Capítulo 6. Mejorar el esquema de control interno y gestión de riesgos en Nuevo León

En este capítulo se evalúa el esquema de control interno y gestión de riesgos de Nuevo León respecto de modelos internacionales y la Recomendación del Consejo de la OCDE sobre Integridad Pública. Se proporciona un panorama de los puntos fuertes y débiles del esquema de control interno y gestión de riesgos en Nuevo León y se presentan propuestas de acción que indican cómo podría reforzarse para que coincida con la Recomendación y las prácticas de los países de la OCDE. Las propuestas incluyen implementar un sistema estratégico de gestión de riesgos, otorgar a la dirección de operaciones la titularidad de la gestión de riesgos, establecer mecanismos de control interno coherentes y fortalecer la eficiencia de la función de auditoría interna.

6.1. Introducción

Un esquema de control interno y gestión de riesgos eficaz es esencial en la administración del sector público para salvaguardar la integridad, posibilitar una efectiva rendición de cuentas y prevenir la corrupción. El Principio 10 de la Recomendación del Consejo de la OCDE sobre Integridad Pública propone establecer un esquema de control interno y gestión de riesgos que incluya:

un sistema de control con objetivos precisos que demuestre el compromiso de los directivos con la integridad pública y los valores del servicio público, y que ofrezca un nivel razonable de garantía en cuanto a la eficiencia y los resultados de la entidad, así como de su cumplimiento de las leyes y prácticas;
un enfoque estratégico para la gestión de riesgos que comprenda la evaluación de riesgos para la integridad en el sector público, que aborde las deficiencias de control, e implemente un mecanismo eficaz de monitoreo y control de calidad del sistema de gestión de riesgos;
mecanismos de control que sean congruentes e incluyan procedimientos claros que respondan a sospechas creíbles de infracciones de leyes y reglamentos y que faciliten las denuncias ante las autoridades competentes sin temor a represalias (OCDE, 2017[1]).

Un sistema de administración pública debe tener, además de un sistema de control eficaz, una gestión de riesgos estratégica y mecanismos de control congruentes, una función de auditoría interna independiente y eficaz.

6.2. Un sistema de control con objetivos precisos

6.2.1. Nuevo León debe asegurar que su sistema de control y estructura organizacional apoyen su esquema de control interno y gestión de riesgos.

Antes de determinar los riesgos y los controles internos, es indispensable que la entidad gubernamental establezca objetivos claros para sí misma en conjunto, para cada programa y para actividades específicas. Si no existe un objetivo claro, no pueden implementarse controles internos ni una gestión de riesgos de manera eficaz. En Nuevo León, los objetivos para el esquema general de control interno y gestión de riesgos deben vincularse con la implementación del Sistema Estatal Anticorrupción de Nuevo León (SEANL), que entró en vigor el 7 de julio de 2017, y necesitará una estructura de control interno más eficiente. En virtud de la ley del SEANL, los poderes Ejecutivo y Judicial y las entidades gubernamentales tienen seis meses para expedir los reglamentos y realizar las adecuaciones normativas correspondientes. Nuevo León debe garantizar que se establezcan objetivos claros para el esquema de control interno y gestión de riesgos y que se den a conocer al personal.

Una vez que Nuevo León asegure que se han establecido los objetivos y que efectivamente los conoce el personal, debe considerar los elementos de su sistema de control. El sistema de control es la base de todos los demás componentes del control interno. Según la Guía para las Normas de Control Interno del Sector Público establecida por la Organización Internacional de las Entidades Fiscalizadoras Superiores (INTOSAI), los elementos del sistema de control son los siguientes:

la integridad personal y los valores éticos de la dirección y del personal, incluso una actitud favorable para el control interno en toda la institución,
compromiso con la competencia,
la “tónica en la cúpula” (es decir, la filosofía y el estilo operacional de la dirección),
estructura organizacional, y
políticas y prácticas de recursos humanos (INTOSAI, 2010, p. 17[2]).

Promover una cultura de integridad personal y una tónica ética en la cúpula debe ser permanente en las operaciones de una institución. Esto exige el compromiso de la dirección y del personal y una reafirmación positiva. Nuevo León ha tomado algunas medidas para promover una cultura de integridad mediante cursos de capacitación y la introducción de un código de ética (véase el Capítulo 3). Tener una estructura organizacional, un esquema conceptual y políticas adecuados también contribuyen a asegurar que una entidad funcione con eficiencia, integridad y acatando las leyes pertinentes.

En Nuevo León, la Contraloría y Transparencia Gubernamental (la Contraloría) es la principal entidad estatal responsable de fortalecer la coordinación con los órganos de control interno y vigilancia de los organismos y dependencias de la administración pública del estado. En particular, las atribuciones de la Contraloría incluyen coordinar los sistemas de control de la administración pública del estado; ordenar revisiones y auditorías; coordinar la atención a quejas e inconformidades; imponer sanciones; asegurar que la prestación de servicios públicos sea conforme a los principios de legalidad, eficiencia, honradez, transparencia e imparcialidad; y fomentar una cultura de transparencia e integridad.

La misión de la Contraloría es “impulsar las mejores prácticas de gobierno y de control interno, propiciando la legalidad, honestidad, responsabilidad, eficiencia, transparencia y calidad en los servicios y el mejor desempeño de los servidores públicos”. La Contraloría tiene siete direcciones y una Unidad Anticorrupción (véase a Gráfica ‎6.1).

En 2007, el Poder Ejecutivo del Estado de Nuevo León expidió un Acuerdo para la Coordinación Funcional de los Órganos de Control Interno. Este acuerdo estipula que la Contraloría debe coordinar funcionalmente el sistema de monitoreo y control interno entre las entidades y la Contraloría, llevar a cabo acciones de inspección y evaluación de la gestión pública; y que las entidades que cuenten con su propia unidad de control interno deben coordinar y planear sus actividades con la Contraloría.

La coordinación se lleva a cabo mediante el Programa Anual de Auditoría y Control Interno (PAACI) preparado en virtud del Acuerdo suscrito en 2007 y los Lineamientos para la Coordinación Funcional de los Órganos de Control Interno. Los Lineamientos, que expidió la Contraloría y se publicaron en el Periódico Oficial del Estado en octubre de 2007, describen las funciones del contralor general (véase el Cuadro ‎6.1).

Cuadro ‎6.1. Funciones del contralor general
Funciones
Establecer un programa anual de auditoría.
Difundir las normas, políticas y procedimientos de las unidades administrativas de las entidades gubernamentales.
Apoyar a las unidades administrativas de las entidades gubernamentales.
Promover la capacitación de los servidores públicos.
Realizar auditorías y presentar los informes respectivos conforme al programa anual de auditoría.
Revisar la economía y eficiencia de los procesos.
Evaluar los programas y sistemas de control interno.
Monitorear y verificar el cumplimiento.
Analizar los resultados de las revisiones y el seguimiento de las recomendaciones.
Preparar un informe bimestral para las contralorías internas sobre el estado de las quejas e inconformidades.
Mantener la comunicación con la Auditoría Superior del Estado de Nuevo León (ASENL) para informarle sobre las medidas que se hayan tomado.
Fuente: Lineamientos para la Coordinación Funcional de los Órganos de Control Interno.

En la Contraloría, la Dirección de Órganos de Control Interno y Vigilancia se coordina con las Unidades de Control Interno en las diferentes entidades y, en el caso de entidades sin unidad de control interno, mediante los contactos de control interno. La Dirección de Órganos de Control Interno y Vigilancia está facultada para:

fortalecer la coordinación con los órganos de control interno y vigilancia de las dependencias y entidades de la administración pública estatal,
verificar que los comisionados públicos cumplan con sus obligaciones en las entidades paraestatales y
revisar, validar y someter a consideración del Contralor General los programas de trabajo establecidos por los órganos de control interno y sus resultados.

Las contralorías internas y los contactos de control interno tienen la obligación de informar, cada dos meses, a la Dirección de Órganos de Control Interno y Vigilancia sobre los avances del Programa Anual de Auditoría y Control Interno, y verificar la aplicación de las recomendaciones (para auditorías tanto internas como externas).

