Enrique Benítez Palma.
Economista.
Consejero de la Cámara de Cuentas de Andalucía.
La transformación digital del control externo del gasto público
RESUMEN
Las instituciones de control externo afrontan un reto sobresaliente: su transformación digital para poder cumplir con su mandato legal de fiscalización de los fondos públicos. Con el horizonte de la inversión pública en el cambio de las administraciones públicas europeas, financiada con cargo al Plan de Recuperación para Europa, este artículo defiende dos postulados. En primer lugar, el acceso de estas instituciones, de extracción parlamentaria y no siempre asimiladas como sector público, a la financiación europea para la transformación digital. En segundo lugar, el imperativo ético que supone la actualización de la formación, la capacidad y las habilidades de la profesión de auditor público. Sin este proceso paralelo y simultáneo, el control externo del gasto público, en un escenario de creciente automatización y uso de inteligencia artificial, quedará desfasado y dejará de ser relevante y aportar valor añadido en un futuro no muy lejano.
ABSTRACT
Supreme Audit Institutions face an outstanding challenge: their digital transformation in order to comply with their legal mandate to control public funds. With the horizon of public investment in the change of European public administrations, financed by the Recovery Plan for Europe, this article defends two positions. In the first place, the access of these institutions, of parliamentary extraction and not always considered as a public sector, to European financing for digital transformation. Second, the ethical imperative of updating the training, capacities and skills of the profession of public auditor. Without this parallel and simultaneous process, the external control of public spending, in a real scenario of increasing automation and use of artificial intelligence, will become out of date and will cease to be relevant and provide added value in the not too distant future.
PALABRAS CLAVE: instituciones de control externo; auditoría pública; transformación digital; actuación administrativa automatizada; ética.
KEY WORDS: supreme audit institutions; public audit; digital transformation; robotic process automation; ethics.
1.- INTRODUCCIÓN.
El diario La Vanguardia publicó el 24 de octubre de 2020 una noticia relevante sobre el destino de los fondos europeos para la recuperación económica, tras la devastación social y empresarial causada por la pandemia: “La transformación digital es, junto a la transición ecológica, uno de los grandes principios que inspiran el Plan de Recuperación para Europa. Por eso, la tecnología está presente de forma transversal en la mayoría de programas que canalizarán los fondos de reconstrucción –Next Generation Europe– y el presupuesto europeo. Destacan el Mecanismo para la Reconstrucción (cuenta con la mayor partida, 560.000 del total de 750.000 millones de euros de Next Generation) el programa Horizonte Europa o el Instrumento de Inversiones Estratégicas. Esto significa que todos aquellos proyectos que sean digitales tienen más números para obtener los fondos (en forma de préstamos o transferencias) que aquellos que no lo sean. A escala estatal, se ve muy claro en la hoja de ruta que el Gobierno de Pedro Sánchez presentó la semana pasada para destinar el primer tramo (2021-2023) de 72.000 millones de euros correspondientes a los fondos del Mecanismo para la Reconstrucción. La digitalización se encuentra en las políticas de infraestructuras, movilidad, reforma de la administración pública, agenda urbana y rural, ciencia y la innovación… y, sobre todo, ‘en la modernización y digitalización del tejido industrial y de la pyme, turismo y emprendedores’, una partida que solo en los próximos dos años se llevará 12.240 millones de euros, el 17% del total de 72.000 millones” (La Vanguardia, 24 octubre 2020).
El viejo sueño de la digitalización de la administración pública, tantas veces postergado desde la promulgación de la Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos, parece que puede disfrutar ahora de su oportunidad definitiva. Trece años y unos cuantos miles de millones de euros después, surge la oportunidad de poner orden y concierto en la necesaria y caótica transformación digital de las distintas administraciones públicas en España, que hasta la fecha se ha caracterizado, más que por la constancia, más bien por la improvisación, la austeridad obligada, la ausencia de planificación, la insuficiencia de inversiones, la dispersión de iniciativas y esfuerzos y la frustración de empleados públicos y ciudadanía.
El mapa actual de la transformación digital de las diferentes administraciones públicas en España revela lo que ya sabemos: la existencia de alumnos aventajados, la precariedad de los logros conseguidos y la escasa implantación práctica de la administración electrónica, por motivos tan dispares como la falta de medios o las carencias formativas tanto de los empleados públicos como de los usuarios finales. Sigue siendo una imagen común en las dependencias administrativas la cola, la presencialidad, la duda planteada al vigilante jurado de la puerta de entrada, pese a la obligación epidémica de la cita previa y a ciertos avances dignos de aplauso.
La cuestión que se plantea entonces, desde el punto de vista del control externo, debe enfocarse desde una doble perspectiva. Por una parte, el control externo debe subirse también al carro de la transformación digital, ser beneficiario de los fondos europeos que van a propiciar ese anhelado cambio. Y esta necesidad estratégica requiere de una sólida disposición a plantear, desde dentro, las necesidades que conlleva el cambio: desde la tecnología a las personas. Porque toda transformación digital, para tener éxito, debe poner el foco en tres cuestiones: la tecnología, los procesos y las personas. Por lo tanto, las instituciones de control externo harían bien en coordinar sus propuestas, demandas y necesidades. Es necesario un esfuerzo común y el objetivo claro de proceder al cambio digital de manera simultánea y coordinada, evitando el riesgo evidente de crear instituciones de varios niveles, dispersas en sus procedimientos y en su modernización. La ausencia de una estrategia compartida de modernización puede llevar no sólo a la constitución de dos grupos de instituciones de control externo –las beneficiadas de la transformación digital y las que avanzan más despacio-, sino también la renuncia a la oportunidad de afrontar actuaciones comunes entre todas, precisamente a causa de la brecha digital interna.
