Informe de Auditoría a la Administración de Riesgos€¦ · Evaluar la política de administración de riesgos, la correcta identificación, análisis y efectividad de los controles

Informe de Auditoría a la Administración de Riesgos

Bogotá D.C. febrero de 2020

P á g i n a 2 | 19

INFORME DE AUDITORIA INTERNA DE GESTIÓN

Proceso asociado: Evaluación, Control y Mejoramiento

TABLA DE CONTENIDO

1 OBJETIVO DE LA AUDITORÍA -------------------------------------------------------------------------- 3 1.1 Objetivos Específicos ------------------------------------------------------------------------ 3

2 ALCANCE DE LA AUDITORÍA --------------------------------------------------------------------------- 3 3 PROCESO AUDITADO ------------------------------------------------------------------------------------- 3 4 MARCO LEGAL O ANTECEDENTES ------------------------------------------------------------------ 3 4.1 Antecedentes ----------------------------------------------------------------------------------- 3

4.2 Marco Legal ------------------------------------------------------------------------------------- 4

5 ASPECTOS GENERALES --------------------------------------------------------------------------------- 4

5.1 Términos del Informe ----------------------------------------------------------------------- 4

5.2 Responsabilidad ------------------------------------------------------------------------------- 4

5.3 Plan General de Auditoria ----------------------------------------------------------------- 4

6 DESARROLLO DE LA AUDITORÍA --------------------------------------------------------------------- 5

6.1 Evaluación Lineamientos para la Administración del Riesgo --------------- 5

6.2 Evaluación de Riesgos y Controles por Proceso --------------------------------- 6

7 EVALUACIÓN DE LAS MEJORAS ------------------------------------------------------------------- 12 8 RESULTADOS DE LA AUDITORÍA ------------------------------------------------------------------- 13 8.1 Aspectos Conformes ----------------------------------------------------------------------- 13

8.2 No Conformidades Reales ---------------------------------------------------------------- 13

8.3 Oportunidades de Mejora ----------------------------------------------------------------- 15

9 CONCLUSIONES DE LA AUDITORÍA --------------------------------------------------------------- 19

P á g i n a 3 | 19



1 OBJETIVO DE LA AUDITORÍA Evaluar la política de administración de riesgos, la correcta identificación, análisis y efectividad de los controles en la gestión de los riesgos del Departamento Administrativo de la presidencia de la Republica.

1.1 Objetivos Específicos

Evaluar el mapa de riesgos de la Entidad. Verificar la correcta aplicación de la metodología de la gestión del riesgo

establecida en los lineamientos para la administración del riesgo de la entidad. Verificar que las acciones de control sean adecuadas y efectivas para tratar los

riesgos.

2 ALCANCE DE LA AUDITORÍA Aplica a todos los procesos del Departamento Administrativo de la Presidencia de la República durante el año 2019. 3 PROCESO AUDITADO Direccionamiento Estratégico. 4 MARCO LEGAL O ANTECEDENTES

4.1 Antecedentes

El Departamento Administrativo de la Presidencia de la República - DAPRE, estableció los lineamientos para la Administración del Riesgo L-DE-01 como una política de gestión por parte de la Alta Dirección, mediante la cual da a conocer la metodología para la identificación, análisis, valoración, manejo y monitoreo de los riesgos y hace especial énfasis, sobre la importancia de evaluar los riesgos como una parte fundamental en el proceso de planificación. El DAPRE, ha gestionado sus riesgos a través del Sistema Integrado de Gestión - SIGEPRE donde viene trabajando en la identificación, análisis y valoración de los riesgos asociados a los procesos, dando cumplimiento a la política de Administración de Riesgos de la entidad, Modelo Integrado de Planeación y de Gestión MIPG, la Guía de Administración de riesgos del DAFP, la norma NTCISO 9001:2015, la Guía para la Gestión de Riesgo de Corrupción de la Secretaría de Transparencia y los Lineamiento para la Administración de Riesgos, en pro del aseguramiento de los resultados institucionales y del mejoramiento continuo de la entidad.

P á g i n a 4 | 19



La Oficina de Control Interno en su rol de evaluador realizó la Evaluación a la Política para la Administración del Riesgo mediante el ejercicio de Auditoría Interna, con el fin de proporcionar a la Alta Dirección un resultado objetivo frente a la efectiva aplicación de la política y la eficiencia de sus controles, expresados en asegurar la administración apropiada de los riesgos institucionales y la eficaz operatividad del Sistema de Control Interno.

