Capítulo 6. Mejorar el control interno y la gestión de riesgos en la Ciudad de México

6.2.1. La Ciudad de México podría elaborar una estrategia de comunicación y desarrollo de capacidades para dar a conocer los nuevos lineamientos de control interno, auditoría y de las intervenciones en la administración pública.

La Ciudad de México puso en marcha su propio sistema anticorrupción por medio del Decreto por el que se reforman y adicionan diversas disposiciones de la Ley Orgánica de la Administración Pública del Distrito Federal, publicado en la Gaceta Oficial de la Ciudad de México el 1 de septiembre de 2017, la cual otorga una función destacada a la Contraloría General para dirigir el control interno y fiscalización como parte de la implementación del sistema anticorrupción. Algunos funcionarios indicaron que ya se han obtenido resultados positivos a partir del sistema de control interno; se han recuperado activos y fondos que el gobierno emplea para programas específicos.

El marco operativo de control interno de la Ciudad de México está regulado por los artículos 105, 106, 108 y 110 a 113 del Reglamento Interior de la Administración Pública del Distrito Federal, e incluye mecanismos de control vertical y horizontal. El reglamento interior estipula que los auditores de la Contraloría General de la Ciudad de México estarán adjuntos a las entidades de la Ciudad de México. Únicamente 28 de las 45 entidades gubernamentales cuentan con unidades de control interno, y solo la mitad de estas unidades tiene una división de quejas que audita, resuelve quejas y sustenta procedimientos administrativos o disciplinarios. Las otras 14 unidades internas transfieren sus expedientes a la Dirección General de Asuntos Jurídicos y Responsabilidades si al realizar las auditorías detectan alguna irregularidad administrativa. Las 17 entidades públicas sin unidades de control interno reciben asistencia de la Dirección General de Contralorías Internas en Entidades, a la cual transfieren los casos de responsabilidad administrativa. La Contraloría General de la Ciudad de México emprende y supervisa las auditorías internas de acuerdo con una serie de normas y lineamientos, como se describe en el Apéndice 6.A.

Algunos funcionarios indicaron que en cada dependencia el sistema de control interno se establece por separado. En septiembre de 2017 se emitió el Decreto por el que se expide la Ley de Auditoría y Control Interno de la Administración Pública de la Ciudad de México. Esto asigna responsabilidades relacionadas con control interno, gestión de riesgos, corrupción y fraude a funcionarios específicos del Poder Ejecutivo. La Ley modifica la asignación de responsabilidades. El Título Quinto de la Ley requiere que las entidades gubernamentales de la Ciudad de México adopten un sistema de control interno que incluya planes, métodos, principios, normas, procedimientos y mecanismos de verificación y evaluación del control interno. Los Lineamientos establecidos para el personal para poner en práctica estos nuevos requerimientos legislativos tienen las características de ser claros y sistemáticos. El 8 de enero de 2018 se publicaron en la Gaceta Oficial de la Ciudad de México los Lineamientos de Auditoría, Control Interno y de las Intervenciones de la Administración Pública de la Ciudad de México.

Los Lineamientos de Auditoría tienen por objeto regular las actividades relativas a la planeación y ejecución de las auditorías internas, los plazos, procedimientos y formas que deben observarse en la práctica. Son de cumplimiento obligatorio para la Secretaría de la Contraloría General de la Ciudad de México y de sus unidades administrativas en el ejercicio de sus funciones de auditoría interna.

Los Lineamientos de Control Interno regulan las actividades para la implementación y aplicación del control interno. Asimismo, establecen las funciones, actividades y las operaciones así como las técnicas y métodos que deben observarse en la implementación del control interno dentro de la Secretaría de la Contraloría General de la Ciudad de México y sus unidades administrativas, así como en las delegaciones o alcaldías, dependencias, entidades paraestatales y órganos desconcentrados de la administración pública.

Los Lineamientos de las intervenciones de la administración pública de la Ciudad de México se refieren a las visitas, inspecciones, asesorías y demás actividades solicitadas por la Contraloría General o sus unidades administrativas para revisiones, verificaciones y operativos especiales.

6.3.1. La Ciudad de México podría aplicar los principios del modelo de las Tres Líneas de Defensa para perfeccionar su marco de control interno.

