Introducción

La aplicación de las técnicas de gestión propias de la empresa privada a la administración pública, en respuesta a la crisis de resultados y financiación del modelo burocrático¹, llevó a que se incorporaran prácticas de autocontrol de las entidades públicas sobre su propia gestión², que en el caso colombiano se hicieron obligatorias con la mención directa y explícita en su texto constitucional del deber de la administración pública en todos sus órdenes de tener un control interno ejercido en los términos señalados por la ley.

El control interno es un proceso que permite alcanzar un fin, que es el de asegurar la consecución de unos objetivos. Esto supone que el control y las actuaciones en que se materialice deben ser siempre consecuentes con los objetivos de la organización. El sistema de control interno debe asegurar, de manera razonable (pues la seguridad absoluta nunca puede darse) que la organización cumpla sus objetivos.

Hay tres categorías de objetivos a los que el control interno debe servir:

1. (1) objetivos operativos, que se concretan en actuar de manera eficaz y eficiente;

2. (2) objetivos de información, consistentes en que tanto la información (financiera o no) que maneja la entidad internamente como la que proporciona al exterior sea adecuada y veraz; y

3. (3) objetivos de cumplimiento, que se materializan en una actuación respetuosa con el cumplimiento de las leyes que afectan a la entidad.

Para lograr estos objetivos, el control interno promueve la eficiencia, eficacia, transparencia y economía en las operaciones de las entidades públicas y la calidad de los servicios públicos que presta y a cuidar los recursos y bienes públicos de todo hecho irregular o situación perjudicial que los afecte³.

La implementación y fortalecimiento de un adecuado control interno promueve la adopción de decisiones frente a desviaciones de indicadores, la mejora de la ética institucional, al disuadir de comportamientos ilegales e incompatibles, el establecimiento de una cultura de resultados y la implementación de indicadores que la promuevan. Así mismo lo hacen la aplicación eficiente de los planes estratégicos, directivas y planes operativos de la entidad, así como la documentación de sus procesos y procedimientos, la adquisición de la cultura de medición de resultados por parte de las unidades y direcciones, la reducción de pérdidas por el mal uso de bienes y activos del Estado, la efectividad de las operaciones y actividades, el cumplimiento de la normativa y la salvaguarda de activos de la entidad⁴.

En razón de esos propósitos, Poch⁵ indica que las funciones del control interno son:

1. Proteger los recursos de la organización, buscando su adecuada administración ante posibles riesgos que los afecten.

2. Garantizar la eficacia y la eficiencia en todas las operaciones promoviendo y facilitando la correcta ejecución de las funciones y actividades definidas para el logro de la misión de la organización.

3. Velar porque todas las actividades y recursos de la organización estén dirigidos al cumplimiento de los objetivos de la entidad.

4. Garantizar la correcta evaluación y seguimiento de la gestión organizacional.

5. Asegurar que los registros y la información generada como producto de las actividades realizadas por la organización, sean elaborados y presentados de manera oportuno y que dicha información sea confiable.

6. Definir y aplicar medidas para prevenir los riesgos, así como también detectar y corregir errores que se presenten en la organización y que puedan afectar el logro de sus objetivos.

7. Garantizar que el sistema de control interno disponga de sus propios mecanismos de verificación y evaluación.

A pesar del desarrollo institucional que ha tenido el sistema de control interno en Colombia, la denuncia cada vez más frecuente de casos de corrupción, especialmente de aquellos relacionados con la apropiación indebida o la malversación de los recursos públicos, así como las manifestaciones que se hacen más recurrentes en la opinión pública sobre su trascendencia y rechazo, que se reflejan en las manifestaciones de percepción sobre este fenómeno⁶, llevan a plantearse, entre otros interrogantes, por qué esos episodios suceden.

En este orden de ideas, el presente artículo expone los referentes internacionales del estado actual de la configuración de los sistemas de control interno en la administración pública como antecedentes necesarios que explican y dan sustento al desarrollo específico que ha tenido el caso colombiano, del cual se explica su diseño normativo e institucional y se contrasta con los resultados de su aplicación. Esto para llegar a formular algunas propuestas concretas encaminadas a la superación de sus disfuncionalidades, de manera que sirva para el propósito de prevenir y detectar a tiempo el riesgo de desviación o apropiación indebida de los recursos públicos, que tiene una especial incidencia para que no se logren los objetivos que legitiman el ejercicio de la función pública.

Referentes internacionales de la configuración actual del control interno.

El diseño contemporáneo del modelo de control interno que se aplica por parte de las administraciones públicas en el mundo corresponde al denominado modelo COSO⁷, que tiene sus orígenes en una investigación llevada a cabo en 1987. Esta investigación fue promovida por las principales asociaciones de auditores y contadores de Estados Unidos, a propósito de las causas y posibles soluciones a los reportes fraudulentos de información financiera de las empresas cotizantes en las bolsas de valores. Se encontró que las discrepancias entre los auditores internos y externos y los administradores de esas empresas sobre el entendimiento del control interno estaban impidiendo que sirviera como herramienta idónea para prevenir y detectar tempranamente el fraude⁸.

