EVALUACIÓN AL PROCESO PARA LA GESTIÓN DE LOS RIESGOS … · Introducción Objetivo Base de...

EVALUACIÓN AL PROCESO PARA

LA GESTIÓN DE LOS RIESGOS

2015

Preparado y presentado por: Diego Hernán Marín Tabares Coordinador de Control Interno

Noviembre de 2015

Eval. Proceso para la Gestión de los Riesgos 2015 Coordinación de Control Interno

Cód. Proyecto: 0000-0-00 Página 2 de 18

Diego Hernán Marín Tabares Coordinador de Control Interno

Actualizado: 00/00/0000 Revisado por: Regulación de Infraestructura

Revisión No. 2

Formato aprobado por: Coord. Relaciones internacionales y Comunicaciones .:. Fecha de vigencia: 15/01/2015

CONTENIDO

Introducción

Objetivo

Base de evaluación y salvaguardas

Definiciones

Conclusiones y recomendaciones:

1. Política de administración de riesgos de la CRC

2. Contextualización de los riesgos

3. Seguimiento y actualización del mapa de riesgos

4. Tratamiento de los riesgos e indicadores

5. Gestión de riesgos de los proyectos

6. Seguimiento a evaluaciones anteriores

7. Conclusiones de la evaluación





Revisión No. 2


Introducción

El adecuado funcionamiento del control interno en cualquier tipo de organización se encuentra inevitablemente

asociado a la forma como la alta dirección y los responsables de los distintos procesos, gestionan los riesgos para

el cumplimiento de los objetivos institucionales, este hecho lo confirma la lectura detallada al artículo segundo de

la Ley 87 de 1993 el cual describe los objetivos del Sistema de Control Interno para el Estado Colombiano1.

Esta circunstancia también ha sido reconocida reiteradamente por el Gobierno Nacional, en particular mediante el

Decreto 1083 de 2015, artículo 2.2.21.54: “Como parte integral del fortalecimiento de los sistemas de control

interno en las entidades públicas las autoridades correspondientes establecerán y aplicarán políticas de

administración del riesgo. Para tal efecto, la identificación y análisis del riesgo debe ser un proceso permanente e

interactivo entre la administración y las oficinas de control interno o quien haga sus veces, evaluando los

aspectos tanto internos como externos que pueden llegar a representar amenaza para la consecución de los

objetivos organizaciones, con miras a establecer acciones efectivas, representadas en actividades de control,

acordadas entre los responsables de las áreas o procesos y las oficinas de control interno e integradas de manera

inherente a los procedimientos. (Subrayado fuera de texto)

En cuanto al rol ejercido por las Oficinas de Control Interno frente a la gestión del riesgo, está el de proveer una

evaluación objetiva a la entidad sobre la efectividad de las políticas y acciones en la materia de cara a asegurar

que los riesgos están siendo administrados apropiadamente y que el Sistema de Control Interno está siendo

operado efectivamente. Por su parte el Marco Internacional para la Práctica de la Auditoría Interna (MIPP)

recomienda que la Oficina de Control Interno o quien haga sus veces, verifique que la Entidad cuente con

políticas de administración de riesgos actualizadas y que éstas estén siendo aplicadas.

En este orden, continuando con el plan de trabajo aprobado para la vigencia 2015 y específicamente en

cumplimiento de la función asignada a la Coordinación de Control Interno por la Resolución CRC 094 de 2013, le

estamos presentando a la Alta Dirección el resultado de la evaluación practicada por la Oficina de Control Interno

al proceso para la gestión de los riegos en la CRC, enfatizando las oportunidades identificadas para el

mejoramiento del proceso.

___________________________________________________________________________________1ARTICULO 2. a) Proteger los recursos de la organización, buscando su adecuada administración ante posibles riesgos que los afecten; f) Definir y aplicar medidas para prevenir los riesgos, detectar y corregir las desviaciones que se presenten en la organización y que puedan afectar el logro de sus objetivos; (Subrayado fuera de texto)





Revisión No. 2


EVALUACIÓN AL PROCESO PARA LA GESTIÓN DE LOS RIESGOS

OBJETIVO: Evaluar la política y el proceso para la gestión de riesgos en la CRC, con la finalidad de identificar las

oportunidades de mejoramiento que le adicionen valor y propendan por facilitar el logro de los objetivos tanto del

proceso mismo como de los demás procesos en que se apoya.

BASE DE EVALUACIÓN Y SALVAGUARDAS

Para adelantar esta evaluación se tuvo como punto de partida el documento denominado “Manual para el

Sistema de Administración de Riesgos en la CRC” que se asume en la Entidad como la Política de Riesgos y la

Matriz de Riesgos publicada en la Herramienta de Gestión de la Intranet. La Evaluación se complementó con

la revisión y análisis de: Informes de evaluación y recomendaciones anteriores, Evaluaciones de Riesgos en

los Informes Trimestrales de Desempeño (RAES), Caracterización de Procesos, Procedimientos e

Instrucciones de Trabajo documentados, entrevistas de confirmación y contraste de respuestas con los

responsables de algunos de los procesos y verificaciones in situ.

En la presentación del informe se utiliza el nuevo esquema de atributos sugerido por el Instituto

Internacional de Auditoría Interna (IIA) y según el cual las observaciones y recomendaciones adquieren la

nomenclatura de un CRITERIO (lo que debe ser y cómo se debería hacer) y una CONDICIÓN (lo que es, la

realidad).

