La Recomendación sobre Integridad Pública de la OCDE enfatiza la necesidad de implementar un marco de control y gestión de riesgos que salvaguarde la integridad en las entidades del sector público (OCDE, 2017[1]). El modelo de las tres líneas de defensa ayuda en distinguir la existencia de tres grupos dentro de una organización pública para la efectiva gestión del riesgo y el control, asegurando mejor el cumplimiento de los objetivos organizacionales (OCDE, 2019[2]). Así mismo, el modelo colombiano adoptó una cuarta línea, denominada estratégica, atendiendo el marco normativo de control interno que expresamente asigna la responsabilidad por el sistema al representante legal de la entidad. Por tanto, este representante, así como su equipo directivo se constituyen en esa cuarta línea complementaria al esquema común de tres líneas de defensa. Las EFS, en cambio, se pueden entender como una quinta línea de defensa, externa la organización pública, que complementa los sistemas de control interno y aseguran su buen funcionamiento y una gobernanza efectiva (Arndorfer and Minto, 2015[3]). Para esto, una buena articulación entre los sistemas de control interno y externo es clave.

A nivel del control interno, las Unidades de Control Interno (UCI), desempeñan un papel fundamental como asesor, evaluador, integrador y dinamizador del sistema de control interno. Estas funciones están dirigidas a mejorar la cultura organizacional y, por ende, a contribuir con el cumplimiento de los fines del Estado. Es por esto, que el Estudio de la OCDE sobre Integridad Pública de Colombia resaltó los retos en el fortalecimiento de la coordinación entre la Contraloría, DAFP y la Contaduría y en particular la articulación, alineación y armonización de estándares con respecto al control interno (OCDE, 2017[4]).

Es así, como el Acto Legislativo 04 del 2019 y el Decreto 403 del 2020 (Art. 57(c)) estableció un nuevo rol de las UCI para efectos del control preventivo y concomitante. En la CGR, se designó la función de administración del SACI a la Contraloría Delegada para la Participación Ciudadana para propender por una comunicación fluida entre las UCI y las Contraloría Delegadas Generales y Sectoriales, en aras del correcto intercambio de información para el seguimiento en tiempo real de los recursos públicos.

Por su parte, el Sistema de Control Interno (Ley 87 de 1993) se encuentra implementado para el sector público en Colombia bajo el Modelo Estándar de Control Interno (MECI) el cual está compuesto por dos elementos: estructura de control y un esquema de asignación de responsabilidades denominado líneas de defensa (Decreto 1083 de 2015 sobre Sistema Institucional de Coordinación de Control Interno). Bajo el esquema de líneas de defensa, las UCI tienen a su cargo la tercera línea de defensa cuyo ejercicio se fundamenta, en ser “control de controles”. Es decir, en verificar y evaluar si los controles implementados y monitoreados por la Línea Estratégica (Alta Dirección y el CICI), la primera línea de defensa (líderes, responsables de proceso, colaboradores) y la segunda línea de defensa (coordinadores, oficinas de planeación, líderes de ejes) están implementados, se aplican y son efectivos. Por lo tanto, las UCI son solo una parte del sistema del control interno, mas no la totalidad del mismo, entre otras razones porque con base en la independencia y objetividad a las que están obligadas no les está permitido hacer parte de todos los procesos de la entidad.

En las entrevistas conducidas para este estudio, se observó la necesidad de mejorar la coordinación e interrelación de las UCI y la Contraloría. La interacción entre las entidades públicas y la Contraloría, para efectos del control preventivo o concomitante están en una etapa de estructuración y definiciones. Por ejemplo, las entrevistas conducidas indicaron que las administraciones públicas todavía tienen una visión reactiva ante las observaciones de la CGR que se mantiene aún para el tema del control preventivo y concomitante, incluso cuando la ley ha dicho que dichas “advertencias” son de carácter no vinculante y no contienen consecuencias jurídicas. Así mismo, las UCI exprimieron dudas con respecto a que el sistema de advertencias realmente no tenga consecuencias jurídicas. Esto, puede ser consecuencia del rol tradicional que cumple la CGR en su faceta sancionatoria. Además, se confirmó la preocupación por criterios dispares y el alcance del rol de las UCI en el control preventivo, así como las oportunidades de mejora en esta nueva función. A continuación, se resumen las problemáticas identificadas en el marco de este proyecto (Figura 3.1).