Pero esta perspectiva, que requiere tan sólo voluntad de coordinación y un liderazgo compartido, no puede olvidar la segunda amenaza, quizás la más importante. En un escenario de creciente mejora tecnológica de las administraciones públicas, de decisiones de gasto y de aplicación de actuaciones administrativas automatizadas, de incorporación de algoritmos para la toma de decisiones, de informatización de procesos decisivos, la modernización tecnológica de la auditoría pública y del control externo es entonces imprescindible para el cumplimiento estricto de su misión fiscalizadora. Las instituciones de control externo, para cumplir con su mandato normativo, deben afrontar su transformación digital en sintonía con la administración pública que debe controlar, ya que de lo contrario no estará en condiciones objetivas de realizar esa función de control. Si hasta ahora el cambio digital podía verse como una iniciativa simpática, casi estética, el éxito de la recuperación que se ha dibujado en la Unión Europea convierte la modernización de las instituciones de control externo en algo imperativo, indiscutible y obligatorio.
Este artículo pretende analizar al menos tres cuestiones relacionadas con las ideas planteadas. En primer lugar, va a describir las implicaciones de la automatización de tareas –la llamada Robotic Process Automation, RPA- para los auditores públicos, tanto desde el punto de vista interno como del ámbito fiscalizador. En segundo lugar, va a analizar el uso de técnicas basadas en el Big Data por parte de las entidades fiscalizadoras, planteando sus complejidades normativas. Y en tercer lugar va a describir el nuevo marco ético derivado de la transformación digital en el ámbito de la auditoría, y también los requisitos necesarios en la profesión para poder aprovechar todas las posibilidades del cambio tecnológico. Finalmente, se enuncian diversas reflexiones y consideraciones que pueden ser de utilidad para los órganos de gobierno de las instituciones de control externo y para los profesionales de la auditoría pública.
2.- LA AUTOMATIZACIÓN ROBÓTICA DE PROCESOS (RPA: ROBOTIC PROCESS AUTOMATION).
La RPA puede definirse como “una tecnología diseñada para automatizar procesos que se basan en reglas, están estructurados y son repetitivos, lo que libera a las personas para que se concentren en actividades de mayor valor agregado. La RPA es parte de un cambio más amplio hacia la automatización, en medio de una ‘tormenta perfecta’ de tecnología que abarca inteligencia artificial, aprendizaje automático, big data, robótica e internet de las cosas (IoT)” (Marr, 2020).
El propio Marr propone cinco pasos para preparar la organización para el aprovechamiento de esta tendencia tecnológica: “edúcate a ti mismo, entiende qué tipos de procesos pueden ser automatizados y cuáles no, delimita qué tareas deben automatizarse, investiga las soluciones y herramientas disponibles, y elige tu socio o proveedor para la implantación de la RPA” (Marr, 2020).
En el ámbito concreto de la auditoría, Huang y Vasarhelyi (2019) proponen un marco de referencia para la aplicación de la RPA. En su opinión, “la potencia de procesamiento mejorada de la RPA puede permitir un aumento en la escala de los procedimientos de auditoría y permitir que los auditores se concentren en tareas que requieren juicio profesional y habilidades de pensamiento de orden superior, mejorando así la calidad de la auditoría. Por ejemplo, los auditores pueden dedicar más tiempo a intercambiar ideas sobre el riesgo de fraude, analizar las excepciones de los procedimientos analíticos y aplicar acciones de seguimiento. Sin embargo, a pesar de que la industria de la contabilidad ha observado los beneficios de la RPA, sus aplicaciones en la práctica de auditoría aún se han quedado atrás” (Huang y Vasarhelyi, 2019, p. 3).
En su marco de referencia (framework), estos autores proponen la siguiente secuencia, de interés para las instituciones de control externo.
El primer paso sería la “selección de los procedimientos” (también podríamos utilizar el término “procesos” en esta parte): las firmas de contabilidad deberían revisar la estructura de sus procedimientos de auditoría e identificar apropiadamente los candidatos a ser automatizados, a partir de varios factores. Estos factores decisivos tienen que ver a su vez con diversas cuestiones. En primer lugar, debe tratarse de procedimientos bien definidos, altamente repetitivos y maduros. Bien definidos supone que se trata de procedimientos estructurados y no subjetivos (esto es importante). Altamente repetitivos porque el volumen permite aprovechar todo el ahorro derivado de su automatización. Y maduros porque en ellos hay menos excepcionalidad y se necesita menos intervención humana.
En segundo lugar –dentro del primer paso- es necesario prestar atención a la “compatibilidad de los datos”: el equipo de auditoría debe verificar que los datos disponibles son compatibles con el software elegido para la automatización. Es decir, que para evitar altas tasas de error y elevados costes de proceso, los auditores necesitan entender la compatibilidad de los datos y estar seguros de que están disponibles en un formato estructurado y digital. Finalmente, el tercer factor relevante es la propia “complejidad del procedimiento”. En este sentido, los autores recomiendan que para reducir el riesgo de implementación, la firma debe evaluar la complejidad de los procedimientos de auditoría potenciales de automatización y demostrar la usabilidad de RPA con un proceso de baja complejidad a través de una prueba de concepto (PoC) o proyecto piloto.
Una vez superada esta primera fase, la de la “selección de los procedimientos” (o “procesos”), se pasaría a la segunda fase: la “modificación” de los mismos. Hay que considerar si se deben introducir cambios para facilitar la automatización, ya que a menudo los procesos fueron definidos en otro momento, cuando existían otras herramientas con diferentes capacidades.
Tras la selección y la posible modificación de los procedimientos, se pasaría a la fase de “implementación”. El dilema consiste en elegir dos posibles opciones: el alquiler o compra de licencias a proveedores de RPA –como por ejemplo Blue Prism- o la construcción de programas a medida. Los autores del artículo se decantan por la segunda opción, ya que permite aplicar a la automatización los requerimientos específicos de cada empresa auditada, además de mantener un nivel más alto de control sobre el proceso automatizado y garantizar una mejor protección de la información confidencial. Esta cuestión parece especialmente relevante en un escenario de creciente ciber-inseguridad, ataques informáticos organizados y brechas de seguridad.
