Sede Nacional - Bogotá - Calle 44 No. 53 - 37 CAN

PBX: 2202790 - Fax: (091) 2202790 Ext. 4111

Correo Electrónico: ventanillaunica@esap.edu.co

www.esap.edu.co

150.780.70.96

Bogotá, Abril 3 de 2020 Doctor PEDRO MEDELLÍN TORRES Director Nacional Escuela Superior de Administración Pública Ciudad REF.: INFORME PORMENORIZADO DEL SISTEMA DE CONTROL INTERNO MECI Reciba un cordial saludo Doctor Medellín. Por medio de la presente me permito hacer entrega formal del Informe Pormenorizado Cuatrimestral del Sistema de Control Interno MECI periodo Noviembre 2019 a Febrero de 2020. Atenta a sus comentarios y recomendaciones. Cordialmente,

MARIA MAYERLY PEDREROS Jefe de la Oficina de Control Interno Anexo Informe 11 folios

Elaboró: Camilo Mahecha

Profesional de Apoyo

Versión 02 Fecha: 15/08/2018 Página 2 de 12 Código RE-E-GE-26

INFORME DE LEY Y SEGUIMIENTO

DOCUMENTOS DE REFERENCIA: PT-E-GE-06

PERIODICIDAD DEL INFORME

Anual

PERIODO A REPORTAR

Noviembre 2019 – Febrero 2020 Semestral

Cuatrimestral X

Trimestral

Bimestral FECHA DE PRESENTACIÓN DEL INFORME

Mes Día Año

Mensual 03 31 2020

OTRO

NOMBRE DEL INFORME

INFORME PORMENORIZADO CUATRIMESTRAL DEL ESTADO DEL SISTEMA DE CONTROL INTERNO

NORMAS QUE RESPALDAN EL

INFORME

Constitución Política de Colombia de 1991, Artículo 209: La función administrativa está al servicio de los intereses generales y se desarrolla con fundamento en los principios de igualdad, moralidad, eficacia, economía, celeridad, imparcialidad y publicidad, mediante la descentralización, la delegación y la desconcentración de funciones. Artículo 269: En las entidades públicas, las autoridades correspondientes están obligadas a diseñar y aplicar, según la naturaleza de sus funciones, métodos y procedimientos de control interno, de conformidad con lo que disponga la ley, la cual podrá establecer excepciones y autorizar la contratación de dichos servicios con empresas privadas colombianas. Ley 1712 de 2014: La cual tiene por objeto regular el derecho de acceso a la información pública, los procedimientos para el ejercicio y garantía del derecho y las excepciones a la publicidad de información. Ley 1474 de 2011: Por la cual se dictan normas orientadas a fortalecer los mecanismos de prevención, investigación y sanción de actos de corrupción y la efectividad del control de la gestión pública. (Estatuto Anticorrupción) Decreto 103 de 2015: Tiene por objeto reglamentar la Ley 1712 de 2014, en lo relativo a la gestión de la información pública. Decreto 1499 de 2017: Por medio del cual se modifica el Decreto 1083 de 2015, Decreto Único Reglamentario del Sector Función Pública, en lo relacionado con el Sistema de Gestión establecido en el artículo 133 de la Ley 1753 de 2015.

RESPONSABLE PROCESO

OFICINA DE CONTROL INTERNO

OBJETO

Informe del Seguimiento a las acciones que garantizan el sostenimiento y actualización del Sistema de Control Interno en la Entidad, de acuerdo con lo establecido en la normatividad vigente, buscando el mejoramiento continuo en el avance a la implementación del Modelo Integrado de Planeación y Gestión II.

ALCANCE Verificación del avance a la implementación del Modelo Integrado de Planeación y Gestión II durante el periodo comprendido entre el 01 de noviembre de 2019 al 29 de febrero de 2020.

PROFESIONAL (es) QUE ELABORAN EL

INFORME

Camilo Mahecha Rincón

Versión 02 Fecha: 15/08/2018 Página 3 de 12 Código RE-E-GE-26

METODOLOGIA: La verificación se realiza de acuerdo con lo evidenciado y observado por parte de la Oficina de Control

Interno, quedando soportado en el presente informe.

