La forma actual de supervisión continua en España tiene su origen en el paquete de reformas de 2013 de la Comisión para la Reforma de la Administración Pública (CORA), que proponía un seguimiento y una evaluación periódica de la «racionalidad» de las organizaciones del sector público en España (OCDE, 2014[1]). Este concepto fue codificado pronto en la Ley de Régimen Jurídico del Sector Público de 2015 (Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público)1 y se detalla en una Orden de 2018 (Orden HFP/371/2018), que estipula la metodología para realizar una supervisión continua. Si bien el marco legal y regulador se desarrolló en estos cinco años, la Intervención General de la Administración del Estado (IGAE), y más específicamente, la Oficina Nacional de Auditoría (ONA), han tenido menos tiempo comparativamente de implantar el sistema de supervisión continua (SSC).

En el momento del proyecto con la OCDE, el SSC tenía apenas un año; se había implantado por primera vez en 2020. Dadas estas limitaciones de tiempo, la ONA ha tenido que avanzar en muchas prioridades estratégicas y operativas en paralelo, mientras desarrolla la propia metodología de evaluación de riesgo, como se detalla en el Capítulo 1. De hecho, el SSC no es solo una metodología de evaluación de riesgo. Tiene implicaciones para estrategias de la IGAE para mejorar la gobernanza de datos y sus propias capacidades de monitorización basada en datos, así como su enfoque de comunicación y coordinación.

Este capítulo se basa en los antecedentes y las recomendaciones de la ONA en el Capítulo 1, que se centraba en el proceso de evaluación de riesgo y considera otros aspectos y desafíos relacionados con el SSC. Comparte experiencias de Turquía, Austria, Italia y Canadá para ayudar a la ONA a abordar estos problemas. En particular, el capítulo analiza cuestiones y oportunidades para mejorar la estrategia y la capacidad de supervisión continua de la ONA, incluidas recomendaciones para:

• institucionalizar circuitos de retroalimentación para garantizar la mejora continua del SSC, así como valorar una mayor automatización y el uso de paneles de control

• tomar medidas adicionales para evaluar la calidad de los datos con respecto al SSC

• mejorar el seguimiento de conclusiones y recomendaciones de sus actividades de supervisión continua

• mejorar el SSC mediante una mayor inversión en la capacidad de la ONA y las habilidades de datos especializados en el contexto de supervisión continua.

Más allá de la metodología y los procesos de implantación del SSC, otras consideraciones pueden tener un impacto en la efectividad y relevancia de la supervisión continua en España. Estos problemas y desafíos reflejan en general nociones de transparencia, comunicación y coordinación. Esta sección del capítulo se inspira en el Instituto de Auditores Internos de España, así como en las entidades fiscalizadoras superiores, y anima a la IGAE a que valore:

• mejorar la transparencia del SSC, incluida la publicación del informe anual y crear comités de auditoría

• mejorar la coordinación con las instituciones de supervisión claves para garantizar la eficacia del SSC y evitar la duplicación

• desarrollar aún más su estrategia de comunicación para demostrar el valor del SSC para las entidades gubernamentales y los órganos de supervisión.

Los temas presentados en el capítulo no son exhaustivos, pero representan algunos de los desafíos más inmediatos a los que se enfrentan la IGAE y la ONA a medida que avanzan en el SSC. Abordar estos temas puede ayudar a posicionar a la IGAE y a la ONA para aprovechar la transformación digital que se está llevando a cabo en el gobierno y la sociedad españoles. Las versiones posteriores del SSC pueden ser un motor y un ejemplo para la propia modernización de la IGAE en la era digital.

La ONA y la Oficina de Informática Presupuestaria (OIP) de la IGAE desarrollaron la herramienta de análisis que da soporte al SSC utilizando personal interno e infraestructura nativa. La ONA y la OIP diseñaron y desarrollaron la primera versión de la herramienta, actualmente en uso, en 2018. Al año siguiente se utilizó por primera vez para recopilar y reportar información y datos de los cuestionarios de autoevaluación y las cuentas de las entidades públicas. El año 2020 es tan solo el segundo año en que la ONA utiliza la herramienta para la supervisión continua.

Como se ha señalado, por razones de eficacia y de acuerdo con la Directiva, la propia herramienta se apoya en las aplicaciones web interactivas existentes (CICEP.red y RED.coa) que permiten a las entidades públicas enviar a la IGAE la información relativa a sus datos financieros y contables. La OIP desarrolló ambas aplicaciones internamente utilizando Microsoft.NET y JavaScript como marco de programación. Los datos de CICEP.red y RED.coa, junto con los cuestionarios de autoevaluación, se fusionan en una base de datos SQL ("El Cubo") utilizando Microsoft Power BI para la extracción, transformación y carga (es decir, procesos ETL), así como para la elaboración de informes.2 El resultado de este proceso es una hoja de cálculo Excel con varias hojas de trabajo que resumen la información. La ONA puede seguir accediendo a los cuestionarios y archivos detallados a través de CICEP.red y RED.coa. El SSC simplifica el trabajo de los analistas de la ONA; sin embargo, existen oportunidades para aumentar la eficiencia.

Aunque la herramienta se ha puesto a prueba y se utiliza para un ciclo completo de información financiera, la ONA indicó que los elementos de la estrategia de SSC relacionados con la automatización se están aplicando todavía (OCDE, 2020[2]). Los criterios deseados para la herramienta de análisis incluían la importación de datos de los sistemas internos de la IGAE y la ejecución de un análisis basado en el riesgo para identificar a las entidades de alto riesgo. Sin embargo, en esta fase, la herramienta sólo ha automatizado el proceso de forma parcial. En concreto, la recopilación de respuestas a los cuestionarios de autoevaluación, así como los indicadores financieros, están totalmente automatizados, pero la recopilación de datos para evaluar "otros factores de riesgo cualitativos" sólo está parcialmente automatizada. Además, la ONA recoge los datos en una compleja serie de hojas de cálculo de Excel y los analistas realizan manualmente la evaluación de riesgos para seleccionar a las entidades que deben someterse a un nuevo examen de control (ONA, 2020[3]). La propia herramienta de evaluación de riesgos es esencialmente un repositorio de datos con una funcionalidad analítica limitada. La ONA también prevé utilizar la herramienta para automatizar los informes de evaluación de las entidades seleccionadas para su posterior revisión y en la presentación de informes anuales de resultados al Ministerio de Hacienda.