Si bien el propósito principal del rol evaluador ejercido por las Oficinas de Control Interno es aportar valor

mediante el mejoramiento de las operaciones de la Entidad, es importante recordar que el artículo 9° de la

Ley 1474 de 2011 y la Directiva Presidencial 01 de febrero de 2015 determina la obligación para los Jefes de

Control Interno o quien haga sus veces de reportar a la Secretaría de Transparencia y demás órganos de

control, cualquier situación identificada que eventualmente pudiera tener una connotación de irregularidad o

acto de corrupción (CONPES 167 de 2013).

Las conclusiones y recomendaciones contenidas en este informe se discutieron previamente con las

responsables de liderar el proceso de gestión de riesgos en la CRC, Dras. Diana Wilches y Lizette Garay, el 10

de diciembre de 2015.





Revisión No. 2


DEFINICIONES:

RIESGO: Potencial de sucesos y consecuencias que se constituyen en oportunidades para conseguir beneficios

(factores positivos) o amenazas para el logro de los objetivos (factores negativos).

GESTIÓN DEL RIESGO: Proceso liderado por la Alta Dirección y ejecutado por todo el personal para

proporcionar a la administración un aseguramiento razonable con respecto al logro de los objetivos

institucionales. Su principal objetivo es añadir el máximo valor sostenible a todas las actividades de la Entidad.

CAUSAS DEL RIESGO: Son los factores internos y externos que generan la materialización de un riesgo.

CONSECUENCIAS DEL RIESGO: Son los efectos producidos por la materialización del riesgo sobre las

operaciones de la Entidad.

TRATAMIENTO DEL RIESGO: Es seleccionar y aplicar las medidas más adecuadas con el fin de modificar el

nivel del riesgo y evitar las consecuencias (impacto) asociadas con su materialización.

RIESGO INHERENTE: Es el riesgo intrínseco o propio de cada proceso o actividad, sin tener en cuenta los

controles planificados por la Administración para su mitigación.

RIESGO RESIDUAL: Es el nivel de riesgo que subsiste después de haber implementado controles, refleja el

riesgo remanente una vez se han implantado de manera eficaz las acciones planificadas por la Administración

para mitigar el riesgo inherente.

POLÍTICA DE ADMINISTRACION DE RIESGOS: Declaración de la Dirección y las intenciones generales de

la Entidad con respecto a la gestión de los riesgos. Establece lineamientos precisos acerca de la identificación,

tratamiento, manejo y seguimiento de los factores de riesgo.





Revisión No. 2


CONCLUSIONES Y RECOMENDACIONES

1. POLÍTICA DE ADMINISTRACIÓN DE RIESGOS DE LA CRC

Criterio: La gestión de riesgos se constituye en parte esencial de la gestión estratégica de cualquier

organización, es por esta razón que se hace necesario que la política para su administración refleje de manera

fehaciente los elementos que sirven de soporte al análisis y valoración de los riesgos inherentes a la operación y

la cultura propios de la Entidad. El Manual Técnico del Modelo Estándar de Control Interno para el Estado

Colombiano 2014 (MECI), determina que la formulación de la Política de Administración de Riesgos debe estar a

cargo del Representante Legal de la Entidad y el Comité de Coordinación de Control Interno, además que estos

lineamientos con respecto al tratamiento de los riesgos deben estar redactados en forma clara y comprensible

mediante acto administrativo u otro documento formal, de tal manera que se asegure que los servidores de la

Entidad comprenden cuáles son las medidas que se deben tomar para administrar adecuadamente los riesgos.

Los elementos mínimos que debe incluir una política para la administración de los riesgos son:

Objetivos estratégicos

Alineación de los objetivos de procesos con los objetivos estratégicos

Responsabilidades frente al manejo de los riesgos

Alcance del contexto externo e interno para la identificación de los riesgos

Controles estratégicos y controles operacionales

Decisiones de la Alta Dirección frente al tratamiento de los riesgos

Niveles de aceptación o tolerancia del riesgo (riesgo residual)

Categorización del impacto (económico, reputacional, regulatorio, etc)

Categorización de la probabilidad

Mecanismos y periodicidad del seguimiento

Información y comunicación

Condición: El Manual para el Sistema de Administración de Riesgos en la CRC de cuyo contenido hace parte la

“Política de Administración de Riesgos”, es un documento que no revela suficientemente el compromiso de la Alta

Dirección con la cultura de administración de riesgos, ni cuenta con evidencia plausible de aprobación por parte

del Representante Legal como responsable de la política ni del Comité de Coordinación de Control Interno.





Revisión No. 2


Adicionalmente se hace necesario unificar las alternativas para tratar el riesgo residual de acuerdo con criterios

objetivos previamente definidos por la Alta Dirección:

Situación asociada I: No existe coherencia entre el actual esquema descrito en la política y la clasificación

utilizada por los responsables en la matriz de valoración (Herramienta de Gestión), pues mientras en la primera

dichas alternativas son: (i) transferirlo (ii) compartirlo (iii) transformarlo (iv) asumirlo, en la matriz de valoración

los responsables deciden: reducirlos, asumirlos o evitarlos.

Situación asociada II: Del mismo modo y de acuerdo con el numeral 4.4 del Manual, los riesgos se deberían

clasificar en: riesgos de imagen, estratégicos, financieros, de servicio y tecnológicos, mientras en la matriz de

valoración (Herramienta de Gestión) los responsables los clasifican en: riesgos operativos, de imagen, con

terceros, financieros, servicios, de cumplimiento, normativos y tecnológicos.

