10. Gestión de riesgos

Contar con un sistema de control interno y un marco de gestión de riesgos en las organizaciones del sector público es esencial para cualquier estrategia de integridad pública. Las políticas y los procesos eficaces de control interno y gestión de riesgos reducen la vulnerabilidad al fraude y a la corrupción de las organizaciones del sector público, al mismo tiempo que aseguran que los gobiernos operen de manera óptima para ofrecer programas que beneficien a los ciudadanos. Además, estas políticas y procesos ayudan a garantizar la rentabilidad y facilitan la toma de decisiones. Cuando están firmemente establecidas, ayudan a los gobiernos a equilibrar un modelo centrado en la sanción con enfoques más preventivos y basados en los riesgos.

El control interno y la gestión de riesgos abarcan una serie de medidas para prevenir, detectar y responder al fraude y la corrupción. Entre ellas figuran las políticas, las prácticas y los procedimientos que orientan a los directivos y al personal para que cumplan sus funciones de salvaguardia de la integridad mediante la evaluación adecuada de los riesgos y la elaboración de controles basados en los riesgos. Los mecanismos para responder a los casos de corrupción y a las infracciones de las normas de integridad son igualmente críticos para un sistema de control interno integrado.

A la luz de esto, la Recomendación de la OCDE sobre Integridad Pública llama a los adherentes «implementar un marco de control y gestión de riesgos que salvaguarde la integridad en las entidades del sector público, en concreto:

  1. a. garantizando un sistema de control con objetivos precisos que demuestren el compromiso de los responsables con la integridad pública y los valores del servicio público, y que ofrezca un nivel razonable de garantía en cuanto a la eficiencia y los resultados de la entidad, así como del cumplimiento de las leyes y prácticas;

  2. b. garantizando un enfoque estratégico de la gestión de riesgos que comprenda la evaluación de riesgos en el ámbito de la integridad en el sector público, que aborde las carencias en materia de control (en particular, incorporando señales de alerta en los procesos críticos) e implementando un mecanismo eficaz de supervisión y control de calidad del sistema de gestión de riesgos;

  3. c. garantizando que los mecanismos de control sean congruentes y que comprendan procedimientos claros que respondan a sospechas creíbles de infracciones de leyes y reglamentos, y que faciliten las denuncias ante las autoridades competentes sin temor a represalias» (OCDE, 2017[1]).

El control interno y la gestión de riesgos apoyan a las organizaciones del sector público en el logro de una amplia gama de metas y objetivos de políticas. El principio de la gestión de riesgos se centra en los aspectos de control interno y gestión de riesgos en el contexto de la preservación de la integridad y la lucha contra la corrupción en el sector público. En última instancia, los gobiernos deben adaptar su enfoque a sus respectivos contextos jurídicos, reglamentarios y culturales. Ello supone incorporar los objetivos de integridad en las políticas y prácticas de control interno y de gestión de riesgos existentes. También supone la adaptación de las normas y conceptos internacionales de control interno y gestión de riesgos a las realidades locales y al sector público, incluidas las normas y orientaciones elaboradas por el Comité de Organizaciones Patrocinadoras de la Comisión Treadway (Committee of Sponsoring Organizations of the Treadway Commission o COSO), la Organización Internacional de Normalización, el Instituto de Auditores Internos (por ejemplo, el modelo de las «tres líneas de defensa») y la Organización Internacional de Entidades Fiscalizadoras Superiores (International Organization of Supreme Audit Institutions o INTOSAI).

Un sistema de control interno es un componente integrado de las operaciones de una organización del sector público. Desde la perspectiva de la integridad pública, el control interno y la gestión de riesgos consisten en las políticas, los procesos y las medidas para gestionar los riesgos de fraude, corrupción y abuso (en adelante, denominados en su conjunto «riesgos de integridad»). Los siguientes son componentes críticos de un sistema de control interno diseñado para salvaguardar la integridad:

  • un entorno de control1 y una gestión de riesgos de integridad eficaces;

  • un enfoque adaptado a la gestión de riesgos y a la evaluación de los riesgos de integridad;

  • monitoreo y evaluación de la gestión de los riesgos de integridad;

  • procedimientos coherentes y receptivos en el marco de control interno y de gestión de riesgos;

  • una función de auditoría interna que proporcione garantía y asesoramiento independientes y objetivos para reforzar el control interno y la gestión de los riesgos de integridad.

Para su implementación efectiva estos componentes dependen de una serie de actores a nivel gubernamental en sentido amplio, institucional e individual. Por ejemplo, los encargados de establecer normas para las organizaciones del sector público pueden garantizar que las políticas de control interno y gestión de riesgos de todo el gobierno sean coherentes y estén armonizadas, como se explica más adelante. A nivel institucional, las políticas y los procesos de control interno y de gestión de riesgos proporcionan a la dirección una garantía razonable de que la organización está logrando sus objetivos de integridad y gestionando sus riesgos de manera eficaz. Los componentes del control interno y de la gestión de riesgos también están presentes a nivel individual: muchas normas exigen el compromiso personal de los funcionarios públicos para con la integridad y la adhesión a los códigos de conducta.

En las organizaciones del sector público, el entorno de control sirve a una amplia gama de objetivos financieros, presupuestarios y de rendimiento. Consiste en un conjunto de normas, procesos y estructuras de control interno en toda una entidad (Committee of Sponsoring Organizations of the Treadway Commission, 2013[2]). Además de garantizar el cumplimiento de la legislación, las normas y otros requisitos, el entorno de control y los procesos que este comprende contribuyen a la buena gobernanza y ayudan a las organizaciones del sector público a ofrecer resultados a los ciudadanos de manera eficaz y eficiente. En el contexto del principio de gestión de riesgos, el entorno de control refleja los objetivos, las políticas y las personas que contribuyen a institucionalizar un sistema de integridad, la toma de decisiones éticas y la gestión de riesgos.

Diversas organizaciones del sector público comparten la responsabilidad de la implementación del control interno y de la gestión de riesgos en todo el gobierno. Estas organizaciones incluyen el centro de gobierno, las instituciones de auditoría, las entidades centrales de armonización y los organismos anticorrupción. En particular, dichas organizaciones: 1) establecen y armonizan las normas y políticas de control interno; 2) proporcionan orientación y herramientas; 3) evalúan los esfuerzos de todo el gobierno para salvaguardar la integridad, y 4) coordinan y normalizan las prácticas para denunciar y responder a las presuntas violaciones a la integridad para el sector público en su conjunto. Por ejemplo, en los Estados Unidos, la entidad fiscalizadora superior, la Oficina de Rendición de Cuentas del Gobierno (Government Accountability Office o GAO), dirige el proceso de establecimiento de normas para el control interno y la gestión de riesgos en colaboración con un consejo de expertos, y publica las Normas de Control Interno del Gobierno Federal (U.S. Government Accountability Office, 2014[3]), así como un marco de prácticas líderes para la gestión del riesgo de fraude en el gobierno (U.S. Government Accountability Office, 2015[4]). La Oficina de Administración y Presupuesto (Office of Management and Budget o OMB) complementa la labor de la GAO con políticas y orientaciones para su implementación. Esto incluye un documento (Circular OMB N.º A-123) que describe la responsabilidad y los requisitos de la dirección en relación con el control interno y la gestión de riesgos en el gobierno federal, con una referencia explícita a la evaluación de los riesgos de fraude (U.S. Office of Management of Budget (OMB), 2016[5]). En Francia, todas las entidades públicas (administraciones estatales, autoridades locales, instituciones públicas y empresas semipúblicas) están obligadas por ley a realizar evaluaciones de riesgos, independientemente de su tamaño. Por consiguiente, las entidades públicas deben enumerar todos los procesos relacionados con sus actividades, como el reclutamiento y la contratación pública, y evaluar los riesgos de integridad asociados (recuadro 10.1).

