capítulo 3. Implementación de un enfoque basado en riesgo para fortalecer la integridad e incorporar el control interno al sistema de gobernanza pública colombiano

Este capítulo pone en relieve el valor agregado de un sistema de control interno sólido y contemporáneo para mitigar los retos inherentes a la asignación de recursos escasos y beneficiar a los ciudadanos colombianos. La gestión de riesgos es la fuerza motriz que impulsa los esfuerzos del gobierno para lidiar con las incertidumbres y amenazas, incluyendo los riesgos de fraude y corrupción que dificultan la consecución de los objetivos estratégicos de las organizaciones públicas. La función de la auditoria interna es proporcionar un aseguramiento razonable de que los sistemas de gestión y los mecanismos de defensa sean capaces de lidiar con el bajo desempeño, las irregularidades, el fraude y la corrupción.

  

Un marco sólido de control interno es la piedra angular de una organización en la lucha contra la corrupción, y está compuesta por los procesos, las políticas, los dispositivos, las prácticas y todas aquellas actividades adicionales que sirvan para minimizar los riesgos o mejorar las oportunidades. Esto puede incluir todos los factores tangibles e intangibles que permitan a una organización identificar y hacer frente adecuadamente a las incertidumbres internas y externas, sean estas de orden operativo, financiero o de cumplimiento. Un marco de control interno eficaz debe, en última instancia, ayudar al organismo a cumplir con su mandato y con toda legislación relevante, salvaguardar los activos del organismo y propiciar la presentación de denuncias, internas y externas.

Si bien son los altos directivos los principales responsables de implementar controles internos y supervisar su eficacia, todos los funcionarios de un organismo público - de los más veteranos al personal junior - tienen un papel que jugar en identificar riesgos y deficiencias, así como en asegurar que los controles internos los atiendan y mitiguen, de una manera rentable. En efecto, todo miembro del personal debe ser alentado a contribuir continuamente al desarrollo de mejores sistemas y procedimientos, que aumenten la integridad y mejoren la resistencia del organismo a la corrupción.

La auditoría interna es el siguiente pilar de defensa contra la corrupción: ofrece la garantía objetiva de que la administración de riesgos y los controles internos funcionan correctamente. Una adecuada función de monitoreo y aseguramiento, de la auditoría interna, garantiza que las deficiencias en el control interno sean identificadas y comunicadas, de manera oportuna, a los actores responsables de tomar las acciones correctivas. El proceso de seguimiento consiste, de manera más concreta, en establecer un enfoque sólido para diseñar e implementar los procedimientos de vigilancia a los cuales se les haya asignado prioridad, de acuerdo con el riesgo que representan; evaluando y reportando los resultados, y dando seguimiento a las medidas correctivas, en caso de ser necesario.

Es importante hacer notar que, mientras que las funciones de riesgos, control y auditoría son esenciales en la lucha contra la corrupción, también son ingredientes necesarios para una mayor rendición de cuentas y mejor gestión y efectividad. Con este fin, los controles ayudan a los organismos a funcionar de manera más fluida, reducir costos y evitar el desperdicio. También ayudan a que los servidores públicos rindan cuentas sobre sus acciones e informen al público y a las instituciones de supervisión sobre el desempeño y los resultados obtenidos.

El Departamento Administrativo de la Función Pública de Colombia (DAFP) es la entidad responsable de desarrollar y supervisar las políticas, normas e instrumentos de control interno, incluyendo las funciones de gestión de riesgos y de auditoría interna.

Este capítulo examina la madurez y la integración de los procesos y actividades de control interno. También examina la asignación de funciones y obligaciones en la administración pública de Colombia, de acuerdo con el modelo de tres líneas de defensa. En tercer lugar, considera la medida en que estos se sustentan en los principios de gestión de riesgos, de controles equilibrados y rentables y de supervisión eficaz del aseguramiento.

Incorporación de la gestión de riesgos de fraude y corrupción en los organismos públicos de Colombia

El DAFP debe comprometerse de manera más decidida a un enfoque basado en riesgos, como fundamento para consolidar un entorno de control no conducente al fraude y a la corrupción

En numerosos países miembros y socios de la OCDE, el control de corrupción y fraude ha sido diseñado en torno a medidas reactivas, dado que la verdadera acción comienza una vez que se descubre un incidente, detonando la investigación y la implementación de medidas disciplinarias u otras acciones en contra de los empleados y partes externas involucradas. En dichas entidades se hace poco énfasis, cuando se hace, en la necesidad de introducir mecanismos proactivos de gestión de riesgos de fraude y de corrupción. El objetivo de una gestión proactiva de riesgos de fraude y de corrupción es apoyar a las organizaciones públicas en la consecución de su misión y objetivos estratégicos, garantizando que el dinero de los contribuyentes y de las entidades gubernamentales sea utilizado para los fines indicados. Una evaluación de riesgos realizada adecuadamente es la base para comprender cabalmente la vulnerabilidad de un sistema y la capacidad de poner en práctica los controles requeridos (es decir, que sean proporcionales y eficaces) para hacer frente a los riesgos de fraude y corrupción, tanto residuales como, y sobre todo, inherentes. Una estrategia de control sólida debe detallar las acciones previstas por la entidad para prevenir, detectar y responder a eventos de fraude y corrupción.

La Oficina Europea de Lucha contra el Fraude (Office Européen de Lutte Antifraude) hace énfasis en la importancia de que todas las organizaciones implementen acciones concretas para responder de manera proactiva a los riesgos de fraude y corrupción (cuadro 3.1).

Cuadro 3.1. El enfoque de la Comisión Europea frente a la lucha contra el fraude

La Oficina Europea de Lucha contra el Fraude (Office Européen de Lutte Antifraude) recomienda que las organizaciones públicas adopten un enfoque proactivo, estructurado y dirigido, para manejar el riesgo de fraude y corrupción. Todas las organizaciones que administren fondos públicos deben implementar medidas proactivas y proporcionales, haciendo uso de herramientas anticorrupción rentables.

Todos los organismos públicos deben tener una política de tolerancia cero al fraude, comenzando por que la cúpula adopte el tono correcto. Una evaluación de riesgos de fraude bien dirigida, combinada con un compromiso de lucha contra el fraude, comunicada de manera adecuada, puede enviar un mensaje claro a los potenciales defraudadores. Cabe señalar que la implementación eficaz de los sistemas de control sólidos puede reducir considerablemente el riesgo de fraude, pero no pueden eliminar completamente el riesgo de que se suscite un fraude o que pase desapercibido. Por esta razón, dichos sistemas también deben asegurar que se establezcan procesos para detectar fraudes y tomar las medidas necesarias cuando se detecte un presunto caso de fraude.

Una estructura de gestión de riesgos especializada puede proporcionar un enfoque holístico sobre la manera en que los organismos públicos pueden configurar sus defensas para impedir, detectar y hacer frente a los actos de fraude y de corrupción.

Fuente: http://ec.europa.eu/regional_policy/en/information/publications/guidelines/2014/fraud-risk-assessment-and-effective-and-proportionate-anti-fraud-measures

En Colombia, la gestión de riesgos de corrupción es obligatoria para todas las entidades públicas desde 2011, en virtud de la Ley 1474, el Estatuto Anticorrupción. La identificación y evaluación de riesgos de corrupción comenzó como un ejercicio complementario en 2012, promovido por la Secretaría de Transparencia (ST). Desde el inicio, la metodología se basó principalmente en el modelo de control interno existente (el Modelo Estándar de Control Interno, o MECI). Basándose en la experiencia adquirida tras realizar este ejercicio, en 2015 se emitió una segunda versión de la metodología que se alinea aún mejor y más explícitamente con el MECI, dado que este último se revisó después de la introducción del Marco Integrado de Control Interno, COSO 2013.

Tras dos ejercicios de mapeo y de evaluación de riesgos institucionales, por un lado, y de riesgos de corrupción por otro lado, se detectaron tanto puntos fuertes como puntos débiles. A pesar de que los dos enfoques metodológicos están bastante alineados y se basan en los mismos principios, actualmente muchas de las instituciones colombianas indicaron estar desarrollando registros de riesgo y mapeos independientes, para cada una de estas categorías de riesgo. Esto también se debe a que los diferentes canales de información requieren que los mapas de riesgo de corrupción sean enviados a la Secretaría de Transparencia. Inevitablemente, esto genera potenciales duplicaciones, superposiciones y desperdicio de recursos, dependiendo de la manera en que estos dos ejercicios sean implementados en la práctica.

A su vez, el tener un procedimiento de evaluación de riesgos de fraude y corrupción especializado pone en relieve la importancia, al interior de toda la estructura gubernamental, de gestionar estos riesgos de manera eficaz, a nivel de entidad. Los titulares de las instituciones y otro personal de designación política, así como los servidores públicos, toman conciencia de la importancia de este ejercicio para fortalecer las estructuras de integridad y de rendición de cuentas. Esto no significa que la gestión de riesgos de corrupción compita en modo alguno con la función de gestión de riesgos institucional. Ambos son elementos importantes dentro de los sistemas de administración pública y el objetivo final es integrar ambos procesos en la operación diaria. De acuerdo con el DAFP, en la práctica se aconseja a las entidades tener un solo mapa de riesgos institucional, el cual debe incluir tanto la corrupción como los riesgos operativos que puedan afectar la consecución de los objetivos de las entidades.

Por lo tanto, para beneficiarse de las sinergias y alinear ambos ejercicios de manera más eficaz, y simultáneamente reducir los costos de operación, Colombia podría considerar evaluar la gradual incorporación de la gestión de riesgos de corrupción en los procesos y en las actividades del MECI.

El siguiente esquema, tomado del Manual de Gestión de Riesgos de Fraude del COSO/ACFE, vincula claramente los 17 principios del Marco Integrado de Control Interno COSO 2013, los cuales, a pesar de las diferencias, se ven en gran medida reflejados en la última versión del MECI, con los cinco (5) principios anti-fraude de este manual (gráfica 3.1). Este enfoque pone de manifiesto la estrecha relación entre los mecanismos de control interno y una estrategia eficaz de gestión de riesgos de fraude y de corrupción.

La Unidad de planeación de cada entidad pública es responsable de supervisar tanto el MECI como el proceso de mapeo de riesgos de corrupción. Las entrevistas sostenidas con los titulares de las Oficinas de Control Interno (OCI) de diversas organizaciones públicas, revelaron una sólida comprensión de la necesidad de involucrar a gerentes y personal, es decir, a los responsables del riesgo, en las evaluaciones de riesgo y actividades correspondientes. Por otro lado, las OCI son responsables de brindar aseguramiento sobre la calidad del proceso y garantizar que los riesgos sean identificados, evaluados y debidamente mitigados, como parte de las funciones de la primera y la segunda línea de defensa.

Gráfica 3.1. Vinculación de los componentes de Control Interno - Marco Integrado COSO 2013, con los principios COSO del Manual de Gestión de Riesgos de Fraude
picture

Fuente: Adaptado del Marco Integrado de Control Interno COSO 2013 y del Manual de gestión de riesgos de Fraude COSO 2016.

Las disposiciones institucionales y operativas relacionadas con la gestión de riesgos de corrupción en entidades reguladas y supervisadas por la Superintendencia Financiera de Colombia, como el Fondo Financiero de Proyectos de Desarrollo (FONADE), parecen estar muy bien estructurados e implementados. En efecto, estas entidades están sujetas a normas más estrictas, y en general tienen sistemas de administración, así como procesos de gestión de riesgos y control interno, más sofisticados debido a los requisitos de gobernanza corporativa y reglamentos correspondientes y a las buenas prácticas internacionales (tales como las directrices de gobernanza corporativa de la OCDE/G20). Es importante señalar que el Sistema de Administración de Riesgo de Fraude y Corrupción (SARFC), del FONADE, es parte de un amplio sistema empresarial de gestión de riesgos que involucra también a los sistemas de administración de riesgos operativos (SARO) y de los riesgos de lavado de activos y de financiación del terrorismo (SARLAFT). Además de la Unidad de planeación, responsable de la gestión de riesgos como es el caso en otras organizaciones públicas colombianas, en el FONADE también existe un Comité de Riesgos especializado.

Se deben reforzar los atributos de integridad en el entorno de control interno y se debe demostrar el tono adecuado desde la cima de la organización, para generar las condiciones necesarias para la gestión eficaz de los riesgos de fraude y corrupción

Como se mencionó anteriormente, los directivos son los principales responsables de diseñar y establecer un sólido entorno de control, demostrando el apego de la entidad a los valores éticos. Sin embargo, cuando se trata de implementar atributos y herramientas de integridad concretas (p. ej., código de ética, requisitos de declaración de conflictos de interés, cursos sobre dilemas éticos etc.), cada persona tiene una función específica, desde los gerentes medios y superiores hasta el personal. Los valores éticos del organismo, así como los procesos y los procedimientos que sustentan dichos valores, deben ser comunicados, implementados y, en caso de ser necesario, deben hacerse cumplir en todo el organismo. Esta no es una tarea fácil. Las percepciones y el comportamiento humano pueden influir en la puesta en práctica de las políticas y códigos éticos.

Tal como se destacó en el capítulo 2, para que los servidores públicos entiendan la diferencia entre obtener una copia del código de ética, al momento de integrarse a la organización, y realmente contribuir al desarrollo de un entorno de control ético sostenible y funcional, Colombia debe tener como prioridad concientizar a los servidores públicos y realizar actividades de capacitación relacionadas con los requisitos de integridad y ética en toda la entidad. Más aún, la gerencia debe evaluar, supervisar y, en caso de suscitarse conductas no deseadas, actuar y comunicar su reacción oportuna. El entorno de control no debe ser administrado de manera ad hoc, sino que debe ser parte integral de la planeación, las operaciones diarias y los estándares de evaluación y vigilancia de los procesos. Los auditores internos, en su papel de “agentes de cambio” al interior de la organización, deben evaluar el entorno de control como parte de su mandato de aseguramiento, e incentivar a la administración para hacer frente a las fallas y deficiencias relacionadas con la eficacia y madurez del entorno de control. El cuadro 3.2 ilustra medidas concretas que Colombia podría adoptar o reforzar, para alcanzar un óptimo ambiente de control anticorrupción.

Cuadro 3.2. Medidas clave para desarrollar un ambiente no conducente a la corrupción
  • Todos los planes administrativos, independientemente de su nivel, deben reflejar los valores y la ética del organismo.

  • Requerir un “contrato ético”, o código de conducta, individual entre el empleado y el empleador al ingresar en el servicio público, así como su refrendo periódico (p. ej., cada año).

  • Capacitación en la resolución de dilemas, en donde se expliquen los valores del organismo en situaciones concretas (para todos los niveles, incluyendo la dirección).

  • Talleres de ética y valores, algunos específicamente dirigidos a los ejecutivos de nivel medio y alto.

  • Los procedimientos de contratación, evaluación y cese del área de recursos humanos deben reflejar y apoyar abiertamente la misión y los valores del organismo.

