Antonio Minguillón Roy, profesor de la UCLM: "El principal riesgo profesional hoy en día es el de no adaptación del auditor público al nuevo entorno tecnológico"

Entrevistamos a Antonio Minguillón Roy, profesor de la Universidad de Castilla-La Mancha en el Máster Universitario en Auditoría Pública (MUAP) y director del Gabinete Técnico de la Sindicatura de Cuentas de la Comunidad Valenciana.

¿Cómo describiría la situación actual de la auditoría pública y la atención que presta al intenso contexto digital en el que trabajamos y vivimos?

Algunos auditores del sector público llevamos ya bastante tiempo reflexionando sobre cómo está afectado nuestro trabajo por el imparable uso de las tecnologías de la información y las comunicaciones (TIC) en todos los ámbitos de la gestión pública, tanto en la gestión interna como en la prestación de servicios a los ciudadanos. Nos ha tocado vivir unos tiempos en los que la tecnología digital está presente en prácticamente todos los ámbitos de nuestra vida personal y profesional, ayudándonos a vivir y trabajar mejor. La digitalización está transformando las administraciones públicas y este cambio no está exento de nuevos riesgos que los auditores deben tener muy presentes, analizarlos y considerarlos en sus procedimientos de auditoría.

Pero el principal riesgo profesional hoy en día es el de no adaptación del auditor público al nuevo entorno tecnológico. Este riesgo puede ser letal para los auditores. Por ello, es necesario que adapten sus prácticas hacia la auditoría digital.

`Según diversos estudios e informes de auditoría recientes (de la Sindicatura de Cuentas de la Comunidad Valenciana, por ejemplo) el grado de cumplimiento con la normativa relacionada con la ciberseguridad es bastante deficiente.´

Sector Público y evolución digital a veces parecen ir a distinta velocidad. ¿Cómo percibe esto un auditor público?

Como acabo de señalar, es un hecho incontestable que nuestra sociedad y en particular las administraciones públicas están haciendo un uso cada vez más extenso e intenso de las (TIC) en cualquier aspecto que queramos considerar. La dependencia de los sistemas de información y las comunicaciones (SIC) para la gestión pública y la prestación de servicios a los ciudadanos no hace sino incrementarse cada vez más, hasta tal punto que, en estos momentos de crisis, los SIC han llegado a ser la espina dorsal sobre la que se han mantenido en funcionamiento muchos de los servicios públicos esenciales y no esenciales de nuestras sociedades.

La actual crisis provocada por la pandemia COVID-19 ha acelerado extraordinariamente algunas tendencias y expuesto crudamente determinadas carencias. Por ejemplo, el uso del trabajo en remoto ha dado, en unas pocas semanas, un salto que en circunstancias normales hubiera costado años, esto ha acelerado a su vez proyectos para implantar la computación en la nube. Como contrapartida, ha mostrado en muchos casos que la digitalización de procesos administrativos (en esto estamos avanzados) no es lo mismo que transformación digital (en esto estamos bastante atrasados).

Por otra parte, la generalización del trabajo en remoto tiene como contrapartida de su eficiencia un fuerte aumento de la superficie de exposición frente a las ciberamenazas, situación a la que las entidades públicas tienen que hacer frente con las dificultades económicas propias de un periodo de crisis. A este respecto, no estoy seguro de que exista una suficiente mentalización en nuestros gobernantes en los distintos niveles administrativos sobre la necesidad de implantar las necesarias medidas de ciberhigiene. Esto representa un riesgo de auditoría muy importante. Relacionado con esto, según diversos estudios e informes de auditoría recientes (de la Sindicatura de Cuentas de la Comunidad Valenciana, por ejemplo) el grado de cumplimiento con la normativa relacionada con la ciberseguridad es bastante deficiente. 

Este año lo vemos embarcado en un nuevo proyecto como profesor en el nuevo Master Universitario en Auditoría Pública de la Universidad de Castilla-La Mancha.

