*20245000355891*

 

Al contestar por favor cite estos datos:

 

Radicado No.: 20245000355891

 

Fecha: 02/06/2024 01:53:40 p.m.

 

Bogotá D. C.,

 

Referencia: Aclaración respecto de la diferencia entre control y plan de acción en el marco de la gestión del riesgo. Radicado No. 20249000355492 del 24 de abril de 2024.

 

En atención a su comunicación de la referencia, a continuación, nos permitimos dar respuesta en los siguientes términos:

 

CONSULTA:

 

(...) Con respecto a lo indicado en la guía de administración de riesgo V6 quiera me indicaron cual es la diferencia de aplicar un control y tener un plan de acción en los casos en que se decide mitigar el riesgo, ya que, al tener un plan de acción estoy indicando que el control no está funcionando. (...)

 

ANÁLISIS:

 

Para dar respuesta a sus inquietudes, es importante hacer las siguientes precisiones:

 

En primer lugar, es importante señalar que el Decreto 1499 de 2017 “Por medio del cual se modifica el Decreto 1083 de 2015, Decreto Único Reglamentario del Sector Función Pública”, en lo relacionado con el Sistema de Gestion establecido en el artículo 133 de la Ley 1753 de 2015 establece lo siguiente:

 

“la Ley 1753 de 2015, que integra los Sistemas de Desarrollo Administrativo y de Gestion de la Calidad, es el conjunto de entidades y organismos del Estado, políticas, normas, recursos e información cuyo objeto es dirigir la gestión pública al mejor desempeño institucional y a la consecución de resultados para la satisfacción de las necesidades y el goce efectivo de los derechos de los ciudadanos en el marco de la legalidad y la integridad.” (Subrayado fuera del texto).

 

A partir de la anterior reglamentación, se integró el Sistema de Desarrollo Administrativo y el Sistema de Gestion de la Calidad, y adicionalmente se determinaron los aspectos de articulación relacionados con el Sistema de Control Interno a través del Modelo Estándar de Control Interno MECI.

 

Como producto de lo anterior, se define el Modelo Integrado de Planeación y Gestion – MIPG, el cual le permite a todas las entidades del estado, planear, gestionar, evaluar, controlar y mejorar su desempeño, bajo criterios de calidad, cumpliendo su misión y buscando la satisfacción de los ciudadanos.

 

Por tanto, para MIPG el Sistema de Control Interno es la clave para asegurar razonablemente que las demás dimensiones atiendan su propósito.

 

En este sentido, frente a la Gestion del Riesgo, se debe señalar que la misma, se incorpora como uno de los cinco componentes del Modelo Estándar de Control Interno MECI, aspecto directamente relacionado con la Dimensión de Direccionamiento Estratégico y Planeación, ya que desde ésta se debe establecer la política de administración del riesgo para la institucionales que deben desdoblarse a través de los procesos y los objetivos de estos, aspecto esencial para poder iniciar con una correcta identificación de riesgos.

 

De este modo, la nueva estructura del MECI, la cual se ha alineado a las buenas prácticas de control referenciadas desde el Modelo COSO¹, razón por la cual la estructura del MECI se fundamenta en cinco componentes, a saber: (i) ambiente de control, (ii) Evaluación del riesgo, (iii) actividades de control, (iv) información y comunicación y (v) actividades de monitoreo.

 

esquema de asignación de responsabilidades y roles para la gestión del riesgo y el control, denominado Esquema de Líneas de Defensa, el cual se distribuye en diversos servidores de la entidad, no siendo la gestión del riesgo y el control una tarea exclusiva de las oficinas de control interno.

 

En consecuencia, es posible afirmar que, para el diseño y posterior seguimiento a la estructura de control de la entidad, atendiendo lo definido en las líneas de defensa encontramos lo siguiente: ¹

 

a) Línea Estratégica:

 

Direccionamiento Estratégico establecer los lineamientos necesarios para que los controles definidos para la entidad tengan un enfoque basado en riesgos y evaluarl

Interno.