DESARROLLO: La Oficina de Control Interno en cumplimiento de la Ley 1474 de 2011, artículo 9° Reportes del

responsable de control interno, que establece:

“(…) El jefe de la Unidad de la Oficina de Control Interno deberá publicar cada cuatro (4) meses en la página web de la

entidad, un informe pormenorizado del estado del control interno de dicha entidad, so pena de incurrir en falta disciplinaria

grave. (…)”

Este informe de seguimiento se realiza del periodo comprendido entre noviembre de 2019 a febrero de 2020, teniendo en

cuenta el Modelo Integrado de Planeación y Gestión -MIPG, bajo la estructura del Modelo Estándar de Control Interno –

MECI, que de acuerdo con el Manual Operativo MIPG, funcionara a través de 7 dimensiones:

Dimensión Talento Humano

Dimensión Direccionamiento Estratégico y Planeación

Dimensión Gestión con Valores para el Resultado

Dimensión Evaluación para el Resultado

Dimensión Información y Comunicación

Dimensión Gestión del Conocimiento y la Innovación

Dimensión Control Interno

De acuerdo con lo anterior, el Control Interno se integra, a través del MECI, como una de las dimensiones del Modelo, y

en el mismo Decreto 1499 de 2017 se establece la actualización del Modelo Estándar de Control Interno – MECI, en 5

componentes:

1. Ambiente de Control

2. Evaluación del Riesgo

3. Actividades de Control

4. Información y Comunicación

5. Actividades de Monitoreo

Conforme a lo anterior, la Oficina de Control Interno presenta el Informe Pormenorizado de Control Interno:

1. Ambiente de Control

Este componente orienta a la entidad en el compromiso de la integridad (valores) y principios del servicio público; es así

como la ESAP con Resolución No. 1901 del 21 de mayo de 2018, adopta el Código de la Integridad en donde en su

artículo primero indica: Adoptar el Código de Integridad para los servidores públicos de la Escuela Superior de

Administración Pública — ESAP de acuerdo a los principios establecidos por el Departamento Administrativo de la Función

Pública, dentro del 'código general' o 'código tipo' denominado, Código de Integridad, el cual cuenta con las características

de ser general, conciso y por medio del cual se establecieron unos mínimos de integridad homogéneos para todos los

servidores públicos del país. Cada uno de los valores que se incluyen en el Código, determinan una línea de acción

cotidiana para los servidores, se definieron (5) valores así:

• Honestidad: Actúo siempre con fundamento en la verdad, cumpliendo mis deberes con transparencia, rectitud, y siempre

favoreciendo el interés general. Este documento está publicado en la página web de Función Pública.

Versión 02 Fecha: 15/08/2018 Página 4 de 12 Código RE-E-GE-26

• Respeto: Reconozco, valoro y trato de manera digna a todas las personas, con sus virtudes y defectos, sin importar su

labor, su procedencia, títulos o cualquier otra condición.

• Compromiso: Soy consciente de la importancia de mi rol como servidor público y estoy en disposición permanente para

comprender y resolver las necesidades de las personas con las que me relaciono en mis labores cotidianas, buscando

siempre mejorar su bienestar.

• Diligencia: Cumplo con los deberes, funciones y responsabilidades asignadas a mi cargo de la mejor manera posible,

con atención, prontitud y eficiencia, para así optimizar el uso de los recursos del Estado.

• Justicia: Actúo con imparcialidad garantizando los derechos de las personas, con equidad, igualdad y sin discriminación.

La implementación del Código de Integridad es liderada por la Subdirección Administrativa y Financiera, Grupo de Gestión

de Talento Humano y de la Secretaria General con el apoyo de todas las áreas de la entidad.

Con respecto al Comité Institucional de Gestión y Desempeño para el periodo evaluado, se llevó a cabo el día 27 de

diciembre del 2019, en sesión No.6, en donde fueron tratados los siguientes temas y de gran importancia para el

cumplimiento de los objetivos trazados por entidad:

Aprobación Mapa de Procesos – Nuevo

Programa de Gestión Documental

Aprobación Plan de Acción 2020

Aprobación Mapa de Riesgos 2020

Aprobación Plan Anticorrupción y Atención al Ciudadano 2020

Aprobación Plan Estratégico de Talento Humano y Plan Institucional de Capacitación

Plan Institucional de Bienestar Social 2020

Plan Estratégico de tecnologías de la Información 2020

Por otra parte, y con el fin de dar cumplimiento de las funciones de supervisión del desempeño del Sistema de Control

Interno, y de identificación de mejoras que se requieran, y cumpliendo con lo establecido en el componente No. 5

“Actividades de Monitoreo”, estas son realizadas por la Oficina de Control Interno, a través de las auditorias de Evaluación

y Seguimiento, una vez presentados los informes, con las respectivas recomendaciones y sugerencias que deben realizar

con el fin de minimizar los riesgos encontrados.