Sí, es un proyecto en el que vienen trabajando desde hace tiempo una serie de profesionales con los que he coincidido muchas veces desde hace años en congresos y seminarios. Es un proyecto reposado, bien diseñado y pensado en las necesidades del sector. Es el primer título de carácter oficial en el ámbito específico de la auditoría pública en España.

Contactaron conmigo desde el inicio y aunque al principio no tenía muchas ganas de embarcarme en nuevos compromisos, al comprobar que se iba conformando un programa docente moderno y actual, en el que se consideran las competencias que realmente necesita un profesional de la auditoría publica del siglo XXI, con áreas bien equilibradas y con un peso importante dedicado a la auditoría digital, que coincide sustancialmente con mi visión de cuál debe ser el perfil del auditor público, me decidí a participar y colaborar en lo que pueda. El MUAP es semipresencial y arranca este próximo septiembre. Va destinado tanto a profesionales del sector privado que realizan trabajos de colaboración en auditorías del sector público, como a los fiscalizadores públicos de cualquier ámbito, que encuentran la primera titulación académica oficial de carácter nacional en su especialidad.

`El auditor público debe adaptarse al nuevo entorno digital para desempeñar un papel estratégico en nuestra sociedad o, en caso contrario, caer en la irrelevancia más absoluta´

¿Puede adelantarnos algunos puntos destacados del programa? ¿Otro profesorado?

Como profesional de la auditoría pública desde hace muchos años, hay una serie de temas que me preocupan profundamente (y me ocupan) por el cambio radical que implican en cuanto a las herramientas de trabajo que deben manejar los auditores públicos y a la metodología que deben utilizar, muy distinta de la tradicional todavía usada por el 90% de ellos. Me estoy refiriendo a la administración electrónica, la computación en la nube, el lnternet of Things, el Big Data, el análisis de datos, la ciberseguridad, la inteligencia artificial, el Blockchain, etc. Son materias presentes cada vez más en el día a día de las administraciones públicas, con un efecto absolutamente disruptor, diría que revolucionario, sobre los métodos de trabajo del auditor público, que debe adaptarse a ese nuevo entorno digital para desempeñar un papel estratégico en nuestra sociedad o, en caso contrario, caer en la irrelevancia más absoluta.

Como he dicho, una de las razones por las que me decidí a colaborar en este interesante proyecto es que el MUAP viene a paliar el importante gap formativo en auditoría digital que debe corregir el auditor público. No es fácil de cubrir ese gap, ya que no existe una oferta formativa universitaria que contemple el rabiosamente actual concepto de auditoría pública digital. Además, no solo es actual, es el único futuro en el que vamos a desenvolvernos. En la Sindicatura tenemos una muy importante experiencia en esa materia, en la que trabajamos de forma pionera desde hace más de doce años y creo que modestamente puedo contribuir a difundirla.

`El MUAP viene a paliar el importante un gap formativo en auditoría digital que debe corregir el auditor público´

En cuanto al profesorado, y centrándome en la auditoría pública digital, participo en la asignatura de Auditoría de sistemas de información y su integración con trabajos de auditoría financiera y de legalidad, junto con Magdalena Cordero, Directora de información, entorno de trabajo e innovación del Tribunal de Cuentas Europeo y Mario Piattini, Catedrático de tecnología y sistemas de información. Es para mí un honor participar con dos expertos de su talla; Magdalena con una experiencia enorme en puestos de gran responsabilidad en temas de auditoría digital en una institución modélica para todos los auditores públicos y Mario, pionero y con una trayectoria que es toda una referencia en auditoría de sistemas de información. Solo he mencionado a estos dos colegas porque en mi trabajo han sido dos referencias, pero todo el profesorado tiene un gran nivel. Sobre el enfoque de esta asignatura, es importante destacar que no pretende impartir auditoría informática para expertos ingenieros de sistemas, todo lo contrario, el objetivo es difundir el conocimiento de estos conceptos técnicos para que se integren en las tradicionales auditorias financieras y de legalidad.

Además, soy responsable de la asignatura de marco normativo y estándares técnicos. El plantel de profesorado en esta asignatura integra profesionales y académicos de un gran nivel. No menciono a nadie para no correr el riesgo de olvidar algún nombre.

