evaluaciÓn al proceso para la gestiÓn de los riesgos … · introducción objetivo base de...
TRANSCRIPT
EVALUACIÓN AL PROCESO PARA
LA GESTIÓN DE LOS RIESGOS
2015
Preparado y presentado por: Diego Hernán Marín Tabares Coordinador de Control Interno
Noviembre de 2015
Eval. Proceso para la Gestión de los Riesgos 2015 Coordinación de Control Interno
Cód. Proyecto: 0000-0-00 Página 2 de 18
Diego Hernán Marín Tabares Coordinador de Control Interno
Actualizado: 00/00/0000 Revisado por: Regulación de Infraestructura
Revisión No. 2
Formato aprobado por: Coord. Relaciones internacionales y Comunicaciones .:. Fecha de vigencia: 15/01/2015
CONTENIDO
Introducción
Objetivo
Base de evaluación y salvaguardas
Definiciones
Conclusiones y recomendaciones:
1. Política de administración de riesgos de la CRC
2. Contextualización de los riesgos
3. Seguimiento y actualización del mapa de riesgos
4. Tratamiento de los riesgos e indicadores
5. Gestión de riesgos de los proyectos
6. Seguimiento a evaluaciones anteriores
7. Conclusiones de la evaluación
Eval. Proceso para la Gestión de los Riesgos 2015 Coordinación de Control Interno
Cód. Proyecto: 0000-0-00 Página 3 de 18
Diego Hernán Marín Tabares Coordinador de Control Interno
Actualizado: 00/00/0000 Revisado por: Regulación de Infraestructura
Revisión No. 2
Formato aprobado por: Coord. Relaciones internacionales y Comunicaciones .:. Fecha de vigencia: 15/01/2015
Introducción
El adecuado funcionamiento del control interno en cualquier tipo de organización se encuentra inevitablemente
asociado a la forma como la alta dirección y los responsables de los distintos procesos, gestionan los riesgos para
el cumplimiento de los objetivos institucionales, este hecho lo confirma la lectura detallada al artículo segundo de
la Ley 87 de 1993 el cual describe los objetivos del Sistema de Control Interno para el Estado Colombiano1.
Esta circunstancia también ha sido reconocida reiteradamente por el Gobierno Nacional, en particular mediante el
Decreto 1083 de 2015, artículo 2.2.21.54: “Como parte integral del fortalecimiento de los sistemas de control
interno en las entidades públicas las autoridades correspondientes establecerán y aplicarán políticas de
administración del riesgo. Para tal efecto, la identificación y análisis del riesgo debe ser un proceso permanente e
interactivo entre la administración y las oficinas de control interno o quien haga sus veces, evaluando los
aspectos tanto internos como externos que pueden llegar a representar amenaza para la consecución de los
objetivos organizaciones, con miras a establecer acciones efectivas, representadas en actividades de control,
acordadas entre los responsables de las áreas o procesos y las oficinas de control interno e integradas de manera
inherente a los procedimientos. (Subrayado fuera de texto)
En cuanto al rol ejercido por las Oficinas de Control Interno frente a la gestión del riesgo, está el de proveer una
evaluación objetiva a la entidad sobre la efectividad de las políticas y acciones en la materia de cara a asegurar
que los riesgos están siendo administrados apropiadamente y que el Sistema de Control Interno está siendo
operado efectivamente. Por su parte el Marco Internacional para la Práctica de la Auditoría Interna (MIPP)
recomienda que la Oficina de Control Interno o quien haga sus veces, verifique que la Entidad cuente con
políticas de administración de riesgos actualizadas y que éstas estén siendo aplicadas.
En este orden, continuando con el plan de trabajo aprobado para la vigencia 2015 y específicamente en
cumplimiento de la función asignada a la Coordinación de Control Interno por la Resolución CRC 094 de 2013, le
estamos presentando a la Alta Dirección el resultado de la evaluación practicada por la Oficina de Control Interno
al proceso para la gestión de los riegos en la CRC, enfatizando las oportunidades identificadas para el
mejoramiento del proceso.
___________________________________________________________________________________1ARTICULO 2. a) Proteger los recursos de la organización, buscando su adecuada administración ante posibles riesgos que los afecten; f) Definir y aplicar medidas para prevenir los riesgos, detectar y corregir las desviaciones que se presenten en la organización y que puedan afectar el logro de sus objetivos; (Subrayado fuera de texto)
Eval. Proceso para la Gestión de los Riesgos 2015 Coordinación de Control Interno
Cód. Proyecto: 0000-0-00 Página 4 de 18
Diego Hernán Marín Tabares Coordinador de Control Interno
Actualizado: 00/00/0000 Revisado por: Regulación de Infraestructura
Revisión No. 2
Formato aprobado por: Coord. Relaciones internacionales y Comunicaciones .:. Fecha de vigencia: 15/01/2015
EVALUACIÓN AL PROCESO PARA LA GESTIÓN DE LOS RIESGOS
OBJETIVO: Evaluar la política y el proceso para la gestión de riesgos en la CRC, con la finalidad de identificar las
oportunidades de mejoramiento que le adicionen valor y propendan por facilitar el logro de los objetivos tanto del
proceso mismo como de los demás procesos en que se apoya.
BASE DE EVALUACIÓN Y SALVAGUARDAS
Para adelantar esta evaluación se tuvo como punto de partida el documento denominado “Manual para el
Sistema de Administración de Riesgos en la CRC” que se asume en la Entidad como la Política de Riesgos y la
Matriz de Riesgos publicada en la Herramienta de Gestión de la Intranet. La Evaluación se complementó con
la revisión y análisis de: Informes de evaluación y recomendaciones anteriores, Evaluaciones de Riesgos en
los Informes Trimestrales de Desempeño (RAES), Caracterización de Procesos, Procedimientos e
Instrucciones de Trabajo documentados, entrevistas de confirmación y contraste de respuestas con los
responsables de algunos de los procesos y verificaciones in situ.
En la presentación del informe se utiliza el nuevo esquema de atributos sugerido por el Instituto
Internacional de Auditoría Interna (IIA) y según el cual las observaciones y recomendaciones adquieren la
nomenclatura de un CRITERIO (lo que debe ser y cómo se debería hacer) y una CONDICIÓN (lo que es, la
realidad).