En este sentido, las preocupaciones de las UCI sobre la aplicación del control preventivo y concomitante se pueden resumir en tres frentes de mejora.

• Mejorar la articulación de la CGR con el control interno, incluyendo procedimientos y enlaces para hacer pedidos de información.

• Fortalecer el rol de las UCI en la identificación y tratamiento de riesgos de integridad, más allá de la identificación y traslado de posibles casos de corrupción.

• Fortalecer la UCI en su integralidad, asignando los recursos y apoyo necesarios para el cumplimento de sus funciones, incluyendo a nivel territorial.

Una de las principales preocupaciones identificadas por las UCI esta sin duda relacionada con su interacción con la CGR, así como el uso y fin de la información que producen. En particular, se observaron preocupaciones relacionadas con los pedidos de información, los tiempos y los procedimientos aplicables para cada proceso (alerta o advertencia). Así mismo, un aspecto fundamental resaltada de manera unánime, fue la visión de la CGR como una especie de “caja negra”, a dónde se manda información, pero no se recibe retroalimentación sobre su uso o utilidad. Para ello, los actores entrevistados consideraron necesario establecer canales de comunicación informales (como reuniones de retroalimentación), así como generar enlaces claros para la solicitud de información a las UCI.

Esta interacción podrá amplificar aspectos positivos relatados durante la misión virtual de levantamiento de información, que, entre otras, mostró cambios significativos institucionales. En particular, las UCI sienten que aun cuando quedan aspectos por afinar, ha habido un importante cambio cultural por parte de los funcionarios de la CGR. Prueba de ello, fueron las referencias a pasar de una “asustaduría” a una entidad más amigable, que se sabe apalancar en las UCI, con un marco jurídico fortalecido y con herramientas más modernas de trabajo. En entrevistas conducidas para este estudio, las UCI expresaron la imperativa necesidad de potencializar este punto, puesto que no solo los aspectos técnicos e instrumentales son clave para lograr la interacción, sino los cambios actitudinales que se han venido percibiendo por parte de los auditores de la CGR.

Estos esfuerzos deben ser complementados con una mejor articulación con el control interno. Por ejemplo, los artículos 57 y 61 del Decreto 403 de 2020 mencionan la articulación con el control interno, pero continúan pendientes las directrices de la CGR sobre cómo sería esta articulación, incluyendo todos los niveles del sistema de control, como lo son representantes legales, administradores y el Comité de Coordinación de Control Interno (CICI). Como se explica más adelante, la modificación de la Resolución 49 de 2019 podría ser una oportunidad para implementar algunas de estas recomendaciones y afinar aspectos procedimentales de esta interacción, incluyendo identificar otros mecanismos de articulación y encontrar los límites y puntos comunes de cada uno de los controles.

En un segundo lugar, las UCI muestran preocupación en el entendimiento de su rol por parte de la CGR y en relación al control concomitante y preventivo. En particular, su rol en la detección de casos de corrupción o su rol en el proceso de control interno, que como ya se explicó es limitado a la tercera línea de defensa y no al aseguramiento de todo el sistema.

En este sentido, es necesario considerar varios puntos:

• Las UCI ejercen sus roles y funciones de acuerdo a su Plan Anual de Auditoría y sobre temas priorizados con enfoque en riesgos.

• La auditoría interna se soporta en muestras y está orientada a evaluar procesos, no siendo procedente ni posible evaluar el universo de contratos, proyectos o programas, ni participar o intervenir en la actividad institucional.

• La asesoría que puede brindar la UCI, según sus competencias, se adelanta fundamentalmente en materia de riesgos, controles y formulación de recomendaciones.

• Las UCI evalúan el proceso de contratación confirmando que éste cuente con controles a lo largo de todas sus etapas y que dichos controles estén presentes en cualquier proceso de selección. Para ello en el marco de una auditoría se seleccionan “muestras” sobre procesos de selección de diversas modalidades y en relación con diferentes etapas. Esto se da como insumo para la toma de acciones por parte de la administración.

