*20245000057141*

 

Al contestar por favor cite estos datos:

 

Radicado No.: 20245000057141

 

Fecha: 01/02/2024 08:57:47 a.m.

 

Bogotá D.C.

 

Referencia: Aclaración y recomendaciones respecto de la implementación y evaluación de sistemas de gestión bajo normas voluntarias en el marco del Esquema de Líneas de Defensa. Radicado No. 20242060069372 del 24 de enero de 2024.

 

En atención a su comunicación de la referencia, en la cual nos solicita “(...) recomendaciones, buenas prácticas o lineamientos aplicables para incentivar la participación en el rol de auditores internos derivado de sus conocimientos y experticia. (...)” “Con el propósito de identificar estrategias para aumentar la participación de los Servidores públicos en los ejercicios de auditoria interna como auditores en los distintos subsistemas de gestión, en áreas diferentes a la Oficina Asesora de Planeación y Oficina de Control Interno en donde es clara la necesidad, función e interés de los servidores por participar en las actividades de mantenimiento de los sistemas de gestión y quienes típicamente participan como auditores internos, (...).”, a continuación procedo a dar respuesta a su requerimiento en los siguientes términos:

 

Al respecto, en primer lugar, se debe señalar que el Decreto 1499 de 2017 “Por medio del cual se modifica el Decreto 1083 de 2015, Decreto Único Reglamentario del Sector Función Pública, en lo relacionado con el Sistema de Gestión establecido en el artículo 133 de la Ley 1753 de 2015” establece lo siguiente:

 

“ARTÍCULO 2.2.22.1.1 SISTEMA DE GESTIÓN. El Sistema de Gestión, creado en el artículo 133 de la Ley 1753 de 2015, que integra los Sistemas de Desarrollo Administrativo y de Gestión de la Calidad, es el conjunto de entidades y organismos del Estado, políticas, normas, recursos e información cuyo objeto es dirigir la gestión pública al mejor desempeño institucional y a la consecución de resultados para la satisfacción de las necesidades y el goce efectivo de los derechos de los ciudadanos en el marco de la legalidad y la integridad. (Subrayado fuera del texto).

 

Artículo 2.2.23.1 Articulación del Sistema de Gestión con los Sistemas de Control Interno. El Sistema de Control Interno previsto en la Ley 87 de 1993 y en la Ley 489 de 1998, se articulará al Sistema de Gestión en el marco del Modelo Integrado de Planeación y Gestión -MIPG, a través de los mecanismos de control y verificación que permiten el cumplimiento de los objetivos y el logro de resultados de las entidades.

 

El Control Interno es transversal a la gestión y desempeño de las entidades y se implementa a través del Modelo Estándar de Control Interno –MECI.” (Subrayado fuera del texto).

 

A partir de la anterior reglamentación, se integró el Sistema de Desarrollo Administrativo y el Sistema de Gestión de la Calidad, definiéndose un solo Sistema de Gestión, el cual se articula con el Sistema de Control Interno a través del Modelo Estándar de Control Interno MECI.

 

Como producto de lo anterior, se define el Modelo Integrado de Planeación y Gestión – MIPG, el cual le permite a todas las entidades del estado, planear, gestionar, evaluar, controlar y mejorar su desempeño, bajo criterios de calidad, cumpliendo su misión y buscando la satisfacción de los ciudadanos y se constituye en sí mismo en un modelo de gestión de la calidad, por lo que es necesario considerar los atributos de calidad establecidos para cada una de las dimensiones del MIPG.

 

En este sentido, el mismo decreto 1499 de 2017 define en su artículo 5º lo siguiente:

 

“Artículo 5. Vigencia y derogatorias. El presente decreto rige a partir de la fecha de su publicación. deroga el artículo 2.2.21.1.4, el segundo inciso del literal c. del artículo 2.2.21.2.2, el numeral 4 del artículo 2.2.21.2.4, el segundo y tercer incisos del literal e) del artículo 2.2.21.2.5, el artículo 2.2.24.3 y el Capítulo 6 del Título 21; sustituye los Títulos 22 Y 23 Y modifica el literal 1) del artículo 2.2.21.3.9, los artículos 2.2.21.3.14 y 2.2.24.4 del Decreto 1083 de 2015; deroga el Decreto 1826 de 1994 así como las normas y disposiciones que le sean contrarias. De acuerdo con lo dispuesto en el artículo 133 de la Ley 1753 de 2015, una vez sea expedido el presente Decreto, quedan derogados los articulas 15 al 23 de la Ley 489 de 1998 y la Ley 872 de 2003.” (Subrayado fuera de texto).