Una vez completado un ciclo completo del SSC, la ONA podría crear un bucle de retroalimentación interna entre los desarrolladores de la OIP y los analistas de la ONA como mecanismo para comenzar a supervisar sistemáticamente los aspectos más difíciles, que consumen más tiempo y son potencialmente propensos a errores del proceso actual de forma continua e iterativa. A corto plazo, este bucle de retroalimentación podría incluir una evaluación de la necesidad y las opciones para adaptar los indicadores que estén parcialmente automatizados, ya que estos tienen la mayor probabilidad de crear una carga adicional para los analistas durante la fase de recopilación de datos. Para la mejora continua del SSC, el bucle de retroalimentación puede institucionalizarse con canales de comunicación tanto formales como informales. Además, como parte de este proceso, la ONA podría considerar cómo los programas informáticos estadísticos, los cuadros de mando de riesgos y otras herramientas de visualización pueden apoyar el análisis, aliviando parte de la carga de los analistas que ahora evalúan a más de 420 entidades utilizando tablas dinámicas en Excel para calcular los coeficientes.

El Recuadro 2.1 presenta la experiencia del Tribunal de Cuentas de Turquía (TCT) para evaluar los riesgos financieros en los municipios. El TCT creó un sistema de inteligencia empresarial llamado "VERA", que utiliza visualizaciones de datos para facilitar la identificación de riesgos. VERA se apoya en un sólido sistema centralizado basado en la red (Oracle Business Intelligence Enterprise) que es personalizable y permite una conexión segura, incluso cuando los auditores trabajan a distancia. Además de los análisis de riesgo para los municipios, el sistema permite analizar estados financieros, asientos contables y salarios. También apoya la verificación de datos, en lo que se incluye el análisis de la confiabilidad de los datos financieros y contables. Todos los datos que VERA coteja para su análisis son facilitados por diferentes sistemas de gestión financiera pública y almacenes de datos que proporcionan la infraestructura crítica para la recopilación, el procesamiento y la reutilización de los datos. El TCT institucionalizó su propio bucle de retroalimentación creando un "Grupo de Análisis de Datos".

Hay una compensación de coste-beneficio cuando se invierte en herramientas digitales para las entidades del sector público. Los nuevos sistemas pueden resultar costosos, tanto en lo que respecta al desembolso de fondos públicos para instalarlos y mantenerlos como en el tiempo que se necesita para capacitar al personal en el uso de las nuevas herramientas para obtener los beneficios esperados. Los riesgos de seguridad cibernética asociados con el uso de plataformas libres o de código abierto o de paquetes de programas informáticos estadísticos son particularmente elevados, dadas las preocupaciones de privacidad y éticas de los tipos de datos que manejan las entidades del sector público. Sin embargo, la entidad fiscalizadora superior de Austria, el Tribunal de Cuentas (TCA), ha diseñado con éxito una herramienta digital que utiliza R, un paquete estadístico gratuito de código abierto, para evaluar el riesgo financiero de los municipios del país.

Tras la ampliación de su mandato de auditoría en 2011, el TCA diseñó una herramienta para preparar un perfil de cada municipio (hay más de 2 100) utilizando indicadores para evaluar el riesgo financiero y analizar la importancia del municipio desde la perspectiva de la auditoría. El TCA descubrió que el software R estaba mejor equipado que Excel para analizar macrodatos, era menos propenso a los errores y los códigos R podían reutilizarse fácilmente en futuras evaluaciones, con pequeñas adaptaciones. Sin embargo, la curva de aprendizaje de los analistas de TCA era significativa dado el nivel de conocimientos técnicos detallados que se requería. En el Recuadro 2.2 se brindan más detalles sobre la forma en que el TCA abordó esos desafíos.

Las mejoras del SSC relativas a las tecnologías de la información, los datos y las herramientas no se producen de forma aislada del entorno informático más amplio de la IGAE o de la estrategia de digitalización. Las brechas tecnológicas y de capacidad heredadas suelen ser obstáculos para la transformación digital en el sector público. El equipo de la OIP que diseñó la herramienta SSC se limitó a construir una herramienta a partir de los sistemas internos existentes en la IGAE. El proceso comenzó con CICEP.red y RED.coa y la OIP indicó que las fuentes de datos se ampliarán para incluir otros sistemas como CINCO.net (para datos presupuestarios y contables) y AUDI.net (para informes de auditoría y control interno, etc.). Aprovechando la introducción del impulso en torno a la fase piloto, la OIP y la ONA podrían utilizar el SSC como catalizador para realizar avances más sistémicos en la estrategia de digitalización más amplia de la IGAE. Esto podría incluir el refuerzo de elementos clave que tienen implicaciones directas para el SSC, como la estrategia de datos, la gestión de datos y la automatización de los análisis, así como las actividades de supervisión y control de la IGAE en general. Desde una perspectiva institucional, también podría incluir una evaluación de la Arquitectura Empresarial (AE) de la IGAE.

La AE es una práctica que se centra en la alineación de la estrategia de un organismo y la infraestructura de TI que tiene para alcanzar las metas y los objetivos (Canada Border Services Agency, 2019[5]). Dicha AE guía el proceso de planificación y diseño de las capacidades de TI para cumplir los objetivos. La AE define las arquitecturas del estado actual y del estado objetivo, en consonancia con la estrategia, las prioridades y los activos y capacidades de TI del organismo (Canada Border Services Agency, 2019[5]). Los enfoques contemporáneos de la AE van más allá de centrarse en la mejora de los procesos para incluir una consideración de los resultados. Las primeras etapas del SSC proporcionan una aplicación concreta para considerar la AE de la IGAE en un contexto más amplio y promover una mayor digitalización en los siguientes años. El Recuadro 2.3 proporciona algunas perspectivas sobre la función de auditoría interna en la Agencia de Servicios Fronterizos de Canadá y su revisión del Programa AE.