Esta situación llevó a la formulación de diferentes propuestas metodológicas, como el informe titulado “El control interno, marco integrado”⁹ (COSO 1992), el cual supuso la aparición de un nuevo paradigma que replanteaba el concepto de control interno y la forma de abordarlo, aportando un completo marco conceptual y metodológico, que llegaría a constituirse en el fundamento de los regímenes de control interno en el sector público, enfocado primordialmente en la gestión de riesgos.

El informe referido se estructuraba en torno a una definición del control interno y la identificación de cinco componentes que eran objeto de estudio detallado a lo largo del informe.

COSO define el control interno como

un proceso llevado a cabo por el consejo de administración, la dirección y el resto del personal de una entidad, diseñado con el objetivo de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos relacionados con las operaciones, la información y el cumplimiento.

El control interno, para COSO, consta de cinco componentes que están presentes en todos los niveles de la organización y afectan todos sus objetivos:

Entorno de control, constituido por el conjunto de normas internas, estructuras organizativas, procesos, valores culturales y pautas de conducta que definen la forma en que funciona una organización.

Evaluación de riesgos, que es la existencia de un proceso (formalizado o no) mediante el que la organización identifica riesgos que pueden afectar a la consecución de sus objetivos. Para que la evaluación de riesgos sea completa es necesario que la organización haya definido todos sus objetivos.

Actividades de control, que es el conjunto de actuaciones establecidas para mitigar los riesgos previamente identificados y sobre los que la organización quiere actuar.

Información y comunicación. La información es necesaria para saber si se están produciendo desviaciones en la consecución de los objetivos y adoptar medidas correctoras. La comunicación es el vehículo para transmitir la información y las medidas adoptadas.

Supervisión. Los componentes del control interno conforman un sistema que debe ser supervisado para comprobar si funciona correctamente o hay aspectos que deben corregirse.

En la medida en que los componentes del control interno que COSO identifica están presentes en todas las organizaciones con mayor o menor intensidad, más o menos formalizados, a veces sin que la propia organización tome conciencia de su presencia, pero contribuyendo a reforzar su funcionamiento para que la organización pueda alcanzar sus objetivos. Este marco conceptual se ha convertido en un modelo de aproximación al control interno aceptado internacionalmente, al punto de que instituciones y organizaciones internacionales, como la UE, la OCDE o la IFAC emiten sus recomendaciones en esta materia basadas en el modelo COSO¹⁰ (López y Ortiz, 2005).

En septiembre de 2004, el Comité COSO publicó el Enterprise Risk Management-Integrated Framework y sus aplicaciones técnicas asociadas (COSO-ERM, o COSO II), en el que se amplía el concepto de control interno y se proporciona un enfoque más completo y extenso sobre la identificación, evaluación y gestión integral del riesgo. Este nuevo enfoque no sustituye COSO I sino que lo incorpora como parte de él, y permite a las compañías mejorar sus prácticas de control interno o decidir encaminarse hacia un proceso completo de gestión de riesgo.

En 2013, se publicó una actualización¹¹ en la que cada uno de los cinco componentes del control interno se desarrolla por medio de diversos principios, que representan los conceptos fundamentales asociados a ese componente. En total, se identifican 17 principios cuya aplicación permite a una organización disponer de un control interno eficaz, de la siguiente manera:

Componente 1: entorno de control

Según el Marco Integrado de Control Interno de COSO, el entorno de control es el “Conjunto de normas, procesos, y estructuras que constituyen la base sobre la que se desarrolla el control Interno de la organización” y “tiene una influencia muy relevante sobre el resto de los componentes”. En el entorno de control hay que valorar especialmente el compromiso con la integridad y los valores éticos, y las tareas de formación y comunicación de este compromiso a lo largo y ancho de toda la organización, en todos sus niveles, así como la capacidad de validar su cumplimiento. COSO aconseja identificar responsabilidades y asegurar las competencias para evitar conflictos de interés entre el personal con responsabilidades de control interno.

Componente 2: evaluación de riesgos

Las organizaciones gestionan los riesgos que amenazan sus objetivos, por tanto, la definición de unos objetivos claros es el primer paso para evaluar los riesgos. Los objetivos claros de una organización deben abarcar obligaciones, compromisos de cumplimiento presupuestario y de legalidad; objetivos estratégicos, de información, y aquellos que la dirección determina idóneos para el cumplimiento de su misión y visión. El siguiente paso tras los objetivos es identificar y evaluar los riesgos con un proceso dinámico e interactivo.

Componente 3: actividad de control

Según COSO, la actividad de control la forman “las acciones establecidas a través de políticas y procedimientos que contribuyen a garantizar que se llevan a cabo las instrucciones de la dirección para mitigar los riesgos que incidan en el cumplimiento de los objetivos”. En las áreas donde no existe la segregación de funciones, la dirección debe implantar actividades de control alternativas.

