informe de auditoría a la administración de riesgos · 2019-03-21 · de riesgos del dafp, la...

Informe de Auditoría a la Administración de Riesgos

Bogotá D.C. Febrero de 2019

P á g i n a 2 | 27

INFORME DE AUDITORIA INTERNA DE GESTIÓN

Proceso asociado: Evaluación, Control y Mejoramiento

TABLA DE CONTENIDO

1. OBJETIVO DE LA AUDITORIA ------------------------------------------------------------------ 3 1.1 Objetivos Específicos ---------------------------------------------------------------------------- 3

2. ALCANCE DE LA AUDITORIA ------------------------------------------------------------------- 3 3. PROCESO AUDITADO ---------------------------------------------------------------------------- 3 4. MARCO LEGAL O ANTECEDENTES --------------------------------------------------------- 3

4.1 Antecedentes --------------------------------------------------------------------------------------- 3

4.2 Marco Legal --------------------------------------------------------------------------------------- 4

5. ASPECTOS GENERALES ------------------------------------------------------------------------ 5 5.1 Términos del Informe ---------------------------------------------------------------------------- 5

5.2 Responsabilidad ----------------------------------------------------------------------------------- 5

5.3 Plan General de Auditoria ----------------------------------------------------------------------- 5

6. DESARROLLO DE LA AUDITORIA ------------------------------------------------------------ 5 7. EVALUACIÓN DE LAS MEJORAS ------------------------------------------------------------ 26 8. RESULTADOS DE LA AUDITORIA ----------------------------------------------------------- 26

8.1 Aspectos Conformes -------------------------------------------------------------------------------- 26

8.2 No Conformidades Reales -------------------------------------------------------------------- 27

9. CONCLUSIONES DE LA AUDITORIA ------------------------------------------------------------ 27

P á g i n a 3 | 27



1. OBJETIVO DE LA AUDITORIA

Evaluar que la política y acciones definidas en la gestión del riesgo aseguren la administración apropiada

de los riesgos institucionales, de corrupción y la operatividad del Sistema de Control Interno.

1.1 Objetivos Específicos

Evaluar el mapa de riesgos de la entidad

Revisar la aplicación de la metodología de gestión del riesgo establecida en los Lineamientos para

la Administración del Riesgo de la entidad.

Revisar que los riesgos identificados por los procesos, dispongan de acciones para su tratamiento

alineadas con las estrategias y objetivos de la entidad.

Revisar que las acciones de control sean adecuadas y efectivas para tratar los riesgos.

Verificar que los riesgos sean monitoreados y evaluados.

Sugerir correctivos y ajustes necesarios para asegurar un manejo efectivo de los riesgos.

2. ALCANCE DE LA AUDITORIA

La evaluación se realizará a la gestión del riesgo institucional y de corrupción, realizada durante la

vigencia 2018.

3. PROCESO AUDITADO

Proceso Líder: Direccionamiento Estratégico.

4. MARCO LEGAL O ANTECEDENTES

4.1 Antecedentes

El Departamento Administrativo de la Presidencia de la República - DAPRE, estableció los lineamientos

para la Administración del Riesgo L-DE-01 como una política de gestión por parte de la Alta Dirección,

mediante la cual da a conocer la metodología para la identificación, análisis, valoración, manejo y

monitoreo de los riesgos y hace especial énfasis, sobre la importancia de evaluar los riesgos como una

parte fundamental en el proceso de planificación.

El Departamento Administrativo de la Presidencia de la República, ha gestionado sus riesgos a través del

Sistema Integrado de Gestión - SIGEPRE donde viene trabajando en la identificación, análisis y

valoración de los riesgos asociados a los procesos, dando cumplimiento a la política de Administración

de Riesgos de la Entidad, Modelo Integrado de Planeación y de Gestión MIPG, la Guía de Administración

de riesgos del DAFP, la norma Técnica NTC-ISO 31000, la ISO 9001:2015 y la Guía para la Gestión de

Riesgo de Corrupción de la Secretaría de Transparencia, los Lineamiento para la Administración de

Riesgos, en pro del aseguramiento de los resultados institucionales y del mejoramiento continuo de la

entidad.

La Oficina de Control Interno en su rol de evaluador realizó la Evaluación a la Política para la

Administración del Riesgo mediante el ejercicio de Auditoría Interna, con el fin de proporcionar a la Alta

P á g i n a 4 | 27



Dirección un resultado objetivo frente a la efectiva aplicación de la política y la eficiencia de sus controles,

expresados en asegurar la administración apropiada de los riesgos institucionales y la eficaz operatividad

del Sistema de Control Interno.

4.2 Marco Legal

Ley 87 de 1993, por la cual se establecen normas para el ejercicio del control interno en la entidades

y organismos del estado y se dictan otras disposiciones.

Decreto 1537 de 2001, por el cual se reglamenta parcialmente la Ley 87 de 1993 en cuanto a

elementos técnicos y administrativos que fortalezcan el sistema de control interno de las entidades

y organismos del Estado.

Ley 1474 de 2011, Estatuto Anticorrupción.

Ley 1753 de 2015 Plan Nacional de Desarrollo

Decreto 1081 de 2015, señala la metodología Estrategias para la construcción del Plan

Anticorrupción y de Atención al Ciudadano.

Guía para la gestión de riesgo de corrupción 2015, Secretaría de Transparencia.

Decreto 1083 de 2015, adopta la actualización del MECI.

Decreto 1499 de 2017, Modelo Integral de Planeación y Gestión.

Guía para la Administración del Riesgo de la Función Pública.

ISO 31000 Gestión del Riesgo, principios y directrices.

ISO 9001:2015 Norma Técnica de Calidad

Manual de Buen Gobierno Presidencia de la República

Manual del Sistema Interno de Gestión de la Presidencia de la República

Sistema de Gestión Seguridad y Salud en el Trabajo y Medio Ambiente SGSST-MA

Manual de Políticas de Seguridad de la Información.

Lineamientos para la Administración de Riesgos DAPRE

P á g i n a 5 | 27



5. ASPECTOS GENERALES

5.1 Términos del Informe

Se utilizará para el presente Informe, los términos y definiciones establecidos en el Manual de Auditoría

Interna (M-EM-01), los cuales deben ser tenidos en cuenta para su entendimiento y posterior formulación

de los planes de mejoramiento, a saber:

No Conformidad Real – NCR: Incumplimiento de un requisito legal, técnico, de organización o cliente. Se

constituye cuando existe evidencia objetiva del incumplimiento.

Oportunidad de Mejora - OM: Acción para mejorar un procedimiento, proceso o actividad. Se constituye

como una Recomendación.

5.2 Responsabilidad

Es responsabilidad del equipo auditor producir un informe objetivo que refleje los resultados del proceso

auditor, en cumplimento de los objetivos propuestos para la misma.

5.3 Plan General de Auditoria

El ejercicio de Auditoría Interna a la Política para la Administración del Riesgo, se comunicó al proceso a

través del Plan General de Auditoría con código MEM19-00000742 del 22 de enero de 2019, con el fin de

dar a conocer el objetivo, alcance y actividades a desarrollar durante la ejecución de la auditoría.

6. DESARROLLO DE LA AUDITORIA

Esta Auditoria se desarrolló teniendo en cuenta el Modelo Integrado de Planeación y Gestión (MIPG)

donde se definen siete dimensiones, las cuales articulan las 16 políticas que contempla este modelo, una

de las dimensiones se llama “Control Interno” el cual se integra a través del MECI constituyéndose en el

factor fundamental para garantizar de manera razonable el cumplimiento de los objetivos institucionales,

también se evalúa y controla la gestión de la entidad generando resultados que atiendan los planes de

desarrollo y resuelvan las necesidades y problemas de los ciudadanos, con integridad y calidad en el

servicio.

La Evaluación se llevó a cabo bajo los Lineamientos para la Administración de Riesgos L-DE-01 que

tiene la entidad el cual se encuentra actualizado, se observó que la Presidencia de la República viene

identificando y gestionando los riesgos asociados al cumplimiento de los planes, programas, proyectos,

metas y objetivos institucionales, donde se evidencia la Integración con los Sistemas de Seguridad y

Salud en el Trabajo y con el Sistema de Seguridad de la Información, también con los Riesgos

Contractuales y los Riesgos de Corrupción donde la entidad asegura la ejecución de los planes y el

logro de los objetivos para cumplir con la Misión y la Visión.