La evaluación de la AE de la IGAE estaba fuera del alcance de este proyecto. Muchos recursos que ofrecen marcos para apoyar a la IGAE en esta evaluación tienen décadas de antigüedad, pero siguen basándose en principios y prácticas fundamentales que son relevantes hoy en día. Por ejemplo, la IGAE puede inspirarse para evaluar su propia AE en el informe de la Oficina de Responsabilidad del Gobierno de los Estados Unidos Organizational Transformation: A Framework for Assessing and Improving EA Management [Transformación organizativa: Un marco para evaluar y mejorar la gestión de la AE] (U.S. Government Accountability Office, 2017[6]). Este marco se basa en una fuente aún más antigua, Information Technology Investment Management: A Framework for Assessing and Improving Process Maturity [Gestión de la inversión en tecnologías de la información: Un marco para evaluar y mejorar la madurez del proceso] (US Government Accountability Office, 2004[7]). Estos marcos ofrecen herramientas y perspectivas para informar a la IGAE la evaluación de su propia estrategia de digitalización.

España se encuentra entre la vanguardia de los países que han adoptado un enfoque de gobierno digital, empleando herramientas digitales y tecnologías de la información para modernizar la administración pública y ofrecer mejores políticas y servicios públicos.3 Este compromiso prolongado de aprovechar los beneficios de la tecnología se refleja en la clasificación de España en los diez primeros puestos del Índice de Gobierno Digital 2019 de la OCDE (OCDE, 2020[8]). Cada vez más, los gobiernos adoptan un enfoque basado en los datos y están aprovechando la tecnología no sólo para lograr ahorros de costos y eficiencia administrativa, sino también como instrumento para informar la toma de decisiones administrativas y adoptar medidas preventivas para responder a los riesgos. Además, las normas internacionales han evolucionado para reflejar la aparición de un sector público orientado a los datos y basado en el riesgo. Por ejemplo, los instrumentos y normas de la OCDE reconocen el valor agregado de la inversión en el desarrollo de políticas de datos eficaces, modelos de gobernanza de datos, habilidades y capacidad (OCDE, 2019[9]).

La obtención de significado de los datos mediante herramientas o técnicas analíticas, comúnmente denominadas "análisis de dato", ha sido transformadora para las entidades del sector público que aplican este enfoque en la prestación de servicios y el diseño, el monitoreo y la evaluación del rendimiento de los programas y políticas o con fines de supervisión (Fazekas, M., Ugale, G, & Zhao, A., 2019[10]). Si bien el análisis de datos puede aplicarse de diversas maneras, hay principios y prácticas comunes para maximizar su eficacia que son relevantes en diversos contextos. Entre ellos figuran la gobernanza eficaz de las instituciones y los datos, tecnología, personas y habilidades, así como la planificación de proyectos.

La gobernanza de datos incluye normas y controles para ayudar a garantizar la disponibilidad, coherencia, seguridad e integridad de los datos. La IGAE aplica las normas europeas y nacionales de protección de datos y seguridad de la información en su uso de datos y herramientas digitales (OCDE, 2020[2]). Aunque los datos de los indicadores y coeficientes de las revisiones automatizadas del SSC se obtienen de los sistemas de información financiera, la IGAE indicó que no realiza auditorías independientes de los sistemas ni controles de edición para verificar la confiabilidad de los datos. Además, la ONA se basa en las declaraciones de los altos directivos de la organización correspondiente en cuanto a la exactitud y validez de los datos reportados. Los funcionarios señalaron que las revisiones de control brindan la oportunidad de hacer un seguimiento de cualquier pregunta relacionada con los datos, pero en este momento la entidad ya ha sido seleccionada para su revisión.

Dada la ponderación del 40% asignada a las respuestas de los cuestionarios de autoevaluación en la evaluación preliminar de riesgos, la validación o al menos la corroboración de estos datos es vital. La IGAE podría desarrollar un plan para mejorar la validación de los datos y la corroboración de los datos autodeclarados como parte de su proceso de gestión de la calidad de los datos, incluyendo la comprobación aleatoria y una guía formalizada para los analistas que garantice la comprobación sistemática de los hechos durante las revisiones de control. La Tabla 2.1 muestra las buenas prácticas de la Comisión Europea en materia de gestión de la calidad de los datos, que la IGAE podría considerar como parte de los futuros esfuerzos para garantizar la calidad de los datos.

Habiendo puesto a prueba el SSC en 2019, la ONA puede considerar medidas adicionales para supervisar y dar seguimiento al estado de las recomendaciones que formula. Como se ha comentado, las conclusiones de la ONA tras sus revisiones de control, que documenta en un informe de evaluación, pueden incluir una de estas tres acciones: mantener, fusionar o disolver. Cuando la ONA decide mantener una entidad, también puede proporcionar recomendaciones al nivel directivo de la misma para mejorar sus políticas y procesos. Por ejemplo, la ONA puede recomendar que la entidad elabore los documentos de planificación estratégica (planes de actuación) conforme a lo previsto en la Ley 40/2015 de 1 de octubre de Régimen Jurídico del Sector Público, o que concrete con mayor precisión las actividades o funciones que la entidad realiza.

A partir de marzo de 2020, la ONA ha comenzado a supervisar el grado en que las organizaciones han implementado sus recomendaciones formuladas a raíz de las revisiones de control realizadas en 2019. La ONA realiza el seguimiento mediante una carta que envía al ministerio competente de la entidad auditada. A través de esta carta, la ONA solicita información que describa los avances de la entidad en la aplicación de las recomendaciones que la ONA hizo. El seguimiento se centra en las recomendaciones que los directivos de la entidad auditada habían aceptado previamente en respuesta al informe provisional o al propio ministerio de la entidad auditada. Sin embargo, las entidades auditadas pueden estar en desacuerdo con las recomendaciones de la ONA, en cuyo caso el Ministerio de Hacienda toma la decisión de aceptar o rechazar la recomendación. En la actualidad, no existe ningún mecanismo que permita hacer un seguimiento de la decisión del Ministerio de Hacienda cuando la ONA y la entidad auditada no están de acuerdo con las recomendaciones.

Además, la ONA puede mejorar sus procesos para dar seguimiento a la forma en que, en caso de ocurrir, el Consejo de Ministros actúa sobre sus recomendaciones. El SSC es una herramienta que informa de las decisiones de los responsables de las políticas. La decisión de disolver o fusionar entidades es muy política y, en algunos casos, los responsables políticos deciden no adoptar las medidas que la ONA recomienda. Esta etapa de la toma de decisiones es poco clara. Una vez que la ONA envía el informe de evaluación, no existe un mecanismo formal para seguir e informar la decisión y las acciones del Ministerio de Hacienda y del Consejo de Ministros. Por tanto, la ONA no sabe cómo los responsables de la elaboración de políticas utilizan sus informes de evaluación y actúan en consecuencia.