 

Acorde con lo anterior la Ley 872 de 2003 queda derogada, por lo que pierden vigencia todos los decretos reglamentarios de la misma, como sería el Decreto 4485 de 2009 “Por medio la de la cual se adopta la actualización de la Norma Técnica de Calidad en la Gestión Pública”.

 

Se debe precisar que si bien la norma técnica de calidad NTCGP 1000:2009 no se mantiene en su estructura ni es posible su certificación con esta nueva reglamentación, el Modelo Integrado de Planeación y Gestión MIPG se constituye en sí mismo en un modelo de gestión de la calidad, por lo que es necesario considerar los atributos de calidad establecidos para cada una de las dimensiones del MIPG.

 

En cuanto a la Norma ISO9001:2015, así como aquellas relacionadas con este mismo estándar internacional, dentro del decreto reglamentario, se ha establecido lo siguiente:

 

“Artículo 2.2.22.3.12 Certificación de Calidad. Las entidades y organismos públicos, que lo consideren pertinente, podrán certificarse bajo las normas nacionales e internacionales de calidad.

 

Las certificaciones otorgadas de conformidad con la Norma Técnica de Calidad en la Gestión Pública NTCGP 1000 Versión 2009 continuarán vigentes hasta la fecha para la cual fueron expedidas.” (Subrayado fuera de texto).

 

Acorde con lo anterior, las entidades podrán implementar y cuando consideren pertinente certificar sus Sistemas de Gestión de la Calidad bajo normas internacionales, como sería el caso de la ISO9001 u otras relacionadas con este mismo estándar internacional.

 

Cabe señalar en este caso, que tal decisión debe considerar un análisis interno de información objetiva que permita establecer los requerimientos y recursos que se deben disponer no solamente para su implementación, sino también para su mantenimiento a largo plazo, por lo que se debe considerar lo siguiente:

 

1. Si existe una decisión de la administración de implementar o bien dar sostenimiento a la Norma de Calidad ISO9001:2015, así como ISO14000 u otras, tal decisión implicará un análisis para articular su desarrollo a la estructura del Modelo Integrado de Planeación y Gestión (MIPG) y de evaluarlas en el marco del Sistema de Control Interno con las herramientas de auditorías incluidas en el Modelo Estándar de Control Interno.

 

En este sentido, frente a la articulación de tales sistemas de gestión, basados en normas voluntarias se requiere de un análisis por parte de los responsables o líderes internos de los mismos, para lo cual, en primera instancia deben relacionarlos con la dimensión o bien con la política de gestión y desempeño que corresponda, a fin de establecer la normatividad aplicable y las herramientas definidas para su implementación, base con la cual podrán considerar aspectos comunes con las normas con que cuente la entidad, de manera tal que se eviten duplicidades o reprocesos internos.

 

De este modo, es altamente recomendable que inicialmente se lleve a cabo un análisis frente a la articulación de la (s) norma (s) que la entidad busca certificar en relación con el Modelo Integrado de Planeación y Gestión MIPG, esto con el fin de evitar duplicidades y recargas internas innecesarias.

 

2. En cuanto al sostenimiento a la implementación y la correspondiente Certificación de Calidad, tal decisión implicará un análisis de recursos para:

 

¿ Contratación organismo certificador.

 

¿ Formación auditores (personal de áreas distintas a las Oficinas de Planeación o de Control Interno)

 

¿ Disposiciones internas que regule este ejercicio (Desde TH compromisos para los servidores públicos que participen, record de horas de auditoría para temas de incentivos, entre otros aspectos).

 

Todo lo anterior, en el entendido que estos estándares para todas las entidades son opcionales, por lo que en primera instancia se debe garantizar el cumplimiento del Modelo Integrado de Planeación y Gestión MIPG, el cual, tal como hemos expresado, se orienta a la gestión por resultados y a la generación de valor público, ejes centrales que van a permitir realmente que la calidad sea evidenciada por los usuarios o grupos de valor y no que se quede en un simple cumplimiento documental que no se ve reflejado en los resultados, así como en los productos y servicios que entregan.

