Las entidades de fiscalización superior (EFS) suelen ser consumidores de datos que dependen de otras entidades gubernamentales para obtener datos para cumplir con su mandato, lo que se traduce en la necesidad de un amplio rango de conocimientos expertos y experiencia sobre muchos contextos diferentes en el gobierno y una variedad de fuentes de datos. Además, las EFS operan en entornos altamente tecnológicos en los que los datos y los medios para extraer valor de ellos están en constante evolución. En este contexto, tanto el big data como el small data pueden plantear desafíos para las EFS. Los datos y la analítica tienen el potencial de transformar el trabajo de las EFS. Los ejemplos de toda la comunidad de las EFS demuestran el valor que pueden aportar a las auditorías de desempeño, las auditorías de cumplimiento y las auditorías e investigaciones financieras. Además, estudios sugieren que invertir en analítica reduce el fraude. El Informe a las Naciones: Estudio Global 2020 sobre Fraude y Abuso Ocupacional de la Asociación de Examinadores de Fraude Certificados (Association of Certified Fraud Examiners, ACFE) encontró que las organizaciones con "monitoreo y análisis proactivos de datos" tienen un 33 por ciento menos de pérdidas por fraude que aquellas que no lo tienen (ACFE, 2020[1]).

No obstante, los datos por sí solos no tienen un valor intrínseco. Se convierten en un activo solo cuando se aplican de manera efectiva, y esto requiere personas, pensamiento crítico y una mentalidad de aprendizaje, sin mencionar una sólida infraestructura y arquitectura de información y tecnología (TI). Además, como se describe en el Capítulo 1, la consideración por parte de las EFS de varios componentes estratégicos es fundamental, incluido su marco de gobernanza de datos, a fin de aprovechar de manera eficaz los datos y la analítica para evaluar riesgos de integridad. En el caso de la entidad de fiscalización superior de México, la Auditoria Superior de la Federación (ASF), esto incluye mejoras en su estrategia de datos, coordinación y planes de mejora continua, lo que implica la evaluación del resultado de sus esfuerzos. Estas actividades también son relevantes fuera del contexto de integridad. Además de estos elementos, las EFS necesitan la capacidad, el conocimiento experto y la infraestructura para garantizar una inversión eficaz y eficiente del dinero de los contribuyentes en analítica. En entrevistas y talleres con funcionarios de la ASF, el desarrollo de capacidades fue considerado la máxima prioridad para que la organización avance, tanto en términos de análisis de datos como de seguimiento de los resultados. Los funcionarios también reconocieron la necesidad de mejoras en la infraestructura de la ASF y la disponibilidad de herramientas analíticas o nuevas técnicas para analizar datos. Este capítulo explora las formas en que la ASF puede fortalecer algunos de estos aspectos operativos del trabajo con datos y aprovechar la analítica, incluyendo acciones para mejorar la coordinación y las capacidades, optimizar el uso de la analítica para detectar riesgos de integridad y fomentar una cultura centrada en los datos.

Como se describe en el Capítulo 1, la analítica de la ASF y los procesos correspondientes para la gobernanza de datos están descentralizados en diferentes departamentos y equipos. La Auditoría Especial de Cumplimiento Financiero (AECF) y la Dirección General de Auditoría Forense (DGAF), además del propio Laboratorio Forense de la DGAF, son impulsores clave de la capacidad analítica de la ASF. Además, la Auditoría Especial del Gasto Federalizado (AEGF) ha desarrollado su propia capacidad para administrar datos y realizar analítica. La AEGF es responsable de auditar los recursos federales que se transfieren a los estados y municipios. Al igual que la AECF, está formada por Direcciones generales (DG), que tienen sus propios mandatos, estrategias y universos de auditoría. Como se señaló en el Capítulo 1, la ASF introdujo recientemente una nueva Dirección General de Auditoría Forense del Gasto Federalizado (DGAFGF) bajo la AEGF.

La AEGF desarrolló el Sistema de Control, Administración y Fiscalización de los Recursos del Gasto Federalizado (SiCAF). El SiCAF es una plataforma en línea para la administración, gestión, seguimiento y control de obras públicas y adquisiciones en estados y municipios que se financian con recursos federales. Facilita la auditoría de licitaciones, diferentes fases del proceso de contratación y pagos. También contará con mapas georreferenciados de ubicación de obras públicas. Con el SiCAF, la AEGF también tiene como objetivo mejorar la planeación de las auditorías, promover la auditoría en tiempo real y aumentar su cobertura territorial en cuanto a los recursos gastados en los estados y municipios. La AEGF establecerá un equipo permanente para monitorear los proyectos registrados y la calidad de la información y datos ingresados al SiCAF (ASF, 2021[2]).

La pandemia del COVID-19 obligó a la ASF a acelerar la implementación de procesos de auditoría virtual, incluido el SiCAF. La pandemia reveló las vulnerabilidades y limitaciones de la ASF en términos de la capacidad de los auditores para acceder a la información y los sistemas gubernamentales en un entorno remoto. El SiCAF está destinado a abordar estas vulnerabilidades, con el objetivo de permitir que la ASF audite virtualmente el 100 por ciento de las obras públicas, reduciendo así la necesidad de desplegar auditores en todo el país. Además, el SiCAF ayudará a la ASF a mejorar la supervisión en todas las fases del ciclo del proyecto. La AEGF se asoció con INFOTEC, un centro de investigación público mexicano que forma parte del Consejo Nacional de Ciencia y Tecnología (CONACYT) y se especializa en el desarrollo e innovación de productos y servicios tecnológicos. Las siguientes son fuentes de datos clave para que el sistema procese y almacene información desarrollada con INFOTEC, aunque aún no está disponible toda esta información:

• La Tesorería de la Federación (TESOFE), unidad administrativa de la Secretaría de Hacienda y Crédito Público(SHCP) encargada de la gestión financiera de los recursos y valores del Gobierno Federal, lo que incluye: recepción de ingresos, ejecución de pagos con cargo al presupuesto de egresos y administración de los recursos disponibles de la TESOFE. Como se señaló, el acuerdo de intercambio de datos entre la ASF y la TESOFE se canceló en diciembre de 2020 y no se había renovado hasta marzo de 2022.

• La Comisión Nacional Bancaria y de Valores (CNBV), órgano desconcentrado de la SHCP con facultades de autorización, regulación, supervisión y sanción de los diversos sectores y entidades que integran el sistema financiero en México, así como sobre aquellas personas naturales y jurídicas que realicen actividades previstas en las leyes relativas al sistema financiero. Las bases de datos de la CNBV ofrecen nombres de cuentahabientes y datos sobre movimientos de cuentas bancarias. Hasta marzo de 2022, aún no existía un acuerdo de intercambio de datos entre la ASF y la CNBV.

• La Secretaría de Economía (SE), una dependencia a nivel de gabinete responsable de las políticas económicas y la supervisión de la economía, que mantiene una línea directa para que los ciudadanos denuncien sospechas de fraude.

• El Servicio de Administración Tributaria (SAT), que mantiene registros de contribuyentes personas físicas, comprobantes fiscales, información sobre proveedores del gobierno, entre otros datos.

• Datos no estructurados, como informes de auditoría y contratos. Esta información no estaba disponible en el sistema INFOTEC en marzo de 2022.

• Medios en redes sociales (por ejemplo, Twitter, Facebook, Instagram, YouTube y LinkedIn). Esta información no estaba disponible en el sistema INFOTEC en marzo de 2022.

Según funcionarios de la ASF, la AEGF pretende complementar las bases de datos disponibles con información adicional de otras instituciones públicas que sea relevante para la identificación de nuevos casos. También pretende promover la implementación y uso de software y tecnologías que permitan el procesamiento de información no estructurada. Al momento de escribir este informe, la falta de acuerdos de intercambio de datos para bases de datos clave generó demoras para cargar la información en los servidores, como se indicó anteriormente. La Gráfica 2.1 proporciona una ilustración del sistema para procesar y almacenar información desarrollado con INFOTEC.

