Informe de Auditoría a la Administración de Riesgos · 2019-03-21 · de riesgos del DAFP, la...
Transcript of Informe de Auditoría a la Administración de Riesgos · 2019-03-21 · de riesgos del DAFP, la...
-
Informe de Auditoría a la Administración de Riesgos
Bogotá D.C. Febrero de 2019
-
P á g i n a 2 | 27
INFORME DE AUDITORIA INTERNA DE GESTIÓN
Proceso asociado: Evaluación, Control y Mejoramiento
TABLA DE CONTENIDO
1. OBJETIVO DE LA AUDITORIA ------------------------------------------------------------------ 3 1.1 Objetivos Específicos ---------------------------------------------------------------------------- 3
2. ALCANCE DE LA AUDITORIA ------------------------------------------------------------------- 3 3. PROCESO AUDITADO ---------------------------------------------------------------------------- 3 4. MARCO LEGAL O ANTECEDENTES --------------------------------------------------------- 3
4.1 Antecedentes --------------------------------------------------------------------------------------- 3
4.2 Marco Legal --------------------------------------------------------------------------------------- 4
5. ASPECTOS GENERALES ------------------------------------------------------------------------ 5 5.1 Términos del Informe ---------------------------------------------------------------------------- 5
5.2 Responsabilidad ----------------------------------------------------------------------------------- 5
5.3 Plan General de Auditoria ----------------------------------------------------------------------- 5
6. DESARROLLO DE LA AUDITORIA ------------------------------------------------------------ 5 7. EVALUACIÓN DE LAS MEJORAS ------------------------------------------------------------ 26 8. RESULTADOS DE LA AUDITORIA ----------------------------------------------------------- 26
8.1 Aspectos Conformes -------------------------------------------------------------------------------- 26
8.2 No Conformidades Reales -------------------------------------------------------------------- 27
9. CONCLUSIONES DE LA AUDITORIA ------------------------------------------------------------ 27
-
P á g i n a 3 | 27
INFORME DE AUDITORIA INTERNA DE GESTIÓN
Proceso asociado: Evaluación, Control y Mejoramiento
1. OBJETIVO DE LA AUDITORIA
Evaluar que la política y acciones definidas en la gestión del riesgo aseguren la administración apropiada
de los riesgos institucionales, de corrupción y la operatividad del Sistema de Control Interno.
1.1 Objetivos Específicos
Evaluar el mapa de riesgos de la entidad
Revisar la aplicación de la metodología de gestión del riesgo establecida en los Lineamientos para
la Administración del Riesgo de la entidad.
Revisar que los riesgos identificados por los procesos, dispongan de acciones para su tratamiento
alineadas con las estrategias y objetivos de la entidad.
Revisar que las acciones de control sean adecuadas y efectivas para tratar los riesgos.
Verificar que los riesgos sean monitoreados y evaluados.
Sugerir correctivos y ajustes necesarios para asegurar un manejo efectivo de los riesgos.
2. ALCANCE DE LA AUDITORIA
La evaluación se realizará a la gestión del riesgo institucional y de corrupción, realizada durante la
vigencia 2018.
3. PROCESO AUDITADO
Proceso Líder: Direccionamiento Estratégico.
4. MARCO LEGAL O ANTECEDENTES
4.1 Antecedentes
El Departamento Administrativo de la Presidencia de la República - DAPRE, estableció los lineamientos
para la Administración del Riesgo L-DE-01 como una política de gestión por parte de la Alta Dirección,
mediante la cual da a conocer la metodología para la identificación, análisis, valoración, manejo y
monitoreo de los riesgos y hace especial énfasis, sobre la importancia de evaluar los riesgos como una
parte fundamental en el proceso de planificación.
El Departamento Administrativo de la Presidencia de la República, ha gestionado sus riesgos a través del
Sistema Integrado de Gestión - SIGEPRE donde viene trabajando en la identificación, análisis y
valoración de los riesgos asociados a los procesos, dando cumplimiento a la política de Administración
de Riesgos de la Entidad, Modelo Integrado de Planeación y de Gestión MIPG, la Guía de Administración
de riesgos del DAFP, la norma Técnica NTC-ISO 31000, la ISO 9001:2015 y la Guía para la Gestión de
Riesgo de Corrupción de la Secretaría de Transparencia, los Lineamiento para la Administración de
Riesgos, en pro del aseguramiento de los resultados institucionales y del mejoramiento continuo de la
entidad.
La Oficina de Control Interno en su rol de evaluador realizó la Evaluación a la Política para la
Administración del Riesgo mediante el ejercicio de Auditoría Interna, con el fin de proporcionar a la Alta
-
P á g i n a 4 | 27
INFORME DE AUDITORIA INTERNA DE GESTIÓN
Proceso asociado: Evaluación, Control y Mejoramiento
Dirección un resultado objetivo frente a la efectiva aplicación de la política y la eficiencia de sus controles,
expresados en asegurar la administración apropiada de los riesgos institucionales y la eficaz operatividad
del Sistema de Control Interno.
4.2 Marco Legal
Ley 87 de 1993, por la cual se establecen normas para el ejercicio del control interno en la entidades
y organismos del estado y se dictan otras disposiciones.
Decreto 1537 de 2001, por el cual se reglamenta parcialmente la Ley 87 de 1993 en cuanto a
elementos técnicos y administrativos que fortalezcan el sistema de control interno de las entidades
y organismos del Estado.
Ley 1474 de 2011, Estatuto Anticorrupción.
Ley 1753 de 2015 Plan Nacional de Desarrollo
Decreto 1081 de 2015, señala la metodología Estrategias para la construcción del Plan
Anticorrupción y de Atención al Ciudadano.
Guía para la gestión de riesgo de corrupción 2015, Secretaría de Transparencia.
Decreto 1083 de 2015, adopta la actualización del MECI.
Decreto 1499 de 2017, Modelo Integral de Planeación y Gestión.
Guía para la Administración del Riesgo de la Función Pública.
ISO 31000 Gestión del Riesgo, principios y directrices.
ISO 9001:2015 Norma Técnica de Calidad
Manual de Buen Gobierno Presidencia de la República
Manual del Sistema Interno de Gestión de la Presidencia de la República
Sistema de Gestión Seguridad y Salud en el Trabajo y Medio Ambiente SGSST-MA
Manual de Políticas de Seguridad de la Información.
Lineamientos para la Administración de Riesgos DAPRE
-
P á g i n a 5 | 27
INFORME DE AUDITORIA INTERNA DE GESTIÓN
Proceso asociado: Evaluación, Control y Mejoramiento
5. ASPECTOS GENERALES
5.1 Términos del Informe
Se utilizará para el presente Informe, los términos y definiciones establecidos en el Manual de Auditoría
Interna (M-EM-01), los cuales deben ser tenidos en cuenta para su entendimiento y posterior formulación
de los planes de mejoramiento, a saber:
No Conformidad Real – NCR: Incumplimiento de un requisito legal, técnico, de organización o cliente. Se
constituye cuando existe evidencia objetiva del incumplimiento.
Oportunidad de Mejora - OM: Acción para mejorar un procedimiento, proceso o actividad. Se constituye
como una Recomendación.
5.2 Responsabilidad
Es responsabilidad del equipo auditor producir un informe objetivo que refleje los resultados del proceso
auditor, en cumplimento de los objetivos propuestos para la misma.
5.3 Plan General de Auditoria
El ejercicio de Auditoría Interna a la Política para la Administración del Riesgo, se comunicó al proceso a
través del Plan General de Auditoría con código MEM19-00000742 del 22 de enero de 2019, con el fin de
dar a conocer el objetivo, alcance y actividades a desarrollar durante la ejecución de la auditoría.
6. DESARROLLO DE LA AUDITORIA
Esta Auditoria se desarrolló teniendo en cuenta el Modelo Integrado de Planeación y Gestión (MIPG)
donde se definen siete dimensiones, las cuales articulan las 16 políticas que contempla este modelo, una
de las dimensiones se llama “Control Interno” el cual se integra a través del MECI constituyéndose en el
factor fundamental para garantizar de manera razonable el cumplimiento de los objetivos institucionales,
también se evalúa y controla la gestión de la entidad generando resultados que atiendan los planes de
desarrollo y resuelvan las necesidades y problemas de los ciudadanos, con integridad y calidad en el
servicio.
La Evaluación se llevó a cabo bajo los Lineamientos para la Administración de Riesgos L-DE-01 que
tiene la entidad el cual se encuentra actualizado, se observó que la Presidencia de la República viene
identificando y gestionando los riesgos asociados al cumplimiento de los planes, programas, proyectos,
metas y objetivos institucionales, donde se evidencia la Integración con los Sistemas de Seguridad y
Salud en el Trabajo y con el Sistema de Seguridad de la Información, también con los Riesgos
Contractuales y los Riesgos de Corrupción donde la entidad asegura la ejecución de los planes y el
logro de los objetivos para cumplir con la Misión y la Visión.