P á g i n a 6 | 27



El DAPRE gestiona los riesgos a través del monitoreo permanente y aplicación de los controles

establecidos para su mitigación, dicha gestión se realiza a través del Sistema Integrado de Gestión -

SIGEPRE, dando cumplimiento a la política de Administración de Riesgos, a la política del SSST y a la

política de SGSI, como también a lo establecido por Colombia Compra Eficiente respecto a los riesgos

que surgen en la contratación estatal.

Uno de los principios a tener en cuenta es el enfoque basado en procesos, el cual se sustenta en los

criterios básicos de Gestión de Calidad establecidos en la Norma ISO 9001:2015. La aplicación de este

principio propicia una gestión articulada al interior de la entidad, e implica la aplicación de controles a

cada uno de los procesos y la disposición de recursos para alcanzar los resultados esperados con el

máximo de eficiencia.

El DAPRE ha definido su estructura por procesos a través del Mapa de Procesos, el cual se encuentra

en el SIGEPRE y está dividido en tres niveles: Dirección, Misionales y de Soporte.

6.1 Riesgos por Procesos

6.1.1 Procesos de Dirección, donde se definen y aplicar los lineamientos para formular y hacer

seguimiento al direccionamiento estratégico de la entidad en el marco de los objetivos de

política definidos en el Plan Nacional de Desarrollo.

Cuadro No1

Proceso Total

Riesgos Riesgos de Corrupción

Riesgos del SGSI

Riesgos del SSST Riesgos

Contractuales

Direccionamiento Estratégico

6 0 0

Se encuentran en la Matriz de identificación de peligros, valoración de riesgos y determinación de controles de la entidad

Se establecen desde la etapa de la planeación contractual y se analizan desde la realidad específica de cada contratación, contemplando los plazos y contextos de la ejecución, con el objetivo de identificar y cubrir el respectivo riesgo

Evaluación Control y Mejoramiento

4 1 0

Atención al Usuario 6 0 0

Total 16 1 0

Fuente: Modulo Gestión del Riesgo aplicativo SIGEPRE

Matriz 1 Riesgos Participación

Zona de Riesgo Extrema 1 6%

Zona de Riesgo Alta 9 56%

Zona de riesgo Moderado 5 31%

Zona de Riesgo Baja 1 6%

Como se observa en la matriz 1, los procesos de dirección en su análisis después de controles la

probabilidad de ocurrencia y el impacto que puede causar la materialización de los riesgos, se concentra

en un 6% en la zona de riesgo extrema y en un 56% en zona de riesgo alta, lo que nos indica que se

está garantizando el cumplimiento de los objetivos institucionales y las políticas de gobierno.

P á g i n a 7 | 27



Se Recomienda1 revisar los cambios en la estructura de la Entidad de acuerdo con la nueva

normatividad donde puedan generar nuevos riesgos o modificar los que ya se tienen identificados en

cada proceso.

6.1.2 Procesos Misionales: Donde la entidad cumple con las necesidades de sus clientes, en el

marco de los compromisos previstos en el Plan Nacional de Desarrollo, la misión, visión,

objetivos y funciones generales, estos procesos son:

Cuadro No2

Proceso Total

Riesgos Riesgos de Corrupción

Riesgos del

SGSI Riesgos del SSST Riesgos Contractuales

Gestión de Asuntos Políticos.

29 1 2



Gestión Jurídica. 2 0 0

Gestión de: Seguridad, Apoyo Logístico Presidencial y Comunicación y Prensa.

7 1 0

Total 38 2 2







Se observa en la Matriz2 que 19 de los 38 Riesgos de los procesos misionales después de controles se

encuentran en Zona de Riesgo Moderado lo que equivale al 50% y 9 riesgos se encuentran en Zona de

Riesgo Alta que equivale al 24% esto nos muestra que los controles establecidos en cada riesgos están

bien diseñados, se están monitoreando periódicamente, tienen un responsable y efectivamente estos

mitigan las causas que hacen que el riesgo se materialice, de esta manera garantiza el cumplimiento de

los requisitos del señor presidente y la población beneficiaria y así se cumpla con la misión y la visión de

la Presidencia de la Republica.

6.1.3 Procesos de Soporte: Permite gestionar los recursos humanos, físicos, financieros y

tecnológicos indispensables para el cumplimiento de la misión institucional y el desarrollo

armónico de los demás procesos estos son:

P á g i n a 8 | 27



Cuadro No3

Proceso Total

Riesgos Entidad

Riesgos de Corrupción

Riesgos del

SGSI Riesgos del SSST

Riesgos Contractuales

Gestión Administrativa 5



Gestión Financiera 6 4

Adquisición de Bienes y Servicios 3 1

Gestión Documental 4 1 2

Talento Humano 4 3

Tecnología de Información y Comunicaciones

11 5 7

Total 33 14 9


Los riesgos del Proceso de Soporte que son los que aportan al desarrollo armónico de los

demás procesos, de acuerdo a la Matriz3 el 48% se encuentran en Zona de Riesgo Alta y

el 30% se encuentran ubicados en Zona de Riesgo Moderado lo que nos indica que tienen

controles fuertes y bien definidos, se monitorean constantemente y así aseguren el

cumplimiento de los objetivos de los procesos.

6.1.4 Consolidado Riesgos por Proceso Cuadro No 4. Total riesgos por Proceso

Proceso Total Riesgos Entidad

Riesgos de Corrupción

Riesgos del SGSI

Direccionamiento Estratégico 6 0 0

Evaluación Control y Mejoramiento 4 1 0

Atención al Usuario 6 0 0

Gestión de Asuntos Políticos 29 1 2

Gestión Jurídica 2 0 0

Gestión de Seguridad, Apoyo logístico

Presidencial y Comunicación y Prensa

7 0 0

Gestión Administrativa 5 0 0

Gestión Financiera 6 4 0

Adquisición de Bienes y Servicios 3 1 0

Gestión Documental 4 1 2

Talento Humano 4 3 0

Tecnología de Información y

Comunicaciones

11 5 7

Total 87 16 11







P á g i n a 9 | 27



En el cuadro No4 vemos que la entidad cuenta con un total de 87 riesgos gestionados de los cuales 16

son riesgos de corrupción, 11 riesgos son del Sistema de Gestión y Seguridad de la Información SGSI,

los riesgos del Sistema de Seguridad y Salud en el Trabajo SSST se encuentran en la Matriz de

identificación de peligros, valoración de riesgos y determinación de controles de la entidad y los riesgos

Contractuales, se establecen desde la etapa de la planeación contractual y se analizan desde la realidad

específica de cada contratación, contemplando los plazos y contextos de la ejecución, con el objetivo de

identificar y cubrir el respectivo riesgo.

En la Matriz4 se observa que del total de riesgos de la Entidad 87 el 39% se encuentran en Zona de

Riesgo Moderado al igual que los que se encuentran en Zona de Riesgo Alta 34 que equivalen al 39%

por lo que podemos concluir que la Entidad tiene asegurada la gestión del riesgo y por lo tanto garantiza

el cumplimiento de los objetivos institucionales y de procesos como se muestra en el siguiente cuadro

donde se ven los resultados de la Presidencia de la República al finalizar la vigencia 2018

M ISIÓN Y

VISIÓN

OB JET IVOS

IN ST IT UC ION A LES

R ESULT A D OS

VIGEN C IA 2018P R OC ESOS OB JET IVOS D E LOS P R OC ESOS

R ESULT A D OS

VIGEN C IA 2018

1. Coordinar con las entidades

del gobierno y el sector privado

los temas de infraestructura y

competitividad para el desarro llo

del país.

100%

2. Fortalecer los programas y

proyectos sociales con enfoque

diferencial

97,32%

3. Fortalecer la institucionalidad

en materia de seguridad,

derechos humanos, paz y post-

conflicto a nivel nacional y

regional

100%

4. Promover el desarro llo y

seguimiento de los temas

estratégicos, compromisos del

Gobierno Nacional, la eficiencia

y la transparencia administrativa.

