Auditoría, Gobernanza y Compliance, en el Sector Público
Bajo el título de “Auditoría, Gobernanza y Compliance en el Sector Público”, se celebra esta semana en el Col·legi de Censors Jurats de Comptes de Catalunya, la 8ª Jornada de Auditoría en el Sector Público. El lema de la jornada se refiere muy acertadamente a tres conceptos básicos que, interrelacionados entre ellos, deben permitir la mejora de la gestión, la transparencia y la eficiencia en los diversos entes e instituciones del sector público, en sus múltiples formas jurídicas, ámbitos de actuación y actividades desarrolladas.
Todos estos conceptos, se enmarcan en aquello que se ha venido en calificar como el sistema de control interno, entendido como el conjunto integrado y continuo de operaciones efectuadas por personas de la propia organización que ofrece una seguridad razonable que los objetivos de ésta serán alcanzados. Esta definición coincide con el “Marco Integrado de Control Interno” que define el “Comittee of Sponsoring Organization of the Treadway Comission”, más conocido como COSO. En este sentido, creo que es muy remarcable el documento publicado recientemente por el Instituto de Auditores Internos de España, titulado “Aplicación del Marco Integrado de Control Interno (COSO) en el Sector Público Español”, que propone una adaptación al sector público de buenas prácticas en el ámbito del control interno para armonizar los planteamientos seguidos en los sectores público y privado en la búsqueda de unos adecuados niveles de excelencia en el gobierno corporativo, auditoría interna y gestión de riesgos.
El mencionado documento del Instituto de Auditores Internos de España, bajo la metodología genérica de definición de COSO, se introducen diversos componentes para cada uno de los cuales se aplican diversos principios que permiten analizar la madurez de los principios COSO en el sector público. Sin perjuicio de recomendar una lectura detallada del documento, me permito resumir cuales son esos componentes y los principios asociados:
- Componente 1. Entorno de Control. Definido como el conjunto de normas, procesos y estructuras que constituyen las base sobre la que se desarrolla el control interno de la organización, siendo los principios asociados los siguientes.
- Principio 1: La organización demuestra compromiso con la integridad y los valores éticos.
- Principio 2: el órgano de gobierno demuestra independencia de la dirección y supervisa el desempeño del sistema de control interno.
- Principio 3: la dirección establece, con la supervisión del órgano de gobierno, las estructuras, líneas de reporte y niveles de autoridad y responsabilidad apropiados para lograr los objetivos.
- Principio 4: la organización demuestra compromiso con la estrategia para atraer, desarrollar y retener a profesionales competentes.
- Principio 5: la organización evalúa el rendimiento y define la responsabilidad de las personas en relación con el control interno y aplica la responsabilidad por la rendición de cuentas.
- Componente 2. Evaluación de riesgos. Definido como la necesidad de gestionar adecuadamente los riesgos que amenazan los objetivos de la organización, siendo los principios asociados los siguientes:
- Principio 6: la organización define los objetivos con suficiente claridad para identificar y evaluar los riesgos relacionados.
- Principio 7: la organización identifica los riesgos para lograr los objetivos en todos los niveles y los analiza para determinar cómo se gestionan.
- Principio 8: la organización, al evaluar los riesgos para conseguir lo objetivos, considera la probabilidad del fraude.
- Principio 9: la organización identifica y evalúa los cambios que pueden afectar significativamente al sistema de control interno.
- Componente 3. Actividad de control. Definido como las políticas y procedimientos que contribuyen a garantizar que se llevan a cabo las instrucciones de la dirección para mitigar los riesgos, siendo los principios asociados los siguientes:
- Principio 10: la organización define y desarrolla actividades de control que contribuyen a mitigar los riesgos.
- Principio 11: la organización define y desarrolla actividades de control sobre la tecnología.
- Principio 12: la organización implementa las actividades de control con políticas que establecen las líneas generales de control interno y con procedimientos que concretan dichas políticas.
- Componente 4. Información y comunicación. Definido como el proceso continuo de proporcionar, compartir y obtener la información necesaria, siendo los principios asociados los siguientes:
- Principio 13: la organización obtiene, genera y utiliza información de calidad relevante para respaldar el funcionamiento del control interno.
- Principio 14: la organización comunica internamente información necesaria para respaldar el funcionamiento del control interno, incluidos los objetivos y las responsabilidades sobre dicho control.
- Principio 15: la organización se comunica con terceros sobre asuntos que afectan al funcionamiento del control interno.
