El documento describe una metodología para desarrollar un mapa de vulnerabilidades que identifique condiciones para la corrupción en procedimientos municipales. La metodología evalúa cuatro ámbitos: procedimiento, seguridad jurídica, personal e informático. Determina factores de ponderación para identificar vulnerabilidades basadas en criterios como claridad del procedimiento y discrepancias entre normativa y su aplicación. El objetivo es prevenir corrupción mediante el análisis de riesgos y el diseño de acciones de control.
Mapa Mental Edad media y evolución de la ciudadanía
Metodología mapa de vulnerabilidades
1. Página 1 de 11
Metodología para el desarrollo de un mapa de vulnerabilidades
(Prevención de la corrupción)
Por: Gastón A. Velásquez Villamar
Resumen. La presente ponencia describe la metodología para el desarrollo de un mapa de
vulnerabilidades que permita detectar condiciones para la producción y reproducción de eventos
de corrupción en procedimientos municipales, así como su matriz de acciones de control para
enfrentar los eventos detectados.
Llaves. Mapa de vulnerabilidades, procedimiento administrativo, municipio, prevención,
corrupción.
Abstract. The present paper describes the methodology for the development of a map of
vulnerabilities that would detect conditions for the production and reproduction of events of
corruption in municipal procedures, as well as the matrix of control actions to face detected
events.
Keys. Map of vulnerabilities, administrative procedure, municipality, prevention, corruption.
Sobre el autor. Gastón Alexander Velásquez Villamar, doctor en Jurisprudencia y Ciencias
Sociales, con una Maestría en Derecho Económico, ha ejercido en varias entidades públicas
como Subdirector General, Director Jurídico, Subprocurador y Procurador Metropolitano, ha
sido consultor para organismos naciones (SENPLADES) e internacionales (ACNUR). Ha sido
profesor de posgrado y actualmente se desempeña como Presidente del GAD DMQ Comisión
Metropolitana de Lucha Contra la Corrupción.
Tabla de contenido. Agradecimiento. Introducción. Sobre la metodología para la construcción
de un mapa de riesgos de la corrupción.
Agradecimiento
A la Universidad Andina Simón Bolívar (Subsede Ecuador), a la Asociación Internacional de
Derecho Administrativo (AIDA) y el Instituto Ecuatoriano de Estudios de Derecho
Administrativo y Social (IDEAS) mi agradecimiento por considerarme para este espacio dentro
de un libre intercambio de ideas.
Introducción
El presente trabajo tiene como propósito explicar la estructura y los principales parámetros
considerados en el establecimiento de una metodología para el desarrollo de un mapa de
vulnerabilidades que permita identificar y evaluar los factores que podrían causar o coadyuvar
en la formación y/o concreción de un evento de corrupción.
Esta metodología la estoy dirigiendo y desarrollando con el equipo de la Comisión
Metropolitana de Lucha Contra la Corrupción (en adelante Comisión), que es una entidad
autónoma del Municipio del Distrito Metropolitano de Quito instituida mediante Ordenanza
Metropolitana No. 116 (2004) y con competencias en:
2. Página 2 de 11
“…Prevenir actos o manifestaciones de corrupción en el desenvolvimiento de las
actividades del Municipio Metropolitano de Quito, sus dependencias, organismos por él
establecidos o en los que mantenga vinculación administrativa; …formular
observaciones encaminadas a lograrque los procesos de la administración municipal
siempre sean transparentes…”.
Según los registros de la Comisión, el Pleno en Acta No. 264 CMLCC-RU-07-2011 de abril 26
del 2011, aprobó un proyecto cuyo objetivo era:
“…analizar e identificar los puntos vulnerables que permiten actos de corrupción en
los procesos que se cumplen en los diferentes trámites municipales, proponer las
correcciones del caso y hacer un seguimiento de la implantación en cada una de las
entidades municipales de las recomendaciones que deriven de este proyecto…”.