Si bien el propósito principal del rol evaluador ejercido por las Oficinas de Control Interno es aportar valor
mediante el mejoramiento de las operaciones de la Entidad, es importante recordar que el artículo 9° de la
Ley 1474 de 2011 y la Directiva Presidencial 01 de febrero de 2015 determina la obligación para los Jefes de
Control Interno o quien haga sus veces de reportar a la Secretaría de Transparencia y demás órganos de
control, cualquier situación identificada que eventualmente pudiera tener una connotación de irregularidad o
acto de corrupción (CONPES 167 de 2013).
Las conclusiones y recomendaciones contenidas en este informe se discutieron previamente con las
responsables de liderar el proceso de gestión de riesgos en la CRC, Dras. Diana Wilches y Lizette Garay, el 10
de diciembre de 2015.
Eval. Proceso para la Gestión de los Riesgos 2015 Coordinación de Control Interno
Cód. Proyecto: 0000-0-00 Página 5 de 18
Diego Hernán Marín Tabares Coordinador de Control Interno
Actualizado: 00/00/0000 Revisado por: Regulación de Infraestructura
Revisión No. 2
Formato aprobado por: Coord. Relaciones internacionales y Comunicaciones .:. Fecha de vigencia: 15/01/2015
DEFINICIONES:
RIESGO: Potencial de sucesos y consecuencias que se constituyen en oportunidades para conseguir beneficios
(factores positivos) o amenazas para el logro de los objetivos (factores negativos).
GESTIÓN DEL RIESGO: Proceso liderado por la Alta Dirección y ejecutado por todo el personal para
proporcionar a la administración un aseguramiento razonable con respecto al logro de los objetivos
institucionales. Su principal objetivo es añadir el máximo valor sostenible a todas las actividades de la Entidad.
CAUSAS DEL RIESGO: Son los factores internos y externos que generan la materialización de un riesgo.
CONSECUENCIAS DEL RIESGO: Son los efectos producidos por la materialización del riesgo sobre las
operaciones de la Entidad.
TRATAMIENTO DEL RIESGO: Es seleccionar y aplicar las medidas más adecuadas con el fin de modificar el
nivel del riesgo y evitar las consecuencias (impacto) asociadas con su materialización.
RIESGO INHERENTE: Es el riesgo intrínseco o propio de cada proceso o actividad, sin tener en cuenta los
controles planificados por la Administración para su mitigación.
RIESGO RESIDUAL: Es el nivel de riesgo que subsiste después de haber implementado controles, refleja el
riesgo remanente una vez se han implantado de manera eficaz las acciones planificadas por la Administración
para mitigar el riesgo inherente.
POLÍTICA DE ADMINISTRACION DE RIESGOS: Declaración de la Dirección y las intenciones generales de
la Entidad con respecto a la gestión de los riesgos. Establece lineamientos precisos acerca de la identificación,
tratamiento, manejo y seguimiento de los factores de riesgo.
Eval. Proceso para la Gestión de los Riesgos 2015 Coordinación de Control Interno
Cód. Proyecto: 0000-0-00 Página 6 de 18
Diego Hernán Marín Tabares Coordinador de Control Interno
Actualizado: 00/00/0000 Revisado por: Regulación de Infraestructura
Revisión No. 2
Formato aprobado por: Coord. Relaciones internacionales y Comunicaciones .:. Fecha de vigencia: 15/01/2015
CONCLUSIONES Y RECOMENDACIONES
1. POLÍTICA DE ADMINISTRACIÓN DE RIESGOS DE LA CRC
Criterio: La gestión de riesgos se constituye en parte esencial de la gestión estratégica de cualquier
organización, es por esta razón que se hace necesario que la política para su administración refleje de manera
fehaciente los elementos que sirven de soporte al análisis y valoración de los riesgos inherentes a la operación y
la cultura propios de la Entidad. El Manual Técnico del Modelo Estándar de Control Interno para el Estado
Colombiano 2014 (MECI), determina que la formulación de la Política de Administración de Riesgos debe estar a
cargo del Representante Legal de la Entidad y el Comité de Coordinación de Control Interno, además que estos
lineamientos con respecto al tratamiento de los riesgos deben estar redactados en forma clara y comprensible
mediante acto administrativo u otro documento formal, de tal manera que se asegure que los servidores de la
Entidad comprenden cuáles son las medidas que se deben tomar para administrar adecuadamente los riesgos.
Los elementos mínimos que debe incluir una política para la administración de los riesgos son:
Objetivos estratégicos
Alineación de los objetivos de procesos con los objetivos estratégicos
Responsabilidades frente al manejo de los riesgos
Alcance del contexto externo e interno para la identificación de los riesgos
Controles estratégicos y controles operacionales
Decisiones de la Alta Dirección frente al tratamiento de los riesgos
Niveles de aceptación o tolerancia del riesgo (riesgo residual)
Categorización del impacto (económico, reputacional, regulatorio, etc)
Categorización de la probabilidad
Mecanismos y periodicidad del seguimiento
Información y comunicación
Condición: El Manual para el Sistema de Administración de Riesgos en la CRC de cuyo contenido hace parte la
“Política de Administración de Riesgos”, es un documento que no revela suficientemente el compromiso de la Alta
Dirección con la cultura de administración de riesgos, ni cuenta con evidencia plausible de aprobación por parte
del Representante Legal como responsable de la política ni del Comité de Coordinación de Control Interno.
Eval. Proceso para la Gestión de los Riesgos 2015 Coordinación de Control Interno
Cód. Proyecto: 0000-0-00 Página 7 de 18
Diego Hernán Marín Tabares Coordinador de Control Interno
Actualizado: 00/00/0000 Revisado por: Regulación de Infraestructura
Revisión No. 2
Formato aprobado por: Coord. Relaciones internacionales y Comunicaciones .:. Fecha de vigencia: 15/01/2015
Adicionalmente se hace necesario unificar las alternativas para tratar el riesgo residual de acuerdo con criterios
objetivos previamente definidos por la Alta Dirección:
Situación asociada I: No existe coherencia entre el actual esquema descrito en la política y la clasificación
utilizada por los responsables en la matriz de valoración (Herramienta de Gestión), pues mientras en la primera
dichas alternativas son: (i) transferirlo (ii) compartirlo (iii) transformarlo (iv) asumirlo, en la matriz de valoración
los responsables deciden: reducirlos, asumirlos o evitarlos.
