administración del riesgo
Download
Report
Transcript administración del riesgo
Difusión de Políticas en
Materia de Control Interno DAFP
Diciembre 2013
Agenda
1
2
3
4
Himnos Colombia - Cundinamarca
Instalación del evento
Objetivos de la Jornada
5
Jornada de la Tarde
6
Panel de preguntas
Jornada de la mañana
Resultados MECI (Informe Ejecutivo Anual vigencia
2012)
Administración del Riesgo
Actualización MECI
Guía de Auditoría para Entidades Públicas
Objetivos de la Jornada
Desarrollar jornadas de difusión y asesoría tendientes a ampliar la
cobertura en la prestación de servicios del Departamento, en
desarrollo del proyecto de Mejoramiento y Fortalecimiento para el
desarrollo de políticas públicas en el país.
Fortalecer la capacidad institucional de las entidades territoriales,
con el fin de contribuir de manera efectiva a los ejes del Buen
Gobierno.
Contribuir para que las entidades y sus servidores públicos avancen
hacia la modernización, la eficiencia administrativa, la innovación,
la profesionalización del talento humano y la vocación por el
servicio.
Generar en los asistentes la capacidad para transferir los conceptos
y metodologías a sus entidades de forma práctica y efectiva.
Resultados Consolidados Orden
Territorial / Departamento del
Cundinamarca
Contenido
1. Metodología utilizada para la recolección
de información y presentación de
resultados vigencia 2012
2. Resultados sobre la evaluación al
sistema de control interno -Orden
Territorial-.
3. Principales debilidades encontradas
4. Resultados Sistema de Gestión de la
Calidad -Orden Territorial.
5. Resultados
Departamento
de
Cundinamarca.
1. METODOLOGÍA UTILIZADA PARA LA
RECOLECCIÓN DE INFORMACIÓN Y
PRESENTACIÓN DE RESULTADOS
Estructura de la Encuesta
MODULO 1: IMPLEMENTACIÓN
Preguntas básicas sobre implementación del Modelo Estándar de
Control Interno MECI, con opciones de respuesta SI/NO/EN PROCESO
MODULO 2: MANTENIMIENTO
Condicional a una respuesta positiva en el primer módulo iría
desplegando las preguntas correspondientes al mantenimiento de los
elementos del MECI.
MODULO 3: EFECTOS
Condicional a las respuestas positivas del segundo módulo
desplegaría preguntas tendientes a recolectar información de línea
base de evaluación de impacto del modelo.
Tabla de Asignación de Pesos
EJES BUEN GOBIERNO
PESO POR EJE
COMPONENTE DEL MECI
PESO POR
COMPONENTE
Tra ns pa renci a y Rendi ci ón de cuenta s
(Enfoca da ha ci a el fomento de meca ni s mos
de rendi ci ón de
cuenta s )
20%
Comunicación Pública
20%
Direccionamiento Estratégico
15%
Información (Secundaria + Sistemas
de Información)
5%
Actividades de Control
15%
Autoevaluación
5%
Planes de Mejoramiento
5%
Gestión Pública efectiva
(Fortalecimiento de herramientas de gestión
de gran impacto que se consoliden en un
sistema integrado, permitiendo el buen uso
de los recursos y la capacidad del Estado
para producir resultados en pro de la
satisfacción de los intereses ciudadanos.)
45%
Participación y servicio al ciudadano
(Gestión para prestación de servicios y
atención al ciudadano)
10%
Información (Primaria)
10%
Vocación por el servicio público
(Apoyando acciones para modernizar las
políticas de empleo público)
10%
Ambiente de control
10%
Administración del Riesgo
10%
Evaluación Independiente
5%
Estrategias de lucha contra la corrupción
TOTAL
15%
100%
100%
Tabla de Valoración MECI
RANGO
VALORACIÓN DE RESULTADOS MECI
CONCEPTO
90% - 100%
De acuerdo con la información suministrada el modelo se encuentra en una etapa
de desarrollo que proporciona una seguridad razonable sobre el logro de los
objetivos institucionales, se debe continuar con actividades de mantenimiento y
fortalecimiento del sistema de control interno a largo plazo.
60% - 89%
De acuerdo con la información suministrada el modelo cumple con los requisitos
mínimos de implementación, pero con leves deficiencias en cuanto a su
continuidad o aplicación sistemática de los controles establecidos. Se deberán
solicionar tales deficiencias urgentemente para que el sistema de control interno
sea eficaz.
0 - 59%
De acuerdo a la información suministrada el modelo no se cumple, se cumple
parcialmente o no guarda coherencia con las actividades que se realizan, deben
tomarse medidas correctivas y de mejora urgentes para fortalecer el sistema de
control interno.
