En este capítulo se evalúan los marcos de control interno y gestión de riesgos de la Ciudad de México, y se proponen legislaciones de control interno en comparación con modelos internacionales y de mejores prácticas. Asimismo, se brinda un panorama de los puntos fuertes y débiles de los sistemas de control interno y gestión de riesgos de la Ciudad de México, y de cómo pueden reforzarse para ajustarlos a las buenas prácticas de países miembros de la OCDE en las áreas reflejadas en la Recomendación del Consejo de la OCDE sobre Integridad Pública, publicada en 2017.
Estudio de la OCDE sobre Integridad en la Ciudad de México
Capítulo 6. Mejorar el control interno y la gestión de riesgos en la Ciudad de México
Abstract
6.1. Introducción
Contar con sistemas eficaces de control interno y de gestión de riesgos es esencial para que las instituciones del sector público salvaguarden su integridad, permitan una asignación eficiente de responsabilidades y prevengan la corrupción. Es recomendable que este marco tenga medidas de control interno, gestión de riesgos y auditoría interna. La Recomendación del Consejo de la OCDE sobre Integridad Pública 2017 promueve el establecimiento de un modelo de control interno y de gestión de riesgos que abarque lo siguiente:
un entorno de control con objetivos claros que demuestren el compromiso de la gestión con la integridad y los valores del servicio público, y que otorgue un nivel razonable de confianza en la eficiencia y el desempeño de una organización, así como en su cumplimiento de leyes y prácticas;
un enfoque estratégico a la gestión de riesgos que implique evaluar los riesgos para la integridad pública, resolver deficiencias relativas al control, y desarrollar un mecanismo eficiente de monitoreo y control de calidad para el sistema de gestión de riesgos, y
mecanismos de control coherentes y que cuenten con procedimientos claros para responder ante sospechas creíbles de violaciones a leyes y regulaciones, y que faciliten presentar denuncias a las autoridades competentes sin temor a represalias (OCDE, 2017[1]).
Un marco eficaz de control interno y gestión de riesgos incluye políticas públicas, estructuras, procedimientos y procesos que permitan a una organización identificar y responder adecuadamente a los riesgos.
La Ciudad de México enfrenta un considerable número de retos en las áreas de control interno y gestión de riesgos, entre ellos los siguientes: el entorno carece de una legislación integral de control interno en vigor (aunque hace poco se adoptó un proyecto de ley en el paquete de leyes secundarias); directrices limitadas u obsoletas para el personal para instaurar medidas de control interno; un marco operativo con áreas de responsabilidad desdibujadas, en el que los auditores asumen la responsabilidad del control interno cuando quienes deberían estar a cargo son los altos mandos; la ausencia de un marco sistemático de gestión de riesgos; una cultura en la que no se promueve o apoya con fuerza la integridad, porque los funcionarios públicos no ponen en operación las iniciativas que han lanzado; medidas de control interno débiles, y un sistema de auditoría interna en el que podría fortalecerse la independencia de la Contraloría General y los procesos de planificación y seguimiento de las recomendaciones de auditoría.
Al igual que la Ley Orgánica de la Administración Pública Federal, que forma parte del Sistema Nacional Anticorrupción, el proyecto de ley de la Ciudad de México contiene información sobre control interno, auditoría y transparencia. El Artículo 3 del proyecto de ley establece que las funciones de auditoría, control interno y otras intervenciones se ejercerán conforme a los principios de ética, austeridad, moderación, honestidad, eficiencia, eficacia, economía, racionalidad, transparencia, apertura, rendición de cuentas y participación ciudadana, y se ejecutarán de acuerdo con los lineamientos establecidos para ese propósito. Sería benéfico garantizar que los lineamientos respectivos se apeguen a la ley federal y las mejores prácticas internacionales en cuanto a las actividades de control interno y auditoría, como las tres líneas del modelo de defensa (descrito en la siguiente sección).
6.2. Establecer un marco eficaz de control interno en la Ciudad de México
6.2.1. La Ciudad de México podría elaborar una estrategia de comunicación y desarrollo de capacidades para dar a conocer los nuevos lineamientos de control interno, auditoría y de las intervenciones en la administración pública.
La Ciudad de México puso en marcha su propio sistema anticorrupción por medio del Decreto por el que se reforman y adicionan diversas disposiciones de la Ley Orgánica de la Administración Pública del Distrito Federal, publicado en la Gaceta Oficial de la Ciudad de México el 1 de septiembre de 2017, la cual otorga una función destacada a la Contraloría General para dirigir el control interno y fiscalización como parte de la implementación del sistema anticorrupción. Algunos funcionarios indicaron que ya se han obtenido resultados positivos a partir del sistema de control interno; se han recuperado activos y fondos que el gobierno emplea para programas específicos.
El marco operativo de control interno de la Ciudad de México está regulado por los artículos 105, 106, 108 y 110 a 113 del Reglamento Interior de la Administración Pública del Distrito Federal, e incluye mecanismos de control vertical y horizontal. El reglamento interior estipula que los auditores de la Contraloría General de la Ciudad de México estarán adjuntos a las entidades de la Ciudad de México. Únicamente 28 de las 45 entidades gubernamentales cuentan con unidades de control interno, y solo la mitad de estas unidades tiene una división de quejas que audita, resuelve quejas y sustenta procedimientos administrativos o disciplinarios. Las otras 14 unidades internas transfieren sus expedientes a la Dirección General de Asuntos Jurídicos y Responsabilidades si al realizar las auditorías detectan alguna irregularidad administrativa. Las 17 entidades públicas sin unidades de control interno reciben asistencia de la Dirección General de Contralorías Internas en Entidades, a la cual transfieren los casos de responsabilidad administrativa. La Contraloría General de la Ciudad de México emprende y supervisa las auditorías internas de acuerdo con una serie de normas y lineamientos, como se describe en el Apéndice 6.A.
Algunos funcionarios indicaron que en cada dependencia el sistema de control interno se establece por separado. En septiembre de 2017 se emitió el Decreto por el que se expide la Ley de Auditoría y Control Interno de la Administración Pública de la Ciudad de México. Esto asigna responsabilidades relacionadas con control interno, gestión de riesgos, corrupción y fraude a funcionarios específicos del Poder Ejecutivo. La Ley modifica la asignación de responsabilidades. El Título Quinto de la Ley requiere que las entidades gubernamentales de la Ciudad de México adopten un sistema de control interno que incluya planes, métodos, principios, normas, procedimientos y mecanismos de verificación y evaluación del control interno. Los Lineamientos establecidos para el personal para poner en práctica estos nuevos requerimientos legislativos tienen las características de ser claros y sistemáticos. El 8 de enero de 2018 se publicaron en la Gaceta Oficial de la Ciudad de México los Lineamientos de Auditoría, Control Interno y de las Intervenciones de la Administración Pública de la Ciudad de México.
Los Lineamientos de Auditoría tienen por objeto regular las actividades relativas a la planeación y ejecución de las auditorías internas, los plazos, procedimientos y formas que deben observarse en la práctica. Son de cumplimiento obligatorio para la Secretaría de la Contraloría General de la Ciudad de México y de sus unidades administrativas en el ejercicio de sus funciones de auditoría interna.
