Capítulo 7. Fomentar una gestión eficaz de riesgos y controles internos en Nuevo León

En este capítulo se evalúa la forma como Nuevo León fomenta la gestión de riesgos y el control interno en sus procesos de contratación respecto de modelos y las mejores prácticas internacionales. Se ofrece una panorámica de las fortalezas y debilidades del ambiente de control interno y el marco de gestión, tratamiento y monitoreo de riesgos. También se examina cómo fortalecer estos aspectos para alinearlos con los estándares internacionales y las prácticas adecuadas de los países de la OCDE en las áreas a que se refiere la Recomendación del Consejo de la OCDE sobre Contratación Pública.

  

Las actividades de adquisición del gobierno están particularmente en riesgo de desperdicio, malversación, fraude y corrupción. Esto se debe a una serie de factores, como el gran número y valor de las transacciones que un gobierno emprende y las interacciones cercanas entre los sectores público y privado. La gestión de riesgos y el control interno ayudan a una entidad a abordar estos riesgos y apoyar un sistema de contratación pública ético y con rendición de cuentas.

El gobierno federal de México emprendió varias iniciativas para implementar un sistema de control interno eficaz y congruente en todo el país. La Secretaría de la Función Pública (SFP) del gobierno federal de México elaboró una Norma General de Control Interno en 2006. La norma se revisó para aplicación en el ámbito estatal. La revisión dio como resultado el Modelo de Normas Generales de Control Interno para los Estados, que implementó el gobierno estatal de Nuevo León (GENL) en 2013.

El Modelo de Normas Generales de Control Interno para los Estados se basa en cinco elementos (o normas) establecidas por el Marco Integrado de Control Interno del Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO). Son los siguientes:

  • Ambiente de control.

  • Evaluación y gestión de riesgos.

  • Actividades de control.

  • Información y comunicación.

  • Supervisión y mejora continua de controles internos (COSO, 2013[1]).

Para implementar las normas generales, en julio de 2013 el GENL estableció el Sistema Único de Control Interno, que se dedica a implementar mecanismos de control interno. La Contraloría y Transparencia Gubernamental (en adelante, la Contraloría) dedica esfuerzos para fortalecer la estructura y funcionamiento de las unidades de control interno. El Plan Anticorrupción del Poder Ejecutivo del Estado de Nuevo León, publicado en enero de 2017, reafirmó el compromiso del GENL de tener una implementación firme del Sistema de Control Interno Único.

En este capítulo se evalúan los marcos de gestión de riesgo y de control interno del gobierno estatal de Nuevo León (GENL) en actividades de adquisición pública respecto de la Recomendación del Consejo de la OCDE sobre Contratación Pública (en adelante, Recomendación de la OCDE) y buenas prácticas internacionales. En particular, se evaluará la gestión de riesgos y el control interno del GENL respecto de los principios de la Recomendación OCDE descritos en el Recuadro ‎7.1.

Recuadro ‎7.1. OECD Recomendación del Consejo de la OCDE sobre
Contratación Pública

El Consejo:

XI. RECOMIENDA que los Adherentes integren las estrategias de gestión de riesgos para la definición, detección y atenuación de éstos a lo largo del ciclo de la contratación pública.

A tal fin, los Adherentes deberán:

i) Elaborar herramientas de evaluación de riesgos que permitan identificar y abordar amenazas al óptimo funcionamiento del sistema de contratación pública. En la medida de lo posible, esas herramientas deberán poder detectar riesgos de todo tipo – incluidos los posibles errores en la ejecución de tareas administrativas y las conductas erróneas deliberadas – y ponerlos en conocimiento de los profesionales correspondientes, estableciendo objetivos concretos de intervención en los casos en que sean posibles medidas de prevención o de atenuación.

ii) Dar a conocer las estrategias de gestión de riesgos, a través, por ejemplo, de sistemas de alerta o de programas de fomento de las denuncias, y concienciar al personal de contratación pública y otras partes interesadas, y mejorar sus conocimientos, acerca de las estrategias de gestión de riesgos, sus planes de implantación y las medidas puestas en marcha para afrontar los riesgos detectados.

XII. RECOMIENDA que los Adherentes apliquen mecanismos de supervisión y control que favorezcan la rendición de cuentas a lo largo del ciclo de la contratación pública, incluidos los oportunos procedimientos de quejas y sanciones.

A tal fin, los Adherentes deberán:

(…)

iv) Asegurarse de que los controles internos (incluidos los controles financieros, la auditoría interna y los controles de la gestión), así como los controles y auditorías externos, están coordinados e integrados entre sí y disponen de suficientes recursos, con el fin de garantizar:

  1. el seguimiento del desempeño del sistema de contratación pública;

  2. un sistema fiable de presentación de información, el cumplimiento de las leyes y reglamentos y el establecimiento de mecanismos claros de comunicación a las autoridades competentes, sin miedo a represalias, de toda sospecha fundada de incumplimientos de esas leyes y reglamentos;

  3. la aplicación uniforme de las leyes, reglamentos y políticas en materia de contratación pública;

  4. la reducción de las duplicidades y una supervisión adecuada y conforme con las opciones nacionales; y

  5. una evaluación a posteriori independiente y, en su caso, la comunicación a los organismos supervisores competentes.

Fuente: (OECD, 2015[2]).

Como se describe en la Recomendación de la OCDE, un marco de control interno debe incluir estrategias de gestión de riesgos y controles internos. Un marco de control interno sólido es la piedra angular de la defensa de una organización contra diversos riesgos de integridad y eficiencia que están presentes en los procesos de contratación pública. Un marco de control interno eficaz abarca políticas, estructuras, procedimientos y procesos que hacen posible que una organización identifique y responda adecuadamente a los riesgos. Los controles internos constituyen contrapesos que son responsabilidad de la administración y los efectúa el personal de manera cotidiana. Los controles internos incluyen una amplia gama de procesos que buscan asegurar que los empleados y gerentes ejerzan sus obligaciones conforme a los parámetros establecidos por la entidad.