 

Ahora bien, frente a la sustentación del desarrollo de actividades de cara a la implementación y posterior certificación de la norma voluntaria correspondiente, al respecto se debe indicar que el mismo Decreto 1499 de 2017 en relación con la institucionalidad base para MIPG define lo siguiente:

 

“ARTÍCULO 2.2.22.3.8. COMITÉS INSTITUCIONALES DE GESTIÓN Y DESEMPEÑO. En cada una de las entidades se integrará un Comité Institucional de Gestión y Desempeño encargado de orientar la implementación y operación del Modelo Integrado de Planeación y Gestión MIPG, el cual sustituirá los demás comités que tengan relación con el Modelo y que no sean obligatorios por mandato legal.

 

En el nivel central de la Rama Ejecutiva del Orden Nacional, el Comité será liderado por el viceministro o subdirector de departamento administrativo o secretarios generales; en el nivel descentralizado, por los subdirectores generales o administrativos o los secretarios generales o quienes hagan sus veces, e integrado por los servidores públicos del nivel directivo o asesor que designe el representante legal de cada entidad.

 

En el orden territorial el representante legal de cada entidad definirá la conformación del Comité Institucional, el cual será presidido por un servidor del más alto nivel jerárquico, e integrado por servidores públicos del nivel directivo o asesor. (Subrayado fuera de texto).

 

Los Comités Institucionales de Gestión y Desempeño cumplirán las siguientes funciones:

 

1. Aprobar y hacer seguimiento, por lo menos una vez cada tres meses, a las acciones y estrategias adoptadas para la operación del Modelo Integrado de Planeación y Gestión -MIPG.

 

2. Articular los esfuerzos institucionales, recursos, metodologías y estrategias para asegurar la implementación, sostenibilidad y mejora del Modelo Integrado de Planeación y Gestión -MIPG.

 

3. Proponer al Comité Sectorial de Gestión y el Desempeño Institucional, iniciativas que contribuyan al mejoramiento en la implementación y operación del Modelo Integrado de Planeación y Gestión – MIPG.

 

4. Presentar los informes que el Comité Sectorial de Gestión y el Desempeño Institucional y los organismos de control requieran sobre la gestión y el desempeño de la entidad.

 

5. Adelantar y promover acciones permanentes de autodiagnóstico para facilitar la valoración interna de la gestión.

 

6. Asegurar la implementación y desarrollo de las políticas de gestión y directrices en materia de seguridad digital y de la información.

 

7. Las demás que tengan relación directa con la implementación, desarrollo y evaluación del Modelo.

 

PARÁGRAFO 1. La secretaría técnica será ejercida por el jefe de la oficina de planeación, o por quien haga sus veces, en la entidad.

 

PARÁGRAFO 2. Las entidades que no cuenten con servidores públicos del nivel directivo, las funciones del Comité serán ejercidas directamente por el representante legal de la entidad y los servidores públicos del nivel profesional o técnico que designen para el efecto.

 

PARÁGRAFO 3. La Oficina de control Interno o quien haga sus veces será invitada permanente con voz, pero sin voto.”.

 

Acorde con lo anterior, el Comité Institucional de Gestión y Desempeño se constituye en una instancia decisoria que orienta no solamente la implementación del Modelo Integrado de Planeación y Gestión, sino también cada una de las políticas de Gestión y Desempeño necesarias para la mejora de los resultados y calidad en la prestación de servicios a los usuarios de la entidad. Así mismo, el decreto establece que para este comité será necesario que se incluyan todos los temas que atiendan la implementación y desarrollo de las políticas de gestión, por lo que aquellos comités que no estén estipulados en una norma específica serán absorbidos por éste.

 

Así mismo. dado el objeto de su consulta, consideramos pertinente indicar que, para los procesos de evaluación de tales sistemas, en lo que tienen que ver con el Modelo Estándar de Control Interno MECI, que el mismo Decreto 1499 de 2017, establece cambios para este modelo en el siguiente sentido:

 

“ARTÍCULO 2.2.23.1. ARTICULACIÓN DEL SISTEMA DE GESTIÓN CON LOS SISTEMAS DE CONTROL INTERNO. El Sistema de Control Interno previsto en la Ley 87 de 1993 y en la Ley 489 de 1998, se articulará al Sistema de Gestión en el marco del Modelo Integrado de Planeación y Gestión - MIPG, a través de los mecanismos de control y verificación que permiten el cumplimiento de los objetivos y el logro de resultados de las entidades.