Los Lineamientos de Control Interno regulan las actividades para la implementación y aplicación del control interno. Asimismo, establecen las funciones, actividades y las operaciones así como las técnicas y métodos que deben observarse en la implementación del control interno dentro de la Secretaría de la Contraloría General de la Ciudad de México y sus unidades administrativas, así como en las delegaciones o alcaldías, dependencias, entidades paraestatales y órganos desconcentrados de la administración pública.
Los Lineamientos de las intervenciones de la administración pública de la Ciudad de México se refieren a las visitas, inspecciones, asesorías y demás actividades solicitadas por la Contraloría General o sus unidades administrativas para revisiones, verificaciones y operativos especiales.
6.3. Adoptar el modelo de las Tres Líneas de Defensa
6.3.1. La Ciudad de México podría aplicar los principios del modelo de las Tres Líneas de Defensa para perfeccionar su marco de control interno.
Los modelos de gestión de riesgo de fraude y corrupción más empleados por los países miembros de la OCDE y países asociados destacan que la principal responsabilidad de prevenir y detectar actos de corrupción corresponde al personal y la dirección de las entidades públicas. Muchas veces, estos modelos de gestión de riesgos de corrupción presentan similitudes con el modelo de las Tres Líneas de Defensa del Instituto de Auditores Internos (IIA) (Gráfica 6.1).
La primera línea de defensa es de gestión operativa y del personal. Los funcionarios operativos funcionan de forma natural como primera línea de defensa porque son los responsables de mantener controles internos y de ejecutar procedimientos de control y riesgos todos los días. La gestión operativa identifica, evalúa, controla y mitiga riesgos, encabezando el desarrollo de políticas internas y procedimientos, garantizando a la vez que las actividades concuerden con las metas y los objetivos planteados.
Los altos mandos son responsables directos de la gestión de riesgos y la aplicación de controles internos, pero todos los funcionarios de una organización pública —desde el mando más alto hasta el de menor rango— intervienen en la identificación de riesgos y deficiencias, y se aseguran de que los controles internos aborden y mitiguen estos riesgos. Es recomendable exhortar a todos los miembros del equipo a colaborar en el desarrollo de mejores sistemas y procedimientos que mejoren la integridad de la organización y contribuyan a combatir la corrupción.
La segunda línea de defensa es el siguiente nivel de gestión: los funcionarios responsables de supervisar resultados. Ellos son responsables de establecer un sistema de gestión de riesgos, además de supervisar, identificar riesgos emergentes y presentar informes periódicos a los directivos. La tercera línea de defensa es la función de auditoría interna. Su cometido principal es ofrecer a los directivos un aseguramiento objetivo e independiente por encima de las disposiciones de la primera y la segunda líneas de defensa (IIA, 2013[2]).
La auditoría externa y otros reguladores externos proporcionan niveles adicionales de defensa. Si bien no forman parte del modelo de las Tres Líneas de Defensa de manera oficial, son elementos esenciales del marco general de rendición de cuentas y anticorrupción del sector público.
La Ciudad de México incluye elementos del modelo de las Tres Líneas de Defensa en su normativa, pero las responsabilidades se empalman y las líneas de defensa se desdibujan. Por ejemplo, la Contraloría General es responsable de implantar controles internos, así como de realizar y examinar informes de auditoría interna. Esto desdibuja las líneas de defensa, pues no habría que requerir que los auditores revisaran controles internos que ellos mismos implementaron; tal situación representaría un conflicto. Sería recomendable que la Ciudad de México considere aplicar los principios del modelo de las Tres Líneas de Defensa al perfeccionar sus mecanismos de control interno. Esto garantizaría que las responsabilidades se separaran y que los directivos se ocuparan más de la aplicación diaria de controles internos y gestión de riesgo. La evolución del sistema de control interno francés, que se centra en la responsabilidad administrativa, puede ayudar a comprender mejor el tema, como se ilustra en el Recuadro 6.1.
Recuadro 6.1. Sistema francés de control interno: elementos básicos
En 2006, la entrada en vigor de la Ley Orgánica relativa a las Leyes Financieras (La loi organique relative aux lois de finances) del 1 de agosto de 2001 proporcionó la oportunidad de repensar la administración del gasto público en Francia. Se acompañó de un cambio del papel de los principales actores involucrados en el control y administración de las finanzas públicas del Estado.
Una gestión de la política pública basada en objetivos, un presupuesto orientado a resultados, un nuevo sistema de responsabilidad, un sistema de rendición de cuentas fortalecido y un nuevo sistema de contabilidad constituyen los factores clave de la reforma puesta en marcha en la administración pública francesa.
El decreto del 28 de julio de 2011, relativo a auditorías internas en la administración, es la culminación de una iniciativa para controlar los riesgos relacionados con la gestión de políticas públicas bajo responsabilidad de los ministerios. Esta reforma permitió extender el alcance del control interno a todas las "profesiones" y funciones dentro de los departamentos ministeriales y ayudó a establecer una política de auditoría interna eficaz en la administración gubernamental.
Gobernanza eficaz de la administración pública
El sistema francés se centra en la responsabilidad de la gestión. El administrador de programa es el vínculo central de la administración pública, y ayuda a integrar la responsabilidad política, depositada en el ministro, y la responsabilidad administrativa, depositada en el administrador de programa. Con la autoridad del ministro, los administradores del programa participan en la elaboración de los objetivos estratégicos del programa a su cargo: garantizan la implementación operativa y se hacen cargo de cumplir con los objetivos pertinentes. El ministro y el administrador del programa adquieren el compromiso de alcanzar los objetivos e indicadores especificados en los Planes Anuales de Desempeño (APP). Estos objetivos nacionales se adaptan, de ser necesario, para cada servicio gubernamental. El administrador de programa delega la gestión de este al establecer los presupuestos operativos respectivos con la autoridad de los administradores nombrados para ello.
Fuente: (OCDE, 2015[3]), “Budget reform before and after the global financial crisis,” 36th Annual OECD Senior Budget Officials Meeting, http://www.oecd.org/officialdocuments/publicdisplaydocumentpdf/?cote=GOV/PGC/SBO(2015)7&docLanguage=En;
(European Commission, 2014[4]), Compendium of the Public Internal Control Systems in the EU Member States (2nd ed), http://ec.europa.eu/budget/pic/lib/book/compendium/HTML/index.html (consultado el 9 de mayo de 2017).
6.4. Establecer medidas de control interno
Las medidas de control interno consisten en verificaciones y balances que son responsabilidad de la administración y que el personal realiza a diario. Los controles internos incluyen una amplia gama de procesos y comprobaciones para garantizar que los empleados y los directivos realicen sus tareas dentro de los parámetros establecidos por la entidad gubernamental. El objetivo general del control interno es que las reglas y los valores internos de la organización se pongan en práctica de acuerdo con la visión de los altos mandos y que se cumplan los objetivos estratégicos de la organización.
La nueva ley de la Ciudad de México en materia de auditoría y control interno —emitida en septiembre de 2017— describe (Artículo 29) el control interno como “el proceso de verificación y evaluación con enfoque preventivo y de acuerdo con las normas aplicables vigentes, implementadas para garantizar la correcta administración y el gobierno abierto en las entidades gubernamentales de la administración pública de la Ciudad de México, respecto de las actividades, operaciones, actuaciones, programas, planes, proyectos, metas, actividades institucionales, aplicación de recursos humanos, materiales, financieros e informáticos, al igual que la administración de la información”. Estipula que el control interno constará de cinco etapas: planeación, programación, comprobación, resultados y conclusiones. Lo anterior podría aclararse mejor para procurar que el sistema de control incluya controles diarios y tangibles que prevengan y detecten posibles conductas fraudulentas. Los controles podrían mencionar, por ejemplo, procedimientos de aprobación y autorización, límites de gastos, asignación de tareas, conciliaciones, contraseñas del sistema, y monitoreo y revisión continuos.
