GESTION DE RIEGOS Y CONTROL DE GESTION

GLORIA CECILIA BENITEZ MOSQUERA

TUTOR (a)
ABOGADA: TEOLINDA BEATRIZ RUIDIAZ MAYA
CONTROL ORGANIZACIONAL

Politécnico Colombiano Jaime Isaza Cadavid

Tecnología en Gestión Pública
Apartado – Antioquia
2015
ADMINISTRACION ESTRATEGICA DEL CONTROL INTERNO.
MODELOS DE CONTROL INTERNO.

PEDRO RAUL MEJIA ROMERO.

DANIEL SEGUNDO ALVAREZ SOSSA.

TUTOR (a)
ABOGADA: TEOLINDA BEATRIZ RUIDIAZ MAYA
CONTROL ORGANIZACIONAL

Politécnico Colombiano Jaime Isaza Cadavid

Tecnología en Gestión Pública
Apartado – Antioquia
2015
 INTRODUCCION

El estudio y manejo de los riesgos no es un tema nuevo, de alguna u otra

forma, las entidades, negocios y grandes empresas han venido desarrollando
planes, programas y proyectos tendientes a darle un manejo adecuado a los
riesgos, con el fin de lograr de la manera más eficiente el cumplimiento de
sus objetivos y estar preparados para enfrentar cualquier contingencia que
se pueda presentar. Es así como se encuentra que existen diferentes formas
de abordar el tema de los riesgos dependiendo del tamaño de la entidad, los
objetivos que persigue, la cultura administrativa, la complejidad de sus
operaciones y la disponibilidad de recursos entre otros.

El riesgo es un concepto que se puede considerar fundamental, por su

vinculo con todo el que hacer, casi se podría afirmar que no hay actividad de
la vida, los negocios o de cualquier asunto que no incluya la palabra riesgo,
es por ello que la humanidad desde sus inicios buscó maneras de protegerse
contra las contingencias y desarrolló - al igual que la mayoría de las especies
animales - maneras de evitar, minimizar o asumir riesgos a través de
acciones preventivas

La Gestión de Riesgo es un método que se puede aplicar en diferentes

contextos donde se debe incluir y trabajar con las consideraciones de la
seguridad.
1. GESTION DE RIESGOS

VALORACIÓN DE RIESGOS

Cada Entidad enfrenta una variedad de riesgos derivados de fuentes

externas e internas, los cuales deben valorarse. Una condición previa para la
valoración de riesgos es el establecimiento de objetivos, enlazados en
niveles diferentes y consistentes internamente La valoración de riesgos es la
identificación y análisis de los riesgos relevantes para la consecución de los
objetivos, formando una base para la determinación de cómo deben
administrarse los riesgos. Dado que las condiciones económicas,
industriales, reguladas y de operación continuaran cambiando, se necesitan
mecanismos para identificar y tratar los riesgos especiales asociados con el
cambio.

MARCO CONCEPTUAL DEL RIESGO

El concepto del riesgo ha tenido varias aplicaciones en cuanto a su

interpretación y manejo dependiendo de su desarrollo, llegando a identifica
diferentes tipos de riesgo que las empresas tienen que conocer, evaluar y
administrar.

La oficina de Control Interno para desempeñar una mejor labor y dar un

mayor valor agregado a su trabajo, tiene la necesidad de apoyar a la
Gerencia en la identificación, medición y control de dichos riesgos.

De esto se desprende que para ejercer la evaluación y el control institucional

a niveles operacional, financiera, de cumplimiento, de gestión, o en general
de control o auditoría integral, debe cambiar su equivocada función policiva
para empezar a desarrollar una labor de asesoría a la gerencia, donde centre
sus esfuerzos en examinar el logro satisfactorio de los objetivos del control ,
más que mirar culpables o buscar delincuentes responsables.

DEFINICIONES DE RIESGO

El riesgo es una medida de incertidumbre que refleja hechos presentes o

futuros que pueden ocasionar una ruptura en el flujo de información o
incumplimiento en el logro de los objetivos organizacionales.
PROCESO DE LA ADMINISTRACIÓN DEL RIESGO

La práctica de la administración de riesgos debe mantener una secuencia

lógica de procedimientos para que el alcance del trabajo sea el ideal y pueda
proporcionar un valor agregado real y permita un fácil entendimiento para
quienes van a efectuar el trabajo de campo, así como para los usuarios
finales de la información.

Figura 1. Proceso de Administración de Riesgos

Determinación de Objetivos:

Se establecen de manera clara y precisa los objetivos que espera la

organización con la implementación de esta administración del riesgo y los
alcances que pretende alcanzar por parte de los que ejecuten dicha
administración. Esta fase es fundamental ya que no es concebible poner a
funcionar un proyecto de cualquier naturaleza sin la debida planeación de
sus objetivos.

Identificación de Riesgos:

Esta fase es una de las más críticas, pues si no se efectúa una debida
identificación de los potenciales riesgos a los que está expuestos una
organización, estos no podrán ser debidamente administrados. No es posible
generalizar los riesgos de las empresas, ya que éstas difieren en sus
actividades, ubicación geográfica, políticas específicas por sector, patrones
de tipo cultural, social, entre otros.
Para la identificación de riesgos se pueden utilizar una gran variedad de
herramientas y fuentes de información, entre otras:

 Registros internos de la organización. Todos aquellos documentos

que muestren información concerniente a los diferentes procesos que
realiza un ente económico. El análisis de estos documentos puede
revelarnos posibles errores que aumentarían significativamente la
exposición a algunos riesgos particulares. Por ejemplo, si se observa
que las facturas de venta que emite la empresa no cumplen todos los
requisitos legales, aumenta el riesgo fiscal en cuanto esto puede
ocasionar sanciones o multas ante la División de Impuestos y
Aduanas Nacionales DIAN.
 Políticas de seguridad: Son todas aquellas medidas que emplea la
organización para salvaguardar sus bienes y propiedades, y aquellas
políticas encaminadas al bienestar del recurso humano de la empresa.
La información que nos puede proporcionar esta fuente nos ayudará a
detectar riesgos en los procesos, tales como una inadecuada
segregación de funciones.
 Cuestionarios de Control Interno: Son formularios de carácter
interrogativo que se les efectúa a los encargados de cada sistema o
división, con el fin de observar posibles omisiones en la
implementación de los controles, o si por el contrario, estos controles
están ayudando a minimizar el impacto de la exposición a ciertos
riesgos.
 Flujogramas de los procesos: La representación gráfica de los
procesos que realiza una empresa es una herramienta que permite la
identificación de los puntos críticos de riesgo, ya que en ellos se
muestran los momentos en los cuales la responsabilidad recae sobre
uno u otro funcionario, estableciendo de una forma preliminar las
factibles medidas de control que se establecerían para manejar dichos
riesgos.
 Análisis de Estados Financieros: El análisis de los estados
financieros nos pueden mostrar las características del ente
económico, la concentración de sus recursos y la magnitud de ciertos
rubros que o tengan un riesgo inherente mayor, tales como el
disponible; esta magnitud se puede estudiar tanto por su saldo final
como por el movimiento que efectuó a lo largo del período contable,
respetando la norma básica de la importancia relativa o materialidad.
 Inspección de las operaciones: La inspección directa de las
operaciones nos proporciona información que no fue considerada en
el análisis del diagrama de flujo de los diferentes procesos que realiza
un ente económico.
  Entrevistas: Son contactos que se efectúan con expertos ya sean de
carácter interno o externo a la organización que nos proporcione
información que nos permita una mayor certeza de que el juicio que
estemos estructurando sea el adecuado en caso que se tengan
inquietudes o incertidumbres a lo largo del trabajo de auditoría.

Lo ideal es utilizar en forma simultánea dichas fuentes de información para

proporcionar una identificación más completa de los riesgos, evitando en lo
posible limitar la práctica hacia una sola de éstas fuentes.

