informe final de auditoria a la gestión del riesgo
Anuncio
INFORME FINAL DE AUDITORIA A LA GESTIÓN DEL RIESGO OFICINA DE CONTROL INTERNO DEPARTAMENTO ADMINISTRATIVO DE LA PRESIDENCIA DE LA REPÚBLICA TABLA DE CONTENIDO Pág. I. INTRODUCCIÓN 2 II. OBJETIVO DEL INFORME 3 III. OBJETIVOS ESPECIFICOS 4 IV. ALCANCE DEL INFORME 4 V. TÉRMINOS DEL INFORME 4 VI. DESARROLLO DE LA AUDITORIA 5-76 VII. VIII. CONCLUSIONES DE LA AUDITORIA OPINION DE LA OCI 77-78 79 2 INTRODUCCION En el Departamento Administrativo de la Presidencia de la Republica DAPRE, se establecieron los lineamientos para la Administración del Riesgo como una política de gestión por parte de la Alta Dirección, mediante la cual se da a conocer la metodología con las etapas para la identificación, el análisis, la valoración, el manejo y el seguimiento o monitoreo de los riesgos. Así mismo, se dispuso del aplicativo SIGEPRE –módulo Gestión del Riesgo, mediante el cual se comunican los riesgos asociados a los procesos o dependencias. La aplicación de la metodología más la evaluación de los riesgos, permite a la Entidad fortalecer su proceso de planificación, porque podrá definir las medidas de tratamiento más efectivas y determinar la forma más adecuada para controlarlo, de modo que se logre disminuir el impacto y la probabilidad de ocurrencia, para así alcanzar los objetivos Institucionales. Por lo anterior, la Oficina de Control Interno en su rol de evaluador independiente, adelantó evaluación al mapa de riesgos de la Entidad, con el fin de verificar la efectividad de los controles así como de las acciones encaminadas al fortalecimiento de los mismos, de manera que se proporcioné información objetiva y razonable a la Alta Dirección, acerca del control de todos aquellos factores que impidan el logro de la misión institucional. 3 1. OBJETIVO Evaluar la Eficacia de los Controles establecidos sobre los riesgos identificados y valorados en el Mapa de Riesgos de la Entidad y hacer seguimientos a los Riesgos que se hayan materializado. 1.1. OBJETIVOS ESPECIFICOS Realizar seguimiento y evaluación a las actividades de control, acordadas para la consecución de los objetivos y metas estratégicas. Evaluar la efectividad de la política de Administración del Riesgo. 2. ALCANCE DE LA AUDITORÍA La Oficina de Control Interno determinó el alcance a la Gestión del Riesgo del 1 de Enero al 31 de diciembre de 2014. 1. TÉRMINOS DEL INFORME La Oficina de Control Interno utilizará para el presente Informe, los términos y definiciones establecidos en el Manual de Auditoría Interna, los cuales deben ser tenidos en cuenta para su entendimiento y posterior, formulación de los planes de mejoramiento, a saber: No Conformidad: Incumplimiento de un requisito técnico legal o funcional. Se constituye cuando existe evidencia objetiva del incumplimiento. Observación: Hecho o situación que podría generar el incumplimiento de un requisito. Recomendación: Se constituye como una oportunidad de mejora. 1. MARCO LEGAL Decreto 943 de 2014 Ley 1474 de 2011 - D Manual Técnico del MECI 2014 Resolución 575 de 2010 Lineamientos para la Administración del Riesgo 2014 Decreto 4485 de 2009 4 Manual de Buen Gobierno Presidencia de la República Manual del Sistema Interno de Gestión de la Presidencia de la República. Estrategias para la construcción del Plan Anticorrupción y de Atención al Ciudadano Manual Técnico del MECI 2014. 3. RESULTADOS DE LA AUDITORIA. La evaluación, seguimiento y verificación fue realizada en forma general a la Gestión de Riesgos de la Entidad, siguiendo los criterios y conceptos formulados en la Guía o Lineamientos para la Administración del Riesgo L-DE-01, así también se evaluó y verificó la eficacia de los controles que se están aplicando en los riesgos identificados por dependencia, donde cada uno de los miembros del equipo auditor evidenció lo encontrado. 3.1. Administración del Riesgo Una vez verificado el Componente Administración del Riesgo desde la perspectiva del Modelo Estándar de Control Interno – MECI, se observa que el Departamento Administrativo de la Presidencia de la Republica – DAPRE, ha implementado cada uno de los elementos de control que conforman la Gestión del Riesgo como son: Contexto estratégico, identificación de riesgos, análisis de riesgos valoración de riesgos, políticas de administración de riesgos y se encuentra alineado con los insumos o entradas de dicho componente, tales como: Diagnostico para la gestión de la Entidad, planes y programas, modelo de operación y estructura organizacional. El Departamento Administrativo de la Presidencia de la Republica administra sus riesgos a través del Aplicativo SIGEPRE - Modulo Gestión del Riesgo. A continuación presentamos el Mapa de Riesgos Institucionales de la Presidencia de la Republica que se encuentran en el aplicativo SIGEPRE. 5 3.2 Mapa de Riesgos Institucional: No Proceso Dependencia Clase Institucional Corrupción Oficina de Planeación Operativo Si No 1 Direccionami ento Estratégico 2 Adquisición de Bienes y Servicios Área de Contratos Operativo Si Si 3 Gestión Documental Archivo y Correspondencia Operativo Si No 4 Talento Humano Control Interno Disciplinario Cumplimiento Si Si 5 Adquisición de Bienes y Servicios Área de Contratos Operativo Si No 6 Gestión Administrativa Área Administrativa Operativo Si Si 7 Gestión de: Seguridad, Apoyo Logístico, Comunicació n y Prensa Dirección para la Relación con los Medios imagen Si No 8 Gestión Financiera Area Financiera Financiero Si No Matriz de Calificación, evaluación y respuesta 12 Zona de Riesgo Extremo 5 Zona de riesgo alta Reducir el riesgo Evitar el riesgo Compartir o transferir 8 Zona de riesgo alta Reducir el riesgo Evitar el riesgo Compartir o transferir 5 Zona de riesgo alta Reducir el riesgo Evitar el riesgo Compartir o transferir 8 Zona de riesgo alta Reducir el riesgo Evitar el riesgo Compartir o transferir 15 Zona de riesgo extrema Evitar el riesgo Reducir el riesgo Compartir o transferir 9 Zona de riesgo alta Reducir el riesgo Evitar el riesgo Compartir o transferir 8 Zona de riesgo alta Reducir el riesgo Evitar el riesgo Compartir o transferir 6 9 Gestión Financiera Área Financiera Financiero Si Si 10 Gestión de Asuntos Políticos Secretaría de Transparencia Operativo Si No 11 Tecnología de Información y Comunicacio nes Área de Sistemas Tecnología Si No 12 Tecnología de Información y Comunicacio nes Área de Sistemas Tecnología Si Si 13 Talento Humano Área de Talento Humano Operativo Si No 14 Direccionami ento Estratégico Oficina de Planeación Estratégico Si No 15 Atención al Usuario Atención al Usuario Operativo Si No 16 Gestión Administrativa Área Administrativa Operativo Si No 17 Direccionami ento Estratégico Oficina de Planeación Estratégico Si No 18 Gestión de Asuntos Políticos Secretaría de Transparencia Operativo Si No 10 Zona de riesgo extrema Evitar el riesgo Reducir el riesgo Compartir o transferir 8 Zona de riesgo alta Reducir el riesgo Evitar el riesgo Compartir o transferir 8 Zona de riesgo alta Reducir el riesgo Evitar el riesgo Compartir o transferir 5 Zona de riesgo alta Reducir el riesgo Evitar el riesgo Compartir o transferir 3 Zona de riesgo moderada Asumir el riesgo Reducir el riesgo 8 Zona de riesgo alta Reducir el riesgo Evitar el riesgo Compartir o transferir 6 Zona de riesgo moderada Asumir el riesgo Reducir el riesgo 6 Zona de riesgo moderada Asumir el riesgo Reducir el riesgo 6 Zona de riesgo moderada Asumir el riesgo Reducir el riesgo 4 Zona de riesgo alta Reducir el riesgo Evitar el riesgo Compartir o transferir 7 19 Gestión Financiera Área Financiera Cumplimiento Si No 20 Evaluación Control y Mejoramiento Oficina de Control Interno Cumplimiento Si No 21 Talento Humano Área de Talento Humano Cumplimiento Si No 22 Evaluación Control y Mejoramiento Oficina de Control Interno Operativo Si No 23 Tecnología de Información y Comunicacio nes 24 Adquisición de Bienes y Servicios 25 Área de Sistemas Tecnología Si 4 Zona de riesgo alta Reducir el riesgo Evitar el riesgo Compartir o transferir 4 Zona de riesgo alta Reducir el riesgo Evitar el riesgo Compartir o transferir No 4 Zona de riesgo alta Reducir el riesgo Evitar el riesgo Compartir o transferir Operativo Si No Direccionami ento Estratégico Oficina de planeación Cumplimiento Si No 26 Gestión Documental Gestión Documental 27 Gestión Administrativa Área Administrativa Operativo Si No 28 Gestión Administrativa Área Administrativa Operativo Si No Si 4 Zona de riesgo alta Reducir el riesgo Evitar el riesgo Compartir o transferir 8 Zona de riesgo alta Reducir el riesgo Evitar el riesgo Compartir o transferir Área de Contratos Operativo 8 Zona de riesgo alta Reducir el riesgo Evitar el riesgo Compartir o transferir No 8 Zona de riesgo alta Reducir el riesgo Evitar el riesgo Compartir o transferir 12 Zona de riesgo extrema Evitar el riesgo Reducir el riesgo Compartir o transferir 6 Zona de riesgo moderada Asumir el riesgo Reducir el riesgo 9 Zona de riesgo alta Reducir el riesgo Evitar el riesgo Compartir o transferir 8 29 Talento Humano 30 Atención al Usuario Área de Talento Humano Atención al Usuario Operativo Cumplimiento Si Si Si No 10 Zona de riesgo extrema Evitar el riesgo Reducir el riesgo Compartir o transferir 8 Zona de riesgo alta Reducir el riesgo Evitar el riesgo Compartir o transferir Fuente: Aplicativo SIGEPRE Como se observa en el cuadro anterior de los sesenta y seis (66) riesgos que tiene identificados el Departamento Administrativo de la Presidencia de la República treinta (30) son Institucionales, el hecho de ser institucionales son los que contienen a nivel estratégico los mayores riesgos a los cuales está expuesta la Entidad y son los que afectan el cumplimiento de la misión institucional y objetivos del DAPRE de acuerdo a lo establecido en los lineamientos. Sin embargo, en el análisis realizado se evidencia que los riesgos que se tienen identificados como Institucionales son en su mayoría los dependencias de apoyo y no de los procesos misionales, por lo cual se Recomienda1 analizar y verificar el contexto estratégico a fin de lograr una total identificación de los riesgos institucionales que pueden afectar el cumplimiento de la misión de la Entidad. Así mismo, se puede evidenciar que en el Departamento Administrativo de la Presidencia de la Republica - DAPRE, se identificaron los riesgos teniendo en cuenta el contexto estratégico como resultado del Análisis DOFA1, registrado en la Guía para la planeación estratégica y operativa institucional G-DE-02, En esta etapa se definen los tipos de riesgos, clasificándolos como estratégicos, de imagen, operativos, financieros, de cumplimiento y tecnológicos. Los riesgos fueron identificados y valorados con base en factores internos y externos que inciden en el desarrollo de la gestión institucional, aterrizadas a las situaciones que tengan relación directa con el cumplimiento del Plan Operativo Anual - POA de la dependencia, Proyectos de Inversión y procesos, teniendo en cuenta la estructura organizacional del Departamento Administrativo de la Presidencia de la Republica - DAPRE. 1 Debilidades, Oportunidades, Fortalezas y Amenazas. 9 El DAPRE para la vigencia 2014, de los 66 riesgos identificado, se evidencia que treinta (30) son de tipo operativo, los cuales equivalen a un 45% y doce (12) riesgos son de tipo estratégico que equivalen al 18.5% del total de los riesgos, y teniendo en cuenta que los riesgos de tipo estratégico son los riesgos que se enfocan al cumplimiento del deber ser de la Entidad y al cumplimiento de los objetivos institucionales; se observa un porcentaje muy bajo de los riesgos estratégicos, teniendo en cuenta que en el Mapa de Procesos se tienen tres procesos misionales, para lo cual se Recomienda2., hacer un análisis del tipo de riesgos con el fin de que la Entidad pueda tener control de todos los objetivos estratégicos y metas SINERGIA a alcanzar y que por ende afectan el cumplimiento de la misión y de la visión. Tipo de riesgo No de Riesgos Riesgo estratégico 12 Porcentaje del tipo de riesgo respecto al total de riesgos 18.5% Riesgos de imagen Riesgos operativos Riesgos financieros Riesgos de cumplimiento Riesgos tecnológicos Total 4 30 4 12 4 66 6% 45% 6% 18.5% 6% 100% Y teniendo en cuenta que en el Lineamiento para la Administración del Riesgo una de las fuentes para identificación de riesgos son los proyectos de inversión y en el aplicativo no se ve reflejado esta fuente, se Recomienda3. Incorporar en la gestión del riesgo institucional en el aplicativo SIGEPRE los proyectos de inversión. En la etapa de Valoración del Riesgo es donde la Entidad, emprende acciones inmediatas como la fijación de políticas para: evitar, compartir o transferir el riesgo, reducir el riesgo o asumirlo. 10 Matriz de Riesgos PROBABILIDAD Raro (1) I mprobable (2) Moderada (3) Probable (4) Casi certeza (5) I nsignificante (1) Menor (2) 1 Zona de riesgo baja 2 Zona de riesgo baja Asumir el riesgo Asumir el riesgo 2 Zona de riesgo baja 4 Zona de riesgo baja Asumir el riesgo Asumir el riesgo 3 Zona de riesgo baja Asumir el riesgo 6 Zona de riesgo moderada IMPACTO Moderado (3) Mayor (4) Catastrófico (5) 3 4 5 Zona de riesgo moderada Zona de riesgo alta Zona de riesgo alta Asumir el riesgo Reducir el riesgo Reducir el riesgo Reducir el riesgo Ev itar el riesgo Ev itar el riesgo Compartir o transferir Compartir o transferir 6 8 10 Zona de riesgo moderada Zona de riesgo alta Zona de riesgo extrema Asumir el riesgo Reducir el riesgo Ev itar el riesgo Reducir el riesgo Ev itar el riesgo Reducir el riesgo Compartir o transferir Compartir o transferir 9 12 15 Zona de riesgo alta Zona de riesgo extrema Zona de riesgo extrema Asumir el riesgo Reducir el riesgo Ev itar el riesgo Ev itar el riesgo Reducir el riesgo Ev itar el riesgo Reducir el riesgo Reducir el riesgo Compartir o transferir Compartir o transferir Compartir o transferir 12 16 20 Zona de riesgo alta Zona de riesgo extrema Zona de riesgo extrema 4 Zona de riesgo moderada 8 Zona de riesgo alta Asumir el riesgo Reducir el riesgo Reducir el riesgo Ev itar el riesgo Ev itar el riesgo Reducir el riesgo Ev itar el riesgo Ev itar el riesgo Reducir el riesgo Reducir el riesgo Compartir o transferir Compartir o transferir Compartir o transferir Compartir o transferir 5 Zona de riesgo alta 10 Zona de riesgo alta 15 20 25 Zona de riesgo extrema Zona de riesgo extrema Zona de riesgo extrema Reducir el riesgo Reducir el riesgo Ev itar el riesgo Ev itar el riesgo Ev itar el riesgo Ev itar el riesgo Ev itar el riesgo Reducir el riesgo Reducir el riesgo Reducir el riesgo Compartir o transferir Compartir o transferir Compartir o transferir Compartir o transferir Compartir o transferir Los controles que se establecen en el Lineamiento, son de dos tipos: preventivo, que son los que eliminan las causas y disminuyen la probabilidad de ocurrencia y correctivo, que son los que permiten la modificación de las acciones que propiciaron su ocurrencia. Así mismo, en el Lineamiento para la Administración del Riesgo L-DE-01 se fijan tres criterios de evaluación: ¿Este control está documentado? ¿Este control se está aplicando en la actualidad? ¿Este control es efectivo para minimizar el riesgo? Lo anterior, es sujeto de evaluación, verificación y comprobación en cuanto a si los controles están documentados, son aplicados y efectivos, a continuación se presenta el consolidado de la Matriz de Riesgos de la Entidad después de controles, 11 Matriz de Riesgos después de controles (Residual) PROBABILIDAD Insignificante (1) 1 Menor (2) 2 (1)Riesgos Atención al Usuario IMPACTO Moderado (3) Mayor (4) 3 4 (4) Riesgos Gestión de Asuntos (2) Riesgos Gestión de Asuntos Politicos Politicos (1)Riesgos Talento Humano Raro (1) (2)Riesgos Evaluación Control M (1)Riesgos Talento Humano Catastrófico (5) 5 (1)Riesgo Adquisición B S (corrupción) (1)Riesgo Talento Humano(corrupción) (1)Riesgo TICS (1 es de corrupción) (1)Riesgo Adquisición B S 2 4 (1)Riesgo Gestión Administrativa Improbable (2) 6 (8) Riesgos Gestión de Asuntos Politicos 8 (9) Riesgo Gestión de Asuntos Politicos (1)Riesgos Dir. Estratégico (1)Riesgo Atención al Usuario (2)Riesgos Gestión Administrativa (1)Riesgos G. de Seguridad y Apoyo Logís. (1)Riesgos Atención al Usuario (3)Riesgo G. de Seguridad y Apoyo Logís. 