- Componente 5. Supervisión. Cada uno de los componentes del control interno debe ser evaluado, siendo los principios asociados los siguientes:
- Principio 16: la organización selecciona, desarrolla y realiza evaluaciones continuas y/o independientes para determinar si los componentes del sistema de control interno existen y funcionan.
- Principio 17: la organización evalúa y comunica las deficiencias de control interno oportunamente a las partes responsables de aplicar medidas correctivas, incluida la alta dirección y el consejo.
Al hilo del exhaustivo y muy acertado trabajo del Instituto de Auditores Internos de España y vinculándolos con los conceptos anunciados al inicio de éste artículo, creo interesante hacer unas reflexiones que deberían permitir valorar cuales son las condiciones actuales del sector público para afrontar un proceso de mejora y evolución de sus sistemas de control interno:
- Modelo de gobernanza: la coexistencia de dos niveles de decisión, uno político y otro técnico, no siempre está claramente delimitada y la frontera entre las responsabilidades de uno y otro puede generar dificultades en la fijación de los objetivos, las estrategias y la evaluación de riesgos. Un ejemplo concreto de estas disfunciones es en los modelos de gobernanza de los entes públicos empresariales, la composición de cuyos órganos de administración no siempre responde prioritariamente a criterios técnicos o de gestión.
- Responsabilidad sobre el control interno: en el sector público, la competencia para el ejercicio de la supervisión del control interno no es una novedad y, por propia asignación normativa, ésta recae sobre la Intervención de la entidad. La función interventora como responsable del control interno está claramente definida y tiene unas competencias y obligaciones concretas en su triple acepción de control financiero, control de legalidad, cumplimiento de legalidad y control de eficacia. Sin embargo, deberíamos recordar las dificultades prácticas que se producen en el ejercicio de esta función, por limitación de recursos o incluso ausencia de profesionales adecuados, como por ejemplo es bien sabido que ocurre en la administración local, especialmente en municipios de reducida dimensión. Y todo ello sin profundizar en el control de eficacia que, por norma general, es el gran ausente en el ejercicio de la función interventora. En estos campos, cabe esperar los resultados del hace tiempo esperado, nuevo Reglamento de Control Interno de los entes locales.
- Entorno de control: el marco normativo a que se encuentra sometido el sector público, en ocasiones presenta una difícil convivencia con criterios de gestión y se encuentra más orientado a criterios administrativistas o garantistas del procedimiento. Así mismo, el marco legal define un campo de actuación para el sector público claramente delimitado, con unos riesgos identificados que dejan poco margen para la evaluación de riesgos y políticas de prevención. Las normas en contratación pública de bienes y servicios, personal, gestión urbanística, subvenciones, gestión presupuestaria, gestión tributaria, etc, etc, hace años que están definidas y debe darse pleno cumplimiento a las mismas. Aunque en su momento no se denominó “compliance”, el “cumplimiento” de la norma es un principio consagrado en la administración pública, aunque cabe preguntarse porqué sigue siendo tan frecuente el incumplimiento de la norma.
- Evaluación externa: aún siendo una propuesta hecha en diversos momentos y con diversos alcances y por diversos actores (por ejemplo, las propias corporaciones profesionales de auditores), lo cierto es que el sistema de evaluación y control en el sector público sigue siendo asignado de manera casi exclusiva a los propios órganos de control interno públicos, asignando a los auditores externos una función únicamente de colaboración subalterna (exceptuando, por ejemplo la auditoría de cuentas a las sociedades mercantiles públicas, sujetas a la obligación de auditoría). Otra cuestión es que si, como evaluadores externos, nos referimos a los órganos de control externo públicos (Tribunal de Cuentas y Organismos autonómicos equivalentes), pero es de sobras conocida la insuficiencia manifiesta de medios de dichos órganos para afrontar un control externo exhaustivo de todo el sector público en sus distintas formas jurídicas y ámbitos territoriales. La potenciación de la colaboración público privada debe ser el camino para reforzar los mecanismos de control externo en sus distintos ámbitos, desde la evaluación del control interno, hasta la rendición de cuentas.
El camino por recorrer es aún arduo, pero aportaciones como las del Instituto de Auditores Internos, o las que se han venido haciendo desde el propio sector público o del colectivo de Censores Jurados de Cuentas, deben permitir mejorar los sistemas de gobernanza, control interno, auditoría y transparencia en el sector público que es, en definitiva, el objetivo común que perseguimos.
Pere Ruiz Espinós es presidente de la Comisión del Sector Público del ICJCE.