Componente 4: información y comunicación

Según el marco integrado, este es el “proceso continuo de proporcionar, compartir y obtener la información necesaria”. Por tanto, solo existe si se interactúa con el resto de los componentes. Sea interna o externa, la información debe ser relevante y de calidad, fluyendo en todas las direcciones y niveles.

Componente 5: supervisión

Cada uno de los componentes del control interno debe ser evaluado para determinar si funciona adecuadamente. Los órganos de gobierno deben promover la supervisión acorde con la evaluación de riesgos.

De manera complementaria al modelo COSO, en el 2013, el Instituto de Auditores Internos (IIA por su sigla en inglés) desarrolló un modelo teórico denominado las tres líneas de defensa, cuyo objeto es gestionar de manera sencilla y eficaz la gestión de riesgos y control, de modo que el control y la gestión de riesgos están distribuidos dentro de toda la entidad sin incurrir en duplicación de esfuerzos y sin omitir ninguna faceta de la gestión institucional. El modelo establece las funciones y deberes relacionados con la gestión de riesgos mediante la asignación de roles a los diferentes niveles de la organización, de la siguiente manera:

Primera línea de defensa: Gestión operativa - medios de control interno. Los gerentes de negocio y control poseen y gestionan los riesgos y son responsables de implementar acciones correctivas para abordar el proceso y las deficiencias de control. La gestión operativa se encarga del mantenimiento efectivo de controles internos, ejecutar procedimientos de riesgo y el control sobre una base del día a día. La gestión operativa identifica, evalúa, controla y mitiga los riesgos, orienta el desarrollo e implementación de políticas y procedimientos internos y asegura que las actividades sean compatibles con las metas y objetivos.

Segunda línea de defensa: la administración de riesgos y funciones de cumplimiento. El control y la gestión de riesgos, las funciones de cumplimiento, seguridad, calidad y otras similares facilitan y supervisan la implementación de prácticas de gestión de riesgos eficaces por parte de la gerencia operativa y ayudan a los responsables de riesgos a distribuir la información adecuada sobre riesgos hacia arriba y hacia abajo en la organización.

Tercera línea de defensa. Auditoría interna. La función de auditoría interna, a través de un enfoque basado en el riesgo, proporcionará aseguramiento sobre la eficacia de gobierno, gestión de riesgos y control interno a la alta dirección de la organización, incluidas las maneras en que funciona la primera y segunda líneas de defensa.

El IIA¹² pone de presente que este modelo puede generar un debate permanente sobre qué tareas específicas deben ser cumplidas por cada dependencia y cuáles por la oficina de control interno, problema que puede existir en cualquier organización, independientemente de si se utiliza un marco de gestión de riesgos formal, pues, aunque este puede ser efectivo para identificar los tipos de riesgos que las entidades deben controlar, no consideran cómo deberían ser asignadas y coordinadas las tareas específicas dentro de la organización.

Teniendo en cuenta esa diversidad de atribuciones funcionales, el desafío consiste en coordinarlas eficaz y eficientemente, de manera que no existan brechas en la cobertura de los controles ni duplicaciones innecesarias. El modelo de las tres líneas de defensa procura mejorar las comunicaciones en la gestión de riesgos y control mediante la aclaración de las funciones y deberes esenciales relacionados en cualquier organización, independientemente de su tamaño o complejidad. Aún en entidades donde no existe un marco o sistema de gestión de riesgos formal, el modelo puede aumentar la claridad respecto a los riesgos y los controles y ayudar a mejorar la efectividad de los sistemas de gestión de riesgos.

Como se expondrá enseguida, la regulación vigente del control interno colombiano se basa tanto en el modelo COSO como en el de las tres líneas de defensa.

La situación en Colombia

El diseño normativo e institucional

Desde la expedición de la Ley 87 de 1993, se tiene definido al control interno como el sistema integrado por el esquema de organización y el conjunto de los planes, métodos, principios, normas, procedimientos y mecanismos de verificación y evaluación adoptados por una entidad, con el fin de procurar que todas las actividades, operaciones y actuaciones, así como la administración de la información y los recursos, se realicen de acuerdo con las normas constitucionales y legales vigentes en las políticas trazadas por la dirección y en atención a las metas u objetivos previstos.

La definición legal deja en claro que el control interno recae sobre la planeación y la gestión de la administración pública. Por ello, el Plan Nacional de Desarrollo 2014-2018, al propiciar un modelo administrativo más efectivo, no solo dispuso integrar en un solo Sistema de Gestión los Sistemas de Gestión de Calidad y de Desarrollo Administrativo, sino que ordenó que aquel se articulara con los Sistemas Nacional e Institucional de Control Interno, de tal manera que permita el fortalecimiento de los mecanismos, métodos y procedimientos de control en los organismos y entidades del Estado.

