El presente capítulo evalúa el marco de control interno y gestión de riesgos de Argentina respecto a los modelos y buenas prácticas internacionales de los países miembros o no miembros de la OCDE. Brinda un panorama de las ventajas y desventajas de este marco, así como propuestas para reforzarlo, como ser mediante la implementación de un enfoque estratégico de la gestión de riesgos que incorpore riesgos de integridad, estableciendo comités de control en todos los organismos públicos o reforzando las funciones y la independencia de la auditoría externa.
Estudio de la OCDE sobre Integridad en Argentina
Capítulo 5. Hacia un marco de control interno y gestión de riesgos que salvaguarde la integridad pública en Argentina
Resumen
5.1. Introducción
En la administración del sector público es fundamental la existencia de un marco de control interno y gestión de riesgos efectivo a fin de salvaguardar la integridad pública, permitir una efectiva rendición de cuentas y prevenir la corrupción. Tal sistema debería incluir:
Un sistema de control con objetivos precisos que demuestre el compromiso de los directivos con la integridad pública y los valores del servicio público, y que proporcione un grado de seguridad razonable en cuanto a la eficiencia y rendimiento del organismo, así como del cumplimiento de las leyes y las prácticas;
Un enfoque estratégico de la gestión de riesgos que comprenda la evaluación de riesgos en materia de integridad en el sector público, que aborde las debilidades de control y desarrolle un mecanismo eficiente de supervisión y control de calidad para el sistema de gestión de riesgos; y
Mecanismos de control coherentes que incluyan procedimientos claros para responder a sospechas creíbles de violaciones de leyes y reglamentos y que faciliten denuncias ante las autoridades competentes sin temor a represalias (OCDE, 2017[1]).
Además de un marco efectivo de control interno y gestión de riesgos, el sistema de control de la administración pública debería tener:
Una función de auditoría interna efectiva y estrictamente separada de sus operaciones; y
Una función de auditoría externa con atribuciones precisas e independiente, transparente y efectiva (OCDE, 2017[1]).
5.2. Establecer un sistema de control con objetivos precisos
5.2.1. La SIGEN podría garantizar que se comuniquen objetivos precisos del sistema de control a todo el personal del sector público nacional
Antes de evaluar los riesgos y determinar las actividades de control interno, es de suma importancia que un organismo establezca sus objetivos precisos como entidad en su conjunto, para los programas individuales y para el sistema de control. Toda vez que no existan objetivos precisos, no podrán implementarse de manera efectiva los controles internos ni la gestión de riesgos.
Según SIGEN, los proyectos deben alinearse con las 100 iniciativas prioritarias del gobierno nacional (que se agrupan en ocho objetivos estratégicos). Además, se planifica el establecimiento de una Junta de Control en el ámbito de la Jefatura del Gabinete de Ministros (JGM), que supervisará estos proyectos. La Oficina Nacional de Presupuesto (ONP) también brinda asistencia técnica directa para ayudar a vincular la planificación estratégica con el presupuesto nacional.
A través de sus Normas Generales de Control Interno, SIGEN establece que los organismos deberían definir en términos claros la forma en la que cada área contribuye al logro de los objetivos del organismo (SIGEN, 2014, p. 20[2]). No obstante, las entrevistas llevadas a cabo en octubre de 2017 durante la misión de la OCDE en Argentina revelaron que existe muy poco conocimiento del personal de todo el sector público nacional de dichas normas y que no son aplicadas de forma consistente. No es claro si las entidades han definido sus objetivos y la forma en que cada área contribuye a este objetivo.
El sistema de control es la base de todos los componentes del control interno. Conforme a la Guía para las Normas de Control Interno del Sector Público de la Organización Internacional de las Entidades Fiscalizadoras Superiores (INTOSAI, por sus siglas en inglés), los elementos del sistema de control incluyen: la estructura organizacional y el “tono de los superiores” (es decir, la filosofía de la dirección y su estilo operativo) y una actitud de apoyo hacia el control interno a través de la organización (INTOSAI, 2010, p. 17[3]) (ver también capítulo 3).
En Argentina, la SIGEN (Sindicatura General de la Nación) es el principal órgano responsable de la coordinación de las unidades de auditoría interna y el dictado de normas de control interno. En virtud del artículo 92 de la Ley No 24.156 de Administración Financiera y de los Sistemas de Control del Sector Público (ley de administración financiera), la SIGEN “es una entidad con personería jurídica propia y autarquía administrativa y financiera, dependiente del presidente de la Nación”. De conformidad con los artículos 100, 101 y 102 el sistema de control interno está conformado por la SIGEN y las unidades de auditoria interna en cada entidad. Según la ley, las unidades son creadas en cada jurisdicción y en las entidades que dependen del Poder Ejecutivo Nacional. Estas unidades dependen jerárquicamente de la autoridad superior de cada organismo, pero son coordinadas técnicamente por la SIGEN. La autoridad superior de cada entidad es la responsable última de la implementación de un sistema adecuado de control interno.
Respecto a la coordinación técnica de las Unidades de Auditoría Interna por parte de la SIGEN, la última proporcionó información en abril de 2018: las facultades otorgadas en virtud del Decreto Nº 72/2018, como la designación o destitución del auditor interno, han aumentado la fortaleza institucional y la independencia de las unidades de auditoría interna.
El artículo 103 de la ley establece que el modelo de control interno deberá ser integral e integrado y basarse en criterios de economía, eficiencia y eficacia. El artículo 104 determina las funciones de la SIGEN, entre las cuales se incluye “supervisar el adecuado funcionamiento del sistema de control interno” y la responsabilidad por el sistema de auditoría interna (Argentina, 2016[4]).
Argentina estableció normas de Control Interno en 1998, basándose en la primera versión del modelo COSO. La versión más reciente, las Normas Generales de Control Interno para el sector público nacional, se publicó en 2014 (SIGEN, 2014[2]). Dichas normas fueron diseñadas para colaborar con la implementación del sistema de control interno establecido en la ley de administración financiera. A pesar de que las normas en sí mismas son sólidas, su implementación no lo es. Como ya se ha mencionado, la OCDE determinó, durante su misión de investigación en octubre de 2017, que existe poco conocimiento de estas normas por parte del personal de todo el sector público nacional. La información adicional proporcionada por SIGEN en abril de 2018 indicó que en 2015 se difundieron las normas y entre 2015 y 2017 se proporcionaron una serie de cursos de capacitación para las 190 Unidades de Auditoría Interna (UAI). Los cursos incluyeron:
Auditoría 1, 2 y 3: para mejorar los procesos de control y auditoría, así como aumentar, fortalecer y actualizar el conocimiento en esta área
Herramientas de control y auditoría intermedia y avanzada: para dominar los procedimientos y las técnicas de control, y fortalecer el conocimiento, el control y la supervisión de la auditoría interna;
Evaluación de riesgos: para mejorar la evaluación de riesgos e identificar metodologías aplicables; y
Planificación de una auditoría: para mejorar los procesos de planificación y control, la elaboración de estándares y la diseminación de regulaciones de control.
La SIGEN podría coordinar con las unidades de recursos humanos a fin de incorporar requisitos claves de control interno y gestión de riesgos en su capacitación y cursos introductorios obligatorios para el personal operativo, además de los auditores. Las dependencias gubernamentales podrían asimismo trabajar para incluir normas de control interno en la labor diaria del servicio público, incorporándolas en procedimientos operativos estándares y estableciendo acciones específicas que deben ser realizadas por el personal operativo en su labor diaria y para sus puestos específicos. Las mismas podrían incluir:
Introducir programas de sensibilización sobre la necesidad del control interno y en los roles de cada área y miembro del personal; y
Entrenamiento introductorio para todo el personal, incluyendo altos directivos y directivos del Sistema de control interno;
En abril de 2018 SIGEN manifestó su acuerdo en cuanto a que las estrategias de difusión y sensibilización serían valiosas.
5.2.2. La SIGEN podría asistir a los organismos públicos a aplicar de manera más congruente los principios del modelo de tres líneas de defensa para otorgar a la dirección operativa mayor responsabilidad sobre el control interno y la gestión de riesgos
Mientras que los directivos de mayor jerarquía deberían ser los principales responsables de la gestión de riesgos, la implementación de actividades de control interno y la demostración del compromiso del organismo frente a los valores éticos, todos los servidores de un organismo público, desde el de mayor hasta el de menor jerarquía, deberían desempeñar un papel en la identificación de riesgos y deficiencias y en garantizar que los controles internos aborden y mitiguen estos riesgos.
Una de las principales funciones de los servidores públicos responsables del control interno consiste en ayudar a asegurar que los valores éticos del organismo y los procesos y los procedimientos que sustentan a esos valores se comuniquen, se mantengan y se apliquen en todo el organismo.
De hecho, los principales modelos de gestión de riesgos de fraude y corrupción en los países miembros y socios de la OCDE ponen de relieve el hecho de que la responsabilidad principal de prevención y detección de la corrupción recae en el personal y los directivos de los organismos públicos. Tales modelos de gestión de riesgos de corrupción por lo general comparten similitudes con el Modelo de Tres Líneas de Defensa del Instituto de Auditores Internos (IIA, por sus siglas en inglés) (véase la Figura 5.1).