-
P á g i n a 6 | 27
INFORME DE AUDITORIA INTERNA DE GESTIÓN
Proceso asociado: Evaluación, Control y Mejoramiento
El DAPRE gestiona los riesgos a través del monitoreo permanente y aplicación de los controles
establecidos para su mitigación, dicha gestión se realiza a través del Sistema Integrado de Gestión -
SIGEPRE, dando cumplimiento a la política de Administración de Riesgos, a la política del SSST y a la
política de SGSI, como también a lo establecido por Colombia Compra Eficiente respecto a los riesgos
que surgen en la contratación estatal.
Uno de los principios a tener en cuenta es el enfoque basado en procesos, el cual se sustenta en los
criterios básicos de Gestión de Calidad establecidos en la Norma ISO 9001:2015. La aplicación de este
principio propicia una gestión articulada al interior de la entidad, e implica la aplicación de controles a
cada uno de los procesos y la disposición de recursos para alcanzar los resultados esperados con el
máximo de eficiencia.
El DAPRE ha definido su estructura por procesos a través del Mapa de Procesos, el cual se encuentra
en el SIGEPRE y está dividido en tres niveles: Dirección, Misionales y de Soporte.
6.1 Riesgos por Procesos
6.1.1 Procesos de Dirección, donde se definen y aplicar los lineamientos para formular y hacer
seguimiento al direccionamiento estratégico de la entidad en el marco de los objetivos de
política definidos en el Plan Nacional de Desarrollo.
Cuadro No1
Proceso Total
Riesgos Riesgos de Corrupción
Riesgos del SGSI
Riesgos del SSST Riesgos
Contractuales
Direccionamiento Estratégico
6 0 0
Se encuentran en la Matriz de identificación de peligros, valoración de riesgos y determinación de controles de la entidad
Se establecen desde la etapa de la planeación contractual y se analizan desde la realidad específica de cada contratación, contemplando los plazos y contextos de la ejecución, con el objetivo de identificar y cubrir el respectivo riesgo
Evaluación Control y Mejoramiento
4 1 0
Atención al Usuario 6 0 0
Total 16 1 0
Fuente: Modulo Gestión del Riesgo aplicativo SIGEPRE
Matriz 1 Riesgos Participación
Zona de Riesgo Extrema 1 6%
Zona de Riesgo Alta 9 56%
Zona de riesgo Moderado 5 31%
Zona de Riesgo Baja 1 6%
Como se observa en la matriz 1, los procesos de dirección en su análisis después de controles la
probabilidad de ocurrencia y el impacto que puede causar la materialización de los riesgos, se concentra
en un 6% en la zona de riesgo extrema y en un 56% en zona de riesgo alta, lo que nos indica que se
está garantizando el cumplimiento de los objetivos institucionales y las políticas de gobierno.
-
P á g i n a 7 | 27
INFORME DE AUDITORIA INTERNA DE GESTIÓN
Proceso asociado: Evaluación, Control y Mejoramiento
Se Recomienda1 revisar los cambios en la estructura de la Entidad de acuerdo con la nueva
normatividad donde puedan generar nuevos riesgos o modificar los que ya se tienen identificados en
cada proceso.
6.1.2 Procesos Misionales: Donde la entidad cumple con las necesidades de sus clientes, en el
marco de los compromisos previstos en el Plan Nacional de Desarrollo, la misión, visión,
objetivos y funciones generales, estos procesos son:
Cuadro No2
Proceso Total
Riesgos Riesgos de Corrupción
Riesgos del
SGSI Riesgos del SSST Riesgos Contractuales
Gestión de Asuntos Políticos.
29 1 2
Se encuentran en la Matriz de identificación de peligros, valoración de riesgos y determinación de controles de la entidad
Se establecen desde la etapa de la planeación contractual y se analizan desde la realidad específica de cada contratación, contemplando los plazos y contextos de la ejecución, con el objetivo de identificar y cubrir el respectivo riesgo
Gestión Jurídica. 2 0 0
Gestión de: Seguridad, Apoyo Logístico Presidencial y Comunicación y Prensa.
7 1 0
Total 38 2 2
Fuente: Modulo Gestión del Riesgo aplicativo SIGEPRE
Matriz 2 Riesgos Participación
Zona de Riesgo Extrema 2 5%
Zona de Riesgo Alta 9 24%
Zona de riesgo Moderado 19 50%
Zona de Riesgo Baja 8 21%
Se observa en la Matriz2 que 19 de los 38 Riesgos de los procesos misionales después de controles se
encuentran en Zona de Riesgo Moderado lo que equivale al 50% y 9 riesgos se encuentran en Zona de
Riesgo Alta que equivale al 24% esto nos muestra que los controles establecidos en cada riesgos están
bien diseñados, se están monitoreando periódicamente, tienen un responsable y efectivamente estos
mitigan las causas que hacen que el riesgo se materialice, de esta manera garantiza el cumplimiento de
los requisitos del señor presidente y la población beneficiaria y así se cumpla con la misión y la visión de
la Presidencia de la Republica.
6.1.3 Procesos de Soporte: Permite gestionar los recursos humanos, físicos, financieros y
tecnológicos indispensables para el cumplimiento de la misión institucional y el desarrollo
armónico de los demás procesos estos son:
-
P á g i n a 8 | 27
INFORME DE AUDITORIA INTERNA DE GESTIÓN
Proceso asociado: Evaluación, Control y Mejoramiento
Cuadro No3
Proceso Total
Riesgos Entidad
Riesgos de Corrupción
Riesgos del
SGSI Riesgos del SSST
Riesgos Contractuales
Gestión Administrativa 5
Se encuentran en la Matriz de identificación de peligros, valoración de riesgos y determinación de controles de la entidad
Se establecen desde la etapa de la planeación contractual y se analizan desde la realidad específica de cada contratación, contemplando los plazos y contextos de la ejecución, con el objetivo de identificar y cubrir el respectivo riesgo
Gestión Financiera 6 4
Adquisición de Bienes y Servicios 3 1
Gestión Documental 4 1 2
Talento Humano 4 3
Tecnología de Información y Comunicaciones
11 5 7
Total 33 14 9
Fuente: Modulo Gestión del Riesgo aplicativo SIGEPRE
Los riesgos del Proceso de Soporte que son los que aportan al desarrollo armónico de los
demás procesos, de acuerdo a la Matriz3 el 48% se encuentran en Zona de Riesgo Alta y
el 30% se encuentran ubicados en Zona de Riesgo Moderado lo que nos indica que tienen
controles fuertes y bien definidos, se monitorean constantemente y así aseguren el
cumplimiento de los objetivos de los procesos.
6.1.4 Consolidado Riesgos por Proceso Cuadro No 4. Total riesgos por Proceso
Proceso Total Riesgos Entidad
Riesgos de Corrupción
Riesgos del SGSI
Direccionamiento Estratégico 6 0 0
Evaluación Control y Mejoramiento 4 1 0
Atención al Usuario 6 0 0
Gestión de Asuntos Políticos 29 1 2
Gestión Jurídica 2 0 0
Gestión de Seguridad, Apoyo logístico
Presidencial y Comunicación y Prensa
7 0 0
Gestión Administrativa 5 0 0
Gestión Financiera 6 4 0
Adquisición de Bienes y Servicios 3 1 0
Gestión Documental 4 1 2
Talento Humano 4 3 0
Tecnología de Información y
Comunicaciones
11 5 7
Total 87 16 11
Fuente: Modulo Gestión del Riesgo aplicativo SIGEPRE
Matriz 3 Riesgos Participación
Zona de Riesgo Extrema 4 12%
Zona de Riesgo Alta 16 48%
Zona de riesgo Moderado 10 30%
Zona de Riesgo Baja 3 9%
-
P á g i n a 9 | 27
INFORME DE AUDITORIA INTERNA DE GESTIÓN
Proceso asociado: Evaluación, Control y Mejoramiento
En el cuadro No4 vemos que la entidad cuenta con un total de 87 riesgos gestionados de los cuales 16
son riesgos de corrupción, 11 riesgos son del Sistema de Gestión y Seguridad de la Información SGSI,
los riesgos del Sistema de Seguridad y Salud en el Trabajo SSST se encuentran en la Matriz de
identificación de peligros, valoración de riesgos y determinación de controles de la entidad y los riesgos
Contractuales, se establecen desde la etapa de la planeación contractual y se analizan desde la realidad
específica de cada contratación, contemplando los plazos y contextos de la ejecución, con el objetivo de
identificar y cubrir el respectivo riesgo.
