informe de auditoría a la gestión del...

Informe de Auditoría a la Gestión del Riesgo

2

INFORME DE AUDITORIA INTERNA DE

GESTIÓN

Proceso asociado: Evaluación, Control y Mejoramiento

Bogotá D.C. Febrero de 2017

TABLA DE CONTENIDO

1. OBJETIVO DE LA AUDITORIA -------------------------------------------------------------------------------- 3

1.1 Objetivos Específicos ------------------------------------------------------------------------------------ 3

2. ALCANCE DE LA AUDITORIA --------------------------------------------------------------------------------- 3

3. PROCESO AUDITADO ------------------------------------------------------------------------------------------ 3

4. MARCO LEGAL O ANTECEDENTES -------------------------------------------------------------------------- 3

4.1 Antecedentes ---------------------------------------------------------------------------------------------- 3

4.2 Marco Legal ------------------------------------------------------------------------------------------------ 4

5. ASPECTOS GENERALES ---------------------------------------------------------------------------------------- 5

5.1 Términos del Informe------------------------------------------------------------------------------------ 5

5.2 Responsabilidad ------------------------------------------------------------------------------------------- 5

5.3 Plan General de Auditoria ------------------------------------------------------------------------------ 5

6. DESARROLLO DE LA AUDITORIA ---------------------------------------------------------------------------- 6

6 EVALUACIÓN DE LAS MEJORAS --------------------------------------------------------------------------- 29

7 RESULTADOS DE LA AUDITORIA -------------------------------------------------------------------------- 29

7.1 Aspectos Conformes --------------------------------------------------------------------------------------- 29

7.2 No Conformidades Reales -------------------------------------------------------------------------------- 30

7.3 Oportunidades de Mejora -------------------------------------------------------------------------------- 31

8 CONCLUSIONES DE LA AUDITORIA ---------------------------------------------------------------------- 32

3


GESTIÓN


1. OBJETIVO DE LA AUDITORIA

Evaluar que la política y acciones definidas en la gestión del riesgo aseguren la administración

apropiada de los riesgos institucionales y la operatividad del Sistema de Control Interno.

1.1 Objetivos Específicos

Evaluar el mapa de riesgos institucional y de corrupción.

Revisar la aplicación de la metodología de gestión del Riesgo establecida en los

Lineamientos para la Administración del Riesgo de la Entidad.

Revisar que los riesgos identificados por los procesos, dispongan de acciones para su

tratamiento alineadas con las estrategias y objetivos de la Entidad.

Revisar que las acciones de control sean adecuadas y efectivas para tratar los riesgos.

Verificar que los riesgos sean monitoreados y evaluados.

Sugerir correctivos y ajustes necesarios para asegurar un manejo efectivo de los riesgos.

2. ALCANCE DE LA AUDITORIA

La evaluación se realizará a la gestión del riesgo institucional y de corrupción, realizada durante

la vigencia 2016.

3. PROCESO AUDITADO

Proceso Líder: Direccionamiento Estratégico.

4. MARCO LEGAL O ANTECEDENTES

4.1 Antecedentes

El Departamento Administrativo de la Presidencia de la República - DAPRE, estableció los

lineamientos para la Administración del Riesgo L-DE-01 como una política de gestión por parte

4


GESTIÓN


de la Alta Dirección, mediante la cual da a conocer la metodología para la identificación, análisis,

valoración, manejo y monitoreo de los riesgos y hace especial énfasis, sobre la importancia de

evaluar los riesgos como una parte fundamental en el proceso de planificación.

Conforme a lo anterior, se dispuso que la Entidad efectuará una adecuada administración de

sus riesgos a través del aplicativo SIGEPRE en el módulo Gestión del Riesgo, el cual se encuentra

caracterizado de acuerdo con la metodología adoptada por la Entidad; misma que se encuentra

armonizada con la Guía para la Administración de Riesgos del Departamento Administrativo de

la Función Pública - DAFP y las Estrategias para la construcción del Plan Anticorrupción y de

Atención al Ciudadano versión 2.

Por último, la Oficina de Control Interno en ejecución de su rol de evaluación y seguimiento,

estableció la evaluación anual a la Política para la Administración del Riesgo mediante el

ejercicio de Auditoría Interna, con el fin de proporcionar a la Alta Dirección un resultado

objetivo frente a la efectiva aplicación de la política y la eficiencia de sus controles, expresados

en asegurar la administración apropiada de los riesgos institucionales y la eficaz operatividad

del Sistema de Control Interno.

4.2 Marco Legal

Ley 87 de 1993, por la cual se establecen normas para el ejercicio del control interno en la

entidades y organismos del estado y se dictan otras disposiciones.

Decreto 1537 de 2001, por el cual se reglamenta parcialmente la Ley 87 de 1993 en cuanto

a elementos técnicos y administrativos que fortalezcan el sistema de control interno de

las entidades y organismos del Estado.

Ley 1474 de 2011, Estatuto Anticorrupción.

Decreto 943 de 2014, por el cual se actualiza el Modelo Estándar de Control Interno MECI.

Decreto 1081 de 2015, señala la metodología Estrategias para la construcción del Plan

Anticorrupción y de Atención al Ciudadano.

Guía para la gestión de riesgo de corrupción 2015, Secretaría de Transparencia.

5


GESTIÓN


Decreto 1083 de 2015, adopta la actualización del MECI.

Guía para la Administración del Riesgo de la Función Pública.

ISO 31000 Gestión del Riesgo, principios y directrices.

Lineamientos para la Administración del Riesgo (L-DE-01).

5. ASPECTOS GENERALES

5.1 Términos del Informe

Se utilizará para el presente Informe, los términos y definiciones establecidos en el Manual de

Auditoría Interna (M-EM-01), los cuales deben ser tenidos en cuenta para su entendimiento y

posterior formulación de los planes de mejoramiento, a saber:

No Conformidad Real – NCR: Incumplimiento de un requisito legal, técnico, de organización o

cliente. Se constituye cuando existe evidencia objetiva del incumplimiento.

No Conformidad Potencial - NCP: Hecho o situación que podría generar el incumplimiento de

un requisito legal, técnico, de la organización o del cliente. Se constituye como una Observación.

Oportunidad de Mejora - OM: Acción para mejorar un procedimiento, proceso o actividad. Se

constituye como una Recomendación.

