AEG2017 Gestion Riesgo

Informe de Auditoría a la Gestión del Riesgo
INFORME DE AUDITORIA INTERNA DE

GESTIÓN
Proceso asociado: Evaluación, Control y Mejoramiento
Bogotá D.C. Febrero de 2017
TABLA DE CONTENIDO
1. OBJETIVO DE LA AUDITORIA --------------------------------------------------------------------------------3

1.1 Objetivos Específicos ------------------------------------------------------------------------------------3
2. ALCANCE DE LA AUDITORIA ---------------------------------------------------------------------------------3
3. PROCESO AUDITADO ------------------------------------------------------------------------------------------3
4. MARCO LEGAL O ANTECEDENTES--------------------------------------------------------------------------3
4.1 Antecedentes ----------------------------------------------------------------------------------------------3
4.2 Marco Legal ------------------------------------------------------------------------------------------------4
5. ASPECTOS GENERALES ----------------------------------------------------------------------------------------5
5.1 Términos del Informe------------------------------------------------------------------------------------5
5.2 Responsabilidad-------------------------------------------------------------------------------------------5
5.3 Plan General de Auditoria ------------------------------------------------------------------------------5
6. DESARROLLO DE LA AUDITORIA ----------------------------------------------------------------------------6
6 EVALUACIÓN DE LAS MEJORAS --------------------------------------------------------------------------- 29
7 RESULTADOS DE LA AUDITORIA -------------------------------------------------------------------------- 29
7.1 Aspectos Conformes --------------------------------------------------------------------------------------- 29
7.2 No Conformidades Reales -------------------------------------------------------------------------------- 30
7.3 Oportunidades de Mejora-------------------------------------------------------------------------------- 31
8 CONCLUSIONES DE LA AUDITORIA ---------------------------------------------------------------------- 32
2
GESTIÓN
1. OBJETIVO DE LA AUDITORIA
Evaluar que la política y acciones definidas en la gestión del riesgo aseguren la administración
apropiada de los riesgos institucionales y la operatividad del Sistema de Control Interno.
1.1 Objetivos Específicos
 Evaluar el mapa de riesgos institucional y de corrupción.

 Revisar la aplicación de la metodología de gestión del Riesgo establecida en los
Lineamientos para la Administración del Riesgo de la Entidad.
 Revisar que los riesgos identificados por los procesos, dispongan de acciones para su
tratamiento alineadas con las estrategias y objetivos de la Entidad.
 Revisar que las acciones de control sean adecuadas y efectivas para tratar los riesgos.
 Verificar que los riesgos sean monitoreados y evaluados.
 Sugerir correctivos y ajustes necesarios para asegurar un manejo efectivo de los riesgos.
2. ALCANCE DE LA AUDITORIA
La evaluación se realizará a la gestión del riesgo institucional y de corrupción, realizada durante

la vigencia 2016.
3. PROCESO AUDITADO
Proceso Líder: Direccionamiento Estratégico.
4. MARCO LEGAL O ANTECEDENTES
4.1 Antecedentes
El Departamento Administrativo de la Presidencia de la República - DAPRE, estableció los

lineamientos para la Administración del Riesgo L-DE-01 como una política de gestión por parte
3
GESTIÓN
de la Alta Dirección, mediante la cual da a conocer la metodología para la identificación, análisis,

valoración, manejo y monitoreo de los riesgos y hace especial énfasis, sobre la importancia de
evaluar los riesgos como una parte fundamental en el proceso de planificación.
Conforme a lo anterior, se dispuso que la Entidad efectuará una adecuada administración de

sus riesgos a través del aplicativo SIGEPRE en el módulo Gestión del Riesgo, el cual se encuentra
caracterizado de acuerdo con la metodología adoptada por la Entidad; misma que se encuentra
armonizada con la Guía para la Administración de Riesgos del Departamento Administrativo de
la Función Pública - DAFP y las Estrategias para la construcción del Plan Anticorrupción y de
Atención al Ciudadano versión 2.
Por último, la Oficina de Control Interno en ejecución de su rol de evaluación y seguimiento,

estableció la evaluación anual a la Política para la Administración del Riesgo mediante el
ejercicio de Auditoría Interna, con el fin de proporcionar a la Alta Dirección un resultado
objetivo frente a la efectiva aplicación de la política y la eficiencia de sus controles, expresados
en asegurar la administración apropiada de los riesgos institucionales y la eficaz operatividad
del Sistema de Control Interno.
4.2 Marco Legal
 Ley 87 de 1993, por la cual se establecen normas para el ejercicio del control interno en la
entidades y organismos del estado y se dictan otras disposiciones.
 Decreto 1537 de 2001, por el cual se reglamenta parcialmente la Ley 87 de 1993 en cuanto
a elementos técnicos y administrativos que fortalezcan el sistema de control interno de
las entidades y organismos del Estado.
 Ley 1474 de 2011, Estatuto Anticorrupción.
 Decreto 943 de 2014, por el cual se actualiza el Modelo Estándar de Control Interno MECI.
 Decreto 1081 de 2015, señala la metodología Estrategias para la construcción del Plan
Anticorrupción y de Atención al Ciudadano.
 Guía para la gestión de riesgo de corrupción 2015, Secretaría de Transparencia.
4
GESTIÓN
 Decreto 1083 de 2015, adopta la actualización del MECI.
 Guía para la Administración del Riesgo de la Función Pública.
 ISO 31000 Gestión del Riesgo, principios y directrices.
 Lineamientos para la Administración del Riesgo (L-DE-01).
5. ASPECTOS GENERALES
5.1 Términos del Informe
Se utilizará para el presente Informe, los términos y definiciones establecidos en el Manual de

Auditoría Interna (M-EM-01), los cuales deben ser tenidos en cuenta para su entendimiento y
posterior formulación de los planes de mejoramiento, a saber:
No Conformidad Real – NCR: Incumplimiento de un requisito legal, técnico, de organización o

cliente. Se constituye cuando existe evidencia objetiva del incumplimiento.
No Conformidad Potencial - NCP: Hecho o situación que podría generar el incumplimiento de

un requisito legal, técnico, de la organización o del cliente. Se constituye como una Observación.
Oportunidad de Mejora - OM: Acción para mejorar un procedimiento, proceso o actividad. Se

constituye como una Recomendación.
5.2 Responsabilidad
Es responsabilidad del equipo auditor producir un informe objetivo que refleje los resultados
del proceso auditor, en cumplimento de los objetivos propuestos para la misma.
5.3 Plan General de Auditoria
5
GESTIÓN
El ejercicio de Auditoría Interna a la Política para la Administración del Riesgo, se comunicó al

proceso a través del Plan General de Auditoría con código MEM17-00000320 del 12 de enero de
2017, con el fin de dar a conocer el objetivo, alcance y actividades a desarrollar durante la
ejecución de la auditoría.
6. DESARROLLO DE LA AUDITORIA
6.1 Evaluación del Mapa de Riesgos Institucional y de Corrupción
Durante la vigencia 2016, la Entidad identificó un total de 72 riesgos clasificados en:
Descripción Riesgos Participación