2. ANÁLISIS RESULTADOS MODELO
ESTÁNDAR DE CONTROL INTERNO –MECI
-ORDEN TERRITORIAL-
ORDEN TERRITORIAL
AMBIENTE DE DIRECCIONAMIENTO
CONTROL
ESTRATÉGICO
AMAZONAS
67,75
79,90
ANTIOQUIA
77,25
80,57
ARAUCA
76,37
84,36
SAN ANDRES
73,08
74,64
ATLANTICO
75,21
81,47
BOLÍVAR
70,09
73,58
BOYACÁ
72,04
75,82
CALDAS
78,93
82,27
CAQUETÁ
69,43
75,30
CASANARE
69,00
74,57
CAUCA
65,16
72,05
CESAR
66,09
70,12
CHOCÓ
62,24
67,67
CORDOBA
74,88
80,71
CUNDINAMARCA
76,79
79,61
GUAINIA
58,88
68,04
GUAJIRA
75,90
78,97
GUAVIARE
77,89
78,53
HUILA
81,36
83,64
MAGDALENA
65,38
71,66
META
73,91
75,45
NARIÑO
80,72
81,10
NORTE DE SANTANDER
70,77
77,75
PUTUMAYO
64,35
69,62
QUINDIO
78,43
80,71
RISARALDA
81,24
84,57
SANTANDER
79,63
83,34
SUCRE
72,06
79,19
TOLIMA
70,18
74,85
VALLE DEL CAUCA
76,53
82,29
VAUPES
55,44
68,16
VICHADA
83,75
75,99
DEPARTAMENTO
32
72,52
77,08
ADMINISTRACIÓN DEL
RIESGO
57,98
56,70
67,74
53,33
69,89
51,62
54,40
63,51
49,18
48,80
43,25
44,55
42,13
64,87
60,55
48,00
44,66
45,73
64,16
42,89
56,00
55,78
51,87
47,27
73,38
64,30
72,00
39,80
48,73
58,79
42,20
37,55
53,80
ACTIVIDADES DE
INFORMACIÓN
CONTROL
63,47
81,47
71,23
84,79
71,41
84,96
75,68
94,37
74,99
86,12
65,20
81,55
68,47
81,47
78,34
88,69
61,81
85,46
65,08
82,86
61,61
74,92
63,85
78,17
57,39
67,29
74,82
81,69
71,70
85,17
52,47
81,17
71,65
78,86
65,88
83,81
82,71
86,01
59,18
80,09
68,65
84,01
72,53
86,79
70,47
79,11
57,04
78,96
79,32
87,07
75,91
90,92
76,50
87,68
69,35
77,79
67,82
79,53
77,03
87,66
57,78
74,09
63,91
76,47
68,54
82,47
COMUNICACIÓN
PÚBLICA
63,74
74,43
79,61
76,42
72,34
70,41
68,60
84,97
75,79
66,59
59,71
69,52
68,57
72,70
72,24
63,12
71,59
72,33
80,89
63,82
69,64
72,65
68,73
56,54
68,15
73,66
74,43
69,95
67,30
77,64
53,04
68,99
70,25
58,49
72,67
72,99
86,68
78,79
73,25
65,26
85,13
67,49
59,40
64,39
68,10
63,97
80,15
69,55
58,15
81,50
76,01
89,60
62,16
67,82
75,75
71,44
65,79
78,78
79,12
76,15
73,67
66,21
78,10
65,23
61,49
EVALUACIÓN
INDEPENDIENTE
69,17
61,24
85,36
65,45
80,31
67,59
51,78
84,15
65,17
57,99
59,55
64,00
64,77
74,46
56,99
72,94
77,24
75,78
78,54
64,85
66,40
61,28
65,71
56,84
76,32
78,14
63,54
71,12
53,83
75,66
46,09
71,35
PLANES DE
MEJORAMIENTO
65,29
66,66
62,29
60,97
62,67
55,12
47,60
76,03
48,84
50,32
59,55
58,38
52,57
60,60
58,31
45,64
64,16
63,36
75,31
58,85
53,04
64,39
48,94
52,49
67,20
66,00
62,96
62,77
45,52
63,85
42,70
65,28
71,66
67,61
58,99
AUTOEVALUACIÓN
Consolidado Departamento : CUNDINAMARCA
Numero de Entidades Consolidadas : 422
Ver Concepto Calidad
PUNTAJE MECI : 74,37
ELEMENTOS
% Ver Rangos de Calificacion
AVANCE(%)
Acuerdos,compromisos o
protocolos éticos
92
Desarrollo de talento
humano
66
Estilo de Dirección
84
Planes y programas
89
Modelo de operación por
procesos
69
Estructura organizacional
78
COMPONENTES
AVANCE(%) SUBSISTEMAS AVANCE(%)
AMBIENTE DE
CONTROL
77
DIRECCIONAMIENTO
ESTRATÉGICO
81
ADMINISTRACIÓN DE
RIESGOS
62
ACTIVIDADES DE
CONTROL
73
INFORMACIÓN
86
COMUNICACIÓN
PÚBLICA
74
AUTOEVALUACIÓN
72
EVALUACIÓN
INDEPENDIENTE
61
CONTROL
ESTRATÉGICO
74
CONTROL DE
GESTIÓN
77
CONTROL DE
EVALUACIÓN
64
Contexto estratégico
Identificación de riesgos
Análisis de riesgos
Valoración de riesgos
Resultados
Departamento
Cundinamarca
62
Politicas de administración
de riesgos
Políticas de Operación
80
Procedimientos
77
Controles
71
Indicadores
69
Manual de procedimientos
74
Información Primaria
91
Información Secundaria
77
Sistemas de Información
78
Comunicación
Organizacional
66
Comunicación informativa
73
Medios de comunicación
87
Autoevaluación del control
70
Autoevaluación de gestión
74
Evaluación independiente al
Sistema de Control Interno
75
Auditoria Interna
46
Planes de Mejoramiento
Institucional
75
Planes de mejoramiento
por Procesos
57
Plan de Mejoramiento
Individual
48
PLANES DE
MEJORAMIENTO
60
3. PRINCIPALES DEBILIDADES ENCONTRADAS
ADMINISTRACIÓN DEL RIESGO
No se maneja como
parte del sistema de
control Interno.
No se desarrolla
como parte del
proceso de
planeación.
Desconoce para su
desarrollo el
Modelo de
operación por
procesos.
Se desconoce su utilidad para el desarrollo de los procesos.
Los servidores no lo entienden.
Las actividades de seguimiento de los mapas de riesgo, en algunos
casos, no se dan o los controles identificados no son efectivos para
evitar la materialización de los riesgos.
ACTIVIDADES DE CONTROL -INDICADORES
Dificultad sobre la
construcción de
Indicadores de
gestión
Relación entre los
tipos de
indicadores
Los indicadores no
miden la gestión
institucional
SUBSISTEMA CONTROL DE EVALUACIÓN
No se realizan
procesos de
autoevaluación
Uso de herramientas
existentes: Encuesta,
Talleres, Informes
Alta Dirección
Falta programación
de Auditorías
Internas.
Programa anual
de auditorías
Ejecución de las
auditorías
Dificultad sobre
Planes de
mejoramiento y su
seguimiento
Institucional
Por proceso
Individual
4. RESULTADOS SISTEMA DE GESTIÓN DE LA CALIDAD ORDEN TERRITORIAL -
ORDEN TERRITORIAL
Administración
del Riesgo
Contenido
1.
2.
3.
4.
5.
6.