5.2 Responsabilidad

Es responsabilidad del equipo auditor producir un informe objetivo que refleje los resultados

del proceso auditor, en cumplimento de los objetivos propuestos para la misma.

5.3 Plan General de Auditoria

6


GESTIÓN


El ejercicio de Auditoría Interna a la Política para la Administración del Riesgo, se comunicó al

proceso a través del Plan General de Auditoría con código MEM17-00000320 del 12 de enero de

2017, con el fin de dar a conocer el objetivo, alcance y actividades a desarrollar durante la

ejecución de la auditoría.

6. DESARROLLO DE LA AUDITORIA

6.1 Evaluación del Mapa de Riesgos Institucional y de Corrupción

Durante la vigencia 2016, la Entidad identificó un total de 72 riesgos clasificados en:

Descripción Riesgos Participación

Institucional 61 85%

Corrupción 11 15%

Total 72 100%

Fuente: Modulo Gestión del Riesgo aplicativo SIGEPRE

A continuación, se relaciona la cantidad de riesgos por proceso detallando los riesgos de

corrupción, así:

Cuadro No 1. Total riesgos por Proceso

Proceso Total Riesgos Riesgos

Corrupción

Direccionamiento Estratégico 4 0

Evaluación Control y Mejoramiento 3 1

Atención al Usuario 3 0

Gestión de Asuntos Políticos 30 0

Gestión Jurídica 2 1

Gestión de Seguridad, Apoyo logístico

Presidencial y Comunicación y Prensa 7 0

Gestión Administrativa 5 0

Gestión Financiera 4 3

Adquisición de Bienes y Servicios 3 1

Gestión Documental 1 0

7


GESTIÓN


Talento Humano 5 4

Tecnología de Información y

Comunicaciones 5 1

Total 72 11

Fuente: Modulo Gestión del Riesgo aplicativo SIGEPRE

Como se observa en el cuadro anterior, los 12 procesos del DAPRE identificaron 61 riesgos

Institucionales y 6 procesos identificaron 11 riesgos de corrupción para un total de 72 riesgos

activos en la Entidad. Sin embargo, es importante señalar que el 50% de los procesos del DAPRE

como Direccionamiento Estratégico, Atención al Usuario, Asuntos Políticos, Seguridad

Presidencial, Gestión Administrativa y Gestión Documental no identificaron riesgos de

corrupción.

Por lo anterior, se Recomienda 1 realizar un análisis en cada proceso que les permita identificar

riesgos de corrupción, teniendo en cuenta que existe la posibilidad de que por acción u omisión

se use el poder para desviar la gestión de lo público hacia beneficio propio1, como: incurrir en

concentración de autoridad o exceso de poder, extralimitación de funciones, Sistemas de

Información susceptibles de manipulación o adulteración y deficiencias en el manejo

documental y de archivo, lo que permitirá establecer acciones para controlar otros posibles

hechos generadores de corrupción al interior de la Entidad.

6.1.1 Riesgos institucionales

Seguidamente, se verificó en el módulo Gestión del Riesgo la zona de los 61 riesgos

institucionales para determinar:

1. Las calificaciones del riesgo antes de controles

2. Las calificaciones del riesgo después de controles

Para lo cual, se tomó como referencia la Matriz 1 adoptada en el SIGEPRE:

Matriz 1. De calificación, evaluación y respuesta

1 Estrategias para la Construcción del Plan Anticorrupción y de Atención al Ciudadano versión 2, pág. 17.

8


GESTIÓN


PROBABILIDAD

IMPACTO

Insignificante

(1) Menor (2) Moderado (3) Mayor (4)

Catastrófico

(5)

Raro (1)

1 2 3 4 5

Zona de Riesgo

Baja

Zona de

Riesgo Baja

Zona de

Riesgo

Moderada

Zona de

Riesgo Alta

Zona de

Riesgo Alta

Improbable (2)

2 4 6 8 10

Zona de Riesgo

Baja

Zona de

Riesgo Baja

Zona de

Riesgo

Moderada

Zona de

Riesgo Alta

Zona de

Riesgo

Extrema

Moderada (3)

3 6 9 12 15

Zona de Riesgo

Baja

Zona de

Riesgo

Moderada

Zona de

Riesgo Alta

Zona de

Riesgo

Extrema

Zona de

Riesgo

Extrema

Probable (4)

4 8 12 16 20

Zona de Riesgo

Moderada

Zona de

Riesgo Alta

Zona de

Riesgo Alta

Zona de

Riesgo

Extrema

Zona de

Riesgo

Extrema

Casi certeza (5) 5 10 15 20 25

Zona de Riesgo

Alta

Zona de

Riesgo Alta

Zona de

Riesgo

Extrema

Zona de

Riesgo

Extrema

Zona de

Riesgo

Extrema

Fuente: Modulo Gestión del Riesgo – Aplicativo SIGEPRE

Los resultados de la verificación, se presentan a continuación en las matrices 2 y 3, así:

Matriz 2. Zona de los 61 Riesgos Institucionales – antes de controles

PROBABILIDAD

IMPACTO

Insignificante

(1)

Menor

(2) Moderado (3) Mayor (4)

Catastrófico

(5)

Raro (1) 1 2 3 4 5

R5 Tics

Improbable (2)

2 4 6 8 10

R1 DS Privado CPPI R-1

R2.OCIG

9


GESTIÓN


Moderada (3)

3 6 9 12 15

R4: DGG

R-1-Dvivienda

R1-D.proy

especiales

R1-

D.Posconflicto

R1:AC Regiones

R1 OACP

R2- OACP

DD HH R-1

DD HH R-3

DAICMA R-4

CPPI R-2

CPPI R-3

CPPI R-4

R1-

D.Infraestructura

R2-

STransparencia

R1:D.asuntos

políticos

R1:D. lucha

contra drogas

DAICMA R-1

R1: TH

DAICMA R-3

R3.OCIG

R1-AU

R1.Eventos

R3-BS

R1 Tics

Probable (4)

4 8 12 16 20

R1Discursos

R1 CM

R2: D.