Por último, se llegaría a la evaluación operativa. Es importante lo que señalan. “Un procedimiento de auditoría basado en RPA debe ser realizado de forma independiente por el programa de RPA y por el equipo de auditoría. Los auditores comparan los resultados entre la auditoría manual y los del software RPA para evaluar la efectividad de la implementación. Si la evaluación revela que el programa necesita ajustes o mejoras, el equipo auditor debe repetir los pasos 1 a 3: evaluar el procedimiento seleccionado, modificar los procedimientos y ajustar el proceso de implementación, hasta que el software RPA realice el procedimiento como se esperaba” (Huang y Vasarelhyi, 2019, p. 5). Este contraste es decisivo para poder evaluar el acierto en la implantación de un proceso automatizado en el trabajo de auditoría.
En el caso de las instituciones de control externo, el desafío es doble. Por una parte, deba analizar si le interesa la automatización de algunos de sus procesos internos. Pero quizás el riesgo más evidente derivado de una ausencia de actualización en este campo, sea el de propiciar la elusión del control externo en decisiones de gasto público basadas en la automatización de procesos.
Este riesgo es real, y se puede ilustrar con un ejemplo concreto y reciente. El diario ABC publicó el 31 de julio de 2020 una noticia sobre este tema: “la Junta de Andalucía utiliza por primera vez robots capaces de tramitar hasta 2.500 ayudas en un solo día”. Tirando del hilo de la noticia, y buscando concienzudamente en la web de la administración autonómica, se puede llegar hasta el “Acuerdo de 7 de julio 2020, del Consejo de Gobierno, por el que se da por enterado de la resolución del secretario general técnico de la Consejería de Empleo, Formación y Trabajo Autónomo por la que se declara de emergencia el procedimiento de contratación de una solución robotizada para hacer frente a la tramitación y resolución de las solicitudes presentadas en el marco de las ayudas a personas autónomas y mutualistas del decreto ley 9/2020, de 15 de abril”.
El Decreto-Ley 9/2020 de la Junta de Andalucía, de 15 de abril, por el que se establecen medidas urgentes complementarias en el ámbito económico y social como consecuencia de la situación ocasionada por el coronavirus (COVID-19), convoca una línea de subvenciones para las personas trabajadoras por cuenta propia o autónomas afectadas por la declaración del estado de alarma para la gestión de la situación de crisis sanitaria ocasionada por el COVID-19, que tienen por objeto paliar los efectos del impacto económico negativo que dicha crisis sanitaria ha provocado en su actividad, con el fin de ayudar a sostener la continuidad de su empresa o negocio, evitando el cese definitivo del mismo, y por tanto, la destrucción de empleo. Esta subvención de concurrencia no competitiva cuenta con un presupuesto 50 millones de euros que permitirá realizar un abono de 300 € más de 166.000 beneficiarios. La finalidad de esta ayuda es dotar, mediante la provisión fondos, parte del circulante necesario para atender los diversos gastos que tienen que acometer las personas autónomas y mutualistas que han visto mermada gravemente su actividad, y con ello, la obtención de ingresos.
En el documento antes referido (Acuerdo de Consejo de Gobierno de la Junta de Andalucía de 7 de julio de 2020), se puede consultar la memoria justificativa, que incorpora la descripción de la necesidad. La tramitación de los expedientes requiere de la comprobación de una serie de datos que obran en poder de la Junta de Andalucía y de otras Administraciones:
• Art. 5.1. Residencia en Andalucía
• Art. 5.1. Domicilio fiscal en Andalucía
• Art. 5.1. Alta en el RETA, al 14 de marzo de 2020, manteniendo aquélla, de forma ininterrumpida hasta la fecha de presentación de la correspondiente solicitud.
• Art. 5.1. Alta en la mutualidad alternativa correspondiente, al 14 de marzo de 2020, manteniendo aquélla, de forma ininterrumpida hasta la fecha de presentación de la correspondiente solicitud
• Art. 5.1. Beneficiario desarrolla una actividad de las relacionadas en el Anexo I del presente decreto-ley (lista de CNAEs).
• Art. 5.2.a. Solicitante NO es beneficiario de la prestación extraordinaria por cese de actividad
• Art. 5.2.b. Que en el ejercicio fiscal de 2018 la suma de sus bases liquidables general y del ahorro recogidas en la Declaración del Impuesto sobre la Renta de las Personas Físicas, NO sea superior a tres veces el salario mínimo interprofesional para el año 2020 en caso de tributación individual y a cuatro veces dicha cuantía en el supuesto de tributación conjunta.
• Art. 5.3 NO podrá obtenerse la condición de persona beneficiaria cuando concurra alguna de las circunstancias previstas en los apartados 2 y 3 del artículo 13 de la Ley 38/2003, de 17 de noviembre, o se tengan deudas en periodo ejecutivo de cualquier otro ingreso de derecho público de la Junta de Andalucía, de conformidad con lo dispuesto en el artículo 116.2, 4 y 5 del Texto Refundido de la Ley General de la Hacienda Pública de la Junta de Andalucía.
• Art. 2.2 Que no haya solicitado ni obtenido otras subvenciones o ayudas sometidas al régimen de minimis de cualquier naturaleza o forma y finalidad solicitadas y, en su caso, obtenidas, en los dos ejercicios fiscales precedentes y en el ejercicio corriente, en los términos establecidos en el Reglamento (CE) núm. 1407/2013, Reglamento (CE) núm. 1408/2013 y Reglamento (CE) núm. 717/2014, todos de la Comisión.
• Cuenta bancaria dada de alta en la Dirección General de Tesorería y Deuda Pública.
Siguiendo con el análisis de la información disponible, se describen los datos que se van a consultar. La documentación incorporada en el mencionado Acuerdo de 7 de julio afirma que, en virtud del artículo 28.2 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, la convocatoria prevé que los solicitantes puedan autorizar a la Junta de Andalucía para la realización de dichas consultas de datos a otras Administraciones en lugar de aportar la documentación justificativa de dicho requerimientos. A continuación se enumeran las aplicaciones e información a consultar:
• Aplicación SCSP (Supresión de Certificados en Soporte Papel) de la Junta de Andalucía:
– DGP – Consulta de datos de identidad:
– INE – Consulta de datos de residencia (última variación padronal).
– TGSS – Consulta de estar al corriente de pago con la Seguridad Social.