La AECF desarrolló sus propias capacidades analíticas y un “sistema de inteligencia” para apoyar a los auditores dentro de su departamento, basándose en muchas de las mismas fuentes que el SiCAF. La Dirección General de Auditoría de Tecnologías de Información y Comunicaciones (DGATIC) de la AECF es responsable del procesamiento, almacenamiento y mantenimiento de la información, así como de establecer las políticas para mejorar la calidad de los datos que maneja. Un equipo de tres expertos dentro de la DGATIC gestiona el repositorio central de datos, limpiando los datos a petición de los auditores de otras DG de la AECF, manteniendo la integridad de los datos y estableciendo políticas de datos. El sistema actual incorpora datos de varias fuentes, incluidas fuentes de datos abiertos, las propias bases de datos de la ASF (por ejemplo, datos recopilados sobre contratistas del gobierno), bases de datos de contratos del gobierno y bases de datos de bancos de desarrollo.1

La DGATIC actúa efectivamente como proveedor de servicios de datos para otros equipos de la AECF, pero realiza algo de analítica por su cuenta, como análisis de tendencias o transacciones sospechosas en datos de contratación pública, o análisis de empresas sancionadas. Según funcionarios de la ASF, la AECF también ha estado desarrollando prototipos que le permitirán agregar información no estructurada a su base de datos, aumentar sus capacidades analíticas y construir modelos predictivos para la integración de fuentes no estructuradas y la detección de comportamientos sospechosos. La analítica se descentraliza aún más a otras direcciones generales que tienen los conocimientos expertos en la materia y utilizan herramientas como Excel y ACL para respaldar las auditorías. Los funcionarios de la DGATIC describieron los planes futuros para que la AECF amplíe sus sistemas de inteligencia hacia un sistema más integrado basado en la nube que aproveche otras fuentes de datos, técnicas analíticas y productos (por ejemplo, visualizaciones y perfiles de riesgo). Al igual que el SiCAF, este sistema mejoraría la forma en que la ASF realiza aprendizaje automático (machine learning) y análisis de redes. La Gráfica 2.2 es la propia ilustración de la ASF de los planes de la AECF para un nuevo sistema de inteligencia, que reúne datos estructurados y no estructurados, incluidas varias formas de datos administrativos, en "catálogos maestros" de datos que en última instancia pueden ser utilizados por los auditores.

La ASF puede acceder a bases de datos de otras entidades del gobierno mexicano, según las leyes nacionales, pero esta autoridad tiene sus límites.2 En particular, la ASF no tiene la autoridad para acceder a la Plataforma México, que es administrada por la Secretaría de Seguridad y Protección Ciudadana e incluye una serie de bases de datos que consisten en registros policiales, antecedentes penales, datos biométricos, registros penitenciarios y registros vehiculares, entre otros datos. Los funcionarios de la ASF dijeron que están trabajando para abordar los problemas de acceso, incluidas las limitaciones relativas a otras fuentes de datos, pero que a menudo están restringidos debido a disposiciones de confidencialidad y seguridad nacional. La ASF también está explorando posibilidades para adquirir licencias de bases de datos adicionales.

Existen numerosas vías para que la AECF y la AEGF mejoren su coordinación, basándose en la comunicación existente como fundamento, como se muestra en el Cuadro 2.1. La coordinación es un proceso iterativo y puede variar según el objetivo. Como se muestra en el cuadro a continuación, un mayor grado de coordinación requiere un mayor nivel de compromiso institucional por parte, en particular, de la alta dirección y el personal de la AECF y la AEGF, ya que son los responsables de gran parte de las capacidades analíticas básicas de la ASF. Dado su mandato institucional y su papel actual en la conducción de los programas de trabajo para la transformación digital de la ASF, la Unidad de Normatividad y Enlace Legislativo (UNEL) tendría un papel clave que desempeñar.

En entrevistas con funcionarios de la ASF, la AECF y la AEGF dijeron conocer las iniciativas respectivas los unos de los otros; sin embargo, la coordinación sustantiva sobre políticas y prácticas comunes o el desarrollo de herramientas siguen siendo limitadas. Por ejemplo, cada departamento realiza de forma independiente actividades relacionadas con la gestión de datos, la analítica y la planeación estratégica. Además, la AEGF y la AECF, junto con sus respectivas DG, tienen su propio conjunto de políticas y procesos de gestión de datos para sus auditorías, algunos de los cuales incluyen bases de datos con la misma estructura, incluso si los campos de datos tienen información diferente. La coordinación se produce principalmente dentro de las auditorías especiales entre las DG, con coordinación y cooperación limitadas entre la AECF y la AEGF respecto a sus esfuerzos de datos y analítica. Según los funcionarios de la ASF, parte del problema con respecto al intercambio de datos es que las normas prohíben que un equipo acceda a la información del otro. La coordinación y cooperación insuficientes entre la AECF y la AEGF, en particular, aumenta el riesgo de ineficiencias.

En cuanto al espectro de coordinación descrito anteriormente, hay varias formas en que la ASF pueda mejorar la coordinación interna para mejorar su analítica y la gestión de datos subyacente. Según los talleres con funcionarios de la ASF, la intensidad actual de la coordinación es baja y refleja principalmente el extremo del espectro en cuanto a "comunicación", lo que incluye hacer presentaciones sobre las iniciativas respectivas y la participación en comités generales de la institución. El desarrollo de un plan de acción para analítica proporcionaría un vehículo constructivo para avanzar en la coordinación más allá de la comunicación básica, hacia la acción y la toma de decisiones integradas. Además, varias de las fuentes del sistema de inteligencia de la AECF parecen superponerse con el SiCAF de la AEGF, incluyendo datos del SAT, SHCP, SE y TESOFE. Una revisión conjunta del alcance de la superposición, considerando que estas entidades tienen diferentes bases de datos, podría brindar garantías de que no haya esfuerzos duplicados, en particular en términos de procesamiento de datos. Esta fase, que puede implicar una extensa limpieza de datos, suele ser la que requiere más recursos, mientras que la analítica real representa un porcentaje menor del tiempo requerido de los auditores y los expertos en datos. La Gráfica 2.3 ilustra un proceso general para lo que comúnmente se conoce como "analítica de datos", que a menudo se centra más en procesar los "datos" que en hacer la "analítica". Finalmente, según los funcionarios de la AECF, muchas de las bases de datos de código abierto a su disposición no son útiles, porque la calidad de los datos es deficiente. Como resultado, prefieren organizar el acceso directo a los datos con la autoridad pertinente. La coordinación interna mejorada dentro de la ASF también tiene el potencial de reducir la carga sobre los propietarios de datos y los auditados en la medida en que existe el riesgo de que varios equipos de la ASF soliciten los mismos datos.

En entrevistas con la OCDE, los funcionarios de la DGATIC y la DGAF señalaron que sería útil poder compartir sistemas y desarrollos para facilitar una mejor coordinación dentro de la ASF. En la situación actual, la DGATIC y la DGAF tienen un conocimiento limitado de las bases de datos que utiliza la AEGF, dijeron los funcionarios, y reconocieron la posibilidad de que la AEGF pudiera estar utilizando una base de datos que ayudaría en su trabajo y viceversa. Aunque, por ley, la AEGF y la AECF no pueden acceder a las bases de datos el uno del otro y tienen diferentes entes auditados, muchas de las bases de datos que utilizan comparten estructuras similares, como se ha señalado. Además, la introducción de un nuevo equipo forense dentro de la AEGF (la Dirección General de Auditoría Forense del Gasto Federalizado) sugiere la posibilidad de seguir creando silos de actividades forenses a nivel de auditorías especiales. Este desarrollo presenta oportunidades, así como riesgos, en términos de intercambio de datos o la falta de ello. La ASF podría considerar un piloto de intercambio de datos con un objetivo discreto como un medio eficiente y simple para probar la colaboración. En la Gráfica 2.4 se muestran las fases de un piloto de datos centrado en el intercambio de datos para detectar riesgos de fraude, que podría incluir no solo a equipos de la ASF, sino también a partes interesadas y propietarios de datos externos a la ASF, como los miembros del SNAC, como se describe en la sección anterior.

Cada una de estas fases se divide en una serie de pasos para completar un piloto de intercambio de datos. En la primera fase, un paso crítico para la ASF, hay consideraciones sobre si el piloto involucra a socios internos o externos, así como preocupaciones de privacidad y seguridad de las fuentes de datos relevantes. En general, la ASF se adhiere a una ley sobre privacidad en México, la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados. La ley rige las fuentes de datos a las que puede acceder la ASF, y sus funcionarios reciben capacitaciones y certificaciones obligatorias para garantizar que comprendan los requisitos. Dado su mandato, la ASF tiene una amplia autoridad para acceder a los datos de todo el gobierno directamente desde la administración, con la excepción de fuentes de datos específicas. Existen restricciones legales para el intercambio de algunos datos (por ejemplo, datos del censo, datos relacionados con intereses de seguridad nacional y datos del sector privado). Sin embargo, como lo ilustra la experiencia de la PDN y las limitaciones que ha enfrentado, podrían quedar otros desafíos que un piloto de intercambio de datos ayudaría a descubrir:

• Cultural: esto podría expresarse como "nosotros no compartimos datos".

• Apetito de riesgo: esto podría expresarse como "es demasiado arriesgado compartir nuestros datos".

• Familiaridad: esto podría expresarse como "nunca lo hemos hecho antes, no sabríamos por dónde empezar".

• Capacidad: esto podría expresarse como "no tenemos la experiencia técnica o legal que necesitaríamos".

• Recursos: esto podría expresarse como "no tenemos suficientes recursos que dedicar a un proyecto de intercambio de datos" (Commonwealth Fraud Prevention Centre, Gobierno de Australia, 2020[6]).

