Implementación de un enfoque basado en riesgo para fortalecer la integridad e incorporar el control interno al sistema de gobernanza pública de Colombiano

Un marco sólido de control interno es la piedra angular de una organización en la lucha contra la corrupción, y está compuesta por los procesos, las políticas, los dispositivos, las prácticas y todas aquellas actividades adicionales que sirvan para minimizar los riesgos o mejorar las oportunidades. Esto puede incluir todos los factores tangibles e intangibles que permitan a una organización identificar y hacer frente adecuadamente a las incertidumbres internas y externas, sean estas de orden operativo, financiero o de cumplimiento. Un marco de control interno eficaz debe, en última instancia, ayudar a la organización u organismo a cumplir con su mandato y con toda legislación relevante, salvaguardar los activos del organismo y propiciar la presentación de denuncias, internas y externas. Si bien son los altos directivos los principales responsables de implementar controles internos y supervisar su eficacia, todos los funcionarios de un organismo público y /o privado, desde los más veteranos al personal junior – tienen un papel que jugar en identificar riesgos y deficiencias, así como en asegurar que los controles internos los atiendan y mitiguen, de una manera rentable. En efecto, todo miembro del personal debe ser alentado a contribuir continuamente al desarrollo de mejores sistemas y procedimientos, que aumenten la integridad y mejoren la resistencia del organismo a la corrupción.

La auditoría interna es el siguiente pilar de defensa contra la corrupción: ofrece la garantía objetiva de que la administración de riesgos y los controles internos funcionan correctamente. Una adecuada función de monitoreo y aseguramiento, de la auditoría interna, garantiza que las deficiencias en el control interno sean identificadas y comunicadas, de manera oportuna, a los actores responsables de tomar las acciones correctivas. El proceso de seguimiento consiste, de manera más concreta, en establecer un enfoque sólido para diseñar e implementar los procedimientos de vigilancia a los cuales se les haya asignado prioridad, de acuerdo con el riesgo que representan; evaluando y reportando los resultados, y dando seguimiento a las medidas correctivas, en caso de ser necesario. Es importante hacer notar que, mientras que las funciones de riesgos, control y auditoría son esenciales en la lucha contra la corrupción, también son ingredientes necesarios

para una mayor rendición de cuentas y mejor gestión y efectividad. Con este fin, los controles ayudan a los organismos a funcionar de manera más fluida, reducir costos y evitar el desperdicio.

INCORPORACIÓN DE LA GESTIÓN DE RIESGOS DE FRAUDE Y CORRUPCIÓN EN LOS ORGANISMOS PÚBLICOS DE COLOMBIA

El DAFP (departamento Administrativo de la Función Pública), debe comprometerse de manera más decidida a un enfoque basado en riesgos, como fundamento para consolidar un entorno de control no conducente al fraude y a la corrupción En numerosos países miembros y socios de la OCDE, el control de corrupción y fraude ha sido diseñado en torno a medidas reactivas, dado que la verdadera acción comienza una vez que se descubre un incidente, detonando la investigación y la implementación de medidas disciplinarias u otras acciones en contra de los empleados y partes externas involucradas. En dichas entidades se hace poco énfasis, cuando se hace, en la necesidad de introducir mecanismos proactivos de gestión de riesgos de fraude y de corrupción. El objetivo de una gestión proactiva de riesgos de fraude y de corrupción es apoyar a las organizaciones públicas en la consecución de su misión y objetivos estratégicos, garantizando que el dinero de los contribuyentes y de las entidades gubernamentales sea utilizado para los fines indicados. Una evaluación de riesgos realizada adecuadamente es la base para comprender cabalmente la vulnerabilidad de un sistema y la capacidad de poner en práctica los controles requeridos (es decir, que sean proporcionales y eficaces) para hacer frente a los riesgos de fraude y corrupción, tanto residuales como y, sobre todo, inherentes. Una estrategia de control sólida debe detallar las acciones previstas por la entidad para prevenir, detectar y responder a eventos de fraude y corrupción.

En Colombia, la gestión de riesgos de corrupción es obligatoria para todas las entidades públicas desde 2011, en virtud de la Ley 1474, el Estatuto Anticorrupción. La identificación y evaluación de riesgos de corrupción comenzó como un ejercicio complementario en 2012, promovido por la Secretaría de Transparencia (ST). Desde el inicio, la metodología se basó principalmente en el modelo de control interno existente (el Modelo Estándar de Control Interno, o MECI). Basándose en la experiencia adquirida tras realizar este ejercicio, en 2015 se emitió una segunda versión de la metodología que se alinea aún mejor y más explícitamente con el MECI, dado que este último se revisó después de la introducción del Marco Integrado de Control Interno, COSO 2013. Tras dos ejercicios de mapeo y de evaluación de riesgos institucionales, por un lado, y de riesgos de corrupción por otro lado, se detectaron tanto puntos fuertes como puntos débiles.

A pesar de que los dos enfoques metodológicos están bastante alineados y se basan en los mismos principios, actualmente muchas de las instituciones

colombianas indicaron estar desarrollando registros de riesgo y mapeos independientes, para cada una de estas categorías de riesgo.

El siguiente esquema, tomado del Manual de Gestión de Riesgos de Fraude del COSO/ ACFE, vincula claramente los 17 principios del Marco Integrado de Control Interno COSO 2013, los cuales, a pesar de las diferencias, se ven en gran medida reflejados en la última versión del MECI, con los cinco (5) principios anti-fraude de este manual. Este enfoque pone de manifiesto la estrecha relación entre los mecanismos de control interno y una estrategia eficaz de gestión de riesgos de fraude y de corrupción.

