EVALUACION, SEGUIMIENTO Y MONITOREO A LA ADMINISTRACION DEL RIESGO DE LA ESCUELA SUPERIOR DE ADMINISTRACIÓN PÚBLICA - ESAP NESTOR RAUL GÓNGORA PÉREZ ESCUELA SUPERIOR DE ADMINISTRACIÓN PÚBLICA ESAP FACULTAD DE PREGRADO PROGRAMA DE CIENCIAS POLÍTICAS Y ADMINISTRATIVAS BOGOTÁ, D.C. 2010 1 EVALUACION, SEGUIMIENTO Y MONITOREO A LA ADMINISTRACION DEL RIESGO DE LA ESCUELA SUPERIOR DE ADMINISTRACIÓN PÚBLICA - ESAP NESTOR RAUL GÓNGORA PÉREZ Informe final de Prácticas Administrativas realizadas en cumplimiento del último requisito académico para optar al Título de Administrador Público ASESOR ESAP: JOSE AREVALO NIÑO ASESOR ADMINISTRATIVO: EURIPIDES GONZALEZ ORDOÑEZ ESCUELA SUPERIOR DE ADMINISTRACIÓN PÚBLICA ESAP FACULTAD DE PREGRADO PROGRAMA DE CIENCIAS POLÍTICAS Y ADMINISTRATIVAS BOGOTÁ, D.C. 2010 2 CONTENIDO INTRODUCCIÓN I PARTE – PLAN DE TRABAJO 1. Identificación del Tipo de Práctica Administrativa y su Relación con el Tema a Desarrollar 11 2. Objetivos de la Práctica Administrativa 12 2.1. General 12 2.2. Específicos 12 2.3. Resultados Esperados 12 3. Marco de Referencia 13 3.1. Marco Conceptual 13 3.2. Marco Normativo 15 3.3. Marco Histórico 17 3.4. Marco Geográfico 18 4. Metodología 19 4.1. Fuentes de información 19 4.2. Técnicas 19 II PARTE – RESULTADOS DE LA PRACTICA 5. Riesgo 20 6. Administración del riesgo 21 6.1. Objetivos de la Administración del Riesgo 22 6.2. Metodología para la Administración del Riesgo 23 6.2.1. Contexto Estratégico 24 6.2.2. Identificación de Riesgos 24 6.2.3. Análisis de Riesgos 26 6.2.4. Valoración de Riesgos 26 6.2.5. Políticas de Administración de Riesgos 27 3 7. Roles y Responsabilidades de la Oficina de Control Interno Frente a la Administración del Riesgo 27 8. Ciclo PHVA 28 8.1. MECI (Modelo Estándar de Control Interno para el Estado Colombiano 1000:2005 2a VERSION) y Sistemas de Gestión de Calidad (NTCGP 1000:2009) 29 8.2. Procesos 30 8.2.1. Proceso de Evaluación 32 8.3. Procedimientos 33 8.3.1. Procedimiento De Administración Del Riesgo 34 8.3.2. Procedimiento Acciones Correctivas y Preventivas 34 9. Formulación de las Políticas de Administración de Riesgos 36 9.1. Políticas de Administración de Riesgos – ESAP 37 10. Auditorias 38 10.1. Programa Anual de Auditorias 39 10.2. Evaluación, Seguimiento y Monitoreo a la Administración de Riesgos en la ESAP 41 11. Mapa de Riesgos 41 11.1. Descripción del Mapa de Riesgos 42 11.2. Plan de Manejo de Riesgos 43 12. Plan de Mejoramiento 45 Conclusiones Recomendaciones Bibliografía Anexos 4 LISTA DE GRAFICAS Grafica No. 1: Estructura del Modelo Estándar de Control Interno 8 Grafica No. 2: Estructura Organizacional – ESAP 18 Grafica No. 3: Insumos y Productos del Componente de Administración de Riesgos 21 Grafica No. 4: Proceso De Administración Del Riesgo 23 Grafica No. 5: Ciclo PHVA 29 Grafica No. 6: Mapa de Procesos ESAP 31 5 LISTA DE CUADROS Cuadro No. 1: Ejemplo Factores Internos y Externos de Riesgo 24 Cuadro No. 2: Formato de Identificación de Riesgos 25 Cuadro No. 3: Formato de Clasificación Del Riesgo 26 Cuadro No. 4: Caracterización de Procesos 32 Cuadro No. 5: Formato para Documentar un Procedimiento 33 Cuadro No. 6: Formato Acciones Correctivas y Preventivas 35 Cuadro No. 7: Formato Programa Anual de Auditorias 40 Cuadro No. 8: Formato Mapa de Riesgos 42 Cuadro No. 9: Plan de Manejo de Riesgos 44 Cuadro No. 10: Formato para la Elaboración del Mapa de Riesgos 44 Cuadro No. 11: Formato Plan de Mejoramiento 45 6 LISTA DE ANEXOS Anexo A: Caracterización del Proceso de Evaluación Anexo B: Procedimiento de Auditorias Anexo C: Procedimiento de Administración del Riesgo Anexo D: Procedimiento Acciones Correctivas y Preventivas 7 I PARTE – PLAN DE TRABAJO INTRODUCCIÓN El Modelo Estándar de Control Interno – MECI – para el estado colombiano (Decreto 1599 de 2005) está compuesto por tres subsistemas (Control Estratégico, Control de Gestión y Control de Evaluación), para los cuales existen componentes, propósitos y elementos, siendo lo anterior la descripción para la implementación del Sistema de Control Interno con el fin de lograr eficiencia, eficacia y efectividad. Grafica No. 1: Estructura del Modelo Estándar de Control Interno Fuente: Guía General para el Diseño, Desarrollo e Implementación de cada uno de los Subsistemas, Componentes y Elementos de Modelo Estándar de Control Interno - MECI a 1000:2005, 2 versión El sistema de Control Interno, se constituye en un instrumento gerencial que permite el cumplimiento de los objetivos fijados por la Entidad en desarrollo de 8 su función institucional y el mejoramiento de la gestión, así como la cualificación del ejercicio del Control Interno con el fin de garantizar la eficiencia, eficacia, transparencia y efectividad en el cumplimiento de sus fines sociales. Esta herramienta fundamental, le permitirá a la ESAP desarrollar, implementar y mantener en operación el Sistema de Control Interno establecido en la Ley 87 de 1993. Con base en el Modelo Estándar de Control Interno se busca unificar criterios y parámetros básicos de Control Interno, procurando construir la mejor forma de armonizar los conceptos de control, eliminando la dispersión conceptual existente, permitiendo una mayor claridad sobre la forma de desarrollar la función administrativa del Estado. Este Sistema se constituye en una herramienta de control que tiene la ciudadanía para analizar el grado de gestión de la ESAP, contribuye a la calidad de la gestión institucional, a la cualificación de los Planes de Mejoramiento, al fenecimiento de las cuentas, al ejercicio del Control Interno contable, al cumplimiento de las medidas de austeridad y a la lucha contra la corrupción, entre otros aspectos. Para la elaboración de este trabajo se pondrá atención en el subsistema de control estratégico y su componente de administración del riesgo, definiendo el subsistema como el que permite cumplir con la orientación estratégica y organizacional de la entidad y la administración del riesgo como la identificación, evaluación, seguimiento y monitoreo de eventos negativos o positivos, internos o externos que afecten el logro de los objetivos institucionales con el fin de permitir un mejor cumplimiento de las funciones. La administración del riesgo está compuesta por cinco elementos: 1) Contexto estratégico: establece el lineamiento estratégico que orienta las decisiones. 2) Identificación de riesgos: conocer los eventos potenciales, estén o no bajo el control de la entidad. 3) Análisis de riesgos: establece la probabilidad de ocurrencia y el impacto de los eventos. 4) Valoración de riesgos: determina el nivel o grado de exposición de la entidad a los impactos. 5) Políticas de administración de riesgos: estructura criterios orientadores en la toma de decisiones. Por lo tanto este informe va a estar guiado por el Manual de Implementación del Modelo Estándar de Control Interno para el Estado Colombiano - MECI 1000:2005 del Departamento Administrativo de la Función Pública, la Ley 87 de 1993 por la que se establecen las normas para el ejercicio del control interno en las entidades y organismos del Estado y el Decreto 1599 del 2005 por el que se adopta el Modelo Estándar de Control Interno para el Estado Colombiano, donde se encontrará información de la administración del riesgo y 9 las actividades necesarias para mejorar continuamente los servicios y productos haciendo uso de las herramientas establecidas en el Sistema de Gestión de Calidad y el MECI, entre otras normas. Con el fin de realizar la presente práctica universitaria en la oficina de Control Interno de la Escuela Superior de Administración Pública (ESAP), con sede en Bogotá, Distrito Capital, se ha propuesto el apoyo al plan de acción para la vigencia 2010 consistente en el procedimiento de seguimiento, evaluación y monitoreo a la administración del riesgo de la entidad. En cuanto al acompañamiento que en la materia debe hacer la oficina de control interno, de acuerdo con lo previsto en el decreto 1537 de 2001, en su artículo 4. “(…) la identificación y análisis del riesgo debe ser un proceso permanente e interactivo entre la administración y la oficina de control interno, evaluando los aspectos tanto internos como externos que pueden llegar a representar una amenaza para la consecución de los objetivos organizacionales, con miras a establecer acciones efectivas, representadas en actividades de control, acordadas entre los responsables de las áreas o procesos y la oficina de control interno e integradas de manera inherente a los procedimientos”. Con lo anterior se demostrará que en el tiempo de permanencia en el programa de Ciencias Políticas y Administración Pública he adquirido conocimientos, habilidades, destrezas y competencias, durante la preparación académica en la ESAP, adelantada de manera comprometida. En consecuencia, se presenta el plan de trabajo que se va a desarrollar durante los 4 meses que demandará la ejecución de las funciones propuestas en la Oficina de Control Interno de la ESAP. 10 1. IDENTIFICACIÓN DEL TIPO DE PRÁCTICA ADMINISTRATIVA Y SU RELACIÓN CON EL TEMA A DESARROLLAR Teniendo como fundamento el Decreto 1537 de 2001, “por el cual se reglamenta parcialmente la ley 87 de 1993 en cuanto a elementos técnicos y administrativos que fortalezcan el sistema de control interno de las entidades y organismos del estado”, teniendo en cuenta lo enunciado en sus artículos 3 y 4 se establece lo siguiente: Articulo 3. De las oficinas de control interno. En desarrollo de las funciones