Referente Normativo
Componente Administración del Riesgo
Elementos del Componente Administración del
Riesgo:
• Contexto Estratégico
• Identificación de Riesgos.
• Análisis de Riesgos.
• Valoración de Riesgos.
• Política de Riesgos
Comunicación y Consulta.
Monitoreo y Revisión.
Plan Anticorrupción de Atención al Ciudadano
2. Referente Normativo
LEY 87 DE
1993
Artículo 2 OBJETIVOS DEL CONTROL INTERNO:
literal a). Proteger los recursos de la organización,
buscando su adecuada administración ante posibles
riesgos que los afectan.
Literal f). Definir y aplicar medidas para prevenir los
riesgos, detectar y corregir las desviaciones que se
presenten en la organización y que puedan afectar el
logro de los objetivos.
DECRETO
1537 DE 2001
Reglamenta parcialmente la Ley 87 de 1993 en cuanto a
elementos técnicos y administrativos que fortalezcan el
sistema de control interno.
Artículo 4º la Administración de riesgos, como parte
integral del fortalecimiento de los sistemas de control
interno en las entidades publicas (…).
DECRETO
1599 DE 2005
Por el cual se adopta el Modelo Estándar de Control
Interno para el Estado Colombiano y se presenta el anexo
técnico del MECI 1000:2005.
1.3 Componentes de administración del riesgo
DECRETO
4485 DE 2009
Este decreto aclara la importancia de la Administración
del riesgo en el Sistema de Gestión de la Calidad en las
entidades.
LEY 1474 DE
2011
Estatuto Anticorrupción. Artículo 73. “Plan Anticorrupción y
de Atención al Ciudadano” que deben elaborar
anualmente todas las entidades, incluyendo el mapa de
riesgos de corrupción, las medidas concretas para mitigar
esos riesgos, las estrategias antitrámites y los
mecanismos para mejorar la atención al ciudadano.
DECRETO
2641 DE 2012
Cada entidad del orden nacional, departamental y
municipal deberá elaborar anualmente una estrategia de
lucha contra la corrupción y de atención al ciudadano.
(Dentro de éstas estrategias se encuentran los mapas de
riesgo relacionados con posibles actos de corrupción)
Artículo 7. Las entidades del orden nacional, departamental y
municipal deberán publicar en un medio de fácil acceso al
ciudadano su Plan Anticorrupción y de Atención al Ciudadano a
más tardar el 31 de enero de cada año. PARÁGRAFO: (…) Para
el año 2013 tienen plazo hasta el 30 de abril para su publicación.
NORMAS TÉCNICAS Y ESTÁNDARES INTERNACIONALES
ÚLTIMAS ACTUALIZACIONES
NTC5254
Primera adaptación para
Colombia de la metodología
sobre administración del
Riesgo.
ANULADA POR LA NTC31000
1. NTC31000
2. GTC137
1. Principios y
Directrices.
2. Vocabulario
NTC31010
Técnicas para el
manejo del riesgo
(En revisión)
1.1. AMBIENTE DE
CONTROL.
1. SUBSISTEMA
DE CONTROL
ESTRATÉGICO
1.2. DIRECCIONAMIENTO
ESTRATÉGICO.
1.3. ADMINISTRACIÓN
DE RIESGOS.
2.1.
ACTIVIDADES
DE CONTROL.
2. SUBSISTEMA
DE CONTROL DE
GESTIÓN
3. SUBSISTEMA
DE CONTROL DE
EVALUACIÓN
2.2. INFORMACIÓN.
ELEMENTOS
• ACUERDOS, COMPROMISOS O PROTOCOLOS
ÉTICOS.
• DESARROLLO DEL TALENTO HUMANO.
• ESTILO DE DIRECCIÓN.
•PLANES Y PROGRAMAS.
•MODELO DE OPERACIÓN POR PROCESOS.
•ESTRUCTURA ORGANIZACIONAL.
•CONTEXTO ESTRATÉGICO.
•IDENTIFICACIÓN DE RIESGOS.
•ANÁLISIS DE RIESGOS.
•VALORACIÓN DE RIESGOS.
•POLÍTICAS DE ADMINISTRACIÓN DE RIESGOS.
•POLÍTICAS DE OPERACIÓN.
•PROCEDIMIENTOS.
•CONTROLES.
•INDICADORES.
•MANUAL DE PROCEDIMIENTOS.
•INFORMACIÓN PRIMARIA.
•INFORMACIÓN SECUNDARIA.
•SISTEMAS DE INFORMACIÓN.
2.3. COMUNICACIÓN
PÚBLICA.
•COMUNICACIÓN ORGANIZCIONAL.
•COMUNICACIÓN INFORMATIVA.
•MEDIOS DE COMUNICACIÓN.
3.1. AUTOEVALUACIÓN
•AUTOEVALUACIÓN DEL CONTROL
•AUTOEVALUACIÓN DE GESTIÓN.
3.2.EVALUACIÓN
INDEPENDIENTE.
3.3.
PLANES
DE
MEJORAMIENTO.
• EVALUACIÓN DEL SISTEMA DE CONTROL
INTERNO.
• AUDITORÍA INTERNA.
•PLAN DE MEJORAMIENTO INSTITUCIONAL.
•PLAN DE MEJORAMIENTO FUNCIONAL.
•PLAN DE MEJORAMIENTO INDIVIDUAL.
METODOLOGÍA DE DISEÑO E IMPLEMENTACIÓN
COMPONENTES
PLAN GENERAL DE IMPLEMENTACION
SISTEMA DE CONTROL INTERNO
SUBSISTEMAS
Todas
las
actividades
de
una organización
implican riesgo.
ADMINISTRACIÓN DEL RIESGO
PLANEACIÓN
ADMINISTRACIÓN DEL RIESGO Y EL PROCESO DE PLANEACIÓN
Se
recomienda
entonces
que
las
entidades integren el
proceso
de
administración
del
riesgo en:
Los
misionales.
procesos
La planeación
La gestión
Valores
y
cultura
organizacional.
OBJETIVOS DE LA ADMINISTRACIÓN
DEL RIESGO
LA ADMINISTRACIÓN DEL RIESGO PERMITE:
• Aumentar la probabilidad de alcanzar
los objetivos institucionales.