Institucional 61 85%
Corrupción 11 15%
Total 72 100%
Fuente: Modulo Gestión del Riesgo aplicativo SIGEPRE
A continuación, se relaciona la cantidad de riesgos por proceso detallando los riesgos de

corrupción, así:
Cuadro No 1. Total riesgos por Proceso

Riesgos
Proceso Total Riesgos
Corrupción
Direccionamiento Estratégico 4 0
Evaluación Control y Mejoramiento 3 1
Atención al Usuario 3 0
Gestión de Asuntos Políticos 30 0
Gestión Jurídica 2 1
Gestión de Seguridad, Apoyo logístico
7 0
Presidencial y Comunicación y Prensa
Gestión Administrativa 5 0
Gestión Financiera 4 3
Adquisición de Bienes y Servicios 3 1
Gestión Documental 1 0
6
GESTIÓN
Talento Humano 5 4
Tecnología de Información y
5 1
Comunicaciones
Total 72 11
Fuente: Modulo Gestión del Riesgo aplicativo SIGEPRE
Como se observa en el cuadro anterior, los 12 procesos del DAPRE identificaron 61 riesgos
Institucionales y 6 procesos identificaron 11 riesgos de corrupción para un total de 72 riesgos
activos en la Entidad. Sin embargo, es importante señalar que el 50% de los procesos del DAPRE
como Direccionamiento Estratégico, Atención al Usuario, Asuntos Políticos, Seguridad
Presidencial, Gestión Administrativa y Gestión Documental no identificaron riesgos de
corrupción.
Por lo anterior, se Recomienda 1 realizar un análisis en cada proceso que les permita identificar
riesgos de corrupción, teniendo en cuenta que existe la posibilidad de que por acción u omisión
se use el poder para desviar la gestión de lo público hacia beneficio propio1, como: incurrir en
concentración de autoridad o exceso de poder, extralimitación de funciones, Sistemas de
Información susceptibles de manipulación o adulteración y deficiencias en el manejo
documental y de archivo, lo que permitirá establecer acciones para controlar otros posibles
hechos generadores de corrupción al interior de la Entidad.
6.1.1 Riesgos institucionales
Seguidamente, se verificó en el módulo Gestión del Riesgo la zona de los 61 riesgos

institucionales para determinar:
1. Las calificaciones del riesgo antes de controles

2. Las calificaciones del riesgo después de controles
Para lo cual, se tomó como referencia la Matriz 1 adoptada en el SIGEPRE:
Matriz 1. De calificación, evaluación y respuesta
1 Estrategias para la Construcción del Plan Anticorrupción y de Atención al Ciudadano versión 2, pág. 17.
7
GESTIÓN
IMPACTO
PROBABILIDAD Insignificante Catastrófico
Menor (2) Moderado (3) Mayor (4)
(1) (5)
1 2 3 4 5
Zona de Riesgo Zona de Zona de Zona de Zona de
Raro (1)
Baja Riesgo Baja Riesgo Riesgo Alta Riesgo Alta
Moderada
2 4 6 8 10
Improbable (2)
Baja Riesgo Baja Riesgo Riesgo Alta Riesgo
Moderada Extrema
3 6 9 12 15
Moderada (3)
Baja Riesgo Riesgo Alta Riesgo Riesgo
Moderada Extrema Extrema
4 8 12 16 20
Probable (4)
Moderada Riesgo Alta Riesgo Alta Riesgo Riesgo
Extrema Extrema
Casi certeza (5) 5 10 15 20 25
Alta Riesgo Alta Riesgo Riesgo Riesgo
Extrema Extrema Extrema
Fuente: Modulo Gestión del Riesgo – Aplicativo SIGEPRE
Los resultados de la verificación, se presentan a continuación en las matrices 2 y 3, así:
Matriz 2. Zona de los 61 Riesgos Institucionales – antes de controles

IMPACTO
PROBABILIDAD Insignificante Menor Catastrófico
Moderado (3) Mayor (4)
(1) (2) (5)
1 2 3 4 5
Raro (1)
R5 Tics
2 4 6 8 10
Improbable (2) CPPI R-1
R1 DS Privado
R2.OCIG
8
GESTIÓN
3 6 9 12 15
R1-
R-1-Dvivienda
D.Infraestructura
R1-D.proy
R2-
especiales
STransparencia
R1-
R1:D.asuntos
D.Posconflicto
políticos
R4: DGG R1:AC Regiones
R1:D. lucha
Moderada (3) R1 OACP
contra drogas R1 Tics
R2- OACP
DAICMA R-1
DD HH R-1
R1: TH
DD HH R-3
DAICMA R-3
DAICMA R-4
R3.OCIG
CPPI R-2
R1-AU
CPPI R-3
R1.Eventos
CPPI R-4
R3-BS
4 8 12 16 20
R2-BS
R2-AU
R1-SJ
R1Discursos R2 CM
R1 CM R1.SP
R2: D. R1-DSeguridad
Probable (4) Gobierno y R1-
Áreas S.Transparencia
Estratégicas R1 F paz
R1 D. Col Joven R2 F paz R3-AU
DACPC R-1 DD HH R-2
DAICMA R-2 R1: OP
R2: OP R3: OP
AA R-1 R-4-FINANCIERA
AA R-2 R1 GD
AA R-3 R2 Tics
R3 Tics
R4 Tics
AA R-5
5 10 15 20 25
Casi certeza (5)
S. Prensa R-1
9
GESTIÓN
S. Prensa R-2
AA R-4
Como se observa en la matriz 2, la Entidad determinó en su análisis antes de controles que, la

probabilidad de ocurrencia y el impacto que puede causar la materialización de los riesgos se
concentra en un 56% en la zona de riesgo extrema y en un 41% en zona de riesgo alta, así:
Matriz 2 Riesgos Participación

Zona de Riesgo Baja 0 0%
Zona de riesgo Moderado 2 3%
Zona de Riesgo Alta 25 41%
Zona de Riesgo Extrema 34 56%
Total Riesgos 61 100%
Posteriormente, se procedió a revisar la zona de los 61 riesgos, una vez los procesos valoraron
sus respectivos controles, como se muestra a continuación en la matriz 3:
Matriz 3. Zona de los 61 Riesgos Institucionales - después de controles