señaladas en el artículo 9 de la Ley 87 de 1993, el rol que deben desempeñar las oficinas de control interno, o quien haga sus veces, dentro de los organizaciones públicas, se enmarcan en cinco tópicos, a saber: valoración de riesgos, acompañar y asesorar, realizar evaluación y seguimiento, fomentar la cultura de control, y relación con entes externos. Articulo 4. Administración de riesgos. Como parte Integral del fortalecimiento de los sistemas de control interno en las entidades públicas, las autoridades correspondientes establecerán y aplicarán políticas de administración del riesgo. Para tal efecto, la identificación y análisis del riesgo debe ser un proceso permanente e interactivo entre la administración y las oficinas de control interno o quien haga sus veces evaluando los aspectos tanto internos como externos que pueden llegar a representar amenaza para la consecución de los objetos organizacionales con miras a establecer acciones efectivas, representadas en actividades de control, acordadas entre los responsables de las áreas o procesos y las oficinas acordadas entre los responsables de las áreas y las oficinas de control interno e integradas de manera inherente a los procedimientos. La administración del riesgo es un mecanismo de control de la función, que al interactuar sus diferentes elementos le permite a la entidad pública auto controlar aquellos eventos que pueden afectar el cumplimiento de sus objetivos y tiene como fin hacer énfasis en la necesidad imperiosa de que las entidades públicas tengan inmersos en sus procesos los controles necesarios para lograr prestar servicios y productos con altos estándares de calidad. En consecuencia la práctica administrativa se enmarca dentro del conjunto de actividades de gestión desarrolladas para el cumplimiento de las funciones del Modelo Estándar de Control Interno-MECI, donde el riesgo ha sido contemplado como uno de los componentes del subsistema de control estratégico. 11 2. OBJETIVOS DE LA PRÁCTICA ADMINISTRATIVA 2.1. General Fortalecer la implementación y desarrollo de la política de la administración del riesgo a través del adecuado tratamiento de los riesgos para garantizar el cumplimiento de la misión y objetivos institucionales de la Escuela Superior de Administración Pública. 2.2. Específicos 2.2.1. Generar una visión sistémica acerca de la administración y evaluación de riesgos, consolidada en un Ambiente de Control adecuado a la entidad y un Direccionamiento Estratégico que fije la orientación clara y planeada de la gestión creando las bases para el adecuado desarrollo de las Actividades de Control. 2.2.2. Proteger los recursos materialización de los riesgos. del Estado, resguardándolos contra la 2.2.3. Introducir dentro de los procesos y procedimientos el resultado de la administración del riesgo. 2.2.4. Involucrar y comprometer a todos los servidores de la entidad en la búsqueda de acciones encaminadas a prevenir y administrar los riesgos. 2.2.5. Propender por la interacción para fortalecer su desarrollo y mantener la buena imagen y las buenas relaciones con los organismos estatales. 2.2.6. Asegurar el cumplimiento de normas 2.3. Resultados Esperados 2.3.1. Realizar recomendaciones preventivas y/o correctivas con los líderes de los procesos. 2.3.2. Hacer seguimiento a la evolución de los riesgos y al cumplimiento de las acciones propuestas, con el fin de verificar su cumplimiento y proponer mejoras. 2.3.3. Implementar mecanismos reales para la administración del riesgo. 2.3.4. Establecer acciones efectivas representadas en actividades de control, acordadas entre los responsables de los procesos y dichas oficinas. 2.4.5. Implementar mecanismos que permitan visualizar y orientar la atención hacia la aparición de nuevos riesgos. 12 3. MARCO DE REFERENCIA 3.1. Marco Conceptual1 La Administración Pública, al ocuparse de los fenómenos de organización y gestión, no puede ser ajena a las herramientas disponibles y a las nuevas tendencias en administración, para lo cual requiere estar en constante actualización y abierta al cambio y a la aplicación de diferentes instrumentos que les permitan a las entidades ser cada vez más eficientes, por lo que se hace necesario tener en cuenta todos aquellos hechos o factores que puedan afectar en un momento determinado el cumplimiento de los objetivos institucionales. Por lo anterior, es necesario introducir el concepto de la Administración del Riesgo en las entidades, teniendo en cuenta que todas las organizaciones, independientemente de su naturaleza, tamaño y razón de ser, están permanentemente expuestas a diferentes riesgos o eventos que pueden poner en peligro su existencia. Desde la perspectiva del control, el modelo COSO interpreta que la eficiencia del control es la reducción de los riesgos, es decir, el propósito principal del control es la eliminación o reducción de los riegos propendiendo que el proceso y sus controles garanticen de manera razonable que los riesgos están minimizados o se estén reduciendo y por lo tanto que los objetivos de la organización van a ser alcanzados. Para el caso de las organizaciones públicas, dada la diversidad y particularidad de las entidades en cuanto a funciones, estructura, manejo presupuestal, contacto con la ciudadanía y el carácter del compromiso social, entre otros, es preciso identificar o precisar las áreas, los procesos, los procedimientos, las instancias y controles dentro de los cuales puede actuarse e incurrirse en riesgos que atentan contra la buena gestión y la obtención de resultados para tener un adecuado manejo del riesgo. Igualmente, es importante tener en cuenta que los riesgos están determinados por factores de carácter externo, también denominados del entorno, y factores de carácter interno. Entre los factores externos se destacan: la normatividad (a manera de ejemplo se pueden mencionar cambios constitucionales como el de 1991, que propuso un Estado Social de Derecho); jurisprudenciales, como los que se expresan en sentencias que declaran sin efecto normas que venían aplicándose y que en un momento determinado pueden afectar las funciones específicas de una entidad pública y por lo tanto sus objetivos. 1 Escuela Superior de Administración Pública E.S.A.P, Departamento Administrativo de la Función Pública D.A.F.P. Cartillas de Administración Pública. Guía de Administración del Riesgo, Pág. 17, 18. 13 También pueden mencionarse las reformas a la Administración y los constantes recortes presupuestales que afectan la capacidad de gestión de las entidades públicas, lo cual, sumado a la reducción o eliminación total del presupuesto de inversión, obliga a considerar en todo momento el riesgo en que incurren las entidades al no poder cumplir con su objeto social. Entre los factores internos se destacan: el manejo de los recursos, la estructura organizacional, los controles existentes, los procesos y procedimientos, la disponibilidad presupuestal, la forma como se vinculan las personas a las entidades, los intereses de los directivos, el nivel del talento humano, la motivación y los niveles salariales, entre otros. El Componente de la Administración del Riesgo en el Subsistema de Control Estratégico del Modelo Estándar de Control Interno habilita a las entidades para emprender las acciones necesarias que les permitan el manejo de eventos (riesgos) que puedan afectar negativamente el logro de los objetivos institucionales. Para ello se integran cinco Elementos de Control: el Contexto Estratégico, que permite establecer los factores internos y externos que generan posibles situaciones de riesgo; la Identificación de Riesgos que define las causas (factores internos o externos) y efectos de las situaciones de riesgo; el Análisis de Riesgos que aporta probabilidad de ocurrencia; la Valoración de Riesgos para medir la exposición de la entidad a los impactos del riesgo. Todos estos elementos conducen a la definición de criterios base a la formulación del estándar de control que se consolida en las Políticas de Administración de Riesgos. 14 3.2. Marco Normativo REFERENCIA TIPO NUMERO AÑO Artículo 209 1991 Ley 87 1993 Ley 872 2003 Ley 489 1998 Decreto 1826 1994 Decreto 2145 1999 Decreto 1537 2001 ORIGEN DESCRIPCIÓN Constitución Colombia. Política INTERNACIONAL de “Por la cual se establecen normas para el ejercicio del control interno en las entidades y organismos del Estado y se dictan otras disposiciones”. “Por la cual se crea el sistema de Gestión de la Calidad en la Rama Ejecutiva del Poder Público y en otras entidades prestadoras de servicios". Norma Técnica de Calidad en la Gestión Pública NTCGP 1000:2004”. “Por la cual se dictan normas sobre la organización y funcionamiento de las entidades del orden nacional, se expiden las disposiciones, principios y reglas generales para el ejercicio de las atribuciones previstas en los numerales 15 y 16 del artículo 189 de la Constitución Política y se dictan otras disposiciones”. “Por el cual se reglamenta parcialmente la Ley 87 de 1993”. “Por el cual se dictan normas sobre el Sistema Nacional de Control Interno de las Entidades y Organismos de la Administración Pública del Orden Nacional y Territorial y se dictan otras disposiciones”. “Por el cual de reglamenta parcialmente la Ley 87 de 1993 en cuanto a elementos técnicos y administrativos que fortalezcan el sistema de control interno de las entidades y organismos del Estado”. NACIONAL DISTRITAL INTERNO x x x x x x x 15 REFERENCIA TIPO NUMERO Decreto 4110 Decreto 1599 Resolución Resolución Resolución AÑO DESCRIPCIÓN “Por el cual se reglamenta la Ley 872 de 2003 y se adopta la Norma Técnica de 2004 Calidad de la Gestión Pública NTCGP 1000:2004”. “Por el Cual se adopta el Modelo Estándar de Control Interno para el Estado Colombiano". Modelo Estándar de Control Interno 2005 para el Estado Colombiano MECI 1000:2005, Sistema de Control Interno para las entidades regidas por la Ley 87 de 1993”. ORIGEN INTERNACIONAL NACIONAL DISTRITAL INTERNO x x 04721 “De la Contraloría General de la República “Por el cual 1999 se establecen las normas de auditoría gubernamental colombianas”. 