Las Disposiciones Normativas de Control Interno enviadas por la Contraloría a las unidades y entidades de la administración pública estatal entraron en vigor en virtud de una carta fechada el 3 de julio de 2013. Estas disposiciones se basan en el Marco de Control Interno expedido en el nivel federal. Según las Disposiciones Normativas, el Sistema Único de Control Interno abarca el conjunto de procesos y mecanismos que se aplican en una entidad en las etapas de planeación, ejecución y monitoreo de sus procesos de gestión, para dar certidumbre a la toma de decisiones y lograr sus objetivos en un ambiente de integridad, calidad, mejora continua, eficiencia y cumplimiento de la ley. El propósito del Sistema Único de Control Interno para lograr los objetivos de las unidades o entidades se describe en el Cuadro ‎6.2.

Cuadro ‎6.2. Propósitos del Sistema Único de Control Interno de Nuevo León
	Propósitos
1.	Promover la eficiencia, eficacia y economía en las operaciones, programas, proyectos y calidad de los servicios públicos.
2.	Tener mecanismos para monitorear el avance en la consecución de los objetivos y metas, e identificar y gestionar los riesgos que pudieran impedirlo.
3.	Medir la eficacia en el cumplimiento de los objetivos institucionales y evitar las desviaciones para lograrlos.
4.	Mantener una administración adecuada de los recursos públicos y promover la eficiencia, economía y transparencia.
5.	Generar estados financieros conforme a la Ley General de Contabilidad Gubernamental y los lineamientos emitidos por el Consejo Nacional de Armonización Contable.
6.	Estimular el cumplimiento de las leyes, reglamentos y otras disposiciones que rijan la operación de las entidades.
7.	Salvaguardar los recursos públicos para asegurar la integridad, transparencia y disponibilidad para los fines a que están destinados.
8.	Fortalecer los procesos para lograr los objetivos, sobre todo los relacionados con la aplicación de los recursos o los propensos a posibles actos de corrupción, y evitar o corregir las desviaciones que afecten el cumplimiento.
Fuente: Disposiciones Normativas de Control Interno de Nuevo León (2013).

Entre los propósito del sistema de control interno de Nuevo León se encuentran elementos vitales, como la gestión de riesgos (propósito 2), garantizar la integridad y transparencia (propósito 7) y fortalecer los procesos para lograr los objetivos y prevenir la corrupción (propósito 8). Es aconsejable que la función de auditoria interna se mantenga separada de los propósitos descritos del sistema de control interno. Nuevo León debería asegurar que su sistema de control y estructura organizacional formen una base idónea para su esquema de control interno y gestión de riesgos.

6.2.2. Nuevo León podría tomar medidas para que todo el personal se capacite en el esquema de control interno y gestión de riesgos, a fin de asegurar que se implemente de manera sistemática.

El Programa Anual de Auditoría y Control Interno señala que la Contraloría promoverá y verificará la capacitación de los servidores públicos. La Contraloría debe verificar que todas las entidades tengan un programa de capacitación funcionando y que todas cumplan con el Programa de Cultura de la Legalidad y Combate a la Corrupción, coordinado por la Unidad Anticorrupción (véase el Capítulo 3).

Los auditores internos (la tercera línea de defensa) desempeñan un papel crucial al definir la cultura de integridad y rendición de cuentas correcta dentro de la institución. Actúan como "agentes del cambio” esenciales al evaluar el sistema de control como parte de su mandato garante, y motivan a la dirección para que corrija los defectos e ineficiencias en dicho sistema. Nuevo León ha capacitado a más de 500 servidores públicos para que sean “agentes del cambio” y, posteriormente, transmitan lo aprendido a sus colegas.

Nuevo León se podría beneficiar al asegurar que todo el personal reciba información y capacitación sobre el esquema de control interno y gestión de riesgos, para que pueda implementarse de manera sistemática. La forma en que los altos funcionarios aplican el esquema y reaccionan ante su cumplimiento y las desviaciones es decisiva para mejorar la credibilidad del sistema de control. La ejecución de la ley y los procedimientos disciplinarios deben ser claros, transparentes y aplicarse a todos por igual. También deben darse a conocer a todos los servidores públicos para garantizar la comprensión común de las normas. Divulgar los ejemplos de funcionarios que muestren un comportamiento ejemplar puede ayudar a promover la integridad.

6.2.3. Nuevo León podría aplicar los principios del modelo de las Tres Líneas de Defensa para dar mayor responsabilidad a la dirección de operaciones sobre el control interno y la gestión de riesgos.

Los Lineamientos (2007) y las Disposiciones Normativas (2013) proporcionan a Nuevo León, en principio, una base sólida para su esquema de control interno y gestión de riesgos. Alentar a la dirección y a todo el personal para que participen puede ayudar a crear mejores sistemas y procedimientos que mejoren la integridad de la institución y su resistencia a la corrupción. Aunque los altos directivos deberían ser los principales responsables de la gestión de riesgos al implementar controles internos y mostrar el compromiso de la entidad con los valores éticos, todos los funcionarios de una institución pública, desde la mayor jerarquía hasta la menor, deberían desempeñar un papel identificando riesgos y deficiencias y garantizar que los controles internos aborden esos riesgos y los moderen. Una misión fundamental de los servidores públicos responsables del control interno es ayudar a garantizar que los valores éticos de la institución y los procesos y procedimientos que sustentan esos valores, se divulguen, mantengan y apliquen en toda la organización.

Los principales modelos para la gestión de riesgos de fraude y corrupción entre los países miembros y asociados de la OCDE recalcan que la responsabilidad primordial de prevenir y detectar la corrupción recae en el personal y en la dirección de las entidades públicas. Esos modelos para la gestión de riesgos de corrupción a menudo comparten similitudes con el modelo de las Tres Líneas de Defensa del Instituto de Auditores Internos (véase la Gráfica ‎6.2).

Según el modelo del Instituto de Auditores Internos, la primera línea de defensa está constituida por el personal y la dirección de operaciones. Es natural que los que están al frente formen la primera línea de defensa, porque son los responsables de mantener controles internos eficaces y de ejecutar diariamente los procedimientos de control y gestión de riesgos. La dirección de operaciones identifica, evalúa, controla y modera los riesgos al dirigir la formulación y aplicación de políticas y procedimientos internos, y al garantizar que las actividades sean compatibles con las metas y los objetivos (Institute of Internal Auditors, 2013[3]).

La segunda línea de defensa está formada por el siguiente nivel directivo: los responsables de supervisar la ejecución. Esta línea es responsable de establecer un esquema de gestión de riesgos, supervisar, identificar los nuevos riesgos e informar periódicamente a los altos mandos. La tercera línea de defensa es la función de auditoria interna. Su principal cometido es proporcionar a los altos directivos una garantía independiente y objetiva de las medidas de la primera y segunda líneas de defensa (Institute of Internal Auditors, 2013[3]).

En Nuevo León, se le podría dar mayor responsabilidad sobre el control interno y la gestión de riesgos a la dirección de operaciones. La evolución del sistema de control interno francés, que se centra en la responsabilidad de los directivos, proporciona ideas útiles al respecto (véase el Recuadro ‎6.1).

Recuadro ‎6.1. Sistema de control interno del gobierno de Francia

En 2006 entró en vigor la Ley Orgánica que rige las disposiciones financieras del 1 de agosto de 2001 (La loi organique relative aux lois de finances), proporcionando la oportunidad de reconsiderar la administración del gasto público. Incluyó un cambio en el papel de las principales instancias involucradas en el control y la administración de las finanzas públicas de Francia.

Las principales características de la reforma introducida en la administración pública de Francia son la gestión de políticas públicas por objetivos, presupuesto dirigido a resultados, un nuevo sistema de responsabilidad, fortalecer la rendición de cuentas y un nuevo sistema contable.

El Decreto del 28 de junio de 2011 sobre auditorías internas es la culminación de una ofensiva para controlar los riesgos en la gestión de las políticas públicas. Gracias a esta reforma fue posible ampliar el alcance del control interno a todas las funciones en los departamentos ministeriales y establecer una verdadera política de auditoría interna.