En la Matriz4 se observa que del total de riesgos de la Entidad 87 el 39% se encuentran en Zona de
Riesgo Moderado al igual que los que se encuentran en Zona de Riesgo Alta 34 que equivalen al 39%
por lo que podemos concluir que la Entidad tiene asegurada la gestión del riesgo y por lo tanto garantiza
el cumplimiento de los objetivos institucionales y de procesos como se muestra en el siguiente cuadro
donde se ven los resultados de la Presidencia de la República al finalizar la vigencia 2018
M ISIÓN Y
VISIÓN
OB JET IVOS
IN ST IT UC ION A LES
R ESULT A D OS
VIGEN C IA 2018P R OC ESOS OB JET IVOS D E LOS P R OC ESOS
R ESULT A D OS
VIGEN C IA 2018
1. Coordinar con las entidades
del gobierno y el sector privado
los temas de infraestructura y
competitividad para el desarro llo
del país.
100%
2. Fortalecer los programas y
proyectos sociales con enfoque
diferencial
97,32%
3. Fortalecer la institucionalidad
en materia de seguridad,
derechos humanos, paz y post-
conflicto a nivel nacional y
regional
100%
4. Promover el desarro llo y
seguimiento de los temas
estratégicos, compromisos del
Gobierno Nacional, la eficiencia
y la transparencia administrativa.
99,85%
Gestión Jurídica
Conceptuar sobre la producción de actos
normativos y adelantar la defensa de la
entidad en los procesos y acciones
judiciales en que haga parte para garantizar la
seguridad jurídica del Presidente de la
República y del Departamento
Administrativo de la Presidencia de la
República
100%
Gestión de seguridad, apoyo
logístico presidencia y
comunicación y prensa.
Garantizar la seguridad integral Presidencial
y el adecuado manejo de la imagen del
Presidente de la República y de la Institución.
100%
Talento Humano
Gestionar y promover el desarro llo del
talento humano a través de planes
orientados a brindar bienestar a los
funcionarios, así como el mejoramiento de
las competencias laborales, propiciando un
adecuado clima laboral.
100%
Gestión Administrativa
Garantizar la prestación de los servicios
administrativos y logísticos requeridos por
la Entidad mediante la administración,
manejo y contro l de los bienes y servicios de
recursos físicos, transporte, infraestructura,
telecomunicaciones y servicios generales.
96,89%
Gestión Documental
Administrar, contro lar y conservar la
información documental de la Entidad, a
través de la planificación, manejo y
organización de la documentación
producida y recibida, desde su origen hasta
su disposición final, con el fin de facilitar su
utilización y conservación.
92,83%
Direccionamiento Estratégico
Definir lineamientos para la formulación,
ejecución y seguimiento de los planes,
programas y proyectos sectoriales e
institucionales y administrar el Sistema
Integrado de Gestión de la Presidencia de la
Republica SIGEPRE para facilitar el
cumplimiento de la misión, visión y objetivos
institucionales con criterios de calidad y
oportunidad.
96,83%
Adquisición de Bienes y
servicios
Adelantar los procesos para la adquisición
de bienes, servicios y obras requeridos para
el desarro llo de la gestión de la Presidencia
de la República
100%
Evaluación, contro l y
mejoramiento
Tomar decisiones que permitan la
implementación de acciones oportunas para
el mejoramiento continuo del SIGEPRE
98,64%
Atención al usuario
Gestionar de forma adecuada y oportuna las
diferentes solicitudes recibidas de los
clientes y partes interesadas de la Entidad,
en el marco de la normatividad vigente, con
el fin de satisfacer sus necesidades
99,98%
Tecnología de Información y
Comunicaciones
Realizar seguimiento de la plataforma y
servicios de Tecnología y Sistemas de
Información - TIC's, buscando la seguridad
de la información, confidencialidad,
integridad y disponibilidad para facilitar la
gestión de todos los procesos.
100%
Gestión Financiera
Programar, contro lar y registrar las
operaciones financieras de acuerdo con los
recursos disponibles de la Entidad
100%
Misi
ón:C
orre
spon
deal
Depa
rtam
ento
Adm
inist
rativ
ode
laPr
eside
ncia
dela
Repú
blica
,asis
tir
alPr
eside
nte
dela
Repú
blica
ensu
calid
adde
Jefe
deGo
biern
o,Je
fede
Esta
doy
Supr
ema
Auto
ridad
Adm
inist
rativ
a,en
eleje
rcici
ode
susa
tribu
cione
sco
nstit
ucion
ales
yleg
alesy
pres
tar
el ap
oyo
adm
inist
rativ
o ne
cesa
rio p
ara
dicho
fin.
Visi
ón:
LaPr
eside
ncia
dela
Repú
blica
sepr
oyec
taco
mo
una
entid
adm
odelo
enla
gest
iónpú
blica
yref
eren
teint
erna
ciona
l;or
ienta
daal
aco
ordin
ación
efec
tiva
delp
lande
gobie
rno,
con
recu
rsos
aline
ados
para
ellog
rode
sus
prior
idade
s,co
nalt
oses
tánd
ares
deca
lidad
yopo
rtunid
aden
lapr
esta
ción
del
serv
icio.
99,48%
5. Proporcionar la seguridad
integral, el apoyo logístico, el
cubrimiento y el suministro
informativo al Presidente de la
República
6. Fortalecer la institucionalidad
a través de mejores prácticas en
la gestión de Procesos
Administrativos
Gestión de Asuntos Políticos
Definir lineamientos para lograr que las
prioridades del Gobierno se pongan en
marcha y se ejecuten en el marco del Plan
Nacional de Desarro llo .
100%
99,80%
Matriz 4 Riesgos Participación
Zona de Riesgo Extrema 7 8%
Zona de Riesgo Alta 34 39%
Zona de riesgo Moderado 34 39%
Zona de Riesgo Baja 12 14%
-
P á g i n a 10 | 27
INFORME DE AUDITORIA INTERNA DE GESTIÓN
Proceso asociado: Evaluación, Control y Mejoramiento
Sin embargo en la evaluación realizada se evidenció que el riesgo “Inadecuado seguimiento a los
compromisos institucionales establecidos en las sesiones del Consejo Nacional de Discapacidad CND”
se encuentra en la etapa de Valoración con fecha 21 de junio 2018 y el Riesgo “Inadecuada prestación
del servicio de divulgación de información para el conocimiento del fenómeno de la corrupción” se
encuentra valorado sin terminar la etapa de Manejo y Monitoreo, se Recomienda2 definir un plazo para
gestionar los riesgos en el Aplicativo SIGEPRE- módulo de gestión del riesgo.
También se evidenció que tres riesgos se materializaron a pesar de todas las actividades de control
establecidas para atacar las causas del riesgo, también se observó que se tomaron acciones de
contingencia inmediata y a corto plazo para restablecer, cuanto antes, la normalidad de las actividades
para el logro de los objetivos y las metas establecidas por el proceso.
Riesgo1. “Vencimiento de los términos legales en la atención (Respuesta, Información del Trámite y
Notificación por Aviso) de peticiones, sugerencias, quejas, reclamos o denuncias”
Se activó el Plan de Contingencia dirigido a disminuir o evitar los efectos adversos derivados de la
materialización del riesgo denominado Vencimiento de los términos legales en la atención (respuesta,
información del trámite y notificación por aviso) de peticiones, sugerencias quejas o reclamos, del
proceso de Atención al Usuario.
Riesgo2. “Pérdida de expedientes de los procesos contractuales”, en el transcurso del cuarto trimestre
de 2018, se materializó, teniendo en cuenta que en la realización de la verificación física del Inventario
Documental, se observó que faltaba la carpeta correspondiente al Contrato 531-11 de Gloria Ortiz.
Se procedió a activar el Plan de Contingencia riesgo pérdida de expedientes de los procesos
contractuales.
Riesgo3. “Incumplimiento de los resultados previstos en la planeación institucional, el riesgo se
materializó en el Fondo de Programas Especiales para la Paz debido a que no cumplió la meta de 3
indicadores: Kilómetros de Red Vial y Construidos, Obras Especiales Complementarias para la
Infraestructura Vial Construidas y Proyectos de Infraestructura Vial y Social Atendidos. Se solicitará a
Fondo Paz la formulación de un plan de mejoramiento, donde se tomen medidas oportunas y eficaces
para evitar en lo posible la repetición del evento y lograr el cumplimiento a los objetivos.
En el seguimiento y verificación realizado a la Administración de Riesgos en el DAPRE, se evidenció que
la matriz de calificación que se encuentra en el documento de L-DE Lineamientos para la Administración
de Riesgos se encuentra invertida con relación a la matriz de calificación del módulo de gestión del riesgo
en el SIGEPRE, se Recomienda3 unificar la matriz de calificación.