En ese orden de ideas, el Sistema de Gestión tiene por objeto dirigir la gestión pública al mejor desempeño institucional y a la consecución de resultados para la satisfacción de las necesidades y el goce efectivo de los derechos de los ciudadanos, en el marco de la legalidad y la integridad. Para lograr ese objeto, se ha diseñado un marco de referencia, denominado modelo integrado de planeación y gestión, cuya finalidad es la de generar resultados que atiendan los planes de desarrollo y resuelvan las necesidades y problemas de los ciudadanos, con integridad y calidad en el servicio¹³.

Como quiera que el modelo integrado de planeación y gestión está orientado a la promoción del mejoramiento continuo de las entidades, es necesario que ellas establezcan acciones, métodos y procedimientos de control y de gestión del riesgo, a través de su prevención y evaluación. Y allí es donde aparece el control interno como la herramienta clave para asegurar razonablemente que las demás dimensiones del modelo cumplan su propósito.

El control interno sigue operando a través del modelo estándar de control interno (MECI), sólo que ahora, como ya se indicó, se encuentra articulado directamente al Sistema de Gestión como una dimensión del modelo integrado de planeación y gestión. En función de esa articulación, la estructura del MECI se sigue fundamentando en los cinco componentes del modelo COSO: ambiente de control, administración del riesgo, actividades de control, información y comunicación y actividades de monitoreo.

Esta estructura está acompañada de un esquema de asignación de responsabilidades y roles para la gestión del riesgo y el control, el cual se distribuye en diversos frentes, denominados líneas de defensa, así: línea estratégica, conformada por la alta dirección y el equipo directivo; primera línea, conformada por los gerentes públicos y los líderes de proceso; segunda línea, integrada por servidores responsables de monitoreo y evaluación de controles y gestión del riesgo (tales como jefes de planeación, supervisores e interventores de contratos o proyectos, miembros de comités de riesgos e integrantes de comités de contratación); y, tercera línea, conformada por la oficina de control interno.

En función de lo anterior, y siguiendo a Restrepo (2017)¹⁴, el alcance que actualmente tienen los componentes del MECI es el siguiente:

Ambiente de control

Cada entidad debe asegurar un ambiente de control que le permita disponer de las condiciones mínimas para el ejercicio del control interno. Esto se logra si, con el liderazgo y los lineamientos de la alta dirección y del Comité Institucional de Coordinación de Control Interno, todos los colaboradores de la entidad demuestran su compromiso con la integridad del servicio, el comité cumple con sus funciones de supervisión del desempeño del sistema de control interno y de adopción de las mejoras a que haya lugar, la alta dirección asume la responsabilidad y el compromiso de establecer los niveles de responsabilidad y autoridad apropiados para la consecución de los objetivos del sistema de control interno, las actividades de gestión del talento humano están alineadas con los objetivos de la entidad y se tienen definidas y asignadas las responsabilidades para la gestión de los riesgos y del control en personas idóneas.

Para fortalecer el ambiente de control es necesario que desde la dimensión de direccionamiento estratégico y planeación del modelo integrado de planeación y gestión se establezcan las pautas para implementar y fortalecer el sistema de control interno, como prioridad de la alta dirección, diseñando los controles necesarios para que la planeación y su ejecución se lleven a cabo de manera eficiente, eficaz, efectiva y transparente.

A partir de la dimensión de gestión con valores para resultados se asegura que la estructura organizacional, los procesos de la cadena de valor y los de apoyo, el uso de los bienes muebles e inmuebles, el suministro de servicios internos, la ejecución presupuestal y la focalización de los recursos, estén en función del cumplimiento de los propósitos de la entidad y de atender lo previsto en la planeación institucional, de forma eficiente.

Finalmente, es necesario que una adecuada gestión estratégica del talento humano asegure que la selección, la capacitación, la evaluación del desempeño y la calidad de vida laboral, se conviertan en herramientas adecuadas para el ejercicio de las funciones y responsabilidades y en condición mínima para facilitar el autocontrol por parte de cada servidor.

La gestión estratégica del talento humano debe igualmente contemplar las directrices para la toma de decisiones frente al talento humano, en especial sobre aquellos aspectos que tienen que ver con su preparación y responsabilidad frente al sistema de control interno, y sobre los parámetros éticos y de integridad que han de regir todas las actuaciones de los servidores públicos.

Administración del riesgo

El segundo componente de la estructura del MECI es la gestión de los riesgos institucionales, que comprende la identificación, evaluación y gestión de los eventos potenciales, tanto internos como externos, que puedan afectar el logro de los objetivos institucionales, tanto positiva como negativamente. Los de impacto negativo pueden interferir en la creación de valor o bien afectarlo de forma importante, en tanto que pueden lesionar la imagen institucional, así como entorpecer la operación, la estrategia u otros aspectos relacionados con la prestación del servicio.

En la dimensión de direccionamiento estratégico y planeación, el representante legal y la alta dirección deben definir los lineamientos para la administración del riesgo de la entidad; el equipo directivo debe identificar aquellos riesgos que impidan el logro de su propósito fundamental y las metas estratégicas.