Gobierno y

Áreas

Estratégicas

R1 D. Col Joven

DACPC R-1

DAICMA R-2

R2: OP

AA R-1

AA R-2

AA R-3

R2-BS

R2-AU

R1-SJ

R2 CM

R1.SP

R1-DSeguridad

R1-

S.Transparencia

R1 F paz

R2 F paz

DD HH R-2

R1: OP

R3: OP

R-4-FINANCIERA

R1 GD

R2 Tics

R3 Tics

R4 Tics

AA R-5

R3-AU

Casi certeza (5) 5 10 15 20 25

S. Prensa R-1

10


GESTIÓN


S. Prensa R-2

AA R-4


Como se observa en la matriz 2, la Entidad determinó en su análisis antes de controles que, la

probabilidad de ocurrencia y el impacto que puede causar la materialización de los riesgos se

concentra en un 56% en la zona de riesgo extrema y en un 41% en zona de riesgo alta, así:

Matriz 2 Riesgos Participación

Zona de Riesgo Baja 0 0%

Zona de riesgo Moderado 2 3%

Zona de Riesgo Alta 25 41%

Zona de Riesgo Extrema 34 56%

Total Riesgos 61 100%

Posteriormente, se procedió a revisar la zona de los 61 riesgos, una vez los procesos valoraron

sus respectivos controles, como se muestra a continuación en la matriz 3:

Matriz 3. Zona de los 61 Riesgos Institucionales - después de controles

PROBABILIDAD

IMPACTO

Insignificante

(1) Menor (2) Moderado (3) Mayor (4)

Catastrófico

(5)

Raro (1)

1 2 3 4 5

R5 Tics

R1 D.S Privado

CPPI R-3

CPPI R-4

R3-BS

R1: TH

R1.Eventos

R2-

STransparencia

R1: D. Asuntos

políticos

CPPI R-1

Improbable (2) 2 4 6 8 10

11


GESTIÓN


R4: DGG

AA R-2

AA R-3

R1 CM

R1Discursos

CPPI R-2

DACPC R-1

DAICMA R-4

DD HH R-1

DD HH R-3

R-1-Dvivienda

R1-D.proy

especiales

R1-

Dposconflicto

R1: D. Gobierno

y Áreas

Estratégicas

R1 D. Col Joven

R1 OACP

R2-OACP

R1-AU

R2: OP

R1:AC Regiones

AA R-5

R-4-FINANCIERA

R1.SP

R2 CM

DAICMA R-3

DD HH R-2

R1-DSeguridad

R1-

D.Infraestructura

R1-

STransparencia

R1:D. lucha

contra drogas

R1 F paz

R2 F paz

R1: OP

R3: OP

R3.OCIG

R2.OCIG

R2-AU

R1 Tics

R3 Tics

R4 Tics

R1-SJ

R3-AU

Moderada (3)

3 6 9 12 15

DAICMA R-2

R2 Tics

DAICMA R-1

S. Prensa R-1

S. Prensa R-2

Probable (4) 4 8 12 16 20

AA R-1 R1. GD R2-BS

Casi certeza (5) 5 10 15 20 25

AA R-4


Como se observa en la matriz 3, la Entidad determinó en la valoración del riesgo que, la

probabilidad de ocurrencia y el impacto que puede causar la materialización de los riesgos se

concentra en un 51% en zona de riesgo alta y en un 38% en zona de riesgo moderado, así:

12


GESTIÓN



Zona de Riesgo Baja 2 3%

Zona de riesgo

Moderado 23 38%




De todo lo anterior se puede constatar que, la Entidad al ejecutar las acciones fundamentales

para valorar los riesgos institucionales, se desplazó de una concentración en zona extrema y alta

del 97% a zona de riesgo alta y moderada del 89%; el 8% de los riesgos permanecen en zona

extrema, como se detalla a continuación:

# Probabilidad Impacto Zona del Riesgo Prioridad del Riesgo

1 2 5

Zona de Riesgo

Extrema

R3 Atención Usuario

2 3 4 R1 DAICMA

3 3 4 R1 Sec. Prensa

4 3 4 R2 Sec. Prensa

5 4 4 R2 Bienes y Servicios

De lo anterior, se Recomienda 2 efectuar un monitoreo permanente e implementar acciones

que conlleven a disminuir la probabilidad y mitigar el impacto en caso de materialización de los

5 riesgos (8%) que permanecen en zona de riesgo extrema.

6.1.1.1 Gestión del riesgo Institucional

a. Modulo Gestión del Riesgo Aplicativo SIGEPRE

Con el fin de validar el correcto funcionamiento del Módulo Gestión del Riesgo del aplicativo

SIGEPRE, a través del cual se administran los riesgos de la Entidad según los Lineamientos para

la Administración del Riesgo (L-DE-01), se procedió a revisar la información asociada a los riesgos

13


GESTIÓN


de los 12 procesos, aplicando una prueba selectiva equivalente al 16% del total de los procesos,

obteniendo los siguientes resultados:

No se encontraron activos en un lapso de dos semanas, los riesgos de la Dirección de

Eventos y de la Dirección de Gobierno y Áreas Estratégicas, como se observa a continuación:

Se observaron inconsistencias en la opción Reportes en cuanto al total y clase de Riesgos, al

encontrar que el sistema reporta un total de 69 riesgos, contrario a los 72 riesgos activos

de la Entidad, como se observa a continuación:

14


GESTIÓN



Reporte de Riesgos por Opciones de Manejo, el reporte muestra un total de 84 riesgos,

contrario a los 72 riesgos activos de la Entidad, como se observa a continuación:


De conformidad con los resultados presentados, se Recomienda 3 establecer las acciones

necesarias que permitan disponer de una información veraz y confiable en el Módulo Gestión

del Riesgo.

b. Aplicación metodología de Gestión del Riesgo

Se procedió a revisar el 100% de los 61 riesgos institucionales identificados y activos en la

Entidad, en todas las fases de identificación, análisis, calificación, valoración y monitoreo. A

continuación se relacionan los aspectos obtenidos de la revisión para cada riesgo, así:

Cuadro 2. Resultados evaluación riesgos institucionales

Proceso # Riesgos Resultado de la Evaluación

Direccionamiento

Estratégico 1

Incumplimiento de

las metas de los Relación causas – controles

15


GESTIÓN


proyectos de

inversión del DAPRE

Se Recomienda 4 revisar la conveniencia de

identificar controles asociados a las siguientes

causas:

El enlace no difundió los lineamientos para la

formulación de indicadores y metas.

