Informe Final Evaluación, Seguimiento y Monitoreo a la

Anuncio
EVALUACION, SEGUIMIENTO Y MONITOREO A LA ADMINISTRACION
DEL RIESGO DE LA ESCUELA SUPERIOR DE ADMINISTRACIÓN
PÚBLICA - ESAP
NESTOR RAUL GÓNGORA PÉREZ
ESCUELA SUPERIOR DE ADMINISTRACIÓN PÚBLICA ESAP
FACULTAD DE PREGRADO
PROGRAMA DE CIENCIAS POLÍTICAS Y ADMINISTRATIVAS
BOGOTÁ, D.C.
2010
1
EVALUACION, SEGUIMIENTO Y MONITOREO A LA ADMINISTRACION
DEL RIESGO DE LA ESCUELA SUPERIOR DE ADMINISTRACIÓN
PÚBLICA - ESAP
NESTOR RAUL GÓNGORA PÉREZ
Informe final de Prácticas Administrativas realizadas en cumplimiento del último
requisito académico para optar al Título de Administrador Público
ASESOR ESAP:
JOSE AREVALO NIÑO
ASESOR ADMINISTRATIVO:
EURIPIDES GONZALEZ ORDOÑEZ
ESCUELA SUPERIOR DE ADMINISTRACIÓN PÚBLICA ESAP
FACULTAD DE PREGRADO
PROGRAMA DE CIENCIAS POLÍTICAS Y ADMINISTRATIVAS
BOGOTÁ, D.C.
2010
2
CONTENIDO
INTRODUCCIÓN
I PARTE – PLAN DE TRABAJO
1. Identificación del Tipo de Práctica Administrativa y su Relación con el Tema
a Desarrollar
11
2. Objetivos de la Práctica Administrativa
12
2.1. General
12
2.2. Específicos
12
2.3. Resultados Esperados
12
3. Marco de Referencia
13
3.1. Marco Conceptual
13
3.2. Marco Normativo
15
3.3. Marco Histórico
17
3.4. Marco Geográfico
18
4. Metodología
19
4.1. Fuentes de información
19
4.2. Técnicas
19
II PARTE – RESULTADOS DE LA PRACTICA
5. Riesgo
20
6. Administración del riesgo
21
6.1. Objetivos de la Administración del Riesgo
22
6.2. Metodología para la Administración del Riesgo
23
6.2.1. Contexto Estratégico
24
6.2.2. Identificación de Riesgos
24
6.2.3. Análisis de Riesgos
26
6.2.4. Valoración de Riesgos
26
6.2.5. Políticas de Administración de Riesgos
27
3
7. Roles y Responsabilidades de la Oficina de Control Interno Frente a la
Administración del Riesgo
27
8. Ciclo PHVA
28
8.1. MECI (Modelo Estándar de Control Interno para el Estado Colombiano
1000:2005 2a VERSION) y Sistemas de Gestión de Calidad (NTCGP
1000:2009)
29
8.2. Procesos
30
8.2.1. Proceso de Evaluación
32
8.3. Procedimientos
33
8.3.1. Procedimiento De Administración Del Riesgo
34
8.3.2. Procedimiento Acciones Correctivas y Preventivas
34
9. Formulación de las Políticas de Administración de Riesgos
36
9.1. Políticas de Administración de Riesgos – ESAP
37
10. Auditorias
38
10.1. Programa Anual de Auditorias
39
10.2. Evaluación, Seguimiento y Monitoreo a la Administración de Riesgos en
la ESAP
41
11. Mapa de Riesgos
41
11.1. Descripción del Mapa de Riesgos
42
11.2. Plan de Manejo de Riesgos
43
12. Plan de Mejoramiento
45
Conclusiones
Recomendaciones
Bibliografía
Anexos
4
LISTA DE GRAFICAS
Grafica No. 1: Estructura del Modelo Estándar de Control Interno
8
Grafica No. 2: Estructura Organizacional – ESAP
18
Grafica No. 3: Insumos y Productos del Componente de Administración de
Riesgos
21
Grafica No. 4: Proceso De Administración Del Riesgo
23
Grafica No. 5: Ciclo PHVA
29
Grafica No. 6: Mapa de Procesos ESAP
31
5
LISTA DE CUADROS
Cuadro No. 1: Ejemplo Factores Internos y Externos de Riesgo
24
Cuadro No. 2: Formato de Identificación de Riesgos
25
Cuadro No. 3: Formato de Clasificación Del Riesgo
26
Cuadro No. 4: Caracterización de Procesos
32
Cuadro No. 5: Formato para Documentar un Procedimiento
33
Cuadro No. 6: Formato Acciones Correctivas y Preventivas
35
Cuadro No. 7: Formato Programa Anual de Auditorias
40
Cuadro No. 8: Formato Mapa de Riesgos
42
Cuadro No. 9: Plan de Manejo de Riesgos
44
Cuadro No. 10: Formato para la Elaboración del Mapa de Riesgos
44
Cuadro No. 11: Formato Plan de Mejoramiento
45
6
LISTA DE ANEXOS
Anexo A: Caracterización del Proceso de Evaluación
Anexo B: Procedimiento de Auditorias
Anexo C: Procedimiento de Administración del Riesgo
Anexo D: Procedimiento Acciones Correctivas y Preventivas
7
I PARTE – PLAN DE TRABAJO
INTRODUCCIÓN
El Modelo Estándar de Control Interno – MECI – para el estado colombiano
(Decreto 1599 de 2005) está compuesto por tres subsistemas (Control
Estratégico, Control de Gestión y Control de Evaluación), para los cuales
existen componentes, propósitos y elementos, siendo lo anterior la descripción
para la implementación del Sistema de Control Interno con el fin de lograr
eficiencia, eficacia y efectividad.
Grafica No. 1: Estructura del Modelo Estándar de Control Interno
Fuente: Guía General para el Diseño, Desarrollo e Implementación de cada uno de los
Subsistemas, Componentes y Elementos de Modelo Estándar de Control Interno - MECI
a
1000:2005, 2 versión
El sistema de Control Interno, se constituye en un instrumento gerencial que
permite el cumplimiento de los objetivos fijados por la Entidad en desarrollo de
8
su función institucional y el mejoramiento de la gestión, así como la
cualificación del ejercicio del Control Interno con el fin de garantizar la
eficiencia, eficacia, transparencia y efectividad en el cumplimiento de sus fines
sociales.
Esta herramienta fundamental, le permitirá a la ESAP desarrollar, implementar
y mantener en operación el Sistema de Control Interno establecido en la Ley 87
de 1993. Con base en el Modelo Estándar de Control Interno se busca unificar
criterios y parámetros básicos de Control Interno, procurando construir la mejor
forma de armonizar los conceptos de control, eliminando la dispersión
conceptual existente, permitiendo una mayor claridad sobre la forma de
desarrollar la función administrativa del Estado.
Este Sistema se constituye en una herramienta de control que tiene la
ciudadanía para analizar el grado de gestión de la ESAP, contribuye a la
calidad de la gestión institucional, a la cualificación de los Planes de
Mejoramiento, al fenecimiento de las cuentas, al ejercicio del Control Interno
contable, al cumplimiento de las medidas de austeridad y a la lucha contra la
corrupción, entre otros aspectos.
Para la elaboración de este trabajo se pondrá atención en el subsistema de
control estratégico y su componente de administración del riesgo, definiendo el
subsistema como el que permite cumplir con la orientación estratégica y
organizacional de la entidad y la administración del riesgo como la
identificación, evaluación, seguimiento y monitoreo de eventos negativos o
positivos, internos o externos que afecten el logro de los objetivos
institucionales con el fin de permitir un mejor cumplimiento de las funciones.
La administración del riesgo está compuesta por cinco elementos:
1) Contexto estratégico: establece el lineamiento estratégico que orienta
las decisiones.
2) Identificación de riesgos: conocer los eventos potenciales, estén o no
bajo el control de la entidad.
3) Análisis de riesgos: establece la probabilidad de ocurrencia y el
impacto de los eventos.
4) Valoración de riesgos: determina el nivel o grado de exposición de la
entidad a los impactos.
5) Políticas de administración de riesgos: estructura criterios
orientadores en la toma de decisiones.
Por lo tanto este informe va a estar guiado por el Manual de Implementación
del Modelo Estándar de Control Interno para el Estado Colombiano - MECI
1000:2005 del Departamento Administrativo de la Función Pública, la Ley 87
de 1993 por la que se establecen las normas para el ejercicio del control
interno en las entidades y organismos del Estado y el Decreto 1599 del 2005
por el que se adopta el Modelo Estándar de Control Interno para el Estado
Colombiano, donde se encontrará información de la administración del riesgo y
9
las actividades necesarias para mejorar continuamente los servicios y
productos haciendo uso de las herramientas establecidas en el Sistema de
Gestión de Calidad y el MECI, entre otras normas.
Con el fin de realizar la presente práctica universitaria en la oficina de Control
Interno de la Escuela Superior de Administración Pública (ESAP), con sede en
Bogotá, Distrito Capital, se ha propuesto el apoyo al plan de acción para la
vigencia 2010 consistente en el procedimiento de seguimiento, evaluación y
monitoreo a la administración del riesgo de la entidad. En cuanto al
acompañamiento que en la materia debe hacer la oficina de control interno, de
acuerdo con lo previsto en el decreto 1537 de 2001, en su artículo 4. “(…) la
identificación y análisis del riesgo debe ser un proceso permanente e
interactivo entre la administración y la oficina de control interno, evaluando los
aspectos tanto internos como externos que pueden llegar a representar una
amenaza para la consecución de los objetivos organizacionales, con miras a
establecer acciones efectivas, representadas en actividades de control,
acordadas entre los responsables de las áreas o procesos y la oficina de
control interno e integradas de manera inherente a los procedimientos”.