En Acta No. 1 del 27 de enero de 2020, dentro del marco del Comité Institucional de Gestión y Desempeño, es aprobada

la conformación del Equipo Institucional para el Sistema de Rendición de Cuentas para la Implementación del Acuerdo de

Paz, quedando de la siguiente forma:

Versión 02 Fecha: 15/08/2018 Página 5 de 12 Código RE-E-GE-26

De igual forma, en acta No. 2 del 19 de febrero de 2020 es aprobado por el Comité Institucional de Gestión y Desempeño, los planes de acción para las Direcciones Territoriales vigencia 2020, partiendo de la propuesta elaborada, tomando como modelo el correspondiente a la Dirección Territorial Antioquia – Chocó y se autoriza a la Oficina Asesora de Planeación para enviar a las Direcciones Territoriales el correspondiente Plan, según aprobación del Comité.

Dimensión Talento Humano

Para la vigencia 2019, el Grupo de Gestión de Talento Humano de la entidad con resolución No. 062 del 9 de enero de

2019, adopta el “Plan Institucional de Capacitación”. Para el periodo evaluado, se da continuidad a las capacitaciones

programadas, dando cumplimiento al cronograma establecido:

CAPACITACIONES PROGRAMADAS FECHA

Seminario Gestión Pública para Resultados con Enfoque Territorial y de Derechos 5 de Noviembre

Seminario Innovación Pública 5 de Noviembre

Seminario en Gobierno Abierto y Gobierno en Línea 7 de Noviembre

Ajustes Institucionales y Enfoques Transversales en la Implementación Efectiva del Acuerdo

de Paz (Colombia, 2016-2019)

13 de Noviembre

Capacitación en Derechos Humanos 14 de Noviembre

Capacitación en Seguridad de la Información 02 de Diciembre

Curso Inducción para Servidores Públicos de la alta Gerencia 04 de Diciembre

Capacitación Orientada a la Vocación al Servicio

11 de Diciembre

El Plan se encuentra publicado en la página web de la entidad, link: http://www.esap.edu.co/portal/index.php/plan-

institucional-de-capacitacion/

El Grupo de Gestión de Talento Humano elaboró el Plan Estratégico de Talento Humano 2019, que integra; los planes de

Bienestar, Institucional de Capacitación y Anual de Vacantes, el cual se puede verificar en la página WEB de la ESAP

ingresando por el siguiente link:

http://www.esap.edu.co/portal/index.php/plan-estrategico-talento-humano/

Plan Institucional de capacitación – PIC 2019: La formulación del “Plan Institucional de Capacitación” adoptado mediante resolución No. 062 del 29 de enero de 2019, que fue recomendado para su aprobación por los miembros del comité de personal, cuya construcción parte del Diagnóstico de Necesidades e intereses de los servidores de la ESAP, el cual surge del Plan nacional de Capacitación 2017-2027 definido desde sus tres ejes fundamentales:

Versión 02 Fecha: 15/08/2018 Página 6 de 12 Código RE-E-GE-26

Este plan se encuentra publicado en la página web de la entidad, link: http://www.esap.edu.co/portal/index.php/plan-

institucional-de-capacitacion/

De igual manera se adoptó mediante resolución No. 063 del 23 de enero de 2019, el plan institucional de bienestar social,

estímulos e incentivos el cual puede ser consultado en el siguiente link http://www.esap.edu.co/portal/index.php/plan-

institucional-de-bienestar-social-estimulos-e-incentivos/

Resultados de la medición e impacto de PIC 2019: Es imprescindible para la entidad contar con un capital humano dotado de competencias que lleven a ejecutar de manera efectiva su trabajo y de esta manera lograr un buen desempeño dentro de la entidad. Por lo anterior, se hace necesario evaluar el impacto de las capacitaciones brindadas de acuerdo con el Plan Institucional

de capacitación – PIC de la Escuela Superior de Administración Pública- ESAP, para lo cual se diseñaron dos evaluaciones

con el fin de que brindar información sobre la se pudiera inferir si hay transferencia del conocimiento. Dichas evaluaciones

se componen de dos partes a evaluar; una autoevaluación que consiste en aplicarla directamente al funcionario que asistió

a las capacitaciones, en ella hay preguntas abiertas y tipo escala Liker; la otra, es una heteroevaluación la cual es

diligenciada por el jefe inmediato, ésta trae dos preguntas basadas en la autoevaluación y una donde deben colocar el

porcentaje de mejoramiento del desempeño en el puesto de trabajo teniendo en cuenta las capacitaciones a las cuales

asistió el funcionario a cargo.