Un marco de control interno eficaz debe finalmente ayudar a la organización a cumplir con su mandato y legislación relevante, salvaguardar los activos de la organización y facilitar el reporte interno y el externo. En contratación pública, en particular, el funcionamiento firme de un marco de control interno ayuda a garantizar que los recursos públicos se gasten de forma eficaz y eficiente.

En este capítulo se ofrece una perspectiva del marco y estructuras de control interno del GENL en lo que se relaciona con actividades de contratación pública. Además, se identifican fortalezas y debilidades del marco de control interno del GENL y se presentan propuestas de acción.

7.1. Marco, estructuras y ambiente de control interno de Nuevo León

En Nuevo León, la Contraloría es la entidad estatal principalmente responsable de fortalecer la coordinación con los órganos internos de control y supervisión de las dependencias y entidades de la administración pública estatal. En particular, la Dirección de Órganos de Control Interno y Vigilancia coordina, revisa y evalúa las actividades de control interno de las unidades de control interno. En particular, la Contraloría es responsable de:

  • Establecer y emitir reglas que regulen instrumentos y procedimientos de control interno de las dependencias y entidades del GENL.

  • Monitorear el cumplimiento de las dependencias y entidades del GENL de las disposiciones legales de la administración de recursos financieros y públicos.

  • Establecer programas dirigidos a cumplir los compromisos contenidos en el Código de Ética de servidores públicos del GENL, para promover valores éticos.

La Unidad Centralizada de Compras (UCC), de la Secretaría de Administración (SA), está a cargo de la adquisición de bienes y servicios para las 21 dependencias centrales y 24 (de 65) entidades paraestatales. Antes, la SA llevaba a cabo actividades de adquisición solo para el gobierno central. Con las nuevas regulaciones, en vigor desde abril de 2016, también hace esto para las entidades paraestatales que firmaron un acuerdo de cooperación con la UCC.

La UCC participa en todo el proceso de adquisición, desde definir necesidades y seleccionar proveedores hasta garantizar la entrega de bienes y servicios. Sin embargo, como se describe en el Cuadro ‎7.1, la unidad que requiere la adquisición es responsable de definir sus necesidades. Más aún, una vez adjudicado el contrato, el papel de cada unidad se destaca más en el manejo de los contratos. En este sentido, es crucial el control interno no solo de la UCC, sino también de cada unidad, para asegurar una contratación pública eficiente y eficaz. En consecuencia, es necesario identificar y manejar adecuadamente los riesgos que enfrenta cada entidad de acuerdo con su responsabilidad.

Cuadro ‎7.1. Autoridades responsables durante las fases de pre-licitación, licitación y post-licitación para adquisición de bienes y servicios1

Fase de pre-licitación

Planeación de adquisición

Definición de requerimientos

Investigación de mercado

Determinación de valor estimado o valor de referencia

Elaboración de documentos de licitación

Unidad solicitante

Unidad Centralizada de Compras (UCC)

UCC. Dirección de Adquisición o Dirección de Mantenimiento y Servicios Generales2

UCC. Dirección de Adquisición o Dirección de Mantenimiento y Servicios Generales3

UCC. Dirección de Adquisición o Dirección de Mantenimiento y Servicios Generales

Fase de licitación

Aviso de licitación

Aclaración de documentos de licitación

Modificación de documentos de licitación

Integración de documentos de licitación

Licitación

UCC. Dirección de Concursos

UCC. Dirección de Concursos

UCC. Dirección de Adquisiciones o Dirección de Mantenimiento y Servicios Generales.

UCC. Dirección de Concursos

UCC. Dirección de Concursos

Comité de Adquisiciones

Unidad Solicitante

Comité de Adquisiciones de la Administración Pública Estatal

Fase de post-licitación

Firma de contrato

Subcontratación

Adiciones y reducciones

Extensión del periodo acordado

UCC. Dirección de Adquisiciones o Dirección de Mantenimiento y Servicios Generales

Licitante ganador

Unidad solicitante

1. Las funciones de estas “autoridades” (unidades administrativas) cambian según la requisición provenga de una dependencia de gobierno central o de una dependencia descentralizada (paraestatal).

2. Las entidades descentralizadas (paraestatales) efectúan su propia investigación de mercado.

3. En el caso de las entidades paraestatales, en esta etapa también participa la unidad solicitante.

Fuente: Información proporcionada por el Gobierno del Estado de Nuevo León.

La UCC también es responsable de preparar y entregar un reporte anual de resultados correspondiente al avance del programa anual de adquisición al Comité de Adquisiciones, la Tesorería Estatal o Tesorería Municipal, lo que aplique, y la Contraloría o unidad de control interno.

7.1.1. Nuevo León puede asegurar que su ambiente de control interno sea un cimiento de apoyo para su sistema de control interno

La Contraloría es responsable de supervisar las obras públicas en Nuevo León. La Dirección de Control y Auditoría de Obra Pública lleva a cabo revisiones, auditorías, verificaciones, acciones de monitoreo y reportes expertos. Realiza esta labor para asegurar que las obras públicas, adquisiciones y servicios relacionados se lleven a cabo de acuerdo con la planeación, programa, presupuesto y especificaciones acordadas que obligan a los órganos de control interno de las dependencias y entidades de la administración pública estatal. Además de verificar el cumplimiento con las leyes y regulaciones estatales, la Dirección también es responsable de verificar el proceso de adquisición desde la aprobación, adjudicación, contratación y pago de adelantos hasta la terminación y entrega. Sin embargo, permanece como responsabilidad de la entidad solicitante asegurar que la adquisición se ejecute bien. Estas direcciones tienen algunas limitantes de recursos, en particular en relación con el personal y su profesionalización.