Hoy este proyecto forma parte de la gestión institucional, pero de la aplicación de esta iniciativa
se observa que los informes no presentan una metodología que explique los criterios con los que
se entenderá una vulneración y cómo se ponderan sus elementos; así también me pareció
oportuno desarrollar dentro de ésta una matriz de acciones de control, de modo que existan
líneas comunes de trabajo entre la Comisión y las entidades edilicias que permitan mantener,
aun frente al cambio de autoridades, procedimientos administrativos regidos por la juridicidad y
transparencia dentro de la gestión municipal.
Sobre la metodología para la construcción de un mapa de riesgos de la corrupción
1. ¿Dónde busco prevenir eventos de corrupción?
Partimos que esta metodología se organiza desde y para una entidad pública municipal, como tal
esta concretará el ejercicio de sus competencias o la prestación de un servicio a la colectividad,
lo cual ocurre a través de un cause jurídico denominado procedimiento administrativo.
Es dentro del procedimiento administrativo que se organizan una serie de hechos
administrativos, actos de simple administración incluso otros actos administrativos, para
producir actos administrativos, por consiguiente es en la relación de estas conductas que esta
metodología enfoca su atención y medios de prevención.
Pero por qué se enfoca en la relación de estos comportamientos de la administración pública y
no sólo en el procedimiento administrativo como tal, en mi opinión, básicamente hay dos
razones para ello: a) La ausencia de un procedimiento administrativo formal b) La
discrecionalidad política al momento de diseñar un procedimiento.
La ausencia de un procedimiento administrativo formal no es tan excepcional como podría
pensarse en la realidad administrativa ecuatoriana, hay entidades públicas que ejercen sus
competencias o prestan servicios en ausencia (total o parcial) de procedimientos y esto hace que
se creen relaciones funcionales bajo el criterio del servidor o funcionario de turno.
La discrecionalidad política al momento de diseñar un procedimiento, es otro problema que
revela cuan común es el olvido de que un procedimiento administrativo resulta de: a) el
ejercicio de la función administrativa1
; b) la relación entre una competencia atribuida a una
administración pública y un derecho subjetivo o un deber.
En este orden de ideas, no faltan los problemas al momento de regular/organizar el
procedimiento administrativo causados por: a) Exceso de personal, en este caso el
procedimiento tiende a justificar el personal contratado con independencia de si efectivamente
presta un servicio o produce un aporte; b) Sobre-regulación con los problemas típicos que
1 http://www.gordillo.com/pdf_tomo5/03/03-capitulo1.pdf Fecha: 8/4/17
3. Página 3 de 11
afectan la seguridad jurídica, c) Sobrecarga de requisitos sea contra el interesado, sea contra la
eficiencia y eficacia del procedimiento (como ejemplos: duplicar controles, sobrecarga en las
responsabilidades de reporte, etc.).
Por los factores de diseño y organización del procedimiento, es que la metodología de
prevención de la corrupción, sin dejar de considerar la norma prexistente o en ciertos casos las
disposiciones administrativas, su objeto debe partir de un levantamiento de los flujos de trabajo
que ciertamente observan servidores y funcionarios al momento de desempeñar sus funciones.
Por tanto el primer espacio para buscar prevenir los eventos de corrupción es encontrar los
límites entre el procedimiento formal (el que está regulado en una norma prexistente o en
disposiciones administrativas legítimas) en contraste con la conducta real de cada uno de los
servidores o funcionarios dentro del procedimiento, pero si bien este es el espacio donde se
desenvolverá la metodología lo que esta busca es identificar las conductas o condiciones
causales o coadyuvantes en la producción de un evento de corrupción.
2. ¿Quiénes son los sujetos y cuáles son las conductas que se esperan identificar?
Los sujetos siempre serán servidores y funcionarios pues ellos tienen capacidad de obrar en el
procedimiento, por supuesto pueden haber terceros que incidan como consultores, políticos,
asociaciones, asesores, veedurías, etc.; pero en términos generales un procedimiento
administrativo tiene, dentro del ámbito de la prevención de la corrupción, dos sujetos activos el
servidor y el funcionario público.