El enlace no tiene las competencias para la

formulación de indicadores

No hay control por parte de los responsables para

realizar seguimiento a su ejecución del proyecto y

metas,

Lo anterior teniendo en cuenta que el Riesgo en su

contexto de transversalidad, podría requerir

controles de responsabilidad directa del ejecutor del

proyecto, fortaleciendo la valoración del riesgo.

Monitoreo

En cuanto al monitoreo del riesgo a 31 de diciembre

de 2016, se observó que se efectuó un monitoreo

parcial y se indicó que la materialización del Riesgo se

determinará una vez se efectúe el cierre a los

proyectos de inversión en el SPI, programado para el

9 de febrero de 2017. Se Recomienda 5 efectuar el

monitoreo final del riesgo, con el fin de determinar la

materialización del riesgo en el SIGEPRE y en caso tal,

implementar los respectivos planes de

mejoramiento.

2

Incumplimiento de

los resultados

previstos en la

planeación

institucional

Relación causas – controles


identificar controles asociados a las causas: 10.El

responsable de reportar la información de

seguimiento de los resultados esperados tiene

asignadas múltiples actividades y 11.Descoordinación

del equipo de trabajo para reportar la información de

seguimiento de los resultados esperados, lo anterior

teniendo en cuenta que el Riesgo en su contexto de

transversalidad, podría requerir controles de

responsabilidad directa del ejecutor del Plan de

Acción, fortaleciendo la valoración del riesgo.

16


GESTIÓN


3

Inoportunidad en la

gestión de recursos

de cooperación

internacional -

Dirección de

Gestión General

Manejo del Riesgo

El manejo del Riesgo adoptado por el Proceso fue

evitar y reducir. Sin embargo, se Recomienda 7 tener

en cuenta en la actualización de los riesgos, adoptar

la opción de manejo de acuerdo con la versión 10 de

los Lineamientos para la Administración del Riesgo (L-

DE-01), lo que les permitirá adoptar la política

adecuada. Dado que la opción de evitar, aplica para

el riesgo que no se ha materializado y la de reducir,

cuando se ha presentado materialización del mismo.

Evaluación,

Control y

Mejoramiento

4

No Formular y

Ejecutar

correctamente los

Planes de

Mejoramiento

Actualización de Riesgos

Se Recomienda 8 actualizar los riesgos identificados

en el proceso, de acuerdo a la nueva versión del

Lineamiento para la Administración del Riesgo (L-DE-

01).

Atención al

Usuario

5

Incumplimiento de

los Acuerdos de

Nivel de Servicio

durante la

prestación de los

servicios

compartidos del

DAPRE.

Relación causas – controles


identificar controles asociados a la causa Fallas o

interrupciones del aplicativo Altiris para registrar las

solicitudes de servicios compartidos, lo que les

permitirá el cumplimiento de la política de manejo

Evitar el Riesgo.

6

Vencimiento de los

términos legales en

la atención

(Respuesta,

Información del

Trámite y

Notificación por

Aviso) de

peticiones,

sugerencias, quejas

o reclamos.

Fortalecimiento de controles

Se observó una disminución porcentual de 0.25 en la

atención oportuna a las PSQR al comparar la vigencia

2015 (99.84) con 2016 (99.59). Se Recomienda 10

revisar y fortalecer la aplicabilidad de los controles

existentes lo que permitirá cumplir con la política de

manejo.

Gestión de

Asuntos Políticos 7

Entregar

información errada

o extemporánea al

Relación causa – control Dirección para Asuntos

Políticos – DAP

17


GESTIÓN


Presidente de la

República sobre el

trámite de la

agenda legislativa

del Congreso de la

República


identificar controles asociados a la causa 1. No contar

con un equipo suficiente y/o personal idóneo para

hacer el seguimiento del trámite de iniciativas

legislativas en el Congreso de la República, lo que les

permitirá el cumplimiento de la política de manejo

Evitar el Riesgo.

Monitoreo

Se Recomienda 12 adoptar los lineamientos de la

Oficina de Planeación en cuanto a fortalecer el

análisis del monitoreo, en términos de la eficacia y

eficiencia de los controles aplicados.

8

Desactualización

del sistema de

seguimiento a

compromisos

asumidos por el

señor Presidente de

la República

Monitoreo Dirección de Gobierno y Áreas

Estratégicas





9

Falta de

oportunidad en la

atención de

solicitudes de

Gobernadores y

Alcaldes

Calificación de controles DACP Regiones

Se Recomienda 14 adoptar las acciones necesarias

para que se documenten los controles de acuerdo

con las necesidades específicas de la Alta Consejería,

lo que permitirá mejorar la eficacia de las acciones

preventivas que afectan la probabilidad de

ocurrencia del riesgo.

10

Incumplimiento en

establecer los

acuerdos para la

sustitución

voluntaria de

cultivos ilícitos en

los territorios

priorizados para el

posconflicto.

Calificación de controles DAIL Contra Drogas

Se observó que no se han documentado los controles

lo que afectó la probabilidad de ocurrencia,

ubicándola en un 77.67%. Por lo anterior, se

Recomienda 15 adoptar las acciones necesarias para

que se documenten de acuerdo con las necesidades

específicas de la Dirección, lo que permitirá mejorar

la eficacia de los controles que afectan la

probabilidad de ocurrencia del riesgo.

.

18


GESTIÓN


11

Baja cobertura en

intervenciones

regionales de

AICMA

Valoración del Riesgo DAICMA

Se Recomienda 16 revisar y de ser necesario ajustar

el análisis del riesgo toda vez que en la matriz de

calificación y resultado, el riesgo se ubicó en la misma

zona No. 12 tanto antes como después de controles.

Lo anterior permitirá asegurar que las fases de

análisis y valoración se realicen de acuerdo con los

Lineamientos para la Administración del Riesgo (L-

DE-01).

12

Inexactitud en los

informes sobre

determinados

asuntos de política

pública que incidan

en la actividad del

sector privado.

Valoración del Riesgo D. para el Sector Privado


el análisis y valoración del riesgo, lo que permitirá

asegurar que estas fases se realicen de acuerdo con

los Lineamientos para la Administración del Riesgo (L-

DE-01).