Con lo anterior se demostrará que en el tiempo de permanencia en el programa
de Ciencias Políticas y Administración Pública he adquirido conocimientos,
habilidades, destrezas y competencias, durante la preparación académica en la
ESAP, adelantada de manera comprometida.
En consecuencia, se presenta el plan de trabajo que se va a desarrollar
durante los 4 meses que demandará la ejecución de las funciones propuestas
en la Oficina de Control Interno de la ESAP.
10
1. IDENTIFICACIÓN DEL TIPO DE PRÁCTICA ADMINISTRATIVA Y SU
RELACIÓN CON EL TEMA A DESARROLLAR
Teniendo como fundamento el Decreto 1537 de 2001, “por el cual se
reglamenta parcialmente la ley 87 de 1993 en cuanto a elementos técnicos y
administrativos que fortalezcan el sistema de control interno de las entidades y
organismos del estado”, teniendo en cuenta lo enunciado en sus artículos 3 y 4
se establece lo siguiente:
Articulo 3. De las oficinas de control interno. En desarrollo de las funciones
señaladas en el artículo 9 de la Ley 87 de 1993, el rol que deben desempeñar
las oficinas de control interno, o quien haga sus veces, dentro de los
organizaciones públicas, se enmarcan en cinco tópicos, a saber: valoración de
riesgos, acompañar y asesorar, realizar evaluación y seguimiento, fomentar la
cultura de control, y relación con entes externos.
Articulo 4. Administración de riesgos. Como parte Integral del fortalecimiento de
los sistemas de control interno en las entidades públicas, las autoridades
correspondientes establecerán y aplicarán políticas de administración del
riesgo. Para tal efecto, la identificación y análisis del riesgo debe ser un
proceso permanente e interactivo entre la administración y las oficinas de
control interno o quien haga sus veces evaluando los aspectos tanto internos
como externos que pueden llegar a representar amenaza para la consecución
de los objetos organizacionales con miras a establecer acciones efectivas,
representadas en actividades de control, acordadas entre los responsables de
las áreas o procesos y las oficinas acordadas entre los responsables de las
áreas y las oficinas de control interno e integradas de manera inherente a los
procedimientos.
La administración del riesgo es un mecanismo de control de la función, que al
interactuar sus diferentes elementos le permite a la entidad pública auto
controlar aquellos eventos que pueden afectar el cumplimiento de sus objetivos
y tiene como fin hacer énfasis en la necesidad imperiosa de que las entidades
públicas tengan inmersos en sus procesos los controles necesarios para lograr
prestar servicios y productos con altos estándares de calidad.
En consecuencia la práctica administrativa se enmarca dentro del conjunto de
actividades de gestión desarrolladas para el cumplimiento de las funciones del
Modelo Estándar de Control Interno-MECI, donde el riesgo ha sido
contemplado como uno de los componentes del subsistema de control
estratégico.
11
2. OBJETIVOS DE LA PRÁCTICA ADMINISTRATIVA
2.1. General
Fortalecer la implementación y desarrollo de la política de la administración del
riesgo a través del adecuado tratamiento de los riesgos para garantizar el
cumplimiento de la misión y objetivos institucionales de la Escuela Superior de
Administración Pública.
2.2. Específicos
2.2.1. Generar una visión sistémica acerca de la administración y evaluación de
riesgos, consolidada en un Ambiente de Control adecuado a la entidad y un
Direccionamiento Estratégico que fije la orientación clara y planeada de la
gestión creando las bases para el adecuado desarrollo de las Actividades de
Control.
2.2.2. Proteger los recursos
materialización de los riesgos.
del
Estado,
resguardándolos
contra
la
2.2.3. Introducir dentro de los procesos y procedimientos el resultado de la
administración del riesgo.
2.2.4. Involucrar y comprometer a todos los servidores de la entidad en la
búsqueda de acciones encaminadas a prevenir y administrar los riesgos.
2.2.5. Propender por la interacción para fortalecer su desarrollo y mantener la
buena imagen y las buenas relaciones con los organismos estatales.
2.2.6. Asegurar el cumplimiento de normas
2.3. Resultados Esperados
2.3.1. Realizar recomendaciones preventivas y/o correctivas con los líderes de
los procesos.
2.3.2. Hacer seguimiento a la evolución de los riesgos y al cumplimiento de las
acciones propuestas, con el fin de verificar su cumplimiento y proponer
mejoras.
2.3.3. Implementar mecanismos reales para la administración del riesgo.
2.3.4. Establecer acciones efectivas representadas en actividades de control,
acordadas entre los responsables de los procesos y dichas oficinas.
2.4.5. Implementar mecanismos que permitan visualizar y orientar la atención
hacia la aparición de nuevos riesgos.
12
3. MARCO DE REFERENCIA
3.1. Marco Conceptual1
La Administración Pública, al ocuparse de los fenómenos de organización y
gestión, no puede ser ajena a las herramientas disponibles y a las nuevas
tendencias en administración, para lo cual requiere estar en constante
actualización y abierta al cambio y a la aplicación de diferentes instrumentos
que les permitan a las entidades ser cada vez más eficientes, por lo que se
hace necesario tener en cuenta todos aquellos hechos o factores que puedan
afectar en un momento determinado el cumplimiento de los objetivos
institucionales.
Por lo anterior, es necesario introducir el concepto de la Administración del
Riesgo en las entidades, teniendo en cuenta que todas las organizaciones,
independientemente de su naturaleza, tamaño y razón de ser, están
permanentemente expuestas a diferentes riesgos o eventos que pueden poner
en peligro su existencia. Desde la perspectiva del control, el modelo COSO
interpreta que la eficiencia del control es la reducción de los riesgos, es decir, el
propósito principal del control es la eliminación o reducción de los riegos
propendiendo que el proceso y sus controles garanticen de manera razonable
que los riesgos están minimizados o se estén reduciendo y por lo tanto que los
objetivos de la organización van a ser alcanzados.
Para el caso de las organizaciones públicas, dada la diversidad y particularidad
de las entidades en cuanto a funciones, estructura, manejo presupuestal,
contacto con la ciudadanía y el carácter del compromiso social, entre otros, es
preciso identificar o precisar las áreas, los procesos, los procedimientos, las
instancias y controles dentro de los cuales puede actuarse e incurrirse en
riesgos que atentan contra la buena gestión y la obtención de resultados para
tener un adecuado manejo del riesgo.
Igualmente, es importante tener en cuenta que los riesgos están determinados
por factores de carácter externo, también denominados del entorno, y factores
de carácter interno.
Entre los factores externos se destacan: la normatividad (a manera de ejemplo
se pueden mencionar cambios constitucionales como el de 1991, que propuso
un Estado Social de Derecho); jurisprudenciales, como los que se expresan en
sentencias que declaran sin efecto normas que venían aplicándose y que en un
momento determinado pueden afectar las funciones específicas de una entidad
pública y por lo tanto sus objetivos.
1
Escuela Superior de Administración Pública E.S.A.P, Departamento Administrativo de la Función Pública
D.A.F.P. Cartillas de Administración Pública. Guía de Administración del Riesgo, Pág. 17, 18.
13
También pueden mencionarse las reformas a la Administración y los
constantes recortes presupuestales que afectan la capacidad de gestión de las
entidades públicas, lo cual, sumado a la reducción o eliminación total del
presupuesto de inversión, obliga a considerar en todo momento el riesgo en
que incurren las entidades al no poder cumplir con su objeto social.
Entre los factores internos se destacan: el manejo de los recursos, la estructura
organizacional, los controles existentes, los procesos y procedimientos, la
disponibilidad presupuestal, la forma como se vinculan las personas a las
entidades, los intereses de los directivos, el nivel del talento humano, la
motivación y los niveles salariales, entre otros.
El Componente de la Administración del Riesgo en el Subsistema de Control
Estratégico del Modelo Estándar de Control Interno habilita a las entidades
para emprender las acciones necesarias que les permitan el manejo de
eventos (riesgos) que puedan afectar negativamente el logro de los objetivos
institucionales. Para ello se integran cinco Elementos de Control: el Contexto
Estratégico, que permite establecer los factores internos y externos que
generan posibles situaciones de riesgo; la Identificación de Riesgos que define
las causas (factores internos o externos) y efectos de las situaciones de riesgo;
el Análisis de Riesgos que aporta probabilidad de ocurrencia; la Valoración de
Riesgos para medir la exposición de la entidad a los impactos del riesgo. Todos
estos elementos conducen a la definición de criterios base a la formulación del
estándar de control que se consolida en las Políticas de Administración de
Riesgos.
14
3.2. Marco Normativo
REFERENCIA
TIPO
NUMERO
AÑO
Artículo
209
1991
Ley
87
1993
Ley
872
2003
Ley
489
1998
Decreto
1826
1994
Decreto
2145
1999
Decreto
1537
2001
ORIGEN
DESCRIPCIÓN
Constitución
Colombia.
Política
INTERNACIONAL
de
“Por la cual se establecen
normas para el ejercicio del
control interno en las
entidades y organismos del
Estado y se dictan otras
disposiciones”.