IMPACTO
PROBABILIDAD Insignificante Catastrófico
(1) (5)
1 2 3 4 5
R3-BS
R1: TH
R1.Eventos
R1 D.S Privado
Raro (1) R2-
R5 Tics CPPI R-3
STransparencia
CPPI R-4
R1: D. Asuntos
políticos
CPPI R-1
Improbable (2) 2 4 6 8 10
10
GESTIÓN
AA R-5
AA R-2
R-4-FINANCIERA
AA R-3
R1.SP
R1 CM
R2 CM
R1Discursos
DAICMA R-3
CPPI R-2
DD HH R-2
DACPC R-1
R1-DSeguridad
DAICMA R-4
R1-
DD HH R-1
D.Infraestructura
DD HH R-3
R1-
R-1-Dvivienda
STransparencia
R1-D.proy
R4: DGG R1:D. lucha R3-AU
especiales
contra drogas
R1-
R1 F paz
Dposconflicto
R2 F paz
R1: D. Gobierno
R1: OP
y Áreas
R3: OP
Estratégicas
R3.OCIG
R1 D. Col Joven
R2.OCIG
R1 OACP
R2-AU
R2-OACP
R1 Tics
R1-AU
R3 Tics
R2: OP
R4 Tics
R1:AC Regiones
R1-SJ
3 6 9 12 15
DAICMA R-1
Moderada (3) DAICMA R-2
S. Prensa R-1
R2 Tics
S. Prensa R-2
4 8 12 16 20
Probable (4)
AA R-1 R1. GD R2-BS
5 10 15 20 25
Casi certeza (5)
AA R-4
Como se observa en la matriz 3, la Entidad determinó en la valoración del riesgo que, la

probabilidad de ocurrencia y el impacto que puede causar la materialización de los riesgos se
concentra en un 51% en zona de riesgo alta y en un 38% en zona de riesgo moderado, así:
11
GESTIÓN

Zona de Riesgo Baja 2 3%
Zona de riesgo
23 38%
Moderado
De todo lo anterior se puede constatar que, la Entidad al ejecutar las acciones fundamentales
para valorar los riesgos institucionales, se desplazó de una concentración en zona extrema y alta
del 97% a zona de riesgo alta y moderada del 89%; el 8% de los riesgos permanecen en zona
extrema, como se detalla a continuación:
# Probabilidad Impacto Zona del Riesgo Prioridad del Riesgo

1 2 5 R3 Atención Usuario
2 3 4 R1 DAICMA
Zona de Riesgo
3 3 4 R1 Sec. Prensa
Extrema
4 3 4 R2 Sec. Prensa
5 4 4 R2 Bienes y Servicios
De lo anterior, se Recomienda 2 efectuar un monitoreo permanente e implementar acciones

que conlleven a disminuir la probabilidad y mitigar el impacto en caso de materialización de los
5 riesgos (8%) que permanecen en zona de riesgo extrema.
6.1.1.1 Gestión del riesgo Institucional
a. Modulo Gestión del Riesgo Aplicativo SIGEPRE
Con el fin de validar el correcto funcionamiento del Módulo Gestión del Riesgo del aplicativo
SIGEPRE, a través del cual se administran los riesgos de la Entidad según los Lineamientos para
la Administración del Riesgo (L-DE-01), se procedió a revisar la información asociada a los riesgos
12
GESTIÓN
de los 12 procesos, aplicando una prueba selectiva equivalente al 16% del total de los procesos,
obteniendo los siguientes resultados:
 No se encontraron activos en un lapso de dos semanas, los riesgos de la Dirección de

Eventos y de la Dirección de Gobierno y Áreas Estratégicas, como se observa a continuación:
 Se observaron inconsistencias en la opción Reportes en cuanto al total y clase de Riesgos, al

encontrar que el sistema reporta un total de 69 riesgos, contrario a los 72 riesgos activos
de la Entidad, como se observa a continuación:
13
GESTIÓN
 Reporte de Riesgos por Opciones de Manejo, el reporte muestra un total de 84 riesgos,

contrario a los 72 riesgos activos de la Entidad, como se observa a continuación:
De conformidad con los resultados presentados, se Recomienda 3 establecer las acciones

necesarias que permitan disponer de una información veraz y confiable en el Módulo Gestión
del Riesgo.
b. Aplicación metodología de Gestión del Riesgo
Se procedió a revisar el 100% de los 61 riesgos institucionales identificados y activos en la

Entidad, en todas las fases de identificación, análisis, calificación, valoración y monitoreo. A
continuación se relacionan los aspectos obtenidos de la revisión para cada riesgo, así:
Cuadro 2. Resultados evaluación riesgos institucionales

Proceso # Riesgos Resultado de la Evaluación
Direccionamiento Incumplimiento de
1 Relación causas – controles
Estratégico las metas de los
14
GESTIÓN
proyectos de Se Recomienda 4 revisar la conveniencia de

inversión del DAPRE identificar controles asociados a las siguientes
causas:
El enlace no difundió los lineamientos para la
formulación de indicadores y metas.
El enlace no tiene las competencias para la
formulación de indicadores
No hay control por parte de los responsables para
realizar seguimiento a su ejecución del proyecto y
metas,
Lo anterior teniendo en cuenta que el Riesgo en su
contexto de transversalidad, podría requerir
controles de responsabilidad directa del ejecutor del
proyecto, fortaleciendo la valoración del riesgo.
Monitoreo
En cuanto al monitoreo del riesgo a 31 de diciembre
de 2016, se observó que se efectuó un monitoreo
parcial y se indicó que la materialización del Riesgo se
determinará una vez se efectúe el cierre a los
proyectos de inversión en el SPI, programado para el
9 de febrero de 2017. Se Recomienda 5 efectuar el
monitoreo final del riesgo, con el fin de determinar la
materialización del riesgo en el SIGEPRE y en caso tal,
implementar los respectivos planes de
mejoramiento.
Relación causas – controles
Se Recomienda 6 revisar la conveniencia de
identificar controles asociados a las causas: 10.El
responsable de reportar la información de
Incumplimiento de
seguimiento de los resultados esperados tiene
los resultados
asignadas múltiples actividades y 11.Descoordinación
2 previstos en la
del equipo de trabajo para reportar la información de
planeación
seguimiento de los resultados esperados, lo anterior
institucional
teniendo en cuenta que el Riesgo en su contexto de
transversalidad, podría requerir controles de
responsabilidad directa del ejecutor del Plan de
Acción, fortaleciendo la valoración del riesgo.
15
GESTIÓN
Manejo del Riesgo

