Técnica de administración de riesgos en el gobierno mexicano

E

n la administración pública mexicana hay dos referentes para la evaluación del control interno y la gestión de riesgos, estos son:

• Acuerdo por el que se emiten las Disposiciones y el Manual Administrativo de Aplicación General en Materia de Control Interno, publicado en el Diario Oficial de la Federación (DOF) el 3 de noviembre de 2016 (última reforma el 5 de septiembre de 2018).
• Marco Integrado de Control Interno, emitido por la Secretaría de la Función Pública (SFP) y la Auditoría de Superior de la Federación (ASF) en 2014.

Los dos referentes en forma general se apegan a la metodología del Committee of Sponsoring Organizations of the Treadway (COSO).

Elementos del sistema de control interno en la administración pública mexicana

Las técnicas que se mencionan por la SFP y la ASF en materia de control interno son guías para los entes públicos que conforman el Gobierno federal con el fin de llevar al cabo la evaluación del control interno y una correcta gestión de riesgos.

La técnica de administración de riesgos está integrada por instrumentos y mecanismos administrativos para prevenir riesgos de operación en el cumplimiento de los objetivos y metas.

Conforme a las disposiciones y el manual administrativo de referencia, los elementos del sistema de control interno son los siguientes:

Como se ha mencionado, los elementos del sistema de control interno son: el modelo estándar de control interno, la metodología general de administración de riesgos y el funcionamiento del Comité de Control y Desempeño Institucional (Cocodi). En este artículo se describen las técnicas de administración de riesgos y su proceso para identificar y definir, tanto las estrategias como las acciones de control para responder a los riesgos que se presenten en los entes públicos del Gobierno federal.

Técnica general de administración de riesgos

La técnica en la administración de riesgos es un elemento fundamental del sistema de control interno; define que los riesgos deben ser analizados de acuerdo con su probabilidad de ocurrencia e impacto para determinar cómo deben ser administrados a efecto de reducir o eliminar dichos riesgos dentro de los límites aceptados. Esta técnica consta de las siguientes etapas:

1. Comunicación y consulta: considera los objetivos estratégicos del ente público, así como sus principales procesos con la finalidad de identificar las causas, efectos, acciones y controles que se puedan llevar al cabo para la disminución o eliminación del riesgo.
2. Contexto: identifica y describe los riesgos inherentes en los cuales opera el ente público: los que no puede controlar, pero si gestionar; se deben evaluar las fortalezas y debilidades; identificar los eventos adversos históricos que podrían poner en riesgo el logro de los objetivos y metas institucionales.
3. Evaluación de riesgo: considera la probabilidad de ocurrencia e importancia relativa de cada uno de los riesgos (en caso de concretarse).
4. Evaluación de controles: se establecen políticas de control con el objetivo de mitigar los riesgos a los cuales va a estar expuesto el ente público.
5. Evaluación de riesgos respecto de controles: se comparan los valores que generan los riesgos contra el valor que generan los controles establecidos, lo que permite visualizar la situación actual de la institución.
6. Mapa de riesgos: es el documento en donde se describen los riesgos y las políticas de control con el fin de reconocer, atemperar y administrar los riesgos que la organización puede enfrentar.
7. Definición de estrategias y acciones de control para responder a los riesgos: representan todas las actividades de respuesta y su costo de implementación. En este punto se analiza la inclinación al riesgo por parte del ente público. Es importante aclarar que, para los riesgos de corrupción, sólo se pueden aplicar estrategias que los eviten o reduzcan, ya que, tales riesgos son inaceptables y lesionan la imagen de la institución.

Las técnicas que se mencionan por la SFP y la ASF son guías para los entes públicos con el fin de llevar al cabo la evaluación del control interno y una correcta gestión de riesgos.

El titular del ente público, el responsable de la administración y, en su caso, el órgano de gobierno debe identificar riesgos en todos los procesos institucionales, ya sean sustantivos o administrativos; realizar la evaluación de riesgos y establecer las políticas de control para su administración y mitigación; para su evaluación periódica se puede contratar a un despacho externo para certificar la implementación de un correcto control interno.

