISCALIZACIÓN
Con objeto de aplicar el enfoque de riesgo y de conformidad con lo previsto en las GPF-OCEX 1315 y siguientes, resulta necesario efectuar un adecuado análisis y evaluación del control interno junto con la identificación y valoración de los riesgos existentes en la entidad fiscalizada para el consiguiente diseño de los procedimientos y pruebas de auditoría que sean eficaces en las circunstancias.
Representantes de varios OCEX han expuesto sus experiencias en la aplicación de metodología de auditoría de sistemas en varias de sus auditorías, que son claros ejemplos de adaptación a los cambios que conlleva la extensión de la administración electrónica y la creciente relevancia que tiene la tecnología en la manera en que llevamos a cabo nuestras fiscalizaciones. Para que los OCEX abordemos con éxito la auditoría, de ahora en adelante debemos considerar especialmente los siguientes factores:
• Integrar la auditoría de sistemas de información en la programación anual de actuaciones y en las auditorías.
• Mantener la concienciación e interés en las nuevas técnicas, herramientas y metodología, e invertir en formación.
• Formar equipos pluridisciplinares.
Se han expuesto con detalle diversos aspectos de una auditoría de la gestión de la prestación farmacéutica en la que se ha incorporado la auditoría de sistemas por primera vez. Se han obtenido unos resultados muy satisfactorios, en la medida en que el alcance y la profundidad de la revisión ha aumentado de manera significativa respecto de los métodos tradicionales. Para ello se conformó un equipo mixto, de modo que al equipo de auditoría financiera se le incorporó personal del área de informática, capaz de analizar los aspectos más complejos técnicamente del sistema de información.
FISCALIZACIONES DE CUMPLIMIENTO DE LA LEGALIDAD
Existe una tendencia general a ampliar el ámbito objetivo de actuación de los OCEX, con el fin de extender sus funciones para que velen por el cumplimiento de la transparencia, la sostenibilidad ambiental y la igualdad de género. Estas nuevas funciones se pueden ejercer mediante informes específicos o de una manera transversal, con arreglo a métodos y procedimientos de fiscalización específicamente diseñados para esta finalidad.
Las últimas reformas de las leyes reguladoras de los OCEX también marcan una tendencia hacia la ampliación de su ámbito subjetivo de actuación, que pasa a integrar todas aquellas entidades sujetas a la influencia dominante de un ente público autonómico o local. Esta ampliación comporta la conveniencia de que cada OCEX cuente con un inventario de entes sujetos a fiscalización, para que se pueda conocer en cada momento la identidad de las entidades que deben figurar en los programas de actuación anuales, de acuerdo con los principios de transparencia y seguridad jurídica.
La presentación de comunicaciones o denuncias por parte de los ciudadanos supone la obtención de una información que puede ser relevante para el ejercicio de la función fiscalizadora. Con esta finalidad resultaría útil que cada OCEX establezca una tipología de dichas comunicaciones, con el objeto de pautar las actuaciones que en cada caso se deban llevar a cabo.
Una de las tradicionales áreas de riesgos significativos es la de subvenciones, cuya fiscalización debe realizarse, en general, mediante auditorías financieras y de legalidad de seguridad razonable. No obstante, una fiscalización de este tipo de una entidad grande resulta difícil de abordar por la multiplicidad de bases reguladoras y pluralidad de beneficiarios. Debe considerarse que las subvenciones excepcionales representan un mayor riesgo por la discrecionalidad con las que normalmente se conceden.
NUEVAS FORMAS DE PREVENCIÓN Y LUCHA CONTRA EL FRAUDE
En relación con la prevención y lucha contra el fraude se han expuesto distintas iniciativas puestas en marcha con esa finalidad, como la creación de un buzón de denuncias, que garantiza el acceso del público al órgano anticorrupción de forma anónima y supone un instrumento esencial en la lucha contra esta lacra. La experiencia manifestada por una de las agencias antifraude españolas señala que este sistema ha sido el más utilizado, muy por encima de los otros dos: el registro y el correo electrónico.
Por otra parte, un OCEX que ha asumido competencias en materia de prevención de la corrupción ha elaborado un sistema de prevención para acompañar a las entidades públicas partiendo de los marcos éticos y de integridad y considerando los riesgos que afectan a la corrupción. El objetivo es orientar desde el acompañamiento y liderar desde el ejemplo y, a la vez, legitimar la institución con el trabajo realizado, aprovechar las oportunidades y optimizar la función de prevención. La fuerte desafección ciudadana surgida hacia las instituciones públicas en los últimos años exige que el sector público adopte todas las medidas a su alcance para recuperar el coste reputacional que los casos de corrupción han provocado y se ponga en valor la magnífica labor de miles de servidores públicos, recuperando el prestigio institucional de las instituciones públicas.