6.4.1. La Ciudad de México podría crear un sistema de rendición de cuentas para garantizar que los manuales de procedimientos sean congruentes, se actualicen con regularidad y contengan procedimientos eficientes.
En la Ciudad de México cada secretaría, delegación y entidad gubernamental tiene su propio manual de procedimientos, los cuales son aprobados por los directivos y se registran ante la administración pública del Distrito Federal (Mexico City, 2014[5]). La Coordinación General de Modernización Administrativa (CGMA) asesora en la preparación de los manuales y es responsable de determinar si cumplen con los requisitos básicos, aunque no supervisa su puesta en práctica (o actualización periódica). Los manuales deben redactarse en apego a la Guía Técnica para la Elaboración de Manuales del Gobierno del Distrito Federal, la cual orienta en términos de contenido y formato.
La dirección no supervisa la implementación de los manuales. Por tanto, dicho proceso carece de supervisión, excepto cuando hay una auditoría de por medio. Se comentó que estos manuales se crean más para cumplir con un requisito (y para “proteger” a la entidad gubernamental si hubiera hallazgos negativos en el caso de una auditoría) que para servir como una guía práctica para los servidores públicos.
Algunos funcionarios informaron que estos manuales de procedimientos son una forma de control, en el sentido de que describen procedimientos que se espera estandarizar para procesos clave. Aun así, indicaron que los manuales resultan complicados, contienen irregularidades y pueden restar eficiencia a los procesos. No se basan en la visión estratégica de la entidad gubernamental ni describen qué tendría que hacerse y por qué. Además, no contienen procedimientos para realizar procesos de evaluación de riesgo o para emprender actividades de control interno. En consecuencia, no suele recurrirse a ellos como referencia para tomar decisiones clave. Es recomendable que la Ciudad de México considere generar un sistema que garantice que estos manuales sean coherentes, se actualicen con regularidad y contengan procedimientos eficientes.
6.5. Perfeccionar la función de las Unidades de Control Interno y fortalecer la independencia de la Contraloría General
6.5.1. Convendría a la Ciudad de México separar con claridad las líneas de defensa al asignar a los altos mandos —no a los auditores internos— la responsabilidad de implantar la gestión de riesgos, al igual que el diseño y la puesta en operación de controles internos.
Las auditorías internas (la tercera línea de defensa) funcionan como control clave para detectar los actos de corrupción, pero su propósito principal es garantizar objetivamente que la gestión de riesgos y el control interno (primera y segunda líneas de defensa) funcionen correctamente. Un departamento de auditoría interna eficaz también garantiza la identificación de deficiencias de control interno y su comunicación en forma oportuna a los responsables. Las auditorías internas son también un ingrediente necesario para una rendición de cuentas eficientes y una mejor gestión. Contribuyen a que los funcionarios rindan cuentas de sus acciones e informen sobre posibles grietas en el desempeño y la gestión. Una respuesta institucional a los hallazgos negativos en una auditoría y a fallas en la integridad puede influir en gran medida en la cultura institucional, en la actitud de los directivos y en la eficacia general del marco de control interno.
Las estructuras de control interno de la Ciudad de México no se apegan estrictamente al modelo de las Tres Líneas de Defensa, pues la Contraloría General de la Ciudad de México es responsable de instaurar controles internos, así como de realizar y examinar informes de las auditorías internas. Además, la Contraloría sostiene reuniones periódicas con las unidades de control interno para revisar los avances en la aplicación del plan de auditoría y otros asuntos específicos bajo su responsabilidad. Esta estructura diluye las distinciones entre las líneas de defensa. Los estándares internacionales sugieren que es preferible que en la primera y la segunda líneas de defensa no haya auditores (que constituyen la tercera línea).
Por lo común, hay una clara separación entre las funciones de auditoría interna (la tercera línea de defensa) y la segunda línea de defensa, la cual consiste en funciones de supervisión de gestión para verificar que los controles de la primera línea se diseñen correctamente y operen como se requiere. Cuando los directivos consideran que es más eficiente que los auditores internos también se encarguen de la gestión de riesgos, o de cualquier otra función de la segunda línea de defensa, se dificulta discernir la segunda línea de defensa de la tercera.
En esos casos, para evitar conflictos de intereses institucionales, los organismos públicos deben establecer medidas de seguridad para no poner en peligro la eficacia de las funciones de auditoría interna. Por ejemplo, si el departamento de auditoría interna participa en actividades de la segunda línea de defensa, la tarea de garantizar seguridad a estas áreas específicas debe subcontratarse con proveedores externos o asignarse a otros departamentos. Conviene que el personal de auditoría interna evite asumir responsabilidad administrativa en aspectos sujetos a auditoría. En esos casos, la auditoría interna facilita y apoya a los actores responsables, pero no debe asumir esa tarea como suya.
De igual forma, si los auditores internos detectaran irregularidades que sugieran actividades fraudulentas o de corrupción, el caso deberá remitirse a investigadores calificados para que evalúen la veracidad de estos hallazgos. Una vez más, para evitar conflictos de intereses institucionales y reforzar los marcos de control interno, los auditores no deben ser responsables de encabezar investigaciones internas.
En la Ciudad de México, las auditorías internas por lo general están a cargo de auditores de la Contraloría General, ubicados en las unidades de control interno de las entidades gubernamentales. Aunque la mayoría de las secretarías y delegaciones de la ciudad cuenta con una unidad de este tipo, en el caso de las entidades gubernamentales solo 28 de 45 la tienen. La Contraloría General se ha propuesto enviar, al menos una vez al año, a un equipo de auditoría a las entidades que carecen de una unidad de control interno.
La Contraloría General no audita el desempeño, pero las auditorías internas incluyen una segunda etapa en la que se revisa la eficacia de los controles. Por consiguiente, la eficacia no se evalúa de forma sistemática, sino solo en áreas en las que hay razones para llevar a cabo auditorías tradicionales. En cualquier caso, parece haber confusión en cuanto a los conceptos de auditorías de cumplimiento y las enfocadas a medir la eficacia, pues casi todos los ejemplos aportados por funcionarios de la Ciudad de México pertenecían a la primera categoría más que a la segunda.
Al ser entrevistados, los funcionarios públicos indicaron que los auditores internos en ocasiones son estrictos, carecen de perspectiva y se centran en exceso en la aplicación de los manuales de procedimientos (a menudo obsoletos). También se considera que los auditores carecen de las habilidades sociales requeridas para asesorar a los funcionarios en caso de surgir dilemas éticos y situaciones difíciles. Más aún, el personal piensa que, en caso de solicitar orientación, se les podría someter a una auditoría o incluso se les sancionaría. Algunos entrevistados sugirieron que tal vez otra unidad podría encargarse de ofrecer asesoría ética y capacitación. Este grupo colaboraría con la Unidad de Control Interno, aunque manteniéndose la separación.