 

b) 1a Línea de Defensa: Corresponde a los servidores en sus diferentes niveles de la organización la aplicación de los controles tal como han sido diseñados, como parte del día a día y autocontrol de las actividades de la gestión a su cargo.

c) 2a Línea de Defensa: Corresponde a la Media y Alta Gerencia, donde se incluyen las Oficinas Asesoras de Planeación o quienes hagan sus veces, los Lideres de Proceso, Coordinadores, supervisores o interventores de contratos o proyectos entre otros, a quienes corresponde establecer mecanismos que les permitan ejecutar un seguimiento o autoevaluación institucional permanente de la gestión, orientando y generando alertas a la 1a línea de defensa.

 

Esta línea asegura que los controles y procesos de gestión del riesgo de la 1a línea de defensa sean apropiados y funcionen correctamente, además, se encarga de supervisar la eficacia e implementación de las prácticas de gestión de riesgo.

 

d) 3a Línea de Defensa: Corresponde a la Oficina de Control Interno o quien haga sus veces hacer el seguimiento objetivo e independiente de la gestión del riesgo, utilizando los mecanismos y herramientas de auditoría interna, o bien estableciendo cursos de acción que le permitan generar alertas y recomendaciones a la administración, a fin de evitar posibles incumplimientos o materializaciones de riesgos en los diferentes ámbitos de la entidad.

 

Ahora bien, frente a la Guía para la Administración del Riesgo y el Diseño de Controles en Entidades Públicas (versión 6), emitida a finales del año 2022 por este Departamento Administrativo, frente a la Administración del Riesgo, a través de la guía en mención, se define una metodología que inicia con la Política de Administración del Riesgo y plantea para su estructuración los siguientes aspectos:

 

La metodología a utilizar.

 

Niveles de Responsabilidad y autoridad frente a la Administración del riesgo en la entidad (acorde con el Esquema de líneas de defensa).

 

Manejo.

 

Incluir los aspectos relevantes sobre los factores de riesgo estratégicos para la entidad, a partir de los cuales todos los procesos podrán iniciar con los análisis para el establecimiento del contexto.

 

Incluir todos aquellos lineamientos que en cada paso de la metodología sean necesarios para que todos los procesos puedan iniciar con los análisis correspondientes.

 

Incluir la periodicidad para el monitoreo y revisión de los riesgos, donde se determine el seguimiento a los controles establecidos.

 

Incluir las tablas de probabilidad e impacto, así como la matriz de severidad a aplicar por todos los procesos.

 

Otros aspectos que la entidad considere necesarios deberán ser incluidos, con el fin de generar orientaciones claras y precisas para todos los servidores en la entidad, de modo tal que la gestión estrategia de la entidad.

 

Estos aspectos deben ser definidos por parte de la Alta Dirección de las entidades, con una mirada integral y estratégica, ya que, al tratarse de una política de operación, permite a todos los servidores involucrados contar con una serie de lineamientos de obligatorio cumplimiento que van a facilitar su ejecución y efectividad en el día a día, así mismo se evitan análisis subjetivos que afectan la identificación y posterior valoración tanto de los riesgos como de los controles.

 

Dado el objeto de su consulta, es clave indicar que el control es una medida que permite reducir o mitigar un riesgo una vez se ha analizado el nivel de probabilidad e impacto inherente de este.

 

Para la definición y posterior valoración de los controles, se establece la siguiente estructura:

 

Responsable de ejecutar el control: identifica el cargo del servidor que eje realiza la actividad.

 

Acción: Se determina mediante verbos que indican la acción que deben realizar como parte del control.

 

Por tratarse de un control deben utilizarse verbos como verificar, validar, cotejar, comparar u otro que dé cuenta de una acción que facilita el flujo de actividades del proceso y permite al tomador de decisiones contar con información objetiva y pertinente para dar curso a las actividades bajo su responsabilidad.

 

Complemento: Corresponde a los detalles que permiten identificar claramente el objeto del control.

