4. Fortalecer el modelo de control interno y la implementación efectiva de gestión de riesgos en el Estado de México

El Estado de México debe adelantar esfuerzos para desarrollar un marco normativo que sea la base de un cumplimiento cotidiano y real del control interno

El Estado de México cuenta con un sólido marco normativo para promover un ambiente de control adecuado y orientado a la integridad pública. El Modelo Estándar de Control Interno fija como objetivo del control interno proporcionar una seguridad razonable en el logro de objetivos y metas de la institución dentro de las categorías de operación, información, cumplimiento y salvaguarda. Asimismo, advierte que el ambiente de control es la base que proporciona disciplina y estructura para lograr un sistema de control interno eficaz, e instruye que el titular, la administración y el órgano de gobierno, en su caso, deberán mantener un ambiente de control para brindar respaldo al control mediante la exhibición de una actitud de apoyo y compromiso, el ejercicio de la responsabilidad de vigilancia, el establecimiento de la estructura, responsabilidad y autoridad, demostrar compromiso con la competencia profesional y establecer la estructura para la rendición de cuentas. Asimismo, el Estado de México cuenta con normas legales y planes en una serie de materias esenciales para un ambiente de control, como son los objetivos de desarrollo, la responsabilidad administrativa, las obligaciones éticas y de conducta y el control financiero, entre otros.

Además de construirse formalmente, el ambiente de control debe operar como un ambiente de control real. Se trata de uno de los desafíos que enfrentan las instituciones públicas y los Estados. Latinoamérica cuenta con una larga tradición de normas legales y formalidades, en el desarrollo de su historia, que usualmente no van acompañados de una cercanía entre la realidad normativa y la fáctica. Los indicadores de cumplimiento de la ley, o rule of law, en estos países (Banco Mundial, 2018) son bajos; México en 2018 muestra un rango percentil de 27.4/100, muy por debajo de Brasil (44.2/100) y Chile (83.7/100). En ese contexto, durante la visita de la misión de la OCDE fue manifiesta la solidez de la nueva normativa nacida al amparo del Sistema Nacional Anticorrupción, incluida aquella sobre control interno, al igual que la existencia de una cultura de cumplimiento formal y rutinario, en muchos casos disociada del objetivo de tales normas.

Numerosas respuestas al cuestionario para el Estudio de la OCDE sobre Integridad en el Estado de México, acerca de la existencia de estrategias, políticas, mecanismos y sistemas para promover y garantizar la integridad pública, se remitieron a identificar normas, estructuras organizacionales y actividades formales como reuniones periódicas, sin apuntar al desarrollo de elementos dinámicos para el control. Se pudo constatar la existencia de una serie de mecanismos que contribuyen al ambiente de control, pero que no son concebidos como expresión de la práctica de un ambiente de control, o bien son gestionados como herramientas jurídicas que deben cumplir con un resultado formal cada cierto periodo de tiempo. En ese contexto, el marco normativo no aporta lo suficiente al cumplimiento cotidiano y real del control interno.

El Estado de México se beneficiaría al desarrollar mecanismos, herramientas y sistemas que incentiven, faciliten y evalúen el cumplimiento de los objetivos del marco normativo, de manera que el ambiente de control, mediante un conjunto de instrumentos activos, genere una cultura de cumplimiento de las expectativas, tanto respecto de los objetivos como de los medios utilizados por las instituciones públicas y su personal para el logro de los mismos. Un ambiente de control está compuesto por una serie de estándares, procesos y estructuras que constituyen la base para llevar a cabo el control interno. Tales estándares, procesos y estructuras deben ayudar a que la organización demuestre un compromiso con la integridad, atraiga funcionarios competentes alineados con los objetivos, y responsabilice a las personas por sus deberes de control interno. Pero esto no depende únicamente de normas jurídicas obligatorias, también debe traducirse en políticas, mensajes, orientaciones y mecanismos activos, que promuevan una cultura de integridad organizacional. Además, para que un esfuerzo así sea sostenible, debería adoptarse dicho enfoque en todas las áreas de interacción del estado con los ciudadanos y beneficiarios mexiquenses, haciéndolos partícipes de la aplicación de un adecuado ambiente de control, especialmente a través del mayor conocimiento de sus derechos y normas aplicables, pero también mediante la adopción de valores cívicos y del uso de mecanismos que los involucren en la protección de los recursos públicos.

El control interno es un proceso que vincula a todo el personal de las instituciones, y no solo a un grupo de responsables

El control interno es definido por el Commitee of Sponsoring Organizations of the Treadway Commission (COSO) como un proceso diseñado para proporcionar seguridad razonable en relación con el logro de objetivos operacionales, de información y de cumplimiento de la organización, y ejecutado por la junta de directores, la administración principal y un conjunto de personal de la entidad. Similar definición adopta la normativa interna del Estado de México, poniendo el énfasis en que el control interno se trata de un proceso, entre otras cosas, que define roles específicos de una serie de actores quienes son denominados en dicho proceso: titular de la institución, coordinador de control interno, enlace del Sistema de Control Interno Institucional, responsables de las unidades administrativas/procesos, órgano fiscalizador, enlace de administración de riesgos y el Comité de Control y Desempeño Institucional (COCODI). Sin embargo, la concepción tras esa definición es operativa y busca orientar a los principales responsables sobre cómo deben realizar el control interno, clarificando los pasos a ejecutar. Esta concepción de proceso, vista aisladamente, está presente en muchas organizaciones de todo tipo.

El Estado de México no escapa a este fenómeno, presente en la cultura organizacional de la gran mayoría de sus dependencias y organismos auxiliares. Tanto conceptual como operativamente, las normas sobre la materia han identificado a los actores y los elementos más importantes del proceso de control interno en una secuencia de cinco pasos, lo que puede inducir al personal a creer que el control interno es solo una secuencia que está lejos de sus funciones normales y que se encuentra encapsulado en las funciones exclusivas de un grupo de personas. Esta creencia incentiva la desvinculación del personal y de parte importante de directivos y jefaturas de área, que poseen un rol en la implementación y funcionamiento permanente de un sistema de control interno.

En particular, la función del COCODI y de los Órganos Internos de Control (OIC) no está siendo cabalmente comprendida, en cambio, parece arraigarse en la cultura organizacional de las dependencias y organismos auxiliares la noción de que el control es una tarea ajena al personal. A esta creencia se suma la complejidad de un sistema operado por numerosos responsables especializados en su función de control. A los actores señalados se agregan otros que cumplen funciones de control, específicamente en el COCODI: presidente del COCODI, enlace del comité, vocal ejecutivo y miembros del comité. Todo este entramado tiene una complejidad que dificulta la apropiación del control por el personal ajeno a los roles establecidos para los actores del sistema de control interno y el COCODI.

En consecuencia, el Estado de México, a través de la Secretaría de la Contraloría (SECOGEM), podría adoptar una línea de trabajo orientada a sensibilizar a todo el personal acerca del rol que le corresponde en la tarea del control en sus respectivos niveles organizativos. Junto con esto, podría llamarse la atención sobre medidas clave que todas las instituciones podrían impulsar para desarrollar un ambiente de control basado en la integridad, de manera que se aliente la participación de las múltiples unidades de cada institución en promoverla. Este tipo de medidas pueden observarse en el Recuadro 4.1 que a continuación presenta ejemplos tomados de documentación de la Unión Europea sobre la materia.

Resulta vital lograr la apropiación del control por parte de los funcionarios

Si se mira el control interno desde una perspectiva organizacional y dinámica, este funciona como un sistema, es decir, un conjunto de elementos que operan de manera que aquello que sucede en uno afecta al resto, y viceversa. El informe COSO de 2013 (COSO, 2013[3]) enfatiza la importancia de que cada uno de los cinco componentes y sus principios estén presentes y funcionando íntegramente. Esto significa que los componentes y principios estén formalmente establecidos y se apliquen de manera cotidiana en las operaciones propias de la institución de manera integral, o sea, que interactúen conjuntamente. Estas características de funcionamiento del Modelo Integrado de Control Interno se traducen en la necesidad de funcionar de manera sistémica y permitan comprender mejor la importancia de la afirmación de que el control es responsabilidad de todo el personal, con especial importancia de la alta dirección.

De hecho, el control interno no debe ser concebido como una serie de reuniones periódicas en el año, llevadas a cabo por actores especializados que tratan asuntos de difícil comprensión, bajo una suerte de rutina burocrática plasmada en actas y registros formales, pero que no impacta en la organización. Si el control es concebido como una actividad ininterrumpida de las diversas unidades en sus respectivos niveles de decisión, dirigida a asegurar el cumplimiento de los objetivos organizacionales en un marco de respeto de las normas y políticas, es más fácil transmitir al personal el aporte que cada unidad puede dar en su ámbito de responsabilidades y recursos. La alta dirección de cada entidad, y las jefaturas intermedias, deben ser sensibilizadas sobre el carácter sistémico del control interno, sobre el impacto que ejercen las medidas de control de una unidad, o su omisión, en el resto de las unidades organizacionales y en los resultados de la institución, así como sobre la necesidad de utilizar adecuadamente los mecanismos de control interno. Por ejemplo, el sistema de control interno de Francia se centra en la responsabilidad de los directivos y asigna al administrador del programa la función de redactar los objetivos estratégicos y emprender la ejecución operacional (véase el Recuadro 4.2).