13

Fuga y/o pérdida las

Actas del Consejo

de Seguridad

Nacional (CSN)

Controles Dirección de Seguridad

Se Recomienda 18 revisar la pertinencia de incluir en

las acciones de control del riesgo, los controles

establecidos en la calificación de la información del

aplicativo Taurus, teniendo en cuenta que las actas

son carácter de reservado. Lo que permitirá

garantizar el cumplimiento de la política de manejo.

Análisis de datos

Se Recomienda 19 mejorar el análisis de datos del

indicador Actas del consejo de Seguridad Nacional

Bajo Custodia asociado al riesgo, lo que permitirá

realizar un monitoreo en términos de eficacia y

eficiencia de los controles.

14

Incumplimiento en

la generación de

condiciones para el

logro y

mantenimiento de

la Paz a través del

mejoramiento de

Vías en Zonas

Análisis y valoración del Riesgo Fondo paz

Se Recomienda 20 hacer un análisis de los efectos y

controles del riesgo debido a que no se evidencia

articulación, entre las causas, controles y efectos.

19


GESTIÓN


Afectadas por el

conflicto.

15

Incumplimiento en

la generación de

condiciones para el

logro y

mantenimiento de

la Paz en todo el

territorio nacional

Análisis y valoración del Riesgo Fondo paz

Se Recomienda 21 valorar el riego, teniendo en

cuenta que el control “Adiciones y/o Modificaciones

Presupuestales” está como correctivo, teniendo en

cuenta que los controles establecidos para mitigar la

materialización del riesgo, son preventivos.

Se Recomienda 22 revisar la pertinencia de

identificar, analizar y controlar posibles hechos

generadores de corrupción en el proceso de

contratación que está llevando a cabo el Fondo, de

acuerdo con los lineamientos establecidos en la

“Guía para la gestión de riesgo de corrupción” y los

Lineamientos para la Administración del Riesgo.

Se Recomienda 23 revisar la pertinencia de unificar

estos dos riesgos (14 y 15), teniendo en cuenta que

hacen referencia al Incumplimiento en la generación

de condiciones para el logro y mantenimiento de la

Paz, e identificar nuevos riesgos de acuerdo a las

funciones que el Fondo está desempeñando en la

actualidad.

16

Incumplimiento en

la generación de

condiciones para el

logro y

mantenimiento de

la Paz en todo el

territorio nacional

Riesgo duplicado Oficina Alto Comisionado para la

Paz

Se Recomienda 24 revisar éste riesgo, teniendo en

cuenta que se encuentra identificado y formulado en

el Fondo de Programas Especiales para la Paz, si bien

es cierto es en coordinación con la Oficina del Alto

Comisionado para la Paz, no se evidencian

actividades que ejerzan control por la OACP, y el

Fondo realiza el monitoreo, mide y analiza el

indicador que se tiene asociado al riesgo.

17

Baja cobertura en la

incorporación de la

transversalización

Controles CP para la Equidad de la Mujer

Se Recomienda 25 reevaluar las causas desinterés de

las entidades territoriales y desconocimiento de las

20


GESTIÓN


de género en las

entidades

nacionales y

territoriales.

asesorías brindadas por parte de la Consejería,

teniendo en cuenta que los controles apuntan a

garantizar que las entidades territoriales conozcan

los servicios de la Consejería.

Al verificar los cuatro controles que aplica la

consejería, se observa que a través del tiempo se han

mantenido, se Recomienda 26 evaluar la pertinencia

de los mismos.

18

Debilidad de los

procesos de

articulación

interinstitucional

en los ámbitos

nacional y

territorial que

obstaculice la

elaboración de la

evaluación de la

asistencia técnica

prevista para la

vigencia

Análisis de Indicador CP para los Derechos Humanos

No se realizó el cargue del valor y análisis de datos al

31 de diciembre de 2016, como se evidenció en el

indicador “Documentos de Evaluación de la Asistencia

Técnica Realizada a Municipios Focalizados” de

obtención anual registrado en el aplicativo SIGEPRE,

incumpliendo las actividad No. 6 Reportar los datos

de los Indicadores y No. 7 Analizar Datos del Indicador

del procedimiento P-DE-02 Formulación, Registro y

Análisis de Indicadores. No Conformidad Real 01.

19

Inadecuado

acompañamiento a

los proyectos de

infraestructura

para la atención

integral para la

primera infancia

durante la

formulación y

ejecución.

Materializado

Se materializó el riesgo, el cual fue reportado en el

aplicativo SIGEPRE y se formuló el plan de

mejoramiento con código NCR-0572 AP-

Incumplimiento proyectos de infraestructura

previstos para el año 2016, y se encuentra en etapa

de ejecución de acciones y seguimiento al plan de

mejoramiento. A pesar de haber formulado plan de

mejoramiento se Recomienda 27 revisar e identificar

nuevos controles con el fin de garantizar la no

materialización.

Gestión Jurídica 20

Incumplimientos

legales en la

atención de los

procesos judiciales

Identificación de nuevos riesgos de corrupción

Se Recomienda 28 revisar la pertinencia de

identificar, analizar y controlar posibles hechos

generadores de corrupción del riesgo

Incumplimientos legales en la atención de los

21


GESTIÓN


y acciones

judiciales.

procesos judiciales y acciones judiciales de acuerdo

con los lineamientos establecidos en la cartilla “Guía

para la gestión de riesgo de corrupción” y los

Lineamientos para la Administración de los Riesgos

del Proceso de Direccionamiento Estratégico.

Gestión de

Seguridad, Apoyo

Logístico

Presidencial y

Comunicación y

Prensa

21

Divulgación no

autorizada de

información de

carácter noticioso

Monitoreo Secretaria de Prensa

Se Recomienda 29 realizar el cargue de la

información con oportunidad dentro de los 15 días

posterior al corte del trimestre con el fin de

determinar si hubo o no materialización del riesgo y

de paso cumplir con los tiempos establecidos en el

SIGEPRE de conformidad con el Lineamiento para la

Administración de Riesgo código L-DE-01.

22

Interrupción de la

Transmisión de

video y/o audio de

los eventos del

Señor Presidente.

Adquisición de

Bienes y Servicios

23

Declaratoria de

desierta de un

proceso de

selección por

decisiones erróneas

en la evaluación.