Dimensión de Direccionamiento Estratégico y Planeación

EL Plan de Acción de la Entidad fue formulado y liderado por la Oficina Asesora de Planeación, donde se encuentran

plasmados los objetivos propuestos por la ESAP, con las metas establecidas que conllevan al logro de los mismos,

facilitando verificar el comportamiento del Sistema de Control Interno.

Igualmente, el plan está formulado con base en la misión, visión y política de la Entidad, el Modelo Integrado de Planeación

y Gestión - MIPG y el Plan Estratégico. El plan estratégico se soportó en los planes de acción 2019 de cada dependencia,

los cuales se alinearon con los proyectos de inversión y el plan anual de adquisiciones, estableciendo los respectivos

indicadores que permiten evaluar los resultados obtenidos.

Los lineamientos para la ejecución de las actividades propias de la gestión institucional están dados en sus políticas de

operación, lo mismo que en sus procesos y procedimientos los cuales a su vez describen en detalle objetivos, líneas y

formas de acción, y controles, todo en conjunto atendiendo las correspondientes disposiciones legales que enmarcan la

gestión de la entidad.

El Plan de Acción definitivo de la ESAP 2019 fue publicado el 31 de enero, se puede consultar en la página web de la

Entidad, ingresando por el siguiente link: http://www.esap.edu.co/portal/index.php/plan-de-accion/.

Es así, como dentro de los nuevos cambios propuestos para el MIPG se encuentran:

Adicionar a la Secretaría General como líder de la Política de Racionalización de Trámites en conjunto con la

Oficina Asesora de Planeación.

Se incluyeron algunas funciones referentes a Seguridad de la información dentro de las Funciones del Comité

Institucional de Gestión y Desempeño.

En la conformación del Comité Institucional de Gestión y Desempeño, se incluye la participación de un Director

Territorial designado por el Director Nacional para cada vigencia fiscal.

Versión 02 Fecha: 15/08/2018 Página 7 de 12 Código RE-E-GE-26

Con respecto a los impedimentos, recusaciones y conflicto de interés de los miembros del Comité Institucional

de Gestión y Desempeño, se ajustó de acuerdo al Código Contencioso Administrativo.

De igual manera, y teniendo en cuenta que el Modelo Integrado de Planeación y Gestión opera a través de la puesta en

marcha de siete (7) dimensiones y diecisiete (17) políticas, se establece como responsables de liderar la implementación

del Modelo en la ESAP, a las siguientes dependencias:

Responsables de la Adopción del Modelo Integrado de Planeación Gestión -MIPG

Dimensión de gestión con valores para resultados

Durante el periodo evaluado, se observa avance en el desarrollo de las actividades establecidas en el Plan de acción –

2019 y cumplimiento de su misión, lo cual para la presente vigencia ha tenido énfasis en el Modelo MIPG.

La Secretaría General presentó evidencia del informe de PQRS, correspondiente a noviembre y diciembre, así como lo

vienen generando mensualmente y que se pueden visualizar en la página (14 informes publicados).

Los informes puedes ser consultados a través del siguiente link:

https://www.esap.edu.co/portal/index.php/estructura-organica/secretaria-general/atencion-al-ciudadano/atencion-al-

ciudadano-quejas-y-reclamos/

Con respecto a Transparencia, acceso a la información pública y lucha contra la corrupción Servicio al ciudadano, así

como lo concerniente a racionalización de trámites Participación ciudadana en la gestión Gobierno digital TIC para

Servicios TIC para Gobierno abierto, EL avance de cumplimiento se encuentra en los informes de seguimientos a los

Planes de Anticorrupción que realiza la Oficina de Control Interno en los tiempos establecidos. Para el periodo evaluado

en el informe realizado en el mes de noviembre de 2019, con los soportes respectivos.

Durante el periodo evaluado, se observa avance en el desarrollo de las actividades que conforman el accionar de la

Entidad, en ejecución de su Plan de acción – 2019 y cumplimiento de su misión, lo cual para la presente vigencia ha tenido

énfasis en el Modelo MIPG.

Versión 02 Fecha: 15/08/2018 Página 8 de 12 Código RE-E-GE-26

De otro lado la Oficina de Sistemas e Información, en la vigencia 2020, continua con la implementación de la estrategia

de Gobierno en Línea y el avance en la implementación del Sistema de Gestión y Seguridad de la Información.

La Subdirección de Proyección Institucional a través de la Oficina de Comunicaciones cuenta con el plan de

comunicaciones actualizado, actualización basada en lo establecido en el instructivo para la formulación, implementación,

y seguimiento de planes institucionales DC-S-PE-12.