El Estado de México también enfrenta este reto. De acuerdo con la respuesta del Estado de México al cuestionario de la OCDE, uno de los desafíos para integrar el control en las actividades diarias de las instituciones del estado es la creencia de que los procesos de control interno son considerados como un mero formalismo y una carga burocrática, y no como una herramienta para promover la integridad y mejorar el desempeño.

El Estado de México podría fortalecer, a través de las instrucciones, planes y capacitación de la Secretaría de Finanzas y la SECOGEM, las tareas de sensibilización y asesoría al personal respecto del rol que le corresponde en cada nivel, a los funcionarios y jefaturas de áreas críticas y de apoyo, la aplicación de acciones de identificación de riesgos, y la ejecución de controles e información. Especial atención podría prestarse a la necesidad de que el personal clave se apropie de la aplicación y desarrollo de un sistema de control interno. La incorporación del control interno en las actividades cotidianas de la administración requiere un esfuerzo alineado con la Secretaría de Finanzas, la cual ejerce labores de planificación, seguimiento de metas y capacitación del personal del gobierno estatal, y con la SECOGEM, encargada de promover el control interno y la evaluación gubernamental.

El personal clave en la etapa actual de implementación incluye los cargos de jefaturas de las áreas sustanciales y de apoyo. Este personal se encuentra en una posición intermedia entre la alta dirección y el resto del personal. Se trata de un segmento de funcionarios que conoce las respectivas áreas y sus operaciones, comprende sus riesgos y está cerca de la toma de decisiones sobre control en lo cotidiano. Hasta el momento cumplen una función central y técnica en el funcionamiento del sistema, participando en la elaboración de los proyectos institucionales de la matriz y mapa de administración de riesgos, el Programa de Trabajo de Administración de Riesgos (PTAR), y eventualmente del COCODI.

Después de una etapa inicial de implementación del sistema de control interno en la mayoría de las dependencias y organismos auxiliares, es conveniente identificar aquellas instituciones en condiciones de pasar a una etapa posterior de aplicación, enfocada en la sensibilización y capacitación de las jefaturas y directivos, incorporando herramientas de apropiación del control, con miras a fortalecer su desempeño y el cumplimiento de las metas en sus áreas respectivas, bajo un ambiente de integridad y rendición de cuentas. Resulta necesario en esta etapa asegurar el impacto del sistema de control interno en la planificación y la toma de decisiones de los administradores, para lograr la integración del control interno y la gestión de riesgos.

La Gráfica 4.1 ilustra cuatro etapas básicas de la integración del control interno y de los procesos de gestión de riesgos en la gobernanza y sistemas de gestión de la organización.

Gráfica 4.1. Las etapas básicas de la integración del control interno

Fuente: OCDE.

También, el Estado de México, mediante la acción coordinada de la Secretaría de Finanzas y la SECOGEM, podría incluso evaluar otros mecanismos, como la elaboración de perfiles claros de quienes tienen responsabilidades principales en el sistema de control y la aplicabilidad de las normas de responsabilidad administrativa por la omisión del control, como una manera de incentivar una visión más integrada y efectiva del modelo, pero también para reforzar la rendición de cuentas de estas jefaturas respecto del desempeño de sus áreas. En este sentido apunta el Principio Nº 5 del Marco de Control Interno del Informe COSO (COSO, 2013[3]) al señalar la importancia de hacer cumplir la rendición de cuentas estableciendo mecanismos a través de la gerencia y los directores para comunicar y hacer responsables a las personas por el desempeño de las responsabilidades de control interno de la organización y ejecutar acciones correctivas si fuera necesario. Más aún, el principio promueve que se evalúe el desempeño de tales responsabilidades y se ofrezcan premios o acciones disciplinarias, en la medida que sea necesario. En Estados Unidos, la circular A-123 de la Oficina de Administración y Presupuesto resalta la responsabilidad de la administración en el área de control interno (véase el Recuadro 4.3).

El compromiso visible de los directivos debe ir más allá del mínimo establecido en las normas

Atendiendo a que el funcionamiento de un sistema de control interno requiere el compromiso de la alta dirección, y que el ambiente de control instituido en las normas del Estado de México demanda de los titulares y los órganos de dirección una actitud de compromiso, especialmente mediante el ejemplo en la práctica de los valores, la filosofía y el estilo operativo, el Estado de México podría evaluar las herramientas de los directivos para demostrar su propio compromiso con la integridad pública, verificar tal compromiso y posibilitarles ir más allá del cumplimiento formal mínimo establecido en las normas.

Crear y mantener un ambiente de control es la base para lograr un sistema de control interno eficaz, por lo anterior, el gobierno del Estado de México debe adoptar medidas para asegurar el mínimo exigido en las normas, aplicando plenamente el modelo establecido en el Acuerdo sobre Disposiciones y el Manual Administrativo en Materia de Control Interno para las dependencias y organismos auxiliares del Gobierno del Estado de México. Junto con esto, el Estado de México podría adoptar medidas para promover activamente que se supere dicho mínimo, especialmente por parte de los tomadores de decisiones públicas y quienes deben liderar una gestión al servicio de la ciudadanía.

La Recomendación del Consejo de la OCDE sobre Integridad Pública, al tratar sobre el desarrollo de una cultura de integridad pública, señala que los países deberán asistir “a los responsables en su función de líderes éticos mediante el establecimiento de instrucciones precisas, prestando apoyo organizativo (como control interno, instrumentos de recursos humanos y asesoramiento jurídico) y proporcionando formación y orientación periódicas para promover una mayor concientización, y mayores competencias, sobre el ejercicio de un discernimiento adecuado en cuestiones que afecten la integridad pública”. Como señala el Acuerdo sobre Disposiciones y el Manual Administrativo en Materia de Control Interno “la actitud de respaldo de los titulares, la administración y el órgano de gobierno puede ser un impulsor o un obstáculo para el control interno”.

Como impulsores, los directivos públicos deben liderar con una actitud de respaldo activo al control interno, demostrando la importancia de la integridad, los valores éticos y las normas de conducta, en sus directrices, actitudes y comportamiento, mediante instrucciones, iniciativas personales y el ejemplo. Este compromiso y actitud, también denominado tono de la dirección (tone from the top, en inglés) es una muestra de la voluntad política de la alta dirección para hacer las cosas correctamente. Este liderazgo de la alta dirección, que resulta indispensable en materia de control interno, debe canalizarse mediante mensajes claros marcando el tono de la dirección hacia toda la organización. En la medida que el tono es palpable, puede provocar un impulso favorable al cumplimiento de los fines y metas de cada institución pública por parte del personal y generar mayor legitimidad ante la ciudadanía. En este sentido, la SECOGEM podría proponer y facultar a los directivos públicos, en sus diversos niveles, iniciativas, mecanismos y herramientas adicionales para la integridad, que faciliten superar los estándares mínimos esperados. Estos pueden comprender campañas continuas de difusión externa e interna con mensajes clave de la dirección sobre los objetivos de control e integridad, orientaciones específicas de la alta dirección acerca de áreas de riesgo en un sector o entidad (recepción de regalos, mérito en las contrataciones, manejo de conflictos de intereses con proveedores, etcétera), la premiación de buenas prácticas de control, el reconocimiento de liderazgos éticos en los mandos intermedios, entre otros.

El Estado de México debe fortalecer la capacitación en control interno y ética pública y llevarla a todos los funcionarios públicos

La capacitación es una herramienta básica para facilitar la alineación de los objetivos personales de los funcionarios con los objetivos de sus instituciones públicas y así dotarlos de conocimiento y herramientas para desarrollar una actividad eficaz y eficiente orientada al bien común. Por lo anterior, deben explorarse mecanismos que aseguren un nivel suficiente de contribuciones al ambiente de control. El Estado de México podría adoptar medidas para ampliar la cobertura y profundidad de las funciones de capacitación en materia de control y de ética pública, tomando en cuenta que uno de los principales retos detectados para integrar los componentes y procesos de control interno con la administración de las actividades diarias en las instituciones públicas del Estado de México, es la existencia de personal con habilidades y conocimientos insuficientes sobre control interno, estándares y herramientas (de acuerdo con las respuestas al cuestionario de la OCDE). Si bien la SECOGEM realiza una constante labor de capacitación en las instituciones públicas, no cuenta con el personal ni los recursos suficientes para dar cobertura a los más de 200 mil funcionarios públicos que requieren dicha capacitación cada año. Además, no existe una oferta pública de capacitación en materia de integridad en el Estado de México que permita cumplir suficientemente con los objetivos en esta materia, y tampoco se visualizan programas y presupuestos de capacitación en control y ética pública a nivel de las dependencias y organismos auxiliares.

La función de capacitación del personal es una tarea permanente de los estados, orientada a la búsqueda continua de adhesión de los empleados a los intereses y valores de cada institución pública, a la vez que es un instrumento esencial de formación y especialización para la mejora de la eficacia, eficiencia y calidad de los servicios que se brindan a la ciudadanía. Como señala la Organización Internacional del trabajo (OIT) “se reconoce cada vez más que capacidades y habilidades de las personas, la inversión en educación y formación, constituyen la clave del desarrollo económico y social. La calificación y la formación aumentan productividad e ingresos, y facilitan la participación de todos en la vida económica y social”.

La carencia de una oferta suficiente y permanente de capacitación del personal de las dependencias y organismos auxiliares en materia de integridad, rendición de cuentas y control puede limitar seriamente la implementación del conjunto de reformas nacidas del Sistema Estatal Anticorrupción, así como el desarrollo de políticas sostenibles de cambio cultural hacia la integridad y eficiencia en el Estado.