El manejo del Riesgo adoptado por el Proceso fue
Inoportunidad en la evitar y reducir. Sin embargo, se Recomienda 7 tener
gestión de recursos en cuenta en la actualización de los riesgos, adoptar
de cooperación la opción de manejo de acuerdo con la versión 10 de
3
internacional - los Lineamientos para la Administración del Riesgo (L-
Dirección de DE-01), lo que les permitirá adoptar la política
Gestión General adecuada. Dado que la opción de evitar, aplica para
el riesgo que no se ha materializado y la de reducir,
cuando se ha presentado materialización del mismo.
No Formular y Actualización de Riesgos
Evaluación, Ejecutar Se Recomienda 8 actualizar los riesgos identificados
Control y 4 correctamente los en el proceso, de acuerdo a la nueva versión del
Mejoramiento Planes de Lineamiento para la Administración del Riesgo (L-DE-
Mejoramiento 01).
Relación causas – controles
Incumplimiento de
los Acuerdos de
Nivel de Servicio
identificar controles asociados a la causa Fallas o
durante la
5 interrupciones del aplicativo Altiris para registrar las
prestación de los
solicitudes de servicios compartidos, lo que les
servicios
permitirá el cumplimiento de la política de manejo
compartidos del
Evitar el Riesgo.
DAPRE.
Atención al Vencimiento de los

Usuario términos legales en
Fortalecimiento de controles
la atención
(Respuesta,
Se observó una disminución porcentual de 0.25 en la
Información del
atención oportuna a las PSQR al comparar la vigencia
6 Trámite y
2015 (99.84) con 2016 (99.59). Se Recomienda 10
Notificación por
revisar y fortalecer la aplicabilidad de los controles
Aviso) de
existentes lo que permitirá cumplir con la política de
peticiones,
manejo.
sugerencias, quejas
o reclamos.
Entregar
Gestión de Relación causa – control Dirección para Asuntos
7 información errada
Asuntos Políticos Políticos – DAP
o extemporánea al
16
GESTIÓN
Presidente de la Se Recomienda 11 revisar la conveniencia de

República sobre el identificar controles asociados a la causa 1. No contar
trámite de la con un equipo suficiente y/o personal idóneo para
agenda legislativa hacer el seguimiento del trámite de iniciativas
del Congreso de la legislativas en el Congreso de la República, lo que les
República permitirá el cumplimiento de la política de manejo
Evitar el Riesgo.
Monitoreo
Se Recomienda 12 adoptar los lineamientos de la
Oficina de Planeación en cuanto a fortalecer el
análisis del monitoreo, en términos de la eficacia y
eficiencia de los controles aplicados.
Desactualización
Monitoreo Dirección de Gobierno y Áreas
del sistema de
Estratégicas
seguimiento a
8 compromisos
asumidos por el
señor Presidente de
la República
Calificación de controles DACP Regiones
Falta de
Se Recomienda 14 adoptar las acciones necesarias
oportunidad en la
para que se documenten los controles de acuerdo
atención de
9 con las necesidades específicas de la Alta Consejería,
solicitudes de
lo que permitirá mejorar la eficacia de las acciones
Gobernadores y
preventivas que afectan la probabilidad de
Alcaldes
ocurrencia del riesgo.
Calificación de controles DAIL Contra Drogas
Incumplimiento en Se observó que no se han documentado los controles
establecer los lo que afectó la probabilidad de ocurrencia,
acuerdos para la ubicándola en un 77.67%. Por lo anterior, se
sustitución Recomienda 15 adoptar las acciones necesarias para
10 voluntaria de que se documenten de acuerdo con las necesidades
cultivos ilícitos en específicas de la Dirección, lo que permitirá mejorar
los territorios la eficacia de los controles que afectan la
priorizados para el probabilidad de ocurrencia del riesgo.
posconflicto. .
17
GESTIÓN
Valoración del Riesgo DAICMA

Se Recomienda 16 revisar y de ser necesario ajustar
el análisis del riesgo toda vez que en la matriz de
Baja cobertura en
calificación y resultado, el riesgo se ubicó en la misma
intervenciones
11 zona No. 12 tanto antes como después de controles.
regionales de
Lo anterior permitirá asegurar que las fases de
AICMA
análisis y valoración se realicen de acuerdo con los
Lineamientos para la Administración del Riesgo (L-
DE-01).
Inexactitud en los
Valoración del Riesgo D. para el Sector Privado
informes sobre
Se Recomienda 17 revisar y de ser necesario ajustar
determinados
el análisis y valoración del riesgo, lo que permitirá
12 asuntos de política
asegurar que estas fases se realicen de acuerdo con
pública que incidan
los Lineamientos para la Administración del Riesgo (L-
en la actividad del
DE-01).
sector privado.
Controles Dirección de Seguridad
Se Recomienda 18 revisar la pertinencia de incluir en
las acciones de control del riesgo, los controles
establecidos en la calificación de la información del
aplicativo Taurus, teniendo en cuenta que las actas
Fuga y/o pérdida las son carácter de reservado. Lo que permitirá
Actas del Consejo garantizar el cumplimiento de la política de manejo.
13
de Seguridad
Nacional (CSN) Análisis de datos
Se Recomienda 19 mejorar el análisis de datos del
indicador Actas del consejo de Seguridad Nacional
Bajo Custodia asociado al riesgo, lo que permitirá
realizar un monitoreo en términos de eficacia y
eficiencia de los controles.
Incumplimiento en
la generación de
Análisis y valoración del Riesgo Fondo paz
condiciones para el
Se Recomienda 20 hacer un análisis de los efectos y
logro y
14 controles del riesgo debido a que no se evidencia
mantenimiento de
articulación, entre las causas, controles y efectos.
la Paz a través del
mejoramiento de
Vías en Zonas
18
GESTIÓN
Afectadas por el
conflicto.
Análisis y valoración del Riesgo Fondo paz
Se Recomienda 21 valorar el riego, teniendo en
cuenta que el control “Adiciones y/o Modificaciones
Presupuestales” está como correctivo, teniendo en
cuenta que los controles establecidos para mitigar la
materialización del riesgo, son preventivos.
Se Recomienda 22 revisar la pertinencia de

Incumplimiento en identificar, analizar y controlar posibles hechos
la generación de generadores de corrupción en el proceso de
condiciones para el contratación que está llevando a cabo el Fondo, de
15 logro y acuerdo con los lineamientos establecidos en la
mantenimiento de “Guía para la gestión de riesgo de corrupción” y los
la Paz en todo el Lineamientos para la Administración del Riesgo.
territorio nacional
Se Recomienda 23 revisar la pertinencia de unificar
estos dos riesgos (14 y 15), teniendo en cuenta que
hacen referencia al Incumplimiento en la generación
de condiciones para el logro y mantenimiento de la
Paz, e identificar nuevos riesgos de acuerdo a las
funciones que el Fondo está desempeñando en la
actualidad.
Riesgo duplicado Oficina Alto Comisionado para la