Según el IIA, la primera línea de defensa comprende los directivos y el personal operativos. Aquellos al “frente” se desempeñan naturalmente como la primera línea de defensa, dado que son responsables de mantener un control interno eficaz y ejecutar procedimientos de control sobre los riesgos de manera constante en el día a día. La gerencia operativa identifica, evalúa, controla y mitiga los riesgos, guiando el desarrollo e implementación de políticas y procedimientos internos que aseguren que las actividades efectuadas son consistentes con las metas y objetivos (Institute of Internal Auditors, 2013[5]). De acuerdo con la información proporcionada por SIGEN en abril de 2018, la entidad ha trabajado varios años para establecer esta primera línea de defensa, creando herramientas para generar conciencia y modificar comportamientos y transformar la administración pública a lo largo del tiempo. La SIGEN indicó que en su sistema de control se han incorporado las tres líneas del modelo de defensa, pero reconoce que aún tienen que avanzar para llegar a su nivel óptimo.
La segunda línea de defensa comprende al siguiente nivel directivo, es decir, aquellos responsables de supervisar los resultados. Esta línea tiene a su cargo establecer un marco de administración de riesgos, monitorear, identificar riesgos emergentes e informar periódicamente a los altos directivos. La gerencia operativa en los organismos públicos de Argentina podría asumir una mayor responsabilidad por la implementación y la supervisión de las actividades de control interno y administración de riesgos. La gerencia operativa debería informar periódicamente a los altos directivos y ser considerada responsable de la implementación de actividades de control interno.
La tercera línea de defensa es la función de auditoría interna. Su función principal es proporcionar a la alta dirección garantía objetiva e independiente respecto de las disposiciones de la primera y la segunda líneas de defensa (Institute of Internal Auditors, 2013[5]).
Según la SIGEN, sus unidades de auditoría interna, como tercera línea de defensa, emiten informes sobre:
Auditorías especiales;
Supervisión de unidades de auditoría interna;
Evaluación del sistema de control interno; y
Control del cumplimiento normativo, como informes finales anuales, evaluación presupuestaria, subsidios y transferencias, gestión de contratos y verificación de los procesos de compra y contratación.
Además, el Decreto Nº 1344/2007 estableció que las autoridades superiores deben solicitar la opinión previa de la Unidad de Auditoría Interna para la aprobación y modificación de reglamentos y manuales de procedimientos, que "deben incorporar instrumentos adecuados para el ejercicio del control". Para guiar este trabajo, en 2014 la SIGEN emitió las "Directrices para la intervención de las Unidades de Auditoría Interna en la aprobación de reglamentos y manuales de procedimiento" (Resolución SIGEN No. 162/2014).
El Artículo 102 de la ley de administración financiera de Argentina establece que "las funciones y actividades de los auditores internos deberán mantenerse desligadas de las operaciones sujetas a su examen". Las entrevistas durante la misión de la OCDE en octubre de 2017 indicaron que algunos servidores no comprenden claramente el modelo de las tres líneas de defensa o la importancia de la separación, varios servidores operativos afirmaron que la función de auditoría interna debería ser total responsabilidad del control interno.
La SIGEN debería asistir a las entidades gubernamentales, en base a las actividades de capacitación y sensibilización existentes, para así garantizar que el personal comprenda y aplique congruentemente el modelo de tres líneas de defensa, reconocido internacionalmente en todo el sector público.
5.3. Desarrollar un enfoque estratégico de la administración de riesgos
5.3.1. La SIGEN podría mejorar su enfoque de administración de riesgos para garantizar su congruencia y distinción de la función de auditoría interna
Un marco eficaz de control interno y gestión de riesgos comprende políticas, estructuras, procesos y herramientas que permitan a un organismo identificar y responder adecuadamente a los riesgos. En línea con las prácticas de buena gobernanza de los países miembros de la OCDE, el Principio 7 de Control Interno de la SIGEN establece que toda entidad debe identificar, analizar y administrar los riesgos que puedan afectar el logro de los objetivos organizacionales. No obstante, en ocasión de las entrevistas realizadas, la OCDE halló que la dirección operativa por lo general no asumía la gestión de riesgos y que los estándares de SIGEN en materia de gestión de riesgos no eran aplicados a nivel operativo.
El Plan Anual 2017 de la SIGEN detalló, entre sus objetivos estratégicos, que diseñaría e implementaría un sistema de gestión de riesgos. En las entrevistas realizadas durante la misión de la OCDE en octubre de 2017, los representantes de auditoría interna de la SIGEN indicaron que en ese momento se estaba realizando en una entidad una prueba piloto de una nueva metodología de gestión de riesgos (que incluía una evaluación realizada conjuntamente por la unidad de auditoría interna y la entidad, así como otra evaluación aparte llevada a cabo por la SIGEN). La SIGEN indicó que pretendían extender la prueba piloto a la implementación general –aunque preveían ciertas dificultades para obtener el compromiso de las entidades. Este sería particularmente el caso si la dirección de la entidad la percibiera como una herramienta implementada por los auditores para identificar y exponer las falencias de la entidad.
La SIGEN emite anualmente el Mapa de Riesgos del Sector Público, conformado por una matriz que expone los niveles de riesgo asociados a las funciones del gobierno de cada agencia o entidad del Sector Público Nacional. Este documento asiste la planificación de auditorías y se ha emitido desde 2005. Además, de acuerdo con la SIGEN las directrices 2018 para la planificación de auditorías internas establecen la obligación de incorporar acciones para inducir a la autoridad superior de la entidad a elaborar una matriz de riesgos. Los auditores internos desarrollaron una metodología de análisis y administración de riesgos que incluye un formulario de autoevaluación para la autoridad superior y cada área de la organización.
La SIGEN podría considerar mejorar su marco de gestión de riesgos para hacerlo más estratégico, congruente, operativo y claramente diferenciado de la función de auditoría. Los directivos operativos deberían ser capaces de asumir evaluaciones de riesgos sin temor a represalias y diferenciadas de la evaluación de riesgos realizada por los auditores en su planificación de auditoría. Obviamente que los auditores deberían tener acceso a la información sobre gestión de riesgos durante una auditoría, pero los directivos deberían tener la libertad de administrar los riesgos de una manera operativa y honesta que exponga los problemas reales. Los directivos no tendrían esta libertad si son los auditores quienes establecen el marco de administración de riesgos y se emplea su información sobre gestión de riesgos para uso específico del planeamiento de auditoria. En tal situación existiría un conflicto. Para ser efectivo necesita considerarse el objetivo real de la herramienta de gestión de riesgos. Los auditores de hecho deberían tener acceso a toda la información de gobierno, incluyendo la información sobre la administración de riesgos y deberían continuar realizando sus propios análisis de riesgos por separado durante la planificación de su auditoría. Sin embargo, la dirección operativa debería realizar sus propias evaluaciones de riesgos para uso operativo -no conjuntamente con los auditores o por orden de los mismos.
Los auditores internos también podrían impulsar este cambio incluyendo auditorías en sus programas de trabajo de auditoría sobre cómo se gestionan los riesgos y enfatizando en sus informes de auditoría la falta de gestión del riesgo a nivel operacional en el gobierno.
En Canadá, la Secretaría del Consejo del Tesoro de Canadá (Treasury Board of Canada Secretariat) cuenta con una variedad de dependencias y responsabilidades, entre ellas, como se describe en el Recuadro 5.1, la coordinación de auditorías internas en la Sindicatura General (Office of the Comptroller General) y la implementación del Marco de Gestión de Riesgos en la Unidad de Prioridades y Planificación. Estas funciones están claramente diferenciadas a fin de evitar un conflicto de intereses. Los auditores no deberían diseñar los marcos, pautar normas o establecer estándares en materia de gestión de riesgos, dado que tienen a su cargo auditar el sistema de gestión de riesgos.
Recuadro 5.1. Secretaría del Consejo del Tesoro de Canadá
El Consejo del Tesoro de Canadá tiene a su cargo las reglamentaciones en materia de rendición de cuentas y ética, así como reglamentaciones financieras, de recursos humanos y administración, contraloría y aprobación de regulaciones. El presidente del Consejo del Tesoro convierte las políticas y los programas que aprueba el Gabinete en una realidad operativa y brinda a los ministerios los recursos y el entorno administrativo que necesitan para desempeñar sus funciones. El Consejo del Tesoro cuenta con un órgano administrativo, la Secretaría, que hasta 1966 formó parte del Ministerio de Economía.
En calidad de órgano administrativo del Consejo del Tesoro, la Secretaría del Consejo del Tesoro de Canadá tiene una doble función: asistir al Consejo del Tesoro y cumplir las responsabilidades legales de un organismo gubernamental federal. La Secretaría tiene a su cargo brindar asesoramiento y respaldo a los ministros del Consejo del Tesoro en su función de asegurar la optimización de recursos y supervisar las funciones de administración financiera de los ministerios y organismos gubernamentales. La Secretaría también es responsable por la función de control del gobierno y la implementación de políticas clave y actividades guía. Las funciones del síndico general y la coordinación de auditorías internas están claramente separadas de la función de implementación de directrices de gestión de riesgos:
El Sector de Auditorías Internas de la Sindicatura General de Canadá es responsable del estado de la comunidad de auditorías internas gubernamentales a nivel federal. Brinda garantía independiente en materia de gobernanza, procesos de gestión y control de riesgos, y guía a la comunidad auditora en la implementación de la Política sobre Auditorías Internas del Consejo del Tesoro (Treasury Board of Canada Secretariat, 2017[6]).
La Unidad de Prioridades y Planificación tiene a su cargo las actividades de planificación y políticas clave que respaldan tanto la excelencia de la gestión en todo el gobierno, como la gobernanza corporativa eficiente y eficaz dentro de la Secretaría. Esta unidad brinda liderazgo en los procesos de gobernanza y planificación a fin de garantizar la coherencia en las prioridades corporativas, rendiciones de cuentas claras y mejoras continuas. Ello incluye el Marco de Gestión de Riesgos (Treasury Board of Canada Secretariat, 2017[7]).