Es por ello, que las UCI no pueden verificar todo lo que ocurre en los contratos ni podrán alertar sobre todas las situaciones que se lleguen a presentar. Más aun, y como se resaltó en el Estudio de la OCDE sobre Integridad Pública en Colombia (OCDE, 2017[5]), no es su rol identificar casos de corrupción específicos (Recuadro 3.1). En este sentido, la Contraloría podría considerar fortalecer y darle una perspectiva más clara a la función de “alertas” para que no se confunda con la “advertencia” pública del Contralor General, dejando claro que las “alertas” y lo que propende el SACI, está más alineado a la función de las UCI, que incluye la identificación de riesgos que pongan en juego la obtención de los fines del Estado y que puedan generar pérdida de recursos públicos, más que la identificación de casos de corrupción. Así mismo, las UCI tendrían la potencialidad de jugar un papel más proactivo al dar insumos o incluso apoyar en la evaluación de riesgos en lo que respecta al control preventivo.

El fortalecimiento de las UCI, en particular en términos de recursos y capacidad humana, no es nuevo en Colombia. Ya el Estudio de la OCDE sobre Integridad Pública en Colombia habría alertado sobre la necesidad imperiosa de asignar los recursos humanos, financieros y tecnológicos necesarios para su buen funcionamiento, así como propiciar las condiciones para el desarrollo de su función de manera independiente (OCDE, 2017[4]). Esta situación tiende a recrudecerse aún más a nivel territorial, en donde las UCI no cuentan con el personal o el acceso a tecnología suficiente para el cumplimiento de sus labores. En este sentido, la situación parece no haber evolucionado demasiado desde el informe producido por la OECD en 2017. Esto se hizo aún más evidente durante las entrevistas realizadas para este estudio, en donde las UCI (a nivel nacional y territorial) expresaron que aun cuando saben y conocen su obligación y compromiso para aportar en la prevención de la pérdida de recursos públicos, dicha tarea debe desarrollarse en cumplimiento y ejercicio de sus funciones y competencias (que no son identificar casos de corrupción puntuales) así como considerando las capacidades técnicas y humanas de dichas unidades.

A la limitada asignación de recursos se suma la falta de independencia para el ejercicio de sus funciones, la alta rotación de jefes y equipos de UCI, así como el exceso de funciones y normatividad asignando a esta unidad. Esta situación no permite que se afiance una gestión de control o que permeé de manera correcta en las diferentes dependencias de una entidad.

Para superar algunos de estos desafíos, el Estudio de la OCDE sobre Integridad Pública en Colombia había propuesto, por ejemplo, que el DAFP explorara los beneficios de poner a prueba un modelo de servicios de auditoría compartidos en un sector de políticas específico, por ejemplo, en el sector de la salud o para los gobiernos locales, especialmente como una estrategia para fortalecer el control interno en las áreas locales que se han visto afectadas por el conflicto y como fuese requerido por el Acuerdo de Paz (OCDE, 2017[4]). Sin duda alguna, esta recomendación podría ser retomada en el marco de las nuevas funciones de control preventivo y concomitante, así como en el proceso de unificación y estandarización de la vigilancia y control de la gestión fiscal en Colombia, implementando por ejemplo pilotos iniciales en el nivel territorial dónde las UCI cuentan con recursos limitados para el cumplimiento de sus funciones.

Como ya se mencionó, la Contraloría Delegada para la Participación Ciudadana (DPC) cumple un rol fundamental de administrar el SACI y obra como dependencia que se relaciona con Función Pública. Según la DPC, la relación con las UCI está determinada en dos espacios. Por una parte, a través del Control Fiscal Participativo (CFP), siendo este un servicio diseñado para la ciudadanía, para que puedan ejercer el derecho a vigilar la gestión pública, y en donde las UCI desempeñan un rol de acompañamiento. En estos espacios de diálogo institucional y social se invita a entidades públicas, unidades de control interno, contratistas y la ciudadanía para que examinen una problemática relacionada con la ejecución de proyectos de interés nacional, regional o local. En estos espacios, las entidades identifican riesgos inminentes o materializados en el desarrollo del proyecto, en procura de su solución y pronta culminación, mediante la generación y seguimiento de acuerdos de gestión. Estos acuerdos finalizan cuando el bien o servicio es culminado o cuando se retoma la ejecución del proyecto.