2. CONTEXTUALIZACIÓN DE LOS RIESGOS

Claridad de los objetivos de los procesos:

Criterio: Si partimos del hecho que los riesgos son eventos que pudieran impactar el cumplimiento de los

objetivos, es de innegable importancia para su adecuada identificación tener debida y suficientemente claros

cuáles son ésos objetivos. Un objetivo estratégico o de proceso debe construirse teniendo en cuenta las

siguientes premisas:

Debe responder a las preguntas: qué, quién, cuándo, cómo y dónde

Debe iniciar con un único verbo y este debe ser concreto

Debe ser realista

Debe ser medible

Debe ser congruente

Debe estar centrado en lo importante

Se debe evitar el uso de frases o palabras subjetivas

Condición: Algunos de los objetivos descritos en la caracterización de los procesos podrían mejorarse en

cuanto a su estructura y redacción con el propósito de:





Revisión No. 2


Simplificarlos y hacerlos más comprensibles,

Focalizarlos en el quehacer del proceso,

Ajustarlos a las premisas antes mencionadas, y

Facilitar la identificación de los riesgos que impactan su cumplimiento.

Los siguientes son algunos ejemplos:

Proceso Objetivo del proceso Riesgos identificados

Estudios Previos O De Factibilidad Que

Respaldan Insuficientemente El

Proceso De La Contratación.

Estudios Previos O De Factibilidad

Manipulados Por Personal Interesado

En El Futuro Proceso De Contratación

Designar Supervisores Que No Cuenten

Con Conocimientos Suficientes Para

Desempeñar La Función

Mala Ejecución Del Contrato

No Cumplir Con El Lleno De Requisitos

Establecidos En La Ley Para La

Ejecución De Contratos

Sistemas de información susceptibles

de manipulación/adulteración

Vulnerabilidad de la infraestructura

tecnológica de la Entidad

Desarrollos Que No Cumplen El

Propósito Por El Cual Fueron Definidos

Falta De Continuidad Del Servicio

Después De Algún Desastre

Errores En Trámites De Asignación De

Recursos (solicitudes De Numeración,

Señalización Y Homologación).

Cobro Indebido En La Realización De

Trámites De Asignación De Recursos

(solicitudes De Numeración,

Señalización Y Homologación).

Falta De Información Sobre El Estado

Del Trámite Al Interior De La Entidad.

No responder oportunamente

requerimientos de consultas y trámites

ante la CRC

Concentración de autoridad o exceso

de poder y falta de delegación. Orden

de llegada.

No responder adecuadamente las

solicitudes que en materia de

información nacional se realice a la

CRC. Revisión Coordinador y/o Comité.

Ser una herramienta que unifique métodos de trabajo

para facilitar el desarrollo de todas las etapas del

proceso contractual en la CRC, bajo la observancia de

los principios legales establecidos. Los procedimientos,

requisitos y demás aspectos no contemplados en el

procedimiento, deberán adelantarse de acuerdo con las

normas y principios que regulan la contratación estatal,

en especial la Constitución Política, la Ley 80 de 1993, la

Ley 1150 de 2007, el Decreto 734 de 2012 y las demás

normas que los modifiquen, adicionen y complementen.

En caso de contradicción entre las normas legales y

reglamentarias respecto de lo previsto en este

procedimiento, se aplicarán aquéllas, de acuerdo con la

jerarquía de las mismas.

Contratación

Gestionar eficaz y eficientemente los sistemas de

información de la CRC, para satisfacer los

requerimientos de los clientes.

Gestión Tecnológica

Atención al Cliente

Atender y ofrecer a los usuarios, entidades estatales

y/o empresas que acudan a la CRC, los conceptos,

aclaraciones y demás información que soliciten de

manera oportuna y con calidad, promoviendo el

conocimiento de las normas que garantizan los

derechos de los usuarios de los servicios de

comunicaciones.





Revisión No. 2


Actividades de control para la mitigación de los riesgos:

a. Criterio: Puesto que la efectividad de los controles guarda relación directa con una adecuada identificación

y definición de las causas del riesgo (amenaza u oportunidad), un factor crítico de éxito a la hora de

gestionarlos es tener suficiente claridad en cuanto a la diferenciación entre CAUSA, RIESGO Y

CONSECUENCIAS. En este propósito consideramos de suma importancia que la Administración de la Entidad

a través de la Coordinación de Planeación promueva la realización de talleres prácticos con la participación

de TODOS los colaboradores, en los que se tenga por objetivo, entre otros aspectos, profundizar en esta

diferenciación.

Condición: Un “RIESGO” se define como la posibilidad de que ocurra un evento que tenga impacto

negativo sobre el logro de los objetivos, mientras las “CAUSAS” son las circunstancias o hechos que dan

origen al riesgo, por tal razón las actividades de control deben focalizar su objetivo en ejercer control sobre

las causas del riesgo más que sobre el riesgo mismo. Los siguientes son algunos ejemplos en los que se

podría estar generando falta de claridad entre el riesgo y sus causas:

Objetivo del proceso: Riesgo

Estudios Previos O De Factibilidad Manipulados

Por Personal Interesado En El Futuro Proceso

De Contratación

No Cumplir Con El Lleno De Requisitos

Establecidos En La Ley Para La Ejecución De

Contratos

Sistemas De Información Susceptibles De

Manipulación / Adulteración

Desarrollos Que No Cumplen El Propósito Por El

Cual Fueron Definidos

Por Hackeo de cuentas y páginas de la

Entidad, violación de la seguridad de las

bases de datos e información confidencial. \r

Mala definición de la necesidad

(levantamiento de la información).