¿Cómo actúan entre ellos y respecto al procedimiento? Casi siempre esto estará respondido por
la función, que bien puede estar descrita en el orgánico funcional2
o en instrumentos
equivalentes, los mismos que por la compleja realidad que la entidad procura atender o por sus
variaciones políticas casi siempre no resultan exhaustivos respecto de todos los procedimientos
que se producen al interno de cada institución.
No obstante ello, la experiencia en el sector público nos informa de una primera tipología de las
funciones que existen frente a todos los procedimientos y son:
A. Preparación: Cuando un servidor/funcionario tiene entre sus competencias preparar los
informes o sustentos de un determinado evento del procedimiento.
B. Validación: Cuando un servidor/funcionario tiene entre sus competencias validar las
salidas o las entradas de un determinado evento del procedimiento.
C. Ordenación: Cuando un servidor/funcionario tiene entre sus competencias ordenar la
sustanciación del procedimiento.
D. Decisión: Cuando un servidor/funcionario tiene entre sus competencias decidir si un
trámite continúa, lo envía a un reproceso o finaliza dentro del procedimiento.
E. Responsabilidad general: Cuando un servidor/funcionario tiene entre sus
competencias la aprobación del producto final (acto administrativo) del procedimiento.
Con la observación de que esta es una metodología para el desarrollo de una estrategia de
prevención que coadyuve a la maduración de procedimientos administrativos transparentes,
eficaces y eficientes; y no una auditoría o como parte de una acción de juzgamiento, nos
concentraremos en cierto tipo de relaciones funcionales.
2 Ley de Régimen Administrativo art.13
4. Página 4 de 11
De esta tipología de funciones, también nuestra experiencia nos informa de las relaciones
patológicas que en mi opinión pueden producir o coadyuvar para la producción de un evento de
corrupción y son, para cada S/F (servidor/funcionario) que interviene en el procedimiento:
A. Acumulación de relaciones funcionales. El S/F cuenta con varias funciones, sin un
control posterior.
B. Relación funcional incompetente. El S/F con capacidad para disponer el reproceso del
trámite o su terminación (sin atender lo peticionado por el interesado), en uno o más
eventos del flujo AS IS, y no obstante carece en el procedimiento formal.
C. Conflicto de intereses. El S/F cumple algunas de las condiciones dispuestas por el
artículo 388 del Código Orgánico de Organización Territorial (COOTAD).
D. Competencias incompatibles. El S/F que ostenta funciones de validador y decisor o de
preparador y validador en un o más eventos del flujo del procedimiento.
E. Duplicidad de competencias. Cuando dentro de un mismo procedimiento dos o más
servidores/funcionarios pueden decidir sobre la misma materia dentro de la diacronía
del procedimiento administrativo.
3. ¿Qué ámbitos de la realidad pueden producir eventos de información y qué
información solicito?
Definir la información solicitada depende de ubicar en este espacio entre el procedimiento
formal y procedimiento informal cuáles son los ámbitos más sensibles para la producción de
eventos de corrupción y asumimos en esta primera versión de la metodología los siguientes:
Seguridad Jurídica, Procedimiento, Personal y Sistemas Informáticos.
A. Seguridad jurídica.- Ámbito de la realidad de esta metodología que identifica,
respecto al interesado: a) Conocimiento de los requisitos que debe presentar, b)
Conocimiento del producto exacto que va a recibir, c) Conocimiento de los tiempos
y fases (de haberlos) del procedimiento. En cambio, respecto a la administración,
revisa: a) La razonabilidad de los requisitos y los tiempos en que se los presenta, b)
Acciones u omisiones sistemáticas que se producen en el procedimiento sin
considerar el procedimiento formal y verificar sus causas, c) Revisión del
cumplimiento de los requisitos señalados en norma para el procedimiento,
condiciones de validez, tiempo y características de los productos resultado del
ejercicio de la competencia dispuesto en norma.