5.3.2. La SIGEN podría promover la incorporación de la gestión de riesgos en la cultura de los organismos públicos, proporcionando lineamientos claros al personal operativo e incluyendo requisitos de gestión de riesgos en la capacitación y los cursos introductorios obligatorios
Una vez establecido un marco claro de gestión de riesgos, debería promoverse y comunicarse la gestión de riesgos para así impregnar la cultura y las actividades de la entidad de manera tal que devenga en parte de las obligaciones de todos dentro del organismo. No debería formar parte del dominio de las unidades de auditoría interna ni gestionarse de manera aislada. Los empleados informados, que pueden reconocer y gestionar los riesgos son más susceptibles a identificar situaciones que pueden socavar el logro de los objetivos institucionales. La gestión de riesgos operativa comienza con la determinación del contexto y la especificación de los objetivos de un organismo. Este concepto es incluido en el Principio 6 de Control Interno de la SIGEN que establece que una organización “debe especificar los objetivos con claridad” (SIGEN, 2014, p. 23[2]). La gestión de riesgos continúa con la identificación de los eventos que podrían tener un impacto negativo en el logro de los mismos y representar riesgos.
La SIGEN detalla un modelo de evaluación de riesgos en su Principio 7 de Control Interno que comprende la identificación, el análisis y la evaluación de los riesgos, en línea con las normas internacionales de gestión de riesgos (SIGEN, 2014, pp. 25–26[2]). Según las normas ISO en materia de gestión de riesgos, la evaluación de riesgos es un proceso de tres pasos que comienza con la identificación del riesgo y es seguida por el análisis del riesgo, que implica desarrollar un entendimiento de cada riesgo, sus consecuencias, la probabilidad de acaecimiento de dichas consecuencias y la gravedad del riesgo. El tercer paso consiste en la evaluación, lo que implica determinar la tolerabilidad de cada riesgo y si debería aceptarse o tratarse. El tratamiento del riesgo es el proceso de adaptación de los controles existentes o el desarrollo e implementación de nuevos controles para hacer que la gravedad del riesgo alcance un nivel tolerable (ISO, 2009[9]). La Figura 5.2 describe el ciclo de gestión de riesgos.
Las Normas Generales de Control Interno de la SIGEN establecen un marco sólido de gestión de riesgos. No obstante, no indican en términos claros cómo el marco debe funcionar en la práctica, qué información sobre riesgos debería reunirse o cómo se asignará la responsabilidad por el riesgo. Asimismo, mediante las entrevistas con funcionarios del gobierno la OCDE encontró, que, aunque los auditores desarrollan un mapeo de riesgos de forma anual, estos estándares no eran aplicados congruentemente a nivel operativo.
La existencia de información adecuada y confiable sobre riesgos es fundamental para hacer operativo un marco de gestión de riesgos. La información que respalda la gestión de riesgos puede provenir de distintas fuentes externas e internas. Asimismo, una estrategia coherente en relación a las fuentes, el registro y el almacenamiento de información sobre riesgos mejora la fiabilidad y la precisión de la información requerida. Mediante actividades de capacitación y concientización debería ponerse en conocimiento del personal el marco de gestión de riesgos y los requisitos clave. La comunicación y las consultas con el personal son también un elemento central para garantizar el aporte al proceso de gestión de riesgos y para adjudicar al personal los resultados de la gestión de riesgos. El gobierno australiano ha implementado normas relativas al desarrollo de capacidades de administración de riesgos en organismos (se describe en el Recuadro 5.2) que podrían ser de utilidad.
Recuadro 5.2. Desarrollo de capacidades de gestión de riesgos: el gobierno de Australia
El Ministerio de Economía de Australia ha desarrollado lineamientos sobre cómo construir capacidades de gestión de riesgos en las oficinas públicas, centrándose en las siguientes áreas:
Capacidades de las personas: Un enfoque consistente y eficaz de la gestión de riesgos es el resultado de un personal bien capacitado, calificado y con recursos adecuados. Todo el personal tiene una función que desempeñar en la gestión de riesgos. En consecuencia, es de suma importancia que el personal en todos los niveles del organismo tenga roles y responsabilidades claramente articuladas y comunicadas, acceso a información sobre riesgos relevante y actualizada y la oportunidad de desarrollar aptitudes. El desarrollo de capacidades del personal relativas a riesgos es un proceso en curso. Con la información, la instrucción y el desarrollo adecuados, todo organismo puede construir una cultura consciente de riesgos entre su personal y mejorar el entendimiento y la gestión de riesgos en todo el organismo. Entre las consideraciones se incluyen:
¿Los roles y las responsabilidades relativas a riesgos se describen explícitamente en las tareas?
¿Se han determinado los niveles actuales de aptitudes relativos a la gestión de riesgos y se ha completado un análisis de necesidades a fin de identificar qué es necesario aprender?
¿Los programas introductorios incorporan una introducción a la gestión de riesgos?
¿Existe un programa de aprendizaje y desarrollo que incorpore capacitación continua en gestión de riesgos adaptado a los distintos roles y niveles del organismo?
Sistemas y herramientas de riesgos: Los sistemas y las herramientas de riesgos permiten almacenar y acceder a información sobre riesgos. La complejidad de los sistemas y las herramientas de riesgos a menudo varían de simples hojas de cálculo a un complejo software de gestión de riesgos. La disponibilidad de datos para monitorear, registrar riesgos e informar permitirá asistir en el desarrollo de capacidades de riesgos. Entre las consideraciones se incluyen:
¿Sus herramientas y sistemas actuales de gestión de riesgos son eficaces en el almacenamiento de los datos requeridos para tomar decisiones informadas?
¿Cuán eficaces son sus sistemas de riesgos en brindar información oportuna y exacta para su comunicación a las partes interesadas?
Gestión de información sobre riesgos: La evaluación, el monitoreo y el tratamiento exitoso de los riesgos en todo el organismo depende de la calidad, la exactitud y la disponibilidad de la información sobre riesgos. Entre las consideraciones se incluyen:
¿Se han identificado las fuentes de información que proporcionan la información requerida para tener una visión completa de los riesgos en todo el organismo?
¿Cada cuánto tiempo se coteja la información sobre riesgos?
¿Cuenta con información sobre riesgos de rápido acceso para todo el personal?
¿Cómo calificaría la integridad y la exactitud de los datos disponibles?
Procesos de gestión de riesgos: La documentación y comunicación efectivas de los procesos de gestión de riesgos permitirán una presentación clara, concisa y habitual de la información sobre riesgos para respaldar la toma de decisiones. Entre las consideraciones se incluyen:
¿Sus procesos de gestión de riesgos se encuentran bien documentados y disponibles para todo el personal?
¿Sus procesos de gestión de riesgos son congruentes con su marco de gestión de riesgos?
¿Está disponible capacitación adaptada a los diferentes públicos en el uso de sus procesos de riesgos?
Fuente: (Department of Finance, 2016[10]).
5.3.3. Los organismos públicos de Argentina podrían tornar operativo el marco de gestión de riesgos asignando a los altos directivos la responsabilidad clara de la gestión de riesgos
Los directivos deberían ser responsables del diseño, la implementación y el monitoreo de las funciones de control interno y gestión de riesgos, siendo ello reconocido por las leyes y las políticas de muchos países. Contar con leyes que garanticen la adjudicación a los directivos de estas actividades puede servir las veces de incentivo para ellos y ayudar a los países a alcanzar una supervisión comprometida y una rendición de cuentas más sólida. En la mayoría de los países miembros de la OCDE, los directivos del Poder Ejecutivo son responsables legalmente de monitorear e implementar actividades de control y gestión de riesgos. Asimismo, muchos países cuentan con leyes que adjudican específicamente a los directivos responsabilidad por las políticas de gestión de riesgos de integridad, según se describe en la Tabla 5.1. Sin embargo, en Argentina no se ha adjudicado a los directivos responsabilidad alguna por el control interno o la gestión de riesgos (OCDE, 2017, p. 158[11]).
La responsabilidad respecto a riesgos específicos, incluidos los riesgos de fraude y corrupción, necesita ser claramente atribuida a los altos directivos correspondientes. Dichos directivos necesitan adjudicarse los riesgos que podrían afectar sus objetivos, emplear la información sobre riesgos para la toma de decisiones y supervisar y gestionar de manera activa los riesgos asignados. Dichos directivos deberían asimismo ser responsables ante el Ejecutivo, a través de la presentación de informes periódicos sobre la gestión de riesgos (Department of Finance, 2016[10]).
Tabla 5.1. Leyes que requieren a directivos en el Poder Ejecutivo que implementen y supervisen las políticas de control interno y gestión de riesgos
|
Sí, para políticas de control interno |
Sí, para políticas de gestión de riesgos |
Sí, específicamente para gestión de riesgos de integridad/corrupción |
---|---|---|---|
Australia |
● |
● |
|
Austria |
● |
● |
● |
Bélgica |
● |
● |
|
Canadá |
● |
● |
● |
Chile |
● |
● |
● |
República Checa |
● |
● |
|
Estonia |
● |
● |
|
Finlandia |
● |
● |
|
Francia |
● |
● |
|
Alemania |
● |
● |
● |
Grecia |
● |
● |
|
Hungría |
● |
● |
● |
Islandia |
|||
Irlanda |
|||
Italia |
● |
● |
● |
Japón |
● |
||
Corea |
● |
● |
● |
Letonia |
● |
||
México |
● |
● |
● |
Países Bajos |
● |
● |
● |
Nueva Zelanda |
● |
● |
● |
Noruega |
|||
Polonia |
● |
● |
|
Portugal |
● |
||
República Eslovaca |
● |
● |
● |
Eslovenia |
● |
● |
● |
España |
● |
● |
● |
Suecia |
|||
Suiza |
● |
● |
● |
Reino Unido |
|||
Estados Unidos de América |
● |
● |
● |
Total OCDE |
26 |
22 |
16 |
Argentina |
|||
Brasil |
● |
● |
|
Colombia |
● |
● |
● |
Perú |
● |
● |
Note: Se incluyó a Argentina, Brasil, Colombia y Perú para brindar un contexto de América Latina.