Los modelos de gestión de riesgo de fraude y corrupción más empleados por los países miembros de la OCDE y países asociados destacan que la principal responsabilidad de prevenir y detectar actos de corrupción corresponde al personal y la dirección de las entidades públicas. Muchas veces, estos modelos de gestión de riesgos de corrupción presentan similitudes con el modelo de las Tres Líneas de Defensa del Instituto de Auditores Internos (IIA) (Gráfica ‎6.1).

Gráfica ‎6.1. Modelo de las Tres Líneas de Defensa

Fuente: IIA (2013), “IIA Position Paper: The Three Lines of Defense in Effective Risk Management and Control”, Institute of Internal Auditors, Altamont Springs, Florida, p. 2, https://na.theiia.org/standards-guidance/Public%20Documents/PP%20The%20Three%20Lines%20of%20Defense%20in%20Effective%20Risk%20Management%20and%20Control.pdf.

La primera línea de defensa es de gestión operativa y del personal. Los funcionarios operativos funcionan de forma natural como primera línea de defensa porque son los responsables de mantener controles internos y de ejecutar procedimientos de control y riesgos todos los días. La gestión operativa identifica, evalúa, controla y mitiga riesgos, encabezando el desarrollo de políticas internas y procedimientos, garantizando a la vez que las actividades concuerden con las metas y los objetivos planteados.

Los altos mandos son responsables directos de la gestión de riesgos y la aplicación de controles internos, pero todos los funcionarios de una organización pública —desde el mando más alto hasta el de menor rango— intervienen en la identificación de riesgos y deficiencias, y se aseguran de que los controles internos aborden y mitiguen estos riesgos. Es recomendable exhortar a todos los miembros del equipo a colaborar en el desarrollo de mejores sistemas y procedimientos que mejoren la integridad de la organización y contribuyan a combatir la corrupción.

La segunda línea de defensa es el siguiente nivel de gestión: los funcionarios responsables de supervisar resultados. Ellos son responsables de establecer un sistema de gestión de riesgos, además de supervisar, identificar riesgos emergentes y presentar informes periódicos a los directivos. La tercera línea de defensa es la función de auditoría interna. Su cometido principal es ofrecer a los directivos un aseguramiento objetivo e independiente por encima de las disposiciones de la primera y la segunda líneas de defensa (IIA, 2013[2]).

La auditoría externa y otros reguladores externos proporcionan niveles adicionales de defensa. Si bien no forman parte del modelo de las Tres Líneas de Defensa de manera oficial, son elementos esenciales del marco general de rendición de cuentas y anticorrupción del sector público.

La Ciudad de México incluye elementos del modelo de las Tres Líneas de Defensa en su normativa, pero las responsabilidades se empalman y las líneas de defensa se desdibujan. Por ejemplo, la Contraloría General es responsable de implantar controles internos, así como de realizar y examinar informes de auditoría interna. Esto desdibuja las líneas de defensa, pues no habría que requerir que los auditores revisaran controles internos que ellos mismos implementaron; tal situación representaría un conflicto. Sería recomendable que la Ciudad de México considere aplicar los principios del modelo de las Tres Líneas de Defensa al perfeccionar sus mecanismos de control interno. Esto garantizaría que las responsabilidades se separaran y que los directivos se ocuparan más de la aplicación diaria de controles internos y gestión de riesgo. La evolución del sistema de control interno francés, que se centra en la responsabilidad administrativa, puede ayudar a comprender mejor el tema, como se ilustra en el Recuadro ‎6.1.

6.4.1. La Ciudad de México podría crear un sistema de rendición de cuentas para garantizar que los manuales de procedimientos sean congruentes, se actualicen con regularidad y contengan procedimientos eficientes.

En la Ciudad de México cada secretaría, delegación y entidad gubernamental tiene su propio manual de procedimientos, los cuales son aprobados por los directivos y se registran ante la administración pública del Distrito Federal (Mexico City, 2014[5]). La Coordinación General de Modernización Administrativa (CGMA) asesora en la preparación de los manuales y es responsable de determinar si cumplen con los requisitos básicos, aunque no supervisa su puesta en práctica (o actualización periódica). Los manuales deben redactarse en apego a la Guía Técnica para la Elaboración de Manuales del Gobierno del Distrito Federal, la cual orienta en términos de contenido y formato.