  • Los valores del organismo deben estar incluidos en los perfiles y descripciones de los puestos

  • Cláusulas éticas en los procesos de contratación y en los contratos suscritos con proveedores externos.

  • Coordinadores de ética con responsabilidades específicas de promover e incrementar la conciencia de ética.

  • Exhibir públicamente los valores clave del organismo.

  • Desarrollar un proceso para informar sobre presuntas violaciones del código de conducta del organismo.

Fuente: Sistemas de Control Interno en el Sector Público de la Unión Europea, Documento de Posición 2015.

Además de las recomendaciones expuestas en el capítulo 2, Colombia también podría garantizar, mediante una mayor concientización y capacitación, que el personal con nombramientos políticos, los gestores públicos, los servidores públicos, especialmente aquellos en las unidades de planeación y en las OCI, reconozcan que la corrupción y las violaciones de la integridad son una amenaza para el entorno de control interno.

Los esfuerzos por adaptar e incorporar actividades de concientización y capacitación podrían incluir lo siguiente:

  • La metodología utilizada para la elaboración de mapas de riesgos de corrupción podría convertirse en parte de los seminarios de desarrollo de capacidades y de capacitación sobre los estándares del MECI, para lograr una mejor alineación de la evaluación de los riesgos de corrupción y de integridad con el procedimiento de evaluación de riesgo utilizada.

  • Sobre la base de experiencias anteriores, se podrían desarrollar módulos específicos para prevenir, detectar y hacer frente a prácticas de corrupción en colaboración con la Escuela Superior de Administración Pública (ESAP). Esto debería ser adaptado a las necesidades de los servidores públicos en las unidades de planeación, del personal de las OCI y de los gerentes superiores de las entidades públicas, especialmente aquellos en áreas de alto riesgo, tales como recursos humanos, gestión financiera y adquisiciones.

  • Estos módulos deben hacer hincapié en la amplia variedad de prácticas corruptas y de tipos de violaciones de la integridad, para asegurar que los servidores públicos las identifiquen como un riesgo e implementen controles adecuados y rentables.

  • Las políticas de la administración pública colombiana deben hace énfasis en el valor de convertirse en un ejemplo a seguir y en adoptar el tono desde la cúpula para promover la ética. Algunas acciones concretas podrían incluir:

    1. Seleccionar a los directivos con base en características que favorezcan la conducta ética y evaluar el cumplimiento ético durante los procedimientos de selección.

    2. Realizar seminarios y campañas de concientización grupales e individuales, sobre ética y valores.

    3. Implementar herramientas de auto-evaluación para los administradores (cuestionario de evaluación), que incluyan aspectos éticos.

    4. Realizar evaluaciones de 360° a los altos directivos, así como a los gerentes en puestos de alto riesgo (incluyendo evaluaciones que incluyan aspectos éticos).

Se debe mejorar la definición de las funciones y responsabilidades concretas de las Oficinas de Control Interno para prevenir, detectar y hacer frente a los esquemas de fraude y corrupción

Los principales modelos de gestión de riesgos de fraude y corrupción, en los países miembros y los socios de la OCDE, ponen en relieve el hecho de que la responsabilidad principal de prevención y detección de la corrupción recae en los directivos y en el personal de los organismos públicos (funciones de primera y segunda línea de defensa), así como en los organismos encargados de hacer cumplir la ley, tales como las fuerzas del orden y las instituciones anticorrupción. Las unidades de auditoria interna no deben dar prioridad a la lucha contra el fraude y la corrupción, sino fomentar un entorno que no sea propicio para este tipo de esquemas. Además, los auditores internos no deben estar directamente involucrados en las investigaciones de fraude y de corrupción.

En Colombia, las OCI deberían asumir una función de auditoria interna contemporánea, como proveedoras de aseguramiento, ubicadas en la tercera línea de defensa dentro del sistema global de control interno institucional. Al brindar asesoramiento y conocimientos al marco general de gestión del organismo, la auditoria interna desempeña un papel vital como agente de cambio positivo en la organización y ayuda a prevenir fraudes y corrupción. Por lo tanto, las OCI pueden desempeñar una función sólida, rentable y objetiva en la concientización y prevención de la corrupción, sin embargo, no deben ser consideradas como las principales responsables. En este entorno, se debe definir de manera cuidadosa el papel del personal de las OCI en la gestión de los riesgos de corrupción, para evitar duplicaciones y vacíos en el régimen de control.

La función de las OCI con respecto a la investigación de casos de fraude o de corrupción debe estar claramente definida en los estatutos de la auditoria interna. En caso de que la auditoria interna tenga alguna responsabilidad en la gestión de riesgos con respecto a estos asuntos, ello debe quedar definido en los estatutos, dejando en claro que el trabajo no se lleva a cabo como parte de la función de auditoria interna y determinando como se garantiza su independencia y objetividad. En Colombia, parece que, en algunos casos, funcionarios con nombramientos políticos y altos directivos del sector público, esperan que la auditoria interna participe más activamente en la gestión de los riesgos de fraude y corrupción.

Las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna (International Internal Audit Standards, IIA) reconocen la importancia de la gestión de riesgos de fraude y la relevancia de la función desempeñada por los auditores internos. Sin embargo, esta función se centra en proporcionar aseguramiento. La función de la auditoria interna no consiste en gestionar los riesgos de fraude en nombre de los organismos, sino ofrecer el aseguramiento que todos los riesgos, incluidos los riesgos de fraude y corrupción, estén siendo gestionados con eficacia. En caso de que el personal de la OCI identifique áreas vulnerables de control durante una auditoría, que pudieran dar pie al fraude, o encuentre evidencia de que el fraude ha sido o está siendo perpetrado, deben ser capaces de referirse a los correspondientes procedimientos de auditoria interna sobre el manejo de la sospecha de fraude y consultar el plan del organismo de respuesta al fraude para su implementación. Por lo regular, a través de estos mecanismos es posible identificar las acciones a seguir y a quién se debe dar aviso.

En este marco, los titulares de las OCI podrían verse en la necesidad de prorrogar la auditoría y realizar pruebas adicionales, para identificar actividades que pudieran ser indicadores de fraude, y examinar cuidadosamente las evidencias disponibles a fin de determinar si existe una clara evidencia de fraude, con el fin de recomendar una investigación. Una consideración clave sería determinar el momento en que se debe dar aviso a la gerencia (p. ej., a los servidores públicos con responsabilidades anti-fraude o a la Oficial de Notificación sobre Lavado de Dinero). Esta será una decisión clave para el Jefe de la OCI en base a las circunstancias individuales y a las políticas, procedimientos y responsabilidades previamente establecidas en el correspondiente organismo público.

El Marco Internacional de Prácticas Profesionales (International Professional Practice Framework, IPPF) del Instituto de Auditores Internos define el fraude como “cualquier acto ilegal caracterizado por engaño, ocultamiento o violación de confianza (…) perpetrado por actores y organizaciones con el fin de obtener dinero, bienes o servicios; para evitar el pago o la pérdida de servicios; o para conseguir beneficios personales o empresariales”. El Estándar 2110 de Gobernanza del Instituto de Auditores Internos (IPPF, 2015) se refiere específicamente a la responsabilidad de la auditoría interna de evaluar la situación existente y presentar recomendaciones apropiadas para mejorar la gestión pública, a fin de promover los valores y los principios éticos correctos dentro de la entidad. Es más, existe una guía práctica para Evaluar Programas y Actividades Relacionados con la Ética (IIA, 2012).

Los siguientes principios se refieren a la manera en que la Auditoría Interna debe responder a los riesgos de fraude y de corrupción (IPPF del IIA):

  • 1210.A2 (Pericia): “Los auditores internos deben tener conocimientos suficientes para evaluar el riesgo de fraude y la forma en que se gestiona por parte de la organización, pero no es de esperar que tengan conocimientos similares a los de aquellas personas cuya responsabilidad principal es la detección e investigación del fraude.”

  • 1220.A1 (Cuidado profesional): “El auditor interno debe ejercer el debido cuidado profesional al considerar (…): La probabilidad de errores materiales, fraude o incumplimientos”

  • 2060: “El director ejecutivo de auditoría debe informar periódicamente al Consejo y a la alta dirección sobre (…)exposiciones de riesgo relevantes y cuestiones de control, cuestiones de gobierno corporativo y otras cuestiones necesarias o requeridas.”

  • 2120.A2 (Gestión de riesgos): “La actividad de auditoría interna debe evaluar la posibilidad de ocurrencia de fraude y cómo la organización maneja gestiona el riesgo de fraude.”

  • 2210.A2 (Objetivos del trabajo): “El auditor interno debe considerar la probabilidad de errores, fraude, incumplimientos y otras exposiciones significativas al elaborar los objetivos del trabajo.”

Por lo tanto, Colombia debe asegurar que los estatutos de la auditoría interna definan claramente el procedimiento para comunicar los casos de corrupción y violaciones financieras a las autoridades competentes, tanto interna como externamente, es decir, a la Oficinas de Control Disciplinario, la Contraloría General de la República (CGR), la Procuraduría General de la Nación (PGN), y la Fiscalía. Esto se debe hacer dentro de un periodo de tiempo determinado, a partir de la fecha en que se haya detectado o haya sucedido el evento.

Más allá de estos procedimientos de denuncia, la auditoría interna debe tener un enfoque proactivo que detecte señales de alerta y síntomas de corrupción. Entre otras herramientas de auditoría y técnicas aplicadas para detectar actividades de corrupción, se puede hacer referencia a la evaluación de controles internos, tales como controles administrativos y contables, minería de datos por medio de técnicas de auditoría asistida por computadoras (Computer-Assisted Audit Techniques, CAAT), herramientas de recopilación de datos tales como entrevistas, cuestionarios de observaciones, muestreo y análisis, así como revisiones analíticas, tales como análisis de proporción y análisis de variación

Al entrar en contacto con las misiones de auditoría, los auditores deben actuar para determinar indicadores de fraude y corrupción que puedan ser identificados en la mayoría de los procesos base. Para reconocer estos indicadores, los auditores deben confiar en su experiencia técnica, su criterio profesional y la buena comprensión de cómo pueden ser cometidos actos potenciales de fraude y corrupción. Las estrategias de auditoría deben estar dirigidas a las áreas operativas propensas al fraude y a la corrupción, mediante la elaboración de indicadores de riesgo eficaces (banderas rojas). Para mejorar las aptitudes y capacidades de auditoría en la detección de fraudes, Colombia podría considerar la elaboración de “Directrices de Auditoría para Detección de Fraudes” con el fin de homogeneizar e integrar los procesos de lucha contra el fraude y proporcionar a los auditores internos normas metodológicas y herramientas. El siguiente cuadro presenta una visión rápida del enfoque del Reino Unido hacia la auditoría interna, en relación con el fraude y la corrupción (cuadro 3.3).

Cuadro 3.3. Función de la auditoría interna en el fraude y la corrupción

Detectar el fraude y la corrupción no es una de las principales funciones de la auditoría interna. El papel de la auditoría interna es emitir un dictamen independiente, basado en una evaluación objetiva del marco de gobernanza, administración de riesgos y control. De esta manera, los auditores internos pueden:

  • Revisar la evaluación de riesgos del organismo en busca de evidencia en la cual basar una opinión respecto a sí se han identificado y resuelto los riesgos de fraude y de corrupción de manera correcta (es decir, dentro de la tolerancia al riesgo). • Emitir una opinión independiente sobre la eficacia de la prevención y la detección de los procesos existentes para reducir el riesgo de fraude y/o de corrupción.

  • Revisar los nuevos programas y políticas (y cambios en las políticas y programas existentes) en busca de evidencia de que el riesgo de fraude y la corrupción hayan sido considerados, donde correspondiera, y ofrecer un dictamen sobre la presumible eficacia de los controles diseñados para reducir el riesgo.

  • Considerar la posibilidad de fraude y corrupción en cada intervención de auditoría e identificar indicadores de posible comisión de delito o de debilidades de control que podrían indicar una vulnerabilidad al fraude o corrupción.

  • Revisar las áreas donde hayan ocurrido instancias graves de fraude o corrupción, para identificar las debilidades del sistema que hubieran sido explotadas o controles inoperantes, y hacer recomendaciones, en su caso, en cuanto al refuerzo de los controles internos.

  • Apoyar, o llevar a cabo, investigaciones en nombre de la administración. Los auditores internos sólo deben investigar casos, presuntos o reales, de fraude o corrupción, si cuentan con los conocimientos y comprensión adecuados de las leyes pertinentes que les permitan llevar a cabo esta labor con eficacia. Si se lleva a cabo el trabajo de investigación, la administración debe estar al tanto de que el auditor interno está actuando fuera de las atribuciones fundamentales de la auditoría interna, y de las posibles repercusiones sobre el plan de auditoría.

  • Emitir un dictamen sobre la presumible eficacia de la estrategia de riesgo de fraude y corrupción del organismo (p. ej. políticas, planes de respuesta, política de denuncias, códigos de conducta) y si éstos han sido comunicados eficazmente a través del organismo. Los directivos son los principales responsables de garantizar que exista una estrategia adecuada y es función de auditoría interna revisar la eficacia de dicha estrategia.

Fuente: United Kingdom, HM Treasury (2012), Fraud and the Government Internal Auditor, January 2012 [Reino Unido, Oficina de Hacienda de Su Majestad, El Fraude y el Auditor Interno Gubernamental, enero de 2012]

Algunas propuestas concretas para estructurar la función de auditoría interna en la gestión de los riesgos de fraude y corrupción podrían incluir las siguientes acciones:

  • Al llevar a cabo una auditoría, el personal de la OCI reconoce escenarios típicos y señales de alerta que pueden ser inherentes a procesos individuales. Esta información puede ser utilizada para desarrollar materiales de capacitación para los directivos y el personal en el área de operaciones correspondiente;

  • Los auditores internos pueden actuar como expertos de contenido para el desarrollo de capacitación en línea (p.ej., códigos de conducta, conflicto de intereses, acoso, etc.) y páginas web de educación sobre corrupción, proporcionando información para los responsables de los procesos respecto a los tipos de corrupción y las causas de los posibles actos de corrupción, en un proceso determinado. Este sitio puede proporcionar información acerca de las repercusiones de una mala segregación de funciones y las típicas “banderas rojas” de controles de baja eficiencia dentro de procesos institucionales concretos.

  • Los auditores internos también pueden apoyar el proceso de reingeniería y desarrollo de procesos, aportando discernimiento sobre los puntos de control en el proceso que puedan presentar oportunidades de corrupción si no son gestionadas adecuadamente.

  • El área de auditoría interna puede realizar algún nivel de evaluación de riesgos de fraude como parte del desarrollo de su planeación de auditoría anual. Aunque no es responsable de la evaluación de riesgo de toda la entidad, el personal de las OCI puede actuar como un experto imparcial y propiciar debates significativos entre las diferentes áreas de negocio, para mitigar el efecto de “silo” y poner en evidencia los riesgos de corrupción.