Fuente: (OCDE, 2017, p. 159[11]).
5.4. Implementar mecanismos de control coherentes
5.4.1. La SIGEN podría asistir a las entidades de gobierno en el fortalecimiento de sus mecanismos de control interno para asegurar su implementación y eficacia y proporcionarles seguridad razonable
Una manera fundamental de mitigar los riesgos es a través de mecanismos de control interno. Los mecanismos de control interno son implementados por la dirección de un organismo y su personal y se someten a adaptaciones y mejoras permanentes, a fin de abordar los cambios del entorno y de los riesgos del organismo. Las Normas Generales de Control Interno de la Argentina definen al control interno de la siguiente manera:
El control interno es un proceso llevado a cabo por las autoridades superiores y el resto del personal de la entidad, diseñado con el objetivo de proporcionar un grado de seguridad razonable en cuanto a la consecución de los objetivos organizacionales -tanto en relación con la gestión operativa, con la generación de información y con el cumplimiento de la normativa-. (SIGEN, 2014, p. 8[2]).
Esta definición se alinea con la de la Organización Internacional de Entidades Fiscalizadoras Superiores (INTOSAI), que entiende al control interno como una serie de actividades diseñadas para abordar los riesgos que puedan afectar el logro de los objetivos del organismo y para proporcionar seguridad razonable respecto a que las operaciones del organismo son éticas, económicas, eficientes y eficaces, que se cumple con las obligaciones de responsabilidad y transparencia, que las actividades y los actos cumplen las leyes y las regulaciones aplicables y que los recursos son salvaguardados para evitar pérdidas, mal uso, corrupción y daño (INTOSAI, 2010, p. 6[12]).
Las actividades de control interno no deberían intentar proporcionar una seguridad absoluta, ya que ello podría restringirlas a tal punto de generar una ineficiencia grave. El término “seguridad razonable” se emplea con frecuencia en auditorías y controles internos. Significa un grado satisfactorio de confianza, dado la consideración debida de los costos, los beneficios y los riesgos. Las normas de control interno de Argentina incluyen el concepto de seguridad razonable al establecer que “un sistema de control interno efectivo proporciona una seguridad razonable respecto de la consecución de los objetivos de la organización” (SIGEN, 2014, p. 9[2]).
La determinación de cuánta seguridad es razonable depende del criterio. Al determinar este criterio, los directivos deberían identificar los riesgos inherentes a sus operaciones y los grados de riesgo que están dispuestos a tolerar según las distintas circunstancias. La seguridad razonable acepta la existencia de cierta incertidumbre y que la plena confianza está limitada por las siguientes realidades: el criterio del ser humano en la toma de decisiones puede ser defectuoso; las fallas pueden ocurrir por errores simples; los controles pueden eludirse por connivencia de dos o más personas, y la dirección puede optar por dejar sin efecto el sistema de control interno.
Las normas de Argentina describen tres consideraciones que deberían tenerse en cuenta en oportunidad de diseñar los mecanismos de control interno:
Integridad: debe asegurarse el tratamiento, procesamiento y registro de la totalidad de las transacciones u operaciones;
Exactitud: debe asegurarse que las operaciones se realicen oportuna y correctamente; y
Validez: las transacciones registradas deben representar con precisión las operaciones ejecutadas (SIGEN, 2014, p. 30[2]).
Éstas son consideraciones válidas que podrían brindar asistencia a los organismos públicos de Argentina en la implementación de actividades de control interno más efectivas. Asimismo, no es suficiente tener normas y controles vigentes, necesitan implementarse y ser efectivos. Se ha observado que una característica distintiva del gobierno argentino “no es la falta de control, sino la ficción de control” y que “cumplir con la ley de fondo no implica cumplir con la ley de forma” (Santiso, 2009, p. 86[13]). Además, este “formalismo de apariencia” limita a los directivos a detectar errores administrativos menores en lugar de abordar el funcionamiento anormal estructural y la corrupción política (Santiso, 2009, p. 86[13]). Para proporcionar seguridad razonable respecto de las operaciones de un organismo, resulta de vital importancia la integración absoluta del control interno y sus principios subyacentes.
Las normas de Argentina en materia de control interno incluyen una sección sobre “actividades de control”, que establece y define los controles generales, los controles tecnológicos y las políticas y los procedimientos relevantes. De acuerdo con estas normas, las actividades de control deben estar orientadas a reducir los riesgos que puedan afectar el logro de los objetivos de la organización, pueden ser preventivas o de detección y son llevadas a cabo por todas las áreas de la organización (SIGEN, 2014, p. 29[2]). Lo antedicho se condice con la Guía para las normas de control interno del sector público de la INTOSAI, que establece que las actividades de control interno se dan en toda la organización, en todos los niveles y en todas las funciones y que los controles internos incluyen una serie de actividades de control de detección y prevención. Sin embargo, como ya se ha indicado, las normas de la SIGEN no se aplican sistemáticamente.
En particular, las entrevistas realizadas durante la misión de investigación de la OCDE en octubre de 2017 revelaron que las auditorías internas descubren con frecuencia cuestiones relativas al empleo de dinero de caja chica y gastos por viajes –relacionados a la mala gestión, la ineficiencia y la corrupción. Además de los auditores internos que examinan el sistema de control interno e identifican las áreas a mejorar, los organismos públicos podrían considerar actualizar sus controles internos en cuanto al dinero en caja chica y los viáticos y mejorar o introducir controles en donde se han identificado vacíos. Por ejemplo, la autorización y la ejecución de operaciones de compras deberían ser realizadas únicamente por personas de autoridad pertinente. La autorización es el principal medio para asegurar que solo operaciones y eventos válidos sean realizados según la intención de la dirección. Los procedimientos de autorización, que tienen que ser documentados y claramente comunicados a los directivos y empleados, deben incluir condiciones específicas y términos conforme a los cuales se puedan hacer las autorizaciones. Conformidad con los términos de autorización significa que los empleados actúan en concordancia con las directivas y dentro de las limitaciones establecidas por la gerencia o la legislación (INTOSAI, 2010, p. 29[12]).
En abril de 2018 la SIGEN proveyó a la OCDE con mayor información sobre el trabajo que ha desarrollado para fortalecer el sistema de control interno desde su creación en 1992. La SIGEN lo concibe como un proceso de largo plazo que inicialmente apuntó sus esfuerzos a determinar el estado del sistema, estableciendo las unidades de auditoría y desarrollando el marco regulatorio. Posteriormente, la SIGEN diseñó herramientas y metodologías de monitoreo para asistir a las diferentes entidades, como el Programa de Fortalecimiento del Sistema de Control Interno, que incluye el Plan de Compromiso de Mejora de la Gestión y el Control Interno, las Normas particulares sobre constitución y funcionamiento de los Comités de Control y la Metodología de Autoevaluación y Diagnóstico de procesos.
5.5. Mejorar la función de auditoría interna
5.5.1. La SIGEN podría asegurar que su coordinación central de auditorías internas aproveche los recursos disponibles para fortalecer la supervisión y permitir una respuesta cohesiva a los riesgos de integridad
El tener una función central de auditoría, que específicamente incluya a la integridad en sus objetivos estratégicos, puede fortalecer la coherencia y la armonización de la respuesta del Estado a los riesgos de integridad. Auditar a varios organismos a nivel federal puede potenciar los recursos de auditoría disponibles, mejorar la capacidad del Estado para identificar cuestiones sistemáticas y transversales y dictar medidas para responder desde una perspectiva general del Estado (OCDE, 2017[11]). Muchos de los países miembros de la OCDE cuentan con una función central del auditoría interna que tiene a su cargo auditar a más de un ministerio y muchas de estas funciones centrales del auditoría interna tienen objetivos que apuntan a la integridad, como se muestra en la siguiente Figura 5.3.
Argentina cuenta con una función de auditoría interna coordinada a nivel central, un mapa anual de riesgos de auditoría y directrices para la planificación de la auditoría interna, pero podría construir sobre esta base para mejorar la supervisión, fijando objetivos estratégicos focalizados en la integridad e identificando tendencias y cuestiones sistémicas, brindado a la dirección la capacidad de responder a los riesgos de integridad de manera cohesiva y holística. La Oficina Pública de Auditoría Interna del Reino Unido (Government Internal Audit Agency) es un buen ejemplo de un órgano de auditoría interna con objetivos focalizados en la integridad, según se detalla en el siguiente Recuadro 5.3.
Recuadro 5.3. La Oficina Pública de Auditoría Interna del Reino Unido
La Oficina Pública de Auditoría Interna (GIAA, por sus siglas en inglés) ayuda a asegurar que el Gobierno del Reino Unido y su sector público en general presten servicios y administren los fondos públicos de manera efectiva e implementen mejores controles de gobierno, de gestión de riesgos e internos. La GIAA implementa un plan de acción en base a riesgos que culmina en un informe anual y un dictamen sobre la idoneidad y la eficacia de los marcos de los organismos gubernamentales en materia de gobernanza, gestión de riesgos y control interno. Brinda una serie de servicios, entre los cuales se incluyen los siguientes:
Trabajo de seguro: Proporciona una evaluación independiente y objetiva de las actividades de gestión a fin de brindar un panorama sobre la eficacia del organismo en términos de gobernanza, gestión de riesgos y controles internos.