En los Encuentros se han expuesto algunos casos reales de aplicación de tecnologías avanzadas en los actuales entornos altamente digitalizados de las administraciones públicas, para aprovechar al máximo las ventajas que su utilización aporta a los órganos de control interno y externo. Un ejemplo de ello es el sistema de alertas tempranas actualmente en desarrollo por la Generalitat Valenciana, que es un mecanismo de control interno que, de forma automatizada y objetiva, ayudará en la prevención de irregularidades desde el momento inicial, antes de que puedan convertirse en casos de fraude o corrupción. También se ha expuesto el caso de la aplicación de soluciones avanzadas para luchar contra el fraude en la seguridad social a partir del desarrollo de potentes herramientas analíticas y de inteligencia artificial sobre grandes bases de datos de empresas, trabajadores, etc.
Los OCEX tienen un papel relevante en la prevención y lucha contra el fraude y la corrupción, ya que tienen como objetivo vigilar que los recursos públicos se utilicen con observancia de los principios de legalidad, eficacia, eficiencia y economía. Para ello se proponen las siguientes áreas de mejora: más énfasis en el análisis de los riesgos de fraude en la elaboración de planes de fiscalización y en las fiscalizaciones; utilización de las oportunidades que la tecnología ofrece para la detección del fraude con herramientas y técnicas analíticas, inteligencia artificial, big data, blockchain, etc.; clarificar criterios de identificación de fraude y corrupción con fiscalías; comunicaciones al TCu, oficinas antifraude y fiscalía de indicios de fraude inmediatas, antes de aprobar los informes; seguimiento de los supuestos de indicios de responsabilidad contable y penal; publicar información sobre la detección de fraude; incrementar la formación de los auditores sobre fraude, y retomar las recomendaciones de 2012 del grupo de trabajo de EURORAI sobre lucha contra el fraude.
TECNOLOGÍAS EMERGENTES: COMPUTACIÓN EN LA NUBE, ROBOTS E INTELIGENCIA ARTIFICIAL
Nos ha tocado vivir unos tiempos en los que la tecnología digital está presente en prácticamente todos los ámbitos de nuestra vida personal y profesional, ayudándonos a vivir y trabajar mejor, pero controlando también muchos aspectos de ambas facetas de nuestra vida. La digitalización está transformando las administraciones públicas y este cambio no está exento de riesgos. Los auditores juegan un papel crucial en el control de este proceso, para lo cual las organizaciones de auditoría tienen que adaptar sus prácticas hacia la auditoría digital.
La administración electrónica, la nube, el IoT, el big data, el análisis de datos, la ciberseguridad, la inteligencia artificial, etc. son materias presentes cada vez más en el día a día de las administraciones públicas, con un efecto absolutamente disruptor, se diría que revolucionario, sobre los métodos de trabajo del auditor público, que debe adaptarse a ese nuevo entorno para desempeñar un papel estratégico.
El necesario proceso de transformación interna de los OCEX no es fácil, ya que impone nuevos métodos de trabajo, requiere cambios en la estructura de los equipos, abre las puertas a distintas áreas de conocimiento y exige una revisión no solo de los procesos internos, sino también de lo que significa la figura del auditor en este primer cuarto del siglo XXI. A esto hay que añadir el ingrediente del miedo a que la llamada inteligencia artificial remplace a la inteligencia humana en este tipo de tareas.
La profesión de auditor tal y como la conocemos está cambiando y lo hará de forma radical en los próximos años, requiriéndose la colaboración de los nuevos robots auditores en las fiscalizaciones. No imaginemos los nuevos robots con forma humana como nos plantean las películas de ciencia ficción, sino como máquinas que, mediante complejos algoritmos y futuras técnicas de la denominada machine learning derivadas de la inteligencia artificial, nos permitirán dar un nuevo enfoque a la fiscalización para adaptarse a una nueva sociedad digital y a una nueva tipología de administración pública. Todo ello con una valoración de riesgos muy condicionada por la ciberseguridad, unos medios técnicos muy diferentes a los actuales y grandes volúmenes de información disponible.
Con dichos cambios, la fase de trabajo deberá adaptarse a la fiscalización de muestras universales y se analizarán correlaciones de datos que permitirán ya no solo el diagnóstico de las áreas fiscalizadas, sino también el análisis de tendencias predictivas que permitirán elaborar recomendaciones prescriptivas antes de que se hayan producido los hechos.