Un piloto de intercambio de datos podría ayudar a identificar primero y luego abordar estos desafíos de manera constructiva e incremental, utilizando menos recursos para poner a prueba los conceptos, antes de que la ASF se comprometa con formas de colaboración más sostenidas, como un acuerdo de intercambio de datos automatizado. Incluso si las partes interesadas deciden no seguir adelante después de la prueba piloto, el proceso en sí mismo puede proporcionar información para mejorar la calidad de los datos y, en última instancia, mejorar la detección del fraude. Por ejemplo, compartir información sobre fuentes de datos y, si corresponde, compartir responsabilidades para la gestión y la limpieza de datos y otras actividades comunes podría ayudar a romper o prevenir silos al nivel del auditor. El piloto puede facilitar canales informales para que los auditores colaboren en temas de calidad de datos, así como compartiendo diccionarios de datos, metodologías y técnicas utilizadas, codificación e incluso análisis en la medida en que sean pertinentes.

Mejorar la coordinación interna entre las auditorías especiales existentes y las DG es un paso crítico, pero insuficiente, para que la ASF cumpla con sus propios planes para desarrollar los sistemas de TI antes mencionados, así como para avanzar en su programa de trabajo para la transformación digital. Además, los mecanismos de coordinación existentes con respecto a la gestión de datos y la analítica de la ASF son en gran medida ad hoc y, como se señaló, se centran mayormente en la comunicación entre las respectivas auditorías especiales y DG. Como mínimo, la ASF podría establecer un grupo multifuncional para formalizar la comunicación ad hoc actual y promover el intercambio constante de conocimientos, experiencia y datos entre auditorías especiales y DG. El Centro de Competencia de Análisis de Datos del Tribunal de Cuentas italiano (Corte dei Conti, CdC) ofrece un ejemplo de este modelo. El Recuadro 2.1 ilustra otros modelos de las EFS del Reino Unido y Turquía, las cuales han reconocido la necesidad de entidades dedicadas con apoyo y responsabilidades en toda la institución para mejorar los procesos de datos y la analítica.

Los ejemplos del Recuadro 2.1 y la experiencia de otras EFS sugieren que el grado de formalidad del grupo (por ejemplo, grupo de trabajo, comunidad de práctica o unidad) y su lugar en la jerarquía de la ASF pueden variar en función de factores estratégicos e institucionales, incluida la evolución de las capacidades actuales en analítica de la ASF. La descentralización de las funciones analíticas, como sucede en la ASF, tiene beneficios. Por ejemplo, permite que los equipos desarrollen conocimientos expertos en torno a bases de datos y metodologías específicas que son más relevantes para su universo de auditoría. En el contexto de la realización de evaluaciones de riesgos de integridad, los auditores que conocen los procesos de negocio de los auditados pueden tener una visión más precisa sobre las vulnerabilidades en los sistemas de control interno y las fuentes de posibles riesgos de integridad. La centralización de funciones de analítica o gestión de datos no podría reemplazar este tipo de conocimiento que se acumula con el tiempo.

Como se describe en la siguiente sección, una evaluación formal de las capacidades de datos ayudaría a la ASF a enfocarse más en los problemas clave y priorizar los próximos pasos; sin embargo, los aportes de los funcionarios de la ASF ya sugieren que existen brechas de capacidades en todos los niveles de la organización, a pesar de que ASF ha llevado a cabo capacitaciones sobre big data para un pequeño grupo de auditores. Una comunidad de práctica que opera como una red para el intercambio de información y conocimientos sería un comienzo conservador. Sin embargo, hay otras formas en que la ASF puede ir más allá de la comunicación como una forma de colaboración para mejorar el uso de datos y la analítica. Por ejemplo, un modelo sería que la ASF creara un servicio centralizado de datos o una función de analítica que se centraría en áreas transversales específicas de los procesos analíticos de la ASF, dejando el análisis a los equipos. Este modelo sería similar al del Reino Unido de tener un Servicio de Datos y el Centro de Métodos, Economía y Estadísticas, que apoya a los auditores con capacitación en analítica. En cierta medida, este enfoque también refleja lo que la AECF ya está haciendo a nivel departamental. Independientemente del modelo, dada la naturaleza transversal de los datos y la analítica de la ASF y su relevancia para los objetivos de toda la institución, es probable que, para ser eficaz, un grupo deba estar por encima del nivel de una DG y tener líneas directas de reporte a los mandos superiores. Podría representar un área transversal de las funciones técnicas y estratégicas existentes de la ASF para diferenciarla de los equipos establecidos, como la UNEL y las auditorías especiales (es decir, la AEGF y la AECF).

La ASF también podría considerar establecer un rol formal, como un director de datos (Chief Data Officer, CDO) o un director de tecnología (Chief Technology Officer, CTO), para actuar como administrador de las políticas y procesos de datos de toda la institución. El título preciso es menos importante que la definición de las tareas y la posición dentro de la jerarquía de la ASF. En la estructura organizacional actual, la UNEL existe para brindar asesoría, planeación y coordinación de alto nivel sobre las estrategias de la ASF para implementar políticas y sistemas de TI. Si bien esta unidad proporciona "gobernanza política", no está diseñada para asumir la gobernanza de datos operativa que afecta el éxito diario del uso de datos, analítica o nuevas tecnologías por parte de la ASF3, que podrían concebirse como las funciones de un CDO o un CTO. Por ejemplo, los CTO pueden ayudar a los líderes organizacionales a navegar por diferentes opciones tecnológicas, como aclarar opciones específicas, compensaciones e implicaciones, a medida que estas consideraciones aumentan en número y complejidad (OECD, 2020[9]). El CDO puede actuar como un guardián general de los datos, responsable de todos los activos de información de la ASF, incluidos los procesos relacionados con la generación de datos y el aseguramiento de su calidad y seguridad (Stockpoll, 2021[10]). En algunas EFS, un Laboratorio de Innovación cumple algunas de estas funciones, como se describe en la sección sobre experimentación.

El papel del CDO o CTO no siempre lo ocupa la misma persona. Sin embargo, la entidad requiere autoridad y autonomía para brindar visión y visibilidad en toda la ASF, así como autoridad para realizar inversiones estratégicas en arquitectura, software y herramientas para abordar las necesidades y prioridades de toda la institución. Una línea directa de reporte al Auditor Superior facilitaría este rol. El individuo no necesariamente tiene que tener una formación técnica en auditoría, pero tendría una base en gestión de datos y nuevas tecnologías para desempeñar un papel operativo dentro de la ASF. La Oficina del Contralor y Auditor General de la India describe una función similar para su Centro para la Gestión de Datos y Analítica (Centre for Data Management and Analytics, CDMA) de la siguiente manera:

El CDMA desempeñará un papel de asesoramiento y apoyo para el uso general de analítica de datos...El CDMA facilitará a través del desarrollo de capacidades, la recopilación de datos de terceros a nivel central, la identificación de nuevo software, la evaluación de la aplicabilidad de diferentes técnicas analíticas/modelos analíticos y su difusión en auditoría interna. El CDMA brindará soporte técnico a las oficinas de campo en sus esfuerzos de análisis de datos cuando sea necesario. Los modelos de analítica de datos serán examinados y aprobados por el CDMA, en consulta con las alas funcionales en la sede (Office of the Comptroller and Auditor General of India, 2017[11]).

La contratación de un CDO, CTO o de científicos de datos no se traduce automáticamente en la capacidad de extraer valor de los datos o aprovechar la analítica para mejorar la detección de riesgos de integridad. La transformación digital desde una perspectiva operativa se basa en un equipo de personas que aportan la combinación adecuada de habilidades y conocimientos. Como se dijo antes, esto incluye a personas con conocimientos expertos sobre fraude y corrupción en la medida en que el objetivo de la función analítica sea mejorar la detección de estos riesgos. Dado el rápido ritmo al que evolucionan las prácticas de detección de fraude, las funciones de las instituciones de auditoría están cambiando más allá de las auditorías convencionales, especialmente como resultado de la pandemia del COVID-19. La incorporación de personas con una sólida comprensión de los datos y la analítica es fundamental, pero muchas EFS han recurrido a modelos de co-contratación, contratación o subcontratación, que pueden proporcionar conocimientos expertos adicionales al departamento o sus proyectos. Independientemente del enfoque, la ASF puede mejorar la funcionalidad transversal de sus equipos al tiempo que desarrolla aún más sus capacidades para usar datos, analítica y nuevas tecnologías. La Gráfica 2.5 ilustra los elementos clave de un equipo transversal desde la perspectiva del Tribunal de Cuentas Europeo.

