código: ese-fto-10 informe de evaluaciÓn y ......código: ese-fto-10 versión:01 informe de...

Código: ESE-FTO-10 Versión:01

INFORME DE EVALUACIÓN Y SEGUIMIENTO

Página:1 de 10

1. Antecedentes ! En cumplimiento de lo establecido en la Norma NTC GP 1000-2009 en su numeral 7.5.1

la entidad debe planificar y llevar a cabo la producción y la prestación del servicio bajo condiciones controladas, incluyendo los riesgos de mayor probabilidad e impacto.

! La Defensoría del Pueblo en la vigencia 2015, a través de la Resolución 523 del 30 de marzo, adoptó la política de administración de riesgos

! Vigencia 2014: a fecha de corte 30 de noviembre de 2014 se emitió u 2. Objetivos y Justificación Evaluar el mapa de riesgos institucional con fecha de corte 30 septiembre de 2015, con miras a proveer una evaluación objetiva a la Oficina de Planeación y a la Alta Dirección sobre la efectividad de las políticas y acciones en la materia, de cara a asegurar que los riesgos institucionales están siendo administrados apropiadamente. “Gestionar riesgos implica administrar bien para lograr un balance apropiado entre darse cuenta de las oportunidades de obtener beneficios a la vez que minimizar los impactos adversos. Es una parte integral de una buena práctica gerencial y un elemento esencial de buen Gobierno Corporativo, y por ende de la sustentabilidad de toda la Entidad”.1 3. Desarrollo del trabajo Acorde al informe emitido en noviembre de 2014, la Oficina de Control Interno realizó la verificación de las recomendaciones sugeridas en esa oportunidad: ! Concretar bien sea a través de acto administrativo o documento la política de

administración del riesgo teniendo en cuenta en lo posible las recomendaciones hechas por la Oficina de Control Interno y socializarla a todos los funcionarios – Resuelto con la expedición de la Resolución 523 del 30 de marzo de 2015.

! Definir la unidad de criterios y estandarización en los mapas de riesgos (Corrupción y Gestión) - aun sin desarrollarse.

! Obtener un mapa de riesgos institucional que contenga a nivel estratégico los mayores riesgos a los cuales está expuesta la entidad y no continuar con la formalización de la simple unión de todos los riesgos para ser publicados.

1 Carlos Rozen – Especialista en Gestión de Riesgos y Monitoreo Continuo mediante el uso de Business intelligence.



Página:2 de 10

Dando cumplimento a lo establecido en el artículo 5 del Decreto 2641 de 2012 y la guía de administración del riesgo del DAFP, la Oficina de Control Interno validó aspectos referidos a la identificación, valoración y administración. Para la verificación se tuvo en cuenta la metodología desarrollada por el Departamento Administrativo de la Función Pública “Guía de Administración del Riesgo” Versión 2, la cual fue actualizada en el año 2011 por parte del DAFP, dicha guía responde a las actualizaciones de la Norma Técnica Colombiana NTC31000 sobre gestión del riesgo. La mencionada norma Técnica NTC31000 determina un proceso para la administración del riesgo y lo define como: “Aplicación sistemática de las políticas, los procedimientos y las prácticas de gestión de las actividades de comunicación, consulta, establecimiento del contexto y de identificación, análisis, evaluación, tratamiento, monitoreo y revisión del riesgo”2 La administración del riesgo inicia con el contexto estratégico y termina con las acciones que van a permitir asumir, reducir, evitar o compartir el riesgo según sea el caso y el tipo de riesgo identificado, estas definiciones se plantean a partir de los controles establecidos y no como una decisión individual de quién identifica el riesgo. A este proceso metodológico, se establece que debe existir una política de administración del riesgo, la cual es “una declaración de la dirección y las intenciones generales respecto al manejo del riesgo”, convirtiéndose en el marco general para las decisiones que se tomen en tal sentido; actividad materializada mediante la Resolución 523 del 30 de marzo de 2015. La Oficina de Planeación dado su rol estratégico y sus actividades, que están directamente relacionadas con la gestión de la entidad, se ocupa de la coordinación y consolidación tanto de los mapas de riesgos generales (gestión y corrupción), en aras de generar una administración integral de todos los riesgos que puedan afectar el normal desarrollo de las operaciones de la entidad3. Contexto que condujo a verificar la consolidación del mapa de riesgos por procesos (gestión y corrupción) y el mapa de riesgos institucional (gestión y corrupción). En la página web de la entidad, enlace: http://www.defensoria.gov.co/es/public/Gestionycontrolinstitucional/1260/Calidad-y-Modelo-Est%C3%A1ndar-de-Control-Interno---MECI.htm 2 Instituto Colombiano de Normas Técnicas y Certificación ICONTEC, norma NTC31000, página 20 3 Concepto del Departamento Administrativo de la Función Pública 20155000076751 del 07/05/2015.