 

Este espacio permite incluir todos aquellos atributos relacionados con la ejecución del control como son: frecuencia, evidencia, fuentes de información para el análisis, entre otros aspectos que se consideren necesarios para que el responsable de su ejecución tenga todos los elementos de juicio para su desarrollo y que se garantice el objetivo del control en relación con el riesgo identificado.

 

Acorde con lo anterior, es posible concluir que la estructura para la redacción del control comprende tres (3) grandes elementos que se deben observar para facilitar su estructuración y posterior aplicación por parte de los responsables.

 

En cuanto a la eficiencia del control se califican las siguientes características del control como se explica a continuación:

 

Características			Descripción	Peso
Atributos de eficiencia	Tipo	Preventivo	Va hacia las causas del riesgo, aseguran el resultado final esperado.	25%
		Correctivo	Detecta que algo ocurre y devuelve el proceso a los controles preventivos. Se pueden generar reprocesos.	15%
		Detectivo	Dado que permiten reducir el impacto de la materialización del riesgo, tienen un costo en su implementación.	10%
	Implementación	Automático	Son actividades de procesamiento o validación de información que se ejecutan por un sistema y/o aplicativo de manera automática sin la intervención de personas para su realización.	25%
		Manual	Controles que son ejecutados por una persona, tiene implícito el error humano.	15%

 

Fuente: Adaptado del Curso Riesgo Operativo Universidad del Rosario por la Dirección de Gestion y Desempeño Institucional de Función Pública, 2020.

 

Ahora bien, los atributos que se definieron como complemento son informativos y no se evalúan en términos de la efectividad del control, pero los mismos tienen gran importancia y deben considerarse frente al diseño del control, toda vez que estos permiten darle formalidad y entregan información clave al líder del proceso en relación con su aplicación.

 

Ahora bien, en cuanto al plan de acción es clave indicar que las estrategias para combatir el riesgo es una decisión que se toma frente a un determinado nivel de riesgo, dicha decisión puede ser aceptar, reducir o evitar. Se analiza frente al riesgo residual, esto para procesos en funcionamiento, cuando se trate de procesos nuevos, se procede a partir del riesgo inherente².

 

Las estrategias para combatir el riesgo o tratamiento del riesgo se definen así: ²

 

Reducir el riesgo: Después de realizar un análisis y considerar que el nivel de riesgo residual es alto se determina tratarlo mediante transferencia o mitigación de este.

 

Transferir: Después de realizar un análisis se considera que la mejor estrategia es tercerizar el proceso o trasladar el riesgo a través de seguros o pólizas. La responsabilidad económica recae sobre el tercero, pero no se transfiere la responsabilidad sobre el tema reputacional .

 

Plan de Acción – Mitigar: Después de realizar un análisis y considerar los niveles de riesgo se implementan acciones que mitiguen el nivel de riesgo. No necesariamente es un control adicional.

 

Aceptar: Después de realizar un análisis y considerar los niveles de riesgo se determina asumir el mismo conociendo los efectos de su posible materialización.

 

Evitar: Después de realizar un análisis y considerar que el nivel de riesgo es demasiado alto, se determina NO asumir la actividad que genere este riesgo.

 

Frente al plan de acción referido para la opción de reducir, es importante mencionar que, conceptualmente y de manera general, se trata de una herramienta de planificación empleada para la gestión de tareas o proyectos que una vez analizado el(los) control(es) pueden ejecutarse a corto o mediano plazo a fin de que estos sean fortalecidos en su diseño e implementación, o que bien permitan el monitoreo continúo dado su nivel de riesgo residual, mas no es un control adicional.

 

Para efectos del mapa de riesgos, cuando se define la opción de reducir, se requerirá la definición de un plan de acción que especifique: i) responsable, ii) fecha de implementación, iii) fecha de seguimiento y iv) fecha de finalización.