Situación asociada II: Del mismo modo y de acuerdo con el numeral 4.4 del Manual, los riesgos se deberían
clasificar en: riesgos de imagen, estratégicos, financieros, de servicio y tecnológicos, mientras en la matriz de
valoración (Herramienta de Gestión) los responsables los clasifican en: riesgos operativos, de imagen, con
terceros, financieros, servicios, de cumplimiento, normativos y tecnológicos.
2. CONTEXTUALIZACIÓN DE LOS RIESGOS
Claridad de los objetivos de los procesos:
Criterio: Si partimos del hecho que los riesgos son eventos que pudieran impactar el cumplimiento de los
objetivos, es de innegable importancia para su adecuada identificación tener debida y suficientemente claros
cuáles son ésos objetivos. Un objetivo estratégico o de proceso debe construirse teniendo en cuenta las
siguientes premisas:
Debe responder a las preguntas: qué, quién, cuándo, cómo y dónde
Debe iniciar con un único verbo y este debe ser concreto
Debe ser realista
Debe ser medible
Debe ser congruente
Debe estar centrado en lo importante
Se debe evitar el uso de frases o palabras subjetivas
Condición: Algunos de los objetivos descritos en la caracterización de los procesos podrían mejorarse en
cuanto a su estructura y redacción con el propósito de:
Eval. Proceso para la Gestión de los Riesgos 2015 Coordinación de Control Interno
Cód. Proyecto: 0000-0-00 Página 8 de 18
Diego Hernán Marín Tabares Coordinador de Control Interno
Actualizado: 00/00/0000 Revisado por: Regulación de Infraestructura
Revisión No. 2
Formato aprobado por: Coord. Relaciones internacionales y Comunicaciones .:. Fecha de vigencia: 15/01/2015
Simplificarlos y hacerlos más comprensibles,
Focalizarlos en el quehacer del proceso,
Ajustarlos a las premisas antes mencionadas, y
Facilitar la identificación de los riesgos que impactan su cumplimiento.
Los siguientes son algunos ejemplos:
Proceso Objetivo del proceso Riesgos identificados
Estudios Previos O De Factibilidad Que
Respaldan Insuficientemente El
Proceso De La Contratación.
Estudios Previos O De Factibilidad
Manipulados Por Personal Interesado
En El Futuro Proceso De Contratación
Designar Supervisores Que No Cuenten
Con Conocimientos Suficientes Para
Desempeñar La Función
Mala Ejecución Del Contrato
No Cumplir Con El Lleno De Requisitos
Establecidos En La Ley Para La
Ejecución De Contratos
Sistemas de información susceptibles
de manipulación/adulteración
Vulnerabilidad de la infraestructura
tecnológica de la Entidad
Desarrollos Que No Cumplen El
Propósito Por El Cual Fueron Definidos
Falta De Continuidad Del Servicio
Después De Algún Desastre
Errores En Trámites De Asignación De
Recursos (solicitudes De Numeración,
Señalización Y Homologación).
Cobro Indebido En La Realización De
Trámites De Asignación De Recursos
(solicitudes De Numeración,
Señalización Y Homologación).
Falta De Información Sobre El Estado
Del Trámite Al Interior De La Entidad.
No responder oportunamente
requerimientos de consultas y trámites
ante la CRC
Concentración de autoridad o exceso
de poder y falta de delegación. Orden
de llegada.
No responder adecuadamente las
solicitudes que en materia de
información nacional se realice a la
CRC. Revisión Coordinador y/o Comité.
Ser una herramienta que unifique métodos de trabajo
para facilitar el desarrollo de todas las etapas del
proceso contractual en la CRC, bajo la observancia de
los principios legales establecidos. Los procedimientos,
requisitos y demás aspectos no contemplados en el
procedimiento, deberán adelantarse de acuerdo con las
normas y principios que regulan la contratación estatal,
en especial la Constitución Política, la Ley 80 de 1993, la
Ley 1150 de 2007, el Decreto 734 de 2012 y las demás
normas que los modifiquen, adicionen y complementen.
En caso de contradicción entre las normas legales y
reglamentarias respecto de lo previsto en este
procedimiento, se aplicarán aquéllas, de acuerdo con la
jerarquía de las mismas.
Contratación
Gestionar eficaz y eficientemente los sistemas de
información de la CRC, para satisfacer los
requerimientos de los clientes.
Gestión Tecnológica
Atención al Cliente
Atender y ofrecer a los usuarios, entidades estatales
y/o empresas que acudan a la CRC, los conceptos,
aclaraciones y demás información que soliciten de
manera oportuna y con calidad, promoviendo el
conocimiento de las normas que garantizan los
derechos de los usuarios de los servicios de
comunicaciones.
Eval. Proceso para la Gestión de los Riesgos 2015 Coordinación de Control Interno
Cód. Proyecto: 0000-0-00 Página 9 de 18
Diego Hernán Marín Tabares Coordinador de Control Interno
Actualizado: 00/00/0000 Revisado por: Regulación de Infraestructura
Revisión No. 2
Formato aprobado por: Coord. Relaciones internacionales y Comunicaciones .:. Fecha de vigencia: 15/01/2015
Actividades de control para la mitigación de los riesgos:
a. Criterio: Puesto que la efectividad de los controles guarda relación directa con una adecuada identificación
y definición de las causas del riesgo (amenaza u oportunidad), un factor crítico de éxito a la hora de
gestionarlos es tener suficiente claridad en cuanto a la diferenciación entre CAUSA, RIESGO Y
CONSECUENCIAS. En este propósito consideramos de suma importancia que la Administración de la Entidad
a través de la Coordinación de Planeación promueva la realización de talleres prácticos con la participación
de TODOS los colaboradores, en los que se tenga por objetivo, entre otros aspectos, profundizar en esta
diferenciación.
Condición: Un “RIESGO” se define como la posibilidad de que ocurra un evento que tenga impacto
negativo sobre el logro de los objetivos, mientras las “CAUSAS” son las circunstancias o hechos que dan
origen al riesgo, por tal razón las actividades de control deben focalizar su objetivo en ejercer control sobre
las causas del riesgo más que sobre el riesgo mismo. Los siguientes son algunos ejemplos en los que se
podría estar generando falta de claridad entre el riesgo y sus causas:
Objetivo del proceso: Riesgo
Estudios Previos O De Factibilidad Manipulados
Por Personal Interesado En El Futuro Proceso
De Contratación
No Cumplir Con El Lleno De Requisitos
Establecidos En La Ley Para La Ejecución De
Contratos
Sistemas De Información Susceptibles De
Manipulación / Adulteración
Desarrollos Que No Cumplen El Propósito Por El
Cual Fueron Definidos
Por Hackeo de cuentas y páginas de la
Entidad, violación de la seguridad de las
bases de datos e información confidencial. \r
Mala definición de la necesidad
(levantamiento de la información).