En consecuencia, el Estado de México debería rediseñar, sobre la base de un diagnóstico y objetivos alcanzables, programas, canales y herramientas de capacitación que le permitan alcanzar en un plazo razonable una cobertura completa del personal, prioritariamente el de áreas críticas en materia de cumplimiento legal y ético, como son operaciones de compras, contratación de personal, toma de decisiones regulatorias, uso de recursos públicos y entrega de beneficios y asignaciones estatales, entre otras. Para ello podría apoyarse en las TIC y en cursos en línea, en metodologías de formación por competencias y en estrategias prácticas para el aprendizaje. Asimismo, podría identificar aliados de mediano y largo plazo en el sector público, privado y universitario, del nivel estatal, federal e internacional, que le permitan dar sostenibilidad a las iniciativas de capacitación e introducir actividades complementarias de especialización.

La SECOGEM podría aprovechar más su sistema de información para asesorar al gobierno

El sistema de información implementado por la SECOGEM le brinda, bajo ciertas condiciones, una alta capacidad para asesorar al más alto nivel y en los distintos sectores al gobierno, sobre auditoría interna, control interno e integridad. El gobierno del estado podría contar, por ejemplo, con reportes oportunos y consolidados sobre riesgos que pueden afectar el desempeño en áreas clave de política y del Plan Estatal de Desarrollo, así como recomendaciones estratégicas sobre objetivos de control, coordinación interinstitucional y fortalecimiento institucional y tecnológico, a nivel estatal. Estos reportes podrían informar de manera consolidada y oportuna sobre los objetivos y metas estratégicas en riesgo, los factores que inciden y las propuestas de medidas correctivas. Estos informes estarían dirigidos a la más alta autoridad del Ejecutivo, y a los titulares de las secretarías si correspondiera, para una toma de decisiones estratégicas y de política del gobierno.

Sin embargo, para que la SECOGEM aproveche las potencialidades de las estructuras de auditoría y control interno de la administración, así como su sistema de información, debería asegurarse de que se cumplen ciertas condiciones. Una de ellas es la seguridad de la información. Hoy en día esta es clave para el gobierno de cualquier negocio, empresa o institución, y los sistemas de información afectan la gestión de la organización. Por esto, la SECOGEM debe asegurar que la información y sus sistemas guardan las características de confidencialidad, integridad y disponibilidad, propios de un sistema de gestión de la seguridad de la información, como se define en la ISO 27.001 sobre seguridad de los activos de información.

Para la toma de decisiones basadas en información sobre control es, en especial importante, la integridad de la misma, de manera que tanto esta como sus métodos de procesos y sistemas sean exactos y completos. Esto implica que la información sobre auditoría debe cumplir con estándares de calidad, y que la información sobre control interno y riesgos debe estar asegurada mediante procesos ejecutados por la auditoría interna como opinión técnica independiente de las áreas de gestión. De allí surge la importancia de la independencia de los OIC en materia de auditoría interna, que debe perseguirse siguiendo el modelo de las Tres Líneas de Defensa, en que el papel de la auditoria interna es de aseguramiento, quedando excluida de tareas propias de la línea de gestión, como se verá en la subsección “La separación de los roles y tareas en tres líneas de defensa puede ayudar a definir claramente las funciones y responsabilidades” en este Capítulo 4.

Otra condición para aprovechar las potencialidades de las estructuras de auditoría y control interno es contar con capacidad para generar análisis de alto valor para la gestión. Esto tiene que ver con que la SECOGEM adquiera y desarrolle capacidad de análisis estratégico y de valor para la gestión del gobierno, de manera que la alta dirección gubernamental cuente con insumos valiosos para lograr un mejor desempeño al servicio de la población. Esta capacidad de análisis puede apoyarse en centros de estudios o universidades en el estado o en referentes federales con experiencia en la formulación de análisis estratégicos. Los convenios que ha suscrito la SECOGEM con diversas instituciones públicas, privadas y académicas, como la Universidad Autónoma del Estado de México, la Secretaría Ejecutiva del Sistema Nacional Anticorrupción, la Fiscalía General de Justicia, el Instituto de Transparencia, Acceso a la Información Pública y Protección de Datos Personales del Estado de México y Municipios (INFOEM), el Órgano Superior de Fiscalización del Estado de México (OSFEM) y 66 ayuntamientos, por ejemplo, deberían traducirse en proyectos de fortalecimiento de la capacidad institucional y estratégica, con financiamiento incorporado en el presupuesto y resultados de corto plazo.

La gestión de riesgos debe ser parte integral de la gestión institucional

Las prácticas de gobernanza en los países miembros de la OCDE indican que la gestión de riesgos debe considerarse parte integral del marco de gestión institucional, en vez de manejarse de manera aislada. La gestión de riesgos debería impregnar la cultura y las actividades de la organización, de modo que sea de importancia para todos los que laboran en ella. Los empleados informados son capaces de reconocer y atacar la corrupción y tienen más probabilidades de identificar las situaciones que pueden socavar los objetivos institucionales y los del área bajo su responsabilidad.

En el sector público, el concepto de gestión de riesgos operacional debe incluir los sistemas, procesos y cultura que ayuden a identificarlos, evaluarlos y atenderlos a fin de coadyuvar a que las entidades del sector público logren sus objetivos de desempeño (OCDE, 2013[8]). El primer paso de la gestión de riesgos operacional es establecer el contexto y fijar los objetivos de la institución. El siguiente es identificar los acontecimientos que podrían afectar la consecución de esos objetivos. Los acontecimientos que pueden tener un efecto negativo son riesgos. Su valoración es un proceso de tres pasos que comienza por identificarlos, le sigue el análisis de riesgos, que implica la capacidad para entender cada uno, sus consecuencias, la probabilidad de que ocurran esas consecuencias y la gravedad del riesgo. El tercer paso es la evaluación de riesgos para determinar la tolerancia de cada riesgo y, por tanto, si este debe aceptarse o tratarse. El ciclo de gestión de riesgos puede visualizarse a continuación en la Gráfica 4.2.

Gráfica 4.2. El ciclo de gestión de riesgos

Fuente: Adaptado de ISO 31000:2009 Gestión de Riesgos.

En cada contexto nacional y organizacional, la gestión de riesgos debe adquirir una identidad propia. Esta se realiza primero mediante la adaptación del Marco de Control Interno a las características, limitaciones y posibilidades de acción de cada contexto. Pero, para que la gestión de riesgos adquiera profundidad y apropiación, debe dotarse a los responsables y directivos de orientaciones y herramientas prácticas que la faciliten, incluidos los de integridad. El Estado de México cuenta con una base normativa y organizacional que le permitiría obtener un mayor nivel de identidad, especialmente entre los directivos públicos.

El riesgo es definido como la posibilidad de que un evento ocurra y afecte de manera adversa el logro de objetivos. De acuerdo con el Modelo Integrado de Control Interno (COSO, 2015[9]) la evaluación de riesgos envuelve un proceso iterativo y dinámico para identificar primero, y evaluar después, los riesgos en el logro de los objetivos organizacionales, a manera de establecer cuáles son tolerables. De esta forma, la evaluación de riesgos integra la base para determinar cómo deben ser gestionados. El objetivo final es impedir que los riesgos se materialicen afectando la consecución de los objetivos y metas de la organización.

Las entrevistas y reuniones del equipo de trabajo de la OCDE en las visitas al Estado de México aportaron información concluyente acerca de la existencia de una noción distorsionada de riesgo entre el personal y directivos que dificulta o inhibe la identificación de riesgos relevantes, incluidos los de fraude y corrupción. De acuerdo con estos antecedentes, el personal podría no identificar eventualmente los riesgos relevantes en sus operaciones y procesos, debido a que esto implicaría que se están cometiendo errores en la gestión de sus áreas. La distorsión se debería a una falsa identidad entre riesgo y error por parte de los funcionarios públicos, lo que los inhibiría de identificarlos –eventos futuros e inciertos– por temor a estar constatando o denunciando fallas o negligencias –eventos actuales y reales. Este tipo de distorsión afecta el debido funcionamiento de los procesos de control interno en las dependencias y órganos auxiliares. Debe advertirse que el riesgo que se omite no puede ser anticipado ni mitigado, generando espacios propicios para la ineficiencia y, eventualmente, la corrupción. De esta manera, el Estado de México, a través de la SECOGEM, podría incluir en sus lineamientos y planes de trabajo la sensibilización del personal, especialmente de los directivos y gerentes, sobre la noción de riesgo, sus diversos tipos, y las ventajas de identificarlo como mecanismo preventivo y anticipatorio, que aporta a la obtención de los resultados de cada área e institución, especialmente cuando se trata de riesgos para la integridad.

Sería conveniente que la SECOGEM también desarrolle en sus instrumentos técnicos nociones claras y compartidas sobre qué constituye un riesgo, de manera que al menos los servidores públicos encargados de su identificación, y los auditores internos en su función de aseguramiento, cuenten con un marco orientador común y concreto acerca de las conductas y distintos fenómenos que pueden afectar los objetivos de sus organizaciones. La noción de riesgo es genérica, de manera que, en la fase de identificación de los riesgos, se deben facilitar a los funcionarios categorías concretas de riesgo, incluyendo el de integridad. En este punto, la SECOGEM podría contribuir a la mejor comprensión de la noción del riesgo de integridad mediante manuales técnicos que incluyan catálogos de prácticas no éticas y delitos de corrupción, basados en la experiencia local y en los registros existentes en materia de responsabilidad administrativa y penal en el sector público. Asimismo, dichos manuales y las actividades de capacitación podrían fortalecerse mediante ejemplos basados en hechos reales sobre los efectos adversos para la población de no identificar oportunamente riesgos de integridad en las dependencias y organismos auxiliares. Es altamente relevante mostrar a los funcionarios públicos la relación directa entre sus labores en materia de control y prevención de la corrupción, y la recepción satisfactoria de bienes y servicios estatales de la población, es decir, entre su desempeño ético y el bienestar de la ciudadanía.