McNamee proporciona tres métodos para la identificación de los riesgos, los

cuales se resumen en la siguiente tabla:

Métodos de Identificación de Riesgos.

MÉTODO OBJETIVO EJEMPLOS

Utiliza el conocimiento de
las operaciones de la Tecnología
Económico
organización.Considera Proveedores
Valuación Político
que los cambios Régimen
Ambiental Constituyentes
probables en el ambiente Gubernamental
Competencia
para identificar Físicos
consecuencias.

Tamaño
Utiliza el conocimiento de
Valor
los recursos de la
Valoración Tipo Movilidad/
organización.Considera
de (Financiero, Accesibilidad
las posibles
Exposición humano, Localización
consecuencias para los
intangible,
activos basados en:
físico)

Define los elementos

Escenarios Desastres
difíciles de medir, de baja Sabotaje
de Naturales
probabilidad y alta Fraude
Amenaza Terrorismo
consecuencia.
El cuadro anterior muestra en nuestro concepto elementos claves en el
momento de la clasificación de los riesgos en tres valuaciones o valoraciones
macro, las cuales pueden ser analizadas detalladamente a nivel micro como
por ejemplo: En cuanto a la valuación ambiental, se puede analizar
detalladamente la competencia al nivel de:

 Participación en el mercado.
 Manejo de políticas de mantenimiento en el mercado (publicidad,
ofertas, descuentos).
 Participación constante en el tiempo, como el caso de los productos
navideños que solamente tienen su apogeo al final de cada año.
 Manejo de los insumos que requiere para la elaboración del producto
final.
 Análisis de potenciales clientes.
 Métodos de investigación de mercados, etc.

3. Evaluación de Riesgos:

Consiste en la medición de los posibles impactos y consecuencias de los

riesgos identificados en la fase anterior. Una vez hecha la medición se
clasifican en orden de prioridad. Vaughan establece que es mejor establecer
un orden con base en criterios como:

 Críticos
 Importantes
 No importantes

Dentro de esta fase cabe destacar el concepto y metodología de la valuación

de riesgos (risk assessment), la cual es definida por McNamee como "Una
herramienta que ayuda a los gerentes y/o auditores a detectar y tratar los
riesgos en las operaciones; es una herramienta para la toma de
decisiones...". La manera como la valuación del riesgo sirve a los intereses
de la organización en cuanto al cumplimiento de sus objetivos corporativos,
se puede resumir en los siguientes aspectos:

 A nivel macro se utiliza para identificar, medir y priorizar riesgos de

manera que el mayor esfuerzo sea utilizado para las áreas auditables
de mayor significado.
 Es una manera de asignar los recursos para satisfacer las
necesidades de auditoría de la organización.
  A nivel micro se utiliza también dentro de la auditoría individual para
identificar áreas que sean más importantes dentro del alcance de la
auditoría.
 Incluye análisis de riesgos y los pasos prudentes que vienen de un
mayor entendimiento y conocimiento de las consecuencias de
administrar en un ambiente de incertidumbre.
 Es la consideración de los probables efectos materiales de eventos
inciertos.
 A nivel macro, asegura que el departamento de auditoría se está
enfocando en auditar las cosas correctas. A nivel micro, dentro de
cada auditoría se enfoca el alcance en las áreas más importantes.

MEJORES PRÁCTICAS DE CONTROL INTERNO PARA LA

ADMINISTRACION DEL RIESGO

 Combinar el análisis objetivo y subjetivo del universo de auditoría para

revelar prioridades. Después de definir todas las actividades
auditables (el universo de auditoría), se asignan valores a cada una de
estas actividades basándose en factores objetivos y se da una
clasificación cuantitativa por orden de importancia. Hecha esta
distribución se aplican factores subjetivos para ajustar la clasificación
de la información no cuantificable. Como resultado de este análisis
combinado, se identifican las áreas de riesgo material, de manera que
los recursos de la auditoría se asignen de manera apropiada.
 Actualizar y compartir los resultados de la valuación. Las valuaciones
del riesgo deben ser continuamente reevaluadas debido a los
constantes y diversos cambios que suceden en el ambiente en el cual
se desenvuelven las organizaciones actualmente; de igual manera, los
planes de auditoría se deben ajustar a estas nuevas situaciones. Al
compartir los resultados de las valuaciones con la alta gerencia, el
departamento de auditoría mejora la posición de la administración de
riesgos en la organización.
 Analizar la habilidad de la administración para lograr metas y objetivos
establecidos en los informes de pre-auditoría. En estos informes, los
auditores consignan la naturaleza, historia, asuntos, éxitos y fallas de
las actividades del negocio a ser auditadas. Si junto a estas
consideraciones preliminares se incluye una evaluación de las
actividades de la administración de riesgos, se logrará una
herramienta mucho más efectiva para los objetivos de la auditoría y de
la organización.
 Utilizar cuestionarios para examinar los controles internos desde arriba
hacia abajo. Estos cuestionarios recopilan información valuable sobre
 el ambiente de control, aunque generalmente se aplican sólo al nivel
de departamentos y niveles inferiores, pero no se aplican a nivel
gerencial. El utilizar los cuestionarios en todos los niveles de la
organización provee un mejor entendimiento de la cultura
organizacional.
 Analizar los procesos para establecer y vigilar los límites del riesgo.
Estos límites especifican y cuantifican el rango aceptable en el cual se
le permite conducirse al negocio. Al llevar a cabo el análisis, el
departamento de auditoría identifica límites que hagan falta, evalúa lo
apropiado de los límites existentes, y examina las acciones que se
toma cuando se pasan esos límites.
 Revisar otras funciones de la administración de riesgos. Además del
tradicional cubrimiento de operaciones, una auditoría sobre otras
funciones de la administración de riesgos es importante. Esto lleva a
que el equipo de auditoría se diversifique en cuanto al conocimiento
en diferentes áreas de la organización.
 Observar el proceso de planeación estratégica y su resultado. Esta
planeación es desarrollada por la alta gerencia, y para no entrar en
conflicto con la propiedad de independencia que debe tener el equipo
de auditoría, su rol será solo de consejería y de observación, que no
incluyan toma de decisiones. Al observar el proceso de planeación
estratégica, el equipo de auditoría obtiene información específica
acerca de la dirección futura de la organización, y los recursos de la
auditoría se pueden distribuir basados en nuevos riesgos, reforzando
así los esfuerzos de la administración del riesgo.
 Evaluar iniciativas estratégicas. El éxito de estas iniciativas (fusiones,
adquisiciones, nuevos productos, alianzas, sistemas comprados,...) es
un indicador clave de la efectividad de la administración para mitigar
apropiada y eficientemente los riesgos.
 Integrar las actividades de la auditoría. Algunos departamentos de
auditoría están combinando con muy buenos resultados las
actividades de auditoría de Protección Electrónica de Datos, las
actividades de los Sistemas de Información Gerencial, con los
procesos financieros y operacionales. Esta integración permite evaluar
la administración de riesgos de manera sistemática y cros-funcional.
 Basar el proceso de auditoría en el efecto neto de las exposiciones al
riesgo y los controles compensatorios. Se trata de aplicar la ecuación
"Exposición bruta al riesgo menos el control interno aplicable, igual
riesgo de negocio residual". Para aplicar esta "ecuación" es necesario
entender la naturaleza y tipos de riesgo, así como experiencia en la
evaluación y aplicación de controles internos.
 Asociarse con la gerencia ofreciendo servicios de consultoría e
información con valor agregado. Estos servicios que provee el
 departamento de auditoría mejoran la relación adversa que a menudo
existe entre el departamento y la gerencia, lo cual mejora su status
dentro de la organización.
 Revisar los componentes éticos como un elemento básico del control
interno. Como elemento fundamental para un ambiente efectivo de
control interno, los estándares éticos de la organización establecen el
rango aceptable en el cual se les permite actuar a los empleados. El
departamento de auditoría debe asegurar que los estándares
necesarios estén en su lugar, que los estándares existentes sean
apropiados y que las consecuencias estén diseñadas
apropiadamente. Para esto el equipo de auditoría debe examinar la
comunicación y monitoreo de los estándares éticos.
 Llevar a cabo una auditoría comprensiva de todo el programa de la
administración de riesgos. La evaluación incluye un análisis de las
interrelaciones entre las funciones o pasos de la administración de
riesgos, el nivel de coordinación entre estas funciones, y el
cubrimiento global del universo de la administración de riesgos,
midiendo de esta manera la efectividad del proceso.