Desconocimiento por parte del cliente para

consultar el estado de su solicitud.\r

Falta de conocimiento interno sobre la

gestión del trámite. \r

Contratación:

Gestión Tecnológica:

Atención al Cliente:

Causa

Ser una herramienta que unifique métodos de trabajo

para facilitar el desarrollo de todas las etapas del

proceso contractual en la CRC, bajo la observancia de

los principios legales establecidos. Los procedimientos,

requisitos y demás aspectos no contemplados en el

procedimiento, deberán adelantarse de acuerdo con las

normas y principios que regulan la contratación estatal,

en especial la Constitución Política, la Ley 80 de 1993, la

Ley 1150 de 2007, el Decreto 734 de 2012 y las demás

normas que los modifiquen, adicionen y complementen.

En caso de contradicción entre las normas legales y

reglamentarias respecto de lo previsto en este

procedimiento, se aplicarán aquéllas, de acuerdo con la

jerarquía de las mismas.




Atender y ofrecer a los usuarios, entidades estatales

y/o empresas que acudan a la CRC, los conceptos,

aclaraciones y demás información que soliciten de

manera oportuna y con calidad, promoviendo el

conocimiento de las normas que garantizan los

derechos de los usuarios de los servicios de

comunicaciones.

Procesos de contratación direccionados

desde el inicio.

Concentrar las labores de supervisión de

múltiples contratos en poco personal.\r

No hacer efectiva la aplicación de clausulas

pecuniarias en caso de incumplimiento.

No contar con manuales y procedimientos de

contratación actualizados.

Mala Ejecución Del Contrato

Falta De Información Sobre El Estado Del

Trámite Al Interior De La Entidad.





Revisión No. 2


Objetivo del proceso: Riesgo

Planificar, implementar, controlar y mejorar las

directrices, las metas organizacionales y la operación

de la CRC, mediante la identificación de necesidades, el

suministro de recursos y el compromiso de mejora

continua.

Captura Del Regulador, Decisiones Ajustadas A

Intereses Particulares, Tráfico De Influencias,

Sobornos.

Influencia directa o indirecta de terceros

particulares en las decisiones de la Comisión

y de la Sesión de Comisión.\rInfluencia de

terceros a través de otras entidades u

organismos del Estado.\rControles

vulnerables a la influencia de intereses

distintos al general.

Gestión Estratégica:

Causa

b. Criterio: Partiendo del hecho que una política es una directriz general, un procedimiento el detalle de

cómo se va a dar cumplimiento a ésa directriz y una actividad de control una acción específica cuyo propósito

esencial es el de gestionar adecuadamente la o las causas del riesgo, es claro que actividades como

seguimientos en reuniones, diseño de una política o llevar a cabo sensibilizaciones, no tienen en sí la

connotación de una actividad de control, además es fundamental que dichas actividades de control se

encuentren debidamente documentadas en los procedimientos o instrucciones de trabajo (ITs). Los

siguientes son preguntas que se deben responder a la hora de diseñar y documentar una actividad de

control:

Quién lleva a cabo el control (Responsable)

Frecuencia del Control (Cada cuanto se realiza)

Qué busca hacer el control (objetivo)

Cómo se lleva a cabo el control (procedimiento)

Que pasa con las desviaciones

Evidencia del control

El siguiente es un ejemplo de cómo debería relacionarse el riesgo, sus causas y el control:

Riesgo: Causas:

Insuficiente información con que cuenta el

responsable de elaborar los estudios, acerca de los

objetivos de la contratación desde la planeación

estratégica.

Falta de conocimientos y/o experiencia en la

elaboración de estudios previos por parte de los

responsables de la contratación.

Estudios previos preparados sin el tiempo

suficiente y/o preparados bajo presiones

indebidas.

Actividades de control:

Los estudios previos no contienen los elementos ni la

información requerida para iniciar el proceso de

contratación respectivo.

Cada vez que se decide iniciar un proceso de

contratación, el Equipo de Contratación le

notifica mediante correo electrónico al

responsable de la contratación, el nombre del

profesional que le prestará el acompañamiento

en la preparación de los estudios previos y la

forma cómo se prestará dicho

acompañamiento.

Condición: La actual matriz de riesgos describe actividades de control y de tratamiento de los riesgos que





Revisión No. 2


no demuestran con suficiente claridad tener el propósito de eliminar o disminuir sus causas,

complementariamente algunas de estas actividades no se ajustan a lo que realmente es un control y en otros

casos dichas actividades de control no se encuentran debidamente documentadas en los procedimientos o

instrucciones de trabajo. Los siguientes son algunos ejemplos tomados de la actual matriz:

Riesgo: Causas:

Las necesidades no cumplen con todas las

condiciones para iniciar un proceso de

contratación. \r

Deficiencia en la justificación de la necesidad a

contratar.\r

Justificaciones direccionadas por intereses

externos.

Incumplimiento de la política de seguridad de la

información. \r

Ausencia de Procedimiento en el manejo de

claves. \r

Por Hackeo de cuentas y páginas de la Entidad,

violación de la seguridad de las bases de datos e

información confidencial. \r

Dividir la responsabilidad en varias personas.

Estudios Previos O De Factibilidad Que Respaldan

Insuficientemente El Proceso De La Contratación.

Contratación:

Sensibilización A Través De Los Medios Internos

De Comunicación, Para La Elaboración De

Estudios Previos.

Actividades de control:

Seguimiento En Las Reuniones De Directivos Y

Coordinadores A La Planeación De Contratos.