La política para la gestión del riesgo se constituye en una política de operación para la entidad, por lo que esta es aplicable a todos los procesos, proyectos y programas especiales. Para su definición se requiere contar con una visión sistémica y estratégica de las operaciones, se deben analizar los principales factores internos y externos de acuerdo con el entorno de la entidad, los riegos a nivel estratégico y su evaluación, aspectos que dan línea a toda la entidad en la identificación de los riesgos a todos los niveles.

Actividades de control

El tercer componente del MECI hace referencia a la implementación de controles, esto es, de los mecanismos para dar tratamiento a los riesgos, mediante la determinación de las acciones que contribuyan a mitigar los riesgos, la definición de los controles en materia de TIC, la implementación de políticas de operación mediante procedimientos u otros mecanismos que den cuenta de su aplicación en materia de control.

Para fortalecer el desarrollo de las actividades de control es fundamental el marco estratégico, que traza la hoja de ruta para la ejecución de las acciones a cargo de toda la entidad, y es determinante para encaminarla al logro de los objetivos, metas, programas y proyectos institucionales. A su turno, en cada uno de los aspectos de la dimensión de gestión para resultados, los responsables deberán adoptar mecanismos de control encaminados a asegurar el cumplimiento de las leyes y las regulaciones, la eficacia y la eficiencia operacional de la entidad y la corrección oportuna de las deficiencias.

La existencia, aplicación y efectividad de tales controles se verifica con la autoevaluación y se comprueba por medio de la auditoría interna. Para asegurar que el personal de la entidad transite por ese mismo camino, la alta dirección de la entidad debe hacer seguimiento a la adopción, implementación y aplicación de los controles por parte de los responsables de la gestión, así como disponer de los medios, mecanismos y procedimientos de control que aseguren que sus competencias se ejerzan y las actividades se lleven a cabo eficaz y eficientemente para la obtención de los resultados pretendidos.

Información y comunicación

El cuarto componente del MECI es el control a la información y la comunicación organizacional, en el cual se verifica que las políticas, directrices y mecanismos de consecución, captura, procesamiento y generación de datos dentro y en el entorno de cada entidad, satisfagan la necesidad de divulgar los resultados, de mostrar mejoras en la gestión administrativa y procurar que la información y la comunicación de la entidad y de cada proceso sea adecuada a las necesidades específicas de los grupos de valor y grupos de interés.

Actividades de monitoreo

Por último, el quinto componente consiste en la implementación de las actividades de monitoreo y supervisión continua en la entidad, las cuales se pueden dar en el día a día de la gestión institucional o con evaluaciones periódicas (autoevaluación, auditorías), y su propósito es valorar la efectividad del control interno de la entidad pública, la eficiencia, eficacia y efectividad de los procesos, el nivel de ejecución de los planes, programas y proyectos y los resultados de la gestión, con el propósito de detectar desviaciones, establecer tendencias y generar recomendaciones para orientar las acciones de mejoramiento de la entidad pública.

La aplicación de evaluaciones continuas e independientes para determinar el avance en el logro de la mega estratégica, los resultados y los objetivos propuestos, así como la existencia y operación de los componentes del sistema de control interno, permite detectar y comunicar las deficiencias de control interno de forma oportuna a las partes responsables de corregir en tiempo real las desviaciones encontradas frente al logro de las metas y objetivos planeados.

La evaluación de los controles internos, como objeto del modelo estándar de control interno en este modelo de control articulado con el modelo integrado de planeación y gestión, debe conducir a la identificación de los controles débiles, insuficientes o innecesarios, para promover su robustecimiento mediante la verificación por parte de la Oficina de Control Interno de la aplicación de las actividades de control que conforman las dos primeras líneas de defensa del modelo integrado de planeación y gestión.

El análisis que se haga en la evaluación del control interno debe realizarse bajo los parámetros de importancia relativa y materialidad y sus resultados deben darse a conocer a sus destinatarios acompañados de las recomendaciones para que la administración tome las medidas preventivas pertinentes y se proyecte su eficacia en los ajustes que sean necesarios en la estructura y en los procedimientos de las dos primeras líneas de defensa del sistema de control interno.

En este orden de ideas, la auditoría interna a la primera línea de defensa deberá enfocarse en verificar la existencia, aplicación y efectividad de los controles sobre las actividades que conforman las dimensiones del modelo integrado de planeación y gestión.

Por su parte, la auditoría a la segunda línea de defensa está enfocada en la evaluación de la gestión de riesgos, de manera que se describan los riesgos más relevantes a que está expuesta la entidad y se establezca si han sido adecuadamente identificados y si se han formulado las estrategias y adelantado las acciones preventivas y correctivas para su tratamiento apropiado por parte de los responsables.

Ello implica que, si a ello hubiere lugar, deben indicarse las deficiencias en la identificación de los riesgos institucionales, las causas, procesos y áreas o dependencias con debilidades de control interno y mayor exposición a riesgos, establecidos en los hallazgos de auditoría.