Las propuestas de acción anteriores reflejan algunas de las prioridades clave para que la ASF mejore su enfoque actual hacia la gestión de datos y la analítica, con base principalmente en las respuestas a un cuestionario, así como en entrevistas y talleres con funcionarios de la ASF. Estos insumos ofrecen un punto de partida útil; sin embargo, se centraron en la analítica dirigida por departamentos seleccionados y, por diseño, no tenían la intención de cubrir el amplio alcance de los problemas que enfrenta la ASF con respecto a los datos y la analítica. La ASF podría tomar medidas adicionales para profundizar en sus desafíos de capacidades internas en todos los departamentos y equipos, incluyendo una evaluación de las brechas de capacidades en toda la institución. De acuerdo con el Manual de Gestión Estratégica para las EFS de la Iniciativa de Desarrollo de la Organización Internacional de Entidades Fiscalizadoras Superiores (INTOSAI), las evaluaciones pueden llevarse a cabo como un paso en el desarrollo de estrategias, de modo que las brechas de capacidades se determinen en relación con los objetivos y productos definidos (INTOSAI, 2020[13]). Por ejemplo, la ASF podría comenzar con sus objetivos para mejorar el uso de datos y analítica en sus auditorías e investigaciones y abordando los problemas de gobernanza de datos operativa, como se describe anteriormente. El vínculo con objetivos concretos ayudará a la ASF a matizar la evaluación para que apunte a las brechas que sean relevantes para lo que la ASF quiere hacer en el futuro, al tiempo que reconoce la diversidad de necesidades en toda la organización. Como se dijo antes, las capacidades analíticas actuales de la ASF están altamente descentralizadas y operan en silos, por lo que cualquier evaluación de capacidades necesitaría una administración de alto nivel para garantizar la colaboración entre las áreas, particularmente la AECF y la AEGF.

Existen numerosos marcos disponibles para ayudar a la ASF a realizar una evaluación de sus capacidades internas de datos y analítica. Las evaluaciones eficaces mapean los elementos clave de la gobernanza de datos, en particular las capacidades para una implementación coherente, como se describe en el Capítulo 1. Las evaluaciones a menudo brindan una visión holística de las brechas y fortalezas como base para establecer prioridades de desarrollo. En Nueva Zelanda, el gobierno desarrolló un marco de capacidad de datos que define 25 capacidades para el uso efectivo de datos, basado en siete categorías del ciclo de vida de los datos (véase la Gráfica 2.6). La ASF podría hacer referencia a este marco como una plantilla para identificar posibles áreas de mejora con respecto a la planeación estratégica, el desarrollo del desempeño, el reclutamiento y la incorporación (Gobierno de Nueva Zelanda, 2020[14]).

La evaluación de las capacidades de datos de Nueva Zelanda se centra preferentemente en la amplitud más que en la profundidad, pero no necesariamente ofrecerá una mayor comprensión de las causas fundamentales de esos desafíos. Para obtener una imagen más completa y matizada, la ASF podría realizar un análisis de causa raíz que brindaría más información, no solo sobre los desafíos técnicos que enfrentan los auditores, sino también sobre los elementos humanos y culturales que influyen en la capacidad de la ASF para adoptar la analítica y cumplir con objetivos más amplios de transformación digital. Como parte de este análisis, la ASF también podría analizar los desafíos específicos que enfrentan los equipos y procesos individuales, incluidos los relacionados con la aplicación de la analítica para detectar irregularidades y riesgos de integridad.

Las EFS utilizan el análisis de causa raíz para sus propias auditorías en un esfuerzo por ir más allá de la identificación de deficiencias y comprender los desafíos y las características clave de un problema. Por ejemplo, el Auditor General de Sudáfrica en su Informe General Consolidado sobre los Resultados de las Auditorías Nacionales y Provinciales, brinda una descripción general de cómo los entes auditados han abordado las causas raíz de los hallazgos de auditoría (Auditor General South Africa, 2020[15]). Además, la Iniciativa de Desarrollo de la INTOSAI, una organización sin fines de lucro que apoya a las EFS para mejorar su desempeño y capacidades, promueve el uso del análisis de causa raíz en sus manuales de implementación de las Normas Internacionales de las Entidades Fiscalizadoras Superiores (ISSAI) para las auditorías de desempeño y cumplimiento, y proporciona orientación sobre diferentes enfoques.4 El Recuadro 2.2 ofrece información adicional y un recurso para realizar análisis de causa raíz de la Fundación Canadiense de Auditoría y Rendición de Cuentas (Canadian Audit and Accountability Foundation). Estas referencias podrían ayudar a la ASF a aplicar un análisis de causa raíz internamente para obtener una comprensión más completa de sus desafíos de capacidades para usar datos y analítica. Este análisis puede complementar las propuestas de acción del Capítulo 1 para mejorar el enfoque estratégico en analítica de la ASF y crear un plan de acción, con monitoreo del desempeño, de modo que la evaluación adicional de los problemas de capacidades y recursos esté vinculada a los objetivos reales de toda la institución.

Muchas de las consideraciones estratégicas y las prioridades operativas expuestas anteriormente, si bien tienen implicaciones más amplias para la transformación digital de la ASF, influyen en su capacidad para aprovechar los datos en la detección de riesgos de integridad. Las respuestas de los funcionarios de la ASF en cuestionarios y entrevistas destacaron varias prioridades específicas para mejorar las herramientas y los procesos existentes para aplicar analítica para la detección de riesgos de integridad, incluido el desarrollo de un tablero de riesgos para mejorar la forma en que la ASF rastrea, visualiza y comunica los riesgos en toda la organización. Según los funcionarios de la ASF, si bien los sistemas previstos por la AEGF y la AECF incorporan tableros, la ASF aún tiene que elaborar un tablero para respaldar la analítica de riesgos de irregularidades. Las EFS han utilizado durante mucho tiempo tableros para respaldar la identificación y el seguimiento de riesgos. El desarrollo de un tablero, que incorpore información y datos de la DGAF en particular, sería un enfoque de bajo costo y alto rendimiento para facilitar el intercambio de datos de riesgos y los análisis de los auditores.

Como se señaló en entrevistas con funcionarios de la ASF, como parte de la AECF, la DGAF y el Laboratorio Forense apoyan a otros equipos en la identificación de irregularidades y posibles fraudes, y mantienen un registro de riesgos con banderas rojas. El registro es efectivamente una base de datos para cargar hallazgos e información correspondiente a auditorías específicas con una explicación de la irregularidad detectada. Incluye una breve descripción de la evidencia de la irregularidad o el posible fraude. Actualmente, la información de riesgo se comunica ad hoc durante reuniones entre un grupo de DG y equipos de trabajo relevantes. Las reuniones cubren una variedad de temas, incluidas las banderas rojas. Los riesgos también se comparten en toda la organización en el contexto de auditorías específicas. Por ejemplo, las DG pueden detectar una irregularidad durante el curso de sus auditorías, en cuyo caso involucran a la DGAF para realizar análisis o investigaciones forenses, según sea necesario. Entre otras bases de datos a su disposición, los funcionarios dijeron que la DGAF también está desarrollando una base de datos que incluye a las empresas señaladas por irregularidades en auditorías anteriores, como un recurso para que futuros equipos de auditoría identifiquen problemas pasados.

Como se expuso en reuniones con la OCDE, los funcionarios de la DGAF señalaron que el uso del registro y la base de datos informal de riesgos podría mejorarse, por ejemplo, mediante el análisis de tendencias y patrones de riesgos en los datos. Un tablero de riesgos ofrece un medio para difundir dichos análisis, al tiempo que permite a los propios auditores acceder y explorar la información que la DGAF mantiene para respaldar las auditorías. Además, el uso de tableros puede ser útil para el monitoreo continuo y proporcionar a los auditores herramientas listas para usar o automatizadas para realizar análisis y priorizar riesgos. Las visualizaciones incorporadas en los tableros también pueden ayudar a los auditores a analizar conjuntos de datos completos en busca de valores atípicos y posibles irregularidades. Los nuevos sistemas de la AEGF y la AECF contemplan tales funcionalidades. El Recuadro 2.3 muestra cómo el Tribunal de Cuentas de Turquía hizo uso de tableros de riesgos y análisis de tendencias automatizados para respaldar su programación de auditoría anual.

Además, la experiencia de la Oficina Nacional de Auditoría (NAO) del Reino Unido demuestra que invertir en tableros y herramientas listas para usarse para los auditores también puede tener beneficios en la elaboración de informes. El Servicio de Datos de la NAO ha desarrollado varias herramientas para sus auditores, como la extracción de datos web (web-scraping) de informes de inspección para recopilar datos sobre el financiamiento escolar o para evaluar la legibilidad de la orientación fiscal, que automatizan las fases del proceso analítico. Esto permite a los auditores dedicar más tiempo a analizar información y datos, y menos tiempo a recopilarlos. Las visualizaciones que se ofrecen en el tablero de la NAO no solo respaldan los análisis, sino que también se pueden integrar en informes para llamar la atención sobre problemas y respaldar mensajes clave. Algunas visualizaciones pueden atraer tanta atención como el propio informe (Oficina Nacional de Auditoría del Reino Unido, 2018[17]).