0321 “Por el cual se organiza el Comité de Coordinación del Sistema de Control Interno y se conforman los equipos responsables de la 2007 implementación del Modelo Estándar de Control Interno MECI e implementación del Sistema de Gestión de Calidad”. x 0232 “Por la cual se adopta el Modelo Estándar de Control 2006 Interno MECI1000:2005 en la Escuela Superior de Administración Pública” x x 16 3.3. Marco Histórico2 La Escuela Superior de Administración Pública es una universidad oficial creada por la Ley 19 de 1958, adscrito al Departamento Administrativo de la Función Pública, dotado de personería jurídica, autonomía administrativa y financiera, patrimonio independiente y autonomía académica de conformidad con las normas que regulan el sector educativo en general y el servicio público de la educación superior en particular. Hace parte del sistema de carrera administrativa e integra el sector administrativo de la función pública. Este viaje nos remonta a los inicios de siglo XX en donde la situación política y social estaba marcada por la lucha de poder por el control del Estado entre Liberales y Conservadores, pensamientos que arrojaron grandes guerras (guerra de los mil días) y grandes derramamientos de sangre. El Proceso de Violencia Colombiano se recrudece con la muerte de Jorge Eliécer Gaitán en 1948, y la caída del Presidente Laureano Gómez (13 de junio de 1953) a manos del General Rojas Pinilla, Gobierno Militar que dio inicio a una serie de estudios que pretendían identificar las necesidades de la Población Colombiana y sus correspondientes soluciones. Para realizar estos diagnósticos fueron invitadas al país comisiones internacionales ( comisiones del Gobierno Francés, país de donde es copiado el modelo de gestión aplicado en la ESAP, las misiones Kerry, Kemerer, la misión Lounchin Currier, fundaciones privadas como Ford, Kellogs) realizan estudios de la realidad Colombiana y recomiendan adelantar procesos para modernizar el Aparato Estatal Colombiano. En consonancia con los estudios de diagnóstico adelantados por el Gobierno de Rojas Pinilla, la Comisión Económica para América Latina (CEPAL) impulsa un modelo económico a ser aplicado en todos los países de la región, el cual consistía en generar procesos orientados a la sustitución de las importaciones y generar por este medio mayor empleo e incrementar la producción nacional. Iniciativa que tenía que llevarse a cabo de la mano con la capacitación del pueblo Colombiano en todos sus órdenes y en especial con el que labora en la parte Estatal. Con el nacimiento del Frente Nacional legitimizado con el plebiscito de 1957 se dieron algunos acuerdos del plebiscito plasmados con la con la expedición de la Ley 19 de 1958 la cual crea el Departamento Administrativo del servicio civil (hoy Función Pública), La Sala de Consulta y Servicio Civil del Consejo de Estado, La Carrera Administrativa y la ESAP dando respuesta a los estudios de asesoría generados por las comisiones que habían venido a Colombia y a la iniciativa dada por la orientación de la CEPAL. 2 http://hermesoft.esap.edu.co/ 17 3.4. Marco Geográfico La oficina de control interno de la ESAP está ubicada en la Calle 44 # 53 - 37 CAN primer piso, la estructura organizacional de la entidad está conformada de acuerdo al siguiente organigrama: Grafica No. 2: Estructura Organizacional - ESAP Fuente: Oficina Asesora de Planeación ESAP 18 4. METODOLOGÍA • Hacer monitoreo y revisión del mapa de riesgos de la ESAP, en los quince (15) procesos que caracterizan el proceso de evaluación. • Planear con cada líder del proceso la aplicación del autocontrol del riesgo, recibiendo por parte del líder del proceso un informe de verificación trimestralmente. • Asesorar y acompañar en la sensibilización del proceso de seguimiento, evaluación y monitoreo de la administración del riesgo. • Recopilar la información, tabularla y analizar los resultados. • Apoyar la realización del primer informe de la Oficina de Control Interno de seguimiento, evaluación y monitoreo a siete (7) procesos, de los quince (15) programados por la oficina de Control Interno. 4.1. Fuentes de información: la información documental se obtendrá de los informes trimestrales que presenten los líderes de procesos a la oficina de Control Interno. De la verificación y el acta que se levante con el líder del proceso en su dependencia Del monitoreo permanente al plan para administrar los riesgos en el mapa de riesgos. El monitoreo es esencial para asegurar que las acciones se estén llevando a cabo y evaluar la eficiencia en su implementación. 4.2. Técnicas: 1. Verificación de documentos. 2. Entrevistas grupales. 3. Análisis de la información. 4. Monitoreo. 19 II PARTE – RESULTADOS DE LA PRACTICA 5. RIESGO Hoy en día cuando las personas se enfrentan a problemas, es necesario buscar una explicación por qué estos suceden hallando causas del acontecimiento, para finalmente encontrar responsables. Debido a lo anterior para evitar que ocurran calamidades es necesario la indagación acerca de la mejor manera de hacer las cosas e incluso crear modelos haciendo que el desarrollo de las actividades lleven al éxito total o a impedir que el fracaso sea de un mayor tamaño. La condición humana es vulnerable y muestra fragilidad en comparación a muchas especies e incluso al ambiente y entorno, apareciendo peligros los cuales amenazan frecuentemente, es ahí cuando se piensa en estrategias que puedan evitar el peligro y que sucedan hechos que puedan afectar el bienestar humano, siendo la mejor herramienta para evitarlo el cuidado el cual previene la posible ocurrencia. Técnicamente existen definiciones que ilustran lo que puede ser el riesgo, encontrando una que frecuentemente se aplica que puede ser la posible ocurrencia de algo no deseado y puede darse en cualquier circunstancia o momento, es aplicable a cualquier labor. El resultado del riesgo por lo general es algo adverso que puede generar peligro o daño, algo que no se puede asegurar. Cuando hay riesgo seguramente las cosas no pueden funcionar. Debido a lo anterior se hace necesaria la prevención y tratamiento a los riesgos con el fin de que no sucedan. Por lo tanto el riesgo para este trabajo será entendido como la posibilidad de que suceda algún evento que tenga un impacto negativo en lo que se hace, encontrando riesgos de todo tipo (financieros, ambientales, humanos, organizacionales, por citar algunos.) hasta en la actividad más insignificante, exigiendo pensar (planear) formas que eviten la materialización. 20 6. ADMINISTRACIÓN DEL RIESGO Grafica No. 3: Insumos y Productos del Componente de Administración de Riesgos Fuente: Guía General para el Diseño, Desarrollo e Implementación de cada uno de los Subsistemas, Componentes y Elementos de Modelo Estándar de Control Interno - MECI 1000:2005, 2a versión En la Guía de Administración del Riesgo del Departamento Administrativo de la Función Pública DAFP la administración del riesgo se define como el “conjunto de elementos de control que al interrelacionarse permiten a la entidad pública evaluar aquellos eventos negativos, tanto internos como externos, que pueden afectar o impedir el logro de sus objetivos institucionales o los eventos positivos, que permiten identificar oportunidades para un mejor cumplimiento en su función. Se constituye en el componente de control que al interactuar sus diferentes elementos le permite a la entidad pública auto controlar aquellos eventos que pueden afectar el cumplimiento de sus objetivos”3. Las organizaciones están todo el tiempo expuestas al riesgo tanto interno como externo. En la actualidad la administración de riesgos es tratada como un tema de altísima importancia. De ahí que se vea como un asunto crítico que concierne a los niveles directivos de las empresas dándole mucha importancia y encontrándolo como oportunidad para mejorar la gestión, al punto de hacerse importante un buen diseño y recopilación de información que los pueda afectar negativamente debido a que una mala administración del riesgo puede dejar vulnerable a una organización frente a percances que retrasen el alcance de sus metas, o en el peor de los casos llevarla su liquidación, mientras que cuando está bien diseñado un programa de administración de riesgos, éste puede brindarle a una compañía tranquilidad para lograr sus objetivos. Esta idea de conocer los riesgos que afecten a la entidad y darle el manejo apropiado para evitar que sucedan surge en la empresa privada. Un claro ejemplo es el servicio que prestan las aseguradoras, servicios ofrecidos dada la precaución de las personas, la mayoría de estos esquemas han sido tomados 3 Escuela Superior de Administración Pública E.S.A.P, Departamento Administrativo de la Función Pública D.A.F.P. Cartillas de Administración Pública. Guía de Administración del Riesgo, Pág. 23. 