Página:3 de 10

Se halló la trazabilidad del ejercicio en lo que respecta a los mapas de riesgos, sin embargo se observa que lo publicado allí requiere un reajuste, puesto que no es entendible, siendo importante racionalizar los espacios de publicación, sugiriéndose que una vez finalice la vigencia se despubliquen los meses intermedios y situar una sola publicación por año. La evaluación del mapa de riesgos se realizó con fecha de corte 30/09/2015, se tomó la información publicada “Mapa de Riesgos a Agosto de 2015” la cual no es coincidente con el nombre del archivo “Mapa_Riesgos_Sep” así como tampoco al contenido del archivo, puesto que este hace alusión al mes de septiembre de 2015. Obtenido el mapa de riesgos, se halló que el desarrollo de la etapa de administración de los riesgos la Oficina de Planeación envió a todas las regionales un correo electrónico (14/09/2015) “me permito adjuntarles la propuesta del mapa de riesgos de su regional de acuerdo a la nueva metodología para que por favor la ajusten y devuelvan para la elaboración de los informes finales…”, “…nuestro objetivo facilitarles la complementación de la información, en especial con la descripción de los controles y su valoración”. Es decir existió una participación de los responsables de cada proceso y subproceso, en la identificación, análisis, valoración y administración de los riesgos. El ejercicio se ha dificultado para las regionales en razón a que no se tiene identificado propiamente los riesgos para la parte misional, conllevando a que cada regional realice su propio ejercicio.



Página:4 de 10

Conforme a los insumos entregados por las dependencias y algunas regionales, la Oficina de Planeación generó un informe denominado “Actualización Mapa de Riesgos de la Defensoría del Pueblo y segundo monitoreo a los riegos de gestión y corrupción”, junto con una matriz de riesgos por procesos en la cual se identificaron a las consecuencias el impacto, pudiéndose decir que se pierde la esencia de la clasificación del riesgo (estratégico, imagen, operativo, financiero, cumplimiento, tecnología y corrupción).

Extractándose la sumatoria, se hallaría un total de 320 causas clasificadas y 7 sin clasificar, se cita el resumen:

Mientras que los riesgos reportados en el formato, ascienden a 93.



Página:5 de 10

Como a las consecuencias se les clasificó por impacto, no fue posible cuantificar el número de riesgos por gestión y el número de riesgos por corrupción, conllevando a que el análisis del riesgo inherente4 se clasificará también con base en las consecuencias, se cita:

4 Es el riesgo intrínseco de cada actividad, sin tener en cuenta los controles que de éste se hagan a su interior.



Página:6 de 10

Guía del DAFP:

La consolidación que se realizó al mapa de riesgos por procesos no cumple con los parámetros del DAFP. Siendo importante despublicar el mapa de riesgos por procesos en la página web y realizar nuevamente el ejercicio para entregar una información confiable a la ciudadanía, órganos de control y compatibilizar el ejercicio con la búsqueda de la certificación en la calidad. Para los riesgos identificados y que tienen una clasificación óptima, se halló que el riesgo inherente5 cuando le realizaron las acciones para reducir el impacto y la probabilidad de un

5 Riesgo intrínseco de cada actividad, sin tener en cuenta los controles que de éste se hagan a su interior. Este riesgo surge de la exposición que se tenga a la actividad en particular y de la probabilidad que un choque negativo afecte la gestión de la entidad.