Al concluir sus auditorías, la DGAF expone su “determinación de los hechos” al auditado, que tiene 30 días hábiles para resolver los hallazgos antes de que la ASF emita un informe o presente una denuncia ante la Fiscalía General de la República (FGR). Solo en los casos en que está claro que se ha cometido un delito, la ASF puede emitir un informe a las autoridades pertinentes, antes de que finalice dicho período de 30 días. Si la DGAF identifica indicios de fraude o corrupción, de conformidad con la Ley de Fiscalización y Rendición de Cuentas de la Federación y en cumplimiento de las normas internas de la ASF, debe elaborar informes técnicos, los cuales son enviados a la Unidad de Asuntos Jurídicos para la remisión a las autoridades pertinentes. La DGAF cuenta con la coordinación con la Auditoría Especial de Seguimiento, Informes e Investigación (AESII) y la AECF para el seguimiento de las auditorías, ya que su competencia termina con la emisión de sus conclusiones.5

El seguimiento es una fase fundamental del proceso de auditoría, reflejado en varios estándares y guías de la INTOSAI.6 Las EFS pueden evaluar el impacto de diferentes maneras, incluida la evaluación del impacto y la adopción de sus recomendaciones por parte de los entes auditados (EUROSAI, 2019[18]). La ASF institucionalizó un mecanismo de seguimiento en la AESII; sin embargo, según los funcionarios, el equipo no cuenta con suficientes recursos y el seguimiento puede ser prolongado. Conocer el estado y el resultado de las auditorías es un paso crítico en el ciclo de retroalimentación para la DGAF y otras DG. Por ejemplo, los ciclos de retroalimentación, es decir, el conocer los resultados de las auditorías y cómo los hallazgos de la DGAF respaldaron los resultados, fungen como un control para las propias funciones analíticas de la DGAF y del Laboratorio Forense. La DGAF puede afinar sus metodologías y analítica forenses en función de los resultados finales de las auditorías y de si los hallazgos llevaron a acciones concretas. La optimización de metodologías ayuda a reducir los falsos positivos y los falsos negativos, y mejora la lógica que subyace a los algoritmos e indicadores para la detección de irregularidades.

Mejorar la gestión, el procesamiento y el análisis de datos no estructurados se ha convertido en una prioridad clave para muchas EFS para mejorar su analítica en la era digital. Según algunas estimaciones, incluido un estudio de 2016 sobre minería de textos, los datos no estructurados o semiestructurados representan más del 80% de todos los datos (Talib et al., 2016[19]). Los datos no estructurados y semiestructurados representan grandes cantidades de big data y serán un desafío constante para la ASF en el futuro. Tanto la AEGF como la AECF prevén mejoras en los próximos años en términos de arquitectura, metodologías y herramientas de la ASF (por ejemplo, aprendizaje automático o machine learning) para analizar mejor el big data. En las entrevistas, los funcionarios de la ASF enfatizaron la necesidad de desarrollar capacidades para lograr sus ambiciosos objetivos en esta área, lo que necesariamente requerirá mejoras en la forma en que la ASF administra, procesa y analiza datos no estructurados y semiestructurados.7 También destacaron la necesidad de mejorar las capacidades de gestión y análisis de datos no estructurados como una de sus principales prioridades en los próximos años.

Otras iniciativas tienen el potencial de conducir a la recopilación sistemática de más datos no estructurados que los que la ASF ha tenido que gestionar en el pasado. Por ejemplo, la ASF estableció recientemente un Buzón Digital para mejorar la comunicación bilateral entre auditores y entes auditados. Esta plataforma permite que la ASF y las entidades auditadas gestionen el proceso de auditoría de forma electrónica, como por ejemplo mediante el envío de solicitudes y certificación de documentos. También facilitará la presentación de documentos para las auditorías por parte de los entes auditados, permitiendo que la ASF recopile archivos de texto y evidencias de apoyo para la auditoría más fácilmente que nunca en el pasado. Además, como se señaló, la ASF también ha desarrollado prototipos para agregar información no estructurada a las bases de datos existentes, lo que a su vez ayudaría a construir modelos predictivos, detectar comportamientos sospechosos y aumentar las capacidades analíticas.

La sistematización y digitalización de este proceso facilita la auditoría y promueve la eficiencia, especialmente en un entorno remoto, pero conlleva riesgos. Un riesgo es que los entes auditados presenten más documentos, incluso si son irrelevantes para la auditoría, lo que podría abrumar al equipo de auditoría a menos que cuenten con las herramientas y habilidades adecuadas para analizar el texto rápidamente. La minería de textos y otras técnicas analíticas pueden ser útiles en tales situaciones, según los objetivos de la auditoría y el formato de la evidencia presentada. Hay varios ejemplos de EFS que han progresado en los últimos años en su capacidad para procesar y analizar datos no estructurados. Muchas de estas iniciativas se enfocan en un tipo de técnica analítica y es común ver ejemplos que se concentran en datos de texto. Por ejemplo, la EFS de Alemania, el Bundesrechnungshof, analizó la manera en que las entidades del gobierno federal se comunican con el público y su impacto en la percepción pública y la legibilidad de los mensajes. Para hacer esto, la EFS exploró el uso de varias técnicas analíticas, incluida la extracción de datos web, la minería de textos, el procesamiento del lenguaje natural y el análisis de sentimientos de fuentes disponibles públicamente (por ejemplo, comunicados de prensa, publicaciones en redes sociales y artículos noticiosos) (EUROSAI, 2021[20]).

Se pueden utilizar procesos similares en el contexto de la evaluación de riesgos de corrupción en la infraestructura. Por ejemplo, una secretaría sectorial podría evaluar los riesgos internos de fraude o corrupción analizando correos electrónicos o redes sociales para identificar señales de alerta, como palabras clave o evidencia de que los funcionarios de contratación gastan más allá de sus posibilidades. Para maximizar el valor de la analítica de textos, las entidades pueden usar el triángulo del fraude como referencia para desarrollar una lista de palabras clave basadas en la industria, los riesgos de fraude relevantes y el conjunto de datos (OCDE, 2019[21]). El análisis de redes sociales también se aplica comúnmente a datos no estructurados relacionados con la infraestructura y la contratación pública para identificar colusión entre los actores en el ciclo de contratación. La aplicación del análisis de redes en este contexto puede ayudar a generar señales de alerta e identificar riesgos de corrupción. Además, las visualizaciones de datos se pueden utilizar para presentar los resultados del análisis de redes para identificar "puntos relevantes" de actividad fraudulenta potencial.

La ASF podría desarrollar aún más sus propias capacidades para analizar datos no estructurados y semiestructurados, basándose en las iniciativas actuales. La Gráfica 2.10 proporciona un marco más amplio para que la ASF lo tenga en cuenta al pensar en un enfoque estratégico para datos no estructurados/semiestructurados que va más allá del análisis de textos y da cuenta de los diferentes tipos de fuentes de datos no estructurados que encuentra, incluidos audio, imágenes y videos. Más allá de los datos de textos, el marco podría ser útil para la DGAF y los equipos que recopilan otros tipos de datos no estructurados y semiestructurados.

Las diversas técnicas analíticas y de procesamiento descritas en la gráfica anterior están fuera del alcance de este informe; sin embargo, la diversidad de técnicas y sus herramientas subyacentes resaltan la necesidad de que la ASF considere estratégicamente cómo abordar los datos no estructurados. Como se señaló anteriormente, esto comienza con la definición de objetivos y prioridades claros de los auditores, mientras se desarrollan capacidades basadas en una evaluación adicional de las brechas de capacidades. Muchos de los análisis descritos son los que la ASF, en particular la DGAF, puede ya estar realizando. Sin embargo, como se muestra en la Gráfica 2.10, el proceso de integración de hallazgos y resultados del análisis de datos no estructurados en los sistemas tradicionales de la ASF, así como en tableros de referencia para los auditores, sigue siendo en gran medida una ambición para el trabajo futuro.

Introducir nuevos sistemas o herramientas es insuficiente; desarrollar habilidades, motivación e interés en los enfoques analíticos es vital para sostener futuras iniciativas analíticas. Las prácticas líderes de otras EFS destacan constantemente el desarrollo de las habilidades y capacidades de los auditores como un facilitador clave de la transformación digital. Por ejemplo, la madurez de la Oficina Nacional de Auditoría de Finlandia (NAOF) en términos de datos y analítica refleja el propio camino de la ASF, a medida que avanza con su programa de trabajo para la transformación digital y actualiza su arquitectura y herramientas para apoyar mejor a los auditores. Los funcionarios de la NAOF describieron la próxima fase de su transformación digital como una en la que los datos y la analítica se vuelven más sistematizados e integrados en el trabajo de auditoría de la NAOF. En conversaciones con la OCDE y la ASF, los funcionarios de la NAOF destacaron a las personas, las habilidades y la cultura organizacional como facilitadores clave en su viaje digital. Los funcionarios también enfatizaron la necesidad de centrarse en crear una cultura y modelos para el desarrollo continuo de procesos, impulsados por la experiencia en auditoría, la disponibilidad de datos y las oportunidades de las nuevas tecnologías (Kärki and Saarteinen, 2020[23]).

La habilidad de gestionar datos a menudo se destaca como un requisito clave del conjunto de habilidades de los auditores modernos, tal como se describe, y está en la mira de las capacitaciones, talleres y orientación para las EFS. Si bien es fundamental, la alfabetización de datos (la capacidad de leer, interpretar, crear y comunicar datos como información (OCDE, 2020[24]) es solo un componente de un conjunto más amplio de competencias en las que la ASF podría centrarse para desarrollar su fuerza laboral a fin de satisfacer las demandas de auditoría en la era digital. Además de la alfabetización de datos, la ASF podría promover el desarrollo de habilidades digitales, definidas como la gama más amplia de habilidades para usar dispositivos digitales, aplicaciones de comunicación y redes para acceder y administrar información. Para los auditores, estas habilidades incluyen una comprensión del software, las herramientas y los datos (OCDE, 2020[24]).