La dirección no supervisa la implementación de los manuales. Por tanto, dicho proceso carece de supervisión, excepto cuando hay una auditoría de por medio. Se comentó que estos manuales se crean más para cumplir con un requisito (y para “proteger” a la entidad gubernamental si hubiera hallazgos negativos en el caso de una auditoría) que para servir como una guía práctica para los servidores públicos.

Algunos funcionarios informaron que estos manuales de procedimientos son una forma de control, en el sentido de que describen procedimientos que se espera estandarizar para procesos clave. Aun así, indicaron que los manuales resultan complicados, contienen irregularidades y pueden restar eficiencia a los procesos. No se basan en la visión estratégica de la entidad gubernamental ni describen qué tendría que hacerse y por qué. Además, no contienen procedimientos para realizar procesos de evaluación de riesgo o para emprender actividades de control interno. En consecuencia, no suele recurrirse a ellos como referencia para tomar decisiones clave. Es recomendable que la Ciudad de México considere generar un sistema que garantice que estos manuales sean coherentes, se actualicen con regularidad y contengan procedimientos eficientes.

6.5.1. Convendría a la Ciudad de México separar con claridad las líneas de defensa al asignar a los altos mandos —no a los auditores internos— la responsabilidad de implantar la gestión de riesgos, al igual que el diseño y la puesta en operación de controles internos.

Las auditorías internas (la tercera línea de defensa) funcionan como control clave para detectar los actos de corrupción, pero su propósito principal es garantizar objetivamente que la gestión de riesgos y el control interno (primera y segunda líneas de defensa) funcionen correctamente. Un departamento de auditoría interna eficaz también garantiza la identificación de deficiencias de control interno y su comunicación en forma oportuna a los responsables. Las auditorías internas son también un ingrediente necesario para una rendición de cuentas eficientes y una mejor gestión. Contribuyen a que los funcionarios rindan cuentas de sus acciones e informen sobre posibles grietas en el desempeño y la gestión. Una respuesta institucional a los hallazgos negativos en una auditoría y a fallas en la integridad puede influir en gran medida en la cultura institucional, en la actitud de los directivos y en la eficacia general del marco de control interno.

Las estructuras de control interno de la Ciudad de México no se apegan estrictamente al modelo de las Tres Líneas de Defensa, pues la Contraloría General de la Ciudad de México es responsable de instaurar controles internos, así como de realizar y examinar informes de las auditorías internas. Además, la Contraloría sostiene reuniones periódicas con las unidades de control interno para revisar los avances en la aplicación del plan de auditoría y otros asuntos específicos bajo su responsabilidad. Esta estructura diluye las distinciones entre las líneas de defensa. Los estándares internacionales sugieren que es preferible que en la primera y la segunda líneas de defensa no haya auditores (que constituyen la tercera línea).

Por lo común, hay una clara separación entre las funciones de auditoría interna (la tercera línea de defensa) y la segunda línea de defensa, la cual consiste en funciones de supervisión de gestión para verificar que los controles de la primera línea se diseñen correctamente y operen como se requiere. Cuando los directivos consideran que es más eficiente que los auditores internos también se encarguen de la gestión de riesgos, o de cualquier otra función de la segunda línea de defensa, se dificulta discernir la segunda línea de defensa de la tercera.

En esos casos, para evitar conflictos de intereses institucionales, los organismos públicos deben establecer medidas de seguridad para no poner en peligro la eficacia de las funciones de auditoría interna. Por ejemplo, si el departamento de auditoría interna participa en actividades de la segunda línea de defensa, la tarea de garantizar seguridad a estas áreas específicas debe subcontratarse con proveedores externos o asignarse a otros departamentos. Conviene que el personal de auditoría interna evite asumir responsabilidad administrativa en aspectos sujetos a auditoría. En esos casos, la auditoría interna facilita y apoya a los actores responsables, pero no debe asumir esa tarea como suya.

De igual forma, si los auditores internos detectaran irregularidades que sugieran actividades fraudulentas o de corrupción, el caso deberá remitirse a investigadores calificados para que evalúen la veracidad de estos hallazgos. Una vez más, para evitar conflictos de intereses institucionales y reforzar los marcos de control interno, los auditores no deben ser responsables de encabezar investigaciones internas.