99,85%

Gestión Jurídica

Conceptuar sobre la producción de actos

normativos y adelantar la defensa de la

entidad en los procesos y acciones

judiciales en que haga parte para garantizar la

seguridad jurídica del Presidente de la

República y del Departamento

Administrativo de la Presidencia de la

República

100%

Gestión de seguridad, apoyo

logístico presidencia y

comunicación y prensa.

Garantizar la seguridad integral Presidencial

y el adecuado manejo de la imagen del

Presidente de la República y de la Institución.

100%

Talento Humano

Gestionar y promover el desarro llo del

talento humano a través de planes

orientados a brindar bienestar a los

funcionarios, así como el mejoramiento de

las competencias laborales, propiciando un

adecuado clima laboral.

100%

Gestión Administrativa

Garantizar la prestación de los servicios

administrativos y logísticos requeridos por

la Entidad mediante la administración,

manejo y contro l de los bienes y servicios de

recursos físicos, transporte, infraestructura,

telecomunicaciones y servicios generales.

96,89%

Gestión Documental

Administrar, contro lar y conservar la

información documental de la Entidad, a

través de la planificación, manejo y

organización de la documentación

producida y recibida, desde su origen hasta

su disposición final, con el fin de facilitar su

utilización y conservación.

92,83%

Direccionamiento Estratégico

Definir lineamientos para la formulación,

ejecución y seguimiento de los planes,

programas y proyectos sectoriales e

institucionales y administrar el Sistema

Integrado de Gestión de la Presidencia de la

Republica SIGEPRE para facilitar el

cumplimiento de la misión, visión y objetivos

institucionales con criterios de calidad y

oportunidad.

96,83%

Adquisición de Bienes y

servicios

Adelantar los procesos para la adquisición

de bienes, servicios y obras requeridos para

el desarro llo de la gestión de la Presidencia

de la República

100%

Evaluación, contro l y

mejoramiento

Tomar decisiones que permitan la

implementación de acciones oportunas para

el mejoramiento continuo del SIGEPRE

98,64%

Atención al usuario

Gestionar de forma adecuada y oportuna las

diferentes solicitudes recibidas de los

clientes y partes interesadas de la Entidad,

en el marco de la normatividad vigente, con

el fin de satisfacer sus necesidades

99,98%

Tecnología de Información y

Comunicaciones

Realizar seguimiento de la plataforma y

servicios de Tecnología y Sistemas de

Información - TIC's, buscando la seguridad

de la información, confidencialidad,

integridad y disponibilidad para facilitar la

gestión de todos los procesos.

100%

Gestión Financiera

Programar, contro lar y registrar las

operaciones financieras de acuerdo con los

recursos disponibles de la Entidad

100%

Misi

ón:C

orre

spon

deal

Depa

rtam

ento

Adm

inist

rativ

ode

laPr

eside

ncia

dela

Repú

blica

,asis

tir

alPr

eside

nte

dela

Repú

blica

ensu

calid

adde

Jefe

deGo

biern

o,Je

fede

Esta

doy

Supr

ema

Auto

ridad

Adm

inist

rativ

a,en

eleje

rcici

ode

susa

tribu

cione

sco

nstit

ucion

ales

yleg

alesy

pres

tar

el ap

oyo

adm

inist

rativ

o ne

cesa

rio p

ara

dicho

fin.

Visi

ón:

LaPr

eside

ncia

dela

Repú

blica

sepr

oyec

taco

mo

una

entid

adm

odelo

enla

gest

iónpú

blica

yref

eren

teint

erna

ciona

l;or

ienta

daal

aco

ordin

ación

efec

tiva

delp

lande

gobie

rno,

con

recu

rsos

aline

ados

para

ellog

rode

sus

prior

idade

s,co

nalt

oses

tánd

ares

deca

lidad

yopo

rtunid

aden

lapr

esta

ción

del

serv

icio.

99,48%

5. Proporcionar la seguridad

integral, el apoyo logístico, el

cubrimiento y el suministro

informativo al Presidente de la

República

6. Fortalecer la institucionalidad

a través de mejores prácticas en

la gestión de Procesos

Administrativos

Gestión de Asuntos Políticos

Definir lineamientos para lograr que las

prioridades del Gobierno se pongan en

marcha y se ejecuten en el marco del Plan

Nacional de Desarro llo .

100%

99,80%






P á g i n a 10 | 27



Sin embargo en la evaluación realizada se evidenció que el riesgo “Inadecuado seguimiento a los

compromisos institucionales establecidos en las sesiones del Consejo Nacional de Discapacidad CND”

se encuentra en la etapa de Valoración con fecha 21 de junio 2018 y el Riesgo “Inadecuada prestación

del servicio de divulgación de información para el conocimiento del fenómeno de la corrupción” se

encuentra valorado sin terminar la etapa de Manejo y Monitoreo, se Recomienda2 definir un plazo para

gestionar los riesgos en el Aplicativo SIGEPRE- módulo de gestión del riesgo.

También se evidenció que tres riesgos se materializaron a pesar de todas las actividades de control

establecidas para atacar las causas del riesgo, también se observó que se tomaron acciones de

contingencia inmediata y a corto plazo para restablecer, cuanto antes, la normalidad de las actividades

para el logro de los objetivos y las metas establecidas por el proceso.

Riesgo1. “Vencimiento de los términos legales en la atención (Respuesta, Información del Trámite y

Notificación por Aviso) de peticiones, sugerencias, quejas, reclamos o denuncias”

Se activó el Plan de Contingencia dirigido a disminuir o evitar los efectos adversos derivados de la

materialización del riesgo denominado Vencimiento de los términos legales en la atención (respuesta,

información del trámite y notificación por aviso) de peticiones, sugerencias quejas o reclamos, del

proceso de Atención al Usuario.

Riesgo2. “Pérdida de expedientes de los procesos contractuales”, en el transcurso del cuarto trimestre

de 2018, se materializó, teniendo en cuenta que en la realización de la verificación física del Inventario

Documental, se observó que faltaba la carpeta correspondiente al Contrato 531-11 de Gloria Ortiz.

Se procedió a activar el Plan de Contingencia riesgo pérdida de expedientes de los procesos

contractuales.

Riesgo3. “Incumplimiento de los resultados previstos en la planeación institucional, el riesgo se

materializó en el Fondo de Programas Especiales para la Paz debido a que no cumplió la meta de 3

indicadores: Kilómetros de Red Vial y Construidos, Obras Especiales Complementarias para la

Infraestructura Vial Construidas y Proyectos de Infraestructura Vial y Social Atendidos. Se solicitará a

Fondo Paz la formulación de un plan de mejoramiento, donde se tomen medidas oportunas y eficaces

para evitar en lo posible la repetición del evento y lograr el cumplimiento a los objetivos.

En el seguimiento y verificación realizado a la Administración de Riesgos en el DAPRE, se evidenció que

la matriz de calificación que se encuentra en el documento de L-DE Lineamientos para la Administración

de Riesgos se encuentra invertida con relación a la matriz de calificación del módulo de gestión del riesgo

en el SIGEPRE, se Recomienda3 unificar la matriz de calificación.

P á g i n a 11 | 27



6.1.5 Riesgos de Corrupción

Proceso Riesgo de Corrupción

Tecnologías de Información y Comunicación

1. Afectación de la imagen de la Entidad por no destruir de forma segura la información que ya no se utiliza o ha perdido su utilidad

2. Afectación de la información del DAPRE por ataques cibernéticos

3. Atrasos en la disponibilidad de la información que no ha sido almacenada en las carpetas

4. Desaparición, alteración y/o divulgación no autorizada de información por el uso de contraseñas fáciles de adivinar

5. Falta de acceso a la información por ausencia de un plan de continuidad que permita mantener la confidencialidad, integridad y disponibilidad de los activos de información

6. Hurto, Perdida o fuga de Información pública reservada o clasificada en la gestión de la plataforma

Adquisición de Bienes y Servicios

1. Beneficiar a un oferente en las invitaciones a ofertar, elaboración de estudios previos, proyecto de pliegos de condiciones o sus equivalentes, en un proceso de selección.