El sistema francés se centra en la responsabilidad de los directivos. El gestor del programa es el principal vínculo entre la responsabilidad política (asumida por el ministro) y la responsabilidad de los directivos (asumida por el gestor del programa). Sujeto a la autoridad del ministro, el gestor del programa redacta los objetivos estratégicos del programa pertinente y emprende la ejecución operacional del mismo para cumplir con sus objetivos. El ministro y el gestor del programa se convierten en los responsables de los objetivos e indicadores especificados en los Planes de Ejecución Anuales (APP). Estos objetivos nacionales se adaptan, si es necesario, para cada entidad gubernamental. El gestor del programa delega la gestión al establecer presupuestos operacionales bajo la autoridad de los directivos designados.

Fuente: (OECD Working Party of Senior Budget Officials, 2015[4]; European Commission, 2014[5]).

6.3. Un enfoque estratégico para la gestión de riesgos

6.3.1. Nuevo León podría introducir un esquema estratégico para la gestión de riesgos con el propósito de fortalecer el sistema de control interno y mejorar la gestión de los riesgos de fraude y corrupción.

Un esquema de control interno y gestión de riesgos eficaz incluye políticas, estructuras organizacionales, procedimientos y procesos que permitan a una organización identificar y reaccionar ante los riesgos de manera adecuada.

Nuevo León declaró que su sistema de control interno debería ofrecer “mecanismos para verificar el avance en la consecución de los objetivos y metas, e identificar y gestionar los riesgos que pudieran impedirlo”. Sin embargo, en las entrevistas, los funcionarios públicos señalaron que oficialmente no se ha establecido ninguna metodología específica para la gestión de riesgos en el sector público del estado y que, en general, la gestión de riesgos tampoco se lleva a cabo. Se han realizado algunos trabajos preliminares y se ha impartido cierta capacitación sobre gestión de riesgos al personal de control interno, que ha incluido conceptos teóricos para implementar una matriz de riesgos y cartografiar los riesgos.

Las prácticas de gobernanza adecuada en los países de la OCDE indican que la gestión de riesgos debe considerarse parte integral del marco de gestión institucional en vez de manejarse aisladamente. La gestión de riesgos debería impregnar la cultura y actividades de la organización de modo que le importe a todos los que laboran en ella. Los empleados informados que pueden reconocer y atacar la corrupción tienen más probabilidades de identificar las situaciones que pueden socavar los objetivos institucionales.

En el sector público, el concepto de gestión de riesgos operacional debe incluir los sistemas, procesos y cultura que ayuden a identificar, evaluar y tratar los riesgos a fin de coadyuvar a que las entidades del sector público logren sus objetivos de desempeño (OECD, 2013[6]).

El primer paso de la gestión de riesgos operacional es establecer el contexto y fijar los objetivos de la institución. El siguiente es identificar los acontecimientos que podrían afectar la consecución de esos objetivos. Los acontecimientos que pueden tener un efecto negativo son riesgos. La valoración de riesgos es un proceso de tres pasos que comienza por identificar el riesgo, le sigue el análisis de riesgos, que implica capacidad para entender cada riesgo, sus consecuencias, la probabilidad de que ocurran esas consecuencias, y la gravedad del riesgo. El tercer paso es la evaluación de riesgos, para determinar la tolerabilidad de cada riesgo y si el riesgo debe aceptarse o tratarse. Tratamiento de riesgos significa ajustar los controles internos existentes o crear nuevos controles para reducir la gravedad de un riesgo a un nivel tolerable (ISO, 2009[7]), Para una descripción del ciclo de gestión de riesgos, véase la Gráfica ‎6.3.

El proceso de establecer el contexto y evaluar y tratar el riesgo es lineal, mientras que la comunicación y consulta, monitoreo y revisión son continuos. Cuando es viable, la comunicación y consulta con los interesados internos y externos es un paso importante para asegurar su contribución al proceso y darles la titularidad de los productos de la gestión de riesgos. Como también es importante entender las preocupaciones de los interesados sobre los riesgos y su gestión, se puede planear su participación y tomar en cuenta sus opiniones al determinar los criterios de riesgo. El monitoreo y revisión ayudan a identificar los nuevos riesgos y a reevaluar los existentes cuando hay cambios en los objetivos de la institución o en sus condiciones internas y externas. Esto implica buscar posibles nuevos riesgos y aprender lecciones sobre los riesgos y controles al analizar los éxitos y fracasos (OECD, 2013[6]; ISO, 2009[7]).

Las entrevistas con funcionarios públicos sugirieron que la administración enfrenta riesgos de integridad, como fraude, favoritismo, soborno y abuso de autoridad. También se señaló que no existe un funcionario ejecutivo específicamente responsable de la gestión de riesgos, y que tampoco se realizan valoraciones de los riesgos relacionadas con corrupción o fraude. Eso puede confirmarlo el hecho de que este aspecto no se consideró en el Plan Estatal de Desarrollo 2016-2021 ni en el Plan Estratégico de Nuevo León 2015-2030, al poner en marcha un gobierno eficiente y transparente. Se podría considerar incorporar el esquema de gestión de riesgos cuando Nuevo León modifique sus planes estratégicos, sobre todo las secciones relacionada con el combate al fraude y la corrupción.

Nuevo León señaló que las principales dificultades para integrar el esquema de control interno y gestión de riesgos en su administración diaria son las siguientes:

falta de directrices prácticas para implementar un sistema de control interno;
personal que considera los controles internos como una mera formalidad y carga burocrática, y no como herramientas importantes para promover la integridad y mejorar el desempeño;
comunicación insuficiente sobre la importancia de los procesos de control interno para lograr los objetivos de las instituciones;
personal que considera que los controles internos y la gestión de riesgos son objetivos en sí mismos, y
falta de funciones y responsabilidades definidas de manera explícita para los controles internos.

Es indispensable tener un sistema de gestión de riesgos eficaz para combatir los riesgos de fraude y corrupción. Nuevo León podría implementar un esquema estratégico de gestión de riesgos para fortalecer su sistema de control interno y controlar mejor los riesgos de fraude y corrupción. La Oficina de Rendición de Cuentas del Gobierno de Estados Unidos (GAO) estableció un esquema de gestión de riesgos para controlar los riesgos de fraude en los programas federales. Este ejemplo, que incluye procesos y actividades prácticas, se describe en el Recuadro ‎6.2.

Recuadro ‎6.2. Esquema de gestión de riesgos de fraude y corrupción de la GAO

La Oficina de Rendición de Cuentas del Gobierno de Estados Unidos (GAO) tiene un esquema para gestionar los riesgos de fraude en los programas federales. Esto incluye actividades de control, así como estructuras y factores ambientales que ayudan a los directivos a moderar los riesgos de fraude. El esquema consta de cuatro componentes para gestionar eficazmente los riesgos de fraude.

1. Comprometerse a combatir el fraude al crear una cultura institucional y una estructura propicia para gestionar el riesgo de fraude.
- Demostrar el compromiso de los altos directivos con el combate al fraude y la corrupción e involucrar a todos los niveles de la institución al establecer la tónica para combatir el fraude.
- Asegurar que se definan las responsabilidades para la gestión de riesgos.
2. Evaluar periódicamente el riesgo de fraude para determinar sus características.
- Adaptar la evaluación del riesgo de fraude al programa e involucrar a los interesados pertinentes.
- Evaluar la probabilidad y el efecto de los riesgos de fraude y determinar la tolerancia al riesgo.
- Examinar la idoneidad de los controles existentes, priorizar los riesgos residuales y documentar las características del riesgo de fraude.
3. Diseñar e implementar una estrategia con actividades de control específicas para mitigar los riesgos de fraude evaluados, y colaborar para ayudar a garantizar su implementación.
- Formular, documentar y dar a conocer una estrategia antifraude, que se centre en actividades de control preventivo.
- Tomar en cuenta los costos y beneficios de los controles para prevenir y detectar posibles fraudes, y elaborar un plan de respuesta al fraude.
- Establecer relaciones de colaboración conjunta con los interesados y crear incentivos para una aplicación eficaz de la estrategia antifraude.
4. Evaluar y adaptar: evaluar los resultados con un enfoque de riesgos y adaptar las actividades para mejorar la gestión del riesgo de fraude.
- Monitorear y evaluar, con base en riesgos, de las actividades de gestión de riesgos de fraude, y centrarse en la medición de resultados.
- Recabar y analizar datos de los mecanismos de presentación de informes y casos de fraude detectado, para monitorear en tiempo real las tendencias de fraude.
- Utilizar los resultados del monitoreo, evaluaciones e investigaciones para mejorar la prevención, detección y respuesta al fraude.