En la Ciudad de México, las auditorías internas por lo general están a cargo de auditores de la Contraloría General, ubicados en las unidades de control interno de las entidades gubernamentales. Aunque la mayoría de las secretarías y delegaciones de la ciudad cuenta con una unidad de este tipo, en el caso de las entidades gubernamentales solo 28 de 45 la tienen. La Contraloría General se ha propuesto enviar, al menos una vez al año, a un equipo de auditoría a las entidades que carecen de una unidad de control interno.

La Contraloría General no audita el desempeño, pero las auditorías internas incluyen una segunda etapa en la que se revisa la eficacia de los controles. Por consiguiente, la eficacia no se evalúa de forma sistemática, sino solo en áreas en las que hay razones para llevar a cabo auditorías tradicionales. En cualquier caso, parece haber confusión en cuanto a los conceptos de auditorías de cumplimiento y las enfocadas a medir la eficacia, pues casi todos los ejemplos aportados por funcionarios de la Ciudad de México pertenecían a la primera categoría más que a la segunda.

Al ser entrevistados, los funcionarios públicos indicaron que los auditores internos en ocasiones son estrictos, carecen de perspectiva y se centran en exceso en la aplicación de los manuales de procedimientos (a menudo obsoletos). También se considera que los auditores carecen de las habilidades sociales requeridas para asesorar a los funcionarios en caso de surgir dilemas éticos y situaciones difíciles. Más aún, el personal piensa que, en caso de solicitar orientación, se les podría someter a una auditoría o incluso se les sancionaría. Algunos entrevistados sugirieron que tal vez otra unidad podría encargarse de ofrecer asesoría ética y capacitación. Este grupo colaboraría con la Unidad de Control Interno, aunque manteniéndose la separación.

6.5.2. Como los lineamientos de la Contraloría General requieren que el programa de auditoría se fundamente en prioridades y en un análisis de riesgos, la Ciudad de México podría diseñar e implementar un enfoque basado en riesgos para seleccionar los aspectos por auditar.

En noviembre de 2011, la Contraloría General publicó directrices para realizar auditorías: los Lineamientos Generales para la Planeación, Preparación y Presentación de Programas de Auditoría de la Contraloría General del Distrito Federal. Estas directrices señalan que una prioridad de la Administración Pública del Distrito Federal es tener una administración pública moderna, tecnológicamente innovadora, con las facultades y recursos necesarios para cubrir las demandas de los ciudadanos con eficiencia, sencillez y sin procedimientos excesivos. Subrayan también objetivos específicos para los auditores internos, entre ellos:

• elaborar programas de auditoría basados en un enfoque proactivo que integre los resultados del estudio sobre los objetivos, prioridades y necesidades de la entidad gubernamental, la evaluación y gestión de riesgos, así como los aspectos estratégicos dictados por la Contraloría General;

• apoyar a las unidades gubernamentales en la innovación, mejora y modernización administrativas, así como en el desarrollo y la difusión de planes de control interno;

• promover el logro de las metas y objetivos institucionales con eficiencia, honestidad y transparencia, y contribuir de manera estratégica a la administración pública de la Ciudad, y

• promover programas de capacitación para que los auditores internos adquieran conocimientos actualizados que les apoyen a realizar intervenciones de alta calidad.

Convendría vincular los planes de auditoría a los objetivos de los organismos y que los realicen las unidades de control interno de cada secretaría o delegación. Los funcionarios indicaron que la mayoría de las auditorías internas se emprende por iniciativa de la ciudadanía más que mediante un sistema de planificación basado en riesgos. Sin embargo, sí hacen uso de cuatro criterios para asignar prioridad a los procesos de auditoría: importancia, presencia, monto del financiamiento y pertinencia. El análisis de riesgos y la priorización son fundamentales en el proceso de planificación de las auditorías internas, para asegurarse de que los recursos se destinen a las áreas de mayor necesidad y garantizar el mayor impacto posible.