Gestión Financiera

1. Efectuar certificados de disponibilidad y registros presupuestales por un rubro presupuestal que no corresponda en la ejecución de la cadena presupuestal

2. Efectuar un pago a una persona natural o jurídica que no corresponda por vacíos de información en la ejecución de la cadena presupuestal y otros pagos

3. Fraude en el manejo de los recursos asignados a las cajas menores

4. Inexactitud en la presentación de los Estados Financieros

Talento Humano 1. Fraude en el pago de la nómina y factores salariales en beneficio propio y de un tercero

2. Pérdida de expedientes disciplinarios físicos o digitales a cargo de la Oficina de Control Interno Disciplinario.

3. Tráfico de influencias durante la selección de personal

Evaluación, Control y

Mejoramiento

1. Fraude en los resultados obtenidos del ejercicio de auditorías internas en beneficio propio y de un tercero


1. Fuga de la información administrada por la Consejería Presidencia de Seguridad

Gestión Documental

1. Hurto o fuga de la documentación (información) ubicada en los archivos de gestión


P á g i n a 12 | 27



Los riesgos de corrupción en la entidad están gestionados de acuerdo con las Estrategias para la

construcción del Plan Anticorrupción y de Atención al Ciudadano de la Secretaría de Transparencia y los

Lineamientos para la Administración del Riesgo.

La Matriz5 nos muestra que el 56.25% se encuentra en la Zona de Riesgo Alta 9 Riesgos se encuentran

en esta zona lo que nos garantiza que se tienen definidos controles claros y efectivos que le apuntan a

eliminar las causas del riesgo y así mitigar su efecto en caso de materialización, se encuentran

monitoreados y como soporte del monitoreo se encuentran las acciones y la periodicidad en que se

realiza el monitoreo en el Aplicativo SIGEPRE.

6.1.5 Riesgos del Sistema de Gestión de la Seguridad de la Información

Proceso Riesgo SGSI

Tecnologías de Información y Comunicación

1. Afectación de la imagen de la Entidad por no destruir de forma segura la información que ya no se utiliza o ha perdido su utilidad

2. Afectación de la información del DAPRE por ataques cibernéticos

3. Atrasos en la disponibilidad de la información que no ha sido almacenada en las carpetas

4. Desaparición, alteración y/o divulgación no autorizada de información por el uso de contraseñas fáciles de adivinar

5. Falta de acceso a la información por ausencia de un plan de continuidad que permita mantener la confidencialidad, integridad y disponibilidad de los activos de información

6. Hurto, Perdida o fuga de Información pública reservada o clasificada en la gestión de la plataforma

7. Violación de la integridad de la información



Inadecuada información en el sistema de gestión de información debido a que la información no es oportuna ni veraz-

Gestión Documental


2. Inadecuada información en el sistema de gestión de información debido a que la información no es oportuna ni veraz



Zona de Riesgo Extrema 1 6.25%

Zona de Riesgo Alta 9 56.25%

Zona de riesgo Moderado 6 37.5%

Zona de Riesgo Baja

P á g i n a 13 | 27



Los riesgos del Sistema de Gestión y Seguridad de la Información se Administran en el DAPRE de

acuerdo con la NTC-27000 y los Lineamientos para la Administración de Riesgos se evidencian 11 riesgos

gestionados, que de acuerdo al análisis realizado en la Matriz6 el 36% se encuentra en Zona de Riesgo

Moderada al igual que 4 de estos riesgos que equivalen también a un 36% se encuentran en Zona de

Riesgo Alta y el restante 28% 3 riesgos se ubican en Zona de Riesgo Baja lo que nos indica que está

cumpliendo con la política y objetivos del SGSI y están asegurando la Confidencialidad, Integridad y

Disponibilidad de la Información del DAPRE.

6.1.7 Riesgos del Sistema de Seguridad y salud en el trabajo

Los Riesgos del SSST se encuentran en la Matriz de identificación de peligros, valoración de riesgos y

determinación de controles de la entidad la cual se encuentra en la INTRANET, de acuerdo a la evaluación

en el marco de ésta Auditoria se determina que:

Nombre del Proceso

Riesgo Resultado de la evaluación

Talento Humano MATRIZ DE RIESGOS

SG-SST

En la inspección realizada se determinó el siguiente aspecto no

conforme relacionado con la identificación de peligros, valoración

de riesgos y determinación de controles:

Existen debilidades en la revisión y mantenimiento de los

Gabinetes Contraincendios, como se observó en la prueba de

recorrido realizada el día 05-febrero-2019 en la Casa de Nariño,

donde se encontraron gabinetes abiertos sin seguridad, gabinetes

cerrados con el martillo por dentro, gabinetes sin martillo,

mangueras rotas y sin estar conectadas, afectando la seguridad

en el trabajo. como se observa en las siguientes imágenes:

ABIERTOS SIN MARTILLO


Zona de Riesgo Extrema




P á g i n a 14 | 27



CERRADO CON EL MARTILLO POR DENTRO

SIN CONECTAR Y MANGUERA ROTA

SIN CONECTAR MANGUERA

Incumpliendo con el Decreto número 1072 de 2015, Artículo

2.2.4.6.8. Obligaciones de los empleadores, 6. Gestión de los

Peligros y Riesgos: Debe adoptar disposiciones efectivas para

desarrollar las medidas de identificación de peligros, evaluación y

valoración de los riesgos y establecimiento de controles que

prevengan daños en la salud de los trabajadores y/o contratistas,

en los equipos e instalaciones. No Conformidad1

P á g i n a 15 | 27



En la revisión realizada de las mejoras que se encuentran en

el paso de evaluar la Eficacia se registra la NCR-0674.

Se realiza la actualización de la Matriz de Requisitos Legales por

parte de la ARL, sin embargo en la página de intranet no se

encuentra publicado el último documento actualizado.

La Matriz de Requisitos Legales publicada en la Intranet no se

encuentra actualizada, como se evidenció al observar que la

Matriz de requisitos legales adjunta en el plan de mejoramiento

contiene normas como: Circular 0026 el 24 abril 2018 del

Ministerio de Trabajo, Decreto 683 18/04/2018 del Min. Trabajo;

Res. 1796 27/04/2018 Min. Trabajo; Decreto 1273 23/07/2018

Min. Salud; mismas que no se encuentran en la Matriz Legal

publicada en la Intranet. Incumpliendo el Procedimiento P-EM-06

Formulación, Seguimiento y Evaluación de Planes de

Mejoramiento. NO EFICAZ

No Conformidad2

Fuente: Intranet DAPRE La aceptabilidad de los Riesgos es la siguiente:

Aceptabilidad del Riesgo por Sedes

Sede Aceptable Mejorable Aceptable con

control especifico

No aceptable

Casa Republicana 4 15 73

Vicepresidencia 1 10 45

Casa de Nariño 24 109 1

Edificio BBVA 3 11

Bancolombia piso 8 1 3 16

Bancolombia piso 10 3 16

Edif prop horizontal 2 42 179

Edificio Galán 4 18 47 1

Sede Administrativa 35 56

Casa Equidad para la mujer

2 26 3

Hato Grande 5 25 4

Sub total 12 160 603 9

Total 784

% Participación 2% 20% 77% 1% Fuente: Matriz de de identificación de peligros Peligro -TH

Los riesgos valorados como NO ACEPTABLES de la matriz de identificación de peligros en el centro de

trabajo, son las siguientes:

P á g i n a 16 | 27



Valoración de Riesgos: Proceso sistemático en el cual se evalúan las posibilidades de ocurrencia de un

incidente durante la ejecución de una actividad, en el cual se toma en cuenta la adecuación de cualquier

control existente y decidiendo si el riesgo(s) es o no aceptable.