La distinción entre la alfabetización de datos y el contar con habilidades digitales refleja la noción de que los auditores tienen diferentes especialidades y requieren diferentes niveles de especialización cuando se trata de administrar y usar datos; sin embargo, todos los auditores pueden beneficiarse de tener una comprensión y fluidez con una variedad de herramientas y tecnologías digitales que son fundamentales para la profesión de auditoría moderna. Los auditores con habilidades digitales conocen los datos, pero también están equipados para hacer preguntas estratégicas, comprender las limitaciones de las técnicas y herramientas y mantener expectativas realistas sobre el tiempo y los recursos al planear el uso de los datos y decidir sobre las compensaciones metodológicas. Al momento de redactar este informe, los funcionarios dijeron que la ASF había capacitado a 50 auditores en el uso de big data, pero sin dar más detalles sobre el contenido o el público objetivo de las capacitaciones.

No obstante, al pensar en las competencias necesarias para sus auditores, la ASF podría inspirarse en el Marco de Competencias Digitales de la Unión Europea (DigComp), que es una herramienta para mejorar la competencia digital de los ciudadanos. En su informe, Creación de capacidades y habilidades de la fuerza laboral digital para la ciencia intensiva en datos, la OCDE evaluó la relevancia y la adecuación de DigComp para la comunidad científica académica. Como un tipo de evaluador, los auditores externos del sector público comparten muchos de los mismos requisitos que los académicos en términos de competencias digitales. Además, la ASF podría seguir muchos de los mismos principios de la comunidad científica reflejados a continuación, incluida la promoción de la transparencia y el liderazgo con el ejemplo (es decir, protegiendo la propia reputación). Los criterios a continuación, que incluyen tanto las adiciones de la OCDE al marco original de DigComp como elementos del propio marco original, pueden proporcionar una categorización útil para la ASF, conforme considera los tipos de habilidades digitales que necesitan sus auditores además de la alfabetización digital:

• Información y alfabetización digital: navegación, búsqueda y filtrado de datos; evaluación crítica de la credibilidad y confiabilidad de las fuentes de datos; organización y almacenamiento de datos; comprensión de estadísticas para ayudar a la evaluación y el análisis de datos; comprensión de los requisitos de reproducción.

• Comunicación y colaboración: compartir datos; conocer las prácticas de referenciación y atribución; utilizar herramientas y tecnologías digitales para procesos colaborativos, protegiendo la propia reputación. Seguir los principios de la ciencia abierta para compartir datos, información y contenido, participar en una buena ciudadanía digital y mejorar la colaboración; extender el conocimiento de las prácticas de referencia y atribución a datos de investigación y citas/referencias de software; proteger la reputación académica, tanto de la propia organización como de la investigación académica en general.

• Creación de contenido digital: Creación de contenido y conocimiento nuevo, original y relevante; comprender los derechos de autor y las licencias; programación y desarrollo de software, visualización de datos e información para transmitir conocimientos.

• Seguridad: Protección de datos personales, protección de datos confidenciales, comprensión de herramientas y técnicas como la desvinculación, la anonimización y los refugios seguros.

• Resolución de problemas: Personalización de entornos digitales a las necesidades personales; utilizar herramientas digitales para crear conocimiento e innovar procesos; identificar brechas de competencia digital y buscar oportunidades de auto-superación (OECD, 2020[25]).

La competencia de “seguridad” toca un tema crítico para la ASF y las EFS que va más allá de las competencias descritas anteriormente. Esto se refiere a las implicaciones éticas del uso de datos, incluido el uso de datos por parte de los propios auditores. Para tal efecto, y dependiendo de su cargo y nivel de responsabilidad, la ASF podría considerar esta competencia más allá de lo descrito en el marco anterior. Hay varias formas en que la ASF puede crear conciencia y promover el uso ético de los datos. El Recuadro 2.4 proporciona ejemplos de los Principios de buenas prácticas para la ética de datos en el sector público de la OCDE.

Entre las EFS con iniciativas exitosas para incorporar datos y analítica en su trabajo de auditoría, la apertura a la experimentación es un tema constante, incluso cuando otros aspectos del trabajo y la cultura de la EFS siguen siendo reacios al riesgo. La ASF ha demostrado su voluntad de experimentar. Por ejemplo, funcionarios de la ASF dijeron que la AEGF lanzó un ejercicio piloto mediante el cual se proporcionaron casos de proveedores y contratistas sospechosos a las áreas de auditoría, para que pudieran ser revisados con mayor detalle durante las auditorías. Los comentarios de los auditores de este esfuerzo se utilizarán para mejorar la analítica de la ASF y establecer pautas para extender el uso de datos a más auditorías.

Como se señaló en el Capítulo 1, el liderazgo puede hacer explícito su apoyo a la experimentación en su estrategia y plan de acción para la analítica, por ejemplo. La libertad para que los auditores experimenten crea oportunidades tanto para pequeñas ganancias como para pequeñas pérdidas, lo que significa que una EFS puede probar nuevas metodologías, herramientas y fuentes de datos de manera controlada y rentable antes de decidir si ampliar o evitar un mayor desarrollo. Para las EFS con “Laboratorios de Innovación”, la experimentación se ha convertido en un objetivo estratégico. Un beneficio de un laboratorio de innovación es que ayuda a institucionalizar el conocimiento y la experiencia, y para la ASF, podría ayudar a avanzar en nuevas metodologías que ya está considerando y que pueden beneficiar a múltiples departamentos. Esta sería una diferencia clave con respecto a los esfuerzos analíticos existentes de la ASF, incluido el Laboratorio Forense de la DGAF, que se enfoca más en respaldar los procesos de investigación para una auditoría especial específica, en lugar de promover la innovación en toda la institución como una prioridad con beneficios para la detección de riesgos de integridad y más allá. La Oficina del Auditor General de Noruega (OAGN) estableció un laboratorio de innovación para promover la ciencia de datos y apoyar a los auditores con una variedad de herramientas y funciones (véase el Recuadro 2.5).

Establecer un Laboratorio de Innovación o agregar un equipo permanente al organigrama de la ASF no es el único enfoque. Los equipos existentes de la ASF demuestran un alto nivel de ambición para innovar, como lo ilustran algunos de los ejemplos descritos en este informe. No obstante, en conversaciones con funcionarios de la ASF, la noción de experimentar e invertir recursos en pilotos antes de invertir en la revisión de la arquitectura o la introducción de nuevas herramientas no formaba parte del enfoque estratégico. Teniendo en cuenta la estructura y las iniciativas actuales de la ASF, la institución también podría considerar modelos temporales para aprovechar las habilidades y la energía innovadora de su personal. Por ejemplo, el Auditor General de Gales desarrolló un proyecto de nueve meses llamado “Oficina de Auditoría de Vanguardia”, cuyo objetivo era transformar la forma en que la Oficina de Auditoría de Gales utilizaba los datos y la tecnología. El equipo estaba formado por seis funcionarios de línea que reportaban directamente al Auditor General (véase el Recuadro 2.6).

La capacidad analítica de la ASF y los procesos relacionados para la gobernanza de datos están descentralizados en diferentes departamentos. Este enfoque ha permitido que la ASF adapte la gobernanza de datos, la gestión de datos y la analítica para satisfacer las necesidades de los equipos de auditoría individuales. La ASF ha desarrollado fuertes capacidades analíticas con este enfoque; sin embargo, también ha dado lugar a silos que se ven exacerbados por una coordinación insuficiente. Además, la ASF ha invertido en capacitaciones para auditores, pero podría tomar medidas adicionales para comprender sus prioridades en el desarrollo de competencias digitales, incluida la alfabetización de datos, para que sus auditores puedan seguir el ritmo del cambio digital que los rodea en el gobierno y la sociedad. Esto incluye la necesidad de mejorar las capacidades y los procesos de la ASF para aprovechar la analítica en la detección de riesgos de integridad, así como la necesidad de desarrollar aún más una cultura centrada en los datos. Las siguientes propuestas de acción no son exhaustivas en relación con la mejora de la coordinación, la optimización de la analítica para detectar riesgos de integridad y el fomento de una cultura centrada en los datos. Sin embargo, brindan un punto de partida para que la ASF aborde desafíos operativos clave y consideraciones adicionales para mejorar el uso de datos y analítica:

• Fortalecer la coordinación interna en torno a procesos de datos y analítica: La coordinación sustantiva sobre políticas y prácticas comunes o el desarrollo de herramientas entre departamentos siguen siendo limitados. Quedan oportunidades para que la ASF avance hacia una toma de decisiones más integrada como una forma de coordinación interna a nivel departamental y de equipo (es decir, DG) para garantizar que no haya duplicación o superposición no deseada de esfuerzos. La ASF podría realizar una revisión conjunta de las posibles áreas de actividad duplicadas en todos los departamentos, particularmente con respecto a su procesamiento de datos y controles de calidad, considerando la gran carga que estas actividades suponen para los recursos y el tiempo. Una coordinación interna mejorada en la ASF también tiene el potencial de reducir la carga sobre los propietarios de datos y los entes auditados en la medida en que existe el riesgo de que varios equipos de la ASF soliciten los mismos datos.