• Cumplir con los requisitos legales y
reglamentarios pertinentes.
• Establecer una base confiable para la
toma de decisiones y la planificación.
LOGRANDO
•Mejorar la confianza de las partes
interesadas.
• Asignar y usar eficazmente los recursos;
mejorando la eficacia y eficiencia operativa.
• Consolidar el Sistema de Control Interno
de la entidad y generar una cultura de
Autocontrol.
ACERCA DE LA METODOLOGÍA
La metodología suministra directrices genéricas, pero no se
pretende promover la uniformidad en la Administración del
riesgo en todas las entidades.
Será necesario que su diseño e implementación tome en
consideración las diversas necesidades de la entidad.
ACERCA DE LA METODOLOGÍA
Objetivos de
la Entidad
Prácticas
Específicas
(Sector)
METODOLOGÍA
Para su aplicación
debe tener en cuenta:
Estructura
Operaciones
Procesos
Proyectos
Productos
Servicios
QUÉ ES EL RIESGO ?
Posibilidad de que suceda algún evento que
tendrá un impacto sobre los objetivos
institucionales o del proceso. Se expresa en
términos
de
probabilidad
e
impacto
(consecuencias).
ENTORNO
ENTORNO
ENTORNO
ENTIDAD
ENTORNO
ENTORNO
PROCESO PARA LA ADMINISTRACIÓN
DEL RIESGO
Contexto Estratégico Organizacional
Identificación del Riesgo
¿Cómo puede suceder?
Análisis del Riesgo
Determinar Probabilidad
Determinar Consecuencias
Determinar Nivel de Riesgo
Valoración del Riesgo
Identificar controles para el riesgo
Verificar la efectividad de los controles
Establecer tratamiento
Políticas de Administración del Riesgo
Monitoreo y revisión
Comunicación y Consulta
¿Qué puede suceder?
METODOLOGÍA
ANTES DE INICIAR
SE RECOMIENDA ANTES DE INICIAR CON LOS PASOS
EN LA METODOLOGÍA ESTABLECER:
LOS OBJETIVOS
ALCANCE
ESTRATEGIAS
De la entidad y de aquellos procesos donde se aplicará
la metodología para poder iniciar el análisis de
contexto estratégico.
CONTEXTO ESTRATÉGICO ORGANIZACIONAL
Identificación del Riesgo
¿Cómo puede suceder?
Análisis del Riesgo
Determinar Probabilidad
Determinar Consecuencias
Determinar Nivel de Riesgoo
Valoración del Riesgo
Identificar controles para el riesgo
Verificar la efectividad de los controles
Establecer tratamiento
Políticas de Administración del Riesgo
Monitoreo y revisión
Comunicación y Consulta
¿Qué puede suceder?
1. CONTEXTO ESTRATÉGICO
CONTEXTO ESTRATÉGICO
Define las condiciones internas de la
entidad y las relaciones con su entorno.
Factores Externos: Relacionados con los aspectos
sociales, económicos, culturales, de orden público,
políticos, legales y/o cambios tecnológicos, estos se
analizan con relación a la razón de ser de la entidad.
Factores Internos: Se basa en un análisis de la situación
actual de la entidad, basados en la evaluación del
ambiente de control, los procesos, la planeación, los
sistemas de información, los recursos económicos, el
talento humano entre otros.
EJEMPLO APLICADO
PROCESO: GESTIÓN ADMINISTRATIVA
OBJETIVO: Determinar, administrar y proporcionar
durante cada vigencia fiscal los bienes y servicios para el
cumplimiento de la misión institucional; así como,
mantener y conservar la infraestructura necesaria para
lograr una mejor prestación del servicio, de acuerdo con
la normatividad vigente en la materia.
CONTEXTO ESTRATÉGICO
PROCESO:
OBJETIVO:
FACTORES
EXTERNOS
CAUSAS
FACTORES
INTERNOS
CAUSAS
Una vez realizado el análisis
Defina porqué se genera el riesgo?
CONTEXTO
ESTRATÉGICO
Interno y externo de la entidad
PROCESO: GESTIÓN ADMINISTRATIVA
Determinar, administrar y proporcionar durante cada vigencia fiscal los bienes y servicios para
el cumplimiento de la misión institucional…
FACTORES
EXTERNOS
Normatividad
CAUSAS
Cambios
normativos
frecuentes en los temas
relacionados con el proceso.
FACTORES
INTERNOS
Talento humano
Procedimientos
Demoras en la respuesta de
comunicaciones enviadas a
Relación
con
otras
otras entidades necesarias
entidades o contratistas.
para actividades propias del
proceso.
CAUSAS
Desconocimiento
de
normatividad
aplicada
proceso.
la
al
Inoportunidad en la entrega de
los estudios previos a la
contratación y deficiencias en
su contenido.
Infraestructura
Falta de recursos humanos,
físicos y financieros.
Planeación
Institucional
- Deficiente identificación y
descripción de las necesidades
de bienes y servicios por parte
de las Áreas.
2. IDENTIFICACIÓN DEL RIESGO
CONTEXTO ESTRATÉGICO ORGANIZACIONAL
Identificación del Riesgo
¿Cómo puede suceder?
Análisis del Riesgo
Determinar Probabilidad
Determinar Consecuencias
Determinar Nivel de Riesgoo
Valoración del Riesgo
Identificar controles para el riesgo
Verificar la efectividad de los controles
Establecer tratamiento
Políticas de Administración del Riesgo
Monitoreo y revisión
Comunicación y Consulta
¿Qué puede suceder?
IDENTIFICACIÓN DEL RIESGO
La identificación del riesgo se realiza determinando las
causas, con base en los factores internos y/o externos
analizados para la entidad, y que pueden afectar el
logro de los objetivos.
Es importante centrarse en los riesgos más significativos
para la entidad relacionados con los objetivos de los
procesos y los objetivos institucionales
Una vez identificadas las causas, identifique el riesgo.
Priorizar y escoger 3 ó 4 que sean los mas
PROCESO:
representativos para el logro de los objetivos
OBJETIVO:
CAUSAS
RIESGO
Preguntas claves para la
identificación del riesgo:
¿Qué puede suceder?