En el resto de asignaturas también colaboran profesores de un gran nivel personal y profesional como, solo cito a los responsables de las mismas, Jorge Castejón Director de la Oficina Nacional de Auditoría, Eduardo Ruiz actualmente ocupando un puesto de responsabilidad en INTOSAI/IDI, Nuria Josa, Interventora General de la Diputación de Gerona, un referente del mundo local, Alvaro Garrido del Tribunal de Cuentas Europeo o mi buen amigo Antonio Arias del que sobra cualquier presentación. Todos ellos coordinados por Julio García el verdadero padre y alma del Master. Al ser el primer título puesto en marcha en auditoría publica se ha contado con los mejores.

Esta constante transformación digital debe afectar significativamente el trabajo del auditor público.

La intensa digitalización de las administraciones públicas y su necesaria transformación digital debe llevarnos a una profunda reflexión relativa al núcleo de nuestra actividad como auditores públicos. Debemos pensar en cómo afecta a la forma en que realizamos nuestras auditorías los ciberriesgos y el hecho de que la mayor parte de los entes que fiscalizamos están inmersos, ya, en una carrera imparable para migrar gran parte de sus sistemas de información al cloud computing; también en cómo afectan las herramientas informáticas de auditoría, los bots y la inteligencia artificial, que tenemos a nuestro alcance, a nuestra forma de trabajar. Igual que la sociedad y las administraciones se están adaptando a marchas forzadas a una nueva realidad, los auditores debemos apretar el paso y adaptarnos rápidamente a la nueva situación e implantar plenamente la auditoría digital.

Con la pandemia, las administraciones han tenido que exigir el máximo a sus SIC para mantenerse en funcionamiento, mientras se activaban mecanismos de trabajo en remoto en un tiempo récord para seguir cumpliendo con sus funciones de servicio a los ciudadanos. Es un hecho constatable que las organizaciones que ya tenían desplegados gran parte de sus sistemas de información en la nube han sido capaces de responder mejor a la inesperada situación crítica provocada por la epidemia de COVID-19, han sido más resilientes. Las que no estaban preparadas deberían plantearse la conveniencia de migrar a la nube, total o parcialmente, sus sistemas críticos.

Si a principios de año nuestra sociedad, nuestras administraciones públicas, nuestro entorno de trabajo en definitiva, se caracterizaba por un alto grado de desarrollo de las TIC, el mundo post-COVID-19 va a experimentar una aceleración notable del proceso de implantación de la administración electrónica. Y los auditores debemos prepararnos para ello, para estar a la altura de nuestra responsabilidad.

Y ahora que la crisis mundial por la COVID-19 nos ha golpeado de pleno, ¿cómo cree que afectará la pandemia a los ciberriesgos?

La crisis ha puesto de manifiesto en toda su crudeza algunas realidades y tendencias que muchos teníamos claras desde hace tiempo.

Empezando por la evidencia de que la total dependencia de las TIC para el funcionamiento de las administraciones ha ampliado de forma muy considerable su superficie de exposición frente a ciberamenazas. Cuanto mayor sea el uso y la dependencia de las TIC en la gestión pública, mayor importancia debe concederse a las cuestiones relativas a la ciberseguridad, ya que los malos intentan aprovechar los momentos de confusión generalizada para sacar adelante sus actividades ciberdelictivas, sin importarles si sus víctimas son personas particulares, entidades hospitalarias o administraciones públicas. El trabajo en remoto ha aumentado mucho la superficie de exposición y las vulnerabilidades de los SIC. Como los virus biológicos, los hackers atacan a los más vulnerables, a los no protegidos, a los más confiados. Como en la vida real en el mundo de los SIC las medidas de ciberhigiene son esenciales.

