*20185000237411*

Al contestar por favor cite estos datos:

Radicado No.: 20185000237411

Fecha: 19-09-2018 03:00 pm

Bogotá D. C.,

Referencia: Concepto auditorías a Sistemas de Gestión bajo normas internacionales y las líneas de defensa establecidas en el Modelo Estándar de Control Interno MECI (7ª Dimensión del MIPG). Radicado No. 20189000214032 del 14 de agosto del 2018.

En atención a su solicitud de la referencia, a continuación nos permitimos dar respuesta en los siguientes términos:

CONSULTA:

(...) La entidad oficial donde laboro INFIBAGUE, viene adelantando labores de implementación de las normas ISO 9001:2015, ISO14001:2015 e ISO45001:2015. Para certificarse requiere efectuar auditorías internas a las tres normas:

Pregunta: ¿Quién programa y aprueba las auditorias? ¿Quién es el auditor líder? Puede la Oficina de planeación de la entidad realizar esta labor de programar las auditorias y ser auditor líder? Puede el contratista que realiza la implementación ser el auditor líder de estas auditorías? Le corresponde ser auditor líder al jefe de control interno por mandato legal programar y ejecutar las auditorias? Puede el comité institucional de Gestión y Desempeño aprobar y ajustar la programación de auditorías?

ANÁLISIS:

Para dar respuesta a sus inquietudes es necesario hacer las siguientes precisiones:

En primer lugar, se debe señalar que el Decreto 1499 de 2017 “Por medio del cual se modifica el Decreto 1083 de 2015, Decreto Único Reglamentario del Sector Función Pública, en lo relacionado con el Sistema de Gestión establecido en el artículo 133 de la Ley 1753 de 2015” estable lo siguiente:

ARTÍCULO 2.2.22.1.1 SISTEMA DE GESTIÓN. El Sistema de Gestión, creado en el artículo 133 de la Ley 1753 de 2015, que integra los Sistemas de Desarrollo Administrativo y de Gestión de la Calidad, es el conjunto de entidades y organismos del Estado, políticas, normas, recursos e información cuyo objeto es dirigir la gestión pública al mejor desempeño institucional y a la consecución de resultados para la satisfacción de las necesidades y el goce efectivo de los derechos de los ciudadanos en el marco de la legalidad y la integridad. (Subrayado fuera del texto)

ARTÍCULO 2.2.23.1 Articulación del Sistema de Gestión con los Sistemas de Control Interno. El Sistema de Control Interno previsto en la Ley 87 de 1993 y en la Ley 489 de 1998, se articulará al Sistema de Gestión en el marco del Modelo Integrado de Planeación y Gestión -MIPG, a través de los mecanismos de control y verificación que permiten el cumplimiento de los objetivos y el logro de resultados de las entidades.

El Control Interno es transversal a la gestión y desempeño de las entidades y se implementa a través del Modelo Estándar de Control Interno â¿MECI. (Subrayado fuera del texto)

A partir de la anterior reglamentación, se integró el Sistema de Desarrollo Administrativo y el Sistema de Gestión de la Calidad, definiéndose un solo Sistema de Gestión, el cual se articula con el Sistema de Control Interno a través del Modelo Estándar de Control Interno MECI.

Como producto de lo anterior, se define el Modelo Integrado de Planeación y Gestión â¿MIPG, el cual le permite a todas las entidades del estado, planear, gestionar, evaluar, controlar y mejorar su desempeño, bajo criterios de calidad, cumpliendo su misión y buscando la satisfacción de los ciudadanos.