6.5.2. Como los lineamientos de la Contraloría General requieren que el programa de auditoría se fundamente en prioridades y en un análisis de riesgos, la Ciudad de México podría diseñar e implementar un enfoque basado en riesgos para seleccionar los aspectos por auditar.
En noviembre de 2011, la Contraloría General publicó directrices para realizar auditorías: los Lineamientos Generales para la Planeación, Preparación y Presentación de Programas de Auditoría de la Contraloría General del Distrito Federal. Estas directrices señalan que una prioridad de la Administración Pública del Distrito Federal es tener una administración pública moderna, tecnológicamente innovadora, con las facultades y recursos necesarios para cubrir las demandas de los ciudadanos con eficiencia, sencillez y sin procedimientos excesivos. Subrayan también objetivos específicos para los auditores internos, entre ellos:
elaborar programas de auditoría basados en un enfoque proactivo que integre los resultados del estudio sobre los objetivos, prioridades y necesidades de la entidad gubernamental, la evaluación y gestión de riesgos, así como los aspectos estratégicos dictados por la Contraloría General;
apoyar a las unidades gubernamentales en la innovación, mejora y modernización administrativas, así como en el desarrollo y la difusión de planes de control interno;
promover el logro de las metas y objetivos institucionales con eficiencia, honestidad y transparencia, y contribuir de manera estratégica a la administración pública de la Ciudad, y
promover programas de capacitación para que los auditores internos adquieran conocimientos actualizados que les apoyen a realizar intervenciones de alta calidad.
Convendría vincular los planes de auditoría a los objetivos de los organismos y que los realicen las unidades de control interno de cada secretaría o delegación. Los funcionarios indicaron que la mayoría de las auditorías internas se emprende por iniciativa de la ciudadanía más que mediante un sistema de planificación basado en riesgos. Sin embargo, sí hacen uso de cuatro criterios para asignar prioridad a los procesos de auditoría: importancia, presencia, monto del financiamiento y pertinencia. El análisis de riesgos y la priorización son fundamentales en el proceso de planificación de las auditorías internas, para asegurarse de que los recursos se destinen a las áreas de mayor necesidad y garantizar el mayor impacto posible.
La nueva Ley de Auditoría y Control Interno de la Ciudad de México de 2017 contiene más directrices para la planificación de auditorías. Sostiene (Artículo 22) que la etapa de planificación considerará, entre otras cosas, la importancia y el riesgo de las operaciones del organismo público auditado. También estipula (Artículo 8) que las auditorías podrán realizarse en cualquier momento determinado por la Contraloría General o su unidad administrativa, independientemente de las realizadas conforme al programa anual de auditorías. Es conveniente dar a los auditores esta independencia para ajustar su plan de auditorías, pues esto permite auditar oportunamente en los casos en que se presenten problemas o retos.
La Ciudad de México podría considerar el enfoque adoptado por la Auditoría Superior de la Federación (ASF). La agilidad operativa y estratégica de la ASF, incluso su capacidad para gestionar un alto volumen de auditorías, descansa en parte en la eficacia de su programación, el llamado Programa Anual de Auditorías para la Fiscalización Superior de la Cuenta Pública (PAAF). El PAAF es el marco metodológico de la Auditoría Superior de la Federación para identificar las auditorías que llevará a cabo a lo largo de un año. El programa de auditorías de la PAAF toma en cuenta diversos factores, como la autonomía técnica y administrativa de la ASF, la relativa importancia de las entidades auditadas, la variación en las cantidades asignadas respecto de la cuenta pública previa, su historial de auditorías, y quejas o solicitudes de la Cámara de Diputados. También incluye considerar los recursos disponibles, los tipos de auditorías por realizar y la experiencia del personal (OCDE, 2017[6]).
Las unidades individuales de auditoría de la ASF proponen la inclusión de auditorías o estudios en el proceso de programación. Las unidades disponen de cierta flexibilidad para definir su metodología de programación según la naturaleza de sus obligaciones, pero deben cumplir con lo dispuesto por el marco metodológico general. El PAAF incorpora una evaluación de riesgos para identificar y seleccionar prioridades en materia de auditoría, el cual incluye metodologías cuantitativas y cualitativas para calificar riesgos con base en 16 factores, así como la realización de comparaciones basadas en riesgos para asignar prioridades al trabajo por hacer. La programación eficaz de auditorías basadas en riesgos es un enfoque útil para que las instituciones auditoras dirijan los recursos correspondientes a las áreas que consideran esenciales, a partir de un conjunto predeterminado de criterios. La programación de auditorías basadas en riesgos contribuiría no solo al uso económico de recursos, sino también a la priorización basada en evidencias de los objetivos de política y el uso eficaz de los ingresos fiscales (OCDE, 2017[7]), p. 32.
6.5.3. La Ciudad de México podría fortalecer los mecanismos para que las unidades de control interno monitoreen la implementación de recomendaciones de las auditorías.
Algunos auditores internos indicaron que no hay mecanismos de seguimiento para la aplicación de recomendaciones o para evitar que se repitan las experiencias negativas. Los auditores también manifestaron que en ocasiones se presentaron problemas con entidades gubernamentales que pretendían interferir con los resultados de las auditorías. Las recomendaciones de la Auditoría solo son eficaces si se ponen en práctica. Las Instituciones Supremas de Auditoría (ISA) de otros países de la OCDE cuentan con métodos para dar seguimiento a las recomendaciones. Por ejemplo, la Oficina Nacional de Auditorías de Australia (ANAO) lleva a cabo cada año una selección de auditorías de seguimiento de desempeño de años previos para evaluar el acatamiento por parte de las entidades gubernamentales de las recomendaciones planteadas en auditorías de desempeño de años anteriores. Las entidades gubernamentales australianas también tienen Comités de Auditoría que se reúnen periódicamente, entre otras cosas, para supervisar la ejecución de recomendaciones, y la ANAO puede asistir a ellas como observador y/o solicitar las minutas de la reunión.
En Canadá, la Auditoría General de la Columbia Británica, oficina fiscal subnacional, publicó informes de seguimiento basados en las autoevaluaciones de entidades gubernamentales auditadas; asimismo, llevó a cabo auditorías de seguimiento para un número reducido de ellas (Recuadro 6.2). La Ciudad de México podría fortalecer los procesos para que permitan dar seguimiento a las recomendaciones, por ejemplo, con una selección de auditorías de seguimiento o mediante la organización de autoevaluaciones anuales.
Recuadro 6.2. Auditoría General de la Columbia Británica. Dar seguimiento a recomendaciones de auditorías
La Auditoría General de la Columbia Británica (OAG, por sus siglas en inglés) publicó en junio de 2014 el reporte Follow-Up Report: Updates on the Implementation of Recommendations from Recent Reports. De acuerdo con el entonces Auditor General de la Columbia Británica, era indispensable que la OAG diera seguimiento a las recomendaciones para comprobar que la ciudadanía obtuviera el valor total del dinero invertido en el trabajo de la OAG, pues las recomendaciones identifican áreas en las que las entidades gubernamentales pueden ser más eficaces y eficientes.
La OAG publicó después un informe de seguimiento que incluía formatos de autoevaluación completados por las entidades gubernamentales auditadas. Estas formas se publicaron sin editar y no se auditaron. El informe de junio de 2014 contenía 18 autoevaluaciones, dos de las cuales declaraban que la entidad había cumplido en su totalidad, o en su mayor parte, con la ejecución de las recomendaciones recibidas en sus informes.