En 2007, el Poder Ejecutivo del estado de Nuevo León emitió un Acuerdo para la Coordinación Funcional de los Órganos Internos de Control. Este acuerdo describe que la Contraloría debe coordinar funcionalmente el sistema de control y supervisión internos entre las entidades y la Contraloría, así como la inspección y evaluación públicas; y que las entidades que establecieron su propio órgano interno de control deben coordinar y planear sus actividades con la Contraloría para evitar duplicaciones.

La coordinación es llevada a cabo mediante el Programa Anual de Auditoría y Control Interno (PAACI), preparado conforme al acuerdo de 2007 y los lineamientos asociados. El PAACI incluye títulos de auditoría, tiempos asociados y áreas responsables.

Las Disposiciones Normativas de Control Interno que envió la Contraloría a las unidades y dependencias de la administración pública estatal están en vigor por una carta fechada el 3 de julio de 2013. Estas disposiciones se basan en el Marco de Control Interno emitido en el nivel federal. De acuerdo con las Disposiciones Normativas, el Sistema de Control Interno Único comprende el conjunto de procesos y mecanismos que se aplican en una entidad en las etapas de planeación, organización, implementación, dirección y monitoreo de sus procesos administrativos, para dar certidumbre al proceso de toma de decisiones y para lograr sus objetivos en un ambiente de integridad, calidad, mejora continua, eficiencia y cumplimiento con la ley (Gobierno del Estado de Nuevo León, 2013[3]).

Los propósitos del Sistema de Control Interno Único, respecto del logro de objetivos de las unidades o entidades, se describen en el Cuadro ‎7.2.

Cuadro ‎7.2. Propósitos del Sistema Único de Control Interno de Nuevo León

Propósito

1

Promover eficiencia, efectividad y economía en operaciones, programas, proyectos y calidad de servicios proporcionados a la sociedad

2

Tener mecanismos para monitorear el avance en logros de objetivos y puntos específicos, e identificar y gestionar los riesgos que pudieran bloquearlo

3

Medir la efectividad en el cumplimiento institucional de objetivos y evitar desviaciones en el logro de los mismos

4

Mantener administración adecuada de recursos públicos y promover eficiencia, economía y transparencia

5

Generar los estados financieros y otra información contable de acuerdo con los temas establecidos en la Ley General de Contabilidad Gubernamental y los lineamientos emitidos por el Consejo Nacional para la Armonización Contable

6

Estimular el cumplimiento de las leyes, reglamentos y otras disposiciones que gobiernen la operación de las entidades

7

Salvaguardar, preservar y mantener los recursos públicos para asegurar la integridad, transparencia y disponibilidad para los propósitos que se crearon

8

Fortalecer los procesos sustantivos y de apoyo para el logro de objetivos, así como los utilizados para la aplicación de recursos de aquellos propensos a posibles actos de corrupción, para evitar o corregir desviaciones u omisiones que afecten el cumplimiento

Fuente: (Gobierno del Estado de Nuevo León, 2013, pp. 2-3[3]).

Las Disposiciones Normativas describen las normas específicas en el ambiente de control; evaluación y gestión de riesgos; actividades de control; información y comunicación; y mejora continua de control interno.

7.1.2. Nuevo León debe considerar hacer un mejor uso de su función de informe de control interno para identificar brechas, problemas y riesgos, y reportarlos a la administración

La unidad de control interno de cada entidad es responsable de reportar a la Dirección de Órganos de Control Interno y Vigilancia dentro de la Contraloría cada dos meses si la entidad cumple con las leyes, normas y requerimientos relevantes, inclusive los relacionados con adquisiciones. En mayo de 2017, 11 entidades tenían órganos de control interno. Para las entidades sin una unidad de control interno, inclusive la UCC, esta responsabilidad se da a un contacto de Control Interno, una persona que tiene otro trabajo de tiempo completo pero toma la responsabilidad de elaborar el formato de reporte cada dos meses. Si la entidad no cumple los requerimientos, necesita dar una explicación. Este tipo de reporte ayuda con la aplicación constante de las leyes, regulaciones y políticas de contratación en el gobierno. Sin embargo, aunque la Dirección de Órganos de Control Interno y Vigilancia indicó que trata de dar seguimiento en estos casos, tiene recursos limitados para hacerlo y no existe un proceso para cotejar esta información para identificar tendencias o reportarlo a la administración.

Un gobierno debe también tener un sistema confiable de reportes de cumplimiento de leyes y reglamentos, así como canales claros para reportar sospechas creíbles de violaciones de esas leyes y regulaciones a las autoridades competentes, sin temor a represalias (las denuncias y mecanismos de reclamación se analizan en el Capítulo 6).

7.1.3. Nuevo León debe asegurar que se establezcan objetivos claros al inicio de una actividad de adquisición

Antes de determinar los riesgos y controles internos, es vital que una entidad establezca objetivos claros para la entidad en su conjunto, para programas individuales y para actividades específicas. Para una actividad de adquisición, debe ser claro por qué se realiza la compra, qué objetivo apoya, cómo se obtiene valor por el dinero y qué requerimientos clave y criterios de mérito hay para la adquisición. Cuando no existe un objetivo claro, no pueden implementarse con eficacia controles internos ni la gestión de riesgos. Es posible tener una actividad controlada con un proceso de gestión de riesgos implementado que no logre un resultado valioso o deseado.

Como se analiza en el Capítulo 2, la planeación anual del GENL para adquisición publica está todavía un tanto fragmentada y existe alguna flexibilidad dentro de los presupuestos acordados para hacer compras que inicialmente no se planearon, mientras el gasto total no exceda el presupuesto. Objetivos más claros y una planeación más controlada y robusta y sistemas de supervisión ayudarían a asegurar la integridad de actividades de adquisición.