La nueva Ley de Auditoría y Control Interno de la Ciudad de México de 2017 contiene más directrices para la planificación de auditorías. Sostiene (Artículo 22) que la etapa de planificación considerará, entre otras cosas, la importancia y el riesgo de las operaciones del organismo público auditado. También estipula (Artículo 8) que las auditorías podrán realizarse en cualquier momento determinado por la Contraloría General o su unidad administrativa, independientemente de las realizadas conforme al programa anual de auditorías. Es conveniente dar a los auditores esta independencia para ajustar su plan de auditorías, pues esto permite auditar oportunamente en los casos en que se presenten problemas o retos.

La Ciudad de México podría considerar el enfoque adoptado por la Auditoría Superior de la Federación (ASF). La agilidad operativa y estratégica de la ASF, incluso su capacidad para gestionar un alto volumen de auditorías, descansa en parte en la eficacia de su programación, el llamado Programa Anual de Auditorías para la Fiscalización Superior de la Cuenta Pública (PAAF). El PAAF es el marco metodológico de la Auditoría Superior de la Federación para identificar las auditorías que llevará a cabo a lo largo de un año. El programa de auditorías de la PAAF toma en cuenta diversos factores, como la autonomía técnica y administrativa de la ASF, la relativa importancia de las entidades auditadas, la variación en las cantidades asignadas respecto de la cuenta pública previa, su historial de auditorías, y quejas o solicitudes de la Cámara de Diputados. También incluye considerar los recursos disponibles, los tipos de auditorías por realizar y la experiencia del personal (OCDE, 2017[6]).

Las unidades individuales de auditoría de la ASF proponen la inclusión de auditorías o estudios en el proceso de programación. Las unidades disponen de cierta flexibilidad para definir su metodología de programación según la naturaleza de sus obligaciones, pero deben cumplir con lo dispuesto por el marco metodológico general. El PAAF incorpora una evaluación de riesgos para identificar y seleccionar prioridades en materia de auditoría, el cual incluye metodologías cuantitativas y cualitativas para calificar riesgos con base en 16 factores, así como la realización de comparaciones basadas en riesgos para asignar prioridades al trabajo por hacer. La programación eficaz de auditorías basadas en riesgos es un enfoque útil para que las instituciones auditoras dirijan los recursos correspondientes a las áreas que consideran esenciales, a partir de un conjunto predeterminado de criterios. La programación de auditorías basadas en riesgos contribuiría no solo al uso económico de recursos, sino también a la priorización basada en evidencias de los objetivos de política y el uso eficaz de los ingresos fiscales (OCDE, 2017[7]), p. 32.

6.5.3. La Ciudad de México podría fortalecer los mecanismos para que las unidades de control interno monitoreen la implementación de recomendaciones de las auditorías.

Algunos auditores internos indicaron que no hay mecanismos de seguimiento para la aplicación de recomendaciones o para evitar que se repitan las experiencias negativas. Los auditores también manifestaron que en ocasiones se presentaron problemas con entidades gubernamentales que pretendían interferir con los resultados de las auditorías. Las recomendaciones de la Auditoría solo son eficaces si se ponen en práctica. Las Instituciones Supremas de Auditoría (ISA) de otros países de la OCDE cuentan con métodos para dar seguimiento a las recomendaciones. Por ejemplo, la Oficina Nacional de Auditorías de Australia (ANAO) lleva a cabo cada año una selección de auditorías de seguimiento de desempeño de años previos para evaluar el acatamiento por parte de las entidades gubernamentales de las recomendaciones planteadas en auditorías de desempeño de años anteriores. Las entidades gubernamentales australianas también tienen Comités de Auditoría que se reúnen periódicamente, entre otras cosas, para supervisar la ejecución de recomendaciones, y la ANAO puede asistir a ellas como observador y/o solicitar las minutas de la reunión.

En Canadá, la Auditoría General de la Columbia Británica, oficina fiscal subnacional, publicó informes de seguimiento basados en las autoevaluaciones de entidades gubernamentales auditadas; asimismo, llevó a cabo auditorías de seguimiento para un número reducido de ellas (Recuadro ‎6.2). La Ciudad de México podría fortalecer los procesos para que permitan dar seguimiento a las recomendaciones, por ejemplo, con una selección de auditorías de seguimiento o mediante la organización de autoevaluaciones anuales.