-
P á g i n a 11 | 27
INFORME DE AUDITORIA INTERNA DE GESTIÓN
Proceso asociado: Evaluación, Control y Mejoramiento
6.1.5 Riesgos de Corrupción
Proceso Riesgo de Corrupción
Tecnologías de Información y Comunicación
1. Afectación de la imagen de la Entidad por no destruir de forma segura la información que ya no se utiliza o ha perdido su utilidad
2. Afectación de la información del DAPRE por ataques cibernéticos
3. Atrasos en la disponibilidad de la información que no ha sido almacenada en las carpetas
4. Desaparición, alteración y/o divulgación no autorizada de información por el uso de contraseñas fáciles de adivinar
5. Falta de acceso a la información por ausencia de un plan de continuidad que permita mantener la confidencialidad, integridad y disponibilidad de los activos de información
6. Hurto, Perdida o fuga de Información pública reservada o clasificada en la gestión de la plataforma
Adquisición de Bienes y Servicios
1. Beneficiar a un oferente en las invitaciones a ofertar, elaboración de estudios previos, proyecto de pliegos de condiciones o sus equivalentes, en un proceso de selección.
Gestión Financiera
1. Efectuar certificados de disponibilidad y registros presupuestales por un rubro presupuestal que no corresponda en la ejecución de la cadena presupuestal
2. Efectuar un pago a una persona natural o jurídica que no corresponda por vacíos de información en la ejecución de la cadena presupuestal y otros pagos
3. Fraude en el manejo de los recursos asignados a las cajas menores
4. Inexactitud en la presentación de los Estados Financieros
Talento Humano 1. Fraude en el pago de la nómina y factores salariales en beneficio propio y de un tercero
2. Pérdida de expedientes disciplinarios físicos o digitales a cargo de la Oficina de Control Interno Disciplinario.
3. Tráfico de influencias durante la selección de personal
Evaluación, Control y
Mejoramiento
1. Fraude en los resultados obtenidos del ejercicio de auditorías internas en beneficio propio y de un tercero
Gestión de Asuntos Políticos
1. Fuga de la información administrada por la Consejería Presidencia de Seguridad
Gestión Documental
1. Hurto o fuga de la documentación (información) ubicada en los archivos de gestión
Fuente: Modulo Gestión del Riesgo aplicativo SIGEPRE
-
P á g i n a 12 | 27
INFORME DE AUDITORIA INTERNA DE GESTIÓN
Proceso asociado: Evaluación, Control y Mejoramiento
Los riesgos de corrupción en la entidad están gestionados de acuerdo con las Estrategias para la
construcción del Plan Anticorrupción y de Atención al Ciudadano de la Secretaría de Transparencia y los
Lineamientos para la Administración del Riesgo.
La Matriz5 nos muestra que el 56.25% se encuentra en la Zona de Riesgo Alta 9 Riesgos se encuentran
en esta zona lo que nos garantiza que se tienen definidos controles claros y efectivos que le apuntan a
eliminar las causas del riesgo y así mitigar su efecto en caso de materialización, se encuentran
monitoreados y como soporte del monitoreo se encuentran las acciones y la periodicidad en que se
realiza el monitoreo en el Aplicativo SIGEPRE.
6.1.5 Riesgos del Sistema de Gestión de la Seguridad de la Información
Proceso Riesgo SGSI
Tecnologías de Información y Comunicación
1. Afectación de la imagen de la Entidad por no destruir de forma segura la información que ya no se utiliza o ha perdido su utilidad
2. Afectación de la información del DAPRE por ataques cibernéticos
3. Atrasos en la disponibilidad de la información que no ha sido almacenada en las carpetas
4. Desaparición, alteración y/o divulgación no autorizada de información por el uso de contraseñas fáciles de adivinar
5. Falta de acceso a la información por ausencia de un plan de continuidad que permita mantener la confidencialidad, integridad y disponibilidad de los activos de información
6. Hurto, Perdida o fuga de Información pública reservada o clasificada en la gestión de la plataforma
7. Violación de la integridad de la información
Gestión de Asuntos Políticos
1. Fuga de la información administrada por la Consejería Presidencia de Seguridad
Inadecuada información en el sistema de gestión de información debido a que la información no es oportuna ni veraz-
Gestión Documental
1. Fuga de la información administrada por la Consejería Presidencia de Seguridad
2. Inadecuada información en el sistema de gestión de información debido a que la información no es oportuna ni veraz
Fuente: Modulo Gestión del Riesgo aplicativo SIGEPRE
Matriz 5 Riesgos Participación
Zona de Riesgo Extrema 1 6.25%
Zona de Riesgo Alta 9 56.25%
Zona de riesgo Moderado 6 37.5%
Zona de Riesgo Baja
-
P á g i n a 13 | 27
INFORME DE AUDITORIA INTERNA DE GESTIÓN
Proceso asociado: Evaluación, Control y Mejoramiento
Los riesgos del Sistema de Gestión y Seguridad de la Información se Administran en el DAPRE de
acuerdo con la NTC-27000 y los Lineamientos para la Administración de Riesgos se evidencian 11 riesgos
gestionados, que de acuerdo al análisis realizado en la Matriz6 el 36% se encuentra en Zona de Riesgo
Moderada al igual que 4 de estos riesgos que equivalen también a un 36% se encuentran en Zona de
Riesgo Alta y el restante 28% 3 riesgos se ubican en Zona de Riesgo Baja lo que nos indica que está
cumpliendo con la política y objetivos del SGSI y están asegurando la Confidencialidad, Integridad y
Disponibilidad de la Información del DAPRE.
6.1.7 Riesgos del Sistema de Seguridad y salud en el trabajo
Los Riesgos del SSST se encuentran en la Matriz de identificación de peligros, valoración de riesgos y
determinación de controles de la entidad la cual se encuentra en la INTRANET, de acuerdo a la evaluación
en el marco de ésta Auditoria se determina que:
Nombre del Proceso
Riesgo Resultado de la evaluación
Talento Humano MATRIZ DE RIESGOS
SG-SST
En la inspección realizada se determinó el siguiente aspecto no
conforme relacionado con la identificación de peligros, valoración
de riesgos y determinación de controles:
Existen debilidades en la revisión y mantenimiento de los
Gabinetes Contraincendios, como se observó en la prueba de
recorrido realizada el día 05-febrero-2019 en la Casa de Nariño,
donde se encontraron gabinetes abiertos sin seguridad, gabinetes
cerrados con el martillo por dentro, gabinetes sin martillo,
mangueras rotas y sin estar conectadas, afectando la seguridad
en el trabajo. como se observa en las siguientes imágenes:
ABIERTOS SIN MARTILLO
Matriz 6 Riesgos Participación
Zona de Riesgo Extrema
Zona de Riesgo Alta 4 36%
Zona de riesgo Moderado 4 36%
Zona de Riesgo Baja 3 28%
-
P á g i n a 14 | 27
INFORME DE AUDITORIA INTERNA DE GESTIÓN
Proceso asociado: Evaluación, Control y Mejoramiento
CERRADO CON EL MARTILLO POR DENTRO
SIN CONECTAR Y MANGUERA ROTA
SIN CONECTAR MANGUERA
Incumpliendo con el Decreto número 1072 de 2015, Artículo
2.2.4.6.8. Obligaciones de los empleadores, 6. Gestión de los
Peligros y Riesgos: Debe adoptar disposiciones efectivas para
desarrollar las medidas de identificación de peligros, evaluación y
valoración de los riesgos y establecimiento de controles que
prevengan daños en la salud de los trabajadores y/o contratistas,
en los equipos e instalaciones. No Conformidad1
-
P á g i n a 15 | 27
INFORME DE AUDITORIA INTERNA DE GESTIÓN
Proceso asociado: Evaluación, Control y Mejoramiento
En la revisión realizada de las mejoras que se encuentran en
el paso de evaluar la Eficacia se registra la NCR-0674.
Se realiza la actualización de la Matriz de Requisitos Legales por
parte de la ARL, sin embargo en la página de intranet no se
encuentra publicado el último documento actualizado.
La Matriz de Requisitos Legales publicada en la Intranet no se
encuentra actualizada, como se evidenció al observar que la
Matriz de requisitos legales adjunta en el plan de mejoramiento
contiene normas como: Circular 0026 el 24 abril 2018 del
Ministerio de Trabajo, Decreto 683 18/04/2018 del Min. Trabajo;
Res. 1796 27/04/2018 Min. Trabajo; Decreto 1273 23/07/2018
Min. Salud; mismas que no se encuentran en la Matriz Legal
publicada en la Intranet. Incumpliendo el Procedimiento P-EM-06
Formulación, Seguimiento y Evaluación de Planes de
Mejoramiento. NO EFICAZ
No Conformidad2
Fuente: Intranet DAPRE La aceptabilidad de los Riesgos es la siguiente:
Aceptabilidad del Riesgo por Sedes
Sede Aceptable Mejorable Aceptable con
control especifico
No aceptable
Casa Republicana 4 15 73
Vicepresidencia 1 10 45
Casa de Nariño 24 109 1
Edificio BBVA 3 11
Bancolombia piso 8 1 3 16
Bancolombia piso 10 3 16
Edif prop horizontal 2 42 179
Edificio Galán 4 18 47 1
Sede Administrativa 35 56
Casa Equidad para la mujer
2 26 3
Hato Grande 5 25 4
Sub total 12 160 603 9
Total 784
% Participación 2% 20% 77% 1% Fuente: Matriz de de identificación de peligros Peligro -TH
Los riesgos valorados como NO ACEPTABLES de la matriz de identificación de peligros en el centro de
trabajo, son las siguientes:
-
P á g i n a 16 | 27
INFORME DE AUDITORIA INTERNA DE GESTIÓN
Proceso asociado: Evaluación, Control y Mejoramiento
Valoración de Riesgos: Proceso sistemático en el cual se evalúan las posibilidades de ocurrencia de un
incidente durante la ejecución de una actividad, en el cual se toma en cuenta la adecuación de cualquier
control existente y decidiendo si el riesgo(s) es o no aceptable.