6 4 8 12 5 10 15 Moderada (3) (2)Riesgo Dir. Estratégico (4)Riesgo Gestión Financiera (1)Riesgo Gestión Jurídica (1)Riesgo Gestión Documental (3)Riesgo TICS (1)Riesgo Adquisición B S 9 12 (2) Riesgo Gestión de Asuntos (1)Riesgo Gestión Administrativa Politicos (2)Riesgo G. de Seguridad y (1)Riesgo Dir. Estratégico Apoyo Logís. (1)Riesgo Gestión Documental 3 Probable (4) 10 (1)Riesgo Talento Humano(corrupción) (1)Riesgo Gestión Financiera(corrupción) 15 (1)Riesgo Gestión Administrativa(corrupción) (1)Riesgo Gestión Jurídica(corrupción) 16 (1) Riesgo Gestión de Asuntos Politicos 20 20 25 Casi certeza (5) Fuente: Aplicativo SIGEPRE – Gestión de Riesgo Zona de Riesgos después de Controles Probabilidad/Impacto No Opción de tratamiento Riesgo por Proceso Zona de riesgo baja 2 Asumir el Riesgo (1)Riesgos Atención al Usuario (1)Riesgo Gestión Administrativa Zona de riesgo moderada 18 Asumir el riesgo Reducir el riesgo Zona de riesgo alta 37 Reducir el riesgo (4) Riesgos Gestión de Asuntos Políticos (1)Riesgos Talento Humano (8) Riesgos Gestión de Asuntos Políticos (1)Riesgo Dir. Estratégico (2)Riesgos Gestión Administrativa (1)Riesgos G. de Seguridad y Apoyo Logístico. (1)Riesgos Atención al Usuario (2) Riesgos Gestión de Asuntos 12 Evitar el riesgo Compartir o transferir Zona de riesgo extrema 9 Evitar el riesgo Reducir el riesgo Compartir o transferir Políticos (2)Riesgos Evaluación Control M (1)Riesgos Talento Humano (1)Riesgo Adquisición B S (9) Riesgo Gestión de Asuntos Políticos (1)Riesgo Atención al Usuario (3)Riesgo G. de Seguridad y Apoyo Logístico. (2)Riesgo Dir. Estratégico (4)Riesgo Gestión Financiera (1)Riesgo Gestión Jurídica (1)Riesgo Gestión Documental (4)Riesgo TICS (1 es de corrupción) (1)Riesgo Adquisición B S (1)Riesgo Gestión Administrativa (2)Riesgo G. de Seguridad y Apoyo Logístico. (1)Riesgo Adquisición B S (corrupción) (1)Riesgo Talento Humano(corrupción) (1)Riesgo Talento Humano(corrupción) (1)Riesgo Gestión Financiera(corrupción) (1)Riesgo Gestión Administrativa(corrupción) (4)Riesgo TICS (1 es de corrupción) (1)Riesgo Gestión Jurídica(corrupción) (2) Riesgo Gestión de Asuntos Políticos (1)Riesgo Dir. Estratégico (1)Riesgo Gestión Documental (1) Riesgo Gestión de Asuntos Políticos Consolidado riesgos después de controles Probabilidad/Impacto No Riesgos Porcentaje respecto al total de riesgos % Zona de riesgo baja Zona de riesgo moderada Zona de riesgo alta Zona de riesgo extrema 2 18 3% 27% 36 10 56% 14% Como se observa en el cuadro anterior el 56% de los riesgos de la Presidencia se encuentran en zona de valoración del riesgo alta 37 riesgos y en zona extrema 9 que representan el 14%, como vemos esto puede afectar la consecución de las metas y objetivos institucionales y por ende afecte el cumplimiento de la misión y la visión. Se Recomienda4 hacer un análisis y verificación de los mismos. 13 De acuerdo a los Lineamientos para la Administración del Riesgo 8.2.1, para la formulación de plan de contingencia y/o plan de corrección cuando el riesgo se encuentra en zona de riesgo baja o su impacto es catastrófico, la política de administración de riesgos será Asumir el riesgo, en la Entidad los riesgos que se encuentran en esta zona son: Riesgos en zona baja e Impacto Catastrófico (1)Riesgos Atención al Usuario (1)Riesgo Gestión Administrativa (1)Riesgo Adquisición B S (corrupción) (1)Riesgo Talento Humano(corrupción) (1)Riesgo Talento Humano(corrupción) (1)Riesgo Gestión Financiera(corrupción) (1)Riesgo Gestión Administrativa(corrupción) 1)Riesgo TICS ( es de corrupción) (1)Riesgo Gestión Jurídica(corrupción) Plan de contingencia SI SI SI Asumir el Riesgo Asumir el Riesgo Evitar el Riesgo SI Evitar el Riesgo SI Evitar el Riesgo SI Evitar el Riesgo, Compartir o Transferir el Riesgo Reducir el Riesgo SI (el plan está en rojo) SI SI Tratamiento Evitar el Riesgo Reducir el Riesgo Fuente: Aplicativo SIGEPRE Teniendo en cuenta los Lineamientos para la Administración del Riesgo de conformidad con el Numeral 8.2.1 Formulación del plan de contingencia literal b) el cual establece (… “La política de administración de riesgos que se escoja será “Asumir el riesgo” (Etapa de Manejo)” se observa que no está acorde con el Numeral 9.1 Política de Administración del Riesgo literal d)(…” Asumir el riesgo: Cuando el riesgo queda en zona de riesgo “baja” o “Moderada”) Se Recomienda5. Realizar la verificación y análisis respectivos. Una vez efectuada la evaluación y verificación de los controles por el equipo auditor a través de entrevistas con los responsables asignados de las dependencias, se pudo observar lo siguiente: DEPENDENCIA: Oficina de Planeación Nombre del Controles Riesgo 1. Adquisición 1. Comunicación de bienes y/o informando los servicios No lineamientos para la Incluidos en el elaboración del Plan Plan Anual de Anual de Adquisiciones Adquisiciones del DAPRE ¿Se ha materializado el Riesgo? Al 31 de diciembre de 2014, no se materializó el riesgo, ya que los controles formulados para el manejo de éste se aplicaron de manera eficaz. observaciones Los controles son preventivos y afectan la escala de probabilidad. Se Recomienda 1 asociar el Soporte de valoración de controles en el SIGEPRE. 14 2. Revisión de las necesidades y montos solicitados por parte de las dependencias 3. Identificación las necesidades teniendo en cuenta los gastos de funcionamiento y de inversión 4. Revisión y retroalimentación de la programación y ejecución del Plan Anual de Adquisiciones 5. Comité de ordenación del gasto El control está documentado, se aplica y es efectivo para minimizar el riesgo. El control está documentado, se aplica y es efectivo para minimizar el riesgo. El control está documentado, se aplica y es efectivo para minimizar el riesgo. El control está documentado, se aplica y es efectivo para minimizar el riesgo. El control está documentado, se aplica y es efectivo para minimizar el riesgo. 6. Comités de seguimiento a la Gestión de la Subdirección de Operaciones Si bien el Comité de seguimiento está documentado a través de las actas de las reuniones, se Recomienda 2 revisar el Lineamiento que establece: “(…) Si el control está documentado indique en qué documento del SIGEPRE se encuentra documentado y asócielo como concepto (…)”. Ya que se observan actividades de control documentadas con documentos no controlados en el SIGEPRE, como actas, correos, comunicaciones, listados de asistencia. El control está documentado, se aplica y es efectivo para minimizar el riesgo. 7. Correos de seguimiento a la ejecución del Plan Anual de Adquisiciones 2. Incumplimiento de los 1. Elaborar y comunicar los lineamientos para la formulación de la Al 31 de diciembre de 2014, no se materializó el riesgo, ya que los Se reitera la Recomendación 2. De los 8 controles establecidos para la mitigación del riesgo, 1 es 15 resultados previstos en la planeación estratégica y operativa planeación estratégica y operativa 2. Actualizar y socializar los procedimientos y herramientas internas aplicables 3. Comités institucional Sectorial e 1. Realizar ajustes a la Planeación Institucional y Sectorial de acuerdo con los cambios en los lineamientos de la entidad y del Gobierno. Control Correctivo. 5. Asesoría en la formulación metodológica de los planes en cada una de las dependencias 6. Revisión y aprobación de la formulación de la planeación controles formulados para el manejo de éste se aplicaron de manera eficaz. correctivo y los 7 restantes son preventivos. Los 8 afectan la probabilidad. El control está documentado, se aplica y es efectivo para minimizar el riesgo. Se reitera la Recomendación 1. Se Recomienda 3 asociar como concepto el documento que evidencia que el control está documentado, esto es la Guía para la elaboración y control de los documentos. El control está documentado, se aplica y es efectivo para minimizar el riesgo. Se reitera la Recomendación 2. Se Recomienda 4 asociar como concepto el documento que evidencia que el control está documentado, esto es los procedimientos de formulación y seguimiento a la planeación Institucional y Sectorial. La Oficina de Planeación informó que este control se fortalecerá para la vigencia 2015, en cuanto a que el lineamiento establece que se recibirán modificaciones de planes y actividades hasta el mes de octubre de la vigencia. El control está documentado, se aplica y es efectivo para minimizar el riesgo. Se reitera la Recomendación 2. El control está documentado, se aplica y es efectivo para 16 minimizar el riesgo. El control está documentado, se aplica y es efectivo para minimizar el riesgo. 7. Ejecución de los Subcomités de Control Interno 3. Perdida del certificado de calidad por incumplir requisitos de la NTCGP 1000 8. Correos preventivos frente a la oportunidad y calidad del registro de la información de la planeación estratégica y operativa 1. Aplicativo SIGEPRE para gestionar y controlar los documentos, riesgos, mejoras, planes de auditoria y reportes de productos y/o servicios no conformes 2. Revisión metodológica y técnica de los documentos previo a su aprobación y liberación 3. Capacitación sobre las nuevas funcionalidades del aplicativo 4. Revisión y aprobación técnica de los documentos en las dependencias Se Recomienda 5 asociar como concepto el documento que evidencia que el control está documentado, esto es la Resolución 5239 del 20/10/2014. El control está documentado, se aplica y es efectivo para minimizar el riesgo. Al 31 de diciembre de 2014, no se materializó el riesgo, ya que los controles formulados para el manejo de éste se aplicaron de manera eficaz. Todos los controles son preventivos y afectan la probabilidad. El control está documentado, se aplica y es efectivo para minimizar el riesgo. Se reitera la Recomendación 1. El control está documentado, se aplica y es efectivo para minimizar el riesgo. Se Recomienda 6 asociar como concepto el documento que evidencia que el control está documentado, esto es la guía para la elaboración y control de documentos. El control está documentado, se aplica y es efectivo para minimizar el riesgo. Se reitera la Recomendación 2. El control está documentado, se aplica y es efectivo para minimizar el riesgo. 17 5. Nomograma institucional y por proceso documentado en el aplicativo SIGEPRE 6. Procedimiento y guía para la elaboración y control de documentos del SIGEPRE 7. Programa de auditorías internas del DAPRE 8. Formulación y seguimiento a planes correctivos, preventivos y/o mejora 9. Administración de riesgos 10. Reporte de productos y/o servicios No conformes 11. Tablas de retención documental para el control de registros 4. Incumplimiento de las Metas de los proyectos de inversión del DAPRE 1. Realizar capacitación al enlace técnico sobre la formulación de proyectos cuando aplique Materializado en el monitoreo al 31 de diciembre de 2014. De los 18 proyectos que se realiza seguimiento en el SPI 4 quedaron con metas rezagadas: Programas Especiales; Estrategia de Primera Infancia; Fondo paz; Y Consejería de DD HH. 2. Realizar socialización de los lineamientos, guías, manuales y/o observaciones del DNP en la formulación y actualización de los proyectos de inversión al Gerente del Proyecto y Se solicitó plan de mejoramiento, Para cumplir con las metas previstas del 2014, y realizar acciones para que esto no vuelva a ocurrir. Se Recomienda fortalecer los controles Se reitera la Recomendación 6 El control está documentado, se aplica y es efectivo para minimizar el riesgo. El control está documentado, se aplica y es efectivo para minimizar el riesgo. El control está documentado, se aplica y es efectivo para minimizar el riesgo. El control está documentado, se aplica y es efectivo para minimizar el riesgo. El control está documentado, se aplica y es efectivo para minimizar el riesgo. El control está documentado, se aplica y es efectivo para minimizar el riesgo. El control está documentado, se aplica y es efectivo para minimizar el riesgo. Se Recomienda 7 asociar como concepto el documento que evidencia que el control está documentado, esto es asociar las estrategias del Plan Operativo correspondiente. Todos los controles son preventivos y afectan la probabilidad. El control está documentado, se aplica y es efectivo para minimizar el riesgo. El control está documentado, se aplica y es efectivo para minimizar el riesgo. Se reitera Recomendación 7. la 18 enlace técnico establecidos y revisar la formulación de un control que involucre a los enlaces técnicos en el seguimiento al cumplimiento de las metas intermedias. 3. Socializar los procedimientos y responsabilidades que tiene el Gerente del proyecto en la formulación y actualización del proyecto de inversión 4. Retroalimentación del SPI frente cumplimiento de las metas de los proyectos de inversión El control está documentado, se aplica y es efectivo para minimizar el riesgo. El control está documentado, se aplica y es efectivo para minimizar el riesgo. Se Recomienda 9 asociar como concepto el documento que evidencia que el control está documentado, esto es asociar el P-DE-07 GESTION DE PROYECTOS DE INVERSIÓN. El control está documentado, se aplica y es efectivo para minimizar el riesgo. 