Trabajo de investigación y anti-fraude: Brinda asesoramiento y asistencia sobre estrategias para combatir el fraude, evaluaciones de riesgos de fraude y medidas para prevenir, impedir y detectar el fraude. A requerimiento, su personal profesional capacitado investiga las sospechas de fraude interno o de proveedores, o de negligencia.
5.5.2. Todas las entidades de gobierno de Argentina podrían implementar comités de control para supervisar mejor la implementación de las recomendaciones de auditorías
Las Normas Generales de Control Interno de la SIGEN establecen que los auditores deben esbozar recomendaciones de los posibles pasos a seguir para procurar corregir las falencias detectadas como observaciones de auditorías, teniendo estas recomendaciones el objetivo de incrementar la eficiencia y eficacia del organismo y la de sus mecanismos de control interno. Las normas establecen asimismo las recomendaciones formales “proporcionarán una base para el seguimiento posterior por parte de la Unidad de Auditoría Interna, la SIGEN u otros auditores” (SIGEN, 2002, p. 26[15]).
Según la SIGEN, el seguimiento de las observaciones se requiere a través de las resoluciones SIGEN N° 15/2006 y N° 73/2010. Además, de acuerdo con el reciente Decreto No 72/2018, es necesario hacer un seguimiento a través del Comité de Control/Auditoría con la participación y el compromiso de la autoridad superior.
Las normas también establecen que los auditores deben monitorear el cumplimiento de las instrucciones impartidas por las autoridades superiores dirigidas a solucionar las falencias expuestas como observaciones en los informes de auditoría. Esto debe verificarse a través de auditorías de seguimiento. A tal fin, la SIGEN espera que se mantengan las bases de datos que contienen todas las observaciones y recomendaciones efectuadas con motivo de la labor. Asimismo, la SIGEN espera que el seguimiento periódico le permita al auditor asegurarse respecto de la adopción de medidas adecuadas y determinar las áreas para la realización de nuevas auditorías. Además, dicho seguimiento puede asistir a los auditores en la evaluación no solo respecto a la pertinencia del asesoramiento, sino también a los resultados obtenidos de las recomendaciones se corresponden con las expectativas. (SIGEN, 2002, p. 32[15]).
Conforme al Plan Anual 2017 de la SIGEN, de las 53 actividades de control de procesos planificadas para el 2017, solamente tres tienen relación con el seguimiento de las recomendaciones de auditoría:
Realizar el seguimiento de las observaciones y recomendaciones pendientes de regularización consignadas en informes de auditoría (Ministerio de Desarrollo Social);
Realizar el seguimiento del Informe ejecutado por la Unidad de Auditoría Interna, del Hospital Nacional Posadas; y
Realizar el seguimiento del Informe ejecutado por la Unidad de Auditoría Interna del Hospital Nacional en Red Especializado en Salud Mental y Adicciones (SIGEN, 2017, pp. 100–104[16]).
De acuerdo a la SIGEN, se registran y hacen seguimientos periódicos de las observaciones y recomendaciones de auditoría interna. En 2001, la SIGEN dictó (a través de la Circular No 1, del 17 de enero de 2001) que todas las Unidades de Auditoría Interna bajo su jurisdicción debían presentar la información detallada de las observaciones de auditoría pendientes de regularización al cierre del año fiscal (utilizando el Sistema SISIO). En 2006, los Planes Anuales de las Unidades de Auditoría Interna se integraron en el sistema SISIO, lo que proporcionó una plataforma en línea para incluir el seguimiento en el proceso de planificación de auditoría interna en todo el sector público.
Además, el reciente Instructivo de Trabajo N° 2/2017 requiere la actualización de la información relacionada con estas observaciones y su estado de regularización. La información generada a partir de este trabajo se incluye tanto en los recurrentes informes de auditoría (donde las auditorías previas quedan mencionadas en la sección relativa a antecedentes), como año a año en el Sistema de Evaluación de los Informes Control Interno entidad realizados para cada entidad.
Sobre la base de las entrevistas realizadas durante la misión de la OCDE de octubre de 2017, se determinó que la SIGEN había asistido a organismos gubernamentales en el establecimiento de comités de control en aproximadamente 30 dependencias, con el objetivo de extender el concepto a las casi 200 dependencias únicas en el sector público. Desde enero de 2018 tras emitirse el Decreto Nº 72/2018, todas las entidades del sector público nacional deben establecer un comité de control. Según el artículo 1 de este decreto, cada comité debe reunirse al menos dos veces al año, con asistencia de la autoridad superior de la entidad (o un representante designado a tal efecto), jefe de la unidad de auditoría interna, un representante de la SIGEN y los responsables de las áreas operacionales de la entidad.
Estos comités serán valiosos para supervisar la implementación de las recomendaciones de auditoría. Este concepto es similar al modelo de comité de auditoría empleado en los países miembros de la OCDE, como ser Reino Unido, Canadá y Australia. Argentina podría considerar seguir más detalladamente este modelo de “comité de auditoría”, según el cual cada organismo cuenta con un comité de auditoría que es independiente de las actividades de gestión diarias y revisa periódicamente los sistemas de auditoría, gestión de riesgos y control interno del organismo, así como su presentación de informes financieros y de desempeño. Estos comités se encuentran bien posicionados para evaluar y dar seguimiento desde el organismo a la implementación de las recomendaciones de auditoría. El ejemplo de Australia se describe en el siguiente Recuadro 5.4 .
Recuadro 5.4. Comités de auditoría - Australia
De acuerdo a la Ley de Gobernanza Pública, Desempeño y Rendición de Cuentas de 2013 (Public Governance, Performance and Accountability Act 2013) se requiere que cada organismo público de Australia cuente con un comité de auditoría.
Un comité de auditoría independiente constituye un elemento importante de buena gobernanza ya que brinda asesoramiento y seguro independiente a la autoridad superior de un organismo respecto de la pertinencia del marco de rendición de cuentas y control del organismo. Asimismo, verifica y salvaguarda de manera independiente la integridad de la presentación de informes financieros y de desempeño de un organismo.
En Australia, todo comité de auditoría debe estar formado por lo menos por tres personas con calificaciones adecuadas, conocimiento, aptitudes y experiencia en asistir al comité en el cumplimiento de sus funciones. La mayoría de los integrantes del comité de auditoría deben ser personas que no sean funcionarios del organismo.
Las funciones del comité de auditoría deben determinarse en un estatuto y deben determinar que el comité revisará la pertinencia de lo siguiente con respecto al organismo:
La presentación de informes financieros;
La presentación de informes de desempeño;
Los sistemas de supervisión (incluida la auditoría interna y externa);
Los sistemas de gestión de riesgos; y
Los sistemas de control interno.
En relación con la función auditora, el comité de auditorías puede:
Asesorar a la autoridad superior de la entidad sobre sus planes de auditoría interna;
Asesorar sobre los lineamientos profesionales a ser empleados por los auditores internos en el curso de sus auditorías del organismo;
Revisar la pertinencia de la respuesta del organismo a los informes de auditorías internas y, de ser viable, externas, incluida la respuesta de la entidad a las recomendaciones de auditoría y
Revisar el contenido de los informes de auditorías internas y externas para identificar material que sea relevante para el organismo y asesorar a la autoridad contable con respecto a las buenas prácticas.
La característica distintiva de un comité de auditoría es su independencia. La independencia del comité de las actividades de gestión diarias ayuda a garantizar que su actuar sea objetivo, imparcial, libre de cualquier conflicto de intereses, prejuicio inherente o influencia externa indebida.
5.6. Fortalecer la Entidad Fiscalizadora Superior
La integridad de un gobierno yace no solo en un marco efectivo de gestión de riesgos, control interno y auditoría interna, sino también en una función de auditoría externa sólida, que –entre otras cosas- brinde una supervisión externa del marco de gestión de riesgos y control interno. A este fin, la máxima institución auditora de un país debería tener un mandato claro y ser independiente, transparente y efectiva.
5.6.1. El Congreso de la Nación Argentina podría fortalecer la independencia funcional de la AGN aumentando su poder para seleccionar los temas de auditoría y detallando claramente su independencia y mandato en una ley orgánica específica
En Argentina, la función de auditoría externa está a cargo de la Auditoría General de la Nación (AGN). La AGN es un organismo colegiado de auditoría, compuesto por siete miembros: un presidente y seis auditores generales. El presidente de la AGN es designado por el Congreso de la Nación, a propuesta del partido opositor por un mandato de 8 años, renovable. Si el partido opositor cambia, se designa un nuevo presidente. Los restantes seis miembros del Colegio son elegidos entre los partidos políticos por mandatos renovables de 8 años -tres por el Senado y tres por la Cámara de Diputados.
En 1994 la AGN adquirió rango constitucional en el ámbito del Poder Legislativo. El artículo 85 de la Constitución de la Nación Argentina establece que “El control externo del sector público nacional (…) será una atribución propia del Poder Legislativo” y sus opiniones estarán sustentadas en los dictámenes de la AGN. Asimismo, dispone que la AGN es un organismo de asistencia del Congreso con autonomía funcional”. Tiene a su cargo el control de legalidad, gestión y auditoría de toda la actividad de la administración pública centralizada y descentralizada (Argentina, 1994, p. 14[19]).