– AEAT. Consulta a nivel de renta. Agencia Tributaria.
• Aplicación GIRO:
– AEAT – Consulta de estar al corriente de pago a Nivel Estatal. A2 (Subvenciones)
– SUR – Consulta de estar al corriente de pago a Nivel Autonómico. A1 (Subvenciones)
– GIRO. – Cuenta bancaria dada de alta en la Dirección General de Tesorería y Deuda Pública
• Sede electrónica de la AEAT:
– Certificado tributario de terceras personas. Impuesto sobre Actividades Económicas, permitiendo la obtención de su domicilio fiscal
• Aplicación SILCON:
– Consulta de la fecha de alta como persona trabajadora autónoma
– Consulta del CNAE
De esta forma, se deberán realizar un total de 10 consultas a diferentes bases de datos por cada uno de los más de 166.000 expedientes que se esperan recibir, alcanzando un total de 1.660.000 consultas.
La solución tecnológica elegida es tipo RPA (Robotic Process Automation) que permite conseguir este fin en un plazo de tiempo muy reducido tanto para aplicaciones de la Junta de Andalucía, sin necesidad de realizar ningún cambio sobre las mismas, como de otras administraciones. La tecnología RPA permite reproducir la tramitación que realizan los funcionarios de Junta de Andalucía en las distintas aplicaciones, como si de una “macro” se tratara. Los RPA acceden a las aplicaciones de la misma forma siguiendo un proceso definido que repite tantas veces como sea necesaria.
Dada la urgencia de la tramitación, la Consejería considera adecuado poder realizar todas las comprobaciones anteriormente descritas para un volumen total de 10.000 expedientes al día. Atendiendo a los siguientes cálculos, se ha determinado necesario el funcionamiento de 35 RPA en paralelo:
• Tiempo medio estimado de tramitación por expediente = 5 minutos / expediente
• Tiempo disponible por RPA = 1.440 minutos / RPA
• Volumen necesario de RPA= (10.000 expedientes *5 minutos / expediente) / (1.440 minutos / RPA) = 17,36 RPA
Por todo lo anterior, se concluye que será necesario adquirir un total de 17 licencias RPA (de la firma Blue Prism) + Windows 10, durante un máximo de tres meses. Es decir, que se opta por la primera de las dos opciones descritas en el artículo ya citado de Huang y Vasarhelyi. El resultado final, a los efectos que interesan, es el siguiente: adjudicación de un contrato de emergencia ejecutado por EY Transforma Servicios de Consultoría SL. El importe de adjudicación es de 105.058’25 Euros (IVA incluido). Se deben tramitar 166.000 ayudas de 300 euros en tres meses, lo que alcanzaría un gasto público ejecutado de 50 millones de euros mediante una actuación administrativa automatizada.
En este momento debe empezar a funcionar el escepticismo del auditor, que a la vista de lo descrito debe formularse varias preguntas referentes, en primer lugar, al cumplimiento de legalidad en la actuación descrita, y en segundo lugar a los resultados reales del proceso automatizado.
Sobre las actuaciones administrativas automatizadas es obligatorio remontarse en primer lugar al artículo 39 de la Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos, que decía que “en caso de actuación automatizada deberá establecerse previamente el órgano u órganos competentes, según los casos, para la definición de las especificaciones, programación, mantenimiento, supervisión y control de calidad y, en su caso, auditoría del sistema de información y de su código fuente. Asimismo, se indicará el órgano que debe ser considerado responsable a efectos de impugnación”. Un análisis sobre su naturaleza, concepto y régimen jurídico se puede consultar en Martín Delgado (2009).
A su vez, el artículo 41 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, establece que “1. Se entiende por actuación administrativa automatizada, cualquier acto o actuación realizada íntegramente a través de medios electrónicos por una Administración Pública en el marco de un procedimiento administrativo y en la que no haya intervenido de forma directa un empleado público. 2. En caso de actuación administrativa automatizada deberá establecerse previamente el órgano u órganos competentes, según los casos, para la definición de las especificaciones, programación, mantenimiento, supervisión y control de calidad y, en su caso, auditoría del sistema de información y de su código fuente. Asimismo, se indicará el órgano que debe ser considerado responsable a efectos de impugnación”.
Finalmente, y afectos de una fiscalización de cumplimiento de legalidad, también hay que tomar como referencia el articulado del Decreto 622/2019, de 27 de diciembre, de administración electrónica, simplificación de procedimientos y racionalización administrativa de la Junta de Andalucía. El artículo 40 de este Decreto de la Junta de Andalucía establece lo siguiente:
“Artículo 40. Actuación administrativa automatizada.
1 Se promoverá activamente la actuación administrativa automatizada en actividades que puedan producirse mediante un sistema de información adecuadamente programado sin necesidad de intervención directa de una persona empleada pública en cada caso singular, y especialmente las que consistan en:
a) La adopción de un acuerdo o decisión administrativa mediante la aplicación de fórmulas matemáticas y otros procesos puramente mecánicos en los que se utilicen valores cuantificables y susceptibles de ser expresados en cifras y porcentajes.
b) La certificación de hechos o datos preexistentes en registros o en sistemas de información, incluso del silencio administrativo.
c) La constatación puramente mecánica de requisitos previstos en la normativa aplicable y la posterior declaración, en su caso, de la consecuencia jurídica prevista en la misma.
d) La comunicación o declaración de un hecho, acto o acuerdo preexistente a través de su transcripción total o parcial.
e) La práctica de las notificaciones electrónicas.
2 No cabrá realizar mediante actuación administrativa automatizada actividades que supongan juicios de valor.
3 Conforme establece el artículo 41.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, la aprobación de las actividades que se realicen mediante actuación administrativa automatizada indicará tanto el órgano que se considera responsable a efectos de impugnación, como el órgano u órganos competentes para la definición de las especificaciones, programación, mantenimiento, supervisión, control de calidad y, en su caso, auditoría del sistema de información y de su código fuente.
La aprobación será objeto de publicación, al menos, en la sede electrónica correspondiente.