Las normas internacionales de auditoría exigen que las instituciones auditoras realicen un seguimiento de las recomendaciones de auditoría como elemento crítico para mejorar el impacto de sus informes. "El seguimiento es un proceso mediante el cual los auditores internos evalúan la idoneidad, la eficacia y la oportunidad de las medidas adoptadas por el nivel directivo en relación con las observaciones y recomendaciones señaladas", así como si la dirección o el Consejo han asumido el riesgo de no tomar medidas (The Institute of Internal Auditors, 2009[12]). El seguimiento sistemático y la supervisión de la adopción de las recomendaciones facilitan un seguimiento eficaz. Como se ha comentado, en España, la ONA y las partes interesadas del SSC, incluido el Ministerio de Hacienda, podrían mejorar dos tipos de mecanismos de seguimiento y rastreo, entre los que se encuentran: 1) los procesos de seguimiento de las recomendaciones para las entidades auditadas en relación con sus informes de control/evaluación, incluyendo la decisión del Ministerio de Hacienda cuando la ONA y la entidad auditada no están de acuerdo; y 2) el seguimiento de las decisiones tomadas o las medidas no adoptadas por los responsables de las políticas en respuesta a sus informes de evaluación.

El seguimiento de las recomendaciones puede adoptar muchas formas, incluidas las bases de datos internas y en línea, así como los informes narrativos que resumen las recomendaciones. El ya mencionado trabajo de la Oficina de Rendición de Cuentas del Gobierno de EE.UU. para evaluar la duplicación, la fragmentación y la superposición en el gobierno ofrece un ejemplo de seguimiento en línea de las recomendaciones. El Action Tracker [Rastreador de Acciones] es una herramienta en línea que sigue los avances alcanzados tanto por el Congreso como por las entidades federales en respuesta a las recomendaciones de la GAO para reducir la duplicación, la fragmentación y la superposición. La categorización del estado de las recomendaciones incluye: Nuevo-Pendiente, No atendido, Parcialmente atendido, Consolidar u Otro, y Cerrado-No atendido (US Goverment Accountability Office, 2021[13]). Las recomendaciones pueden descargarse en formatos XLSX o CSV, con lo que se fomenta un mayor uso público, análisis y conocimiento de su trabajo.

Para los responsables políticos y las entidades de toma de decisiones, como el Consejo de Ministros en España, la narrativa en torno al seguimiento de las recomendaciones puede ser una aportación útil para comprender la naturaleza de las recomendaciones y el impacto de la acción o la inacción. Una narrativa puede proporcionar el contexto para complementar una lista del estatus de las recomendaciones. Como señala el Instituto de Auditores Internos (IIA) en su Libro Blanco, Reporting on the Status of Audit Recommendations [Informe sobre el estado de las recomendaciones de auditoría], los informes narrativos son especialmente benéficos para los comités de auditoría, si España los desarrollara, como se describe en la siguiente sección. La Tabla 2.2 proporciona consideraciones para que la ONA considere el estilo y el enfoque de dichos informes, contrastando lo que el IIA considera como estilos de informes narrativos de bajo valor frente a los de alto valor, reconociendo que cualquier narrativa sobre el seguimiento de las recomendaciones tendría que adaptarse al contexto de la ONA e integrarse potencialmente con los informes existentes que surjan del SSC.

La IGAE —específicamente, un pequeño equipo en la ONA y la OIP— absorbió las responsabilidades del SSC como resultado de las propuestas de reforma de la CORA y de la Ley de Régimen Jurídico de las Administraciones Públicas de 2015. El diseño, implementación y mejora continua al SSC y la supervisión de 420 entidades públicas crea una demanda de recursos internos que no existía antes de las reformas. Además, en respuesta al cuestionario de la OCDE, los funcionarios de la ONA destacaron el aumento de la carga de trabajo del SSC junto con la necesidad de una mayor especialización. Para garantizar que la ONA pueda cumplir eficazmente su mandato en materia de SSC, la IGAE y la ONA podrían considerar la posibilidad de crear un equipo o una unidad específica dentro de la ONA. Este equipo podría estar formado por un grupo multidisciplinario de expertos, incluidos auditores y expertos en datos, que podrían abordar las demandas del SSC como una línea de trabajo única en la ONA.

La ONA podría inspirarse en otras entidades fiscalizadoras que han reconocido la necesidad de contar con un equipo de trabajo dedicado a desarrollar evaluaciones de riesgo basadas en datos. Como en el caso del ejemplo mencionado anteriormente del Tribunal de Cuentas de Turquía (TCT), en el que el TCT creó un "Grupo de Análisis de Datos" que diseña metodologías para utilizar técnicas de auditoría asistidas por ordenador. En Italia, el Tribunal de Cuentas aprovechó la experiencia de un equipo multifuncional de auditores y técnicos para llevar a cabo sus propias actividades de control y supervisión, denominado "Centro de Competencia de Análisis de Datos" (véase el Recuadro 2.4). La ONA podría contemplar con más detalle la mejor manera de desarrollar y estructurar su equipo como parte de sus esfuerzos para adoptar un enfoque estratégico de la digitalización y evaluar su Arquitectura Empresarial, como se ha descrito anteriormente. La ONA también podría considerar programas de formación específicos para los técnicos de datos de la OIP y los analistas de la ONA con el fin de ampliar sus competencias, así como la contratación de personal nuevo con las competencias necesarias en materia de datos o análisis.

La Encuesta de Presupuesto Abierto (OBS) para 2019, el año más reciente disponible, mide tres áreas clave de la gobernanza: la transparencia, la participación pública y la vigilancia del presupuesto. Las métricas de transparencia en la OBS se centran en el acceso público a la información en cuanto a cómo recauda y gasta el gobierno los recursos públicos (International Budget Partnership, 2019[15]). Según el International Budget Partnership (IBP), una puntuación de transparencia de al menos 61 sobre 100 indica que un país "probablemente publica suficiente material para apoyar un debate público informado sobre el presupuesto".4 La puntuación de España para el año 2019 fue de 53, como se muestra en la Figura 2.1.