 

El Control Interno es transversal a la gestión y desempeño de las entidades y se implementa a través del Modelo Estándar de Control Interno – MECI.

 

ARTÍCULO 2.2.23.2. ACTUALIZACIÓN DEL MODELO ESTÁNDAR DE CONTROL INTERNO. La actualización del Modelo Estándar de Control Interno para el Estado Colombiano - MECI, se efectuará a través del Manual Operativo del Modelo Integrado de Planeación y Gestión MIPG, el cual será de obligatorio cumplimiento y aplicación para las entidades y organismos a que hace referencia el artículo 5° de la Ley 87 de 1993. (Subrayado fuera del texto).

 

PARÁGRAFO. La Función Pública, previa aprobación del Consejo Asesor del Gobierno Nacional en materia de Control Interno, podrá actualizar y modificar los lineamientos para la implementación del MECI. (...)”.

 

Dada la anterior reglamentación, la estructura del Modelo Estándar de Control Interno – MECI se actualiza en articulación con el Modelo Integrado de Planeación y Gestión - MIPG.

 

De este modo, la nueva estructura del MECI busca una alineación a las buenas prácticas de control referenciadas desde el Modelo COSO¹, razón por la cual la estructura del MECI ¹ se fundamenta en cinco componentes, a saber: (i) ambiente de control, (ii) Evaluación del riesgo, (iii) actividades de control, (iv) información y comunicación y (v) actividades de monitoreo.

 

En tal sentido, los cambios que se surtieron estuvieron orientados hacia las buenas prácticas de control, por lo cual la nueva estructura se fundamenta en cinco componentes, así:

 

1. Ambiente de Control: tiene como propósito asegurar un ambiente de control que le permita a la entidad disponer de las condiciones mínimas para el ejercicio del control interno. Requiere del compromiso, el liderazgo y los lineamientos de la alta dirección y del Comité Institucional de Coordinación de Control Interno.

 

2. Evaluación del riesgo: tiene como propósito identificar, evaluar y gestionar eventos potenciales, tanto internos como externos, que puedan afectar el logro de los objetivos institucionales.

 

3. Actividades de control: tiene como propósito es permitir el control de los riesgos identificados y como mecanismo para apalancar el logro de los objetivos y forma parte integral de los procesos.
4. Información y comunicación: Tiene como propósito utilizar la información de manera adecuada y comunicarla por los medios y en los tiempos oportunos. Para su desarrollo se deben diseñar políticas, directrices y mecanismos de consecución, captura, procesamiento y generación de datos dentro y en el entorno de cada entidad, que satisfagan la necesidad de divulgar los resultados, de mostrar mejoras en la gestión administrativa y procurar que la información y la comunicación de la entidad y de cada proceso sea adecuada a las necesidades específicas de los grupos de valor y grupos de interés.

 

5. Actividades de monitoreo: tiene como propósito desarrollar las actividades de supervisión continua (controles permanentes) en el día a día de las actividades, así como evaluaciones periódicas (autoevaluación, auditorías) que permiten valorar: (i) la efectividad del control interno de la entidad pública; (ii) la eficiencia, eficacia y efectividad de los procesos; (iii) el nivel de ejecución de los planes, programas y proyectos; (iv) los resultados de la gestión, con el propósito de detectar desviaciones, establecer tendencias, y generar recomendaciones para orientar las acciones de mejoramiento de la entidad pública.

 

Esta estructura está acompañada de un esquema de asignación de responsabilidades y roles para la gestión del riesgo y el control, el cual se distribuye en diversos servidores de la entidad, no siendo ésta una tarea exclusiva de las oficinas de control interno, tal como se explica a continuación:

 

1. a) Línea Estratégica: Corresponderá a la Alta Dirección establecer desde el Direccionamiento Estratégico los lineamientos necesarios para que los controles definidos para la entidad tengan un enfoque basado en riesgos y evaluarlos de forma sistemática en el marco del Comité Institucional de Control Interno.