LUGAR DEPENDENCIA ACTIVIDAD TAREA

TIPO ACTIVIDAD

RUTINARIA / NO

RUTINARIA

DESCRIPCION DE LA ACTIVIDAD, EQUIPO O

INSTALACION

PELIGROS

CLASIFICACION

DETALLE

PALACIO DE NARIÑO

Mantenimiento de altillos

Mantenimiento general de las instalaciones

Trabajo en espacios

confinados, sitio de trabajo angosto

No Rutinaria Trabajo en espacios confinados, sitio de

trabajo angosto

Condiciones de

Seguridad

Espacios Confinados

SÓTANO EDIFICIO GALÁN

Coordinación seguridad altos

funcionarios

Dotación de equipo

(armamento) para Protección alto funcionario

Equipo designado (armamento) para protección de alto

funcionario

Rutinaria

Uso arma de ser requerido para

protección de alto funcionario

Condiciones de

Seguridad

Exposición a situaciones de orden público, intimidación o amenazas.

PRIMER PISO

primera infancia

Participar en reuniones con

equipos interinstitucionale

s, fuera de la Ciudad

Movilización en transporte no convencional

No Rutinaria

Movilización en transporte no

convencional como lanchas, moto, caballos,

chalupa, entre otros

Condiciones de

Seguridad

Accidente

CUARTO ELÉCTRICO

Cuarto eléctrico

Permanencia en el lugar de trabajo

y/o durante la realización de sus

actividades

La oficinas se encuentran

ubicadas cerca de una planta eléctrica de emergencia

Rutinaria

Se evidencian recipientes dentro de la planta eléctrica. De igual

forma se evidencia material combustible

Eléctrico Explosión

CUARTO ELÉCTRICO

Cuarto eléctrico

Permanencia en

el lugar de trabajo y/o durante la

realización de sus actividades

La oficinas se encuentran

ubicadas cerca de una planta eléctrica de emergencia

Rutinaria

Se evidencia cableado

desorganizado, sin canalización, así como tableros eléctricos sin

señalización

Eléctrico Explosión

HATO GRANDE

Mantenimiento Arreglo de

jardines de las instalaciones

Poda de césped Rutinaria

Poda de césped con guadaña. La guadaña

inspeccionada no cuenta con guarda para la

cuchilla

Condiciones de

Seguridad

Mecánico

HATO GRANDE



Retirar ramas de los árboles que

se encuentran en mal estado

(Trabajos en alturas)

No Rutinaria

Subir a los árboles y anclarse al mismo para

realizar el mantenimiento de los

árboles. Se debe verificar ya que algunos

de los elementos actuales para trabajar en alturas se encuentran en

mal estado.

Condiciones de

Seguridad

Trabajo en alturas

HATO GRANDE



Retirar ramas de los árboles que

se encuentran en mal estado (Uso de motosierra)

No Rutinaria

Uso de la motosierra para el corte de las

ramas. La motosierra pesa aproximadamente

25Kilogramos. Este trabajo lo realizan

estando sobre el árbol.

Condiciones de

Seguridad

Mecánico

HATO GRANDE

Garitas Permanencia en las instalaciones

Permanencia en las instalaciones

(Actividad realizada por

personal de casa militar)

Rutinaria

Se evidencia 2 garitas con sanitarios en

precarias condiciones higiénicas. Se realiza la guardia durante el turno bajo estas condiciones

Biológico Fluidos o

excrementos

Fuente: Matriz de de identificación de peligros Peligro -TH

P á g i n a 17 | 27



Fuente: Matriz de de identificación de peligros Peligro -TH

Los riesgos valorados como NO ACEPTABLES CON CONTROL ESPECIFICO, de acuerdo con su

clasificación, son los siguientes y como se puede observar el 40% corresponde a Condiciones de

Seguridad y el 29% a Biomecánico, así

6.1.8 Riesgos Contractuales

El artículo 4 de la Ley 1150 de 2007 establece que la Entidad Estatal debe “incluir la estimación,

tipificación y asignación de los riesgos previsibles involucrados en la contratación” en los pliegos de

condiciones o su equivalente.

En el mismo sentido el decreto 1082 de 2015 define el Riesgo como un evento que puede generar efectos

adversos y de distinta magnitud en el logro de los objetivos del Proceso de Contratación o en la ejecución

de un contrato.

Por lo anterior la Entidad estableció en su manual de contracción los riesgos y controles que se deben

implementar durante la ejecución del contrato, los cuales se establecen desde la etapa de la planeación

contractual y se analizan desde la realidad específica de cada contratación, contemplando los plazos y

contextos de la ejecución, con el objetivo de identificar y cubrir el respectivo riesgo de conformidad con

lo dispuesto en el Manual para la Identificación y Cobertura del Riesgo en los Procesos de Contratación

de Colombia Compra Eficiente.

En la evaluación realizada se evidencia que se está realizando revisión al cumplimiento de los requisitos

contractuales en el proceso de selección del contratista o proveedor y se observó que se está cumpliendo

con lo establecido en el Manual de Contratación de la entidad y con lo establecido por Colombia Compra

Eficiente.

SED

E

Bio

lógi

co

Bio

me

cán

ico

Co

nd

icio

ne

s d

e

Segu

rid

ad

Elé

ctri

co

Fen

óm

en

o

Nat

ura

les

Físi

co

Loca

tivo

Psi

coso

cia

l

Pu

blic

o

Qu

ímic

o

Salu

d

Pu

blic

a

Tecn

oló

gi

co

Otr

os

TOTA

L

CASA REPUBLICANA 9 17 32 1 2 8 4 73

VICEPRESIDENCIA 4 15 19 1 6 45

CASA DE NARIÑO 7 26 45 1 15 9 5 1 109

EDIFICIO BBVA 2 6 1 1 1 11

BANCOLOMBIA PISO 8 2 2 7 1 2 1 1 16

BANCOLOMBIA PISO 10 1 3 7 1 3 1 16

EDIF PROP HORIZONTAL 6 45 76 2 15 19 1 13 1 1 179

EDIFICIO GALAN 2 14 16 10 1 1 3 47

SEDE ADMINISTRATIVA 2 39 7 1 4 3 56

CASA EQUIDAD PARA LA MUJER 2 6 11 2 1 2 2 26

HATO GRANDE 4 16 1 2 2 25

SUB TOTAL 35 173 242 2 11 62 1 45 2 27 1 1 1 603

P á g i n a 18 | 27



6.1.9. Riesgos por Clase


Del reporte anterior observamos que el porcentaje más alto es el de Riesgos Operativos con un

39.29%, donde estaríamos asegurando los procesos misionales de la entidad, seguido de los Riesgos

de Cumplimiento que son 19 riesgos y equivalen al 22.62% donde la entidad está garantizando el

cumplimiento de la situación contractual y la normatividad vigente y en tercer lugar se encuentran los

Riesgos Estratégicos con 11 riesgos gestionados que equivalen al 13.10% y así se garantiza el

aseguramiento continuo del DAPRE en el cumplimiento de su Misión y Visión.

De acuerdo a los Lineamientos para la Administración de Riesgos el Manejo de los Riesgos se manejan

aspecto como:

Evitar el Riesgo

Reducir el Riesgo

Compartir o transferir el riesgo

Asumir el Riesgo

En éste último aspecto se encuentran 8 riesgos de la entidad donde asumen las responsabilidades y

posibles consecuencias que pueda traer su materialización, en el análisis realizado se puede concluir

que en caso de materializarse los efectos no se podrían asumir, por lo anterior se Recomienda4 volver

a valorarlos:

Los Riesgos y sus efectos que la opción de manejo es Asumir es Riesgo se presentan a continuación:

P á g i n a 19 | 27



Proceso Riesgo Efectos

Atención al Usuario

Incumplimiento de los Acuerdos de Nivel de Servicio durante la prestación de los servicios compartidos del DAPRE

Gestión de

Asuntos

Políticos

Baja cobertura en intervenciones AICMA en territorio


Brindar información errada al sector privado para promover su apoyo e inversión en el posconflicto


Inadecuada articulación interinstitucional para el desarrollo de AICMA


Inadecuada información en el sistema de gestión de información debido a que la información no es oportuna ni veraz-SGSI


Inadecuada prestación del servicio de asistencia técnica


Inadecuada prestación del servicio de divulgación de información para el conocimiento del fenómeno de la corrupción.


Incumplimiento a los compromisos generados en los Comités Ejecutivos del SNCCTI a cargo de la Alta Consejería Presidencial para el Sector Privado y Competitividad

6.2. Aplicación de la metodología de Gestión del Riesgo

Se procedió a revisar los riesgos que se encuentran activos en el SIGEPRE, en todas las fases

de la gestión del riesgo, identificación, análisis, calificación, valoración y monitoreo.