Asimismo, el artículo 85 establece que la AGN “se integrará del modo que establezca la ley que reglamenta su creación y funcionamiento, que deberá ser aprobada por mayoría absoluta de los miembros de cada Cámara”. A pesar de que la Constitución de 1994 anuncia la introducción de una ley orgánica específica de la AGN, su promulgación ha estado pendiente por 14 años.
El artículo 118 de la ley de administración financiera establece las funciones del auditor general (resumen en la Tabla 5.2).
Tabla 5.2. Funciones del auditor general
Entre las funciones del auditor general, se incluyen las siguientes: |
---|
Fiscalizar el cumplimiento de las disposiciones legales y reglamentarias en relación con la utilización de los recursos del Estado; |
Realizar auditorías financieras, de legalidad, de gestión, exámenes especiales de las jurisdicciones y de las entidades bajo su control, así como las evaluaciones de programas, proyectos y operaciones; |
Examinar y emitir dictámenes sobre los estados contables financieros del Estado Nacional; |
Controlar la aplicación de los recursos provenientes de las operaciones de crédito público y efectuar los exámenes especiales que sean necesarios para formarse opinión sobre la situación de este endeudamiento; |
Realizar exámenes especiales de actos y contratos de significación económica, por sí o por indicación de las Cámaras del Congreso o de la Comisión Parlamentaria Mixta Revisora de Cuentas; |
Auditar y emitir opinión sobre la memoria y los estados contables financieros de las empresas y sociedades del Estado y |
Verificar que los órganos de la Administración mantengan el registro patrimonial de sus funcionarios públicos. |
Fuente: (Argentina, 2016[4]).
Las Entidades Fiscalizadoras Superiores (EFS) de los países miembros de la OCDE se constituyen conforme a leyes específicas que establecen, entre otras cosas, las atribuciones, las responsabilidades y la independencia del Auditor General. Por ejemplo, la EFS de Australia se creó en virtud de la Ley del Auditor General de 1997 (Auditor-General Act 1997) (Australia, 1997[20]) y la EFS de Canadá se creó conforme a la Ley del Auditor General de 1985 (Auditor General Act 1985) (Canada, 1985[21]). En el contexto de Latinoamérica y del Caribe, la EFS de Argentina es la única que no tiene una ley orgánica. Los siguientes 17 países introdujeron leyes orgánicas para sus EFS entre 1953 y 2002: Bolivia, Brasil, Chile, Colombia, Costa Rica, República Dominicana, Ecuador, El Salvador, Guatemala, Honduras, México, Nicaragua, Panamá, Paraguay, Perú, Uruguay y Venezuela (Santiso, 2009, pp. 52–55[13]).
En su Plan Estratégico 2013–17, la AGN detalló como uno de sus objetivos estratégicos que “fortalecería la identidad de la AGN y su relación con las partes interesadas” (AGN, 2013, p. 6[22]). La existencia de una ley que reglamente y establezca la creación, el funcionamiento, las facultades, las responsabilidades, la independencia y el gobierno interno de la AGN sería de gran beneficio para fortalecer la independencia, las facultades y la identidad de la AGN y para clarificar su mandato y su relación con las partes interesadas. Lo antedicho asimismo alinearía a la AGN con las EFS en la región y las EFS de los países miembros de la OCDE.
Los valores de la AGN son la independencia, la objetividad, el compromiso institucional, la probidad, el profesionalismo y la ética. El Auditor General define a la ética como “observar el conjunto de valores y principios que guían nuestra labor cotidiana”. La AGN se basa en las Normas de Control Externo Gubernamental, las cuales han sido desarrolladas sobre la base de las Normas Internacionales de Entidades Fiscalizadoras Superiores (ISSAI) de la INTOSAI, las mejores prácticas internacionales y los estándares profesionales vigentes en Argentina.
La primera prioridad transversal de la INTOSAI para el periodo 2017–22 es la independencia de las EFS. La INTOSAI aboga firmemente y apoya los marcos constitucionales y legales que exigen mandatos de auditoría integrales, el acceso ilimitado a la información necesaria y la publicación sin restricciones de los informes de las EFS. Según la INTOSAI, “solo unas EFS totalmente independientes, capaces, fiables y profesionales pueden garantizar la rendición de cuentas, la transparencia, la buena gobernanza y el buen uso de los fondos públicos” (INTOSAI, 2017, p. 9[23]).
Las Normas de Control Externo Gubernamental de Argentina establecen que todo el trabajo de control externo gubernamental debería contribuir a la buena administración, ya que proporciona información objetiva, independiente y confiable (Auditor General of Argentina, p. 5[24]). Asimismo, dichas normas disponen que el Auditor General debe cumplir con los principios éticos, tales como independencia de criterio, objetividad y neutralidad política (Auditor General of Argentina, pp. 10–12[24]).
Aunque los valores, las normas y los principios de la AGN enfatizan la importancia de la independencia e imparcialidad política, las estructuras y los procesos actuales para la planificación y la aprobación de auditorías hacen difícil que la entidad realice sus funciones de manera absolutamente independiente y con imparcialidad política.
El vínculo de la AGN con el Congreso de la Nación es a través de la Comisión Parlamentaria Mixta Revisora de Cuentas, compuesta por 12 integrantes: 6 senadores y 6 diputados. Anualmente, esta comisión elige un presidente, un vicepresidente y un secretario. La Comisión Parlamentaria Mixta Revisora de Cuentas tiene mucha historia. Fue creada en 1878 por la Ley N° 923. Sus atribuciones actuales surgen de la Ley N° 24.156 de Administración Financiera (Senado Argentina, 2017[25]). Según el artículo 129 de la Ley de Administración Financiera, la comisión debe, entre otras cosas: aprobar el programa de acción anual de control externo a desarrollar por la AGN y encomendarle la realización de estudios, investigaciones y dictámenes especiales, fijando los plazos para su realización, elementos lo que no se alinean con las buenas prácticas internacionales.
La INTOSAI ha publicado una serie de documentos que citan la importancia de la independencia de los auditores externos, lo que comprende la necesidad de independencia en la planificación de auditorías y el contenido y la oportunidad de los informes de auditoría. El Recuadro 5.5 describe la información.
Recuadro 5.5. Normas internacionales para garantizar la independencia de los organismos de auditoría
Asegurar que los organismos de auditoría sean libres de toda influencia indebida es fundamental para garantizar la objetividad y efectividad de su labor, en consecuencia, las normas más fundamentales relativas a la auditoría del sector público incorporan los principios de independencia. La Organización Internacional de las Entidades Fiscalizadoras Superiores (INTOSAI), por ejemplo, cuenta con dos declaraciones fundamentales que citan la importancia de la independencia. En particular, la “Declaración de Lima de Criterios sobre las Normas de Auditoría” (ISSA 1) sostiene que la EFS requiere independencia organizativa y funcional para cumplir con sus tareas.
La “Declaración de México sobre Independencia de las EFS” (ISSAI 10) y el Plan Estratégico 2017-2022 delinean ocho principios relacionados con la independencia:
En relación con el Principio 3 sobre la independencia funcional, la ISSAI 10 establece que una EFS debe tener un mandato suficientemente amplio y plena discreción en el desempeño de sus funciones, y que las EFS deben estar facultadas para auditar: el uso de dineros públicos, recursos o activos; recaudación de ingresos adeudados al gobierno o entidades públicas; legalidad y regularidad de las cuentas del gobierno o de las entidades públicas; calidad de la gestión financiera y presentación de informes; y economía, eficiencia y efectividad de las operaciones del gobierno o de las entidades públicas. Mayor información es proporcionada en las Directrices y Buenas Prácticas Relativas a la Independencia de las EFS de la INTOSAI (INTOSAI, 2007[26]).
Las EFS deben ser libres de dirección e interferencias del Poder Legislativo o del Ejecutivo en: la selección de asuntos de auditoría; planificación, programación, conducta, informes y seguimiento de sus auditorías; organización y administración de su oficina; y el cumplimiento de sus decisiones cuando la aplicación de sanciones sea parte de su mandato.
Fuentes: (INTOSAI, 1977[27]; INTOSAI, 2007[28]; INTOSAI, 2017[23]).
La independencia en una entidad fiscalizadora superior rara vez ocurre por accidente. La independencia requiere planificación detallada y puede llevar años de trabajo persistente de muchos socios claves, incluida la legislatura, la Comisión de Cuentas Públicas y el Ministerio de Economía. Como todo proyecto, es importante que la EFS tenga en claro lo que quiere lograr, considere los obstáculos y los riesgos, fundamente la causa frente a aquellos que pueden ayudar a alcanzar una mayor independencia (tal como la Comisión de Cuentas Públicas), fije hitos y asigne responsabilidad por el logro de esos hitos. Un mayor respaldo de las partes interesadas, tales como los medios y la sociedad civil, puede ayudar a mantener la campaña en agenda, si se tiene pleno conocimiento de la función de las EFS y el valor de una mayor independencia (National Audit Office, 2015, pp. 7–11[29]).
Una vez que la legislatura haya acordado considerar la implementación de una nueva ley orgánica, la AGN necesitaría trabajar codo a codo con la legislatura y las comisiones legislativas involucradas en la redacción de la legislación a fin de que entiendan las áreas potencialmente conflictivas. La AGN necesitaría revisar con atención la legislación actual y compararla con las leyes de auditoría implementadas para otras EFS en circunstancias similares -no hay necesidad de empezar de cero (National Audit Office, 2015, p. 12[29]).