Desconocimiento por parte del cliente para
consultar el estado de su solicitud.\r
Falta de conocimiento interno sobre la
gestión del trámite. \r
Contratación:
Gestión Tecnológica:
Atención al Cliente:
Causa
Ser una herramienta que unifique métodos de trabajo
para facilitar el desarrollo de todas las etapas del
proceso contractual en la CRC, bajo la observancia de
los principios legales establecidos. Los procedimientos,
requisitos y demás aspectos no contemplados en el
procedimiento, deberán adelantarse de acuerdo con las
normas y principios que regulan la contratación estatal,
en especial la Constitución Política, la Ley 80 de 1993, la
Ley 1150 de 2007, el Decreto 734 de 2012 y las demás
normas que los modifiquen, adicionen y complementen.
En caso de contradicción entre las normas legales y
reglamentarias respecto de lo previsto en este
procedimiento, se aplicarán aquéllas, de acuerdo con la
jerarquía de las mismas.
Gestionar eficaz y eficientemente los sistemas de
información de la CRC, para satisfacer los
requerimientos de los clientes.
Atender y ofrecer a los usuarios, entidades estatales
y/o empresas que acudan a la CRC, los conceptos,
aclaraciones y demás información que soliciten de
manera oportuna y con calidad, promoviendo el
conocimiento de las normas que garantizan los
derechos de los usuarios de los servicios de
comunicaciones.
Procesos de contratación direccionados
desde el inicio.
Concentrar las labores de supervisión de
múltiples contratos en poco personal.\r
No hacer efectiva la aplicación de clausulas
pecuniarias en caso de incumplimiento.
No contar con manuales y procedimientos de
contratación actualizados.
Mala Ejecución Del Contrato
Falta De Información Sobre El Estado Del
Trámite Al Interior De La Entidad.
Eval. Proceso para la Gestión de los Riesgos 2015 Coordinación de Control Interno
Cód. Proyecto: 0000-0-00 Página 10 de 18
Diego Hernán Marín Tabares Coordinador de Control Interno
Actualizado: 00/00/0000 Revisado por: Regulación de Infraestructura
Revisión No. 2
Formato aprobado por: Coord. Relaciones internacionales y Comunicaciones .:. Fecha de vigencia: 15/01/2015
Objetivo del proceso: Riesgo
Planificar, implementar, controlar y mejorar las
directrices, las metas organizacionales y la operación
de la CRC, mediante la identificación de necesidades, el
suministro de recursos y el compromiso de mejora
continua.
Captura Del Regulador, Decisiones Ajustadas A
Intereses Particulares, Tráfico De Influencias,
Sobornos.
Influencia directa o indirecta de terceros
particulares en las decisiones de la Comisión
y de la Sesión de Comisión.\rInfluencia de
terceros a través de otras entidades u
organismos del Estado.\rControles
vulnerables a la influencia de intereses
distintos al general.
Gestión Estratégica:
Causa
b. Criterio: Partiendo del hecho que una política es una directriz general, un procedimiento el detalle de
cómo se va a dar cumplimiento a ésa directriz y una actividad de control una acción específica cuyo propósito
esencial es el de gestionar adecuadamente la o las causas del riesgo, es claro que actividades como
seguimientos en reuniones, diseño de una política o llevar a cabo sensibilizaciones, no tienen en sí la
connotación de una actividad de control, además es fundamental que dichas actividades de control se
encuentren debidamente documentadas en los procedimientos o instrucciones de trabajo (ITs). Los
siguientes son preguntas que se deben responder a la hora de diseñar y documentar una actividad de
control:
Quién lleva a cabo el control (Responsable)
Frecuencia del Control (Cada cuanto se realiza)
Qué busca hacer el control (objetivo)
Cómo se lleva a cabo el control (procedimiento)
Que pasa con las desviaciones
Evidencia del control
El siguiente es un ejemplo de cómo debería relacionarse el riesgo, sus causas y el control:
Riesgo: Causas:
Insuficiente información con que cuenta el
responsable de elaborar los estudios, acerca de los
objetivos de la contratación desde la planeación
estratégica.
Falta de conocimientos y/o experiencia en la
elaboración de estudios previos por parte de los
responsables de la contratación.
Estudios previos preparados sin el tiempo
suficiente y/o preparados bajo presiones
indebidas.
Actividades de control:
Los estudios previos no contienen los elementos ni la
información requerida para iniciar el proceso de
contratación respectivo.
Cada vez que se decide iniciar un proceso de
contratación, el Equipo de Contratación le
notifica mediante correo electrónico al
responsable de la contratación, el nombre del
profesional que le prestará el acompañamiento
en la preparación de los estudios previos y la
forma cómo se prestará dicho
acompañamiento.
Condición: La actual matriz de riesgos describe actividades de control y de tratamiento de los riesgos que
Eval. Proceso para la Gestión de los Riesgos 2015 Coordinación de Control Interno
Cód. Proyecto: 0000-0-00 Página 11 de 18
Diego Hernán Marín Tabares Coordinador de Control Interno
Actualizado: 00/00/0000 Revisado por: Regulación de Infraestructura
Revisión No. 2
Formato aprobado por: Coord. Relaciones internacionales y Comunicaciones .:. Fecha de vigencia: 15/01/2015
no demuestran con suficiente claridad tener el propósito de eliminar o disminuir sus causas,
complementariamente algunas de estas actividades no se ajustan a lo que realmente es un control y en otros
casos dichas actividades de control no se encuentran debidamente documentadas en los procedimientos o
instrucciones de trabajo. Los siguientes son algunos ejemplos tomados de la actual matriz:
Riesgo: Causas:
Las necesidades no cumplen con todas las
condiciones para iniciar un proceso de
contratación. \r
Deficiencia en la justificación de la necesidad a
contratar.\r
Justificaciones direccionadas por intereses
externos.
Incumplimiento de la política de seguridad de la
información. \r
Ausencia de Procedimiento en el manejo de
claves. \r
Por Hackeo de cuentas y páginas de la Entidad,
violación de la seguridad de las bases de datos e
información confidencial. \r
Dividir la responsabilidad en varias personas.