LUGAR DEPENDENCIA ACTIVIDAD TAREA
TIPO ACTIVIDAD
RUTINARIA / NO
RUTINARIA
DESCRIPCION DE LA ACTIVIDAD, EQUIPO O
INSTALACION
PELIGROS
CLASIFICACION
DETALLE
PALACIO DE NARIÑO
Mantenimiento de altillos
Mantenimiento general de las instalaciones
Trabajo en espacios
confinados, sitio de trabajo angosto
No Rutinaria Trabajo en espacios confinados, sitio de
trabajo angosto
Condiciones de
Seguridad
Espacios Confinados
SÓTANO EDIFICIO GALÁN
Coordinación seguridad altos
funcionarios
Dotación de equipo
(armamento) para Protección alto funcionario
Equipo designado (armamento) para protección de alto
funcionario
Rutinaria
Uso arma de ser requerido para
protección de alto funcionario
Condiciones de
Seguridad
Exposición a situaciones de orden público, intimidación o amenazas.
PRIMER PISO
primera infancia
Participar en reuniones con
equipos interinstitucionale
s, fuera de la Ciudad
Movilización en transporte no convencional
No Rutinaria
Movilización en transporte no
convencional como lanchas, moto, caballos,
chalupa, entre otros
Condiciones de
Seguridad
Accidente
CUARTO ELÉCTRICO
Cuarto eléctrico
Permanencia en el lugar de trabajo
y/o durante la realización de sus
actividades
La oficinas se encuentran
ubicadas cerca de una planta eléctrica de emergencia
Rutinaria
Se evidencian recipientes dentro de la planta eléctrica. De igual
forma se evidencia material combustible
Eléctrico Explosión
CUARTO ELÉCTRICO
Cuarto eléctrico
Permanencia en
el lugar de trabajo y/o durante la
realización de sus actividades
La oficinas se encuentran
ubicadas cerca de una planta eléctrica de emergencia
Rutinaria
Se evidencia cableado
desorganizado, sin canalización, así como tableros eléctricos sin
señalización
Eléctrico Explosión
HATO GRANDE
Mantenimiento Arreglo de
jardines de las instalaciones
Poda de césped Rutinaria
Poda de césped con guadaña. La guadaña
inspeccionada no cuenta con guarda para la
cuchilla
Condiciones de
Seguridad
Mecánico
HATO GRANDE
Mantenimiento Arreglo de
jardines de las instalaciones
Retirar ramas de los árboles que
se encuentran en mal estado
(Trabajos en alturas)
No Rutinaria
Subir a los árboles y anclarse al mismo para
realizar el mantenimiento de los
árboles. Se debe verificar ya que algunos
de los elementos actuales para trabajar en alturas se encuentran en
mal estado.
Condiciones de
Seguridad
Trabajo en alturas
HATO GRANDE
Mantenimiento Arreglo de
jardines de las instalaciones
Retirar ramas de los árboles que
se encuentran en mal estado (Uso de motosierra)
No Rutinaria
Uso de la motosierra para el corte de las
ramas. La motosierra pesa aproximadamente
25Kilogramos. Este trabajo lo realizan
estando sobre el árbol.
Condiciones de
Seguridad
Mecánico
HATO GRANDE
Garitas Permanencia en las instalaciones
Permanencia en las instalaciones
(Actividad realizada por
personal de casa militar)
Rutinaria
Se evidencia 2 garitas con sanitarios en
precarias condiciones higiénicas. Se realiza la guardia durante el turno bajo estas condiciones
Biológico Fluidos o
excrementos
Fuente: Matriz de de identificación de peligros Peligro -TH
-
P á g i n a 17 | 27
INFORME DE AUDITORIA INTERNA DE GESTIÓN
Proceso asociado: Evaluación, Control y Mejoramiento
Fuente: Matriz de de identificación de peligros Peligro -TH
Los riesgos valorados como NO ACEPTABLES CON CONTROL ESPECIFICO, de acuerdo con su
clasificación, son los siguientes y como se puede observar el 40% corresponde a Condiciones de
Seguridad y el 29% a Biomecánico, así
6.1.8 Riesgos Contractuales
El artículo 4 de la Ley 1150 de 2007 establece que la Entidad Estatal debe “incluir la estimación,
tipificación y asignación de los riesgos previsibles involucrados en la contratación” en los pliegos de
condiciones o su equivalente.
En el mismo sentido el decreto 1082 de 2015 define el Riesgo como un evento que puede generar efectos
adversos y de distinta magnitud en el logro de los objetivos del Proceso de Contratación o en la ejecución
de un contrato.
Por lo anterior la Entidad estableció en su manual de contracción los riesgos y controles que se deben
implementar durante la ejecución del contrato, los cuales se establecen desde la etapa de la planeación
contractual y se analizan desde la realidad específica de cada contratación, contemplando los plazos y
contextos de la ejecución, con el objetivo de identificar y cubrir el respectivo riesgo de conformidad con
lo dispuesto en el Manual para la Identificación y Cobertura del Riesgo en los Procesos de Contratación
de Colombia Compra Eficiente.
En la evaluación realizada se evidencia que se está realizando revisión al cumplimiento de los requisitos
contractuales en el proceso de selección del contratista o proveedor y se observó que se está cumpliendo
con lo establecido en el Manual de Contratación de la entidad y con lo establecido por Colombia Compra
Eficiente.
SED
E
Bio
lógi
co
Bio
me
cán
ico
Co
nd
icio
ne
s d
e
Segu
rid
ad
Elé
ctri
co
Fen
óm
en
o
Nat
ura
les
Físi
co
Loca
tivo
Psi
coso
cia
l
Pu
blic
o
Qu
ímic
o
Salu
d
Pu
blic
a
Tecn
oló
gi
co
Otr
os
TOTA
L
CASA REPUBLICANA 9 17 32 1 2 8 4 73
VICEPRESIDENCIA 4 15 19 1 6 45
CASA DE NARIÑO 7 26 45 1 15 9 5 1 109
EDIFICIO BBVA 2 6 1 1 1 11
BANCOLOMBIA PISO 8 2 2 7 1 2 1 1 16
BANCOLOMBIA PISO 10 1 3 7 1 3 1 16
EDIF PROP HORIZONTAL 6 45 76 2 15 19 1 13 1 1 179
EDIFICIO GALAN 2 14 16 10 1 1 3 47
SEDE ADMINISTRATIVA 2 39 7 1 4 3 56
CASA EQUIDAD PARA LA MUJER 2 6 11 2 1 2 2 26
HATO GRANDE 4 16 1 2 2 25
SUB TOTAL 35 173 242 2 11 62 1 45 2 27 1 1 1 603
-
P á g i n a 18 | 27
INFORME DE AUDITORIA INTERNA DE GESTIÓN
Proceso asociado: Evaluación, Control y Mejoramiento
6.1.9. Riesgos por Clase
Fuente: Modulo Gestión del Riesgo aplicativo SIGEPRE
Del reporte anterior observamos que el porcentaje más alto es el de Riesgos Operativos con un
39.29%, donde estaríamos asegurando los procesos misionales de la entidad, seguido de los Riesgos
de Cumplimiento que son 19 riesgos y equivalen al 22.62% donde la entidad está garantizando el
cumplimiento de la situación contractual y la normatividad vigente y en tercer lugar se encuentran los
Riesgos Estratégicos con 11 riesgos gestionados que equivalen al 13.10% y así se garantiza el
aseguramiento continuo del DAPRE en el cumplimiento de su Misión y Visión.
