La administración de riesgos constituye un proceso ordenado y sistemático, normalmente desarrollado por fases, que se emplea en las instituciones públicas para evaluar la exposición al riesgo que enfrentan de cara al logro de sus proyectos y objetivos.
Dicho proceso comprende una metodología que auxilia en la toma de decisiones y permite implementar medidas de prevención y contención que eviten, reduzcan o mitiguen el impacto negativo que tienen los riesgos en su operación cotidiana, en los estados financieros, así como en aspectos legales, reputacionales, entre otros.
Por lo general, la administración de los riesgos por las instituciones públicas se entiende como parte de un modelo de control interno que contempla pautas o guías de actuación muy precisas para generar un ambiente ético, medir sus riesgos y establecer actividades de control, información y evaluación que posibiliten el cumplimiento de los mencionados proyectos y objetivos, contribuyendo a la mejora continua.
Entre algunos de los modelos de control interno que contienen componentes que permiten la evaluación de riesgos y que son reconocidos a nivel nacional e internacional, se encuentran los siguientes:
Committee of Sponsoring Organizations of the Treadway (COSO).
Criteria of Control (COCO).
UK Cadbury Committee (CADBURY).
Control Objectives for Information and Related Technology (COBIT).
Institute of Chartered Accountants of England and Wales (TURNBULL).
Autoevaluación del Control (AEC).
En México, hace algunos años, la Administración Pública Federal y algunas de las Entidades Federativas adoptaron el modelo denominado MICI (modelo integral de control interno), que adapta la metodología desarrollada principalmente por COSO, pero aplicada al contexto de nuestras instituciones públicas.
Ahora bien, en cuanto al tema central del presente artículo, la administración de riesgos -con independencia de que forme parte de un modelo de control interno o no-, puede ser aplicada particularmente a determinados procesos o tareas que se consideren de alto interés para la administración o bien para la defensa de sus diferentes prioridades o valores. Un ejemplo claro de ello, lo constituye el modelo de gestión de riesgos de fraude, que se concentra prioritariamente en aspectos legales y en la identificación de este tipo de ilícitos que se generan en detrimento de la función y del erario público.
Pero la mencionada metodología de riesgos puede ser aplicada en las instituciones de gobierno no solamente para la prevención y mitigación de riesgos a sus operaciones o procesos administrativos, sino particularmente como una forma de blindarse en contra de faltas administrativas que se generan con motivo de incumplimientos a los deberes y obligaciones de los servidores públicos y también por actos constitutivos de corrupción.
En ese sentido, esta propuesta metodológica para la identificación, mitigación y control de faltas administrativas y actos de corrupción no necesariamente demanda contar con modelos complejos de control interno, sino que puede seguirse a partir del conocimiento que tienen las propias entidades públicas y, sobre todo, las contralorías internas o también denominados órganos internos de control.
En efecto, para la identificación de los posibles riesgos de falta administrativa se pueden tomar en cuenta muy diversos elementos de información con que ya cuentan las dependencias públicas, entre los que destacan:
Las denuncias presentadas con motivo de una probable falta administrativa, con independencia de si la investigación está en curso o concluida y de si derivó en un informe de presunta responsabilidad administrativa o no, ya que de lo que se trata es únicamente de la identificación de un posible riesgo, el cual será medido y evaluado, para discernir si efectivamente es un riesgo potencial y actualizable o solamente de carácter latente y de compleja materialización.
Las sanciones impuestas por responsabilidad administrativa, ya que evidencian un riesgo que efectivamente se presentó en algún momento y causó una determinada afectación a la institución (daño económico, legal, etc.).
Los antecedentes históricos en determinadas dependencias o bien por sectores completos del gobierno federal o local (por ejemplo las instituciones a las que corresponde el tema financiero o bien de apoyo social a la población).
Comparativos globales en la materia a nivel nacional o incluso por regiones, aprovechando la estructura que hoy en día se tiene a partir de la Comisión Permanente de Contralores Estados-Federación.
Los precedentes de responsabilidad administrativa acontecidos en otras dependencias que no sean de la misma rama del Poder público (Ejecutivo, Legislativo y Judicial).