Sistemas De Información Susceptibles De Manipulación /

Adulteración


Los actos administrativos expedidos infringiendo las

normas en que deberían fundarse, que hayan sido

expedidos por funcionarios u organismos

incompetentes, o en forma irregular, o con

desconocimiento del derecho de audiencias y

defensa, o mediante falsa motivación, o con

desviación de las atribuciones propias del

funcionario o corporación que los profirió.

Gestión Del Conocimiento En Cuanto A Las

Causas Del Daño Atijuridico

Preparación De Los Actos Administrativos Con

El Cumplimiento Y Seguimiento De Todas Las

Normas Jurídicas Que Deben Fundarse

Suficiente Y Debida Motivación De Los Actos

Definición De Varias Instancias De Revisión Y

Filtros Equipo De Trabajo, Coordinadores De

Proceso, Coordinación Ejecutiva, Comité De

Comisionados, Sesión De Comisión

Gestión Estratégica:

Decisiones generadoras de daño antijurídico

Cumplimiento De La Política De Seguridad

Tanto De La Infraestructura Como De La

Información

Contar Con Acuerdos De Confidencialidad Con

Todos Los Funcionarios De La Entidad

Cumplir Con Las Políticas De Seguridad De La

Información De La Entidad

3. SEGUIMIENTO Y ACTUALIZACIÓN DEL MAPA DE RIESGOS

Criterio: Como parte del proceso de Control, Seguimiento y Análisis en la CRC se realizan trimestralmente las

denominadas Reuniones de Análisis Estratégico (RAEs), este es un espacio que se ha apropiado como parte de la

cultura institucional y por tal razón se convierte en una magnífica oportunidad para, entre otros propósitos,

hacerle seguimiento a la gestión de los riesgos en los procesos y muy particularmente para identificar nuevas

amenazas para el cumplimiento de los objetivos. Así las cosas, se hace necesario que el resultado de estas

evaluaciones de riesgos en las RAEs se vean reflejadas en la actualización de la matriz y





Revisión No. 2


los mapas de riesgos, en cuanto a la inclusión de nuevos riesgos identificados, el resultado de las

valoraciones dependiendo de su estado de materialización y nuevos controles o acciones de mitigación.

Condición: Se hace necesario ajustar el procedimiento para la documentación y valoración de los riesgos,

incluyéndole una actividad que tenga como propósito alinear en tiempo real el resultado del análisis llevado a

cabo en las RAEs trimestrales con la contextualización y documentación de las actividades de control en la

matriz y el mapa de riesgos disponibles en la Herramienta de Gestión. Lo anterior en razón a que

observamos con relativa frecuencia que las actividades de control y las acciones para mitigar los riesgos

presentan diferencias entre la matriz de la Herramienta de Gestión y las que se evalúan en las RAEs

trimestrales. Los siguientes son dos ejemplos tomados de la actual matriz:

Según la matriz

Vulnerabilidad de la infraestructura tecnológica de la

entidad.Seguridad de la infraestructura tecnológica

Según la matriz

Archivos Contables Con Vacíos De Información

Se Realizan Auditorias Aleatorias En La Creación De

Terceros Para Garantizar La Integridad De La Base

De Datos.

Sensibilización Y Establecimiento De Actividades Al

Equipo De Trabajo.

Se hace monitoreo diario tanto a la consola de

antivirus para reporte de troyanos y otros

virus, se notifica a los usuarios.

Se tiene la restricción a los equipos para que

puedan instalar software en las máquinas

locales no autorizado.

Manejo automático de consecutivos en el

aplicativo Novasoft y validación física en los

comprobantes.

Según evaluación de gestión (RAE)

Registro del número de folios del documento

de nómina dentro de las novedades del

período respectivo, y validación de los mismos

cuando sea devuelta por tesorería.

Registro y validación del número de folios del

documento de seguridad social de cada mes .

Según evaluación de gestión (RAE)

Riesgo

En cuanto a los accesos no autorizados se

debe fortalecer los accesos para desarrollo de

software desde fuera de la Entidad, así como

las políticas de puertos abiertos en el firewall

en contratos ya finalizados.


Gestión Financiera:

Acciones para mitigar el riesgo

Se tiene definidas las responsabilidades por

funcionario.

4. TRATAMIENTO DE LOS RIESGOS E INDICADORES

a. Criterio: Tratar el riesgo implica tomar una decisión respecto a qué nivel de riesgo está dispuesto aceptar

la administración (apetito al riesgo) y con base en esta decisión seleccionar y aplicar los controles más





Revisión No. 2


adecuados de tal forma que se pueda modificar su valoración, evitando de este modo las consecuencias

intrínsecas al factor que lo genera o aprovechar sus ventajas. Así las cosas, es condición sine qua non que

la actividad de control definida guarde coherencia no solo con la decisión de respuesta dada al riesgo

residual, sino también con el resultado que se persigue, para lo cual las alternativas de respuesta al riesgo

son:

Asumir el riesgo: No se emprende ninguna acción que afecte la probabilidad o el impacto del riesgo.

Reducir el riesgo: Implica llevar a cabo acciones para minimizar la probabilidad o el impacto del

riesgo o ambos parámetros simultáneamente.

Evitar el riesgo: Implica salir o eliminar las actividades que generen riesgos.

Compartir el riesgo: Implica disminuir la probabilidad o el impacto de riesgo trasladando o

compartiendo una parte del mismo.