2. Gestión de riesgos institucionales

VALORACIÓN DE RIESGOS DE GESTIÓN

La Oficina de Control Interno dentro de la vigencia 2019, comunicó los resultados de la verificación al cumplimiento de las

acciones emprendidas por la Escuela Superior de Administración Pública para la definición y tratamiento de los riesgos

institucionales identificadas en los procesos, así como la debida aplicación de la metodología adoptada para la gestión de

sus riesgos.

La ESAP adoptó la Guía de Administración de Riesgos del DAFP, teniendo en cuenta el análisis del contexto estratégico,

la identificación, valoración y monitoreo por proceso, con la consolidación del Mapa de Riesgos Institucional, el cual fue

diseñado durante la vigencia 2015-2016 y actualizado de acuerdo a los nuevos lineamientos y asesoría por parte de las

oficinas de Planeación y Control Interno durante el periodo 2019. En este orden de ideas se procedió por parte de control

interno a realizar el seguimiento y la evaluación al mapa de riesgos vigente, verificando las acciones definidas por la ESAP

para la administración del riesgo a través de la observación y revisión de los registros soporte de cada acción propuesta

y la aplicación de la metodología para la definición tanto de los riesgos como de sus controles.

Contexto Estratégico - Política de Administración de Riesgos

De acuerdo con la resolución No. 3020 del 26 de septiembre de 2017, se adopta la Política de Administración de Riesgos en la ESAP, declarando las intenciones generales de la entidad en términos de forma y objetivos con respecto a la gestión del riesgo. Se específica de manera explícita el nivel de tolerancia al riesgo el cual responde a la magnitud de riesgo que la entidad está dispuesta a aceptar o retener para el logro de sus objetivos.

Dentro del análisis del contexto estratégico, se tuvieron en cuenta los lineamientos establecidos en la Guía de Administración del Riesgo del DAFP año 2018, que orientan las decisiones de la ESAP frente a los riesgos que pueden afectar el cumplimiento de los objetivos de los procesos, de acuerdo con el entorno en el cual se desenvuelven.

De otra parte y al ser un componente de la Séptima Dimensión del MIPG, para una adecuada Administración del Riesgo se debe tener en cuenta la Planeación Estratégica (misión, visión, establecimiento de los objetivos de calidad, metas, factores críticos de éxito, etc). Analizando el mapa de riesgos institucional, se tienen identificados los riesgos asociados a los objetivos de calidad u objetivos institucionales y los objetivos de proceso, de este modo se puede establecer los riesgos a los que se encuentra expuesta la ESAP a nivel estratégico y operacional, y gestionar de manera adecuada los posibles eventos que puedan afectar el cumplimiento de la misión y el logro de la visión a 2020.

Identificación y Valoración de Riesgos

Se destaca que luego de elaborada e implementada la nueva metodología de administración de riesgos, la identificación aumentó de 62 riesgos a 97. Esto significa que hubo un mayor cubrimiento a los procesos críticos de la entidad y mayor suficiencia de riesgos para dar seguridad razonable al logro de los objetivos.

De otra parte, la Oficina de Control Interno insiste en el cuidado que se debe tener en cuanto a la redacción de los riesgos, como lo indica la Guía DC-S-GC-06, numeral 4.3.2.1, “El evento del riesgo no se debe redactar como la negación del

Versión 02 Fecha: 15/08/2018 Página 9 de 12 Código RE-E-GE-26

objetivo, ni como la no gestión de las actividades del proceso. No utilizar términos como “Inadecuado, Insuficiente, No asegurar”.

1.1 Proceso de Planeación Estratégica: Se identificaron un total de 4 riesgos, uno de ellos es de corrupción. Conforme a la metodología, el evento de riesgo se encuentra redactado correctamente, se identifican las respectivas causas y consecuencias.

1.2 Proceso de Gestión Integral: Se identificaron un total de 8 riesgos, dos de ellos son de corrupción y conforme a la metodología, el evento de riesgo se encuentra redactado correctamente, se identifican las respectivas causas y consecuencias.

1.3 Proceso de Docencia: Se identificaron 11 riesgos de los cuales solo uno es de corrupción. En cuanto a la debida redacción de estos se observa que se utilizan términos cómo “no asignarle…”, “no dar cumplimiento…”, “que el aplicativo…”, “no ejecución…”, “no participación…” y “que el docente…”. Dando cumplimiento al numeral 4.3.2.1 de la guía de administración de riesgos de la ESAP, se recomienda la revisión en la redacción alineando estos eventos de riesgo a lo estipulado por la metodología.

1.4 Proceso de Investigaciones: Se identificaron 6 riesgos todos de gestión, no hay observaciones frente a la redacción de los eventos de riesgos y es adecuada la identificación de causas y consecuencias.