MANEJO DEL RIESGO

Es necesario, después de identificar los riesgos, dar sugerencias para que

estos sean debidamente administrados, éstas sugerencias tienen relación
directa con las técnicas para el manejo del riesgo, y se debe tener la
capacidad suficiente para determinar con la debida propiedad que técnicas
aplicar a cada riesgo, teniendo en cuenta que un mismo riesgo puede ser
manejado por más de una técnica.

Éstas técnicas son: evitar, reducir, retener, transferir y compartir el riesgo. A

continuación se explica cada una de estas:
EVITAR EL RIESGO

El riesgo es evitado cuando la organización rechaza aceptarlo, es decir, no

se permite ningún tipo de exposición. Esto se logra simplemente con no
comprometerse con la acción que origine el riesgo. Esta técnica tiene más
desventajas que ventajas, por cuanto la empresa se abstendría de
aprovechar muchas oportunidades y probablemente no cumpliría con los
objetivos propuestos.

REDUCIR O CONTROLAR EL RIESGO

El riesgo se reduce o controla a través de la prevención por medio de la

implementación de controles y su monitoreo constante. Esta es una técnica
ideal para el manejo de los riesgos, y es la más utilizada.

RETENER, ASUMIR O ACEPTAR EL RIESGO

Es uno de los métodos más comunes de manejar el riesgo, es la decisión de

aceptar las consecuencias de la ocurrencia del evento.

Para Vaughan, "esta retención puede ser consciente o inconsciente. La

retención consciente tiene lugar cuando el riesgo es percibido y no es
transferido o reducido; cuando el riesgo no es reconocido es retenido
inconscientemente.

Puede ser también voluntaria o involuntaria; la retención voluntaria se

caracteriza por el reconocimiento de la existencia del riesgo y un acuerdo
tácito de asumir las pérdidas involucradas, esta decisión se da por la falta de
alternativas. La retención involuntaria se da cuando el riesgo es retenido
inconscientemente y también cuando el riesgo no puede ser evitado,
transferido o reducido."

TRANSFERIR EL RIESGO

El riesgo puede ser transferido de una organización a otra que tenga más
capacidad de tratarlo. Para algunos autores, esta técnica es la misma de
compartir el riesgo; la diferencia es que al transferir el riesgo, se cede todo,
en cambio, al compartir el riesgo, la organización responde por una parte del
riesgo.

COMPARTIR O DIVERSIFICAR EL RIESGO

Es un caso especial de la transferencia del riesgo, es también una forma de

retener el riesgo. Cuando los riesgos son compartidos, la posibilidad de
pérdida es transferida de un individuo al grupo; sin embargo, compartir el
riesgo es también una forma de retenerlo en la cual el riesgo "transferido" al
grupo es retenido junto con los riesgos de los demás miembros del grupo.

METODOLOGIA BASICA PARA ESTABLECER EL TIPO DE TECNICA DE

MANEJO DEL RIESGO

Vaughan ha desarrollado una matriz como herramienta para determinar qué

técnica de manejo de riesgos utilizar ante diversas situaciones. Esta matriz
categoriza el riesgo en cuatro clases, basadas en la combinación de
frecuencia (probabilidad) y severidad de cada riesgo. Aunque no todos los
riesgos se pueden clasificar así de fácil, esta matriz da una aproximación útil
para el análisis de los riesgos.

Matriz para Determinación de Técnicas del Tratamiento del Riesgo

Las características de cada riesgo son las que determinan su frecuencia y

severidad, y son las que definen el tipo de herramienta a utilizar para su
manejo y/o tratamiento.

 Cuando los riesgos se caracterizan por ser de alta frecuencia y alta

severidad, las herramientas más apropiadas para el manejo y
tratamiento son: evitarlo o reducirlo.
  Los riesgos caracterizados por alta frecuencia y baja severidad, son
manejados y/o tratados más apropiadamente a través de: retención
y/o reducción.
 Si los riesgos se caracterizan por tener una alta severidad y una baja
frecuencia, se pueden manejar y/o tratar mejor al transferir o compartir
el riesgo.
 Finalmente, los riesgos caracterizados por baja severidad y baja
frecuencia se manejan o tratan mejor mediante la retención.

De esta manera, la matriz quedaría así:

ALTA BAJA
FRECUENCIA FRECUENCIA

ALTA Evitar Transferir

SEVERIDAD Reducir Compartir

BAJA Retener
Retener
SEVERIDAD Reducir

Esta metodología vale la pena resaltar que funciona en la siguiente tabla que
muestra una comparación entre el enfoque de los tres paradigmas
anteriormente expuestos con respecto a ciertos aspectos clave en la práctica
de una auditoría.
Area de Primer Segundo Tercer
Auditoría Paradigma Paradigma Paradigma

Verificación
Enfoque de Sistema de Riesgo del
total de las
Auditoría Control Interno Negocio
operaciones

Integral:
financiera,
Tipo de Financiera,
Financiera operacional, de
Auditoría operacional
cumplimiento y
de gestión

Todas las
Errores,
Enfoque de Actividades de actividades de
irregularidades
las Pruebas control mitigación del
y fraudes
riesgo

Muestras
Cobertura Según
selectivas según
de las Total priorización de
confiabilidad del
Pruebas riesgos
control interno

Eficacia,
eficiencia,
Eficacia, Eficacia, economía,
Criterios a
eficiencia y eficiencia y equidad, ética,
Revisar
economía economía ecología y
normatividad
legal

Ayuda de Equipos
Estadística e
Otras Ninguna interdisciplinarios
informática
Disciplinas de auditoría

Enfoque del Establecer Conveniencia y Conveniencia y

 Informe responsables efectividad del efectividad de la
por errores o control interno mitigación del
fraudes riesgo

Detección de
Resultado Controles Mitigación
errores,
de la nuevos o apropiada del
irregularidades
Auditoría mejorados riesgo
y/o fraudes

Pero cuáles son los riesgos a los que está expuesta una entidad
pública?

Toda entidad pública está expuesta a riesgos que están determinados por
factores de carácter externo, también denominados del entorno y que
atentan contra la naturaleza misma de la entidad; igualmente hay factores de
carácter interno que pueden en un momento determinado afectar el
cumplimiento de los objetivos.

Entre los factores externos encontramos: la normatividad en la medida que

se hace parte de un Estado social de derecho; a vía de ejemplo se pueden
mencionar cambios constitucionales como el de 1991; jurisprudenciales
como los que se expresan en sentencias que declaran sin efecto normas que
venían aplicándose y que en un momento determinado pueden afectar las
funciones específicas de una entidad pública y por lo tanto sus objetivos.
También pueden mencionarse las reformas a la administración y los
constantes recortes presupuestales que contribuyen a minimizar la
capacidad de gestión de las entidades públicas, lo cual sumado a la
reducción o eliminación total del presupuesto de inversión, obliga a
considerar en todo momento el riesgo en que incurre la entidad de no poder
cumplir con su objeto social.

Entre los factores internos encontramos: el manejo de los recursos, los

controles existentes, los procesos y procedimientos, la disponibilidad
presupuestal, la forma como se vinculan las personas a la entidad, los
intereses de los directivos, el nivel del talento humano, la motivación y los
niveles salariales, entre otros.