La OBS también comprende preguntas relacionadas con la supervisión presupuestaria y en lo que respecta a las preguntas relacionadas con la supervisión de las auditorías, España obtiene una puntuación comparativamente buena (95 sobre 100). Sin embargo, hay preguntas específicas que aportan más contexto y que son relevantes para la IGAE y los actores de la rendición de cuentas como abanderados clave del estado de la transparencia en el gobierno español. En concreto, a la pregunta "¿Pone el ejecutivo a disposición del público un informe sobre las medidas que ha tomado para abordar las recomendaciones o conclusiones de las auditorías que indican la necesidad de adoptar medidas correctivas?", la respuesta fue la misma que la de muchos países miembros de la OCDE y otros encuestados por la OBS. "No, el ejecutivo no informa sobre las medidas que ha tomado para abordar los hallazgos de las auditorías" (International Budget Partnership, 2019[15]).

En este contexto, la IGAE puede contribuir a aumentar la transparencia de la administración y satisfacer la demanda de los ciudadanos haciendo públicos sus informes anuales del SSC. Esto es especialmente crítico dada la mayor atención que se presta a la eficacia, la eficiencia y la economía del gobierno tras la pandemia del COVID-19 y el aumento en el gasto público. Los funcionarios de la IGAE están obligados a mantener la confidencialidad de las actividades de control (Gobierno de España, 2003[16]); sin embargo, se hacen excepciones en leyes relacionadas, como la posibilidad de que las entidades públicas de investigación publiquen informes resumidos sobre sus actividades (Gobierno de España, 2019[17]). Aunque sigue normas distintas para las entidades fiscalizadoras superiores, el Tribunal de Cuentas de España tiene la facultad y el mandato de publicar sus informes y resultados de auditoría. Para garantizar dicha transparencia, la IGAE y la ONA podrían identificar y hacer uso de las excepciones legales existentes para compartir los resultados del SSC de forma externa. Como mínimo, respetando sus requisitos de confidencialidad, esto podría incluir el acceso a los informes resumidos de los hallazgos y recomendaciones clave que se derivan del SSC por parte de otras entidades de supervisión. Según los funcionarios de la ONA, las principales partes interesadas con las que podría compartir sus informes de supervisión continua son:

• El Tribunal de Cuentas para apoyar sus actividades de control externo de la gestión económico-financiera del sector público.

• La Dirección General de Presupuestos para informar de los procesos y discusiones para determinar el presupuesto del Estado y asignar recursos.

• Las Inspecciones Generales de Servicios de los ministerios competentes para mejorar sus actividades de control.

• Otras organizaciones relevantes, como la Autoridad Independiente de Responsabilidad Fiscal de España (AIREF), entidad responsable del control fiscal.

Compartir los resultados del SSC de manera más amplia podría tener mayores implicaciones para la transparencia de la auditoría interna y el trabajo de la IGAE en general. Esto promovería las buenas prácticas para la transparencia de los informes dentro de la administración española, y alinearía aún más a la IGAE con los estándares internacionales para la publicación de informes. El Recuadro 2.5 proporciona un contexto sobre la transparencia de los informes en el contexto de la auditoría interna, basándose en una publicación trascendente y en los datos de la encuesta del Instituto de Auditores Internos. En muchos países, la publicación de los informes de auditoría interna es una práctica establecida desde hace tiempo.

La IGAE se enfrenta a un problema de capacidad más sistémico y amplio para garantizar el seguimiento de las recomendaciones y los resultados del SSC y que las partes interesadas compartan las prioridades de supervisión. El sistema de seguimiento y los informes de seguimiento descritos anteriormente son mecanismos fundamentales para promover la rendición de cuentas y la transparencia, pero son medios técnicos para gestionar las operaciones e informar a las partes interesadas. La IGAE podría beneficiarse de mecanismos que también convoquen a las partes interesadas y promuevan la coordinación. Existen varias modalidades para lograrlo. El primer paso es que la IGAE aclare sus objetivos a este respecto, y luego decida la forma, la función y las partes interesadas. En particular, un objetivo de comprometerse formalmente y con frecuencia con los actores políticos y los principales responsables de la toma de decisiones del SSC, como el Consejo de Ministros, puede dar lugar a un mecanismo de coordinación diferente al de un objetivo de naturaleza más técnica, como la participación de los sujetos de la auditoría para garantizar la asimilación de las recomendaciones de la IGAE en los ministerios.

Dependiendo del objetivo final, una opción es que la IGAE establezca un grupo de trabajo de entidades de supervisión, incluidos los mencionados anteriormente, con el mandato de apoyar la entrega, la mejora y la difusión de los resultados de la supervisión continua. A corto plazo, esta sería la forma más eficaz y eficiente de que la IGAE avanzara en las asociaciones constructivas y el intercambio de información en el contexto del SSC. Como mecanismo más sólido y formal, la IGAE podría considerar la posibilidad de liderar la creación de uno o varios comités de auditoría dentro del Ministerio de Hacienda (y/o entre los ministerios) para reforzar la coordinación durante la siguiente etapa de desarrollo del SSC.

En el sector público, los comités de auditoría independientes son comités a nivel del consejo de administración con una mayoría de miembros independientes encargados de supervisar las prácticas de gestión en áreas clave de gobierno (The Institute of Internal Auditors, 2014[20]). Los comités de auditoría tienen una relación mutuamente benéfica con la auditoría interna, ya que hacen responsable a la dirección de la evaluación y aplicación, en su caso, de las recomendaciones de la auditoría interna (The Institute of Internal Auditors Australia, 2020[14]). Los comités de auditoría pueden ayudar a definir las prioridades, promover el flujo de información y conocimientos entre las diferentes partes interesadas y asesorar sobre la adecuación de los recursos. Los comités de auditoría pueden añadir valor a una organización de otras maneras, entre las que se encuentran:

• Facilitar una toma de decisiones bien informada, eficiente y eficaz,

• Promover y dar seguimiento a una cultura ética.

• Garantizar el cumplimiento de un código de conducta bien diseñado.

• Supervisar un sistema eficaz de supervisión y gestión de riesgos.

• Supervisar un sistema de control interno eficaz y eficiente.

• Supervisar los informes internos y externos de la información financiera y no financiera.

• Promover una comunicación eficaz con la actividad de auditoría y los proveedores de garantías externas y responder adecuadamente a las cuestiones que planteen (The Institute of Internal Auditors, 2014[20]).

