MAPA DE RIESGOS DE LA DIAN (Parte II)

De acuerdo a la versión en línea del diario EL Espectador de hoy, la “Contralora General advierte graves riesgos en sistemas de información de la DIAN”, citando, entre otros, la “…no integración del Sistema GESTOR al …MUISCA”.

 

para un “…Riesgo alto de no fiscalización y cobro de impuestos,por falta de mecanismos de control que garanticen la trazabilidad de los procesos",confirmando lo ya expuesto por el Director General de la DIAN en el conversatorio con los contadores del pasado 7 de Octubre. Sospecho que algún contador de la Contraloría asistió al conversatorio, aunque muy probablemente ya estaban sobre la pista de estos riesgos. 

La semana pasada al cubrir lo relativo a la identificación de los riesgos en la DIAN, vimos que La DIAN usa mapa de riesgo inherente y mapa de riesgo residual. Ahora bien, aunque el concepto de mapa de riesgo inherente es ajeno tanto a la NTC 5254 como a la ISO 31000, en el caso de la DIAN se justifica su uso por la complejidad de la institución. El concepto de riesgo inherente, por otra parte, es mandatorio para las entidades financieras vigiladas ya que su origen se remonta a las regulaciones de BASILEA.

La DIAN ha incorporado los lineamientos de la NTC 5254 y de la ISO 31000 en el documento “METODOLOGÍA DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS“ emitido en Diciembre, 2009, donde   se detalla la estructura y desarrollo de la metodología del sistema de administración de riesgos y se contempla todo lo referido a la identificación, análisis, evaluación, tratamiento y monitoreo de los riesgos, pasos estos que se pueden resumir en tres: identificación, evaluación y gestión.

En cuanto a la evaluación y gestión de los riesgos en la DIAN, no encontré en el portal de la DIAN las hojas de trabajo de la evaluación y la gestión de los riesgos. Sí encontré, sin embargo, el Mapa de Riesgo de Corrupción UAE – DIAN, de Abril 30, 2013, cuyo “insumo base … fueron los mapas de riesgos operacionales, de los cuales se tomaron aquellos riesgos asociados a posibles hechos o eventos de corrupción, atendiendo a sus causas y controles para su mitigación”, que nos puede servir de base de análisis. Este mapa, por ejemplo, asigna una probabilidad de materialización media al riesgo No 1 “Uso indebido de la información”, una de cuyas causas es el fraude interno, para el cual se establece un control preventivo consistente en la “Constitución de Póliza de Cumplimiento para los responsables del perfil del rol”.  

Mi conclusión es que el riesgo en los sistemas de información y el riesgo de Fraude en la DIAN deben tener tratamientos separados y no como meras causas de otros riesgos. Es bien conocido en estudios internacionales, basados en investigaciones sobre su frecuencia e impacto en las empresas, que estos dos riesgos deben tener prioridad, lo cual coincide con lo mencionado por la Contraloría y con las propias observaciones del Director de la DIAN.  Lo anterior significa hacer la identificación, evaluación y lista de acciones y seguimiento de estos riesgos para controlarlos y mitigarlos. Todo parece indicar que ambos riesgos tienen probabilidad e impacto muy altos para la DIAN.

Es normal que algunos riesgos sean causas de otros riesgos, pues el riesgo tiene raíces múltiples y con frecuencia esta interconectado con otros, lo cual no debe impedir se les dé un tratamiento separado como riesgos.

En cuanto a la estructura organizacional de la DIAN y de acuerdo a la publicada en el portal de la DIAN según el decreto 1321 del 2011, no se reporta la posición de jefe de riesgo, pero se incluye una oficina de control interno y un comité de coordinación del sistema de control interno.  Después de los grandes fracasos empresariales de las últimas décadas, la empresas han visto necesario dar una alta jerarquía al jefe de riesgo como el encargado de mantener e implementar una cultura de riesgo en la organización, de tal forma que para algunas empresas este funcionario esta entre los tres primeros de la jerarquía. Podría entonces pensarse en contar en la DIAN con tal posición al nivel de dirección, así como establecer un comité de riesgo que periódicamente monitoree la marcha de las acciones correctivas y actualice el mapa de riesgos (al menos una vez al año totalmente). Contar con un mapa de riesgos es importante, pero aún más lo es establecer una cultura donde todos se sientan responsables del riesgo y conozcan sus deberes y responsabilidades.

Tampoco es claro en el sistema de riesgo de la DIAN la jerarquización de los riesgos, lo cual contribuiría a priorizar las acciones para mitigar los riesgos de mayor importancia. Por ejemplo el riesgo No 1: “Uso indebido de la información” no es el que tiene la mayor probabilidad e impacto, sino el No 25: “Inadecuada divulgación de la información contable”. Esto puede ser solamente una cuestión de presentación, pero en IRIESGO preferimos un sistema numérico en una escala de 1 a 100 (otros utilizan una escala de 1 a 25) que permite una rápida identificación de la relevancia del riesgo en la organización.  Por ejemplo, un riesgo de fraude con una probabilidad y un impacto máximos de 10, nos da un riesgo de 100 (probabilidad por impacto) ubicado en el mapa en el área roja de riesgo inaceptable.

La DIAN, como muy bien lo expresa su actual Director, cumple una función crítica sin el adecuado funcionamiento de la cual el Estado Colombiano no podrá cumplir sus metas y planes de integración social, reducción de la pobreza y crecimiento sostenido, entre otras. Los contribuyentes también se desmoralizan cuando ven lo que pasa en la entidad encargada de los recaudos tributarios, que debería ser modelo de transparencia, simplicidad y eficiencia.