Paz
Incumplimiento en
Se Recomienda 24 revisar éste riesgo, teniendo en
la generación de
cuenta que se encuentra identificado y formulado en
condiciones para el
el Fondo de Programas Especiales para la Paz, si bien
16 logro y
es cierto es en coordinación con la Oficina del Alto
mantenimiento de
Comisionado para la Paz, no se evidencian
la Paz en todo el
actividades que ejerzan control por la OACP, y el
territorio nacional
Fondo realiza el monitoreo, mide y analiza el
indicador que se tiene asociado al riesgo.
Baja cobertura en la Controles CP para la Equidad de la Mujer
17 incorporación de la Se Recomienda 25 reevaluar las causas desinterés de
transversalización las entidades territoriales y desconocimiento de las
19
GESTIÓN
de género en las asesorías brindadas por parte de la Consejería,

entidades teniendo en cuenta que los controles apuntan a
nacionales y garantizar que las entidades territoriales conozcan
territoriales. los servicios de la Consejería.
Al verificar los cuatro controles que aplica la

consejería, se observa que a través del tiempo se han
mantenido, se Recomienda 26 evaluar la pertinencia
de los mismos.
Debilidad de los
procesos de
Análisis de Indicador CP para los Derechos Humanos
articulación
No se realizó el cargue del valor y análisis de datos al
interinstitucional
31 de diciembre de 2016, como se evidenció en el
en los ámbitos
indicador “Documentos de Evaluación de la Asistencia
nacional y
Técnica Realizada a Municipios Focalizados” de
18 territorial que
obtención anual registrado en el aplicativo SIGEPRE,
obstaculice la
incumpliendo las actividad No. 6 Reportar los datos
elaboración de la
de los Indicadores y No. 7 Analizar Datos del Indicador
evaluación de la
del procedimiento P-DE-02 Formulación, Registro y
asistencia técnica
Análisis de Indicadores. No Conformidad Real 01.
prevista para la
vigencia
Materializado
Inadecuado
Se materializó el riesgo, el cual fue reportado en el
acompañamiento a
aplicativo SIGEPRE y se formuló el plan de
los proyectos de
mejoramiento con código NCR-0572 AP-
infraestructura
Incumplimiento proyectos de infraestructura
para la atención
19 previstos para el año 2016, y se encuentra en etapa
integral para la
de ejecución de acciones y seguimiento al plan de
primera infancia
mejoramiento. A pesar de haber formulado plan de
durante la
mejoramiento se Recomienda 27 revisar e identificar
formulación y
nuevos controles con el fin de garantizar la no
ejecución.
materialización.
Identificación de nuevos riesgos de corrupción
Incumplimientos
Se Recomienda 28 revisar la pertinencia de
legales en la
Gestión Jurídica 20 identificar, analizar y controlar posibles hechos
atención de los
generadores de corrupción del riesgo
procesos judiciales
Incumplimientos legales en la atención de los
20
GESTIÓN
y acciones procesos judiciales y acciones judiciales de acuerdo

judiciales. con los lineamientos establecidos en la cartilla “Guía
para la gestión de riesgo de corrupción” y los
Lineamientos para la Administración de los Riesgos
del Proceso de Direccionamiento Estratégico.
Divulgación no
Monitoreo Secretaria de Prensa
autorizada de
Gestión de 21 Se Recomienda 29 realizar el cargue de la
información de
Seguridad, Apoyo información con oportunidad dentro de los 15 días
carácter noticioso
Logístico posterior al corte del trimestre con el fin de
Interrupción de la
Presidencial y determinar si hubo o no materialización del riesgo y
Transmisión de
Comunicación y de paso cumplir con los tiempos establecidos en el
22 video y/o audio de
Prensa SIGEPRE de conformidad con el Lineamiento para la
los eventos del
Administración de Riesgo código L-DE-01.
Señor Presidente.
Análisis de Indicador
Se Recomienda 30 mejorar el análisis de datos del
indicador Causas que genera la declaratoria de
desierta asociado al riesgo, lo que permitirá realizar
Declaratoria de un mejor monitoreo del mismo.
desierta de un
proceso de Se Recomienda 31 revisar y de ser necesario ajustar
23
selección por el análisis del riesgo toda vez que en la matriz de
decisiones erróneas calificación y resultado, el riesgo se ubicó en la misma
en la evaluación. zona No. 16 tanto antes como después de controles.
Lo anterior permitirá asegurar que las fases de
Adquisición de análisis y valoración se realicen de acuerdo con los
Bienes y Servicios Lineamientos para la Administración del Riesgo (L-
DE-01).
Materialización
Durante la vigencia 2016, se observó que para el
tercer trimestre de 2016 el riesgo se materializó, por
Perdida de los lo que se Recomienda 32 revisar la conveniencia de
expedientes de los establecer nuevos controles que permitan mantener
24
procesos el manejo de reducir la ocurrencia de la
contractuales materialización del mismo.
Así mismo, Se Recomienda 33 modificar la opción de

manejo del riesgo, lo anterior de conformidad con lo
21
GESTIÓN
establecido en el literal b numeral 6.5.1.

Lineamientos administración del riesgo.
Relación causas - controles
identificar controles asociados a la causa 3. Falta de
parametrización del aplicativo con base en las
Incumplimientos
necesidades de la Entidad, lo que permitirá el
legales en la
cumplimiento de la política de manejo Evitar el
liquidación de las
25 Riesgo.
novedades
laborales y
Monitoreo
prestacionales.
Valoración del riesgo
Se Recomienda 36 en la etapa 3 de valoración,
verificar y analizar el control número 1 “Informe de
Daño de Activos
inspección del estado de la documentación en el
durante la
Gestión Archivo Central”, se encuentra en la clase correctivo
26 Administración
Documental y escala afectada el impacto, teniendo en cuenta que
Documental en el
los controles son preventivos.
Archivo Central
Así mismo, se Recomienda 37 identificar y valorar

riesgos de corrupción.
Controles
El control de herramientas y contratos de
Violación de la
mantenimiento se soporta con capacitación, se
27 integridad de la
Recomienda 38 aplicar herramientas que generen
información
alertas y faciliten el seguimiento a los contratos de
Tecnología de la mantenimiento.
Información y Monitoreos
Comunicación Se realizaron en forma extemporánea los
Suspensión Masiva
monitoreos, como se evidenció en el con corte a
en la prestación del
28 diciembre de 2015 se realizó el 27 de enero de 2016
servicio de
y con corte a 30 de junio, el 28 de julio. Incumpliendo
telecomunicaciones
lo establecido en el numeral 6.6 del lineamiento
Administración del Riesgo L-DE-01. Que establece
22
GESTIÓN
que los monitoreos trimestrales se deben presentar

durante los 15 primeros días después de la fecha de
corte. No Conformidad Real 02.
Se Recomienda 39 mejorar la calidad de la

información registrada en cada uno de los
monitoreos adjuntando los soportes que permiten
evidenciar la no materialización del mismo.
Se Recomienda 40 para la implementación de la

mejor práctica en la identificación de peligros y la
valoración de riesgos, en el marco de la gestión del
riesgo de seguridad y salud ocupacional, se estimen
los respectivos riesgos.
Nota: Los riesgos que no se relacionan obedece a que no presentaron aspectos no conformes o
por mejorar.
Una vez analizados y revisados los 61 riesgos institucionales, se presentan las siguientes
Recomendaciones generales:
 Una vez realizada la evaluación y seguimiento a la Gestión de Riesgo de la entidad ésta