La falta de claridad a nivel central sobre cómo institucionalizar el control interno y la gestión de riesgos puede dar lugar a la percepción de que los objetivos de integridad y las actividades de control interno y gestión de riesgos que los respaldan, son independientes de otros objetivos estratégicos y operativos. El centro de gobierno, así como otros organismos con responsabilidades gubernamentales en general, pueden desempeñar un papel fundamental para ayudar a las organizaciones del sector público a superar este desafío, proporcionando normas, políticas y orientaciones unificadas. También puede ayudar a concientizar sobre el valor del control interno y la gestión de riesgos para la toma de decisiones y el logro de los objetivos de la organización.

El personal de todos los niveles de la organización tiene funciones y responsabilidades en la gestión de los riesgos de fraude y corrupción (Committee of Sponsoring Organizations of the Treadway Commission, 2016[7]). Esto puede reconocerse en las políticas, los procedimientos y las orientaciones de la organización para el control interno y la gestión de riesgos, o puede articularse como una política de integridad independiente. Ya sea que se articulen a través de diferentes políticas o dentro de una política de integridad independiente, dichas políticas no deben servir como un listado de verificación para meramente cumplir con los estándares mínimos. Deberían ser exhaustivas y estar adaptadas a cada organización, con relevancia en los riesgos de integridad actuales y emergentes. Los elementos esenciales de las políticas para promover un entorno de control eficaz dentro de las organizaciones del sector público pueden incluir:

  • una referencia a los valores y principios de integridad, así como a las normas de conducta personal que sustentan la organización, y a lo que significan en la práctica;

  • la declaración de los objetivos de la organización en materia de lucha contra el fraude y la corrupción, con una vinculación explícita a la forma en que las actividades de control interno y de gestión de riesgos sirven a esos objetivos;

  • una descripción de la alineación entre los objetivos de integridad y las demás políticas y herramientas de la organización (es decir, código de conducta, código de ética);

  • la definición de fraude y corrupción, con ejemplos ilustrativos de acciones que se consideran corruptas o fraudulentas;

  • la identificación del personal al que se aplica la política, teniendo en cuenta el personal temporal y los voluntarios;

  • una definición clara de las funciones y responsabilidades para el control interno y la gestión de riesgos relacionados con el fraude, la corrupción, el despilfarro y el abuso ;

  • comunicaciones a los empleados sobre cómo informar de las sospechas de infracciones, los canales internos y de denuncia de los que disponen y los procedimientos que deben seguirse;

  • la identificación de las medidas de sanción y la descripción de cómo se investigarán aquellas acciones sospechadas de constituir infracciones.

La dirección tiene la responsabilidad primaria de crear y mantener un entorno de control que enfatice la integridad y establezca pautas positivas. Además, el compromiso de alto nivel contribuye a concientizar sobre los riesgos de integridad y ayuda a mejorar la implementación de las actividades de control. La dirección puede incluir a líderes o grupos de individuos (por ejemplo, juntas o comités) responsables del diseño, la implementación y la supervisión de las políticas y prácticas de control interno y de gestión de riesgos. Además, la dirección debe demostrar su compromiso individual con la integridad (para obtener más información, véanse los capítulos 1 y 6). A través de los códigos de conducta y los códigos de ética, la dirección puede comunicar sus expectativas en cuanto a la conducta de integridad, así como los valores organizativos que permiten a los individuos demostrar personalmente una conducta ética. Estos códigos definen las normas básicas de conducta de los funcionarios públicos y pueden servir de base para que la dirección evalúe la adhesión a los códigos de ética y los haga cumplir mediante medidas disciplinarias, en caso de ser necesario (para obtener más información, véase el capítulo 4).

Algunas organizaciones del sector público designan una entidad para gestionar los riesgos de integridad. La entidad dedicada puede ser un comité, un equipo o una persona, según las necesidades. Por ejemplo, en algunas organizaciones, la entidad es un comité que ayuda a supervisar, coordinar, vigilar y evaluar las actividades de gestión de riesgos en toda la organización. En otros casos, las organizaciones nombran gestores de riesgos de integridad o establecen grupos de trabajo encargados de cumplir los objetivos de integridad dentro del entorno de control. Las atribuciones y el tamaño de la organización (lo que incluye la cantidad de programas y de empleados y los recursos) y la complejidad de los riesgos ayudan a determinar si sería beneficioso el establecimiento de una entidad dedicada. Independientemente del enfoque que se adopte, resulta esencial que la entidad o función tenga líneas de notificación directas con la alta dirección, dada la responsabilidad general de esta última en la gestión de los riesgos de integridad.

Diseñar a medida implica adaptar las actividades de gestión de riesgos a las condiciones singulares de una organización del sector público y la implementación de evaluaciones y controles de riesgos que sean apropiados para el propósito. Los riesgos de integridad varían según los sectores y las organizaciones, por lo que es fundamental que las organizaciones del sector público calibren sus orientaciones, herramientas y enfoques en función de sus objetivos, entorno y contextos específicos. Esto es crucial dado que muchas de las normas de control interno y de gestión de riesgos que los gobiernos han adaptado se desarrollaron originalmente teniendo en cuenta el sector privado. El centro de gobierno, los ministerios competentes y las personas encargadas de la gestión de riesgos desempeñan una función en este proceso de adaptación, que a continuación se refleja en los debates tanto desde la perspectiva gubernamental como institucional.

Las orientaciones y herramientas focalizadas pueden ayudar a los gobiernos a orientar sus actividades de control interno y de gestión de riesgos hacia los riesgos de integridad, vinculando esas actividades con objetivos programáticos más amplios. También pueden apoyar estrategias de comunicación que aseguren que el control interno y la gestión de riesgos vayan más allá del control financiero y las comprobaciones de cumplimiento. Por ejemplo, en 2010 la Secretaría del Consejo del Tesoro de Canadá elaboró el Marco para la Gestión de Riesgos a fin de orientar a los jefes adjuntos de los departamentos gubernamentales en la implementación de las prácticas de gestión de riesgos en todos los niveles de su organización. La Agencia Francesa Anticorrupción (Agence Française Anticorruption o AFA) ha publicado directrices para ayudar a las entidades jurídicas públicas y privadas a cumplir ciertos requisitos de lucha contra la corrupción e integridad, incluida la realización de evaluaciones de riesgos. La AFA también ha elaborado guías técnicas especializadas, por ejemplo, para los funcionarios encargados de la contratación pública. Además de estas directrices generales, la AFA presta apoyo a medida a los actores públicos o privados que deseen optimizar sus procedimientos de gestión de los riesgos de integridad. La orientación específica para cada sector, centrada en áreas de alto riesgo como la contratación o la salud, junto con los mecanismos de coordinación y las herramientas de denuncia pertinentes, pueden ayudar a superar brechas de capacidades (recuadro 10.2).

Las políticas, los procesos y las herramientas para llevar a cabo las evaluaciones de riesgos de integridad variarán según la organización y dependerán de su tamaño, del volumen de inversión que reciba y de si la organización funciona dentro de un sector de alto riesgo (por ej., salud, infraestructura). Por ejemplo, una organización del sector público puede llevar a cabo una evaluación independiente de los riesgos de integridad o incorporar los objetivos de integridad en las evaluaciones de riesgos de toda la organización para promover la eficiencia. No obstante, las políticas de gestión de riesgos y los procesos de evaluación comparten características similares en todas las organizaciones. Las políticas de gestión de riesgos deben estar vinculadas a los objetivos e incluir, entre otras cosas, descripciones de los tratamientos propuestos para los riesgos, las necesidades de recursos, las responsabilidades, las medidas de rendimiento y los requisitos de denuncia y de monitoreo (Crime and Corruption Commission, 2018[9]). Además, como se describe a continuación, la gestión y las evaluaciones de riesgos suelen entrañar un proceso iterativo de varias etapas para establecer el contexto, evaluar y tratar los riesgos y garantizar el monitoreo, la comunicación y la consulta permanentes (International Organization for Standardization, 2018[10]).