21 como ejemplos exitosos y se aplican en todos los sectores con el fin de mejorar su accionar. Al hacerse un símil entre el sector público y privado en Colombia son notorias las medidas internacionales para la estandarización de procesos y procedimientos para la calidad los ha permeado a tal punto que se han creado oficinas dentro de las entidades para que vigilen o administren el accionar de la entidad, hallando que los negocios de todos los tamaños enfrentan una gran presión al incrementar ganancias y beneficios sociales o económicos dependiendo del sector, haciendo que esas presiones lleven al éxito a la entidad en términos de eficacia, eficiencia y efectividad. En conclusión se podría decir que el manejo de riesgos en una empresa demanda una visión integral en las diferentes áreas, así como de las soluciones para el manejo de estos, es un tema prioritario para las empresas que ven las oportunidades junto con sus riesgos y son consientes de la necesidad de manejarlos. Hallando divergencias con teorías organizativas clásicas las cuales hacían énfasis en la detección basada en fuertes procedimientos de control autoritario, siendo este un nuevo enfoque o modelo de prevención con los cuales se desarrollan trabajos con pronósticos, estudios de evaluación y prevención de riesgos. 6.1. Objetivos de la Administración del Riesgo4 - Garantizar el cumplimiento de la misión y objetivos institucionales a través de la prevención y administración de los riesgos. - Brindar una herramienta de gestión que facilite a la entidad una adecuada administración del riesgo. - Generar una visión sistémica acerca de la administración y evaluación de riesgos, así como del papel de la alta y media gerencia, con relación a los mismos. - Proteger los recursos del Estado. - Introducir dentro de los procesos y procedimientos las acciones de mitigación resultado de la administración del riesgo. - Hacer partícipe a todos los servidores en la búsqueda de acciones encaminadas a prevenir los riesgos. - Procurar el cumplimiento de normas Constitucionales y legales vigentes. 4 Manual Proceso de Evaluación ESAP 22 6.2. Metodología para la Administración del Riesgo5 El adecuado manejo de los riesgos favorece el desarrollo y crecimiento de la entidad, con el fin de asegurar dicho manejo es importante que se establezca el entorno de la entidad, la identificación, análisis, valoración y definición de las alternativas de acciones de mitigación de los riesgos: - Contexto Estratégico - Identificación de riesgos - Análisis de riesgos - Valoración de riesgos - Políticas de Administración de Riesgos Grafica No. 4: Proceso De Administración Del Riesgo Fuente: Escuela Superior de Administración Pública E.S.A.P, Departamento Administrativo de la Función Pública D.A.F.P. Cartillas de Administración Pública. Guía de Administración del Riesgo 5 Escuela Superior de Administración Pública E.S.A.P, Departamento Administrativo de la Función Pública D.A.F.P. Cartillas de Administración Pública. Guía de Administración del Riesgo, Pág. 25. 23 6.2.1. Contexto Estratégico Elemento de Control, que permite establecer el lineamiento estratégico que orienta las decisiones de la entidad pública, frente a los riesgos que pueden afectar el cumplimiento de sus objetivos producto de la observación, distinción y análisis del conjunto de circunstancias internas y externas que puedan generar eventos que originen oportunidades o afecten el cumplimiento de su función, misión y objetivos institucionales. Definir el contexto estratégico contribuye al control de la entidad frente a la exposición al riesgo, ya que permite conocer las situaciones generadoras de riesgos, impidiendo con ello que la entidad actúe en dirección contraria a sus propósitos institucionales. Una adecuada elaboración del contexto estratégico facilita la identificación de los riesgos y posibilita su análisis y valoración, al brindar información necesaria para estimar el grado de exposición a los mismos. De igual manera, permite orientar las políticas hacia el manejo de los riesgos relacionados con los aspectos más estratégicos de la entidad6. Cuadro No. 1: Ejemplo Factores Internos y Externos de Riesgo Fuente: Escuela Superior de Administración Pública E.S.A.P, Departamento Administrativo de la Función Pública D.A.F.P. Cartillas de Administración Pública. Guía de Administración del Riesgo 6.2.2. Identificación de Riesgos Elemento de Control, que posibilita conocer los eventos potenciales, estén o no bajo el control de la Entidad Pública, que ponen en riesgo el logro de su Misión, estableciendo los agentes generadores, las causas y los efectos de su ocurrencia. 6 Departamento Administrativo de la Función Pública, Dirección de Políticas de Control Interno y Racionalización de Trámites, Guía General para el Diseño, Desarrollo e Implementación de cada uno de a los Subsistemas, Componentes y Elementos de Modelo Estándar de Control Interno - MECI 1000:2005, 2 versión, Pág. 43. 24 La identificación de riesgos se realiza tomando como referente el Componente de Direccionamiento Estratégico, para ello, se determinan los eventos generados en el entorno o dentro de la entidad que pueden afectar el logro de los objetivos. Entender la importancia del manejo del riesgo implica conocer con más detalle los siguientes conceptos: - Riesgo: representa la posibilidad de ocurrencia de un evento que pueda entorpecer el normal desarrollo de las funciones de la entidad y afectar el logro de sus objetivos. - Causas: son los medios, circunstancias y agentes generadores de riesgos. - Efectos: constituyen las consecuencias de la ocurrencia del riesgo sobre los objetivos de la entidad; generalmente se dan sobre las personas o los bienes materiales o inmateriales con incidencias importantes tales como: daños físicos y fallecimiento, sanciones, pérdidas económicas, de información, de bienes, de imagen, de credibilidad y de confianza, interrupción del servicio y daño ambiental7. Cuadro No. 2: Formato de Identificación de Riesgos Fuente: Escuela Superior De Administración Pública E.S.A.P, Departamento Administrativo De La Función Pública D.A.F.P. Cartillas De Administración Pública. Guía De Administración Del Riesgo Durante el proceso de identificación del riesgo se recomienda clasificarlos teniendo en cuenta los siguientes conceptos: - 7 Riesgo estratégico Riesgo operativo Riesgo financiero Riesgo de cumplimiento Riesgo de tecnología Ibíd., Pág. 44. 25 Cuadro No. 3: Formato de Clasificación Del Riesgo Fuente: Escuela Superior de Administración Pública E.S.A.P, Departamento Administrativo de la Función Pública D.A.F.P. Cartillas de Administración Pública. Guía de Administración del Riesgo 6.2.3. Análisis de Riesgos Elemento de Control, que permite establecer la probabilidad de ocurrencia de los eventos positivos y/o negativos y el impacto de sus consecuencias, calificándolos y evaluándolos a fin de determinar la capacidad de la entidad pública para su aceptación y manejo. Para adelantar el análisis del riesgo se deben considerar los siguientes aspectos: La Calificación del Riesgo: se logra a través de la estimación de la probabilidad de su ocurrencia y el impacto que puede causar la materialización del riesgo. La primera representa el número de veces que el riesgo se ha presentado en un determinado tiempo o puede presentarse, y la segunda se refiere a la magnitud de sus efectos. La Evaluación del Riesgo: permite comparar los resultados de su calificación, con los criterios definidos para establecer el grado de exposición de la entidad al riesgo; de esta forma es posible distinguir entre los riesgos aceptables, tolerables, moderados, importantes o inaceptables y fijar las prioridades de las acciones requeridas para su tratamiento8. 6.2.4. Valoración de Riesgos Elemento de Control, que determina el nivel o grado de exposición de la entidad pública al impacto del riesgo, permitiendo estimar las prioridades para su tratamiento. La valoración del riesgo toma como base la calificación y evaluación de los riesgos, procediendo a la ponderación de riesgos del Modelo de Operación, con el objetivo de establecer prioridades para su manejo y fijación de políticas. Establece a nivel estratégico de la entidad los mayores riesgos a los cuales está expuesta, permitiendo emprender acciones inmediatas de respuesta ante ellos a través del diseño de políticas y la aplicación de acciones tendientes a 8 Ibíd., Pág. 44, 45. 26 evitar, reducir, dispersar o transferir el riesgo; o asumir el riesgo residual, el cual se entiende como el nivel restante de riesgo después de que se han tomado medidas de manejo del mismo9. 6.2.5. Políticas de Administración de Riesgos Elemento de Control, que permite estructurar criterios orientadores en la toma de decisiones, respecto al tratamiento de los riesgos y sus efectos al interior de la entidad pública. Transmiten la posición de la Dirección respecto al manejo de los riesgos y fijan lineamientos sobre los conceptos de calificación de riesgos, las prioridades en la respuesta, la forma de administrarlos y la protección de los recursos. En este sentido, establecen las guías de acción para que todos los servidores coordinen y administren los eventos que pueden inhibir el logro de los objetivos de la entidad, orientándolos y habilitándolos para ello. Las Políticas identifican las opciones para tratar y manejar los riesgos con base en su valoración, y permiten tomar decisiones adecuadas para evitar, reducir, compartir o transferir, o asumir el riesgo. Evitar el riesgo, tomar las medidas encaminadas a prevenir su materialización. Reducir el riesgo, implica tomar medidas encaminadas a disminuir tanto la probabilidad (medidas de prevención), como el impacto (medidas de protección). Compartir o Transferir el riesgo, reduce su efecto a través del traspaso de las pérdidas a otras organizaciones, como en el caso de los contratos de seguros o a través de otros medios que permiten distribuir una porción del riesgo con otra entidad, como en los contratos a riesgo compartido. Asumir un riesgo, aceptar la pérdida residual probable y elaborar los planes de contingencia para su manejo10. 