7.1.4. Nuevo León puede garantizar que la voluntad en la alta administración, políticas de recursos humanos, y funciones y responsabilidades de control interno apoyen su sistema de control interno

Una vez establecidos objetivos claros y eficazmente comunicados al personal relevante, la administración debe considerar los elementos de su ambiente de control. El ambiente de control es el cimiento de todos los demás componentes del control interno. De acuerdo con las Directrices para las Normas de Control Interno de INTOSAI, los elementos del ambiente de control son:

  • Integridad individual y valores éticos de la administración y el personal, inclusive una actitud de soporte hacia el control interno en toda la organización.

  • Compromiso con la competencia.

  • “Voluntad en la alta administración” (es decir, la filosofía y estilo de operación del personal de niveles altos).

  • Estructura organizacional.

  • Políticas y prácticas de recursos humanos (INTOSAI, 2004, p. 17[4]).

Imbuir una cultura de integridad individual y una “voluntad ética en la alta administración” debe ser parte continua de las operaciones de una organización. Requiere el compromiso de la administración y del personal, reforzamiento positivo de acciones éticas y actitudes, y también la censura de comportamientos no éticos.

Una prioridad del gobierno de Nuevo León, como se detalla en el Plan Estatal 2016-2021, es “combatir la corrupción”. Una cultura de integridad y una “voluntad ética en la alta administración” son vitales para combatir la corrupción. Como se analiza en los capítulos 4 y 6, Nuevo León emprendió algunas acciones para promover una cultura de integridad mediante cursos de capacitación y la implementación de una “prueba de honestidad” como inicio y la introducción de un código de ética.

La Coordinación Ejecutiva de la Administración Pública del Estado requiere que los servidores públicos firmen el Código de Ética, estableciendo que lo comprenden y se comprometen a cumplirlo. Firmar el Código de Ética es parte del proceso de contratación de personal.

La Contraloría llevó a cabo sesiones de capacitación para contralores internos, el primero de los cuales se realizó en marzo de 2016 sobre el desempeño de las unidades de control interno en la administración pública estatal (asistieron 135 funcionarios). En abril de 2016 se organizó otra capacitación relativa a la mejora de transparencia y prevención de corrupción en las unidades de control interno (asistieron 127 funcionarios); y en mayo de 2016 se presentó una sesión de control interno y gestión de riesgos. Como se aprecia en el Capítulo 6, los funcionarios de adquisiciones solo recibieron capacitación general y se beneficiarían de capacitación más específica sobre integridad de contratación pública.

Estos tipos de sesiones de capacitación ayudan al personal a comprender las funciones y responsabilidades del control interno. Esto debe comunicarse más ampliamente también, pues todos en la entidad tienen alguna responsabilidad de control interno y gestión de riesgos. Los administradores son directamente responsables de todas las actividades, inclusive diseño, implementación y monitoreo del sistema de control interno. Los auditores internos examinan y contribuyen a la efectividad continua del sistema de control interno con sus auditorías y recomendaciones; sin embargo, los auditores no deben tener la responsabilidad primaria del sistema de control interno; este sistema necesita ser propiedad de la administración e implementado por ella. El personal también comparte la responsabilidad al instrumentar controles internos y reportar problemas, riesgos emergentes e irregularidades conforme ocurren.

7.2. Gestión de riesgos

7.2.1. Nuevo León puede integrar estrategias de gestión de riesgos para la evaluación, tratamiento y monitoreo de riesgos en todo el ciclo de contratación pública

Como ya se mencionó, la contratación pública es particularmente susceptible a riesgos de desperdicio, malversación, fraude y corrupción. Más aún, existe el riesgo de que, de no lograr los resultados de adquisición o demoras en la entrega de bienes y servicios, se obstaculizaría el desempeño de las funciones de una entidad y podría dar como resultado que la entidad no cumpla su mandato.

Después de establecer objetivos claros y sentar bases firmes de ambiente de control, necesitan identificarse los riesgos que pueden obstaculizar el logro de objetivos y resultados. Nuevo León indicó que considera que es un elemento vital del proceso de planeación, que se alinea con buenas prácticas de gobernanza entre los países miembros de la OCDE. Las buenas prácticas también garantizan que la gestión de riesgos debe considerarse parte integral del marco de manejo institucional en lugar de tratarse de forma aislada. La gestión de riesgos debe permear la cultura y actividades de la organización en forma tal que se convierta en el trabajo de todos dentro de la organización. Así, todos los funcionarios que participen en cualquier etapa de contratación pública —desde la entidad que requiere la adquisición hasta la UCC y Contraloría— deben asumir la responsabilidad de la gestión de riesgos.

Si bien las Disposiciones Normativas de Control Interno del GENL (2013) establecen que el sistema de control interno debe “tener mecanismos […] para identificar y gestionar los riesgos que pudieran bloquear [los objetivos]” y el Plan Anticorrupción del GENL reafirma la importancia de la gestión de riesgos, el GENL no ha establecido actividades específicas de gestión de riesgos en sus procesos de adquisición pública (Gobierno del Estado de Nuevo León, 2013[3]).

7.2.2. Nuevo León debe diseñar herramientas de evaluación de riesgos y metodologías para identificar, evaluar y tratar riesgos para la función adecuada del sistema de contratación pública

Como parte de una estrategia de gestión de riesgos, la evaluación de riesgos ayuda a las entidades a comprender la exposición de riesgo y permite a las organizaciones públicas tomar decisiones rentables y basadas en riesgos respecto de las actividades de control. Esto incluye identificar factores de riesgo (por ejemplo, ¿por qué habría corrupción en estas áreas específicas de la actividad de adquisición?). La evaluación de la probabilidad de que ocurran los riesgos identificados y el impacto potencial de la materialización de estos riesgos es también esencial para priorizar respuestas y asignar los recursos adecuados.