Como se describe en cada uno de estos componentes, las prácticas y actividades pueden ayudar a una organización a mantener sus mecanismos de monitoreo y retroalimentación, y asegurar que el sistema siga siendo dinámico y que el personal no deje de participar en los procesos.

Fuente: (GAO, 2015[8]).

6.3.2. Nuevo León podría poner en operación el esquema de gestión de riesgos al asignar la responsabilidad explícita de la gestión de riesgos a los altos directivos, impartir capacitación al personal, y actualizar los sistemas y herramientas de gestión de riesgos.

Después de crear un esquema de gestión de riesgos, este debe ponerse en funcionamiento. Se debe recopilar información adecuada y precisa sobre la gestión de riesgos. A los altos directivos se les debe asignar la responsabilidad explícita de la gestión y monitoreo continuos de los riesgos, y todo el personal debe conocer el esquema de gestión de riesgos y cómo incorporar la gestión de riesgos en sus labores y toma de decisiones cotidianas.

La información adecuada y precisa es indispensable para que un esquema de gestión de riesgos sea operativo. Sin esta, sería difícil evaluar, monitorear y mitigar los riesgos de manera eficaz. La información para respaldar la gestión de riesgos puede proceder de varias fuentes internas y externas, según el programa o área de trabajo. Una táctica sistemática para especificar el origen, registrar y almacenar la información sobre riesgos mejorará la fiabilidad y exactitud de la información requerida.

Para que un esquema de gestión de riesgos realmente funcione, debe asignarse de manera explícita la responsabilidad de riesgos específicos a las secretarías o directores adecuados. Esas secretarías o directores deben hacer suyos los riesgos que pudieran afectar sus objetivos institucionales, utilizar la información sobre los riesgos para sustentar la toma de decisiones, y monitorear y gestionar de manera activa los riesgos que se les hayan asignado. También deben rendir cuentas ante el Ejecutivo mediante informes periódicos sobre la gestión de riesgos que incluyan las lecciones aprendidas, los éxitos y las áreas que podrían mejorarse (Department of Finance, 2016[9]).

El personal debe conocer el esquema de gestión de riesgos y los principales requisitos mediante capacitación y actividades de concientización. Además, las descripciones de puestos podrían incluir el requisito de gestión de riesgos. La comunicación y la consulta con el personal también son un paso fundamental para asegurar la contribución al proceso de gestión de riesgos y darles la autoría del producto de la gestión de riesgos. Los empleados informados que reconocen y combaten los riesgos de corrupción tienen más probabilidades de identificar las situaciones que pueden socavar los objetivos institucionales.

Nuevo León podría poner en operación el esquema de gestión de riesgos al asignar la responsabilidad explícita de la gestión de riesgos a secretarías o directores, impartir capacitación al personal y actualizar los sistemas y herramientas de gestión de riesgos. Australia, país miembro de la OCDE, elaboró una guía sobre la creación de capacidad para la gestión de riesgos en las entidades, que ofrece ideas útiles (véase el Recuadro ‎6.3).

Recuadro ‎6.3. Cómo crea capacidad para la gestión de riesgos el gobierno de Australia

El Departamento de Finanzas federal de Australia elaboró una guía para los funcionarios gubernamentales sobre la creación de capacidad para gestionar riesgos en sus entidades. Sugiere que las entidades consideren cada una de las áreas descritas a continuación para determinar dónde puede mejorarse su capacidad de riesgo.

Capacidad de las personas. Una táctica uniforme y eficaz para la gestión de riesgos es el resultado de tener personal competente, bien capacitado y con los recursos adecuados. Todos los empleados desempeñan un papel en la gestión de riesgos. Es importante que el personal en todos los niveles tenga funciones y responsabilidades claramente expresas y las conozcan muy bien, acceda a información pertinente y actualizada sobre los riesgos, y tenga la oportunidad de adquirir competencias mediante el aprendizaje formal e informal y los programas de desarrollo. Crear capacidad para la gestión de riesgos en el personal es un proceso constante. Con la información, aprendizaje y desarrollo correctos, una entidad gubernamental puede crear una cultura consciente de los riesgos entre su personal y mejorar la comprensión y la gestión de riesgos. Las reflexiones incluyen:

¿Las funciones y responsabilidades se detallan de manera explícita en las descripciones de puestos?
¿Ha determinado los niveles de competencia actuales para la gestión de riesgos y completado un análisis de necesidades para identificar las necesidades de aprendizaje?
¿Los programas de inducción incluyen una introducción a la gestión de riesgos para todos los niveles de personal?
¿Existe un programa de aprendizaje y desarrollo que incluya capacitación permanente en gestión de riesgos adaptada a los diferentes cargos y niveles de la entidad?

Sistemas y herramientas de riesgo. Los sistemas y herramientas de riesgo, cuya complejidad varía, se diseñan para proporcionar almacenamiento y facilidad de acceso a la información sobre riesgos, que complementará el proceso de gestión de riesgos. La complejidad de los sistemas y herramientas de riesgo a menudo va desde sencillas hojas de cálculo hasta complejos programas informáticos para gestionar los riesgos, y son más eficaces cuando se adaptan a las necesidades de la entidad. La disponibilidad de datos para monitorear, los registros de riesgos y la presentación de informes ayudarán a crear capacidad, siempre y cuando se dé un buen mantenimiento a los sistemas y herramientas, la información sea abundante y actualizada y se proporcione capacitación y apoyo. Las reflexiones incluyen:

¿Sus herramientas y sistemas actuales para la gestión de riesgos son eficaces para almacenar los datos necesarios para tomar decisiones comerciales informadas?
¿Cuán eficientes son sus sistemas de riesgo para proporcionar información oportuna y precisa para comunicarla a las partes interesadas?

Información sobre la gestión de riesgos. La evaluación, monitoreo y tratamiento correcto de los riesgos en una entidad gubernamental dependen de la calidad, exactitud y disponibilidad de la información sobre los riesgos y la documentación de apoyo. Una táctica sistemática para especificar el origen de la información, registrarla y almacenarla mejorará la fiabilidad y disponibilidad de la información requerida para diferentes públicos. Las reflexiones incluyen:

¿Ha identificado las fuentes de datos que le proporcionarán la información necesaria para tener una perspectiva completa de los riesgos en toda la entidad?
¿Con qué frecuencia se recopila información sobre riesgos para entregarla a los diferentes públicos en toda la entidad?
¿Tiene información sobre riesgos inmediatamente disponible para consulta de todo el personal?
¿Cómo calificaría la integridad y exactitud de los datos disponibles?

Procesos de gestión de riesgos. La documentación y comunicación eficaces de los procesos de gestión de riesgos que apoyan la táctica de la entidad para gestionar los riesgos proporcionará un enfoque uniforme para la gestión de riesgos y permitirá la presentación clara, concisa y frecuente de la información sobre riesgos para apoyar la toma de decisiones. Las reflexiones incluyen:

¿Cuándo fue la última vez que se revisaron sus procesos de riesgo?
¿Sus procesos de gestión de riesgos están bien documentados y a disposición de todo el personal?
¿Los procesos de gestión de riesgos coinciden con su esquema de gestión de riesgos?
¿Hay capacitación disponible para aprender a utilizar los procesos de riesgo, adaptada a diferentes públicos?

Fuente: (Department of Finance, 2016[9]).

6.4. Mecanismos de control congruentes

6.4.1. Nuevo León podría fortalecer e integrar sus actividades de control interno para garantizar que se proporcione un nivel de seguridad razonable.

Un método fundamental para mitigar y tratar los riesgos es implementar mecanismos de control interno. Los controles internos son puestos en marcha por la dirección y el personal de una entidad, y se adaptan y perfeccionan de manera continua para atender los cambios de las condiciones y riesgos de la entidad. Las actividades de control interno se diseñan para atender los riesgos que podrían afectar la consecución de objetivos de la entidad y proporcionar un nivel de seguridad razonable de que las operaciones de la misma son éticas, económicas, eficientes y eficaces; que se cumple con las obligaciones de rendición de cuentas y transparencia; que las actividades y medidas acatan las leyes y reglamentos aplicables, y que los recursos están protegidos contra pérdidas, uso indebido, corrupción y daño (INTOSAI, 2010, p. 6[2]).