7. ROLES Y RESPONSABILIDADES DE LA OFICINA DE CONTROL INTERNO FRENTE A LA ADMINISTRACIÓN DEL RIESGO Los roles y responsabilidades de la Oficina de Control Interno, son de dos clases, directas o indirectas: Rol directo: Asesorar el proceso de identificación de los riesgos institucionales y con base en ellos, realizar recomendaciones preventivas y/o correctivas con los responsables de los procesos. Igualmente, la Oficina de Control Interno debe hacer seguimiento a la evolución de los riesgos y al cumplimiento de las acciones propuestas, con el fin de verificar el cumplimiento de las mismas y proponer mejoras. 9 Ibíd., Pág. 45. Ibíd., Pág. 45. 10 27 Rol indirecto: Verificar que en la entidad se implementen políticas de la Administración del Riesgo y se implementen mecanismos reales para la Administración del Riesgo. Así mismo, dentro del rol de asesor asignado a la Oficina de Control Interno, el Decreto 1537 de 2001 en su artículo 4º: “Administración de riesgos”, especifica que la identificación y el análisis del riesgo debe ser un proceso permanente e interactivo entre la administración y las oficinas de control interno o quien haga sus veces con miras a establecer acciones efectivas, representadas en actividades de control, acordadas entre los responsables de las áreas o procesos y dichas oficinas. 8. CICLO PHVA El ciclo PHVA o ciclo deming es una herramienta cuyo objetivo es la mejora continua basada en cuatro pasos: 1) Planear: se refiere a los requisitos generales, a la responsabilidad de los directivos y la gestión de recursos. 2) Hacer: corresponde a la realización del producto o del servicio. 3) Verificar: el principal objetivo de este paso es la medición, análisis y mejora, especificados en el numeral 8 de la NTCGP 1000, también uno de los principales objetivos de verificar es evaluar y autoevaluar la gestión. 4) Actuar: de la misma manera que el anterior paso su principal objetivo es la medición, el análisis y la mejora. La norma de calidad para la gestión pública propone esta metodología para la implementación de un sistema de calidad, siendo el principal objetivo mejorar los productos y los servicios prestados. Cada paso de esta metodología se asocia con un subsistema del MECI, planear corresponde al subsistema de control estratégico, hacer al subsistema de control de la gestión y verificar y actuar al subsistema de control de evaluación. 28 Grafica No. 5: Ciclo PHVA Esta Figura representa la compatibilidad de los tres sistemas y no tiene como propósito indicar que un sistema específico contiene otro sistema en forma total o parcial. Igualmente y desde el punto de vista del modelo PHVA y la Norma Técnica de Calidad en la Gestión Pública, este modelo se aborda desde los numerales generales y no representa el PHVA que puede darse dentro de cada numeral. Fuente: Norma Técnica de la Gestión Pública NTCGP 1000:2009 8.1. MECI (Modelo Estándar de Control Interno para el Estado Colombiano 1000:2005 2a VERSION) y Sistemas de Gestión de Calidad (NTCGP 1000:2009) El objetivo principal de toda entidad es la excelencia, esto se va a ver reflejado en sus informes finales donde se revelaran resultados por periodos. Debido a lo anterior, se han creado modelos donde lo más importante será el conocimiento o la información de la entidad, siendo el principal insumo para el mejoramiento y la planeación, teniendo como resultado que al mejorar los sistemas de gestión, mejora a la vez las competencias personales y de grupo. El propósito fundamental del MECI es orientar a las entidades hacia el cumplimiento de sus objetivos y la contribución de éstos a los fines esenciales del Estado, para lo cual se estructuran tres grandes subsistemas, desagregados en sus respectivos componentes y elementos de control, para este trabajo se pondrá especial atención en el subsistema de control estratégico y su componente de administración del riesgo. El subsistema de control estratégico tiene como objetivo la creación de cultura fundamentada en el control a los procesos de direccionamiento estratégico, administrativos y operativos de la entidad, siendo este subsistema el encargado de la planeación. Su componente de administración de riesgo permite a la entidad evaluar eventos negativos, tanto internos como externos que puede 29 afectar el logro de los objetivos institucionales, permitiéndole a la entidad emprender acciones necesarias que le dejan manejar eventos que afecten negativamente el logro de los objetivos. La administración del riesgo está compuesta por cinco elementos los cuales fueron enunciados en la introducción y su fin es permitir un buen manejo del riesgo. Por otro lado existe otra herramienta como la NTCGP 1000:2009 la cual se basa en estándares internacionales, la cual manifiesta en menor frecuencia y menos explicito el manejo a los riesgos en los numerales 4.1. g, 5.2.6.h, 7.5.1. g y 8.5.3. el tratamiento al riesgo cuando se presta un servicio o se ofrece un producto. Siendo el principal instrumento los sistemas de gestión que se definen como el conjunto de normas interrelacionadas de una empresa u organización por los cuales se administra de forma ordenada la calidad de la misma, en la búsqueda de la satisfacción de las necesidades y expectativas de sus clientes. Sus principales elementos son estructura de la organización, estructura de responsabilidades, procedimientos, procesos y recursos. Existen innumerables sistemas de gestión exitosos, como también existen diversos métodos para la implementación y siempre se requiere usar herramientas propias. Sin embargo, para ser aplicable es preciso tomar en cuenta el contexto laboral, sociocultural y político, ya que estas dimensiones determinarán el enfoque gerencial para la calidad de la organización. La implementación de un excelente sistema de calidad ayudará a la organización a cumplir con sus objetivos en cuanto al producto y a la prestación del servicio que ofrece a sus clientes y a generar en ellos satisfacción. En conclusión se puede ver que el principal objetivo tanto del MECI como de la NTCGP es el cumplimiento de los objetivos organizacionales, partiendo del conocimiento y de la información que se tenga, siendo para el sector publico la herramienta más importante para la planeación estratégica. 8.2. Procesos La Ley 872 de 2003 promueve la adopción de un enfoque basado en los procesos, esto es la identificación y gestión de la manera más eficaz, de todas aquellas actividades que tengan una clara relación entre sí y las cuales constituyen la red de procesos de una organización. La gestión por procesos define las interacciones o acciones secuenciales, mediante las cuales se logra la transformación de unos insumos hasta obtener un producto con las características previamente especificadas, de acuerdo con los requerimientos de la ciudadanía o partes interesadas. Los procesos son un elemento de control, que permiten conformar el estándar organizacional que soporta la operación de la entidad pública, armonizando con enfoque sistémico la misión y visión institucional, orientándola hacia una organización por procesos, los cuales en su interacción, interdependencia y relación causa-efecto garantizan una ejecución eficiente, y el cumplimiento de los objetivos de la entidad pública. 30 El Mapa de Procesos es una herramienta que se grafica en un diagrama y permite identificar los procesos de una organización y describir sus interrelaciones principales. Según los requisitos generales de la NTCGP 1000:2004 con el fin de la certificación en calidad la ESAP siguiendo lo formulado en el numeral 4.1 y en los artículos 3 y 7 de la ley 872 de 2003 y en el numeral 1.2.2 del MECI, fueron creados quince procesos clasificados en: Procesos Estratégicos: incluyen los relativos al establecimiento de políticas y estrategias, fijación de objetivos, comunicación, disposición de recursos necesarios y revisiones por la Dirección. Procesos Misionales: incluyen todos aquellos que proporcionan el resultado previsto por la entidad en el cumplimiento del objeto social o razón de ser. Procesos de Apoyo: incluyen aquellos que proveen los recursos necesarios para el desarrollo de los procesos estratégicos, misionales y de evaluación. Procesos de Evaluación: incluyen aquellos necesarios para medir y recopilar datos para el análisis del desempeño y la mejora de la eficacia y la eficiencia, y son una parte integral de los procesos estratégicos, de apoyo y los misionales11. Grafica No. 6: Mapa de Procesos ESAP Fuente: Oficina Asesora de Planeación 11 Ibíd., Pág. 30, 31. 