B. Procedimiento.- Ámbito de la realidad objeto de esta metodología que procura
establecer: a) Naturaleza jurídica del procedimiento; b) Discrepancias entre el
procedimiento formal y el procedimiento real; c) Grado de formalización del
procedimiento formal; c) Norma de custodia de los expedientes físicos; d)
Características del procedimiento real, relación entre servidores, funcionarios,
requisitos y productos del procedimiento administrativo; y, las causas de la
continuidad de estas prácticas.
i. De la información requerida se obtienen dos productos:
1. El flujo de trabajo3
real4
, con:
3 Entendido como flujo de trabajo los aspectos operacionales de una actividad de trabajo: cómo se
estructuran las tareas,cómo se realizan,cuál es su orden correlativo,cómo se sincronizan,cómo fluye la
5. Página 5 de 11
a. Diagramas del procedimiento
b. Descripciones del procedimiento y sus fases
c. Gráfica de plazos del procedimiento
d. Formularios, manuales y documentos del procedimiento
e. Leyes y normas relacionadas al procedimiento
f. Identificación de las funciones en el procedimiento
g. Identificación de las funciones patológicas
2. El procedimiento formal.
C. Personal.- Ámbito de la realidad de esta metodología en la que se identifica: a) La
relación entre la razón de los productos por función y el perfil de servidores y
funcionarios, b) Concomimiento de sus inputs y outputs, c) Los esfuerzos
institucionales para que el procedimiento sea entendido y aplicado de modo
uniforme y procurando la eficacia y eficiencia en el procedimiento administrativo y
en alcanzar a través de este sus productos.
D. Sistemas informáticos.- Ámbito de la realidad de esta metodología en donde se
identifica: a) La incidencia del sistema informático en el procedimiento y respecto a
las condiciones de conformidad del producto final, b) El conocimiento del sistema
informático por parte de servidores y funcionarios, c) Los protocolos de ingreso y
modificación de la data, d) El nivel de relacionamiento de las bases de datos, e) Los
reportes de los sistemas y su verificación, f) Respaldo digital de los archivos del
procedimiento.
4. ¿Qué factores pondero y cómo determinar posibles vulnerabilidades?
Para esta primera metodología hemos considerado el diseño de una tabla de ponderaciones entre
la información obtenida de cada uno de los cuatro ámbitos descritos (procedimiento, seguridad
jurídica, personal e informático) a través de una serie de criterios para la identificación e
vulnerabilidades, con factores de ponderación.
No Vulnerabilidades Criterios de Ponderación
Seguridad Jurídica
1
El procedimiento está claramente
establecido conforme la norma
(entendiéndose por claramente el detalle de
su flujo de trabajo,tiempos y productos
esperados)
No hay un procedimiento establecido por norma, la
vulnerabilidad es alta.
Existe un procedimiento, pero no está claramente
establecido por la norma o del análisissepresentan
discrepanciasentreeste y las disposiciones
administrativasemitidas parasu sustanciación o
con la actuación S/F conforme el AS IS,la
vulnerabilidad es media.
El procedimiento está claramente definido
conforme a la norma y del análisis no hay
discrepanciasentreeste y las disposiciones
administrativasemitidas parasu sustanciación,la
vulnerabilidad es baja.
información que soporta las tareas y cómo se le hace seguimiento al cumplimiento de las tareas .
Concepto tomado de Wikipedia. https://es.wikipedia.org/wiki/Flujo_de_trabajo Fecha: 9/4/17
4 Proceso "Tal Como Está" (As is). Término tomado http://tfig.itcilo.org/SP/contents/as-is-process.htm
Fecha: 9/4/17
6. Página 6 de 11
2
Existen casos derequisitos solicitadospor
S/F y que no están en la norma del
procedimiento
No hay requisitos dados por norma,la
vulnerabilidad alta.
Sí hay requisitos dados por norma,pero S/F
admiten solicitar otros en situaciones no previstas
en el procedimiento, la vulnerabilidad es media 5.
Sí hay requisitos dados por norma y se encuentran
claramente establecidos,la vulnerabilidad es baja.