“Por la cual se crea el
sistema de Gestión de la
Calidad
en
la
Rama
Ejecutiva del Poder Público
y en otras entidades
prestadoras de servicios".
Norma Técnica de Calidad
en la Gestión Pública
NTCGP 1000:2004”.
“Por la cual se dictan
normas
sobre
la
organización
y
funcionamiento
de
las
entidades
del
orden
nacional, se expiden las
disposiciones, principios y
reglas generales para el
ejercicio de las atribuciones
previstas en los numerales
15 y 16 del artículo 189 de
la Constitución Política y se
dictan otras disposiciones”.
“Por el cual se reglamenta
parcialmente la Ley 87 de
1993”.
“Por el cual se dictan
normas sobre el Sistema
Nacional de Control Interno
de
las
Entidades
y
Organismos
de
la
Administración Pública del
Orden Nacional y Territorial
y
se
dictan
otras
disposiciones”.
“Por el cual de reglamenta
parcialmente la Ley 87 de
1993
en
cuanto
a
elementos
técnicos
y
administrativos
que
fortalezcan el sistema de
control interno de las
entidades y organismos del
Estado”.
NACIONAL
DISTRITAL
INTERNO
x
x
x
x
x
x
x
15
REFERENCIA
TIPO
NUMERO
Decreto
4110
Decreto
1599
Resolución
Resolución
Resolución
AÑO
DESCRIPCIÓN
“Por el cual se reglamenta
la Ley 872 de 2003 y se
adopta la Norma Técnica de
2004
Calidad de la Gestión
Pública
NTCGP
1000:2004”.
“Por el Cual se adopta el
Modelo Estándar de Control
Interno para el Estado
Colombiano".
Modelo
Estándar de Control Interno
2005
para el Estado Colombiano
MECI 1000:2005, Sistema
de Control Interno para las
entidades regidas por la
Ley 87 de 1993”.
ORIGEN
INTERNACIONAL
NACIONAL
DISTRITAL
INTERNO
x
x
04721
“De la Contraloría General
de la República “Por el cual
1999 se establecen las normas
de auditoría gubernamental
colombianas”.
0321
“Por el cual se organiza el
Comité de Coordinación del
Sistema de Control Interno
y se conforman los equipos
responsables
de
la
2007
implementación del Modelo
Estándar de Control Interno
MECI e implementación del
Sistema de Gestión de
Calidad”.
x
0232
“Por la cual se adopta el
Modelo Estándar de Control
2006 Interno MECI1000:2005 en
la Escuela Superior de
Administración Pública”
x
x
16
3.3. Marco Histórico2
La Escuela Superior de Administración Pública es una universidad oficial
creada por la Ley 19 de 1958, adscrito al Departamento Administrativo de la
Función Pública, dotado de personería jurídica, autonomía administrativa y
financiera, patrimonio independiente y autonomía académica de conformidad
con las normas que regulan el sector educativo en general y el servicio público
de la educación superior en particular. Hace parte del sistema de carrera
administrativa e integra el sector administrativo de la función pública.
Este viaje nos remonta a los inicios de siglo XX en donde la situación política y
social estaba marcada por la lucha de poder por el control del Estado entre
Liberales y Conservadores, pensamientos que arrojaron grandes guerras
(guerra de los mil días) y grandes derramamientos de sangre.
El Proceso de Violencia Colombiano se recrudece con la muerte de Jorge
Eliécer Gaitán en 1948, y la caída del Presidente Laureano Gómez (13 de junio
de 1953) a manos del General Rojas Pinilla, Gobierno Militar que dio inicio a
una serie de estudios que pretendían identificar las necesidades de la
Población Colombiana y sus correspondientes soluciones.
Para realizar estos diagnósticos fueron invitadas al país comisiones
internacionales ( comisiones del Gobierno Francés, país de donde es copiado
el modelo de gestión aplicado en la ESAP, las misiones Kerry, Kemerer, la
misión Lounchin Currier, fundaciones privadas como Ford, Kellogs) realizan
estudios de la realidad Colombiana y recomiendan adelantar procesos para
modernizar el Aparato Estatal Colombiano.
En consonancia con los estudios de diagnóstico adelantados por el Gobierno
de Rojas Pinilla, la Comisión Económica para América Latina (CEPAL) impulsa
un modelo económico a ser aplicado en todos los países de la región, el cual
consistía en generar procesos orientados a la sustitución de las importaciones
y generar por este medio mayor empleo e incrementar la producción nacional.
Iniciativa que tenía que llevarse a cabo de la mano con la capacitación del
pueblo Colombiano en todos sus órdenes y en especial con el que labora en la
parte Estatal.
Con el nacimiento del Frente Nacional legitimizado con el plebiscito de 1957 se
dieron algunos acuerdos del plebiscito plasmados con la con la expedición de
la Ley 19 de 1958 la cual crea el Departamento Administrativo del servicio civil
(hoy Función Pública), La Sala de Consulta y Servicio Civil del Consejo de
Estado, La Carrera Administrativa y la ESAP dando respuesta a los estudios de
asesoría generados por las comisiones que habían venido a Colombia y a la
iniciativa dada por la orientación de la CEPAL.
2
http://hermesoft.esap.edu.co/
17
3.4. Marco Geográfico
La oficina de control interno de la ESAP está ubicada en la Calle 44 # 53 - 37
CAN primer piso, la estructura organizacional de la entidad está conformada
de acuerdo al siguiente organigrama:
Grafica No. 2: Estructura Organizacional - ESAP
Fuente: Oficina Asesora de Planeación ESAP
18
4. METODOLOGÍA
•
Hacer monitoreo y revisión del mapa de riesgos de la ESAP, en los
quince (15) procesos que caracterizan el proceso de evaluación.
•
Planear con cada líder del proceso la aplicación del autocontrol del
riesgo, recibiendo por parte del líder del proceso un informe de
verificación trimestralmente.
•
Asesorar y acompañar en la sensibilización del proceso de seguimiento,
evaluación y monitoreo de la administración del riesgo.
•
Recopilar la información, tabularla y analizar los resultados.
•
Apoyar la realización del primer informe de la Oficina de Control Interno
de seguimiento, evaluación y monitoreo a siete (7) procesos, de los
quince (15) programados por la oficina de Control Interno.
4.1. Fuentes de información: la información documental se obtendrá de los
informes trimestrales que presenten los líderes de procesos a la oficina de
Control Interno.
De la verificación y el acta que se levante con el líder del proceso en su
dependencia
Del monitoreo permanente al plan para administrar los riesgos en el mapa de
riesgos. El monitoreo es esencial para asegurar que las acciones se estén
llevando a cabo y evaluar la eficiencia en su implementación.
4.2. Técnicas:
1. Verificación de documentos.
2. Entrevistas grupales.
3. Análisis de la información.
4. Monitoreo.
19
II PARTE – RESULTADOS DE LA PRACTICA
5. RIESGO
Hoy en día cuando las personas se enfrentan a problemas, es necesario
buscar una explicación por qué estos suceden hallando causas del
acontecimiento, para finalmente encontrar responsables. Debido a lo anterior
para evitar que ocurran calamidades es necesario la indagación acerca de la
mejor manera de hacer las cosas e incluso crear modelos haciendo que el
desarrollo de las actividades lleven al éxito total o a impedir que el fracaso sea
de un mayor tamaño.
La condición humana es vulnerable y muestra fragilidad en comparación a
muchas especies e incluso al ambiente y entorno, apareciendo peligros los
cuales amenazan frecuentemente, es ahí cuando se piensa en estrategias que
puedan evitar el peligro y que sucedan hechos que puedan afectar el bienestar
humano, siendo la mejor herramienta para evitarlo el cuidado el cual previene
la posible ocurrencia.
Técnicamente existen definiciones que ilustran lo que puede ser el riesgo,
encontrando una que frecuentemente se aplica que puede ser la posible
ocurrencia de algo no deseado y puede darse en cualquier circunstancia o
momento, es aplicable a cualquier labor. El resultado del riesgo por lo general
es algo adverso que puede generar peligro o daño, algo que no se puede
asegurar. Cuando hay riesgo seguramente las cosas no pueden funcionar.
Debido a lo anterior se hace necesaria la prevención y tratamiento a los riesgos
con el fin de que no sucedan.
Por lo tanto el riesgo para este trabajo será entendido como la posibilidad de
que suceda algún evento que tenga un impacto negativo en lo que se hace,
encontrando riesgos de todo tipo (financieros, ambientales, humanos,
organizacionales, por citar algunos.) hasta en la actividad más insignificante,
exigiendo pensar (planear) formas que eviten la materialización.
20
6. ADMINISTRACIÓN DEL RIESGO
Grafica No. 3: Insumos y Productos del Componente de Administración de Riesgos
Fuente: Guía General para el Diseño, Desarrollo e Implementación de cada uno de los
Subsistemas, Componentes y Elementos de Modelo Estándar de Control Interno - MECI
1000:2005, 2a versión
En la Guía de Administración del Riesgo del Departamento Administrativo de la
Función Pública DAFP la administración del riesgo se define como el “conjunto
de elementos de control que al interrelacionarse permiten a la entidad pública
evaluar aquellos eventos negativos, tanto internos como externos, que pueden
afectar o impedir el logro de sus objetivos institucionales o los eventos
positivos, que permiten identificar oportunidades para un mejor cumplimiento
en su función. Se constituye en el componente de control que al interactuar sus
diferentes elementos le permite a la entidad pública auto controlar aquellos
eventos que pueden afectar el cumplimiento de sus objetivos”3.