1.5 Proceso de Capacitación: Se identificaron 3 eventos de riesgo todos de gestión. Se recomienda replantear los riesgos identificados, ya que el riesgo “Pérdida de la confianza institucional por parte de los usuarios internos y externos”, se considera como una consecuencia y no es directamente el evento de riesgo; igualmente, no utilizar el término “no vinculación” en el riesgo No. 32. De igual forma se recomienda el replanteamiento de las causas y consecuencias de los eventos de riesgo.

1.6 Proceso de Asesorías y Asistencia Técnica: Se identificaron 4 riesgos, uno de ellos de corrupción. Los riesgos No. 33, 34 y 35 son eventos producidos por factores externos a la entidad, que si bien es cierto pueden llegar a suceder, no se observan posibles eventos de riesgo producidos por factores internos como los ya identificados en auditorías internas al proceso en sede central y territoriales y que se han materializado en hallazgos. Se recomienda incluirlos en la matriz de riesgo y redefinir el riesgo No. 34 ya que no es claro cuál o cuáles son los factores externos a la entidad que pueden afectar la custodia de las pruebas.

1.7 Gestión Administrativa: Se identificaron 9 riesgos de los cuales 2 son de corrupción. Verificando la debida identificación de estos eventos de riesgo se observa que no existe claridad en algunos de ellos. Riesgo No. 37 “Actualización del aplicativo SEVEN”. La actualización de un aplicativo como evento puede llegar a afectar positiva o negativamente la debida gestión de un proceso. Dado que los eventos descritos en la matriz son eventos negativos, se recomienda especificar cuál es el evento negativo que puede llegar a suceder frente a la actualización del aplicativo SEVEN. Así mismo se recomienda redefinir los riesgos No. 38, 39, ya que carecen de especificidad y no se establecen con claridad las “dificultades” que se mencionan allí.

1.8 Gestión del Talento Humano: Se identificaron 3 riesgos, ninguno de corrupción. Conforme a la metodología, el evento de riesgo se encuentra redactado correctamente, se identifican las respectivas causas y consecuencias. Se recomienda la identificación de eventos de riesgos asociados a la incorporación y desincorporación de personal en la función de nómina, viáticos ya que la gestión de estos procesos hace parte de la gestión de talento humano.

1.9 Gestión Financiera: Se identificaron 13 riesgos de los cuales 4 son de corrupción. Conforme a la metodología, el evento de riesgo se encuentra redactado correctamente, y se identifican las respectivas causas y consecuencias.

1.10 Gestión Jurídica y Asuntos Legales: se ha identificado un riesgo de gestión. Conforme a la metodología, el evento de riesgo se encuentra redactado correctamente, y se identifican las respectivas causas y consecuencias.

1.11 Gestión de la Contratación: Se identificaron 3 riesgos, de los cuales 1 es de corrupción. Conforme a la metodología, el evento de riesgo se encuentra redactado correctamente, se identifican las respectivas causas y consecuencias.

1.12 Gestión Tecnológica: Se identificaron 13 riesgos de los cuales 1 es de corrupción. Conforme a la metodología, el evento de riesgo se encuentra redactado correctamente, y se identifican las respectivas causas y consecuencias.

1.13 Gestión documental: Se identificaron 4 riesgos de los cuales 1 es de corrupción. Conforme a la metodología, el evento de riesgo se encuentra redactado correctamente, y se identifican las respectivas causas y consecuencias.

1.14 Gestión de la Comunicación: Se identificaron 9 riesgos de gestión. Verificando la debida identificación de estos eventos de riesgo, se observa que los riesgos No. 84, 86 y 89 se redactan en forma de no realizar la gestión de las actividades del proceso, por lo cual se recomienda redefinir los eventos identificados. En cuanto al riesgo No. 85, este es una consecuencia de la posible materialización de un riesgo y se debe identificar cual es el evento.

Versión 02 Fecha: 15/08/2018 Página 10 de 12 Código RE-E-GE-26

1.15 Proceso de Evaluación y autoevaluación: Se identificaron 6 riesgos de los cuales 1 es de corrupción. Conforme a la metodología, el evento de riesgo se encuentra redactado correctamente, y se identifican las respectivas causas y consecuencias.

En la actualidad de los 97 riesgos identificados en la matriz institucional, 21 de ellos se encuentran en riesgo extremo, 30 en zona de riesgo alto, 41 en zona moderada y 5 en zona baja, antes de su valoración con controles (riesgo inherente). De acuerdo con la política de administración de riesgos vigente, se tratarán los riesgos a partir de la zona moderada.