El análisis de datos y de macrodatos (Big Data) puede ser explotado y apalancado de manera más sólida, para fortalecer la transparencia y dar sustento a un enfoque anticipatorio basado en el riesgo para combatir el fraude y la corrupción

El ejercicio de gestión de riesgos depende en gran medida de la capacidad y conocimientos del personal involucrado, así como de la calidad de los datos e insumos utilizados en cada una de las actividades correspondientes, es decir, de la identificación y evaluación de los riesgos, la evaluación de la eficacia de los controles existentes y la identificación de patrones de corrupción y tendencias históricas. Conforme los datos operativos, de gestión y de control se vuelven más accesibles, los auditores internos, funcionarios de riesgos y gerentes deben trabajar de manera conjunta para identificar flujos de datos que puedan ser monitoreados y analizados para detectar incertidumbres y anomalías.

El Análisis Forense Digital (Forensic Data Analytics, FDA) puede ser un valioso aliado en la prevención y detección de fraudes y corrupción, haciendo uso de la información disponible en las bases de datos gubernamentales. Permite la identificación de patrones y correlaciones significativas en los datos históricos existentes, para predecir acontecimientos y evaluar los distintos motivos que provocaron actividades fraudulentas. Herramientas avanzadas, o más inmaduras, de Análisis Forense Digital son utilizadas por varias organizaciones públicas, con un impacto positivo en combatir la corrupción. Uno de los mayores desafíos radica en el hecho de que muchos de los datos del gobierno están poco estructurados y, por lo tanto, son difíciles de combinar y evaluar. En la mayoría de los organismos públicos, los datos existen en formatos estructurados (bases de datos, sencillas o más sofisticadas) y no estructurados (correos electrónicos, documentos de procesamiento de texto, multimedia, vídeo, archivos PDF, hojas de cálculo, redes sociales). Las técnicas de análisis forense de datos no estructurados pueden convertir datos sin procesar en formatos que pueden ser usados para generar información basada en evidencia, para prevenir o detectar prácticas fraudulentas y corruptas. El informe del de la Asociación de Examinadores de Fraude (Association of Fraud Examiners, ACFE) de 2014, identifica la supervisión y el análisis proactivo de los datos como uno de los instrumentos más eficaces para el control anticorrupción, reduciendo las pérdidas atribuibles a la corrupción y la duración de los esquemas de corrupción. Más aún, el informe del 2016 de la Asociación de Examinadores de Fraude subrayó que el 36.7% de las organizaciones víctimas de fraudes o de corrupción, que estaban usando la supervisión proactiva de datos y técnicas de análisis como parte de su programa de lucha contra el fraude, sufrieron 54% menos perdidas y detectaron los fraudes en la mitad de tiempo, en comparación con las organizaciones que no utilizaron esta técnica.

El siguiente cuadro ilustra un ejemplo específico del valor agregado que implica el uso del análisis de datos para hacer frente a la corrupción en el sector salud (cuadro 3.4).

Cuadro 3.4. Detección de corrupción en el sector salud a través de una “auditoria de fraude” en Calabria, Italia

En Calabria, innumerables investigaciones en el sistema de salud señalan a la corrupción, incluyendo la infiltración de la mafia, como un delito y un acto de conspiración. En su informe ante el parlamento italiano del 27 de febrero de 2009, Renato Brunetta, Ministro de Administración Pública e Innovación, demostró que Calabria era la región con mayor corrupción en el sector salud. Aun así, gran parte de la corrupción permanece oculta; a pesar de las leyes sobre revisiones y controles, las organizaciones de salud carecían de un sistema de control global de sanciones administrativas y de desempeño económico.

La corrupción en la administración pública es un problema muy complejo en muchos aspectos. En general, el empleado, el gerente o el director general de una entidad pública, que viola las leyes de manera deliberada para obtener ganancias ilícitas provenientes de la administración de fondos públicos, no actúa solo. La corrupción está basada en un sistema de redes complejas en múltiples niveles. Con el fin de detectar actividades ilegales y permitir que se adopten las medidas necesarias, el Business Information Service (BIS) elaboró una metodología, implementada por la Autoridad de Salud Provincial de Catanzaro, que utiliza la gestión de datos para detectar fraudes administrativos y contables en empresas del sector salud. Con un presupuesto de alrededor de 12,000 EUR por año y 8 empleados, la “auditoría de fraudes” de Catanzaro emplea controles internos y un conjunto de procedimientos y técnicas, basados en tecnologías de la información (TI), para programar y posteriormente supervisar las operaciones comerciales, con el fin de encontrar pistas sobre posibles mecanismos de corrupción, en tres áreas:

  • En primer lugar, se realizó un análisis sistemático de los documentos contables y facturas de los proveedores, con la finalidad de detectar facturaciones dobles, facturas no vencidas y montos superiores a los facturados. Se empleó un programa especial desarrollado por el BIS para implementar la Ley Benford (que compara la frecuencia con la que aparecen los números con patrones esperados) para analizar la distribución de todas las cifras relativas al número de factura, fecha e importes correspondientes a cada empresa del sector salud. Se identificó un riesgo de corrupción de 0.1% en los 12,000 documentos revisados. En el proceso de seguimiento fueron identificadas facturas correspondientes a dos empresas, con la misma numeración pero con diferente fecha. Una factura de compra de rastrillos desechables a un precio de 9.00 EUR por pieza, siendo que el precio acordado era de 0.084 EUR, e incrementos en el costo de suministro de diapositivas para análisis químicos y de solución de electrolitos, en donde el precio de adjudicación y el precio de suministro se incrementaron 50 veces y 100 veces respectivamente.

    En segundo lugar, se revisaron las licitaciones en donde participaron menos de tres empresas para el suministro de bienes y servicios, para descubrir las adjudicaciones de contratos en riesgo de ilegitimidad. En diez casos, se adjudicaron

  • contratos en licitaciones en donde solamente había participado una empresa. En los casos en los que se detectó un delito, el asunto fue remitido a las autoridades competentes.

  • Por último, la supervisión de violaciones a la red informática, a través de un programa especial “sniffer”, puso en evidencia el robo de datos y piratería por parte de fuentes tanto internas como externas. Esto puso en evidencia a dos empresas de servicios de salud que estaban eludiendo el servidor de seguridad y el proxy, lo que fue remitido a la policía para su investigación.

Fuente: Comisión Europea (2015), Calidad de la Administración Pública-Herramientas para los Administrativos, abril, 2015.

Existe evidencia sólida que indica que las organizaciones públicas en los estados miembros de la OCDE se benefician con el uso de herramientas y técnicas analíticas de datos para mejorar su capacidad para: (Manual de Tecnología Global para Auditorias de las IIA)

  • Identificar debilidades en el sistema de control interno.

  • Examinar el 100% de las transacciones en comparación con el muestreo.

  • Comparar datos de diferentes aplicaciones.

  • Realizar pruebas diseñadas para la detección de fraudes y verificación de controles.

  • Automatizar pruebas en áreas de alto riesgo.

  • Conservar registros de los análisis realizados.

El análisis de datos puede ayudar a Colombia en su esfuerzo por garantizar que la gestión de riesgo de la corrupción no se limite a un ejercicio aislado. La minería de datos y las técnicas de búsqueda de datos coincidentes permitirán a los organismos públicos colombianos identificar todos los riesgos potenciales y utilizar datos estructurados y no estructurados para comprender mejor el impacto potencial de un rango de riesgos. Al incorporar el análisis de datos en la función de control de riesgo, la administración colombiana podría monitorear el desempeño mediante análisis de susceptibilidad al riesgo, escenificar eventos de riesgos clave y adquirir una mayor susceptibilidad al riesgo en el desarrollo de intervenciones y estrategias de mitigación. El siguiente cuadro ilustra los pasos básicos a seguir en la utilización de los datos de pruebas de fraude predefinidos, para facilitar el seguimiento permanente y las técnicas de auditoría (cuadro 3.5).

Cuadro 3.5. Utilización del análisis de datos en la lucha contra el fraude y la corrupción
picture

Fuente: Oficina del Contralor General de Canadá, “Designing and implementing tailored control activities to detect and prevent potential corruption schemes - Experiences from Canada” [“Diseño e implementación de actividades de control a la medida para detectar y prevenir esquemas potenciales de corrupción - Experiencias del Canadá”], presentación durante el taller “Modernising Internal Audit” [“Modernización de la Auditoría Interna”], diciembre 2016.

Especialmente en el ámbito de la lucha contra la corrupción, el proceso implica la recopilación y el almacenamiento de los datos pertinentes y su análisis para detectar patrones, discrepancias y anomalías. En la era digital y del gobierno digital, casi cada acto corrupto deja tras de sí un rastro de huellas digitales. Los principales organismos públicos dedicados a la prevención de la corrupción están utilizando las nuevas herramientas y tecnologías para descubrir casos de corrupción, idealmente antes de que estos sucedan. El análisis de datos puede mejorar los métodos tradicionales, basados en reglas, para detectar irregularidades y proporcionar evidencia para evaluar el desempeño de los controles existentes, para su mejora constante, ya que los autores potenciales y los esquemas de corrupción están en implacable y constante evolución. Hacer uso del análisis de datos permite encontrar la razón de fondo, identificar tendencias y proporcionar resultados detallados. La gráfica 3.2 muestra los diferentes niveles de especialización de las contribuciones del análisis de datos al diseño basado en la evidencia de fraude y corrupción, así como a las estrategias de mitigación de riesgos.

Gráfica 3.2. Migrar del análisis descriptivo al análisis prescriptivo de datos
picture

Fuente: OCDE

Las técnicas de análisis de datos no están estrictamente asociadas con una infraestructura complicada y costosa y con los activos de datos estructurados. El siguiente Cuadro proporciona un breve resumen de la Ley Benford, que ha demostrado ser una herramienta valiosa para detectar conductas fraudulentas y corruptas. La Ley Benford puede ser implementada utilizando unas sencillas hojas de Excel, comúnmente usada por los auditores internos en sus operaciones diarias, para identificar patrones de datos inusuales que puedan indicar la presencia de fraudes y de corrupción (cuadro 3.6).

Cuadro 3.6. La Ley Benford puede ser una forma rentable de identificar fraudes

La Ley Benford, también llamada la Ley del Primer Dígito, fue dada a conocer por el físico Frank Benford en 1938. Tras observar conjuntos de números naturales, descubrió un patrón sorprendente en la frecuencia de ocurrencia de los dígitos del uno al nueve como primer número de una lista. En esencia, la ley establece que en las listas numeradas que proporcionan datos reales (p. ej., un registro de desembolsos y recepción de efectivo, pagos de contratos, pagos o cobros de tarjeta de crédito), el dígito inicial es uno en casi el 33 por ciento de los casos (es decir, una tercera parte). Por otro lado, los números más elevados aparecen como dígito inicial con menos frecuencia a medida que van aumentando en magnitud, al punto que el nueve es el primer dígito menos del cinco por ciento de las veces.

picture.

La Ley Benford permite comprobar ciertos puntos y números e identificar aquellos que aparecen con más frecuencia de lo que deberían y, que, por lo tanto, son sospechosos. La aplicación práctica de esta teoría ha sido la ruina de los defraudadores y una bendición para los examinadores de fraude.

Por ejemplo, supongamos que un empleado está cometiendo un fraude al realizar pagos a un proveedor ficticio. Dado que los importes de estos pagos fraudulentos son ficticios, el dígito inicial de todas las transacciones ficticias y las transacciones válidas no cumplirán con el patrón de la Ley Benford. Más aún, asumamos que muchos de estos pagos fraudulentos tienen al tres como dígito principal, por ejemplo, $39, $322 o $3,187. Al aplicar la prueba de primer dígito a la información de desembolso, los auditores detectarán que las cantidades con el dígito tres aparecen con una frecuencia mayor al patrón usual de ocurrencia de 12.5%.

Fuente: Global Technology Audit Guide (GTAG), IPPF – Practical Guidance, Data Analysis Technologies, Institute of Internal Auditors, 2011 [Guía de Auditoría de Tecnología Global (GTAG), lPPF - Directrices Prácticas, Tecnologías de Análisis de Datos, Instituto de Auditores Internos, 2011] y http://www.theiia.org/intAuditor/itaudit/archives/2008/february/puttingbenfords-

Con la finalidad de promover el uso de técnicas y herramientas de análisis de datos, Colombia podría establecer un grupo de trabajo para evaluar las capacidades y las tecnologías, e identificar una organización piloto para obtener “logros rápidos” y medibles. Más aún, llevar a cabo talleres de consulta con los titulares y el personal de las OCI, para mapear el estado actual del análisis de datos e identificar oportunidades y medidas concretas para avanzar, podría generar conciencia y apoyo de los auditores, la administración y el personal encargados de los riesgos de fraude y corrupción. La prueba piloto debería probar las herramientas y la infraestructura de implementación, así como proporcionar evidencias cuantificables de su impacto y beneficios. La fase de despliegue debería incluir otras pruebas piloto y medidas concretas para incorporar el análisis de datos en la evaluación de riesgos de corrupción y en la planeación de auditorías. En este plan de acción, algunas actividades concretas podrían incluir:

  • Los titulares de las OCI deben ser los primeros en demostrar el valor agregado de invertir en herramientas de análisis de datos eficaces e ilustrar cómo el análisis de datos ayuda a la lucha contra la corrupción.

  • Las OCI pueden comenzar a utilizar herramientas de análisis de datos simples y enfocarse en las áreas en donde las ventajas sean claras y los datos estén disponibles.

  • Brindar capacitación en el análisis de datos, aunque sea a un nivel básico, a los empleados de las OCI, apoyados por actividades específicas, puede redundar en resultados tangibles, ya que, con conocimientos especializados, es posible realizar un análisis significativo con las herramientas disponibles, tales como Microsoft Excel.

Integración del control interno para lograr una buena gobernanza pública que rinda cuentas

El DAFP debe realizar un esfuerzo más puntual por cerrar la brecha de implementación e integración de las funciones de control interno en los sistemas de gestión de los organismos públicos

Numerosos estados miembros y socios de la OCDE siguen enfrentando serios desafíos en su esfuerzo por cerrar la brecha entre la implementación conceptual de sus marcos de control interno y la materialización real de los componentes y las funciones de control interno. Uno de los temas más importantes relacionados con la vinculación entre la gestión de control interno y los sistemas de gestión de los organismos públicos, es que los empleados con nombramientos políticos, los gerentes públicos y el personal, a menudo no entienden el valor agregado del control interno para mejorar el desempeño y alcanzar los objetivos institucionales. Como se discutió anteriormente, con frecuencia no alcanzan a comprender que la función general de un sistema de control interno moderno implica mucho más que identificar malas conductas, fraudes y esquemas de corrupción y sancionar a los involucrados.

La siguiente Gráfica ilustra cuatro etapas básicas de la integración del control interno y de los procesos de gestión de riesgos en la gobernanza y sistemas de gestión de la organización (gráfica 3.3).