Las organizaciones están todo el tiempo expuestas al riesgo tanto interno como
externo. En la actualidad la administración de riesgos es tratada como un tema
de altísima importancia. De ahí que se vea como un asunto crítico que
concierne a los niveles directivos de las empresas dándole mucha importancia
y encontrándolo como oportunidad para mejorar la gestión, al punto de hacerse
importante un buen diseño y recopilación de información que los pueda afectar
negativamente debido a que una mala administración del riesgo puede dejar
vulnerable a una organización frente a percances que retrasen el alcance de
sus metas, o en el peor de los casos llevarla su liquidación, mientras que
cuando está bien diseñado un programa de administración de riesgos, éste
puede brindarle a una compañía tranquilidad para lograr sus objetivos.
Esta idea de conocer los riesgos que afecten a la entidad y darle el manejo
apropiado para evitar que sucedan surge en la empresa privada. Un claro
ejemplo es el servicio que prestan las aseguradoras, servicios ofrecidos dada la
precaución de las personas, la mayoría de estos esquemas han sido tomados
3
Escuela Superior de Administración Pública E.S.A.P, Departamento Administrativo de la Función Pública
D.A.F.P. Cartillas de Administración Pública. Guía de Administración del Riesgo, Pág. 23.
21
como ejemplos exitosos y se aplican en todos los sectores con el fin de mejorar
su accionar.
Al hacerse un símil entre el sector público y privado en Colombia son notorias
las medidas internacionales para la estandarización de procesos y
procedimientos para la calidad los ha permeado a tal punto que se han creado
oficinas dentro de las entidades para que vigilen o administren el accionar de la
entidad, hallando que los negocios de todos los tamaños enfrentan una gran
presión al incrementar ganancias y beneficios sociales o económicos
dependiendo del sector, haciendo que esas presiones lleven al éxito a la
entidad en términos de eficacia, eficiencia y efectividad.
En conclusión se podría decir que el manejo de riesgos en una empresa
demanda una visión integral en las diferentes áreas, así como de las
soluciones para el manejo de estos, es un tema prioritario para las empresas
que ven las oportunidades junto con sus riesgos y son consientes de la
necesidad de manejarlos. Hallando divergencias con teorías organizativas
clásicas las cuales hacían énfasis en la detección basada en fuertes
procedimientos de control autoritario, siendo este un nuevo enfoque o modelo
de prevención con los cuales se desarrollan trabajos con pronósticos, estudios
de evaluación y prevención de riesgos.
6.1. Objetivos de la Administración del Riesgo4
- Garantizar el cumplimiento de la misión y objetivos institucionales a través de
la prevención y administración de los riesgos.
- Brindar una herramienta de gestión que facilite a la entidad una adecuada
administración del riesgo.
- Generar una visión sistémica acerca de la administración y evaluación de
riesgos, así como del papel de la alta y media gerencia, con relación a los
mismos.
- Proteger los recursos del Estado.
- Introducir dentro de los procesos y procedimientos las acciones de mitigación
resultado de la administración del riesgo.
- Hacer partícipe a todos los servidores en la búsqueda de acciones
encaminadas a prevenir los riesgos.
- Procurar el cumplimiento de normas Constitucionales y legales vigentes.
4
Manual Proceso de Evaluación ESAP
22
6.2. Metodología para la Administración del Riesgo5
El adecuado manejo de los riesgos favorece el desarrollo y crecimiento de la
entidad, con el fin de asegurar dicho manejo es importante que se establezca el
entorno de la entidad, la identificación, análisis, valoración y definición de las
alternativas de acciones de mitigación de los riesgos:
- Contexto Estratégico
- Identificación de riesgos
- Análisis de riesgos
- Valoración de riesgos
- Políticas de Administración de Riesgos
Grafica No. 4: Proceso De Administración Del Riesgo
Fuente: Escuela Superior de Administración Pública E.S.A.P, Departamento Administrativo de
la Función Pública D.A.F.P. Cartillas de Administración Pública. Guía de Administración del
Riesgo
5
Escuela Superior de Administración Pública E.S.A.P, Departamento Administrativo de la Función Pública
D.A.F.P. Cartillas de Administración Pública. Guía de Administración del Riesgo, Pág. 25.
23
6.2.1. Contexto Estratégico
Elemento de Control, que permite establecer el lineamiento estratégico que
orienta las decisiones de la entidad pública, frente a los riesgos que pueden
afectar el cumplimiento de sus objetivos producto de la observación, distinción
y análisis del conjunto de circunstancias internas y externas que puedan
generar eventos que originen oportunidades o afecten el cumplimiento de su
función, misión y objetivos institucionales.
Definir el contexto estratégico contribuye al control de la entidad frente a la
exposición al riesgo, ya que permite conocer las situaciones generadoras de
riesgos, impidiendo con ello que la entidad actúe en dirección contraria a sus
propósitos institucionales.
Una adecuada elaboración del contexto estratégico facilita la identificación de
los riesgos y posibilita su análisis y valoración, al brindar información necesaria
para estimar el grado de exposición a los mismos. De igual manera, permite
orientar las políticas hacia el manejo de los riesgos relacionados con los
aspectos más estratégicos de la entidad6.
Cuadro No. 1: Ejemplo Factores Internos y Externos de Riesgo
Fuente: Escuela Superior de Administración Pública E.S.A.P, Departamento Administrativo de
la Función Pública D.A.F.P. Cartillas de Administración Pública. Guía de Administración del
Riesgo
6.2.2. Identificación de Riesgos
Elemento de Control, que posibilita conocer los eventos potenciales, estén o no
bajo el control de la Entidad Pública, que ponen en riesgo el logro de su Misión,
estableciendo los agentes generadores, las causas y los efectos de su
ocurrencia.
6
Departamento Administrativo de la Función Pública, Dirección de Políticas de Control Interno y
Racionalización de Trámites, Guía General para el Diseño, Desarrollo e Implementación de cada uno de
a
los Subsistemas, Componentes y Elementos de Modelo Estándar de Control Interno - MECI 1000:2005, 2
versión, Pág. 43.
24
La identificación de riesgos se realiza tomando como referente el Componente
de Direccionamiento Estratégico, para ello, se determinan los eventos
generados en el entorno o dentro de la entidad que pueden afectar el logro de
los objetivos.
Entender la importancia del manejo del riesgo implica conocer con más detalle
los siguientes conceptos:
- Riesgo: representa la posibilidad de ocurrencia de un evento que pueda
entorpecer el normal desarrollo de las funciones de la entidad y afectar el logro
de sus objetivos.
- Causas: son los medios, circunstancias y agentes generadores de riesgos.
- Efectos: constituyen las consecuencias de la ocurrencia del riesgo sobre los
objetivos de la entidad; generalmente se dan sobre las personas o los bienes
materiales o inmateriales con incidencias importantes tales como: daños físicos
y fallecimiento, sanciones, pérdidas económicas, de información, de bienes, de
imagen, de credibilidad y de confianza, interrupción del servicio y daño
ambiental7.
Cuadro No. 2: Formato de Identificación de Riesgos
Fuente: Escuela Superior De Administración Pública E.S.A.P, Departamento Administrativo De
La Función Pública D.A.F.P. Cartillas De Administración Pública. Guía De Administración Del
Riesgo
Durante el proceso de identificación del riesgo se recomienda clasificarlos
teniendo en cuenta los siguientes conceptos:
-
7
Riesgo estratégico
Riesgo operativo
Riesgo financiero
Riesgo de cumplimiento
Riesgo de tecnología
Ibíd., Pág. 44.
25
Cuadro No. 3: Formato de Clasificación Del Riesgo
Fuente: Escuela Superior de Administración Pública E.S.A.P, Departamento Administrativo de
la Función Pública D.A.F.P. Cartillas de Administración Pública. Guía de Administración del
Riesgo
6.2.3. Análisis de Riesgos
Elemento de Control, que permite establecer la probabilidad de ocurrencia de
los eventos positivos y/o negativos y el impacto de sus consecuencias,
calificándolos y evaluándolos a fin de determinar la capacidad de la entidad
pública para su aceptación y manejo.
Para adelantar el análisis del riesgo se deben considerar los siguientes
aspectos:
La Calificación del Riesgo: se logra a través de la estimación de la probabilidad
de su ocurrencia y el impacto que puede causar la materialización del riesgo.
La primera representa el número de veces que el riesgo se ha presentado en
un determinado tiempo o puede presentarse, y la segunda se refiere a la
magnitud de sus efectos.
La Evaluación del Riesgo: permite comparar los resultados de su calificación,
con los criterios definidos para establecer el grado de exposición de la entidad
al riesgo; de esta forma es posible distinguir entre los riesgos aceptables,
tolerables, moderados, importantes o inaceptables y fijar las prioridades de las
acciones requeridas para su tratamiento8.
6.2.4. Valoración de Riesgos
Elemento de Control, que determina el nivel o grado de exposición de la
entidad pública al impacto del riesgo, permitiendo estimar las prioridades para
su tratamiento.
La valoración del riesgo toma como base la calificación y evaluación de los
riesgos, procediendo a la ponderación de riesgos del Modelo de Operación,
con el objetivo de establecer prioridades para su manejo y fijación de políticas.
Establece a nivel estratégico de la entidad los mayores riesgos a los cuales
está expuesta, permitiendo emprender acciones inmediatas de respuesta ante
ellos a través del diseño de políticas y la aplicación de acciones tendientes a
8
Ibíd., Pág. 44, 45.