P á g i n a 20 | 27



A continuación se relacionan los aspectos obtenidos de la revisión para cada riesgo, así:

Cuadro 2. Resultados evaluación riesgos por Dependencias

Nombre del Proceso Riesgo Resultado de la evaluación

Dirección del Sistema

Nacional de Juventud

"Colombia Joven”

Inadecuado funcionamiento

de los componentes y

módulos del Sistema Nacional

de Información y Gestión del

Conocimiento en

adolescencia y juventud.

Reporte de seguimiento sobre el uso del sistema por parte del

público, en este reporte de seguimiento a través de la página web de

JUACO (obs.colombiajoven.gov.co) se observa que la tendencia de

los últimos 4 reporte están en disminución, en el análisis se

Recomienda5 verificar las causas del comportamiento del control.

En el control Guía de operación del sistema y ruta de uso, está

publicado desde diciembre de 2015, el video tutorial de uso de

JUACO Social, si bien cuenta con 831 visita a la fecha de la

verificación, cuenta con un promedio diario bajo, al cual no se le

observa seguimiento. Se Recomienda6 analizar el funcionamiento,

para evaluar si la herramienta cumple o se debe definir alternativas

de mayor impacto.

Consejería Presidencial

para la Equidad de la

Mujer

Incumplimiento de los

requisitos técnicos, legales y

del cliente en la prestación del

servicio de asistencia técnica

para la incorporación y

fortalecimiento del enfoque de

género en la formulación,

gestión y seguimiento de las

políticas, planes y programas

de las entidades públicas del

nivel nacional y territorial

En el Control: Instancias de articulación como la Comisión

intersectorial del Conpes 161 y la Comisión de seguimiento de la Ley

1257 de 2008, Se Recomienda7 ajustar el control por la terminación

del Conpes

Y en el control Ciclos de capacitación interna, No se evidencian la

realización de ciclos de capacitación interna en los monitoreos

realizados en el 2017, se Recomienda8, documentar las actividades

que se consideran disminuyen el impacto que puede producir el

riesgo en el caso de presentarse.

Área de Tecnología y

Sistemas de Información.

Hurto, Perdida o fuga de

Información pública reservada

o clasificada en la gestión de

la plataforma

Los documentos adjuntos en el monitoreo correspondiente al primer

trimestre de 2018 no reflejan la aplicación de todos los controles

establecidos. Se Recomienda9 incluir en los monitoreos de los

riesgos todos los soportes necesarios para mostrar claramente la

aplicación de todos los controles establecidos.

En el control “Ejecución de los procedimientos de backup, de

configuración de SAN y Servidor de Archivos” se utilizó una versión

desactualizada del formato F-TI-26, como se evidenció en el

monitoreo correspondiente al cuarto trimestre de 2018, incumpliendo

el numeral 7.5.3.2 de la norma ISO 9001:2015 (Control de

Información Documentada).

No Conformidad1


Sistemas de Información

No disponibilidad de los

servicios de TICs por cambios

en la plataforma

Los documentos adjuntos en el monitoreo correspondiente al primer

trimestre de 2018 no evidencian la aplicación de todos los controles

definidos. Se Recomienda10 incluir en los monitoreos de los riesgos

todos los soportes necesarios para mostrar claramente la aplicación

de todos los controles establecidos.

P á g i n a 21 | 27




Sistemas de Información No activación de los servicios

definidos en el catálogo de

Servicios de Tecnología

La evidencia aportada con respecto al control “Capacitación” no

corresponde a capacitaciones realizadas a los funcionarios y

contratistas con motivo de su vinculación a la Entidad o al cambio de

rol, como se especifica en la descripción del mismo. Se

Recomienda11 incluir en los monitoreos de los riesgos todos los

soportes necesarios para mostrar claramente la aplicación de todos

los controles establecidos.


Sistemas de Información Afectación de la información

del DAPRE por ataques

cibernéticos SGSI

Se utilizó una versión desactualizada del formato F-TI-14 para el

registro de ingreso al centro de cómputo, como se evidenció en el

monitoreo correspondiente al cuarto trimestre de 2018, incumpliendo

el numeral 7.5.3.2 de la norma ISO 9001:2015 (Control de

Información Documentada).

No Conformidad 1

Oficina de Planeación

No tratamiento o reporte de

servicios no conformes

asociados a la prestación de

servicios misionales

Se establecieron 6 controles.

1. Procedimiento P-AU-01 Caracterización y Seguimiento de PSM

2. Socialización de lineamientos internos

3. Informe de servicios no conformes

4. Seguimiento trimestral a las disposiciones establecidas en el Manual de Servicios Misionales (M-AU-01)

5. Capacitaciones frente a productos y/o servicios no conformes

6. Aplicativo SIGEPRE para el reporte del servicio no conforme

Si bien se están realizando los controles, se Recomienda12 adjuntar

dicha evidencia como entregable en los monitoreos trimestrales

(Informe de servicios no conformes, Capacitaciones frente a

productos y/o servicios no conformes con el fin de identificar

oportunamente la ejecución y registro de los mismos de acuerdo al

trimestre que corresponda.


resultados previstos en la

planeación institucional

OFICINA DE PLANEACIÓN

Se evidenció la aplicación de controles eficaces porque permitieron

mitigar la materialización del riesgo. Los controles están

documentados tanto en los monitoreos como en las estrategias del

Plan de Acción 2018.

PROCESO DE DIRECCIONAMIENTO ESTRATÉGICO

Estado del Riesgo a 31 de diciembre, MATERIALIZADO. El riesgo se

materializó en el Fondo de Programas Especiales para la Paz debido

a que no cumplió la meta de 3 indicadores: Kilómetros de Red Vial y

Construidos, Obras Especiales Complementarias para la

Infraestructura Vial Construidas y Proyectos de Infraestructura Vial y

Social Atendidos. Se Recomienda13 efectuar la solicitud

correspondiente en el aplicativo módulo Mejoras, del plan de

mejoramiento.

No se registraron los análisis de los resultados en la implementación

de las medidas de control de los riesgos en el nivel “No aceptable”,

como se observó en la prueba de recorrido del 06 de febrero al

encontrar que en la Oficina del Alto Comisionado para la Paz se

adoptaron las acciones de control como el cambio del tapete y del

Drywall ante el peligro “Condiciones de seguridad”, pero al comparar

la información de la matriz identificación de peligros, valoración de

riesgos y determinación de controles se constató que no se efectuó

P á g i n a 22 | 27



Talento Humano

MATRIZ DE RIESGOS SG-

SST

registro de cuándo se realizaron estas medidas, si fueron aplicadas

en su totalidad o si están en proceso, sin trazabilidad y no se

actualizó el nivel de aceptación del riesgo. Incumpliendo el Artículo

2.2.4.6.12 numeral 16. Evidencias de las gestiones adelantadas para

el control de los riesgos prioritarios del Decreto 1072 de 2015.

No Conformidad 2.

La Matriz de Requisitos Legales del SG-SST y MA no se encuentra

actualizada, como se determinó en:

a. No se encuentra incluida la Resolución 1111 del 27 de marzo

de 2017 por la cual se definen los estándares mínimos del

Sistema de Gestión de Seguridad y Salud en el Trabajo para

empleadores y contratantes.

b. La fecha última de actualización fue agosto 08 de 2016.

Incumpliendo el Artículo 2.2.4.6.2 del Decreto 1072 de 2015 que

establece: “la Matriz Legal… deberá actualizarse en la medida que

sean emitidas nuevas disposiciones aplicables…”.

No Conformidad 3.

Se Recomienda14 publicar las Matrices de identificación de

peligros, valoración de riesgos y determinación de controles y de

Identificación de Aspectos e Impactos Ambientales, en los espacios

dispuestos en la Intranet a fin de publicar la información y facilitar la

consulta de todos los funcionarios.