El resultado de la evaluación de riesgos es la identificación de riesgos inherentes y residuales, los cuales forman la base del plan de acción de tratamiento de riesgo. Por último, al considerar que el ambiente de riesgo evoluciona constantemente, la estrategia de gestión de riesgos debe supervisarse y afinarse de manera continua para garantizar que el tratamiento de riesgo mantenga su eficacia.

La gestión de riesgos es clave para comprender la exposición de riesgo y permitir a las organizaciones públicas tomar decisiones de gestión de riesgos informadas. COSO define el manejo de riesgo de la entidad como “un proceso realizado por un consejo de directores, administración y otro personal de la entidad aplicado en un ambiente de estrategia y en toda la entidad, diseñado para identificar sucesos potenciales que afectarían a la entidad y gestionar de modo que se contenga el riesgo [tolerancia], para proporcionar una garantía razonable en relación con el logro de los objetivos de la entidad” (COSO, 2004[5]). Esta amplia definición puede también aplicarse en el sector público, en donde el concepto de gestión de riesgos operativos comprendería los sistemas, procesos, procedimientos y cultura que facilitan la identificación, evaluación, calificación y tratamiento de riesgos con el fin de ayudar a las dependencias del sector público a alcanzar exitosamente sus estrategias y objetivos de desempeño (OECD, 2013[6]).

La evaluación de riesgos es un proceso de tres pasos que inicia con la identificación del riesgo y a la que sigue un análisis del riesgo (o “mapeo”), que implica desarrollar una comprensión de cada riesgo, sus consecuencias, la posibilidad de que esas consecuencias ocurran y la gravedad del riesgo. El tercer paso es la evaluación del riesgo, que significa determinar la tolerabilidad de cada riesgo y si debe aceptarse o tratarse. El tratamiento de riesgos es el proceso de adaptar los controles internos existentes o elaborar e implementar nuevos controles para disminuir la gravedad del riesgo a un nivel tolerable (Figura ‎7.1).

Figura ‎7.1. Ciclo de gestión de riesgos de acuerdo con estándares internacionales
(ISO 31000:2009)
picture

Fuente: (Adaptado de ISO, 2009[7]).

Nuevo León debe diseñar herramientas y metodologías de evaluación de riesgos con el fin de identificar, evaluar y tratar riesgos para el logro eficaz y ético de los objetivos de contratación pública. Identificar los riesgos y llamar la atención del personal relevante proporciona una oportunidad para intervenir, donde la prevención o tratamiento sea posible.

El estudio de caso del Recuadro ‎7.2 es un ejemplo de cómo integrar la evaluación de riesgos en un proceso de licitación. En este ejemplo, la entidad se enfoca en riesgos a la salud y seguridad, pero cabría un enfoque similar en riesgos de desperdicios, malversación, fraude y corrupción.

Recuadro ‎7.2. Estudio de caso. Evaluación estandarizada de riesgos de la pre-contratación en el gobierno federal australiano

Una entidad federal del gobierno australiano utilizaba un grupo de contratistas muy amplio de manera regular, por ejemplo, para soporte de TI, servicios corporativos, asesoría profesional, publicidad y promoción, y modificaciones. El papel de la entidad implicaba un acceso público significativo a sus instalaciones. La dependencia necesitaba gestionar en forma eficaz los altos niveles de riesgo sin asignar recursos innecesarios.

La entidad revisó sus procesos de negocios para solicitar una evaluación de riesgos antes de firmar cualquier contrato. El nivel de riesgo se determinó mediante un formato estándar de encuesta de riesgo. Por ejemplo, el formato evaluaba si el trabajo del contratista podía representar un riesgo a la seguridad de los miembros del público, el grado de riesgo financiero, etc. El nivel de riesgo entonces informó las decisiones sobre:

  • Qué forma de contrato utilizar, de un conjunto de contratos estándar conservados por la entidad.

  • Cómo se manejaría el contrato y quién lo haría.

  • Las medidas de transición necesarias, por ejemplo, al determinar el tipo de información que debían recibir los contratistas de la labor, el ambiente de la entidad en asuntos como salud, seguridad y seguridad personal en el lugar de trabajo.

  • Los procesos de monitoreo y gestión necesarios.

  • Cómo se valoraría el contrato y se finalizaría el proceso.

Determinar estos asuntos en la etapa de planeación también permitió a la entidad planear sus requerimientos de recursos para el manejo del contrato.

Fuente: Adaptado de Developing and Managing Contracts: Getting the right outcome, achieving value for money (ANAO, 2012, p. 19[8]).

7.2.3. Nuevo León debe elevar la concientización y conocimiento entre su fuerza laboral y otras partes interesadas relevantes respecto de sus estrategias de gestión de riesgos

Comunicación y consulta, supervisión y revisión deben ser elementos continuos del ciclo de gestión de riesgos. Comunicación y consulta con partes interesadas internas y externas es un paso clave para garantizar su información en el proceso y darles la propiedad de los resultados de la gestión de riesgos.

También es importante comprender las inquietudes de las partes interesadas respecto de los riesgos y su gestión, de modo que se planee su participación y se tomen en cuenta sus puntos de vista al determinar los criterios de riesgo (OECD, 2013[6]). La comunicación clara de la forma de identificar, evaluar y tratar riesgos ayudará al personal al abordar riesgos durante el proceso de adquisición.

7.2.4. Nuevo León debe integrar una supervisión, revisión y reporte de riesgos constante en su proceso de adquisición

La supervisión y revisión apoyan a la identificación de nuevos riesgos y la reevaluación de los existentes cuando cambien los objetivos de la organización o su ambiente interno y externo. Esto implica buscar nuevos riesgos posibles y aprender lecciones respecto de los riesgos y controles de los análisis de éxitos y fracasos (OECD, 2013[6]). Reportar oportunamente ayuda a la administración a intervenir, cuando sea necesario, para prevenir o tratar los riesgos.