¿Cómo puede suceder?
Es importante observar que el
proceso de identificación del
riesgo es posible realizarlo a
partir de varias causas que
pueden estar relacionadas.
DESCRIPCIÓN
CONSECUENCIAS
POTENCIALES
Consecuencias de la ocurrencia del riesgo sobre los
objetivos de la entidad; generalmente se dan sobre las
personas o los bienes materiales o inmateriales con
efectos muy importantes como:
Daños físicos
fallecimientos
Sanciones
pérdidas económicas
Pérdida de información
pérdida de bienes
Interrupción del servicio
daño ambiental
Pérdida de imagen
pérdida de credibilidad
PROCESO: GESTIÓN ADMINISTRATIVA
OBJETIVO: Determinar, administrar y proporcionar durante cada vigencia fiscal los bienes y
servicios para el cumplimiento de la misión institucional…
CAUSAS
RIESGO
Incumplimiento de
- Inoportunidad en la entrega las
disposiciones
de los estudios previos a la
legales relacionadas
contratación y deficiencias en
con
la gestión
su contenido.
contractual
- Deficiente identificación y
descripción
de
las
necesidades de bienes y
servicios por parte de las
Áreas.
No contar con los
bienes y servicios
necesarios para la
gestión
institucional.
DESCRIPCIÓN
Que los funcionarios de la
entidad responsables de la
adquisición de los bienes y
servicios requeridos
(Incluidos Supervisores y/o
Interventores) incumplan
las disposiciones legales,
políticas de operación,
procesos
y
procedimientos,
establecidos para cada
una de las etapas de la
gestión contractual.
Que los bienes y
servicios
que
requieren los procesos
para el cumplimiento
de su gestión no estén
disponibles.
CONSECUENCIAS
POTENCIALES
Investigaciones.
Sanciones disciplinarias y
fiscales.
Demandas
- Ineficiente uso de los
recursos físicos.
- Reprocesos y desgaste
administrativo.
- No conformidades.
CLASIFICACIÓN DEL RIESGO
Durante el proceso de identificación del riesgo, es
posible hacer una clasificación de los mismos, con el fin
de establecer con mayor facilidad el análisis de impacto,
considerado en el siguiente paso del proceso sobre
análisis del riesgo.
Se consideran los siguientes:
CLASIFICACIÓN DEL RIESGO
FINANCIEROS
OPERATIVOS
LEGALES
IMAGEN
TECNOLOGÍA
ESTRATÉGICOS
TABLAS PARA DETERMINAR TIPOS DE IMPACTO
Las tablas propuestas representan los impactos de
mayor ocurrencia en las entidades del Estado, no
obstante cada entidad puede incluir otros tipos de
impacto según su particularidad.
Para determinar el impacto se pueden utilizar las
siguientes tablas que representan los temas en que
suelen impactar la ocurrencia de los riesgos y se
asocian con la clasificación del riesgo, relacionado
con las consecuencias potenciales del riesgo
identificado.
CLASIFICACIÓN DEL RIESGO
(EJEMPLO APLICADO)
PROCESO: GESTIÓN ADMINISTRATIVA
OBJETIVO: Determinar, administrar y proporcionar durante cada
vigencia fiscal los bienes y servicios para el cumplimiento de la
misión institucional; así como, mantener y conservar la infraestructura
necesaria para lograr una mejor prestación del servicio, de acuerdo
con la normatividad vigente en la materia.
LEGALES
OPERATIVOS
CLASIFICACIÓN DEL RIESGO
TIPO DE
IMPACTO
INSIGNIFICANTE
(1)
MENOR
(2)
Paro
Operativo
Legal
en
Ajustes
a
una
actividades
actividad concreta
dentro
proceso.
de
Multas
de
un
proceso.
MODERADO
(3)
MAYOR
(4)
las Paro en las
actividades de
Intermitencia
un más de dos
en el servicio
proceso.
Demanda
Investigación
disciplinaria
CATASTRÓFICO
(5)
Parto total del
servicio
Investigación Intervenciónfiscal
Sanción
3. ANÁLISIS DEL RIESGO
CONTEXTO ESTRATÉGICO ORGANIZACIONAL
Identificación del Riesgo
¿Cómo puede suceder?
Análisis del Riesgo
Determinar Probabilidad
Determinar Consecuencias
Determinar Nivel de Riesgo
Valoración del Riesgo
Identificar controles para el riesgo
Verificar la efectividad de los controles
Establecer tratamiento
Políticas de Administración del Riesgo
Monitoreo y revisión
Comunicación y Consulta
¿Qué puede suceder?
ANÁLISIS DEL RIESGO
Busca establecer la probabilidad de
ocurrencia de los riesgos y el
impacto de sus consecuencias,
calificándolos y evaluándolos, lo
determinará el nivel de riesgo.
ANÁLISIS Y EVALUACION DEL RIESGO
PROBABILIDAD
DE OCURRENCIA
RIESGO
FRECUENCIA
(# eventos en un periodo)
FACTIBILIDAD
(Hecho que no se ha
presentado pero es posible
que se dé)
IMPACTO
RESULTADOS
CUANTITATIVOS O
CUALITATIVOS
TABLA PARA DETERMINAR PROBABILIDAD
NIVEL
DESCRIPTOR
DESCRIPCIÓN
1
Raro
El evento puede ocurrir solo en
circunstancias excepcionales.
2
Improbable
El evento puede ocurrir en algún
momento
3
Posible
El evento podría ocurrir en algún
momento
4
Probable
5
Casi Seguro
FRECUENCIA
No
se
ha
presentado en los
últimos 5 años.
Al menos de 1 vez
en los últimos 5
años.
Al menos de 1 vez
en los últimos 2
años.
Al menos de 1 vez
en el último año.
El evento probablemente ocurrirá
en la mayoría de las circunstancias
Se espera que el evento ocurra en Más de 1 vez al
la mayoría de las circunstancias
año.