4.2 Marco Legal -Decreto 1499 de 2017 Modelo Integral de Planeación y Gestión. -Manual Operativo del Modelo Integrado de Planeación y Gestión. -Guía para la administración del riesgo y el diseño de controles en entidades públicas. -Guía para la Gestión de Riesgo de Corrupción 2015 -NTCISO 9001:2015. Numeral 4.1, 4.2 ,6.1, 9.1. -NTCISO 27001:2013. Numerales 4.1, 4.2, 6.1, anexo A. -Lineamientos para la Administración del Riesgo -Manual Técnico del MECI. -Manual de Políticas de Seguridad de la Información. -Ley 1474 de 2011 Estatuto Anticorrupción -Decreto 1072 de 2015 Capitulo 6 Sistema de Gestión de la seguridad y salud en el trabajo. -Resolución 320 de 2019 Estándares Mínimos del SG-SST. -Manual de Seguridad y Salud en el Trabajo SST y Medio Ambiente para Contratistas. 5 ASPECTOS GENERALES

5.1 Términos del Informe Se utilizarán para el presente informe, los términos y definiciones establecidos en el Manual de Auditoría Interna (M-EM-01), los cuales deben ser tenidos en cuenta para su entendimiento y posterior formulación de los planes de mejoramiento.

5.2 Responsabilidad Es responsabilidad de la Oficina de Control Interno la planeación, ejecución y presentación de los resultados de la Auditoría a la Política de Administración de Riesgos del DAPRE. La Oficina de Control Interno manifiesta que la información fuente para la ejecución y elaboración del presente informe, fue tomada del aplicativo SIGEPRE.

5.3 Plan General de Auditoria El ejercicio de Auditoría Interna a la Política para la Administración del Riesgo, se comunicó a Oficina de Planeación a través del Plan General de Auditoría con código MEM20-00000627 del 15 de enero de 2020, con el fin de dar a conocer el objetivo, alcance y actividades a desarrollar durante la ejecución de la auditoría.

P á g i n a 5 | 19



6 DESARROLLO DE LA AUDITORIA El equipo auditor de la Oficina de Control Interno del DAPRE, desarrolló la auditoría fundamentada principalmente en la “Guía de administración del riesgo y el diseño de controles en entidades públicas v4 del DAFP”, la “Guía para la Gestión de Riesgo de Corrupción 2015 de la Secretaria de Transparencia”, los Lineamientos para la Administración del Riesgo L-DE-01 v15” y el “Modelo Integrado de Planeación y Gestión” (MIPG), con el propósito de verificar la correcta identificación, análisis y efectividad de los controles en la gestión de los riesgos por parte de los procesos establecidos en el DAPRE. De acuerdo con el plan general de auditoría el equipo auditor basado en la información registrada en el aplicativo SIGEPRE evaluó dos temas principales:

1. La estructura del documento código L-DE-01 Lineamientos Administración del Riesgo V15, de acuerdo a la “Guía de administración del riesgo y el diseño de controles en entidades públicas v4 del DAFP”.

2. La estructura de los riesgos y controles. (redacción, coherencia con las causas y efectos, frecuencia y responsables), de acuerdo a los “Lineamientos para la administración del Riesgo L-DE-01 v15” y la Guía de administración del riesgo y el diseño de controles en entidades públicas v4 del DAFP.

6.1 Evaluación Lineamientos para la Administración del Riesgo

Evaluación al Documento “Lineamientos para la Administración del Riesgo L-DE-01 v15”. Basados en la Guía de administración del riesgo y el diseño de controles en entidades públicas v4 del DAFP.

Durante la vigencia 2019, se presentaron dos actualizaciones al documento

código L-DE-01 “Lineamientos Administración del Riesgo” los días 01 y 05 de agosto 2019. Estos cambios se realizaron teniendo en cuenta la versión 4 de la “guía para la administración del riesgo y el diseño de controles” en entidades públicas. Al evaluar el documento se hacen las siguientes recomendaciones:

1. Recomendación1. Incluir dentro del lineamiento las responsabilidades

para la gestión del riesgo por líneas de defensa.

2. Recomendación2. Se debe definir en la metodología de administración del riesgo del DAPRE; la manera como se integra la evaluación de la eficacia del control a partir de las auditorías realizadas por la Oficina de Control Interno.

P á g i n a 6 | 19



3. Recomendacion3. Se debe detallar la manera de reevaluar el riesgo después de aplicar un tratamiento o después de la materialización del riesgo.

4. Recomendación4. En el Capítulo 1 “Objetivo” Definir en el objetivo los principales tipos de riesgo que debe abordar con esta metodología, riesgos de proceso, corrupción y seguridad digital como lo establece la Guía de Administración del Riesgo y el Diseño de Controles en entidades públicas v4 del DAFP.