Condición: Se hace necesario adelantar una revisión al tratamiento de los riesgos en la matriz de la

herramienta de gestión, esto en razón de que existen allí acciones que no guardan coherencia con la

respuesta al riesgo residual y/o respuestas al riesgo que van en contravía de lo que pretende la actividad de

control, los siguientes son algunos ejemplos tomados de la matriz:

Riesgo Nivel del riesgoRespuesta al riesgo

residual

Errores En Trámites De Asignación De Recursos

(solicitudes De Numeración, Señalización Y

Homologación).

Moderado Asumirlo

Falta De Información Sobre El Estado Del Trámite

Al Interior De La Entidad.Alto Evitarlo

Archivos Contables Con Vacíos De Información Moderado Reducirlo

Estudios Previos O De Factibilidad Manipulados

Por Personal Interesado En El Futuro Proceso De

Contratación

Alto Reducirlo

Mala Ejecución Del Contrato Alto Reducirlo

Sistemas De Información Susceptibles De

Manipulación / AdulteraciónAlto Evitarlo

Vulnerabilidad de la infraestructura tecnológica de

la EntidadModerado Reducirlo

Decisiones generadoras de daño antijurídico Alto Reducirlo

No responder oportunamente requerimientos de

consultas y trámites ante la CRCModerado Reducirlo

Capacitar a todos los funcionarios de

la entidad en temas fundamentales de

Contratación

Disponibilidad de la herramienta de

gestión

Velar por la seguridad de la

infraestructura tecnológica

Seguridad de la infraestructura

tecnológica

Realización del Comité de

Comisionados y Sesión de Comisión

de acuerdo con el procedimiento

establecido

Disponibilidad del aplicativo OnBase

Acción para tratar el riesgo

Revisión exhaustiva de los proyectos

de resolución y registro periódico de

la herramienta de asignación.

Mantener actualizado el estado de los

trámites en la herramienta

No describe acción





Revisión No. 2


b. Criterio: Un indicador es una representación (cuantitativa preferiblemente) de la relación entre dos o más

variables, a partir de la cual se registra, procesa y presenta información relevante con el fin de medir el

avance o retroceso en el logro de un determinado objetivo en un periodo de tiempo determinado, en

consecuencia un indicador asociado con el plan de acción de la matriz de riesgos, debe medir qué tanto está

contribuyendo la actividad de control al cumplimiento de dichos objetivos a través de la mitigación de los

riesgos.

Condición: La nueva Guía para la Administración del Riesgo publicada recientemente por el DAFP, propone

una matriz de riesgos más simplificada en cuanto a los componentes que la conforman, entre otros por

ejemplo, suprime los indicadores. Ahora bien, si la Entidad decide continuar incluyendo indicadores en la

matriz de riesgos, es necesario entonces que se adelante una revisión a la forma cómo se están

construyendo y de qué forma contribuyen a medir el logro de los objetivos a través de la mitigación de los

riesgos. Los siguientes son algunos ejemplos de indicadores tomados de la matriz de la herramienta de

gestión, que a nuestro juicio no cumplen con el propósito planteado:

Objetivo del proceso Riesgo Acción para tratar el riesgo

Realización del Comité de

Comisionados y Sesión de Comisión de

acuerdo con el procedimiento

establecido

Disponibilidad del Sistema de Gestión

Documental

Establecer y mantener los mecanismos que

permitan la comunicación oportuna y suficiente

entre los Usuarios, las Entidades y la CRC,

satisfaciendo sus necesidades de información y

divulgando los productos institucionales.

Campañas Negativas En Contra De La Crc A

Través De Los Diferentes Medios De

Comunicación.

Grabar las entrevistas de radio y

TV.\r\nAcompañar al vocero en los

posible a las entrevistas

Concentrar La Información De Actividades O

Procesos En Una Sola Persona.No se tiene

No contar con las situaciones administrativas y

novedades con los funcionarios para la gestión

del proceso

No se tiene

Archivos Contables Con Vacíos De Información No se tiene

Inclusión de gastos no autorizadosHacer seguimiento permanente a la

ejecución presupuestal de la Entidad

Vulnerabilidad de la infraestructura tecnológica

de la Entidad

Seguridad de la infraestructura

tecnológica

Falta De Continuidad Del Servicio Después De

Algún Desastre

Fortalecimiento de la infraestructura

tecnológica de la Entidad,

documentación de las actividades

relacionadas con el manejo de

aplicativos, realización de backups,

socialización del documento de uso

adecuado de software en la Entidad

Atender y ofrecer a los usuarios, entidades

estatales y/o empresas que acudan a la CRC, los

conceptos, aclaraciones y demás información que

soliciten de manera oportuna y con calidad,

promoviendo el conocimiento de las normas que

garantizan los derechos de los usuarios de los

servicios de comunicaciones.

No responder oportunamente requerimientos de

consultas y trámites ante la CRCDisponibilidad del aplicativo OnBase




Atraer, desarrollar, motivar y retener a aquellos

colaboradores cualificados, capaces de vivenciar

los principios y valores de la CRC para proteger la

Función Pública al interior de la Entidad y así

contribuir con la misión, visión y política de

calidad definidas.

No se tiene

No se tiene

No se tieneGestionar y administrar eficaz y eficientemente

los recursos financieros que requiere la Entidad

para desarrollar las funciones que le han sido

asignadas por Ley.

Disponibilidad de la plataforma

Interna (Interno)

NSU de la información que se

comunica a través de los diferentes

canales de comunicación interna

Gestionar el presupuesto y efectuar el

seguimiento a su ejecución


Interna (Interno)


Interna (Interno)


Interna (Interno)

Tiempo de aprobación de temas en

Comité de Comisionados

Indicador

Planificar, implementar, controlar y mejorar las

directrices, las metas organizacionales y la

operación de la CRC, mediante la identificación de

necesidades, el suministro de recursos y el

compromiso de mejora continua.