La OAG también dio seguimiento a sus recomendaciones auditando cuatro autoevaluaciones para verificar su precisión. La OAG encontró que, en casi todos los casos, las entidades gubernamentales retrataban con bastante exactitud los avances obtenidos en la aplicación de las recomendaciones. Si bien en ocasiones la OAG observó que las recomendaciones solo se implementaron parcialmente más que en su totalidad o en su mayor parte, como se auto-reportaba, por lo general las discrepancias se debían a diferencias en la comprensión de lo que significa que algo se cumpla en su totalidad o en su mayor parte. En esos casos, la OAG trabajó con los ministerios y agencias para aclarar expectativas y alcanzar acuerdos sobre el estatus de la implementación.
Fuente: OAG (2014[8]), Follow-Up Report: Updates on the Implementation of Recommendations from Recent Reports, Office of the Auditor General of British Columbia, junio, http://www.bcauditor.com/sites/default/files/publications/2014/report_19/report/OAGBC%20Follow-up%20Report_FINAL.pdf.
6.5.4. La Ciudad de México podría revisar el proceso de planeación de auditorías para garantizar que la Contraloría General tenga mayor independencia del gobierno.
La Contraloría General es responsable de la auditoría, la evaluación y el control de la administración pública de las dependencias, delegaciones y entidades del gobierno de la Ciudad de México. La Contraloría General se encuentra en el mismo nivel del organigrama que la Auditoría Superior de la Ciudad de México y su titular es nombrado por el jefe de Gobierno, nombramiento que debe ratificar la Asamblea Legislativa. La Contraloría General no tiene independencia absoluta para determinar sus prioridades y sus planes de trabajo en materia de auditoría interna. Contar con mayor independencia le daría a la Contraloría mayor credibilidad, lo que a su vez generaría mejores resultados.
El Instituto Mexicano de la Competitividad (IMCO) y el Centro Universitario de Ciencias Económico Administrativas (CUCEA) de la Universidad de Guadalajara, concluyeron que la falta de autonomía es una debilidad generalizada en las oficinas superiores de auditoría de los estados. El trabajo de la OCDE con las auditorías superiores, ISA, ejemplifica uno de los efectos prácticos de esta falta de independencia sobre la rendición de cuentas. En un estudio realizado en 10 de ellas, la OCDE exploró las formas en que las ISA contribuyen al ciclo de políticas públicas, que incluye la formulación, implementación y evaluación de políticas y programas. Los resultados sugieren que las ISA requieren autonomía y flexibilidad para involucrarse a discreción en el ciclo de políticas (OCDE, 2017[7]). Si se aplica esto a México, es probable que los factores externos que limitan la independencia de las oficinas de auditoría reduzcan las contribuciones a las políticas y programas y, por tanto, limiten la aceptación de su trabajo por parte del Poder Ejecutivo.
La Organización Internacional de Instituciones Supremas de Auditoría (INTOSAI, por sus siglas en inglés) publicó una serie de documentos —como INTOSAI GOV 9100 – Guidelines for Internal Control Standards for the Public Sector— que destaca la importancia de la independencia para auditores internos y externos (véase el Recuadro 6.3).
Recuadro 6.3. Normas internacionales para garantizar la independencia de las instituciones de auditoría
Garantizar que las instituciones de auditoría no tengan una influencia indebida es esencial para asegurar la objetividad y legitimidad de su trabajo; por tanto, los principios de independencia deben incorporarse en los estándares fundamentales relativos a la auditoría del sector público. Por ejemplo, la Organización Internacional de Instituciones Supremas de Auditoría (INTOSAI) cuenta con dos declaraciones fundamentales en las que se cita la importancia de la independencia. Específicamente, la “Declaración de Lima sobre las Líneas Básicas de Fiscalización” y la “Declaración de México sobre Independencia de las Entidades Fiscalizadoras Superiores” llaman la atención sobre la importancia de las dimensiones organizacional, funcional y administrativa de la independencia (INTOSAI, 1977[9]; INTOSAI, 2007[10]).
La independencia organizacional se relaciona cercanamente con el liderazgo de la ISA —es decir, el director de la ISA o miembros de instituciones colegiadas—, la misma que incluye la seguridad de la titularidad y la inmunidad legal en el cumplimiento normal de sus deberes.
La independencia funcional requiere que las ISA tengan un mandato lo bastante amplio y discreción total en el cumplimiento de sus funciones, incluyendo acceso suficiente a información y facultades de investigación. La independencia funcional también requiere que las ISA gocen de libertad para planear el trabajo fiscal, decidir sobre el contenido y oportunidad de los informes de las auditorías, y publicarlos y difundirlos.
La independencia administrativa requiere que las ISA estén provistas de recursos humanos, materiales y monetarios apropiados, así como de autonomía para utilizarlos como les parezca oportuno.
La independencia es igualmente importante para las instituciones de auditoría interna. Los documentos INTOSAI GOV 9100 – Guidelines for Internal Control Standards for the Public Sector e INTOSAI GOV 9120 – Internal Control: Providing a Foundation for Accountability in Government (que incluye una lista de verificación) destacan la independencia de los auditores internos respecto de la administración de una organización: “Para que una función de auditoría interna sea eficaz, es esencial que el personal de auditoría interna sea independiente de la dirección, que trabaje de forma imparcial, correcta y honesta, y reporte directamente a los más altos niveles de autoridad de la organización (INTOSAI, 2010[11]; INTOSAI, 2001[12]). Esto permite que los auditores internos presenten opiniones imparciales de sus percepciones sobre el control interno y presenten propuestas objetivas con miras a corregir las deficiencias localizadas”.
Hay lineamientos más específicos sobre la independencia se pueden consultar en el documento INTOSAI GOV 9140 – Internal Audit Independence in the Public Sector, el cual adopta principios del ISSAI 1610 (Using the Work of Internal Auditors) para definir la independencia (INTOSAI, 2010[13]). Los criterios mencionados en ambos documentos son, entre otros, si la institución de auditoría interna está establecida por legislación o regulación; si es responsable y reporta directamente a los directivos de mayor nivel; si tiene acceso a los encargados de gobernar; si está separada, en términos organizacionales, del resto de la función de personal y de gestión; si tiene responsabilidades segregadas de la administración; si tiene responsabilidades claras y formales; si recibe un pago adecuado; si tiene la libertad requerida para elaborar planes de auditoría, y si está a cargo de reclutar a su propio equipo de auditores.
Fuentes: International Organization of Supreme Audit Institutions: (INTOSAI, 2010[13]; INTOSAI, 2010[11]; INTOSAI, 2007[10]; INTOSAI, 1977[9]; INTOSAI, 2001[12]).
6.6. Implementar un marco de gestión de riesgos
6.6.1. La Ciudad de México podría implementar un marco sistemático de gestión de riesgos para fortalecer el marco de control interno.
El marco legislativo y de apoyo de la Ciudad de México, vigente hasta el 1 de septiembre de 2017, no incluía una estrategia sistemática de gestión de riesgos, elemento esencial de la segunda línea de defensa y de un sistema eficaz de control interno, en particular en relación con el combate al fraude y la corrupción. Los Lineamientos de Control Interno de la Administración Pública de la CDMX, expedidos el 8 de enero de 2018, crearon un sistema de gestión de riesgos. Su implementación será un reto para la CDMX y requerirá del compromiso político de los altos mandos de las dependencias.