Los mecanismos de control constituyen pesos y contrapesos, son responsabilidad de las secretarías o directores y los aplica el personal a diario. Los controles internos incluyen un amplio conjunto de procesos diseñados para asegurar que los empleados y directivos ejerzan sus funciones dentro de los parámetros establecidos por la entidad. El objetivo general del control interno debería ser que las normas y valores de la organización se apliquen conforme a la visión de los altos directivos y con el propósito de cumplir con los objetivos estratégicos de la organización.

Según la Guía para las Normas de Control Interno del Sector Público, de INTOSAI, las actividades de control interno deben darse en toda la entidad, en todos los niveles y en todas las funciones. Entre ellas se encuentra un conjunto de acciones de control preventivo e investigación como las siguientes:

procedimientos de autorización y aprobación,
separación de funciones (autorizar, tramitar, registrar, revisar),
controles sobre el acceso a recursos y registros,
verificación,
conciliación,
revisiones del desempeño operativo,
revisiones de las operaciones, procesos y actividades, y
supervisión (valoración, revisión y aprobación) (INTOSAI, 2010, p. 28[2]).

Por ejemplo, autorizar y ejecutar operaciones de contratación pública solo deben realizarlo las personas facultadas para hacerlo. La autorización es la principal manera de garantizar que solo se inicien operaciones y actividades válidas según lo previsto por la dirección. Los procedimientos de autorización, que se deben documentar y dar a conocer de manera explícita a directivos y empleados, deben incluir las condiciones y términos específicos conforme a los cuales deben otorgarse las autorizaciones. Respetar los términos de una autorización significa que los empleados actúen conforme a las directivas y restricciones establecidas por la dirección o en las leyes (INTOSAI, 2010, p. 29[2]). Nuevo León debe garantizar que se cuente con controles financieros de este tipo y que estén actualizados la orientación y procedimientos operativos estándar para el personal.

Los controles internos no deben intentar proporcionar una garantía absoluta, pues esto potencialmente restringiría las actividades hasta un punto de ineficiencia grave. El término “seguridad razonable” es frecuente en los contextos de auditoría y control interno. Significa que hay un nivel de confianza satisfactorio tras examinar debidamente los costos, beneficios y riesgos. Determinar cuánta garantía es razonable exige criterio. Al ejercer ese criterio, los directivos deben identificar los riesgos inherentes a sus operaciones y los niveles de riesgo que están dispuestos a tolerar conforme a diversas circunstancias. La seguridad razonable acepta que existe cierta incertidumbre y que la plena confianza es limitada por las siguientes realidades: el discernimiento humano al tomar decisiones puede ser deficiente; las fallas pueden ocurrir por errores simples; los controles pueden ser burlados por dos o más personas coludidas; y la dirección puede elegir no hacer caso al sistema de control interno (INTOSAI, 2010, pp. 8-9[2]). Nuevo León podría fortalecer e integrar sus actividades de control interno para garantizar que se proporcione un nivel de seguridad razonable.

6.4.2. Nuevo León podría asegurar que cada control interno cumpla con su propósito y que el sistema en su totalidad sea monitoreado, ético y eficiente.

Al establecer controles internos, la dirección debe considerar los costos de cada control interno; es decir, en términos monetarios, de tiempo y oportunidad. La dirección debe ponderar los beneficios potenciales de cada control respecto del costo posible y asegurar que sus beneficios sean mayores que el costo. De no ser así, la dirección debe establecer otros métodos de control que logren el resultado deseado. La dirección debe supervisar los sistemas de control interno y adaptarlos cuando sea necesario para garantizar que estén instalados en el nivel correcto con el fin de que sean eficaces y proporcionen seguridad razonable. Al mismo tiempo, no deben sobrecargar los sistemas ni al personal con controles al punto de que se afecte la calidad, puntualidad y capacidad de respuesta. Un sistema desequilibrado puede hacer que el personal eluda los procesos de control onerosos, lo que frustra el propósito y puede exponer a la entidad a nuevos riesgos.

Los controles internos también proporcionan seguridad razonable al público y a los principales interesados de que las operaciones del gobierno se realizan en forma transparente, ética e imparcial. La contratación pública es una actividad gubernamental especialmente vulnerable al fraude y la corrupción. El gobierno debe instituir niveles de control para asegurar que los recursos públicos se ejerzan de manera adecuada y se obtenga una buena relación calidad-precio, que se acaten las leyes y reglamentos y se trate de manera imparcial a proveedores y licitantes, sin favoritismo. Esto es asunto de reputación y credibilidad. En este sentido, es necesario encontrar un equilibrio. Por un lado, los controles internos aumentan la confianza en el gobierno y promueven que se trate de manera uniforme e imparcial a los principales interesados. Por el otro, los controles internos desequilibrados o con muchas capas de burocracia pueden provocar procesos administrativos letárgicos que reducen la credibilidad del gobierno.

Por ejemplo, parece que en Nuevo León el personal a veces compra artículos (como tinta para impresoras) con sus recursos personales, sin autorización previa y luego piden y obtienen el reembolso. Se percibe que esas prácticas se han desarrollado a causa de un sistema de compras ineficiente y engorroso.

El control interno debe ser un proceso dinámico que se perfeccione y adapte a medida que cambian los riesgos y las condiciones. Nuevo León debe garantizar que se monitoree el sistema de control interno, y que existan medios explícitos para adaptar y perfeccionar los procesos a fin de responder a los cambios en los objetivos, riesgos y circunstancias. Nuevo León también podría asegurar que cada control interno cumpla con su propósito, que sus beneficios sean mayores que sus costos, y que el sistema en su totalidad sea ético y eficiente.

6.4.3. Nuevo León podría aprovechar mejor la función de presentación de informes de su control interno para identificar problemas y riesgos, y notificarlos a la dirección.

La Unidad de Control Interno de cada entidad (o su equivalente) es responsable de informar cada dos meses a la Dirección de Órganos de Control Interno y Vigilancia, en la Contraloría, si la entidad ha acatado las leyes, normas y requisitos pertinentes, incluso los relacionados con la contratación pública. En mayo de 2018, 15 entidades tenían unidades de control interno. En las entidades sin estas unidades, la responsabilidad se asigna a un “contacto de control interno”, una persona que tiene otro trabajo de tiempo completo, pero es la encargada de llenar la plantilla del informe cada dos meses.

Si una entidad no cumple con los requisitos, debe explicar los motivos. Este tipo de informes puede coadyuvar a la aplicación sistemática de leyes, reglamentos y políticas en todo el gobierno. Sin embargo, aunque la Dirección de Órganos de Control Interno y Vigilancia indicó que procura dar seguimiento a estos casos, sus recursos para hacerlo son limitados y no existe un proceso para capturar esa información o notificarla a sus superiores.

Nuevo León podría aprovechar mejor este mecanismo de presentación de informes que ya está establecido. Esa información puede utilizarse para identificar tendencias, problemas y riesgos, y apoyar a la dirección en la gestión de riesgos y la toma de decisiones.

6.5. Una función de auditoria interna eficaz e independiente

6.5.1. Nuevo León podría invertir en capacitación, herramientas y metodologías para que el personal de auditoría interna mejore la calidad y eficiencia de las auditorías.

En Nuevo León, la Dirección de Control y Auditoría del Sector Central y la Dirección de Control y Auditoría del Sector Paraestatal son responsables, en sus respectivas áreas, de realizar auditorías e informar al respecto, revisiones, monitorear acciones e inspecciones; verificar y monitorear el cumplimiento de los procesos de control interno, y verificar que las operaciones de las entidades sean compatibles con los procesos de planeación, elaboración de presupuestos, monitoreo, evaluación y rendición de cuentas.

La Dirección de Control y Auditoría del Sector Central tiene 27 empleados, incluidos 24 que trabajan en auditorías. Son responsables de fiscalizar a las entidades del gobierno central y al sector educativo, y de hacer auditorías complementarias. El gobierno central abarca a las entidades subordinadas directamente al gobernador, como Infraestructura, Salud y Finanzas, y la Tesorería General del Estado.