Análisis de Indicador

Se Recomienda 30 mejorar el análisis de datos del

indicador Causas que genera la declaratoria de

desierta asociado al riesgo, lo que permitirá realizar

un mejor monitoreo del mismo.


el análisis del riesgo toda vez que en la matriz de

calificación y resultado, el riesgo se ubicó en la misma

zona No. 16 tanto antes como después de controles.

Lo anterior permitirá asegurar que las fases de

análisis y valoración se realicen de acuerdo con los

Lineamientos para la Administración del Riesgo (L-

DE-01).

24

Perdida de los

expedientes de los

procesos

contractuales

Materialización

Durante la vigencia 2016, se observó que para el

tercer trimestre de 2016 el riesgo se materializó, por

lo que se Recomienda 32 revisar la conveniencia de

establecer nuevos controles que permitan mantener

el manejo de reducir la ocurrencia de la

materialización del mismo.

Así mismo, Se Recomienda 33 modificar la opción de

manejo del riesgo, lo anterior de conformidad con lo

22


GESTIÓN


establecido en el literal b numeral 6.5.1.

Lineamientos administración del riesgo.

25

Incumplimientos

legales en la

liquidación de las

novedades

laborales y

prestacionales.

Relación causas - controles


identificar controles asociados a la causa 3. Falta de

parametrización del aplicativo con base en las

necesidades de la Entidad, lo que permitirá el

cumplimiento de la política de manejo Evitar el

Riesgo.

Monitoreo





Gestión

Documental 26

Daño de Activos

durante la

Administración

Documental en el

Archivo Central

Valoración del riesgo

Se Recomienda 36 en la etapa 3 de valoración,

verificar y analizar el control número 1 “Informe de

inspección del estado de la documentación en el

Archivo Central”, se encuentra en la clase correctivo

y escala afectada el impacto, teniendo en cuenta que

los controles son preventivos.

Así mismo, se Recomienda 37 identificar y valorar

riesgos de corrupción.

Tecnología de la

Información y

Comunicación

27

Violación de la

integridad de la

información

Controles

El control de herramientas y contratos de

mantenimiento se soporta con capacitación, se

Recomienda 38 aplicar herramientas que generen

alertas y faciliten el seguimiento a los contratos de

mantenimiento.

28

Suspensión Masiva

en la prestación del

servicio de

telecomunicaciones

Monitoreos

Se realizaron en forma extemporánea los

monitoreos, como se evidenció en el con corte a

diciembre de 2015 se realizó el 27 de enero de 2016

y con corte a 30 de junio, el 28 de julio. Incumpliendo

lo establecido en el numeral 6.6 del lineamiento

Administración del Riesgo L-DE-01. Que establece

23


GESTIÓN


que los monitoreos trimestrales se deben presentar

durante los 15 primeros días después de la fecha de

corte. No Conformidad Real 02.

Se Recomienda 39 mejorar la calidad de la

información registrada en cada uno de los

monitoreos adjuntando los soportes que permiten

evidenciar la no materialización del mismo.

Se Recomienda 40 para la implementación de la

mejor práctica en la identificación de peligros y la

valoración de riesgos, en el marco de la gestión del

riesgo de seguridad y salud ocupacional, se estimen

los respectivos riesgos.

Nota: Los riesgos que no se relacionan obedece a que no presentaron aspectos no conformes o

por mejorar.

Una vez analizados y revisados los 61 riesgos institucionales, se presentan las siguientes

Recomendaciones generales:

Una vez realizada la evaluación y seguimiento a la Gestión de Riesgo de la entidad ésta

Oficina de Control Recomienda 41 la posibilidad de implementar en el Módulo de Gestión de

Riesgos en el Aplicativo SIGEPRE, el mapa de riesgos del Sistema de Seguridad Informática,

del Sistema de Seguridad y Salud en el Trabajo y el mapa de riesgos contables éste último

acatando las Normas Internacionales de Información Financiera.

Teniendo en cuenta que la Casa del Fuerte de San Juan de Manzanillo en Cartagena y la

Hacienda Hato Grande en Sopo, son sedes que pertenecen al Departamento Administrativo

de la Presidencia de la Republica – DAPRE, se Recomienda 42 revisar la pertinencia de

identificar y valorar riesgos inherentes a estas dependencias, ya que no se evidencia su

cubrimiento, en los riesgos existentes.

Se Recomienda 43 actualizar el objetivo del proceso Gestión Administrativa, toda vez que la

Resolución 0970 de 2016 Artículo Vigésimo establece que las funciones del Grupo de

Telecomunicaciones pertenecen al Área de Tecnologías y Sistemas de Información.

24


GESTIÓN


6.1.2 Riesgos de Corrupción

Seguidamente, se verificó en el módulo Gestión del Riesgo la zona de los 11 riesgos de

corrupción, para determinar:

1. Las calificaciones del riesgo antes de controles

2. Las calificaciones del riesgo después de controles

De acuerdo con la Matriz 1 adoptada en el SIGEPRE. Los resultados de la verificación se

presentan en la Matriz 4:

Matriz 4. Zona de los 11 Riesgos de Corrupción – antes de controles

PROBABILIDAD

IMPACTO

Insignificante

(1)

Menor

(2) Moderado (3) Mayor (4)

Catastrófico

(5)

Raro (1) 1 2 3 4 5

Improbable (2) 2 4 6 8 10

Moderada (3)

3 6 9 12 15

R2 OCDI

R1 OCDI

R10 OCIG

R11 A. T.

Sistemas

Probable (4)

4 8 12 16 20

R5 Financiera

R6 Financiera

R8 TH

R9 TH

R1

Adquisición

de Bs y S

R7 financiera

Casi certeza (5) 5 10 15 20 25

R4 S Jurídica


Como se observa en la matriz 4, la Entidad determinó en su análisis antes de controles que, la

probabilidad de ocurrencia y el impacto que puede causar la materialización de los riesgos de

corrupción se concentran en un 100% en la zona de riesgo extrema:

25


GESTIÓN



Zona de Riesgo Baja - -

Zona de riesgo

Moderado - -

Zona de Riesgo Alta - -



Posteriormente, se procedió a revisar la zona de los 11 riesgos de corrupción, una vez los

procesos valoraron sus respectivos controles, como se muestra a continuación en la matriz 5:

Matriz 5. Zona de los 11 Riesgos de Corrupción – después de controles

PROBABILIDAD

IMPACTO

Insignificant

e (1) Menor (2) Moderado (3) Mayor (4)

Catastrófico

(5)

Raro (1) 1 2 3 4 5

R10 OCIG

Improbable (2)

2 4 6 8 10

R1 OCDI

R5 financiera

R6 financiera

R8 TH

R11 A. T.