En España, los comités de auditoría del sector público son escasos. No existe ningún requisito legal para que las entidades públicas establezcan un comité de auditoría, excepto para las sociedades mercantiles estatales (The European Confederation of Institutes of Internal Auditing, 2019[21]). El Código de Buen Gobierno se dirige a las empresas que cotizan en bolsa, pero no afecta a las entidades del sector público, que pueden crear voluntariamente un comité de auditoría. Aunque no está obligada legalmente a hacerlo, la IGAE podría considerar la posibilidad de liderar el desarrollo de un comité de auditoría que tenga al SSC como parte de sus responsabilidades. El comité de auditoría podría estar conformado por las partes interesadas internas del Ministerio de Hacienda, el Consejo de Ministros y otras entidades de supervisión, así como la Inspección General de Servicios, entre otros. Podría constituir un foro para compartir los resultados del SSC y apoyar las mejoras en el futuro. El mandato de cualquier comité de auditoría podría ser más amplio que el del SSC y se basaría en las leyes, reglamentos y políticas existentes. Los estatutos de un comité de auditoría definirían su mandato y establecerían su autoridad con respecto a sus actividades.

Para llevar a cabo una supervisión continua, la IGAE tiene el mandato legal de aprovechar los datos financieros y económicos disponibles, la información proporcionada por las entidades para cumplir con los nuevos requisitos y recomendaciones del Inspector General de Servicios de los ministerios competentes (Gobierno de España, 2018[22]). Al igual que en países como Francia, España tiene funciones de Inspector General cuya función consiste en examinar los servicios y entidades afiliadas al ministerio correspondiente y hacer propuestas para mejorar y simplificar los procedimientos administrativos. Esta función también comprende la revisión de los servicios con fines de garantizar la calidad, la eficacia y la relación calidad-precio5 (OCDE, 2014[1]).

El papel de las funciones del Inspector General también se amplió en virtud de la Ley de Régimen Jurídico de las Administraciones Públicas y ahora comprende un control de eficacia que evalúa la medida en que una organización ha cumplido sus objetivos y evalúa la utilización de sus recursos de conformidad con su plan de acción estratégico (Gobierno de España, 2015[23]).6 La IGAE indicó que el control de eficacia complementa el proceso de supervisión continua, en el que la labor de los Inspectores Generales sirve de insumo para la evaluación de la racionalidad del organismo.

Como se resume en la Tabla 2.3, la coordinación es uno de los principios rectores de la supervisión continua eficaz establecida en la Directiva del SSC. Los Inspectores Generales podrían coordinar sus actividades de control de eficacia con la IGAE y a establecer un canal de comunicación con los órganos de supervisión de las entidades sujetas a supervisión. Poniendo en práctica esto, la IGAE se ha reunido periódicamente con el Inspector General del Ministerio de Hacienda para concienciar sobre el modelo de supervisión continua. También ha colaborado en la elaboración de una guía para el Inspector General de Servicios que lleva a cabo el control de eficacia con la Dirección General de Gobernanza Pública del Ministerio de Política Territorial y Función Pública (OCDE, 2020[2]). La presente guía incorpora elementos relacionados con la supervisión continua para que los inspectores los tengan en cuenta al realizar los exámenes de control de la eficacia.

De conformidad con el principio rector sobre la coordinación establecido en la Orden para llevar a cabo la supervisión continua (Gobierno de España, 2018[22]), la ONA planificó una serie de actividades para concienciar sobre el SSC a otros órganos de control y supervisión. Esto incluía la aclaración de las funciones y responsabilidades de la IGAE, en relación con los Inspectores Generales de Servicios y los órganos de supervisión de las entidades del sector público (órganos de tutela) y el establecimiento de relaciones con estos órganos para apoyar la prestación eficaz del SSC (ONA, 2018[24]).

La IGAE aplica las Normas Internacionales de Auditoría adaptadas al sector público español. De acuerdo con la NIA 610 y la NIA-ES-SP 1610, la ONA debe evaluar la objetividad y competencia del trabajo de la función de auditoría interna, los Inspectores Generales de Servicios, antes de utilizarla (International Auditing and Assurance Standards Board, 2013[25]; IGAE, 2019[26]). Si bien dichas garantías son importantes, las buenas prácticas internacionales en materia de auditoría interna en el sector público recomiendan que se comparta la información, se coordinen las actividades e incluso que las funciones de auditoría interna se basen en la labor de otros proveedores de garantías, dependiendo de las circunstancias (The Institute of Internal Auditors, 2019[27]). Esta coordinación puede ser particularmente ventajosa cuando los recursos son limitados para todas las partes involucradas, incluyendo al organismo en revisión. Esta directriz para los auditores internos reconoce explícitamente el papel integral que desempeñan los inspectores y los auditores externos en la supervisión del sector público.

Los mandatos de los órganos de auditoría y control en España están definidos en la ley, y la normativa vigente no permite el intercambio de información entre ellos. Por lo tanto, la ONA dispone actualmente de canales de comunicación informales con otros órganos de supervisión. Por ejemplo, comparte las actividades de auditoría pública previstas con el Tribunal de Cuentas antes de que se aprueben los planes para reducir al mínimo la duplicación o la sobrecarga de las entidades del sector público.7 A partir de las entrevistas con el Inspector General de Servicios, si bien se coordinan las actividades de control con la ONA, esto se hace de manera informal (OCDE, 2020[28]). En 2020, una disposición para facilitar el intercambio de información entre los órganos de control interno y externo fue presentada y aprobada como modificación de la Ley General Presupuestaria de 2003 (Gobierno de España, 2003[16]).

Sin embargo, en ausencia de comités de auditoría u otras formas de coordinación intra e interministerial, existen oportunidades para que las entidades fiscalizadoras mejoren el intercambio de información de riesgo relevante generada para o como resultado del SSC, sin impedir su autonomía o independencia. Resulta crucial tener una coordinación más estrecha entre la auditoría interna, las instituciones de auditoría externa y otros proveedores de garantías para lograr los siguientes objetivos complementarios

• intercambio de información, planes de auditoría e informes entre los auditores internos y las EFS, para ayudar a realizar las auditorías, incluyendo las evaluaciones de la eficacia de los arreglos de control interno y gestión de riesgos

• lograr economías de escala a medida que los órganos de auditoría cooperan en cuestiones metodológicas y de capacitación

• que las EFS asesoren o actúen como observadoras, participen en las reuniones periódicas de los titulares de las dependencias de auditoría interna (como ocurre en Austria, Bulgaria, Dinamarca, Hungría, Letonia, Países Bajos, Polonia y el Reino Unido)

• facilitar las interacciones y la comunicación con los órganos de auditoría externos e internos

• acordar normas, instrumentos y herramientas comunes para facilitar una cooperación eficaz.