5. Reunión de seguimiento de la Subdirección de Operaciones a las Altas Consejerías y Programas Presidenciales ejecutores de proyectos Se reitera la Recomendación 2. Se Recomienda 10 asociar como concepto el documento que evidencia que el control está documentado, esto es asociar la Resolución que reglamenta el Comité Institucional en la Entidad. 6. Seguimiento trimestral a los proyectos de inversión en el Comité institucional de Desarrollo Administrativo DEPENDENCIA: Dirección para Asuntos Políticos Nombre del Riesgo Controles Se ha materializado el Riesgo? Observaciones 19 1. Entregar información errada o extemporánea al Presidente de la República sobre el trámite de la agenda legislativa del Congreso de la República 1. Reuniones y mesas de trabajo con Ministerios y congresistas de la Unidad Nacional Al 31 de Los controles son diciembre de preventivos y afectan la 2014, no se escala de probabilidad. materializó el riesgo, ya que El control está los controles documentado, se aplica y formulados para es efectivo para minimizar el el manejo de riesgo. éste se aplicaron de Se Recomienda 11 asociar el manera eficaz. Soporte de valoración de controles en el SIGEPRE. 3. Comunicación efectiva con los enlaces de los Ministerios El control está documentado, se aplica y es efectivo para minimizar el riesgo. 4. Consolidación de información y bases de datos del trámite legislativo El control está documentado, se aplica y es efectivo para minimizar el riesgo. DEPENDENCIA: Dirección para las Regiones Nombre del Riesgo 1. Decisiones erróneas durante la planeación de acciones para el logro de las prioridades de gobierno - AC Regiones. Controles Criterios de Evaluación Evidencia ¿Se ha materializado el Riesgo? observaciones No se observa la actualización u identificación de un riesgo asociado a la prestación del servicio de la Dirección de acuerdo al nuevo enfoque metodológico, como se observa en el riesgo “Decisiones erróneas durante la planeación de acciones para el logro de las prioridades de gobierno” de 2013. Incumpliendo los Lineamientos para la Administración del Riesgo L-DE01, versión 6 del 19 de mayo de 2014. No Conformidad Real.1 DEPENDENCIA: Área de Talento Humano Nombre del Riesgo Controles 1. Inadecuada identificación de las actividades en el Plan Institucional de Capacitación, Bienestar y Salud Ocupacional 1 Aplicar encuesta de necesidades de capacitación, bienestar social y salud ocupacional. 2.Priorización de ¿Se ha materializado el Riesgo? Al 31 de diciembre de 2014, no se materializó el riesgo, ya que los controles formulados para el manejo de éste se aplicaron de manera eficaz. observaciones Los controles son preventivos y afectan la escala de probabilidad El control está documentado, se aplica y es efectivo para minimizar el riesgo. Se Recomienda 12 asociar el Soporte de valoración de controles en el SIGEPRE. A su vez, el control se 20 las necesidades de acuerdo con los resultados de la aplicación del formato de diagnóstico de necesidades de capacitación 2. Incumplimientos legales en la liquidación de las novedades laborales y prestacionales 3. Revisión previa por el comité de capacitación 1. Utilización del aplicativo de nómina Al 31 de diciembre de 2014, no se materializó el riesgo, ya que los controles formulados para el manejo de éste se aplicaron de manera eficaz. 3. Planilla de control de registro de novedades 4. Cumplimiento del procedimiento y lineamientos establecidos 1. Solicitar a la Secretaría de Seguridad realizar el respectivo Se Recomienda 14 asociar el Soporte de valoración de controles en el SIGEPRE. Los controles son preventivos y afectan la escala de probabilidad. El control está documentado, se aplica y es efectivo para minimizar el riesgo. 2. Revisión técnica y normativa en la pre nómina 3. Tráfico de influencias durante la selección de personal encuentra documento en el procedimiento Elaboración del Plan Institucional de Capacitación y Bienestar Social e incentivos. Código: PTH-05. El Área de Talento Humano, informó que para la vigencia 2015 se fortalecerá la oferta de actividades de capacitación a través de la estrategia del PAE – Proyecto de Aprendizaje en Equipo, con: SIGEPRE, Inducción y Reinducción, SIGOB, Políticas de seguridad para las TICS, Contratación Estatal y Manual de Contratación y supervisión de contratos. El control está documentado, se aplica y es efectivo para minimizar el riesgo. Se Recomienda 13 asociar como concepto el documento que evidencia que el control está documentado, esto es asociar el Procedimiento P-TH02. Al 31 de diciembre de 2014, no se materializó el Se reitera la Recomendación 13. Se Recomienda 15 revisar el mecanismo aplicado para el control de las novedades generadas y actualizarlo. Se Recomienda 16 revisar la formulación del control, ya que el cumplimiento es el producto de los controles contenidos en el procedimiento. Controles Preventivos que afectan la probabilidad. Se Recomienda 17 ajustar el 21 Riesgo de Corrupción. estudio de seguridad del aspirante a ocupar el cargo. 2. Aplicación formato Control de documentos para la posesión legal del cargo 2. Verificar la idoneidad del personal 3. Solicitud de aplicación de pruebas de meritocracia 4. Revisión jurídica a las resoluciones de nombramiento 5. Procedimi ento para selección y vinculación de personal riesgo, ya que los controles formulados para el manejo de éste se aplicaron de manera eficaz. control y formularlo en cuanto al concepto del estudio de seguridad, la actividad de solicitar no es un control. Se Recomienda 18 asociar como concepto el documento que evidencia que el control está documentado, esto es asociar el Procedimiento P-TH04 Vinculación personal de planta. El control está documentado, se aplica y es efectivo para minimizar el riesgo. Se reitera la Recomendación 12. El control está documentado, se aplica y es efectivo para minimizar el riesgo. Se Recomienda 19 revisar la conveniencia de controlar en el SIGEPRE, el formato Idoneidad de personal, que actualmente se aplica como un control interno del Área. Se Recomienda 20 eliminar éste control y definirlo en cuanto al análisis del concepto de las pruebas de meritocracia. El control está documentado, se aplica y es efectivo para minimizar el riesgo. Se reitera la Recomendación 18. El control está documentado, se aplica y es efectivo para minimizar el riesgo. 22 Dependencia: Adquisición de Bienes y Servicios. Nombre del Riesgo Controles Se ha materializado el Riesgo? Observaciones 1. Revisión previa por parte del Abogado responsable de elaborar el contrato. 1. BENEFICIAR A UN OFERENTE POR INCUMPLIMIENTOS LEGALES EN LA 2. Revisión previa por ELABORACIÓN parte del Jefe del Área ESTUDIOS PREVIOS, de Contratos. PLIEGOS DE 3. Revisión previa de los CONDICIONES O estudios previos y pliego INVITACIONES A de condiciones por el OFERTAR DE UN comité de ordenación PROCESO DE del gasto SELECCIÓN 4.3.Observaciones por parte de los oferentes al proyecto de pliegos de condiciones, Pliego Definitivo o Invitación Pública y a los informes de evaluación y verificación NO 1. Revisión de todo proceso de contratación por parte del Comité de Ordenación del Gasto 2. DECLARATORIA DE DESIERTA DE UN PROCESO DE SELECCIÓN POR DECISIONES ERRÓNEAS EN LA EVALUACIÓN. 2. Revisión del pliego de condiciones o invitación a ofertar por parte del Jefe Área de Contratos. 3. Revisión previa por parte del abogado a los estudios previos, y elaboración de pliegos de NO El control está documentado, se aplica y es efectivo para minimizar el riesgo. Teniendo en cuenta que el riesgo solo se circunscribe a la declaratoria de desierto de un proceso de selección por decisión errónea en la evaluación se Recomienda21 reformular la redacción del riesgo ya que el comité de ordenación del gasto en esta etapa solo revisaría la parte de la evaluación jurídica. No se encuentra documentado. El jefe del área de contratos no es competente para revisar las evaluaciones jurídicas, por lo cual se Recomienda22 evaluar la conveniencia de este control. Teniendo en cuenta que el jefe del área no es la competente para revisar las evaluaciones jurídicas este control no tendría que aplicarse en la actualidad. 23 condiciones ofertar o invitación a 1. Llevar control de las carpetas prestadas a los funcionarios 3. PERDIDA DE CARPETAS DE LOS PROCESOS CONTRACTUALES 2. Escanear todos los documentos de las carpetas de los contratos NO De conformidad con lo anterior se Recomienda 23evaluar la pertinencia y redacción del riesgo, toda vez que existen varios factores dentro del proceso que pueden determinar la de declaratoria de desierta un proceso de selección. Se Recomienda24 tener en cuenta que el mismo si se encuentra documentado toda vez que se lleva el formato FBD-39 Planilla de préstamo de carpetas El control está documentado, se aplica y es efectivo para minimizar el riesgo. 3. Elaborar Inventario documental El control está documentado, se aplica y es efectivo para minimizar el riesgo. 4. Solicitar original y copia de las Ofertas presentadas en los procesos de selección. El control está documentado, se aplica y es efectivo para minimizar el riesgo. Dependencia: Oficina de Control Interno Disciplinario. Nombre del Riesgo 1. Decisiones erróneas en los pronunciamient os ejecutoriados de los procesos disciplinarios Controles Se ha materializado el Riesgo? 1. Realizar reunión cuatrimestral de retroalimentación de los expedientes recibidos en la dependencia. 2. Capacitar a los funcionarios públicos de la entidad. NO 3. Mantener actualizada la normatividad disciplinaria y procesal Observaciones Este control no se encuentra documentado por lo que se Recomienda25 documentar el mismo. Se Recomienda26 revisar la caracterización del indicador del riesgo toda vez que no posee variables que permita la medición del mismo. Se Recomienda27 revisar la definición del riesgo Decisiones erróneas en los pronunciamientos ejecutoriados de los procesos disciplinarios ya que se observa que no están definidos los criterios comparables para conceptuar si la decisión es errónea o no. 24 Se Recomienda revisar la conveniencia de definir un nuevo riesgo para la caducidad en los procesos disciplinarios. 4. Realizar seguimiento permanente a los expedientes Este control en la actualidad no se encuentra documentado por lo que se Recomienda28 implementar herramientas que permitan documentar el seguimiento realizado a los expedientes. DEPENDENCIA: Secretaria Jurídica. Nombre del Riesgo 1. Deficiencia en el momento de revisar y aprobar proyectos de actos normativos Controles Se ha materializ ado el Riesgo? 1. Revisión con la entidad competente y al interior de la Secretaría Jurídica. El control está documentado, se aplica y es efectivo para minimizar el riesgo. NO 2.Contratación de personal calificado con conocimientos en derecho constitucional y legislación vigente 3. Expedición de actos normativos para corrección de yerros 2.Incumplimientos legales en la atención de los procesos judiciales y acciones judiciales Observaciones El control está documentado, se aplica y es efectivo para minimizar el riesgo. El control está documentado, se aplica y es efectivo para minimizar el riesgo. 1. Estudio de la normatividad de acuerdo al tema asignado 2. Vigilancia continua de las actuaciones dentro de los procesos y acciones judiciales 3. SIGOB como mecanismo de control de fechas de radicación 4. Verificación de los reportes emitidos por el organismo vigilante de El control está documentado, se aplica y es efectivo para minimizar el riesgo. El control está documentado, se aplica y es efectivo para minimizar el riesgo. NO El control está documentado, se aplica y es efectivo para minimizar el riesgo. El control está documentado, se aplica y es efectivo para minimizar el riesgo. 25 los procesos judiciales DEPENDENCIA: Dirección de seguridad Nombre del Riesgo Controles 1. Incumplimiento en las funciones como Secretaría Técnica del Consejo de Seguridad Nacional, contempladas en el Decreto 4748/2010 Art.7. 1. Establecimiento de un tiempo para la elaboración, recepción de observaciones y entrega para la firma de forma personal de las actas del Consejo. Se ha materializado el Riesgo? NO observaciones Se observa que los controles establecidos para evitar la materialización del riesgo no se están aplicando, como se evidencio en la revisión de la matriz de riego de la Dirección incumpliendo lo dispuesto en los lineamientos de la administración del riesgo numeral 8.1., controles No Conformidad Real 2. Así mismo se Recomienda29 revisar y definir un riesgo asociado a la prestación del servicio de la Dirección de acuerdo al nuevo enfoque metodológico, toda vez que la información que reposa en las actas contiene información reservada de conformidad con el decreto 4748 de 2010. 2. Solicitud de agenda e información requerida para el correcto desarrollo del CSN 3. Realizar comunicacione s oficiales a las entidades para realizar seguimiento semestral a los acuerdos del CSN. DEPENDENCIA: Secretaria de Transparencia Nombre del Riesgo Controles 1. Protocolos para el intercambio de información con las entidades fuentes. Se ha materializa do el Riesgo? observaciones Se Recomienda30 revisar el Lineamiento que establece: “(…) Si el control está documentado indique en qué documento del SIGEPRE se encuentra documentado y 26 asócielo como concepto (…)”. 1. Falta de oportunidad en la publicación de información que produzca el observatorio de transparencia y anticorrupción 2. Mesas técnicas del observatorio, con los funcionarios encargados del envío de la información. NO 3. Reuniones del equipo de la Secretaría de Transparencia y el equipo del área de sistemas el DAPRE 2.Incumplimiento en las actividades de coordinación, monitoreo y seguimiento de la Política Pública Integral Anticorrupción 1. Liderar procesos de socialización a las entidades de la importancia de la política pública integral anticorrupción. 2. Recurso humano de la Secretaría de Transparencia capacitado. 