En este sentido, el mismo decreto 1499 de 2017 define en su artículo 5 lo siguiente:

ARTÍCULO 5. Vigencia y derogatorias. El presente decreto rige a partir de la fecha de su publicación. deroga el artículo 2.2.21.1.4, el segundo inciso del literal c. del artículo 2.2.21.2.2, el numeral 4 del artículo 2.2.21.2.4, el segundo y tercer incisos del literal e) del artículo 2.2.21.2.5, el artículo 2.2.24.3 y el Capítulo 6 del Título 21; sustituye los Títulos 22 Y 23 Y modifica el literal 1) del artículo 2.2.21.3.9, los artículos 2.2.21.3.14 y 2.2.24.4 del Decreto 1083 de 2015; deroga el Decreto 1826 de 1994 así como las normas y disposiciones que le sean contrarias. De acuerdo con lo dispuesto en el artículo 133 de la Ley 1753 de 2015, una vez sea expedido el presente Decreto, quedan derogados los articulas 15 al 23 de la Ley 489 de 1998 y la Ley 872 de 2003. (Subrayado fuera de texto)

Acorde con lo anterior la Ley 872 de 2003 queda derogada, por lo que pierden vigencia todos los decretos reglamentarios de la misma, como sería el Decreto 4485 de 2009 “Por medio la de la cual se adopta la actualización de la Norma Técnica de Calidad en la Gestión Pública”.

Se debe precisar que si bien la norma técnica de calidad NTCGP1000:2009 no se mantiene en su estructura con esta nueva reglamentación, el Modelo Integrado de Planeación y Gestión MIPG se constituye en sí mismo en un modelo de gestión de la calidad, por lo que será relevante revisar cuáles elementos del sistema de gestión actual pueden incorporarse y adaptarse con el fin de mantener los estándares de calidad en los procesos que se desarrollan.

En cuanto a la Norma ISO9001:2015, así como aquellas relacionadas con este mismo estándar internacional, dentro del decreto reglamentario, se ha establecido lo siguiente:

ARTÍCULO 2.2.22.3.12 Certificación de Calidad. Las entidades y organismos públicos, que lo consideren pertinente, podrán certificarse bajo las normas nacionales e internacionales de calidad.

Las certificaciones otorgadas de conformidad con la Norma Técnica de Calidad en la Gestión Pública NTCGP 1000 Versión 2009 continuarán vigentes hasta la fecha para la cual fueron expedidas. (Subrayado fuera de texto)

Acorde con lo anterior, las entidades podrán implementar y cuando consideren pertinente certificar sus Sistemas de Gestión de la Calidad bajo normas internacionales, como sería el caso de la ISO9001 u otras relacionadas con este mismo estándar internacional, como las citadas en su comunicación.

Es importante señalar en este caso, que estos estándares para todas las entidades son opcionales, por lo que en primera instancia se debe garantizar el cumplimiento del Modelo Integrado de Planeación y Gestión MIPG, el cual, tal como hemos expresado, se orienta a la gestión por resultados y a la generación de valor público, ejes centrales que van a permitir realmente que la calidad sea evidenciada por los usuarios o grupos de valor y no que se quede en un simple cumplimiento documental que no se ve reflejado en los resultados, así como en los productos y servicios que entregan.

En consecuencia, si su entidad cuenta con sistemas de gestión bajo normas internacionales como la ISO9001:2015 y cuenta con certificación podrá dar sostenimiento de forma articulada con los lineamientos del Modelo Integrado de Planeación y Gestión MIPG, dado que su estructura está completamente alineada con dicha norma. Adicionalmente, es preciso que se pueda garantizar un adecuado ejercicio en la implementación integral de los temas, lo que le permitirá evitar reprocesos internos o aplicaciones puramente documentales que no permiten que la mejora en la prestación de los servicios sea evidenciada por los usuarios.

Ahora bien, en cuanto a los procesos de evaluación de tales sistemas, se debe señalar frente al Modelo Estándar de Control Interno MECI, que el mismo Decreto 1499 de 2017, establece cambios para este modelo en el siguiente sentido:

ARTÍCULO 2.2.23.1. ARTICULACIÓN DEL SISTEMA DE GESTIÓN CON LOS SISTEMAS DE CONTROL INTERNO. El Sistema de Control Interno previsto en la Ley 87 de 1993 y en la Ley 489 de 1998, se articulará al Sistema de Gestión en el marco del Modelo Integrado de Planeación y Gestión - MIPG, a través de los mecanismos de control y verificación que permiten el cumplimiento de los objetivos y el logro de resultados de las entidades.