31 8.2.1. Proceso de Evaluación La administración del riesgo en la ESAP está a cargo de la Oficina de Control Interno, perteneciendo al Proceso de Evaluación cuyo objetivo es “Revisar, analizar y valorar la gestión, planificación y ejecución de áreas, programas, procesos, planes o proyectos de la ESAP, para generar información y recomendaciones que permitan el mejoramiento continuo y el cumplimiento de sus objetivos”. Éste proceso dispone de mecanismos de verificación y evaluación del Sistema de Control Interno, brinda apoyo a la toma de decisiones en procura de los objetivos Institucionales, garantiza la correcta evaluación y seguimiento de la gestión de la entidad por los diferentes niveles de autoridad y responsabilidad permitiendo acciones oportunas de corrección y de mejoramiento. Propicia el mejoramiento continuo de la gestión de la entidad y de su capacidad para responder efectivamente a los diferentes grupos de interés12. Por lo tanto este es un proceso de auto evaluación, el cual describe los objetivos, políticas, metodologías y roles para el control interno, que serán descritos más adelante. Cuadro No. 4: Caracterización de Procesos Fuente: Norma Fundamental ESAP 12 Norma Fundamental Sistema de Gestión de Calidad ESAP 32 8.3. Procedimientos La Norma Técnica de Calidad en la Gestión Pública, NTCGP 1000:2009 define procedimiento como la forma especificada para llevar a cabo una actividad o un proceso (numeral 3.42). El MECI teniendo en cuenta la definición de la NTCGP la describe como elemento de Control, conformado por el conjunto de especificaciones, relaciones y ordenamiento de las tareas requeridas para cumplir con las actividades de un proceso, controlando las acciones que requiere la operación de la entidad pública. Establece los métodos para realizar las tareas y la asignación de responsabilidad y autoridad en la ejecución de las actividades. Este elemento se constituye en un estándar de control que establece los métodos o formas más eficientes y eficaces de operativizar las actividades de los procesos, permitiendo describir y comprender las relaciones entre áreas y flujos de información que se suceden en el proceso y la coordinación de las actividades. Los procedimientos establecidos a partir de las actividades definidas para cada proceso, regulan la forma de operación de los servidores de la entidad y permiten entender la dinámica requerida para el logro de los objetivos y la obtención efectiva de los productos o servicios. Cuadro No. 5: Formato para Documentar un Procedimiento Fuente: Norma Fundamental ESAP 33 8.3.1. Procedimiento De Administración Del Riesgo El Control Interno ha sido incorporado a la administración pública como un instrumento orientado a garantizar el logro de los objetivos de las entidades del Estado en todos los niveles - nacional, departamental o territorial – en cumplimiento de los principios de la función pública colombiana. La principal normatividad que rige el accionar de control interno es la ley 87 "Por la cual se establecen normas para el ejercicio de control interno en la entidades y organismos del estado y se dictan otras disposiciones", la ley 489 la cual dispuso la creación del sistema nacional de control interno en su capítulo VI y el decreto 1599 “por el cual ser adopta el Modelo Estándar de Control Interno para el Estado Colombiano”. En la Guía de Administración de Riesgo exponen dos tipos de roles en los que está involucrada la Oficina de Control Interno. Estos roles pueden ser de tipo directo o indirecto, el primero se basa en asesorar el proceso de identificación de los riesgos institucionales y con base en ellos realizar recomendaciones preventivas o correctivas con los responsables de los procesos. Igualmente, la Oficina de Control Interno debe hacer seguimiento a la evolución de los riesgos y al cumplimiento de las acciones propuestas, con el fin de verificar su cumplimiento y proponer mejoras y el segundo en verificar que en la entidad se implementen políticas de la Administración del Riesgo y se implementen mecanismos reales para la Administración del Riesgo. Finalmente el objetivo de la administración del riesgo y de la Oficina de control Interno es propender por el cumplimiento de la misión y objetivos institucionales a través de la prevención y administración de los riesgos, logrando el diseño e implementación del sistema de administración de riesgos sobre toda la organización y el acompañamiento de la dirección, teniendo en cuenta todos sus procesos de coordinación e integralidad hasta el proceso de seguimiento en su etapa de consolidación y los mecanismos de retroalimentación necesarios. Por lo tanto el riesgo es manejado en la ESAP por la Oficina de Control Interno estando explícitos en el manual de proceso de evaluación, en la caracterización del proceso de evaluación y el procedimiento de administración de riesgos, teniendo como resultado un producto llamado Plan de Manejo de Riesgos. 8.3.2. Procedimiento Acciones Correctivas y Preventivas Según la NTCGP 1000, en su numeral 8.5 recomienda para el seguimiento, evaluación y monitoreo a la administración del riesgo documentar en los formatos establecidos de acciones correctivas las acciones para el control de los riesgos. El objetivo de este procedimiento es establecer un método unificado de trabajo para identificar, dimensionar, analizar y eliminar las causas de las no 34 conformidades reales o potenciales del sistema de gestión de calidad, así como definir las acciones que permitan mitigar cualquier impacto. El alcance es aplicar para todas aquellas acciones tanto correctivas como preventivas resultantes de las no conformidades halladas en los servicios o procesos de los sistemas de gestión y evaluación, también aplica para aquellas acciones implementadas por iniciativa pro. El responsable de dicho procedimiento es el Director nacional o delegado de la alta dirección para la implementación de los sistemas de gestión y evaluación. Cuadro No. 6: Formato Acciones Correctivas y Preventivas Fuente: Proceso de Evaluación ESAP 35 9. FORMULACIÓN DE LAS POLÍTICAS DE ADMINISTRACIÓN DE RIESGOS El proceso de identificación y análisis del riesgo debe ser un proceso permanente e interactivo entre la administración y la Oficina de Control Interno de la ESAP, con miras a establecer acciones efectivas, representadas en actividades de control, acordadas entre los responsables de las áreas o procesos y la Oficina de Control Interno. La administración del riesgo parte de una política institucional definida y respaldada por la alta dirección que se comprometa a manejar el tema dentro de la Organización. Las políticas identifican las opciones para tratar y manejar los riesgos basadas en la valoración de riesgos, permiten tomar decisiones adecuadas y fijar los lineamientos de la Administración del Riesgo, a su vez transmite la posición de la dirección y establecen las guías de acción necesarias a todos los servidores de la entidad. Se deben tener en cuenta algunas de las siguientes opciones, las cuales pueden considerarse cada una de ellas independientemente, interrelacionadas o en conjunto. – Evitar el riesgo, tomar las medidas encaminadas a prevenir su materialización. Es siempre la primera alternativa a considerar, se logra cuando al interior de los procesos se genera cambios sustanciales por mejoramiento, rediseño o eliminación, resultado de unos adecuados controles y acciones emprendidas. Un ejemplo de esto puede ser el control de calidad, manejo de los insumos, mantenimiento preventivo de los equipos, desarrollo tecnológico, entre otros. – Reducir el riesgo, implica tomar medidas encaminadas a disminuir tanto la probabilidad (medidas de prevención), como el impacto (medidas de protección). La reducción del riesgo es probablemente el método más sencillo y económico para superar las debilidades antes de aplicar medidas más costosas y difíciles. Se consigue mediante la optimización de los procedimientos y la implementación de controles. – Compartir o transferir el riesgo, reduce su efecto a través del traspaso de las pérdidas a otras organizaciones, como en el caso de los contratos de seguros o a través de otros medios que permiten distribuir una porción del riesgo con otra entidad, como en los contratos a riesgo compartido. Es así como por ejemplo, la información de gran importancia se puede duplicar y almacenar en un lugar distante y de ubicación segura, en vez de dejarla concentrada en un solo lugar. – Asumir un riesgo, luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo residual que se mantiene, en este caso el gerente del proceso simplemente acepta la pérdida residual probable y elabora planes de contingencia para su manejo13. 13 Escuela Superior de Administración Pública E.S.A.P, Departamento Administrativo de la Función Pública D.A.F.P. Cartillas de Administración Pública. Guía de Administración del Riesgo, Pág. 37, 38. 