3. Actividades de seguimiento y coordinación con entidades públicas pertinentes para la política pública integral anticorrupción, en alianza con el DNP. Se Recomienda31 tener en cuenta que el mismo si se encuentra documentado en la minuta del contrato número 297-13 clausula 9 “La coordinación, supervisión y control de ejecución de este contrato estará a cargo para la parte administrativa del Secretario de Transparencia, y para la parte técnica de la Jefe del Área de Información y Sistemas de la ENTIDAD. Se Recomienda32 actualizar el control denominado “Reuniones del equipo de la Secretaría de Transparencia y el equipo del área de sistemas el DAPRE.” Toda vez que el mismo se está aplicando en la actualidad. Es importante tener en cuenta que el área de sistemas es la encargada de velar por el cumplimiento técnico de la operación del observatorio. El control está documentado, se aplica y es efectivo para minimizar el riesgo. Este control no se encuentra documentado por lo que se Recomienda33 documentar el mismo. El control está documentado, se aplica y es efectivo para minimizar el riesgo. NO 27 4. Incorporación de un tablero de control de seguimiento a la política pública dentro del observatorio de transparencia para hacer públicos los retrasos en reporte, actividades y metas de los responsables en la ejecución de la política. En la actualidad si se encuentra documentada en el link http://www.anticorrupcion.gov. co/Paginas/IndicadoresPPIA.aspx por lo que se Recomienda34 documentar el mismo. Al incorporar el tablero de control permite mantener vigilancia continua de la política teniendo control de las metas y de los responsables de las mismas. Se Recomienda35 actualizar el control denominado “Incorporación de un tablero de control de seguimiento a la política pública dentro del observatorio de transparencia para hacer públicos los retrasos en reporte, actividades y metas de los responsables en la ejecución de la política.” Toda vez que el mismo se está aplicando en la actualidad. DEPENDENCIA: Atención al Usuario Nombre del Riesgo Controles 1. Incumplimiento de compromisos en el reporte de productos y/o servicios no conformes por parte de las oficinas que integran los Procesos Misionales. 1. Se realizan capacitaciones sobre el control y tratamiento de productos y/o servicios no conformes. Se ha materializ ado el Riesgo? No observaciones El control está documentado, se aplica y es efectivo para minimizar el riesgo. 2. Procedimiento PS No Conforme. 28 3. Seguimiento a la aplicación del Manual de Servicios Misionales 2. Incumplimiento de los Acuerdos de Nivel de Servicio durante la prestación de los servicios compartidos del DAPRE. 3. Vencimiento de los términos legales en la atención (Respuesta, Información del Trámite y Notificación por Aviso) de peticiones, sugerencias, quejas o reclamos Se Recomienda36 implementar mecanismos que permitan mejores canales de comunicación con los clientes poco satisfechos con la prestación de los servicios. 1. Utilización del aplicativo de servicios compartidos 2. Reuniones con los clientes beneficiados de la prestación de los servicios. NO 3. Encuesta de satisfacción 1. Generación de reportes quincenales por parte de las dependencias SI 2. Aplicativo SIGOB para la atención de las PSQR's 3.Capacitación sobre PSQR's Se Recomienda37 fortalecer los controles así como formular aquellos que estén orientados a las causas que pueden generar la materialización de responsabilidad en las dependencias. 4. Generación de reportes preventivos semanales por parte del Grupo de Atención al Usuario y Servicios Compartidos 5. Interrupción de términos para la respuesta de las PSQR 6. Información sobre el estado del trámite de PSQR 7. Aplicación del procedimiento de PSQR DEPENDENCIA: Consejería Presidencial para la Primera Infancia 29 Nombre del Riesgo Controles ¿Se materializado el Riesgo? 1. Seguimiento a cronograma de obras. 1. Incumplimiento de compromisos en la generación de infraestructura para fortalecer la atención integral a la primera infancia acorde con las metas del PND 2. Revisión de informes de seguimiento. 3. Seguimiento acuerdos de Cooperación. SI, fecha de materialización 23 de diciembre del 2015 observaciones Sí. Estrategia 2 del Plan Operativo 2014. No. por la materialización. Sin embargo, se evidencia en los informes de seguimiento las visitas realizadas. Sí. Se evidencia el cronograma de visitas de Los arquitectos del programa Plan Padrino que realizan visitas de seguimiento y asistencia con el fin de hacer seguimiento a las siguientes obras en ejecución Sí. En los OFI14-001125821 JMSC 120100 y OF114-00085420 I JMSC 31100 No. por la materialización. Sin embargo, se evidencia de la revisión informes de seguimiento las visitas realizadas. Si, Los ejecutores de las obras envían a los suscriptores de los acuerdos de cooperación informes de tipo semanal y mensual donde se evidencian los avances de las obras. El equipo administrativo y de Plan Padrino realizó la revisión de los siguientes informes con el fin de solicitar ajustes y correctivos sobres los temas que evidencien posibles retrasos o problemas en las obras Si, en las actas número 22, 23, 24 y una última sin enumerar. No. por la materialización. Sin embargo, se evidencia en las actas el seguimiento a los acuerdos de cooperación. Sí. Por medio de la suscripción de actas evidenciadas en el aplicativo SIGEPRE. Se recomienda38 formular plan de mejoramiento. NOTA: A pesar de que se aplicaron los controles, no se entregaron las obras de infraestructura al 31 de diciembre de 2014 en los municipios de San Andres, Zona Bananera, Tumaco, Leticia, Puerto Gaitán, Chinu, Pivijay, Agua de Dios, Bahía Solano, Los patios, Astrea, Mompox, Santa rosa de Viterbo, Buenaventura, Ibagué. (Estrategia “4F. Hacer entrega de los Centros de desarrollo infantil temprano construidos para atención integral a la primera infancia (PPC)”. Adicionalmente en esta estrategia Tarea C. Proveer elementos que permitan brindar atención integral de calidad aportando a la promoción del desarrollo social, emocional y cognitivo de los niños en primera infancia, de acuerdo con los lineamientos establecidos 30 por la Estrategia de Cero a Siempre. Y Estrategia “2G.Hacer entrega de los proyectos de infraestructura PPC)”). Se recomienda formular plan de mejoramiento, es de resaltar que se tiene plenamente identificada la situación y la formulación ha sido propuesta por los responsables de la misma consejería. Se recomienda, revisar la pertinencia de los controles de este riesgo y su posible reformulación. Otro punto a tener en cuenta es la duplicidad de información en el riesgo “Incumplimiento de compromisos en la generación de infraestructura para fortalecer la atención integral a la primera infancia acorde con las metas del PND”, se recomienda indagar sobre la causa realizar el ajuste. DEPENDENCIA: Consejería Presidencial para la Primera Infancia Nombre del Riesgo Controles ¿Se materializado el Riesgo? 1. Asistencia de la persona con facultad de decisión 2. Incumplimiento de compromisos generados en las reuniones de la Comisión Intersectorial 2. Mecanismo de seguimiento desde la coordinación de la CIPI 3. Revisión en Comité Técnico Ampliado No observaciones No. Sí. Al asistir los funcionarios con poder de decisión se pueden realizar las actividades propuestas en la agenda y revisar si se efectuaron conforme los lineamientos y directrices. Sí, Al inicio de cada sesión se verifica la conformación del quorum por parte de la presidenta de la Comisión Intersectorial para la Primera Infancia. Se evidencia en las Actas 35, 36 y 37. Sí. Matriz de seguimiento cargada en Aplicativo SIGEPRE. Sí. La coordinación de la Comisión Intersectorial para la Primera Infancia con el fin de dinamizar el seguimiento a los compromisos determina el responsable, las acciones para cumplir con los objetivos en los tiempos planificados. Sí. A través del seguimiento a la matriz. No. Si, se realizan (sesiones preparatorias previas a la Comisión Intersectorial para revisar los compromisos y los mecanismos 31 para cumplir lo establecido, así como los temas a tratar en Comisión Intersectorial para la Primera Infancia). Se realizaron cuatro sesiones de comité técnico ampliado. 8 de septiembre, 15 de octubre, 18 de noviembre y 1 de diciembre del 2014. Sí. No. Sí, porque para evitar la duplicidad en la asignación de responsabilidades entre los sectores para el cumplimiento de los compromisos, se realiza conjuntamente la asignación adecuada de responsables, y se verifica la competencia de las entidades y la asignación del responsable en la matriz de seguimiento. No. Observación: No se entiende porque si se registra como efectivo pero a la hora de la aplicación se registra que no lo hacen, generan confusión. Se presume que existe imprecisión al momento de registrar el análisis del riesgo. Se recomienda ajustar el control. No. Si, se realiza mensualmente el seguimiento de acuerdo con las líneas de acción de la Estrategia "De Cero a Siempre", se generan actividades específicas para cada uno de los sectores con el fin de aportar al cumplimiento de la meta. 4.Asignación adecuada de responsable 5. Seguimiento al Plan de Acción Nacional DEPENDENCIA: AREA ADMINISTRATIVA Nombre del Riesgo Controles ¿Se materializo el Riesgo? Observaciones 1. Demoras en la elaboración del documento de análisis del sector y de oferentes 1. Seguimiento al cronograma establecido en el Plan Anual de Adquisiciones. NO Sí, existen correos y pertenecen a la herramienta Outlook, no se encuentran documentados en el aplicativo SIGEPRE. Sin embargo, se evidencian correos electrónicos enviados por el coordinador a cada uno de los responsables de realizar 32 los estudios al interior de la coordinación. Se realiza por lo menos 2 veces al mes. Sí, debido a que se han reducido las devoluciones por débil elaboración en Análisis del sector y estudio de mercado. Sin embargo, el indicador asociado está en rojo. Se recomienda, revisar la pertinencia del indicador asociado debido a que se han realizado modificaciones Sí, dado que el insumo (Estudio de mercado y análisis del sector) es entregado previamente al técnico encargado del contrato para su posterior solicitud de contratación. No. Sin embargo, se realizó una plantilla en Word en la cual se registran las especificaciones técnicas que se necesitan. Sí, porque se investigan y conocen los precios del mercado. Adicionalmente, se conoce la información técnica de las necesidades reales para la entidad. Si, cada vez que se requiere realizar la invitación a los proveedores de productos y servicios. No. Sin embargo, se evidencia por medio de correos electrónicos la solicitud de ingreso a los proveedores para realizar la respectiva visita y determinación técnica. 2. Invitación para el levantamiento de Especificaciones Técnicas 3. Visitas Técnicas 4. Base de Datos de oferentes de bienes y servicios 2. Demoras en la prestación de 1. Sistema de Servicios NO Si, debido a que en las visitas los proveedores como expertos conocen las situaciones reales técnicas del producto o servicio a contratar. Si, cada vez que existe la necesidad se realiza la invitación a los proveedores y asisten a la entidad para determinar técnicamente la propuesta a contratar. No, en Excel se encuentra la información o base de datos para solicitar las cotizaciones. Sí, porque se conoce la información de proveedores para solicitar las cotizaciones. Si, se aplica cada vez que se requieren cotizaciones. Sí, se encuentra en el aplicativo SERVICIOS COMPARTIDOS. 33 servicio de aseo y cafetería para la atención de reuniones Compartidos para las solicitudes de servicios. Sí, porque ayuda a determinar los servicios solicitados que se atienden. El registro es importante para realizar el seguimiento. Sí, se envía una encuesta al funcionario que solicito el servicio ya prestado con el ánimo de medir el nivel de satisfacción del usuario. No está documentado, porque este se realiza por teléfono para conseguir al personal y solucionar la situación. Si es efectivo, porque tan pronto se identifica la falta de personal de cafetería, se comunica al responsable de tal forma que este mismo ubica a la coordinadora de aseo para asignarla como auxiliar de cafetería en los eventos. Si, por llamadas telefónicas a celular. No. Sin embargo, existen los contratos y anexos técnicos que demuestran la contratación de los insumos tanto del TH como de los bienes. Si, debido a que se estipula en los anexos técnicos que se va a contratar técnicamente. Además ayuda en gran medida el estudio del mercado y análisis del sector. Si se aplica. Está en la parte contractual de los contratos de suministros. 2. Prestación de Servicio de Cafetería alterno con personal contratista de Aseo 3. Suscripción de Insumos Técnicos para la contratación de aseo y cafetería. DEPENDENCIA: AREA ADMINISTRATIVA Nombre del Riesgo Controles 3. Incumplimiento de los requisitos técnicos y legales en el trámite de legalización de bienes entregados a la Entidad, por cualquier modalidad. 1. Inspección Física y revisión de Inventarios observaciones Sí. En carpeta “Inventario por Oficina” con información y evidencia. Adicionalmente, se encuentra alineada con la TRD. Sí. Porque permite establecer y llevar el registro de los inventarios para determinar la responsabilidad y el cuidado. Esta actividad se realiza físicamente y se registra la descripción del ítem y su respectiva cantidad para cada funcionario. Si, por medio de un cronograma establecido se realiza la revisión física en el puesto de trabajo una vez finalizada la revisión se firma el inventario por parte del 34 2. Verificación del Bien y Registro de Ingreso al Almacén DEPENDENCIA: AREA ADMINISTRATIVA Nombre del Riesgo Controles funcionario, y en caso de encontrarse una situación no deseada sobre el extravió se afecta el seguro, para esto se establecen responsabilidades ante OCID. Si, En el aplicativo Aladino y soportados en la carpeta “Entrada Almacén DAPRE comprobante No. 0212 – 0315” se evidencian los ingresos. Adicionalmente, el ingreso se realiza previa revisión de los bienes por parte de los responsables de la adquisición y posterior a esto se ingresan a los inventarios de la entidad con sus respectivos documentos legales de soporte Sí. Porque permite verificar el verdadero estado de los bienes y sus respectivas características técnicas, marca, cantidad, etc. para su respectivo ingreso en el inventario. Adicionalmente, sí son bienes catalogados como devolutivos se realiza la asignación de placas y su respectiva asignación para mantener mayor control sobre el bien. ¿Se materializado el Riesgo? 