En cuanto a la valoración del riesgo después de ejecutados los controles (riesgo residual), no fue posible encontrar evidencia de su resultado, a pesar de que la política vigente, así como la guía de administración de riesgos de la ESAP lo establecen. La Oficina de Control Interno recomienda la formulación de los riesgos inherentes por proceso.

En conclusión, se deben redefinir los riesgos señalados anteriormente como se menciona en la Guía de Administración de Riesgos de la ESAP, teniendo en cuenta el objetivo del proceso, el objetivo de los procedimientos y las actividades críticas de éxito en cada documento.

1.1.1. Análisis y Valoración de los Controles

De acuerdo con el numeral 4.3.3.1, de la Guía de Administración de Riesgos DC-S-GC-06 se debe determinar la naturaleza, evidencia, responsabilidad, frecuencia, tipo y aplicabilidad de los controles existentes con el objeto de verificar la efectividad de estos y que estos den seguridad razonable frente a los riesgos del proceso. En otras palabras, se deben identificar los atributos o características de los riesgos y sus respectivos controles y documentarlos en el formato RE-S-GC-22. De acuerdo con la información suministrada por las áreas no se evidencia el cumplimiento de lo dispuesto en el numeral 4.3.3.1 de la Guía DC-S-GC-06, al no estar debidamente documentados los atributos de los controles. De igual forma los controles que se encuentran incorporados en la matriz de riesgo actualmente carecen de una adecuada redacción como lo menciona la Guía: “Los controles deben redactarse describiendo la acción que se realiza para mitigar la causa del riesgo asociado y dar una seguridad razonable sobre el cumplimiento del objetivo del proceso. La redacción debe cumplir con las siguientes características:

- Iniciar con un verbo rector para establecer la acción que se ejecuta con el propósito de alinearse con el objetivo de control (p.e. revisar, evaluar, validar, analizar, etc.) - Describir qué se hace: explicar la acción específica a ejecutar para mitigar el riesgo - Describir cómo se hace: detallar las características que se deben tener en cuenta para ejecutar exitosamente el control; los criterios a tener en cuenta para este detalle”

En consecuencia, la OCI recomienda redefinir tanto los riesgos señalados, como las acciones propuestas para la mitigación de los riesgos en los procesos, dando concordancia con la trilogía Objetivo-Riesgo-Control y adoptar de manera completa la metodología propuesta en la Guía de Administración de Riesgos –DAFP versión 2018 y la Guía de Administración de Riesgos de la ESAP.

Dimensión Información y Comunicación

4. Información y Comunicación

Fuentes Externas de Información

Como mecanismos para recepción, registro y atención de sugerencias, recomendaciones, peticiones, quejas o reclamos

por parte de la ciudadanía, se cuenta con el aplicativo de Atención al Ciudadano, Quejas y reclamos, que permite registrar,

radicar, realizar seguimiento y distribución de las peticiones, quejas, reclamos, sugerencias y denuncias. Link:

http://www.esap.edu.co/portal/index.php/serviciosciudadano/atencion-al-ciudadano-quejas-y-reclamos/

Fuentes Internas de información

La entidad cuenta con manuales, informes, actas, actos administrativos sistematizada y de fácil acceso.

Versión 02 Fecha: 15/08/2018 Página 11 de 12 Código RE-E-GE-26

La información relacionada con la planeación institucional se encuentra publicada y actualizada en la página web de la

entidad: https://www.esap.edu.co/portal/index.php/planes-institucionales/

La información relacionada con los formularios oficiales relacionados con trámites de los ciudadanos, se encuentra

publicada y actualizada en la página web de la entidad:

http://www.esap.edu.co/portal/index.php/tramites-y-servicios/

Igualmente, la entidad cuenta con tabla de Retención documental que reposan en la intranet, y el manejo organizado o

sistematizado de la correspondencia.

Así mismo, se cuenta con el aplicativo Active Document para el procesamiento de la documentación y correspondencia,

de igual forma se evidencia capacitación en dicho aplicativo, en cuanto a parámetros para manejo de correspondencia y

manejo de equipos de cómputo. Link: 172.16.1.126:9010.

Con respecto al manejo organizado o sistematizado de los recursos físicos, humanos, financieros y tecnológicos, los

recursos humanos son administrados mediante los aplicativos SIGEB, HUMANO WEB (próximo KACTUS en su

reemplazo) y ACADEMUSOFT; los recursos físicos a través del aplicativo SEVEN, actualizando el proceso de Inventarios

a partir del Marco Normativo y el proceso de bajas; los recursos financieros a través de los aplicativos SIIF, SEVEN y

SIGEB evidenciada en los estados financieros y sus notas y en el informe de gestión del Grupo de Gestión Contable.