Si los funcionarios no se apropian del riesgo, la administración no podrá abordar las deficiencias del control

La apropiación del riesgo por parte de los funcionarios es vital para el correcto tratamiento de las deficiencias del sistema de control interno. De acuerdo con el Modelo Integrado de Control Interno (COSO, 2013[3]), la organización debe identificar los riesgos en el logro de los objetivos y analizar cuáles deben ser gestionados, a la vez que la misma debe seleccionar y desarrollar actividades de control que contribuyan a mitigarlos hasta lograr niveles aceptables. En el Estado de México esta tarea está asignada por norma a una serie de actores institucionales, entre los que se encuentran el titular, el coordinador de control interno, enlaces del sistema de control interno y responsables de unidades administrativas/procesos. En los hechos, debido al desconocimiento en la materia por parte de muchos participantes de esta estructura, el OIC se ve en la posición de participar en la identificación de riesgos y controles, o complementando los que consideran análisis de riesgo incompletos.

A pesar del mayor conocimiento que pueden tener los miembros de la función de auditoría interna de los OIC sobre los riesgos y controles, esta no debe ser una labor de la auditoría interna o de quien haga sus veces, sino una labor de los responsables de gestionar las áreas en sus diversos niveles. Los funcionarios deben realizar estas actividades en el nivel operativo y en los niveles transversales de gestión. El hecho de que sean los funcionarios responsables de la gestión quienes efectúen ambas tareas, sin que el OIC reemplace sus análisis y decisiones, ayudaría a la apropiación del riesgo por su parte, y a que visualicen una relación directa entre los riesgos, las actividades de control y el desempeño cotidiano de sus áreas, lo que es esencial para favorecer el logro de los objetivos y resultados institucionales. El Estado de México podría tomar acciones para asegurar que la identificación y tratamiento de los riesgos sea efectuado por quienes gestionan las organizaciones, apropiándose de la posibilidad de que se materialicen fenómenos adversos para las metas fijadas, pero también de las soluciones políticas, técnicas y operativas para evitarlos o mitigarlos.

Una manera de asegurar la apropiación es incorporar en el entorno de control y en las prácticas organizacionales la noción de las Tres Líneas de Defensa. De acuerdo con dicho modelo, “la primera línea de defensa se adueña del riesgo y define el diseño y la ejecución de los controles de la organización para responder a tales riesgos” (Anderson and Eubanks, 2015[10]). La primera línea de defensa la desempeñan los gerentes operativos, quienes “desarrollan e implementan los procesos de gestión de riesgo y control de la organización. Estos incluyen procesos de control interno diseñados para identificar y evaluar riesgos significativos, ejecutar actividades de forma planificada, identificar los procesos inadecuados, enfrentar las fallas en el control y comunicar a las principales partes interesadas de cada actividad”. El Marco Integrado de Control Interno COSO describe los componentes, principios y elementos necesarios para que una organización gestione de forma eficaz sus riesgos mediante la implementación del control interno. En este marco, “las personas en la primera línea de defensa tienen responsabilidades significativas relacionadas con las secciones de evaluación de riesgo, actividades de control y comunicación o información” (Anderson and Eubanks, 2015[10]).

Incorporar personal con formación gerencial en funciones asociadas a la dirección y control contribuye a una mejor gestión de los riesgos y las actividades del control

El uso estratégico de la gestión de riesgos se ve facilitado cuando las jefaturas y directivos cuentan con formación y habilidades gerenciales. En tales casos, los gerentes comprenden mejor cómo el sistema de control interno apoya el logro de los objetivos propuestos y toman los informes y planes de gestión de riesgos como herramientas útiles para lograr un mejor desempeño de su área y de la institución. Como ha verificado la OCDE en sus estudios sobre control interno en países de Latinoamérica, la ausencia de una carrera gerencial profesional en las instituciones públicas limita el uso estratégico de la gestión de riesgos.

Por ello, el Estado de México podría tomar en cuenta este aspecto en los procesos de definición de perfiles para la estructura de control interno, en los procesos de contratación de personal y promoción, así como en las labores de apoyo técnico a los directivos y jefaturas. En el largo plazo, el Estado de México debe considerar la implementación de reformas que aumenten la proporción de gerentes profesionales en la función pública.

Favorecer la información y comunicación sobre riesgos y actividades de control entre los actores institucionales más interesados

El cuarto elemento del Modelo Integrado de Control Interno de COSO es la información y comunicación de control. Según este modelo, debe existir información relevante obtenida, generada y usada para la toma de decisiones sobre el control. Los gerentes operativos deben contar con información relevante sobre los riesgos para usarla en sus labores cotidianas de gestión, aplicar controles operativos y comunicarla al interior y, si fuera el caso, al exterior. Por otra parte, los gerentes que supervisan transversalmente los controles (jurídicos, financieros, de calidad, y otros) para determinar si estos funcionan en la forma esperada, también deben acceder a información oportuna para su supervisión, de manera que puedan evaluar y comunicar las deficiencias del riesgo y del control a la alta dirección de la organización.

El Modelo de las Tres Líneas de Defensa ofrece orientaciones claras en la separación de roles entre quienes gestionan operativamente y aplican los controles (primera línea de defensa) y quienes supervisan, monitorean, y eventualmente diseñan, implementan y modifican los procesos de control y riesgos de la organización (segunda línea de defensa). En este sentido, la información relevante sobre riesgos y actividades de control para la toma de decisiones debe fluir oportunamente y por canales claramente establecidos en las dependencias y organismos auxiliares del Estado de México. La implementación en la administración del Modelo de las Tres Líneas de Defensa puede ser una ayuda práctica, a la vez que flexible, para favorecer la comunicación de control entre la primera y segunda líneas de defensa, así como hacia la alta dirección de cada organización y el órgano de control estatal.

Por otra parte, se advierte que en un nivel institucional existe desvinculación entre las decisiones de control de la alta dirección, emanadas del proceso de gestión de riesgos, y las decisiones de auditoría tomadas por la estructura de auditoría interna en que participan los titulares de los OIC y la SECOGEM. Esta desvinculación relativa resulta más evidente en el proceso de planificación y selección de las auditorías, donde los titulares de los OIC y su personal llevan a cabo su propio análisis de riesgos y proponen las auditorías, evaluaciones e inspecciones a realizar, propuesta que luego y a través de los conductos regulares, es aprobada por el subsecretario de Control y Evaluación. De las entrevistas, surgió una diferencia de criterios entre los titulares de los OIC respecto de los análisis de riesgos efectuados en el nivel institucional, mostrando que existirían eventualmente dos miradas sobre los riesgos, incluidos los de corrupción, en el nivel institucional. Esta posible divergencia, generada por el diseño del sistema de control y la función de auditoría, podría ser una oportunidad para alentar la discusión interna entre la segunda y la tercera líneas de defensa, propiciando la apropiación de la identificación de riesgos por parte de los gestores de los mismos.

El análisis de datos y de macro datos (Big Data) puede ser utilizado por el Estado de México para dar sustento a un enfoque anticipatorio basado en el riesgo para combatir el fraude y la corrupción

La gestión de riesgos depende en gran medida de la capacidad y conocimientos del personal dedicado a ello, pero también de la calidad de los datos utilizados en la identificación y evaluación de los riesgos, la evaluación de la eficacia de los controles existentes y la identificación de patrones de corrupción y tendencias históricas (véase el Recuadro 4.4). En la medida que los datos operativos, de gestión y de control se han vuelto más accesibles en el Estado de México, se abren posibilidades para que los auditores internos, los funcionarios encargados de la identificación y gestión de riesgos, y demás especialistas trabajen colaborativamente para identificar flujos de datos que puedan ser monitoreados y analizados para detectar inconsistencias, patrones y anomalías.

La SECOGEM y las secretarías competentes deben considerar apoyarse en el análisis de datos e incorporar herramientas, como el análisis forense digital, la minería de datos, la búsqueda de datos coincidentes y las correlaciones relevantes para mejorar la calidad de sus herramientas y técnicas de administración de riesgos. Mapas, matrices y plantillas de riesgos, mejor fundamentados y basados en evidencia, conducen a políticas de mitigación más efectivas.

El Análisis Forense Digital (Forensic Data Analytics, FDA) puede ser un valioso aliado en la prevención y detección de fraudes y corrupción, haciendo uso de la información disponible en las bases de datos gubernamentales. Permite la identificación de patrones y correlaciones significativas en los datos históricos existentes para predecir acontecimientos y evaluar los distintos motivos que provocaron actividades fraudulentas. Uno de los mayores desafíos en esta materia radica en el hecho de que las bases de datos de los gobiernos no cuentan con diseños homologables, difieren en sus formatos, y muchos de sus datos están poco estructurados y, por lo tanto, son difíciles de combinar y evaluar. En la mayoría de los organismos públicos, los datos existen en formatos estructurados (bases de datos, sencillas o más sofisticadas) y no estructurados (correos electrónicos, documentos de procesamiento de texto, multimedia, video, archivos PDF, hojas de cálculo y redes sociales). Las técnicas de análisis forense de datos no estructurados pueden convertir datos sin procesar en formatos que pueden ser usados para generar información basada en evidencia para prevenir o detectar prácticas fraudulentas y corruptas. Incluso hoy, es posible bajo un enfoque de Big Data prescindir de vacíos y datos limpios en su totalidad, gestionando el riesgo de certeza, ya que, a diferencia de hace unas décadas, hoy no es necesario acudir a muestras representativas, sino analizar todos los datos sobre cierto tipo de operaciones o fenómenos.

