Cómo pasar de un Sistema de Auditoría Interna o Intervención a un Modelo de Gestión de Riesgos Universitario…y no morir en el intento.

1.- CONTROL INTERNO EN LA UNIVERSIDAD. ORIGEN.

Intervención, fiscalizaciones, auditoría interna, reintegros, reparos, recomendaciones…. ¿nos suenan verdad? Los anteriores son términos referentes al ejercicio de las modalidades principales para ejercer el control interno. Pero…qué es el control interno, ¿cómo se aplica en la Universidad? ¿Cómo Funciona? Intentemos arrojar luz a este, a veces, volátil concepto.

2.- EN LA PRÁCTICA. QUÉ, CÓMO Y CUÁNDO.

El control de la actividad universitaria tiene su pie legal en el art. 82 de la LOU. En la práctica,  las Universidades han venido a organizar sus Sistemas de Control Interno en torno a 2 modalidades o tipologías de control, definidas en base al momento en el que se ejecuta la actividad de control.

  1. Implantando la función (unidades) de Auditoria Interna. Sus revisiones se realizan después (a posteriori) de que los hechos económicos (gasto, inversión, ingreso) o la gestión se produzca.
  2. Mediante la función Interventora. Control previo y anterior al hecho económico.

La tercera vía ha sido la organización del control sin una unidad específica, repartiendo las funciones de control entre unidades de gestión (gerencia, área económico financiera,…), con la subsiguiente debilidad por la inadecuada segregación de funciones.

A este respecto, cabe señalar un par de reflexiones respecto a estos sistemas organizativos del control interno.

1.- La constitución de unidades encargadas de velar por el control interno universitario no es más que el primer error de concepto. El control interno no puede ser encomendado a una única unidad, es tarea de todos. Las corrientes internacionales han venido a convenir su concepto como proceso (Modelo Coso), incardinado en la gestión (en este caso, universitaria) y en el que intervienen, con distintas responsabilidades, desde  los órganos de gobierno al último de los miembros de la comunidad universitaria.

2.- Quizá los profesionales del control hayamos perdido un valioso tiempo en la discusión sobre qué tipo de control es el más adecuado, si una técnica a priori o a posteriori. El momento es importante, sí, pero ese debate nos ha llevado a desenfocar nuestro objetivo final/la cuestión esencial: Todos (o casi) acabamos aplicando una estructura mixta entre función interventora y auditoria.

3.- LOS PORQUÉS ¿SON REALES? ¿O HAY QUE REPENSARLOS?

Las actividades de control, auditoría o fiscalización, que se realizan en una universidad presentan diferentes orígenes o razones. Las plantillas de las Unidades de Control Interno deberán distribuir las horas disponibles de trabajo de sus escasas plantillas. El reparto de recursos horarios entre dichas actividades responde a diversas motivaciones legales, políticas, técnicas u organizativas, donde unas pueden venir originadas por intereses particulares, por leyes desfasadas para necesidades actuales, por la deriva inercial de las tareas de control interno… Fuentes de Actividades de Control

# ORIGEN DE ACTIVIDADES DE CONTROL
1 Por disposición legal (asistencia mesas de contratación, control material de inversiones, modificaciones presupuestarias, intervención de expedientes…)
2 Orden del órgano jerárquico del que se depende
3 Criterio técnico de la Unidad de Control Interno:

  • Por un análisis planificado en base a riesgos.
  • Por iniciativa propia tras la detección de eventos de riesgos
4 Proyectos Corporativos de la Universidad (formación, planes estratégicos, procesos de calidad,…)

Ante esta situación, convendremos en la necesidad de actualizar y repensar las actividades de control que se realizan para: a) hacer las que verdaderamente sean necesarias, b) dejar de hacer las desfasadas y c) orientar el control a áreas en las que exista riesgo, no es las que lo tenemos controlado y que repetimos año tras año.

La planificación de actividades que la Unidad de Control Interno realice al órgano que la apruebe debería contener una distribución equilibrada, considerando que frente a las órdenes de trabajo por normativa poco más puede hacer que cumplirlas de la forma más eficiente que pueda. Frente al resto de fuentes, un peso excesivo de trabajos realizados por orden del órgano superior podría suponer una supeditación de trabajos basados en necesidades técnicas (riesgos corporativos) frente a intereses políticos o coyunturales.

El problema: la gestión del cambio y la asignación/modificación de pesos entre las distintas fuentes o agentes que ordenan los controles, ¿cómo repartimos ante intereses, en ocasiones, divergentes? Una solución: encontrar un modelo de ganancia común con ventajas y resultados para todos.