 

1. b) 1ª Línea de Defensa: Corresponde a los servidores en sus diferentes niveles la aplicación de los controles tal como han sido diseñados, como parte del día a día y autocontrol de las actividades de la gestión a su cargo.

 

1. c) 2ª Línea de Defensa: Corresponde a la Media y Alta Gerencia, como son la Oficina de Planeación o quien haga sus veces, los Líderes de Proceso, Coordinadores, gerencias de riesgos (donde existan), entre otros, que les permitan ejecutar un seguimiento o autoevaluación permanente de la gestión, orientando y generando alertas a la 1ª línea de defensa.

 

1. d) 3ª Línea de Defensa: Corresponde a la Oficina de Control Interno o quien haga sus veces hacer el seguimiento objetivo e independiente de la gestión, utilizando los mecanismos y herramientas de auditoría interna, o bien estableciendo cursos de acción que le permitan generar alertas y recomendaciones a la administración, a fin de evitar posibles incumplimientos o materializaciones de riesgos en los diferentes ámbitos de la entidad.

 

Acorde con la anterior estructura, la segunda línea de defensa tiene un objetivo principal que es asegurar que la primera línea está diseñada y opera de manera efectiva, es decir, que las funciones de la segunda línea de defensa informan a la Alta Dirección y/o son parte de la misma generando información clave para la toma de decisiones en tiempos diferenciados respecto de los seguimientos y evaluaciones de la tercera línea de defensa.

 

Dentro de estas instancias se pueden encontrar auditores de calidad, medio ambiente, seguridad e higiene (donde se cuenta con sistemas bajo normas internacionales), gestión de riesgos, información financiera, entre otros que se definan y que evalúen a la primera línea de defensa.

 

De este modo, la segunda línea de defensa puede intervenir directamente sobre el desarrollo y autoevaluación de la gestión de riesgos y control interno, acciones que se complementan con la tercera línea de defensa, la cual proporciona aseguramiento independiente y objetivo al no participar directamente en la gestión

.

En consecuencia, es posible afirmar que las evaluaciones a sistemas de gestión bajo normas voluntarias (ISO9001:2015 u otras bajo este estándar), hacen parte de la segunda línea de defensa, por lo que deberán existir responsables o líderes internos que no necesariamente corresponde a la oficina de planeación o quienes hagan sus veces, quienes deben definir su estructura, formas de evaluación y mecanismos que permitan contar con información confiable que facilite la toma de decisiones, tanto a la primera línea de defensa como a la línea estratégica.

 

Ahora bien, en cuanto a la relación de estas evaluaciones de segunda línea de defensa con la Oficina de Control Interno cómo la encargada de medir y evaluar la eficiencia, eficacia y economía de los demás controles (artículo 9º de la Ley 87 de 1993), en el marco del Modelo Estándar de Control Interno (7ª Dimensión de MIPG), en su componente Actividades de Monitoreo, donde convergen las evaluaciones de 2ª línea y la evaluación independiente como 3ª línea de defensa, se plantea el siguiente esquema para la evaluación articulada a sistemas bajo normas voluntarias así:

 

1. Atendiendo los lineamientos de normas internacionales², y en el entendido que la Oficina de Control Interno es control de controles, frente a las auditorías requeridas para el sostenimiento de sistemas bajo normas voluntarias, deberá coordinar la programación general de las auditorías, a fin de contar con un panorama completo de los procesos auditores que se llevarán a cabo durante la vigencia.

 

2. Esto requerirá que el Jefe de Control Interno se coordine con el Jefe de Planeación, así como con otros líderes internos, acorde con las normas voluntarias con las que cuente la entidad, a fin de analizar el número de auditorías para la vigencia que tiene previstas la Oficina de Control Interno en el marco de sus funciones más las necesarias para los sistemas que se van a evaluar, de manera tal que se definan las fechas para su ejecución, evitando recargar a los procesos y sus líderes con continuos procesos de auditoría que generan fatiga de auditoría y que pueden afectar los resultados esperados frente a tales evaluaciones.

 

Esta programación facilitará su ejecución, evitando cruces entre los auditores y generando un mejor flujo de información entre todas las instancias que intervienen.