Comprender el contexto interno y externo es un paso clave para los funcionarios públicos cuando evalúan por primera vez los factores que impulsan, así como los potenciales obstáculos a la consecución de los objetivos de integridad. El contexto interno incluye, entre otros factores, los objetivos estratégicos, la estructura de gobernanza, las funciones, el conjunto de habilidades de los empleados, las herramientas operativas (por ejemplo, los sistemas de datos e información), la cultura y las directrices internas. El contexto externo puede incluir marcos jurídicos y normativos, partes interesadas externas y realidades políticas, sociales y económicas que ponen de relieve tipos concretos de riesgos para la integridad o mecanismos de respuesta. Este contexto constituye la base para diseñar y mejorar las políticas, estrategias y objetivos para gestionar y evaluar los riesgos de integridad, ya que no hay entornos internos ni externos estáticos.

Varias herramientas de planificación estratégica pueden ser útiles como punto de partida para evaluar el contexto y definir el alcance del proceso de evaluación de riesgos. Por ejemplo, herramientas como los diagramas de árbol de decisiones y diagramas de Ishikawa, los mapas de procesos e influencias y el método «PESTLE» (factores políticos, económicos, sociales, tecnológicos, jurídicos y ambientales) pueden facilitar el análisis y al mismo tiempo promover la participación de las partes interesadas. Los registros de riesgos del gobierno en su conjunto o a nivel departamental pueden ser un insumo útil para establecer el contexto, como se ilustra en el recuadro 10.3.

Establecer el contexto también requiere identificar las funciones y las responsabilidades y crear un equipo para evaluar los riesgos de integridad en toda la organización. Aunque en las organizaciones del sector público hay funciones dedicadas a abordar los riesgos de integridad, la gestión de riesgos requiere la participación de una serie de actores. Por ejemplo, los superiores inmediatos, los gestores de riesgos y los auditores internos (es decir, la primera, la segunda y la tercera línea de defensa2, respectivamente) desempeñan todos ellos un papel fundamental para garantizar que la gestión de riesgos y el control interno promuevan las metas y los objetivos de la organización.

A lo largo de todo el proceso, debería haber mecanismos para garantizar la recopilación de todos los insumos pertinentes y la comunicación de las conclusiones y resultados. Contar con estos mecanismos permite a las organizaciones integrar mejor la gestión de riesgos en sus operaciones y promover la apropiación del proceso de evaluación de riesgos. En Lituania, por ejemplo, la ley de prevención de la corrupción incluye una metodología para el análisis del riesgo de corrupción. La metodología especifica que se deben consultar numerosas fuentes al realizar el análisis, entre ellas, las conclusiones de las auditorías y las encuestas sociales y de personal (OCDE, 2015[12]).

El grado de integración de la gestión de riesgos en la organización es otra característica crítica del contexto interno. Las políticas y las prácticas de control interno y de gestión de riesgos son más eficaces cuando forman parte de la estrategia y las operaciones generales de la organización en apoyo de metas y objetivos concretos. Dependiendo de la organización variará el modo específico en que se produzca esta integración. Sin embargo, el proceso puede incluir la creación de vínculos entre la gestión de riesgos y las políticas y los procesos de planificación estratégica, las actividades de monitoreo y la evaluación. Por ejemplo, en el Reino Unido el Servicio de Aduanas e Impuestos de Su Majestad (HM Revenue and Customs) utiliza su informe mensual de ejecución para medir los progresos realizados en relación con los objetivos y para identificar las esferas de ejecución que requieren medidas adicionales. Un Comité de Rendimiento junto con los «Centros de Rendimiento» examinan los datos pertinentes y consideran los riesgos clave para la consecución de los objetivos. Concretamente, examinan los registros de riesgos de los distintos departamentos e integran la información y los conocimientos sobre los riesgos en su evaluación del rendimiento actual y existente (National Audit Office, 2011[13]).

Las evaluaciones de riesgos son procesos iterativos que permiten a una organización comprender los factores facilitadores y obstaculizadores de sus objetivos, sobre la base de un análisis de los riesgos inherentes3 y residuales4. Es fundamental establecer un vínculo claro con los objetivos para orientar a quienes participan en la determinación del alcance de la evaluación de los riesgos y asegurar que no sobrecarguen de información el proceso y los registros de riesgos resultantes. En última instancia, los resultados de la evaluación de riesgos deberían ser útiles para la toma de decisiones, y la vinculación de los objetivos específicos a los riesgos (en vez de a la inversa) puede ayudar a las organizaciones a mantenerse centradas en los riesgos de relevancia. Las evaluaciones del riesgo de corrupción y de fraude pueden ser ejercicios independientes o incorporarse a las actividades de evaluación de riesgos de una organización, reconociendo las interrelaciones entre las diferentes categorías de riesgos, como los riesgos estratégicos, operacionales, financieros, de cumplimiento y de reputación.5

No existe un enfoque universal para realizar evaluaciones de riesgos de integridad y, de hecho, es clave adaptarlas a las necesidades de una organización. En general, las organizaciones pueden evaluar riesgos específicos, factores de riesgo6 o una combinación de ambos. Los riesgos específicos son los planes de corrupción o fraude relevantes que pueden repercutir sobre los objetivos de la organización. La evaluación de esos riesgos se examina más detalladamente a continuación. Los factores de riesgo también se vinculan a los objetivos, pero se refieren a las características de las políticas, los procedimientos o las actividades de la organización que, cuando se evalúan y puntúan, pueden poner de relieve las áreas de operaciones de alto riesgo y, por consiguiente, configurar las prioridades. Por ejemplo, la complejidad de los procedimientos puede ser un factor de riesgo que puede dificultar que una organización lleve a cabo una supervisión eficaz y evite el fraude o la corrupción.

Otro ejemplo de factor de riesgo es el grado de dependencia de un contratista de los subcontratistas o de terceros, ya que muchos gobiernos contratan habitualmente a contratistas para la adquisición de bienes y servicios. Se puede ponderar cada factor de riesgo de manera adecuada a las prioridades de la organización, para luego puntuarlo según criterios predeterminados. Por ejemplo, una organización puede puntuar el factor de riesgo de dependencia de terceros, como se muestra a continuación en la tabla 10.1. También es posible elaborar criterios para otros factores de riesgo, como la magnitud del presupuesto, el grado de repercusión del programa en las partes interesadas, la susceptibilidad al fraude o el volumen y el tipo de recomendaciones de auditoría recibidas.

Al evaluar riesgos específicos en contraposición a los factores de riesgo, las evaluaciones suelen distinguir entre riesgos inherentes y residuales. En tales evaluaciones, una organización analiza primero los «riesgos inherentes», es decir, los riesgos evaluados en ausencia de medidas de control. Por ejemplo, como primer paso una organización evalúa la probabilidad y el impacto de todos los planes de fraude posibles relacionados con el uso de tarjetas de viaje o de crédito emitidas por el gobierno por parte de los empleados. Para evaluar la probabilidad y el impacto la organización puede utilizar puntuaciones numéricas (por ejemplo, del 1 al 5) o puede utilizar clasificaciones (por ejemplo, baja, media y alta). Tanto las puntuaciones de probabilidad como las de impacto pueden vincularse a criterios específicos para facilitar la evaluación. Por ejemplo, una organización que evalúa los riesgos de las contrataciones podría utilizar los valores o la frecuencia de los contratos para medir el impacto y categorizar los riesgos muy altos (puntuación de 5) frente a riesgos muy bajos (puntuación de 1). Al pasar por el proceso de evaluación de riesgos, las organizaciones repetirían este proceso de puntuación para evaluar los riesgos residuales.

El «riesgo residual» se refiere a la exposición al riesgo después de aplicar las medidas de atenuación. En el ejemplo anterior, esto incluiría una segunda etapa de análisis de los riesgos inherentes identificados, incluyendo la revisión de la probabilidad y el impacto de los riesgos de fraude determinados en consideración delas medidas de control, como los procedimientos para establecer límites en las tarjetas de crédito. Como se explica en la siguiente sección, antes de determinar si debe introducir cambios en las actividades de control la organización tendría en cuenta su riesgo residual en relación con los criterios de riesgo (es decir, las tolerancias7). Al analizar tanto los riesgos inherentes como los residuales, es importante que las organizaciones eviten el peligro frecuente de identificar y analizar los controles o las consecuencias en lugar de los riesgos que podrían socavar la consecución de los objetivos.