Por lo anterior, se hace necesario además de la identificación de los riesgos

en las entidades, su análisis, valoración e implementación de un plan de
manejo del riesgo al cual se le haga una evaluación o monitoreo
permanentes.

En este sentido, es importante señalar el papel de la Oficina de Control

Interno dentro este proceso, el cual es de dos clases, directo e indirecto:

Rol directo: Incluir dentro de los hallazgos de los informes de evaluación del
Sistema de Control Interno realizados conforme a la ley 87 de 1993, Mapas
de Riesgos con enfoque sistémico sobre el área evaluada, especificando el
riesgo, las causas y los efectos; para con base en ellos realizar
recomendaciones preventivas y/o correctivas y realizar seguimiento a la
evolución de dichos riesgos con el fin de verificar el cumplimiento de las
recomendaciones propuestas.

Rol indirecto: velar porque al interior de la entidad se implementen políticas

de administración del riesgo, se conformen grupos que lideren dicho proceso
y propendan por que se implementen mecanismos reales para la
administración del riesgo.

Igualmente el Decreto 1537 de 2001 en su artículo 4: “ Administración de

riesgos” especifica que la identificación y el análisis del riesgo debe ser un
proceso permanente e interactivo entre la administración y las oficinas de
control interno o quien haga sus veces con miras a establecer acciones
efectivas, representadas en actividades de control, acordadas entre los
responsables de las áreas o procesos y dichas oficinas.1

1 DECRETO 1537 DE 2001, por el cual se reglamenta parcialmente la ley 87 de 1993

 METODOLOGIA

Las entidades de la administración pública tienen unos objetivos

institucionales que deben desarrollar a través de diferentes planes,
programas y proyectos; el cumplimiento de dichos objetivos se puede ver
afectado por la presencia de riesgos, es decir por la probabilidad de
ocurrencia de hechos o actos producto de factores tanto internos como
externos que pueden entorpecer el normal desarrollo de las funciones. Por lo
anterior se hace necesario contar con una herramienta para administrar
dichos riesgos dentro de la organización.

La administración del riesgo debe partir de una política institucional definida y

respaldada por la alta dirección que se comprometa a manejar el tema dentro
de la organización; este compromiso incluye la sensibilización de los
funcionarios de la entidad, dándoles a conocer la importancia de su
integración y participación en de este proceso; la definición de un equipo de
trabajo responsable de liderar el ejercicio y la Implementación de las
acciones propuestas, el monitoreo y el seguimiento.

En el anexo II se adjunta un cuestionario que le va a facilitar a las entidades

establecer cómo se encuentran respecto a la administración del riesgo.

DIRECTRICES GENERALES
 Compromiso de la alta y media dirección: Para el éxito en la
Implementación de una adecuada administración del riesgo, es
indispensable el compromiso de la alta gerencia como encargada, en
primera instancia, de definir las políticas y en segunda instancia de
estimular la cultura de la identificación y prevención del riesgo. Para
lograrlo es necesario que exista claridad sobre las políticas definidas
al interior de la entidad y la concientización sobre la importancia del
tema para el logro de los objetivos; así mismo es importante la
definición de canales directos de comunicación y brindar apoyo a las
diferentes dependencias.

 Conformación de un equipo de trabajo: Es importante conformar un

equipo encargado de liderar el proceso de administración del riesgo
dentro de la entidad, con personas de diferentes áreas donde exista
 un responsable de servir de canal directo de comunicación entre el
grupo y la alta y media dirección. Es necesario que las personas
seleccionadas conozcan muy bien la entidad y el funcionamiento de
los diferentes procesos para que sirvan de facilitadores al momento
valorar, manejar y monitorear los riesgos.

 Capacitación en la metodología: Definido el equipo o equipos de

trabajo, debe capacitarse a sus integrantes en la metodología de la
administración del riesgo, para lo cual se podrá contar con el apoyo
del Departamento Administrativo de la Función Pública.

Identificación del riesgo

El proceso de la identificación del riesgo debe ser permanente e interactivo

integrado al proceso de planeación y responder a las preguntas qué, cómo
y porqué se pueden originar hechos que influyen en la obtención de
resultados.

Es importante tener en cuenta los factores que pueden incidir en la aparición

de los riesgos, los cuales como se ha mencionando a través de la Guía
pueden ser externos e internos y pueden llegar a afectar la organización en
cualquier momento; entre los factores externos deben considerarse además
de los que pueden afectar directamente a la entidad; factores económicos,
sociales, de orden público, políticos, legales y cambios tecnológicos entre
otros. Entre los factores internos se encuentran, la naturaleza de las
actividades de la entidad, las personas que hacen parte de la organización,
los sistemas de información, los procesos y procedimientos y los recursos
económicos.

Una manera de realizar la identificación del riesgo es a través de la

elaboración de un mapa de riesgos, el cual como herramienta metodológica
permite hacer un inventario de los riesgos ordenada y sistemáticamente,
definiendo en primera instancia los riesgos, posteriormente presentando una
descripción de cada uno de estos y finalmente definiendo las posibles
consecuencias.

Riesgo: posibilidad de ocurrencia de aquella situación que pueda entorpecer

el normal desarrollo de las funciones de la entidad y le impidan el logro de
sus objetivos.

Descripción: se refiere a las características generales o las formas en que

se observa o manifiesta el riesgo identificado.

Posibles consecuencias: corresponde a los posibles efectos ocasionados

por el riesgo, los cuales se pueden traducir en daños de tipo económico,
social, administrativo, entre otros.

Análisis del riesgo

El objetivo del análisis es el de establecer una valoración y priorización de
los riesgos con base en la información ofrecida por los mapas elaborados en
la etapa de identificación, con el fin de clasificar los riesgos y proveer
información para establecer el nivel de riesgo y las acciones que se van a
implementar. El análisis del riesgo dependerá de la información sobre el
mismo, de su origen y la disponibilidad de los datos. Para adelantarlo es
necesario diseñar escalas que pueden ser cuantitativas o cualitativas o una
combinación de las dos.

Se han establecido dos aspectos para realizar el análisis de los riesgos

identificados:

Probabilidad: la posibilidad de ocurrencia del riesgo; esta puede ser medida

con criterios de frecuencia o teniendo en cuenta la presencia de factores
internos y externos que pueden propiciar el riesgo, aunque éste no se haya
presentado nunca.

Impacto: consecuencias que puede ocasionar a la organización la

materialización del riesgo.

A continuación se presentan algunos ejemplos de las escalas que pueden

implementarse para analizar los riesgos.
Análisis cualitativo: se refiere a la utilización de formas descriptivas para
presentar la magnitud de consecuencias potenciales y la posibilidad de
ocurrencia. Se diseñan escalas ajustadas a las circunstancias de acuerdo a
las necesidades particulares de cada organización o el concepto particular
del riesgo evaluado.

Escala de medida cualitativa de PROBABILIDAD: se deben establecer las

categorías a utilizar y la descripción de cada una de ellas, con el fin de que
cada persona que aplique la escala mida a través de ella los mismos ítems,
por ejemplo:

ALTA: es muy factible que el hecho se presente.

MEDIA: es factible que el hecho se presente.

BAJA: es muy poco factible que el hecho se presente.

Ese mismo diseño puede aplicarse para la escala de medida cualitativa de

IMPACTO, estableciendo las categorías y la descripción, por ejemplo:

ALTO: Si el hecho llegara a presentarse, tendría alto impacto o efecto sobre

la entidad

MEDIO: Si el hecho llegara a presentarse tendría medio impacto o efecto en

la entidad

BAJO: Si el hecho llegara a presentarse tendría bajo impacto o efecto en la

entidad

Con base en los ejemplos anteriormente expuestos, los equipos de trabajo

en coordinación con los encargados de adelantar los procesos pueden
construir sus propias escalas de acuerdo a la naturaleza de la entidad y a
las características de los procesos y procedimientos, de forma que estas
escalas se ajusten al análisis de los riesgos identificados.