• Considerar los pilotos de intercambio de datos para romper los silos: Para ayudar a abordar los desafíos de coordinación interna y el potencial de ineficiencias, la ASF podría realizar un piloto de intercambio de datos y abordar algunos de los desafíos que enfrenta con respecto a la coordinación interna (y externa), edificando sobre precedentes de intercambio de datos con otras entidades gubernamentales (es decir, el SAT, la SHCP y la TESOFE). Este piloto podría implicar una comunicación mejorada sobre bases de datos similares utilizadas en todos los departamentos. Si es relevante, también podría incluir responsabilidades compartidas para la gestión de datos, la limpieza y otras actividades comunes que ayudarían a promover la eficiencia de las tareas que requieren muchos recursos y a romper o prevenir los silos a nivel de auditor. El piloto también podría facilitar la creación de canales informales para que los auditores colaboren en temas de calidad de datos y metodologías. Llevar a cabo un piloto de intercambio de datos ayudaría a la ASF a identificar y luego abordar estos desafíos de manera constructiva y gradual, utilizando menos recursos para probar conceptos antes de que la ASF se comprometa con formas de colaboración más sostenidas.

• Institucionalizar una capacidad de analítica transversal y multifuncional: La ASF podría tomar medidas adicionales para institucionalizar sus capacidades analíticas. Un enfoque es que la ASF establezca un grupo transversal o una comunidad de práctica para formalizar la comunicación ad hoc actual entre los equipos y promover el intercambio constante de conocimientos, experiencias y datos entre auditorías especiales y direcciones generales. Otro modelo sería que la ASF creara un servicio de datos centralizado o una función de analítica que se centraría en áreas transversales específicas de los procesos analíticos de la ASF, dejando el análisis a los equipos y manteniendo elementos de apoyo de su modelo descentralizado actual. La ASF también podría considerar establecer un rol formal, como un director de datos (CDO) o un director de tecnología (CTO), para actuar como administrador de las políticas y procesos de datos de toda la institución. El título preciso y si esta función la cumple una persona o varias es menos importante que definir y asignar funciones y responsabilidades adicionales para la gobernanza de datos operativa, en particular para cuestiones que afectan a toda la institución. La ASF también puede mejorar la funcionalidad transversal de sus equipos al tiempo que desarrolla aún más sus capacidades analíticas.

• Llevar a cabo una evaluación interna para explorar aún más las brechas de capacidades y las capacidades de datos: Si bien los aportes de los funcionarios de la ASF en el alcance del proyecto de la OCDE establecieron varias prioridades en términos de mejoras en las capacidades, la ASF podría tomar medidas adicionales para profundizar en este trabajo e identificar las brechas de capacidades y las necesidades de un grupo más amplio de partes interesadas. Esto podría implicar una evaluación de las brechas de capacidades de toda la institución, teniendo en cuenta las capacidades de datos en relación con las capacidades definidas y los planes de la ASF para iniciativas futuras. Como se discutió, existen numerosos marcos disponibles para ayudar a la ASF a realizar una evaluación de sus capacidades internas de datos y analítica. La evaluación debe proporcionar una visión holística de las brechas y las fortalezas como base para refinar las prioridades. La ASF también puede beneficiarse del análisis causa raíz que brindaría más información sobre los elementos humanos y culturales que influyen en la capacidad de la ASF para adoptar la analítica y cumplir objetivos más amplios de transformación digital. Como parte de este análisis, la ASF también podría analizar los desafíos específicos que enfrentan los equipos y procesos individuales, incluidos los relacionados con la aplicación de la analítica para detectar irregularidades y riesgos de integridad.

• Mejorar el análisis de las tendencias de riesgo y el uso de tableros: La ASF ha establecido procesos y capacidades sólidos para usar datos y analítica para detectar irregularidades. Sobre la base de sus esfuerzos, la ASF podría desarrollar un tablero de riesgos para mejorar la forma en que rastrea, visualiza y comunica los riesgos en toda la organización. El desarrollo de un tablero sería un enfoque de bajo costo y alto rendimiento para facilitar el intercambio de datos de riesgo y los análisis de tendencias y patrones por parte de los auditores. El tablero de riesgos puede ser un medio para difundir dicho análisis, al tiempo que mejoraría el acceso a los datos de riesgo que tiene la DGAF para respaldar las auditorías. Además, el uso de tableros puede ser útil para el monitoreo continuo y proporcionar a los auditores herramientas listas para usar o automatizadas para realizar análisis y priorizar riesgos. Las visualizaciones incorporadas en los tableros pueden ayudar a los auditores a analizar conjuntos de datos completos en busca de valores atípicos y posibles irregularidades, lo que permite más tiempo para analizar información y datos y menos tiempo para recopilarlos. Las visualizaciones también pueden ayudar a mejorar la legibilidad y el impacto de los informes de la ASF.

• Mejorar el seguimiento de los hallazgos y crear circuitos de retroalimentación para mejorar la analítica: El seguimiento es una fase fundamental del proceso de auditoría, reflejado en varios estándares y guías de la INTOSAI. La ASF institucionalizó un mecanismo de seguimiento en la AESII; sin embargo, según los funcionarios, el equipo no cuenta con suficientes recursos y el seguimiento puede ser moroso.8 Conocer el estado y el resultado de las auditorías es un paso crítico en el ciclo de retroalimentación para la DGAF y otras DG, que se apoyan en la AESII para el seguimiento. Por ejemplo, los ciclos de retroalimentación (conocer los resultados de las auditorías y la manera en que los hallazgos de la DGAF respaldaron los resultados) actúan como un control para la propia función analítica de la DGAF y del Laboratorio Forense. La DGAF puede afinar sus metodologías y analítica forenses en función de los resultados finales de las auditorías y de si los hallazgos llevaron a acciones concretas. La optimización de metodologías ayuda a reducir los falsos positivos y los falsos negativos, y mejora la lógica que subyace a los algoritmos e indicadores para la detección de irregularidades.

• Fortalecer el análisis de datos no estructurados y semiestructurados: Los funcionarios de la ASF destacaron la necesidad de mejorar la capacidad de gestión y análisis de datos no estructurados como una de sus principales prioridades en los próximos años. Esto se debe en parte a los esfuerzos de la AEGF y la AECF para mejorar la arquitectura, las metodologías y las herramientas de la ASF (por ejemplo, el aprendizaje automático) para analizar mejor el big data, que consiste en grandes volúmenes de datos no estructurados y semiestructurados. El Buzón Digital de la ASF también tiene el potencial de crear más datos no estructurados y semiestructurados a procesar. La minería de textos y otras técnicas analíticas pueden ser útiles para garantizar que los auditores no se sientan abrumados por dichos datos. La ASF también puede aprovechar las capacidades existentes para llevar a cabo análisis de redes, en particular para respaldar la detección de riesgos de fraude y corrupción en el desarrollo de infraestructura y la contratación pública. La diversidad de técnicas y sus herramientas subyacentes resaltan la necesidad de que la ASF considere estratégicamente cómo abordar en el futuro el análisis de diferentes tipos de datos no estructurados y semiestructurados. Definir el proceso de integración de hallazgos y resultados de este análisis en los sistemas y mecanismos de comunicación tradicionales de la ASF, así como en posibles tableros de referencia para los auditores, es una consideración fundamental para asegurar que los auditores puedan digerir y utilizar los resultados.

• Promover las habilidades digitales y el uso ético de los datos a través de capacitaciones: La introducción de nuevos sistemas, herramientas o tableros es necesaria, pero insuficiente, para que la ASF se mantenga al día con el cambio digital en el gobierno y la sociedad. La ASF podría desarrollar aún más las habilidades, la motivación y el interés en los enfoques analíticos para sustentar futuras iniciativas analíticas, aunque sólo ha capacitado a un pequeño número de auditores en big data. Esto podría incluir, entre otros, la promoción de la alfabetización de datos, así como el desarrollo de habilidades digitales, definidas como la gama más amplia de habilidades para usar dispositivos digitales, aplicaciones de comunicación y redes para acceder y administrar información. La distinción entre la alfabetización de datos y el tener habilidades digitales refleja la noción de que los auditores tienen diferentes especialidades y requieren diferentes niveles de especialización cuando se trata de administrar y usar datos; sin embargo, todos los auditores pueden beneficiarse de tener una comprensión y fluidez con una gama de herramientas y tecnologías digitales que son fundamentales para la profesión de auditoría moderna. Desarrollar habilidades digitales también implica capacitar a los auditores para garantizar que prediquen con el ejemplo como administradores del uso responsable, ético y con rendición de cuentas de los datos. Esto sería consistente con la iniciativa de la ASF de desarrollar una Política de Integridad Institucional.