Oficina de Control Recomienda 41 la posibilidad de implementar en el Módulo de Gestión de
Riesgos en el Aplicativo SIGEPRE, el mapa de riesgos del Sistema de Seguridad Informática,
del Sistema de Seguridad y Salud en el Trabajo y el mapa de riesgos contables éste último
acatando las Normas Internacionales de Información Financiera.
 Teniendo en cuenta que la Casa del Fuerte de San Juan de Manzanillo en Cartagena y la
Hacienda Hato Grande en Sopo, son sedes que pertenecen al Departamento Administrativo
de la Presidencia de la Republica – DAPRE, se Recomienda 42 revisar la pertinencia de
identificar y valorar riesgos inherentes a estas dependencias, ya que no se evidencia su
cubrimiento, en los riesgos existentes.
 Se Recomienda 43 actualizar el objetivo del proceso Gestión Administrativa, toda vez que la
Resolución 0970 de 2016 Artículo Vigésimo establece que las funciones del Grupo de
Telecomunicaciones pertenecen al Área de Tecnologías y Sistemas de Información.
23
GESTIÓN
6.1.2 Riesgos de Corrupción
Seguidamente, se verificó en el módulo Gestión del Riesgo la zona de los 11 riesgos de

corrupción, para determinar:
1. Las calificaciones del riesgo antes de controles

2. Las calificaciones del riesgo después de controles
De acuerdo con la Matriz 1 adoptada en el SIGEPRE. Los resultados de la verificación se

presentan en la Matriz 4:
Matriz 4. Zona de los 11 Riesgos de Corrupción – antes de controles

IMPACTO
PROBABILIDAD Insignificante Menor Catastrófico
Moderado (3) Mayor (4)
(1) (2) (5)
1 2 3 4 5
Raro (1)
Improbable (2) 2 4 6 8 10
3 6 9 12 15
R10 OCIG
Moderada (3) R2 OCDI
R11 A. T.
R1 OCDI
Sistemas
4 8 12 16 20
R5 Financiera R1
Probable (4) R6 Financiera Adquisición
R8 TH de Bs y S
R9 TH R7 financiera
Casi certeza (5) 5 10 15 20 25
R4 S Jurídica
Como se observa en la matriz 4, la Entidad determinó en su análisis antes de controles que, la

probabilidad de ocurrencia y el impacto que puede causar la materialización de los riesgos de
corrupción se concentran en un 100% en la zona de riesgo extrema:
24
GESTIÓN

Zona de Riesgo Baja - -
Zona de riesgo
- -
Moderado
Zona de Riesgo Alta - -
Posteriormente, se procedió a revisar la zona de los 11 riesgos de corrupción, una vez los
procesos valoraron sus respectivos controles, como se muestra a continuación en la matriz 5:
Matriz 5. Zona de los 11 Riesgos de Corrupción – después de controles

IMPACTO
PROBABILIDAD Insignificant Catastrófico
e (1) (5)
1 2 3 4 5
Raro (1)
R10 OCIG
2 4 6 8 10
R1 OCDI
R5 financiera
R1
R6 financiera
Improbable (2) Adquisición
R8 TH
de Bs y S
R11 A. T.
R7 financiera
Sistemas
R9 TH
3 6 9 12 15
Moderada (3)
R2 OCDI
4 8 12 16 20
Probable (4)
5 10 15 20 25
Casi certeza (5)
R4 S Jurídica
25
GESTIÓN
Como se observa en la matriz 5, la Entidad determinó en la valoración del riesgo que, la

probabilidad de ocurrencia y el impacto que puede causar la materialización de los riesgos de
corrupción se concentra en un 67% en zona de riesgo alta y en un 36% en zona de riesgo
extrema, así:

Zona de Riesgo Baja - -
Zona de riesgo
- -
Moderado
De todo lo anterior se pudo constatar que, la Entidad ejecutó las acciones fundamentales para
valorar los riesgos de corrupción, disminuyendo su concentración al pasar de una zona de riesgo
extrema del 100% al 36% y desplazándose a la zona de riesgo alta con una concentración del
67%.
El 36% en zona extrema corresponde a los siguientes 4 riesgos:
# Probabilidad Impacto Zona del Riesgo Prioridad del Riesgo

R1 Adquisición de
1 2 5
BS
Zona de Riesgo
2 2 5 R7 Financiera
Extrema
3 3 4 R2 OCID
4 5 5 R4 S. Jurídica
De lo anterior, se Recomienda 44 efectuar un monitoreo permanente e implementar acciones

que prevengan su materialización y proporcionen una seguridad razonable sobre el logro de los
objetivos.
26
GESTIÓN
6.1.2.1 Gestión del riesgo de corrupción
Se procedió a revisar el 100% de los 11 riesgos de corrupción identificados y activos en la

Entidad, en todas las fases de identificación, análisis, calificación, valoración y monitoreo. A
continuación se relacionan los aspectos obtenidos de la revisión para cada riesgo, así:
Cuadro 3. Resultados evaluación riesgos de corrupción