La Dirección de Control y Auditoría del Sector Paraestatal tiene 14 funcionarios, entre los que se encuentran cinco directores de auditoría y siete empleados de auditoría. Son responsables de auditar 65 paraestatales y realizan cerca de 30 auditorías, inspecciones y revisiones cada año. Las entrevistas durante la misión de investigación de la OCDE indicaron que el personal de auditoría ha recibido poca o ninguna capacitación profesional en su campo, y tampoco se les proporcionan las herramientas ni las metodologías básicas de auditoría. Una inversión modesta en herramientas y capacitación podría aumentar la eficiencia y calidad de las auditorías. Por la importancia de la auditoría interna en un marco de integridad, Nuevo León podría considerar si esta dirección se beneficiaría al contar con mayores recursos y profesionalizar a su personal, y podría pensar en invertir en capacitación, herramientas y metodología para el personal de auditoría interna a fin de mejorar la calidad y eficiencia de las auditorías.

6.5.2. Nuevo León podría asegurar que su coordinación central de auditoría interna aproveche los recursos disponibles para mejorar la supervisión y permita una respuesta coherente a los riesgos de integridad.

Según Government at a Glance 2017, de la OCDE, una función de auditoría interna central —sobre todo una cuya prioridad sea incluir la integridad en sus objetivos estratégicos— puede fortalecer la coherencia y homologar la respuesta del gobierno a los riesgos de integridad. Al fiscalizar múltiples entidades en el nivel central pueden aprovecharse los recursos de auditoría; aumentar la capacidad del gobierno para identificar problemas intersectoriales y sistémicos, e instituir medidas para responder desde una perspectiva de gobierno completo (OCDE, 2017[10]).

Nuevo León podría aprovechar sus funciones centralizadas de auditoría interna, emprendidas por la Dirección de Control y Auditoría del Sector Central y la Dirección de Control y Auditoría del Sector Paraestatal, para mejorar la supervisión al identificar las tendencias y problemas sistémicos, y permitir que la dirección responda a los nuevos problemas, incluidos los riesgos de integridad, de manera exhaustiva y coherente.

Quince países de la OCDE, incluidos México y Canadá, informan que tienen una función central de auditoría con la responsabilidad de fiscalizar a más de un ministerio o secretaría gubernamental. El contralor general de Canadá ofrece un ejemplo de coordinación de auditoría interna que incluye políticas públicas y enlace, formar un colectivo de auditoría y proporcionar servicios de auditoría coordinados (véase el Recuadro ‎6.4).

Recuadro ‎6.4. El Consejo del Tesoro de Canadá y su función central de auditoría interna

El Sector de Auditoría Interna, de la Contraloría General de Canadá, es responsable de la política sobre auditoría interna y del colectivo de auditoría interna del gobierno federal. Su mandato es proporcionar seguridad independiente sobre gobernanza, gestión de riesgos y procesos de control. Al desempeñar esta función, el sector apoya el compromiso del contralor general de fortalecer la rectoría, rendición de cuentas, gestión de riesgos y control interno del sector público en todo el gobierno. Las siguientes son las tres principales áreas de responsabilidad del Sector de Auditoría Interna:

1. Política pública y enlace se centra en proporcionar orientación y supervisión oportunas al colectivo de auditoría. Esto incluye:
- dirigir y defender la función de auditoría interna,
- monitorear y evaluar la implementación y cumplimiento de políticas públicas,
- proporcionar supervisión y cuestionar el apoyo a grupos departamentales de auditoría interna, y
- desarrollar políticas, asesoría profesional, normas e innovadores de tecnología.
2. Desarrollo del colectivo de auditoría interna proporciona apoyo a comités de auditoría departamentales e iniciativas para respaldar el desarrollo de capacidad de auditoría interna. Esto incluye:
- reclutar y apoyar comités de auditoría departamentales, y
- consolidar la capacidad de recursos humanos del colectivo de auditoría interna mediante el fortalecimiento de las capacidades y actividades de desarrollo del colectivo.
3. Operaciones de auditoría proporciona servicios de auditoría a departamentos y organismos grandes y pequeños. Esto incluye:
- crear perfiles de riesgo en todo el gobierno,
- planear y coordinar acuerdos de seguridad horizontal en todos los departamentos,
- proporcionar servicios específicos de auditoría interna, y
- apoyar al Comité de Auditoría para departamentos y organismos pequeños.

Fuentes: (Treasury Board of Canada Secretariat, 2014[11]).

6.5.3. Nuevo León podría aprovechar su programa de capacitación en control interno para capacitar aún más sobre ética e integridad a los auditores internos.

Un elemento fundamental para mantener un sistema de control interno eficaz es garantizar el mérito, profesionalismo, estabilidad y continuidad del personal de auditoría. Las entidades públicas deben crear los mecanismos adecuados para atraer, formar y retener a personas competentes con el conjunto correcto de habilidades y el compromiso ético para trabajar en control y auditoría. Capacitar, certificar y mejorar las competencias en auditoría e investigación refuerza la credibilidad del auditor. Los módulos de capacitación deben ser una herramienta para que los profesionales aborden las complejidades que habitualmente encuentran. Existe una gran disparidad entre las certificaciones profesionales y la integración real de las funciones de auditoría y control interno en la gestión y operaciones diarias de las entidades públicas.

La Contraloría y la Tesorería General del Estado suscribieron un acuerdo con el Instituto de Contadores Públicos de Nuevo León y la Escuela de Especialidades para Contadores Profesionales. Esto permite que los servidores públicos se capaciten en la Escuela de Especialidades para Contadores Profesionales. Además de las certificaciones formales, la Escuela también ofrece diplomas y cursos de actualización.

La Contraloría estableció un programa de capacitación en un esfuerzo por consolidar la capacidad del personal de las unidades de control interno. El primer curso de capacitación, impartido en marzo de 2016, se tituló “Órganos de Control Interno en la Administración Pública del Estado”, al cual asistieron 135 servidores públicos que participan en actividades de control interno. Este curso de medio día incluyó los siguientes temas:

coordinación funcional de los órganos de control interno,
función de vigilancia por conducto del comisionado público,
programa anual de auditoría y control interno, y
marco integrado de control interno.

En abril de 2016, se impartió otro curso de medio día, llamado “Fortalecimiento de la Transparencia y Prevención de la Corrupción mediante los Órganos de Control Interno”, al que asistieron 127 servidores públicos e incluyó los siguientes temas:

transparencia en los órganos de control interno,
protección de datos personales,
marco jurídico básico,
gobierno abierto,
estrategias preventivas de combate a la corrupción, y
quejas anticorrupción.

En mayo de 2016 asistieron 150 servidores públicos a un curso sobre control interno y gestión de riesgos. Uno más, llamado “Control Interno, Transparencia y Prevención de la Corrupción a través del Contralor Municipal”, se celebró en julio de 2016, al que asistieron 99 servidores públicos de 38 municipios del estado. El objetivo del curso fue fomentar la colaboración institucional entre el contralor del estado y los de los municipios de Nuevo León mediante el intercambio de conocimiento y experiencias relacionadas con el control interno, la transparencia, la protección de datos personales y estrategias para la prevención y denuncia de actos de corrupción. Nuevo León podría aprovechar este programa de capacitación para contralorías internas a fin de capacitar aún más sobre ética e integridad a los auditores internos.

6.5.4. Nuevo León podría fortalecer los mecanismos para monitorear la aplicación de las recomendaciones de auditoría.

Las Disposiciones Normativas de Nuevo León exigen dar seguimiento a las recomendaciones de auditoría. En las entrevistas de la OCDE, los auditores de Nuevo León indicaron que en general la aplicación de las recomendaciones era poca, y que era difícil monitorearlas y hacer su seguimiento. Esto se debía en parte a los recursos limitados para el seguimiento, y en parte a la falta de compromiso de las áreas auditadas. Los auditores internos reportan a la Contraloría, de manera periódica, el número de recomendaciones que se han aplicado a partir de la información disponible. Sin embargo, los auditores tienen poca o ninguna capacidad para hacer el seguimiento de esas recomendaciones o abordar la baja tasa de aplicación.