Gráfica 3.3. Niveles de madurez en la integración de la gestión de riesgos y de control interno
picture

Fuente: OCDE

Colombia tiene una larga tradición de control interno en el sector público, pero lograr una visión sistémica de los componentes de control interno sigue siendo un reto. El marco de control interno colombiano (Modelo Estándar de Control Interno, MECI) fue desarrollado originalmente en 2005, con la ayuda de una consultaría financiada por USAID, y está basado en el Modelo Unificado de Control Interno de la Comisión Treadway de 1992, conocido como COSO I. El MECI es la espina dorsal del sistema de control interno y de funciones en Colombia hasta el día de hoy. En 2014, el DAFP realizó una revisión interna del MECI (sin la participación de consultarías externas) para abordar los retos de implementación y lograr una mejor alineación con la versión actualizada del Modelo Unificado de Control Interno COSO 2013. El nuevo MECI es una versión simplificada y más integrada de su versión anterior, y toma en cuenta los puntos débiles identificados en el modelo 2005.

Efectivamente, la administración colombiana parece estar bastante avanzada en reconocer el valor de generar conciencia respecto al control interno en la administración pública. El Modelo Integrado de Gestión incorpora los componentes y funciones de control interno como parte integral de la gobernanza pública y de los ciclos de gestión (eje transversal). Este nuevo modelo es una mejora del Modelo Integrado de Planeación (MIP), en el cual actualmente el MECI no está integrado, sino que aparece como un elemento independiente que busca supervisar, controlar y evaluar el MIP. El MIP es, junto con SINERGIA que fue desarrollado por el Departamento Nacional de Planeación (DNP), la herramienta más importante para evaluar la gestión pública. Sin embargo, en la práctica, el modelo parece haber sido reducido al Formulario Único de Reporte de Avances de Gestión (FURAG), una herramienta de reporte que debe ser completada por los gerentes, lo cual llevó al desarrollo en curso de un modelo unificado de gestión.

Colombia debe dedicar más recursos a cerrar la brecha de implementación en relación con el uso del MIP y aprovechar la introducción del nuevo Modelo Integrado de Gestión (MIG) para brindar mayor eficiencia al MECI en la gobernanza y los sistemas de gestión. Esta no es una tarea fácil y de inicio es necesario adaptarlo y dar una capacitación sustentable a directivos y empleados, así como a titulares y empleados de las OCI.

En Bélgica, el Servicio Público Federal de Control de Gestión y Presupuesto elaboró un marco de control interno para abordar el problema de la “brecha administrativa”, es decir, la diferencia entre lo que se ha logrado y lo que estaba planeado. Con este fin, la Unidad de Apoyo Administrativo adoptó un enfoque que integra el ciclo de riesgo y, por extensión, la implementación del sistema de control interno en las cuatro fases del ciclo de gestión PDCA (Planificar - Llevar a cabo - Verificar - Actuar, cf. Deming), en doce pasos. El Apoyo Administrativo creó una herramienta intuitiva, Diábolo, que funciona como hoja de procesos y contiene un módulo de riesgos integral. El modelo belga ha tenido gran éxito en combinar el ciclo PDCA y el sistema de control interno para reducir las “brechas administrativas” y permitirle al organismo mejorar su gobernanza global, en base a la retroalimentación de actividades y resultados. Un enfoque estructurado ofrece la perspectiva de un mejor desempeño, dado que se lleva a cabo una supervisión permanente de la consecución de los objetivos, junto con la utilización de recursos.

La integración de los procesos de control interno al ciclo de gestión ha presentado diversos desafíos, dependiendo de la cultura y de los recursos de las instancias federales. Se hace notar que este es un esfuerzo continuo y la Unidad de Apoyo Administrativo organiza una reunión mensual de intercambio para el control interno. A través del intercambio de ideas, experiencias y conocimientos con otras entidades, la unidad proporciona información a aquellos que aún están en las primeras etapas de creación de un sistema de control interno. También se ofrece capacitación en control interno en el Instituto de Capacitación del Gobierno Federal (Institut de Formation de l’Administration Fédérale, IFA). También puede, a petición de determinados servicios o instituciones, impartir capacitación interna. Es más, la creación del Comité de Auditoría de la Administración Federal (Comité d’Audit de l’Administration Fédérale, CAAF) en la primavera de 2010, ha dado un gran impulso a la integración de los principios de buena gobernanza en la administración federal. Desde entonces, las entidades comprendidas en el ámbito de auditoría tienen la obligación de elaborar un informe anual sobre la situación de su sistema de control interno durante el año anterior. El informe debe ser presentado al CAAF a más tardar el 15 de febrero de cada año. Estos informes constituyen además la base para elaborar la notificación obligatoria del CAAF al ministro correspondiente, así como al Consejo de Ministros. En este contexto, el Apoyo Administrativo también ha creado un manual dirigido a las instituciones y, en colaboración con la secretaría del CAAF, ha elaborado directrices para ayudar en la elaboración del informe. El cuadro 3.7 ilustra el enfoque belga, que vincula las funciones de control interno a la gestión pública mediante el ciclo PDCA de Deming.

Cuadro 3.7. Apalancamiento del control interno en el ciclo de gestión PDCA

El alcance y las actividades de una entidad pública son determinadas por factores como:

  • Los objetivos políticos estratégicos

  • Las prioridades anuales de las políticas

  • Las expectativas de los ciudadanos

  • Las limitaciones de recursos

El titular de una entidad pública debe rendir cuentas con respecto a la gestión de los recursos de que dispone para cumplir con las expectativas de las partes interesadas, de la manera más eficaz. Para este fin, es responsable de:

  • Evaluar lo que se ha realizado en comparación con lo que estaba planeado

  • Implementar las medidas necesarias para mejorar la situación

  • Anticipar los cambios y los riesgos que pudieran surgir

El ciclo Deming proporciona una buena oportunidad para ilustrar la necesidad de integrar los procesos de control interno en la operación diaria.

picture

La Unidad de Apoyo Administrativo de Bélgica adoptó un enfoque que integra el ciclo de riesgo y, por extensión, la implementación del sistema de control interno en las cuatro fases del ciclo de gestión (Planear - Llevar a cabo - Verificar - Actuar, cf. Deming), en doce pasos.

  • Durante la fase de planeación (Planear), el organismo define las expectativas periódicas respecto a los servicios prestados, así como los recursos necesarios. El sistema de medición, compuesto por un conjunto de indicadores e informes, toma en cuenta los resultados de la supervisión periódica.

  • La fase de ejecución (Llevar a cabo) incluye las actividades “cotidianas” del organismo. Durante esta fase, se recopila información básica para su estudio en la fase de análisis. La administración garantiza la correcta ejecución de las actividades y la adecuada aplicación del sistema de medición

  • Durante la fase de análisis (Verificar), se evalúan y discuten los resultados obtenidos. Este es uno de los aspectos más importantes del control administrativo; en esta etapa, el sistema de control interno comienza a actualizarse en función de los eventos que ocurrieron durante la fase de ejecución. Con este fin, el Apoyo Administrativo creó una herramienta intuitiva, Diábolo, que funciona como hoja de procesos y contiene un módulo de riesgo integral. Facilita la identificación y la evaluación de riesgos. Las medidas de control pueden entonces ser evaluadas, lo cual reduce la vulnerabilidad del organismo a los riesgos. La exposición al riesgo es un indicador de la posible necesidad de hacer frente a un riesgo prioritario.

  • Durante la etapa de reacción (Actuar), se desarrollan las medidas indicadas para hacer frente a un riesgo. Es necesario contar con el apoyo indicado para garantizar que las medidas adoptadas sean implementadas adecuadamente.

Los riesgos relacionados con las políticas tienen que ser indicados por separado, dado que se refieren a objetivos a largo plazo dentro del plan de gestión o del acuerdo gubernamental. Su monitoreo requiere una menor recurrencia que el de la gestión de riesgos. Pueden ser estimados durante la fase de planeación, por medio de un análisis FODA, con miras a posibles rectificaciones estratégicas u operativas. La elaboración de informes periódicos por parte de los administradores del ciclo de gestión proporciona una valiosa contribución en este caso.

Fuente: Public Internal Control Systems in the European Union and Practical Guide for the Development and maintenance of an Internal control System by the Belgian Public Federal Service for Budget and Management Control [Sistemas de Control Interno Público en la Unión Europea y la Guía Práctica para el Desarrollo y Mantenimiento de un Sistema de Control Interno elaborado por el Servicio Público Federal de Presupuestos y Control Interno de Bélgica].

En Colombia, algunas propuestas de acción concretas podrían incluir:

  • Simplificar aún más las funciones y actividades de control interno en la gobernanza y sistemas de gestión de la administración pública colombiana, convirtiendo estas funciones en un componente integral de la actual administración pública y de las reformas de la gestión financiera.

  • Tomar todas las medidas legislativas y prácticas necesarias para garantizar que las recomendaciones de auditoría reciban seguimiento y queden vinculadas al proceso de reforma y reingeniería de los sistemas de gestión pública y procedimientos administrativos.

  • Las Unidades de Planeación deben buscar una participación activa de las principales unidades operativas en la ejecución del MECI y especialmente en la función de gestión de riesgos.

  • Los titulares de las instituciones y el personal de designación política deben acudir a un seminario especifico (p. ej., un módulo amigable e interactivo impartido por Internet) sobre la importancia del control interno para mejorar el desempeño institucional y alcanzar los objetivos de la institución. Deben comprender que el control interno es una potente herramienta de gestión que les ayudará a tener éxito en su misión.

  • La gerencia media y superior también debe aprender a confiar en la gestión de riesgos y en las herramientas de auditoría interna para desempeñar sus operaciones cotidianas. El control interno no es ni una carga burocrática adicional ni una función de “policía”. Es el medio para hacer frente a las amenazas, a los escasos recursos públicos y a la desconfianza de la ciudadanía hacia las instituciones gubernamentales.

Los criterios para la evaluación externa del sistema de control interno podrían estar mejor articulados, alineados y armonizados mediante el fortalecimiento de la coordinación entre la Contraloría General, el DAFP y la Contaduría

El análisis inicial muestra que la Contraloría General de la República (CGR), el DAFP y la Contaduría presentan sus propios informes a la asamblea legislativa sobre la eficacia del sistema de control interno. Esta actividad ha llevado en ocasiones a resultados diferentes, creando debates sobre la coherencia metodológica en lugar de generar discusiones sobre el fondo y las mejoras necesarias. La CGR sigue una metodología basada en COSO II (modelo SICA de Chile), en donde se pueden realizar visitas de campo y que está más centrada en el control financiero; es decir, en la protección de los recursos públicos y cuestiones fiscales relacionadas.

A su vez, el DAFP supervisa y evalúa el desarrollo de las condiciones del sistema de control interno a nivel de las entidades, mediante la consolidación de los resultados de la autoevaluación MECI, ejercicio que las OCI llevan a cabo anualmente, a nivel de entidad. La evaluación de los resultados de la autoevaluación está planteando graves problemas y se están realizando esfuerzos continuos para mejorar la metodología, las preguntas pertinentes y los indicadores, así como la documentación de los resultados. En efecto, la autoevaluación tiene sus limitaciones. Durante las entrevistas se señaló que, en el pasado, en algunas ocasiones la auto-evaluación asigno a ciertas entidades el resultado de “exitosas”, siendo que se trataba de entidades de bajo desempeño, corruptas y que incluso enfrentaban situaciones de quiebra. Además, para organizaciones públicas menores, como los pequeños municipios, la evaluación MECI puede llegar a ser demandante, resultando en la subcontratación de la evaluación, en el uso de recursos ya escasos o en limitándose a marcar casillas, sin proporcionar la debida documentación y pruebas.

Colombia podría considerar formalizar y estandarizar las iniciativas ya existentes de armonización y coordinación, estableciendo un grupo de trabajo permanente conformado por las instituciones de auditoría interna y externa y las entidades de control interno. Ya hay algunos avances en este campo, como se ilustra en el ejercicio de evaluación de 2015. El planteamiento básico es que las evaluaciones realizadas por el DAFP, la Contaduría y el CGR no producen resultados que deban ser comparados entre sí, sino que deben ser articulados y complementarios. No obstante, parece existir confusión entre el personal de las OCI y el resto de los servidores públicos en relación al alcance, beneficio y validez de estos diferentes ejercicios de evaluación.

Los conceptos fundamentales relacionados con el control interno y la gestión de riesgo pueden ser similares entre los diferentes modelos de Colombia, pero no debe ser responsabilidad de la entidad fiscalizada lograr superar la curva de aprendizaje potencial para comprender las diferencias. Los beneficios de un marco armonizado incluyen, pero no están limitados a:

  • Desarrollo simplificado de capacidades y capacitación, tanto para auditores como auditados, con el consiguiente ahorro en costos. Por ejemplo, el costo de actualización de un solo conjunto de estándares y sus correspondientes herramientas, para alinearlos con la evolución internacional y las actualizaciones técnicas de auditoría, sería significativamente menor que hacerlo para marcos de referencia diferentes.

  • Facilitar la difusión de conocimientos relacionados con la auditoría en las tres ramas y niveles de gobierno, mejorando así su eficacia y su eficiencia. La implementación consistente de normas y marcos, por parte de las entidades de auditoría, permite la aplicación eficaz y eficiente de los procesos de control interno y de las prácticas de gestión de riesgos por parte de las entidades públicas, y cierra las brechas de las políticas relacionadas con el diseño de las actividades relacionadas.

  • Simplificar la autoevaluación y los modelos de evaluación. Una evaluación de esta naturaleza permitiría supervisar y medir de manera más confiable y eficaz la implementación real de las actividades de control interno y de gestión de riesgos. Adicionalmente, aportaría a todos los colombianos interesados información valiosa sobre cómo abordar las cuestiones fundamentales que impiden la puesta en marcha de un sistema de control interno óptimo y funcional, incluyendo la función de gestión de riesgos.

El cuadro 3.8 proporciona información adicional, desde la perspectiva europea, que las instituciones colombianas podrían tomar en consideración para mejorar la evaluación de los sistemas de control interno y la gestión de riesgos, incluyendo las funciones de auditoría interna.

Cuadro 3.8. Directrices para monitorear la eficacia de los sistemas de control interno y de gestión de riesgos

Las Recomendaciones de la 8ª Directiva Europea en Derecho de Sociedades en referencia a la Auditoría Legal ofrecen puntos clave que deben ser tomados en cuenta en la implementación de un sistema que supervise correctamente la eficacia del control interno, la auditoría interna y los sistemas de gestión de riesgos. Incluyen las siguientes preguntas:

  1. ¿Quién supervisa la idoneidad del sistema de control interno? ¿Existen procedimientos para revisar la idoneidad de los controles financieros y otros controles fundamentales, para todos los nuevos sistemas, proyectos y actividades?

    • Un elemento clave de cualquier sistema de control interno eficaz es un mecanismo para proporcionar retroalimentación respecto a la manera en que operan los sistemas y procesos, de modo que se puedan identificar las deficiencias y las áreas de oportunidad para implementar los cambios necesarios. En primer lugar, la existencia de un departamento de control interno ayudará a los administradores a implementar controles internos sólidos. La operación de los controles clave estará sujeta a revisión por la auditoría interna y externa, junto con otras agencias de revisión, tanto internas como externas al organismo. Si existe un departamento de control interno, se puede solicitar orientación a la gerencia de administración de riesgos o de auditoría interna

  2. ¿Existen mecanismos para evaluar periódicamente la eficacia del marco de control del organismo?