Los resultados de la aplicación del control interno

De conformidad con la explicación precedente de la estructura del MECI, se infiere que sus componentes, en especial, el de supervisión y monitoreo, al poner en evidencia oportuna las desviaciones halladas en la gestión, deberían permitir tomar medidas preventivas de conductas que pudieran llegar a ser contrarias a la legalidad y en esa medida reducir las probabilidades de que se cometan actos de corrupción en el ejercicio de la función administrativa.

A juzgar por las características del sistema de control interno, podría afirmarse que se ha hecho una incorporación exitosa de las mejores prácticas internacionales en la materia, y en esa medida sus impactos deberían verse reflejados en el cumplimiento de los objetivos de la administración pública en todos sus órdenes y niveles. Ello supondría que han desarrollado capacidades para contrarrestar los riesgos de corrupción, incompetencia e impunidad.

Sin embargo, las cifras sobre corrupción y los indicadores de desarrollo del país dejan entrever que el sistema de control interno no ha hecho lo suyo para prevenir la corrupción, el despilfarro y la mala gestión, dando lugar a que el sector público sea percibido como un lastre para el desarrollo y competitividad de la economía, situación que invita a proponer cambios en la manera en que este control es ejercido.

Ello queda en evidencia en la más reciente evaluación realizada por la Contraloría General de la República sobre la calidad y eficiencia del control interno de la administración y los particulares que manejan fondos de la Nación, en la cual concluye lo siguiente:

la calificación global sobre la calidad y eficiencia del control fiscal interno de las entidades y organismos del Estado se determina “con deficiencias”, concepto que coincide con los determinados para los últimos cuatro años (2016, 2017, 2018 y 2019), indicando que no se han mejorado los controles de mitigación del riesgo en forma significativa.¹⁵

El principal problema parecería ser el carácter formalista de la aplicación de este control, centrada en verificaciones de listas de chequeo de cumplimiento de procedimientos de gestión, desatendiendo a los resultados y los impactos generados con la utilización de los recursos públicos, lo cual es producto del mantenimiento de la racionalidad burocrática inherente a la degeneración del modelo weberiano de administración pública.

Como señala Serrano¹⁶,

existe evidencia para explicar esta problemática como una inadecuación o anacronicidad entre un modelo administrativo de corte burocrático racional que sobreabunda en el legalismo, busca controlar la invariancia de los resultados y disciplinar los comportamientos. Este modelo desemboca en una pérdida general de eficacia y, desafortunadamente, en saldos negativos en aquellas mismas materias que se supone que están siendo controladas.

En esa medida, el aparente refinamiento del diseño institucional del control interno tan solo se ha traducido en un sistema que ha desarrollado un conjunto de tecnologías de control que se basan en la normalización de las conductas y la mecanización de los procesos, cuya gestión del conocimiento está referida y es eficaz para el óptimo cumplimiento endógeno de aquello que se controla y no a la producción y satisfacción de las expectativas sociales de bienes y servicios públicos.

Además, existe una tendencia en el sistema de control interno hacia la conservación y no a la innovación, a privilegiar el cumplimiento formal y no sustantivo, así como a aprovechar el conocimiento para retroalimentar la racionalidad burocrática, cuando las condiciones del medio social, cultural, político y económico de la actualidad impulsan a la creación de valor público por parte del sistema de control interno, que tiene efectos sobre la democracia, la participación y el combate a la corrupción.

Una propuesta para superar las disfuncionalidades del control interno

A partir del diseño institucional existente, una propuesta para mejorar la función preventiva del control interno en el caso colombiano es concretar la pretendida articulación del modelo estándar de control interno al modelo integrado de planeación y gestión mediante la efectiva implementación de las tres líneas de defensa en los ámbitos de autocontrol, administración del riesgo y auditoría interna, de la siguiente manera:

Autocontrol

En cada uno de los componentes de la dimensión de gestión para resultados del modelo integrado de planeación y gestión, los responsables deben adoptar mecanismos de control encaminados a garantizar el cumplimiento de las leyes y las regulaciones, la exactitud e integridad de la información, la eficacia y la eficiencia operacional de la entidad y la corrección oportuna de las deficiencias.

La existencia, aplicación y efectividad de tales controles se ha de verificar mediante la autoevaluación en esta primera línea de defensa y se comprobará por medio de la auditoría interna.

El marco estratégico (direccionamiento y planeación) que contempla el modelo integrado de planeación y gestión como su primera dimensión, constituye el andamiaje sobre el cual se afirma el posterior desarrollo de la gestión operativa de la entidad, en la medida en que traza la hoja de ruta para la ejecución de las acciones a cargo de toda la organización y es determinante para encaminarla al logro de los objetivos, metas, programas y proyectos institucionales.

Para asegurarse de que el conjunto del personal de la entidad transite por ese mismo camino, a la alta dirección de la entidad le corresponde hacer seguimiento a la adopción, implementación y aplicación por parte de los responsables de los componentes de la gestión orientada a resultados, de los medios, mecanismos y procedimientos de control que garanticen que sus competencias se ejercen y las actividades que realizan se lleven a cabo eficaz y eficientemente para la obtención de los resultados pretendidos.