La forma de auditar y la auditoría en sí misma deben cambiar y evolucionar si quieren seguir siendo relevantes para la sociedad. Para ello hay que incorporar la revolución tecnológica que supone el uso de estas herramientas avanzadas para así mejorar la calidad y la visión de las auditorías. No debemos resistirnos al cambio, debemos abrazar el cambio, hacerlo nuestro y aprovechar las infinitas posibilidades que nos ofrece. El auditor debe tener en cuenta en su trabajo las implicaciones de las TIC (metodología, necesidad de personal especializado) y de las tecnologías emergentes (cloud, ciberamenazas/ciberriesgos, controles internos TI, aplicaciones ERP complejas, data analytics, etc).
De entre los distintos aspectos tecnológicos con efecto directo en nuestras fiscalizaciones, la provisión de servicios en modo nube es una de las modalidades de utilización de las TIC más comunes, con mayor crecimiento actual y proyección futura. La razón es que es muy atractiva para el usuario final debido, entre otros motivos, a la potencia funcional de las soluciones disponibles y la agilidad en el despliegue. La principal preocupación desde el punto de vista del auditor es que precisamente esa agilidad lleva a que, en determinadas circunstancias, las medidas de seguridad que debe cumplir cualquier sistema de información no sean contempladas y los riesgos crezcan exponencialmente. La computación en la nube debe cumplir los mismos requisitos de seguridad que se le pide a la informática “tradicional” y que vienen determinados, fundamentalmente, por la normativa en vigor (Esquema Nacional de Seguridad, protección de datos de carácter personal y garantía de derechos digitales, etc.). A este respecto, es conveniente la aplicación de manuales orientativos como el que representa la “Guía básica de auditoría en entornos cloud”.
LA GESTIÓN ELECTRÓNICA DE LAS FISCALIZACIONES Y DE LOS OCEX
Es prioritario impulsar la modernización de los OCEX en el nuevo marco de relaciones que la administración electrónica impone. Debemos hacer un esfuerzo para hacer realidad y potenciar la interoperabilidad entre OCEX, otros órganos de control y administraciones, mediante la colaboración y cooperación. Un ejemplo es el trabajo conjunto de los OCEX con el Tribunal de Cuentas, a través de los distintos grupos de trabajo creados en el ámbito de la Comisión de Coordinación para el impulso de la administración electrónica. Uno de los proyectos tiene por finalidad mejorar la rendición de contratos y su fiscalización mediante la interconexión y aprovechamiento de la base de datos de la Plataforma de Contratación del Sector Público, simplificando al mismo tiempo las obligaciones de información a cargo de los órganos de contratación. Estamos buscando las sinergias necesarias con otras administraciones para poder llegar a que el ente cumpla con su obligación de rendir una sola vez y que pueda realizar las demás obligaciones de rendir mediante acciones muy sencillas y prácticamente de manera automática.
En la misma línea de reducción de cargas, tenemos que hacer un esfuerzo, revisando y analizando la información que solicitamos, preguntándonos si realmente es necesaria y simplificándola al máximo, y a tal efecto:
a) Seleccionar con rigor la información que se les solicita, reduciéndola a la mínima imprescindible.
b) Uniformizar los formatos de remisión.
c) Dar a conocer los planes, programas, objetivos, guías de fiscalización e ítems de control utilizados por los OCEX.
En los Encuentros también se han expuesto las actuaciones y la situación del proyecto para estudiar un sistema de gestión electrónica de los papeles de trabajo de las ICEX, las alternativas existentes para seleccionar una herramienta para esa gestión, que impulse la administración electrónica internamente, permita una adecuada política de gestión de documentos, al tiempo que cumpla con el Esquema Nacional de Interoperabilidad y posibilite el archivo electrónico único.
En cuanto al teletrabajo como una nueva forma de organización del trabajo que puede beneficiar a la institución y al trabajador, se sostiene la posibilidad de su implantación, pero para poder llevarla a cabo con éxito hay que desarrollar a fondo su regulación.
CONCLUSIÓN FINAL
Finalmente debemos destacar que el desarrollo de los Encuentros ha sido, sin duda, un éxito tanto de asistencia, ya que congregaron a 250 profesionales, entre ponentes y participantes, de distintos órganos de control autonómicos, estatales, locales y europeos, como por la calidad, actualidad e interés de las ponencias y conferencias que pudieron atenderse.
Estos Encuentros han servido para potenciar a los OCEX como órganos de vanguardia en el uso de las nuevas tecnologías y la economía del conocimiento en las administraciones públicas.
Agradecemos a todos los asistentes y ponentes su presencia en los XIII Encuentros Técnicos de los OCEX y animamos a participar en los XIV Encuentros para conseguir entre todos que también sean un éxito en beneficio de la mejora de nuestras instituciones.