De otra parte, a partir de la expedición del Decreto 403 de 2020 y de la Resolución 762 de 2020, la Contraloría Delegada para la Participación Ciudadana es también la encargada de administrar el SACI, entendido como un mecanismo de comunicación con las UCI para el seguimiento permanente del ejercicio del control preventivo y concomitante. Sin duda alguna, la creación del SACI contribuirá de manera importante al intercambio de información entre las UCI y la CGR.

Esta interacción constante entre la CGR y las UCI ha sido fundamental en el desarrollo del control preventivo y concomitante, pero algunos retos permanecen. Por una parte, las UCI señalan desgaste entre los reportes a los múltiples sistemas y plataformas en donde se deben hacer registros, como lo es el sistema para reportar hechos de corrupción a cargo de la Secretaría de Transparencia de la Presidencia de la República. He ahí la importancia y relevancia de la creación del SACI como oportunidad para que la CGR aporte en la coordinación y unificación de sistemas de reporte.

Desde la CGR también se señalan retos y oportunidades. Entre ellas, se destacan la dificultad encontrada en la participación de las UCI en las convocatorias que realiza la CGR para efectos del Control Fiscal Participativo, pues su visión está centrada en que la interacción con la ciudadanía debe estar siempre mediada por el Sistema de Servicio al Ciudadano que la entidad en cuestión haya implementado. Por otro lado, no existe retroalimentación por parte de las UCI sobre los comentarios realizados por los ciudadanos o si las UCI hacen seguimiento a las acciones implementadas por las entidades posterior a los procesos rendición de cuentas.

Así mismo, las entrevistas conducidas para este estudio denotaron una necesidad de apalancar el rol la Delegada para la Participación Ciudadana y proveerle un rol más protagónico en relación al empoderamiento de la ciudadanía, que faciliten que la CGR y las UCI incorporen un enfoque ciudadano en sus labores. Para efectos de consolidar estas actuaciones, la Contraloría se encuentra desarrollando la modificación de la Resolución 49 de 2019 para adaptar y fortalecer el Sistema de Control Fiscal Participativo.

Independiente de dicha reforma, la CGR también podría considerar adelantar las siguientes acciones, de la manera que mejor lo estime, para clarificar y dar alcance al control preventivo o concomitante y su relación con las UCI y con la ciudadanía:

• Fortalecer y dar una perspectiva más clara a las alertas tempranas para que no se confunda con la advertencia pública del Contralor General.

• Aclarar el rol de las UCI en relación a identificar alertas tempranas para el control preventivo y concomitante, tomando en consideración los límites de su rol y funciones, en particular, los aportes en la identificación de hechos puntuales de corrupción.

• Incorporar la información producida por las “alertas” o “advertencias” como un elemento adicional para la planeación de auditorías internas, en particular a través de la retroalimentación a las UCI. Esto permitirá una mejor toma de decisiones en la identificación de los procesos y de las unidades auditables dentro de las entidades, así como mejorar la interacción entre las partes. Para estos efectos, aun cuando es claro que la CGR no debe retroalimentar a las UCI en documentos de trabajo interno (pues gozan de reserva), si puede dar retroalimentación a las UCI sobre la información remitida por ellos y a un análisis de los riesgos focalizados en base a esta última.

• Crear canales de comunicación adecuados con UCI con el fin de afinar los mecanismos de cooperación, de manera tal que los pedidos de información a las UCI se racionalicen y se evite el pedido de los mismos documentos por parte de múltiples dependencias de la CGR. Esto se podría lograr, por ejemplo, a través de un fortalecimiento del Modelo Integrado de Planeación y Gestión (MIPG) y del MECI frente a la identificación de riesgo fiscal, en específico, así como a través de lineamientos claros sobre la gestión del riesgo con enfoque en fraude y corrupción.