Las buenas prácticas de gobernanza entre los países de la OCDE indican que la gestión de riesgos, más que una práctica administrada de manera aislada, debe considerarse parte integral del sistema de gestión institucional. La gestión de riesgos debe permear la cultura y las actividades de la organización de forma que sea asunto de todos en la organización.
La gestión de riesgos operativos inicia con el establecimiento del contexto y la definición de los objetivos de la organización. Continúa con la identificación de los eventos que podrían afectar sus logros. Los eventos que podrían causar un impacto negativo representan riesgos. La evaluación de riesgos es un proceso de tres pasos que comienza con la identificación del riesgo y continúa con su análisis, lo cual implica comprender cada riesgo, sus consecuencias, la probabilidad de que esas consecuencias ocurran, y la gravedad del riesgo. El tercer paso es la evaluación del riesgo, que implica determinar la tolerabilidad de cada riesgo para decidir si hay que aceptarlo o abordarlo. El tratamiento del riesgo es el proceso de ajustar los controles internos, o desarrollar e implementar nuevos controles para reducir la gravedad de un riesgo a un nivel tolerable (Gráfica 6.2).
El proceso de establecer un contexto y evaluar y tratar el riesgo es lineal, en tanto que la comunicación y la consulta, el monitoreo y la revisión son continuos. El monitoreo y la revisión ayudan a identificar nuevos riesgos y a reevaluar los ya existentes cuando hay cambios en los objetivos de la organización o en su ambiente interno o externo. Esto significa explorar para ubicar posibles nuevos riesgos y conocer los riesgos y los controles a partir de un análisis de éxitos y fracasos (OCDE, 2013[15]).
Un método efectivo de control de riesgos es esencial para gestionar fraudes y corrupción públicos. La Oficina de Contabilidad del Gobierno de Estados Unidos (GAO) estableció un protocolo de gestión de riesgos para controlar riesgos de fraude en los programas federales. En el Recuadro 6.4 se describen sus prácticas y actividades en curso.
Recuadro 6.4. Sistema de gestión de riesgos de fraude y corrupción en Estados Unidos de América
La Oficina de Rendición de Cuentas del Gobierno de Estados Unidos (GAO) elaboró un sistema para gestionar riesgos de fraude en los programas federales. Abarca las actividades de control y las estructuras y factores ambientales que ayuden a los administradores a mitigar riesgos de fraude. Consiste en los siguientes cuatro componentes de la gestión eficaz de riesgos de fraude.
1. Comprometerse a combatir el fraude con la creación de una cultura organizacional propicia para la gestión de riesgo.
Demostrar compromiso del nivel directivo para combatir el fraude e involucrar a todos los niveles del programa en la implementación de un enfoque que no tolere el fraude.
Nombrar una unidad gubernamental a cargo del programa que encabece las actividades de gestión de riesgo.
Asegurarse de que hay responsabilidades definidas para la gestión de riesgos.
2. Evaluar: Planear evaluaciones de riesgo periódicas para determinar un perfil de riesgo de fraude.
Diseñar la evaluación de riesgo de fraude a la medida del programa e invitar a participar a actores relevantes.
Evaluar las probabilidades y los efectos de los riesgos de fraude y determinar su tolerancia.
Examinar la pertinencia de los controles existentes, priorizar riesgos residuales y documentar el perfil de riesgo de fraude.
3. Diseñar e implementar una estrategia con actividades específicas de control para mitigar los riesgos de fraude evaluados y colaborar para una implementación eficaz.
Elaborar, documentar y comunicar una estrategia antifraude, centrada en actividades de control preventivo.
Considerar los beneficios y costos de los controles para prevenir y detectar posibles fraudes y diseñar un plan de respuesta ante ellos.
Establecer relaciones de colaboración con los actores interesados y crear incentivos para asegurar la ejecución de la estrategia antifraude.
4. Evaluar y adaptar: Evaluar los resultados con un enfoque basado en riesgos y adaptar las actividades para mejorar la gestión de riesgo de fraude.
Realizar procesos de monitoreo y evaluación con base en riesgos de las actividades de gestión de riesgo de fraude, enfocadas en resultados.
Recopilar y analizar los datos arrojados por los mecanismos de informes e instancias de fraudes detectados para monitorear las tendencias fraudulentas en tiempo real.
Utilizar los resultados de las actividades de monitoreo, evaluación e investigación para mejorar la prevención, detección y respuesta ante los fraudes.
Como se describe en cada uno de los componentes anteriores, hay prácticas y actividades en curso que ayudan a la organización a mantener mecanismos de monitoreo y retroalimentación que aseguren que el sistema permanezca dinámico y el personal siga participando en los procesos.
Fuente: (Government Accountability Office (GAO), 2015[16]), A Framework for Managing Fraud Risks in Federal Programs, Washington, Government Accountability Office 15-593SP, http://www.gao.gov/products/GAO-15-593SP.
6.6.2. La Ciudad de México podría poner en práctica el marco de gestión de riesgos al asignar responsabilidades claras de gestión de riesgos a los altos mandos, ofrecer capacitación al personal y actualizar los sistemas, herramientas y procesos de gestión de riesgos.
Después de elaborar un sistema de gestión de riesgos, es necesario ponerlo en práctica. Se requiere recopilar información precisa y adecuada sobre el tema, asignar a los altos mandos responsabilidades claras de gestión y monitoreo de riesgos de manera continua, y todo el personal del sistema de gestión de riesgos necesita conocer el marco de gestión de riesgos y cómo incorporarlo a sus actividades y decisiones cotidianas.
Tener información apropiada y precisa es esencial para poner en marcha un marco de gestión de riesgos. Sin ella, se dificultan la evaluación, el monitoreo y la mitigación de los riesgos. La información que dé soporte a la gestión de riesgos se obtiene de varias fuentes, internas y externas, según el programa o área de trabajo. Un enfoque coherente de obtención, registro y almacenamiento de información de riesgos mejoraría la confiabilidad y la exactitud de los datos requeridos.
Para que un sistema de gestión de riesgos funcione con eficacia, es necesario asignar con claridad la responsabilidad sobre riesgos específicos a los directivos correspondientes. Estos directivos necesitan asumir los riesgos que pudieran afectar sus objetivos institucionales, utilizar la información sobre los riesgos para tomar decisiones sustentadas, y monitorear y gestionar activamente los riesgos a su cargo. Estos directivos también deben ser responsables ante el Ejecutivo de informar con regularidad sobre la gestión de riesgos, como casos de éxito, áreas de mejora y lecciones aprendidas.
El personal debe estar al corriente del sistema de gestión de riesgos y de los requerimientos clave por medio de actividades de capacitación y concienciación. La comunicación y la consulta al personal son también de gran importancia para asegurar su colaboración en los procesos de gestión de riesgos y propiciar que se responsabilicen de los resultados respectivos. Los empleados informados, capaces de reconocer y lidiar con riesgos de corrupción tienen más probabilidad de identificar situaciones que afecten negativamente el logro de los objetivos institucionales. Australia, país miembro de la OCDE, elaboró directrices para generar capacidad de gestión de riesgo en sus entidades, lo cual aporta datos útiles (Recuadro 6.5).