Las EFS que son sólidas y funcionalmente independientes tienen mayor credibilidad y pueden lograr cambios de mejor manera. En los últimos años han existido cuestiones sobre las cuales el Congreso de la Nación Argentina ha ignorado los informes de auditoría presentados por la AGN, incluso algunos que describían casos graves de irregularidades administrativas y posibles casos de corrupción (Manzetti, 2014, p. 192[30]).
La AGN podría trabajar con el Congreso de la Nación para fortalecer su independencia funcional, particularmente aumentando su poder para seleccionar los tópicos de auditoría durante la planificación y los procesos de aprobación de auditoría; y detallando en una ley orgánica específica claramente el mandato e independencia de la AGN.
5.6.2. La AGN podría fortalecer los procesos de seguimiento y monitoreo de sus recomendaciones de auditoría
Como se ha mencionado, un principio central de independencia de las EFS es la existencia de mecanismos efectivos para el seguimiento de las recomendaciones de auditoría (INTOSAI, 2007[26]). Cuando las recomendaciones de auditoria son consideradas e implementadas las auditorías ayudan a mejorar la administración pública y aumentan la responsabilidad y la transparencia. Las EFS de los países miembros de la OCDE cuentan con diferentes mecanismos para realizar el seguimiento de sus recomendaciones. Por ejemplo, la Oficina Nacional de Auditoría de Australia (ANAO) realiza anualmente una serie de auditorías de desempeño del seguimiento, para evaluar la implementación de las recomendaciones de auditorías de desempeño en años anteriores en las diferentes entidades. Las entidades del gobierno australiano también tienen comités de auditoría que se reúnen regularmente para, entre otras cosas, monitorear la implementación de las recomendaciones de auditoría, y la ANAO puede asistir a estas reuniones en calidad de observadora y/o solicitar minutas de la reunión. El Auditor General también ha escrito a las diferentes entidades solicitando una actualización de las recomendaciones durante el proceso de planificación anual del programa de trabajo de auditoría.
En Canadá, la oficina del Auditor General de Columbia Británica, una oficina de auditoría subnacional, ha publicado informes de seguimiento basados en autoevaluaciones de las entidades auditadas y realizó en varias de ellas auditorías de seguimiento (ver Recuadro 5.6). La AGN podría considerar fortalecer sus procesos para permitir el seguimiento de las recomendaciones, como ser mediante una selección de auditorías de seguimiento u organizando autoevaluaciones anuales.
Recuadro 5.6. Oficina del Auditor General de Columbia Británica – Seguimiento de las recomendaciones de auditoría
La Oficina del Auditor General de Columbia Británica (OAG) publicó en junio de 2014 un informe titulado “Informe de seguimiento: actualizaciones sobre la implementación de recomendaciones de informes recientes,”. Según el entonces auditor general, era fundamental que la OAG hiciera un seguimiento de las recomendaciones para poder garantizar que los ciudadanos reciban el máximo valor por el dinero del trabajo de la OAG, ya que las recomendaciones identifican áreas en las que las entidades gubernamentales pueden ser más efectivas y eficientes. La OAG hizo esto mediante la publicación de un informe de seguimiento que contenía formularios de autoevaluación completados por entidades auditadas. Los formularios se publicaron sin editar y no fueron auditados. El informe contenía 18 autoevaluaciones, de las cuales dos informaban que la entidad había abordado total o sustancialmente todas las recomendaciones en sus informes.
La OAG también ha dado seguimiento a sus recomendaciones auditando cuatro autoevaluaciones para verificar su exactitud. La OAG encontró que en todos los casos, las entidades habían retratado con precisión el progreso que habían realizado para implementar las recomendaciones. Si bien se descubrió que algunas veces las recomendaciones se implementaron parcialmente y no completa o sustancialmente como se reportó, la discrepancia se debió generalmente a una diferente comprensión de lo que significaba implementación total o sustancial. En esos casos, la OAG trabajó con los ministerios y agencias para aclarar las expectativas y llegar a un acuerdo respecto al estado de la implementación.
5.6.3. La AGN podría aumentar su influencia siendo ejemplo de transparencia
En su Plan Estratégico 2013–2017, la AGN fijó como uno de sus objetivos estratégicos, “promover la transparencia y la rendición de cuentas en el sector público nacional” (AGN, 2013, p. 6[22]). Asimismo, el artículo 6.ii de la Declaración de Asunción sobre Seguridad y Estabilidad Financiera de las EFS, firmada por los miembros de la Organización Latinoamericana y del Caribe de Entidades Fiscalizadoras Superiores (OLACEFS) el 4 octubre de 2017, establece que:
En cuanto garante del buen uso de los recursos públicos debemos someternos a un proceso de control que transparente el adecuado manejo de los fondos que la entidad reciba y administre.
.
Las Entidades Fiscalizadoras Superiores, como la AGN, deberían ser para el sector público un ejemplo de transparencia y administración de fondos públicos con eficiencia, eficacia y economía. Actualmente, en su sitio web la AGN brinda poca o nada de información sobre los gastos discrecionales en particular. La AGN aumentaría su influencia y credibilidad proporcionando información al público sobre sus gastos discrecionales. Esto serviría como ejemplo de transparencia para el resto del sector público. El Recuadro 5.7 presenta una buena práctica de transparencia de las EFS tomada de la Oficina del Auditor General de Canadá.
Recuadro 5.7. Transparencia – Oficina del Auditor General de Canadá
La Oficina del Auditor General de Canadá (OAG) en su sitio web tiene una sección destacada denominada “Transparencia”. Esta sección contiene información sobre la rendición de cuentas de la práctica de auditorías (como ser el detalle de las revisiones externas y las auditorías internas), operaciones de la oficina (tales como viajes, hospedajes, contratos y encuestas de clientes) y acceso a la información
La OAG publica informes anuales de viajes en su sitio web, así como informes trimestrales de gastos de viajes del Auditor General y todos sus ejecutivos. La información está actualizada. Por ejemplo, el 18 octubre de 2017 la OCDE accedió a los informes de junio a septiembre de 2017 (así como a todos los trimestres anteriores hasta 2011). Haciendo unos pocos clics, resulta fácil ver los detalles de los gastos de cada viaje.
Propuestas de acción
Argentina ha establecido un marco de control interno y gestión de riesgos que se alinea, en varias áreas, con las mejores prácticas internacionales. Sin embargo, podría hacerse más para fortalecer la implementación del marco y construir capacidades en sus entornos de control interno y gestión de riesgos. Las propuestas de acción específicas que Argentina podría considerar se describen a continuación.
Establecer un sistema de control con objetivos precisos
La SIGEN podría garantizar que los objetivos precisos del sistema de control sean comunicados al personal de todo el sector público nacional:
incluyendo una capacitación obligatoria sobre objetivos y requisitos de control;
introduciendo programas de concientización sobre la necesidad del control interno y los roles de cada área y puestos de los miembros del personal;
a través de capacitación y cursos introductorios para todo el personal, incluidas las máximas autoridades y los directivos del sistema de control; y
delineando claramente los estándares para roles específicos
incorporando controles en las operaciones diarias del servicio público
SIGEN podría promover la incorporación de la gestión de riesgos en la cultura de los organismos públicos
La SIGEN podría asistir a las entidades gubernamentales en aplicar más congruentemente los principios del modelo de las tres líneas de defensa:
otorgando mayor responsabilidad al control interno y a la gestión de riesgos en la gestión operativa
asistiendo a las entidades gubernamentales en el desarrollo de capacidades; y
desarrollando capacitación y concientización para los servidores públicos sobre las actividades ya existentes, para ayudar a garantizar que comprendan y apliquen congruentemente el modelo de tres líneas de defensa, reconocido internacionalmente en todo el sector público.
Implementar un enfoque estratégico de la gestión de riesgos
La SIGEN podría mejorar su enfoque de gestión de riesgos para garantizar que sea coherente y claramente diferenciado de la función de auditoría interna:
mejorando su marco de gestión de riesgos para que sea más estratégico, coherente y operativo;
incorporando una herramienta de gestión de riesgos diferenciada claramente de la función de auditoría;
brindando a los gerentes operativos la capacidad de realizar evaluaciones de riesgos sin temor a represalias;
manteniendo un proceso de evaluación de riesgos diferenciado y desarrollado por auditores en su planificación de auditoría.
La SIGEN podría promover la incorporación de la gestión de riesgos en la cultura de los organismos gubernamentales:
proporcionando una orientación clara para el personal operativo; e
incluyendo los requisitos de gestión de riesgos en las sesiones introductorias y obligatorias de capacitación
Las entidades gubernamentales de Argentina podrían operacionalizar el sistema de gestión de riesgos:
asignando a directivos particulares responsabilidades precisas para riesgos específicos, incluidos los riesgos de fraude y corrupción;
haciendo cargo a los gerentes de aquellos riesgos que podrían afectar a sus objetivos;
utilizando la información sobre riesgos para informar la toma de decisiones;
monitoreando y administrando activamente los riesgos designados; y
atribuyendo a los directivos responsabilidad ante el Ejecutivo, mediante informes regulares sobre la gestión de riesgos.
Implementar mecanismos de control interno coherentes
La SIGEN podría asistir a los organismos gubernamentales en fortalecer sus mecanismos de control interno para garantizar que se implementen y sean efectivos, y que brinden seguro razonable mediante:
la dirección de actividades de control destinadas a reducir aquellos riesgos que puedan afectar el logro de los objetivos de la organización;
garantizar que las actividades de control interno se implementen en todas las entidades, en todos los niveles y en todas las funciones; y
garantizar que los controles internos incluyan una variedad de actividades de detección y control preventivo.