Página:7 de 10

acontecimiento adverso, no cambio su nivel, conllevando a que permanezca el riesgo residual6 igual al inherente.

Los criterios aplicados para la evaluación no permitieron mover ningún nivel en impacto y probabilidad. Una vez identificado el riesgo residual, debe establecerse el respectivo plan de tratamiento7, el cual debe estar acorde con la política de administración del riesgo de la entidad. Para el ejemplo citado, pudo haber sucedido por la falta de un trabajo conjunto entre las personas involucradas (líder de proceso, funcionarios del proceso, representante de la Oficina de Planeación). Del mismo, se verificó algunos riesgos que son universales e inherentes a cualquier entidad:

- “Pérdida de información institucional” Hallándose este en el mapa de riesgo de forma repetitiva tanto en las causas como en las consecuencias, ejemplo:

6 Es aquel que permanece después de que la Alta Dirección desarrolle sus respuestas a los riesgos, este riesgo refleja el riesgo remanente una vez se han implantado de manera eficaz las acciones planificadas por la dirección para mitigar el riesgo inherente. 7 Los planes de tratamiento representan un compromiso de la dependencia involucrada, gestión de recursos y de seguimiento a un conjunto de acciones que buscan atender las causas de los riesgos identificados, así como el establecimiento y mejoramiento de controles correctivos o preventivos enfocados a minimizar la probabilidad de ocurrencia y el impacto en caso de que haya una materialización.



Página:8 de 10



Página:9 de 10



Página:10 de 10

Con lo descrito anteriormente se hace necesario que la Oficina de Planeación, replantee nuevamente el ejercicio que está realizando con los insumos recibidos por las dependencias y no se siga limitando a unificarlos sin realizar un análisis previo. Así mismo, el mapa de riesgos que se publique en la página web institucional debe estar completamente depurado y reflejar la situación real de la entidad frente a los riesgos, definiendo claramente el riesgo, la clasificación del riesgo, su calificación, la Evaluación del riesgo, los controles aplicados y la nueva calificación junto con la nueva evaluación, la opción de manejo, las acciones y el nombre de los responsables. 4. Conclusiones ! No existe claridad frente a la definición y utilidad de las diferentes etapas del proceso

de gestión del riesgo por parte del representante de la Alta Dirección8. Se presenta confusión entre la fase de análisis y la fase de valoración del riesgo; se presentan fallas en la fase de identificación del riesgo, entre otros.

! La Entidad se encuentra ad portas de realizar el proceso de certificación de la calidad y carece de un mapa de riesgos institucional que defina de manera clara todos aquellos riesgos que puedan afectar la gestión a desarrollar para el cumplimiento de las metas, con el fin de controlar las múltiples situaciones adversas que se puedan presentar y en consecuencia la satisfacción de la ciudadanía que goza de los servicios que le ofrece la entidad.

! Se ha hecho caso omiso a las recomendaciones efectuadas por la Oficina de Control Interno en informes anteriores.

Como resultado del anterior análisis, se recomienda tomar acciones urgentes para reformular el mapa de riesgos y ajustarlo a las necesidades actuales de la Defensoría del Pueblo. Fuentes de información ! “Administración del Riesgo” Versión 3, año 2014 emitida por el DAFP. ! Mapas de riesgos por proceso, consolidado por la Oficina de Planeación –septiembre

2015 Elaboró: Doris Ramirez Medina. Revisó: Ricardo Arias.

8 Oficina de Planeación.

código: ese-fto-10 informe de evaluaciÓn y ......código: ese-fto-10 versión:01 informe de...

Documents