26
evitar, reducir, dispersar o transferir el riesgo; o asumir el riesgo residual, el
cual se entiende como el nivel restante de riesgo después de que se han
tomado medidas de manejo del mismo9.
6.2.5. Políticas de Administración de Riesgos
Elemento de Control, que permite estructurar criterios orientadores en la toma
de decisiones, respecto al tratamiento de los riesgos y sus efectos al interior de
la entidad pública.
Transmiten la posición de la Dirección respecto al manejo de los riesgos y fijan
lineamientos sobre los conceptos de calificación de riesgos, las prioridades en
la respuesta, la forma de administrarlos y la protección de los recursos. En este
sentido, establecen las guías de acción para que todos los servidores
coordinen y administren los eventos que pueden inhibir el logro de los objetivos
de la entidad, orientándolos y habilitándolos para ello.
Las Políticas identifican las opciones para tratar y manejar los riesgos con base
en su valoración, y permiten tomar decisiones adecuadas para evitar, reducir,
compartir o transferir, o asumir el riesgo.
Evitar el riesgo, tomar las medidas encaminadas a prevenir su materialización.
Reducir el riesgo, implica tomar medidas encaminadas a disminuir tanto la
probabilidad (medidas de prevención), como el impacto (medidas de
protección).
Compartir o Transferir el riesgo, reduce su efecto a través del traspaso de las
pérdidas a otras organizaciones, como en el caso de los contratos de seguros o
a través de otros medios que permiten distribuir una porción del riesgo con otra
entidad, como en los contratos a riesgo compartido.
Asumir un riesgo, aceptar la pérdida residual probable y elaborar los planes de
contingencia para su manejo10.
7. ROLES Y RESPONSABILIDADES DE LA OFICINA DE CONTROL
INTERNO FRENTE A LA ADMINISTRACIÓN DEL RIESGO
Los roles y responsabilidades de la Oficina de Control Interno, son de dos
clases, directas o indirectas:
Rol directo: Asesorar el proceso de identificación de los riesgos institucionales
y con base en ellos, realizar recomendaciones preventivas y/o correctivas con
los responsables de los procesos. Igualmente, la Oficina de Control Interno
debe hacer seguimiento a la evolución de los riesgos y al cumplimiento de las
acciones propuestas, con el fin de verificar el cumplimiento de las mismas y
proponer mejoras.
9
Ibíd., Pág. 45.
Ibíd., Pág. 45.
10
27
Rol indirecto: Verificar que en la entidad se implementen políticas de la
Administración del Riesgo y se implementen mecanismos reales para la
Administración del Riesgo.
Así mismo, dentro del rol de asesor asignado a la Oficina de Control Interno, el
Decreto 1537 de 2001 en su artículo 4º: “Administración de riesgos”, especifica
que la identificación y el análisis del riesgo debe ser un proceso permanente e
interactivo entre la administración y las oficinas de control interno o quien haga
sus veces con miras a establecer acciones efectivas, representadas en
actividades de control, acordadas entre los responsables de las áreas o
procesos y dichas oficinas.
8. CICLO PHVA
El ciclo PHVA o ciclo deming es una herramienta cuyo objetivo es la mejora
continua basada en cuatro pasos:
1) Planear: se refiere a los requisitos generales, a la responsabilidad de los
directivos y la gestión de recursos.
2) Hacer: corresponde a la realización del producto o del servicio.
3) Verificar: el principal objetivo de este paso es la medición, análisis y mejora,
especificados en el numeral 8 de la NTCGP 1000, también uno de los
principales objetivos de verificar es evaluar y autoevaluar la gestión.
4) Actuar: de la misma manera que el anterior paso su principal objetivo es la
medición, el análisis y la mejora.
La norma de calidad para la gestión pública propone esta metodología para la
implementación de un sistema de calidad, siendo el principal objetivo mejorar
los productos y los servicios prestados. Cada paso de esta metodología se
asocia con un subsistema del MECI, planear corresponde al subsistema de
control estratégico, hacer al subsistema de control de la gestión y verificar y
actuar al subsistema de control de evaluación.
28
Grafica No. 5: Ciclo PHVA
Esta Figura representa la compatibilidad de los tres sistemas y no tiene como propósito indicar que un sistema
específico contiene otro sistema en forma total o parcial. Igualmente y desde el punto de vista del modelo PHVA y la
Norma Técnica de Calidad en la Gestión Pública, este modelo se aborda desde los numerales generales y no
representa el PHVA que puede darse dentro de cada numeral.
Fuente: Norma Técnica de la Gestión Pública NTCGP 1000:2009
8.1. MECI (Modelo Estándar de Control Interno para el Estado Colombiano
1000:2005 2a VERSION) y Sistemas de Gestión de Calidad (NTCGP
1000:2009)
El objetivo principal de toda entidad es la excelencia, esto se va a ver reflejado
en sus informes finales donde se revelaran resultados por periodos. Debido a lo
anterior, se han creado modelos donde lo más importante será el conocimiento
o la información de la entidad, siendo el principal insumo para el mejoramiento
y la planeación, teniendo como resultado que al mejorar los sistemas de
gestión, mejora a la vez las competencias personales y de grupo.
El propósito fundamental del MECI es orientar a las entidades hacia el
cumplimiento de sus objetivos y la contribución de éstos a los fines esenciales
del Estado, para lo cual se estructuran tres grandes subsistemas,
desagregados en sus respectivos componentes y elementos de control, para
este trabajo se pondrá especial atención en el subsistema de control
estratégico y su componente de administración del riesgo.
El subsistema de control estratégico tiene como objetivo la creación de cultura
fundamentada en el control a los procesos de direccionamiento estratégico,
administrativos y operativos de la entidad, siendo este subsistema el encargado
de la planeación. Su componente de administración de riesgo permite a la
entidad evaluar eventos negativos, tanto internos como externos que puede
29
afectar el logro de los objetivos institucionales, permitiéndole a la entidad
emprender acciones necesarias que le dejan manejar eventos que afecten
negativamente el logro de los objetivos. La administración del riesgo está
compuesta por cinco elementos los cuales fueron enunciados en la
introducción y su fin es permitir un buen manejo del riesgo.
Por otro lado existe otra herramienta como la NTCGP 1000:2009 la cual se
basa en estándares internacionales, la cual manifiesta en menor frecuencia y
menos explicito el manejo a los riesgos en los numerales 4.1. g, 5.2.6.h, 7.5.1.
g y 8.5.3. el tratamiento al riesgo cuando se presta un servicio o se ofrece un
producto. Siendo el principal instrumento los sistemas de gestión que se
definen como el conjunto de normas interrelacionadas de una empresa u
organización por los cuales se administra de forma ordenada la calidad de la
misma, en la búsqueda de la satisfacción de las necesidades y expectativas de
sus clientes. Sus principales elementos son estructura de la organización,
estructura de responsabilidades, procedimientos, procesos y recursos.
Existen innumerables sistemas de gestión exitosos, como también existen
diversos métodos para la implementación y siempre se requiere usar
herramientas propias. Sin embargo, para ser aplicable es preciso tomar en
cuenta el contexto laboral, sociocultural y político, ya que estas dimensiones
determinarán el enfoque gerencial para la calidad de la organización. La
implementación de un excelente sistema de calidad ayudará a la organización
a cumplir con sus objetivos en cuanto al producto y a la prestación del servicio
que ofrece a sus clientes y a generar en ellos satisfacción.
En conclusión se puede ver que el principal objetivo tanto del MECI como de la
NTCGP es el cumplimiento de los objetivos organizacionales, partiendo del
conocimiento y de la información que se tenga, siendo para el sector publico la
herramienta más importante para la planeación estratégica.
8.2. Procesos
La Ley 872 de 2003 promueve la adopción de un enfoque basado en los
procesos, esto es la identificación y gestión de la manera más eficaz, de todas
aquellas actividades que tengan una clara relación entre sí y las cuales
constituyen la red de procesos de una organización. La gestión por procesos
define las interacciones o acciones secuenciales, mediante las cuales se logra
la transformación de unos insumos hasta obtener un producto con las
características previamente especificadas, de acuerdo con los requerimientos
de la ciudadanía o partes interesadas.
Los procesos son un elemento de control, que permiten conformar el estándar
organizacional que soporta la operación de la entidad pública, armonizando con
enfoque sistémico la misión y visión institucional, orientándola hacia una
organización por procesos, los cuales en su interacción, interdependencia y
relación causa-efecto garantizan una ejecución eficiente, y el cumplimiento de
los objetivos de la entidad pública.
30
El Mapa de Procesos es una herramienta que se grafica en un diagrama y
permite identificar los procesos de una organización y describir sus
interrelaciones principales.
Según los requisitos generales de la NTCGP 1000:2004 con el fin de la
certificación en calidad la ESAP siguiendo lo formulado en el numeral 4.1 y en
los artículos 3 y 7 de la ley 872 de 2003 y en el numeral 1.2.2 del MECI, fueron
creados quince procesos clasificados en:
Procesos Estratégicos: incluyen los relativos al establecimiento de políticas y
estrategias, fijación de objetivos, comunicación, disposición de recursos
necesarios y revisiones por la Dirección.
Procesos Misionales: incluyen todos aquellos que proporcionan el resultado
previsto por la entidad en el cumplimiento del objeto social o razón de ser.