Estudios Previos O De Factibilidad Que Respaldan
Insuficientemente El Proceso De La Contratación.
Contratación:
Sensibilización A Través De Los Medios Internos
De Comunicación, Para La Elaboración De
Estudios Previos.
Actividades de control:
Seguimiento En Las Reuniones De Directivos Y
Coordinadores A La Planeación De Contratos.
Sistemas De Información Susceptibles De Manipulación /
Adulteración
Gestión Tecnológica:
Los actos administrativos expedidos infringiendo las
normas en que deberían fundarse, que hayan sido
expedidos por funcionarios u organismos
incompetentes, o en forma irregular, o con
desconocimiento del derecho de audiencias y
defensa, o mediante falsa motivación, o con
desviación de las atribuciones propias del
funcionario o corporación que los profirió.
Gestión Del Conocimiento En Cuanto A Las
Causas Del Daño Atijuridico
Preparación De Los Actos Administrativos Con
El Cumplimiento Y Seguimiento De Todas Las
Normas Jurídicas Que Deben Fundarse
Suficiente Y Debida Motivación De Los Actos
Definición De Varias Instancias De Revisión Y
Filtros Equipo De Trabajo, Coordinadores De
Proceso, Coordinación Ejecutiva, Comité De
Comisionados, Sesión De Comisión
Gestión Estratégica:
Decisiones generadoras de daño antijurídico
Cumplimiento De La Política De Seguridad
Tanto De La Infraestructura Como De La
Información
Contar Con Acuerdos De Confidencialidad Con
Todos Los Funcionarios De La Entidad
Cumplir Con Las Políticas De Seguridad De La
Información De La Entidad
3. SEGUIMIENTO Y ACTUALIZACIÓN DEL MAPA DE RIESGOS
Criterio: Como parte del proceso de Control, Seguimiento y Análisis en la CRC se realizan trimestralmente las
denominadas Reuniones de Análisis Estratégico (RAEs), este es un espacio que se ha apropiado como parte de la
cultura institucional y por tal razón se convierte en una magnífica oportunidad para, entre otros propósitos,
hacerle seguimiento a la gestión de los riesgos en los procesos y muy particularmente para identificar nuevas
amenazas para el cumplimiento de los objetivos. Así las cosas, se hace necesario que el resultado de estas
evaluaciones de riesgos en las RAEs se vean reflejadas en la actualización de la matriz y
Eval. Proceso para la Gestión de los Riesgos 2015 Coordinación de Control Interno
Cód. Proyecto: 0000-0-00 Página 12 de 18
Diego Hernán Marín Tabares Coordinador de Control Interno
Actualizado: 00/00/0000 Revisado por: Regulación de Infraestructura
Revisión No. 2
Formato aprobado por: Coord. Relaciones internacionales y Comunicaciones .:. Fecha de vigencia: 15/01/2015
los mapas de riesgos, en cuanto a la inclusión de nuevos riesgos identificados, el resultado de las
valoraciones dependiendo de su estado de materialización y nuevos controles o acciones de mitigación.
Condición: Se hace necesario ajustar el procedimiento para la documentación y valoración de los riesgos,
incluyéndole una actividad que tenga como propósito alinear en tiempo real el resultado del análisis llevado a
cabo en las RAEs trimestrales con la contextualización y documentación de las actividades de control en la
matriz y el mapa de riesgos disponibles en la Herramienta de Gestión. Lo anterior en razón a que
observamos con relativa frecuencia que las actividades de control y las acciones para mitigar los riesgos
presentan diferencias entre la matriz de la Herramienta de Gestión y las que se evalúan en las RAEs
trimestrales. Los siguientes son dos ejemplos tomados de la actual matriz:
Según la matriz
Vulnerabilidad de la infraestructura tecnológica de la
entidad.Seguridad de la infraestructura tecnológica
Según la matriz
Archivos Contables Con Vacíos De Información
Se Realizan Auditorias Aleatorias En La Creación De
Terceros Para Garantizar La Integridad De La Base
De Datos.
Sensibilización Y Establecimiento De Actividades Al
Equipo De Trabajo.
Se hace monitoreo diario tanto a la consola de
antivirus para reporte de troyanos y otros
virus, se notifica a los usuarios.
Se tiene la restricción a los equipos para que
puedan instalar software en las máquinas
locales no autorizado.
Manejo automático de consecutivos en el
aplicativo Novasoft y validación física en los
comprobantes.
Según evaluación de gestión (RAE)
Registro del número de folios del documento
de nómina dentro de las novedades del
período respectivo, y validación de los mismos
cuando sea devuelta por tesorería.
Registro y validación del número de folios del
documento de seguridad social de cada mes .
Según evaluación de gestión (RAE)
Riesgo
En cuanto a los accesos no autorizados se
debe fortalecer los accesos para desarrollo de
software desde fuera de la Entidad, así como
las políticas de puertos abiertos en el firewall
en contratos ya finalizados.
Gestión Tecnológica:
Gestión Financiera:
Acciones para mitigar el riesgo
Se tiene definidas las responsabilidades por
funcionario.
4. TRATAMIENTO DE LOS RIESGOS E INDICADORES
a. Criterio: Tratar el riesgo implica tomar una decisión respecto a qué nivel de riesgo está dispuesto aceptar
la administración (apetito al riesgo) y con base en esta decisión seleccionar y aplicar los controles más
Eval. Proceso para la Gestión de los Riesgos 2015 Coordinación de Control Interno
Cód. Proyecto: 0000-0-00 Página 13 de 18
Diego Hernán Marín Tabares Coordinador de Control Interno
Actualizado: 00/00/0000 Revisado por: Regulación de Infraestructura
Revisión No. 2
Formato aprobado por: Coord. Relaciones internacionales y Comunicaciones .:. Fecha de vigencia: 15/01/2015
adecuados de tal forma que se pueda modificar su valoración, evitando de este modo las consecuencias
intrínsecas al factor que lo genera o aprovechar sus ventajas. Así las cosas, es condición sine qua non que
la actividad de control definida guarde coherencia no solo con la decisión de respuesta dada al riesgo
residual, sino también con el resultado que se persigue, para lo cual las alternativas de respuesta al riesgo
son:
Asumir el riesgo: No se emprende ninguna acción que afecte la probabilidad o el impacto del riesgo.
Reducir el riesgo: Implica llevar a cabo acciones para minimizar la probabilidad o el impacto del
riesgo o ambos parámetros simultáneamente.