36 9.1. Políticas de Administración de Riesgos – ESAP14 Para el caso de la ESAP, dada la diversidad y particularidad de la entidad en cuanto a funciones, estructura, manejo presupuestal, contacto con la ciudadanía y el carácter del compromiso social entre otros, es preciso identificar o precisar las áreas, los procesos, los procedimientos, las instancias y controles dentro de los cuales puede actuarse e incurrirse en riesgos que atentan contra la buena gestión y la obtención de resultados para tener un adecuado manejo del mismo. Igualmente, es importante tener en cuenta que los riesgos están determinados por factores de carácter externo, también denominados del entorno y factores de carácter interno. Entre los factores externos se destacan: la normatividad, a vía de ejemplo se pueden mencionar cambios constitucionales, jurisprudenciales, presupuestales, entre otros y que en un momento determinado pueden afectar las funciones misionales de la entidad. Entre los factores internos se destacan: el manejo de los recursos, la estructura organizacional, los controles existentes, los procesos y procedimientos, la disponibilidad presupuestal, la forma como se vinculan las personas a la entidad, los intereses de los directivos, el nivel del talento humano, la motivación y los niveles salariales, entre otros. El Componente de la Administración del Riesgo en el Subsistema de Control Estratégico del Modelo Estándar de Control Interno, habilita a la entidad para emprender las acciones necesarias que le permitan el manejo de eventos (riesgos) que puedan afectar negativamente el logro de los objetivos institucionales. Para ello se integran cinco Elementos de Control: el Contexto Estratégico que permite establecer los factores internos y externos que generan posibles situaciones de riesgo; la Identificación de Riesgos que define las causas (factores internos o externos) y efectos de las situaciones de riesgo; el Análisis de Riesgos que aporta probabilidad de ocurrencia; la Valoración de Riesgos para medir la exposición de la entidad a los impactos del riesgo. Todos estos elementos conducen a la definición de criterios base a la formulación del estándar de control que se consolida en la Políticas de Administración de Riesgos. Para la implementación de este componente se toman como base los Planes y programas, el Modelo de Operación y sus diferentes niveles de despliegue, a fin de establecer los posibles riesgos de los procesos y las actividades. Este componente toma como base la identificación de los factores internos o externos y de operación que puedan afectar el desarrollo de la función administrativa de la entidad; una vez identificados se asocian a los procesos, analizándolos, valorándolos y calificándolos en términos de su impacto en la gestión. Finalmente, este resultado permitirá definir las directrices para la Administración del Riesgo. 14 Manual Proceso de Evaluación ESAP 37 10. AUDITORIAS La Auditoria constituye una herramienta de control y supervisión que contribuye a la creación de una cultura en la organización y permite descubrir fallas en las estructuras o vulnerabilidades existentes. Según el manual del proceso de evaluación de la ESAP, las auditorias pueden ser de tres tipos: • Auditoria de Primera Parte o Auditoría Interna: Se realiza por, o en nombre de la propia organización, para la revisión por la dirección y con otros fines internos y puede constituir la base para un auto declaración de conformidad de la entidad. • Auditoria de Segunda Parte: se lleva a cabo por partes que tienen un interés en la organización, tal como los clientes, organismos de control, o por otras personas en su nombre. • Auditoria de Tercera Parte: Se lleva a cabo por organizaciones auditoras independientes y externas que proporcionan el certificado de conformidad de acuerdo con los requisitos de la NTCGP 1000:2009 y las Normas ISO. Las auditorias se clasifican en: - Auditoría interna: el MECI en el numeral 3.2.2 la define como el elemento de Control, que permite realizar un examen sistemático, objetivo e independiente de los procesos, actividades, operaciones y resultados de una Entidad Pública. Así mismo, permite emitir juicios basados en evidencias sobre los aspectos más importantes de la gestión, los resultados obtenidos y la satisfacción de los diferentes grupos de interés. Su propósito es hacer recomendaciones imparciales a partir de evidencias sobre el grado de cumplimiento de los objetivos, los planes, los programas, proyectos y procesos, así como sobre irregularidades y errores presentados en la operación de la entidad, apoyando a la Alta Dirección en la toma de decisiones necesarias para corregir las desviaciones, sugiriendo las acciones de mejoramiento correspondientes y debe tener alcance en tres aspectos básicos de evaluación – cumplimiento, estratégico y gestión y resultados15. - Auditoría externa: examina y evalúa cualquiera de los sistemas de información de una organización y emite una opinión independiente 15 Departamento Administrativo de la Función Pública, Dirección de Políticas de Control Interno y Racionalización de Trámites, Guía General para el Diseño, Desarrollo e Implementación de cada uno de a los Subsistemas, Componentes y Elementos de Modelo Estándar de Control Interno - MECI 1000:2005, 2 versión, Pág. 101. 38 sobre los mismos. La Auditoría Externa o Independiente tiene por objeto averiguar la razón, habilidad, integridad y autenticidad de los expedientes y documentos y, toda aquella información producida por la organización. Este tipo de auditorías debe hacerla una persona o firma independiente de capacidad profesional reconocida. Esta persona o firma debe ser capaz de ofrecer una opinión imparcial y profesionalmente experta acerca de los resultados de auditoría, basándose en el hecho de que su opinión ha de acompañar el informe presentado al término del examen y concediendo que pueda expresarse una opinión basada en la veracidad de los documentos. Una actividad específica de las oficinas de control interno del sector público es hacer un plan de acción, del cual hace parte del programa anual de auditorías en áreas, procesos y direcciones territoriales, siendo un documento de trabajo detallado que se constituye en el derrotero para la ejecución. Siguiendo la caracterización del procedimiento de auditorías internas en la ESAP, estas se basan en cinco pasos fundamentales: - Programación Planeación Preparación Ejecución Informe Para las cuales se establecen formatos de calidad que contienen listas de chequeo, actas e informes, teniendo como resultado el análisis del mapa de riesgos según el proceso. 10.1. Programa Anual de Auditorias El programa Anual de Auditoría interna debe contener como mínimo los siguientes aspectos: - Identificación de Procesos, actividades o áreas criticas - Objetivos y Alcance - Responsabilidades - Recursos - Cronograma de Auditoria - Seguimiento y revisión El programa Anual de Auditoría interna se debe presentar a la máxima autoridad de la entidad y al Comité de Coordinación de Control Interno para lograr su apoyo y compromiso mediante su aprobación, responsable Oficina de Control Interno o quien haga sus veces. 39 El programa de auditoría interna de calidad lo elabora el Jefe de la Oficina de Control Interno de la ESAP teniendo en cuenta: el estado y la importancia de los procesos y las áreas por auditar, así como los resultados de auditorías previas; ésta programación debe ser aprobada por parte de la Dirección Nacional. La Oficina de Control Interno o quien haga sus veces puede realizar Auditorías Internas a procesos, actividades u operaciones, no contempladas en el Programa Anual de Auditoria, cuando lo determine el representante legal o las condiciones así lo ameriten. Cuadro No. 7: Formato Programa Anual de Auditorias Fuente: Proceso de Evaluación ESAP 40 10.2. Evaluación, Seguimiento y Monitoreo a la Administración de Riesgos en la ESAP La Oficina de Control Interno hace seguimiento y monitoreo a la Administración del Riesgo en la Entidad y evalúa el desarrollo y cumplimiento de las acciones preventivas contempladas en el Mapa de Riesgos, para prevenir o mitigar los riesgos de nivel considerable en cada uno de los procesos y en cumplimiento de su quehacer misional. A tal fin se ha elaborado un plan de acción para la presente vigencia, en el cual se estipulan las actividades que se deben ejecutar en tiempo predeterminado y aplicando los indicadores que miden el grado de cumplimiento de las mismas. El control de los riesgos es un aspecto positivo y fortaleza para la protección de los recursos del Estado, resguardándolos contra la materialización, al involucrar y comprometer a los funcionarios en la búsqueda de acciones encaminadas a prevenir y administrar los riesgos, siendo una forma de asegurar el cumplimiento de normas, leyes y regulaciones, además de introducir dentro de los procesos y procedimientos las acciones de mitigación resultado de la administración del riesgo. El instrumento para hacer seguimiento y monitoreo al riesgo es la auditoria que comprende actividades de programación, planeación, preparación, ejecución, informe, plan de mejoramiento y seguimiento a las acciones, llevándose a cabo la evaluación de acuerdo con normas de auditoría generalmente aceptadas y basándose en instrumentos de verificación y soporte tales como manuales de procesos, manuales de procedimientos, mapa de riesgos, acciones correctivas y preventivas, formatos, registros, entre otros. La metodología utilizada se soporta en la verificación y análisis de documentos a través de pruebas selectivas y entrevistas con servidores públicos del proceso auditado. Incluye la comprobación de operaciones financieras, administrativas, económicas y sociales, teniendo la participación de los líderes del proceso, los representantes de la Oficina de Control Interno, los registrados en el mapa de riesgos y los profesionales asignados por el líder del proceso. Se puede notar que la Oficina de Control Interno verificara la inclusión del tema de manejos de riesgo en la agenda laboral de cada proceso, es decir que en toda reunión el tema de riesgo será de carácter obligatorio, a fin de indagar por el cumplimiento de las acciones estipuladas en el mapa de riesgos, cumpliendo funciones de asesora, que sugerirá y aplicara los correctivos y ajustes necesarios para asegurar un efectivos manejo del riesgo. 