6.5.4. La Ciudad de México podría revisar el proceso de planeación de auditorías para garantizar que la Contraloría General tenga mayor independencia del gobierno.

La Contraloría General es responsable de la auditoría, la evaluación y el control de la administración pública de las dependencias, delegaciones y entidades del gobierno de la Ciudad de México. La Contraloría General se encuentra en el mismo nivel del organigrama que la Auditoría Superior de la Ciudad de México y su titular es nombrado por el jefe de Gobierno, nombramiento que debe ratificar la Asamblea Legislativa. La Contraloría General no tiene independencia absoluta para determinar sus prioridades y sus planes de trabajo en materia de auditoría interna. Contar con mayor independencia le daría a la Contraloría mayor credibilidad, lo que a su vez generaría mejores resultados.

El Instituto Mexicano de la Competitividad (IMCO) y el Centro Universitario de Ciencias Económico Administrativas (CUCEA) de la Universidad de Guadalajara, concluyeron que la falta de autonomía es una debilidad generalizada en las oficinas superiores de auditoría de los estados. El trabajo de la OCDE con las auditorías superiores, ISA, ejemplifica uno de los efectos prácticos de esta falta de independencia sobre la rendición de cuentas. En un estudio realizado en 10 de ellas, la OCDE exploró las formas en que las ISA contribuyen al ciclo de políticas públicas, que incluye la formulación, implementación y evaluación de políticas y programas. Los resultados sugieren que las ISA requieren autonomía y flexibilidad para involucrarse a discreción en el ciclo de políticas (OCDE, 2017[7]). Si se aplica esto a México, es probable que los factores externos que limitan la independencia de las oficinas de auditoría reduzcan las contribuciones a las políticas y programas y, por tanto, limiten la aceptación de su trabajo por parte del Poder Ejecutivo.

La Organización Internacional de Instituciones Supremas de Auditoría (INTOSAI, por sus siglas en inglés) publicó una serie de documentos —como INTOSAI GOV 9100 – Guidelines for Internal Control Standards for the Public Sector— que destaca la importancia de la independencia para auditores internos y externos (véase el Recuadro ‎6.3).

6.6.1. La Ciudad de México podría implementar un marco sistemático de gestión de riesgos para fortalecer el marco de control interno.

El marco legislativo y de apoyo de la Ciudad de México, vigente hasta el 1 de septiembre de 2017, no incluía una estrategia sistemática de gestión de riesgos, elemento esencial de la segunda línea de defensa y de un sistema eficaz de control interno, en particular en relación con el combate al fraude y la corrupción. Los Lineamientos de Control Interno de la Administración Pública de la CDMX, expedidos el 8 de enero de 2018, crearon un sistema de gestión de riesgos. Su implementación será un reto para la CDMX y requerirá del compromiso político de los altos mandos de las dependencias.

Las buenas prácticas de gobernanza entre los países de la OCDE indican que la gestión de riesgos, más que una práctica administrada de manera aislada, debe considerarse parte integral del sistema de gestión institucional. La gestión de riesgos debe permear la cultura y las actividades de la organización de forma que sea asunto de todos en la organización.

La gestión de riesgos operativos inicia con el establecimiento del contexto y la definición de los objetivos de la organización. Continúa con la identificación de los eventos que podrían afectar sus logros. Los eventos que podrían causar un impacto negativo representan riesgos. La evaluación de riesgos es un proceso de tres pasos que comienza con la identificación del riesgo y continúa con su análisis, lo cual implica comprender cada riesgo, sus consecuencias, la probabilidad de que esas consecuencias ocurran, y la gravedad del riesgo. El tercer paso es la evaluación del riesgo, que implica determinar la tolerabilidad de cada riesgo para decidir si hay que aceptarlo o abordarlo. El tratamiento del riesgo es el proceso de ajustar los controles internos, o desarrollar e implementar nuevos controles para reducir la gravedad de un riesgo a un nivel tolerable (Gráfica ‎6.2).

Gráfica ‎6.2. Ciclo de gestión de riesgos según ISO 31000:2009

Fuente: Adaptado de ISO 31000:2009 (ISO, 2009[14]).