Evitar el riesgo: Implica salir o eliminar las actividades que generen riesgos.
Compartir el riesgo: Implica disminuir la probabilidad o el impacto de riesgo trasladando o
compartiendo una parte del mismo.
Condición: Se hace necesario adelantar una revisión al tratamiento de los riesgos en la matriz de la
herramienta de gestión, esto en razón de que existen allí acciones que no guardan coherencia con la
respuesta al riesgo residual y/o respuestas al riesgo que van en contravía de lo que pretende la actividad de
control, los siguientes son algunos ejemplos tomados de la matriz:
Riesgo Nivel del riesgoRespuesta al riesgo
residual
Errores En Trámites De Asignación De Recursos
(solicitudes De Numeración, Señalización Y
Homologación).
Moderado Asumirlo
Falta De Información Sobre El Estado Del Trámite
Al Interior De La Entidad.Alto Evitarlo
Archivos Contables Con Vacíos De Información Moderado Reducirlo
Estudios Previos O De Factibilidad Manipulados
Por Personal Interesado En El Futuro Proceso De
Contratación
Alto Reducirlo
Mala Ejecución Del Contrato Alto Reducirlo
Sistemas De Información Susceptibles De
Manipulación / AdulteraciónAlto Evitarlo
Vulnerabilidad de la infraestructura tecnológica de
la EntidadModerado Reducirlo
Decisiones generadoras de daño antijurídico Alto Reducirlo
No responder oportunamente requerimientos de
consultas y trámites ante la CRCModerado Reducirlo
Capacitar a todos los funcionarios de
la entidad en temas fundamentales de
Contratación
Disponibilidad de la herramienta de
gestión
Velar por la seguridad de la
infraestructura tecnológica
Seguridad de la infraestructura
tecnológica
Realización del Comité de
Comisionados y Sesión de Comisión
de acuerdo con el procedimiento
establecido
Disponibilidad del aplicativo OnBase
Acción para tratar el riesgo
Revisión exhaustiva de los proyectos
de resolución y registro periódico de
la herramienta de asignación.
Mantener actualizado el estado de los
trámites en la herramienta
No describe acción
Eval. Proceso para la Gestión de los Riesgos 2015 Coordinación de Control Interno
Cód. Proyecto: 0000-0-00 Página 14 de 18
Diego Hernán Marín Tabares Coordinador de Control Interno
Actualizado: 00/00/0000 Revisado por: Regulación de Infraestructura
Revisión No. 2
Formato aprobado por: Coord. Relaciones internacionales y Comunicaciones .:. Fecha de vigencia: 15/01/2015
b. Criterio: Un indicador es una representación (cuantitativa preferiblemente) de la relación entre dos o más
variables, a partir de la cual se registra, procesa y presenta información relevante con el fin de medir el
avance o retroceso en el logro de un determinado objetivo en un periodo de tiempo determinado, en
consecuencia un indicador asociado con el plan de acción de la matriz de riesgos, debe medir qué tanto está
contribuyendo la actividad de control al cumplimiento de dichos objetivos a través de la mitigación de los
riesgos.
Condición: La nueva Guía para la Administración del Riesgo publicada recientemente por el DAFP, propone
una matriz de riesgos más simplificada en cuanto a los componentes que la conforman, entre otros por
ejemplo, suprime los indicadores. Ahora bien, si la Entidad decide continuar incluyendo indicadores en la
matriz de riesgos, es necesario entonces que se adelante una revisión a la forma cómo se están
construyendo y de qué forma contribuyen a medir el logro de los objetivos a través de la mitigación de los
riesgos. Los siguientes son algunos ejemplos de indicadores tomados de la matriz de la herramienta de
gestión, que a nuestro juicio no cumplen con el propósito planteado:
Objetivo del proceso Riesgo Acción para tratar el riesgo
Realización del Comité de
Comisionados y Sesión de Comisión de
acuerdo con el procedimiento
establecido
Disponibilidad del Sistema de Gestión
Documental
Establecer y mantener los mecanismos que
permitan la comunicación oportuna y suficiente
entre los Usuarios, las Entidades y la CRC,
satisfaciendo sus necesidades de información y
divulgando los productos institucionales.
Campañas Negativas En Contra De La Crc A
Través De Los Diferentes Medios De
Comunicación.
Grabar las entrevistas de radio y
TV.\r\nAcompañar al vocero en los
posible a las entrevistas
Concentrar La Información De Actividades O
Procesos En Una Sola Persona.No se tiene
No contar con las situaciones administrativas y
novedades con los funcionarios para la gestión
del proceso
No se tiene
Archivos Contables Con Vacíos De Información No se tiene
Inclusión de gastos no autorizadosHacer seguimiento permanente a la
ejecución presupuestal de la Entidad
Vulnerabilidad de la infraestructura tecnológica
de la Entidad
Seguridad de la infraestructura
tecnológica
Falta De Continuidad Del Servicio Después De
Algún Desastre
Fortalecimiento de la infraestructura
tecnológica de la Entidad,
documentación de las actividades
relacionadas con el manejo de
aplicativos, realización de backups,
socialización del documento de uso
adecuado de software en la Entidad
Atender y ofrecer a los usuarios, entidades
estatales y/o empresas que acudan a la CRC, los
conceptos, aclaraciones y demás información que
soliciten de manera oportuna y con calidad,
promoviendo el conocimiento de las normas que
garantizan los derechos de los usuarios de los
servicios de comunicaciones.
No responder oportunamente requerimientos de
consultas y trámites ante la CRCDisponibilidad del aplicativo OnBase
Gestionar eficaz y eficientemente los sistemas de
información de la CRC, para satisfacer los
requerimientos de los clientes.
Atraer, desarrollar, motivar y retener a aquellos
colaboradores cualificados, capaces de vivenciar
los principios y valores de la CRC para proteger la
Función Pública al interior de la Entidad y así
contribuir con la misión, visión y política de
calidad definidas.
No se tiene
No se tiene
No se tieneGestionar y administrar eficaz y eficientemente
los recursos financieros que requiere la Entidad
para desarrollar las funciones que le han sido
asignadas por Ley.