Nuevo León podría fortalecer los mecanismos para monitorear la implementación de las recomendaciones de auditoría. Las oficinas de auditoría de los países miembros de la OCDE tienen diversos mecanismos para hacer el seguimiento de las recomendaciones de auditoría y ver la trayectoria de las tasas de aplicación. Algunas oficinas, como la Oficina Nacional de Auditoría de Australia, realizan auditorías complementarias cada año, y otras presentan informes voluntarios para dar una idea del nivel de aplicación. La oficina de auditoría subnacional para la provincia de Columbia Británica en Canadá, ofrece el ejemplo de un método de informes voluntarios para hacer el seguimiento de las recomendaciones de auditoría (véase el Recuadro ‎6.5).

Recuadro ‎6.5. Cómo hace el seguimiento de recomendaciones la Contraloría de Columbia Británica

En junio de 2014, la Auditoría General (OAG) de Columbia Británica publicó un informe titulado “Informe de seguimiento: actualizaciones sobre la aplicación de las recomendaciones de los últimos informes”. Según el entonces auditor general de Columbia Británica, era decisivo que la OAG verificara las recomendaciones para garantizar que los ciudadanos recibieran la mejor relación calidad-precio del trabajo de la OAG, pues las recomendaciones identifican áreas donde las entidades gubernamentales pueden ser más eficaces y eficientes.

La OAG lo complementó publicando un informe con formularios de autoevaluación que completan las entidades auditadas. Esos formularios se publicaron sin editar y no se revisaron. El informe contiene 18 autoevaluaciones, dos de las cuales notificaron que la entidad había atendido en forma total o considerable todas las recomendaciones de sus informes.

La OAG también consolidó sus recomendaciones con la revisión de cuatro autoevaluaciones para verificar su exactitud. Detectó que, en la mayoría de los casos, las entidades habían descrito con precisión el avance logrado en la aplicación de las recomendaciones. Aunque a veces se detectó que las recomendaciones se aplicaban en forma parcial más que total, como ellas mismas lo reportaron, la discrepancia generalmente se debía a una diferencia en cuanto a la comprensión de lo que significaba aplicar en forma total o considerable. En esos casos, la OAG trabajó con los ministerios y organismos para aclarar las expectativas y llegar a un acuerdo sobre el nivel de la implementación.

Fuente: (Office of the Auditor General of British Columbia, 2014[12]).

Para hacer el seguimiento de las sanciones, Nuevo León estableció una coordinación directa entre la Contraloría y la Auditoría Superior del Estado de Nuevo León (ASENL). Esta coordinación podría incrementarse aún más. Cuando la ASENL detecta irregularidades, envía un informe a las unidades y les solicita que lleven a cabo los procedimientos correspondientes de responsabilidad administrativa. Una vez que se completa este proceso, las entidades informan a la ASENL las sanciones impuestas.

6.5.5. Nuevo León podría fortalecer la independencia de su función de auditoría interna garantizando que sea independiente de las funciones de gestión de la entidad, incluida la implementación de controles internos y la gestión de riesgos.

Los auditores internos no necesitan el mismo nivel de independencia que los auditores externos, pero es importante que se mantengan al margen de la gestión de las entidades que auditan. Esto permite a los auditores entregar dictámenes imparciales sobre sus evaluaciones del control interno y presentar objetivamente recomendaciones para mejorar.

En general, los auditores internos de Nuevo León están al margen de la gestión de las entidades que auditan, tienen independencia para elegir lo que auditan y, al mismo tiempo, toman en cuenta los consejos y prioridades del contralor general. Al preparar su plan de trabajo de auditoría, los auditores internos consideran varios factores, incluidas las entidades que tuvieron un número alto de “observaciones” en las últimas revisiones del gobierno (por ejemplo, las que realiza la fiscalía estatal). Presentan su plan anual de trabajo de auditoría a la Contraloría cada mes de febrero. Las entrevistas durante la misión de investigación de la OCDE indicaron que las auditorías generalmente las realizan auditores internos de la Contraloría. Sin embargo, en dos entidades gubernamentales grandes las auditorías las realizan sus propias unidades de control interno, que tiene responsabilidades de control interno y auditoría. Nuevo León podría reconsiderar las responsabilidades de esas unidades de control interno y si sus funciones deben incluir tanto el control como la auditoría, pues esto podría comprometer su independencia.

Nuevo León presenta un Programa Anual de Auditoría y Control Interno que combina actividades de control interno y auditoría. Aunque es útil tener un plan anual de trabajo de auditoría, es mejor mantener separadas las actividades de auditoría de las de control interno.

La auditoría interna (la tercera línea de defensa) ayuda a detectar la corrupción, pero su principal fin es proporcionar la seguridad objetiva de que la gestión de riesgos y los controles internos (la primera y segundas líneas de defensa) funcionan de manera correcta. Una función de auditoría interna eficaz también garantiza que se identifiquen las deficiencias de control interno y se comuniquen de forma oportuna a los responsables. La auditoría interna también es un factor necesario para una rendición de cuentas eficaz y una mejor gestión. Ayuda a exigir que los funcionarios rindan cuentas de sus acciones e informa sobre las deficiencias en materia de desempeño y gestión. Las respuestas institucionales a las conclusiones negativas de la auditoría y a las violaciones de integridad pueden influir de manera considerable en la cultura, la tónica en la cúpula y la eficiencia general del sistema de control interno de la institución.

Por lo general, hay una distinción clara entre la función de auditoría interna (la tercera línea de defensa) y la segunda línea de defensa, que consta de funciones para supervisar la gestión a fin de garantizar que los controles de la primera línea de defensa se diseñen, instalen y pongan en funcionamiento de manera adecuada, según lo previsto. Cuando los altos directivos consideran que es más eficiente que la auditoría interna también realice funciones de gestión de riesgos, cumplimiento u otra de la segunda línea de defensa, es difícil separar con claridad la segunda y tercera líneas de defensa.

Para evitar los conflictos de interés institucionales en esos casos, las dependencias públicas deben introducir medidas preventivas adecuadas para asegurar que no se comprometa la función de auditoría interna. Por ejemplo, si la auditoría interna interviene en actividades de la segunda línea de defensa, la tarea de proporcionar seguridad sobre estas actividades específicas debe encomendarse, ya sea externa o internamente, a otros departamentos. La función de auditoría interna no debe asumir ninguna responsabilidad directiva del tema sujeto a la auditoría. En esos casos, la auditoría interna puede facilitar y apoyar a las instancias responsables, pero no debe asumir la titularidad.

Del mismo modo, si los auditores internos descubren irregularidades que sugieran actividad corrupta o fraudulenta, el caso debe enviarse a investigadores calificados, cuya obligación será evaluar si ocurrieron esos actos corruptos o fraudulentos. Una vez más, para evitar todo conflicto de interés institucional y reforzar el sistema de control interno, los auditores no deben ser responsables de dirigir las investigaciones internas. Nuevo León podría fortalecer la independencia de su función de auditoría interna garantizando que sea independiente de las funciones de gestión de la entidad, incluida la implementación de controles internos y la gestión de riesgos.

La INTOSAI publicó varios documentos, como “INTOSAI GOV 9100: Guía para las Normas de Control Interno del Sector Público”, donde subraya la importancia de la independencia para los auditores internos y externos (véase el Recuadro ‎6.6).

Recuadro ‎6.6. Normas de la INTOSAI para garantizar la independencia de las instituciones de auditoría

Es indispensable asegurar que las entidades fiscalizadoras sean ajenas a toda influencia indebida para garantizar la objetividad y legitimidad de su trabajo, por lo que los principios de independencia se plasman en las normas más fundamentales relativas a la fiscalización del sector público. Por ejemplo, la Organización Internacional de las Entidades Fiscalizadoras Superiores (INTOSAI) tiene dos declaraciones fundamentales que citan la importancia de la independencia. En concreto, la “Declaración de Lima de las Directrices para los Preceptos de Auditoría” y la “Declaración de México sobre la Independencia de las Entidades Fiscalizadoras Superiores (EFS)” llaman la atención sobre la importancia de los aspectos organizacionales, funcionales y administrativos de la independencia.