La Sindicatura está publicando estas semanas las auditorías de ciberseguridad que hemos realizado a los quince mayores ayuntamientos de la Comunidad Valenciana. Estoy convencido que las conclusiones generales son extrapolables a toda España. Pues bien, de la lectura de esos informes y generalizando, cualquiera puede llegar a varias conclusiones simples: la situación, justo antes de la crisis, era mala, es necesaria una mayor concienciación y hacen falta más inversiones en ciberseguridad. El COVID-19 seguro que no ha mejorado la situación, los ciberriesgos han aumentado y no se están dedicando los recursos precisos para luchar contra ellos.

Estos nuevos riesgos impactan directamente en los análisis y valoraciones del riesgo de auditoría que deben hacer los auditores, y para esos deben contar con las cualificaciones y expertos correspondientes.

Esto exigirá una capacitación altamente especializada.

Dado el complejo entorno TIC, muchos de los procedimientos para identificar riesgos tecnológicos, revisar los controles internos automatizados y realizar las pruebas de auditoría en entornos tecnológicamente complejos, deberán ser llevados a cabo por personal especializado, idóneamente por auditores de sistemas de información que presten apoyo a los auditores financieros. Ambos perfiles deben integrarse en los equipos de fiscalización. Aunque este tipo de perfiles profesionales especializados se están incorporando poco a poco a las plantillas de los órganos de control, es un proceso que sin duda debe acelerarse a corto plazo.

La forma de auditar y la auditoría en sí misma deben cambiar y evolucionar si los auditores públicos quieren seguir siendo relevantes para la sociedad. Para ello hay que incorporar a los equipos de auditoría nuevos perfiles tecnológicos, nuevas herramientas avanzadas para así mejorar la calidad y la visión de las auditorías, nueva metodología que integre esas herramientas en el proceso auditor. No debemos resistirnos al cambio, debemos abrazar el cambio, hacerlo nuestro y aprovechar las grandes posibilidades que la tecnología nos ofrece.

Profesionalmente, ¿cómo ha sido su inmersión en los trabajos de compliance y lucha contra el fraude?

Profesionalmente me inicié como un auditor financiero puro en el sector privado y tras mi paso al sector público, a la Sindicatura de Cuentas de la Comunidad Valenciana concretamente, hace ya muchos años, me fueron interesando en paralelo dos temas: todo lo relacionado con la tecnología y la auditoría, y los aspectos relacionados con el cumplimiento y la lucha contra el fraude. En materia de cumplimiento, vivimos una época afortunadamente ya pasada, de huida del derecho administrativo y del todo vale, que fueron llevándome a intentar depurar la metodología y los criterios de fiscalización, que entre otras cosas dieron lugar a que las sintetizara en un artículo en 2014 en la revista Auditoría Pública, cuyo título refleja mi pensamiento al respecto: Las ICEX deben ser implacables en la lucha contra al fraude.

Todo lo que escribí entonces sigue totalmente vigente hoy en día. La crisis de la pandemia actual ha originado que, por razones justificadas, o no, se hayan eliminado muchos controles de legalidad, la fiscalización previa, y que el riesgo de fraude, directamente, o de despilfarro, haya crecido exponencialmente, y que todos los órganos de control, interno y externo, nos debamos poner las pilas y vigilar que la gestión pública se haya hecho con el debido respeto a los principios de buena gestión, entre los que debe estar el de transparencia, que se practica poco y mal.

¿Podría contarnos con un ejemplo concreto cómo se relacionan la auditoría publica, la auditoría digital y el compliance?

Podría poner muchos ejemplos, pero con uno se entenderá muy bien. Además, es un trabajo todavía vivo, de total actualidad. Con motivo de la actual crisis, mi comunidad autónoma ha establecido una serie de ayudas a personas afectadas por ella. Una de estas consiste en una ayuda económica a trabajadores afectados por ERTEs que cumplan una serie de requisitos, con un límite máximo de 200.000 beneficiarios, pero los potenciales beneficiarios son más de 450.000. En un proceso tan masivo y sin fiscalización previa, el riesgo de auditoría es alto. La alternativa para el auditor es: realizar un muestreo aleatorio y revisar manualmente que se cumplen los requisitos legales en “n” casos seleccionados, o bien obtener las bases de datos correspondientes y con herramientas de análisis de datos cruzar información entre las diversas bases de datos que intervienen en el proceso, comprobar para el 100% de los potenciales beneficiarios que cumplen con los requisitos exigidos, aplicar los filtros oportunos y revisar los controles internos automatizados que garantizan el pago a las personas destinatarias. Es un ejemplo simple, pero ilustrativo, de que determinados trabajos de auditoría solo se pueden llevar a cabo con herramientas tecnológicas que permitan procesar y revisar cantidades masivas de información.