El proceso de establecer un contexto y evaluar y tratar el riesgo es lineal, en tanto que la comunicación y la consulta, el monitoreo y la revisión son continuos. El monitoreo y la revisión ayudan a identificar nuevos riesgos y a reevaluar los ya existentes cuando hay cambios en los objetivos de la organización o en su ambiente interno o externo. Esto significa explorar para ubicar posibles nuevos riesgos y conocer los riesgos y los controles a partir de un análisis de éxitos y fracasos (OCDE, 2013[15]).

Un método efectivo de control de riesgos es esencial para gestionar fraudes y corrupción públicos. La Oficina de Contabilidad del Gobierno de Estados Unidos (GAO) estableció un protocolo de gestión de riesgos para controlar riesgos de fraude en los programas federales. En el Recuadro ‎6.4 se describen sus prácticas y actividades en curso.

6.6.2. La Ciudad de México podría poner en práctica el marco de gestión de riesgos al asignar responsabilidades claras de gestión de riesgos a los altos mandos, ofrecer capacitación al personal y actualizar los sistemas, herramientas y procesos de gestión de riesgos.

Después de elaborar un sistema de gestión de riesgos, es necesario ponerlo en práctica. Se requiere recopilar información precisa y adecuada sobre el tema, asignar a los altos mandos responsabilidades claras de gestión y monitoreo de riesgos de manera continua, y todo el personal del sistema de gestión de riesgos necesita conocer el marco de gestión de riesgos y cómo incorporarlo a sus actividades y decisiones cotidianas.

Tener información apropiada y precisa es esencial para poner en marcha un marco de gestión de riesgos. Sin ella, se dificultan la evaluación, el monitoreo y la mitigación de los riesgos. La información que dé soporte a la gestión de riesgos se obtiene de varias fuentes, internas y externas, según el programa o área de trabajo. Un enfoque coherente de obtención, registro y almacenamiento de información de riesgos mejoraría la confiabilidad y la exactitud de los datos requeridos.

Para que un sistema de gestión de riesgos funcione con eficacia, es necesario asignar con claridad la responsabilidad sobre riesgos específicos a los directivos correspondientes. Estos directivos necesitan asumir los riesgos que pudieran afectar sus objetivos institucionales, utilizar la información sobre los riesgos para tomar decisiones sustentadas, y monitorear y gestionar activamente los riesgos a su cargo. Estos directivos también deben ser responsables ante el Ejecutivo de informar con regularidad sobre la gestión de riesgos, como casos de éxito, áreas de mejora y lecciones aprendidas.

El personal debe estar al corriente del sistema de gestión de riesgos y de los requerimientos clave por medio de actividades de capacitación y concienciación. La comunicación y la consulta al personal son también de gran importancia para asegurar su colaboración en los procesos de gestión de riesgos y propiciar que se responsabilicen de los resultados respectivos. Los empleados informados, capaces de reconocer y lidiar con riesgos de corrupción tienen más probabilidad de identificar situaciones que afecten negativamente el logro de los objetivos institucionales. Australia, país miembro de la OCDE, elaboró directrices para generar capacidad de gestión de riesgo en sus entidades, lo cual aporta datos útiles (Recuadro ‎6.5).

6.7.1. La Ciudad de México podría proporcionar capacitación adicional sobre ética e integridad a los auditores internos.

Los auditores internos también son pieza clave en el reforzamiento de una cultura de integridad y rendición de cuentas en la organización. Actúan como agentes de cambio al evaluar el entorno de control como parte de sus obligaciones y al motivar a los directivos a atender las fallas e ineficiencias en cuanto a la eficacia y madurez del entorno de control.

Un elemento clave para mantener un entorno eficaz de control interno consiste en asegurarse del mérito, profesionalismo, estabilidad y continuidad del personal de auditoría. Corresponde a las entidades públicas diseñar mecanismos para atraer, desarrollar y retener a personas competentes que posean el conjunto correcto de habilidades y el compromiso ético para trabajar en el área de control y auditoría. La capacitación, certificación y desarrollo de competencias de investigación y auditoría contribuyen a aumentar la eficacia de la tercera línea de defensa, pues refuerzan la credibilidad del auditor.