5. Recomendación5. En el Capítulo 3 “Términos y Definiciones.” Las definiciones pueden completarse y unificarse tanto con la “Guía de Administración del Riesgo y el Diseño de Controles en entidades públicas v4 del DAFP” como con la “Guía para la Gestión de Riesgo de Corrupción 2015 de la Secretaria de Transparencia” y referenciar la fuente de la que fueron tomadas.

6. Recomendaciones6. En el Capítulo 4 “Administración del Riesgo” donde se menciona…Desde la perspectiva de la Norma Técnica NTC-ISO 31000, referenciar tres documentos: 1. La “Guía de Administración del Riesgo y el Diseño de Controles en entidades públicas v4 del DAFP” 2. La “Guía para la Gestión de Riesgo de Corrupción 2015 de la Secretaria de Transparencia”. 3. El “Modelo Integrado de planeación y gestión MIPG v2”. Ya que éstas establecen puntualmente la metodología para las entidades públicas.

7. Recomendación7. En el Capítulo 5 “Política de Administración de Riesgos

Presidencia de la República” mencionar explícitamente el compromiso con el control de los riesgos de proceso, corrupción y seguridad digital como lo establece la “Guía de Administración del Riesgo y el Diseño de Controles en entidades públicas v4 del DAFP”.

8. Recomendación8. En el Capítulo 13 “Requisitos Técnicos” incluir la Guía de Administración del Riesgo y el Diseño de Controles en entidades públicas v4 del DAFP.

6.2 Evaluación de Riesgos y Controles por Proceso

Verificación a la estructura de los riesgos y controles. (redacción, coherencia con las causas y efectos, frecuencia y responsables), de acuerdo a los “Lineamientos para la administración del Riesgo L-DE-01 v15” y la Guía de Administración del Riesgo y el Diseño de Controles en entidades públicas v4 del DAFP.

P á g i n a 7 | 19



Uno de propósitos fundamentales del sistema de gestión es actuar como una herramienta preventiva; consecuentemente el concepto de pensamiento basado en riesgo propicia una gestión articulada al interior de la entidad, e implica la aplicación de controles preventivos, detectivos y correctivos a cada uno de los procesos para alcanzar los resultados esperados.

Para el año 2019 la Entidad identificó 78 riesgos, de los cuales hay 16 riesgos

identificados como de corrupción, 10 riesgos identificados para el Sistema de Gestión de Seguridad de la Información, 52 riesgos de gestión y 1 matriz de Riesgos del Sistema de Seguridad y Salud en el Trabajo.

Los 78 riesgos fueron identificados y valorados por los Procesos de la entidad,

así: Cuadro No1

PROCESO TOTAL RIESGO PATICIPACIÓN

Direccionamiento estratégico 5 6%

Evaluación, Control y Mejoramiento 4 5%

Atención al Usuario 5 6%

Gestión de Asuntos Estratégicos 25 32%

Gestión Jurídica 2 3%

Gestión de Seguridad, Apoyo Logístico Presidencial y Comunicación y Prensa

7 9%

Adquisición de Bienes y Servicios 4 5%

Talento Humano 4 5%

Gestión Financiera 6 8%

Tecnologías de Información y Comunicaciones 10 13%

Gestión Documental 3 4%

Gestión Administrativa 3 4%

TOTAL 78 100% Fuente: Módulo Gestión del Riesgo aplicativo SIGEPRE.

P á g i n a 8 | 19



De los 78 riesgos, 16 corresponden a Riesgos de Corrupción que fueron identificados por los siguientes 7 procesos: Cuadro No2

Fuente: Módulo Gestión del Riesgo aplicativo SIGEPRE. Los riesgos de corrupción se encuentran totalmente gestionados y cumplen con la Guía para la Gestión de Riesgo de Corrupción 2015 y con los Lineamientos para la Administración de Riesgos de la entidad. Cuadro No3

PROCESO TOTAL RIESGOS

ENTIDAD RIESGOS DE

CORRUPCIÓN RIESGOS DEL SGSI

Direccionamiento Estratégico 5 0 0

Evaluación, Control y Mejoramiento 4 1 0

Atención al Usuario 5 0 0

Gestión de Asuntos Estratégicos 25 1 0

Gestión Jurídica 2 0 0

Gestión de Seguridad, Apoyo Logístico Presidencial y Comunicación y Prensa

7 0 0

Adquisición de Bienes y Servicios 4 1 0

Talento Humano 4 3 0

Gestión Financiera 6 4 0

Tecnologías de Información y Comunicaciones 10 5 8

Gestión Documental 3 1 2

Gestión Administrativa 3 0 0

TOTAL 78 16 10 Fuente: Módulo Gestión del Riesgo aplicativo SIGEPRE

Los riesgos del Sistema de Gestión y Seguridad de la Información se administran en el DAPRE de acuerdo con la NTCISO-27001:13 y los Lineamientos para la Administración de Riesgos, se evidencian 10 riesgos gestionados, que de acuerdo al análisis realizado en la Matriz “Riesgo residual SGSI” mostrada a continuación, el 50% se encuentra en Zona de Riesgo Alta que equivale a 5 riesgos, el 40% se encuentran