Recuadro 6.5. Generar capacidades de gestión de riesgos. El gobierno de Australia
El Departamento Federal de Finanzas de Australia diseñó directrices para funcionarios de gobierno para generar capacidades de gestión de riesgo en sus entidades gubernamentales. Las directrices indican que las entidades deben considerar cada área descrita a continuación con el fin de determinar en qué aspectos puede mejorarse su capacidad de riesgo.
Capacidad del personal. Un enfoque congruente y eficaz de la gestión de riesgos se logra con un personal bien capacitado, cualificado y con recursos adecuados. Todo el personal tiene una función en la gestión de riesgos. Por tanto, es importante que los funcionarios de todos los niveles de una entidad gubernamental tengan papeles y responsabilidades claramente formulados y difundidos, acceso a información actualizada y pertinente, y posibilidades de crear competencias por medio del aprendizaje formal e informal y de programas de desarrollo. Crear la capacidad de riesgo del personal es un proceso continuo. Con la información, aprendizaje y desarrollo correctos, una entidad puede generar una cultura de conciencia de riesgos entre su personal y mejorar así la comprensión y gestión de los riesgos en toda la institución. Algunas reflexiones útiles son las siguientes:
¿En las descripciones de puestos se detallan explícitamente las responsabilidades y las funciones en términos de riesgo?
¿Se determinó el nivel actual de competencia en gestión de riesgos? ¿Se efectuaron análisis de necesidades para identificar lo que se requiere aprender?
¿Los programas de inducción cuentan con una introducción a la gestión de riesgos para el personal de todos los niveles?
¿Hay un programa de aprendizaje y desarrollo que incorpore capacitación continua en gestión de riesgos para el personal de cada función y nivel de la entidad gubernamental?
Gestión de información sobre riesgos. El éxito de la evaluación, monitoreo y tratamiento de los riesgos en una entidad gubernamental depende de la calidad y la disponibilidad de información sobre el tema y los documentos para sustentarla. Un enfoque congruente sobre el suministro, registro y almacenamiento de información de riesgo mejorará la confiabilidad y disponibilidad de la información requerida por diferentes sectores. Algunas reflexiones útiles son las siguientes:
¿Se identificaron las fuentes de datos que aportarán la información necesaria para tener una visión completa de los riesgos en toda la entidad gubernamental?
¿Con qué frecuencia se recopila información de riesgo para hacerla llegar a diferentes audiencias en toda la estructura de la entidad gubernamental?
¿Hay información de riesgo disponible y fácilmente accesible para todo el personal?
¿Cómo calificaría la integridad y exactitud de la información?
Procesos de gestión de riesgos. La documentación y comunicación eficaces de los procesos de gestión de riesgos que respalden el enfoque de las entidades gubernamentales proporcionará una estrategia congruente al respecto y permite la presentación clara, concisa y frecuente de información de riesgo que ayuda a la toma de decisiones. Algunas reflexiones útiles son las siguientes:
¿Cuándo se realizó la última revisión de los procesos de riesgo?
¿Los procesos de gestión de riesgos están bien documentados y disponibles para todo el personal?
¿Los procesos de gestión de riesgos concuerdan con el sistema respectivo?
¿Hay capacitación disponible, a la medida de las diferentes audiencias, sobre el uso de los procesos de riesgo?
Fuente: (Australian Government Department of Finance, 2016[17]), “Building risk management capability”, https://www.finance.gov.au/sites/default/files/comcover-information-sheet-building-risk-management-capability.pdf.
6.7. Reforzar la profesionalización de los auditores internos
6.7.1. La Ciudad de México podría proporcionar capacitación adicional sobre ética e integridad a los auditores internos.
Los auditores internos también son pieza clave en el reforzamiento de una cultura de integridad y rendición de cuentas en la organización. Actúan como agentes de cambio al evaluar el entorno de control como parte de sus obligaciones y al motivar a los directivos a atender las fallas e ineficiencias en cuanto a la eficacia y madurez del entorno de control.
Un elemento clave para mantener un entorno eficaz de control interno consiste en asegurarse del mérito, profesionalismo, estabilidad y continuidad del personal de auditoría. Corresponde a las entidades públicas diseñar mecanismos para atraer, desarrollar y retener a personas competentes que posean el conjunto correcto de habilidades y el compromiso ético para trabajar en el área de control y auditoría. La capacitación, certificación y desarrollo de competencias de investigación y auditoría contribuyen a aumentar la eficacia de la tercera línea de defensa, pues refuerzan la credibilidad del auditor.
La nueva Ley de Auditoría y Control Interno para la Administración Pública de la Ciudad de México, publicada el 1 de septiembre de 2017, estipula que se requiere un proceso de certificación para auditores internos, así como condiciones específicas que los funcionarios deben cumplir (artículos 16 y 17). Por otra parte, la Contraloría General afirma que la Escuela de Administración Pública ha realizado un buen número de actividades de capacitación sobre ética, integridad y conflicto de intereses (véase el Capítulo 3). El contenido de los cursos de capacitación que se ofrecieron a los funcionarios públicos sí aborda la ética, pero muchas veces la perspectiva es más teórica que práctica. Cursos que ofrezcan más ejemplos y se ajusten a las responsabilidades específicas de los funcionarios públicos ayudarían a reforzar la estrategia de concientización general. Algunas iniciativas de mayor nivel para resolver el problema de falta de conocimientos expertos y capacidad de los auditores internos podrían ser la elaboración de módulos personalizados de capacitación en cooperación con el Instituto Nacional de Administración Pública, y colocar centros de capacitación en las secretarías, instituciones auditoras, asociaciones profesionales y universidades relacionadas.
La Contraloría General y los auditores internos proporcionan cierta capacitación al personal operativo. Realizan actividades de concientización (aunque no hay un requerimiento legal para hacerlo), y están en disposición de brindar asesoría y orientación específicas a los servidores públicos. Sin embargo, como ya se mencionó, el personal percibe que, en caso de solicitar apoyo, corren el riesgo de ser auditados o sancionados, por lo que sería conveniente que dicha función esté a cargo de una unidad que se encargue de asesorarlos para prevenir la existencia de conflictos de interés y de actos de corrupción.
La Contraloría General (en particular la Dirección de Coordinación General de Evaluación y Desarrollo Profesional) pone énfasis en la formación inductiva y establece contacto con las entidades gubernamentales para asegurarse de que se organicen programas de capacitación para generar conciencia en el personal de nuevo ingreso sobre cuestiones de ética, conflicto de intereses, seguridad e integridad. Algunos funcionarios señalaron que muchas veces los contenidos de capacitación son obsoletos. El nivel de capacitación proporcionado varía de una entidad a otra y depende de la iniciativa del auditor interno local.
Propuestas de acción
La Ciudad de México puso en marcha su propio sistema anticorrupción, así como diversos elementos de un marco de control interno y gestión de riesgos. Sin embargo, podría hacerse más para fortalecer y desarrollar capacidad en su entorno de control interno y gestión de riesgos. A continuación se describen algunas propuestas de acción específicas para la Ciudad de México.
Establecer un marco eficaz de control interno
La Ciudad de México podría elaborar una estrategia de comunicación y desarrollo de capacidades para dar a conocer los nuevos lineamientos de control interno, auditoría y de las intervenciones en la administración pública.