Sistemas

R9 TH

R1

Adquisición

de Bs y S

R7 financiera

Moderada (3) 3 6 9 12 15

R2 OCDI

Probable (4) 4 8 12 16 20

Casi certeza (5) 5 10 15 20 25

R4 S Jurídica


26


GESTIÓN


Como se observa en la matriz 5, la Entidad determinó en la valoración del riesgo que, la

probabilidad de ocurrencia y el impacto que puede causar la materialización de los riesgos de

corrupción se concentra en un 67% en zona de riesgo alta y en un 36% en zona de riesgo

extrema, así:


Zona de Riesgo Baja - -

Zona de riesgo

Moderado - -




De todo lo anterior se pudo constatar que, la Entidad ejecutó las acciones fundamentales para

valorar los riesgos de corrupción, disminuyendo su concentración al pasar de una zona de riesgo

extrema del 100% al 36% y desplazándose a la zona de riesgo alta con una concentración del

67%.

El 36% en zona extrema corresponde a los siguientes 4 riesgos:

# Probabilidad Impacto Zona del Riesgo Prioridad del Riesgo

1 2 5

Zona de Riesgo

Extrema

R1 Adquisición de

BS

2 2 5 R7 Financiera

3 3 4 R2 OCID

4 5 5 R4 S. Jurídica

De lo anterior, se Recomienda 44 efectuar un monitoreo permanente e implementar acciones

que prevengan su materialización y proporcionen una seguridad razonable sobre el logro de los

objetivos.

27


GESTIÓN


6.1.2.1 Gestión del riesgo de corrupción

Se procedió a revisar el 100% de los 11 riesgos de corrupción identificados y activos en la

Entidad, en todas las fases de identificación, análisis, calificación, valoración y monitoreo. A

continuación se relacionan los aspectos obtenidos de la revisión para cada riesgo, así:

Cuadro 3. Resultados evaluación riesgos de corrupción

Proceso # Riesgo Resultado de la Evaluación

Evaluación

Control y

Mejoramiento

1

Fraude en los resultados

obtenidos del ejercicio de

auditorías internas en

beneficio propio y de un

tercero

Monitoreado dentro de las fechas

establecidas

No se materializó

Controles efectivos

Este Riesgo se identificó en la vigencia 2016

Gestión Jurídica 2

Deficiencia en el

momento de revisar y

aprobar proyectos de

actos normativos

Valoración del Riesgo

Se Recomienda 45, evaluar y analizar el

control Expedición de actos normativos

para corrección de yerros teniendo en

cuenta que está como correctivo afectando

la Probabilidad, lo que permitirá realizar

una valoración adecuada con los

Lineamientos para la Administración del

Riesgo (L-DE-01).

Se Recomienda 46 actualizar la fecha del

plan de contingencia que se tiene

formulado para éste riesgo, como también

verificar la zona del riesgo después de

controles, teniendo en cuenta que está en

la misma del riesgo puro.

Gestión

Financiera 3

Efectuar certificados de

disponibilidad y registros

presupuestales por un

rubro presupuestal que

no corresponda en la


establecidas

No se materializó

Controles efectivos

28


GESTIÓN


ejecución de la cadena

presupuestal

4

Efectuar un pago a una

persona natural o jurídica

que no corresponda por

vacíos de información en

la ejecución de la cadena

presupuestal y otros

pagos


establecidas

No se materializó

Controles efectivos

5

Fraude en el manejo de

los recursos asignados a

las cajas menores


establecidas

No se materializó

Controles efectivos

Adquisición de

Bienes y Servicios 6

Beneficiar a un oferente

por incumplimientos

legales en la elaboración

estudios previos, pliegos

de condiciones o

invitaciones a ofertar de

un proceso de selección


establecidas

No se materializó

Controles efectivos

Talento Humano

7

Fraude en el pago de la

nómina y factores

salariales en beneficio

propio y de un tercero


establecidas

No se materializó

Controles efectivos

8

Tráfico de influencias

durante la selección de

personal


establecidas

No se materializó

Controles efectivos

9

Decisiones erróneas en

los pronunciamientos

ejecutoriados de los

procesos disciplinarios


establecidas

No se materializó

Controles efectivos

En el monitoreo del último trimestre, el

grupo de trabajo consideró que éste riesgo

no es representativo para la dependencia,

razón por la cual se formuló el Plan de

29


GESTIÓN


Mejoramiento 0M-0293, que cuenta con

una serie de actividades para reformular el

riesgo en 2017.

10

Pérdida de expedientes

disciplinarios a cargo de la

Oficina de Control Interno

Disciplinario

El Riesgo se identificó y valoró en el mes de

diciembre de 2016 y se encuentra en la

Etapa 4. Se Recomienda 47 terminar de

gestionarlo.

Tecnologías de

Información 11

Hurto, Perdida o fuga de

Información pública

reservada o clasificada en

la gestión de la

plataforma

Se Recomienda 48 verificar y analizar el

control de seguimiento a Incidentes dado

que es correctivo

Fuente: Aplicativo SIGEPRE – Modulo Gestión del Riesgo.

Las filas sombreadas corresponden a los riesgos identificados en 2016.

De lo anterior, se puede concluir que:

1. La entidad identificó, analizó, calificó y valoró los 11 riesgos de corrupción de conformidad

con los Lineamientos para la Administración del Riesgo (L-DE-01) y la Guía para la gestión

de riesgo de corrupción 2015 de la Secretaría de Transparencia.

2. Durante la vigencia, los riesgos de corrupción fueron monitoreados dentro de las fechas

establecidas en los Lineamientos para la Administración del Riesgo (L-DE-01) y no se

materializaron, lo que indica que los controles implementados fueron efectivos.

6 EVALUACIÓN DE LAS MEJORAS

La eficacia de las mejoras se realizó en el marco de la Auditoría Interna a la Evaluación de la

Eficacia de los Planes de Mejoramiento correspondiente a la vigencia 2016.