Análisis cuantitativo: este análisis contempla valores numéricos; la calidad

depende de lo exactas y completas que estén las cifras utilizadas. La forma
en la cual la probabilidad y el impacto es expresada y las formas por las
cuales ellos se combinan para proveer el nivel de riesgo puede variar de
acuerdo al tipo de riesgo. Ejemplo de expresiones cuantitativas del riesgo:

Riesgo de pérdida financiera: Las pérdidas financieras multiplicadas por la

frecuencia anual de las pérdidas dado el valor esperado en pesos por año.

Riesgo por accidentes de trabajo: El riesgo de accidentes de trabajo en

una actividad puede ser calculado como:

Número de accidentes de trabajo al año realizando la actividad

No. de los empleados que realizan la actividad

Al igual que para determinar las escalas cualitativas, el diseño de las

escalas cuantitativas debe contar con la participación de las personas
encargadas de los procesos y con el grupo encargado de liderar la
administración del riesgo.

Priorización de los riesgos

Una vez realizado el análisis de los riesgos con base en los aspectos de
probabilidad e impacto, se recomienda utilizar la matriz de priorización que
permite determinar cuales requieren de un tratamiento inmediato.

R
ALTA
E
A B
C

N
BAJA
C
C D

I IMPACTO
BAJO ALTO
A
Cuando se ubican los riesgos en la matriz se define cuales de ellos requieren
acciones inmediatas, que en este caso son los del cuadrante B, es decir los
de alto impacto y alta probabilidad; cuales no requieren acciones
inmediatas (pero desde luego requieren que se formulen) los ubicados en el
cuadrante C bajo impacto y baja probabilidad, respecto a los ubicados en
las casillas A y D es la entidad la que debe seleccionar de acuerdo a la
naturaleza del riesgo cuales va a trabajar primero los de alto impacto pero
baja probabilidad o los de alta probabilidad y bajo impacto ya que estos
pueden ser peligrosos para el logro de los objetivos institucionales, por las
consecuencias que presentan en el caso de los ubicados en la casilla A o por
lo constante de su presencia en el caso de la casilla D.

Determinación del nivel del riesgo

La determinación del nivel de riesgo es el resultado de confrontar el impacto

y la probabilidad con los controles existentes al interior de los diferentes
procesos y procedimientos que se realizan. Para adelantar esta etapa se
deben tener muy claros los puntos de control existentes en los diferentes
procesos, los cuales permiten obtener información para efectos de tomar
decisiones, estos niveles de riesgo pueden ser:

ALTO: Cuando el riesgo hace altamente vulnerable a la entidad o unidad.

(Impacto y probabilidad alta vs controles)

MEDIO: Cuando el riesgo presenta una vulnerabilidad media. (Impacto alto -

probabilidad baja o Impacto bajo - probabilidad alta vs controles).

BAJO: Cuando el riesgo presenta vulnerabilidad baja.( Impacto y

probabilidad baja vs controles).
Un ejemplo de la determinación del nivel del riesgo y del grado de exposición
al mismo:
Riesgo: Perdida de información debido a la entrada de un virus en la red de
información de la entidad.

Probabilidad: Alta, porque todos los computadores de la entidad están

conectados a la red de Internet e intranet.

Impacto: Alto, porque la perdida de información traería consecuencias

graves para el quehacer de la entidad.

Controles existentes: la entidad tiene establecidos controles semanales

haciendo backup o copias de seguridad y vacunando todos los programas y
equipos; además guarda la información más relevante desconectada de la
red en un centro de información.

Nivel de riesgo: Medio, por los controles establecidos

Lo anterior significa que a pesar de que la probabilidad y el impacto son

altos confrontado con los controles se puede afirmar que el nivel de riesgo
es medio y por lo tanto las acciones que se implementen entraran a reforzar
los controles existentes y a valorar la efectividad de los mismos.

MANEJO DEL RIESGO

Cualquier esfuerzo que emprendan las entidades en torno a la valoración del

riesgo llega a ser en vano, si no culmina en un adecuado manejo y control de
los mismos definiendo acciones factibles y efectivas, tales como la
implantación de políticas, estándares, procedimientos y cambios físicos
entre otros, que hagan parte de un plan de manejo 2.

Para el manejo del riesgo se pueden tener en cuenta algunas de las

siguientes opciones, las cuales pueden considerarse cada una de ellas
independientemente, interrelacionadas o en conjunto.

DAFP, Instructivo para la elaboración del informe ejecutivo anual sobre la evaluación del
Sistema de Control Interno Institucional, documento preliminar, agosto de 2001
Evitar el riesgo: es siempre la primera alternativa a considerar. Se logra
cuando al interior de los procesos se generan cambios sustanciales por
mejoramiento, rediseño o eliminación, resultado de unos adecuados
controles y acciones emprendidas. Un ejemplo de esto puede ser el control
de calidad, manejo de los insumos, mantenimiento preventivo de los equipos,
desarrollo tecnológico, etc.

Reducir el riesgo: si el riesgo no puede ser evitado porque crea grandes

dificultades operacionales, el siguiente paso es reducirlo al más bajo nivel
posible. La reducción del riesgo es probablemente el método más sencillo y
económico para superar las debilidades antes de aplicar medidas más
costosas y difíciles. Se consigue mediante la optimización de los
procedimientos y la implementación de controles. Ejemplo: Planes de
contingencia.

Dispersar y atomizar el riesgo: Se logra mediante la distribución o

localización del riesgo en diversos lugares. Es así como por ejemplo, la
información de gran importancia se puede duplicar y almacenar en un lugar
distante y de ubicación segura, en vez de dejarla concentrada en un solo
lugar.

Transferir el riesgo: Hace referencia a buscar respaldo y compartir con otro

parte del riesgo como por ejemplo tomar pólizas de seguros; se traslada el
riesgo a otra parte o físicamente se traslada a otro lugar. Esta técnica es
usada para eliminar el riesgo de un lugar y pasarlo a otro o de un grupo a
otro. Así mismo, el riesgo puede ser minimizado compartiéndolo con otro
grupo o dependencia.

Asumir el riesgo: Luego de que el riesgo ha sido reducido o transferido

puede quedar un riesgo residual que se mantiene, en este caso el gerente
del proceso simplemente acepta la pérdida residual probable y elabora
planes de contingencia para su manejo.

Una vez establecidos cuales de los anteriores manejos del riesgo se van a
concretar, estos deben evaluarse con relación al beneficio-costo para definir,
cuales son susceptibles de ser aplicadas y proceder a elaborar el plan de
manejo de riesgo, teniendo en cuenta, el análisis elaborado para cada uno
de los riesgos de acuerdo con su impacto, probabilidad y nivel de riesgo.

Posteriormente se definen los responsables de llevar a cabo las acciones

especificando el grado de participación de las dependencias en el desarrollo
de cada una de ellas. Así mismo, es importante construir indicadores,
entendidos como los elementos que permiten determinar de forma práctica el
comportamiento de las variables de riesgo, que van a permitir medir el
impacto de las acciones.

PLAN DE MANEJO DE RIESGOS

Para elaborar el plan de manejo de riesgos es necesario tener en cuenta si

las acciones propuestas reducen la materialización del riesgo y hacer una
evaluación jurídica, técnica, institucional, financiera y económica, es decir
considerar la viabilidad de su adopción. La selección de las acciones más
convenientes para la entidad se puede realizar con base en los siguientes
factores:
a) el nivel del riesgo
b) el balance entre el costo de la implementación de cada acción contra el
beneficio de la misma.