El informe de la Asociación de Examinadores de Fraude (Association of Fraud Examiners, ACFE, 2014) identifica la supervisión y el análisis proactivo de los datos como uno de los instrumentos más eficaces para el control anticorrupción, reduciendo las pérdidas atribuibles a la corrupción y la duración de los esquemas de corrupción. Más aún, el informe del 2016 de la ACFE subrayó que 36.7% de las organizaciones víctimas de fraudes o de corrupción que usaban la supervisión proactiva de datos y técnicas de análisis como parte de su programa de lucha contra el fraude, sufrieron 54% menos pérdidas y detectaron los fraudes en la mitad de tiempo, en comparación con las organizaciones que no utilizaron esta técnica.

Entonces, el Estado de México puede aprovechar nuevas posibilidades de análisis de información para la toma de decisiones, la identificación más precisa de riesgos y la posibilidad del rediseño de procesos y nuevas técnicas de control. Estas herramientas pueden ser muy valiosas al enfocarse en los riesgos para la integridad y, bajo un enfoque de desarrollo progresivo, darían mayor alcance y profundidad a los resultados del control.

Sacar mayor provecho a la información con que cuenta el Estado de México para resguardar estratégicamente la integridad

El Estado de México cuenta con robustos sistemas de información institucionales presupuestarios, de planificación y seguimiento de metas, así como de sistemas para procesar información sobre solicitudes y denuncias ciudadanas, que admiten diversos niveles de desagregación. Aún hay potencialidades en el uso y calidad de los datos y la información para el control, no solo para las dependencias y órganos auxiliares, sino para el ejecutivo estatal. Esta información es necesaria para la advertencia de situaciones que ponen en peligro los objetivos y metas de cada dependencia y organismo auxiliar, junto con recomendaciones para su superación o mitigación. Es determinante que el gobierno del Estado se apoye en evidencias para realizar sus medidas de control y el desarrollo de políticas para la integridad.

Los análisis de riesgo transversales y recurrentes pueden otorgar un aporte estratégico que muestre focos y patrones de riesgo en las dependencias, organismos auxiliares, y sectores; en especial en materia de fraude y corrupción. El Estado de México cuenta con información que le ha permitido afirmar que las áreas prioritarias para fortalecer la integridad y prevenir la corrupción son contrataciones públicas, recursos humanos, recursos financieros, recursos materiales, auditoría, tecnologías de información, control interno, transparencia, trámites y servicios vehiculares, seguridad pública y procuración de justicia. Asimismo, y de acuerdo con las cifras del Sistema de Atención Mexiquense (SAM), los sectores y trámites en donde los costos de la corrupción son más altos son educación, seguridad ciudadana, salud, finanzas, procuración de justicia y transporte. Las operaciones y procesos donde tales costos son más altos son contrataciones públicas, adquisiciones, licencias y permisos, recursos humanos, y administración de bienes muebles e inmuebles. Por otra parte, aquellos sectores donde hay menos incidencia de corrupción, de acuerdo con el SAM, son aquellos donde no hay atención al público y donde los procesos son automatizados.

A pesar de contar con datos e información, el Estado de México no cuenta con diagnósticos integrados sobre riesgos de integridad, delitos de corrupción y faltas administrativas graves con análisis de los sectores e interacciones público-privadas más afectados por la incidencia de corrupción, y que identifiquen buenas prácticas para su prevención y persecución. El Estado de México podría priorizar los diagnósticos sectoriales y transversales, ya que cuenta con las plataformas y capacidades para asociar los sistemas, cruzar datos en diversos niveles, e identificar correlaciones y patrones, especialmente asociados a los riesgos característicos de un proceso transversal, un sector o grupo de instituciones, especialmente en aquellos sectores más afectados por la corrupción. Dichos análisis, que van más allá del alcance institucional, pueden ser desarrollados por la SECOGEM en el Ejecutivo y por el OSFEM.

Asimismo, y bajo un esquema de cooperación con la sociedad civil o en el marco del enfoque de gobierno abierto, las universidades, centros de pensamiento (think tanks) y organizaciones especializadas de la sociedad civil podrían convertirse en aliados para el análisis de los riesgos, incluidos los de integridad, que pueden afectar las políticas públicas estatales. Una cooperación de este tipo puede alimentar una discusión informada, participativa y basada en evidencia, en el seno del Sistema Estatal Anticorrupción, de manera que la visión ciudadana también fortalezca las propuestas de solución.

Efectivamente, el Estado de México debería utilizar tecnología para fortalecer la congruencia de los mecanismos de control y sus resultados, ser congruentes y aportar de manera conjunta elementos para gestionar las actividades de control, proporcionando información valiosa para la evaluación y la toma de decisiones. La selección y desarrollo de actividades de control mediante tecnologías es una posibilidad real, que puede aportar a la congruencia de los mecanismos de control. En este sentido, el Estado de México cuenta con sistemas de control e información que pueden integrarse más, con un enfoque preventivo, especialmente en materia de riesgos de integridad, con base en tecnologías. El uso enfocado de la tecnología permitiría preparar y procesar gran cantidad de datos provenientes de registros, bases de datos y sistemas de información, que pueden ser utilizados para generar conocimiento e inteligencia sobre la gestión, los riesgos y el control de una manera que no puede llevarse a cabo manualmente por su complejidad y volumen. Entre los sistemas de control e información que pueden utilizarse se encuentran los relacionados con denuncias, sugerencias y reconocimientos (SAM), acceso a la información (SAIMEX), denuncias (SESAEMM), protesta ciudadana (Sistema de protesta ciudadana de la CEMER), personal del Estado (Directorio de servidores públicos), compras públicas (COMPRAMEX), responsabilidades administrativas (Sistema integral de Responsabilidades-SIR), información de oficio de sujetos obligados (IPOMEX), proveedores del Estado (Padrón de Proveedores y Prestadores de Servicios), y empresas objetadas (Boletín de empresas objetadas), entre otros. El uso de la tecnología para la integración de bases de datos puede favorecer la gestión del control y la gobernabilidad de las políticas estatales.

Promover la colaboración interinstitucional y el uso de tecnologías por la ciudadanía complementa fuertemente los sistemas de control interno y dota de mayor legitimidad a las entidades frente al riesgo de corrupción

La labor de análisis e inteligencia sobre los delitos de corrupción en el estado podría fortalecerse; si bien la fiscalía accede a los mapas de riesgo elaborados en las dependencias y organismos auxiliares, podrían establecerse relaciones de intercambio y análisis entre unidades especializadas de la fiscalía y personal experimentado en auditoría interna (OIC) e investigación administrativa de los sectores más afectados por riesgos a la integridad pública, incluidos además procesos como los de compras y sectores que, de acuerdo a la experiencia internacional y nacional, son más propensos a riesgos de corrupción. De esta manera, se podrían perfilar con más detalle los riesgos, los factores de riesgo y las áreas vulnerables, así como acordar canales de interacción y de aseguramiento de evidencias en el marco de investigaciones administrativas y penales. Esta colaboración no solo resultaría provechosa para la investigación, sino también para la labor preventiva de los OIC, en la medida que les permitiría identificar las variables presentes en los casos penales de corrupción que no han sido consideradas en las auditorías.

En materia de integridad pública, hoy se abren las posibilidades de diseñar herramientas basadas en tecnologías para el control ciudadano. Esto puede hacerse abriendo los datos públicos para su reutilización por la ciudadanía, por ejemplo, para detectar riesgos de conflicto de intereses y eventualmente denunciar actos de corrupción mediante el cruce de información sobre presupuesto público, compras públicas y contrataciones de obras, declaraciones patrimoniales y de intereses, cargos de toma de decisiones, financiamiento político, recurrencia de irregularidades y delitos en las instituciones. La formulación de una política explícita hacia el uso del Big Data (OCDE, Recomendación del Consejo de la OCDE sobre Buenas Prácticas Estadísticas, 2015) pero bajo el enfoque de Datos Abiertos, alentaría la participación de la sociedad civil en la generación democrática de conocimiento anticorrupción con enfoque y valor ciudadanos. En esta materia se están desarrollando numerosas iniciativas en otros países, incorporando herramientas de tecnología cívica.

El Observatorio Fiscal en Chile, por ejemplo, es una iniciativa de dos organizaciones de la sociedad civil y una universidad para poner a disposición de la ciudadanía información interactiva en línea sobre el presupuesto nacional de Chile, así como aplicaciones para dar seguimiento a la ejecución mensual del gasto estatal, incluyendo los procesos de compra a nivel nacional y municipal. De esta manera, la ciudadanía y centros de estudio pueden acceder a información oportuna sobre los recursos públicos y su gasto en diversos niveles de desagregación (véase la Gráfica 4.3).

Gráfica 4.3. Información pública detallada sobre el presupuesto nacional del Estado de Chile basada en datos abiertos

Gastos del Estado por ministerio en 2018

Fuente: Observatorio Fiscal Chile.