01

01

00

13

45

10

0 1 2 3 4 5 6

DIRECCIONAMIENTO ESTRATEGICO

ATENCIÓN AL USUARIO

GESTIÓN JURÍDICA

ADQUISICIÓN DE BIENES Y SERVICIOS

GESTIÓN FINANCIERA

GESTIÓN DOCUMENTAL

P á g i n a 9 | 19



en Zona de Riesgo Moderado que equivale a 4 riesgos y el restante 10% equivale a 1 riesgo ubicado en Zona de Riesgo Baja, lo que nos indica que está cumpliendo con la política y objetivos del SGSI y están asegurando la Confidencialidad, Integridad y Disponibilidad de la Información del DAPRE.

Matriz: Riesgo residual SGSI Riesgos Participación

Zona de Riesgo Extrema 0 0%

Zona de Riesgo Alta 5 50%

Zona de riesgo Moderado 4 40%

Zona de Riesgo Baja 1 10%

Al ejecutar las respectivas acciones para valorar los 78 riesgos, se observó que

las actividades de control establecidas mitigan el nivel de riesgo, como lo evidenciamos en los mapas de calor inherente y residual, disminuyendo del 69% de los riesgos en zona de riesgo extrema (Riesgo inherente) al 6% después de la aplicación de los controles (Riesgo Residual):

Matriz: Riesgo Inherente Riesgos Participación





Matriz: Riesgo Residual Riesgos Participación





P á g i n a 10 | 19



Así mismo se observa que el 6% de los riesgos identificados en zona de riesgo extrema, que corresponden a los siguientes 5 Procesos:

Cuadro No4 Proceso Riesgos Zona extrema

Gestión Jurídica

Vencimiento de los términos legales en la atención (Respuesta, Información del Trámite y Notificación por Aviso) de peticiones, sugerencias, quejas, reclamos o denuncias

**Direccionamiento estratégico

**Inadecuado seguimiento a los compromisos institucionales establecidos en las sesiones del Consejo Nacional de Discapacidad CND.

Gestión Financiera Fraude en el manejo de los recursos asignados a las cajas menores

Talento Humano Deficiencia en el momento de revisar y aprobar proyectos de actos normativos

Atención al Usuario Pérdida de expedientes disciplinarios físicos o digitales a cargo de la Oficina de Control Interno Disciplinario.

** Es importante resaltar que el riesgo… “Inadecuado seguimiento a los compromisos institucionales establecidos en las sesiones del Consejo Nacional de Discapacidad CND” … Establecido en el proceso de direccionamiento estratégico, no le pertenece, se observa que le corresponde al proceso Gestión de Asuntos Estratégicos el cual manifiesta que este riesgo debería estar inactivo.

El equipo auditor verificó la estructura de los riesgos y controles. (redacción, coherencia con las causas y efectos, frecuencia y responsables), de acuerdo a los “Lineamientos para la administración del Riesgo L-DE-01 v15” y la Guía de administración del riesgo y el diseño de controles en entidades públicas v4 del DAFP. Evidenciando las siguientes recomendaciones:

Tema a evaluar 1 El riesgo está redactado de manera adecuada y clara?

17 Riesgos por mejorar

78 Definidos 22% Por Mejorar

Se recomienda9 redactar el riesgo de acuerdo a las técnicas establecidas en los “Lineamientos para la administración del Riesgo L-DE-01 v15” y en la "Guía de administración del riesgo y el diseño de controles en entidades públicas v4 del DAFP". “Evitar iniciar con palabras negativas como: “No…”, “Que no…”, o con palabras que denoten un factor de riesgo (causa) tales como: “ausencia de”, “falta de”, “poco(a)”, “escaso(a)”, “insuficiente”, “deficiente”, “debilidades en…”

P á g i n a 11 | 19



Tema a evaluar 2 El control establecido está redactado de manera adecuada y cumple la función de control?