    • Un requisito fundamental de muchos de los requisitos de control interno contenidos en la legislación, en toda la UE y el resto del mundo, es una certificación anual en cuanto a la idoneidad y eficacia del sistema de control interno. Dicha certificación debe quedar claramente evidenciada. La revisión del marco de control será responsabilidad del comité de auditoría, el cual recibirá información y garantías de la auditoría interna, la gerencia de riesgos y los auditores externos.

  3. ¿Que evalúa la auditoría interna?

    • El comité de auditoría evalúa el desempeño de la función de auditoría interna, recibiendo información de desempeño de la propia función, y consultando a los directivos apropiados y a los auditores externos. Adicionalmente, la función debe ser revisada, de manera independiente, por una agencia externa, como el Instituto de Auditores Internos (IIA), como se especifica en el Marco de Prácticas Profesionales Internacionales, emitido por el IIA.

  4. ¿Cómo fueron priorizadas las actividades de auditoría propuestas? ¿Está vinculada la determinación al plan de administración de riesgos de los organismos y a la propia evaluación de riesgos de la auditoría interna? ¿Son cuestionados los planes de auditoría interna y de presupuesto cuando son presentados?

    • El trabajo de auditoría interna debe quedar plasmado en un plan basado en el riesgo, cuestionado y aprobado anualmente por el comité de auditoría. Este plan debe ser enriquecido por el trabajo de otros organismos de revisión, como la auditoría externa y la administración de riesgos, y debe contener suficientes tareas para que el jefe de auditoría interna pueda tener una visión global de la idoneidad de los procesos de administración de riesgos operados por el organismo. Si no existe ningún proceso formal de administración de riesgos, o si el proceso es deficiente, la auditoría interna tendrá que depender, para su revisión, de algún otro método de evaluación de actividades y controles clave. Esto podría estar basado en su propia evaluación de riesgos.

Fuente: Federation of European Risk Management Associations (FERMA) and European Confederation of Institutes of Internal Auditors (ECIIA), Guidance on the 8th EU Company Law Directive, [Federación Europea de Asociaciones de Gestión de Riesgos (FERMA) y la Confederación Europea de Institutos de Auditores Interna (ECIIA), Recomendaciones sobre la Octava Directiva de Derecho de Sociedades en la Unión Europea] 2011.

El DAFP podría analizar medidas prácticas para mejorar la metodología y la aplicación del ejercicio de autoevaluación en el marco del MECI. El DAFP podría trabajar estrechamente con otras instituciones de control interno y de auditoría colombianas para cerrar las brechas jurídicas y políticas y promover un enfoque coherente, a través de toda la estructura gubernamental, del control interno y de la gestión de riesgos, unificando los marcos existentes y mejorando la coordinación de los sectores interesados.

Facultar a las OCI para que se enfoquen en su función de aseguramiento con respecto a la eficacia de los mecanismos de control interno y de gestión de riesgos

Se podrían explorar los beneficios de los modelos de servicios de auditoría compartidos, adaptados a las necesidades y a la capacidad de la administración pública colombiana, en un determinado sector o a nivel municipal

El verdadero desafío para la auditoría interna, en la era de crisis financiera y austeridad, es cómo hacer más con menos, por ejemplo compartiendo servicios de auditoría interna entre múltiples entidades. Idealmente, la auditoría interna debe depositar su confianza en los mecanismos de control de primera y segunda línea de defensa, para asignar recursos de manera más eficiente a las áreas de mayor riesgo o donde existan faltantes o deficiencias en otras modalidades de control. En numerosos estados miembros y socios de la OCDE, los presupuestos de auditoria están siendo reducidos justamente cuando el personal político y los altos servidores públicos tienen una mayor necesidad de recibir aseguramiento de los controles de auditoria.

En Colombia, hay 24 sectores administrativos, 32 departamentos y 1,096 municipios. En varias instancias, existen importantes limitaciones de recursos y capacidades. Por ejemplo, algunos municipios son demasiado pequeños para contar con una OCI. Paralelamente, el artículo 75 de la ley 617 del 2000 establece que las funciones de contabilidad y de control interno podrán ser ejercidas por organismos conexos dentro de la respectiva entidad territorial en relación a los municipios de 3ª, 4ª, 5ª y 6ª categoría, lo que prácticamente significa que estas entidades locales no están obligadas por ley a desarrollar su propia OCI.

Sin embargo, incluso a nivel nacional, muchos de los titulares de las OCI entrevistados informaron que no cuentan con suficiente personal, que el personal asignado no cuenta con las habilidades y conocimientos necesarios y que no están involucrados en el proceso de selección de su personal. Otras cuestiones están relacionadas con el régimen de remuneración de los titulares y del personal de las OCI, su posición dentro de las instituciones y la comprensión de la importancia de la auditoría interna como una función de control por parte de los directivos de las instituciones, el resto del personal nombrado políticamente y los altos directivos del sector público.

El Reino Unido, que cuenta con uno de las más avanzadas y sofisticadas estructuras de auditoría interna en el mundo, ha estado trabajando en un enfoque de servicios de auditoría compartida, tras la publicación, por la Tesorería de su Majestad, de la revisión de Revisión de la Gestión Financiera (FMR) en diciembre de 2013. (cuadro 3.9).

El FMR formuló tres recomendaciones relativas a la auditoría interna:

  • Consolidar los servicios compartidos de auditoría interna, migrando de la estructura departamental a un servicio integral, el cual debe ser una entidad independiente de la Tesorería.

  • Fortalecer el papel del encargado de la auditoría interna, para que se convierte en “Jefe de auditoría interna del gobierno”, quien reportará al director general de gasto y finanzas de la Tesorería, y

  • Brindar servicio, de manera integral, a todo el Gobierno, así como a los funcionarios a cargo de la contabilidad.

Cuadro 3.9. Desarrollo de la Agencia de Auditoría Interna del Gobierno, (GIAA por sus siglas en inglés)

La GIAA es la encargada de proporcionar:

  • Auditorias y servicios de control a los departamentos individuales, además de controles para los riesgos comunes identificados en toda la estructura gubernamental.

  • Políticas de auditoría interna y aseguramiento, y desarrollo de la profesión en toda la estructura gubernamental (en nombre del Tesorería de su Majestad)

La GIAA está actualmente distribuida en 81 sedes en todo el Reino Unido, con 67% del personal fuera de Londres, y brinda servicios a 124 organizaciones públicas. Aproximadamente 70% de los auditores internos del Gobierno Central trabajan en la GIAA.

La visión de la GIAA es ser principal proveedor experto y confiable de auditorías consistentes y de alta calidad, así como de servicios de control para todo el gobierno, ser valorada por sus clientes y reconocida como un catalizador para impulsar la mejora de las instituciones.

Fuente: Presentation on “Models of Internal Audit” by United Kingdom’s Government Internal Audit Agency, Modernising Internal Audit Workshop [Presentación sobre “Modelos de Auditoria Interna” del Órgano de Auditoria Interna del Gobierno del Reino Unido, Modernización de los Talleres de Auditoría Interna], 5 y 6 de Diciembre de 2016.

El principio detrás de la creación de los servicios compartidos es disponer de un número suficiente de auditores internos concentrados, para desarrollar sus capacidades y formar a los futuros líderes, así como generar un intercambio de recursos, especialmente entre sectores especializados. Varios de los titulares de las OCI hicieron referencia a los beneficios de poseer la combinación adecuada de habilidades dentro de sus equipos y la OCI de la Dirección de Impuestos y Aduanas Nacionales (DIAN) hizo especial énfasis en el éxito obtenido de la práctica de reunir equipos multidisciplinarios de auditores. Claro está que la OCI de la DIAN cuenta con un equipo de alrededor de 20–25 personas, con un amplio universo de auditorías de 10’000 empleados y 47 direcciones departamentales. Están desarrollando sistemas de auditoría interna basados en riesgos y elaborando mapas de aseguramiento con la mayoría de las unidades operativas. Simultáneamente, están realizando importantes esfuerzos para demostrar a los altos directivos y gerentes de nivel medio el valor agregado de la auditoría interna y de herramientas tales como ARI.

La cuestión es si otras OCI pueden también tener acceso a recursos suficientes. Los resultados del enfoque de servicios de auditoría compartida resultan en beneficios derivados de la concentración de conocimientos y prácticas innovadoras, así como de la masa crítica (p. ej., concentración de expertos en análisis de fraude forense o en seguridad cibernética). Este modelo puede asimismo mejorar la eficiencia y la calidad del servicio, reducir el costo financiero, adaptar y desarrollar los conocimientos de auditoria y el modelo de capacidades, basado en las expectativas y las necesidades de los usuarios. Esta lógica también está impulsando el desarrollo de la administración centralizada de los servicios de auditoría interna de Bélgica (cuadro 3.10).

Cuadro 3.10. El enfoque de servicios de auditoría centralizados de Bélgica

Hechos clave:

  1. Marco legal: Decreto Real (2016).

  2. Justificación de la centralización (criterio):

    1. Eficiencia y economía (ventajas de escala, conocimientos especializados, etc.);

    2. Eficacia: cobertura adecuada del universo de auditorías, teniendo en cuenta el contexto federal belga (pequeños ministerios);

  3. Estructura: Centralizada con aglomeraciones horizontales y verticales; todos los servicios federales están cubiertos (aglomeraciones verticales); composición flexible de los equipos de auditoría;

  4. En proceso: Desarrollo de metodologías de auditoría forense como herramienta independiente, funcional exclusivamente dentro del servicio de Auditoría Interna

  5. Independencia: Independencia Organizacional, Líneas de Comunicación, Comité de Auditoría, Estatutos de Auditoría, Director de Auditoria (CAE por sus siglas en inglés).

Marco metodológico: Todo tipo de auditoría (operativa, financiera, de cumplimiento, etc.); enfoque de auditoría basada en riesgo; auditoría por solicitud; normas IPPF del IIA.

picture

Fuente: Federal Public Service of Belgium, Budget and Management Control, presentation titled “Public Internal Control in the Belgian Public Administration” [Servicio Público Federal de Bélgica, Presupuesto y Control Administrativo publicación titulada “El control interno en la administración pública belga”], 2016.

El DAFP podría explorar los beneficios de poner a prueba un modelo de servicios de auditorías compartidas en un determinado sector, por ejemplo, en el sector salud o en los gobiernos locales, especialmente como una estrategia para fortalecer el control interno de las áreas locales que hayan sido afectadas por el conflicto, tal como se exige en el Acuerdo de Paz.

Actualmente en el sector salud hay once (11) OCI. Las organizaciones de salud que comparten misiones, tareas y procesos, así como amenazas y desafíos, podrían beneficiarse del intercambio de servicios de auditoría. La necesidad actual de los ciudadanos de contar con un sistema eficaz de salud pública aumenta rápidamente, mientras que los gobiernos tratan de reducir el financiamiento público y mejorar la atención médica. Por lo tanto, es fundamental implementar controles adecuados en las áreas administrativas, financieras o medidas institucionales más amplias, para mitigar los riesgos de corrupción y las amenazas relativas a la prestación eficiente de servicios de salud. En gran medida, el sector salud implementa procedimientos de control interno de manera regular, al igual que cualquier otro sector. No obstante, se le identifica como un sector de alto riesgo, dado que presenta muchos puntos vulnerables que pueden resultar en la prestación de servicios deficientes, desperdicio y negligencia, así como esquemas corruptos y conflictos de intereses (captura de políticas, adquisiciones públicas, sobre-facturación, extorsión médico-paciente para no respetar los turnos, vínculos entre profesionales de la medicina y la industria farmacéutica, etc.), lo que lo convierte en un buen candidato para una función de auditoría interna eficaz. Las organizaciones de salud pública enfrentan riesgos nuevos y emergentes, que requieren evaluaciones rápidas y medidas de mitigación rentables. La complejidad de las cuestiones involucradas subrayan la necesidad de una función de auditoría interna en el sector salud bien dotada de recursos y eficaz, con la capacidad de integrar completamente técnicas como la planeación anual de auditorías basadas en el riesgo, el dominio de las herramientas de análisis de datos para identificar patrones, tendencias y relaciones rápidamente, y el usos de herramientas de tecnología de la información (IT) para atender las crecientes preocupaciones de privacidad de datos y seguridad cibernética. En este marco, Colombia podría evaluar la manera en que un enfoque de auditoría compartida podría posibilitar la dotación de personal de auditoría interna, con suficiente conocimientos técnicos especializados y con perfiles de competencias requeridos para abordar esta desafiante misión.

Los gobiernos locales también son áreas potenciales para pruebas piloto del enfoque de auditoría compartida, ya que varias entidades de los gobiernos locales no tienen el tamaño ni los recursos necesarios para desarrollar un servicio de auditoría interna. Al mismo tiempo, es esencial fortalecer la capacidad institucional para la buena gestión pública mediante el control interno, para lograr la implementación del Acuerdo de Paz. Los Servicios de Auditoría Compartida a nivel local también podrían ser interesantes desde la perspectiva de garantizar la capacidad necesaria a nivel local para asegurar la implementación del Acuerdo de Paz. Más aún, el hecho de que los titulares de estas entidades normalmente sean de elección popular, hace que la cuestión de la independencia sea más difícil que en otras organizaciones públicas. Los municipios y otras entidades del gobierno local podrían unir fuerzas y explorar el modelo de servicios de auditoría compartida para obtener acceso a la experiencia de auditoría interna y a la función de aseguramiento necesarias, que no podrían tener con sus propios recursos. El artículo 75 de la Ley 617 del 2000 parece proporcionar el fundamento jurídico para la introducción de una unidad de auditoría interna que preste servicios a diversas instituciones gubernamentales locales. Aunque el modelo del Reino Unido no está diseñado para brindar servicio a gobiernos locales, ofrece algunas ideas valiosas para abordar algunos de los retos institucionales y organizacionales de este modelo.

Sin embargo, en la etapa de planeación de un ejercicio de este tipo, las desventajas de este modelo también deben ser tomadas en consideración. Una de las principales cuestiones planteadas es el riesgo de que los directivos y el personal perciban esta función como un control “externo” y que los auditores estén alejados de las operaciones cotidianas y de los procesos de gestión de las áreas auditadas. Se puede percibir al auditor externo como a alguien que no pertenece a la institución, con un conocimiento limitado de las operaciones de la entidad.