4.- MODELO DE GESTIÓN DE RIESGOS. ORGANIZACIÓN EFICIENTE DE RECURSOS ENTRE ÓRGANOS DE GOBIERNO Y CONTROL INTERNO.

Objetivos de gobierno, múltiples actividades de control, escasez de recursos, intereses dispares… todas las Universidades se enfrentan con el arquetípico problema de distribución de recursos finitos entre grandes necesidades. La propuesta que aporto a continuación consiste en el diseño y ejecución de una planificación técnica y organizada de identificación de tareas de control y distribución de recursos, teniendo como único elemento discriminador un criterio de importancia compartida, la gestión estructurada y modelizada del riesgo.

La cuestión no es baladí. Partiendo de la existencia de fiscalizaciones y auditorías que se realizan de manera inercial, áreas de riesgo sobre las que no se hacen actividades de control, o asignaciones de recursos horarios por órdenes del superior jerárquico. ¿Cómo re-ordenar actividades de control y recursos bajo criterios de eficiencia?

Sin cambiar la modalidad preferente de control que cada Universidad realice, intervención o auditoría, encontramos una respuesta equilibrada (órganos de gobierno-control interno) empleando un enfoque de riesgos.  Definamos muy sintéticamente el modelo.

MODELO  DINÁMICO DE GESTIÓN DE RIESGOS

  • Modelo-> estructura formal, diseñada para ordenar y tratar información en un sistema complejo.
  • De gestión-> bloques de gestión:
  1. Estructuración: determinación de objetivos, estructuración de la Universidad en áreas de riesgo, identificación de actividades críticas,
  2. Identificación y evaluación: identificación y determinación de  su impacto y probabilidad.
  3. Resultados/Productos:
    1. Para el Equipo de Gobierno Universitario: Cuadro de Mando de Riesgos universitario, Información estratégica/portfolio de decisiones priorizado por riesgos.
    2. Para el responsable de supervisar el sistema de control Interno: Planificación Estratégica y Operativa del control,
  • De Riesgos->evento que afecta o puede afectar la consecución de los objetivos de la Universidad, determinado por su probabilidad y su impacto en éstos.

A estas alturas, es de suponer que el interventor o auditor universitario experimentado ya estará observando los peros…”el equipo de gobierno no aprobará nunca una propuesta que limite su capacidad de ordenar auditorías y controles a la carta”.

No confrontemos, cooperemos. El órgano de control no debe olvidar que sus acciones deben ir, en una alta proporción, en línea con la acción de gobierno Rectoral, que es quien marca los objetivos de la universidad para su periodo de mandato (el resto, para riesgos estructurales).Así las cosas, al Rector le conviene que el auditor controle los riesgos que atañen a sus objetivos, le conviene tener información estratégica para orientar su acción de gobierno. Al auditor le conviene organizar y planificar el grueso de su actividad de control mediante criterios técnicos.

Veamos algunos ejemplos sobre riesgos universitarios clásicos sobre los que es necesario realizar actividades de control, son riesgos estructurales que a todo Equipo de Gobierno Universitario y a toda Unidad de Control Interno (actuales y futuros) interesa controlar para gestionarlos eficientemente.

 

Un Modelo de Gestión de Riegos aporta una estrategia ganar-ganar. Resultados:

  1. Al Equipo Rectoral/Órganos de gobierno: el cuadro de mando de riesgos corporativos de la universidad. Una cartera de información estratégica en la que apoyarse y soportar su acción de gobierno.
  2. Al Responsable de la Unidad de Control Interno, una herramienta para la Planificación Estratégica de las actividades de control (el ciclo de auditoria y el Plan Anual de actividades de control).

4.- CONCLUSIÓN. IDEAS FINALES.

Como reflexión final, el mundo del control interno universitario, el cómo y el cuándo son cuestiones ampliamente superadas. Demasiado tiempo debatiendo sobre ese Know How. Los desafíos presentes nos exigen a evolucionar el control hacia la eficiencia del Know Why, donde los porqués de invertir recursos en un control (y no en otro) vengan dados por un análisis basado en riesgos. No es cuestión de si subirse al tren o no. Es cuestión de cuándo hacerlo.

Los que llevamos tiempo trabajando con un modelo de gestión de riesgos, elaborando un inventario de riesgos corporativos y sus tareas de control asociadas, entendemos que es momento de rasgarse las vestiduras y dejar a un lado controles cómodos, repetitivos y estériles para atacar los verdaderos riesgos de gestión y gobierno universitario, haciéndolo coordinadamente con el equipo de gobierno, estableciendo reglas y líneas rojas claramente definidas. No confrontando, colaborando.

Julio García Muñoz. Auditor Interno. 

Strategic Audit Planning. Risk Management