232 Controles por mejorar

427 Definidos 54% Por mejorar

Al momento de definir las actividades de control por parte de la primera línea de defensa, es importante considerar que los controles estén bien diseñados para que efectivamente mitiguen las causas que hacen que el riesgo se materialice. Se recomienda10 desde la redacción del mismo, incluir las 6 variables: responsable, periodicidad, propósito, cómo se va a realizarla actividad de control, desviaciones y evidencia de la ejecución del control. "El control establecido en sí mismo debe prevenir la ocurrencia del riesgo o mitigar su impacto , debe estar redactado como actividad de control (verificar, revisar, validar, aprobar, conciliar etc) Actividades como capacitar, acompañar, sensibilizar no son controles, documentos como manuales , guías , procedimientos no son controles" son medios

Tema a evaluar 3 Los controles preventivos cubren todas las causas ?

8 riesgos donde sus controles

No tienen cobertura sobre sus causas

Se recomienda11 que los controles preventivos cubran el 100% de las causas, es decir, que efectivamente estos mitigan las causas que hacen que el riesgo se materialice. Para cada causa debe existir un control. * Las causas se deben trabajar de manera separada (no se deben combinar en una misma columna o renglón). * Un control puede ser tan eficiente que me ayude a mitigar varias causas, en estos casos se repite. el control, asociado de manera independiente a la causa específica.

Tema a evaluar 4 Los efectos o impactos críticos tienen controles correctivos?

5 riesgos donde permanecen en Zona

de riesgo extrema después de controles

(Riesgo residual)

Se recomienda12 definir controles correctivos a los riesgos que después de controles preventivos permanezcan en zona de riesgo extrema, el cual ayudará a controlar o estabilizar una situación de materialización. Ya que su afectación es grave o muy grave de la integridad, disponibilidad y confidencialidad de la información.

P á g i n a 12 | 19



Tema a evaluar 5 La frecuencia de aplicación del control preventivo es oportuna frente a la frecuencia establecida para el riesgo?

428 controles establecidos

NO tienen establecida la frecuencia de aplicación del

control

Se recomienda13 establecer una periodicidad específica para la aplicación de cada uno de los controles. Su ejecución debe ser coherente con la probabilidad de materialización del riesgo y oportuna para la mitigación.

Tema a evaluar 6 Se tienen claramente definidas las responsabilidades frente al control?

428 controles establecidos No tienen

establecido el o los responsables de

aplicación del control.

Se recomienda14 definir el responsable de llevar a cabo la actividad de control. 1. Cuando un control se hace de manera manual (ejecutado por personas). es importante establecer el cargo responsable de su realización. 2. Cuando el control lo hace un sistema o una aplicación de manera automática a través de un sistema programado, es importante establecer como responsable de ejecutar el control al sistema o aplicación. * Se observó que se tiene definido un Responsable (responsable del monitoreo) y un Gestor del riesgo que es el Funcionario líder de la dependencia.

7 EVALUACIÓN DE LAS MEJORAS No aplica.

P á g i n a 13 | 19



8 RESULTADOS DE LA AUDITORIA

8.1 Aspectos Conformes

En el desarrollo de esta auditoria se evidenció una dinámica de mejora continua

en la Entidad, mediante la identificación de riesgos que conllevan a tener controles preventivos que aseguran el cumplimiento de los objetivos.

El apoyo de los enlaces de la Oficina de Planeación, de la Oficina de Control Interno y de los procesos, mediante acciones de sensibilización y recordación para el oportuno monitoreo de los riesgos.

Se evidencia disciplina y compromiso de los funcionarios responsables del monitoreo del riesgo en términos de controles, permitiendo verificar la aplicación de los mismos en aspectos de calidad y oportunidad.

8.2 No Conformidades Reales

Se verificó la alineación estratégica establecida para el periodo 2018-2022 con

los riesgos vigentes y se evidencia que los siguientes 30 riesgos no se encuentran alineados con los objetivos institucionales vigentes, incumpliendo con los compromisos la Política de Administración de Riesgo “…se compromete a controlar todos aquellos riesgos que pueden impedir el cumplimiento de los objetivos institucionales…”.

RIESGO BSC

a. Afectación de la integridad física del Sr. Presidente y Vicepresidente de la República en cumplimiento de su agenda pública o privada.

PA-2015-2018 CASA MILITAR-ESTRATEGIA 3

b. Beneficiar a un oferente en las invitaciones a ofertar, elaboración de estudios previos, proyecto de pliegos de condiciones o sus equivalentes, en un proceso de selección.

PA-2015-2018 Área de Contratos - Estrategia 1

c. Declaratoria desierta de un proceso de selección que conlleve a la NO adquisición de bienes, servicios y obras, por razones atribuibles a la administración.