Proceso # Riesgo Resultado de la Evaluación
 Monitoreado dentro de las fechas
Fraude en los resultados
establecidas
Evaluación obtenidos del ejercicio de
 No se materializó
Control y 1 auditorías internas en
 Controles efectivos
Mejoramiento beneficio propio y de un
tercero
Este Riesgo se identificó en la vigencia 2016
Valoración del Riesgo
Se Recomienda 45, evaluar y analizar el
control Expedición de actos normativos
para corrección de yerros teniendo en
cuenta que está como correctivo afectando
la Probabilidad, lo que permitirá realizar
Deficiencia en el una valoración adecuada con los
momento de revisar y Lineamientos para la Administración del
Gestión Jurídica 2
aprobar proyectos de Riesgo (L-DE-01).
actos normativos
Se Recomienda 46 actualizar la fecha del
plan de contingencia que se tiene
formulado para éste riesgo, como también
verificar la zona del riesgo después de
controles, teniendo en cuenta que está en
la misma del riesgo puro.
Efectuar certificados de
Gestión disponibilidad y registros
establecidas
Financiera 3 presupuestales por un
rubro presupuestal que
no corresponda en la
27
GESTIÓN
ejecución de la cadena
presupuestal
Efectuar un pago a una
persona natural o jurídica
que no corresponda por
establecidas
4 vacíos de información en
la ejecución de la cadena
presupuestal y otros
pagos
Fraude en el manejo de
establecidas
5 los recursos asignados a
las cajas menores
Beneficiar a un oferente
por incumplimientos
legales en la elaboración
Adquisición de establecidas
6 estudios previos, pliegos
Bienes y Servicios  No se materializó
de condiciones o
invitaciones a ofertar de
un proceso de selección
Fraude en el pago de la  Monitoreado dentro de las fechas
nómina y factores establecidas
7
salariales en beneficio  No se materializó
propio y de un tercero  Controles efectivos
Tráfico de influencias
establecidas
8 durante la selección de
personal
Talento Humano
establecidas
Decisiones erróneas en  No se materializó
los pronunciamientos  Controles efectivos
9
ejecutoriados de los
procesos disciplinarios En el monitoreo del último trimestre, el
grupo de trabajo consideró que éste riesgo
no es representativo para la dependencia,
razón por la cual se formuló el Plan de
28
GESTIÓN
Mejoramiento 0M-0293, que cuenta con

una serie de actividades para reformular el
riesgo en 2017.
Pérdida de expedientes El Riesgo se identificó y valoró en el mes de
disciplinarios a cargo de la diciembre de 2016 y se encuentra en la
10
Oficina de Control Interno Etapa 4. Se Recomienda 47 terminar de
Disciplinario gestionarlo.
Hurto, Perdida o fuga de
Información pública Se Recomienda 48 verificar y analizar el
Tecnologías de
11 reservada o clasificada en control de seguimiento a Incidentes dado
Información
la gestión de la que es correctivo
plataforma
Fuente: Aplicativo SIGEPRE – Modulo Gestión del Riesgo.
Las filas sombreadas corresponden a los riesgos identificados en 2016.
De lo anterior, se puede concluir que:
1. La entidad identificó, analizó, calificó y valoró los 11 riesgos de corrupción de conformidad

con los Lineamientos para la Administración del Riesgo (L-DE-01) y la Guía para la gestión
de riesgo de corrupción 2015 de la Secretaría de Transparencia.
2. Durante la vigencia, los riesgos de corrupción fueron monitoreados dentro de las fechas
establecidas en los Lineamientos para la Administración del Riesgo (L-DE-01) y no se
materializaron, lo que indica que los controles implementados fueron efectivos.
6 EVALUACIÓN DE LAS MEJORAS
La eficacia de las mejoras se realizó en el marco de la Auditoría Interna a la Evaluación de la

Eficacia de los Planes de Mejoramiento correspondiente a la vigencia 2016.
7 RESULTADOS DE LA AUDITORIA
7.1 Aspectos Conformes
29
GESTIÓN
1. El desarrollo de esta auditoria permitió evidenciar una dinámica de mejora continua en la

Entidad, mediante la identificación de riesgos que conllevan a tener controles preventivos
que aseguran el cumplimiento de los objetivos.
2. El apoyo de los enlaces de la Oficina de Planeación, de la Oficina de Control Interno y de

los procesos, mediante acciones de sensibilización y recordación para el oportuno
monitoreo de los riesgos.
3. Los riesgos del Departamento Administrativo de la Presidencia de la República DAPRE, se

encuentran alineados con los objetivos tanto del proceso como los objetivos Estratégicos.
4. Los riesgos de corrupción fueron monitoreados dentro de las fechas establecidas, la

información registrada permitió evidenciar los resultados de los mismos, de igual manera
se informaron los respectivos controles aplicados, así como las actividades e indicadores
que permitieron medir su materialización.
5. Se observó que los planes de mejoramiento asociados a los riesgos, contaron con acciones
que contribuyeron a fortalecer los controles.
7.2 No Conformidades Reales
1. La CP para los Derechos Humanos no realizó la medición y análisis de datos al 31 de

diciembre de 2016, como se evidenció en el indicador Documentos de Evaluación de la
Asistencia Técnica Realizada a Municipios Focalizados de obtención anual registrado en el
aplicativo SIGEPRE, incumpliendo las actividad No. 6 Reportar los datos de los Indicadores
y No. 7 Analizar Datos del Indicador del procedimiento P-DE-02 Formulación, Registro y
Análisis de Indicadores. No Conformidad Real 01.
2. El proceso de Tecnología de la Información y Comunicación realizó en forma

extemporánea los monitoreos del riesgo Suspensión Masiva en la prestación del servicio
de telecomunicaciones, como se evidenció en: el con corte a diciembre de 2015 se realizó
el 27 de enero de 2016 y con corte a 30 de junio, el 28 de julio. Incumpliendo lo establecido
en el numeral 6.6 del lineamiento Administración del Riesgo L-DE-01. Que establece que
30
GESTIÓN
los monitoreos trimestrales se deben presentar durante los 15 primeros días después de la
fecha de corte. No Conformidad Real 02.
7.3 Oportunidades de Mejora
1. Se Recomienda 1 realizar un análisis en cada proceso (Direccionamiento Estratégico,

Atención al Usuario, Asuntos Políticos, Seguridad Presidencial, Gestión Administrativa y
Gestión Documental) que les permita identificar riesgos de corrupción, teniendo en
cuenta que existe la posibilidad de que por acción u omisión se use el poder para desviar
la gestión de lo público hacia beneficio propio2, como: incurrir en concentración de
autoridad o exceso de poder, extralimitación de funciones, Sistemas de Información
susceptibles de manipulación o adulteración y deficiencias en el manejo documental y
de archivo, lo que permitirá establecer acciones para controlar otros posibles hechos
generadores de corrupción al interior de la Entidad.
2. Se Recomienda 2 efectuar un monitoreo permanente e implementar acciones que

conlleven a disminuir la probabilidad y mitigar el impacto en caso de materialización de
los 5 riesgos (R3 Atención Usuario, R1 DAICMA, R1 Sec. Prensa, R2 Sec. Prensa y R2
Bienes y Servicios) que permanecen en zona de riesgo extrema.
3. Se Recomienda 3 establecer las acciones necesarias que permitan disponer de una

información veraz y confiable en el Módulo Gestión del Riesgo.
4. Tener en cuenta las Recomendaciones de la 4 a la 40 efectuadas como resultado de la

evaluación a los riesgos institucionales, relacionados en el cuadro No. 1.
5. Una vez realizada la evaluación y seguimiento a la Gestión de Riesgo de la entidad ésta