3
Existen condiciones devalidezde los
requisitos claramenteidentificadasen la
norma (aplicaen todos los eventos en que
participen S/F preparadores,decisores y
validadores)
No existen condiciones de validezde los requisitos
identificadasen la norma,la vulnerabilidad es alta.
Sí existen condiciones devalidezde los requisitos,
pero están sustentadas en disposiciones
administrativas,la vulnerabilidad es media.
Sí hay condiciones devalidezde los requisitos y S/F
no requieren otros en ningún caso,la
vulnerabilidad es baja.
4
Existe una difusión clara y adecuada del
procedimiento a los interesados sobrelos
requisitos
No hay una difusión claray adecuada a los
interesados sobrelos requisitos según sus trámites,
la vulnerabilidad es alta.
Sí hay una difusión parcial,clarao adecuada,a los
interesados sobrelos requisitos según sus trámites,
la vulnerabilidad es media.
Sí hay una difusión clara y adecuada a los
interesados sobrelos requisitos según sus trámites,
la vulnerabilidad es baja.
5
Se obtienen los productos señaladosen la
norma o para lo que fue establecido el
procedimiento (Diagrama AS IS)
Si se obtienen productos distintos o parcialmente
distintos a los señaladosen la norma sin baselegal
o sin contar con una disposición administrativa
legítima, la vulnerabilidad es alta.
Sí se puede dar lugar a obtener productos
parcialmente distintos a los señaladosen la norma
o para lo que fue establecido el procedimiento en
tanto estén establecidos formalmente mediante
disposición administrativadada por autoridad
competente, la vulnerabilidad es media.
Sí no se obtienen productos distintos a los
señalados en la norma o para lo que fue
establecido el procedimiento, la vulnerabilidad es
baja.
6
Se realizan disposicionesverbales que
incidan demanera directa en el
procedimiento
Sí se realizan disposiciones verbalesqueinciden de
manera directa en la sustanciación y/o productos
del procedimiento o se contraponen a la normativa
establecida,la vulnerabilidad es alta
Si se realizan disposiciones verbalesqueno inciden
en la sustanciación y/o productos del
procedimiento o no se contraponen a la normativa
establecida,la vulnerabilidad es media
No se realizan disposiciones verbales queincidan
en la sustanciación y/o productos del
procedimiento, vulnerabilidad es baja
Procedimientos
7
Existen manuales del procedimiento y se
encuentran actualizados(considerando su
actualización producidaa un año antes de la
No existen manuales,la vulnerabilidad es alta.
Hay manuales,pero no cuentan con toda la
información relacionadaal procedimiento o se
5 En función del artículo 227 de la Constitución de la República del Ecuador.
7. Página 7 de 11
fecha de la solicitud deinformación) encuentran desactualizados,la vulnerabilidad es
media.
Hay manuales con toda la información relacionada
al procedimiento y se encuentran actualizados,la
vulnerabilidad es baja.
8
Se producen actividades u omisiones entre
el flujo formal (Según AS IS o según el marco
normativo)
Se producen actividades u omisiones queinciden
de manera directa en la sustanciación o producto
final,la vulnerabilidad es alta
Se producen actividades u omisiones queno
inciden de manera directa en la sustanciación o
producto final,la vulnerabilidad es media
No se producen actividadesu omisiones que
incidan en la sustanciación o producto final,la
vulnerabilidad es baja
9
En el procedimiento AS IS sepresentan
reprocesos o condiciones determinación del
trámite (sin atender la petición) y sin
motivación
Cuando no hay la norma o disposición
administrativa queexprese las causalespara un
reproceso o terminación de trámite, la
vulnerabilidad es alta.
Cuando hay disposición administrativalegítima que
exprese las causales paraun reproceso o
terminación de trámite, la vulnerabilidad es media.
Cuando la norma expresa las causalespara un
reproceso o terminación de trámite, la
vulnerabilidad es baja.