1. Mantenimiento Correctivo y Preventivo de los equipos de telecomunicaci ones. 4. Programar y prestar o suministrar los bienes y servicios solicitados. Suspensión Masiva en la prestación del servicio de telecomunicaciones. NO observaciones No. Sin embargo, se evidencia en la minuta del contrato el contrato del mantenimiento a realizar. Con respecto a lo documentado, se tiene pendiente incluirlo en el manual de bienes muebles e inmuebles en los concerniente a mantenimientos preventivo y correctivo. Contrato NEC 214-14. Sí. Debido a que como supervisores del contrato ellos no avalan el pago si este cronograma no se cumple de acuerdo a la parte contractual del contrato. 35 2. Implementación de Soporte Técnico con los Operadores Comerciales 3. Pluralidad de Operadores del Servicios de Telecomunicaci ones Si se aplica. Cumpliendo el cronograma del contrato. No. Sí. Se realiza soporte técnico con los operadores comerciales y el DAPRE a las tarjetas de los enlaces digitales, esto permite la recuperación del servicio que caso de que 1 de ellos falle, inmediatamente se transfiere al otro. Se registra que NO. Se recomienda analizar la aplicación de este control debido a que en el aplicativo SIGEPRE modulo Riesgos aparece que no se aplica y según la coordinación si aplican el control. No. Se cuenta con 4 operadores de telefonía (3 fija y 1 celular) y en caso de que 1 de ellos falle, el software permite transferir las comunicaciones con los otros operadores con el fin de mantener la continuidad del servicio de llamadas. Sí. Cuando la central telefónica identifica que existe falla la posible falla en la ruta de llamada, esta automáticamente conmuta a una ruta con servicio. En sistema NEC tiene una CPU auxiliar para suplir el posible daño en la CPU principal, esto permite mantener la continuidad. También se cuenta con doble banco de baterías. Se cuenta con un inventario de tarjetas para guardar la información contenida. Sí. Como proceso automático controlado por el software de la central, cuando se identifica la falla se usan los equipos auxiliares. 36 DEPENDENCIA: Dirección para la Estrategia de Comunicaciones Nombre del Riesgo Controles ¿Se materializ ado el Riesgo? 1. Matriz de control de las solicitudes de los Ministerios y entidades adscritas para brindar asesoría 1.Inadecuada asesoría a las entidades de la rama ejecutiva del orden nacional para transmitir el mensaje de gobierno por parte de la Dirección para la estrategia de Comunicación No 2. Directiva 07 de 2011 Observaciones Sí. Se encuentran relacionadas en tablas de TRD en las cuales se registran los documentos donde se relacionan las solicitudes de los ministerios y entidades adscritas. Porque permite registrar las asesorías que se dictan para la correcta transmisión de los mensajes del gobierno. Permitiendo tener el control de las actividades realizadas y las planificadas para su ejecución. Sí. En la página web de la presidencia. Sin embargo, se Recomienda39 realizar el ajuste con la nueva Directiva Presidencial No. 05 del 24 de noviembre del 2014 en el módulo de riesgos. Si, debido a que se siguen los lineamientos establecidos en la directiva y entregar los mensajes con la actual imagen del gobierno. Si, y se evidencia la directiva. Pero como ya lo hemos mencionado se Recomienda40 realizar el ajuste en el módulo de riesgos con la nueva directiva. Dependencia: Área Financiera Presupuesto Nombre del Riesgo Controles 1. Revisión de la solicitud de CDP acorde con el Plan Anual de Adquisiciones Se ha materializa do el Riesgo? Observaciones Dónde: En el Procedimiento P-GF-14 Versión 04. Recomendación41. Que se tenga en cuenta los procesos y/o procedimientos susceptibles de actos de corrupción definidos en los Lineamientos para la Administración 37 1. Efectuar certificados de disponibilidad y registros presupuestales por un rubro presupuestal que no corresponda en la ejecución de la cadena presupuestal No 2. Revisión de todos los CDPs y Registros Presupuestales expedidos del Riesgo Pag.8, y en el documento Estrategias para la construcción del Plan Anticorrupción y de atención al ciudadano Pag.10., en donde a menara de ejemplo se muestran entre otras situaciones no deseadas que pueden estar relacionadas con actos de corrupción el de Afectar rubros que no correspondan y teniendo en cuenta que se tiene identificado este riesgo como institucional y de tipo Financiero, se hace necesario que la se analice si este es un proceso que por su quehacer diario se encuentran propensos a corrupción. Porque: Al realizar la revisión de la Solicitud y cruzarla con el Plan Anual de Adquisiciones, se está garantizando que éste fue un gastos previamente planeado. Como: Realizando la revisión de cado uno de las solicitudes de los CDP, frente al Plan Anual de Adquisiciones. Dónde: P-GF-14 Versión 04. Porque: Porque permite que al revisarlo y en caso de que haya quedado alguna inconsistencia esta se pueda corregir, evitando de esta manera la ocurrencia del riesgo. Como: Una vez se genera el CDP o Registro Presupuestal se revisa contra la solicitud y se aprueba mediante firma del Coordinador de Presupuesto. 38 3. Aplicativo SIIF Nación Dónde: P-GF-14 Versión 04. Porque: Porque una vez se genere el CDP o el Registro, el sistema afecta automáticamente los saldos. Como: Realizando el registro de todos y cada uno de los CDPs y Registros de manera oportuna. Dónde: No está documentado. Este control no se encuentra documentado, aunque en el SIGEPRE, dice que sí. Se Recomienda42 realizar el Análisis y Verificación Porque: Permite evidenciar que no se encuentran diferencias. 4. Conciliación entre los reportes de ejecución presupuestal del SIIF con los cuadros consolidados del Área Financiera y FONDO PAZ Como: Realizando cruces semanales que permitan establecer si hay o no diferencias. Pagaduría Nombre del Riesgo Controles Se ha materializado el Riesgo? observaciones 1. Revisión de los documentos soportes de pago 2. Efectuar un pago a una persona natural o jurídica que no corresponda por vacíos de información en la ejecución de la cadena presupuestal y otros pagos 2. Confrontación de la información del sistema SIIF contra documentos físicos 3. Cumplir con las medidas de seguridad establecidas en el sistema SIIF No Se Recomienda43 Evidenciar en el Monitoreo del riesgo el número de cuentas revisadas y el número de cuentas devueltas por inconsistencias. 4. Amparar los recursos con pólizas de seguros 39 5. Control y verificación de la información ordenando la transferencia de recursos a las entidades financieras Contabilidad Nombre del Riesgo Controles Se ha materializado el Riesgo? 1. Definición de funciones para cada uno de los funcionarios responsables en las actividades criticas de control establecidas observaciones Dónde: Manual de Funciones. Resolución 3830 de 2013 Porque: Los responsables de las actividades son personas capacitadas para el desempeño de sus funciones. Como: Cumpliendo con las funciones establecidas. Dónde: Resolución 375 2007 emitida por Contaduría General Nación. Decreto 4907 2011-DIAN. P - GF -08. 2. Socialización de las fechas establecidas por la Contaduría General de la Nación, la DIAN y la Secretaría de Hacienda Distrital 3. Incumplimiento legal en la presentación de la Información Exógena, las declaraciones de retenciones y los Estados Financieros. Porque: Permite establecer un cronograma interno, que permita preparar con tiempo la información. No. 3. Programación de fechas para entregar la información por parte de los responsables para su elaboración y consolidación de la de de Como: Con base en las fechas establecidas por la Contaduría General de la Nación, la Coordinadora del Grupo de Contabilidad, establece fechas internas de cierre las cuales socializa al interior del Area y del Fondo Cuenta. El Coordinador de Pagaduría envía comunicación a las áreas involucradas informando las fechas. Dónde: P-GF-07 y P-GF-08. Porque: Permite tener a tiempo la información para su análisis y de esta manera realizar a tiempo las correcciones a que haya lugar. 40 Como: La Coordinadora del Grupo de Contabilidad estableces su fecha de cierre, las cuales comunica por correo a las áreas involucradas. Dónde: P-GF-14. 4. Revisión de la información entre lo causado y lo pagado Porque: Permite tener la certeza, que todo se encuentra registrado. Como: Verificando los soportes de las cuentas que todas se encuentren registradas en el SIIF. Dónde: P-GF-07. 5. Revisión de la Información contable Porque: Evita que la Información contable presente inconsistencias. Como: El Grupo de contabilidad recibe la información de las diferentes dependencias, la registra oportunamente con el fin de preparar y revisar los estados financieros, para ser presentados oportunamente Cajas Menores Nombre del Riesgo Controles Se ha materializado el Riesgo? Observaciones 41 1. Definición del responsable de la caja menor Dónde: Lineamientos para la administración de las Cajas Menores. Recomendación.44 Que se tenga en cuenta los procesos y/o procedimientos susceptibles de actos de corrupción definidos en los Lineamientos para la Administración del Riesgo Pag.8, y en el documento Estrategias para la construcción del Plan Anticorrupción y de atención al ciudadano Pag.10., en donde a menara de ejemplo se muestran entre otras situaciones no deseadas que pueden estar relacionadas con actos de corrupción el Hurto y el Fraude y teniendo en cuenta que se tiene identificado este riesgo como de tipo Financiero, se hace necesario que la se analice si este es un proceso que por su quehacer diario se encuentran propensos a corrupción. Porque: Da responsabilidades a una persona la cual debe revisar la documentación que soporta los gastos. Recomendación.45 Que los responsables del manejo de las cajas menores se reúnan y replantee los riesgos establecidos en la actualidad. Como: Nombrando mediante resolución a la persona encargada el manejo de cada una de las caja menores. Recomendación.46 La actividad critica a controlar "ACC: Manejar los recursos asignados a las Cajas Menores" se registra en la caracterización del Área Financiera y no en las áreas de Talento Humano y Administrativa que ejecutan 42 la actividad, por lo que se hace necesario replantear esta situación. 4. Fraude en la documentación soporte de gastos por Caja Menor No 2. Aplicación de las normas y lineamientos establecidos para el manejo de cajas menores Dónde: Lineamientos para la administración de las Cajas Menores. Recomendación.47 Establecer y documentar en el Área Administrativa, el Procedimiento para el Manejo de las Cajas Menores de Administrativa y del Despacho del Señor Presidente. Porque: Si porque asegura el correcto manejo de las cajas menores. Como: Cumpliendo lo establecido en el Decreto 2768/12 y en los lineamientos para el manejo de las cajas menores. Dónde: Lineamientos para la administración de las Cajas Menores. 3. Aplicación de los controles de seguridad informática establecidos por las Entidades financieras 4. Revisión de la documentación para la legalización de los gastos efectuados por caja menor Porque: Cuando se realiza el pago por transferencia electrónica, este debe cumplir con unos protocolos como son: El número y tipo de documento, el cual debe pertenecer a la persona dueña de la cuenta a la que se hacer el giro. Como: Realizando los pagos a nombre de la persona que nos factura. Dónde: Lineamientos para la administración de las Cajas Menores. Porque: Permite tener la certeza que los soportes cumplen con los requisitos establecidos por la norma. Como: Los responsables de la caja menor revisan la documentación soporte para la legalización de los gastos. (que las facturas no estén enmendadas, que cumplan con las normas establecidas por la DIAN) 43 Dónde: Lineamientos para la administración de las Cajas Menores. Porque: Ampara los recursos en caso de la ocurrencia del fraude. Como: La Entidad cuenta con pólizas de manejo que amparan los recursos asignados a las cajas menores contra fraude y robo. Dónde: Lineamientos para la administración de las Cajas Menores. Porque: Permite establecer que se esté dando el adecuado manejo a los recursos asignados a las cajas menores. 5. Constitución de pólizas de seguros 6. Arqueo de cajas menores Como: Tanto la Oficina de Control Interno, como el área Financiera realizan arqueos sorpresivos a cada una de las cajas menores existentes. Dónde: Lineamientos para la administración de las Cajas Menores y Decreto 2768/12. Porque: 7. Registro de operaciones de la caja menor Nombre del Riesgo Controles 1. Definición del responsable de la caja menor Como: Todas las operaciones realizadas por las cajas menores son registradas en el SIIF II, que es el sistema oficial para hacerlo. Se ha materializado el Riesgo? observaciones Dónde: Lineamientos para la administración de las Cajas Menores. Recomendación48. Que se tenga en cuenta los procesos y/o procedimientos susceptibles de actos de corrupción definidos en los Lineamientos para la Administración del Riesgo Pag.8, y en el documento Estrategias para la 44 5. Hurto de dinero en efectivo o cheques de los recursos asignados a las cajas menores No. 2. Arqueos periódicos a las cajas menores construcción del Plan Anticorrupción y de atención al ciudadano Pag.10., en donde a menara de ejemplo se muestran entre otras situaciones no deseadas que pueden estar relacionadas con actos de corrupción el Hurto y el Fraude y teniendo en cuenta que se tiene identificado este riesgo como de tipo Financiero, se hace necesario que la se analice si este es un proceso que por su quehacer diario se encuentran propensos a corrupción. Porque: Da responsabilidades a una persona la cual debe revisar la documentación que soporta los gastos. Recomendación.49 Que los responsables del manejo de las cajas menores se reúnan y replantee los riesgos establecidos en la actualidad. Como: Nombrando mediante resolución a la persona encargada el manejo de cada una de las caja menores. Recomendación.50 La actividad critica a controlar "ACC: Manejar los recursos asignados a las Cajas Menores" se registra en la caracterización del Área Financiera y no en las áreas de Talento Humano y Administrativa que ejecutan la actividad, por lo que se hace necesario replantear esta situación. Dónde: Lineamientos para la administración de las Cajas Menores. Recomendación51. Establecer y documentar en el Área Administrativa, el Procedimiento para el Manejo de las Cajas Menores de Administrativa y 45 del Despacho Presidente. 