La independencia organizacional se relaciona estrechamente con la cúpula de las entidades fiscalizadoras —es decir, el titular de la EFS o los miembros de las instituciones colegiadas—, incluso la seguridad de permanecer en el cargo y la inmunidad legal en el cumplimiento normal de sus obligaciones.
La independencia funcional exige que las EFS tengan un mandato muy explícito y libertad absoluta para cumplir con sus tareas, incluso suficiente acceso a la información y poderes de investigación. La independencia funcional también exige que las EFS tengan libertad para planear el trabajo de fiscalización y decidir sobre el contenido y periodicidad de los informes de auditoría, así como su publicación y difusión.
La independencia administrativa exige que las EFS cuenten con los recursos humanos, materiales y monetarios adecuados, y con autonomía para utilizarlos como lo consideren conveniente.

La independencia es igualmente importante para las entidades fiscalizadoras internas. Tanto las Directrices para las “Normas de Control Interno en el Sector Público” (INTOSAI GOV 9100) como “Control Interno: una Guía para la Rendición de Cuentas en la Administración” (INTOSAI GOV 9120) citan cuán importante es que los auditores internos sean independientes de la administración de una institución: “Para que la función de auditoría interna sea eficaz, es indispensable que el personal de auditoría interna sea independiente de la administración, trabaje de manera imparcial, correcta y honesta, y que rinda cuentas directamente a la autoridad máxima de la institución. Eso permite que los auditores internos presenten dictámenes imparciales sobre las evaluaciones de control interno que realicen y que sometan objetivamente propuestas dirigidas a corregir las deficiencias que se hayan descubierto”.

Se ofrecen directrices más específicas al respecto en “Independencia de la Auditoría Interna en el Sector Público” (INTOSAI GOV 9140), que adopta los principios de las Normas Internacionales de las Entidades Fiscalizadoras Superiores (ISSAI) 1610 (“Utilización del Trabajo de los Auditores Internos”) para definir la independencia. Los criterios en ambos documentos incluyen si la entidad fiscalizadora interna la estableció la legislación; rinde cuentas directamente a la alta dirección; tiene responsabilidades separadas de la administración; tiene responsabilidades definidas en forma explícita y oficial; tiene suficiente libertad para elaborar los planes de auditoría y participa en la contratación de su propio personal de auditoría.

Fuentes: (INTOSAI, 1977[13]; 2001[14]; 2007[15]; 2010[2]; 2010[16]).

Propuestas de acción

Nuevo León introdujo su propio sistema anticorrupción y cuenta con varios elementos de gestión de riesgos y control interno. Sin embargo, se podría hacer más para crear capacidad en el entorno del control interno y la gestión de riesgos. Nuevo León podría considerar las propuestas de acción específicas que se describen a continuación.

Un sistema de control con objetivos precisos.

Nuevo León debe asegurar que su sistema de control y estructura organizacional apoyen su esquema de control interno y gestión de riesgos.
Nuevo León podría tomar medidas para que todo el personal se capacite en el esquema de control interno y gestión de riesgos, a fin de asegurar que se implemente de manera sistemática.
Nuevo León podría aplicar los principios del modelo de las Tres Líneas de Defensa para dar mayor responsabilidad a la dirección de operaciones sobre el control interno y la gestión de riesgos.

Un enfoque estratégico para la gestión de riesgos.

Nuevo León podría introducir un esquema estratégico para la gestión de riesgos con el propósito de fortalecer el sistema de control interno y mejorar la gestión de los riesgos de fraude y corrupción.
Nuevo León podría poner en operación el esquema de gestión de riesgos al asignar la responsabilidad explícita de la gestión de riesgos a los altos directivos, impartir capacitación al personal, y actualizar los sistemas y herramientas de gestión de riesgos.

Mecanismos de control congruentes.

Nuevo León podría fortalecer e integrar sus actividades de control interno para garantizar que se proporcione un nivel de seguridad razonable.
Nuevo León podría asegurar que cada control interno cumpla con su propósito y que el sistema en su totalidad sea monitoreado, ético y eficiente.
Nuevo León podría aprovechar mejor la función de presentación de informes de su control interno para identificar problemas y riesgos, y notificarlos a la dirección.

Una función de auditoria interna eficaz e independiente.

Nuevo León podría invertir en capacitación, herramientas y metodologías para que el personal de auditoría interna mejore la calidad y eficiencia de las auditorías.
Nuevo León podría asegurar que su coordinación central de auditoría interna aproveche los recursos disponibles para mejorar la supervisión y permita una respuesta coherente a los riesgos de integridad.
Nuevo León podría aprovechar su programa de capacitación en control interno para capacitar aún más sobre ética e integridad a los auditores internos.
Nuevo León podría fortalecer los mecanismos para monitorear la aplicación de las recomendaciones de auditoría.
Nuevo León podría fortalecer la independencia de su función de auditoría interna garantizando que sea independiente de las funciones de gestión de la entidad, incluida la implementación de controles internos y la gestión de riesgos.

Bibliografía

[9] Department of Finance (2016), “Building risk management capability”, https://www.finance.gov.au/sites/default/files/comcover-information-sheet-building-risk-management-capability.pdf (consultado el 1 de agosto de 2017).

[5] European Commission (2014), Compendium of the Public Internal Control Systems in the EU Member States (second edition), http://ec.europa.eu/budget/pic/lib/book/compendium/HTML/index.html (consultado el 1 de agosto de 2017).

[8] GAO (2015), “A Framework for Managing Fraud Risks in Federal Programs”, No. GAO-15-593SP, http://www.gao.gov/assets/680/671664.pdf (consultado el 1 de agosto de 2017).

[3] Institute of Internal Auditors (2013), IIA Position Paper: The Three Lines of Defense in Effective Risk Management and Control, https://na.theiia.org/standards-guidance/Public%20Documents/PP%20The%20Three%20Lines%20of%20Defense%20in%20Effective%20Risk%20Management%20and%20Control.pdf.

[2] INTOSAI (2010), “Guidelines for Internal Control Standards for the Public Sector”, INTOSAI Guidance for Good Governance, No. GOV 9100, http://www.issai.org/en_us/site-issai/issai-framework/intosai-gov.htm (consultado el 1 de agosto de 2017).

[16] INTOSAI (2010), “Internal Audit Independence in the Public Sector”, No. 9140, http://www.issai.org.

[15] INTOSAI (2007), “Mexico Declaration on SAI Independence”, International Standards of Supreme Audit Institutions (ISSAI), No. 10, INTOSAI Professional Standard Committee Secretariat, Copenhagen, http://www.issai.org.

[14] INTOSAI (2001), “Internal Control: Providing a Foundation for Accountability in Government”, No. GOV 9120, http://www.issai.org/en_us/site-issai/issai-framework/intosai-gov.htm.

[13] INTOSAI (1977), “Lima Declaration of Guidelines on Auditing Precepts”, International Standards of Supreme Audit Institutions (ISSAI) , No. 1, INTOSAI Professional Standard Committee Secretariat, Copenhagen, http://www.issai.org.

[7] ISO (2009), ISO 31000-2009 Risk Management, https://www.iso.org/iso-31000-risk-management.html.

[10] OCDE (2017), Panorama de las Administraciones Públicas 2017, OECD Publishing, Paris/INAP, Madrid, https://doi.org/10.1787/9789264304543-es.

[1] OCDE (2017), Recomendación del Consejo de la OCDE sobre Integridad Pública, http://www.oecd.org/gov/ethics/recomendacion-sobre-integridad-es.pdf.

[6] OECD (2013), “OECD Integrity Review of Italy: Strengthening integrity in the Italian public sector”, in OECD Public Governance Reviews, Organisation for Economic Cooperation and Development (OECD), https://doi.org/10.1787/9789264193819-4-en.

[4] OECD Working Party of Senior Budget Officials (2015), “Budget reform before and after the global financial crisis, 36th Annual OECD Senior Budget Officials Meeting”, http://www.oecd.org/officialdocuments/publicdisplaydocumentpdf/?cote=GOV/PGC/SBO(2015)7&docLanguage=En (consultado el 1 de agosto de 2017).

[12] Office of the Auditor General of British Columbia (2014), Follow-Up Report: Updates on the Implementation Of Recommendations from Recent Reports, http://www.bcauditor.com/sites/default/files/publications/2014/report_19/report/OAGBC%20Follow-up%20Report_FINAL.pdf (consultado el 1 de agosto de 2017).

[11] Treasury Board of Canada Secretariat (2014), Internal Audit, https://www.canada.ca/en/treasury-board-secretariat/corporate/organization/internal-audit.html.

End of the section – Back to iLibrary publication page