Durante el periodo evaluado se identificó que el aplicativo Gestasoft y SEVEN I dejan de operar para de recaudo y cartera,

servicios educativos, ley 21, almacén e inventarios y tesorería, dejando como único aplicativos para estos temas, el

aplicativo SEVEN actualizado 2018 desde el 1 de enero de 2018. Se evidenció que, para tesorería, almacén e inventarios,

servicios educativos y para Ley 21 no es operativo.

En cuanto a la administración de recursos tecnológicos, se cuenta con el software SCCM que permite gestionar el

inventario de los activos de TI (Hardware y Software) que hay en la red de la ESAP, se gestiona la instalación del agente

Sistem Center EndPoint Protection para la administración de inventario de equipos y software en la entidad y el control y

monitoreo del software. Lo anterior evidenciado mediante archivo en Excel suministrado por la Oficina de Sistemas e

Informática, en donde se observa el reporte del inventario de equipos con sus características técnicas y sistema operativo.

Como mecanismos de consulta con distintos grupos de interés parar obtener información sobre necesidades y prioridades

en la prestación del servicio, se cuenta con el Aplicativo de Atención al Ciudadano (Quejas y Reclamos) que permite

registrar, radicar y realizar seguimiento a las peticiones, quejas, reclamos, sugerencias y denuncias. Link:

http://www.esap.edu.co/portal/index.php/serviciosciudadano/atencion-al-ciudadano-quejas-y-reclamos/

La entidad cuenta con medios de acceso a la información y otros medios de comunicación virtual (chat, foro, redes

sociales) como:

Página Web: www.esap.edu.com/portal/

Página Web Institucional: www.esap.edu.co

Facebook: www.facebook.com/esapoficial

Twitter: twitter.com/ESAPOficial

Programas de Televisión: ESAP Noticias

5. Actividades de Control

El MIPG sugiere las evaluaciones independientes continuas, así como también la autoevaluación de gestión lleva a cabo

el monitoreo a la operación de la Entidad a través de la medición de los resultados generados en cada proceso,

procedimiento, proyecto, plan y/o programa, teniendo en cuenta los indicadores de gestión, el manejo de los riesgos y los

planes de mejoramiento.

Versión 02 Fecha: 15/08/2018 Página 12 de 12 Código RE-E-GE-26

Estas acciones se pueden dar en el día a día del proceder institucional, así como también a través de autoevaluación y

auditorias independientes por parte de la Oficina de Control Interno, en donde a través de los informes generados, se

realizan las recomendaciones respectivas.

De acuerdo a lo anterior, la Oficina de Control Interno OCI, en su rol de evaluador independiente, inició la gestión de la

presente vigencia con la ejecución del plan anual de informes de ley y seguimiento 2020.

Durante el último bimestre evaluado, noviembre - diciembre de 2019, la Oficina de Control Interno ha ejecutado las

siguientes auditorías:

Unidad Auditada Investigaciones

Procedimiento Gestión Curricular Pregrado

Unidad Auditada Subdirección Proyección Institucional

Virtualización

Unidad Auditada Oficina de Sistemas

Proceso de Gestión de Financiera – Tesorería

Proceso de Gestión de Financiera – Inventarios

Proceso de Gestión de Financiera – Contabilidad

Auditoria Especial a los Contratos Suscritos en las Territoriales de Mayo a Julio de 2019

Auditoria Especial Impuestos

Auditoria Territorial Atlántico

Auditoria Territorial Antioquia

En cuanto a los seguimientos establecidos por la Ley para dicho periodo, sobre los cuales presentó los informes

correspondientes, entre otros los siguientes:

Informe Pormenorizado de Control Interno – MIPG

Informe PQRS

Informe de Seguimiento Plan Anticorrupción y de Atención al Ciudadano y a los Mapas de Riesgos de Corrupción

Informe de Seguimiento Mapa de Riesgos Institucional

Estos informes se encuentran publicados en la Página web Institucional, y se pueden consultar en el siguiente link:

http://www.esap.edu.co/portal/index.php/estructura-organica/oficina-de-control-interno/

RECOMENDACIONES: En busca de la mejora continua para la entidad, se debe seguir cumpliendo con lo establecido en

el MIPG II, para la próxima vigencia.

MARIA MAYERLY PEDREROS PINZON

Jefe Oficina de Control Interno

Elaboró: Camilo Mahecha

Profesional de Apoyo