La información sobre los mecanismos de control puede elevar la capacidad estratégica de toma de decisiones del gobierno y del sistema anticorrupción del Estado de México, si se integra adecuadamente

La SECOGEM puede ser un actor catalizador de las diversas iniciativas del Ejecutivo para promover la integridad pública y un agente coordinador clave. Cuenta con la estructura organizacional, orientación técnica y funciones que le permitirían asesorar estratégicamente al gobierno sobre el estado consolidado de la actividad preventiva y detectiva anticorrupción en el Ejecutivo, dirigida al diseño de estrategias y políticas de integridad en cada uno de los sectores.

Los informes de SECOGEM deberían caracterizarse por un alto grado de agregación de valor a los datos e información estatal, visión de conjunto del estado de los elementos preventivos y detectivos anticorrupción y por la incorporación de los ciudadanos como destinatarios de la actividad estatal. De esta manera, el gobierno contaría con información valiosa para el diseño de estrategias para enfrentar los riesgos de corrupción mediante la articulación ordenada y dirigida de las herramientas normativas, operativas, financieras y de personal. Además, con esta información el gobierno del estado podría consolidar políticas de integridad en las secretarías, más allá de la aplicación de normas y organización de estructuras, dando mejor uso a mecanismos y nuevas herramientas para promover la integridad y luchar contra la corrupción. Para esto resultaría necesario que el gobierno del estado demande y desarrolle capacidad en la SECOGEM, por un lado, para la generación y uso de información sobre integridad proveniente de diversas instituciones estatales, y, por otro, para el análisis y generación de informes estratégicos para la toma de decisiones al más alto nivel. Por ejemplo, el Consejo del Tesoro de Canadá y el Consejo de Auditoría Interna General de Gobierno de Chile tienen funciones y capacidades para asesorar estratégicamente al gobierno (véanse Recuadro 4.5 y Recuadro 4.6).

Los componentes de una integración de información de este tipo podrían incluir preferentemente información cuantitativa y cualitativa sobre:

• los objetivos y recursos del gobierno del Estado de México al servicio de la ciudadanía

• las condiciones para el control interno y el control externo institucional

• las condiciones para el control ciudadano sobre las instituciones públicas estatales

• el mejoramiento esperado de los servicios a la ciudadanía como resultado de la prevención y detección de las actividades corruptas.

Otro aspecto que presenta una oportunidad es la mayor coordinación de objetivos y actividades de control externo, especialmente aquellos ejecutados por el OSFEM, y la de control interno, coordinados por la SECOGEM. Las auditorías externas e internas son diferentes en su modalidad ex post y ex ante, y en su propósito, pero tienen finalidades últimas, puntos de contacto importantes y oportunidades para la complementariedad. La SECOGEM podría fortalecer su papel, en el marco del Sistema Estatal de Fiscalización, promoviendo una mejor homologación de procesos, programas y normas, coordinación de las acciones de control y auditoría, y un análisis cooperativo para la toma de decisiones, buscando conciliar los objetivos, intereses y oportunidades del control interno y externo.

La separación de los roles y tareas en tres líneas de defensa puede ayudar a definir claramente las funciones y responsabilidades

La distinción más detallada acerca del rol y aporte de la función de auditoría interna en entidades complejas es útilmente desarrollado por el modelo de las Tres Líneas de Defensa. La comprensión e implementación de este modelo en cada institución pública ayudaría a diferenciar las tareas y roles de los OIC y de los demás responsables de la gestión en la implementación del sistema de control interno en cada dependencia y organismo auxiliar. El modelo ayuda a mejorar la comprensión de la gestión de riesgos y control al definir las funciones y responsabilidades. El principal concepto es que “bajo la supervisión y guía de la alta dirección y del consejo de administración, se necesitan tres grupos separados (o líneas de defensa) dentro de la organización para gestionar eficazmente el riesgo y el control”.

Las responsabilidades de cada uno de los grupos (o “líneas”) son:

• Adueñarse y gestionar el riesgo y el control (gerencia operativa de primera línea).

• Supervisar el riesgo y el control en apoyo de la gestión (la dirección implementa las funciones de riesgo, control y cumplimiento).

• Proporcionar aseguramiento independiente al consejo de administración y a la alta dirección en relación con la eficacia de la gestión del riesgo y del control (auditoría interna).

De esta manera, cada una de las tres líneas tiene una función distinta dentro del marco general de gobierno de la organización (véase la Gráfica 4.4). Cuando cada una cumple con su rol asignado de forma eficaz, se aumenta la probabilidad de que la organización tenga éxito en alcanzar sus objetivos generales.

Gráfica 4.4. El Modelo de las tres líneas de defensa

Fuente: (Anderson and Eubanks, 2015[10]).

De acuerdo con el modelo, la primera línea de defensa es la dueña de los procesos de la organización, cuyas actividades crean o gestionan los riesgos que pueden contribuir o evitar que se alcancen los objetivos. Esto incluye enfrentar los riesgos correctos. En las dependencias y organismos auxiliares del Estado de México se desconoce técnicamente el Modelo de las tres líneas de defensa, sin embargo, los auditores comprenden la necesidad de una separación de roles y pretenden aportar a la búsqueda de apropiación del control en la primera y segunda lineas de defensa. En el Estado de México, la primera línea debería estar constituida por los funcionarios públicos y áreas que gestionan directamente las operaciones en cada una de las dependencias y organismos auxiliares. Son estos funcionarios quienes deberían apropiarse del riesgo y definir el diseño y la ejecución de los controles de la institución para responder a tales riesgos.

La segunda línea está concebida para respaldar a la dirección, aportando conocimientos, excelencia en procesos y supervisión de la gestión, en conjunto con la primera línea, ayudando a garantizar la gestión eficaz del riesgo y control. Sería conveniente que las funciones de la segunda línea de defensa en las dependencias y organismos auxiliares estén separadas de la primera, pero igualmente bajo el control y la guía de la dirección. La segunda línea debería consistir esencialmente en una función de supervisión o vigilancia respecto de las unidades que operan los procesos de la organización y que gestionan los riesgos. Las unidades que usualmente deben asumir esta línea de defensa son las responsables de los procesos misionales de la organización, pero además es conveniente que sean parte las unidades de apoyo y control, como por ejemplo las de planeación, presupuesto y finanzas, control de gestión, y control legal. En este sentido, el Estado de México podría tomar medidas que aseguren una mayor claridad entre el personal de las instituciones públicas sobre las funciones asociadas a la gestión de riesgos y el control. Junto con esto, podría evaluarse la correspondencia entre el perfil de los integrantes de los COCODI y la integración de una segunda línea de defensa. Lo anterior sería una manera de implementar el modelo de las tres líneas de defensa fortaleciendo los lineamientos fundamentales del modelo del Marco Integrado de Control Interno del Estado de México.

La tercera línea de defensa proporciona aseguramiento a la alta dirección y al consejo de administración, corroborando que los esfuerzos de la primera y la segunda líneas son consistentes con las expectativas. Por esto, la tercera línea de defensa no está concebida para realizar funciones de gestión, esto con el fin de proteger su objetividad e independencia de la organización. En las dependencias y organismos auxiliares del Estado de México, dicha tarea de aseguramiento debería ser claramente establecida como una función de los OIC, y en el nivel del Ejecutivo estatal como una función de la SECOGEM. Son los OIC los que, en su función de auditoría, deben proporcionar aseguramiento al titular y al órgano de dirección de la eficacia de la gestión del riesgo. Una clara separación de la tercera línea con la segunda no es incompatible con tareas de supervisión y autoevaluación que haga, por ejemplo, un jefe de unidad, sobre el funcionamiento de un elemento del sistema de control interno en un área de la organización. Dicha tarea puede y debe ser efectuada por el directivo de una unidad administrativa o de negocios, con el fin de evaluar la presencia y el funcionamiento de uno o más componentes del sistema de control interno aplicable a sus procesos o unidad, su funcionamiento y suficiencia. Esta actividad puede responder a varias razones, como la decisión sobre una nueva estrategia, cambios en planes y métodos, u otras, y en tal sentido estar destinada a fortalecer el control interno como una actividad complementaria a las revisiones de auditoría interna y a la labor de aseguramiento. En el Estado de México, la formación y asesoría sobre control interno a las unidades encargadas de procesos podría alentar a que estas efectúen evaluaciones oportunas sobre componentes de control interno asociados a riesgos relevantes, fomentando la apropiación del riesgo y el control, a la vez que enfatizaría la separación de funciones según el Modelo de las tres líneas de defensa, y relevaría la función de apoyo y aseguramiento de la función de auditoría interna de los OIC.

La implementación de las tres líneas de defensa requiere además aclarar que la alta dirección y el consejo de administración tienen responsabilidades importantes en la aplicación del modelo

Según este modelo, aunque ni la alta dirección ni el consejo de administración son considerados parte de ninguna de las tres líneas, ambas tienen la responsabilidad de establecer aspectos elementales de la gestión, como son los objetivos de la organización y las estrategias de alto nivel para alcanzar esos objetivos. Asimismo, deben establecer estructuras de gobierno para gestionar mejor el riesgo. En materia de control interno, la alta dirección también se debe encargar de la selección, el desarrollo y la evaluación del sistema. La implementación de este modelo fortalecería la comprensión de cada titular y órgano de dirección sobre el apoyo que el sistema de control interno brinda al buen gobierno y desempeño institucional y ayudaría a sensibilizarlos sobre su responsabilidad en la implementación y desarrollo del sistema de control interno y la debida separación de funciones en el control y gestión de riesgos. En esta línea de propósitos, la SECOGEM podría constituirse en una unidad asesora al más alto nivel del gobierno del Estado de México, prestando orientación al sistema y al modelo.