4 La actuación administrativa automatizada se imputará, a todos los efectos, a la persona titular del órgano o entidad responsable del sello electrónico o, en su caso, código seguro de verificación con el que se lleve a cabo”.
Resumiendo la situación, la verificación del cumplimiento de la legalidad debe comprobar al menos que existe una resolución que indica tanto el órgano que se considera responsable a efectos de impugnación, como el órgano u órganos competentes para la definición de las especificaciones, programación, mantenimiento, supervisión, control de calidad y, en su caso, auditoría del sistema de información y de su código fuente. Y también la publicación de esta resolución en la sede electrónica correspondiente, en este caso, de la Consejería de Empleo, Formación y Trabajo Autónomo.
Respecto a la fiscalización operativa de la actuación administrativa automatizada, se plantean dos cuestiones de interés. Por una parte, la documentación administrativa que se ha hecho pública (Acuerdo de 7 de julio de 2020 del Consejo de Gobierno de la Junta de Andalucía) hace referencia en todo momento a 166.000 ayudas, mientras que la noticia publicada en el diario ABC el 31 de julio menciona tan sólo el pago de 67.000 incentivos. Entonces, cabe preguntarse si se han pagado todos los incentivos previstos; si hay posibles beneficiarios que no lo han recibido, y las causas; cómo se ha notificado la resolución de pago y de denegación del mismo; si ha habido pie de recurso y posibilidad de impugnación de la resolución; y también si ha habido casos de personas que han recibido el pago sin cumplir los requisitos. En definitiva, si han recibido la ayuda todos los posibles beneficiarios, y si quienes la han recibido efectivamente cumplían los requisitos. Y cuál ha sido la ejecución presupuestaria, por supuesto.
Pero además, no se puede pasar por alto la segunda cuestión que debe preocupar al control externo, y que es verdaderamente relevante: el propio Decreto 622/2019 de la Junta de Andalucía habla expresamente de la “auditoría del sistema de información y de su código fuente”. Es decir, para realizar una fiscalización de esta actuación administrativa automatizada, o de cualquier otra que se plantee más adelante, la institución de control externo deberá contar con profesionales especializados en auditoría de sistemas, o externalizar en su caso este delicado y esencial trabajo. Una decisión estratégica que obliga a invertir en el capital humano de la organización, o a confiar en profesionales externos en función de las necesidades que vayan surgiendo. Si seguimos las recomendaciones de Huang y Vasarhelyi, no cabe duda de la decisión a tomar: controlar los procesos en el seno de la organización permite una mejor comprensión de la situación analizada y garantiza una protección adecuada de los datos personales y confidenciales que se puedan manejar en este tipo de fiscalizaciones.
3.- EL OMNIPRESENTE BIG DATA.
Todo el mundo, en todas partes, habla de la revolución del Big Data. En las empresas, en el sector público, en las grandes organizaciones supranacionales, en las playas, en las calles y en los aeródromos, parafraseando a Churchill. Un libro seminal sobre el tema –que, por cierto, comienza haciendo referencia a la epidemia de gripe de 2009, basada en una nueva cepa y que dio paso a la crisis de la gripe aviar- afirma que “no existe una definición rigurosa de los datos masivos” y también que “una forma de pensar en esta cuestión hoy en día es la siguiente: los big data, los datos masivos, se refieren a cosas que se pueden hacer a gran escala, pero no a una escala inferior, para extraer nuevas percepciones o crear nuevas formas de valor, de tal forma que transforman los mercados, las organizaciones, las relaciones entre los ciudadanos y los gobiernos, etc.” (Mayer-Schönberger y Cukier, 2013, p. 17).
En el control externo ya hay tímidas experiencias en el uso de big data, inquietudes, aproximaciones, deseos, estudios. Un artículo publicado en esta misma revista planteaba que “el big data mató a la estrella del muestreo” (Chico Martínez, 2020). En efecto, ¿para qué conformarse con muestras representativas si las nuevas tecnologías permiten analizar el universo de los datos? Pero no es tan fácil: los datos deben estar estructurados y ser fiables, y esto obliga a introducir en las administraciones públicas una “cultura del dato”, la idea de que es importante rellenar los cuestionarios informáticos no con la imagen de que suponen una pesada carga burocrática, sino con la más estimulante idea de que los empleados públicos encargados de alimentar los sistemas de información están contribuyendo a crear conocimiento, gracias a su trabajo concienzudo y no siempre bien reconocido. De la misma manera que la Alcaldía de París tuvo la brillante idea de señalar en sus alcantarillas que en ellas comienza el mar, para impedir que se conviertan en el sumidero de nuestros desechos, sería imprescindible una gran campaña de concienciación que permita visualizar, en cada pantalla y en cada interfaz, que introducir los datos en los sistemas de información con cuidado y calidad es la primera acción necesaria para aprovechar en toda su inmensidad cósmica las posibilidades del análisis masivo de los mismos. Se necesitan sistemas de información actualizados, manuales de procedimientos y esa cultura del dato ya mencionada.
Dicho esto, que parece importante y lo es, conviene empezar señalando y destacando dos experiencias muy llamativas sobre el uso de técnicas big data en tareas de control externo o similares. La primera procede de Colombia y la segunda de Brasil, lo que permite además aprovechar la oportunidad para solicitar una visión más objetiva y, si se me permite, menos colonial de los logros alcanzados en otras latitudes, cuyo rigor y profesionalidad nos pueden servir de ejemplo.
En el primer caso citado, varios investigadores han utilizado herramientas de big data y machine learning para analizar la contratación pública en Colombia. Tras analizar más de dos millones de contratos, presentan hallazgos interesantes sobre las variables que influyen –a favor y en contra- en la integridad de la contratación pública (Gallego, Rivero y Martínez, 2020). Aunque es un artículo técnico y a ratos farragoso, merece la pena su lectura para estudiar un uso de este tipo de técnicas que bien podría aplicarse en la Plataforma de Contratación del Sector Público en España o en las distintas plataformas autonómicas.