10
Se cuenta con un procedimiento adecuado
de respaldo digital delos expedientes que
ingresan a la entidad y una norma de
custodia del expediente en la sustanciación
del trámite.
No se cuenta con un procedimiento de respaldo
digital ni norma de custodia delos expedientes que
ingresan a la entidad,la vulnerabilidad es alta.
Se cuenta con un procedimiento de respaldo digital
y custodia de los expedientes que ingresan a la
entidad, pero el cumplimiento es parcial o no hay
un control del mismo, la vulnerabilidad es media.
Se cuenta con un procedimiento adecuado de
respaldo digital y existeuna norma de custodia de
los expedientes que ingresan a la entidad,la
vulnerabilidad es baja.
11
Se ejecutan controles (ex post, concurrentes
o ex ante) del procedimiento y se realiza un
seguimiento a los mismos.
Si no se presenta ningún tipo de control,la
vulnerabilidad es alta
Si se presentan controles y no se hace un
seguimiento, la vulnerabilidad es media.
Si se presentan controles y se hace un seguimiento,
la vulnerabilidad es baja
12
Si en el procedimiento sedetecta conflictos
en las relaciones funcionales (ver relaciones
funcionales patológicas)
Si en la norma se reconocen relaciones funcionales
patológicas,lavulnerabilidad es alta.
Si en las disposiciones administrativasdeaplicación
del procedimiento se reconocen relaciones
funcionales patológicas,la vulnerabilidad es media.
Si aparecen en las disposiciones administrativas
relaciones funcionales patológicas,pero no
incompatibles,la vulnerabilidad es baja.
Personal
13
El personal presenta en su carpeta la
constancia deuna inducción quealuda al
procedimiento priorizado
No fue sometido a un completo procedimiento de
inducción,la vulnerabilidad es alta.
Existe un procedimiento de inducción parcial (sin
considerar el procedimiento) la vulnerabilidad es
media.
8. Página 8 de 11
Se dio un procedimiento completo de inducción del
procedimiento, la vulnerabilidad es baja.
14
El perfil del S/F es consistente con los
productos de la función dentro del
procedimiento y tiene experiencia.
No es consistentey no tiene experiencia en la
función,la vulnerabilidad es alta.
No es consistente,pero tienen experiencia en la
función,la vulnerabilidad es media.
Sí es consistentey tiene experiencia,la
vulnerabilidad es baja.
15
El personal tieneun conocimiento completo
del procedimiento (inclusivedesus inputs y
outputs de la función)
No tiene un conocimiento de sus inputs y outputs
de la función,la vulnerabilidad es alta.
Tiene un conocimiento parcial de sus inputs y
outputs de la función,la vulnerabilidad es media.
Tiene un conocimiento de sus inputs y outputs de
la función,la vulnerabilidad es baja.
16
El personal (S/F) que participaen el
procedimiento y usa el o los sistemas
informáticos,conocelas funcionalidades de
cada uno de ellos
No las conoce,la vulnerabilidad es alta.
Existe un conocimiento parcial,la vulnerabilidad es
media.
Sí conoce las funcionalidades,lavulnerabilidad es
baja.
Sistemas informáticos
17
Por cada sistema informático queincideen
el procedimiento, existe documentación
completa (conjunto de información quenos
dicequé hacen los sistemas,cómo lo hacen
y para quién lo hacen), conforme a sus
funcionalidades actualesy registros de
capacitación al personal
En caso deno existir documentación completa,la
vulnerabilidad es alta.
En caso deexistir documentación completa, pero
no se ha capacitado a los S/F,la vulnerabilidad es
media.
En caso deexistir documentación completa
actualizaday la constanciadeque se hayan
realizado capacitaciones inclusivede las
actualizaciones realizadaspor cada uno del o los
sistemas informáticosqueinciden en el
procedimiento, la vulnerabilidad es baja.
18
Al realizar actualización deinformación es
necesario realizarcambiosen la data de dos
o más bases de datos
Si las bases dedatos en las quese actualizó la data
trabajan demanera independiente, la
vulnerabilidad sealta.