El nombre de las Oficinas de Control Interno podría cambiarse a Unidades de Auditoría Interna para reflejar su misión básica de aseguramiento y asesoría y deslindarse claramente del Control Interno Disciplinario

Uno de los principales desafíos para lograr estructurar un sistema de control interno institucional eficaz es asignar roles y responsabilidades, a todos los niveles de las entidades públicas, en relación con el control interno y la gestión de riesgos. En este marco, la función de aseguramiento de la auditoría interna debe ser claro y estar bien entendido, tanto interna como externamente. Además, la auditoría interna debe contar con un manual de auditoría moderno y práctico, acompañado de herramientas concretas, tales como tecnologías de la información y de comunicaciones (TIC) para auditoría, metodología de planeación de la auditoría basada en riesgo y marcos de referencia de madurez y competencias. Para cumplir con su misión, la auditoría interna debe ser independiente de la primera y segunda línea de aseguramiento, así como de los mandos directivos y responsabilidades relacionadas. Asimismo, deben definirse y aclararse las funciones de los auditores internos en las investigaciones, los procedimientos disciplinarios y el manejo de denuncias, de acuerdo con las prácticas y normas vigentes a nivel internacional.

El modelo de tres líneas de aseguramiento distingue entre tres funciones básicas:

  • Administración (Primera Línea): Funciones encargadas de diseñar, desarrollar, implementar y ejecutar los controles, procesos y prácticas para prestar los servicios, alcanzar los objetivos y dar los resultados esperados (es decir, los productos). Esta línea puede ser denominada como “administración del programa” y es responsable de la gestión eficaz y eficiente de la prestación del servicio y de las operaciones diarias de la entidad. Dado que la supervisión y el aseguramiento independiente no pueden compensar las debilidades en la gestión ni el control, estas funciones son generalmente las que más influencian la gestión de riesgos en la entidad;

  • Supervisión (Segunda Línea): Las funciones responsables de supervisar y monitorear a la jerarquía administrativa y a las actividades de servicio. Estos grupos pueden incluir (pero no se limitan) a los responsables de las funciones de supervisión y control financiero, de privacidad, de seguridad, de gestión de riesgos, de aseguramiento de la calidad, de integridad y de cumplimiento. Las funciones de supervisión también informan a las instancias decisorias sobre las perspectivas y los conocimientos objetivos, y proporcionan una supervisión continua para fortalecer la gestión de riesgos.

  • Auditoría Interna (Tercera Línea): Una función de evaluación profesional, independiente y objetiva que utilice un enfoque disciplinado, basado en pruebas, para evaluar y mejorar la eficacia de la gestión del riesgo, el control y la gestión de procesos. La auditoría interna puede ofrecer servicios de consultaría y aseguramiento, o una combinación de ambos, para informar sobre las decisiones clave y apoyar la buena gestión pública y la rendición de cuentas.

La gráfica 3.4 muestra los atributos básicos del modelo adaptado a la estructura básica de los Ministerios/Departamentos administrativos y describe las tareas básicas de cada una de las líneas.

Gráfica 3.4. Las Tres Líneas del Modelo de Aseguramiento
picture

Fuente: Adaptado por la Secretaría de la OCDE con aportaciones de ECIIA-FERMA (2010), Guidance on the 8th European Company Law Directive on Statutory Audit, DIRECTIVE 2006/43/EC – Art. 41-2b; Institute of Internal Auditors (IIA), Three Lines of Defence Model, 2013; Public Internal Control in the European Union, “Assurance Maps” presentation [Recomendaciones sobre la Octava Directriz de la Unión Europea en Derecho de Sociedades, relativa a la Auditoría Legal, la DIRECTIVA 2006/43/CE - Articulo 41-2b; el Instituto de Auditores Internos (IIA), Modelo de Tres Líneas de Defensa, 2013; Control Interno Público en la Unión Europea, presentación de “Mapas de Aseguramiento”], PIC EU-28 Conference 2015.

En Colombia, todavía existe cierta confusión, entre los servidores públicos, sobre el papel y las funciones exactas de la OCI. A menudo se les considera como una unidad policiaca enfocada en el cumplimiento. Desde una perspectiva de comunicación y con la finalidad de fomentar la comprensión de la labor de la OCI entre la jerarquía política, la alta dirección, los mandos medios y el personal, las OCI podrían cambiar su nombre a Unidades de Auditoria Interna. Otras opciones, para reflejar como las OCI ayudan a mejorar el desempeño, podrían incluir modelos como el seguido por la Junta de Supervisión de la Auditoría de Sociedades Anónimas (Public Company Accounting Oversight Board, PCAOB) en donde se encomienda la responsabilidad de la auditoría interna a la Oficina de Supervisión Interna y de Aseguramiento de Despempeño (Office of Internal Oversight and Performance Assurance, IOPA). La IOPA es la unidad encargada de realizar el examen interno de los programas y operaciones del PCAOB, y de garantizar la eficiencia, eficacia e integridad de dichas actividades.

Como se señaló anteriormente, es especialmente importante definir claramente el papel y las tareas de una función de auditoría interna contemporánea con respecto a las investigaciones y auditorías forenses. Estos diferentes tipos de actividades de supervisión parecen generar cierta confusión entre los diferentes actores colombianos en relación con la misión principal de la auditoría interna. La gráfica 3.5 describe los atributos básicos de estas actividades de supervisión, relacionando el tema con diversos niveles de riesgo.

Gráfica 3.5. Progresión del Riesgo y Actividades de Supervisión
picture

Fuente: OCDE

Algunas acciones concretas, para mejorar la capacidad y aumentar la conciencia sobre el valor agregado de una función de auditoria interna contemporánea y sólida, son:

  • Llevar a cabo iniciativas educativas dirigidas a los titulares de organismos públicos, tanto para la alta gerencia como para gerentes medios y empleados, para comunicar el papel y la importancia de la auditoría interna en la promoción de la buena gestión y de la rendición de cuentas.

  • Los esfuerzos futuros por modernizar la auditoría interna deben incluir una estrategia de comunicación y las herramientas asociadas con la función de la auditoría interna, destacando su importancia en un marco integrado de control, dirigidos a una amplia audiencia dentro de la administración pública colombiana.

  • Los titulares de las unidades de auditoría deberían aprovechar la oportunidad para propiciar la conversación, posicionando el Modelo de Tres Líneas de Defensa. La auditoría interna puede asumir un papel consultivo y educador para ayudar a los principales interesados a comprender la importancia de la estructura de las tres líneas de defensa eficaces.

  • Las mejores prácticas de los países miembros de la OCDE, en un proceso de transición hacia un marco moderno de control interno integrado, demuestran la necesidad de una sólida función de contraloría, respaldada por un riguroso sistema de auditoría interna. Deben realizare todos los esfuerzos para asegurar que se implementen estas dos funciones y que estén respaldadas por las estrategias de transición apropiadas.

  • El fortalecimiento de la auditoría interna debe basarse en un modelo de madurez que implique la modernización de la auditoría interna en etapas, con objetivos previamente establecidos para áreas clave, incluyendo el requerimiento, para todo el gobierno, de reportar a la oficina del presidente.

  • El Manual de Auditoría Interna debe incluir medidas concretas para facilitar la planeación de auditorías basadas en el riesgo.

  • El uso de herramientas de TIC, tales como una plataforma de TI, deben incluir acceso a las auditorías e investigaciones existentes, para ayudar en la planeación y la realización de actividades de supervisión y que puedan ser un recurso útil y una herramienta de control para posibilitar la reducción de controles duplicados y auditorías realizadas.

  • El Manual de Auditoría debe incluir herramientas para ayudar a las unidades de auditoría interna a asesorar a la administración en sus operaciones, de manera que estén listas para ser auditadas. Estas herramientas deben incluir Autoevaluaciones de Control, así como estrategias para llevar a cabo revisiones preparativas previas a la auditoría.

Los servicios de auditoría interna profesionales podrían mejorar mediante la implementación de políticas de gestión de recursos humanos que garanticen su independencia y que fortalezcan las capacidades de los equipos de auditoría interna, a través de cursos en temas especializados

Las prácticas de administración pública que garanticen el mérito, profesionalismo, estabilidad y continuidad en la contratación de personal, se encuentran entre los requisitos básicos para establecer y mantener la eficacia y el valor agregado del marco de control interno y del ambiente laboral.

Sin embargo, en varios países miembros de la OCDE, las limitaciones presupuestales han afectado gravemente la capacidad de los departamentos de auditoría interna del sector público para atraer y retener talento, especialmente en áreas técnicas como la seguridad cibernética y la minería de datos. Las empresas del sector privado pueden atraer a los auditores más talentosos del sector público con una mejor paga. Dada la persistencia de las medidas de austeridad en numerosas entidades gubernamentales en todo el mundo y la cultura de algunas de las entidades del sector público, hay poco margen para otorgar bonificaciones a quienes trabajan en el sector público. Sólo el 40% de los empleados del sector público reportan tener la oportunidad de ganar un bono, en comparación con el 75% de los empleados en los demás sectores (Auditing the Public Sector, IIA’s Common Body of Knowledge [Auditando al Sector Público, de los Conocimientos Comunes del IIA], 2015). Colombia también enfrenta serios desafíos para atraer, desarrollar y retener a personas competentes con el conjunto adecuado de habilidades y el compromiso ético para trabajar en el área de control y auditoría.

Otro prerrequisito para una función de auditoría interna eficaz es la cuestión de independencia y posición dentro de la organización. Con el artículo 8 de la Ley 1474 de 2011, Colombia dio un paso importante en esta dirección, garantizando la meritocracia en la selección y nombramiento de expertos calificados y altamente capacitados como jefes de OCI, involucrando al Presidente de la República de Colombia de manera directa.

Sin embargo, en la práctica, parece que en numerosos casos el impacto y la influencia de las OCI depende de la relación personal entre el jefe de la OCI y el director de la institución, y de su comprensión y grado de sensibilización a la importancia de los mecanismos de control interno y, sobre todo, de la función de aseguramiento de la auditoría interna. Dado que el jefe de la OCI estructuralmente no tiene el nivel de director, no necesariamente participa en reuniones administrativas a ese nivel, lo que significa que tiene poca información sobre, los objetivos y desafíos que enfrentan las instituciones, dificultando la función de auditoría interna y socavando el impacto real y el valor agregado del trabajo de las OCI.

Por lo tanto, Colombia podría considerar la posibilidad de ascender al jefe de la OCI a la categoría de director, dándole al mismo tiempo más visibilidad. Se le podría dar asimismo acceso directo al titular de la institución y asegurar que la OCI esté al tanto de la evolución del universo de la auditoría con respecto a la planeación, decisiones administrativas, procesos, amenazas, oportunidades y toda información vital para su misión. Alternativamente, podría formalizare, a través del reglamento, la participación de los jefes de las OCI en las reuniones de nivel directivo. Más aún, es fundamental que se asigne a las OCI suficientes recursos humanos y presupuestales (p. ej., fondos para la capacitación del personal).

Algunas medidas adicionales, para incrementar la independencia y demostrar la importancia del papel de las OCI en la mejora de la gobernanza y la rendición de cuentas, podrían incluir:

  • Realizar auditorías y evaluaciones que fomenten apropiación, rendición de cuentas y desarrollo de habilidades entre los directivos del sector público, para las actividades de control interno y gestión de riesgos.

  • Transferir la línea presupuestal de remuneración del jefe de la OCI de las organizaciones individuales al DAFP, y gradualmente crear un solo régimen de remuneración para todos los jefes de las OCI. En una segunda fase, esto también podría realizare para el personal de las OCI, siempre y cuando esta estructura esté basada en perfiles de puesto y de competencias concretas, así como en nombramiento en base a esquemas de meritocracia;

  • Reconsiderar la utilización del polígrafo a los titulares de las OCI, en virtud de la decisión de la Corte Suprema de Justicia, Sala de Casación Penal, en el Proceso 2647 del 1 de agosto de 2008, debido a que esto es también contrario a las políticas del DAFP de fomento a la confianza en la administración pública y a que su valor es limitado.

  • Revisar la metodología para evaluar a los jefes de las OCI, actualmente basado en una evaluación de 360 grados, hacia una evaluación basada en resultados. Esto es importante dado que los resultados de la evaluación están vinculados a la posibilidad de obtener un bono, en caso de que cumplan con 90 de 100 posibles puntos en la evaluación.

Respecto al fortalecimiento de capacidades y necesidades de capacitación, también puede haber una política nacional de certificación para profesionales de control y auditoría internos, vinculada con las actividades de capacitación y desarrollo de capacidades. Las últimas revisiones y datos relevantes de América Latina, Medio Oriente y el Norte de África (MENA) reportan un bajo porcentaje de profesionales con certificaciones tales como la de Auditor Interno Certificado (Certified Internal Auditor, CIA) o Profesional Certificado en Auditoría Gubernamental (Certified Government Auditing Professional, CGAP). Además, estas certificaciones, reconocidas internacionalmente, han sido ocasionalmente criticadas por estar fuertemente orientada hacia el sector privado, por ser muy amplias y genéricas en relación con los retos y necesidades específicas de un país determinado, y por no estar adaptadas para enfocarse de manera eficaz en funciones básicas tales como finanzas públicas, contratación pública y proyectos de infraestructura, servicios de salud y de bienestar social.

Los esfuerzos a nivel nacional por abordar la falta de conocimientos especializados y capacidad profesional pueden incluir el desarrollo de módulos de formación personalizada en cooperación con la Escuela Nacional de Administración Pública (ESAP) y/o el establecimiento de centros de capacitación ubicados en el Ministerio de Hacienda y Crédito Público, la Contraloría, la PGN, las cámaras profesionales, asociaciones o las universidades. La cuestión de la calidad de estos módulos, y su impacto real en las habilidades y desempeño de los profesionales de control y auditoría, plantea serios desafíos. Estos esfuerzos por desarrollar una “certificación profesional”, limitada al contexto nacional, están vinculados sobre todo con cuestiones de políticas de contratación, perfil de carrera, remuneración y movilidad, en el campo de control y auditoría. El cuadro 3.11 proporciona información sobre la experiencia canadiense para la contratación y formación de auditores internos, así como los atributos básicos de un programa para capacitar y certificar a los auditores públicos, que aplica para más de un país en el sureste de Europa, quienes trabajaron de manera conjunta para atender la cuestión de la falta de capacidades y habilidades.

Cuadro 3.11. La profesionalización y el desarrollo de capacidades del servicio de auditoría interna

A. Programa de Reclutamiento y Desarrollo de Auditoría Interna Canadiense (programa de IARD)

I. Beneficios del Programa de Reclutamiento y Desarrollo de Auditoría Interna.

Además de cursos de orientación, tutoría y desarrollo profesional, el Programa de Reclutamiento y Desarrollo de Auditoría Interna (IARD) ofrece:

  • la experiencia y capacitación práctica necesarias para obtener la designación de Auditor Interno Certificado (CIA)

  • Un plan de desarrollo diseñado para ayudarle a ser exitoso, que incluye objetivos de trabajo basados en las competencias y en el apoyo de personal senior

  • oportunidades únicas de aprendizaje en el trabajo, donde aprenderán la profesión de auditoría interna en el Gobierno de Canadá

  • sesiones de desarrollo profesional, ofrecidas por el Instituto de Auditores Internos, afines a su puesto y certificación CIA

  • potencial de promoción

II. Experiencia en el trabajo del Programa de Reclutamiento y Desarrollo de Auditoría Interna.

Trabajará bajo supervisión general, respaldando y realizando las tareas asignadas en cada una de las fases de una intervención, como miembro de un equipo de auditoría. Los equipos de auditoría típicamente reportan al Director o Titular de Auditoría Interna.

