Antonio Arias: El gran teatro del control

Por Antonio Arias. Fiscalización.es blog.- Abrimos hoy la bitácora con una interesante entrevista a Antoní Gómez, Presidente del colegio profesional de los Censors catalanes, donde sustituyó a Daniel Faura, una destacada figura de la auditoría pública. 

Se habla en ella sobre temas de gran actualidad como la información no financiera y su verificación, los sesenta mil informes que las empresas encargan en España cada año o que la edad media del colectivo sea de 58 años. Entiende que la profesión ha perdido prestigio social, exigiendo una dedicación muy intensa y donde se ha producido una caída importante de retribuciones. Así que concluye: “Nadie quiere ser auditor”.

Aceptemos que hay un sector de los jóvenes graduados que prefiere dedicarse a la gestión y considera la auditoría una función poco creativa (corazón de feldespato ), decíamos ya hace doce años) y hasta un poco gris. Sin embargo, hoy por hoy, les ofrece una interesante salida profesional, con múltiples opciones y entre las recientes, la regulación del control financiero local, recogiendo una antigua petición del sector.

Antonio Minguillón suele recordar en sus conferencias que el reto principal de los auditores públicos hoy estriba en adaptar e integrar en la metodología tradicional las técnicas de auditoría de sistemas de información, las herramientas de análisis de datos, incluyendo la visualización, y otras tecnologías emergentes como la inteligencia artificial, la robotización de procesos y el blockchain, así como integrar en los análisis de riesgos los relativos a la ciberseguridad, los derivados de la extensión de las smartcities, el cloud computing, etc. También en la comunicación de los resultados.

Dos extraordinarias actividades en Badajoz y Barcelona

El otoño dos depara dos grandes congresos con el foco puesto en el mundo local, con suficiente distancia geográfica y temporal entre ellos como para ser dos éxitos rotundos. Ambos están en periodo de inscripción y en ambos tengo el honor de participar en el reparto:

3-4 de octubre (Badajoz). I CONGRESO DE CONTROL INTERNO LOCAL coorganizado por la Diputación de Badajoz y la IGAE. Un foro que servirá para debatir y aprender de un plantel de  panelistas excepcional pero también para resolver las muchas cuestiones que están suscitándose en el primer año de la aplicación de la nueva normativa en materia de control interno local. (RD 424/2017 RCIL).

21-22 de Noviembre (Barcelona) III JORNADAS SOBRE CONTROL Y AUDITORÍA EN EL SECTOR PÚBLICO LOCAL, coorganizadas por FIASEP y el Col.legi de Censors de Catalunya. Un lugar de encuentro excepcional de todos los profesionales públicos y privados interesados en estas materias. Puesta en común de las distintas experiencias, problemáticas, estrategias, efectos de las contrataciones externas y mejores prácticas para el ejercicio del control financiero y la auditoría pública en el ámbito local.

¿El auditor privado está progresando realmente?

El mundo de la auditoría privada ha aprendido algunas duras lecciones, tras los grandes desastres financieros internacionales de los últimos años. En España, se ha mejorado mucho la regulación de algunos aspectos del gobierno corporativo, de la auditoría y del compliance. Sin embargo, casos como Bankia o Banco Popular demuestran los enormes riesgos que enfrentan los auditores a pesar de la generalización de los procesos de gobierno, riesgo y cumplimiento (GRC).

Debemos al experto en seguridad Bruce Schneier, la afortunada expresión “Teatro de seguridad”, popularizada en su libro “Más allá del miedo” tras la tragedia de las Torres gemelas, de 2001 y las medidas de seguridad adicionales que se generalizaron en los aeropuertos, que en su opinión perseguían tranquilizar a la opinión pública  pero no necesariamente abordaban amenazas serias y decididas, porque sencillamente no se pueden evitar.

Recientemente, el analista James Paterson, recordaba aquella expresión en un lúcido artículo. Manifestaba su preocupación porque muchas de las actividades de control que se desarrollan en las organizaciones no sean más que “teatro“. Bienintencionado pero teatro al fin que permite detectar algunos, incluso muchos, problemas, evitar algunos fraudes pero en lo que respecta a las grandes crisis, pueden pasar por alto algunos de los riesgos y problemas más catastróficos que están al acecho.

Teatro con muchos actores principales y secundarios. El escenario se refleja en el  conocido modelo de tres líneas de defensa desarrollado por el Instituto de Auditores Internos para describir los papeles de cada uno en las organizaciones, mediante capas o niveles de actividad que contribuyen a garantizar que los riesgos se gestionan y se supervisan de forma eficiente y eficaz.

En lo que tiene que ver con nuestra tarea, las auditorías externas, las auditorías internas y las inspecciones sectoriales funcionan como una línea de defensa más, para garantizar que el guión se desarrolla razonablemente. Entonces, ¿por qué persisten tantos problemas? Paterson cree que por el carácter  multidimensional y, a menudo, sistémico del control interno. Menciona la renuencia a recopilar información y datos que puedan desafiar el status quo (“verdades inconvenientes“), la subestimación de los factores humanos y psicológicos que suelen estar en juego, así como las dificultades para hablar abiertamente sobre los dilemas de la organización o las lealtades entre los directivos y los miembros del equipo gerencial o simplemente los llamados incentivos perversos, como el bonus anual.

Por eso, concluye: “si mis temores están justificados, entonces puedo imaginar fácilmente otra larga lista de desastres corporativos en los próximos 5 o 10 años”.

El modelo, en revisión

El Instituto de Auditores Internos somete a consulta publica hasta el 19 de septiembre, la revisión del documento de las tres líneas de defensa (hay versión castellana) solicitando opiniones de una amplia variedad de partes interesadas de todo el mundo y donde podéis alegar en el formulario incorporado.

El modelo actual tiene el beneficio de ser simple, fácil de comunicar y fácil de comprender. Describe los roles respectivos del órgano de gobierno, de la alta dirección y de la dirección operativa, las funciones de riesgo y cumplimiento y la auditoría interna. Ayuda a que las organizaciones eviten confusiones, brechas y superposiciones cuando asignan responsabilidades para actividades de control y gestión de riesgos. También destaca la influencia de la auditoría externa y los organismos de control.

“Líneas desdibujadas”

Suele criticarse la simplificación diciendo que se centra exclusivamente en las acciones defensivas, en lugar de adoptar un enfoque más proactivo para la identificación, el análisis y la preparación para oportunidades y amenazas. Sugiere estructuras rígidas sin reflejar las organizaciones modernas. Por eso propone ampliar el alcance del modelo más allá de la protección de valor para que abarque la creación de valor.

En algunas organizaciones, la libertad de asignar roles junto con esa colaboración entre ellos puede conducir a lo que el documento llama “líneas desdibujadas”. Acepta que puede existir una combinación de responsabilidades de auditoría interna con aspectos de riesgo, calidad, control y cumplimiento.