11. MAPA DE RIESGOS El mapa de riesgos contiene a nivel estratégico los mayores riesgos a los cuales está expuesta la entidad, permitiendo conocer las políticas inmediatas de respuesta ante ellos tendientes a evitar, reducir, compartir o transferir el 41 riesgo; o asumir el riesgo residual, y la aplicación de acciones, así como los responsables, el cronograma y los indicadores. No obstante se considera recomendable, elaborar un mapa de riesgos por cada proceso para facilitar la administración del riesgo, el cual debe elaborarse al finalizar la etapa de Valoración del Riesgo16. Cuadro No. 8: Formato Mapa de Riesgos Fuente: Escuela Superior de Administración Pública E.S.A.P, Departamento Administrativo de la Función Pública D.A.F.P. Cartillas de Administración Pública. Guía de Administración del Riesgo 11.1. Descripción del Mapa de Riesgos17 Riesgo: posibilidad de ocurrencia de un evento que pueda entorpecer el normal desarrollo de las funciones de la entidad y le impidan el logro de sus objetivos. Impacto: consecuencias que materialización del riesgo. puede ocasionar a la organización la Probabilidad: entendida como la posibilidad de ocurrencia del riesgo; ésta puede ser medida con criterios de Frecuencia, si se ha materializado (por ejemplo: No. de veces en un tiempo determinado), o de Factibilidad teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque éste no se haya materializado. Evaluación del riesgo: Resultado obtenido en la matriz de calificación, evaluación y respuesta a los riesgos. Controles existentes: especificar cuál es el control que la entidad tiene implementado para combatir, minimizar o prevenir el riesgo. Valoración del riesgo: es el resultado de determinar la exposición de la entidad al riesgo, luego de confrontar la evaluación del riesgo con los controles existentes. Opciones de manejo: opciones de respuesta ante los riesgos tendientes a evitar, reducir, dispersar o transferir el riesgo; o asumir el riesgo residual. 16 Escuela Superior de Administración Pública E.S.A.P, Departamento Administrativo de la Función Pública D.A.F.P. Cartillas de Administración Pública. Guía de Administración del Riesgo, Pág. 39. 17 Ibíd., Pág. 39, 40. 42 Acciones: es la aplicación concreta de las opciones de manejo del riesgo que entrarán a prevenir o a reducir el riesgo y harán parte del plan de manejo del riesgo. Responsables: son las dependencias o áreas encargadas de adelantar las acciones propuestas. Cronograma: son las fechas establecidas para implementar las acciones por parte del grupo de trabajo. Indicadores: se consignan los indicadores diseñados para evaluar el desarrollo de las acciones implementadas. 11.2. Plan de Manejo de Riesgos Plan de acción propuesto por el grupo de trabajo, cuya evaluación beneficio costo resulta positivo y es aprobado por la gerencia. Con el Plan de Manejo de los Riesgos se consolidan las políticas para el control de los factores y agentes que pueden originar situaciones de afectación, por tanto con la adopción de este Plan se concluye la fase de implantación del componente de Administración de Riesgos, dando paso al mejoramiento continuo que debe acompañar todo proceso de desarrollo. La necesidad de diseñar e implementar un Plan de manejo de los riesgos institucionales, está asociada con el impacto o consecuencias que éstos puedan generar en el normal desarrollo de los procesos y por ende en el cumplimiento de la misión institucional, lo cual supone que las políticas, las acciones y decisiones que las materialicen deben ser de carácter obligatorio por parte de los servidores que ejecutan los procesos, así como de las oficinas responsables de la gestión. En consideración a lo anterior, este plan se convierte en una guía institucional de respuesta ante los riesgos a los cuales está expuesta la entidad. 43 Cuadro No. 9: Plan de Manejo de Riesgos Fuente: Proceso Evaluación ESAP Cuadro No. 10: Formato para la Elaboración del Mapa de Riesgos Fuente: Proceso Evaluación ESAP 44 12. PLAN DE MEJORAMIENTO Elemento de control, que permite el mejoramiento continuo y cumplimiento de los objetivos institucionales de orden corporativo de la entidad pública. Integra las acciones de mejoramiento que a nivel de sus macro procesos o componentes corporativos debe operar la entidad pública para fortalecer integralmente su desempeño institucional, cumplir con su función, misión y objetivos en los términos establecidos en la Constitución, la Ley, teniendo en cuenta los compromisos adquiridos con los organismos de control fiscal, de control político y con los diferentes grupos de interés. Por lo tanto los planes de Mejoramiento Institucional en la ESAP generan las recomendaciones correspondientes y asesorando a la alta dirección para su puesta en marcha. Cuadro No. 11: Formato Plan de Mejoramiento Fuente: Proceso Evaluación ESAP 45 CONCLUSIONES La evaluación, seguimiento y monitoreo a la administración del riesgo demuestra que este procedimiento se fundamenta en la planeación estratégica, desde el momento en que se empieza la elaboración del mapa de riesgos que consigna las acciones tomadas para evitar la materialización, hasta la revisión del cumplimiento de dichas acciones, teniendo como metodología la verificación del cumplimiento de las acciones estipuladas en el respectivo mapa de riesgos y cuya prueba tiene soporte a través del indicador estipulado en el mismo mapa. Es preciso anotar que los procesos adoptados por la Entidad siguiendo las directrices de la Norma Técnica de Calidad tienen carácter Nacional por tanto el desarrollo de las acciones así como la responsabilidad de la eficiencia y manejo de los riesgos que conciernen a los procesos son de exclusivo resorte de su líder. Los riesgos contemplados para cada proceso de la entidad tienen cubrimiento para la Sede Central y las Direcciones Territoriales. No es menos cierto que la Oficina de Control Interno tiene por función fundamental el seguimiento, evaluación y monitoreo en cuanto a la marcha y desarrollo de dichas políticas, pero la responsabilidad de liderar y velar por el buen desarrollo de las actividades previstas para mitigar el riesgo están bajo responsabilidad del líder de cada proceso y hacen parte de las actividades que le corresponden a la alta dirección de la Entidad. Las auditorias de evaluación y seguimiento son una herramienta indispensable, para que este tipo de actividades ayudan a mejorar y acercan cada vez más a la excelencia, reportando a la Oficina de Control Interno los informes que ésta dependencia solicite a la dirección del proceso. Las observaciones son tomadas como base para la mejora continúa y para que todas las personas involucradas se identifiquen y apoyen el desarrollo y avance del proceso. Por lo tanto las auditorias dan a conocer el estado de la Entidad, al hacer diagnostico del funcionamiento de sus procesos y procedimientos. En conclusión la herramienta más importante a nivel organizacional es la información que exista acerca de esta, debido a que es el punto de partida para el funcionamiento, entre mas conocimiento mejor desempeño y el riesgo disminuye, por lo tanto los mecanismos de control tanto internos como externos son utilizados como instrumento que desempeña la función de vigilar, recopilar y verificar que lo establecido se cumpla, confirmando la premisa de que la calidad en la gestión no se improvisa. 46 RECOMENDACIONES - Revisar la periodicidad de cada una de las acciones estipuladas por cada proceso en el mapa de riesgos. - Mantener en la agenda de cada territorial el manejo y cumplimiento de la política de riesgos adoptada por la entidad. - Reportar al líder del Proceso las acciones realizadas oportunamente por parte de los Directores Territoriales. - Reportar a la Oficina de Control Interno los informes que ésta dependencia solicite a la dirección del proceso. - Requerir oportuna y eficientemente por parte del líder del proceso a cada una de las sedes territoriales los documentos estipulados en el indicador para cada uno de los riesgos registrados en el mapa. - Suministrar las herramientas tanto tecnológicas como logísticas a todas Direcciones Territoriales para lograr una buena y eficiente realización de las actividades conducentes a la prevención del riesgo. - Tomar oportunamente las decisiones que conduzcan a la corrección de las observaciones expuestas tanto por los integrantes del proceso como por los auditores de control interno. - Informar oportunamente a la Oficina de Planeación y a la Oficina de Control Interno respecto de los cambios o modificaciones al mapa de riesgos del Proceso. 47 BIBLIOGRAFÍA Constitución Política de Colombia de 1991. 3 Ed. Bogotá: ESAP-Centro de Publicaciones, 1992. Decreto 1537 de 2001 Decreto 1599 de 2005 Departamento Administrativo de la Función Pública, Dirección de Políticas de Control Interno y Racionalización de Trámites, Guía General para el Diseño, Desarrollo e Implementación de cada uno de los Subsistemas, Componentes y Elementos del Modelo Estándar De Control Interno - MECI 1000:2005, 2a Versión Escuela Superior de Administración Pública E.S.A.P, Departamento Administrativo de la Función Pública D.A.F.P. Cartillas de Administración Pública. Guía de Administración del Riesgo Ley 489 de 1998: Estatuto Básico de Organización y Funcionamiento de la Administración Pública. Bogotá: ESAP-Unidad de Publicaciones, 1999. Ley 87 de 1993 Ley 872 de 2003 Manual Proceso de Evaluación ESAP Norma Fundamental ESAP Norma Técnica de la Gestión Pública NTCGP 1000:2009 Resolución 0232 de 2006 48 ANEXOS 49