Rol de la evaluación de la gestión del riesgo

El Modelo Integrado de Planeación y Gestión, desde cada una de sus dimensiones, destaca la importancia que adquiere la administración del riesgo para todas las dependencias de las Entidades públicas. Específicamente, el papel que debe manejar la OCI del IDEAM en la materialización de este rol, es el de asesorar, acompañar técnicamente y realizar la evaluación y seguimiento en diferentes puntos de la gestión del riesgo, iniciando en la política de administración del riesgo y terminando en la evaluación de la efectividad de los controles planteados y ejecutados, en las primeras dos líneas de defensa.

La OCI proporciona un aseguramiento objetivo a la Línea Estratégica (Alta Dirección) sobre el diseño y efectividad, en el planteamiento y gestión de los riesgos institucionales (riesgos clave) y sus respectivos controles del IDEAM. En la primera línea de defensa, la OCI complementa la labor de acompañamiento que debe desarrollar la Oficina Asesora de Planeación, desde la segunda línea de defensa, al brindar asesoría a los responsables de los procesos, respecto a metodologías y herramientas para la definición, análisis y medición de riesgos, además de la pertinencia y efectividad de los controles.

La Oficina de Control Interno del IDEAM materializa este rol, gracias al trabajo de todo el equipo auditor y en constante comunicación con el equipo de la Oficina Asesora de Planeación (OAP), mediante actividades como:

• En conjunto con la OAP, la OCI asesora a la organización en metodologías, herramientas y técnicas para la identificación y administración de riesgos y controles. Sin embargo, esta actividad se realizó hasta el año pasado de acuerdo con la guía de administración de riesgos del año 2015. Durante el año 2018, miembros de ambas oficinas, se han capacitado en la actualizada guía de administración del riesgo, la cual define y diferencia los riesgos de gestión y corrupción, recomienda establecer riesgos de seguridad digital y le da una importancia crucialmente mayor al establecimiento y redacción de los controles asociados a los riesgos; lo anterior, partiendo de un replanteamiento previo de los objetivos y caracterización de los procesos, que deben apuntar al cumplimiento de los objetivos institucionales, establecidos en el direccionamiento propio de la Entidad en general.

• A partir de las evaluaciones periódicas y del ejercicio de auditorías internas, la OCI y la OAP, identifican y verifican los posibles cambios que pueden tener un impacto significativo en el sistema de control interno. Durante las auditorías

52

realizadas en la vigencia 2018, se procuró que uno dentro del alcance de las mismas, se analizara el monitoreo, seguimiento y los controles que las dependencias auditadas realizan a los riesgos propios de su proceso, para comenzar a evaluar la efectividad de la gestión del riesgo de la entidad, al final de estas auditorías, se hacia la recomendación de acoger la nueva guía actualizada de administración del riesgo, prestándole atención especial a lo nuevo o lo reformulado que trae la misma.

• La Oficina de Control Interno emite alertar tempranas oportunamente, cuando detecta cambios e impactos en la evaluación del riesgo que resultan del ejercicio de auditorías.

La adecuada asesoría que debe brindar la Oficina de Control Interno del IDEAM, en el marco de este rol, no puede ocurrir sin que antes esta oficina autoevalúe si en su propio proceso define y administra correctamente sus riesgos, junto con los controles adecuados. El trabajo del pasante en este rol se relacionó con lo anterior, para ello, fue necesario asistir a varias capacitaciones ofrecidas por entidades externas al IDEAM, el seguimiento adecuado de los lineamientos que trae consigo la guía de administración de riesgo y el acompañamiento de los demás auditores del equipo de trabajo de la OCI. Luego de un replanteamiento del objetivo del proceso de Evaluación y Mejoramiento Continuo desde la caracterización del proceso, al desarrollo de los procedimientos y la interacción directa con auditorías basadas en riesgos, se dejó una propuesta de definición de los riesgos que se identifican en el proceso, junto con los controles asociados a cada posible causa del riesgo (como recomienda la nueva guía de administración del riesgo), más adelante se describirá en detalle esta actividad.

Actualmente, la administración del riesgo en el IDEAM se encuentra entre los niveles de madurez 3 “implementado” y 4 “administrado”, de acuerdo al resultado FURAG II y a lo observado en el diagnóstico. Razón por la cual, para paulatinamente alcanzar el nivel de madurez 5 “Optimizado, la Oficina Asesora de Planeación, junto con la Oficina de Control Interno, deben fortalecer la evaluación de la gestión de los riesgos y los controles del Instituto, teniendo en cuenta las recomendaciones tratadas en los siguientes párrafos.

La OCI debe seguir trabajando en alcanzar la asesoría en riesgos al largo de toda la Entidad (primera y segunda línea de defensa), sin que ello implique la perdida de objetividad e independencia de la oficina, razón por la cual, esta no puede definir los niveles de aceptación del riesgo en el IDEAM. Durante la siguiente vigencia, es recomendable que se promueva el replanteamiento de los riesgos de todos los procesos, de acuerdo con las condiciones descritas en los párrafos anteriores, para lo cual es ideal capacitar a los líderes de proceso y a responsables designados por ellos, en definición y gestión de riesgos, así como en los controles asociados a los mismos. Lo anterior debe ir acompañado de un direccionamiento y establecimiento

53

de responsabilidades y funciones, para cada miembro del IDEAM, de acuerdo con el modelo de las tres líneas de defensa.

Posterior a la reformulación de los riesgos de todos los procesos (a cargo de los responsables de los mismos procesos, pues la tercera línea de defensa no debe identificar los riesgos de los demás procesos a parte del suyo, de acuerdo con sus funciones y roles). Es pertinente que la OCI y la OAP realicen auditorías internas basadas en riesgos, identificando desde la planeación, aquellos riesgos que pueden ser críticos y atenten significativamente al cumplimiento de los objetivos tanto de los procesos como los institucionales, y desarrollando las auditorías de acuerdo con los criterios relacionados a esos riesgos críticos o estratégicos.

De acuerdo con el párrafo anterior, paulatinamente, se recomienda que la OCI establezca parte de su Plan Anual de Auditoría basado en riesgos, dotando de prioridad a aquellos procesos que tienen mayor exposición al riesgo, y para los cuales, la materialización del riesgo tendría un impacto negativo significativo para el IDEAM. Acompañado a lo anterior, las Oficinas líderes en gestión de riesgo, deben proponer espacios para la autoevaluación del riesgo, en el seguimiento de estos, pues esas oficinas líderes, no deben definir los controles de los riesgos establecidos por los demás procesos, su labor es de asesoramiento en la forma de plantear y medir esos controles.