Concentración De Autoridad O Exceso De Poder

Y Falta De Delegación





Revisión No. 2


5. GESTIÓN DE RIESGOS DE LOS PROYECTOS

Criterio: El Decreto 943 de 2014 por el cual se actualizó el MECI, plantea como parte del módulo de control a

la planeación y gestión, la incorporación de los aspectos relacionados con la identificación y gestión de los riesgos

vinculados a los proyectos desde la etapa de formulación y planeación. Así las cosas, la gestión de riesgos en los

proyectos de la CRC no solo debe hacer parte integral de la planeación y dirección de los mismos, sino un

elemento clave en el proceso de toma de decisiones, y esto es así teniendo en cuenta que la Entidad invierte

recursos en personal especializado, estudios de mercado, tiempo de los Expertos Comisionados, tiempo del

personal de apoyo, consultorías externas, etc. Los objetivos de la gestión de riesgos de los proyectos son

aumentar la probabilidad y el impacto de los eventos positivos y disminuir la probabilidad y el impacto de los

eventos negativos.

Condición: De una revisión detallada a algunos de los proyectos y/o estudios de la Agenda Regulatoria en

curso, pudimos concluir que si bien desde la etapa de formulación de los proyectos (Documento Azul) se hace un

análisis de consideraciones y eventuales consecuencias e impactos, dichos proyectos adolecen de la visión

estratégica que aportaría la identificación y gestión de los riesgos asociados a cada proyecto en particular. A

partir de un ejercicio que la Oficina de Control Interno llevó a cabo con el Líder y los profesionales de apoyo de

uno de los proyectos, pudimos colegir que la metodología de que dispone la CRC para la elaboración de los

proyectos, cuenta con los elementos suficientes para adelantar y aprovechar los beneficios que aporta la gestión

de riesgos, el siguiente es un ejemplo:

Nombre del Proyecto: Implementación de la Portabilidad Numérica en el Servicio de Telefonía Fija

Objetivo general del proyecto:

Objetivos específicos:

• Identificar y analizar los escenarios de implementación de portabilidad numérica en el servicio de telefonía fija, a

nivel técnico, económico y regulatorio, que tengan en cuenta las condiciones actuales de las redes de telefonía fija

en el país, las condiciones actuales del mercado de voz saliente (fija y móvil), el interés de los usuarios

potenciales, la convergencia de servicios y las experiencias internacionales en la materia, previo análisis se

viabilidad técnica y económica, en términos de equilibrio financiero.

• Determinar y justificar el escenario óptimo para implementación de la portabilidad numérica en el servicio de

telefonía fija en Colombia que reúna las condiciones técnicas, económicas y regulatorias, de acuerdo con la

situación actual del mercado y de las redes de telecomunicaciones del país.

• Establecer la forma óptima de implementación de portabilidad numérica en el servicio de telefonía fija, y

proponer las recomendaciones técnicas, operativas, económicas y regulatorias requeridas para tal fin.

• Elaborar la propuesta regulatoria para implementar la portabilidad numérica fija en Colombia siempre y cuando

se determine su viabilidad técnica y económica.

Establecer las medidas regulatorias para la implementación de la portabilidad numérica en el servicio de telefonía

fija en Colombia, con previa verificación de su viabilidad técnica y económica, en términos de equilibrio financiero,

de acuerdo con las actuales condiciones del mercado y la normatividad vigente.





Revisión No. 2


Objetivos del Plan Estratégico asociados al proyecto:

• Promover condiciones de libre y leal competencia, así como prevenir y corregir las fallas de mercado. El estudio

busca determinar la viabilidad de implementación del servicio de portabilidad numérica en el servicio de telefonía

fija, lo cual, en caso de ser procedente, es un instrumento que incentivaría la competencia en el mercado de voz

saliente (fija y móvil) en el ámbito local.

• Incrementar el bienestar del usuario, a partir de reglas simples e inclusivas basadas en el reconocimiento del

mismo y el uso de las TIC. Teniendo en cuenta que la implementación de la portabilidad numérica en el servicio

de telefonía reduce el costo de cambio de proveedor para el usuario, se traduce en mayor bienestar para éste.

Factor de riesgo: Causa(s): Consecuencia(s):

Disponibilidad y calidad de la información

base para realizar el estudio

* Errores en el requerimiento de la

información. ** Falta de confiabilidad de la

información recibida.

* Incumplimiento del cronograma del

proyecto. ** Incremento de los costos

del proyecto. *** Falsa motivación del

proyecto regulatorio.

Oportunidad en la entrega de la información

requerida por el proyecto

* Demora en la solicitud de la información.

** Demora en la entrega de la información



del proyecto.

Contratación de una consultoría externa con

el nivel de calidad requerido por el proyecto

* Estudios previos que no atienden a las

necesidades específicas de la contratación.

** Limitada oferta de consultores. ***

Términos de referencia que no se adecúan

a los requerimientos del proyecto.



del proyecto. *** Falsa motivación del

proyecto regulatorio. **** Reprocesos

Recursos limitados para la ejecución del

proyecto

* Deficiencias en la planeación del

presupuesto. ** Restricciones

presupuestales. *** Insuficiente recurso

humano especializado y dedicado.



del proyecto. *** Pérdida de calidad de

los entregables de la consultoría.