El segundo caso es aún más interesante. En Brasil, su Tribunal de Cuentas dispone ya de herramientas basadas en big data para prevenir la corrupción y luchar contra ella. Todas estas herramientas tienen nombres de mujer –como las que existen en España en el ámbito de la ciberseguridad y creadas por el Centro Criptológico Nacional-, lo que ha llevado a la publicación de un estimulante artículo titulado “Artificial ladies against corruption: searching for legitimacy at the Brazilian Supreme Audit Institution” (Neves, Carvalho y Silva, 2019). En este texto de obligada lectura, llama poderosamente la atención un hecho que aportan los propios autores: pese a la disponibilidad de estas herramientas avanzadas, sólo el 7% de los trabajadores las usan. Excel y Word continúan reinando en el trabajo cotidiano de los auditores, lo que obliga a pensar seriamente en algunos aspectos de la introducción de esta moderna tecnología, y que comentaremos más adelante.
En España, el uso de big data ya es una realidad en algunas administraciones públicas, aunque no exenta de cierta polémica. Adrian Todolí ha estudiado su uso por parte de la inspección de trabajo, y defiende que si bien “la Administración tiene la obligación de asegurar que el big data no esté dando como resultado una elección discriminatoria o sin fundamento suficiente; por otro lado, será necesario garantizar cierto grado de transparencia en los criterios utilizados por el big data para tomar sus decisiones y establecer los porcentajes de riesgo de incumplimiento de cada empresa o de los distintos sectores” (Todolí Signes, 2020, p. 334).
En términos similares se expresa Lorenzo Cotino, cuando sostiene que la posibilidad de usar big data para buscar la ilegalidad es perfectamente plausible pero que debe ir acompañada de un “estándar elevado de garantías” (Cotino Hueso, 2020), y que “especialmente hay que conocer el uso de la IA en las fases previas o de asistencia a las decisiones humanas, para evitar la huida del Derecho” (Cotino Hueso, 2020, p.3). Otro especialista en la materia, Óscar Cortés, llega a hablar incluso de “privatización por la puerta de atrás del derecho administrativo” (Cortés, 2020), lo que obliga a extremar la cautela en el uso de estas herramientas por parte de determinadas administraciones públicas, como las inspecciones de Hacienda o de Trabajo. En todo caso, los expertos coinciden en afirmar que estas tareas de filtrado pueden estar bajo el paraguas de la recopilación de información y actuaciones previas que contempla la normativa vigente (artículo 55 de la Ley 39/2015 del Procedimiento Administrativo Común). En todo caso, hay consenso en el sentido de que deben servir para delimitar, pero no para decidir, y esta conclusión es relevante para el diseño de futuras actuaciones por parte de las instituciones de control externo.
4.- LAS IMPLICACIONES ÉTICAS DEL USO DE HERRAMIENTAS TECNOLÓGICAS EN LA AUDITORÍA PÚBLICA Y EL CONTROL EXTERNO.
En un artículo reciente hice referencia a la figura de Miklos Vasarhelyi, profesor de la Rutgers Business School y una de las figuras académicas y prácticas que más ha escrito y publicado sobre la transformación digital de la auditoría (Benítez Palma, 2020). Una de sus más recientes y notables publicaciones hace referencia a las implicaciones éticas del uso de la inteligencia artificial en la auditoría, y sus reflexiones merecen ser leídas por su profundidad y acierto (Munoko, Brown-Liburd y Vasarhelyi, 2019).
Hay dos cuestiones que me gustaría destacar de este importante artículo. En primer lugar, los autores proponen un gran marco que relaciona las aplicaciones de la inteligencia artificial en la auditoría con el aumento de las capacidades o competencias (capabilities), los retos (challenges) y los valores en riesgo en la profesión de auditor. Así, de la misma manera que se puede aumentar la eficiencia, trabajar con grandes cantidades de datos, mejorar la eficiencia, automatizar tareas repetitivas, aproximarse al viejo sueño de la auditoría continua o identificar en tiempo real problemas de cumplimiento de los clientes, entre los retos señalan la necesidad de evitar los sesgos algorítmicos, la necesidad de aplicación del factor humano para detectar anomalías, la obtención de datos de calidad –algo que ya mencioné en un apartado anterior-, los riesgos relacionados con la ciberseguridad o los requerimientos de protección de los datos.
La parte más interesante de este primer marco tiene que ver con los valores en riesgo. Los autores señalan una larga lista, correlacionada con los distintos usos de la inteligencia artificial. Podemos destacar entre ellos la protección de datos, la justicia (fairness), la brecha entre las expectativas en torno a la IA y la realidad, la seguridad, la transparencia, la confidencialidad, el aislamiento de los trabajadores humanos o la autonomía (al sustituir el criterio del auditor por un juicio “aséptico” basado en los datos y una decisión algorítmica). Todos estos riesgos forman parte del debate actual en torno al uso de la Inteligencia Artificial en otros muchos campos profesionales.
A partir de este análisis preliminar, los autores diseñan un marco ético para la aplicación de estas tecnologías emergentes en la auditoría. Señalan los principios éticos en riesgo por la aplicación de la Inteligencia Artificial, a partir de una tabla que relaciona la tecnología con los artefactos (quizás podríamos hablar de “dispositivos”) y su aplicación en la auditoría. De esta manera, alertan sobre tres grandes cuestiones:
a) Los estándares de calidad en la profesión, que pueden verse afectados por la aplicación desigual de herramientas de Inteligencia Artificial en las empresas.
b) El escepticismo profesional, ya que la aplicación de este tipo de herramientas sin el adecuado contrapeso humano puede llevar a poner el foco en los aspectos señalados por los algoritmos, lo que dejaría sin considerar otros hechos que pueden pasar desapercibidos.
c) Las competencias profesionales: se preguntan con énfasis los autores si el currículum actual y los programas de formación están proveyendo al mercado de auditores con conocimientos suficientes y adecuados sobre el uso de herramientas basadas en la IA, y sobre sus posibles riesgos e implicaciones. ¿Es adecuada la gobernanza de la IA y de los los algoritmos por parte de los auditores? Una pregunta muy relevante.