La función de auditoría interna debe alcanzar la mayor independencia posible de la gestión, de manera que proporcione una opinión objetiva y de mayor confiabilidad para la toma de decisiones de la alta dirección y para los terceros interesados

La independencia de la función de auditoría interna adquiere características especiales en las entidades públicas. Por una parte, la independencia debe enmarcarse en el conjunto de arreglos jurídicos e institucionales, federales o estatales, que caracterizan el modo de gobierno en cada país, y al interior de cada uno. La Organización Internacional de Entidades Fiscalizadoras Superiores (INTOSAI) ha acordado Normas Internacionales de las Entidades Fiscalizadoras Superiores (ISSAI), y en la ISSAI 10 (INTOSAI, s.f.[14]) aprobó criterios para las normas de auditoría enfocadas en defender la independencia en la auditoría externa de la administración pública. Si bien tales criterios, contenidos en la Declaración de Lima, están dirigidos a garantizar la mayor independencia de los órganos públicos de control externo, sus normas son igualmente válidas para promover la independencia de la función de auditoría interna respecto de los gestores de los riesgos. La ISSAI 1, en el numeral 2 del artículo 3, sobre control interno y externo, advierte que “los órganos de control interno dependen necesariamente del director de departamento en cuya organización se crearon. No obstante, deben gozar de independencia funcional y organizativa en cuanto sea posible a tenor de la estructura constitucional correspondiente”.

Tomando en cuenta este antecedente, el sistema de auditoría interna del Estado de México constituye un modelo mixto, consistente en una auditoría interna del gobierno estatal, externa a las dependencias y organismos auxiliares del Estado mexiquense. Este diseño asegura un razonable nivel de independencia de los OIC que realizan la función de auditoría interna respecto de los titulares de cada organización en la que desempeñan su función. Como contrapartida a dicha independencia, el Estado de México podría fortalecer la sensibilización de los titulares y directivos públicos respecto de la labor de aseguramiento del sistema de control interno que desempeñan los OIC, de manera que identifiquen a los OIC como aliados en las labores de auditoría y evaluación del control interno. Para ello, también resultaría conveniente asegurar que los OIC no realicen labores de la primera línea, ni aquellas que son propias de las unidades que deben implementar el sistema de control interno. Una manera de hacerlo es disminuyendo sus actuaciones en gestiones potencialmente auditables, como son los procesos de compra, supervisión e inspección. En tal sentido, podría evaluarse la conveniencia de reformar o aclarar el artículo 49 de la Ley de Responsabilidades Administrativas del Estado de México y Municipios, que entrega a la Secretaría de la Contraloría y los órganos internos de control la supervisión de la ejecución de los procedimientos de contratación pública. La supervisión es una labor propia de jefaturas de línea y debe ser llevada a cabo por tales jefaturas, sistemas o mecanismos de control, de manera que las gerencias y jefaturas sean responsables y rindan cuentas de la labor de control propia de sus cargos. Asimismo, sería conveniente reducir o eliminar la actuación de los OIC en acciones de verificación que se alejen de la naturaleza independiente de la auditoría. Tal es el caso de las denominadas Inspecciones, que cuantitativamente son significativas respecto del total de acciones de la función de auditoría de los OIC y que mostraron no tener una definición precisa entre los entrevistados por la misión de la OCDE, variando desde acciones de seguimiento de auditorías anteriores hasta verificaciones de hechos propios de un control en la línea (primera o segunda línea de defensa).

Asimismo, las entrevistas llevadas a cabo por la misión de la OCDE arrojaron que algunas direcciones y gerencias efectúan solicitudes a los OIC para realizar acciones de verificación de las actuaciones del personal de línea a su cargo, ante la dificultad que encuentran para que el personal cumpla sus obligaciones o instrucciones. La independencia del juicio del auditor debe protegerse evitando encomendarle tareas que lo involucren en la gestión misma y asignando claramente dichas tareas al personal correspondiente, quien deberá rendir cuentas de su desempeño y de los obstáculos existentes.

La auditoría interna puede ser una función asesora al más alto nivel

Adicionalmente, la función de auditoría interna de los OIC debe propender a mostrar el valor de sus tareas e informes a los titulares y órganos de dirección, así como a las gerencias y jefaturas. La función de auditoría no puede actuar en la línea, pero debe ser capaz de asesorar y brindar apoyo para la mejor toma de decisiones en los diversos niveles de cada organización. Como señala claramente la ISSAI 100 (INTOSAI, 2019[15]) sobre principios fundamentales de auditoría del sector público “la auditoría del sector público es esencial, ya que proporciona a los órganos legislativos y de supervisión, a los encargados de la gobernanza y al público en general, información y evaluaciones independientes y objetivas concernientes a la administración y al desempeño de las políticas, programas u operaciones gubernamentales”.

Si bien una serie de factores ayudan a que la información del auditor sea valiosa para los funcionarios públicos y el gobierno, resulta altamente necesario que los auditores consideren los siguientes principios de auditoría del sector público: a) la materialidad durante todo el proceso de auditoría; b) preparar la documentación para proporcionar una comprensión clara del trabajo realizado, de la evidencia obtenida y de las conclusiones alcanzadas; y c) establecer una comunicación eficaz, especialmente con la administración y los encargados de gobernanza. El desarrollo de esta capacidad de la auditoría interna para asesorar de manera relevante debe ser impulsado por la SECOGEM, a través de una estrategia de mayor generación de valor de la auditoría interna, que incluya herramientas como la sensibilización de la alta dirección, la capacitación de los auditores, la evaluación de la calidad y aporte a la gobernanza de sus productos y la percepción de los usuarios de la información de auditoría sobre su aporte al logro de objetivos, metas y normas.

Los OIC pueden ayudar a asegurar la prevención de la corrupción mediante auditorías de integridad

El uso regular de exámenes o auditorías de integridad es una oportunidad para el Estado de México de contar con una valiosa herramienta para asegurar que el marco normativo, los mecanismos de control y sistemas para la integridad se utilizan efectivamente por las diversas unidades encargadas y que se aplican siguiendo métodos que garanticen su eficacia, eficiencia y calidad.

Lo anterior sería especialmente relevante respecto de los mecanismos de participación ciudadana, acceso a la información, denuncia y protección a denunciantes, gestión de recursos humanos, incluyendo los procesos de control previo a la contratación de funcionarios, prevención de conflictos de intereses, verificación de las declaraciones patrimoniales, control disciplinario de las jefaturas y prohibiciones post empleo público; mecanismos de control para la integridad en las compras públicas y el otorgamiento de permisos, subvenciones, subsidios y beneficios estatales. Los OIC son unidades aliadas en la evaluación de las herramientas para la prevención de la corrupción, ya que pueden efectuar auditorías sobre la calidad de tales mecanismos y su uso efectivo, y emitir una opinión independiente que contenga recomendaciones para su fortalecimiento. Por ejemplo, en Reino Unido, la auditoría interna contribuye a la detección de fraude y corrupción (véase el Recuadro 4.7).

La independencia y el rol de la auditoría interna al servicio del sistema de control interno es un objetivo que el Estado de México debería perseguir permanentemente mediante medidas dirigidas a mejorar el desempeño y la integridad de los auditores internos

La profesionalización de la labor de auditoría interna fortalece la independencia de juicio de los auditores, ya que fundamentan sus opiniones en estándares, metodologías y técnicas reconocidas, y se adhieren a normas de auditoría internacionalmente reconocidas. Los principios internacionales de auditoría para el sector público establecen principios generales que deben seguir los auditores, entre ellos: a) la ética e independencia del auditor; b) el juicio profesional, diligencia debida y escepticismo; y c) el control de calidad. Las prácticas internacionalmente aceptadas en materia de calidad de la auditoría (como las establecidas en la Norma Internacional en el Control de Calidad, ISQC 1) incluyen la necesidad de que las organizaciones cuenten con políticas y procedimientos sobre la misma, incluyendo el monitoreo de la auditoría, con políticas y procedimientos para promover una cultura interna basada en el reconocimiento de que la calidad es esencial en el desempeño de los trabajos de auditoría. Asimismo, define como elemento de un sistema de control de calidad que la organización establezca políticas y procedimientos diseñados para proporcionar seguridad razonable de que los trabajos se desempeñan de acuerdo con las normas profesionales y los requisitos reguladores y legales, y que se emiten informes apropiados. Igualmente, respecto de la revisión del control de calidad del trabajo, advierte que la organización debe establecer políticas y procedimientos que requieran una revisión de control de calidad que proporcione una evaluación objetiva de los juicios importantes hechos por el equipo de trabajo y las conclusiones obtenidas al formular el informe. La Contraloría General de Canadá, por ejemplo, ha desarrollado los Perfiles y el Diccionario de Competencia de Auditoría Interna (véase el Recuadro 4.8) y Eslovenia estableció el programa TIAPS (véase el Recuadro 4.9).

En este mismo sentido, pero desde la perspectiva de la formación, no existe en el estado mexiquense una oferta suficiente de formación y especialización en materia de auditoría, por lo que sería recomendable que el gobierno del Estado de México evalúe iniciativas de largo plazo para fortalecer el acceso de los auditores internos a cursos de formación, actualización, especialización y certificación sobre, por ejemplo, auditoría interna, auditoría forense, auditoría financiera, auditoría sobre tecnologías de información y uso de tecnologías para el control y la auditoría.