Para apoyar los análisis de riesgos cualitativos, las organizaciones pueden recurrir a diversas fuentes. Entre los métodos frecuentes para identificar los posibles riesgos se incluyen el análisis de los resultados de las auditorías; las entrevistas a los empleados; la realización de evaluaciones de los riesgos de control, y la realización del análisis de las fortalezas, oportunidades, debilidades y amenazas (FODA). Otras técnicas pueden incluir la consulta del registro de riesgos del país o de la organización, si existe, para identificar las tendencias o planes en curso que sean indicativos de una actividad fraudulenta o corrupta. Además, las evaluaciones de riesgos implican trabajo en equipo. Puede ser útil involucrar a los empleados de toda la organización para que aporten diferentes perspectivas, así como para que validen los resultados. Los gerentes y los empleados de primera línea (aquellos directamente responsables de las operaciones o la prestación de servicios, como un gerente de contratos en contacto directo con los proveedores o un funcionario de salud que interactúa con los beneficiarios) pueden tener percepciones diferentes de la probabilidad y del impacto de los riesgos. Los empleados de primera línea pueden estar en mejor posición que los directores para identificar los riesgos emergentes.

El uso de técnicas cuantitativas y análisis de datos también puede ayudar a identificar posibles fraudes y corrupción en una serie de ámbitos en los que los gobiernos tienden a recopilar datos fiables y válidos. Esto incluye proyectos de obras públicas, contratación, nóminas, servicios sociales, prestaciones sanitarias y servicios de empleo. Sin embargo, los enfoques cuantitativos pueden requerir muchos recursos y, a menudo habilidades especializadas e inversiones en infraestructura de tecnología de la información, programas informáticos y capacitación. Antes de realizar una gran inversión en enfoques cuantitativos o basados en datos para evaluar los riesgos, las instituciones pueden considerar los análisis de costo-beneficio y las oportunidades para probar nuevos enfoques.

Las organizaciones que evalúan eficazmente los riesgos adaptan el proceso a su propio entorno y realizan evaluaciones periódicamente, aunque varíe la frecuencia con las que las diferentes entidades realizan evaluaciones de riesgos. El recuadro 10.4 ilustra la forma en que las autoridades de la República Eslovaca llevan a cabo el análisis del riesgo de fraude y corrupción.

Después de identificar y evaluar los riesgos de integridad, tanto inherentes como residuales, el siguiente paso es determinar si se debe responder y cómo hacerlo. Esta etapa implica la evaluación de los resultados del análisis de riesgos con respecto a criterios de riesgo específicos (es decir, las tolerancias) y luego perfeccionar la estrategia de la organización para mitigar los riesgos. Los «criterios de riesgo» refieren al nivel de riesgo que una organización está dispuesta a aceptar. En efecto, las tolerancias son criterios que actúan como umbrales para facilitar la toma de decisiones y asegurar que los controles sean eficaces y proporcionados.

Estos criterios deben determinarse de antemano por los directores antes de realizar las evaluaciones de los riesgos. Las juntas, los comités de auditoría y la dirección pueden participar en la definición de los criterios de riesgo para garantizar que ésta sea lo más objetiva posible y en consonancia con las políticas, los reglamentos y los objetivos de la organización. La «tolerancia cero» a la corrupción y al fraude no constituye un criterio de riesgo útil. Hay que reconocer que este mensaje puede servir como principio rector y ayudar a promover una cultura consciente del riesgo. Sin embargo, entre otras consecuencias imprevistas, si la cultura de tolerancia cero crea una renuencia entre los directores a proporcionar información sincera sobre los riesgos percibidos en su área de operaciones esto puede tener un efecto paralizador en el proceso de evaluación de riesgos. A diferencia de las declaraciones de tolerancia cero, los criterios de riesgo específicos del contexto tienen consecuencias más prácticas para evaluar y adaptar las actividades de control.

Identificar y actuar sobre todos los riesgos de fraude y corrupción es poco realista. Los criterios de riesgo deben establecerse a un nivel en el que una organización quiera comprender plenamente un problema y asegurarse de que las medidas de mitigación estén en marcha (Fountain, 2015[15]). Los criterios de riesgo ayudan a los directores a decidir si aceptan, evitan, reducen o comparten el riesgo. Si las medidas de control son eficaces para mantener el riesgo por debajo o en el umbral establecido por los criterios de riesgo (por ejemplo, los procesos en los que los riesgos de fraude interno son inferiores a un valor financiero especificado), entonces la aceptación del riesgo residual podría ser la medida más eficaz y eficiente en función de los recursos. Si se determina que las actividades de control no logran atenuar los riesgos hasta el nivel aceptable, los administradores deberán evitar, reducir o compartir el riesgo.

Evitar el riesgo implica el cese de la política o de las operaciones vinculadas a él. Por ejemplo, una institución puede decidir prohibir a sus empleados que acepten pequeños regalos de los socios del proyecto, o podría poner fin a su relación con un proveedor de alto riesgo y eliminar así el riesgo por completo. Algunos riesgos son inevitables, como el riesgo de falsificación de las solicitudes de licencia o el riesgo de solicitudes de servicios gubernamentales fraudulentas. La reducción de esos riesgos implica la adaptación de los procedimientos y las actividades de control para disminuir su probabilidad y su impacto. Por último, compartir el riesgo es más común en el contexto empresarial, pero también puede ocurrir en el sector público. Normalmente, implica la adopción de alguna medida para transferir el riesgo a un tercero, como una compañía de seguros, que pueda cubrir las pérdidas en caso de que el riesgo se materialice.

Las matrices de riesgo, los registros de riesgo o los simples cuadros de Excel pueden ser herramientas útiles para documentar los resultados de las evaluaciones de riesgos, así como para evaluar las interrelaciones entre los riesgos y los controles. Por ejemplo, la figura 10.2, adaptada de la plantilla de evaluación del riesgo de fraude (2017) de la Universidad Nacional de Australia, ilustra una forma de categorizar las puntuaciones de riesgo y comunicar las medidas necesarias, así como las funciones y responsabilidades de los propietarios de los riesgos. Independientemente de la forma en que se documenten, es fundamental que los resultados de las evaluaciones de los riesgos reflejen el nivel aceptable de riesgo en función de criterios predeterminados. Los mapas de calor8 u otras herramientas que transmitan la puntuación de la probabilidad y el impacto de los riesgos que no presenten conjuntamente el nivel de gestión de riesgos que se considera aceptable tienen poco valor para la toma de decisiones o la adaptación de medidas de mitigación.

Las matrices de riesgo son una de las diversas herramientas para la clasificación de los riesgos relativos. Una organización también puede utilizar clasificaciones absolutas, en las que priorice los riesgos en función de sus puntuaciones numéricas. Cualquiera que sea el enfoque, es fundamental que las organizaciones sean conscientes de las parcialidades que pueden afectar al proceso de puntuación de la evaluación de riesgos, y que pongan en marcha procesos de control de calidad sobre el propio proceso de evaluación de riesgos. De hecho, los directores pueden recibir incentivos para reducir al mínimo la percepción de que las actividades que supervisan son vulnerables a los riesgos de corrupción y fraude. También pueden exagerar los riesgos para justificar más inversiones en actividades de control, herramientas, capacitación y otros recursos. Los procesos de validación integrados en la evaluación de los riesgos pueden ayudar a reducir al mínimo la influencia de las imparcialidades.

La documentación y la comunicación de los resultados de la evaluación de riesgos variará según la organización; sin embargo, hay consideraciones comunes independientemente del contexto. En primer lugar, los registros de riesgos o herramientas similares pueden ser útiles para garantizar la capacidad de una organización de rastrear los riesgos a lo largo del tiempo, mejorar el proceso de evaluación de riesgos y mejorar las estrategias de integridad. Los tableros en línea que representan y animan visualmente los riesgos también pueden ser herramientas poderosas para facilitar la toma de decisiones sobre las medidas de mitigación. En segundo lugar, si bien una evaluación detallada puede ser una herramienta útil para los directores y auditores, en el contexto de las evaluaciones de riesgos de integridad también puede consolidar información delicada sobre las vulnerabilidades institucionales al fraude y a la corrupción. Como parte del proceso de planificación de la evaluación de riesgos, las organizaciones pueden considerar y comunicar claramente los controles sobre el proceso en sí, incluidas las políticas y los procedimientos para la seguridad de la información, el anonimato de las partes interesadas y la utilización de los resultados. Esto puede ayudar a aumentar el nivel de comodidad de los involucrados y a promover la participación activa en el proceso de evaluación de riesgos.