Los equipos de auditoría están diseñados para:

  • aportar, a los directivos departamentales, dictámenes sobre la eficacia e idoneidad de los procesos de administración de riesgos, control y gobernanza.

  • informar de los resultados de las auditorías basadas en riesgos.

III. La Contraloría General de Canadá ha desarrollado el Diccionario y Perfiles de Competencia de Auditoría Interna, como una herramienta del Marco global de Gestión de Recursos Humanos (HRMF) de Auditoría Interna (AI). El AI HRMF tiene como objetivo apoyar y habilitar a una comunidad de AI, autosuficiente y de calidad, en el sector público federal. Ofrece una excelente infraestructura, junto con herramientas y servicios de apoyo, para posicionar a la comunidad de la AI como profesionales que llevan a cabo un trabajo, en el gobierno de Canadá, que agrega valor a sus organismos.

El diccionario y perfiles de competencias de AI son los principales pilares de la administración basada en competencias (CBM). Permiten a los organismos centrarse en la manera en que una persona emprende su labor con base en las destrezas, habilidades y conocimientos necesarios para realizar las tareas. CBM es la aplicación, de un conjunto de competencias, a la administración de recursos humanos (plantilla, capacitación, gestión del desempeño y planeación de recursos) para lograr excelencia en el desempeño y resultados que sean relevantes para los organismos.

B. Capacitación de Auditores Internos en el Sector público (TIAPS)

La Capacitación de Auditores Internos en el Sector público (TIAPS) ofrece un interesante ejemplo de certificación en auditoría interna orientada al sector público, que combina mejores prácticas internacionales con preocupaciones regulatorias localizadas, impartida en el idioma del país anfitrión.

I. Alcance y características clave

La idea detrás del TIAPS comenzó en Eslovenia en el 2002. El programa de TIAPS fue desarrollado para fortalecer las competencias en procesos de auditoría interna en el sector público, dedicando especial atención a los requisitos introducidos por los procesos de adhesión a la Unión Europea. Las directrices, obligatorias y recomendadas, emitidas por el IIA han sido vistas, desde tiempo atrás, como centradas en el sector privado e incapaces de atender integralmente las preocupaciones del sector público.

Una de las maneras en que el TIAPS aborda tales vacíos es incluyendo un módulo personalizable sobre legislación y fiscalidad, redactado por expertos de los países participantes. La forma de enseñar normas y prácticas difiere de la del IIA, en que se basa más en reglas que en principios. El TIAPS indica claramente a sus estudiantes lo que debe hacerse y cómo, a diferencia de la orientación emitida por el IIA, que deja un margen generoso para la interpretación.

El TIAPS está dirigido a empleados del sector público con licenciatura y que cuenten ya con experiencia práctica en áreas como contabilidad, supervisión financiera y control. El programa consta de siete módulos, divididos en dos niveles, certificado y diploma, cuyos módulos, excepto el de Legislación y Tributación Nacional, fueron desarrollados por el Instituto Colegiado de Finanzas Públicas y Contabilidad (CIPFA).

II. Desafíos

El mayor obstáculo para implementar el TIAPS es también su mayor fortaleza: la adaptación a nivel local del plan de estudios. Esto requiere instituciones involucradas en realizar gran parte del trabajo de preparación antes de la entrega del programa, lo que incluye traducir el material de capacitación y entrenar a los capacitadores locales que impartirán el contenido de los módulos en el idioma local.

Una cuestión conexa es la necesidad de encontrar y contratar expertos para crear los módulos de legislación y tributación. El equipo de implementación del programa contrata a traductores con conocimientos sólidos de la esencia del contenido; la traducción inicial es revisada por un editor o revisor, para hacer cualquier adecuación necesaria, conforme a la terminología estándar en cada país.

A pesar de ser un programa relativamente joven, el TIAPS ofrece especializaciones. Estos, sin embargo, todavía no alcanzan el nivel de equivalencia total para reemplazar directamente a las certificaciones especializadas – como la de Auditor Certificado en Sistemas de Información (CISA), otorgado por la Asociación de Auditoría y Control de Sistemas de Información (ISACA) – aunque hay planes para hacerlo en el mediano plazo.

El programa también tiene manera de monitorear y asegurar que sus profesionales certificados se mantengan actualizados en las tendencias en evolución de la auditoría, como lo hacen el IIA y la ISACA, a través de sus requisitos de educación profesional continua.

Fuente: Office of the Comptroller General of Canada [Oficina de la Contraloría General de Canadá,], IARD Post-Secondary Recruitment [Reclutamiento post-Secundario]; https://emploisfp-psjobs.cfp-psc.gc.ca/psrs-srfp/applicant/page1800?poster=941922&toggleLanguage=en; IARD Program; http://www.tbs-sct.gc.ca/ip-pi/job-emploi/ford-rpaf/benefitsiard-avantagesrpai-eng.asp; Training for Internal Auditors in the Public Sector-An Alternative Approach for State Internal Auditors, Knowledge Showcases, Asian Development Bank [Capacitando a los Auditores Internos en el Sector Público-Una Alternativa para Auditores Internos del Estado, Knowledge Showcases, Banco Asiático de Desarrollo], 2016.

A fin de fortalecer la función de auditoría profesional y garantizar la prestación de servicios de aseguramiento sólidos, Colombia podría considerar la implementación de las siguientes acciones:

  • Introducir un programa de capacitación obligatorio para todos los auditores internos (e investigadores) actuales y futuros, en colaboración con instituciones universitarias, la Escuela Nacional de Administración Pública y organizaciones profesionales como el Instituto Colombiano de Auditores Internos.

  • Dar prioridad a las personas que tengan un Certificado de Auditor Interno (CIA) o un Certificado Profesional de Auditoría Gubernamental (CGAP) o que tengan nombramientos similares, tales como contabilidad (p. ej. CPA, CA, CGA, CMA), en la contratación de futuros auditores internos.

  • Estudiar la posibilidad de facilitar la membresía de IIA a todos los auditores internos, para promover el estudio por cuenta propia y el desarrollo profesional, así como para facilitar la obtención del Certificado de Auditoría Interna.

  • Evaluar y aplicar medidas de asignación de personal alternativas a fin de reforzar la independencia de los auditores y garantizar su nivel de calificaciones. Entre las opciones que se deben considerar están los nombramientos de plazo fijo y/o alguna forma de registro de control de profesionales de riesgo y auditoría cuya contratación se llevaría a cabo en base a designaciones y habilidades necesarias.

  • Incluir una propuesta de modelo de competencias, junto con descripciones de puestos de trabajo, en el Manual de Auditoría Interna.

  • Asegurar que los procesos de inducción incluyan información respecto a la institución y el sector, y que existan oportunidades adicionales de capacitación para lograr la certificación.

  • Asegurar que siempre estén disponibles las oportunidades de capacitación para el jefe y los empleados (Colombia tuvo un incremento de 58% de personas que adquirieron la designación de CIA en tan solo seis meses).

  • Desarrollar módulos adaptados a necesidades específicas en la ESAP, junto con la AI nacional y los capítulos de la Asociación de Examinadores de Fraude Certificados (Association of Certified Fraud Examiners, ACFE), para preparar personas que deseen presentar el examen de Auditor Interno Certificado (CIA) y de Examinador de Fraudes Certificado (CFE).

  • Garantizar un claro perfil del personal, en relación con el tamaño de la entidad, y un equipo de profesionales expertos en las unidades de auditoría interna (OCI):

    1. A nivel nacional, los jefes de las OCI (126 en total) son seleccionados en base al mérito y son nombrados directamente por el presidente, pero su personal no está sujeto a perfiles de puesto, ni competencias claras, ni a una selección en base a un esquema de meritocracia.

    2. Por lo tanto, depende del titular de la institución que el personal de la unidad de auditoría tenga la fortaleza adecuada. En consecuencia, el trabajo del titular de la OCI puede igualmente recibir apoyo o ser boicoteado.

    3. Las OCI deben participar en el proceso de selección de su personal, junto con las áreas de RH.

Colombia podría explorar los beneficios de introducir consejos o comités independientes de auditoria y de riesgo, en relación con la eficacia y la eficiencia de la función de gestión de riesgos y de control interno

En Colombia, actualmente no existen comités de auditoría y de riesgo u órganos equivalentes establecidos en las organizaciones públicas. De acuerdo con los datos correspondientes, los Comités de Auditoría y Riesgo se establecen en la mayoría de las organizaciones del sector privado, pero son mucho menos comunes en organizaciones del sector público, tales como ministerios y entidades de gobiernos locales. Las Empresas Públicas (State Owned Enterprises, SOE) normalmente deben tener un comité de auditoría u órgano equivalente, en cumplimiento con los requerimientos del mercado o con las reglas de gobierno corporativo. Los Principios de Gobierno Corporativo (julio de 2015) del G20/OCDE indican claramente que el Consejo es responsable de “Garantizar la integridad de los sistemas de presentación de informes contables y financieros de la empresa, incluida la auditoría independiente, y la adopción de sistemas adecuados de control, en concreto, de gestión de riesgos, de control económico y operativo, y su adecuación a la legislación y a las normas pertinentes”.

Se considera una buena práctica que los auditores internos reporten a un comité de auditoría, independiente del Consejo de Administración, o algún otro órgano equivalente que también sea responsable de la relación con el auditor externo, permitiendo una respuesta coordinada por parte del consejo. En algunos países miembros de la OCDE, por ejemplo, Estados Unidos y Nueva Zelanda, la existencia de comités de auditoría ha provocado que la alta dirección se enfoque en el control interno y la gestión de riesgos, y ha llamado la atención de los altos directivos sobre las funciones del auditor interno. Es más, en el sector privado, el comité de auditoría normalmente sería el encargado de supervisar los informes financieros internos y externos, la gestión de riesgos, control interno, cumplimiento, ética, y mecanismos de auditoría externa, así como de garantizar la independencia de la función de auditoría interna (véanse las directrices pertinentes en IIA, la INTOSAI, COSO-Comisión Treadway y a la Federación Internacional de Contadores).

Asimismo, un Comité de Auditoría y Riesgos verdaderamente independiente, con conocimientos altamente especializados, puede encauzar la influencia política hacia las actividades de control y auditoría, y mitigar los posibles sesgos de los auditores que evalúan la calidad de las disposiciones de control interno y administración de riesgos. También puede fortalecer el impacto de estos procesos dentro del organismo, vinculándolos con la consecución de los objetivos de la entidad, propiciando así la participación de los mandos medios y superiores, así como del resto del personal.

El siguiente cuadro muestra algunos ejemplos relevantes de establecimiento de comités/consejos de auditoría y riesgo en organizaciones públicas en países miembros de la OCDE (cuadro 3.12).

Cuadro 3.12. Ejemplos destacados de Comités/Consejos de Auditoría Pública y de Riesgos

El Comité de Auditoría Departamental de Canadá

El Comité de Auditoría Departamental (CAD) es un recurso estratégico para el titular adjunto. Proporciona asesoramiento objetivo y recomendaciones al titular adjunto en relación con la suficiencia, la calidad y los resultados del aseguramiento sobre la idoneidad y el funcionamiento del marco y los procesos de los departamentos de gestión de riesgos, de control y de gobernanza (incluyendo la rendición de cuentas y los sistemas de auditoria). Los titulares adjuntos pueden utilizar esta información para mejorar la rendición de cuentas, la transparencia y el desempeño general de sus departamentos. Dentro de la administración pública federal canadiense, los comités de auditoría independientes, conformados por miembros externos, se han convertido en asesores esenciales en el diseño y la evaluación de controles internos y de riesgo.

  • Los comités de auditoría deben incluir una mayoría de miembros externos, contratados fuera de la administración pública federal, es decir, que no sean empleados o contratistas del gobierno, o que tengan nombramientos ministeriales.

  • Son nombrados por un plazo no superior a cuatro años, que puede ser renovado por un segundo periodo.

  • Tienen, como mínimo, tres miembros con un cuórum de mayoría simple.

  • Desde 2007, ha habido más de 350 miembros nombrados en 42 comités de auditoría departamental (DAC).

El Comité de Auditoria y Aseguramiento de Riesgos del Reino Unido:

Tras la reforma de control interno público de 2011–2013, los Comités de Auditoría ahora suelen denominarse Comités de Auditoría y Aseguramiento de Riesgos. El Comité de Auditoría y Aseguramiento de Riesgos, conformado por directores independientes no ejecutivos, apoya al funcionario encargado de la contabilidad, con la principal responsabilidad de examinar el alcance y la fiabilidad de los aseguramientos a lo largo del año.

El Comité de Auditoría y Aseguramiento de Riesgos desempeña un papel clave en asegurar que la respuesta de la gestión y la resolución de las recomendaciones de auditoría y los riesgos identificados sean satisfactorias. Las responsabilidades del Comité de Auditoría y Aseguramiento de Riesgos están establecidas en el Manual del Comité de Auditoria y Aseguramiento de Riesgos publicado por la Tesorería de su Majestad. El Comité tiene responsabilidades específicas, relativas a las tareas de auditoría interna y externa y de aseguramiento, así como a las cuestiones relativas a la presentación de informes financieros.

En consecuencia, existe una mayor sinergia entre el propósito del Titular de Auditoría Interna y la función del Comité de Auditoría y Aseguramiento de Riesgos. El comité suele estar interesado en los términos de referencia/estatutos de la auditoria interna, para garantizar que haya suficiente nivel e independencia para operar libremente y con eficacia. También le interesa de manera particular que los recursos de la auditoría sean los adecuados. El comité asesorará al consejo, y al funcionario encargado de la contabilidad, sobre la estrategia y planes de auditoría interna, formando una opinión sobre la idoneidad de su respaldo al titular de auditoria interna, acerca de su responsabilidad de presentar un dictamen anual sobre la idoneidad y eficacia general de la gobernanza, gestión de riesgos y control de procesos del organismo.

El enfoque italiano de los Comités de Auditoría y de Riesgos:

En Italia, el decreto legislativo Nº 150/2009, que puso en práctica a la Ley n° 15 del 4 de marzo de 2009, referente al mejoramiento de la productividad en el sector público y a la eficiencia y la transparencia de las administraciones públicas, estableció dos órganos para medir y evaluar las actuaciones individuales y de las organizaciones de la administración pública:

  • un organismo central, conocido como CIVIT (Comisión Independiente para la Evaluación, la Integridad y la Transparencia de la Administración Pública) y,

  • para cada administración individual, los OIV (Órganos Independientes de Evaluación de Desempeño).

Un organismo central, conocido como CIVIT (Comisión Independiente para la Evaluación, la Integridad y la Transparencia de la Administración Pública) y,

Para cada administración individual, los OIV (Órganos Independientes de Evaluación de Desempeño).