El enfoque de Munoko, Brown-Liburd y Vasarhelyi es crucial para el futuro de la profesión, tanto para los auditores del sector privado como para los auditores públicos. Porque, como ya se ha destacado en la introducción, la auditoría pública y el control externo del gasto público no se puede seguir realizando con las viejas herramientas en un escenario de “data driven public administration”, en un momento en el que parece apostarse a gran escala por una administración pública digitalizada, crecientemente automatizada y que toma decisiones basada en sus propios datos.
De esta manera, las necesidades de formación y de actualización, ese llamamiento al “reskill” y al “upskill” –y aquí es necesario preguntarnos dónde quedó aquella alerta temprana sobre el “lifelong learning” y la formación continua en el puesto de trabajo-, sobre el que se han escrito textos muy acertados e inspiradores (Acca, 2019; Suffield, 2020), deviene ahora en imperativo ético: los auditores públicos necesitan estar actualizados y recibir la formación necesaria y suficiente para cumplir con profesionalidad su tarea fiscalizadora.
Este planteamiento, que comparto plenamente, tiene su corolario en la más reciente publicación de INTOSAI: “The future relevan, value adding auditor”, publicado a principios de noviembre de 2020. Un documento que pone el foco en las áreas críticas competenciales que permitirán a los auditores públicos ser relevantes y proporcionar valor añadido en el futuro inmediato.
Las cuatro grandes áreas que destaca INTOSAI en este brillante documento son las siguientes:
1.- Pensamiento crítico (critical thinking): “A medida que el mundo se vuelve más complejo, la capacidad de comprender las complejidades y otros problemas no estructurados mientras se mantiene el juicio crítico y el escepticismo profesional, será una de las competencias más esenciales”. Esta necesidad requiere de habilidades como la creatividad, la objetividad, la capacidad para detectar problemas y proponer soluciones, la prospectiva, la habilidad para distinguir los hechos del ruido, el juicio independiente y la necesidad de adaptarse a los cambios. Casi nada.
2.- Resiliencia (resilience): “La resiliencia es una cualidad fundamental y fundamental que se superpone para asegurar que las otras áreas de competencia sean efectivas. Con todas las incertidumbres del futuro, debemos ser conscientes de lo desconocido para que cuando ocurra el cambio no reaccionemos con resistencia, sino que seamos capaces de transformarnos y adaptarnos a la nueva normalidad”. Algunos conceptos de esta definición ya nos resultan familiares. La resiliencia exige curiosidad, el deseo de hacer(nos) preguntas, la tenacidad, la flexibilidad, la capacidad de reorganización o tener una mente abierta, según INTOSAI.
3.- Habilidades digitales (digital literacy): “Aunque la evolución tecnológica siempre ha sido un factor con el que los auditores han tenido que lidiar, los avances parecen estar constantemente acelerando. La digitalización está cambiando nuestro mundo, cambiando nuestros gobiernos y también la profesión de auditoría. Incluso en un panorama tan aparentemente desalentador, se ha vuelto crítico que un auditor sea alguien que se sienta cómodo para continuar adoptando nuevas tecnologías para hacer el trabajo que nos ha encomendado la ciudadanía. Las habilidades requeridas no sólo tienen que ver con la capacidad tecnológica y el manejo de nuevos programas y aplicaciones, sino también con la habilidad para presentar la información y los resultados, por ejemplo.
4.- Colaboración (collaboration): “Es esencial que los auditores colaboren, y también que influyan en aquellos que trabajan a su alrededor para cooperar en beneficio mutuo, ya sea trabajando juntos en equipo o cooperando con todas las partes externas interesadas tener impacto y alcanzar una gobernanza eficaz”. Este vector requiere de diplomacia, inteligencia emocional, capacidad para crear o construir confianza, orientación al cliente, comunicación y capacidad de escucha. Sin duda, una cuestión clave.
Las propuestas de INTOSAI van en línea con otros trabajos de prospectiva sobre la profesión de auditor y sus retos inmediatos, derivados de la transformación digital y de la expansión del uso de la Inteligencia Artificial. Estos consejos prácticos deben servir para orientar los programas formativos, y para el diseño de los planes estratégicos de las instituciones de control externo, sometidas a la presión de los tiempos y condenadas a la irrelevancia si no reaccionan, en un mundo dinámico y cada vez más exigente.
5.- CONCLUSIÓN
Este artículo pretende señalar dos cuestiones esenciales para el futuro inmediato de la auditoría pública. En primer lugar, su necesaria adaptación al cambio de paradigma en la gestión pública, hacia un modelo basado en los datos y en la explotación de los mismos para la toma de decisiones por parte de los poderes públicos. Esta adaptación debe ir en paralelo al gran cambio europeo anunciado, financiado por los fondos de reconstrucción, a los que las instituciones de control externo deberían tener acceso prioritario.
Una segunda cuestión de interés tiene que ver con las necesidades internas de las instituciones de control externo, derivadas de este proceso en marcha de transformación tecnológica a gran escala. La incorporación de herramientas tecnológicas y de soluciones basadas en la aplicación de inteligencia artificial no sólo ofrece oportunidades, sino que también trae consigo riesgos y dilemas éticos. En esta coyuntura, la actualización y la renovación de las habilidades y conocimientos de los auditores públicos deviene en un verdadero imperativo ético: sin transformación, sin cambio, la auditoría pública dejará de ser relevante y de aportar valor añadido. Y eso, en un mundo acelerado, puede llegar a suponer incluso una amenaza para su propia supervivencia.