El proceso de monitoreo y evaluación es un componente clave de un marco general de gestión de riesgos que puede ayudar a las organizaciones a evaluar las políticas y las prácticas de gestión de los riesgos de integridad y a realizar los cambios necesarios. Esta actividad puede tener lugar a nivel gubernamental, centrándose en cuestiones sistémicas, o en una organización del sector público para mejorar la gestión de riesgos institucional.

La evaluación de las normas, las políticas y los procedimientos del gobierno para el control interno y la gestión de riesgos es una función crítica para las organizaciones con responsabilidades en todo el gobierno. Las instituciones de auditoría interna y externa, los organismos anticorrupción y los organismos reguladores suelen llevar a cabo estos exámenes pero según el país las instituciones principales pueden variar. Las evaluaciones externas independientes y exhaustivas evalúan las características fundamentales de las políticas de control interno y de gestión de riesgos, incluida la medida en que las normas, las políticas y los procedimientos abordan los riesgos de integridad, y la armonización de las políticas y la claridad de las funciones y responsabilidades en el entorno de control para la gestión de los riesgos de integridad. Por ejemplo, el Tribunal de Cuentas de Austria (Austrian Court of Audit o ACA) realiza auditorías de los sistemas de prevención de la corrupción de las entidades, lo que incluye la evaluación respecto a si una entidad cuenta con suficientes disposiciones para mitigar los riesgos de integridad. Esos exámenes pueden poner de relieve las deficiencias de todo el sistema, lo que permite al gobierno mejorar los marcos de control interno y de gestión de riesgos mediante un enfoque coordinado del gobierno en su conjunto.

Los cambios operativos, reglamentarios, tecnológicos y otros numerosos cambios pueden influir en la eficacia de las medidas de control de fraude y corrupción de una organización para hacer frente a los riesgos. Por consiguiente, los controles internos individuales, las actividades de gestión de riesgos y el sistema de control interno en su conjunto deben supervisarse periódicamente para garantizar que el marco funcione correctamente y los controles sean óptimos. En este sentido, las actividades de monitoreo ayudan a las organizaciones a mejorar continuamente la gestión de riesgos y los procesos de control: si las actividades de monitoreo descubren deficiencias, los directivos de la organización pueden supervisar la mejora y corrección oportunas de esas deficiencias (Committee of Sponsoring Organizations of the Treadway Commission, 2016[7]). En el contexto de la integridad pública, el monitoreo activo del marco de control interno y de gestión de riesgos puede ayudar a mejorar la prevención y detección de posibles o presuntos casos de fraude, corrupción o abuso.

De conformidad con la legislación o las políticas pertinentes, las organizaciones individuales pueden determinar la forma en que se llevan a cabo las actividades de monitoreo y su frecuencia. Las evaluaciones continuas son procesos rutinarios que supervisan las actividades de control en tiempo real, mientras que auditores internos o partes externas pueden realizar las evaluaciones individuales periódicamente. Al aplicar en la evaluación un enfoque basado en riesgos, la información recabada en los registros de riesgo sobre los esquemas de fraude y corrupción, conocidos y las áreas de alto riesgo puede servir de base para las actividades de monitoreo focalizadas.

En su política de gestión de los riesgos de integridad, las instituciones deben presentar claramente las actividades de monitoreo y evaluación, incluidas las funciones y responsabilidades. Por ejemplo, en los Países Bajos, la Oficina de Promoción de la Integridad del Sector Público (Office for the Promotion of Public Sector Integrity o BIOS), la Oficina de Integridad del Municipio de Ámsterdam y el Tribunal de Cuentas de los Países Bajos desarrollaron conjuntamente la IntoSAINT. Esta herramienta de autoevaluación de la integridad permite a las organizaciones del sector público evaluar su vulnerabilidad y resiliencia a las violaciones a la integridad, y proporciona recomendaciones sobre cómo mejorar su gestión. Los participantes de IntoSAINT seleccionan los procesos más vulnerables en base a un inventario de los procesos principales y de apoyo de la organización evaluada, identificando los riesgos de integridad más significativos dentro de los seleccionados. Estos se combinan con una evaluación de los factores culturales (como la concientización y el papel de la dirección) y la adecuación de las medidas del sistema, es decir, las medidas destinadas a integrar y consolidar las políticas de integridad. Los resultados, que se presentan en forma de informe, proporcionan información sobre cuán bueno es el funcionamiento del sistema de integridad existente. Las entidades pueden utilizar los resultados para actualizar sus políticas de integridad o como punto de partida para la aplicación de otras medidas de análisis de riesgos más exhaustivas. Reconociendo la funcionalidad de esta herramienta, Polonia ha elaborado una autoevaluación de la integridad similar que se distribuye a los ministerios competentes.

Otro ejemplo demuestra cómo la Política de Control del Fraude y la Corrupción del Departamento de Justicia y Fiscalía General (Department of Justice and Attorney-General o DJAG) de Queensland, Australia, asigna a un funcionario de control del fraude (Fraud Control Officer o FCO) (ubicado en la Dependencia de Gobernanza Empresarial del Departamento) la responsabilidad de mejorar activamente el marco de riesgo de fraude y corrupción del departamento. El FCO preside el Grupo Operativo de Riesgo de Fraude, que entre otras responsabilidades controla el marco mediante la supervisión de los exámenes de políticas, las cuestiones relacionadas con la auditoría, las denuncias, la capacitación y el cumplimiento, y se asegura de que se someta el marco de control del fraude y la corrupción a un examen bienal, o con mayor frecuencia si es necesario (Department of Justice and Attorney-General, 2017[17]).

El control interno en las organizaciones del sector público debe contener procedimientos claros para responder a las presuntas violaciones de la ley, de los procesos o a la ocurrencia de violaciones a la integridad. Si bien las medidas necesarias pueden variar entre las organizaciones y pueden depender del tamaño, la función y las disposiciones de gobernanza, el gobierno puede desempeñar un papel esencial en la coordinación de las denuncias y respuestas ante las presuntas violaciones a la integridad en todas las organizaciones del sector público.

Un organismo central puede establecer protocolos y mecanismos normalizados para denunciar y responder ante las presuntas violaciones de integridad. Este enfoque puede garantizar que todas las organizaciones del sector público cuenten con suficientes disposiciones para responder ante la corrupción y ante las violaciones a la integridad dentro de su estrategia general de integridad. También reduce la duplicación y minimiza las brechas en cuanto al marco de control interno y de gestión de riesgos en todas las organizaciones del sector público. El centro de gobierno u otro organismo responsable puede garantizar que se utilicen procedimientos y criterios comunes para que los empleados de todo el gobierno y el público en general puedan informar sin temor a represalias de sus sospechas de violaciones. Por ejemplo, el centro de gobierno puede elaborar disposiciones que exijan a las organizaciones del sector público establecer líneas de comunicación separadas, como las líneas directas. Los canales de denuncia claros y la existencia de mecanismos coherentes para realizar denuncias son características fundamentales de un sistema de control interno eficaz.

Si bien las políticas y la orientación proporcionadas por el centro de gobierno apoyan la coherencia, es posible que no siempre reflejen el contexto institucional de todas las organizaciones del sector público. Por lo tanto, los mecanismos claros pueden apoyar a estas organizaciones en la respuesta ante posibles violaciones a la integridad o a la ley.