Si las bases dedatos en las quese actualizó la data
debo actualizarlas parcialmente, aunque se
encuentren relacionadas,la vulnerabilidad es
media.
Si la actualización serealizaen una sola basede
datos y de esta sereplica a otras bases dedatos, la
vulnerabilidad es baja.
19
El sistema o los sistemas informáticosson
consistentes (esto es que el sistema
informático satisfacelascondiciones
fundamentales del producto y está acordea
la normativa) con el producto o productos
del procedimiento administrativo
El sistema o los sistemas informáticosno son
consistentes con el producto o productos del
procedimiento administrativo,la vulnerabilidad es
alta.
El sistema o los sistemas informáticosson
parcialmente consistentes con el producto o
productos del procedimiento administrativo,la
vulnerabilidad es media.
El sistema o los sistemas informáticosson
consistentes con el producto o productos del
procedimiento administrativo,la vulnerabilidad es
baja
20
Existe un protocolo seguridad del o los
sistemas informáticosqueinciden en el
No existeun protocolo de seguridad,la
vulnerabilidad es alta.
9. Página 9 de 11
procedimiento y su data Existe un protocolo de seguridad que se aplica
parcialmente, la vulnerabilidad es media.
Existe un protocolo de seguridad completo y se
aplica,lavulnerabilidad es baja.
21
El sistema o los sistemas informáticosque
inciden en el procedimiento cuentan con
registros de auditoría y estos son revisadas
periódicamente
El sistema o los sistemas informáticosqueinciden
en el procedimiento no cuentan con registros de
auditoría,la vulnerabilidad es alta.
El sistema o los sistemas informáticosqueinciden
en el procedimiento cuentan con registros de
auditoría,pero estos no son revisados
periódicamente, la vulnerabilidad es media.
El sistema o los sistemas informáticosque inciden
en el procedimiento cuentan con registros de
auditoría que generan pistas deauditoría y estas
son revisadas periódicamente, la vulnerabilidad es
baja.
22
El sistema o los sistemas informáticosque
inciden en el procedimiento permiten
generar reportes personalizados degestión
(por S/F)
El sistema o los sistemas informáticosqueinciden
en el procedimiento no generan reportes de
gestión, la vulnerabilidad es alta.
El sistema o los sistemas informáticosqueinciden
en el procedimiento generan reportes de gestión,
pero no de manera relacionadaal trabajo deun
S/F, la vulnerabilidad es media.
El sistema o los sistemas informáticosqueinciden
en el procedimiento generan reportes
personalizadosdegestión, la vulnerabilidad es baja.
En este punto lo obtenido es el procedimiento AS IS y los diagnósticos por áreas: seguridad
jurídica, procedimiento, personal, e informática; cada diagnóstico contiene la ponderación de la
información recibida según la tabla prevista en la metodología la cual ofrece un grado de alerta
en cada uno de los temas analizados, bajo una relación causal organizada a través de las
funciones y sus relaciones patológicas.
5. ¿Cuáles son mis productos del mapa de vulnerabilidad y cómo prevengo la
corrupción?
I) El mapa de vulnerabilidades:
a) Leyes y normas relacionadas al procedimiento
b) Diagramas del procedimiento
c) Formularios y documentos del procedimiento
d) Identificaciones de las funciones en el procedimiento
e) Identificación de las relaciones funcionales patológicas
f) Descripción gráfica del procedimiento, sus fases, plazos y relaciones funcionales
patológicas detectadas.