BIBLIOGRAFÍA
ACCA (2019): “Audit and technology”. ACCA Report. https://www.accaglobal.com/gb/en/professional-insights/technology/audit-and-tech.html
Alles, M. (2019): “Will the Medium Become the Message? A Framework for Understanding the Coming Automation of the Audit Process”. Journal of Information Systems, vol. 34, nº 2, pp. 109-130. https://meridian.allenpress.com/jis/article-abstract/34/2/109/427379/Will-the-Medium-Become-the-Message-A-Framework-for?redirectedFrom=fulltext
Alles, M. (2020): “Business Process ‘De-engineering’: Establishing the Value of the Human Auditor in an Automated Audit System”. Journal of Emerging Technologies in Accounting, vol. 17, nº 1, pp. 43-49. https://meridian.allenpress.com/jeta/article-abstract/17/1/43/437682/Business-Process-De-Engineering-Establishing-the?redirectedFrom=fulltext
Benítez Palma, E. (2020): “La transformación digital de la auditoría pública: algunos apuntes”. En Jiménez Rius, P. (Coord.): “Una nueva auditoría pública digital”. Wolters Kluwer, 2020. https://tienda.wolterskluwer.es/p/una-nueva-auditoria-publica-digital
Cong, Y., Hui, D. y Vasarhelyi, M. (2018): “Technological Disruption in Accounting and Auditing”. Journal of Emerging Technologies in Accounting, vol. 15, nº 2, pp. 1-10. https://meridian.allenpress.com/jeta/article/15/2/1/429934/Technological-Disruption-in-Accounting-and
Cooper, L., Holderness, K., Sorensen, T. y Wood, D. (2019): “Robotic Process Automation in Public Accounting”. Accounting Horizons, vol. 33, nº 4, pp. 15-35. https://meridian.allenpress.com/accounting-horizons/article-abstract/33/4/15/427555/Robotic-Process-Automation-in-Public-Accounting
Cortés, O. (2020): “Algoritmos y algunos retos para su aplicación en la administración pública”. Revista Vasca de Gestión de Personas y Organizaciones Públicas, nº 18/2020, pp. 54-63.
https://www.ivap.euskadi.eus/contenidos/informacion/rvgp_ultimo_numero/es_def/Cortes_54_63.pdf
Cotino Hueso, L. (2020): “SyRI, ¿a quién sanciono? Garantías frente al uso de la inteligenbcia artificial y decisiones automatizadas en el sector público y la sentencia holandesa de febrero de 2020”. La Ley, mayo 2020, Wolters Kluwer. https://www.academia.edu/42979949/_SyRI_a_qui%C3%A9n_sanciono_Garant%C3%ADas_frente_al_uso_de_inteligencia_artificial_y_decisiones_automatizadas_en_el_sector_p%C3%BAblico_y_la_sentencia_holandesa_de_febrero_de_2020
Chico Martínez, F. J. (2020): “El big data mató a la estrella del muestreo”. Auditoría Pública, nº 75, pp. 9-13. https://asocex.es/el-big-data-mato-a-la-estrella-del-muestreo
Dai, J. y Vasarhelyi, M. (2016): “Imagineering Audit 4.0”. Journal of Emerging Technologies in Accounting, vol. 13, nº. 1, pp. 1-15. https://meridian.allenpress.com/jeta/article/13/1/1/116061/Imagineering-Audit-4-0
European Court of Auditors (2020): “Big Data & Digital Audit”. ECA Journal, nº 1/2020. https://www.eca.europa.eu/en/Pages/NewsItem.aspx?nid=13397
Farhat, I. (2019): “RPA and the government audit”. Deloitte. https://www2.deloitte.com/content/dam/Deloitte/us/Documents/finance/us-rpa-and-government-audit.pdf
Gallego, J., Rivero, G. y Martínez, J.D. (2020): «Preventing rather than Punishing: An Early Warning Model of Malfeasance in Public Procurement”. International Journal of Forecasting. https://www.sciencedirect.com/science/article/pii/S0169207020300935
Huang, F. y Vasarhelyi, M. (2019): “Applying Robotic Process Automation in auditing: a framework”. International Journal of Accounting Information Systems, vol, 35, december. https://www.sciencedirect.com/science/article/abs/pii/S1467089518301738
INTOSAI (2020): “The future relevant value adding auditor”. https://www.intosaicbc.org/wp-content/uploads/2020/11/20201106-The-Future-Relevant-Value-Adding-Auditor_CBC_Nov-2020.pdf
Marr, B. (2020): “Robotic Process Automation is coming: here are 5 ways to prepare for it”.https://www.bernardmarr.com/default.asp?contentID=2117
Martín Delgado, I. (2009): “Naturaleza, concepto y régimen jurídico de la actuación administrativa automatizada”. Revista de Administración Pública, nº 180, sept-dic, pp. 353-386. https://dialnet.unirioja.es/servlet/articulo?codigo=3209548
Mayer-Schönberger, V. y Cukier, K. (2013): “Big data. La revolución de los datos masivos”. Turner editorial, Madrid.
Moll, J. y Yigitbasioglu, O. (2019): “The role of internet-related technologies in shaping the work of accountants: New directions for accounting research”. The British Accounting Review, vol. 51, nº 6. https://www.sciencedirect.com/science/article/abs/pii/S0890838919300459
Neves, F., Carvalho, H. y Silva, P. (2019): “Artificial Ladies against corruption: searching for legitimacy at the Brazilian Supreme Audit Institution”. Revista de Contabilidade e Organizaçoes (temático Fraudes e Corrupçao), pp. 31-50. https://www.redalyc.org/jatsRepo/2352/235260267018/html/index.html
Munoko, I, Brown-Liburd, H. y Vasarhelyi, M. (2020): “The Ethics Implication of Using Artificial Intelligence in Auditing”. Journal of Business Ethics. https://link.springer.com/article/10.1007/s10551-019-04407-1#citeas
Spiros, A. (2020): “The Dark Side of Robotic Process Automation”. ISACA Journal, vol. 5. https://www.isaca.org/resources/isaca-journal/issues/2020/volume-5/the-dark-side-of-robotic-process-automation
Suffield, M. (2020): “Auditors of the future – what are the skills needed in a digital age?”. European Court of Auditors Journal. https://medium.com/ecajournal/auditors-of-the-future-what-are-the-skills-needed-in-a-digital-age-a94345911619
Todolí Signes, A. (2020): “Retos legales del uso del big data en la selección de sujetos a investigar por la Inspección de Trabajo y la Seguridad Social”. Revista Galega de Administración Pública (REGAP), nº 59, pp. 313-337. https://egap.xunta.gal/revistas/REGAP/article/view/4354/6393