Mejorar la función de auditoría interna
La SIGEN podría garantizar que su coordinación central de auditoría interna aproveche los recursos disponibles para fortalecer la supervisión y permitir una respuesta cohesiva a los riesgos de integridad:
estableciendo objetivos estratégicos de integridad e identificando tendencias y problemas sistémicos en base al mapa anual de riesgos de auditoría y las guías para la planificación de auditoria interna; y
brindando a la administración la capacidad de responder a los riesgos de integridad, de forma cohesiva y holística, mediante la presentación de informes sobre los riesgos de integridad, las tendencias y los problemas sistémicos en el servicio público.
Todas las entidades del gobierno de Argentina podrían implementar comités de control para monitorear mejor la implementación de las recomendaciones de auditoría al:
establecer comités que sean independientes de las actividades diarias de la administración y que revisen regularmente los sistemas de auditoría, gestión de riesgos y control interno de la entidad; y
otorgar a los comités la capacidad de evaluar y hacer seguimiento de la implementación de las recomendaciones de auditoría en cada entidad.
Fortalecer la Entidad Fiscalizadora Superior
El Congreso de la Nación Argentina podría fortalecer la independencia funcional de la AGN:
Aumentando el poder de la AGN para seleccionar sus propios temas de auditoría; y
Detallando en una ley orgánica específica la independencia y mandato de la AGN
La AGN y el Congreso de la Nación Argentina podrían fortalecer el seguimiento y monitoreo de las recomendaciones de auditoría a través de:
la inclusión de algunas auditorías de seguimiento en su plan anual de trabajo de auditoría; o
Organizar anualmente autoevaluaciones de las entidades, escribiendo a los directivos para solicitar una evaluación del estado de implementación de las recomendaciones de auditoría. La AGN podría seleccionar una muestra de las mismas para su seguimiento, como ha hecho la oficina de auditoría de Columbia Británica.
La AGN podría aumentar su influencia siendo ejemplo de transparencia:
Proporcionando al público la información sobre sus gastos discrecionales. Esto serviría como ejemplo de transparencia para el resto de los actores del sector público. Para llevarlo a cabo se podría proporcionar acceso a la información en el sitio web de la AGN, de manera similar a como la SAI australiana presenta y proporciona la información.
Referencias
[22] AGN (2013), “Strategic Plan 2013-17”, http://oecdshare.oecd.org/gov/sites/govshare/psi/integrity/Shared%20Documents/Integrity%20Review%20of%20Argentina/FFM%20Mission%20Oct%202017/Follow%20up%20material/AGN/AGN%20PEI%202013-2017.pdf (consultado el 22 de noviembre de 2017).
[4] Argentina (2016), National Financial Administration and Public Sector Control Systems Act, http://www.sigen.gob.ar/pdfs/ley24156.pdf (consultado el 4 de septiembre de 2017).
[19] Argentina (1994), “Constitution of the Argentine Nation”, http://www.biblioteca.jus.gov.ar/argentina-constitution.pdf (consultado el 24 de octubre de 2017).
[24] Auditor General of Argentina (s.f.), Government External Control Standards/NORMAS DE CONTROL EXTERNO GUBERNAMENTAL Auditoría General de la Nación, https://www.agn.gov.ar/files/files/5%20NORMAS%20CONTROL%20EXTERNO%20GUBERNAMENTAL.pdf (consultado el 8 de septiembre de 2017).
[20] Australia (1997), Auditor-General Act 1997, https://www.legislation.gov.au/Details/C2016C00685 (consultado el 10 de noviembre de 2017).
[21] Canada (1985), Auditor General Act, http://laws-lois.justice.gc.ca/eng/acts/a-17/ (consultado el 10 de noviembre de 2017).
[10] Department of Finance (2016), “Building risk management capability”, https://www.finance.gov.au/sites/default/files/comcover-information-sheet-building-risk-management-capability.pdf (consultado el 1 de agosto de 2017).
[18] Department of Finance (2015), Audit Committees, https://www.finance.gov.au/resource-management/accountability/audit-committees/ (consultado el 1 de agosto de 2017).
[17] Department of Finance (2015), “Resource Management Guide No. 202: Audit committees for Commonwealth entities and Commonwealth companies”, No. 202, https://www.finance.gov.au/sites/default/files/RMG-202-Audit-committees.pdf?v=1. (consultado el 1 de agosto de 2017).
[5] Institute of Internal Auditors (2013), IIA Position Paper: The Three Lines of Defense in Effective Risk Management and Control, https://na.theiia.org/standards-guidance/Public%20Documents/PP%20The%20Three%20Lines%20of%20Defense%20in%20Effective%20Risk%20Management%20and%20Control.pdf.
[23] INTOSAI (2017), “INTOSAI Strategic Plan 2017-2022”, http://www.intosai.org/fileadmin/downloads/downloads/1_about_us/strategic_plan/EN_INTOSAI_Strategic_Plan_2017_22.pdf (consultado el 22 de noviembre de 2017).
[3] INTOSAI (2010), “Guidelines for Internal Control Standards for the Public Sector”, INTOSAI Guidance for Good Governance, No. GOV 9100, http://www.issai.org/en_us/site-issai/issai-framework/intosai-gov.htm (consultado el 1 de agosto de 2017).
[12] INTOSAI (2010), “Guidelines for Internal Control Standards for the Public Sector”, INTOSAI Guidance for Good Governance, No. GOV 9100, http://www.issai.org/en_us/site-issai/issai-framework/intosai-gov.htm (consultado el 1 de agosto de 2017).
[26] INTOSAI (2007), ISSAI 11 - INTOSAI Guidelines and Good Practices Related to SAI, http://www.issai.org/en_us/site-issai/issai-framework/2-prerequisites-for-thefunctioning-of-sais.htm.
[28] INTOSAI (2007), “Mexico Declaration on SAI Independence”, International Standards of Supreme Audit Institutions (ISSAI), No. 10, INTOSAI Professional Standard Committee Secretariat, Copenhagen, http://www.issai.org.
[27] INTOSAI (1977), “Lima Declaration of Guidelines on Auditing Precepts”, International Standards of Supreme Audit Institutions (ISSAI), No. 1, INTOSAI Professional Standard Committee Secretariat, Copenhagen, http://www.issai.org.
[9] ISO (2009), ISO 31000-2009 Risk Management, https://www.iso.org/iso-31000-risk-management.html.
[30] Manzetti, L. (2014), “Accountability and Corruption in Argentina during the Kirchners’ Era”, Latin American Research Review, Vol. 49/2, https://lasa.international.pitt.edu/LARR/prot/fulltext/vol49no2/49-2_173-196_manzetti.pdf (consultado el 19 de septiembre de 2017).
[29] National Audit Office (2015), Making SAI independence a reality: Some lessons from across the Commonwealth, http://www.intosai.org/fileadmin/downloads/downloads/4_documents/Commonwealth_Making_SAI_independence_a_reality.pdf (consultado el 24 de octubre de 2017).
[11] OCDE (2017), Government at a Glance 2017, OECD Publishing, Paris, http://dx.doi.org/10.1787/gov_glance-2017-en.
[1] OCDE (2017), Recomendación del Consejo de la OCDE sobre Integridad Pública, http://www.oecd.org/gov/ethics/recomendacion-sobre-integridad-es.pdf.
[31] Office of the Auditor General of British Columbia (2014), Follow-Up Report: Updates on the Implementation Of Recommendations from Recent Reports, http://www.bcauditor.com/sites/default/files/publications/2014/report_19/report/OAGBC%20Follow-up%20Report_FINAL.pdf (consultado el 1 de agosto de 2017).
[13] Santiso, C. (2009), The Political Economy of Government Auditing: Financial Governance and the Rule of Law in Latin America and Beyond, Routledge, Abingdon, Oxon, http://www.u4.no/recommended-reading/the-political-economy-of-government-auditing-financial-governance-and-the-rule-of-law-in-latin-america-and-beyond/ (consultado el 23 de octubre de 2017).
[25] Senado Argentina (2017), Joint Parliamentary Committee of Audit webpage, http://www.senado.gov.ar/parlamentario/comisiones/info/100 (consultado el 4 de septiembre de 2017).
[16] SIGEN (2017), 2017 Annual Plan, http://www.sigen.gob.ar/plan-anual.asp (consultado el 7 de septiembre de 2017).
[2] SIGEN (2014), General Internal Control Standards for the National Public Sector/Normas Generales de Control Interno Para el Sector Publico Nacional, SIGEN, http://www.sigen.gob.ar/pdfs/normativa/ngci.pdf (consultado el 4 de septiembre de 2017).
[15] SIGEN (2002), Internal Audit Standards, http://www.sigen.gob.ar/normas-06.asp (consultado el 7 de septiembre de 2017).
[8] Treasury Board of Canada Secretariat (2018), Organizational Structure, https://www.canada.ca/en/treasury-board-secretariat/corporate/organization.html (consultado el 18 de enero de 2018).
[7] Treasury Board of Canada Secretariat (2017), Framework for the Management of Risk, http://www.tbs-sct.gc.ca/pol/doc-eng.aspx?id=19422 (consultado el 17 de enero de 2018).
[6] Treasury Board of Canada Secretariat (2017), Policy on Internal Audit, http://www.tbs-sct.gc.ca/pol/doc-eng.aspx?id=16484 (consultado el 17 de enero de 2018).
[14] United Kingdom Government Internal Audit Agency (2018), About us, https://www.gov.uk/government/organisations/government-internal-audit-agency/about (consultado el 18 de enero de 2018).