El fortalecimiento y la formalización de los mecanismos de cooperación y coordinación entre las diferentes instituciones de control, auditoría interna y auditoría externa es crucial. La mejora de la cooperación entre las instituciones de control y auditoría interna y externa depende de varios factores, en primer lugar, el compromiso de asumir un papel activo y la voluntad de hacer los cambios necesarios. Tanto la INTOSAI como el IIA han publicado normas y directrices internacionales relacionadas con la coordinación y la cooperación entre las EFS y los auditores internos del sector público, incluida la INTOSAI GOV 9150 Coordinación y Cooperación entre las Entidades Fiscalizadoras y los Auditores Internos en el Sector Público (INTOSAI 2010) y la Norma 2050 IPPF de la IIA (IIA 2016) así como la Asesoría Práctica 2050-1 Coordinación (IIA 2009). Además, en un documento preparado conjuntamente por la Organización de Entidades Fiscalizadoras Superiores de Europa (EUROSAI) y la Confederación Europea de Institutos de Auditoría Interna (ECIIA) detalla las principales tendencias de la coordinación entre las instituciones de auditoría externa e interna (véase el Recuadro 2.6).

Si bien el SSC es un requisito legal para las entidades, la IGAE podría beneficiarse de la adopción de un enfoque que promueva este valor agregado del proceso a las entidades más allá del cumplimiento. Las partes interesadas de los ministerios competentes indicaron su interés en poder discutir y compartir con sus pares u otras instituciones gubernamentales las buenas prácticas recomendadas como resultado del SSC. También acogieron con agrado la celebración de debates más informales y la comunicación con la ONA.

El Ministerio de Finanzas reflexionó sobre los beneficios para las entidades y los ministerios competentes de adscripción de tener acceso a los resultados de la clasificación de la evaluación de riesgos en el componente de revisión automatizada del SSC. Esta información se consideró potencialmente útil para las entidades para sus propios fines de evaluación de riesgos. También proporciona a los ministerios competentes una mayor visibilidad sobre el desempeño de las entidades que no suelen estar en el radar, aunque no haya una preocupación inmediata sobre su racionalidad (OCDE, 2020[28]). El aumento de la automatización y la información en tiempo real se mencionaron como áreas que la ONA podría mejorar para brindar un mejor apoyo en los esfuerzos del organismo para proporcionar información para el SSC (OCDE, 2020[28]).

Por consiguiente, la ONA puede considerar la posibilidad de aprovechar la aplicación más amplia de los resultados del SSC para promover sus beneficios como una herramienta valiosa para mejorar el establecimiento de estrategias, la toma de decisiones y la gestión y las operaciones diarias de las entidades públicas. La dirección de las entidades públicas tiene la responsabilidad primordial de establecer y utilizar su sistema de control interno para identificar y mitigar eficazmente el programa y los riesgos (The Institute of Internal Auditors, 2019[27]). Los responsables de alcanzar los objetivos del organismo y de prestar sus servicios también deben asumir la responsabilidad de la gestión de riesgos, incluida la identificación y puesta en marcha de actividades de control para mitigar los riesgos. La "propiedad de la gestión" implica no solo que la gestión y el personal entiendan la reforma institucional, sino también que la acepten. El hecho de compartir los resultados del componente de evaluación de riesgos del SSC podría permitirlo.

Dado que se trata de un proceso nuevo y un requisito legal, cabe esperar una curva de aprendizaje para las entidades. Sin embargo, la ONA debería considerar las oportunidades de aumentar la concientización del proceso y las expectativas para que las entidades puedan prepararse mejor y organizar los recursos limitados para responder. La ONA indicó que se preveía que la capacitación sobre los requisitos del SSC se incorporara como un módulo de capacitación en administración pública para los funcionarios públicos y para las nuevas contrataciones en la IGAE en 2021 (OCDE, 2020[2]). La ONA podría considerar la posibilidad de incluir informes específicos de los resultados del SSC que reflejen las necesidades de información de sus diversos interesados en los casos permitidos por la legislación.

En poco tiempo, la IGAE y la ONA han desarrollado una metodología eficaz para la supervisión continua en España que refleja el espíritu original de las propuestas de reforma de la CORA de 2013 y la normativa posterior. A medida que la ONA desarrolla el SSC, además de las mejoras en la metodología de evaluación de riesgo detallada en el Capítulo 1, podría fortalecer su estrategia y capacidad para hacer uso de datos y garantizar que los procesos estén en su sitio para la mejora continua. Esto podría incluir la creación de circuitos de retroalimentación para comenzar a monitorizar de manera sistemática e iterativa los aspectos más difíciles, complejos y propensos a errores del proceso actual.

El gobierno de datos, la gestión de datos y las habilidades de datos son factores claves que pueden influir en la eficacia del SSC. El capítulo hace varias recomendaciones y subrecomendaciones para la IGAE y la ONA que tocan estas áreas. Por ejemplo, el capítulo destaca oportunidades para que la ONA automatice procesos de importación de datos y análisis, algunos de los cuales están ahora parcialmente automatizados. También sugiere que la ONA tome medidas adicionales para validar y corroborar los datos autoinformados para proporcionar una mayor garantía de la calidad de los datos introducidos en el SSC. Además, el capítulo tiene en cuenta el ciclo completo del SSC y recomienda mejoras en los procesos de la ONA para realizar seguimiento de conclusiones y recomendaciones de sus actividades de supervisión continua. Si la ONA avanza hacia un enfoque más automatizado y basado en datos, también se necesitarán experiencia adicional y habilidades de datos especializadas para mejorar el SSC.