Ello implica que tanto desde el nivel estratégico de la entidad (alta dirección), como desde la gestión (gerencia operativa), deben establecerse los puntos y las medidas de control que aseguren de manera razonable la generación de información confiable, oportuna y suficiente, la observancia del marco jurídico de actuación de la entidad y la transparencia en el manejo y protección de los recursos públicos.

Administración del riesgo

Los servidores públicos que ejercen funciones de dirección y supervisión son responsables de llevar a cabo la identificación de los principales riesgos en los procesos sustantivos institucionales en sus respectivos ámbitos de competencia, con el fin de evaluarlos, prevenirlos, administrarlos o corregirlos, de manera que su neutralización o mitigación facilite el cumplimiento de los objetivos, metas, programas y proyectos institucionales.

Así, la administración de los riesgos ha de tener como línea de base el establecimiento de los objetivos de la organización como un todo y de sus actividades relevantes, de manera que aquella se lleve a cabo en relación con los factores que amenacen el cumplimiento oportuno de estos, considerando de manera especial la identificación y gestión de los riesgos específicos asociados con los cambios, tanto de los que influyen en el entorno de la entidad como en el interior de esta.

Teniendo en cuenta el enfoque basado en riesgos, la supervisión y evaluación sistemática sobre las actividades diarias debe permitir observar si efectivamente los objetivos de control se están cumpliendo y si los riesgos se están gestionando adecuadamente; corresponde a la alta dirección y a la gerencia operativa determinar si el sistema de control es efectivo o no lo es, y tomar las acciones de mejoramiento y corrección que cada situación exija.

Auditoría interna

La evaluación independiente efectuada por medio de las auditorías practicadas por la oficina de control interno debe proporcionar información objetiva sobre la efectividad de los controles, así como de los procedimientos de supervisión y seguimiento del sistema de control; su adelantamiento por parte de los auditores internos puede ser complementado por especialistas de otros campos cuando así se requiera.

En este orden de ideas, la auditoría interna debe i) evaluar la calidad de los controles aplicados en función de su efectividad para el logro de los objetivos, metas, programas y proyectos institucionales, incluyendo la identificación y valoración de la efectividad de las acciones de mejora continua; y ii) determinar el alcance y la frecuencia de las evaluaciones de riesgos efectuadas y la eficacia de los procedimientos de supervisión.

Al estudiar y evaluar el control interno, el auditor deberá obtener y conocer información que le permita determinar posibles riesgos, deficiencias e inconsistencias, e incluso irregularidades que impliquen la vulneración del marco jurídico de actuación de la entidad y la afectación de la integridad de su patrimonio.

En conjunto, la adecuada implementación del MECI demanda que las evaluaciones sean continuas, al punto en que se constituyan en operaciones rutinarias integradas a los diferentes procesos o áreas de la entidad, y que se lleven a cabo en tiempo real por parte de los líderes de proceso, en tanto que las auditorías se deben verificar como actividades independientes y objetivas de aseguramiento y consulta, concebidas para agregar valor y mejorar las operaciones de la entidad, que al evaluar la eficacia de los procesos de gestión de riesgos, control y gobierno, analice las debilidades y fortalezas del control y de la gestión, así como el desvío de los avances de las metas y objetivos trazados.

Lograr la articulación propuesta entre el MECI y el MIPG, que trascienda al formalismo que ha caracterizado el ejercicio del control interno y que ha limitado el alcance de su capacidad preventiva requiere acometer un cambio cultural que el COSO III prohíja:

la cultura de la organización refuerza el entorno de control, ya que establece una serie de expectativas de comportamiento que reflejan su compromiso de cara a la integridad y a los valores éticos de la organización, a su supervisión, responsabilidad por rendir cuentas y su capacidad de evaluación del desempeño.¹⁷

Como señala Miaja¹⁸ (2019), ese cambio cultural solo será posible si las nuevas generaciones de funcionarios que se incorporen a la administración pública llegan con la disposición y la formación para comprender y aplicar todos los componentes del control interno en el nuevo entorno de la administración electrónica, en la cual se recurra al tratamiento masivo de datos que hoy permite la tecnología, que hace factible comprobar con rapidez todas las transacciones realizadas por una entidad, sin necesidad de recurrir a procedimientos de inferencia estadística para obtener conclusiones a partir de pequeñas muestras, incrementando la capacidad de análisis de los auditores, al multiplicarse la potencia de cálculo para realizar distintas selecciones y agregaciones de datos, compararlos, ordenarlos y clasificarlos.

Bibliografía

Notas

* Artículo de investigación. El presente artículo es un resultado parcial de la investigación que se adelanta por el autor como coinvestigador del Proyecto 71848. La respuesta del derecho público comparado para enfrentar en Colombia la corrupción asociada al crimen transnacional organizado, a la luz de las dinámicas de comportamiento del narcotráfico marítimo y de la respuesta ofrecida por el derecho internacional, que hace parte del Programa 70593 - Estrategia de respuesta integrada desde el derecho público comparado e internacional para enfrentar en Colombia la corrupción asociada al crimen transnacional organizado, a la luz de una aproximación evolutiva a las dinámicas del narcotráfico marítimo por medio de simulación de sistemas sociales, cofinanciado por el Ministerio de Ciencias en el marco de la Convocatoria 852-2019 convocatoria de programas conectando conocimiento 2019.