En este sentido, es recomendable que el Estado de México, a través de la SECOGEM, fortalezca su rol de entidad rectora en materia de auditoría interna, mediante planes de fortalecimiento técnico y aseguramiento de la profesionalización de los auditores y la calidad del trabajo de auditoría. Para ello, puede ser altamente conveniente activar en este sentido convenios con la Auditoría Superior de la Federación, el Órgano Superior de Fiscalización del Estado de México (OSFEM) y el Colegio de Contadores Públicos de Toluca.

En cuanto a otras medidas asociadas a las condiciones de empleo y remuneración, los tratados internacionales anticorrupción suscritos por México lo comprometieron a adoptar una serie de medidas, que en lo tocante a la auditoría interna adquieren plena vigencia. La Convención Interamericana Contra la Corrupción comprometió a los estados parte a que consideren el estudio de medidas de prevención de la corrupción, que tomen en cuenta la relación entre una remuneración equitativa y la probidad en el servicio público (numeral 12 del Artículo III). En un sentido más directo, la Convención de Naciones Unidas Contra la Corrupción, suscrita en Mérida en 2003, comprometió a los estados parte a adoptar sistemas de convocatoria, contratación, retención, promoción y jubilación de empleados públicos, basados en principios de eficiencia y transparencia y en criterios objetivos como el mérito, la equidad y la aptitud; incluir procedimientos adecuados de selección y formación de los titulares de cargos públicos que se consideren especialmente vulnerables a la corrupción; fomentar una remuneración adecuada y escalas de sueldo equitativas, teniendo en cuenta el nivel de desarrollo económico del estado parte; y promover programas de formación y capacitación que les permitan cumplir los requisitos de desempeño correcto, honorable y debido de sus funciones, y les proporcionen capacitación especializada y apropiada para que sean más conscientes de los riesgos de corrupción inherentes al desempeño de sus funciones.

Otra medida importante para fortalecer la auditoría interna y la independencia del auditor en el Estado de México sería el establecimiento de un sistema de ingreso, promoción, remuneración y destinación de los auditores transparente y basado en el mérito, que incorpore como variable relevante la obtención de una remuneración equitativa y de acuerdo con las responsabilidades de su función y cargo. Este conjunto de medidas, aplicadas progresivamente, fortalecerían el desempeño e independencia de los auditores y, en consecuencia, el sistema de control interno y la integridad en el Estado de México.

El control interno, la gestión de riesgos y la auditoría interna en el nivel municipal necesitan rediseñarse, fortalecer el recurso humano y tener acceso a apoyo técnico

En los 125 municipios del Estado de México residen 16 187 608 habitantes, donde 87% de la población es urbana. Presupuestalmente cuentan con aproximadamente USD 2 000 millones anuales y cuentan estimativamente con un poco más de un tercio del total de 295 000 empleados públicos del Estado. Los municipios se dividen en tres grupos, según su tamaño, y la realidad y limitaciones de la gran mayoría de ellos y sus alcaldías es muy distinta. Dentro de esta diversidad existen algunos condicionamientos para el desempeño de las alcaldías que inciden en su capacidad para el control y la prevención de la corrupción. La Ley de Gestión Municipal del Estado de México está desactualizada y no existe una carrera funcionaria municipal. Esto incide en una alta rotación de personal, que muchas veces no cuenta con las competencias suficientes para un desempeño efectivo. En su conjunto, existe un desafío en la contratación y formación del recurso humano en el nivel municipal, lo que constituye una debilidad estructural para la implementación de adecuados ambientes de control y para el cumplimiento de los objetivos municipales.

En materia de implementación de sistemas de control interno, los titulares de las contralorías entrevistados afirmaron que los municipios están efectuando evaluaciones de control interno basadas en la normativa estatal, en el entendido de que el OSFEM lo ha hecho obligatorio en ese nivel. Sin embargo, el desafío de incorporar el Sistema de Control Interno Institucional en el nivel municipal es mayor que en el nivel estatal. Según la Contraloría del Órgano Legislativo, los municipios con menos de 150 000 habitantes, equivalentes a 103 de los 125 existentes, tienen un bajo nivel de madurez de sus SCII. Desde la perspectiva del OSFEM y de la Contraloría del Órgano Legislativo, el control interno en los municipios es débil y los factores que inciden en su mayor o menor nivel de implementación son el diseño institucional del sistema, el tamaño de los municipios, los incentivos al control y la formación y capacitación. Uno de los principales aspectos que inciden en esta situación es la baja independencia de los titulares de las contralorías municipales, debido a la baja profesionalización del cargo y su dependencia de los alcaldes.

Una evaluación sobre las condiciones e incentivos para el control interno y la función de auditoría en el nivel municipal permitiría diseñar reformas, incluso legales, que pongan al día las estructuras de gestión y de control municipal, con las directrices y prácticas más actuales en la materia. Un diseño moderno de gestión y control debería estar dirigido a que los organismos municipales decisorios cuenten con información de alto valor para el cumplimiento de los objetivos y metas municipales, y que la información de auditoría interna se base en una opinión profesional y técnica independiente. Por otra parte, de acuerdo con los contralores municipales entrevistados, el control en el nivel municipal está asociado aún a la tarea de las contralorías, a la vez que estas unidades son utilizadas para supervisar tareas, y en ocasiones para evaluar el control interno, reemplazando la segunda línea de control. Es preciso regular internamente, sensibilizar y capacitar sobre la separación de los roles en el control interno y la identificación de riesgos, incluyendo los de fraude y corrupción. El Modelo de las Tres Líneas de Defensa brinda orientaciones simples y prácticas, que facilitan la comprensión y separación de roles en la labor de control y aseguramiento. Su aplicación permitiría mejorar la comprensión del control en el personal y autoridades municipales, así como destinar las tareas de auditoría al aseguramiento del sistema.

En el nivel municipal, la labor de auditoría tiene desafíos más acusados que en el estatal. Todos los contralores municipales entrevistados informaron que la función de auditoría interna a su cargo no cuenta con suficiente personal y que los funcionarios asignados por lo general no cuentan con las habilidades y conocimientos suficientes para un buen desempeño de auditoría. También llamaron la atención sobre la ausencia de capacitación en materia de control del personal de los municipios, y la ausencia de recursos suficientes para su labor de auditoría, incluyendo el uso de sus propios vehículos y computadores personales, lo que en sí es un riesgo de control. El uso de tecnologías para la auditoría es aún un desafío generalizado en el ámbito municipal y, además, existe carencia de auditores informáticos.

En este sentido, el OSFEM es un referente estatal en materia de control y, atendida su cobertura y funciones, puede transformarse en la guía y apoyo que requieren los municipios en materia de control y auditoría. Como guía, el OSFEM puede contribuir a la liberación estratégica de las acciones de control en el nivel municipal y ser un punto de inflexión entre los enfoques de control federal, estatal y municipal. Por ejemplo, alentando acciones coordinadas de la Contraloría del Poder Legislativo y del OSFEM para implementar los SCII en los municipios, fortalecer el ambiente de control y, eventualmente, hacer efectivas responsabilidades por omisión de control y rendición de cuentas. Asimismo, cuenta con las capacidades para ser un apoyo en el seguimiento de la implementación del SCII en los municipios, y en el fortalecimiento técnico de las contralorías municipales. Se podrían detectar aquellos municipios y contralorías municipales que puedan convertirse en referentes en la materia, y establecer un benchmarking y rankings, a la vez que se identifican aquellos municipios que por sus características resulten más vulnerables a la corrupción, con el objeto de focalizar esfuerzos de auditoría y seguimiento sobre ellos, y de apoyo técnico a las contralorías municipales. Este tipo de acciones pueden ser apoyadas desde el Sistema Estatal de Fiscalización, diferenciando actividades enfocadas a la fiscalización coordinada, de aquellas destinadas al apoyo técnico y la capacitación, estas últimas ordenadas en un plan de fortalecimiento de capacidades.

Tomando en cuenta la dispersión geográfica de los municipios, y su falta de recursos y personal en materia de control, es altamente recomendable que el apoyo brindado por el OSFEM a las contralorías municipales se amplíe, incorporando capacitación, herramientas técnicas, seguimiento y sistemas informáticos. Estos deberían estar destinados a facilitar y separar eficientemente la tarea de control y de auditoría en los municipios y a fortalecer la integración de esfuerzos de control entre el OSFEM y los municipios, mediante planes y recursos adicionales enfocados en el fortalecimiento de capacidades y el seguimiento técnico. Adicionalmente, el OSFEM podría conducir un proyecto piloto para que los municipios compartan servicios de auditoría, como forma de gestionar recursos de control entre ellos y de acuerdo con áreas de interés común de los mismos.

Otra iniciativa que podría fortalecer la discusión, orientación y capacitación de las contralorías municipales en materia de gestión y control es la constitución de una asociación o entidad abierta y sin identificación política, que agrupe a los municipios del Estado de México con dichos fines. Una asociación de este tipo facilitaría la acumulación y gestión de una demanda de fortalecimiento institucional de todos los municipios y de todas las contralorías municipales, así como la eventual asignación de fondos estatales o municipales. Una iniciativa de este tipo podría ser un incentivo para que las universidades y centros de formación en materia de gestión pública, planeación, control, auditoría y prevención de la corrupción, generen una oferta de formación, capacitación e investigación que en el largo plazo resuelva la debilidad de formación del personal en el orden municipal.