TABLA PARA DETERMINAR IMPACTO
Bajo el criterio de Impacto, el riesgo se debe medir a
partir de las siguientes especificaciones:
NIVEL
DESCRIPTOR
1
Insignificante
2
Menor
3
Moderado
4
Mayor
5
Catastrófico
DESCRIPCIÓN
Si el hecho llegara a presentarse, tendría
consecuencias o efectos mínimos sobre la entidad.
Si el hecho llegara a presentarse, tendría bajo impacto
o efecto sobre la entidad.
Si el hecho llegara a presentarse, tendría medianas
consecuencias o efectos sobre la entidad.
Si el hecho llegara a presentarse, tendría altas
consecuencias o efectos sobre la entidad
Si el hecho llegara a presentarse, tendría desastrosas
consecuencias o efectos sobre la entidad.
MATRIZ DE EVALUACIÓN
IMPACTO
PROBABILIDAD
Insignificante
(1)
Menor
(2)
Moderado
(3)
Mayor
(4)
Catastrófico
(5)
Raro (1)
B
B
M
A
A
Improbable (2)
B
B
M
A
E
Posible (3)
B
M
A
E
E
Probable (4)
M
A
A
E
E
Casi Seguro (5)
A
A
E
E
E
B: Zona de riesgo Baja: Asumir el riesgo
M: Zona de riesgo Moderada: Asumir el riesgo, Reducir el riesgo
A: Zona de riesgo Alta: Reducir el riesgo, Evitar, Compartir o Transferir
E: Zona de riesgo Extrema: Reducir el riesgo, Evitar, Compartir o Transferir
TABLA PARA DETERMINAR PROBABILIDAD
NIVEL
DESCRIPTOR
DESCRIPCIÓN
1
Raro
El evento puede ocurrir solo en
circunstancias excepcionales.
2
Improbable
El evento puede ocurrir en algún
momento
3
Posible
El evento podría ocurrir en algún
momento
4
Probable
5
Casi Seguro
FRECUENCIA
No
se
ha
presentado en los
últimos 5 años.
Al menos de 1 vez
en los últimos 5
años.
Al menos de 1 vez
en los últimos 2
años.
Al menos de 1 vez
en el último año.
El evento probablemente ocurrirá
en la mayoría de las circunstancias
Se espera que el evento ocurra en Más de 1 vez al
la mayoría de las circunstancias
año.
CLASIFICACIÓN DEL RIESGO
TIPO DE
IMPACTO
INSIGNIFICANTE
(1)
MENOR
(2)
Paro
Operativo
Legal
en
Ajustes
a
una
actividades
actividad concreta
dentro
proceso.
de
Multas
de
un
proceso.
MODERADO
(3)
MAYOR
(4)
las Paro en las
actividades de
Intermitencia
un más de dos
en el servicio
proceso.
Demanda
Investigación
disciplinaria
CATASTRÓFICO
(5)
Parto total del
servicio
Investigación Intervenciónfiscal
Sanción
EVALUACIÓN DEL RIESGO
(EJEMPLO APLICADO)
IMPACTO
PROBABILIDAD
Insignificante
(1)
Menor
(2)
Moderado
(3)
Mayor
(4)
Catastrófico
(5)
Raro (1)
B
B
M
A
A
Improbable (2)
B
B
M
A
E
Posible (3)
B
M
A
E
E
Probable (4)
M
A
A
E
E
Casi Seguro (5)
A
A
E
E
E
B: Zona de riesgo Baja: Asumir el riesgo
M: Zona de riesgo Moderada: Asumir el riesgo, Reducir el riesgo
A: Zona de riesgo Alta: Reducir el riesgo, Evitar, Compartir o Transferir
E: Zona de riesgo Extrema: Reducir el riesgo, Evitar, Compartir o Transferir
EVALUACIÓN DEL RIESGO
(EJEMPLO APLICADO)
PROCESO: GESTION ADMINISTRATIVA
OBJETIVO: Determinar, administrar y proporcionar durante cada vigencia fiscal los bienes y
servicios para el cumplimiento de la misión institucional; así como, mantener y conservar la
infraestructura necesaria para lograr una mejor prestación del servicio, de acuerdo con la
normatividad vigente en la materia.
RIESGO
Probabilidad
Incumplimiento de las
disposiciones
legales
relacionadas con
la
gestión contractual
Impacto
Tipo
Impacto
Evaluación
Zona de
Riesgo
Medidas de
Respuesta
4
Legal
Extrema
Reducir el Riesgo
CALIFICACIÓN
3
ANÁLISIS Y EVALUACIÓN DEL RIESGO
RIESGO INHERENTE
Es aquel al que se enfrenta una
entidad en ausencia de acciones de
la Dirección para modificar su
probabilidad o impacto.
4. VALORACIÓN DEL RIESGO
CONTEXTO ESTRATÉGICO ORGANIZACIONAL
Identificación del Riesgo
¿Cómo puede suceder?
Análisis del Riesgo
Determinar Probabilidad
Determinar Consecuencias
Determinar Nivel de Riesgo
Valoración del Riesgo
Identificar controles para el riesgo
Verificar la efectividad de los controles
Establecer tratamiento
Políticas de Administración del Riesgo
Monitoreo y revisión
Comunicación y Consulta
¿Qué puede suceder?
VALORACIÓN DEL RIESGO
Es el producto de confrontar los resultados de la
evaluación del riesgo con los controles
identificados, esto se hace con el objetivo de
establecer prioridades para su manejo.
Para adelantar esta etapa se hace necesario tener
claridad sobre los puntos de control existentes en
los diferentes procesos, los cuales permiten
obtener información para efectos de tomar
decisiones.
EJEMPLOS TIPOS DE CONTROL
Controles
de
Gestión
Controles
Operativos
Controles Legales
Políticas claras aplicadas
Seguimiento al plan estratégico
operativo
Indicadores de gestión
Tableros de control
Seguimiento a cronograma
Evaluación del desempeño
Informes de gestión
Monitoreo de riesgos
Conciliaciones
Consecutivos
Verificación de firmas
Listas de chequeo
Registro controlado
Segregación de funciones
Niveles de autorización
Custodia apropiada
Procedimientos formales aplicados
Pólizas
Seguridad física
Contingencias y respaldo
Personal capacitado
Aseguramiento y calidad
Normas claras y aplicadas
Control de términos
y
ANÁLISIS DE CONTROLES
Es importante que la valoración de los controles
incluya un análisis de tipo cuantitativo, que permita
saber con exactitud cuántas posiciones dentro de la
Matriz de Evaluación es posible desplazarse, a fin de
bajar el nivel de riesgo al que está expuesto el proceso
analizado .