Disponibilidad de la plataforma
Interna (Interno)
NSU de la información que se
comunica a través de los diferentes
canales de comunicación interna
Gestionar el presupuesto y efectuar el
seguimiento a su ejecución
Disponibilidad de la plataforma
Interna (Interno)
Disponibilidad de la plataforma
Interna (Interno)
Disponibilidad de la plataforma
Interna (Interno)
Tiempo de aprobación de temas en
Comité de Comisionados
Indicador
Planificar, implementar, controlar y mejorar las
directrices, las metas organizacionales y la
operación de la CRC, mediante la identificación de
necesidades, el suministro de recursos y el
compromiso de mejora continua.
Concentración De Autoridad O Exceso De Poder
Y Falta De Delegación
Eval. Proceso para la Gestión de los Riesgos 2015 Coordinación de Control Interno
Cód. Proyecto: 0000-0-00 Página 15 de 18
Diego Hernán Marín Tabares Coordinador de Control Interno
Actualizado: 00/00/0000 Revisado por: Regulación de Infraestructura
Revisión No. 2
Formato aprobado por: Coord. Relaciones internacionales y Comunicaciones .:. Fecha de vigencia: 15/01/2015
5. GESTIÓN DE RIESGOS DE LOS PROYECTOS
Criterio: El Decreto 943 de 2014 por el cual se actualizó el MECI, plantea como parte del módulo de control a
la planeación y gestión, la incorporación de los aspectos relacionados con la identificación y gestión de los riesgos
vinculados a los proyectos desde la etapa de formulación y planeación. Así las cosas, la gestión de riesgos en los
proyectos de la CRC no solo debe hacer parte integral de la planeación y dirección de los mismos, sino un
elemento clave en el proceso de toma de decisiones, y esto es así teniendo en cuenta que la Entidad invierte
recursos en personal especializado, estudios de mercado, tiempo de los Expertos Comisionados, tiempo del
personal de apoyo, consultorías externas, etc. Los objetivos de la gestión de riesgos de los proyectos son
aumentar la probabilidad y el impacto de los eventos positivos y disminuir la probabilidad y el impacto de los
eventos negativos.
Condición: De una revisión detallada a algunos de los proyectos y/o estudios de la Agenda Regulatoria en
curso, pudimos concluir que si bien desde la etapa de formulación de los proyectos (Documento Azul) se hace un
análisis de consideraciones y eventuales consecuencias e impactos, dichos proyectos adolecen de la visión
estratégica que aportaría la identificación y gestión de los riesgos asociados a cada proyecto en particular. A
partir de un ejercicio que la Oficina de Control Interno llevó a cabo con el Líder y los profesionales de apoyo de
uno de los proyectos, pudimos colegir que la metodología de que dispone la CRC para la elaboración de los
proyectos, cuenta con los elementos suficientes para adelantar y aprovechar los beneficios que aporta la gestión
de riesgos, el siguiente es un ejemplo:
Nombre del Proyecto: Implementación de la Portabilidad Numérica en el Servicio de Telefonía Fija
Objetivo general del proyecto:
Objetivos específicos:
• Identificar y analizar los escenarios de implementación de portabilidad numérica en el servicio de telefonía fija, a
nivel técnico, económico y regulatorio, que tengan en cuenta las condiciones actuales de las redes de telefonía fija
en el país, las condiciones actuales del mercado de voz saliente (fija y móvil), el interés de los usuarios
potenciales, la convergencia de servicios y las experiencias internacionales en la materia, previo análisis se
viabilidad técnica y económica, en términos de equilibrio financiero.
• Determinar y justificar el escenario óptimo para implementación de la portabilidad numérica en el servicio de
telefonía fija en Colombia que reúna las condiciones técnicas, económicas y regulatorias, de acuerdo con la
situación actual del mercado y de las redes de telecomunicaciones del país.
• Establecer la forma óptima de implementación de portabilidad numérica en el servicio de telefonía fija, y
proponer las recomendaciones técnicas, operativas, económicas y regulatorias requeridas para tal fin.
• Elaborar la propuesta regulatoria para implementar la portabilidad numérica fija en Colombia siempre y cuando
se determine su viabilidad técnica y económica.
Establecer las medidas regulatorias para la implementación de la portabilidad numérica en el servicio de telefonía
fija en Colombia, con previa verificación de su viabilidad técnica y económica, en términos de equilibrio financiero,
de acuerdo con las actuales condiciones del mercado y la normatividad vigente.
Eval. Proceso para la Gestión de los Riesgos 2015 Coordinación de Control Interno
Cód. Proyecto: 0000-0-00 Página 16 de 18
Diego Hernán Marín Tabares Coordinador de Control Interno
Actualizado: 00/00/0000 Revisado por: Regulación de Infraestructura
Revisión No. 2
Formato aprobado por: Coord. Relaciones internacionales y Comunicaciones .:. Fecha de vigencia: 15/01/2015
Objetivos del Plan Estratégico asociados al proyecto:
• Promover condiciones de libre y leal competencia, así como prevenir y corregir las fallas de mercado. El estudio
busca determinar la viabilidad de implementación del servicio de portabilidad numérica en el servicio de telefonía
fija, lo cual, en caso de ser procedente, es un instrumento que incentivaría la competencia en el mercado de voz
saliente (fija y móvil) en el ámbito local.
• Incrementar el bienestar del usuario, a partir de reglas simples e inclusivas basadas en el reconocimiento del
mismo y el uso de las TIC. Teniendo en cuenta que la implementación de la portabilidad numérica en el servicio
de telefonía reduce el costo de cambio de proveedor para el usuario, se traduce en mayor bienestar para éste.
Factor de riesgo: Causa(s): Consecuencia(s):
Disponibilidad y calidad de la información
base para realizar el estudio
* Errores en el requerimiento de la
información. ** Falta de confiabilidad de la
información recibida.
* Incumplimiento del cronograma del
proyecto. ** Incremento de los costos
del proyecto. *** Falsa motivación del
proyecto regulatorio.
Oportunidad en la entrega de la información
requerida por el proyecto
* Demora en la solicitud de la información.
** Demora en la entrega de la información
* Incumplimiento del cronograma del
proyecto. ** Incremento de los costos
del proyecto.
Contratación de una consultoría externa con
el nivel de calidad requerido por el proyecto
* Estudios previos que no atienden a las
necesidades específicas de la contratación.
** Limitada oferta de consultores. ***
Términos de referencia que no se adecúan
a los requerimientos del proyecto.
* Incumplimiento del cronograma del
proyecto. ** Incremento de los costos
del proyecto. *** Falsa motivación del
proyecto regulatorio. **** Reprocesos
Recursos limitados para la ejecución del
proyecto
* Deficiencias en la planeación del
presupuesto. ** Restricciones
presupuestales. *** Insuficiente recurso
humano especializado y dedicado.
