Por: Carlos Julio Cortés Sánchez, gerente de Global Forensic Auditing, y Lorena del Pilar Motta Forero, consultora en Global Forensic Auditing.  

Dentro de la caja de herramientas dispuestas por el gobierno nacional para la lucha contra la corrupción, se encuentran los planes anticorrupción y de atención al ciudadano. 

El aspecto esencial de esta estrategia es la elaboración del mapa de riesgos de corrupción que, de acuerdo a la ley 1474 de 2011, debe actualizar anualmente cada entidad y poner a disposición del público para su consulta a más tardar cada 31 de enero.

En estos mapas todas las entidades públicas deben reflejar, después de un análisis profundo, los principales riesgos de corrupción, con sus causas y controles existentes y, a partir del riesgo residual, plantear actividades para su mitigación, con responsables y fechas de cumplimiento.

Viendo la crisis institucional que ha surgido en los últimos meses producto de sonados escándalos de corrupción y soborno de la mano de figuras públicas, pensamos en realizar un análisis a los mapas de riesgo de corrupción del Estado, los cuales existen pero, frente a la realidad que sufrimos los colombianos, parece que de efectividad tienen muy poco.

Para el ejercicio, decidimos poner bajo la lupa los mapas de riesgo de corrupción de una autoridad suprema frente a otras instituciones como lo es la Contraloría Distrital de Bogotá. En esta oportunidad, se revisaron los aplicables a las vigencias 2015, 2016 y 2017.

Recordemos que esta entidad estuvo en el ojo del huracán a finales del año 2016 debido a un escándalo que comprometió a varios funcionarios de la entidad quienes, al parecer, pedían millonarias sumas a cambio de borrar en el sistema hallazgos derivados de auditorías practicadas.

Aunque a primera vista los resultados de la implementación de los mapas de corrupción  parecieran positivos, porque la institución señala que hay cumplimiento, en realidad no es así ya que  el análisis arroja alertas que señalan la necesidad de empezar a cambiar la forma en la que se hacen las cosas al interior de las instituciones. 

Para ilustrar al lector, a continuación plasmamos algunas de las conclusiones derivadas del análisis realizado a los mapas de riesgo de corrupción de dicha entidad. (Vea el cuadro usado para analizar el mapa de riesgos, *Elaborado por equipo consultor de GFA  a partir de mapas de corrupción oficiales publicados en la página web por la contraloría distrital de Bogotá)

Los mapas de riesgo no presentan cambios sustanciales, ni se intensifican las actividades de mitigación

En el mapa de riesgo de corrupción del año 2017, el 80 por ciento de los riesgos reportados, por cada uno de los procesos de la Contraloría Distrital de Bogotá, no presentan variación en cuanto a su descripción, calificación, o control con respecto a los años precedentes.

En cuanto a las actividades propuestas para su mitigación, el 63 por ciento se mantiene sin mayor variación en los tres años analizados. Llama la atención que las actividades que sufren modificación (37 por ciento), evolucionan en el sentido de ser menos rigurosas año a año.

Especial atención merecen los riesgos de calificación alta ya que, aunque en la evaluación realizada para actualización del mapa por parte de los funcionarios de la entidad se decide no disminuir el riesgo residual, la entidad no intensifica las actividades de mitigación.

Reconocen riesgos pero no plantean actividades

En el mapa de riesgo de corrupción del año 2017, aparecen dos nuevas categorías de riesgo de corrupción: una relacionada con gestión de tecnologías e información y comunicaciones, y otra relacionada con gestión de recursos físicos.

La primera de estas categorías, que amerita un mayor análisis, está claramente relacionada con el escándalo de corrupción del año 2016 en donde quedó en evidencia la vulnerabilidad del sistema de información de la entidad.

La inclusión del riesgo, dada la materialización del mismo, es reactiva. No obstante, resulta preocupante el hecho de que, al parecer y según lo indica el mapa en la descripción de la actividad, la  entidad sí conocía el riesgo toda vez que había un plan de implementación de un sistema con el MINTIC que había corrido en una primera etapa.