PROBABILIDAD DESPLAZA CASILLAS HACIA ARRIBA
Los controles luego de su valoración permiten
desplazarse en la matriz, de acuerdo a si cubren
probabilidad o impacto:
IMPACTO DESPLAZA CASILLAS HACIA LA IZQUIERDA
IMPACTO
PROBABILIDAD
Insignificante
(1)
Menor
(2)
Moderado
(3)
Mayor
(4)
Catastrófico
(5)
Raro (1)
B
B
M
A
A
Improbable (2)
B
B
M
A
E
Posible (3)
B
M
A
E
E
Probable (4)
M
A
A
E
E
Casi cierto (5)
A
A
E
E
E
ANÁLISIS DE CONTROLES
PARÁMETROS
CRITERIOS
TIPO DE CONTROL
Probabilidad
Impacto
PUNTAJES
Posee una herramienta para
ejercer el control.
Existen
manuales,
instructivos
o
Herramientas para ejercer el
procedimientos
para
el
control
manejo de la herramienta
En el tiempo que lleva la
herramienta ha demostrado
ser efectiva.
Están
definidos
los
responsables
de
la
ejecución del control y del
seguimiento.
Seguimiento al control
La frecuencia de ejecución
del control y seguimiento es
adecuada.
TOTAL
RANGOS DE CALIFICACIÓN
DE LOS CONTROLES
15
15
30
15
25
100
DEPENDIENDO SI EL CONTROL AFECTA PROBABILIDAD
O IMPACTO DESPLAZA EN LA MATRIZ DE
CALIFICACIÓN, EVALUACIÓN Y RESPUESTA A LOS
RIESGOS
CUADRANTES A
CUADRANTES A DISMINUIR
DISMINUIR EN EL
EN LA PROBABILIDAD
IMPACTO
Entre 0-50
0
0
Entre 51-75
1
1
Entre 76-100
2
2
PROCESO: GESTION ADMINISTRATIVA
OBJETIVO: Determinar, administrar y proporcionar durante cada vigencia fiscal los bienes y servicios para el
cumplimiento de la misión institucional; así como, mantener y conservar la infraestructura necesaria para
lograr una mejor prestación del servicio, de acuerdo con la normatividad vigente en la materia.
VALORACIÓN
Incumplimiento de las
disposiciones legales
relacionadas con la
gestión contractual
3
Impacto
RIESGO
Probabilidad
CALIFICACIÓN
4
CONTROLES
Evaluación en Comité
de contratación de
acuerdo al tipo de
contratación
Tipo Control
Prob. o Impacto
PUNTAJE
Herramientas
para ejercer
el control
PUNTAJE
Seguimiento
al control
Puntaje
Final
Probabilidad
60
15
75
(1 casilla en probabildad)
Esta valoración está relacionada con los cuadros de
análisis para al calificación objetiva de controles.
ANÁLISIS DESPUES DE CONTROLES
IMPACTO
PROBABILIDAD
Insignificante
(1)
Menor
(2)
Moderado
(3)
Mayor
(4)
Catastrófico
(5)
Raro (1)
B
B
M
A
A
Improbable (2)
B
B
M
A
E
Posible (3)
B
M
A
E
E
Probable (4)
M
A
A
E
E
Casi Seguro (5)
A
A
E
E
E
B: Zona de riesgo Baja: Asumir el riesgo
M: Zona de riesgo Moderada: Asumir el riesgo, Reducir el riesgo
A: Zona de riesgo Alta: Reducir el riesgo, Evitar, Compartir o Transferir
E: Zona de riesgo Extrema: Reducir el riesgo, Evitar, Compartir o Transferir
VALORACIÓN DEL RIESGO
RIESGO RESIDUAL
Es aquel que permanece después que
la Dirección desarrolle sus respuestas
a los riesgos (controles).
Es el remanente una vez se ha
implantado de manera eficaz las
acciones definidas para mitigar el
riego inherente.
ELABORACIÓN DEL MAPA DE RIESGOS
El mapa de riesgos es una representación final de
todo el proceso llevado a cabo para el
levantamiento de los riesgos frente a un proceso,
proyecto o programa.
Un mapa de riesgos puede adoptar la forma de un
cuadro resumen que muestre cada uno de los pasos
llevados a cabo para su levantamiento.
ELABORACIÓN DEL MAPA DE RIESGOS
Para dar respuestas a los riesgos y aplicar las
directrices contempladas en el mapa, se requiere:
Ser entendido y sentido como
propio por la Dirección.
Estar integrado a los procesos de
la Entidad.
Ser comunicado al personal.
PROCESO: GESTION ADMINISTRATIVA
OBJETIVO: Determinar, administrar y proporcionar durante cada vigencia fiscal los bienes y servicios para el cumplimiento de la misión institucional…
EVALUACIÓN
RIESGO
CONTROLES
Impacto
Impacto
Probabilidad
RIESGO
Probabilidad
NUEVA
CALIFICACIÓN
CALIFICACIÓN
NUEVA
EVALUACIÓN
ACCIONES
RESP.
INDICADOR
SEGUIMIENTO AL MAPA DE RIESGOS
ACCIONES PLANTEADAS DENTRO DEL MAPA
Información de base para alimentar los
indicadores.
Productos finales como informes se
seguimiento y otro tipo de evidencias
del proceso.
INDICADORES DE GESTIÓN
5. POLÍTICA DE
ADMINISTRACIÓN DEL RIESGO
CONTEXTO ESTRATÉGICO ORGANIZACIONAL
Identificación del Riesgo
¿Cómo puede suceder?
Análisis del Riesgo
Determinar Probabilidad
Determinar Consecuencias
Determinar Nivel de Riesgo
Valoración del Riesgo
Identificar controles para el riesgo
Verificar la efectividad de los controles
Establecer tratamiento
Políticas de Administración del Riesgo
Monitoreo y revisión
Comunicación y Consulta
¿Qué puede suceder?
