MAPA DE RIESGOS DE LA DIAN (Parte I)

En el conversatorio de ayer 7 de Octubre del Director de la DIAN con los contadores quedó claro (al menos para el suscrito), que los dos riesgos más importantes de la DIAN son los riesgos de los sistemas de información yel fraude. Por sistemas de información entiendo tanto el software como el hardware, así como los reportes, controles, etc… que dependen de dichos equipos. 

Los datos  que proveyó el Dr. Juan Pablo Ortega dan escalofrío por la que significan en pérdidas por desfalcos directoso por menores ingresos al fisco por corrupción, que parece endémica en la DIAN. La existencia de funcionarios fantasmas que existen en los sistemas pero que no corresponden a personas de carne y hueso y que autorizan entradas de mercancías, reducen multas o regularizan trámites, se añade a lo ya conocido por la opinión pública sobre el fraude por devoluciones del IVA. A lo anterior se suma la cultura de evasión, que también parece endémica en el país, cuyos índices de recaudo están por debajo del promedio Latino Americano.

Debido a la alta dependencia de todas las organizaciones en los sistemas de información, la seguridad informática toma cada vez mayor relevancia, amén de que la mayoría de los pagos hoy se hacen por medios electrónicos, lo cual hace que los sistemas electrónicos sean el medio favorito para perpetrar fraudes y desfalcos.

Tal como uno espera, la DIAN ha establecido un Mapa de Riesgos y en su portal se encuentra el cronograma de avance del Plan Anticorrupción y de Atención al Ciudadano, el cual proyecta, para Noviembre de este año, “Consolidar y Presentar el Mapa de Riesgos de Corrupción de la Entidad”.

Por otra parte, en el reporte ”Riesgos Operacionales de mayor incidencia en la Gestión de la DIAN” de (http://www.dian.gov.co/descargas/CalidadControl/Documento_Metodologico_Mapa_de_Riesgos_Institucional.pdf), de Septiembre del 2010, el riesgo número 1 es: “Operativo – Uso indebido de la información - Posibilidad de que se acceda, manipule y/o divulgue sin autorización la información privilegiada o de reserva que se origine, suministre o custodie en la DIAN”, una de cuyas causas se reporta como “Fraude Interno”.  

La misma causal de “Fraude Interno” aparece para el riesgo No 13: “Deterioro, pérdida y/o daño de mercancía y bienes a cargo de la DIAN” ypara el No 23: “Piratería informática”. El fraude, pues, no se trata como un riesgo sino como una causa de otros riesgos.

El riesgo No 1: “Uso indebido de la información”, se reporta en el mapa de riesgos inherentes en el cuadrante  probabilidad media e impacto moderado y en el mapa de riesgos residuales como probabilidad baja e impacto moderado, es decir, los controles y factores mitigantes implementados en la DIAN logran reducir la probabilidad  del riesgo de media a baja.

Finalmente, en el mismo mapa de riesgo residual, no se reporta ningún riesgo para las áreas de mayor riesgo (probabilidad alta y muy alta, e impacto grave y crítico), mientras en el mapa de riesgos inherentes solo se reporta un riesgo con probabilidad alta e impacto crítico (el más alto de todos los riesgos inventariados), el No 25: “Inadecuada divulgación de la información contable”, cuyas consecuencias son: “Sanciones para la DIAN, Sanciones disciplinarias para los funcionarios y Deterioro de la imagen de la DIAN”.

El riesgo inherente más alto es, pues, el que trae sanciones para la DIAN y deteriora su imagen, que se describe como “Posibilidad de que la información contable presente deficiencias en sus características de confiabilidad, relevancia y comprensibilidad”.

Hasta aquí un somero análisis de la identificación de riesgos en la DIAN. En una próxima entrega cubriremos los procesos de evaluación y gestión de los riesgos, para luego concluir la evaluación final del proceso de riesgo en la DIAN.