`El futuro de nuestras instituciones de control, da igual que sean de control interno, externo, o antifraude, exige depurar y actualizar las técnicas clásicas de control y auditoría, entremezclándolas de forma íntima, nativa, con el uso de tecnologías emergentes.´

¿Cómo ha sido el encaje y cómo pronostica la relación entre los órganos de control externo con las agencias antifraude? ¿Cooperación, tensión por el reparto de competencias?

Cuando hace unos pocos años se empezaron a crear las distintas agencias antifraude, el proceso se vislumbraba desde los órganos de control externo con expectación y alguna inquietud por si se producía un cierto solapamiento de funciones. Pronto se vio que no era así, incluso hay un modelo en el que se funden ambos tipos de actividades. Ambos tipos de instituciones tenemos una actividad en la que coincidimos, la persecución del fraude, con la diferencia en cuanto a la priorización de esa actividad, que en el caso de las agencias es la principal y en el caso de las instituciones de control externo es una más, importante, pero una más.

Dicho lo anterior, lo deseable es que tanto las agencias antifraude como las instituciones de control externo colaboren en sus distintos ámbitos de competencias en ese objetivo común que es prevenir, perseguir y erradicar el fraude en la gestión pública. Como ejemplo de esa colaboración tenemos el recientemente firmado Protocolo de actuación entre la Sindicatura de Cuentas de la Comunidad Valenciana y la Agencia Valenciana Antifraude, de cuya Comisión de Coordinación formo parte. Este acuerdo se une al Protocolo de actuación entre la Sindicatura de Comptes de la Comunitat Valenciana y la Fiscalía del Tribunal de Cuentas.

Respecto del primero, ahora tenemos el reto de impulsar y darle contenido real. Sin duda una de las áreas de trabajo en la que deberemos cooperar y colaborar va a ser en el uso de las herramientas tecnológicas para prevenir y detectar los casos de fraude, en especial las técnicas de análisis de datos (utilizadas hace años), el big data y la inteligencia artificial (este es un futuro que lo tenemos a la vuelta de la esquina); la ciberhigiene para prevenir el ciberfraude, etc.

La importancia de la confluencia de los órganos de control externo e interno, las agencias antifraude y las herramientas y tecnologías emergentes es cada vez mayor. Esa realidad intentamos reflejarla, por ejemplo, al organizar el año pasado los XIII Encuentros Técnicos de los OCEX, en los que la fiscalización de cumplimiento y las nuevas formas de prevención y lucha contra el fraude formaron uno de los pilares técnicos de esos encuentros junto con todos los aspectos relacionados con el uso de la tecnología en la actividad auditora.

Este es el futuro de nuestras instituciones de control, da igual que sean de control interno, externo, o antifraude, hay que depurar y actualizar las técnicas clásicas de control y auditoría, entremezclándolas de forma íntima, nativa, con el uso de tecnologías emergentes. Cuando consigamos esto seremos mucho más eficaces y eficientes que ahora. Pero esto no es fácil, requiere mucho esfuerzo, y una auténtica transformación digital de los auditores del sector público. Para eso hay que empezar por la formación, y en este punto el MUAP tiene mucho que aportar.

Enlaces de interés:

Master Universitario ene Auditoría publica de la UCLM https://www.uclm.es/Estudios/masteres/master-auditoria-publica

Preinscripción https://preinscripcionmu.apps.uclm.es/listadomu.aspx

Sindicatura de Comptes de la Comunitat Valenciana https://www.sindicom.gva.es/