La nueva Ley de Auditoría y Control Interno para la Administración Pública de la Ciudad de México, publicada el 1 de septiembre de 2017, estipula que se requiere un proceso de certificación para auditores internos, así como condiciones específicas que los funcionarios deben cumplir (artículos 16 y 17). Por otra parte, la Contraloría General afirma que la Escuela de Administración Pública ha realizado un buen número de actividades de capacitación sobre ética, integridad y conflicto de intereses (véase el Capítulo 3). El contenido de los cursos de capacitación que se ofrecieron a los funcionarios públicos sí aborda la ética, pero muchas veces la perspectiva es más teórica que práctica. Cursos que ofrezcan más ejemplos y se ajusten a las responsabilidades específicas de los funcionarios públicos ayudarían a reforzar la estrategia de concientización general. Algunas iniciativas de mayor nivel para resolver el problema de falta de conocimientos expertos y capacidad de los auditores internos podrían ser la elaboración de módulos personalizados de capacitación en cooperación con el Instituto Nacional de Administración Pública, y colocar centros de capacitación en las secretarías, instituciones auditoras, asociaciones profesionales y universidades relacionadas.

La Contraloría General y los auditores internos proporcionan cierta capacitación al personal operativo. Realizan actividades de concientización (aunque no hay un requerimiento legal para hacerlo), y están en disposición de brindar asesoría y orientación específicas a los servidores públicos. Sin embargo, como ya se mencionó, el personal percibe que, en caso de solicitar apoyo, corren el riesgo de ser auditados o sancionados, por lo que sería conveniente que dicha función esté a cargo de una unidad que se encargue de asesorarlos para prevenir la existencia de conflictos de interés y de actos de corrupción.

La Contraloría General (en particular la Dirección de Coordinación General de Evaluación y Desarrollo Profesional) pone énfasis en la formación inductiva y establece contacto con las entidades gubernamentales para asegurarse de que se organicen programas de capacitación para generar conciencia en el personal de nuevo ingreso sobre cuestiones de ética, conflicto de intereses, seguridad e integridad. Algunos funcionarios señalaron que muchas veces los contenidos de capacitación son obsoletos. El nivel de capacitación proporcionado varía de una entidad a otra y depende de la iniciativa del auditor interno local.

Establecer un marco eficaz de control interno

• La Ciudad de México podría elaborar una estrategia de comunicación y desarrollo de capacidades para dar a conocer los nuevos lineamientos de control interno, auditoría y de las intervenciones en la administración pública.

Adoptar el modelo de las Tres Líneas de Defensa.

• La Ciudad de México podría aplicar los principios del modelo de las Tres Líneas de Defensa para perfeccionar su marco de control interno.

Establecer medidas de control interno.

• La Ciudad de México podría crear un sistema de rendición de cuentas para garantizar que los manuales de procedimientos sean congruentes, se actualicen con regularidad y contengan procedimientos eficientes.

Perfeccionar la función de las Unidades de Control Interno y fortalecer la independencia de la Contraloría General.

• Convendría a la Ciudad de México separar con claridad las líneas de defensa al asignar a los altos mandos —no a los auditores internos— la responsabilidad de implantar la gestión de riesgos, al igual que el diseño y la puesta en operación de controles internos.

• Como los lineamientos de la Contraloría General requieren que el programa de auditoría se fundamente en prioridades y en un análisis de riesgos, la Ciudad de México podría diseñar e implementar un enfoque basado en riesgos para seleccionar los aspectos por auditar.

• La Ciudad de México podría fortalecer los mecanismos para que las unidades de control interno monitoreen la implementación de recomendaciones de las auditorías.

• La Ciudad de México podría revisar el proceso de planeación de auditorías para garantizar que la Contraloría General tenga mayor independencia del gobierno.

Implementar un marco de gestión de riesgos.

• La Ciudad de México podría implementar un marco sistemático de gestión de riesgos para fortalecer el control interno.

• La Ciudad de México podría poner en práctica el marco de gestión de riesgos al asignar responsabilidades claras de gestión de riesgos a los altos mandos, ofrecer capacitación al personal y actualizar los sistemas, herramientas y procesos de gestión de riesgos.

Reforzar la profesionalización de los auditores internos.

• La Ciudad de México podría proporcionar capacitación adicional sobre ética e integridad a los auditores internos.