* Incumplimiento del cronograma del
proyecto. ** Incremento de los costos
del proyecto. *** Pérdida de calidad de
los entregables de la consultoría.
Confiabilidad de los estudios de mercado
* Errores en la formulación de los estudios
de mercado. ** Contratación inadecuada.
*** Errores en el procesamiento y análisis
de la información recolectada.
* Incumplimiento del cronograma del
proyecto. ** Incremento de los costos
del proyecto. *** Pérdida de calidad de
los entregables de la consultoría. ****
Falsa motivación del proyecto regulatorio.
***** Reprocesos
Cambios en los criterios base utilizados en el
estudio de viabilidad.
Variabilidad de la tasa de cambio para los
elementos de costo presentados en moneda
extanjera.
* Incremento de los costos del proyecto.
** reproceso de los análisis. ***
Eventual inviabilidad del proyecto.
Identificación de los riesgos del proyecto:
6. SEGUIMIENTO A EVALUACIONES ANTERIORES
Transcribimos a continuación en forma textual las recomendaciones generales entregadas a la administración
como conclusiones de la evaluación a la Gestión de Riesgos practicada por la Oficina de Control Interno en
octubre de 2013, por considerar que conservan su vigencia: “A partir de 2014 la Gestión de Riesgos debería
convertirse en una prioridad para la administración de la CRC, esto es así, puesto que no se trata solo de adoptar
un procedimiento con el ánimo de cumplir un requerimiento normativo, sino por el contrario hacer de la gestión
de riesgos el canal más óptimo para alcanzar los objetivos estratégicos e institucionales. Para lograr una
verdadera cultura de gestión del riesgo, la administración debería fomentar, entre otras, las siguientes acciones:
Eval. Proceso para la Gestión de los Riesgos 2015 Coordinación de Control Interno
Cód. Proyecto: 0000-0-00 Página 17 de 18
Diego Hernán Marín Tabares Coordinador de Control Interno
Actualizado: 00/00/0000 Revisado por: Regulación de Infraestructura
Revisión No. 2
Formato aprobado por: Coord. Relaciones internacionales y Comunicaciones .:. Fecha de vigencia: 15/01/2015
1. Diseño de una verdadera política que refleje el “querer” de la administración frente a la forma en que se deben
gestionar los riesgos.
2. Mayor compromiso de la alta dirección que debe reflejarse en la forma como administra los riesgos de su
competencia, esto es, los riesgos estratégicos.
3. El mapa de riesgos debe reflejar suficientemente la participación de todas las áreas de la Entidad y el
seguimiento permanente a los mecanismos para el control de los eventos generadores de riesgo.
4. Dada la transversalidad de los recursos de TI en todos los procesos de la CRC, se requiere mejorar la visión de
los riesgos asociados a su gestión.
5. Se debe mejorar los mecanismos de seguimiento a la efectividad de los controles, mediante el diseño de
indicadores igualmente efectivos y la unificación de los riesgos identificados en los distintos procesos internos”.
7. CONCLUSIONES DE LA EVALUACIÓN
1. En consideración a uno de los principales “Lineamientos para la Administración del Riesgo” publicado por la
Presidencia de la República1 en 2015, es prioritario que la Alta Dirección de la CRC despliegue al resto de la
Entidad su compromiso y apropiación con la cultura de administración de riesgos, haciéndola parte inherente
a la transversalidad de todos los procesos y actividades desde la misma planeación estratégica.
2. Con este propósito, una de las primeras acciones a emprender por parte de la Administración es la
expedición y formalización de la política para la administración de riesgos y adelantar el respectivo plan para
su divulgación y puesta en práctica por parte de todos los servidores de la Entidad.
3. El poder contar con una matriz y mapa de riesgos en el aplicativo denominado “Herramienta de Gestión”,
significa para la CRC un valor agregado importante, no obstante existen valiosas oportunidades para su
actualización y mejor uso como instrumento de gestión, tales como las revisiones que surgen de las RAEs y
otros espacios como las reuniones de Coordinadores y los distintos Comités institucionales.
4. Siendo conscientes de que para posicionar la Administración de Riesgos como factor crítico de éxito, es de
vital importancia el esfuerzo colectivo por parte de todos quienes hacemos parte de la Entidad, se
_______________________________________________________________________________________________
1”La administración del riesgo es un proceso liderado por la Alta Dirección de la entidad con la participación y compromiso de todo el personal. El enfoque de riesgos no se determina solamente con el uso de la metodología, sino logrando que la evaluación de los riesgos se convierta en una parte natural del proceso de planificación”.
Eval. Proceso para la Gestión de los Riesgos 2015 Coordinación de Control Interno
Cód. Proyecto: 0000-0-00 Página 18 de 18
Diego Hernán Marín Tabares Coordinador de Control Interno
Actualizado: 00/00/0000 Revisado por: Regulación de Infraestructura
Revisión No. 2
Formato aprobado por: Coord. Relaciones internacionales y Comunicaciones .:. Fecha de vigencia: 15/01/2015
requiere que la Alta Dirección como responsable de su implementación y liderazgo, propicie espacios de
capacitación y entrenamiento sobre el tema, particularmente orientadas a profundizar en aspectos como la
diferenciación entre RIESGO – CAUSA – EFECTO, planes de tratamiento e indicadores de seguimiento, entre
otros.
5. Otro aspecto de suma importancia a la hora de identificar los factores de riesgo a partir de su definición, es
contar con los objetivos de los procesos claramente descritos, por lo que consideramos fundamental
adelantar una revisión a los objetivos desde la caracterización, esto con el propósito de mejorar su redacción
y hacerlos más coherentes con el quehacer de cada proceso.
6. Precedido del propósito de acoger el lineamiento contenido en el MECI que fue actualizado por el Decreto
943 de 2014, consideramos de mucha utilidad incorporar los aspectos relacionados con la identificación y
gestión de los riesgos asociados a los proyectos regulatorios desde la misma etapa de formulación y
planeación (documento azul), en tanto se constituiría en un elemento vital a la hora de identificar y valorar
los factores, tanto internos como externos, que amenazarían el cumplimiento de los objetivos de cada
proyecto y prever las distintas alternativas de acción ante un escenario en el que se estuvieran
materializando.
DIEGO HERNÁN MARÍN TABARES Coordinador de Control Interno
Preparó: DHMT