De acuerdo a los Lineamientos para la Administración de Riesgos el Manejo de los Riesgos se manejan
aspecto como:
Evitar el Riesgo
Reducir el Riesgo
Compartir o transferir el riesgo
Asumir el Riesgo
En éste último aspecto se encuentran 8 riesgos de la entidad donde asumen las responsabilidades y
posibles consecuencias que pueda traer su materialización, en el análisis realizado se puede concluir
que en caso de materializarse los efectos no se podrían asumir, por lo anterior se Recomienda4 volver
a valorarlos:
Los Riesgos y sus efectos que la opción de manejo es Asumir es Riesgo se presentan a continuación:
-
P á g i n a 19 | 27
INFORME DE AUDITORIA INTERNA DE GESTIÓN
Proceso asociado: Evaluación, Control y Mejoramiento
Proceso Riesgo Efectos
Atención al Usuario
Incumplimiento de los Acuerdos de Nivel de Servicio durante la prestación de los servicios compartidos del DAPRE
Gestión de
Asuntos
Políticos
Baja cobertura en intervenciones AICMA en territorio
Gestión de Asuntos Políticos
Brindar información errada al sector privado para promover su apoyo e inversión en el posconflicto
Gestión de Asuntos Políticos
Inadecuada articulación interinstitucional para el desarrollo de AICMA
Gestión de Asuntos Políticos
Inadecuada información en el sistema de gestión de información debido a que la información no es oportuna ni veraz-SGSI
Gestión de Asuntos Políticos
Inadecuada prestación del servicio de asistencia técnica
Gestión de Asuntos Políticos
Inadecuada prestación del servicio de divulgación de información para el conocimiento del fenómeno de la corrupción.
Gestión de Asuntos Políticos
Incumplimiento a los compromisos generados en los Comités Ejecutivos del SNCCTI a cargo de la Alta Consejería Presidencial para el Sector Privado y Competitividad
6.2. Aplicación de la metodología de Gestión del Riesgo
Se procedió a revisar los riesgos que se encuentran activos en el SIGEPRE, en todas las fases
de la gestión del riesgo, identificación, análisis, calificación, valoración y monitoreo.
-
P á g i n a 20 | 27
INFORME DE AUDITORIA INTERNA DE GESTIÓN
Proceso asociado: Evaluación, Control y Mejoramiento
A continuación se relacionan los aspectos obtenidos de la revisión para cada riesgo, así:
Cuadro 2. Resultados evaluación riesgos por Dependencias
Nombre del Proceso Riesgo Resultado de la evaluación
Dirección del Sistema
Nacional de Juventud
"Colombia Joven”
Inadecuado funcionamiento
de los componentes y
módulos del Sistema Nacional
de Información y Gestión del
Conocimiento en
adolescencia y juventud.
Reporte de seguimiento sobre el uso del sistema por parte del
público, en este reporte de seguimiento a través de la página web de
JUACO (obs.colombiajoven.gov.co) se observa que la tendencia de
los últimos 4 reporte están en disminución, en el análisis se
Recomienda5 verificar las causas del comportamiento del control.
En el control Guía de operación del sistema y ruta de uso, está
publicado desde diciembre de 2015, el video tutorial de uso de
JUACO Social, si bien cuenta con 831 visita a la fecha de la
verificación, cuenta con un promedio diario bajo, al cual no se le
observa seguimiento. Se Recomienda6 analizar el funcionamiento,
para evaluar si la herramienta cumple o se debe definir alternativas
de mayor impacto.
Consejería Presidencial
para la Equidad de la
Mujer
Incumplimiento de los
requisitos técnicos, legales y
del cliente en la prestación del
servicio de asistencia técnica
para la incorporación y
fortalecimiento del enfoque de
género en la formulación,
gestión y seguimiento de las
políticas, planes y programas
de las entidades públicas del
nivel nacional y territorial
En el Control: Instancias de articulación como la Comisión
intersectorial del Conpes 161 y la Comisión de seguimiento de la Ley
1257 de 2008, Se Recomienda7 ajustar el control por la terminación
del Conpes
Y en el control Ciclos de capacitación interna, No se evidencian la
realización de ciclos de capacitación interna en los monitoreos
realizados en el 2017, se Recomienda8, documentar las actividades
que se consideran disminuyen el impacto que puede producir el
riesgo en el caso de presentarse.
Área de Tecnología y
Sistemas de Información.
Hurto, Perdida o fuga de
Información pública reservada
o clasificada en la gestión de
la plataforma
Los documentos adjuntos en el monitoreo correspondiente al primer
trimestre de 2018 no reflejan la aplicación de todos los controles
establecidos. Se Recomienda9 incluir en los monitoreos de los
riesgos todos los soportes necesarios para mostrar claramente la
aplicación de todos los controles establecidos.
En el control “Ejecución de los procedimientos de backup, de
configuración de SAN y Servidor de Archivos” se utilizó una versión
desactualizada del formato F-TI-26, como se evidenció en el
monitoreo correspondiente al cuarto trimestre de 2018, incumpliendo
el numeral 7.5.3.2 de la norma ISO 9001:2015 (Control de
Información Documentada).
No Conformidad1
Área de Tecnología y
Sistemas de Información
No disponibilidad de los
servicios de TICs por cambios
en la plataforma
Los documentos adjuntos en el monitoreo correspondiente al primer
trimestre de 2018 no evidencian la aplicación de todos los controles
definidos. Se Recomienda10 incluir en los monitoreos de los riesgos
todos los soportes necesarios para mostrar claramente la aplicación
de todos los controles establecidos.
-
P á g i n a 21 | 27
INFORME DE AUDITORIA INTERNA DE GESTIÓN
Proceso asociado: Evaluación, Control y Mejoramiento
Área de Tecnología y
Sistemas de Información No activación de los servicios
definidos en el catálogo de
Servicios de Tecnología
La evidencia aportada con respecto al control “Capacitación” no
corresponde a capacitaciones realizadas a los funcionarios y
contratistas con motivo de su vinculación a la Entidad o al cambio de
rol, como se especifica en la descripción del mismo. Se
Recomienda11 incluir en los monitoreos de los riesgos todos los
soportes necesarios para mostrar claramente la aplicación de todos
los controles establecidos.
Área de Tecnología y
Sistemas de Información Afectación de la información
del DAPRE por ataques
cibernéticos SGSI
Se utilizó una versión desactualizada del formato F-TI-14 para el
registro de ingreso al centro de cómputo, como se evidenció en el
monitoreo correspondiente al cuarto trimestre de 2018, incumpliendo
el numeral 7.5.3.2 de la norma ISO 9001:2015 (Control de
Información Documentada).
No Conformidad 1
Oficina de Planeación
No tratamiento o reporte de
servicios no conformes
asociados a la prestación de
servicios misionales
Se establecieron 6 controles.
1. Procedimiento P-AU-01 Caracterización y Seguimiento de PSM
2. Socialización de lineamientos internos
3. Informe de servicios no conformes
4. Seguimiento trimestral a las disposiciones establecidas en el Manual de Servicios Misionales (M-AU-01)
5. Capacitaciones frente a productos y/o servicios no conformes
6. Aplicativo SIGEPRE para el reporte del servicio no conforme
Si bien se están realizando los controles, se Recomienda12 adjuntar
dicha evidencia como entregable en los monitoreos trimestrales
(Informe de servicios no conformes, Capacitaciones frente a
productos y/o servicios no conformes con el fin de identificar
oportunamente la ejecución y registro de los mismos de acuerdo al
trimestre que corresponda.
Incumplimiento de los
resultados previstos en la
planeación institucional
OFICINA DE PLANEACIÓN
Se evidenció la aplicación de controles eficaces porque permitieron
mitigar la materialización del riesgo. Los controles están
documentados tanto en los monitoreos como en las estrategias del
Plan de Acción 2018.
PROCESO DE DIRECCIONAMIENTO ESTRATÉGICO
Estado del Riesgo a 31 de diciembre, MATERIALIZADO. El riesgo se
materializó en el Fondo de Programas Especiales para la Paz debido
a que no cumplió la meta de 3 indicadores: Kilómetros de Red Vial y
Construidos, Obras Especiales Complementarias para la
Infraestructura Vial Construidas y Proyectos de Infraestructura Vial y
Social Atendidos. Se Recomienda13 efectuar la solicitud
correspondiente en el aplicativo módulo Mejoras, del plan de
mejoramiento.
No se registraron los análisis de los resultados en la implementación
de las medidas de control de los riesgos en el nivel “No aceptable”,
como se observó en la prueba de recorrido del 06 de febrero al
encontrar que en la Oficina del Alto Comisionado para la Paz se
adoptaron las acciones de control como el cambio del tapete y del
Drywall ante el peligro “Condiciones de seguridad”, pero al comparar
la información de la matriz identificación de peligros, valoración de
riesgos y determinación de controles se constató que no se efectuó
-
P á g i n a 22 | 27
INFORME DE AUDITORIA INTERNA DE GESTIÓN
Proceso asociado: Evaluación, Control y Mejoramiento
Talento Humano
MATRIZ DE RIESGOS SG-
SST
registro de cuándo se realizaron estas medidas, si fueron aplicadas
en su totalidad o si están en proceso, sin trazabilidad y no se
actualizó el nivel de aceptación del riesgo. Incumpliendo el Artículo
2.2.4.6.12 numeral 16. Evidencias de las gestiones adelantadas para
el control de los riesgos prioritarios del Decreto 1072 de 2015.
No Conformidad 2.