Una de las principales formas de detectar posibles violaciones a la integridad o a la ley es a través de los empleados. Las organizaciones del sector público pueden crear una cultura en la que los empleados se sientan seguros de ofrecer su testimonio si tienen constancia de presuntas violaciones a la integridad (para obtener más información, véase el capítulo 9). Deben existir canales claros de denuncia, tanto internos como externos, para los funcionarios públicos, y las personas deben recibir la protección suficiente al informar sobre sospechas de corrupción o fraude. Deben establecerse medidas políticas a nivel organizativo que estipulen qué procedimientos se deben seguir en caso de que un empleado denuncie una supuesta conducta indebida y de qué opciones dispone. El personal puede informar de sus sospechas de violación a sus superiores inmediatos, al personal de recursos humanos, a la entidad de auditoría interna de la organización o a otro personal designado. Muchas organizaciones del sector público cuentan con líneas directas para facilitar la denuncia anónima. Independientemente de la forma, comunicar claramente la manera de notificar las preocupaciones facilita la implementación de los mecanismos de denuncia.

Cuando se han identificado sospechas de fraude o corrupción dentro de una organización, es necesario establecer procesos que desencadenen una respuesta adecuada. Estos procesos dependerán de la naturaleza y de la gravedad de la conducta alegada. Por ejemplo, las denuncias menores podrían ser atendidas por la dirección, mientras que los casos más graves, en particular aquellos en que la presunta conducta puede constituir un delito, podrían justificar una respuesta de investigación completa. Los objetivos de cualquier investigación deben estar claramente definidos en la política de integridad y estos objetivos deben cumplirse durante toda la investigación interna. Además, se debe garantizar que las investigaciones cumplan con la legislación vigente (penal y laboral) y los procedimientos de investigación.

Una vez que se ha realizado una investigación, se deben transmitir las conclusiones a la dirección. Las organizaciones deben determinar entonces las medidas a adoptar en respuesta a los resultados. Si efectivamente se ha producido una incidencia de fraude o corrupción, las medidas correctivas pueden ir desde la adopción de medidas disciplinarias hasta la remisión como caso penal. En el caso de las remisiones penales, las obligaciones de denuncia externa deben establecerse en la política de integridad de la organización. Además, tras una investigación la dirección puede adoptar un enfoque de «lecciones aprendidas» en los casos de fraude y corrupción.

La función de auditoría interna examina la idoneidad y la eficacia de los sistemas de control interno, los procedimientos, las disposiciones de gobernanza, los procesos de gestión de riesgos y la ejecución de las operaciones de las organizaciones del sector público (The Institute of Internal Auditors, 2016[18]). Por consiguiente, se espera que al evaluar los controles la función de la auditoría interna exceda los enfoques orientados al cumplimiento y basados en normas. Esta visión contemporánea de la auditoría interna refleja que la función puede aportar un valor más amplio a una organización. La auditoría interna puede contribuir no solo al logro de los objetivos financieros y al control de los recursos, sino también a mejorar la toma de decisiones y la gestión de riesgos en apoyo de los objetivos estratégicos y operativos generales.

Los auditores internos de las organizaciones del sector público desempeñan un papel importante al proporcionar evaluaciones independientes y objetivas en relación a si la gestión de los recursos públicos resulta eficaz para lograr los resultados previstos. Sus conocimientos y pruebas objetivas y basadas en valores pueden ayudar a las organizaciones del sector público a gestionar y evaluar mejor los riesgos de integridad. Se espera que los auditores evalúen el potencial de fraude y la forma en que la organización gestiona dicho riesgo (The Institute of Internal Auditors, 2016[18]). En la práctica, esto supone identificar los factores de riesgo de integridad en el curso de la labor de auditoría interna y la evaluar si tales riesgos se gestionan eficazmente, incluso si la organización del sector público no cuenta con programas oficiales de gestión de los riesgos de integridad. Por ejemplo, los auditores internos pueden dar señales de alarma sobre áreas de alto riesgo de violación a la integridad, como las relaciones con terceros, las actividades subcontratadas o la contratación. Las recomendaciones de auditoría para mejorar el entorno de control en estas áreas operativas de alto riesgo pueden impulsar los esfuerzos de la organización para prevenir y detectar el fraude y la corrupción.

Sin embargo, no se espera que los auditores internos sean investigadores. De hecho, en las mismas normas se reconoce que, si bien los auditores internos deben tener conocimientos suficientes para evaluar los factores de riesgo de fraude y la gestión de los riesgos de fraude en la organización, no se les exige que tengan los conocimientos o la pericia necesarios para asumir una función de investigación. El papel de auditoría interna en relación con las investigaciones de presuntas violaciones a la integridad depende de una serie de factores, como la estructura de la organización y la disponibilidad de recursos. Por ejemplo, la Agencia de Auditoría Interna del Gobierno (Government Internal Audit Agency o GIAA) en el Reino Unido ofrece una línea de servicio diferenciada que asesora a las organizaciones del sector público sobre las estrategias de lucha contra el fraude y sobre cómo investigar un presunto fraude interno o de proveedores. Este servicio especializado se suma a las actividades básicas de auditoría interna y seguro que proporciona la GIAA. En su informe anual correspondiente a 2018-2019, la GIAA indicó que la labor de la unidad de lucha contra el fraude e investigaciones permitió detectar fraudes por un millón de libras esterlinas, así como evitar pérdidas por otro millón de libras esterlinas en todas las organizaciones del sector público que encargaron sus servicios.

Los auditores internos también deben evaluar la eficacia de los objetivos y actividades de la organización relacionados con la ética, y los procesos de promoción de la ética y de los valores. Esto puede incluir, por ejemplo, evaluaciones de la eficacia de la estructura de gobernanza en el fomento de una cultura de integridad o auditorías de los procesos de tramitación de la denuncia de irregularidades. Las evaluaciones basadas en riesgos que realiza periódicamente la auditoría interna en relación a los factores de riesgo para la integridad pueden poner de relieve las áreas con mayor exposición a las violaciones a la integridad, lo que permite a la dirección adoptar prontamente medidas correctivas. La Agencia Francesa Anticorrupción (AFA) en su encuesta de 2018 sobre la prevención de la corrupción en el gobierno local señaló que en algunas organizaciones del sector público las actividades de prevención de la corrupción están incluidas explícitamente en el mandato de la función de auditoría interna.

Además de sus contribuciones a la evaluación de los factores de riesgo para la integridad, los auditores internos pueden desempeñar un papel fundamental evaluando si los controles internos para gestionar los riesgos de integridad funcionan con eficacia y eficiencia, e identificando las esferas en las que se pueden introducir mejoras. Esto puede consistir en la auditoría o la evaluación de la eficacia de los componentes de la gestión de los riesgos de integridad, como los programas de lucha contra la corrupción o contra el cohecho, o la evaluación de la eficacia de los componentes en su conjunto. La selección de la auditoría basada en riesgos puede ayudar a los auditores internos a determinar la mejor manera de identificar los riesgos más relevantes para los objetivos de la organización, y a tomar decisiones sobre qué auditar en función de los criterios de riesgo predeterminados. Este enfoque, a diferencia de los enfoques cíclicos o basados en incidentes, puede ayudar a los auditores a evitar enfoques orientados al cumplimiento y la sobrecarga de auditorías y controles para los directores.

Por consiguiente, los resultados de la actividad de auditoría interna pueden ayudar a los directores a alinear los procesos y controles de gestión de riesgos de integridad con los objetivos de la organización, de modo que esos procesos contribuyan a promover los objetivos estratégicos y a fundamentar la toma de decisiones. Existen varios marcos y orientaciones gratuitos y pagos accesibles en línea que pueden ayudar a los auditores internos a evaluar las medidas de integridad o los programas antifraude. En general, los marcos y la orientación proporcionan ideas para formular recomendaciones destinadas a mejorar tanto los controles «rígidos» (es decir, las políticas, los procedimientos, la estructura, etc.) como, cada vez más, los controles «blandos» (por ej., la cultura, la conducta de la dirección, las actitudes de la alta dirección), reconociendo, al mismo tiempo, la necesidad de que los auditores rindan cuentas de la conducta, la motivación y las actitudes humanas.

Los auditores internos pueden desempeñar otras funciones críticas para promover la integridad en una organización del sector público. Por ejemplo, pueden proporcionar una opinión independiente y objetiva de los riesgos estratégicos, operativos y de reputación internos y externos, para agudizar las propias evaluaciones de riesgos de la dirección. Además, la función de auditoría interna puede ser un aliado para que la dirección promueva una cultura de integridad. Esto incluye la participación en la concientización sobre los riesgos, el apoyo a la formación (por ejemplo, a la capacitación y a los talleres) y la contribución a los mensajes basados en valores sobre la integridad y la buena gobernanza.