Una vez realizada la selección de las acciones más convenientes se debe

proceder a la preparación e implementación del plan, identificando
responsabilidades, programas, resultados esperados, medidas para verificar
el cumplimiento y las características del monitoreo. El éxito de la
implementación del plan requiere de un sistema gerencial efectivo el cual
tenga claro el método que se va a aplicar.

Es importante tener en cuenta que los objetivos están consignados en la

planeación anual de la entidad, por tal razón se sugiere incluir el plan de
manejo de riesgos dentro de la planeación, con el fin de no solo alcanzar los
objetivos sino de implementar también las acciones.
 ELABORACIÓN DEL MAPA DE RIESGOS

El mapa de riesgos puede ser entendido como la representación o

descripción de los distintos aspectos tenidos en cuenta en la valoración de
los riesgos que permite visualizar todo el proceso de la valoración del
riesgo y el plan de manejo de estos.

CUADRO DE ACTIVIDADES Y RESPONSABLES DE LA ELABORACIÓN

DEL MAPA DE RIESGOS

Se presenta el cronograma que elaboró la oficina para el grupo de trabajo

encargado de realizar la valoración de los riesgos y la formulación del plan
de manejo de riesgos.

ACTIVIDAD
RESPONSABLE

1. Instrucciones Generales Jefe Oficina

Jefes de Grupo

2. Instrucciones especificas dirigidas a que

cada funcionario debía leer, analizar y
comprender los fundamentos conceptuales sobre Jefe Grupo de Proyección y Gestión
los riesgos establecidos en la normatividad
vigente, así como en las guías generadas en el
Departamento Administrativo de la Función
Pública y por el Programa Presidencial de Lucha
contra la Corrupción.

3. Identificación de Riesgos, posibles Funcionario responsable de ejecutar

consecuencias y valoración por parte de cada procedimiento.
funcionario.

4. Se realizó un taller de retroalimentación con

la participación de todos los funcionarios de la
oficina. Coordinó: Jefe Grupo de Evaluación.
ACTIVIDAD
RESPONSABLE

Duración: 10 horas. Lideró: Jefe Oficina de Control Interno

5. En este taller cada funcionario presentó y

justificó los Riesgos de su respectivo
procedimiento. Consolidó: Profesional Universitario

6. Los participantes aportaron, solicitaron

modificaciones y/o eliminaron algunos aspectos Logística: Secretaria Grupo de Evaluación
propuestos por el responsable del procedimiento.

7. Se estableció la fecha para presentación de

los ajustes a la presentación inicial, las acciones
de control, los responsables de ejecutarla y el
indicador de cumplimiento para la misma.

8. Cada funcionario realizó los ajustes

correspondientes de acuerdo con el valor
agregado que le aportaron los participantes en el Funcionario responsable de procedimiento.
taller.

9. Así mismo diligenció en el formato las

casillas relacionadas con las acciones de control
para su manejo o mitigación, así como la
designación de los responsables de su ejecución
y la formulación de indicadores.

2. CONTROL DE GESTION

MANUAL DE PROCEDIMIENTOS.
El diseño del Manual de Procedimientos (de Operación) de la entidad, le
permite consolidar todos los lineamientos, políticas, normas o disposiciones
internas generadas en el diseño de los componentes Ambiente de Control,
Direccionamiento Estratégico, Administración de Riesgos y Actividades de
Control, asegurando que contenga todos los aspectos necesarios para dirigir
las operaciones de la entidad hacia el logro de sus objetivos.

Así mismo, el Manual permite la estandarización del conocimiento de la

operación de la entidad y un lenguaje común alrededor de ella,
convirtiéndose en un instrumento guía de la acción individual y colectiva de la
entidad, fomentando el autocontrol y la autorregulación.

COMPONENTE INFORMACIÓN

El componente Información vincula a la entidad con su entorno y facilita la

ejecución de sus operaciones internas. A partir de las Actividades de Control
y teniendo en cuenta los Planes y Programas y el Modelo de Operación por
Procesos, se deben diseñar políticas y mecanismos de consecución, captura,
procesamiento y generación de datos y registros, que permitan la efectividad
en las operaciones y que la información de la entidad y de cada proceso, sea
adecuada a las necesidades específicas de la ciudadanía y de las partes
interesadas.

Para obtener los beneficios proporcionados por la Información, es necesario

conocer las necesidades de la ciudadanía, de las partes interesadas y las de
la entidad, identificar sus fuentes y definir una estructura para su
procesamiento y socialización. Como Componente de Control, la Información
se estructura en los siguientes elementos:

Información Primaria.

Información Secundaria.

Sistemas de Información.

INFORMACIÓN PRIMARIA

La Información Primaria proviene de fuentes externas y se procesa dentro de

la entidad, circunscribiéndose a su entorno, es decir, las circunstancias con
las que la organización está en permanente contacto con la ciudadanía, los
proveedores, los contratistas, las entidades reguladoras, las fuentes de
financiación y otros organismos; y por las variables que no están en relación
directa ni constante con la entidad pero que afectan su desempeño, como el
ambiente político, las tendencias sociales, las variables económicas, el
avance tecnológico, entre otros.

INFORMACIÓN SECUNDARIA

Elemento de Control, conformado por el conjunto de datos que se originan

y/o procesan al interior de la entidad pública, provenientes del ejercicio de su
función. Se obtienen de los diferentes sistemas de información que soportan
la gestión de la entidad pública.

La Información Secundaria es la información que se transforma en la

ejecución de operaciones de la entidad. Toma como base la Información
Primaria y la relacionada con los hechos financieros, económicos y sociales
que se generan en el desarrollo de su función administrativa. Proporciona
elementos de juicio a la ciudadanía o partes interesadas, para que verifiquen
y determinen el grado de cumplimiento de los compromisos adquiridos por la
entidad.

SISTEMAS DE INFORMACIÓN

Elemento de Control, conformado por el conjunto de recursos humanos y

tecnológicos utilizados para la generación de información, orientada a
soportar de manera más eficiente la gestión de operaciones en la entidad
pública.

Constituyen el conjunto de tecnologías informáticas construidas,

procedimientos diseñados, mecanismos de control implementados y
asignación de personas responsables de la captura, procesamiento,
administración y distribución de datos e información. Pretende agilizar la
obtención de informes y hacer confiable la ejecución de las operaciones
internas, al igual que la generación de datos e información dirigidos a la
ciudadanía y a las partes interesadas.

COMPONENTE COMUNICACIÓN PÚBLICA

La Comunicación en las entidades públicas tiene una dimensión estratégica,

al ser el factor que hace posible que las personas puedan asociarse para
lograr objetivos comunes, en tanto involucre todos los niveles y procesos de
la organización. El diseño de la comunicación en las entidades debe plantear
soluciones a la necesidad de divulgar los actos administrativos o de
Gobierno, la gestión administrativa y a proyectar la imagen de la entidad. La
comunicación es producto de:

La manera como las entidades logran construir articulaciones internas que

garanticen la necesaria coherencia entre su planteamiento estratégico y su
actuación en la realidad cotidiana. El cabal cumplimiento de su
responsabilidad de abrir el acceso a la información a los propios servidores y
a la ciudadanía, como insumo fundamental para el conocimiento y la
comprensión de sus procesos.

COMPONENTE DE COMUNICACIÓN PÚBLICA

Conjunto de elementos de control que apoya la construcción de visión

compartida y el perfeccionamiento de las relaciones humanas con sus
grupos de interés, internos y externos. Facilita el cumplimiento de los
objetivos institucionales y sociales. Lo conforman los siguientes elementos:

 Comunicación organizacional
o Difusión de políticas de información generada dentro de la
entidad.
o Establecimiento de responsabilidades en la comunicación.
o Utilidad y pertinencia de la información.
o Canales de comunicación.
 Comunicación informática
o Sensibilización sobre uso de mecanismos de participación
ciudadana.
o Información a los grupos de interés sobre programas, obras,
servicios, contratos, evaluación de gestión de la entidad, entre
otros.
o Proceso de rendición de cuentas a la ciudadanía.
 Medios de comunicación
o Mecanismos de comunicación que lleguen a los usuarios.
o Permitir el control ciudadano.