Por último, el capítulo reconoce la situación política y el contexto general en el que operan la ONA y el SSC. En concreto, la ONA es pionera en la supervisión continua en España y esto tiene implicaciones para las partes interesadas que tienen un impacto directo en el SSC, o para las instituciones que podrían beneficiarse de conocer los resultados del seguimiento para mejorar su propia gobernanza. Por tanto, el capítulo ofrece recomendaciones para promover la transparencia, la comunicación y la coordinación para la supervisión continua. Concretamente, la ONA podría fortalecer la transparencia de sus esfuerzos mediante la publicación de los informes anuales del SSC. Un comité de auditoría con el SSC como parte de su responsabilidad también podría ayudar a promover la transparencia, así como a garantizar las aportaciones de las partes interesadas en todo el SSC, incluido el Ministerio de Hacienda, el Consejo de Ministros y otros órganos de supervisión. El capítulo también anima a la IGAE y la ONA a mejorar la coordinación y la comunicación con las instituciones claves de supervisión, en parte para evitar la duplicación, pero también para demostrar el valor del SSC a medida que evoluciona.

[5] Canada Border Services Agency (2019), Audit of Enterprise Architecture, https://www.cbsa-asfc.gc.ca/agency-agence/reports-rapports/ae-ve/2019/ea-ae-eng.html.

[11] European Platform Undeclared Work (2016), Data Mining for more Efficient Enforcement.

[10] Fazekas, M., Ugale, G, & Zhao, A. (2019), Analytics for Integrity: Data-Driven Approaches for Enhancing Corruption and Fraud Risk Assessments, OECD, Paris, https://www.oecd.org/gov/ethics/analytics-for-integrity.pdf.

[17] Gobierno de España (2019), Real Decreto-ley 3/2019,, de 8 de febrero, de medidas urgentes en el ámbito de la Ciencia, la Tecnología, la Innovación y la Universidad, https://www.boe.es/diario_boe/txt.php?id=BOE-A-2019-1782.

[22] Gobierno de España (2018), Boletín Oficial del Estado, https://www.boe.es/eli/es/o/2018/04/09/hfp371.

[23] Gobierno de España (2015), Boletín Oficial del Estado, https://www.boe.es/buscar/act.php?id=BOE-A-2015-10566.

[16] Gobierno de España (2003), Ley 47/2003, de 26 de noviembre, Presupuestaria, https://www.boe.es/buscar/act.php?id=BOE-A-2003-21614&p=20201231&tn=6.

[26] IGAE (2019), Norma Internacional de Auditoría (NIA-ES-SP) 1610: Utilización del trabajo de un experto del auditor, https://www.igae.pap.hacienda.gob.es/sitios/igae/es-ES/Control/CFPyAP/Documents/Copia_Electr%C3%B3nica_NIA-ES-SP%201620%20%20NOTA.pdf.

[25] International Auditing and Assurance Standards Board (2013), International Standard on Auditing (ISA) 610, https://www.ifac.org/system/files/publications/files/ISA-610-(Revised-2013).pdf.

[15] International Budget Partnership (2019), Open Budget Survey: Spain Country Summary, https://www.internationalbudget.org/open-budget-survey/country-results/2019/spain.

[4] OCDE (2020), Auditing Decentralised Policies in Brazil: Collaborative and Evidence-Based Approaches for Better Outcomes, OECD Public Governance Reviews, OECD Publishing, Paris, https://dx.doi.org/10.1787/30023307-en.

[8] OCDE (2020), “Digital Government Index: 2019 results”, OECD Public Governance Policy Papers, No. 3, OECD Publishing, Paris, https://dx.doi.org/10.1787/4de9f5bb-en.

[28] OCDE (2020), OECD Fact-Finding Interview with the Inspector General of Services for the Ministry of Finance (Inspección General de Servicios del Ministerio de la Hacienda).

[2] OCDE (2020), OECD Fact-finding interviews with the National Audit Office (Oficina Nacional de Auditoría, ONA).

[9] OCDE (2019), The Path to Becoming a Data-Driven Public Sector, OECD Digital Government Studies, OECD Publishing, Paris, https://dx.doi.org/10.1787/059814a7-en.

[1] OCDE (2014), Spain: From Administrative Reform to Continuous Improvement, OECD Public Governance Reviews, OECD Publishing, Paris, https://dx.doi.org/10.1787/9789264210592-en.

[3] ONA (2020), Informe de Evaluación Supervisión Continua 2017 y 2019.

[24] ONA (2018), Estrategia del Sistema de Supervisión Continua (2018-2020).

[21] The European Confederation of Institutes of Internal Auditing (2019), Audit Committees in the Public Sector., https://www.eciia.eu/wp-content/uploads/2019/07/Audit-Committee-Paper-8th-draft-15.7-disp.pdf.

[27] The Institute of Internal Auditors (2019), Supplemental Guidance: Unique Aspects of Auditing in the Public Sector.

[18] The Institute of Internal Auditors (2017), International Professoinal Practices Framework: Implementation Guide 2440--Disseminating Results, https://na.theiia.org/standards-guidance/Public%20Documents/Transparency%20of%20the%20Internal%20Audit%20Report%20in%20the%20Public%20Sector.pdf.

[20] The Institute of Internal Auditors (2014), Global Public Sector Insight: Independent Audit Commitees in Public Sector Organisations, https://global.theiia.org/standards-guidance/Public%20Documents/Independent-Audit-Committees-in-Public-Sector-Organizations.pdf.

[12] The Institute of Internal Auditors (2009), Practice Advisory 2500.A1-1: Follow-up Process, https://www.iia.nl/SiteFiles/IIA_leden/Parktijkadviezen/PA%202500A1-1.pdf.

[19] The Institute of internal Auditors (2012), Leading Practice: Transparency of the Internal Audit in the Public Sector, https://na.theiia.org/standards-guidance/Public%20Documents/Transparency%20of%20the%20Internal%20Audit%20Report%20in%20the%20Public%20Sector.pdf.

[14] The Institute of Internal Auditors Australia (2020), Reporting on the Status of Audit Recommendations, https://iia.org.au/sf_docs/default-source/technical-resources/2018-whitepapers/iia-whitepaper_reporting-on-the-status-of-audit-recommendations.pdf?sfvrsn=2.

[6] U.S. Government Accountability Office (2017), Organizational Transformation: A Framework for Assessing and Improving Enterprise Architecture Management, https://www.gao.gov/assets/gao-10-846g.pdf.

[13] US Goverment Accountability Office (2021), GAO: Duplication and Cost Savings, https://www.gao.gov/duplication-cost-savings (accessed on 21 March 2021).

[7] US Government Accountability Office (2004), Information Technology Investment Management: A Framework for Assessing and Improving Process Maturity, https://www.gao.gov/assets/gao-04-394g.pdf.