PA-2015-2018 Área de Contratos - Estrategia 1

d. Deficiencia en el momento de revisar y aprobar proyectos de actos normativos

PA-2015-2018 SECRETARÍA JURÍDICA ESTRATEGIA 1

e. Divulgación de información de carácter noticioso no autorizada

PA-2015-2018 SECRETARÍA DE PRENSA - ESTRATEGIA 2

f. Efectuar certificados de disponibilidad y registros presupuestales por un rubro presupuestal que no corresponda en la ejecución de la cadena presupuestal

PA-2015-2018 Área Financiera - Estrategia 1

g. Falta de oportunidad en la atención de solicitudes de Gobernadores y Alcaldes

PA-2015-2018 Alta Consejería Presidencial para las Regiones -Estrategia 6

h. Fraude en el manejo de los recursos asignados a las cajas menores


P á g i n a 14 | 19



RIESGO BSC

i. Fraude en el pago de la nómina y factores salariales en beneficio propio y de un tercero

PA-2015-2018 Área de Talento Humano - Estrategia 3

j. Inadecuada aprobación de la autorización previa de comisiones al exterior

PA-2015-2018 Dirección del Departamento - Estrategia 3

k. Inadecuada aprobación de la publicación de hojas de vida - aspirantes

PA-2015-2018 Dirección del Departamento - Estrategia 3

l. Inadecuada prestación del servicio de asistencia técnica PA-2015-2018 Secretaría de Transparencia - Estrategia 5

m. Inadecuado funcionamiento de los componentes y módulos del Sistema Nacional de Información y Gestión del Conocimiento en adolescencia y juventud.

PA-2015-2018 Dirección del Sistema Nacional de Juventud Colombia Joven. Estrategia 3

n. Inadecuado monitoreo o seguimiento a la ejecución de las acciones financiadas para gestionar las iniciativas requeridas para la implementación de los acuerdos de paz.

PA-2015-2018 Dirección para el Posconflicto-Estrategia 5

o. Incumplimiento de la normatividad aplicable para la implementación de la Estrategia Nacional de Derechos Humanos 2014-2034.

PA-2015-2018 CP DERECHOS HUMANOS - ESTRATEGIA 7

p. Incumplimiento de los requisitos en el recibo de infraestructuras para la atención integral a favor de la infancia acorde con los contratos vigentes.

PA-2015-2018 CP Primera Infancia -ESTRATEGIA 8

q. Incumplimiento de los requisitos técnicos, legales y del cliente en la prestación del servicio de asistencia técnica para la incorporación y fortalecimiento del enfoque de género en la formulación, gestión y seguimiento de las políticas, planes y programas de las entidades públicas del nivel nacional y territorial

PA-2015-2018 Consejería Presidencial para la Equidad de la Mujer - Estrategia 8

r. Incumplimiento en la destinación de recursos asignados para la implementación de las líneas estratégicas de los acuerdos de paz

PA-2015-2018 Dirección para el Posconflicto-Estrategia 5

s. Incumplimiento legal en la presentación de la Información Exógena, las declaraciones de retenciones y los Estados Financieros.


t. Incumplimientos legales en la atención de los procesos judiciales y acciones judiciales

PA-2015-2018 SECRETARÍA JURÍDICA ESTRATEGIA 1

u. Incumplimientos legales en la liquidación de las novedades laborales y prestacionales

PA-2015-2018 Área de Talento Humano - Estrategia 3

v. Incumplimientos legales en la presentación de informes dentro de las fechas establecidas por la norma

PA-2015-2018 Oficina de Control Interno - Estrategia 3

w. Inexactitud en la información suministrada para la formulación e implementación de políticas públicas de prioridad del Gobierno

PA-2015-2018 ALTA CONSEJERÍA PRESIDENCIAL PARA EL SECTOR PRIVADO Y COMPETITIVIDAD - ESTRATEGIA2

x. Interrupción de la Transmisión de video y/o audio de los eventos del Señor Presidente

PA-2015-2018 SECRETARÍA DE PRENSA - ESTRATEGIA 2

y. No aplicación de los procedimientos y principios para el desarrollo de las diversas actividades protocolarias por el Sr. Presidente de la República