Además, se debe tener presente (en todo momento) la identificación, evaluación y análisis del riesgo de fraude y corrupción con el objetivo de establecer las políticas de control y así evitar que sucedan; y, en su caso, contratar seguros y fianzas.

Las acciones que permiten identificar, analizar y responder a los riesgos son las siguientes:

Para el análisis de riesgos se utiliza la matriz de administración de riesgos, en la cual, cada uno de los riesgos se ubican en los cuadrantes de esta herramienta: el primer cuadrante representa una probabilidad y ocurrencia alta; el segundo, alta probabilidad y baja ocurrencia; el tercero, probabilidad y ocurrencia baja; el cuarto, baja ocurrencia y alta probabilidad.

La matriz refleja el diagnóstico general actual de la institución con respecto de los problemas detectados, lo que permite identificar las estrategias y áreas de oportunidad en la institución; para esto, se consideran las etapas de la metodología de administración de riesgos y se grafica en el mapa uno o más riesgos que permitan vincular la probabilidad de ocurrencia y el impacto de éstos en el ente público.

Las estrategias que se pueden implementar para aminorar los riesgos a los que está expuesta la institución son:

En materia de control interno, se establece que el proceso de administración de riesgos debe iniciarse el último trimestre de cada año, con la disposición de un grupo de trabajo en el que participen los titulares de todas las unidades administrativas responsables de los procesos de la institución: el titular del órgano fiscalizador, el coordinador de control interno y el enlace de administración de riesgos. Se debe reflejar, en dicho proceso, la designación de responsables y las actividades a realizar; todo esto, en un cronograma que permita dar seguimiento a las estrategias y acciones, el cual se denomina Programa de Trabajo de Administración de Riesgos (PTAR).

Los elementos del sistema de control interno son: el modelo estándar de control interno, la metodología general de administración de riesgos y el funcionamiento del Cocodi.

Ante un ambiente cambiante, se debe dar seguimiento a la evaluación de riesgos estableciendo un calendario de evaluación y seguimiento de las políticas de control implementadas. Al final de cada año se va a elaborar un reporte del comportamiento de los riesgos que debe estar directamente relacionado con la matriz de administración de riesgos del año anterior y, en el cual, se especifiquen:

• Los riesgos con cambios en la valoración
• El comparativo del total de riesgos por cuadrante
• La variación del total de riesgos
• El porcentaje total de avance en las acciones realizadas en el periodo
• Las conclusiones

Conclusiones

Se ha planteado lo referente a la técnica de administración de riesgos en las instituciones del gobierno mexicano y está integrada por instrumentos y mecanismos administrativos que son adoptados por las dependencias y entidades para prevenir riesgos de operación en el cumplimiento de los objetivos y metas; contribuir al correcto ejercicio de los recursos públicos; y anticipar posibles actos de corrupción.

En materia de control interno, se establecen los elementos de administración de riesgos para la definición, análisis y seguimiento de las estrategias y acciones del ente público como un medio para contribuir al logro de sus metas y objetivos.

Asimismo, se exponen las definiciones del mapa de riesgos, la matriz de administración de riesgos y de las estrategias, así como las acciones de control establecidas en los elementos de control interno que se van a utilizar para responder a los riesgos; se resalta que la matriz de administración de riesgos es la parte fundamental de la herramienta que refleja el diagnóstico general de los riesgos para identificar las estrategias y áreas de oportunidad del ente público.

---

Referencias

• Auditoría Superior de la Federación y Secretaría de la Función Pública, 2014, Marco Integrado de Control Interno, 2022, de Auditoría Superior de la Federación: https://www.asf.gob.mx/uploads/176_Marco_Integrado_de_Control/Marco_Integrado_de_Cont_Int_leyen.pdf
• Committee of Sponsoring Organizations of the Treadway Commission, Metodología COSO, 2023, de Committee of Sponsoring Organizations of the Treadway Commission: https://www.coso.org/SitePages/Home.aspx
• Secretaría de la Función Pública, 2016, Acuerdo por el que se emiten las Disposiciones y el Manual Administrativo de Aplicación General en Materia de Control Interno, 2022, de Diario Oficial de la Federación: https://www.dof.gob.mx/nota_detalle.php?codigo=5459569&fecha=03/11/2016#gsc.tab=0