Se Recomienda15 garantizar la trazabilidad y documentar las

gestiones de la Matriz identificación de peligros, valoración de

riesgos y determinación de controles, aplicando nuevas versiones al

documento y justificando los cambios en los niveles del riesgo en

términos de los controles aplicados y cumplidos, permitirá evidenciar

la gestión eficaz de los peligros y riesgos en el lugar de trabajo.

Una vez efectuada la prueba de recorrido el día 06 de febrero de

2018, en la Oficina del Alto Comisionado para la Paz, el taller de

mantenimiento, vertimientos, cuarto de bombas, subestación

eléctrica, plantas eléctricas, el cuarto de agua potable y el cuarto de

bombas en Vicepresidencia, se observaron los siguientes aspectos:

a. Taller de Mantenimiento: se observó a un funcionario ejecutando

el corte de madera sin el uso del tapaboca N 95.

b. Vertimientos: se observó el lavado de un carro en el lugar donde

no se cumplen con las especificaciones técnicas.

c. Cuarto de Bombas: se observaron tornillos y bases de tubos

anclados en el techo que podrían causar heridas.

d. Cuarto de Agua Potable: se observaron bombas no certificadas

como redes contra incendios.

De lo anterior, Se Recomienda16 realizar los ajustes y

actualizaciones requeridas a fin de gestionar y controlar las

situaciones de peligro observadas en la prueba de recorrido.

Por último, se Recomienda17 identificar, analizar, valorar y

monitorear las situaciones de peligro y riesgos asociados a

P á g i n a 23 | 27



incendios, de manera institucional. Lo que permitirá adoptar

acciones de control eficaces para mitigar su materialización.

Talento Humano

Incumplimientos legales en la

liquidación de las novedades

laborales y prestacionales

Se observó que actualmente aplican 6 controles relacionados con la

revisión de la nómina, sin embargo se Recomienda18 revisar y

fortalecer los controles teniendo en cuenta que en el segundo

trimestre se materializo el riesgo

Gestión de Asuntos

Políticos

Inadecuada aprobación por

parte del Despacho del Alto

Consejero Presidencial de

Comunicaciones de las

campañas de comunicación

de las entidades de la rama

ejecutiva del orden nacional.

Se evidencio la aplicación de controles eficaces porque permitieron

mitigar la materialización del riesgo. Los controles están

documentados tanto en los monitoreos como en la estrategia No. 3

del Plan de Acción 2018 y el indicador de Oportunidad en la atención

de Solicitudes. Se Recomienda19 Actualizar el Riesgo con el nuevo

nombre de la dependencia conforme al Decreto 179-19 artículo 5

numeral 3.9 Consejería Presidencial para las Comunicaciones.

Evaluación Control y

Mejoramiento

Fraude en los resultados

obtenidos del ejercicio de

auditorías internas en

beneficio propio y de un

tercero

Se Recomienda20 analizar la clase de Riesgo si es un riesgo

Estratégico o de cumplimiento.

Atención a la Ciudadanía

Vencimiento de los términos

legales en la atención

(Respuesta, Información del

Trámite y Notificación por

Aviso) de peticiones,

sugerencias, quejas,

reclamos o denuncias.

Se Recomienda21 el cambio de la descripción del control para el

riesgo denominado “Interrupción de términos para la respuesta de

las PSQRD” lo anterior de conformidad con la inexequibilidad

(sentencia C- 818 de 2011) del artículo 14 del Código de

Procedimiento Administrativo y de lo Contencioso Administrativo.


Acuerdos de Nivel de Servicio

durante la prestación de los

servicios compartidos del

DAPRE

La fortaleza del control calificada en 78%, obedece a que la

aplicación de Controles se realiza en forma manual y a que el tiempo

que lleva el control ha demostrado no ser efectivo.

Por lo anterior se Recomienda22 revisar el nivel del control que

cubre todos los efectos del riesgo definidos en la etapa de

identificación.

Se Recomienda23 asociar en el Módulo Gestión del Riesgo, en el

control Aplicativo de Servicios Compartidos para el registro y control

de servicios internos, la causa o causas que se estarían tratando con

este control.

Gestión de Asuntos

Estratégicos - Consejería

Presidencial de

Seguridad

Fuga de la información

administrada por la

Consejería Presidencial de

Seguridad - SGSI.

Se Recomienda24 adoptar las oportunidades de mejora que

permitan fortalecer los controles establecidos para evitar la

ocurrencia del riesgo e incrementar la cobertura al 100% en el

aspecto de probabilidad.

Se Recomienda25 adoptar los lineamientos de la Oficina de

Planeación en cuanto a fortalecer el análisis del monitoreo, en

términos de eficacia y eficiencia de los controles aplicados.

Se Recomienda26 que se identifiquen nuevos riesgos teniendo en

cuenta las funciones de la Dependencia, estableciendo que los

controles se puedan documentar, con el fin de dejarlos como soporte

del monitoreo.

P á g i n a 24 | 27



Fondo de Programas

Especiales para la Paz.

Recursos limitados para

financiar Actividades de Paz.

Se Recomienda27 realizar la identificación de nuevos riesgos que

puedan afectar el cumplimiento del objetivo, como es el caso de los

procesos contractuales, administrativos y financieros. Lo que

permitirá adoptar nuevas acciones de control que garanticen el logro

de las metas del FONDO.

En el mismo sentido se Recomienda28 identificar el riesgo toda vez

que como se encuentra descrito se observa que le mismo es una

causa y no un riesgo.

Adquisición de Bienes y

Servicios

Beneficiar a un oferente en las

invitaciones a ofertar,

elaboración de estudios

previos, proyecto de pliegos

de condiciones o sus

equivalentes, en un proceso

de selección.

Se Recomienda29 actualizar la matriz de calificación del riesgo,

toda vez que el publicado en el SIGEPRE no cuenta con las zonas

de riesgo menor e insignificante.

Pérdida de expedientes de los

procesos contractuales.

1. Diligenciamiento del formato F-BS-39 Planilla de préstamo de

carpetas.

2. Aplicación del Manual de Gestión Documental.

3. Aplicación del manual de contratación.

Se evidenció la aplicación de controles sin embargo Se

Recomienda30 efectuar control y seguimiento al plan de

contingencia con el fin de garantizar su cumplimiento. Los controles

están documentados tanto en los monitoreos como en las

estrategias del Plan de Acción 2018.

Oficina de Control Interno

Disciplinario

Pérdida de expedientes

disciplinarios físicos o

digitales a cargo de la Oficina

de Control Interno

Disciplinario.

Se Recomienda31 volver a valorar el riego, lo anterior teniendo en

cuenta que el riesgo antes de controles se encuentra ubicado en

zona de riesgo extrema (16) y una vez aplicado los respectivos

controles permanece en la misma zona.

Secretaria de

Transparencia

Falta de oportunidad en la

publicación de información

que produzca el observatorio

de transparencia y

anticorrupción

Se tienen definidos cuatro controles en donde la fortaleza de los

controles el del 77.67% por lo anterior se Recomienda32 revisar y

analizar la implementación de actividades que se requieran para

minimizar su materialización, ya sea mediante la implementación de

manuales, instructivos o procedimientos.

Secretaria de

Transparencia

Inadecuada prestación del

servicio de asistencia técnica

Se tienen definidos cuatro controles, se Recomienda33 revisarlos

teniendo en cuenta que las actividades desarrolladas no

corresponden claramente a subsanar las causas del riesgo.

Está definido el indicador “Inconformidades presentadas por

prestación de servicios de asistencia técnica”, sin embargo se

Recomienda34 revisar su medición teniendo en cuenta que el

resultado es en porcentual y la meta es en número, lo anterior para

permitir un mejor análisis.

Secretaria de

Transparencia

Inadecuada prestación del

servicio de divulgación de

información para el

conocimiento del fenómeno

de la corrupción.

Este riesgo fue creado el 14-Diciembre-2018, está en etapa de

valoración y a la fecha no ha sido monitoreado. Se Recomienda35

terminar su gestión de acuerdo con los Lineamientos para la

Administración de Riesgos.

P á g i n a 25 | 27



Casa Militar

Afectación de la integridad

física del Sr. Presidente y

Vicepresidente de la

República en cumplimiento de

su agenda pública o privada.