Adoptar el modelo de las Tres Líneas de Defensa.
La Ciudad de México podría aplicar los principios del modelo de las Tres Líneas de Defensa para perfeccionar su marco de control interno.
Establecer medidas de control interno.
La Ciudad de México podría crear un sistema de rendición de cuentas para garantizar que los manuales de procedimientos sean congruentes, se actualicen con regularidad y contengan procedimientos eficientes.
Perfeccionar la función de las Unidades de Control Interno y fortalecer la independencia de la Contraloría General.
Convendría a la Ciudad de México separar con claridad las líneas de defensa al asignar a los altos mandos —no a los auditores internos— la responsabilidad de implantar la gestión de riesgos, al igual que el diseño y la puesta en operación de controles internos.
Como los lineamientos de la Contraloría General requieren que el programa de auditoría se fundamente en prioridades y en un análisis de riesgos, la Ciudad de México podría diseñar e implementar un enfoque basado en riesgos para seleccionar los aspectos por auditar.
La Ciudad de México podría fortalecer los mecanismos para que las unidades de control interno monitoreen la implementación de recomendaciones de las auditorías.
La Ciudad de México podría revisar el proceso de planeación de auditorías para garantizar que la Contraloría General tenga mayor independencia del gobierno.
Implementar un marco de gestión de riesgos.
La Ciudad de México podría implementar un marco sistemático de gestión de riesgos para fortalecer el control interno.
La Ciudad de México podría poner en práctica el marco de gestión de riesgos al asignar responsabilidades claras de gestión de riesgos a los altos mandos, ofrecer capacitación al personal y actualizar los sistemas, herramientas y procesos de gestión de riesgos.
Reforzar la profesionalización de los auditores internos.
La Ciudad de México podría proporcionar capacitación adicional sobre ética e integridad a los auditores internos.
Referencias
[17] Australian Government Department of Finance (2016), Building Risk Management Capability, https://www.finance.gov.au/sites/default/files/comcover-information-sheet-building-risk-management-capability.pdf.
[4] European Commission (2014), Compendium of the Public Internal Control Systems in the EU Member States (second edition), http://ec.europa.eu/budget/pic/lib/book/compendium/HTML/index.html (consultado el 9 de mayo de 2017).
[16] Government Accountability Office (GAO) (2015), A Framework for Managing Fraud Risks in Federal Programs, https://www.gao.gov/products/GAO-15-593SP.
[2] IIA (2013), IIA Position Paper: The Three Lines of Defense in Effective Risk Management and Control, https://na.theiia.org/standards-guidance/Public%20Documents/PP%20The%20 Three%20Lines%20of%20Defense%20in%20Effective%20Risk%20Management%20and%20Control.pdf.
[11] INTOSAI (2010), GOV 9100 – Guidelines for Internal Control Standards for the Public Sector, International Organization of Supreme Audit Institutions, Copenhagen, www.intosai.org/issai-executive-summaries/view/article/intosai-gov-9100-guidelines-for-internal-control-standards-for-the-public-sector.html.
[13] INTOSAI (2010), GOV 9140 – Internal Audit Independence in the Public Sector, International Organization of Supreme Audit Institutions, Copenhagen, http://www.intosai.org/issai-executive-summaries/view/article/intosai-gov-9140-internal-audit-independence-in-the-public-sector.html.
[10] INTOSAI (2007), “Mexico Declaration on SAI Independence”, International Standards of Supreme Audit Institutions (ISSAI), No. 10, INTOSAI Professional Standard Committee Secretariat, Copenhagen, www.issai.org.
[12] INTOSAI (2001), GOV 9120 – Internal Control: Providing a Foundation for Accountability in Government, International Organization of Supreme Audit Institutions, Copenhagen, http://www.intosai.org/en/issai-executive-summaries/detail/detail/News/intosai-gov-9120-internal-control-providing-a-foundation-for-accountability-in-government.html.
[9] INTOSAI (1977), “Lima Declaration of Guidelines on Auditing Precepts”, International Standards of Supreme Audit Institutions (ISSAI), No. 1, INTOSAI Professional Standard Committee Secretariat, Copenhagen, http://www.issai.org.
[14] ISO (2009), ISO 31000-2009 Risk Management, https://www.iso.org/iso-31000-risk-management.html.
[5] Mexico City (2014), Lineamientos generales para el registro de manuales administrativos y específicos de operación de la administración pública del distrito federal el 30 de diciembre de 2014, Publicado en la gaceta oficial del distrito federa, http://cgservicios.df.gob.mx/prontuario/vigente/5393.pdf (consultado el 12 de octubre de 2018).
[7] OCDE (2017), Entidades Fiscalizadoras Superiores y el buen gobierno: Supervisión, información y visión, Estudios de la OCDE sobre Gobernanza Pública, OECD Publishing, París, https://doi.org/10.1787/9789264280625-es.
[6] OCDE (2017), El Sistema Nacional de Fiscalización de México: Fortaleciendo la Rendición de Cuentas para el buen Gobierno, Estudios de la OCDE sobre Gobernanza Pública, OECD Publishing, París, https://doi.org/10.1787/9789264268975-es.
[1] OCDE (2017), Recomendación del Consejo de La OCDE sobre Integridad Pública, http://www.oecd.org/gov/ethics/recomendacion-sobre-integridad-es.pdf.
[3] OCDE (2015), Budget reform before and after the global financial crisis: 36th Annual OECD Senior Budget Officials Meeting, http://www.oecd.org/officialdocuments/publicdisplaydocumentpdf/?cote=GOV/PGC/SBO(2015)7&docLanguage=En.
[15] OCDE (2013), OECD Integrity Review of Italy: Reinforcing Public Sector Integrity, Restoring Trust for Sustainable Growth, OECD Public Governance Reviews, OECD Publishing, Paris, http://dx.doi.org/10.1787/9789264193819-en.
[8] Office of the Auditor General of British Columbia (2014), Follow-Up Report: Updates on the Implementation of Recommendations from Recent Reports, http://www.bcauditor.com/sites/default/files/publications/2014/report_19/report/OAGBC%20Follow-up%20Report_FINAL.pdf.
Anexo 6.A. Normas y lineamientos para la auditoría y control interno de la Ciudad de México
Se recomienda que la Contraloría General de la Ciudad de México ponga en marcha controles internos y revise los informes de auditoría preparados por las unidades de control interno y los órganos de auditoría de acuerdo con diversos estándares y lineamientos, listados a continuación.
Título del documento |
|
---|---|
1 |
Normas Generales de Auditoría de la Contraloría General |
2 |
Lineamientos Generales para la Planeación, Elaboración y Presentación de Programas de Auditoría |
3 |
Lineamientos Generales para las Intervenciones 2010 |
4 |
Lineamientos para la Supervisión de Auditorías y Revisiones que ordena la Contraloría General |
5 |
Lineamientos para la Atención de Quejas, Denuncias y la promoción de Financiamiento de Responsabilidad Administrativa derivado de Auditorías |
6 |
Acuerdo por el que se emiten lineamentos en material de control interno para el ejercicio de recursos federales que se apliquen en la administración pública de la Ciudad de México |
7 |
Acuerdo por el que se emiten lineamentos en material de control interno para la administración pública de la Ciudad de México |