7 RESULTADOS DE LA AUDITORIA

7.1 Aspectos Conformes

30


GESTIÓN


1. El desarrollo de esta auditoria permitió evidenciar una dinámica de mejora continua en la

Entidad, mediante la identificación de riesgos que conllevan a tener controles preventivos

que aseguran el cumplimiento de los objetivos.

2. El apoyo de los enlaces de la Oficina de Planeación, de la Oficina de Control Interno y de

los procesos, mediante acciones de sensibilización y recordación para el oportuno

monitoreo de los riesgos.

3. Los riesgos del Departamento Administrativo de la Presidencia de la República DAPRE, se

encuentran alineados con los objetivos tanto del proceso como los objetivos Estratégicos.

4. Los riesgos de corrupción fueron monitoreados dentro de las fechas establecidas, la

información registrada permitió evidenciar los resultados de los mismos, de igual manera

se informaron los respectivos controles aplicados, así como las actividades e indicadores

que permitieron medir su materialización.

5. Se observó que los planes de mejoramiento asociados a los riesgos, contaron con acciones

que contribuyeron a fortalecer los controles.

7.2 No Conformidades Reales

1. La CP para los Derechos Humanos no realizó la medición y análisis de datos al 31 de

diciembre de 2016, como se evidenció en el indicador Documentos de Evaluación de la

Asistencia Técnica Realizada a Municipios Focalizados de obtención anual registrado en el

aplicativo SIGEPRE, incumpliendo las actividad No. 6 Reportar los datos de los Indicadores

y No. 7 Analizar Datos del Indicador del procedimiento P-DE-02 Formulación, Registro y

Análisis de Indicadores. No Conformidad Real 01.

2. El proceso de Tecnología de la Información y Comunicación realizó en forma

extemporánea los monitoreos del riesgo Suspensión Masiva en la prestación del servicio

de telecomunicaciones, como se evidenció en: el con corte a diciembre de 2015 se realizó

el 27 de enero de 2016 y con corte a 30 de junio, el 28 de julio. Incumpliendo lo establecido

en el numeral 6.6 del lineamiento Administración del Riesgo L-DE-01. Que establece que

31


GESTIÓN


los monitoreos trimestrales se deben presentar durante los 15 primeros días después de la

fecha de corte. No Conformidad Real 02.

7.3 Oportunidades de Mejora

1. Se Recomienda 1 realizar un análisis en cada proceso (Direccionamiento Estratégico,

Atención al Usuario, Asuntos Políticos, Seguridad Presidencial, Gestión Administrativa y

Gestión Documental) que les permita identificar riesgos de corrupción, teniendo en

cuenta que existe la posibilidad de que por acción u omisión se use el poder para desviar

la gestión de lo público hacia beneficio propio2, como: incurrir en concentración de

autoridad o exceso de poder, extralimitación de funciones, Sistemas de Información

susceptibles de manipulación o adulteración y deficiencias en el manejo documental y

de archivo, lo que permitirá establecer acciones para controlar otros posibles hechos

generadores de corrupción al interior de la Entidad.

2. Se Recomienda 2 efectuar un monitoreo permanente e implementar acciones que

conlleven a disminuir la probabilidad y mitigar el impacto en caso de materialización de

los 5 riesgos (R3 Atención Usuario, R1 DAICMA, R1 Sec. Prensa, R2 Sec. Prensa y R2

Bienes y Servicios) que permanecen en zona de riesgo extrema.

3. Se Recomienda 3 establecer las acciones necesarias que permitan disponer de una

información veraz y confiable en el Módulo Gestión del Riesgo.

4. Tener en cuenta las Recomendaciones de la 4 a la 40 efectuadas como resultado de la

evaluación a los riesgos institucionales, relacionados en el cuadro No. 1.

5. Una vez realizada la evaluación y seguimiento a la Gestión de Riesgo de la entidad ésta

Oficina de Control Recomienda 41 la posibilidad de implementar en el Módulo de

Gestión de Riesgos en el Aplicativo SIGEPRE, el mapa de riesgos del Sistema de Seguridad

Informática, del Sistema de Seguridad y Salud en el Trabajo y el mapa de riesgos

contables éste último acatando las Normas Internacionales de Información Financiera.

2 Estrategias para la Construcción del Plan Anticorrupción y de Atención al Ciudadano versión 2, pág. 17.

32


GESTIÓN


6. Teniendo en cuenta que la Casa del Fuerte de San Juan de Manzanillo en Cartagena y la

Hacienda Hato Grande en Sopo, son sedes que pertenecen al Departamento

Administrativo de la Presidencia de la Republica – DAPRE, se Recomienda 42 revisar la

pertinencia de identificar y valorar riesgos inherentes a estas dependencias, ya que no

se evidencia su cubrimiento, en los riesgos existentes.

7. Se Recomienda 43 actualizar el objetivo del proceso Gestión Administrativa, toda vez

que la Resolución 0970 de 2016 Artículo Vigésimo establece que las funciones del Grupo

de Telecomunicaciones pertenecen al Área de Tecnologías y Sistemas de Información.

8. Se Recomienda 44 efectuar un monitoreo permanente a los riesgos de corrupción (R1

Adquisición de BS, R7 Financiera, R2 OCID y R4 S. Jurídica) que se encuentran en zona de

riesgo extrema, e implementar acciones que prevengan su materialización y

proporcionen una seguridad razonable sobre el logro de los objetivos.

9. Tener en cuenta las Recomendaciones de la 45 a la 48 efectuadas como resultado de la

evaluación a los riesgos de corrupción, relacionados en el cuadro No. 2.

8 CONCLUSIONES DE LA AUDITORIA

La Oficina de Control Interno determina que, el Departamento Administrativo de la Presidencia

de la República DAPRE, cuenta con una metodología de riesgos adecuada, la cual cuenta con

una política de administración de riesgos y unos lineamientos que le permite realizar la

identificación, valoración, tratamiento y monitoreo de cada uno de los eventos que puedan

afectar el logro de los objetivos de la entidad y garantizando la operatividad eficaz del Sistema

de Control Interno.

Sin embargo, se establecen aspectos conformes y no conformes los cuales se les debe dar el

tratamiento correspondiente para poder tener así un mejoramiento continuo.

informe de auditoría a la gestión del...

Documents