Desde mi niñez y juventud, me he formado y especializado en disciplinas financieras, contables y áreas relacionadas como costos y auditoría. El concepto de GiiA tiene sus raíces en estas disciplinas y en mi interacción desde temprana edad con mis hermanos, quienes eran especialistas en estándares de contabilidad hotelera.
Este estándar aplicaba un riguroso sistema de control continuo sobre sus operaciones. En 1998, al enfrentar un desafío crucial (el caso que se detalla a continuación), se consolidó la base del concepto GiiA, que en 2002 se formalizó como tal tras una variación simpática del nombre original.
Posteriormente, en el Decreto Ley 403 de 2020, derivado de la reforma constitucional de 2019, el concepto de GiiA fue incluido en el Banco de Prácticas, regulado por la Contraloría en un macroproceso y una regulación particular (Resolución 053 de 2022)
1998: El Caso
En 1998, se adjudicó un contrato mediante un concurso de méritos para auditar la cartera de una entidad pública dedicada a financiar soluciones de vivienda. La auditoría abarcaba cinco años de operaciones, con aproximadamente un millón de transacciones, y el plazo para completarla era de cuatro meses.
El trabajo de auditoría, siguiendo los estándares, incluía el conocimiento profundo de las operaciones, los sistemas de apoyo y una apreciación personal de la fiabilidad y eficacia del sistema de control interno. Esto implicaba realizar pruebas de recorrido, que consistían en una revisión exhaustiva de listados y documentación.
Durante la revisión, se identificaron indicios de irregularidades. Al profundizar en el análisis y confirmar estas irregularidades, se consideró el hallazgo como un problema aislado. Confirmada la condición de irregularidad, lo usual era darle la connotación de hallazgo. Anunciarlo y darse por satisfecho por una normal labor de auditoría.
Sin embargo, surgió una reflexión importante: dado el contexto, ¿podrían haberse presentado irregularidades similares en otras transacciones durante ese período?
Se hipotetizó que sí, que podrían haber ocurrido múltiples irregularidades. Se comenzó un ejercicio para investigar otras posibles prácticas irregulares basándose en el perfil de la irregularidad detectada. La hipótesis era que estas irregularidades podían estar presentes durante el periodo auditado.
El siguiente paso fue identificar casos individuales y tipologías de malas prácticas, y realizar una investigación para confirmar o descartar las hipótesis.
Al contrastar las tipologías en las analizar las bases de datos, se encontraron numerosos saldos, operaciones y transacciones que mostraban características de irregularidad. La revisión detallada confirmó la presencia de fraudes y la colusión de empleados.
Colofón
Un pensamiento crítico (e inteligente) en el control, ante la detección de irregularidades, debería plantear la hipótesis de que estos eventos no son únicos y que pueden existir múltiples casos. Por lo tanto, una detección inicial debería desencadenar una investigación exhaustiva para confirmar o rechazar la existencia de otros eventos similares.
Este enfoque, que quizás era impracticable en los albores de la auditoría, se ha vuelto viable con los avances informáticos desde hace años y, actualmente, con herramientas de analítica de datos e inteligencia artificial. Además, una vez identificada la tipología de la mala práctica, es posible contrastar diversas fuentes de transacciones, no solo dentro de la entidad auditada. Esto permite un control más extenso (macroscópico) para detectar, exponer y abordar las malas prácticas más allá del hallazgo individual. Este es el núcleo de la iniciativa del Banco de Prácticas basado en la GiiA.
Aunque este enfoque puede parecer plausible, no siempre se adopta en auditorías convencionales debido a limitaciones de recursos y presiones para encontrar hallazgos. El hallazgo, aunque es un producto del trabajo de auditoría, a menudo no tiene suficiente fuerza para corregir, mitigar y eliminar las malas prácticas arraigadas. En lugar de impulsar soluciones efectivas, el hallazgo puede convertirse en un mal ejemplo de cómo realizar malas prácticas con el mínimo riesgo de detección.
2002: El Nombre
En un primer intento por establecer el método del "Caso" en la entidad de control, se convocó a un grupo de jóvenes recién ingresados, con potencial para transformar el mundo. Se les presentó la intención, el propósito, el método, los instrumentos y la propuesta de formar un grupo para demostrarlo y extenderlo a todos los procesos de control. Algunos mostraron interés, pero el nombre propuesto, "Grupo de Análisis de Información" (GAI), no fue bien recibido. Se cambió a "Gestión de Información y Análisis" (GIA) y, finalmente, se denominó "Gestión Inteligente de Información y Análisis" (GiiA) para reflejar mejor la relevancia de la iniciativa.