Medidas clave para desarrollar un ambiente no conducente a la corrupción

• Todos los planes administrativos, independientemente de su nivel, deben reflejar los valores y la ética del organismo.

• Requerir un “contrato ético”, o código de conducta, individual entre el empleado y el empleador al ingresar en el servicio público, así como su refrendo periódico (p. ej., cada año).
• Capacitación en la resolución de dilemas, en donde se expliquen los valores del organismo en situaciones concretas (para todos los niveles, incluyendo la dirección).
• Talleres de ética y valores, algunos específicamente dirigidos a los ejecutivos de nivel medio y alto.
• Los procedimientos de contratación, evaluación y cese del área de recursos humanos deben reflejar y apoyar abiertamente la misión y los valores del organismo.
• Los valores del organismo deben estar incluidos en los perfiles y descripciones de los puestos
• Cláusulas éticas en los procesos de contratación y en los contratos suscritos con proveedores externos.
• Coordinadores de ética con responsabilidades específicas de promover e incrementar la conciencia de ética.
• Exhibir públicamente los valores clave del organismo.
• Desarrollar un proceso para informar sobre presuntas violaciones del código de conducta del organismo.

Los   esfuerzos   por  adaptar  e   incorporar  actividades  de    concientización   y capacitación podrían incluir lo siguiente:

• La metodología utilizada para la elaboración de mapas de riesgos de corrupción podría convertirse en parte de los seminarios de desarrollo de capacidades y de capacitación sobre los estándares del MECI, para lograr una mejor alineación de la evaluación de los riesgos de corrupción y de integridad con el procedimiento de evaluación de riesgo utilizada.
• Sobre la base de experiencias anteriores, se podrían desarrollar módulos específicos para prevenir, detectar y hacer frente a prácticas de corrupción en colaboración con la Escuela Superior de Administración Pública (ESAP). Esto debería ser adaptado a las necesidades de los servidores públicos en las unidades de planeación, del personal de las OCI y de los gerentes superiores de las entidades públicas, especialmente aquellos en áreas de alto riesgo, tales como recursos humanos, gestión financiera y adquisiciones.
• Estos módulos deben hacer hincapié en la amplia variedad de prácticas corruptas y de tipos de violaciones de la integridad, para asegurar que los servidores públicos las identifiquen como un riesgo e implementen controles adecuados y rentables.

• Las políticas de la administración pública colombiana deben hace énfasis en el valor de convertirse en un ejemplo a seguir y en adoptar el tono desde la cúpula para promover la ética.

Algunas acciones concretas podrían incluir:

1. Seleccionar a los directivos con base en características que favorezcan la conducta ética y evaluar el cumplimiento ético durante los procedimientos de selección.
2. Realizar seminarios y campañas de concientización grupales e individuales, sobre ética y valores.
3. Implementar herramientas de auto-evaluación para los administradores (cuestionario de evaluación), que incluyan aspectos éticos.
4. Realizar evaluaciones de 360° a los altos directivos, así como a los gerentes en puestos de alto riesgo (incluyendo evaluaciones que incluyan aspectos éticos).

El Marco Internacional de Prácticas Profesionales (International Professional Practice Framework, IPPF) del Instituto de Auditores Internos define el fraude como “cualquier acto ilegal caracterizado por engaño, ocultamiento o violación de confianza (…) perpetrado por actores y organizaciones con el fin de obtener dinero, bienes o servicios; para evitar el pago o la pérdida de servicios; o para conseguir beneficios personales o empresariales”. El Estándar 2110 de Gobernanza del Instituto de Auditores Internos (IPPF, 2015) se refiere específicamente a la responsabilidad de la auditoría interna de evaluar la situación existente y presentar recomendaciones apropiadas para mejorar la gestión pública, a fin de promover los valores y los principios éticos correctos dentro de la entidad. Es más, existe una guía práctica para Evaluar Programas y Actividades Relacionados con la Ética (IIA, 2012).

Los siguientes principios se refieren a la manera en que la Auditoría Interna debe responder a los riesgos de fraude y de corrupción (IPPF del IIA):

• 1210.A2 (Pericia): “Los auditores internos deben tener conocimientos suficientes para evaluar el riesgo de fraude y la forma en que se gestiona por parte de la organización, pero no es de esperar que tengan conocimientos similares a los de aquellas personas cuya responsabilidad principal es la detección e investigación del fraude.”
• 1220.A1 (Cuidado profesional): “El auditor interno debe ejercer el debido cuidado profesional al considerar (…): La probabilidad de errores materiales, fraude o incumplimientos”
• 2060: “El director ejecutivo de auditoría debe informar periódicamente al Consejo y a la alta dirección sobre (…) exposiciones de riesgo relevantes y cuestiones de

control, cuestiones de gobierno corporativo y otras cuestiones necesarias o requeridas.”

• 2120.A2 (Gestión de riesgos): “La actividad de auditoría interna debe evaluar la posibilidad de ocurrencia de fraude y cómo la organización maneja gestiona el riesgo de fraude.”
• 2210.A2 (Objetivos del trabajo): “El auditor interno debe considerar la probabilidad de errores, fraude, incumplimientos y otras exposiciones significativas al elaborar los objetivos del trabajo.”

Por lo tanto, Colombia debe asegurar que los estatutos de la auditoría interna definan claramente el procedimiento para comunicar los casos de corrupción y violaciones financieras a las autoridades competentes, tanto interna como externamente, es decir, a la Oficinas de Control Disciplinario, la Contraloría General de la República (CGR), la Procuraduría General de la Nación (PGN), y la Fiscalía. Esto se debe hacer dentro de un periodo de tiempo determinado, a partir de la fecha en que se haya detectado o haya sucedido el evento.

Fuente: CARLOS ALFONSO BOSHELL NORMAN