La pregunta que queda en el aire es ¿en qué medida se habría logrado prevenir el riesgo, de haber sido juiciosa la elaboración del mapa de riesgo de corrupción y se hubieran plasmado las actividades de mitigación?

Dudas en cuanto a la rigurosidad de las metodologías utilizadas para la calificación de los riesgos

Llama la atención que si bien el escándalo de corrupción del año 2016 evidenció que lo que se buscaba era “borrar registros”, el nuevo riesgo asociado a la gestión de las tecnologías de información haya sido calificado como moderado.

Si fue clara, ante la opinión pública, la alta probabilidad de materialización de este riesgo, no se comprende por qué en el mapa de riesgos de corrupción lo plasmado dista de esta realidad.

Desestimación de riesgos sin mayor explicación

En el mapa de riesgo del año 2017 desaparece el riesgo del área jurídica, que en el periodo previo tenía una calificación alta. Resultaría importante saber la razón por la cual este riesgo desapareció, ya que era de los pocos que tenía una calificación alta, y las actividades para mitigar el riesgo no dan suficiente ilustración.

No se va más allá del ‘check list’

Los indicadores formulados son de cumplimiento, no de eficacia ni efectividad. Son tan etéreos que un “memorando dirigido a la Dirección de Talento Humano y Plan de Contingencia por tiempo determinado para la Secretaria Común de la Subdirección del Proceso de Responsabilidad Fiscal” es indicador de actividad para mitigación de un riesgo tan importante como el de: “Decisiones ajustadas a indebido interés particular. (Corrupción)”.

De igual manera, la rigurosidad en la formulación de indicadores es tan baja que se ven ejemplos como el de un indicador diseñado así: “(Número estudios previos, pliegos de condiciones, respuestas a las observaciones, adendas, acto administrativo de adjudicación y evaluaciones / Número  de contratos suscritos) *100 por ciento”, indicador que parece más de burocracia que de control de corrupción.

Todavía hay procesos fuera del control especial

Entrando al detalle, del caso de corrupción del año 2016 detectado en la entidad, se infiere que además del proceso de gestión de tecnologías de información y comunicaciones, otros procesos pueden ameritar un control especial por estar vinculados a los hechos conocidos como, por ejemplo, el de vigilancia y control a la gestión fiscal, y el de evaluación y control, sin perjuicio de otras posibles implicaciones en el proceso de comunicación estratégica (comunicación interna), dependiendo de lo que se haya identificado en las investigaciones.

Sólo un requisito más

En conclusión, el análisis realizado indica que las entidades públicas toman la elaboración del mapa de corrupción como un “requisito más que se debe cumplir” y no como una herramienta efectiva para mitigar los riesgos de corrupción.

Se evidencia falta de análisis y de rigurosidad en su construcción, además de interés por plasmar actividades que realmente apunten a la prevención y control. La incorporación de indicadores ‘blandos’ y mal formulados, complica aún más el panorama.

Si esto lo realiza la Contraloría Distrital de Bogotá, que debe velar por el cumplimiento de esta norma y quién fue salpicada recientemente por un escándalo de corrupción, ¿qué se puede esperar del resto del sector público?
Pero el problema es más profundo 

Las razones principales para que estos mapas de riesgo no estén siendo útiles, están asociadas a otros fenómenos que en otras columnas ya hemos señalado. (Ver columnas sobre corrupción en el Estado). 

Las falencias en la contratación debido a los compromisos adquiridos en el momento de la campaña política y las dinámicas propias de las entidades tienen consecuencias directas en la construcción misma de los mapas de riesgo.

Las matrices de riesgo son elaboradas por los mismos funcionarios que deben responder por ellas, muchas veces sin la debida objetividad al estar inmersos en el problema que buscan solucionar, y otras veces sin la debida capacitación.

A los mapas de riesgo, sí les falta rigurosidad. Se requiere que exista la visión de un tercero capaz de señalar esas metas de peso para las entidades, con olfato e independencia para hacerlo; un tercero que logre generar cambios sustanciales por medio de esos mapas, que utilice técnicas robustas, como las que aplican las empresas de auditoría forense, y que logre generar a tiempo las alertas, para que esta herramienta, vaya más allá de un cumplimiento de papel.