El Control Interno es transversal a la gestión y desempeño de las entidades y se implementa a través del Modelo Estándar de Control Interno â¿ MECI.

ARTÍCULO 2.2.23.2. ACTUALIZACIÓN DEL MODELO ESTÁNDAR DE CONTROL INTERNO. La actualización del Modelo Estándar de Control Interno para el Estado Colombiano - MECI, se efectuará a través del Manual Operativo del Modelo Integrado de Planeación y Gestión MIPG, el cual será de obligatorio cumplimiento y aplicación para las entidades y organismos a que hace referencia el artículo 5° de la Ley 87 de 1993. (Subrayado fuera del texto)

PARÁGRAFO. La Función Pública, previa aprobación del Consejo Asesor del Gobierno Nacional en materia de Control Interno, podrá actualizar y modificar los lineamientos para la implementación del MECI.

(...)

Dada la anterior reglamentación, la estructura del Modelo Estándar de Control Interno â¿ MECI se actualiza en articulación con el Modelo Integrado de Planeación y Gestión - MIPG.

De este modo, la nueva estructura del MECI busca una alineación a las buenas prácticas de control referenciadas desde el Modelo COSO¹, razón por la cual la estructura del MECI se fundamenta en cinco componentes, a saber: (i) ambiente de control, (ii) Evaluación del riesgo, (iii) actividades de control, (iv) información y comunicación y (v) actividades de monitoreo.

En tal sentido, los cambios que se surtieron estuvieron orientados hacia las buenas prácticas de control, por lo cual la nueva estructura se fundamenta en cinco componentes, así:

1. Ambiente de Control: tiene como propósito asegurar un ambiente de control que le permita a la entidad disponer de las condiciones mínimas para el ejercicio del control interno. Requiere del compromiso, el liderazgo y los lineamientos de la alta dirección y del Comité Institucional de Coordinación de Control Interno.

2. Evaluación del riesgo: tiene como propósito identificar, evaluar y gestionar eventos potenciales, tanto internos como externos, que puedan afectar el logro de los objetivos institucionales.

3. Actividades de control: tiene como propósito es permitir el control de los riesgos identificados y como mecanismo para apalancar el logro de los objetivos y forma parte integral de los procesos.

4. Información y comunicación: Tiene como propósito utilizar la información de manera adecuada y comunicarla por los medios y en los tiempos oportunos. Para su desarrollo se deben diseñar políticas, directrices y mecanismos de consecución, captura, procesamiento y generación de datos dentro y en el entorno de cada entidad, que satisfagan la necesidad de divulgar los resultados, de mostrar mejoras en la gestión administrativa y procurar que la información y la comunicación de la entidad y de cada proceso sea adecuada a las necesidades específicas de los grupos de valor y grupos de interés.

5. Actividades de monitoreo: tiene como propósito desarrollar las actividades de supervisión continua (controles permanentes) en el día a día de las actividades, así como evaluaciones periódicas (autoevaluación, auditorías) que permiten valorar: (i) la efectividad del control interno de la entidad pública; (ii) la eficiencia, eficacia y efectividad de los procesos; (iii) el nivel de ejecución de los planes, programas y proyectos; (iv) los resultados de la gestión, con el propósito de detectar desviaciones, establecer tendencias, y generar recomendaciones para orientar las acciones de mejoramiento de la entidad pública.

Esta estructura está acompañada de un esquema de asignación de responsabilidades y roles para la gestión del riesgo y el control, el cual se distribuye en diversos servidores de la entidad, no siendo ésta una tarea exclusiva de las oficinas de control interno.