3. Asignación de Cajas Fuertes con claves personalizadas 4. Amparar los recursos con pólizas de seguros 5. Transporte de valores con las medidas de seguridad exigidas por las compañías de seguros del Señor Porque: Permite establecer que se esté dando el adecuado manejo a los recursos asignados a las cajas menores. Como: Tanto la Oficina de Control Interno, como el área Financiera realizan arqueos sorpresivos a cada una de las cajas menores existentes. Dónde: Lineamientos para la administración de las Cajas Menores. Porque: Si se tiene los títulos valor en lugar seguro, como lo es la caja fuerte con claves personalizadas, aseguramos que no todo el mundo puede tener acceso a estos recursos. Como: Para cada una de las caja menores que manejo dinero en efectivo o cheques, estos son guardados en cajas fuertes con claves personalizadas. Dónde: Lineamientos para la administración de las Cajas Menores. Porque: Ampara los recursos en caso de la ocurrencia de hurto. Como: La Entidad cuenta con pólizas de manejo que amparan los recursos asignados a las cajas menores en caso de hurto.. Dónde: Lineamientos para la administración de las Cajas Menores. Porque: Protege al responsable de la caja menor, minimizando la ocurrencia de hurto. 46 Como: Cuando los responsables del manejo de las cajas menores retiran efectivo de las entidades financieras deben ir en vehículo de la entidad y con un acompañante si es del caso. Dónde: Lineamientos para la administración de las Cajas Menores. Porque: Asegura que el archivo de transferencia de recursos corresponde a lo soportado en documentos. Como: Para el caso de la caja menor de viáticos al interior que efectúa pagos a través de abono en cuenta, el responsable del manejo de la caja menor verifica la información registrada en el archivo ordenando la transferencia de recursos. 6. Control y verificación del archivo ordenando la transferencia de recursos a las entidades financieras DEPENDENCIA: Fondo de Programas Especiales para la Paz- Fondo Paz Nombre del Riesgo 1. Incumplimiento en la generación de condiciones para el logro y mantenimiento de la Paz en todo el territorio nacional. 2. Incumplimiento en la generación de condiciones para el logro y mantenimiento de la Paz a través del mejoramiento Controles Se materializado Riesgo? 1. Programación Presupuestal NO 1. Interventorías Administrativas, Técnicas, Financieras y Ambientales a los proyectos de Mejoramiento de Vías. 2. Solicitud de Planes NO ha el Observaciones La Oficina de Control Interno, luego de realizar seguimiento a los Riesgos del Fondo de Programas Especiales para la Paz, evidenció que éstos no se han materializado debido a la aplicación y monitoreo permanente de los controles formulados por el Fondo. En el segundo riesgo es importante mencionar que para el Fondo de Programas Especiales para la Paz-Fondo Paz no se materializó el riesgo, sí bien es cierto no se cumplió con la meta a 31 de diciembre 47 de Vías en Zonas Afectadas por el conflicto. de 2014, las adiciones, prorrogas a los contratos de obra se hicieron y se constituyeron Reservas, para cumplir con la Generación de Condiciones para el logro y Mantenimiento de la Paz, para el mejoramiento de las Vías, en las zonas afectadas por el Conflicto, de Contingencia a los Ejecutores de los Proyectos de Mejoramiento de Vías. 3. Modificaciones a los convenios. DEPENDENCIA: Fondo de Programas Especiales para la Paz- Fondo Paz – Caja Menor. Nombre del Riesgo Controles 1. Fraude en la documentación soporte de gastos por Caja Menor. 1. Manejo y Revisión de documentos 2. Hurto de dinero en efectivo o cheques de los recursos asignados a las Cajas Menores. 2. Manejo de efectivo y chequeras Se ha materializ ado el Riesgo? NO NO 3. Manejo eficiente y oportuno de los recursos NO Observaciones La Oficina de Control Interno verificó los controles establecidos para mitigar los riesgos asociados para el manejo de Caja Menor y evidenció que ningún riesgo se ha materializado, gracias a la aplicación de los controles existentes. El Cuentadante de la Caja Menor del Fondo de Programas Especiales para la Paz- Fondo Paz, envía al Proceso de Gestión Financiera (Contabilidad), cuatrimestralmente un informe detallado del seguimiento y monitoreo a los riegos asociados al manejo de la Caja Menor y los controles establecidos para mitigar los riesgos. DEPENDENCIA: Fondo de Programas Especiales para la Paz- Fondo Paz- GrupoPresupuesto. 48 Nombre del Riesgo Controles Se ha materializado el Riesgo? 1. Revisar que la solicitud de la necesidad esté en el Plan de Compras. 1. Efectuar Certificados de Disponibilidad y Registros presupuestales por un rubro presupuestal que no corresponda en la ejecución de la cadena presupuestal. 2. Manejo de Planilla de Control de Solicitudes de Certificados Disponibilidad Presupuestal con su correspondiente consecutivo y rubro presupuestal; firmada y autorizada por la Ordenadora del Gasto. NO. 3. Herramienta en Excel de autocontrol llamada “cuadre diario Fondo Paz” Observaciones La Oficina de Control Interno, recomienda que esta herramienta sea documentada en el SIGEPRE ya que se considera como un control efectivo para minimizar el riesgo. Para efectos de mostrar los saldos de disponibilidad de apropiación presupuestal, se realiza mes a mes mediante oficio firmado por la Ordenadora del Gasto liberación y/o Ajuste de Saldos de CDP y Registros Presupuestales. El Grupo que maneja el Presupuesto del Fondo de Programas Especiales para la Paz- Fondo Paz, elabora y envía un informe mensual a la Coordinadora del Grupo de Presupuesto del DAPRE, éste informe incluye CDPS y Registros Presupuestales expedidos, anulados, y reducidos por el Fondo. DEPENDENCIA: Fondo de Programas Especiales para la Paz- Fondo PazGrupo Contabilidad. Nombre del Riesgo Controles 1. Incumplimiento legal en la presentación de la Información Exógena, las declaraciones de retenciones y los Estados Financieros. 1.Para los Estados Financieros Instructivo No. 3 de 2014 de la CGN y Circular Externa No. 061 de noviembre de 2014 – del Min Hacienda Se ha materializado el Riesgo? NO Observaciones El riesgo a la fecha no se ha materializado, debido a la aplicación del control que realiza Fondo Paz. DEPENDENCIA: Fondo de Programas Especiales para la Paz- Fondo Paz Grupo- 49 Central de Cuentas Nombre del Riesgo 1. Efectuar un pago a una persona natural o jurídica que no corresponda por vacíos de información en la ejecución de la cadena presupuestal y otros pagos Controles 1. Elaborar las cuentas de pago teniendo en cuenta al revisar los soportes de pago suministrado por el contratista o servidor público para cada caso, así: a) Los soportes deben coincidir con la información presentada para el cobro sean honorarios o pago a proveedores, teniendo en cuenta que dicha información viene avalada por la firma del supervisor del contrato, su forma de pago ya establecida y requisitos exigidos para elaborar la cuenta de pago. Se ha materializad o el Riesgo? Observaciones La oficina de Control Interno luego de revisar el presente riesgo evidencio que no se ha materializado debido a los controles formulados y aplicados por Fondo Paz. Así mismo Recomienda52 que los controles no documentados sean tenidos en cuenta para registrarlos en el sistema Sigepre. NO b) Viáticos y gastos de viaje: La resolución de reconocimiento y liquidación y/o formato de viáticos y Gastos de viaje para contratistas debe corresponder a los parámetros establecidos en la normatividad vigente. c) Servicios Públicos: Las facturas deben corresponder al periodo y cumplir con los requisitos técnicos y legales. 50 2. Una vez revisada la documentación para elaborar la cuenta de pago, se procede a verificar la liquidación de retenciones a practicar y demás deducciones en la cuenta de pago, en caso de presentarse alguna inconsistencia en los soportes y/o información suministrada se remite al servidor público para su corrección, si esta información Está correcta se elabora la cuenta por pagar. Adicionalmente se maneja por autocontrol, una herramienta en Excel la cual está compuesta con los datos de las PN como de las PJ, donde reposan sus datos, información del contrato, deducciones a tener en cuenta, retenciones practicadas y valores a pagar. Dependencia: La Oficina del Alto Comisionado para la Paz Nombre del Riesgo Controles 1. Incumplimiento de compromisos ante la imposibilidad de obtener la información proveniente de otras entidades requeridas para la elaboración de documentos técnicos para la delegación del Gobierno Nacional en la mesa de conversaciones 1. Cronograma de trabajo 2,Comunicación permanente con los enlaces designados por las Entidades relacionadas con los puntos de la agenda 3. Designación por parte de las Entidades involucradas de un enlace para los temas de la agenda 4. Metodología para la elaboración de las fichas de los documentos técnicos 5. Aplicación de las funciones de la Oficina del alto comisionado para la paz Se ha materializado el Riesgo? NO Observaciones El riesgo no se ha materializado debido a la aplicación de los controles definidos. Este riesgo se mantiene vigente ya que aún se continua en la segunda fase de la mesa de conversaciones 51 DEPENDENCIA: Dirección para la Acción Contra Minas Antipersonales Nombre del Riesgo Controles 1. Atraso en la implementación de las acciones previstas en los Planes Locales en AICMA o planes derivados de la Ley 1448 de 2011 (Plan de Acción Territorial, Plan de Prevención, Plan de Contingencia) a nivel territorial 2. Ausencia, falta de pertinencia y articulación de instrumentos de política pública que permita dar cuenta de planes locales de educación en el riesgo de minas antipersonal, municiones sin explotar y artefactos explosivos improvisados en los Departamentos y Municipios priorizados. 1. Relación de planes existentes por municipio. 3.Demoras en la implementación de acciones en temas de Acción Integral contra Minas Antipersonal en los departamentos afectados 4.Desconocimiento en la ubicación, lo que imposibilita la caracterización de víctimas Se ha materializado el Riesgo? No Observaciones Se Recomienda53 definir en un documento de control para registrarlo e identificarlo en el SIGEPRE y poder verificar su ejecución. En el monitoreo se manifiesta dos controles y sólo se tiene identificado en el aplicativo uno. 1. Articulación con actores que trabajen el tema de ERM en municipios priorizados No Se Recomienda54 definir en un documento de control para registrarlo e identificarlo en el SIGEPRE y poder verificar su ejecución. 2. Seguimiento a los contratos que propenden al cumplimiento de la meta. 1. Definición de acciones en temas de AICMA en los departamentos afectados por MAP, MUSE y/o AEI No Se recomienda55 definir en un documento de control para registrarlo e identificarlo en el SIGEPRE y poder verificar su ejecución. Se recomienda56 definir en un documento de control para registrarlo e identificarlo en el SIGEPRE y poder verificar su ejecución. 2. Seguimiento a las acciones de AICMA realizadas en los departamentos afectados por MAP, MUSE y/o AEI 1. Revisión de la base de datos de victimas a ubicar y caracterizar NO NO Se recomienda 57definir en un documento de control para registrarlo e identificarlo en el SIGEPRE y poder verificar su ejecución. NO Se recomienda58 definir en un documento de control para registrarlo e identificarlo en el SIGEPRE y poder verificar su ejecución. 52 5.INADECUADA PLANEACIÓN DE ACCIONES DEL PAICMA QUE PERMITA DAR CUMPLIMIENTO A SUS OBJETIVOS 6. Inadecuada realización de Estudios no Técnicos en los Municipios priorizados 7. Incumplimiento de compromisos durante el desarrollo del proyecto 8. Incumplimiento legales y técnicos en la ejecución del Proyecto 2. Seguimiento a los contratos que propenden al cumplimiento de la meta. 1. Seguimiento a los diferentes Sistemas de Planeación. NO 2. Ajustes en sistemas de planeación (con su respectiva justificación) No Se recomienda 61definir en un documento de control para registrarlo e identificarlo en el SIGEPRE y poder verificar su ejecución. 1. Conocimiento de la situación de los municipios a intervenir. NO 2. Seguimiento a los contratos que propenden al cumplimiento de la meta. 1.Documentos de ajuste en el proyecto de Inversión de acuerdo a cambios en tiempos de contratación y/o ejecución de actividades (articulación SUIFP, PAA y Plan Operativo) 2. Documentos de seguimiento a metas definidas en el Proyecto. NO Se recomienda 62 definir en un documento de control para registrarlo e identificarlo en el SIGEPRE y poder verificar su ejecución. Se recomienda63 definir en un documento de control para registrarlo e identificarlo en el SIGEPRE y poder verificar su ejecución. Se recomienda 64definir en un documento de control para registrarlo e identificarlo en el SIGEPRE y poder verificar su ejecución. 1. Revisiones de los expedientes de licitación por parte de los grupos técnicos del PAICMA, el equipo de gestión del proyecto UE y de dependencias del DAPRE involucradas en la ejecución del Proyecto. 2. Reuniones de seguimiento al NO No NO No SI Se recomienda59 definir en un documento de control para registrarlo e identificarlo en el SIGEPRE y poder verificar su ejecución. Se recomienda 60definir en un documento de control para registrarlo e identificarlo en el SIGEPRE y poder verificar su ejecución. Se recomienda 65 definir en un documento de control para registrarlo e identificarlo en el SIGEPRE y poder verificar su ejecución. Se recomienda 66definir en un documento de control para registrarlo e identificarlo en el SIGEPRE y poder verificar su ejecución. De acuerdo con lo establecido en el convenio, no se cumplió 53 proyecto. con los compromisos contractuales ya que se tenía plazo hasta el mes de septiembre de 2014 para contratar todos los recursos del proyecto y convenio con la Unión Europea. Documentar este control 3. Seguimiento a cambios en la guía Práctica de la UE y articulación con la normatividad colombiana. 3. DEPENDENCIA: Consejería Presidencial para los Derechos Humanos Nombre del Riesgo 1. Debilidad de los procesos de articulación interinstitucional en los ámbitos nacional y territorial Controles Se ha materializ ado el Riesgo? 1. Funcionarios identificados y encargados de los temas y realizar la confirmación de la convocatoria con tiempo. 2. Reuniones de seguimiento permanente a los cronogramas establecidos con las instituciones nacionales y territoriales 3. Interlocución permanente con las autoridades locales y departamentales 1. Verificar el cumplimiento de los compromisos con las demás entidades, en términos de calidad, oportunidad y pertinencia de la información recibida. Trazabilidad de los observaciones Se recomienda67 definir un documento de control para registrarlo e identificarlo en el SIGEPRE y poder verificar su ejecución. Se recomienda documentar No Se recomienda68 definir un documento de control para registrarlo e identificarlo en el SIGEPRE y poder verificar su ejecución. Se recomienda69 definir un documento de control para registrarlo e identificarlo en el SIGEPRE y poder verificar su ejecución. Se recomienda70 documentar Se recomienda71definir un documento de control para registrarlo e identificarlo en el SIGEPRE y poder verificar su ejecución. Se recomienda72 documentar Se recomienda la revisión y actualización del riesgo, de acuerdo con la normatividad vigente y la 54 2. Desprotección y pérdida de consistencia e integridad de la información contenida en las bases de datos del Observatorio. 