Oficina de Control Recomienda 41 la posibilidad de implementar en el Módulo de
Gestión de Riesgos en el Aplicativo SIGEPRE, el mapa de riesgos del Sistema de Seguridad
Informática, del Sistema de Seguridad y Salud en el Trabajo y el mapa de riesgos
contables éste último acatando las Normas Internacionales de Información Financiera.
2 Estrategias para la Construcción del Plan Anticorrupción y de Atención al Ciudadano versión 2, pág. 17.
31
GESTIÓN
6. Teniendo en cuenta que la Casa del Fuerte de San Juan de Manzanillo en Cartagena y la
Hacienda Hato Grande en Sopo, son sedes que pertenecen al Departamento
Administrativo de la Presidencia de la Republica – DAPRE, se Recomienda 42 revisar la
pertinencia de identificar y valorar riesgos inherentes a estas dependencias, ya que no
se evidencia su cubrimiento, en los riesgos existentes.
7. Se Recomienda 43 actualizar el objetivo del proceso Gestión Administrativa, toda vez

que la Resolución 0970 de 2016 Artículo Vigésimo establece que las funciones del Grupo
de Telecomunicaciones pertenecen al Área de Tecnologías y Sistemas de Información.
8. Se Recomienda 44 efectuar un monitoreo permanente a los riesgos de corrupción (R1

Adquisición de BS, R7 Financiera, R2 OCID y R4 S. Jurídica) que se encuentran en zona de
riesgo extrema, e implementar acciones que prevengan su materialización y
proporcionen una seguridad razonable sobre el logro de los objetivos.
9. Tener en cuenta las Recomendaciones de la 45 a la 48 efectuadas como resultado de la

evaluación a los riesgos de corrupción, relacionados en el cuadro No. 2.
8 CONCLUSIONES DE LA AUDITORIA
La Oficina de Control Interno determina que, el Departamento Administrativo de la Presidencia

de la República DAPRE, cuenta con una metodología de riesgos adecuada, la cual cuenta con
una política de administración de riesgos y unos lineamientos que le permite realizar la
identificación, valoración, tratamiento y monitoreo de cada uno de los eventos que puedan
afectar el logro de los objetivos de la entidad y garantizando la operatividad eficaz del Sistema
de Control Interno.
Sin embargo, se establecen aspectos conformes y no conformes los cuales se les debe dar el
tratamiento correspondiente para poder tener así un mejoramiento continuo.
32

AEG2017 Gestion Riesgo

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

AEG2017 Gestion Riesgo

Uploaded by

Copyright:

Available Formats

Informe de Auditoría a la Gestión del Riesgo

INFORME DE AUDITORIA INTERNA DE

Bogotá D.C. Febrero de 2017

1. OBJETIVO DE LA AUDITORIA --------------------------------------------------------------------------------3

1.1 Objetivos Específicos

 Evaluar el mapa de riesgos institucional y de corrupción.

La evaluación se realizará a la gestión del riesgo institucional y de corrupción, realizada durante

Proceso Líder: Direccionamiento Estratégico.

4. MARCO LEGAL O ANTECEDENTES

El Departamento Administrativo de la Presidencia de la República - DAPRE, estableció los

de la Alta Dirección, mediante la cual da a conocer la metodología para la identificación, análisis,

Conforme a lo anterior, se dispuso que la Entidad efectuará una adecuada administración de

Por último, la Oficina de Control Interno en ejecución de su rol de evaluación y seguimiento,

4.2 Marco Legal

 Ley 1474 de 2011, Estatuto Anticorrupción.

 Guía para la gestión de riesgo de corrupción 2015, Secretaría de Transparencia.

 Decreto 1083 de 2015, adopta la actualización del MECI.

 Guía para la Administración del Riesgo de la Función Pública.

 ISO 31000 Gestión del Riesgo, principios y directrices.

 Lineamientos para la Administración del Riesgo (L-DE-01).

5.1 Términos del Informe

Se utilizará para el presente Informe, los términos y definiciones establecidos en el Manual de

No Conformidad Real – NCR: Incumplimiento de un requisito legal, técnico, de organización o

No Conformidad Potencial - NCP: Hecho o situación que podría generar el incumplimiento de

Oportunidad de Mejora - OM: Acción para mejorar un procedimiento, proceso o actividad. Se

5.3 Plan General de Auditoria

El ejercicio de Auditoría Interna a la Política para la Administración del Riesgo, se comunicó al

6.1 Evaluación del Mapa de Riesgos Institucional y de Corrupción

Durante la vigencia 2016, la Entidad identificó un total de 72 riesgos clasificados en:

Descripción Riesgos Participación

A continuación, se relaciona la cantidad de riesgos por proceso detallando los riesgos de

Cuadro No 1. Total riesgos por Proceso

6.1.1 Riesgos institucionales

Seguidamente, se verificó en el módulo Gestión del Riesgo la zona de los 61 riesgos

1. Las calificaciones del riesgo antes de controles

Para lo cual, se tomó como referencia la Matriz 1 adoptada en el SIGEPRE:

Matriz 1. De calificación, evaluación y respuesta

Los resultados de la verificación, se presentan a continuación en las matrices 2 y 3, así:

Matriz 2. Zona de los 61 Riesgos Institucionales – antes de controles

Como se observa en la matriz 2, la Entidad determinó en su análisis antes de controles que, la

Matriz 2 Riesgos Participación

Matriz 3. Zona de los 61 Riesgos Institucionales - después de controles

Como se observa en la matriz 3, la Entidad determinó en la valoración del riesgo que, la

Matriz 3 Riesgos Participación

# Probabilidad Impacto Zona del Riesgo Prioridad del Riesgo

De lo anterior, se Recomienda 2 efectuar un monitoreo permanente e implementar acciones

6.1.1.1 Gestión del riesgo Institucional

a. Modulo Gestión del Riesgo Aplicativo SIGEPRE

 No se encontraron activos en un lapso de dos semanas, los riesgos de la Dirección de

 Se observaron inconsistencias en la opción Reportes en cuanto al total y clase de Riesgos, al

Fuente: Modulo Gestión del Riesgo – Aplicativo SIGEPRE

 Reporte de Riesgos por Opciones de Manejo, el reporte muestra un total de 84 riesgos,

Fuente: Modulo Gestión del Riesgo – Aplicativo SIGEPRE

De conformidad con los resultados presentados, se Recomienda 3 establecer las acciones

b. Aplicación metodología de Gestión del Riesgo

Se procedió a revisar el 100% de los 61 riesgos institucionales identificados y activos en la

Cuadro 2. Resultados evaluación riesgos institucionales

proyectos de Se Recomienda 4 revisar la conveniencia de

Manejo del Riesgo

Atención al Vencimiento de los

Presidente de la Se Recomienda 11 revisar la conveniencia de

Valoración del Riesgo DAICMA

Se Recomienda 22 revisar la pertinencia de

Riesgo duplicado Oficina Alto Comisionado para la