En consecuencia, es posible afirmar que para el diseño y posterior seguimiento a la estructura de control de la entidad, atendiendo lo definido en las líneas de defensa encontramos lo siguiente:

a) Línea Estratégica: Corresponderá a la Alta Dirección establecer desde el Direccionamiento Estratégico los lineamientos necesarios para que los controles definidos para la entidad tengan un enfoque basado en riesgos y evaluarlos de forma sistemática en el marco del Comité Institucional de Control Interno.

b) 1ª Línea de Defensa: Corresponde a los servidores en sus diferentes niveles la aplicación de los controles tal como han sido diseñados, como parte del día a día y autocontrol de las actividades de la gestión a su cargo.

c) 2ª Línea de Defensa: Corresponde a la Media y Alta Gerencia, como son la Oficina de Planeación o quien haga sus veces, los Líderes de Proceso, Coordinadores, supervisores o interventores de contratos o proyectos entre otros, establecer mecanismos que les permitan ejecutar un seguimiento o autoevaluación permanente de la gestión, orientando y generando alertas a la 1ª línea de defensa.

d) 3ª Línea de Defensa: Corresponde a la Oficina de Control Interno o quien haga sus veces hacer el seguimiento objetivo e independiente de la gestión, utilizando los mecanismos y herramientas de auditoría interna, o bien estableciendo cursos de acción que le permitan generar alertas y recomendaciones a la administración, a fin de evitar posibles incumplimientos o materializaciones de riesgos en los diferentes ámbitos de la entidad.

Acorde con la anterior estructura, la segunda línea de defensa tiene un objetivo principal que es asegurar que la primera línea está diseñada y opera de manera efectiva, es decir, que las funciones de la segunda línea de defensa informan a la Alta Dirección y/o son parte de la Alta Dirección y generan información clave para la toma de decisiones en tiempos diferenciados respecto de los seguimientos y evaluaciones de la tercera línea de defensa.

Dentro de estas instancias se pueden encontrar auditores de calidad, medio ambiente, seguridad e higiene (donde se cuenta con sistemas bajo normas internacionales), gestión de riesgos, información financiera, entre otros que se definan y que evalúen a la primera línea de defensa.

De este modo, la segunda línea de defensa puede intervenir directamente sobre el desarrollo y autoevaluación de la gestión de riesgos y control interno, acciones que se complementan con la tercera línea de defensa, la cual proporciona aseguramiento independiente y objetivo al no participar directamente en la gestión.

En consecuencia, es posible afirmar que las evaluaciones a sistemas de gestión como los consultados, hacen parte de la segunda línea de defensa, por lo que deberán existir responsables o líderes internos, quienes deben definir su estructura, formas de evaluación y mecanismos que permitan contar con información confiable que facilite la toma de decisiones, tanto a la primera línea de defensa como a la línea estratégica.

Ahora bien, en cuanto a la relación de estas evaluaciones de segunda línea de defensa con la Oficina de Control Interno, quien ejerce la tercera línea de defensa, las Normas Internacionales para el Ejercicio Profesional de Auditoría Interna, establece en su Norma 2050 â¿ Coordinación, lo siguiente:

“El Director Ejecutivo de Auditoría Interna debería compartir información y coordinar actividades con otros proveedores internos y externos de servicios de aseguramiento y consultoría para asegurar una cobertura adecuada y minimizar la duplicación de esfuerzos”. (Subrayado fuera de texto)

Interpretación:

En la coordinación de actividades, el Director Ejecutivo de Auditoría puede confiar en el trabajo de otros proveedores de servicios de aseguramiento y consultoría. Se debe establecer un proceso consistente para esta confianza y el Director Ejecutivo de Auditoría debería considerar las competencias, la objetividad y el debido cuidado profesional de los proveedores de servicios de aseguramiento y consultoría. El Director Ejecutivo de Auditoría debería entender claramente también el alcance, los objetivos y los resultados del trabajo realizado por otros proveedores de servicios de aseguramiento y consultoría. Cuando se deposita la confianza en el trabajo de otros, el Director Ejecutivo de Auditoría es todavía responsable de asegurarse que existe un soporte adecuado a las conclusiones y opiniones expresadas por la actividad de auditoría interna. (Subrayado fuera de texto)

En este sentido, la Guía de implementación 2050 establece lo siguiente:

“Los roles de proveedores de servicios de aseguramiento y consultoría varían en cada organización. En consecuencia, para empezar la tarea de coordinar estos trabajos, el Director Ejecutivo de Auditoría (DEA) identifica los diferentes roles de este tipo que existen en la organización revisando su organigrama y las actas o las agendas de las reuniones del Consejo. Estos roles se clasifican generalmente según sean desempeñados por proveedores internos o por proveedores externos.