Al identificar y supervisar riesgos, es útil estar conscientes de las señales de advertencia particulares que pueden indicar corrupción o fraude en un proceso de adquisición. El Chartered Institute of Public Finance and Accountancy generó una lista de banderas rojas (señales de advertencia) que deben considerarse, como se describe en el Recuadro ‎7.3.

Recuadro ‎7.3. Banderas rojas del Instituto Colegiado de Finanzas Públicas y Contabilidad
  • Pérdidas físicas de bienes.

  • Relación poco común con los proveedores.

  • Manipulación de datos.

  • Documentos fotocopiados.

  • Gestión y registro de auditoría incompletos.

  • Controles informáticos de registros de auditoría inhabilitados.

  • Gastos excesivos del presupuesto.

  • Entrada al sistema informático fuera del horario laboral.

  • Facturas fuera de lo común (por ejemplo, formato, numeración, dirección, teléfono).

  • Descripción vaga de los bienes/servicios que deben suministrarse.

  • Duplicado/fotocopia de factura.

  • Gran número de inicios de sesión fallidos en el sistema informático.

  • Importes facturados en suma redonda.

  • Favoritismo hacia clientes.

  • Números consecutivos de facturas durante un periodo prolongado.

  • Participación o propiedad en una organización externa.

  • Falta de declaración de interés, regalos o atenciones.

  • Falta de registros justificativos.

  • Ningún proceso de identificación de riesgos (por ejemplo: registro de riesgos).

  • Aumentos/bajas poco comunes.

Fuente: (OECD, 2015, p. 152[9]).

Para apoyar y facilitar la implementación de la Recomendación de la OCDE, la Organización diseñó un paquete de herramientas de contratación pública que incluye una sección sobre cómo identificar riesgos o “banderas rojas” en un proceso de adquisición, como se describe en el Recuadro ‎7.4.

Recuadro ‎7.4. Lista de la OCDE de verificación de riesgos de contratación

Para apoyar y facilitar la implementación de la Recomendación OCDE se elaboró El Paquete de Herramientas de Contratación Pública. Si bien se refiere a 12 principios integrados de la Recomendación, proporciona a los funcionarios públicos herramientas para implementar exitosamente las actividades de contratación, así como ejemplos específicos de países que muestran cómo enfrentar desafíos de contratación en ambientes complejos.

Se proporciona una herramienta designada, “Indicadores de riesgos de contratación” en el Paquete de Herramientas en relación con el principio de gestión de riesgos. Está diseñada específicamente para entidades de adquisición y puede implementarse en todas las etapas del proceso de contratación. Sirve como guía para identificar riesgos potenciales de corrupción y advertir del tipo de riesgos que pueden enfrentar los funcionarios de adquisición.

Según la etapa de adquisición y la complejidad de la compra, es finalmente responsabilidad de cada autoridad de adquisición identificar riesgos potenciales y “banderas rojas”, y manejar estos riesgos mediante tratamiento o controles internos. Los siguientes son varias “banderas rojas” que pueden ayudar a identificar corrupción o fraude en procesos de contratación:

  1. Fase de pre-licitación

    • Planeación y presupuesto: falta de plan anual de adquisición alineado a objetivos estratégicos; estimados de costos incongruentes con tasas de mercado; o gobierno incapaz de supervisar unidades a cargo de compras.

    • Definición de requerimientos: condiciones relativas a requerimientos técnicos confusas; limitaciones impuestas a participantes extranjeros; selección y criterios de adjudicación poco claros; requerimientos de licitación creados mediante un proveedor de servicio de forma parcial; cuidado inadecuado del anonimato de proveedores y licitantes; o selección de proveedores no calificados debido a certificados de aseguramiento de calidad fraudulentos.

    • Selección de procedimiento: falta de estrategia para licitantes no competitivos; mal uso de procedimientos de excepción; o marcos de tiempo incongruentes.

  2. Fase de licitación

    • Invitación a licitación: falta de notificación pública; invitación anunciada de forma limitada; información no pública revelada; información insuficiente en la notificación pública; o sobres de licitación sin sellar o abiertos.

    • Evaluación y análisis de cotizaciones: número limitado de cotizaciones; similitudes entre cotizaciones; evaluación de cotizaciones demorada; o interés particular entre los miembros del comité de evaluación.

    • Adjudicación: falta de listas de empresas excluidas de la adquisición; criterios de selección amañados; falta de certificados entregados; o falta de acceso a registros del procedimiento.

  3. Fase post-licitación

    • Administración del contrato: modificaciones en las condiciones del contrato; producto o servicio que no cumple con los requerimientos del contrato; falta de cláusulas de penalización; o falta de reporte correspondiente de cambios en el contrato.

    • Pago de la orden: falta de actividades de auditoría interna o externa; incongruencias financieras entre los contratos; pagos y facturas tardías; o facturación de bienes y servicios no suministrados.

Fuente: (OECD, 2017[10]).

7.3. Actividades de control interno

Una forma fundamental de mitigar y tratar riesgos es con la implementación de controles internos. Los controles internos los implementan la administración y el personal de una entidad, y se adaptan y afinan continuamente en respuesta a los cambios del ambiente y riesgos de la entidad. Las actividades de control interno se diseñan para abordar riesgos que pueden afectar el logro de los objetivos de la entidad y dar una garantía razonable de que en la entidad las operaciones son éticas, económicas, eficientes y eficaces; se cumple la rendición de cuentas y la obligación de transparencia; las actividades y acciones cumplen las leyes y regulaciones aplicables; y los recursos se salvaguardan contra pérdida, mal uso, corrupción y daño (INTOSAI, 2010[4]).