POLÍTICAS DE ADMINISTRACIÓN DEL RIESGO
Transmite la posición de la Dirección respecto al
manejo de los riesgos y fija lineamientos sobre
los conceptos de calificación de riesgos, las
prioridades de respuesta, las forma de
administrarlos y proteger los recursos.
Está a cargo del Representante Legal de la entidad y el
Comité de Coordinación de Control Interno y se basa en el
mapa de riesgos construido durante el proceso; la política
señala qué debe hacerse para efectuar el control y su
seguimiento, basándose en los planes estratégicos y los
objetivos institucionales o por procesos.
POLÍTICAS DE ADMINISTRACIÓN DEL RIESGO
Deben contener para su formulación:
Los objetivos a lograr.
Las Estrategias para desarrollar las
políticas en el corto, mediano y
largo plazo.
El seguimiento y Evaluación a la
implementación de las políticas.
COMUNICACIÓN Y CONSULTA
CONTEXTO ESTRATÉGICO ORGANIZACIONAL
Identificación del Riesgo
¿Cómo puede suceder?
Análisis del Riesgo
Determinar Probabilidad
Determinar Consecuencias
Determinar Nivel de Riesgo
Valoración del Riesgo
Identificar controles para el riesgo
Verificar la efectividad de los controles
Establecer tratamiento
Políticas de Administración del Riesgo
Monitoreo y revisión
Comunicación y Consulta
¿Qué puede suceder?
COMUNICACIÓN Y CONSULTA
La comunicación y consulta con las partes involucradas
tanto internas como externas debería tener lugar
durante todas las etapas (pasos dentro de la
metodología) del proceso para la administración del
riesgo.
Esta comunicación es importante para garantizar que
aquellos responsables de la implementación de las
acciones dentro de cada uno de los procesos entiendan
las bases sobre las cuales se toman las decisiones y las
razones por las cuales se requieren dichas acciones.
MONITOREO Y REVISIÓN
CONTEXTO ESTRATÉGICO ORGANIZACIONAL
Identificación del Riesgo
¿Cómo puede suceder?
Análisis del Riesgo
Determinar Probabilidad
Determinar Consecuencias
Determinar Nivel de Riesgo
Valoración del Riesgo
Identificar controles para el riesgo
Verificar la efectividad de los controles
Establecer tratamiento
Políticas de Administración del Riesgo
Monitoreo y revisión
Comunicación y Consulta
¿Qué puede suceder?
MONITOREO Y REVISIÓN
Una vez diseñado y validado el mapa de riesgos, es
necesario monitorearlo teniendo en cuenta que
estos nunca dejan de representar una amenaza
para la organización.
MONITOREO Y REVISIÓN
EL MONITOREO DEBE ESTAR A CARGO DE:
Los responsables de los procesos que aplican y
sugieren los correctivos y ajustes necesarios para
asegurar un efectivo manejo del riesgo
La Oficina de Control Interno que comunica y
presenta luego del seguimiento y evaluación sus
resultados y propuestas de mejoramiento y
tratamiento a las situaciones detectadas.
PLAN ANTICORRUPCIÓN Y DE ATENCIÓN AL
CIUDADANO
Ley 1474 de 2011 o Estatuto Anticorrupción
Artículo 73. “Plan Anticorrupción y de Atención al
Ciudadano” Cada entidad del orden nacional,
departamental y municipal deberá elaborar anualmente
una estrategia de lucha contra la corrupción y de atención
al ciudadano. Dicha estrategia contemplará, entre otras
cosas, el mapa de riesgos de corrupción en la respectiva
entidad, las medidas concretas para mitigar esos riesgos,
las estrategias antitrámites y los mecanismos para
mejorar la atención al ciudadano.
COMPONENTES
Mapas de riesgos de corrupción.
Racionalización de Trámites
Rendición de Cuentas
Servicio al ciudadano
COMPONENTE 1: METODOLOGÍA PARA LA IDENTIFICACIÓN DE
RIESGOS DE CORRUPCIÓN Y ACCIONES PARA SU MANEJO
Este componente establece los criterios generales para la
identificación y prevención de los riesgos de corrupción de las
entidades, permitiendo a su vez la generación de alarmas y la
elaboración de mecanismos orientados a prevenirlos o evitarlos.
RIESGO DE CORRUPCIÓN
Posibilidad de que por acción u omisión, mediante el uso
indebido del poder, de los recursos o de la información, se
lesionen los intereses de una entidad y en consecuencia, del
Estado, para la obtención de un beneficio particular.
ELEMENTOS CLAVE PARA SU IDENTIFICACIÓN
PROCESOS SUSCEPTIBLES DE ACTOS DE CORRUPCIÓN
Direccionamiento Estratégico
Financiero
Contratación
Información y Documentación
ELEMENTOS CLAVE PARA SU IDENTIFICACIÓN
PROCESOS SUSCEPTIBLES DE ACTOS DE CORRUPCIÓN
Investigación y Sanción
Actividades Regulatorias
Trámites y Servicios Externos
Reconocimiento de Derechos
SEGUIMIENTO Y CONTROL
Elaboración Plan
Anticorrupción
• Jefe de Planeación en coordinación con los
responsables de los procesos o procedimientos
Consolidación
• Jefe de Planeación de la entidad o quien haga
sus veces.
Publicación
• Entidad designa responsable.
Mecanismo de
• Oficina de Control Interno realiza seguimiento.
seguimiento y control
MAPA DE RIESGOS DE CORRUPCIÓN
Entidad:
Misión:
IDENTIFICACIÓN
ANÁLISIS
Riesgo
Proceso y
objetivo
Causas
No.
Descripción
MEDIDAS DE
MITIGACIÓN
SEGUIMIENTO
VALORACIÓN
Probabilidad de
materialización.
Tipo de
control
Administración
del riesgo
Acciones
Responsa
ble
Indicador
Departamento Administrativo de
la Función Pública DAFP
www.dafp.gov.co
E-mail: [email protected]