3. DÉBIL ARTICULACIÓN DE LA POLÍTICA DE PREVENCIÓN DEL RECLUTAMIENTO procedimientos y procesos 2. Aplicación de sistemas informáticos de protección de datos y control de accesos al sistema de base de datos del observatorio. Trazabilidad de los procedimientos y procesos. 3 Aplicación de mecanismos de verificación de calidad de datos, y actualización de técnicas de procesamiento de datos. Seguimiento al procedimiento de recolección y sistematización de datos. Trazabilidad de los procedimientos y procesos 1. Elaboración de escenarios de planeación y articulación planeación Institucional NO Se recomienda73 definir un documento de control para registrarlo e identificarlo en el SIGEPRE y poder verificar su ejecución. Se recomienda 74 documentar Se recomienda75 definir un documento de control para registrarlo e identificarlo en el SIGEPRE y poder verificar su ejecución. Se recomienda76 documentar Se recomienda77 definir un documento de control para registrarlo e identificarlo en el SIGEPRE y poder verificar su ejecución. Se recomienda78 documentar Se recomienda definir un documento de control para registrarlo e identificarlo en el SIGEPRE y poder verificar su ejecución. 2. Reunión de seguimiento NO 3. Revisión de las prioridades misionales y temáticas Se recomienda79 documentar Se recomienda80 definir un documento de control para registrarlo e identificarlo en el SIGEPRE y poder verificar su ejecución. Se recomienda documentar DEPENDENCIA: Dirección del Sistema nacional de Juventud Colombia Joven Nombre del Riesgo Controles Se ha materializado el Riesgo? Observaciones 55 1. personal capacitado Inadecuado funcionamiento de los componentes y módulos del Sistema Nacional de Información y Gestión del Conocimiento en adolescencia y juventud. Se recomienda definir un documento de control para registrarlo e identificarlo en el SIGEPRE y poder verificar su ejecución. Se recomienda81 documentar NO 2. Guía de operación del sistema Se recomienda82 revisar este control, porque tan cómo está planeado no es un control. DEPENDENCIA: Consejería Presidencial para la Competitividad y la Innovación Nombre del Controles Se ha observaciones Riesgo materiali zado el Riesgo? 1. Incumplimiento Reuniones de comités y NO No aplica desde septiembre de Compromisos comisiones establecidas 2014, las funciones de la al hacer formalmente para el seguimiento, consejería son diferentes a las seguimiento a la Asociado al % de Avance de de la anterior Alta Consejería gestión de la seguimiento a la estructuración y Presidencial. Agenda Nacional ejecución de PINES, al realizar la de verificación se estableció que este Competitividad y control no aplica desde Proyectos septiembre de 2014 debido a que Estratégicos no se encuentra dentro de las nuevas funciones de la Consejería para la Competitividad e Innovación. Agenda de las reuniones de comités y comisiones establecidas formalmente para el seguimiento, asociado al seguimiento a la implementación de la Agenda Nacional de Competitividad (P). En la verificación se estableció que solo aplica para la agenda de Competitividad y no para PINES, se asignó esta función a otra dependencia de la Presidencia. NO Solo aplica para competitividad, no para PINES, aplica para la Agenda de Conectividad. Desarrollar mecanismos de documentación del avance de los proyectos revisados en los comités establecidas formalmente para el seguimiento, asociado al POP-2014- AC Competitividad y PE Estrategia 2. Igualmente este control no aplica para PINES. NO No aplica para PINES, está dentro de las funciones de la Anterior Alta Consejería Presidencial. 56 Auditoria Riesgos. Proceso Tecnologías de la Información y Comunicaciones TIC´s DEPENDENCIA: Área de Información y Sistemas. Nombre del Riesgo Controles Se ha Observaciones materializado el Riesgo? 1. Capacitación NO El control está documentado, se aplica y es efectivo para minimizar el riesgo. El riesgo se encuentra 1. Falta de documentado, pero no cuenta trazabilidad con concepto asociado, se en las Recomienda 83 asociarlo en lo actuacione pertinente. s de El Área de Información y Sistemas usuarios utiliza un porcentaje importante finales. de los recursos destinados a la capacitación en la Entidad. Probable En los monitoreos archivos anexos Mayor 16 se observan capacitaciones Extrema. como: 1). Temas de Clasificación CONTROLES de la información por parte del Improbable, Ing. Alfonso Rojas. 2). Mayor 8 Capacitación en aspirantes y Alto. comisiones entre otras. 2. Controles NO El riesgo se encuentra No es riesgo Tecnológicos documentado, se aplica y es de efectivo para minimizar el riesgo. corrupción. Pero no cuenta con concepto asociado, se reitera la Recomienda 83 para asociarlo en lo pertinente. En seguimiento de realización e implementación de Controles tecnológicos, se implantó la solución GTM, la cual permite gestionar el DNS geográficamente disperso. Se gestiona la contratación para actualizar la plataforma de DLP y control de navegación a usuarios finales. Se implementa Firewall de acceso para el CCTV y Casa de Huéspedes Ilustres. Se presenta en actas con la Secretaría de Seguridad con frecuencia mensual, se verifica los servicios de internet, se realizan pruebas de correo saliendo por el centro alterno, con este control se garantiza que el servicio se preste, Control en funcionamiento. 57 2. Hurto, Perdida o fuga de Información pública reservada o clasificada en la gestión de la plataforma: Es un riesgo de corrupción porque existe la posibilidad de pérdida de información por manipulación o adulteración en 3. y Entrega de roles. NO 1. Ejecución de procedimientos Backus, configuración SAN y Servidor Archivos. NO los de de de de El riesgo se encuentra documentado, se aplica y es efectivo para minimizar el riesgo. Pero no cuenta con concepto asociado, se reitera la Recomienda 83 para asociarlo. Diseñaron un formato F-TI-13 en el cual se determinan responsabilidades, como ejemplo se evidencia el diligenciamiento físico de los formatos, que se encuentran en Sigepre en la mejora de creación de roles. Se Recomienda84 revisar el Lineamiento que establece: “(…) Si el control está documentado indique en qué documento del SIGEPRE se encuentra documentado y asócielo como concepto (…)”. Los formatos de El riesgo se encuentra documentado, se aplica y es efectivo para minimizar el riesgo. Las medidas tomadas son verificadas por auditorías internas y externas, no se han determinado observaciones o hallazgos con relación a éste tema. Se realiza el Monitoreo del Riesgo de la Información pública reservada o clasificada en la gestión de la plataforma, por parte del Asesor 58 sistemas información de 2. Divulgación de Políticas de Seguridad de la Información. NO 3. Capacitación al personal en temas de TIC’s No 4. Seguimiento Incidentes a No 5. Análisis de Logs de Actividades de los Archivos No 6, Herramienta prevención de perdida de información (DLP) No para la seguridad informática de la Secretaría para la Seguridad del Presidente, se evidencia que no se han presentado casos. De igual forma se contrató (123/14) con el proveedor Microsoft la realización del (servicio de detección de adversario persistente) "PAD"s el cual realiza la revisión de la plataforma. Se realiza semana de la seguridad. Se actualiza el Manual de Política de Seguridad informática, el cual se encuentra disponible en el SIGEPRE. El riesgo se encuentra documentado, se aplica y es efectivo para minimizar el riesgo. La entidad está constantemente amenazada en ataques, se previene desde los usuarios. El riesgo se encuentra documentado, se aplica y es efectivo para minimizar el riesgo, pero no cuenta con concepto asociado, se reitera la Recomienda 85. Capacitación a personal TIC’s en temas relacionados con desarrollo seguro, semana de la seguridad, capacitación de ITIL, cifrado de información, otros. El riesgo se encuentra documentado, se aplica y es efectivo para minimizar el riesgo, el seguimiento a Incidentes se realiza en tiempo real a través de la herramienta Altiris En los archivos adjuntos de los monitores se encuentran documentos que indican los seguimientos a la verificación de Logs. El riesgo se encuentra documentado, se aplica y es efectivo para minimizar el riesgo. El riesgo se encuentra documentado, se aplica y es efectivo para minimizar el riesgo. La aplicación de bloqueo de puertos, acompañada de instalación de software DLP que 59 permite controlar la salida de información de la Entidad. El riesgo se encuentra documentado, se aplica y es efectivo para minimizar el riesgo. Autenticación de dos factores (Contraseña y token), cuando se utiliza el acceso a la red inalámbrica o el acceso a la plataforma desde un sitio externo. El riesgo se encuentra documentado, se aplica y es efectivo para minimizar el riesgo. Manual de políticas aprobado en diciembre De acuerdo a las políticas se aplica Cifrado de Información a la información reservada o privada. El riesgo se encuentra documentado, se aplica y es efectivo para minimizar el riesgo. 7. Autenticación de dos factores No 8. Políticas Seguridad aprobada de No 9. Cifrado Información de No 10. Estudios Seguridad de No El riesgo se encuentra documentado, se aplica y es efectivo para minimizar el riesgo. Pero no cuenta con concepto asociado, Se Recomienda 86 asociar como concepto el documento que evidencia que el control está documentado, esto es asociar el Procedimiento P-TH-04 Vinculación personal de planta. 11. Verificación de vulnerabilidades de la plataforma TIC’s No 12. Entrega de roles No El riesgo se encuentra documentado, se aplica y es efectivo para minimizar el riesgo. Al revisar el Manual no se encuentra específicamente el tratamiento al tema de la verificación de vulnerabilidades de la plataforma TIC’s, (actualmente se realiza por contrato externo que dejan documentos soportes). Se reitera la recomendación 84 El riesgo se encuentra documentado, se aplica y es 60 efectivo para minimizar el riesgo, pero no cuenta con concepto asociado, se reitera la Recomienda 83 para asociarlo. Se reitera la recomendación 84 3. No disponibilidad de los servicios de Tics por cambios en la plataforma Aplicación del procedimiento de control de cambios No El riesgo se encuentra documentado, se aplica y es efectivo para minimizar el riesgo, En el documento se encuentran lineamientos generales del sobre el control de cambios, se recomienda 4 destinar un espacio específico al tema, que permita localizarlo fácilmente. Realizar Capacitación en temas de TIC´s, No El control está documentado, se aplica y es efectivo para minimizar el riesgo. El Área de Información y Sistemas utiliza un porcentaje importante de los recursos destinados a la capacitación en la Entidad. EL plan de Capacitación con relación al tema de la clasificación de la información, se realizaron varios eventos de difusión. Plan Anual Adquisiciones 4. Violación en la integridad de la información por falta de controles de No El control está documentado, se aplica y es efectivo para minimizar el riesgo, en el SIGEPRE en el plan de adquisiciones que establece la entidad. WSUS No El control está documentado, se aplica y es efectivo para minimizar el riesgo, riesgo controlado por medio de las actualizaciones de Windows. Implementación de controles adecuados No El control está documentado, se aplica y es efectivo para minimizar el riesgo, Principio del formulario Seguimiento de tiempos de respuesta. Son actividades para dar solución a las necesidades en TIC’s de las dependencias, sus actividades se enmarcan en la gestión final del formulario 61 Armonización normativa No El control está documentado, se aplica y es efectivo para minimizar el riesgo. Análisis y factibilidad de la necesidad a implementar, tiene documento asociado Manual de política de seguridad de la información No El riesgo se encuentra documentado, se aplica y es efectivo para minimizar el riesgo, pero no cuenta con concepto asociado, se reitera la Recomienda 83 para asociarlo. Aplica para la redistribución de recursos humanos de los proyectos. Alertas de herramientas y contratos de mantenimiento, referenciación tecnológica No El riesgo se encuentra documentado, se aplica y es efectivo para minimizar el riesgo, Capacitaciones de recurso humano en TIC’s. Referenciación de tecnologías No Proyecto Inversión de No Supervisión proveedores de No Se Recomienda 87 verificar la valides de este riesgo debido a que no se encuentra documentado, no se considera que el control es efectivo para minimizar el riesgo y no se está aplicando en la actualidad según se informa en el SIGEPRE. Aunque en reunión de verificación se observó la referenciación de tecnologías con asistencia, atención y conocimiento de proveedores en tecnologías de la información NAC (Network Access Control) y (ATP: Advanced Technology Program). El riesgo se encuentra documentado, se aplica y es efectivo para minimizar el riesgo, Tercerizar actividades del proyecto Realizar en el último trimestre del año en coordinación con los responsables de las dependencias la identificación de las necesidades TIC's DEPENDENCIA: Gestión Documental 62 Nombre del Riesgo Controles Se ha materializado el Riesgo? Observaciones 1.Registro erróneo en el proceso de radicación de las comunicaciones oficiales 1.Aplicación de la tabla de responsables por dependencias para el direccionamiento de las comunicaciones oficiales Al 31 de diciembre de 2014, no se materializó el riesgo, ya que los controles formulados para el manejo de éste se aplicaron de manera eficaz. El riesgo se encuentra documentado, se aplica y es efectivo para minimizar el riesgo Los controles son preventivos y afectan la escala de probabilidad. Al 31 de diciembre de 2014, no se materializó el riesgo, ya que los controles formulados para el manejo de éste se aplicaron de manera eficaz. El riesgo se encuentra documentado, se aplica y es efectivo para minimizar el riesgo, Los controles son preventivos y afectan la escala de probabilidad. 