7.3.1. Nuevo León puede fortalecer, estandarizar e integrar sus actividades de control interno para cerciorarse de que se da una garantía razonable de la integridad del proceso de contratación

De acuerdo con las Directrices para las Normas de Control Interno de INTOSAI, las actividades de control interno deben ocurrir en toda la entidad, en todos los niveles y en todas las funciones. Ello incluye una variedad de actividades de control de detección y prevención tan diversas como:

  • Procedimientos de autorización y aprobación

  • Separación de obligaciones (autorización, procesamiento, registro y revisión).

  • Verificaciones.

  • Conciliaciones.

  • Revisiones de desempeño operativo.

  • Revisiones de operaciones, procesos y actividades.

  • Supervisión (asignar, revisar y aprobar) (INTOSAI, 2004).

Por ejemplo, autorizar y ejecutar transacciones de adquisición solo debe realizarse por personas que actúan dentro del alcance de su autoridad. La autorización es el principal medio de garantizar que solo las transacciones y actos válidos se inicien como es la intención de la administración. Los procedimientos de autorización, que deben estar documentados y comunicarse con claridad a gerentes y empleados, deben incluir las condiciones específicas y términos en los cuales se realiza la autorización. Ajustarse a los términos de una autorización significa que los empleados actúan en concordancia con las normas y dentro de los límites establecidos por la administración o la legislación (INTOSAI, 2010[4]).

7.3.2. Nuevo León puede revisar su sistema de contratación para asegurar que cada control interno tiene un propósito —con más beneficios que costos— y que todo el sistema general está controlado, y es ético y eficiente

Las actividades de control interno para adquisición deben diseñarse para dar una garantía razonable a la administración de que el riesgo se está tratando y de que se está logrando la meta de la actividad (para la cual se requiere la adquisición). Los controles internos no deben tratar de dar una garantía absoluta, pues esto estrecharía las actividades a un punto de grave ineficiencia.

“Garantía razonable” es un término común en ambientes de auditoría y control interno. Significa un nivel de confianza satisfactorio con la debida consideración de costos, beneficios y riesgos. Determinar cuánta garantía es razonable requiere juicio. Al ejercer este juicio, los gerentes deben identificar los riesgos inherentes en sus operaciones y los niveles de riesgo que desean tolerar en diversas circunstancias. Una garantía razonable acepta cierta incertidumbre y que la confianza total está limitada por las siguientes realidades: el juicio humano en la toma de decisiones puede fallar; pueden ocurrir rupturas debido a un simple error; la colusión de dos o más personas puede burlar los controles; y la administración puede elegir evitar el sistema de control interno (INTOSAI, 2010[4]).

Al preparar los controles internos, la administración debe considerar los costos de cada control, por ejemplo, costos monetarios, de tiempo y de oportunidad. La administración necesita sopesar el beneficio potencial de cada control respecto del costo potencial y asegurar que los beneficios serán mayores que el costo. Si no es así, la administración debe considerar otros métodos de control que logren el mismo resultado deseado. La administración debe monitorear los sistemas de control interno y adaptarlos, cuando sea necesario, para garantizar que los controles internos se encuentren en el nivel correcto para ser eficaces y dar una garantía razonable sin que se sobrecarguen los sistemas y el personal con controles a tal punto que afecten la calidad, tiempo y capacidad de respuesta. Un sistema desequilibrado provoca que el personal eluda los procesos de control engorrosos, lo cual elimina su propósito y expone a una entidad a riesgos adicionales.

Los controles internos también dan una garantía razonable al público y las principales partes interesadas de que las transacciones gubernamentales se efectúan de forma transparente, ética y justa. Como ya se mencionó, la contratación pública es una actividad gubernamental particularmente vulnerable al fraude y la corrupción. El gobierno necesita implementar niveles de control para asegurar que los fondos públicos se gasten adecuadamente, que se obtiene valor por el dinero, que se cumplen las regulaciones y leyes, y que a proveedores y licitantes se les trata de forma justa y sin favoritismos. Esto es una cuestión de reputación y credibilidad. Esto tiene dos facetas. Por un lado, los controles internos incrementan la confianza en el gobierno y promueven un trato justo y congruente de las principales partes interesadas. Por otro lado, los controles internos sin equilibrio o con demasiadas capas de burocracia provocan procesos administrativos letárgicos que reducen la credibilidad del gobierno.

Durante las visitas de la OCDE de recopilación de información, el personal indicó que en el GENL se desarrolló una cultura en la que el personal compra artículos (como tinta para impresoras) con sus propios fondos, sin autorización previa, y después buscan, y reciben, su reembolso. Parece que esta cultura se desarrolló como resultado de un sistema de compras ineficiente y complicado. Por ejemplo, si el personal compra sus propios boletos de avión para viajes de trabajo y después recibe el reembolso, con poco o ningún control sobre el costo del boleto, no hay garantía de que se obtuvo valor por el dinero o de que el gasto se realizó de conformidad con la ley de contratación pública.

Otro control interno fundamental es la separación de obligaciones. Es un principio básico que ninguna persona o equipo debe controlar todas las etapas clave de una actividad de adquisición. Las obligaciones deben asignarse a varias personas para garantizar que existen controles y contrapesos eficaces, y para reducir el riesgo de fraude y corrupción. En algunas etapas del ciclo de adquisición participan pocos actores del GENL. Por un lado, la separación de obligaciones es un control benéfico. Sin embargo, si esto se sale de equilibrio —si participan demasiados actores—, este control crea problemas nuevos y presenta nuevos riesgos.