Procesos de Apoyo: incluyen aquellos que proveen los recursos necesarios
para el desarrollo de los procesos estratégicos, misionales y de evaluación.
Procesos de Evaluación: incluyen aquellos necesarios para medir y recopilar
datos para el análisis del desempeño y la mejora de la eficacia y la eficiencia, y
son una parte integral de los procesos estratégicos, de apoyo y los
misionales11.
Grafica No. 6: Mapa de Procesos ESAP
Fuente: Oficina Asesora de Planeación
11
Ibíd., Pág. 30, 31.
31
8.2.1. Proceso de Evaluación
La administración del riesgo en la ESAP está a cargo de la Oficina de Control
Interno, perteneciendo al Proceso de Evaluación cuyo objetivo es “Revisar,
analizar y valorar la gestión, planificación y ejecución de áreas, programas,
procesos, planes o proyectos de la ESAP, para generar información y
recomendaciones que permitan el mejoramiento continuo y el cumplimiento de
sus objetivos”.
Éste proceso dispone de mecanismos de verificación y evaluación del Sistema
de Control Interno, brinda apoyo a la toma de decisiones en procura de los
objetivos Institucionales, garantiza la correcta evaluación y seguimiento de la
gestión de la entidad por los diferentes niveles de autoridad y responsabilidad
permitiendo acciones oportunas de corrección y de mejoramiento. Propicia el
mejoramiento continuo de la gestión de la entidad y de su capacidad para
responder efectivamente a los diferentes grupos de interés12.
Por lo tanto este es un proceso de auto evaluación, el cual describe los
objetivos, políticas, metodologías y roles para el control interno, que serán
descritos más adelante.
Cuadro No. 4: Caracterización de Procesos
Fuente: Norma Fundamental ESAP
12
Norma Fundamental Sistema de Gestión de Calidad ESAP
32
8.3. Procedimientos
La Norma Técnica de Calidad en la Gestión Pública, NTCGP 1000:2009 define
procedimiento como la forma especificada para llevar a cabo una actividad o un
proceso (numeral 3.42).
El MECI teniendo en cuenta la definición de la NTCGP la describe como
elemento de Control, conformado por el conjunto de especificaciones,
relaciones y ordenamiento de las tareas requeridas para cumplir con las
actividades de un proceso, controlando las acciones que requiere la operación
de la entidad pública. Establece los métodos para realizar las tareas y la
asignación de responsabilidad y autoridad en la ejecución de las actividades.
Este elemento se constituye en un estándar de control que establece los
métodos o formas más eficientes y eficaces de operativizar las actividades de
los procesos, permitiendo describir y comprender las relaciones entre áreas y
flujos de información que se suceden en el proceso y la coordinación de las
actividades. Los procedimientos establecidos a partir de las actividades
definidas para cada proceso, regulan la forma de operación de los servidores
de la entidad y permiten entender la dinámica requerida para el logro de los
objetivos y la obtención efectiva de los productos o servicios.
Cuadro No. 5: Formato para Documentar un Procedimiento
Fuente: Norma Fundamental ESAP
33
8.3.1. Procedimiento De Administración Del Riesgo
El Control Interno ha sido incorporado a la administración pública como un
instrumento orientado a garantizar el logro de los objetivos de las entidades del
Estado en todos los niveles - nacional, departamental o territorial – en
cumplimiento de los principios de la función pública colombiana.
La principal normatividad que rige el accionar de control interno es la ley 87
"Por la cual se establecen normas para el ejercicio de control interno en la
entidades y organismos del estado y se dictan otras disposiciones", la ley 489
la cual dispuso la creación del sistema nacional de control interno en su
capítulo VI y el decreto 1599 “por el cual ser adopta el Modelo Estándar de
Control Interno para el Estado Colombiano”.
En la Guía de Administración de Riesgo exponen dos tipos de roles en los que
está involucrada la Oficina de Control Interno. Estos roles pueden ser de tipo
directo o indirecto, el primero se basa en asesorar el proceso de identificación
de los riesgos institucionales y con base en ellos realizar recomendaciones
preventivas o correctivas con los responsables de los procesos. Igualmente, la
Oficina de Control Interno debe hacer seguimiento a la evolución de los riesgos
y al cumplimiento de las acciones propuestas, con el fin de verificar su
cumplimiento y proponer mejoras y el segundo en verificar que en la entidad se
implementen políticas de la Administración del Riesgo y se implementen
mecanismos reales para la Administración del Riesgo.
Finalmente el objetivo de la administración del riesgo y de la Oficina de control
Interno es propender por el cumplimiento de la misión y objetivos institucionales
a través de la prevención y administración de los riesgos, logrando el diseño e
implementación del sistema de administración de riesgos sobre toda la
organización y el acompañamiento de la dirección, teniendo en cuenta todos
sus procesos de coordinación e integralidad hasta el proceso de seguimiento
en su etapa de consolidación y los mecanismos de retroalimentación
necesarios. Por lo tanto el riesgo es manejado en la ESAP por la Oficina de
Control Interno estando explícitos en el manual de proceso de evaluación, en la
caracterización del proceso de evaluación y el procedimiento de administración
de riesgos, teniendo como resultado un producto llamado Plan de Manejo de
Riesgos.
8.3.2. Procedimiento Acciones Correctivas y Preventivas
Según la NTCGP 1000, en su numeral 8.5 recomienda para el seguimiento,
evaluación y monitoreo a la administración del riesgo documentar en los
formatos establecidos de acciones correctivas las acciones para el control de
los riesgos.
El objetivo de este procedimiento es establecer un método unificado de trabajo
para identificar, dimensionar, analizar y eliminar las causas de las no
34
conformidades reales o potenciales del sistema de gestión de calidad, así como
definir las acciones que permitan mitigar cualquier impacto.
El alcance es aplicar para todas aquellas acciones tanto correctivas como
preventivas resultantes de las no conformidades halladas en los servicios o
procesos de los sistemas de gestión y evaluación, también aplica para aquellas
acciones implementadas por iniciativa pro.
El responsable de dicho procedimiento es el Director nacional o delegado de la
alta dirección para la implementación de los sistemas de gestión y evaluación.
Cuadro No. 6: Formato Acciones Correctivas y Preventivas
Fuente: Proceso de Evaluación ESAP
35
9. FORMULACIÓN DE LAS POLÍTICAS DE ADMINISTRACIÓN DE RIESGOS
El proceso de identificación y análisis del riesgo debe ser un proceso
permanente e interactivo entre la administración y la Oficina de Control Interno
de la ESAP, con miras a establecer acciones efectivas, representadas en
actividades de control, acordadas entre los responsables de las áreas o
procesos y la Oficina de Control Interno.
La administración del riesgo parte de una política institucional definida y
respaldada por la alta dirección que se comprometa a manejar el tema dentro
de la Organización.
Las políticas identifican las opciones para tratar y manejar los riesgos basadas
en la valoración de riesgos, permiten tomar decisiones adecuadas y fijar los
lineamientos de la Administración del Riesgo, a su vez transmite la posición de
la dirección y establecen las guías de acción necesarias a todos los servidores
de la entidad.
Se deben tener en cuenta algunas de las siguientes opciones, las cuales
pueden considerarse cada una de ellas independientemente, interrelacionadas
o en conjunto.
– Evitar el riesgo, tomar las medidas encaminadas a prevenir su
materialización. Es siempre la primera alternativa a considerar, se logra cuando
al interior de los procesos se genera cambios sustanciales por mejoramiento,
rediseño o eliminación, resultado de unos adecuados controles y acciones
emprendidas. Un ejemplo de esto puede ser el control de calidad, manejo de
los insumos, mantenimiento preventivo de los equipos, desarrollo tecnológico,
entre otros.
– Reducir el riesgo, implica tomar medidas encaminadas a disminuir tanto la
probabilidad (medidas de prevención), como el impacto (medidas de
protección). La reducción del riesgo es probablemente el método más sencillo y
económico para superar las debilidades antes de aplicar medidas más
costosas y difíciles. Se consigue mediante la optimización de los
procedimientos y la implementación de controles.
– Compartir o transferir el riesgo, reduce su efecto a través del traspaso de las
pérdidas a otras organizaciones, como en el caso de los contratos de seguros o
a través de otros medios que permiten distribuir una porción del riesgo con otra
entidad, como en los contratos a riesgo compartido. Es así como por ejemplo,
la información de gran importancia se puede duplicar y almacenar en un lugar
distante y de ubicación segura, en vez de dejarla concentrada en un solo lugar.
– Asumir un riesgo, luego de que el riesgo ha sido reducido o transferido
puede quedar un riesgo residual que se mantiene, en este caso el gerente del
proceso simplemente acepta la pérdida residual probable y elabora planes de
contingencia para su manejo13.
13
Escuela Superior de Administración Pública E.S.A.P, Departamento Administrativo de la Función
Pública D.A.F.P. Cartillas de Administración Pública. Guía de Administración del Riesgo, Pág. 37, 38.
36
9.1. Políticas de Administración de Riesgos – ESAP14
Para el caso de la ESAP, dada la diversidad y particularidad de la entidad en
cuanto a funciones, estructura, manejo presupuestal, contacto con la
ciudadanía y el carácter del compromiso social entre otros, es preciso
identificar o precisar las áreas, los procesos, los procedimientos, las instancias
y controles dentro de los cuales puede actuarse e incurrirse en riesgos que
atentan contra la buena gestión y la obtención de resultados para tener un
adecuado manejo del mismo. Igualmente, es importante tener en cuenta que
los riesgos están determinados por factores de carácter externo, también
denominados del entorno y factores de carácter interno.