La Matriz de Requisitos Legales del SG-SST y MA no se encuentra
actualizada, como se determinó en:
a. No se encuentra incluida la Resolución 1111 del 27 de marzo
de 2017 por la cual se definen los estándares mínimos del
Sistema de Gestión de Seguridad y Salud en el Trabajo para
empleadores y contratantes.
b. La fecha última de actualización fue agosto 08 de 2016.
Incumpliendo el Artículo 2.2.4.6.2 del Decreto 1072 de 2015 que
establece: “la Matriz Legal… deberá actualizarse en la medida que
sean emitidas nuevas disposiciones aplicables…”.
No Conformidad 3.
Se Recomienda14 publicar las Matrices de identificación de
peligros, valoración de riesgos y determinación de controles y de
Identificación de Aspectos e Impactos Ambientales, en los espacios
dispuestos en la Intranet a fin de publicar la información y facilitar la
consulta de todos los funcionarios.
Se Recomienda15 garantizar la trazabilidad y documentar las
gestiones de la Matriz identificación de peligros, valoración de
riesgos y determinación de controles, aplicando nuevas versiones al
documento y justificando los cambios en los niveles del riesgo en
términos de los controles aplicados y cumplidos, permitirá evidenciar
la gestión eficaz de los peligros y riesgos en el lugar de trabajo.
Una vez efectuada la prueba de recorrido el día 06 de febrero de
2018, en la Oficina del Alto Comisionado para la Paz, el taller de
mantenimiento, vertimientos, cuarto de bombas, subestación
eléctrica, plantas eléctricas, el cuarto de agua potable y el cuarto de
bombas en Vicepresidencia, se observaron los siguientes aspectos:
a. Taller de Mantenimiento: se observó a un funcionario ejecutando
el corte de madera sin el uso del tapaboca N 95.
b. Vertimientos: se observó el lavado de un carro en el lugar donde
no se cumplen con las especificaciones técnicas.
c. Cuarto de Bombas: se observaron tornillos y bases de tubos
anclados en el techo que podrían causar heridas.
d. Cuarto de Agua Potable: se observaron bombas no certificadas
como redes contra incendios.
De lo anterior, Se Recomienda16 realizar los ajustes y
actualizaciones requeridas a fin de gestionar y controlar las
situaciones de peligro observadas en la prueba de recorrido.
Por último, se Recomienda17 identificar, analizar, valorar y
monitorear las situaciones de peligro y riesgos asociados a
-
P á g i n a 23 | 27
INFORME DE AUDITORIA INTERNA DE GESTIÓN
Proceso asociado: Evaluación, Control y Mejoramiento
incendios, de manera institucional. Lo que permitirá adoptar
acciones de control eficaces para mitigar su materialización.
Talento Humano
Incumplimientos legales en la
liquidación de las novedades
laborales y prestacionales
Se observó que actualmente aplican 6 controles relacionados con la
revisión de la nómina, sin embargo se Recomienda18 revisar y
fortalecer los controles teniendo en cuenta que en el segundo
trimestre se materializo el riesgo
Gestión de Asuntos
Políticos
Inadecuada aprobación por
parte del Despacho del Alto
Consejero Presidencial de
Comunicaciones de las
campañas de comunicación
de las entidades de la rama
ejecutiva del orden nacional.
Se evidencio la aplicación de controles eficaces porque permitieron
mitigar la materialización del riesgo. Los controles están
documentados tanto en los monitoreos como en la estrategia No. 3
del Plan de Acción 2018 y el indicador de Oportunidad en la atención
de Solicitudes. Se Recomienda19 Actualizar el Riesgo con el nuevo
nombre de la dependencia conforme al Decreto 179-19 artículo 5
numeral 3.9 Consejería Presidencial para las Comunicaciones.
Evaluación Control y
Mejoramiento
Fraude en los resultados
obtenidos del ejercicio de
auditorías internas en
beneficio propio y de un
tercero
Se Recomienda20 analizar la clase de Riesgo si es un riesgo
Estratégico o de cumplimiento.
Atención a la Ciudadanía
Vencimiento de los términos
legales en la atención
(Respuesta, Información del
Trámite y Notificación por
Aviso) de peticiones,
sugerencias, quejas,
reclamos o denuncias.
Se Recomienda21 el cambio de la descripción del control para el
riesgo denominado “Interrupción de términos para la respuesta de
las PSQRD” lo anterior de conformidad con la inexequibilidad
(sentencia C- 818 de 2011) del artículo 14 del Código de
Procedimiento Administrativo y de lo Contencioso Administrativo.
Incumplimiento de los
Acuerdos de Nivel de Servicio
durante la prestación de los
servicios compartidos del
DAPRE
La fortaleza del control calificada en 78%, obedece a que la
aplicación de Controles se realiza en forma manual y a que el tiempo
que lleva el control ha demostrado no ser efectivo.
Por lo anterior se Recomienda22 revisar el nivel del control que
cubre todos los efectos del riesgo definidos en la etapa de
identificación.
Se Recomienda23 asociar en el Módulo Gestión del Riesgo, en el
control Aplicativo de Servicios Compartidos para el registro y control
de servicios internos, la causa o causas que se estarían tratando con
este control.
Gestión de Asuntos
Estratégicos - Consejería
Presidencial de
Seguridad
Fuga de la información
administrada por la
Consejería Presidencial de
Seguridad - SGSI.
Se Recomienda24 adoptar las oportunidades de mejora que
permitan fortalecer los controles establecidos para evitar la
ocurrencia del riesgo e incrementar la cobertura al 100% en el
aspecto de probabilidad.
Se Recomienda25 adoptar los lineamientos de la Oficina de
Planeación en cuanto a fortalecer el análisis del monitoreo, en
términos de eficacia y eficiencia de los controles aplicados.
Se Recomienda26 que se identifiquen nuevos riesgos teniendo en
cuenta las funciones de la Dependencia, estableciendo que los
controles se puedan documentar, con el fin de dejarlos como soporte
del monitoreo.
-
P á g i n a 24 | 27
INFORME DE AUDITORIA INTERNA DE GESTIÓN
Proceso asociado: Evaluación, Control y Mejoramiento
Fondo de Programas
Especiales para la Paz.
Recursos limitados para
financiar Actividades de Paz.
Se Recomienda27 realizar la identificación de nuevos riesgos que
puedan afectar el cumplimiento del objetivo, como es el caso de los
procesos contractuales, administrativos y financieros. Lo que
permitirá adoptar nuevas acciones de control que garanticen el logro
de las metas del FONDO.
En el mismo sentido se Recomienda28 identificar el riesgo toda vez
que como se encuentra descrito se observa que le mismo es una
causa y no un riesgo.
Adquisición de Bienes y
Servicios
Beneficiar a un oferente en las
invitaciones a ofertar,
elaboración de estudios
previos, proyecto de pliegos
de condiciones o sus
equivalentes, en un proceso
de selección.
Se Recomienda29 actualizar la matriz de calificación del riesgo,
toda vez que el publicado en el SIGEPRE no cuenta con las zonas
de riesgo menor e insignificante.
Pérdida de expedientes de los
procesos contractuales.
1. Diligenciamiento del formato F-BS-39 Planilla de préstamo de
carpetas.
2. Aplicación del Manual de Gestión Documental.
3. Aplicación del manual de contratación.
Se evidenció la aplicación de controles sin embargo Se
Recomienda30 efectuar control y seguimiento al plan de
contingencia con el fin de garantizar su cumplimiento. Los controles
están documentados tanto en los monitoreos como en las
estrategias del Plan de Acción 2018.
Oficina de Control Interno
Disciplinario
Pérdida de expedientes
disciplinarios físicos o
digitales a cargo de la Oficina
de Control Interno
Disciplinario.
Se Recomienda31 volver a valorar el riego, lo anterior teniendo en
cuenta que el riesgo antes de controles se encuentra ubicado en
zona de riesgo extrema (16) y una vez aplicado los respectivos
controles permanece en la misma zona.
Secretaria de
Transparencia
Falta de oportunidad en la
publicación de información
que produzca el observatorio
de transparencia y
anticorrupción
Se tienen definidos cuatro controles en donde la fortaleza de los
controles el del 77.67% por lo anterior se Recomienda32 revisar y
analizar la implementación de actividades que se requieran para
minimizar su materialización, ya sea mediante la implementación de
manuales, instructivos o procedimientos.
Secretaria de
Transparencia
Inadecuada prestación del
servicio de asistencia técnica
Se tienen definidos cuatro controles, se Recomienda33 revisarlos
teniendo en cuenta que las actividades desarrolladas no
corresponden claramente a subsanar las causas del riesgo.
Está definido el indicador “Inconformidades presentadas por
prestación de servicios de asistencia técnica”, sin embargo se
Recomienda34 revisar su medición teniendo en cuenta que el
resultado es en porcentual y la meta es en número, lo anterior para
permitir un mejor análisis.
Secretaria de
Transparencia
Inadecuada prestación del
servicio de divulgación de
información para el
conocimiento del fenómeno
de la corrupción.