Se mencionó durante las visitas de recopilación de información que el complejo sistema multifacéticos de adquisición del GENL en ocasiones da como resultado que los proveedores no reciban su pago hasta durante seis meses. Este es un ejemplo de controles internos con consecuencias negativas no deseadas. Dejar de pagar a los proveedores por seis meses es una situación insostenible. Un gobierno con mala reputación en el mercado —ya sea por prácticas corruptas o por ser una organización ineficiente que no paga a tiempo— no es un gobierno que logre los mejores resultados para los contribuyentes. Los proveedores que no reciben su pago a tiempo dudarán en participar de nuevo con el gobierno, y cuando hay una oferta reducida, los costos se incrementan.

Más aún, se mencionó durante las visitas de búsqueda de información que los proveedores en ocasiones tratan de negociar después de los hechos para recibir al menos un pago parcial. Esto puede provocar riesgos adicionales. Por ejemplo, un servidor público no ético podría capitalizar la situación demorando pagos, negociando con los proveedores que no han recibido paga para intercambiar negociaciones más rápidas por una parte del pago.

7.3.3. Nuevo León puede asegurar que se supervise el sistema de control interno y existan medios claros para adaptar y afinar los procedimientos para responder a los cambios de objetivos, riesgos y circunstancias

Las actividades de control interno son un elemento vital de un servicio público operativo y ético, pero los controles internos sin equilibrio provocan más riesgos, costos e ineficiencias. Un sistema de control interno equilibrado, junto con una cultura de integridad, promueve una buena gobernanza y es esencial para asegurar la confianza pública.

Más aún, el control interno debe ser un proceso dinámico que se afine y adapte conforme cambian los riesgos y los ambientes. Un sistema de control interno es más eficaz cuando se supervisa y tiene medios claros para responder a los cambios de objetivos, riesgos y circunstancias.

7.4. Propuestas de acción

Para diseñar mecanismos eficaces de control interno y gestión de riesgos en la contratación pública, el Gobierno del Estado de Nuevo León puede emprender las siguientes acciones.

  1. Marco, estructuras y ambiente de control interno de Nuevo León

    a. Nuevo León puede asegurar que su ambiente de control interno sea una base sólida de su sistema de control interno.

    b. Nuevo León puede considerar hacer un mejor uso de su función de reporte de control interno para identificar brechas, problemas y riesgos, y reportarlos a la administración.

    c. Nuevo León puede asegurar que se establezcan objetivos claros en el inicio de una actividad de adquisición.

    d. Nuevo León puede asegurar que la voluntad de su alta administración, políticas de recursos humanos, y funciones y responsabilidades de control interno apoyen su sistema de control interno.

  2. Gestión de riesgos

    a. Nuevo León puede integrar estrategias de gestión de riesgos para la evaluación, tratamiento y supervisión de riesgos en todo el ciclo de contratación pública.

    b. Nuevo León puede diseñar herramientas y metodologías de evaluación de riesgos para identificar, evaluar y tratar riesgos para el funcionamiento adecuado del sistema de contratación pública.

    c. Nuevo León puede elevar la concientización y el conocimiento entre su fuerza laboral y otras partes interesadas relevantes respecto de sus estrategias de gestión de riesgos.

    d. Nuevo León puede integrar la supervisión, revisión y reporte de riesgos constantes en su proceso de contratación.

  3. Actividades de control interno

    a. Nuevo León puede fortalecer, estandarizar e integrar sus actividades de control interno para dar una garantía razonable respecto de la integridad del proceso de contratación.

    b. Nuevo León puede revisar su sistema de contratación para asegurar que cada control interno tiene un propósito —con más beneficios que costos—, y que el sistema en general está controlado, y es ético y eficiente.

    c. Nuevo León puede asegurar que el sistema de control interno se supervise y que existan medios claros para adaptar y afinar los procedimientos de modo que responda a los cambios de objetivos, riesgos y circunstancias.

Referencias

ANAO (2012), “Developing and Managing Contracts: Getting the right outcome, achieving value for money”.

COSO (2004), COSO Enterprise Risk Management - Integrated Framework, http://www.aicpastore.com/AST/Main/CPA2BIZ_Primary/InternalControls/COSO/PRDOVR~PC-990015/PC-990015.jsp (consultado el 1 de agosto de 2017).

COSO (2013), “Internal Control - Integrated Framework”, https://www.coso.org/Pages/ic.aspx (consultado el 11 de septiembre de 2017).

Gobierno del Estado de Nuevo León (2013), “Nuevo León’s Internal Control Normative Provisions”, http://oecdshare.oecd.org/gov/sites/govshare/psi/integrity/Shared%20Documents/Nuevo%20Leon%20Integrity%20Review/Questionnaire%20integrity%20Review/13.%20Anexo%2013.%20Disposiciones%20Normativas%20Control%20Interno%20en%20APENL.pdf (consultado el 13 de noviembre de 2017).

INTOSAI (2010), “Guidelines for Internal Control Standards for the Public Sector”, INTOSAI Guidance for Good Governance, núm. GOV 9100, http://www.issai.org/en_us/site-issai/issai-framework/intosai-gov.htm (consultado el 1 de agosto de 2017).

ISO (2009), ISO 31000-2009 Risk Management, https://www.iso.org/iso-31000-risk-management.html.

OECD (2013), “Strengthening integrity in the Italian public sector”, en OECD Integrity Review of Italy: Reinforcing Public Sector Integrity, Restoring Trust for Sustainable Growth, OECD Publishing, París, http://dx.doi.org/10.1787/9789264193819-4-en.

OECD (2015), OCDE Recomendación del consejo sobre contratación pública, http://www.oecd.org/gov/public-procurement/recommendation/ 
(consultado el 11 de septiembre de 2017).

OECD (2015), Desarrollo efectivo de megaproyectos de infraestructura: El caso del Nuevo Aeropuerto Internacional de la Ciudad de México, OECD Publishing, París, http://dx.doi.org/10.1787/9789264249349-es.

OECD (2017), Public Procurement Toolbox, http://www.oecd.org/governance/procurement/toolbox/ 
(consultado el 11 de septiembre de 2017).