Los diagnósticos derivados de los estudios académicos y del periodismo de investigación que pudieran constituir un insumo esclarecedor para la prevención y mitigación de riesgos (por ejemplo estudios que destacan la incidencia de casos de nepotismo y acoso sexual).
A partir de dichos factores, pueden generarse bases de datos que, previo proceso de inteligencia institucional, analice y valore la información para clasificarla conforme a los factores de impacto y la probabilidad de los riesgos de falta administrativa identificados.
De esa manera, podrán detectarse los riesgos potenciales de faltas administrativas con un sustento documental real y no ficticio (o a modo); se podrán clasificar temáticamente los riesgos y de acuerdo a su gravedad, para ponderar si efectivamente es viable que se presenten o acontezcan en la cotidianeidad de las instituciones y, a partir de ahí, diseñar un plan que contribuya a prevenirlos y contrarrestarlos.
Por poner un ejemplo de la identificación temática de los riesgos a los que nos referimos, es muy probable reconocer que una de las faltas más comunes es la extemporaneidad y omisión en la presentación de las declaraciones patrimoniales y de intereses, no obstante, pese a dicha frecuencia con que se presentan, el impacto institucional ocasionado es bajo, por lo que si bien se pueden tomar acciones preventivas, lo cierto es que no serían de un carácter prioritario frente a otro tipo de conductas de mayor gravedad. (Alta frecuencia + Baja gravedad).
Por el contrario, otras conductas como el cohecho, peculado o desvío de recursos se podrían catalogar como de una entidad y gravedad mayor al afectar financiera y patrimonialmente a las instituciones públicas, por lo cual serían de carácter prioritario, pese a que su probabilidad de acontecimiento quizás sea menor. (Baja frecuencia + Alta gravedad). Misma circunstancia acontecería con conductas que afectan la libertad sexual y laboral (acoso), las cuales son de gravedad (aunque no esté reconocido siempre así en todas las leyes) pero posiblemente de no tan alta probabilidad de ocurrencia. (Baja frecuencia + Alta gravedad).
Otras conductas que afectan operativa y logísticamente la cotidianeidad del desempeño de las oficinas públicas, como sería el extravío de documentos o el atraso en trámites, podrían clasificarse como de un impacto intermedio y de una probabilidad de acontecimiento también media, ya que, en esencia, solo demoraría o interrumpiría menormente la gestión diaria de la función pública (Frecuencia intermedia + Gravedad intermedia).
Como estos, podrían desarrollarse muchos otros ejemplos que permitan contar con un diagnóstico real de la cantidad y la clase de riesgos que enfrentan nuestras instituciones públicas y, particularmente, de las áreas más sensibles frente a la responsabilidad administrativa.
Ello posibilitaría planificar la atención de las conductas irregulares, establecer prioridades ante las conductas más graves sin desatender aquellas de menor entidad pero mayor recurrencia, a través de una estrategia de mitigación y respuesta frente a las faltas administrativas, partiendo de que los órganos internos de control cuentan con la posibilidad de allegarse de todos los insumos aquí planteados y de contar con el apoyo y colaboración con las áreas de cada dependencia pública.
Dentro de dicha estrategia, siempre será necesario considerar la necesidad de definir pormenorizadamente aspectos tales como:
Su objetivo y alcances.
El tiempo de su desarrollo.
Las áreas participantes y la responsabilidad de las mismas.
Los beneficios esperados.
La respuesta que, de manera institucional, se dará a los riesgos identificados (actividades de control preliminares y permanentes que se podrían implementar: capacitación, bitácoras de control, supervisión de temas específicos, propuestas de modificación normativa u orgánica, entre otros).
La evaluación y el seguimiento de cada control que se adopte.
A manera de conclusión, podemos decir que la metodología de riesgos, aplicada a la responsabilidad administrativa, es solamente una de las herramientas que pueden emplearse de forma útil para controlar y reducir las conductas irregulares que afectan a nuestras instituciones de gobierno; el estudio de estas metodologías nos permitirá hacerlo de una manera ordenada y sistemática, con un rumbo definido y que posibilite no solo actuar de forma reactiva (cuando el perjuicio se ha cometido), sino proactivamente a través de la inteligencia institucional, para asegurar de forma razonable el cumplimiento de proyectos, objetivos y metas, en un entorno de responsabilidad de las entidades de gobierno y de los servidores públicos que las integran.