Es fundamental que los auditores internos mantengan su independencia respecto a las otras «líneas de defensa», que incluyen a los directores (primera línea) y a los gestores de riesgos (segunda línea). Estos límites suelen ser borrosos cuando se trata de la gestión de los riesgos de integridad, en parte, ya que las normas mencionadas definen explícitamente un rol para la auditoría interna en la evaluación de los riesgos de integridad. Sin embargo, las organizaciones deben asegurarse de que la auditoría interna no asuma todas las responsabilidades relacionadas con la gestión de los riesgos de integridad. Los directores de «segunda línea» en funciones como el control financiero, el control de calidad, el cumplimiento y las entidades de inspección también tienen una función clave que desempeñar. Por ejemplo, los avances en las técnicas analíticas, como la extracción de datos y los programas informáticos de cotejo, pueden permitir a los gestores de riesgos supervisar las transacciones financieras inusuales que podrían indicar una violación a la integridad. La tabla 10.2 sugiere formas de detallar las funciones y responsabilidades específicas de los auditores internos para evitar la duplicación o superposición con otras líneas de defensa.

El papel específico que la función de auditoría interna desempeñará en relación con la gestión de riesgos o, más generalmente, en relación con la prevención del fraude y la corrupción es específico para cada contexto. La tabla 10.2 ofrece algunas directrices relativas a las normas y a las buenas prácticas; sin embargo, en algunos países, las leyes o políticas ofrecen pocos detalles sobre el papel de la auditoría interna con tal especificidad o, en el peor de los casos, definen un papel que parece ser contradictorio con las normas y buenas prácticas internacionales. Esto puede remediarse, en cierta medida, a nivel institucional. El papel de la auditoría interna en lo que respecta a la prevención del fraude y la corrupción, o la gestión de los riesgos de integridad, debe definirse claramente en las políticas o en los documentos y orientaciones estratégicas pertinentes, como un reglamento de auditoría. Este documento normativo puede definir claramente el papel de la auditoría interna en lo que respecta a la prevención y detección del fraude y la corrupción, incluida la evaluación de la gestión de los riesgos de integridad, la concientización, las investigaciones y las denuncias a la alta dirección. Dado que sus atribuciones suelen abarcar los procesos y procedimientos de la organización en su conjunto, la auditoría interna está bien situada para proporcionar información consolidada sobre la gestión de los riesgos de integridad a nivel institucional.

Las funciones de auditoría interna en las organizaciones del sector público suelen contar con una cantidad relativamente reducida de personal y recursos; por consiguiente, es vital la coordinación con otros proveedores de seguro sobre la gestión de los riesgos de integridad. Los auditores pueden recurrir a la labor de las funciones de «segunda línea», como los interventores financieros o las entidades de inspección, así como a la de las instituciones supremas de auditoría, los organismos reguladores y los defensores del pueblo o equivalentes, que también desempeñan una función en la evaluación de la eficacia de las prácticas de riesgo de integridad. Esto puede suponer el intercambio de conocimientos de manera informal, la coordinación del calendario de actividades para reducir al mínimo el impacto en el área que se examina o criterios formales para confiar en el trabajo de cada uno. A nivel gubernamental, un enfoque coordinado respecto de las denuncias en materia de gestión de los riesgos de integridad puede ayudar a romper los silos entre las organizaciones del sector público, proporcionar coherencia en las medidas de mitigación de riesgos y conducir a una mejor gestión de los riesgos de integridad en general.

Los desafíos a los que se enfrentan los gobiernos y las organizaciones del sector público en cierta medida difieren cuando se trata de aplicar marcos de control interno y de gestión de riesgos en relación con la integridad. Los gobiernos se encuentran en diferentes etapas de madurez en este aspecto y, por lo tanto, se enfrentan a problemas distintos. Sin embargo, hay desafíos comunes que surgen en todos los países. En esta sección se ofrece una visión general de algunas de las dificultades a las que se enfrentan los países y de las formas en que pueden superarlas para salvaguardar mejor la integridad. Las áreas de interés son:

  • Acotar brechas de implementación superando enfoques de la gestión de riesgos limitados a “tildar casilleros”;

  • garantizar que las evaluaciones de riesgos y controles se adapten a un entorno de riesgos cambiante;

  • coordinar eficazmente con los organismos de sanción e investigación para enriquecer los círculos de retroalimentación y mejorar las evaluaciones de riesgos.

Un enfoque sistemático, en el que la gestión de riesgos esté claramente vinculada a los objetivos de la organización, se integre en los procesos existentes y se lleve a cabo de forma rutinaria, es vital para una gobernanza eficaz de los riesgos de integridad en el sector público. Ello requiere una base legislativa sólida acompañada de normas y políticas que sirvan de fundamento para el control interno y la gestión de riesgos. Si bien muchos países cuentan con disposiciones de este tipo, a menudo existen brechas en la forma en que los gobiernos y las organizaciones del sector público implementan los procesos de gestión de riesgos. Por ejemplo, algunos tienden a considerar las evaluaciones de riesgos como un ejercicio orientado al cumplimiento o a marcar casilleros en una lista de verificación y, como tal, las llevan a cabo de manera ad hoc. Asimismo, la alta dirección y otros empleados pueden percibir la gestión de los riesgos de integridad como una función que excede su cargo y la transfieren a los auditores internos. Para superar estos desafíos y fortalecer las prácticas de control interno y de gestión de riesgos en las entidades del sector público, los gobiernos pueden llevar a cabo lo siguiente:

  • Asignar responsabilidades claras: las políticas de integridad pueden asignar responsabilidades para la gestión de los riesgos de corrupción o estas disposiciones pueden incluirse en las políticas de gestión de riesgos existentes como parte del entorno de control. De conformidad con las normas y modelos internacionales (por ejemplo, las tres líneas de defensa del Instituto de Auditores Internos), la dirección debería encargarse de identificar y gestionar los riesgos, pero cada empleado contribuye al éxito de la gestión de riesgos dentro de una entidad. Además de las funciones de gestión de riesgos, los directores son responsables de la gestión cotidiana de los riesgos de fraude y corrupción —lo que incluye garantizar que los controles internos estén en funcionamiento— y, más en general, de la prevención y detección de los riesgos de fraude y corrupción.

  • Aumentar capacidades mediante la capacitación: los programas de capacitación formalizados, periódicos y permanentes permiten el desarrollo de habilidades y capacidades en materia de gestión de riesgos. Si los recursos son limitados, las prioridades de capacitación deben dirigirse principalmente al personal que tiene la responsabilidad directa de identificar y atenuar los riesgos de fraude y corrupción. Los instructores pueden utilizar encuestas a los empleados, normas reconocidas internacionalmente y grupos de consulta para identificar las necesidades de capacitación. Además, las evaluaciones periódicas de la capacitación ayudan a garantizar que en la capacitación del personal se tengan en cuenta los riesgos particulares de fraude y corrupción que se producen en las distintas entidades. Para obtener más información, véase el capítulo 8.

En las entidades que no realizan evaluaciones periódicas los riesgos sistémicos para la integridad pueden prosperar, ya que las actividades de control pueden resultar ineficaces en relación con un entorno de riesgo dinámico. Los planes de corrupción y fraude evolucionan constantemente, a menudo en respuesta a los cambios en los controles. Asimismo, en los casos más atroces, un esfuerzo especial para gestionar y evaluar los riesgos de integridad puede ser el resultado de que la dirección anule los controles y las herramientas de detección. Por lo tanto, es fundamental que las políticas y los marcos de evaluación de los riesgos de integridad estipulen la evaluación a intervalos regulares para proporcionar un panorama exhaustivo y actual del perfil de riesgo de la organización, así como de la eficacia de los controles.

