En las organizaciones del sector público, contar con un sistema de control interno y un marco de gestión de riesgos es esencial para defender la integridad pública. Las políticas y los procesos eficaces de control interno y gestión de riesgos reducen la vulnerabilidad de las organizaciones del sector público al fraude y la corrupción al proporcionar garantías razonables a la administración de que la organización está logrando sus objetivos y gestionando sus riesgos de manera eficaz. Estas políticas y procesos también ayudan a garantizar el buen uso de los recursos públicos y facilitan la toma de decisiones garantizando que los gobiernos operen de manera óptima para ofrecer programas que beneficien a los ciudadanos y eviten el mal uso del gasto. Así mismo, ayudan a los gobiernos a equilibrar un modelo centrado en la aplicación de la ley con enfoques más preventivos y basados en el riesgo.

El control interno y la gestión de riesgos abarcan una serie de medidas para prevenir, detectar y responder al fraude y la corrupción. Entre ellas figuran las políticas, prácticas y procedimientos que orientan a la administración y al personal a cumplir sus funciones de salvaguardia de la integridad mediante la evaluación adecuada de los riesgos y el desarrollo de controles basados en estos riesgos. Los mecanismos para responder a los casos de corrupción y violaciones de las normas de integridad son igualmente críticos. Un sólido sistema de control interno también debería incluir auditorías internas para evaluar mejor la fortaleza del sistema de control interno y un sólido marco de gestión de riesgos para ayudar a las organizaciones a identificar y responder a los riesgos de corrupción a los que se enfrentan (OCDE, 2020[12]). A la luz de esto, la Recomendación de la OCDE sobre Integridad Pública insta a los Estados parte a “aplicar un marco interno de control y gestión de riesgos para salvaguardar la integridad en las organizaciones del sector público” (OCDE, 2020[12]; OCDE, 2017[17]).

Las mejoras necesarias de los sistemas de control interno, gestión de riesgos y auditoría interna deben abarcar las nuevas tecnologías e incorporarlas en los marcos existentes. Como se ha analizado en capítulos posteriores, la IA puede agregar valor a la gobernanza pública y específicamente a la prevención de la corrupción si se integra mejor en la gestión de riesgos, el control interno y los sistemas de auditoría interna. Cuando se implementan de manera responsable, las herramientas de IA pueden ayudar a la administración a identificar los riesgos de fraude y a los auditores internos a detectarlo. Por lo tanto, es importante que las organizaciones del sector público tomen medidas para aumentar el conocimiento de la inteligencia artificial, especialmente entre los auditores internos, que pronto también serán llamados a realizar auditorías de los sistemas de inteligencia artificial dentro de la organización. Esta mejora de las capacidades incluye un mayor uso de herramientas técnicas para identificar riesgos y detectar malversaciones en el uso de los recursos públicos.

Este capítulo se enfocará en demostrar que:

• las normativas de los países en materia de gestión de riesgos y control interno son sólidas, pero es aún necesario mejorar sus normas en materia de auditoría interna

• no existe todavía un desarrollo maduro de las prácticas de gestión de riesgos

• la auditoría interna sigue siendo un instrumento de gobernanza subutilizado contra la corrupción.

En los países de la OCDE, las normativas sobre gestión de riesgos y control interno son fuertes: los países tienen de media el 72% y el 81% de los elementos de las normativos estándar. Por otro lado, en promedio, los países solo tienen el 51% de la normativa estándar sobre auditoría interna, destacando esto como un área que debe seguir mejorando.

Estas normativas también abordan los riesgos de fraude y corrupción en la mayoría de los casos. El 70% de los países ha publicado directrices sobre la prevención del fraude y la corrupción como parte de sus sistemas de control interno, y el 71% de los países abordan explícitamente estos riesgos en su marco de gestión de riesgos (Figura ‎3.1).

A pesar de la solidez de las normativas, en la práctica podría mejorarse la eficacia de los procesos de gestión de riesgos y auditoría interna. Si bien la mayoría de los países de la OCDE cuentan con un marco de gestión de riesgos que aborda los riesgos de corrupción e integridad, esto no suele llevarse a cabo en la práctica. Los reglamentos adoptados a nivel del gobierno central no se aplican sistemáticamente en los ministerios y organismos competentes en los que se lleva a cabo la prevención de la corrupción (Figura ‎3.2). En solo seis países todos los ministerios u organismos competentes han realizado una evaluación de riesgos en los últimos tres años. Este fenómeno se puede explicar considerando que solo siete países tienen funciones y responsabilidades en materia de gestión de riesgos establecidas en los ministerios u organismos competentes.

En la mayoría de los países de la OCDE tampoco se han aplicado otras buenas prácticas de gestión y auditoría de riesgos en nivel ejecutivo. Por ejemplo, solo cinco países de la OCDE pueden demostrar que al menos la mitad de estos órganos habían planificado auditorías internas relacionadas con el fraude y la corrupción. Además, si bien una unidad de auditoría constituye la base de una auditoría interna eficaz en una organización, tan solo 12 países cuentan con una unidad de auditoría en todos los ministerios u organismos. Además, solo ocho países habían llevado a cabo un control de calidad externo de todas las dependencias de auditoría interna en los últimos cinco años.

La auditoría interna solo es eficaz si puede cubrir una parte adecuada del presupuesto público. La auditoría interna proporciona garantías sobre el funcionamiento del control interno y puede tener un efecto disuasorio considerable sobre las actividades fraudulentas y los funcionarios. La legislación y la práctica varían considerablemente entre los países de la OCDE. Algunos países tienen plena cobertura tanto en la legislación como en la práctica. Otros tienen plena cobertura en la legislación, pero no auditan a todas las entidades en la práctica. Algunos países no extienden la cobertura de la auditoría interna al presupuesto público completo (Figura ‎3.3). Una vez más, muchos países no recogen los datos necesarios para poder evaluarlo.

Por último, el valor de las unidades de auditoría interna depende en última instancia de que los gerentes del sector público actúen según las recomendaciones de los auditores, ya sea en cuanto a implementar los cambios sugeridos o a considerarlos y encontrar una razón válida para no hacerlo. En los países en los que se supervisa centralmente, la aplicación de las recomendaciones de auditoría suele ser elevada. Esta es una señal positiva, ya que sugiere que la administración está dispuesta a actuar sobre las recomendaciones de los auditores internos en la mayoría de los casos. Sin embargo, alrededor de la mitad de los países de la OCDE no recogen datos centrales sobre la aplicación de las recomendaciones de auditoría, por lo que no saben si las han aplicado (Figura ‎3.4). Esto podría socavar el impacto de la auditoría interna en esos países.