Este riesgo fue creado el 14-Diciembre-2018, está en etapa de
valoración y a la fecha no ha sido monitoreado. Se Recomienda35
terminar su gestión de acuerdo con los Lineamientos para la
Administración de Riesgos.
-
P á g i n a 25 | 27
INFORME DE AUDITORIA INTERNA DE GESTIÓN
Proceso asociado: Evaluación, Control y Mejoramiento
Casa Militar
Afectación de la integridad
física del Sr. Presidente y
Vicepresidente de la
República en cumplimiento de
su agenda pública o privada.
Se Recomienda36, Actualizar la fecha del plan de contingencia
Casa Militar Afectación de la integridad física del Sr. Presidente y
Vicepresidente de la República en cumplimiento de su agenda
pública o privada.
Secretaria de Prensa
Divulgación de información de
carácter noticioso no
autorizada
El control Publicación de notas correctivas, se Recomienda37
verificar y analizar por qué afecta la escala del impacto y la clase es
correctivo y así disminuye el Impacto y si se materializa el riesgo el
Impacto será mayor o Catastrófico.
Secretaria Privada
Incumplimiento de
compromisos durante la
prestación del servicio de
coordinación de la agenda y
su ejecución.
Se Recomienda38 Analizar por qué los controles Registro de la
Agenda y el de Revisar la información entregada al Sr. Presidente
relacionada con las fichas nemotécnicas, discursos, mapas,
abrebocas de protocolo, informes técnicos están disminuyendo el
Impacto si son controles preventivos que deberían disminuir es la
Probabilidad. Si el e efecto es Pérdida de imagen del Señor
Presidente de la República. Pérdida de imagen institucional del
Gobierno Acciones legales contra la entidad por incumplimiento de
normatividad externa
Dirección de Discursos
Inexactitud de la información
enviada por parte de las
entidades para la elaboración
de fichas, discursos y
artículos del señor Presidente
Se Recomienda39 analizar y verificar el nombre del riesgo si es una
causa y no el Riesgo.
Dirección de Eventos
Incumplimiento sobre los
estándares de calidad
definidos por el Director de
Eventos, para la realización
de los eventos en los cuales
intervenga el Señor
Presidente de la República.
Se Recomienda40 actualizar el Riesgo de acuerdo a la nueva
estructura del DAPRE
Gestión Documental
Daño de activos
documentales durante la
administración, custodia y
conservación en el Archivo
Central
Se Recomienda41 Analizar por qué los controles Informe de
inspección del estado de la documentación en el Archivo Central y
Disposición de depósitos y estantería para el almacenamiento de la
documentación están disminuyendo el Impacto si son controles
preventivos que deberían disminuir es la Probabilidad
Hurto o fuga de la
documentación (información)
ubicada en los archivos de
gestión - SGSI
Se Recomienda42 verificar la matriz de calificación, evaluación y
respuesta, después de controles está en el mismo cuadrante 15
Zona de Riesgo Extrema antes de controles.
Incumplimiento de la
transferencia documental
primaria en las condiciones y
tiempos establecidos
En el control Cronograma anual de Transferencias documentales, en
la pregunta? Seleccione en qué nivel el control cubre todos los
efectos del riesgo definidos en la etapa de identificación? , se
encuentra en un rango muy bajo Se Recomienda43 analizar y
verificar esta escala
Nota: Los riesgos que no se relacionan obedece a que no presentaron aspectos no conformes
o por mejorar.
-
P á g i n a 26 | 27
INFORME DE AUDITORIA INTERNA DE GESTIÓN
Proceso asociado: Evaluación, Control y Mejoramiento
7. EVALUACIÓN DE LAS MEJORAS
En el marco de ésta Auditoria se realizó la evaluación y la verificación de la Eficacia de las mejoras
asociadas a los Riesgos, la NCR-0675 y la NCR-0674.
La NCR-0675 cumplió con las actividades formuladas en el plan en calidad y oportunidad y en prueba de
recorrido se evidenció la aplicación de los controles establecidos para cumplir con el cronograma de
transferencias. EFICAZ
La NCR-0674 fue declarada NO EFICAZ por cuanto se evidenció que la Matriz de Requisitos Legales
publicada en la Intranet no se encuentra actualizada, como se evidenció al observar que la Matriz de
requisitos legales adjunta en el plan de mejoramiento contiene normas como: Circular 0026 el 24 abril
2018 del Ministerio de Trabajo, Decreto 683 18/04/2018 del Min. Trabajo; Res. 1796 27/04/2018 Min.
Trabajo; Decreto 1273 23/07/2018 Min. Salud; mismas que no se encuentran en la Matriz Legal publicada
en la Intranet. Incumpliendo el Procedimiento P-EM-06 Formulación, Seguimiento y Evaluación de Planes
de Mejoramiento
8. RESULTADOS DE LA AUDITORIA
8.1 Aspectos Conformes
El DAPRE desarrolla e implementa procesos de control y gestión de riesgos a través del Aplicativo
SIGEPRE e identifica, analiza, valora y monitorea los riesgos como también formula acciones de
mejora con el fin de asegurar el cumplimiento de la Misión y la Visión de la Entidad.
Asegura que los controles y los procesos de gestión de riesgos implementados en la Entidad,
estén diseñados apropiadamente y aseguren el cumplimiento de los objetivos de los procesos
Se evidencia la Integración con los Sistemas de Seguridad y Salud en el Trabajo y con
el Sistema de Seguridad de la Información, también con los Riesgos Contractuales y
los Riesgos de Corrupción donde la entidad asegura la ejecución de los planes y el
logro de los objetivos para cumplir con la Misión y la Visión.
En el desarrollo de la auditoria in situ se evidenció la interiorización y comprensión de
cada una de las etapas de la administración de riesgos por parte de los responsables.
El monitoreo del riesgo realizado en términos de los controles establecidos, permitieron
verificar la aplicación de los mismos en aspectos de calidad y oportunidad.
El mapa de riesgos de Corrupción se encuentra publicado en la página web de la
Presidencia cumpliendo con lo establecido en la Ley 1712 de 2014.
-
P á g i n a 27 | 27
INFORME DE AUDITORIA INTERNA DE GESTIÓN
Proceso asociado: Evaluación, Control y Mejoramiento
8.2 No Conformidades Reales
No Conformidad1: En el control “Ejecución de los procedimientos de backup, de configuración de
SAN y Servidor de Archivos”, así como también para el registro de ingreso al centro de cómputo se
utilizaron versiones desactualizadas de los formatos F-TI-26 y F-TI-14 respectivamente como se
evidenció en el monitoreo correspondiente al cuarto trimestre de 2018, incumpliendo el numeral
7.5.3.2 de la norma ISO 9001:2015 (Control de Información Documentada).
No Conformidad2: Existen debilidades en la revisión y mantenimiento de los Gabinetes
Contraincendios, como se observó en la prueba de recorrido realizada el día 05-febrero-2019 en la
Casa de Nariño, donde se encontraron gabinetes abiertos sin seguridad, gabinetes cerrados con el
martillo por dentro, gabinetes sin martillo, mangueras rotas y sin estar conectadas, afectando la
seguridad en el trabajo, Incumpliendo con el Decreto número 1072 de 2015, Artículo 2.2.4.6.8.
Obligaciones de los empleadores, 6. Gestión de los Peligros y Riesgos.
No Conformidad3: La NCR-0674 fue declarada NO EFICAZ por cuanto se evidenció que la Matriz
de Requisitos Legales publicada en la Intranet no se encuentra actualizada, como se evidenció al
observar que la Matriz de requisitos legales adjunta en el plan de mejoramiento contiene normas
como: Circular 0026 el 24 abril 2018 del Ministerio de Trabajo, Decreto 683 18/04/2018 del Min.
Trabajo; Res. 1796 27/04/2018 Min. Trabajo; Decreto 1273 23/07/2018 Min. Salud; mismas que no
se encuentran en la Matriz Legal publicada en la Intranet. Incumpliendo el Procedimiento P-EM-06
Formulación, Seguimiento y Evaluación de Planes de Mejoramiento.
Como resultado de la evaluación se realizaron 43 mejoras las cuales se encuentran descritas
en el informe en el desarrollo de la evaluación.
9. CONCLUSIONES DE LA AUDITORIA
La Oficina de Control Interno, monitoreo y revisó de manera independiente y objetiva el cumplimiento de
los objetivos institucionales y de procesos, donde se evidenció una adecuada gestión de riesgos, además
se observó la inclusión de los riesgos de corrupción, del SGSI los del SSST y los Riesgos Contractuales
donde se evidencia la efectividad del Sistema de Control Interno, a través de un enfoque basado en
riesgos, que permite el mejoramiento continuo y cumplimiento de los objetivos institucionales de la
Entidad.
Sin embargo, se establecen aspectos conformes y no conformes los cuales se les debe dar el
tratamiento correspondiente para poder tener así un mejoramiento continuo.