PA-2015-2018 CASA MILITAR-ESTRATEGIA 9

z. No disponibilidad de los servicios de Tics por cambios en la plataforma

PA-2015-2018 Área de Tecnologías y Sistemas de Información - Estrategia 1

P á g i n a 15 | 19



RIESGO BSC

aa. Recursos limitados para financiar Actividades de Paz. PA-2015-2018 Fondo de Programas Especiales para la Paz-Estrategia 5

bb. Suspensión Masiva en la prestación del servicio de telecomunicaciones

PA-2015-2018 Área de Tecnologías y Sistemas de Información - Estrategia 6

cc. Tráfico de influencias durante la selección de personal PA-2015-2018 Área de Talento Humano - Estrategia 3

dd. Violación de la integridad de la información - SGSI PA-2015-2018 Área de Tecnologías y Sistemas de Información - Estrategia 6

8.3 Oportunidades de Mejora Adicional a las recomendaciones dadas el los numerales 6.1 y 6.2 de presente

informe si identificaron de manera general las siguientes: Recomendación1. Incluir dentro del lineamiento las responsabilidades para la gestión del riesgo por líneas de defensa. Recomendación2. Se debe definir en la metodología de administración del riesgo del DAPRE; la manera como se integra la evaluación de la eficacia del control a partir de las auditorías realizadas por la Oficina de Control Interno. Recomendacion3. Se debe detallar la manera de reevaluar el riesgo después de aplicar un tratamiento o después de la materialización del riesgo. Recomendación4. En el Capítulo 1 “Objetivo” Definir en el objetivo los principales tipos de riesgo que debe abordar con esta metodología, riesgos de proceso, corrupción y seguridad digital como lo establece la Guía de Administración del Riesgo y el Diseño de Controles en entidades públicas v4 del DAFP. Recomendación5. En el Capítulo 3 “Términos y Definiciones.” Las definiciones pueden completarse y unificarse tanto con la “Guía de Administración del Riesgo y el Diseño de Controles en entidades públicas v4 del DAFP” como con la “Guía para la Gestión de Riesgo de Corrupción 2015 de la Secretaria de Transparencia” y referenciar la fuente de la que fueron tomadas. Recomendación6. En el Capítulo 4 “Administración del Riesgo” donde se menciona…Desde la perspectiva de la Norma Técnica NTC-ISO 31000, referenciar tres documentos: La “Guía de Administración del Riesgo y el Diseño de Controles en entidades públicas v4 del DAFP” La “Guía para la Gestión de Riesgo de Corrupción 2015 de la Secretaria de Transparencia”. El “Modelo Integrado de planeación y gestión MIPG v2”. Ya que éstas establecen puntualmente la metodología para las entidades públicas.

P á g i n a 16 | 19



Recomendación7. En el Capítulo 5 “Política de Administración de Riesgos Presidencia de la República” mencionar explícitamente el compromiso con el control de los riesgos de proceso, corrupción y seguridad digital como lo establece la “Guía de Administración del Riesgo y el Diseño de Controles en entidades públicas v4 del DAFP”. Recomendación8. En el Capítulo 13 “Requisitos Técnicos” incluir la Guía de Administración del Riesgo y el Diseño de Controles en entidades públicas v4 del DAFP. Recomendación9. Redactar el riesgo de acuerdo a las técnicas establecidas en los “Lineamientos para la administración del Riesgo L-DE-01 v15”, y en la "Guía de administración del riesgo y el diseño de controles en entidades públicas v4 del DAFP". “Evitar iniciar con palabras negativas como: “No…”, “Que no…”, o con palabras que denoten un factor de riesgo (causa) tales como: “ausencia de”, “falta de”, “poco(a)”, “escaso(a)”, “insuficiente”, “deficiente”, “debilidades en…”. Recomendación10. Desde la redacción del mismo, incluir las 6 variables: responsable, periodicidad, propósito, cómo se va a realizarla actividad de control, desviaciones y evidencia de la ejecución del control. "El control establecido en sí mismo debe prevenir la ocurrencia del riesgo o mitigar su impacto, debe estar redactado como actividad de control (verificar, revisar, validar, aprobar, conciliar etc) Actividades como capacitar, acompañar, sensibilizar no son controles, documentos como manuales, guías, procedimientos no son controles", son medios. Recomendación11. Que los controles preventivos cubran el 100% de las causas, es decir, que efectivamente estos mitigan las causas que hacen que el riesgo se materialice. Para cada causa debe existir un control. * Las causas se deben trabajar de manera separada (no se deben combinar en una misma columna o renglón). * Un control puede ser tan eficiente que me ayude a mitigar varias causas, en estos casos se repite. el control, asociado de manera independiente a la causa específica. Recomendación12. Definir controles correctivos a los riesgos que después de controles preventivos permanezcan en zona de riesgo extrema, el cual ayudará a controlar o estabilizar una situación de materialización. Ya que su afectación es grave o muy grave de la integridad, disponibilidad y confidencialidad de la información. Se recomienda13. Establecer una periodicidad específica para la aplicación de cada uno de los controles. Su ejecución debe ser coherente con la probabilidad de materialización del riesgo y oportuna para la mitigación.