Confiabilidad de los estudios de mercado

* Errores en la formulación de los estudios

de mercado. ** Contratación inadecuada.

*** Errores en el procesamiento y análisis

de la información recolectada.



del proyecto. *** Pérdida de calidad de

los entregables de la consultoría. ****

Falsa motivación del proyecto regulatorio.

***** Reprocesos

Cambios en los criterios base utilizados en el

estudio de viabilidad.

Variabilidad de la tasa de cambio para los

elementos de costo presentados en moneda

extanjera.

* Incremento de los costos del proyecto.

** reproceso de los análisis. ***

Eventual inviabilidad del proyecto.

Identificación de los riesgos del proyecto:

6. SEGUIMIENTO A EVALUACIONES ANTERIORES

Transcribimos a continuación en forma textual las recomendaciones generales entregadas a la administración

como conclusiones de la evaluación a la Gestión de Riesgos practicada por la Oficina de Control Interno en

octubre de 2013, por considerar que conservan su vigencia: “A partir de 2014 la Gestión de Riesgos debería

convertirse en una prioridad para la administración de la CRC, esto es así, puesto que no se trata solo de adoptar

un procedimiento con el ánimo de cumplir un requerimiento normativo, sino por el contrario hacer de la gestión

de riesgos el canal más óptimo para alcanzar los objetivos estratégicos e institucionales. Para lograr una

verdadera cultura de gestión del riesgo, la administración debería fomentar, entre otras, las siguientes acciones:





Revisión No. 2


1. Diseño de una verdadera política que refleje el “querer” de la administración frente a la forma en que se deben

gestionar los riesgos.

2. Mayor compromiso de la alta dirección que debe reflejarse en la forma como administra los riesgos de su

competencia, esto es, los riesgos estratégicos.

3. El mapa de riesgos debe reflejar suficientemente la participación de todas las áreas de la Entidad y el

seguimiento permanente a los mecanismos para el control de los eventos generadores de riesgo.

4. Dada la transversalidad de los recursos de TI en todos los procesos de la CRC, se requiere mejorar la visión de

los riesgos asociados a su gestión.

5. Se debe mejorar los mecanismos de seguimiento a la efectividad de los controles, mediante el diseño de

indicadores igualmente efectivos y la unificación de los riesgos identificados en los distintos procesos internos”.

7. CONCLUSIONES DE LA EVALUACIÓN

1. En consideración a uno de los principales “Lineamientos para la Administración del Riesgo” publicado por la

Presidencia de la República1 en 2015, es prioritario que la Alta Dirección de la CRC despliegue al resto de la

Entidad su compromiso y apropiación con la cultura de administración de riesgos, haciéndola parte inherente

a la transversalidad de todos los procesos y actividades desde la misma planeación estratégica.

2. Con este propósito, una de las primeras acciones a emprender por parte de la Administración es la

expedición y formalización de la política para la administración de riesgos y adelantar el respectivo plan para

su divulgación y puesta en práctica por parte de todos los servidores de la Entidad.

3. El poder contar con una matriz y mapa de riesgos en el aplicativo denominado “Herramienta de Gestión”,

significa para la CRC un valor agregado importante, no obstante existen valiosas oportunidades para su

actualización y mejor uso como instrumento de gestión, tales como las revisiones que surgen de las RAEs y

otros espacios como las reuniones de Coordinadores y los distintos Comités institucionales.

4. Siendo conscientes de que para posicionar la Administración de Riesgos como factor crítico de éxito, es de

vital importancia el esfuerzo colectivo por parte de todos quienes hacemos parte de la Entidad, se

_______________________________________________________________________________________________

1”La administración del riesgo es un proceso liderado por la Alta Dirección de la entidad con la participación y compromiso de todo el personal. El enfoque de riesgos no se determina solamente con el uso de la metodología, sino logrando que la evaluación de los riesgos se convierta en una parte natural del proceso de planificación”.





Revisión No. 2


requiere que la Alta Dirección como responsable de su implementación y liderazgo, propicie espacios de

capacitación y entrenamiento sobre el tema, particularmente orientadas a profundizar en aspectos como la

diferenciación entre RIESGO – CAUSA – EFECTO, planes de tratamiento e indicadores de seguimiento, entre

otros.

5. Otro aspecto de suma importancia a la hora de identificar los factores de riesgo a partir de su definición, es

contar con los objetivos de los procesos claramente descritos, por lo que consideramos fundamental

adelantar una revisión a los objetivos desde la caracterización, esto con el propósito de mejorar su redacción

y hacerlos más coherentes con el quehacer de cada proceso.

6. Precedido del propósito de acoger el lineamiento contenido en el MECI que fue actualizado por el Decreto

943 de 2014, consideramos de mucha utilidad incorporar los aspectos relacionados con la identificación y

gestión de los riesgos asociados a los proyectos regulatorios desde la misma etapa de formulación y

planeación (documento azul), en tanto se constituiría en un elemento vital a la hora de identificar y valorar

los factores, tanto internos como externos, que amenazarían el cumplimiento de los objetivos de cada

proyecto y prever las distintas alternativas de acción ante un escenario en el que se estuvieran

materializando.

DIEGO HERNÁN MARÍN TABARES Coordinador de Control Interno

Preparó: DHMT

EVALUACIÓN AL PROCESO PARA LA GESTIÓN DE LOS RIESGOS … · Introducción Objetivo Base de...

Documents

Transcript of EVALUACIÓN AL PROCESO PARA LA GESTIÓN DE LOS RIESGOS … · Introducción Objetivo Base de...