2. Daño de activos de durante la administración documental en el archivo central 2. Revisión y clasificación previa a la radicación de las comunicaciones oficiales. Aplicación de los criterios establecidos en el Manual del sistema de gestión de correspondencia y archivos oficiales M-GD-01 Reporte mensual de las comunicaciones oficiales registradas erróneamente Reporte de documentación con daños o deterioro en el archivo central Informe cuatrimestral y visita de inspección a las instalaciones del archivo central DAPRE, DEPENDENCIA: Dirección para la Relación con los Medios 63 Nombre del Riesgo 1. Divulgación autorizada información carácter noticioso Controles no de de 2. Interrupción de la Transmisión de video y/o audio de los eventos del Señor Presidente 1. Políticas internas establecidas frente a la publicación de la información Personal capacitado en redacción y edición de noticias. Personal competente para el manejo de los equipos de video y/o audio Se ha materializado el Riesgo? Al 31 de diciembre de 2014, no se materializó el riesgo, ya que los controles formulados para el manejo de éste se aplicaron de manera eficaz. Al 31 de diciembre de 2014, no se materializó el riesgo, ya que los controles formulados para el manejo de éste se aplicaron de manera eficaz. Observaciones Se Recomienda88, verificar y analizar la escala afectada, como se observa estos controles no mitigan el impacto en caso de materializarse el riesgo. También se Recomienda89: subir al aplicativo el concepto asociado a los controles Se Recomienda90, verificar y analizar la escala afectada, como se observa estos controles no mitigan el impacto en caso de materializarse el riesgo. También se Recomienda91: subir al aplicativo el concepto asociado a los controles Los controles son preventivos y afectan la escala de probabilidad. DEPENDENCIA: Casa Militar Nombre del Riesgo Controles 1.Inadecuada aplicación de los lineamientos protocolarias establecidos para la preparación y ejecución de los eventos del señor presidente y vicepresidente no autorizada de información de carácter noticioso 1. Tener personal disponible y debidamente capacitado para cubrir los eventos Presidenciales y Vicepresidenciales Asistir a las reuniones de coordinación previa de agenda del Sr. Presidente y vicepresidente Cuando se trate de eventos fuera de la ciudad de Bogotá, coordinar con las partes interesadas la organización de los eventos. Validar listados de asistencia a los eventos Se ha materializado el Riesgo? Al 31 de diciembre de 2014, no se materializó el riesgo, ya que los controles formulados para el manejo de éste se aplicaron de manera eficaz. Observaciones Los controles son preventivos y afectan la escala de probabilidad. Se Recomienda92 documentar el control Los controles son preventivos y afectan la escala de probabilidad 64 Coordinación con organizadores del evento para establecer los pormenores de ejecución del mismo 2. Inadecuada coordinación con las FFMM y/o policía para el desplazamiento nacional e internacional del señor presidente y vicepresidente, sus familias y comitivas Según el lugar de ejecución del evento, seguimiento puntual de los formatos F-SA-40/41/50. Reconocimiento aéreo del campo principal y alterno Elaboración requerimientos aéreos Planeamiento de Operación Aérea la Al 31 de diciembre de 2014, no se Los controles son materializó el preventivos y afectan la riesgo, ya que los escala de probabilidad. controles formulados para el manejo de éste se aplicaron de manera efectiva Los controles son preventivos y afectan la escala de probabilidad. Supervisión de desplazamiento de aeronaves solicitadas el día de la Operación Aérea DEPENDENCIA: Secretaria Privada Nombre del Riesgo Controles Incumplimiento de compromisos durante la prestación del servicio de coordinación de la agenda y su ejecución. Registro de modificaciones de agenda Reunión de coordinación donde se solicita con anticipación los recursos Protocolo anexo para el ingreso de personas que no están incluidas en los listados de asistentes Se ha materializado Observaciones el Riesgo? Al 31 de diciembre El control es de 2014, no se preventivo y afectan materializó el riesgo, la escala de ya que los controles probabilidad. formulados para el manejo de éste se aplicaron de manera Se Recomienda 93 eficaz. documentar el control Se Recomienda94: analizar éste control si no es efectivo para minimizar el riesgo 65 Protocolo anexo para los invitados especiales Revisión de la información y requerimientos de soportes Al 31 de diciembre de 2014, no se materializó el riesgo, ya que los controles formulados para el manejo de éste se aplicaron de manera efectiva Requerir conceptos sobre temas específicos de eventos del sr. Presidente Se Recomienda95: revisar y analizar éste control si no está siendo efectivo para minimizar el riesgo. El control es preventivo y afectan la escala de probabilidad. El control es preventivo y afectan la escala de probabilidad. DEPENDENCIA: Secretaria para la Seguridad Presidencial Nombre del Riesgo Incumplimiento de compromisos durante la prestación del servicio de seguridad presidencial. Controles Lista de chequeo protocolo de avanzadas Reunión de coordinación donde se solicita con anticipación los recursos Solicitud de información de inteligencia a diferentes Organismos con el fin de ser validada Aplicación de pruebas de confiabilidad del personal de la Secretaría para la Seguridad Presidencial Aplicación de Procedimientos de Seguridad Protectiva y Seguridad Instalaciones Coordinación y desempeño en la ejecución de avanzadas en los eventos del Sr. Presidente Se ha materializado el Riesgo? Observaciones Al 31 de diciembre de 2014, no se materializó el riesgo, ya que los controles formulados para el manejo de éste se aplicaron de manera eficaz. anticipación anticipación Se Recomienda96 documentar el control, algunos no se encuentran documentados y subir al aplicativo el concepto asociado DEPENDENCIA: Oficina de Control Interno Nombre del Riesgo Controles Se ha Observaciones 66 materializado el Riesgo? 1. Incumplimiento legales en la presentación de informes dentro de las fechas establecidas por la norma. 1.Elaboración del cronograma anual de los informes legales que debe presentar el DAPRE 2. No Formular y Ejecutar correctamente los Planes de Mejoramiento 2.Seguimiento trimestral al cronograma, según fecha establecida para la presentación de los informes Actualización del marco normativo del proceso que obligue a presentar informes Revisión de la mejora por parte del responsable del proceso y/o dependencia Revisión y aprobación de la mejora por parte de la jefe de la Oficina de Control Interno Evaluación de la eficacia de los planes de mejoramiento Análisis trimestral acerca del estado de los planes de mejoramiento. Al 31 de Se Recomienda97 documentar el diciembre de control y asociar el concepto 2014, no se materializó el riesgo, ya que los controles formulados para el manejo de éste se aplicaron de manera eficaz. Al 31 de diciembre de 2014, no se materializó el riesgo, ya que los controles formulados para el manejo de éste se aplicaron de manera eficaz. Los controles son preventivos y afectan la escala de probabilidad. Los controles son preventivos y afectan la escala de probabilidad Los controles son preventivos y afectan la escala de probabilidad Se Recomienda98 documentar el control y asociar el concepto 3.3 Riesgos de Corrupción 67 No Proceso Dependencia Clase Institucional Corrupción 1 Adquisición de Bienes y Serv icios Área de Contratos Operativ o Si Si 2 Talento Humano Control I nterno Disiplinario Cumplimiento Si Si 3 Gestión Juridica Secretaria Juridica Cumplimiento No Si 4 Gestión Administrativ a Área Administrativ a Operativ o Si Si 5 Gestión Financiera Area Financiera Financiero Si Si 6 Tecnología de I nformación y Comunicacio nes Área de Sistemas Tecnología Si Si 7 Talento Humano Área de Talento Humano Operativ o Si Si Matriz de Calificación, evaluación y respuesta 5 Zona de riesgo alta Reducir el riesgo Ev itar el riesgo Compartir o transferir 5 Zona de riesgo alta Reducir el riesgo Ev itar el riesgo Compartir o transferir 15 Zona de riesgo extrema Ev itar el riesgo Reducir el riesgo Compartir o transferir 15 Zona de riesgo extrema Ev itar el riesgo Reducir el riesgo 10 Zona de riesgo extrema Ev itar el riesgo Reducir el riesgo Compartir o transferir 5 Zona de riesgo alta Reducir el riesgo Ev itar el riesgo Compartir o transferir 10 Zona de riesgo extrema Ev itar el riesgo Reducir el riesgo Compartir o transferir El Riesgo de Gestión Administrativa se tiene asociado un plan de contingencia " Demoras en la elaboración del documento de análisis del sector y de oferentes. El cual se encuentra en rojo. En la etapa de análisis del riesgo, busca establecer la probabilidad de ocurrencia del mismo así como el Impacto en función a las consecuencias que puede ocasionar a la Entidad la materialización del riesgo, dándole rangos de insignificante, menor, moderado, mayor y catastrófico. La Probabilidad se entiende como la posibilidad de ocurrencia del riesgo y se mide con criterios de frecuencia. Se utilizan rangos de raro (1), improbable (2), posible (3), probable (4) y casi seguro (5), dichos valores son multiplicados con los valores establecidos en los rangos del Impacto, cuyos resultados se enmarcan en cuadrantes de zona de riesgo: baja, moderada, alta y extrema. 68 Finalmente, la calificación del riesgo se logra a través de la estimación de la probabilidad y el impacto, como se muestra a continuación: 4. Conclusiones de la Auditoria 4.1 Aspectos conformes: Una vez evaluada la Gestión del Riesgo en la Entidad y teniendo en cuenta los lineamientos para la administración del Riesgo L-DE- 01 y la información disponible en el aplicativo SIGEPRE – Modulo Gestión del Riesgo, se pudo determinar que los controles aplicados a los riesgos son preventivos y a la fecha de la presente Auditoría han sido efectivos para minimizar la probabilidad de materialización de los Riesgos de la Entidad. 4.2 Aspectos No conformes: No se observa la actualización u identificación de un riesgo asociado a la prestación del servicio de la Dirección de acuerdo al nuevo enfoque metodológico, como se observa en el riesgo “Decisiones erróneas durante la planeación de acciones para el logro de las prioridades de gobierno” de 2013. Incumpliendo los Lineamientos para la Administración del Riesgo L-DE-01, versión 6 del 19 de mayo de 2014. No Conformidad Real.1 Dirección para la Seguridad: Se observa que los controles establecidos para evitar la materialización del riesgo no se están aplicando, como se evidencio en la revisión de la matriz de riego de la Dirección incumpliendo lo dispuesto en los lineamientos de la administración del riesgo numeral 8.1., controles No Conformidad Real.2 4.3 Riesgos Materializados Incumplimiento de las Metas de los proyectos de inversión del DAPRE Direccionamiento Estratégico Materializado en el monitoreo al 31 de diciembre de 2014. 69 Primera Infancia: Incumplimiento de compromisos en la generación de infraestructura para fortalecer la atención integral a la primera infancia acorde con las metas del PND Materializado en el monitoreo al 31 de diciembre de 2014 y se encuentra duplicado en el SIGEPRE. Dirección para la Acción contra Minas Antipersonales: Atraso en la implementación de las acciones previstas en los Planes Locales en AICMA o planes derivados de la Ley 1448 de 2011 (Plan de Acción Territorial, Plan de Prevención, Plan de Contingencia) a nivel territorial, en el último monitoreo realizado, se manifiesta dos controles y se tiene identificado en el aplicativo sólo uno. Atención al Usuario: Vencimiento de los términos legales en la atención (Respuesta, Información del Trámite y Notificación por Aviso) de peticiones, sugerencias, quejas o reclamos. Atención al Usuario: Incumplimiento de los Acuerdos de Nivel de Servicio durante la prestación de los servicios compartidos del DAPRE. 4.4 Recomendaciones Generales Recomienda1 analizar y verificar el contexto estratégico. Recomienda2., hacer un análisis del tipo de riesgos con el fin de que la Entidad pueda tener control de todos los objetivos estratégicos y metas SINERGIA a alcanzar y que por ende afectan el cumplimiento de la misión y de la visión. Recomienda3. Incorporar en la gestión del riesgo institucional en el aplicativo SIGEPRE los proyectos de inversión. 9 riesgos se encuentran en zona extrema que representan el 14%, como vemos esto puede afectar la consecución de las metas y objetivos institucionales y por ende afecte el cumplimiento de la misión y la visión. Se Recomienda4 hacer un análisis y verificación. 70 Se Recomienda5. Teniendo en cuenta los Lineamientos para la Administración del Riesgo de conformidad con el Numeral 8.2.1 Formulación del plan de contingencia literal b) el cual establece (… “La política de administración de riesgos que se escoja será “Asumir el riesgo” (Etapa de Manejo)” se observa que no está acorde con el Numeral 9.1 Política de Administración del Riesgo literal d)(…” Asumir el riesgo: Cuando el riesgo queda en zona de riesgo “baja” o “Moderada”) Se Recomienda realizar la verificación y análisis respectivos. Se Recomienda6: Actualizar el mapa de Riesgos de la Entidad de acuerdo a los cambios estructurales de la Entidad. Se Recomienda7 tener en cuenta el "Manual para la identificación y cobertura del riesgo" de la Agencia Colombia Compra Eficiente, en los procesos de contratación y articularlo con la administración de riesgos institucional. Se Recomienda8: Realizar una nueva valoración de controles donde se revise la clasificación si son preventivos o correctivos y si la escala afectada es la probabilidad o el impacto, también se debe revisar la evaluación de los criterios de los controles ya que en algunos casos como la Secretaria Privada y la Dirección para los Medios, TICs, se dice que el control se está aplicando pero no está siendo efectivo, y asegurase que las acciones descritas en el control este articuladas con las causas que ocasionan el riesgo. 5. OPINION DE LA OFICINA DE CONTROL INTERNO La Oficina de Control Interno determina que, el Departamento Administrativo de la Presidencia de la República DAPRE, cuenta con una metodología de riesgos adecuada, la cual le permite realizar la identificación, valoración, tratamiento y monitoreo de cada uno de los eventos que puedan afectar el logro de los objetivos de la Entidad. Sin embargo se establecen aspectos conformes y no conformes los cuales se les debe dar el tratamiento correspondiente para poder tener así un mejoramiento continuo. 71