Entre los factores externos se destacan: la normatividad, a vía de ejemplo se
pueden mencionar cambios constitucionales, jurisprudenciales, presupuestales,
entre otros y que en un momento determinado pueden afectar las funciones
misionales de la entidad.
Entre los factores internos se destacan: el manejo de los recursos, la estructura
organizacional, los controles existentes, los procesos y procedimientos, la
disponibilidad presupuestal, la forma como se vinculan las personas a la
entidad, los intereses de los directivos, el nivel del talento humano, la
motivación y los niveles salariales, entre otros.
El Componente de la Administración del Riesgo en el Subsistema de Control
Estratégico del Modelo Estándar de Control Interno, habilita a la entidad para
emprender las acciones necesarias que le permitan el manejo de eventos
(riesgos) que puedan afectar negativamente el logro de los objetivos
institucionales. Para ello se integran cinco Elementos de Control: el Contexto
Estratégico que permite establecer los factores internos y externos que
generan posibles situaciones de riesgo; la Identificación de Riesgos que define
las causas (factores internos o externos) y efectos de las situaciones de riesgo;
el Análisis de Riesgos que aporta probabilidad de ocurrencia; la Valoración de
Riesgos para medir la exposición de la entidad a los impactos del riesgo. Todos
estos elementos conducen a la definición de criterios base a la formulación del
estándar de control que se consolida en la Políticas de Administración de
Riesgos.
Para la implementación de este componente se toman como base los Planes y
programas, el Modelo de Operación y sus diferentes niveles de despliegue, a
fin de establecer los posibles riesgos de los procesos y las actividades. Este
componente toma como base la identificación de los factores internos o
externos y de operación que puedan afectar el desarrollo de la función
administrativa de la entidad; una vez identificados se asocian a los procesos,
analizándolos, valorándolos y calificándolos en términos de su impacto en la
gestión. Finalmente, este resultado permitirá definir las directrices para la
Administración del Riesgo.
14
Manual Proceso de Evaluación ESAP
37
10. AUDITORIAS
La Auditoria constituye una herramienta de control y supervisión que contribuye
a la creación de una cultura en la organización y permite descubrir fallas en las
estructuras o vulnerabilidades existentes.
Según el manual del proceso de evaluación de la ESAP, las auditorias pueden
ser de tres tipos:
• Auditoria de Primera Parte o Auditoría Interna: Se realiza por, o en
nombre de la propia organización, para la revisión por la dirección y con
otros fines internos y puede constituir la base para un auto declaración
de conformidad de la entidad.
• Auditoria de Segunda Parte: se lleva a cabo por partes que tienen un
interés en la organización, tal como los clientes, organismos de control,
o por otras personas en su nombre.
• Auditoria de Tercera Parte: Se lleva a cabo por organizaciones auditoras
independientes y externas que proporcionan el certificado de
conformidad de acuerdo con los requisitos de la NTCGP 1000:2009 y las
Normas ISO.
Las auditorias se clasifican en:
-
Auditoría interna: el MECI en el numeral 3.2.2 la define como el
elemento de Control, que permite realizar un examen sistemático,
objetivo e independiente de los procesos, actividades, operaciones y
resultados de una Entidad Pública. Así mismo, permite emitir juicios
basados en evidencias sobre los aspectos más importantes de la
gestión, los resultados obtenidos y la satisfacción de los diferentes
grupos de interés.
Su propósito es hacer recomendaciones imparciales a partir de
evidencias sobre el grado de cumplimiento de los objetivos, los planes,
los programas, proyectos y procesos, así como sobre irregularidades y
errores presentados en la operación de la entidad, apoyando a la Alta
Dirección en la toma de decisiones necesarias para corregir las
desviaciones, sugiriendo las acciones de mejoramiento correspondientes
y debe tener alcance en tres aspectos básicos de evaluación –
cumplimiento, estratégico y gestión y resultados15.
-
Auditoría externa: examina y evalúa cualquiera de los sistemas de
información de una organización y emite una opinión independiente
15
Departamento Administrativo de la Función Pública, Dirección de Políticas de Control Interno y
Racionalización de Trámites, Guía General para el Diseño, Desarrollo e Implementación de cada uno de
a
los Subsistemas, Componentes y Elementos de Modelo Estándar de Control Interno - MECI 1000:2005, 2
versión, Pág. 101.
38
sobre los mismos. La Auditoría Externa o Independiente tiene por objeto
averiguar la razón, habilidad, integridad y autenticidad de los
expedientes y documentos y, toda aquella información producida por la
organización.
Este tipo de auditorías debe hacerla una persona o firma independiente
de capacidad profesional reconocida. Esta persona o firma debe ser
capaz de ofrecer una opinión imparcial y profesionalmente experta
acerca de los resultados de auditoría, basándose en el hecho de que su
opinión ha de acompañar el informe presentado al término del examen y
concediendo que pueda expresarse una opinión basada en la veracidad
de los documentos.
Una actividad específica de las oficinas de control interno del sector público es
hacer un plan de acción, del cual hace parte del programa anual de auditorías
en áreas, procesos y direcciones territoriales, siendo un documento de trabajo
detallado que se constituye en el derrotero para la ejecución.
Siguiendo la caracterización del procedimiento de auditorías internas en la
ESAP, estas se basan en cinco pasos fundamentales:
-
Programación
Planeación
Preparación
Ejecución
Informe
Para las cuales se establecen formatos de calidad que contienen listas de
chequeo, actas e informes, teniendo como resultado el análisis del mapa de
riesgos según el proceso.
10.1. Programa Anual de Auditorias
El programa Anual de Auditoría interna debe contener como mínimo los
siguientes aspectos:
- Identificación de Procesos, actividades o áreas criticas
- Objetivos y Alcance
- Responsabilidades
- Recursos
- Cronograma de Auditoria
- Seguimiento y revisión
El programa Anual de Auditoría interna se debe presentar a la máxima
autoridad de la entidad y al Comité de Coordinación de Control Interno para
lograr su apoyo y compromiso mediante su aprobación, responsable Oficina de
Control Interno o quien haga sus veces.
39
El programa de auditoría interna de calidad lo elabora el Jefe de la Oficina de
Control Interno de la ESAP teniendo en cuenta: el estado y la importancia de
los procesos y las áreas por auditar, así como los resultados de auditorías
previas; ésta programación debe ser aprobada por parte de la Dirección
Nacional.
La Oficina de Control Interno o quien haga sus veces puede realizar Auditorías
Internas a procesos, actividades u operaciones, no contempladas en el
Programa Anual de Auditoria, cuando lo determine el representante legal o las
condiciones así lo ameriten.
Cuadro No. 7: Formato Programa Anual de Auditorias
Fuente: Proceso de Evaluación ESAP
40
10.2. Evaluación, Seguimiento y Monitoreo a la Administración de Riesgos
en la ESAP
La Oficina de Control Interno hace seguimiento y monitoreo a la Administración
del Riesgo en la Entidad y evalúa el desarrollo y cumplimiento de las acciones
preventivas contempladas en el Mapa de Riesgos, para prevenir o mitigar los
riesgos de nivel considerable en cada uno de los procesos y en cumplimiento
de su quehacer misional. A tal fin se ha elaborado un plan de acción para la
presente vigencia, en el cual se estipulan las actividades que se deben ejecutar
en tiempo predeterminado y aplicando los indicadores que miden el grado de
cumplimiento de las mismas.
El control de los riesgos es un aspecto positivo y fortaleza para la protección de
los recursos del Estado, resguardándolos contra la materialización, al involucrar
y comprometer a los funcionarios en la búsqueda de acciones encaminadas a
prevenir y administrar los riesgos, siendo una forma de asegurar el
cumplimiento de normas, leyes y regulaciones, además de introducir dentro de
los procesos y procedimientos las acciones de mitigación resultado de la
administración del riesgo.
El instrumento para hacer seguimiento y monitoreo al riesgo es la auditoria que
comprende actividades de programación, planeación, preparación, ejecución,
informe, plan de mejoramiento y seguimiento a las acciones, llevándose a cabo
la evaluación de acuerdo con normas de auditoría generalmente aceptadas y
basándose en instrumentos de verificación y soporte tales como manuales de
procesos, manuales de procedimientos, mapa de riesgos, acciones correctivas
y preventivas, formatos, registros, entre otros.
La metodología utilizada se soporta en la verificación y análisis de documentos
a través de pruebas selectivas y entrevistas con servidores públicos del
proceso auditado. Incluye la comprobación de operaciones financieras,
administrativas, económicas y sociales, teniendo la participación de los líderes
del proceso, los representantes de la Oficina de Control Interno, los registrados
en el mapa de riesgos y los profesionales asignados por el líder del proceso.
Se puede notar que la Oficina de Control Interno verificara la inclusión del tema
de manejos de riesgo en la agenda laboral de cada proceso, es decir que en
toda reunión el tema de riesgo será de carácter obligatorio, a fin de indagar por
el cumplimiento de las acciones estipuladas en el mapa de riesgos, cumpliendo
funciones de asesora, que sugerirá y aplicara los correctivos y ajustes
necesarios para asegurar un efectivos manejo del riesgo.
11. MAPA DE RIESGOS
El mapa de riesgos contiene a nivel estratégico los mayores riesgos a los
cuales está expuesta la entidad, permitiendo conocer las políticas inmediatas
de respuesta ante ellos tendientes a evitar, reducir, compartir o transferir el
41
riesgo; o asumir el riesgo residual, y la aplicación de acciones, así como los
responsables, el cronograma y los indicadores.