10. Página 10 de 11
II) Matriz de acciones de control:
Matriz del Mapa de Vulnerabilidades – MV
Entidad:
Área: Seguridad Jurídica [ ] Procedimiento [ ] Personal [ ] Sistemas informáticos [ ]
Identificación y descripción de la vulnerabilidad Acciones de Prevención
Procedimiento/Objetivo
Vulnerabilidad
Descripción
Consecuencia
Descripción
Objetivo
Periododeejecución
Actividadespara
implementación
IndicadordeCumplimiento
Responsable
(Implementación)
Responsable
(Seguimiento)
Fechasdelosregistros
dereporte
Está matriz de acciones de control se explica del siguiente modo:
En Identificación y descripción de la vulnerabilidad.
i. Procedimiento / Objetivo.- Es la denominación del procedimiento analizado.
ii. Vulnerabilidad.- Son los hechos revelados en el diagnóstico, las funciones detectadas y
las relaciones patológicas entre estas.
iii. Descripción.- Es la relación causal de los elementos que explican la posibilidad de
ocurrencia de un evento de corrupción.
iv. Consecuencias.- Afectaciones que ocurren o podrían ocurrir sea en el procedimiento o
en el producto de este por efecto de la relación patológica.
En Acciones de control.
i. Descripción de las acciones. Se describirá de manera clara y precisa las acciones a ser
implementadas. Tipo de las acciones:
a. Acciones correctivas: Aquellas acciones de control de orden administrativo y/o
normativo orientadas a enfrentar las causas o condiciones coadyuvantes para
que se produzca un evento de corrupción.
b. Acciones de detección: Aquellas acciones de control de orden administrativo
(inclúyase asistido por registros documentales o por un software) que se
orientan a descubrir una discrepancia o resultado no previsto en el curso del
procedimiento, de modo concurrente a éste.
c. Acciones preventivas: Aquellas acciones de control administrativas que inciden
en las causas identificadas del evento de corrupción y/o que procuran reducir la
acción ilegitima que podrían producir de los agentes comprendidos en el evento
de corrupción.
ii. Objetivo. Se deberá señalar el objetivo que tienen las acciones de control a ser
implementadas y se definirán el tipo de evidencias que respaldarán si se está
cumpliendo con el mismo.
iii. Período de ejecución. Se deberá establecer el período en que serán aplicadas las
acciones de control, para que al final del mismo se realice una evaluación de las
acciones de control implementadas.
11. Página 11 de 11
iv. Actividades para implementación. Se deberá establecer las actividades a seguir para
llegar a implementar las acciones de control consideradas en esta matriz.
v. Indicador de cumplimiento. Con los hechos identificados en la descripción, establecer
las evidencias que las acciones establecidas para contrarrestarlas cumplen su objetivo.
vi. Responsable de implementación. La entidad definirá el o los responsables a cargo de la
implementación de las acciones de control.
vii. Responsable de seguimiento. La entidad definirá el o los responsables (cargo) del
seguimiento interno que debe llevarse de las acciones de acciones de control durante el
período de ejecución establecido anteriormente.
viii. Fecha de los registros de reportes. Término en que la entidad enviará a la Comisión
Metropolitana de Lucha Contra la Corrupción los registros con las evidencias de las
acciones implementadas y cómo cumplen con el objetivo para el cual fueron acordadas.
III) Seguimiento por parte de la Comisión:
La Comisión realizará el seguimiento a las acciones de control implementadas, con el objetivo
de: a) Mantener una agenda interinstitucional para el desarrollo de procedimientos
administrativos transparentes y libres de corrupción, b) Evaluar los registros y evidencias de la
implementación de las acciones de control, dentro del lapso considerado, c) Verificar que las
acciones de control implementadas cumplan el objetivo de reducir, limitar o eliminar los
factores identificados como causales de eventos de corrupción, d) Retroalimentar la presente
metodología.
Por supuesto, este es sólo un primer paso y seguro en el futuro vendrán nuevos aportes que
enriquezcan lo que a nuestro juicio es una poderosa herramienta contra la corrupción, este mapa
de vulnerabilidades con su correspondiente matriz de acciones de control.
Gastón A. Velásquez Villamar Dr. / MDE
Email: velasmar17@hotmail.com
Distrito Metropolitano de Quito, 10 de abril de 2017
Nota:
La presente ponencia tiene fines académicos y no debe entenderse como una declaración u
opinión oficial del Municipio del Distrito Metropolitano de Quito o de la Comisión
Metropolitana de Lucha Contra la Corrupción.