Se Recomienda36, Actualizar la fecha del plan de contingencia

Casa Militar Afectación de la integridad física del Sr. Presidente y

Vicepresidente de la República en cumplimiento de su agenda

pública o privada.

Secretaria de Prensa

Divulgación de información de

carácter noticioso no

autorizada

El control Publicación de notas correctivas, se Recomienda37

verificar y analizar por qué afecta la escala del impacto y la clase es

correctivo y así disminuye el Impacto y si se materializa el riesgo el

Impacto será mayor o Catastrófico.

Secretaria Privada

Incumplimiento de

compromisos durante la

prestación del servicio de

coordinación de la agenda y

su ejecución.

Se Recomienda38 Analizar por qué los controles Registro de la

Agenda y el de Revisar la información entregada al Sr. Presidente

relacionada con las fichas nemotécnicas, discursos, mapas,

abrebocas de protocolo, informes técnicos están disminuyendo el

Impacto si son controles preventivos que deberían disminuir es la

Probabilidad. Si el e efecto es Pérdida de imagen del Señor

Presidente de la República. Pérdida de imagen institucional del

Gobierno Acciones legales contra la entidad por incumplimiento de

normatividad externa

Dirección de Discursos

Inexactitud de la información

enviada por parte de las

entidades para la elaboración

de fichas, discursos y

artículos del señor Presidente

Se Recomienda39 analizar y verificar el nombre del riesgo si es una

causa y no el Riesgo.

Dirección de Eventos

Incumplimiento sobre los

estándares de calidad

definidos por el Director de

Eventos, para la realización

de los eventos en los cuales

intervenga el Señor

Presidente de la República.

Se Recomienda40 actualizar el Riesgo de acuerdo a la nueva

estructura del DAPRE

Gestión Documental

Daño de activos

documentales durante la

administración, custodia y

conservación en el Archivo

Central

Se Recomienda41 Analizar por qué los controles Informe de

inspección del estado de la documentación en el Archivo Central y

Disposición de depósitos y estantería para el almacenamiento de la

documentación están disminuyendo el Impacto si son controles

preventivos que deberían disminuir es la Probabilidad

Hurto o fuga de la

documentación (información)

ubicada en los archivos de

gestión - SGSI

Se Recomienda42 verificar la matriz de calificación, evaluación y

respuesta, después de controles está en el mismo cuadrante 15

Zona de Riesgo Extrema antes de controles.

Incumplimiento de la

transferencia documental

primaria en las condiciones y

tiempos establecidos

En el control Cronograma anual de Transferencias documentales, en

la pregunta? Seleccione en qué nivel el control cubre todos los

efectos del riesgo definidos en la etapa de identificación? , se

encuentra en un rango muy bajo Se Recomienda43 analizar y

verificar esta escala

Nota: Los riesgos que no se relacionan obedece a que no presentaron aspectos no conformes

o por mejorar.

P á g i n a 26 | 27



7. EVALUACIÓN DE LAS MEJORAS

En el marco de ésta Auditoria se realizó la evaluación y la verificación de la Eficacia de las mejoras

asociadas a los Riesgos, la NCR-0675 y la NCR-0674.

La NCR-0675 cumplió con las actividades formuladas en el plan en calidad y oportunidad y en prueba de

recorrido se evidenció la aplicación de los controles establecidos para cumplir con el cronograma de

transferencias. EFICAZ

La NCR-0674 fue declarada NO EFICAZ por cuanto se evidenció que la Matriz de Requisitos Legales

publicada en la Intranet no se encuentra actualizada, como se evidenció al observar que la Matriz de

requisitos legales adjunta en el plan de mejoramiento contiene normas como: Circular 0026 el 24 abril

2018 del Ministerio de Trabajo, Decreto 683 18/04/2018 del Min. Trabajo; Res. 1796 27/04/2018 Min.

Trabajo; Decreto 1273 23/07/2018 Min. Salud; mismas que no se encuentran en la Matriz Legal publicada

en la Intranet. Incumpliendo el Procedimiento P-EM-06 Formulación, Seguimiento y Evaluación de Planes

de Mejoramiento

8. RESULTADOS DE LA AUDITORIA

8.1 Aspectos Conformes

El DAPRE desarrolla e implementa procesos de control y gestión de riesgos a través del Aplicativo

SIGEPRE e identifica, analiza, valora y monitorea los riesgos como también formula acciones de

mejora con el fin de asegurar el cumplimiento de la Misión y la Visión de la Entidad.

Asegura que los controles y los procesos de gestión de riesgos implementados en la Entidad,

estén diseñados apropiadamente y aseguren el cumplimiento de los objetivos de los procesos

Se evidencia la Integración con los Sistemas de Seguridad y Salud en el Trabajo y con

el Sistema de Seguridad de la Información, también con los Riesgos Contractuales y

los Riesgos de Corrupción donde la entidad asegura la ejecución de los planes y el

logro de los objetivos para cumplir con la Misión y la Visión.

En el desarrollo de la auditoria in situ se evidenció la interiorización y comprensión de

cada una de las etapas de la administración de riesgos por parte de los responsables.

El monitoreo del riesgo realizado en términos de los controles establecidos, permitieron

verificar la aplicación de los mismos en aspectos de calidad y oportunidad.

El mapa de riesgos de Corrupción se encuentra publicado en la página web de la

Presidencia cumpliendo con lo establecido en la Ley 1712 de 2014.

P á g i n a 27 | 27



8.2 No Conformidades Reales

No Conformidad1: En el control “Ejecución de los procedimientos de backup, de configuración de

SAN y Servidor de Archivos”, así como también para el registro de ingreso al centro de cómputo se

utilizaron versiones desactualizadas de los formatos F-TI-26 y F-TI-14 respectivamente como se

evidenció en el monitoreo correspondiente al cuarto trimestre de 2018, incumpliendo el numeral

7.5.3.2 de la norma ISO 9001:2015 (Control de Información Documentada).

No Conformidad2: Existen debilidades en la revisión y mantenimiento de los Gabinetes

Contraincendios, como se observó en la prueba de recorrido realizada el día 05-febrero-2019 en la

Casa de Nariño, donde se encontraron gabinetes abiertos sin seguridad, gabinetes cerrados con el

martillo por dentro, gabinetes sin martillo, mangueras rotas y sin estar conectadas, afectando la

seguridad en el trabajo, Incumpliendo con el Decreto número 1072 de 2015, Artículo 2.2.4.6.8.

Obligaciones de los empleadores, 6. Gestión de los Peligros y Riesgos.

No Conformidad3: La NCR-0674 fue declarada NO EFICAZ por cuanto se evidenció que la Matriz

de Requisitos Legales publicada en la Intranet no se encuentra actualizada, como se evidenció al

observar que la Matriz de requisitos legales adjunta en el plan de mejoramiento contiene normas

como: Circular 0026 el 24 abril 2018 del Ministerio de Trabajo, Decreto 683 18/04/2018 del Min.

Trabajo; Res. 1796 27/04/2018 Min. Trabajo; Decreto 1273 23/07/2018 Min. Salud; mismas que no

se encuentran en la Matriz Legal publicada en la Intranet. Incumpliendo el Procedimiento P-EM-06

Formulación, Seguimiento y Evaluación de Planes de Mejoramiento.

Como resultado de la evaluación se realizaron 43 mejoras las cuales se encuentran descritas

en el informe en el desarrollo de la evaluación.

9. CONCLUSIONES DE LA AUDITORIA

La Oficina de Control Interno, monitoreo y revisó de manera independiente y objetiva el cumplimiento de

los objetivos institucionales y de procesos, donde se evidenció una adecuada gestión de riesgos, además

se observó la inclusión de los riesgos de corrupción, del SGSI los del SSST y los Riesgos Contractuales

donde se evidencia la efectividad del Sistema de Control Interno, a través de un enfoque basado en

riesgos, que permite el mejoramiento continuo y cumplimiento de los objetivos institucionales de la

Entidad.

Sin embargo, se establecen aspectos conformes y no conformes los cuales se les debe dar el

tratamiento correspondiente para poder tener así un mejoramiento continuo.

informe de auditoría a la administración de riesgos · 2019-03-21 · de riesgos del dafp, la...

Documents