AUDITORÍA INTERNA
Elemento de Control, que permite realizar un examen sistemático, objetivo e
independiente de los procesos, actividades, operaciones y resultados de una
Entidad Pública. Así mismo, permite emitir juicios basados en evidencias
sobre los aspectos más importantes de la gestión, los resultados obtenidos y
la satisfacción de los diferentes grupos de interés.

La Auditoría Interna se constituye en una herramienta de retroalimentación

del Sistema de Control Interno, que analiza las debilidades y fortalezas del
control, así como el desvío de los avances de las metas y objetivos trazados,
influyentes en los resultados y operaciones propuestas en la entidad. Su
objetivo es formular recomendaciones de ajuste o mejoramiento de los
procesos a partir de evidencias, soportes, criterios válidos, y servir de apoyo
a los Directivos en el proceso de toma de decisiones a fin de que se
obtengan los resultados esperados.

COMPONENTE PLANES DE MEJORAMIENTO

Conjunto de Elementos de Control, que consolidan las acciones de

mejoramiento necesarias para corregir las desviaciones encontradas en el
Sistema de Control Interno y en la gestión de operaciones, que se generan
como consecuencia de los procesos de Autoevaluación, de Evaluación
Independiente y de las observaciones formales provenientes de los Órganos
de Control.

El objetivo primordial del Plan de Mejoramiento es promover que los

procesos internos de las entidades se desarrollen en forma eficiente y
transparente a través de la adopción y cumplimiento de las acciones
correctivas y a la implementación de metodologías orientadas al
mejoramiento continuo.

La Ley 872 de 2003 por la cual se crea el Sistema de Gestión de la Calidad

complementario a los Sistemas de Control Interno y Desarrollo
Administrativo, de manera expresa consagra para el Estado Colombiano, la
adopción de acciones correctivas y preventivas que permitan a la
administración establecer mecanismos eficientes y oportunos que conlleven
a hacer más eficaces los procedimientos y a mejorar el cumplimiento de sus
objetivos y resultados.

PLAN DE MEJORAMIENTO INSTITUCIONAL

Elemento de Control, que permite el mejoramiento continuo y cumplimiento
de los objetivos institucionales de la entidad pública. Integra las acciones de
mejoramiento que a nivel de sus procesos debe operar la entidad para
fortalecer integralmente su desempeño institucional, cumplir con su función,
misión y objetivos en los términos establecidos en la norma de creación y la
ley, teniendo en cuenta los compromisos adquiridos con los organismos de
control fiscal, de control político y con las partes interesadas.

El Plan de Mejoramiento Institucional recoge las recomendaciones y análisis

generados en el desarrollo de los Componentes de auditoría Interna,
Evaluación Independiente y las observaciones del órgano de Control Fiscal.
La entidad debe estructurar el Plan de Mejoramiento que ha de adelantarse
en un periodo determinado, ajustado con su misión, visión, objetivos
institucionales, funciones y los recursos disponibles.

PLANES DE MEJORAMIENTO POR PROCESOS

Elemento de Control, que contiene los planes administrativos con las

acciones de mejoramiento que a nivel de los procesos y de las áreas
responsables dentro de la Organización Pública, deben adelantarse para
fortalecer su desempeño y funcionamiento, en procura de las metas y
resultados que garantizan el cumplimiento de los objetivos de la entidad en
su conjunto.

Los Planes de Mejoramiento por Procesos contienen las acciones para

subsanar las variaciones presentadas entre las metas esperadas para cada
proceso y los resultados alcanzados. En su formulación se incluye: la
descripción de las causas y consecuencias de dichas variaciones; la
definición de su objetivo, alcance, acciones a implementar y metas de logro
en el tiempo; la asignación de los responsables y el seguimiento necesario
para verificar su cumplimiento. Además, debe incluir aquellos aspectos
constitutivos del Plan de Mejoramiento Institucional que contribuyen a su
desarrollo.

PLANES DE MEJORAMIENTO INDIVIDUAL

Elemento de Control, que contiene las acciones de mejoramiento que debe

ejecutar cada uno de los Servidores Públicos para mejorar su desempeño y
el del área organizacional a la cual pertenece, en un marco de tiempo y
espacio definidos, para una mayor productividad de las actividades y/o tareas
bajo su responsabilidad.

Los Planes de Mejoramiento Individual contienen los compromisos que

asume el servidor con el fin de superar las brechas presentadas entre su
desempeño real y el desempeño que se espera de él. Los parámetros de
referencia del desempeño esperado están definidos de acuerdo con las
funciones y competencias de cada empleo, el instrumento de evaluación del
desempeño17, los Acuerdos de Gestión18 y el Plan de Mejoramiento por
Procesos.

Estos planes deben guardar coherencia con la evaluación por dependencias

que debe presentar la Oficina de Control Interno o quien haga sus veces, en
cumplimiento del artículo 39 de la Ley 909 de 2004.

Lo integran los mecanismos de verificación y evaluación del Sistema de

Control Interno; busca determinar si éste apoya el cumplimiento de los
objetivos de la entidad, garantizar que la evaluación y el seguimiento de la
gestión de la organización sean correctos, permitir acciones oportunas de
corrección y de mejoramiento.

COMPONENTE DE AUTOEVALUACIÓN

Acciones que permiten medir la efectividad del Control Interno y los

resultados de la gestión de la Institución.

Es un proceso estratégico mediante el cual la organización evalúa y

monitorea en forma integral, la existencia y la efectividad de los controles y el
desempeño organizacional frente al cumplimiento de sus objetivos. Se divide
en los siguientes elementos:

 Autoevaluación del control

o Permite a la organización autodiagnosticar su situación de
control.
o Evalúa la existencia de cada uno de los elementos de Control
Interno.
o Determina la calidad y efectividad de los controles internos.
o Define las acciones de mejoramiento de orden funcional e
individual
 Autoevaluación de la gestión
 o Se basa en los indicadores de gestión, diseñados en la
planeación estratégica y en la operación de la Institución.
o Implica conocer las características de los indicadores.
o Evalúa periódicamente el comportamiento de las variables
cuantitativas o cualitativas establecidas en los indicadores.
o Monitorea los factores críticos de éxito de los procesos.

COMPONENTE DE EVALUACIÓN INDEPENDIENTE

 Examen autónomo que hace la Oficina de Control Interno de la

Institución sobre el Sistema de Control Interno (SCI) y sobre las
acciones llevadas a cabo para cumplir los objetivos misionales.
 Sus características son independencia, neutralidad y objetividad.
 La neutralidad es la cualidad que permite emitir juicios objetivos sobre
el SCI y la gestión, sin favorecer a ningún servidor público.
 La evaluación independiente es conversacional para lograr
compromisos y constructiva para dar valor agregado.
 Evaluación del Sistema de Control Interno
o Proceso de evaluación cuyo objetivo es emitir juicios, fundados
y a partir de evidencias, sobre el grado de efectividad del
Control Interno en la operación y cumplimiento de los objetivos
de la organización.
o El proceso de evaluación lo deben efectuar servidores o áreas
administrativas independientes que no intervienen en la gestión
de operaciones de la Institución, para garantizar su
independencia.
 Oficina de Control Interno
o Oficina que, de manera independiente, emite un juicio sobre el
desempeño de las áreas o procesos bajo examen, mediante
aplicación de normas y técnicas determinadas en la Ley 87 de
1993.
 Auditoría interna
o Permite un examen objetivo, sistemático e independiente de
procesos, actividades, operaciones y resultados de la entidad
pública. Debe tener en cuenta cuatro aspectos básicos para su
evaluación: cumplimiento de normas, análisis del proceso
estratégico, verificación de la gestión y los resultados de la
entidad.