• Generar procesos de empoderamiento de la ciudadanía y establecer con mayor claridad su rol en el control preventivo y concomitante. La CGR debe considerar a la ciudadanía no solamente como fuente de información de casos puntuales sino a quien se le rindan cuentas sobre el uso y resultados del control preventivo y concomitante. Esto implicaría un cambio cultural en el que la CGR no sea vista como una “caja negra” en donde solo entre información por parte de la ciudadana, sino una “caja de cristal” en donde todos los procesos y procedimientos asociados al control preventivo y concomitante se le pueda hacer seguimiento, respetando la debida reserva de algunos de los procesos o información. En este sentido, se podrían hacer más visibles ciertas acciones tomadas para la generación de alertas, los procesos y organigramas asociados al control preventivo, así como los indicadores mencionados en el Capítulo 1, relacionados con la mejora de procesos de las entidades públicas.

• La Delegada de Participación Ciudadana podría promover acuerdos de colaboración entre organizaciones sociales, incluidas universidades, y la CGR para colaborar en iniciativas de tecnología ciudadana y empoderar a la ciudadanía como socio en la promoción de datos abiertos.

• La Delegada de Participación Ciudadana podría, con base en alertas emitidas, elaborar mapas de riesgo puestos a disposición de la ciudadana y que permitan su retroalimentación, incluyendo sobre cómo hacer uso de estas herramientas e información.

• Articular los sistemas de información con que cuente la CGR, para que se identifiquen los riesgos materializados y que deben ser conocidos por todas las entidades y organismos públicos con el fin de que sirvan de ejemplo para revisar los mapas de riesgos, actualizarlos y fortalecer los controles. Dicha información podría tener un filtro, en el cual no se afecte la reserva de la investigación en curso, pero que si sirva de alerta y prevención para evitar el daño y afectación de los recursos públicos en otras entidades.

• Conducir procesos de retroalimentación a las UCI sobre la calidad de la información allegada y producida por ellas.

• La Auditoría General de la República puede ser invitada a formar parte de las acciones del fortalecimiento de los dos controles y en particular, hacer uso de la información que produce a través del sistema de “banderas rojas”.

Por último, se hace urgente la implementación del SACI, pues contribuirá de manera importante al intercambio de información entre las UCI y la CGR. Para tal fin, la Contraloría y el DAFP han venido trabajando en la expedición de una circular conjunta, dirigida a los jefes de control interno, o quienes hagan sus veces en las entidades de cualquier nivel que ejecutan recursos del orden nacional, en la cual se establecen las directrices para la implementación de los mecanismos de articulación del control fiscal externo con el control fiscal interno de las entidades a través del SACI. La CGR ha avanzado en esta tarea, puesto que para la expedición de la mencionada circular, se han realizado múltiples mesas de trabajo entre los equipos de la Contraloría y DAFP, buscando clarificar y definir el alcance que debe tener el SACI frente a las entidades públicas que por regla general no son sujetos de control por parte de la Contraloría, discutiendo si el SACI debe entrar plenamente en funcionamiento o si es necesaria la implementación de pruebas piloto para poder evidenciar puntos de mejora y ajuste.

[3] Arndorfer, I. and A. Minto (2015), “The “four lines of defence model” for financial institutions: Taking the three-lines-of-defence model further to reflect specific governance features of regulated financial institutions Isabella Arndorfer Bank for International Settlements”, http://www.bis.org (accessed on 27 September 2021).

[2] OCDE (2019), La Integridad Pública en América Latina y el Caribe 2018-2019: De Gobiernos reactivos a Estados proactivos, OECD, Paris, https://www.oecd.org/gov/integridad/integridad-publica-en-america-latina-caribe-2018-2019.htm.

[5] OCDE (2017), Estudio de la OCDE sobre integridad en Colombia: Invirtiendo en integridad pública para afianzar la paz y el desarrollo, OECD Publishing, Paris, https://doi.org/10.1787/9789264278646-es.

[4] OCDE (2017), Estudio de la OCDE sobre integridad en Colombia: Invirtiendo en integridad pública para afianzar la paz y el desarrollo, Estudios de la OCDE sobre Gobernanza Pública, OECD Publishing, Paris, https://dx.doi.org/10.1787/9789264278646-es.

[1] OCDE (2017), Recomendación de la OCDE sobre Integridad Pública, OECD, Paris, http://www.oecd.org/gov/ethics/recomendacion-sobre-integridad-es.pdf.