 

CONCLUSIÓN:

 

De acuerdo con lo anteriormente expuesto, me permito dar claridad al tema consultado mediante las siguientes precisiones:

 

1. Para una adecuada gestión del riesgo, es necesario en primer lugar contar con la política de administración del riesgo que le permitirá definir claramente aspectos clave como: i) el contexto de la organización, que incluye información de carácter estratégico y del Modelo de Operación por procesos de la entidad ; ii) factores (internos y externos) generadores del riesgo; iii) estructura para la identificación y redacción del riesgo; iv) tablas de probabilidad e impacto, así como la matriz de calor o de severidad aplicables a todos los procesos; estructura para la redacción de los controles y su tabla de valoración, todos aspectos esenciales para bajar los niveles de subjetividad que suelen presentarse en estos ejercicios de identificación de riesgos y establecimiento de controles.

 

2. Acorde con el punto anterior como marco general, damos respuesta a su consulta aclarando que el control es una medida que permite reducir o mitigar un riesgo en la operatividad de la ejecución del proceso que genera la exposición a determinado riesgo.

 

Así mismo es posible concluir que la estructura para la redacción del control comprende tres (3) grandes elementos: responsable de ejecutar el control, acción y complemento.

 

Frente a la valoración de los controles o medición de su eficiencia se realiza teniendo en cuenta el tipo de control y la manera como se implementa, a partir de los cuales se determina el riesgo residual. Es decir, el riesgo residual surge de la aplicación de la valoración de los controles al riesgo inherente.

 

Los controles además de los mapas de riesgos se pueden encontrar documentados en los procesos y procedimiento de los procesos o en las políticas de operación de las entidades.

 

3. Ahora bien, frente al plan de acción referido para la opción de reducir, es importante mencionar que, conceptualmente y de manera general, se trata de una herramienta de planificación empleada para la gestión y control de tareas o proyectos. No es un control, es una acción adicional con un propósito específico que tiene un inicio y un final. Por ejemplo en un proceso de nómina que se trabaja en una hoja de calculo de manera manual el plan de acción sería la generación de un aplicativo parametrizado de tal forma que se alimente con las novedades de nómina y permita sacar los desprendibles de nómina los formularios de seguridad social etc. Una vez que el aplicativo quede validado se da por terminado dicho plan de acción.

 

Así entonces, es claro que el plan de acción corresponde a actividades que el líder del proceso identifique puedan ejecutarse a corto o mediano plazo a fin de que estos sean fortalecidos en su diseño e implementación, o que bien permitan el monitoreo continúo dado su nivel de riesgo residual, mas no es un control adicional.

 

Atendiendo el punto anterior, frente a la necesidad de incluir planes de acción o de tratamiento adicionales a los controles después del riesgo residual final, me permito aclararle que no es necesario, toda vez que la metodología propende por la efectividad de los controles y lo que se privilegia es su ejecución por parte del responsable y tales acciones adicionales, muchas veces desconectadas del riesgo son una carga que no genera valor al proceso.

 

También es importante aclarar que los riesgos residuales altos y extremos y la decisión de reducir a través de un plan de acción no implica que los controles están mal diseñados o no funcionan, el plan de acción como ya se explico no es un control adicional.

 

Finalmente la invitamos a consultar nuestro servicio de asesoría: Espacio Virtual de Asesoría – EVA, en la dirección: www.funcionpublica.gov.co/eva/, donde encontrará normas, jurisprudencia, conceptos, videos informativos, publicaciones de la Función Pública, entre otras opciones, las cuales serán de gran apoyo en su gestión.

 

El anterior concepto se imparte en los términos del artículo 28 del Código de Procedimiento Administrativo y de lo Contencioso Administrativo.

 

Cordialmente,

 

HENRY HUMBERTO VILLAMARÍN SERRANO

 

Director de Gestión y Desempeño Institucional

 

Proyecto: Eva Mercedes Rojas Valdés

 

Revisó: Iván A. Márquez Rincón.

 

11302.8.2

 

NOTAS DE PIE DE PAGINA

 

¹ Modelo COSO INTOSAI

 

² Guía para la Administración del Riesgo y el diseño de controles en entidades públicas Versión 6 – Pagina 58