La ley encomienda a la CIVIT, que está llamada a mostrar independencia de juicio y evaluación y a trabajar en completa autonomía, la tarea de dirigir, coordinar y supervisar las funciones de evaluación, para garantizar la transparencia de los sistemas adoptados y la visibilidad de los indicadores de desempeño de la gestión de los organismos públicos. Esta función es también particularmente relevante, ya que la ley considera a la transparencia en los datos como una herramienta para garantizar la integridad de la administración pública y evitar así el grave problema de la corrupción. Los miembros de la CIVIT son nombrados por el gabinete.

Cada administración también cuenta con un órgano independiente de evaluación de desempeño (OIV) que realiza múltiples tareas, tales como:

  • monitorear el funcionamiento general del sistema de evaluación, transparencia e integridad de los controles internos, y presentar un informe anual sobre su funcionamiento;

  • reportar oportunamente los problemas, a los órganos internos relevantes del gobierno y la administración;

  • asegurar que los procesos de medición y evaluación sean correctos, con el fin de mantener el principio de recompensa al mérito y al profesionalismo;

  • aplicar correctamente las directrices, métodos e instrumentos proporcionados por CIVIT;

  • promover y certificar la transparencia y la integridad; y

  • comprobar los resultados y buenas prácticas derivados de promover la igualdad de oportunidades.

Fuente: Office of the Comptroller General of Canada, Departmental Audit Committees [Oficina del Contralor General de Canadá, Comités De Auditoría Departamentales], http://www.tbs-sct.gc.ca/hgw-cgf/oversight-surveillance/ae-ve/dac-cmv/index-eng.asp and Compendium of the Public Internal Control Systems in the EU Member States [Compendio de los Sistemas Públicos de Control interno en los Estados Miembros de la Unión Europea], 2014, http://ec.europa.eu/budget/pic/lib/book/compendium/HTML/index.html

Sin embargo, la introducción de los Comités de Auditoría y de Riesgos plantea varios desafíos, incluyendo cuestiones de selección, nombramiento y remuneración. Adicionalmente, se debe examinar cuidadosamente el alcance y las relaciones institucionales con las partes interesadas existentes en el campo de control y auditoria.

Algunos ejemplos concretos y pasos a seguir podrían incluir:

  • El DAFP podría explorar la posibilidad de implementar Comités de Auditoría dirigidos por la administración, incluyendo el proyecto de términos de referencia del comité, como una herramienta para ayudar a promover la independencia de la auditoría.

  • Un buen punto de partida para este debate podrían ser las experiencias de los estados miembros de la OCDE y especialmente el ejemplo canadiense de Comités de Auditoría Departamental especializados para las grandes entidades y comités de auditoría compartidos para entidades más pequeñas dentro del mismo campo político.

  • El DAFP podría considerar la posibilidad de llevar a cabo un proyecto piloto de Comité de Auditoría y de Riesgos para evaluar su impacto y valor agregado en áreas tales como mejorar la independencia de la auditoría interna, mejorar la concientización sobre la importancia de la función de aseguramiento y asegurar recursos suficientes. También se podría proporcionar una evaluación independiente, así como formular las recomendaciones necesarias, sobre la capacidad, independencia y desempeño de la función de auditoría interna.

Propuestas de acción

Por lo anterior, las siguientes medidas podrían ser adoptadas por Colombia para fortalecer la integridad mediante la incorporación del control interno y la gestión de riesgos en los sistemas de gobernanza pública.

Incorporación de la gestión de riesgos de fraudes y corrupción en los organismos públicos de Colombia

  • El DAFP debe comprometerse de manera más puntual con un enfoque basado riesgos, como fundamento para consolidar un entorno de control que no sea conducente al fraude y a la corrupción.

  • Se deben reforzar los atributos de integridad del ambiente de control interno y se debe comunicar el tono adecuado desde la cúpula de la organización, para generar las condiciones previas necesarias para la gestión eficaz de los riesgos de fraude y corrupción.

  • Se debe mejorar la definición de las funciones y de las responsabilidades concretas de las OCI para prevenir, detectar y hacer frente a los esquemas de fraude y corrupción.

  • El análisis de datos y de macro datos (big data) puede ser explotado y apalancado de manera más importante, para fortalecer la transparencia y dar sustento a un enfoque anticipatorio basado en el riesgo para la lucha contra el fraude y la corrupción.

Integración del control interno para lograr una buena gobernanza pública que rinda cuentas

  • El DAFP debe realizar un mayor esfuerzo por cerrar la brecha de implementación e integrar las funciones de control interno en los sistemas de gestión de las organizaciones públicas.

  • Los criterios para la evaluación externa del sistema de control interno podrían estar mejor articulados, alineados y armonizados mediante el fortalecimiento de la coordinación entre la Contraloría General, el DAFP y la Contaduría.

Facultar a las OCI para que se enfoquen en su función de aseguramiento con respecto a la eficacia de los esquemas de control interno y de gestión de riesgos

  • Se podrían explorar los beneficios de los modelos de servicios de auditoría compartidos, adaptados a las necesidades y a la capacidad de la administración pública colombiana, en un ámbito político determinado o a nivel municipal.

  • El nombre de las Oficinas de Control Interno podría cambiarse a Unidades de Auditoría Interna para reflejar su misión básica de aseguramiento y asesoría y deslindarse claramente de la Oficina de Control Interno Disciplinario.

  • Los servicios de auditoría interna profesionales podrían mejorar mediante la implementación de políticas de gestión de recursos humanos que garanticen su independencia y que fortalezcan las capacidades de los equipos de auditoría interna, a través de cursos en temas especializados.

  • Colombia podría explorar los beneficios de introducir consejos o comités independientes de auditoria y de riesgo, en relación con la eficacia y la eficiencia de la función de gestión de riesgos y de control interno.

Referencias

AICPA (2003), “Consideration of fraud in a financial statement audit (supersedes SAS No.82) [Consideración del fraude en una auditoría de estados financieros - reemplaza SAS No.82]”, Statement on Auditing Standard (SAS), No. 99, American Institution of Certified Public Accountants, New York, NY.

ACFE (2014), Report to the Nations on Occupational Fraud and Abuse, Association of Certified Fraud Examiners [Informe a las Naciones sobre Fraude y Abuso Laboral, Asociación de Examinadores de Fraude Certificados], Austin, TX.

ACFE (2016), Report to the Nations on Occupational Fraud and Abuse, Association of Certified Fraud Examiners [Informe a las Naciones sobre Fraude y Abuso Laboral, Asociación de Examinadores de Fraude Certificados], Austin, TX.

ANAO (2015), Public Sector Audit Committees: Independent assurance and advice for Accountable Authorities [Oficina de Nacional Auditoría de Australia, Comités de Auditoría del Sector Público: Aseguramiento independiente y asesoramiento para Autoridades Responsables], Australian National Audit Office, Canberra, www.anao.gov.au/work/better-practice-guide/public-sector-audit-committees-independent-assuranceand-advice.

Australian Standard (2008), AS 8001–2208, Fraud and Corruption Control [control de fraude y corrupción], Sydney, Australia.

Belgian Public Federal Service of Budget and Management Control (2012), Practical Guide for the Development and Maintenance of an Internal Control System [Servicio Público Federal de Presupuestos y Control Interno de Bélgica: Guía Práctica para el Desarrollo y Mantenimiento de un Sistema de Control Interno], Management Support Unit, Brussels, Belgium.

Committee of Sponsoring Organizations of the Treadway Commission (COSO) (2013), Internal Control-Integrated Framework [Comité de Organizaciones Patrocinadoras de la Comisión Treadway- COSO - Marco Integrado de Control Interno].

Committee of Sponsoring Organizations of the Treadway Commission (COSO) (2004), Enterprise Risk Management [Comité de Organizaciones Patrocinadoras de la Comisión Treadway - COSO - Administración de Riesgos Empresariales].

Committee of Sponsoring Organizations of the Treadway Commission (COSO) and Institute of Internal Auditors (IIA)), Leveraging COSO Across the Three Lines of Defence [Comité de Organizaciones Patrocinadoras de la Comisión Treadway - COSO- e Instituto de Auditores Internos - IIA - Aprovechando COSO a través de las Tres Líneas de Defensa].

Crime and Misconduct Commission of Queensland (2005), Fraud and Corruption Control – Guidelines for Best Practice [Comisión de Delincuencia y Conducta Reprehensible de Queensland, Control de Fraude y Corrupción - Directrices para mejores prácticas], Brisbane, Australia.

European Commission (2014), Fraud Risk Assessment and Effective and Proportionate Anti-Fraud Measures [Comisión Europea (2014), Evaluación del riesgo de fraude y Medidas efectivas y proporcionadas de lucha contra el fraude,], http://ec.europa.eu/regional_policy/en/information/publications/guidelines/2014/fraud-risk-assessment-and-effective-and-proportionate-anti-fraud-measures

European Commission, (2014), Compendium of the Public Internal Control Systems in the EU Member States [Compendio de los Sistemas Públicos de Control interno en los Estados Miembros de la Unión Europea], Second Edition, http://ec.europa.eu/budget/pic/lib/book/compendium/HTML/index.html

Institute of Internal Auditors (2016), International Professional Practices Framework, Practice Guide: Internal Audit and the Second Line of Defense [Instituto de Auditores Internos, Marco Internacional de Prácticas Profesionales, Guía de Prácticas: auditoría interna y la segunda línea de defensa], Altamonte Springs, Fla., USA.

Institute of Internal Audit Research Foundation (2015), The Global Internal Audit Common Body of Knowledge, Responding to Fraud Risk – Exploring Where Internal Auditing Stands [Fundación del Instituto de Investigación de Auditoría Interna, Cuerpo de Conocimiento Común Mundial de Auditoría Interna, Respuesta al Riesgo de Fraude – Explorando donde se ubica la Auditoría Interna], Altamonte Springs, Fla., USA.

Institute of Internal Audit Research Foundation (2015), The Global Internal Audit Common Body of Knowledge Auditing the Public Sector – Managing Expectations, Delivering Results [Fundación del Instituto de Investigación de Auditoría Interna, Cuerpo de Conocimiento Común Mundial de Auditoría Interna, Auditoría del Sector Público - Gestión de Expectativas, Entrega de Resultados], Altamonte Springs, Fla., USA.

Institute of Internal Auditors (2014), Global Public Sector Insight: Independent Audit Committees in Public Sector Organizations [Instituto de Auditores Internos, Perspectiva Global del Sector público: Comités de Auditoría en Organismos del Sector público], Altamonte Springs, Fla., USA.

Institute of Internal Auditors (2013), The Three lines of Defence in Effective Risk Management and Control, IIA’s Position Paper [Instituto de Auditores Internos, Las Tres Líneas de Defensa en Gestión y Control de Riesgos Eficaces, Documento de Posición del IIA], Altamonte Springs, Fla., USA.

Institute of Internal Auditors Audit Executive Center (2012) Assurance Mapping – Charting the Course for Effective Risk Oversight [Instituto de Auditores Internos, Mapeo del Aseguramiento – Trazando el Camino para una Supervisión Eficaz del Riesgo].

Institute of Internal Auditors Research Foundation (2011), Internal Auditing’s Role in Risk Management, The IIARF White Paper [Fundación para la Investigación del Instituto de Auditores Internos, El Papel de la Auditoría Interna en la administración de riesgos, Libro Blanco del IIARF], Altamonte Springs, Fla., USA. https://na.theiia.org/iiarf/Public%20Documents/Internal%20Auditings%20Role%20in%20Risk%20Management.pdf.

Institute of Internal Auditors (2011), Global Technology Audit Guide (GTAG), IPPF – Practical Guidance, Data Analysis Technologies [Instituto de Auditores Internos, Guía de Auditoría de Tecnología Global (GTAG), lPPF - Directrices Prácticas, Tecnologías de Análisis de Datos], Altamonte Springs, Fla., USA.

Institute of Internal Auditors Research Foundation (2009), Global Technology Audit Guide, Fraud Prevention and Detection in an Automated World [Fundación para la Investigación del Instituto de Auditores Internos, Guía Global de Auditoría de Tecnologías, Prevención y Detección del Fraude en un Mundo Automatizado], Altamonte Springs, Fla., USA.

International Organisation of Supreme Audit Institutions (2010), “Guidelines for Internal Control Standards for the Public Sector”, INTOSAI Guidance for Good Governance [INTOSAI Directrices para las Normas de Control Interno del Sector Público], Vienna, Austria. http://psc-intosai.org/data/files/9A/87/E1/E2/1E927510C0EA0E65CA5818A8/INTOSAI-GOV-9100_e.pdf.

Marc Robinson (2016), “Budget reform before and after the global financial crisis”, OECD Journal on Budgeting, Vol. 16/1. http://dx.doi.org/10.1787/budget-16-5jlvc85w7nkf

Noel Hepworth and Robert de Koning (2012), “Audit Committees in the Public Sector. A Discussion Paper” [Comités de Auditoría en el Sector Público. Un documento de debate], London-Brussels. https://www.pempal.org/sites/pempal/files/attachments/Audit%20committees%20in%20the%20public%20sector%20May%202012.pdf.

OECD (2015), G20/OECD Principles of Corporate Governance [Principios de Gobernanza Corporativa del G20 y la OCDE], OECD Publishing, Paris. http://dx.doi.org/10.1787/9789264236882-en

OECD (2015), Recommendation of the Council on Budgetary Governance [Recomendación del Consejo sobre Gobernanza Presupuestaria], OECD, Paris. https://www.oecd.org/gov/budgeting/Recommendation-of-the-Council-on-Budgetary-Governance.pdf.

OECD/IDB (2014), Panorama de las Administraciones Públicas: América Latina y el Caribe 2014: Innovación en la gestión financiera pública, OECD Publishing, Paris. http://dx.doi.org/10.1787/9789264211636-es.

OECD (2012), OECD Integrity Review of Brazil: Managing Risks for a Cleaner Public Service, OECD Public Governance Reviews, OECD Publishing, Paris. http://dx.doi.org/10.1787/9789264119321-en.

Office of the Comptroller General of Canada (2011), Internal Audit Sector, Internal Audit Talent Management – Competency Profiles and Dictionary, Treasury Board of Canada Secretariat [Oficina del Contralor General de Canadá, Sector de Auditoría Interna, Gestión de Talentos de Auditoría Interna - Perfiles de Competencia y Diccionario, Secretaría del Consejo de Administración del Canadá, Ottawa, Canada], Ottawa, Canada.

Public Internal Control in the European Union, PIC EU-28 Conference, Assurance Maps[Control Interno Público en la Unión Europea, Conferencia PIC UE-28, Mapas de Aseguramiento], París 2015

United Kingdom’s HM Treasury (2013), Review of Financial Management in Government [Oficina de Hacienda de Su Majestad(2013), revisión de la gestión financiera en el Gobierno], London, UK.

United Kingdom’s HM Treasury (2012), Assurance Frameworks [Marcos de Aseguramiento de la Oficina de Hacienda de Su Majestad], London, UK.