Para comprobar que funcionen eficazmente y sean proporcionales a los riesgos identificados ’las organizaciones del sector público deben supervisar y poner a prueba los controles seleccionados, en particular en las áreas que se enfrentan a mayores riesgos. Dado que en las medidas de atenuación de riesgos intervienen muchos funcionarios y varios departamentos, es necesario que se comunique claramente cómo evaluar la eficacia de los controles en los procedimientos y la orientación pertinentes. Las evaluaciones de la calidad de los controles proporcionan pruebas de cómo los controles atenúan los riesgos y deben comunicarse a todos los propietarios de los riesgos.

En todas las organizaciones del sector público, la coordinación entre los múltiples departamentos y ministerios es vital para la remisión a las autoridades de sanción y a otros organismos pertinentes de los presuntos casos de fraude y corrupción. Sin embargo, las organizaciones suelen tener dificultades para realizar un seguimiento de los resultados de los incidentes de fraude y corrupción denunciados con dichas autoridades. La falta de comunicación en torno a los casos enjuiciados representa un importante desafío para las entidades a la hora de examinar sus controles y tomar medidas correctivas.

La mejora de los círculos de retroalimentación en relación con el enjuiciamiento y la corrección puede aumentar la calidad de las evaluaciones de los riesgos, reforzar la disuasión del fraude y la corrupción y permitir que las organizaciones aborden con mayor eficacia las vulnerabilidades del control, y reducir así el riesgo de que se produzcan incidentes similares en el futuro. Una forma de lograrlo es estableciendo talleres de intercambio de información con la participación de los organismos de sanción e investigación, con el fin de ayudar a las organizaciones a determinar las tendencias, los patrones y las modalidades de funcionamiento del fraude y la corrupción.

Referencias

[16] Australia National University (2017), Fraud Risk Assessment Template, https://services.anu.edu.au/planning-governance/risk-audit/fraud-prevention-and-control (accessed on 17 February 2020).

[7] Committee of Sponsoring Organizations of the Treadway Commission (2016), Fraud Risk Management Guide, https://www.coso.org/Pages/Purchase-Guide.aspx (accessed on 17 February 2020).

[2] Committee of Sponsoring Organizations of the Treadway Commission (2013), Internal Control - Integrated Framework, https://www.coso.org/Pages/ic.aspx (accessed on 17 February 2020).

[9] Crime and Corruption Commission (2018), Fraud and Corruption Control - Best Practice Guide, https://www.ccc.qld.gov.au/publications/fraud-and-corruption-control-best-practice-guide (accessed on 17 February 2020).

[17] Department of Justice and Attorney-General (2017), Fraud and corruption control policy, https://www.justice.qld.gov.au/__data/assets/pdf_file/0020/534350/fraud-and-corruption-control-policy.pdf.

[8] Estonian Ministry of Justice (2013), Anti-Corruption Strategy 2013-2020, https://www.korruptsioon.ee/en/anti-corruption-activity/anti-corruption-strategy-2013-2020 (accessed on 24 January 2020).

[6] European Commission (2015), Public Internal Control Systems in the European Union, https://ec.europa.eu/budget/pic/lib/docs/2015/CD02PrinciplesofPIC-PositionPaper.pdf.

[15] Fountain, L. (2015), Raise the Red Flag: An Internal Auditor’s Guide to Detect and Prevent Fraud, The Institute of Internal Auditors Research Foundation.

[10] International Organization for Standardization (2018), ISO 31000:2018, Risk Management - Guidelines, https://www.iso.org/iso-31000-risk-management.html.

[11] Irish Health Service Executive (2018), Risk Management Support Tools, https://www.hse.ie/eng/about/qavd/riskmanagement/risk-management-documentation/risk%20management%20support%20tools%20.html (accessed on 17 February 2020).

[13] National Audit Office (2011), Managing risks in government, https://www.nao.org.uk/report/managing-risks-in-government/ (accessed on 17 February 2020).

[1] OCDE (2017), Recomendación del Consejo de la OCDE sobre integridad pública, OCDE, París, https://legalinstruments.oecd.org/en/instruments/OECD-LEGAL-0435 (accessed on 24 January 2020).

[12] OCDE (2015), Prevention of Corruption in the Public Sector in Eastern Europe and Central Asia, OECD Anti-Corruption Network for Eastern Europe and Central Asia, OCDE, París, http://www.oecd.org/investment/anti-bribery/ACN-Prevention-Corruption-Report.pdf.

[18] The Institute of Internal Auditors (2016), International Professional Practices Framework (IPPF) – Standards and Guidance, https://na.theiia.org/standards-guidance/Pages/Standards-and-Guidance-IPPF.aspx.

[19] The Institute of Internal Auditors (2009), The Role of Internal Auditing in Enterprise-Wide Risk Management, https://na.theiia.org/standards-guidance/Public%20Documents/PP%20The%20Role%20of%20Internal%20Auditing%20in%20Enterprise%20Risk%20Management.pdf.

[4] U.S. Government Accountability Office (2015), A Framework for Managing Fraud Risks in Federal Programs, https://www.gao.gov/assets/680/671664.pdf.

[3] U.S. Government Accountability Office (2014), Standards for Internal Control in the Federal Government, https://www.gao.gov/assets/670/665712.pdf.

[5] U.S. Office of Management of Budget (OMB) (2016), OMB Circular No. A-123, Management’s Responsibility for Enterprise Risk, https://www.whitehouse.gov/sites/whitehouse.gov/files/omb/memoranda/2016/m-16-17.pdf.

[14] Wright Jr., R. (2013), The Internal Auditors’ Guide to Risk Assessment, The Institute of Internal Auditors Research Foundation.

Notas

← 1. El entorno de control consiste en el conjunto de normas, procesos y estructuras que proporcionan la base para llevar a cabo el control interno en toda la organización.

← 2. En el modelo de las tres líneas de defensa, la primera línea de defensa corresponde a los gerentes operativos que poseen y gestionan los riesgos. La segunda línea de defensa corresponde a las funciones que supervisan los riesgos, por lo general, las funciones de gestión de riesgos y de cumplimiento. La tercera línea de defensa corresponde a las funciones de auditoría interna que proporcionan una garantía independiente de que los procesos de gestión de riesgos son eficaces.

← 3. Los «riesgos inherentes» son los que se evalúan en ausencia de medidas de control, es decir, antes de que estas se hayan aplicado.

← 4. El «riesgo residual» es el nivel de riesgo que permanece después de aplicar las medidas de mitigación.

← 5. Los «riesgos estratégicos» son la probabilidad de que ocurra algo que pueda afectar a la capacidad de una organización para lograr los resultados previstos. Los «riesgos operativos» son la probabilidad de que ocurra algo que afecte a la capacidad de una organización para alcanzar sus objetivos y producir resultados. Los «riesgos de reputación» se refieren a la posibilidad de publicidad negativa, la percepción pública o los eventos incontrolables que producen un efecto adverso en la reputación de una organización.

← 6. Los «factores de riesgo» son características del entorno, las políticas, los procedimientos o las actividades de una organización que se asocian con un alto riesgo.

← 7. La «tolerancia al riesgo» es el nivel de riesgo que los directores están dispuestos a aceptar tras la implementación de las actividades de control. Definir la tolerancia al riesgo ayuda a orientar a los funcionarios en sus decisiones en cuanto a aceptar, reducir, evitar o compartir los riesgos.

← 8. Un «mapa de calor» es una representación de las evaluaciones cuantitativas y cualitativas resultantes de la probabilidad de que ocurra un riesgo y el impacto en la organización en caso de que se materialice un riesgo en particular.

Metadata, Legal and Rights

Tanto este documento, así como cualquier dato y cualquier mapa que se incluya en él, se entenderán sin perjuicio respecto al estatus o la soberanía de cualquier territorio, a la delimitación de fronteras y límites internacionales, ni al nombre de cualquier territorio, ciudad o área. Los fragmentos extraídos de las publicaciones pueden estar sujetos a descargos de responsabilidad adicional recogidos en la versión completa de la publicación que se encuentra disponible en el enlace suministrado.

© OCDE 2020

El uso del contenido del presente trabajo, tanto en formato digital como impreso, se rige por los términos y condiciones que se encuentran disponibles en: http://www.oecd.org/termsandconditions.