No obstante se considera recomendable, elaborar un mapa de riesgos por cada
proceso para facilitar la administración del riesgo, el cual debe elaborarse al
finalizar la etapa de Valoración del Riesgo16.
Cuadro No. 8: Formato Mapa de Riesgos
Fuente: Escuela Superior de Administración Pública E.S.A.P, Departamento Administrativo de
la Función Pública D.A.F.P. Cartillas de Administración Pública. Guía de Administración del
Riesgo
11.1. Descripción del Mapa de Riesgos17
Riesgo: posibilidad de ocurrencia de un evento que pueda entorpecer el normal
desarrollo de las funciones de la entidad y le impidan el logro de sus objetivos.
Impacto: consecuencias que
materialización del riesgo.
puede
ocasionar
a
la
organización
la
Probabilidad: entendida como la posibilidad de ocurrencia del riesgo; ésta
puede ser medida con criterios de Frecuencia, si se ha materializado (por
ejemplo: No. de veces en un tiempo determinado), o de Factibilidad teniendo
en cuenta la presencia de factores internos y externos que pueden propiciar el
riesgo, aunque éste no se haya materializado.
Evaluación del riesgo: Resultado obtenido en la matriz de calificación,
evaluación y respuesta a los riesgos.
Controles existentes: especificar cuál es el control que la entidad tiene
implementado para combatir, minimizar o prevenir el riesgo.
Valoración del riesgo: es el resultado de determinar la exposición de la entidad
al riesgo, luego de confrontar la evaluación del riesgo con los controles
existentes.
Opciones de manejo: opciones de respuesta ante los riesgos tendientes a
evitar, reducir, dispersar o transferir el riesgo; o asumir el riesgo residual.
16
Escuela Superior de Administración Pública E.S.A.P, Departamento Administrativo de la Función
Pública D.A.F.P. Cartillas de Administración Pública. Guía de Administración del Riesgo, Pág. 39.
17
Ibíd., Pág. 39, 40.
42
Acciones: es la aplicación concreta de las opciones de manejo del riesgo que
entrarán a prevenir o a reducir el riesgo y harán parte del plan de manejo del
riesgo.
Responsables: son las dependencias o áreas encargadas de adelantar las
acciones propuestas.
Cronograma: son las fechas establecidas para implementar las acciones por
parte del grupo de trabajo.
Indicadores: se consignan los indicadores diseñados para evaluar el desarrollo
de las acciones implementadas.
11.2. Plan de Manejo de Riesgos
Plan de acción propuesto por el grupo de trabajo, cuya evaluación beneficio
costo resulta positivo y es aprobado por la gerencia.
Con el Plan de Manejo de los Riesgos se consolidan las políticas para el
control de los factores y agentes que pueden originar situaciones de afectación,
por tanto con la adopción de este Plan se concluye la fase de implantación del
componente de Administración de Riesgos, dando paso al mejoramiento
continuo que debe acompañar todo proceso de desarrollo.
La necesidad de diseñar e implementar un Plan de manejo de los riesgos
institucionales, está asociada con el impacto o consecuencias que éstos
puedan generar en el normal desarrollo de los procesos y por ende en el
cumplimiento de la misión institucional, lo cual supone que las políticas, las
acciones y decisiones que las materialicen deben ser de carácter obligatorio
por parte de los servidores que ejecutan los procesos, así como de las oficinas
responsables de la gestión.
En consideración a lo anterior, este plan se convierte en una guía institucional
de respuesta ante los riesgos a los cuales está expuesta la entidad.
43
Cuadro No. 9: Plan de Manejo de Riesgos
Fuente: Proceso Evaluación ESAP
Cuadro No. 10: Formato para la Elaboración del Mapa de Riesgos
Fuente: Proceso Evaluación ESAP
44
12. PLAN DE MEJORAMIENTO
Elemento de control, que permite el mejoramiento continuo y cumplimiento de
los objetivos institucionales de orden corporativo de la entidad pública. Integra
las acciones de mejoramiento que a nivel de sus macro procesos o
componentes corporativos debe operar la entidad pública para fortalecer
integralmente su desempeño institucional, cumplir con su función, misión y
objetivos en los términos establecidos en la Constitución, la Ley, teniendo en
cuenta los compromisos adquiridos con los organismos de control fiscal, de
control político y con los diferentes grupos de interés.
Por lo tanto los planes de Mejoramiento Institucional en la ESAP generan las
recomendaciones correspondientes y asesorando a la alta dirección para su
puesta en marcha.
Cuadro No. 11: Formato Plan de Mejoramiento
Fuente: Proceso Evaluación ESAP
45
CONCLUSIONES
La evaluación, seguimiento y monitoreo a la administración del riesgo
demuestra que este procedimiento se fundamenta en la planeación estratégica,
desde el momento en que se empieza la elaboración del mapa de riesgos que
consigna las acciones tomadas para evitar la materialización, hasta la revisión
del cumplimiento de dichas acciones, teniendo como metodología la
verificación del cumplimiento de las acciones estipuladas en el respectivo mapa
de riesgos y cuya prueba tiene soporte a través del indicador estipulado en el
mismo mapa.
Es preciso anotar que los procesos adoptados por la Entidad siguiendo las
directrices de la Norma Técnica de Calidad tienen carácter Nacional por tanto
el desarrollo de las acciones así como la responsabilidad de la eficiencia y
manejo de los riesgos que conciernen a los procesos son de exclusivo resorte
de su líder. Los riesgos contemplados para cada proceso de la entidad tienen
cubrimiento para la Sede Central y las Direcciones Territoriales. No es menos
cierto que la Oficina de Control Interno tiene por función fundamental el
seguimiento, evaluación y monitoreo en cuanto a la marcha y desarrollo de
dichas políticas, pero la responsabilidad de liderar y velar por el buen desarrollo
de las actividades previstas para mitigar el riesgo están bajo responsabilidad
del líder de cada proceso y hacen parte de las actividades que le corresponden
a la alta dirección de la Entidad.
Las auditorias de evaluación y seguimiento son una herramienta indispensable,
para que este tipo de actividades ayudan a mejorar y acercan cada vez más a
la excelencia, reportando a la Oficina de Control Interno los informes que ésta
dependencia solicite a la dirección del proceso. Las observaciones son
tomadas como base para la mejora continúa y para que todas las personas
involucradas se identifiquen y apoyen el desarrollo y avance del proceso. Por lo
tanto las auditorias dan a conocer el estado de la Entidad, al hacer diagnostico
del funcionamiento de sus procesos y procedimientos.
En conclusión la herramienta más importante a nivel organizacional es la
información que exista acerca de esta, debido a que es el punto de partida para
el funcionamiento, entre mas conocimiento mejor desempeño y el riesgo
disminuye, por lo tanto los mecanismos de control tanto internos como
externos son utilizados como instrumento que desempeña la función de vigilar,
recopilar y verificar que lo establecido se cumpla, confirmando la premisa de
que la calidad en la gestión no se improvisa.
46
RECOMENDACIONES
-
Revisar la periodicidad de cada una de las acciones estipuladas por
cada proceso en el mapa de riesgos.
-
Mantener en la agenda de cada territorial el manejo y cumplimiento de la
política de riesgos adoptada por la entidad.
-
Reportar al líder del Proceso las acciones realizadas oportunamente por
parte de los Directores Territoriales.
-
Reportar a la Oficina de Control Interno los informes que ésta
dependencia solicite a la dirección del proceso.
-
Requerir oportuna y eficientemente por parte del líder del proceso a cada
una de las sedes territoriales los documentos estipulados en el indicador
para cada uno de los riesgos registrados en el mapa.
-
Suministrar las herramientas tanto tecnológicas como logísticas a todas
Direcciones Territoriales para lograr una buena y eficiente realización de
las actividades conducentes a la prevención del riesgo.
-
Tomar oportunamente las decisiones que conduzcan a la corrección de
las observaciones expuestas tanto por los integrantes del proceso como
por los auditores de control interno.
-
Informar oportunamente a la Oficina de Planeación y a la Oficina de
Control Interno respecto de los cambios o modificaciones al mapa de
riesgos del Proceso.
47
BIBLIOGRAFÍA
Constitución Política de Colombia de 1991. 3 Ed. Bogotá: ESAP-Centro de
Publicaciones, 1992.
Decreto 1537 de 2001
Decreto 1599 de 2005
Departamento Administrativo de la Función Pública, Dirección de Políticas
de Control Interno y Racionalización de Trámites, Guía General para el Diseño,
Desarrollo e Implementación de cada uno de los Subsistemas, Componentes y
Elementos del Modelo Estándar De Control Interno - MECI 1000:2005, 2a
Versión
Escuela Superior de Administración Pública E.S.A.P, Departamento
Administrativo de la Función Pública D.A.F.P. Cartillas de Administración
Pública. Guía de Administración del Riesgo
Ley 489 de 1998: Estatuto Básico de Organización y Funcionamiento de la
Administración Pública. Bogotá: ESAP-Unidad de Publicaciones, 1999.
Ley 87 de 1993
Ley 872 de 2003
Manual Proceso de Evaluación ESAP
Norma Fundamental ESAP
Norma Técnica de la Gestión Pública NTCGP 1000:2009
Resolución 0232 de 2006
48
ANEXOS
49
Descargar