 

Así mismo, estos análisis deberán observar los requerimientos de recursos financieros y/o humanos o de otro tipo como se señaló anteriormente a fin de someterlos a consideración de la alta dirección con la premisa de garantizar el desarrollo de las actividades de evaluación.

 

3. En cuanto a la ejecución de las auditorías a normas voluntarias, corresponderá a los líderes en los diferentes sistemas de gestión (calidad, seguridad y salud en el trabajo, ambiental, entre otros) como segunda línea de defensa llevarlas a cabo autónomamente con sus auditores formados en tales temas, verificando de forma articulada el cumplimiento de los atributos de calidad establecidos en MIPG entre otros aspectos.

 

4. Dado que estas evaluaciones hacen parte integral del componente Actividades de Monitoreo del MECI (Dimensión 7 Control Interno), será relevante que para los cierres de informe definitivo puedan reunirse con la Oficina de Control Interno, a fin de analizar hallazgos comunes, conclusiones generales, entre otros aspectos, a fin² de suministrar al Representante Legal y sus líderes un panorama claro, especialmente en relación con los planes de mejoramiento, ya que este elemento es fundamental para los procesos de mejora requeridos y su articulación facilita un análisis de causas con mayor efectividad.

 

5. Considerando que la Oficina de Control Interno es control de controles (tercera línea de defensa) deberá evaluar el ejercicio efectuado por la segunda línea de defensa en términos de los siguientes aspectos: i) objetivo y alcance; ii) Prácticas y metodologías; iii) Informes y acciones de mejora aplicadas; iv) efectividad de los sistemas en su impacto frente a la gestión en los temas que a cada uno compete, con lo cual se materializará la evaluación integral a la que nos hemos venido refiriendo.

 

Acorde con los anteriores lineamientos, me permito aclararle que las orientaciones determinadas para este tema obedecen a la actualización del Modelo Estándar de Control Interno MECI como la 7ª dimensión de MIPG y la incorporación del Esquema de Líneas de Defensa, por lo que no se trata de dejar de evaluar el sistema de gestión de la calidad, u otros que puedan incorporar voluntariamente las entidades, sino que la Oficina de Control Interno entra a evaluar lo ejecutado por parte de la 2ª línea y genera recomendaciones para su mejora, así mismo, con alcances diferentes e información de contraste, debe pronunciarse sobre la efectividad de tales sistemas y su correcta articulación con el MIPG.

 

En este marco general, cada entidad debe considerar su situación actual, a fin de aplicar estos lineamientos con un sentido de realidad, proponiendo procesos de transición que faciliten su cumplimiento en un tiempo razonable, acorde con las condiciones actuales, recursos y otras consideraciones internas.

 

Finalmente los invitamos a consultar nuestro servicio de asesoría: Espacio Virtual de Asesoría – EVA, en la dirección: www.funcionpublica.gov.co/eva/ , donde encontrará normas, jurisprudencia, conceptos, videos informativos, publicaciones de la Función Pública, entre otras opciones, las cuales serán de gran apoyo en su gestión.

 

El anterior concepto se imparte en los términos del artículo 28 del Código de Procedimiento Administrativo y de lo Contencioso Administrativo.

 

Cordialmente,

 

HENRY HUMBERTO VILLAMARÍN SERRANO

 

Director de Gestión y Desempeño Institucional

 

Iván A. Márquez R./Leonardo Molina Henao

 

11302.8.2

 

NOTAS DE PIE DE PAGINA

 

¹Se basa en la estructura del Modelo COSO/INTOSAI

 

²Normas Internacionales para el Ejercicio Profesional de Auditoría Interna, establece en su Norma 2050: “(...) El Director Ejecutivo de Auditoría Interna debería compartir información y coordinar actividades con otros proveedores internos y externos de servicios de aseguramiento y consultoría para asegurar una cobertura adecuada y minimizar la duplicación de esfuerzos (...)” Interpretación: “(...) El Director Ejecutivo de Auditoría debería entender claramente también el alcance, los objetivos y los resultados del trabajo realizado por otros proveedores de servicios de aseguramiento y consultoría. Cuando se deposita la confianza en el trabajo de otros, el Director Ejecutivo de Auditoría es todavía responsable de asegurarse que existe un soporte adecuado a las conclusiones y opiniones expresadas por la actividad de auditoría interna (...)”