COMPONENTE DE PLANES DE MEJORAMIENTO

  Consolida las acciones requeridas para corregir las desviaciones
encontradas en el Sistema de Control Interno, en el direccionamiento
estratégico, en la gestión y en los resultados de la Institución.
 Agrupa las acciones de mejoramiento derivadas de la autoevaluación,
recomendaciones generadas por la evaluación independiente y de los
hallazgos del Control Fiscal.
 Su finalidad es mejorar el desempeño en el ente público y garantizar
el uso transparente y eficiente de los recursos.
 Busca generar conductas positivas y proactivas de acatamiento a las
normas por parte de los servidores públicos.

Se divide en los siguientes elementos:

 Plan de Mejoramiento Institucional

o Plan corporativo que integra las acciones de mejoramiento que
la organización debe adelantar para fortalecer su desempeño
institucional y cumplir con su función, misión y objetivos en los
términos de la Constitución, la Ley y los compromisos
adquiridos con sus grupos de interés.
o Evalúa el diseño y la implementación de las acciones señaladas
en el Plan de Mejoramiento Institucional; y verifica que
efectivamente se impacte la gestión de la entidad y el Sistema
de Control Interno.
 Auditoría interna
 Evaluación independiente
 Órgano de control fiscal
 Planes de Mejoramiento por Procesos
o Son administrativos, contienen acciones de mejoramiento de
procesos y de áreas responsables dentro de la entidad.
o Su diseño requiere definir un programa de realización. La
aprobación por parte del Comité de Coordinación de Control
Interno, el Comité de Auditoría y del nivel directivo responsable
también es requisito.
o Autoevaluación del control, de la gestión, evaluación
independiente.
 Planes de Mejoramiento Individual
o Acciones de mejoramiento, dentro del Plan de Mejoramiento
Funcional, que debe ejecutar cada servidor público. Con ellas
 se propicia el mejoramiento de procesos, macro procesos y
resultados del área a la cual pertenecen.
o Deben mantener la integridad de la función administrativa de la
Institución orientada hacia el servicio público.
o Mejorar el desempeño de cada empleo.

Si se implementan los tres subsistemas analizados, se considera que la

entidad pública ha implementado el SCI. El paso a seguir es evaluar lo
implementado.
 CONCLUSIONES

2. Cada servidor público tiene responsabilidades frente a l control interno,

que se sintetizan en estar al servicio del estado y de la comunidad.
3. Los directivos tienen la responsabilidad de direccionar yb orientar el
control interno para que cumpla con sus objetivos utilizando la información
que este genera a fin de retroalimentar y reorientar la función administrativa
de la entidad hacia los fines que persigue.
4. La actuación de cada uno de los servidores públicos en particular del nivel
directivo tiene repercusiones en el desempeño de la institución y del estado
como un todo.
5. Para la ejecución del control interno es necesario contar con las
Capacidades, habilidades y conocimiento de todas las personas de la
Institución. así. Los procesos de selección, capacitación, formación y
motivación son fundamentales para garantizar los objetivos del control
interno.
6. Los servidores públicos deben conocer sus responsabilidades y limites de
autoridad, por lo tanto es necesario entregar a cada funcionario público un
detalle de sus funciones oficializado por ley o reglamento propio de la entidad
que defina la relación entre los deberes, la manera de llevarlos a cabo y la
correspondencia con los objetivos de la institución.
7. son los servidores públicos los que hacen del control interno una realidad,
pues a través de sus acciones se concreta el cumplimiento de los objetivos
de la institución .
8. las actuación de todos los funcionarios públicos en búsqueda de las
mejoras practicas, depende de un acuerdo fundamental sobre los principios
y valores éticos que direccionan la función administrativa de la organización
 BIBLIOGRAFIA

Aguilar Jaramillo, Horacio, Control interno o control interior? Revista

Contaduría Universidad de Antioquia, 1999, No. 35, páginas 87-100

Bahamón Dussan, Augusto. Planeación estratégica, control interno y gestión

de calidad para entidades públicas. Biblioteca Jurídica DIKE. Bogotá. 2007.

Fonseca Luna, Oswaldo. Sistemas de control interno para organizaciones.

Guía práctica y orientaciones para evaluar el control interno. Instituto de
Investigación en Accountability y Control ICCO, junio, 2011

Granda Escobar, Rubén Darío. Manual de control interno: sector público,

privado y solidario un modelo simplificado y práctico. 3 ed. Nueva
Legislación. Bogotá. 2009.

Guía general para el diseño, desarrollo e implementación de los

subsistemas, componentes y elementos del modelo MECI 1000:2005,
Departamento Administrativo de la Función Pública, DAFP, 2008

Ibañez Quevedo, Arelix del Pilar. Es el sistema de control interno un

dispositivo de poder en las organizaciones de la administración Pública?,
Revista Management, 2007, No. 27, páginas 97-109

Ley 87 de 1993, “Por la cual se establecen normas para el ejercicio del

control interno en las entidades y organismos del Estado y se dictan otras
disposiciones” 56

Ley 489 de 1998, “Por la cual se dictan normas sobre la organización y

funcionamiento de las entidades del orden nacional, se expiden las
disposiciones, principios y reglas generales para el ejercicio de las
atribuciones previstas en los numerales 15 y 16 del artículo 189 de la
Constitución Política y se dictan otras disposiciones.”

Ley 1474 de 2011, “Por la cual se dictan normas orientadas a fortalecer los
mecanismos de prevención, investigación y sanción de actos de corrupción y
la efectividad del control de la gestión pública.” Manual de implementación
Modelo Estándar de Control Interno para el Estado Colombiano,
MECI1000:2005, guía general para el diseño, desarrollo e implementación de
cada uno de los subsistemas, componentes y elementos del
MECI1000:2005, segunda versión, Departamento Administrativo de la
Función Pública –DAFP-, 2008
Mantilla, Samuel Alberto. Traductor Control Interno Informe COSO, cuarta
edición, Facultad de Contaduría Pública, Universidad de Bucaramanga, 2005

MECI 1000:2005, Departamento Administrativo de la Función Pública DAFP

ii Ver documento MECI1000:2005, Departamento Administrativo de la
Función Pública –DAFP-
 MARCO LEGAL

 Ley 87 de 1993 por la cual se establecen normas para el ejercicio del

control interno en las entidades y organismos del Estado y se dictan
otras disposiciones, articulo 2 literal a). Proteger los recursos de la
organización, buscando su adecuada administración ante posibles
riesgos que los afectan. Articulo 2 literal f). Definir y aplicar medidas
para prevenir los riesgos, detectar y corregir las desviaciones que se
presenten en la organización y que puedan afectar el logro de los
objetivos.

 Ley 489 de 1998. ESTATUTO BÁSICO de Organización y

funcionamiento de la administración pública.

 Decreto 2145 de 1999 por el cual se dictan normas sobre el Sistema

Nacional de Control Interno de las Entidades y Organismos de la
Administración pública del orden nacional y territorial y se dictan
otras disposiciones. Modificado parcialmente por el Decreto 2593 del
2000.

 Directiva presidencial 09 de 1999, lineamientos para la

implementación de la política de lucha contra la corrupción.

 Decreto 1537 de 2001, por el cual se reglamenta parcialmente la ley
87 de 1993 en cuanto a elementos técnicos y administrativos que
fortalezcan el sistema de control interno de las entidades y
organismos del Estado. Cuarto parágrafo. Son objetivos del sistema
de control interno (…) definir y aplicar medidas para prevenir los
riesgos, detectar y corregir las desviaciones… Articulo 3. El rol que
deben desempeñar las oficinas de control internos (…) se enmarcan
en cinco tópicos (…) valoración de riesgos. Articulo 4.
Administración de riesgos. Como parte integral del fortalecimiento de
los sistemas de control interno en las entidades públicas (…).