P á g i n a 17 | 19



Se recomienda14. Definir el responsable de llevar a cabo la actividad de control. 1. Cuando un control se hace de manera manual (ejecutado por personas), es importante establecer el cargo responsable de su realización. 2. Cuando el control lo hace un sistema o una aplicación de manera automática a través de un sistema programado, es importante establecer como responsable de ejecutar el control al sistema o aplicación. * Se observó que se tiene definido un Responsable (responsable del monitoreo) y un Gestor del riesgo que es el Funcionario líder de la dependencia. Recomendación15 validar los reportes del módulo de riesgos, “Reporte general de riesgos”, “Reporte por proceso” y mapas de calor (riesgo residual) ya que se presentan las siguientes diferencias: Se observó en el “mapa de riesgo Residual”, Cuatro (4) riesgos en zona extrema y al generar el reporte se evidencian cinco (5) riesgos en esta zona extrema.

Riesgos Zona extrema

1-Deficiencia en el momento de revisar y aprobar proyectos de actos normativos

2-Fraude en el manejo de los recursos asignados a las cajas menores

3-Inadecuado seguimiento a los compromisos institucionales establecidos en las sesiones del Consejo Nacional de Discapacidad CND.

4-Pérdida de expedientes disciplinarios físicos o digitales a cargo de la Oficina de Control Interno Disciplinario.

5-Vencimiento de los términos legales en la atención (Respuesta, Información del Trámite y Notificación por Aviso) de peticiones, sugerencias, quejas, reclamos o denuncias

P á g i n a 18 | 19



Recomendación16 Ajustar el riesgo… “Inadecuada aprobación por parte del Despacho del Alto Consejero Presidencial de Comunicaciones de las campañas de comunicación de las entidades de la rama ejecutiva del orden nacional”, ya que se encuentra asignado a dos procesos: 1. Atención al Usuario y 2. Gestión de Asuntos Estratégicos. O en el caso que el riesgo afectivamente aplique a los dos procesos, definir controles en los dos procesos.

Recomendación17 Ajustar el riesgo… “Información Parcial en Materia de Derechos Humanos que se Entrega a Quien la Solicita” ... ya que se encuentra asignado a dos procesos: 1. Gestión de Asuntos Estratégicos y 2. Tecnologías de la información. O en el caso que el riesgo afectivamente aplique a los dos procesos, definir controles en los dos procesos.

Recomendación18 Ajustar el riesgo… “Inadecuado seguimiento a los compromisos institucionales establecidos en las sesiones del Consejo Nacional de Discapacidad CND” ... ya que se encuentra asignado al proceso de Direccionamiento Estratégico y no le pertenece, se observa que le corresponde al proceso Gestión de Asuntos Estratégicos el cual manifiesta que este riesgo debería estar inactivo.

P á g i n a 19 | 19



Recomendación19 determinar los riesgos que puedan afectar los objetivos del Sistema de Seguridad y salud en el Trabajo y Medio Ambiente y definir los respectivos controles para reducir o mitigar la probabilidad e impacto. De igual forma incorporarlos en el aplicativo SIGEPRE para su respectiva integración con los demás sistemas de gestión. Recomendación20 Realizar sensibilizaciones periódicas a los funcionarios responsables de la gestión del riesgo en cada una de las dependencias acerca la metodología establecida en el Documento “Lineamientos para la Administración del Riesgo L-DE-01, redacción de riesgos, controles y aplicación definida en este documento, ya que se evidencia debilidades en la formulación de estos. 9 CONCLUSIONES DE LA AUDITORIA La Oficina de Control Interno basada en los principios de auditoría determina que, el Departamento Administrativo de la Presidencia de la República DAPRE, cuenta con una gestión del riesgo enmarcada en una política de administración de riesgos, unos lineamientos y una metodología que le permite realizar la identificación, valoración, tratamiento y monitoreo de cada uno de los eventos que puedan afectar el logro de los objetivos de la entidad y garantizando la operatividad eficaz del Sistema de Control Interno. Sin embargo, se establecen aspectos conformes, no conformes y oportunidades de mejora representadas en veinte (20) recomendaciones a los cuales se les debe dar el tratamiento correspondiente para poder tener así un mejoramiento continuo.

Informe de Auditoría a la Administración de Riesgos€¦ · Evaluar la política de administración de riesgos, la correcta identificación, análisis y efectividad de los controles

Documents