Los proveedores internos incluyen funciones de supervisión que, o bien dependen o bien son parte de la alta dirección. Su participación puede incluir áreas como ambiental, control financiero, seguridad y salud, seguridad de TI, legal, gestión de riesgos, cumplimiento, o aseguramiento de la calidad. (...)

Una vez identificados los proveedores de servicios de aseguramiento y consultoría, el Director Ejecutivo de Auditoría valorará el tipo y la cantidad de información que puede ser compartido con ellos, de acuerdo con las Normas sobre confidencialidad de la organización.”

Más adelante esta misma Guía de Implementación establece:

“Una forma de coordinar la cobertura del aseguramiento es con un mapa de aseguramiento que se elaborará vinculando las categorías de riesgos significativas con las fuentes relevantes de aseguramiento, y calificando el nivel de aseguramiento proporcionado para cada categoría de riesgo. Al tratarse de un mapa exhaustivo, en él podrán observarse las brechas y las actividades duplicadas en la cobertura del aseguramiento, lo que permitirá al Director Ejecutivo de Auditoría evaluar la suficiencia de los servicios de aseguramiento para cada área de riesgos. Los resultados pueden ser analizados con otros proveedores de aseguramiento, de forma que las partes puedan llegar a un acuerdo sobre como coordinar las actividades para minimizar la duplicación de esfuerzos y maximizar la eficiencia y la eficacia de la cobertura de aseguramiento.” (Subrayado fuera de texto)

En este orden de ideas, teniendo en cuenta que la Oficina de Control Interno es la encargada de medir y evaluar la eficiencia, eficacia y economía de los demás controles (artículo 9 de la Ley 87 de 1993), en cuanto a la competencia de la misma frente a la segunda línea de defensa, en criterio de esta Dirección Técnica tiene 2 alcances así:

1. Atendiendo los lineamientos de normas internacionales, la Oficina de Control Interno puede coordinar la programación general de las auditorías, a fin de contar con un panorama completo de los procesos auditores que se llevarán a cabo durante la vigencia.

En cuanto a su ejecución la segunda línea de defensa correspondientes (calidad, seguridad y salud en el trabajo, ambiental, entre otros) podrán llevarlos a cabo autónomamente con sus auditores formados en tales temas. Como complemento será relevante que para los cierres de informe definitivo puedan reunirse y analizar hallazgos comunes, conclusiones generales, entre otros aspectos, a fin de suministrar al Representante Legal y sus líderes un panorama claro, especialmente en relación con los planes de mejoramiento.

2. Considerando que la Oficina de Control Interno es control de controles, la segunda línea de defensa deberán ser objeto de evaluación independiente como rol de la tercera línea de defensa, de tal forma que se evalúe la forma como la segunda línea de defensa ejerce su supervisión.

Finalmente, es importante señalar que “el correcto funcionamiento y coordinación de actividades entre Auditoría Interna y otras funciones de aseguramiento propicia beneficios como:

Ampliación de la cobertura de riesgos, sin incrementar las horas de Auditoría Interna.

Reducción de tiempos de acción en la gestión del riesgo.

Mejor aseguramiento, por conocimiento especializado.

Intentar evitar el efecto “fatiga de auditoría” dentro de la organización.

Aumento de la eficiencia, al eliminar la duplicidad de funciones.

Aumento de calidad de cumplimiento, por esfuerzo conjunto.”²

CONCLUSIÓN:

De acuerdo con lo anteriormente expuesto, le confirmo que si bien la norma técnica de calidad NTCGP1000:2009 no se mantiene en su estructura con esta nueva reglamentación, el Modelo Integrado de Planeación y Gestión MIPG se constituye en sí mismo en un modelo de gestión de la calidad, por lo que será relevante garantizar su cumplimiento en primer lugar, dado que los estándares por usted consultados son opcionales para todas las entidades del Estado.