• Crear un espacio para la experimentación y pequeños logros: La apertura a la experimentación es un tema constante en todas las EFS que han desarrollado iniciativas analíticas exitosas. Incluso cuando otros aspectos del trabajo y la cultura de la ASF siguen siendo reacios al riesgo, la experimentación crea oportunidades tanto para pequeñas ganancias como para pequeñas pérdidas. Esto significa que una EFS puede probar nuevas metodologías, herramientas y fuentes de datos de manera controlada y rentable antes de decidir si debe ampliar o evitar un mayor desarrollo. El establecimiento de un “Laboratorio de Innovación” es una forma en que las EFS están haciendo esto, lo que institucionalizaría la capacidad de experimentación y establecería el tono para la innovación como un objetivo estratégico. Sin embargo, este no es el único enfoque que debe considerar la ASF. Los equipos existentes de la ASF demuestran un alto nivel de ambición para innovar, y existen modelos temporales, como iniciativas basadas en proyectos, para aprovechar las habilidades y la energía innovadora de los auditores y el personal.

[1] ACFE (2020), Report to the Nations: Study on Global Occupational Fraud and Abuse, https://www.acfe.com/press-release.aspx?id=4295010563#:~:text=In%20the%20ACFE%27s%202020%20Report,loss%20of%20%248%2C300%20a%20month.

[2] ASF (2021), Avances en la implementación de nuevas herramientas tecnológicas aplicadas a la fiscalización superior.

[28] Auditor General of Wales (2020), Cutting Edge Audit Office, https://www.eurorai.org/public/Attachment/2020/6/Sevilla-presentationSLISLE.pdf.

[15] Auditor General South Africa (2020), Consolidated General Report on National and Provincial Audit Outcomes, https://www.agsa.co.za/Portals/0/Reports/PFMA/201920/PFMA%202019-20%20Report%20-%20signed.pdf.

[5] Baesens, B., V. Van Vlasselaer and W. Verbeke (2015), “Using Descriptive, Predictive, and Social Network Technique: A guide to Data Science for Fraud Detection”, John Wiley & Sons, Inc..

[16] Canadian Audit and Accountability Foundation (2020), Better Integrating Root Cause Analysis into Public sector performance auditing, https://www.caaf-fcar.ca/images/pdfs/research-publications/RootCauseAnalysisEN.pdf.

[33] Comisión Nacional Bancaria y de Valores, Gobierno de México (2016), Development Bank (BD), https://www.gob.mx/cnbv/acciones-y-programas/banca-de-desarrollo-bd.

[6] Commonwealth Fraud Prevention Centre, Gobierno de Australia (2020), Data Sharing Pilots, Leading Practice Guide, https://www.counterfraud.gov.au/sites/default/files/2021-02/data-sharing-pilots-leading-practice-guide.pdf (accessed on 3 August 2021).

[29] Dickson, M. and P. Asagba (2020), “The Semi-Structured Data Model and Implementation Issues for Semi-Structured Data”, International Journal of Innovation and Sustainability, Vol. 3/2020, pp. 47-51, https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3726802.

[20] EUROSAI (2021), GERMANY: Using text mining methods to analyse public communication of our auditees, https://eurosai-it.org/news/newsletter/1-2021/updates-from-itwg-members/germnay-using-text-mining-methods-to-analyse-public-communication-of-our-auditees.

[18] EUROSAI (2019), Follow-up of the Implementation of records, https://www.eurosai.org/handle404?exporturi=/export/sites/eurosai/.content/documents/2021-02-03-Final-report-for-EUROSAI.pdf.

[34] Gobierno de México (2021), “Diario Oficial de la Federación”, in Agreement amending, adding and repealing several provisions of the Internal Regulations of the Superior Audit Office of the Federation.

[32] Gobierno de Nueva Zelanda (2021), Operational data governance, https://www.data.govt.nz/toolkit/data-governance/odgf/.

[14] Gobierno de Nueva Zelanda (2020), The Data Capability Framework (DCF) Guide, https://www.data.govt.nz/assets/Uploads/Training/Data-Capability-Framework/Data-Capability-Framework-Guide.pdf.

[8] House of Commons, United Kingdom (2017), Value for Money Study, Delivery of Benefits From the NAO’s IT Enabled Change Program, https://www.parliament.uk/globalassets/documents/public-accounts-commission/15-NAO-VFM-report-on-IT-enabled-change-programme.pdf.

[13] INTOSAI (2020), Strategic Management Handbook for Supreme Audit Institutions, https://www.idi.no/elibrary/well-governed-sais/strategy-performance-measurement-reporting/1139-sai-strategic-management-handbook-version-1/file.

[30] INTOSAI (2019), INTOSAI-P - 12 - The Value and Benefits of Supreme Audit Institutions – making a difference to the lives of citizens, https://www.issai.org/pronouncements/intosai-p-12-the-value-and-benefits-of-supreme-audit-institutions-making-a-difference-to-the-lives-of-citizens/.

[31] INTOSAI (2015), GUID - 9030 - Good Practices Related to SAI Independence, https://www.issai.org/pronouncements/guid-9030-good-practices-related-to-sai-independence/.

[23] Kärki, M. and M. Saarteinen (2020), National Audit Office of Finland: Strategy and practice when using data in auditing and monitoring, Presentation at OECD Workshop (18 November 2020).

[27] OAGN Innovation Lab (2020), Data Science & Machine Learning, https://www.intosaipas.org/wp-content/uploads/2020/02/Agenda-item-1H_2019_Data-Science-PASmeeting-1.pdf (accessed on 3 September 2021).

[24] OCDE (2020), Good Practice Principles for Data Ethics in the Public Sector, OCDE, París, https://www.oecd.org/gov/digital-government/good-practice-principles-for-data-ethics-in-the-public-sector.pdf.

[21] OCDE (2019), Analytics for Integrity: Data-Driven Approaches for Enhancing Corruption and Fraud Risk Assessments, OCDE, París, https://www.oecd.org/gov/ethics/analytics-for-integrity.pdf.

[25] OECD (2020), “Building digital workforce capacity and skills for data-intensive science”, OECD Science, Technology and Industry Policy Papers, No. 90, OECD Publishing, Paris, https://doi.org/10.1787/e08aa3bb-en.

[9] OECD (2020), Digital Government in Mexico: Sustainable and Inclusive Transformation, OECD Digital Government Studies, OECD Publishing, Paris, https://doi.org/10.1787/6db24495-en.

[26] Office of the Auditor General of Norway (2021), Introduction to Text Mining for Auditors, https://idi.no/elibrary/relevant-sais/sai-innovations/innovative-sais-going-f-a-r/1285-marketplace-introduction-to-text-mining-for-auditors-office-of-the-auditor-general-of-norway/file.

[11] Office of the Comptroller and Auditor General of India (2017), Guidelines on Data Analogue, https://cag.gov.in/uploads/guidelines/Guidelines-on-Data-Analytics-book-05de4f7fd52e565-67820093.pdf.

[7] Oficina Nacional de Auditoría del Reino Unido (2019), Transparency Report, https://www.nao.org.uk/wp-content/uploads/2020/07/National-Audit-Office-Transparency-Report-2019-20.pdf.

[17] Oficina Nacional de Auditoría del Reino Unido (2018), Data Analytics at the National Audit Office (UK), https://www.intosaipas.org/wp-content/uploads/2020/02/Agenda-item_2A_Andy-Fisher_Data-Analytics-at-the-UK-NAO.pdf (accessed on 3 August 2021).

[22] Onwujekwe, G., N. Ngwum and K. Osei-Bryson (2020), A Framework for Capturing and Analyzing Unstructured and Semi-structured Data for a Knowledge Management System.

[3] Special Audit of Financial Compliance, ASF (2021), Sistema de Inteligencia para la Fiscalización Superior de la AECF, [PowerPoint Slides].

[10] Stockpoll, B. (2021), Making the business case for a chief data officer, https://mitsloan.mit.edu/ideas-made-to-matter/making-business-case-a-chief-data-officer.

[4] Strimling, A. (2006), “Stepping Out of the Tracks: Cooperation Between Official Diplomats and Private Facilitators”, International Negotiation, Vol. 2006/11, pp. 91-127, https://brill.com/view/journals/iner/11/1/article-p91_5.xml?language=en.

[19] Talib, R. et al. (2016), “Text Mining: Techniques, Applications and Issues”, International Journal of Advanced Computer Science and Applications, Vol. 7/11, pp. 414-418, https://thesai.org/Downloads/Volume7No11/Paper_53-Text_Mining_Techniques_Applications_and_Issues.pdf.

[12] The European Court of Auditors (2019), “Developing data services for audit”, Presentation of Magdalena Cordero, Director of Information, Workplace and Innovation, https://ecademy.eca.europa.eu/pluginfile.php/260/mod_resource/content/1/Developing%20data%20services%20for%20auditors%20%E2%80%93%20the%20ECA%20experience.pdf (accessed on 3 August 20021).