1 Este enfoque proviene de la convicción de que los problemas propios de la gestión pública pueden ser analizados y solucionados, teniendo en cuenta los conceptos y técnicas propios de las organizaciones privadas, considerando que la gestión pública es sustantivamente gestión —decisiones de coordinación y motivación dirigidas a alcanzar los mejores resultados con los medios disponibles— entre las restricciones que impone el marco jurídico-político. E. Albi, J. M. González & Guillém López, Gestión pública. Fundamentos, técnicas y casos (Ariel, 1997).

2 El autocontrol desempeña un papel determinante como instrumento de facilitación de la ejecución de las estrategias de la gerencia pública, tales como la planeación operacional, el presupuesto de inversión y la evaluación y el control de gestión. J. M. Giro Roca, Control de gestión y gerencia pública, Revista Trimestre Fiscal n.° 60, IV (2), Cuadernos de Actualidad (Editorial Ministerio de Economía y Hacienda - Instituto de Estudios Fiscales, Madrid, 1993).

3 W. M. Mendoza Zamora, T. Y. García Ponce, M. I. Delgado Chávez & I. M. Barreiro Cedeño, El control interno y su influencia en la gestión administrativa del sector público, 4 (4) Revista Dominio de las Ciencias (2018).

4 S. A. Mantilla Blanco, Control interno de los nuevos instrumentos financieros (Ed. Ecoe, 2008).

5 R. Poch Torres, Manual de control interno (Ed. Gestión, 2000).

6 En los resultados del Índice de Percepción de la Corrupción (IPC) 2020 de Transparencia Internacional, Colombia obtuvo una calificación de 39 puntos sobre 100, donde 0 significa corrupción muy elevada y 100, ausencia de corrupción. Desde el 2012 el país ha estado entre los 36 y los 39 puntos. Conforme al índice, una calificación por debajo de 50 puntos indica niveles de corrupción muy serios en el sector público de un país. Transparency International, Índice Internacional de Percepción de la Corrupción 2020 (2021).

7 COSO es la sigla de Committee of Sponsoring Organizations of Treadway Commission, el cual está conformado por cinco instituciones representativas en Estados Unidos en el campo de la contabilidad, las finanzas y la auditoría interna: American Accounting Association (AAA), American Institute of Certified Public Accountants (AICPA), Financial Executive Institute (FEI), Institute of InternalAuditors (IIA), Institute of Management Accountants (IMA).

8 J. Treadway et al., Report of the National Commission on Fraudulent Financial Reporting (1987).

9 COSO, Internal Control - Integrated Framework (2002).

10 A. M. López Hernández & D. Ortiz Rodríguez, El control de la gestión económico-financiera de las administraciones públicas, en M. Pifarré, ed., La ciencia de la contabilidad (Ed. Universidad de Barcelona, 2005).

11 COSO, Control interno - marco integrado (2013).

12 IIA, El modelo de las tres líneas del IIA 2020 (2020).

13 El modelo integrado de planeación y gestión tiene los siguientes objetivos:

1. Fortalecer el liderazgo y el talento humano bajo los principios de integridad y legalidad, como motores de la generación de resultados de las entidades públicas.

2. Agilizar, simplificar y flexibilizar la operación de las entidades para la generación de bienes y servicios que resuelvan efectivamente las necesidades de los ciudadanos.

3. Desarrollar una cultura organizacional fundamentada en la información, el control y la evaluación, para la toma de decisiones y la mejora continua.

4. Facilitar y promover la efectiva participación ciudadana en la planeación, gestión y evaluación de las entidades públicas.

5. Promover la coordinación entre entidades públicas para mejorar su gestión y desempeño.

14 Manuel Alberto Restrepo Medina. Articulación del sistema de control interno al modelo integrado de planeación y gestión en el caso colombiano, CLAD, Memorias del XXII Congreso Internacional del CLAD, Madrid (2017).

15 Contraloría General de la República, Informe sobre la calidad y eficiencia del control fiscal interno de las entidades y organismos del Estado. Vigencia 2019 (2020).

16 J. A. Serrano Sánchez, El control interno de la Administración Pública: ¿elemento de estancamiento o de desarrollo organizacional? INAP, México (2016).

17 COSO, supra nota 11 (2013).

18 M. Miaja Fol. Presente y futuro del control interno en las administraciones públicas, 74 Auditoría Pública (2019).

Notas de autor

^a Autor de correspondencia. Correo electrónico: manuel.restrepo@urosario.edu.co

Información adicional

Cómo citar este artículo: Manuel Alberto Restrepo Medina, Caracterización y evaluación de la función preventiva del control interno en Colombia, 71 Vniversitas (2022), https://doi.org/10.11144/Javeriana.vj71.cefp

Descargar