En consecuencia, si su entidad cuenta con sistemas de gestión bajo normas internacionales como la ISO9001:2015 y cuenta con certificación podrá dar sostenimiento de forma articulada con los lineamientos del Modelo Integrado de Planeación y Gestión MIPG, de modo tal que se eviten reprocesos internos y dispersión de esfuerzos que no aportan a la mejora de la gestión y frente a la prestación de servicios a los usuarios.

Una vez aclarado lo anterior, en relación con las auditorías a sistemas de gestión bajo normas internacionales, me permito responder sus inquietudes así:

1. Sobre quién programa y aprueba las auditorías, acorde con lo explicado en el análisis la Oficina de Control Interno o quien haga sus veces, puede coordinar la programación general de las auditorías en conjunto con la Oficina de Planeación o quien haga sus veces, o bien con los líderes visibles de los sistemas que cita en su comunicación, a fin de contar con un panorama completo de los procesos auditores que se llevarán a cabo durante la vigencia. Esta programación puede ser analizada en el marco del Comité Institucional de Gestión y Desempeño, a fin de analizar la carga general frente a los procesos, así como otras actividades que puedan afectar su ejecución.

2. Dado lo explicado en relación con las líneas de defensa (específicamente la 2ª línea), la oficina de planeación puede definir los auditores líderes que correspondan acorde con los sistemas que van a ser evaluados.

3. Acorde con lo expresado en el punto anterior, es viable que la oficina de planeación programe con los auditores formados en cada materia sus auditorías y ser auditor líder de las mismas.

4. En cuanto al contratista que cita en su comunicación, es necesario aclarar que la relación de las personas vinculadas mediante contrato de prestación de servicios, se rige por lo dispuesto en la Ley 80 de 1993, que dispone en el numeral tercero del artículo 32 lo siguiente:

(...)

3o. Contrato de prestación de servicios

Son contratos de prestación de servicios los que celebren las entidades estatales para desarrollar actividades relacionadas con la administración o funcionamiento de la entidad. Estos contratos sólo podrán celebrarse con personas naturales cuando dichas actividades no puedan realizarse con personal de planta o requieran conocimientos especializados.

En ningún caso estos contratos generan relación laboral ni prestaciones sociales y se celebrarán por el término estrictamente indispensable. (Subrayado fuera de texto)

Como puede observarse, la norma señala que los contratistas de prestación de servicios deben cumplir funciones que no puedan realizarse con personal de planta, bien porque el personal es insuficiente o porque se trata de actividades transitorias, toda vez que no son servidores públicos sino particulares contratistas y su relación está regulada por el contrato y por las disposiciones contenidas en la Ley 80 de 1993. Por lo tanto, será necesario revisar si dentro de sus obligaciones tiene relacionada la actividad que indaga en su solicitud.

5. Tal como se expresó en el análisis en relación con la Oficina de Control Interno, para este tipo de auditorías a sistemas de gestión bajo normas internacionales, debe existir una coordinación frente a la programación general, pero la oficina de planeación puede ejecutar sus procesos auditores con las personas que tenga formadas en cada materia.

6. Por tratarse de las auditorías a sistemas de gestión bajo normas internacionales, es viable que su aprobación se dé en el marco del Comité Institucional de Gestión y Desempeño.

Finalmente, la invitamos a consultar nuestro nuevo servicio de asesoría: Espacio Virtual de Asesoría â¿ EVA, en la dirección: www.funcionpublica.gov.co/eva/, donde encontrará normas, jurisprudencia, conceptos, videos informativos, publicaciones de la Función Pública, entre otras opciones, las cuales serán de gran apoyo en su gestión.

El anterior concepto se imparte en los términos del artículo 28 del Código de Procedimiento Administrativo y de lo Contencioso Administrativo.

Cordialmente,

MARIA DEL PILAR GARCIA GONZÁLEZ

Directora de Gestión y Desempeño Institucional

ANDRES MENDEZ JIMENEZ/MYRIAN CUBILLOS

11302.8.2

NOTAS DE PIE DE PÁGINA

1 Se basa en la estructura del Modelo COSO/INTOSAI

2 Instituto de Auditores Internos de España. Marco de Relaciones de Auditoría Interna con otras funciones de aseguramiento. Diciembre 2013.