RÉGIMEN LEGAL DE BOGOTÁ D.C.

(Noviembre 07)

Derogada por el art. 8, Resolución 303 de 2012

EL SECRETARIO GENERAL DE LA ALCALDÍA MAYOR DE BOGOTÁ, DISTRITO CAPITAL

En ejercicio de sus facultades legales, en especial las conferidas por el artículo 48 del Acuerdo Distrital 257 de 2006 y en el artículo 7 del Decreto Distrital No. 267 de 2007, y

Que en los artículos 209 y 269 de la Constitución Política de 1991 se incorporó el control interno, como un instrumento orientado a garantizar el logro de los objetivos de cada entidad del Estado y el cumplimiento de los principios que rigen la función pública.

Que los literales a) y f) del artículo 2° de la Ley 87 de 1993 establecieron que, el control interno está orientado a la protección de los recursos de la organización, buscando su adecuada administración ante posibles riesgos que los afecten, y a definir y aplicar medidas para prevenirlos, así como detectar y corregir las desviaciones que se presenten en la organización y que puedan afectar el logro de los objetivos.

Que el artículo 10° del Decreto 2145 de 1999 señala que los elementos mínimos del Sistema de Control Interno mencionados en la Ley 87 de 1993 y demás normatividad relacionada, conforman cinco grupos que se interrelacionan y que constituyen los procesos fundamentales de la administración: Dirección, Planeación, Organización, Ejecución, Seguimiento y Control (Evaluación).

Que la misma norma consagra que los responsables de fortalecer la interrelación y funcionamiento armónico de los elementos que conforman estos cinco grupos son los servidores públicos en cumplimiento de las funciones asignadas en la normatividad vigente, de acuerdo con el área o dependencia de la cual hacen parte.

Que el Decreto 1537 de 2001, "por el cual se reglamenta parcialmente la Ley 87 de 1993 en cuanto a elementos técnicos y administrativos que fortalezcan el sistema de control interno de las entidades y organismos del Estado", establece que las entidades deben implementar acciones para el desarrollo racional de su gestión y que la administración de riesgos hace parte integral del fortalecimiento de los sistemas de control interno.

Que lo anterior es acorde con el Modelo Estándar de Control Interno - MECI 1000:2005., en tanto que el componente "administración de riesgos" hace parte del Subsistema de Control Estratégico.

Que el Decreto Nacional 1599 de 2005 adopta el Modelo Estándar de Control Interno aplicable para el Estado Colombiano, determinando las generalidades y estructura necesaria para establecer, documentar, implementar y mantener un Sistema de Control Interno en las entidades y los agentes obligados, conforme al artículo 5° de la Ley 87 de 1993.

Que la Ley 872 de 2003 creó el Sistema de Gestión de la Calidad en la Rama Ejecutiva del Poder Público y en el parágrafo del artículo 3°, dispone que dicho sistema es complementario a los Sistemas de Control Interno y de Desarrollo Administrativo.

Que el Decreto Nacional 4110 de 2004 adopta la Norma Técnica de Calidad en la Gestión Pública NTCGP 1000:2004.

Que con el Acuerdo 122 de 2004 se adopta en las entidades distritales el Sistema de Gestión de la Calidad creado por la Ley 872 de 2003, como una herramienta de gestión sistemática y transparente para dirigir y evaluar el desempeño institucional, en términos de calidad y satisfacción social en la prestación de los servicios a cargo de las entidades y agentes obligados, herramienta que estará enmarcada en los planes estratégicos y de desarrollo de tales entidades.

Que el Decreto Distrital 387 de 2004, en su artículo primero señaló: "El Sistema de Gestión de la Calidad adoptado por medio del Acuerdo 122 de 2004 se aplica a todas las entidades distritales, sean éstas del nivel central o descentralizado, a las entidades que prestan servicios públicos domiciliarios y no domiciliarios de naturaleza pública o las privadas concesionarias del Estado".

Que, por su parte, la norma técnica de la Calidad en la Gestión Pública - NTCGP 1000: 2004, establece como requisito General del Sistema de Gestión de la Calidad, (numeral 4.1, literal g), la obligación de "identificar y diseñar, con la participación de todos los servidores públicos y/o particulares que ejercen funciones públicas, los puntos de control sobre los riesgos de mayor probabilidad de ocurrencia o que generan un impacto considerable en la satisfacción de necesidades y expectativas de calidad de los clientes, en las materias y funciones que le competen a cada entidad".

Que el Modelo Estándar de Control Interno - MECI - 1000: 2005, determinó la administración del riesgo como un componente del Subsistema de Control Estratégico, el cual obliga a las entidades públicas a emprender las acciones necesarias que le permitan el manejo de eventos (riesgos) que puedan afectar negativamente el logro de los objetivos institucionales. Para ello se integran cinco elementos de control: el contexto estratégico; la identificación de riesgos; el análisis de riesgos; la valoración de riesgos y políticas de administración del riesgo. Todos estos elementos conducen a la definición de criterios básicos en la formulación del estándar de control que se consolida en las políticas de administración de riesgos.

Que mediante la Circular 022 de 2006, la Secretaría General, en el ejercicio de organizar y dirigir recursos para alcanzar los resultados esperados, reconoce la presencia de eventos positivos o negativos de origen interno o externo que afectan el cumplimiento de los objetivos institucionales. De este modo, emprendió acciones necesarias que le permitieran el manejo adecuado de tales eventos a través de la administración de riesgos.

Que el artículo 88 del Decreto 2474 de 2008, por el cual se reglamenta parcialmente la Ley 1150 de 2007, dispuso que las entidades en el proyecto de pliego de condiciones deberá tipificar los riesgos previsibles que puedan presentarse en el desarrollo del contrato, con el fin de cuantificar la posible afectación de la ecuación financiera. Ese artículo señala que se entienden como riesgos involucrados en la contratación todas aquellas circunstancias que de presentarse durante el desarrollo y ejecución del contrato, pueden alterar el equilibrio financiero del mismo.

Que mediante la Directiva 042 de 2007 de la Secretaría General de la Alcaldía Mayor D.C. y con fundamento en los 11 dominios de controles señalados en la norma NTC/IEC ISO 17799, y su actualización NTC/IEC ISO 27001, se definió la Política de Seguridad de los Activos de Información de la entidad.

Que por medio de la Resolución 357 de 2008 de la Contaduría General de la Nación se adoptó el procedimiento de control interno contable y de reporte del informe anual de evaluación a la Contaduría General de la Nación.

Que según el marco normativo expuesto y como uno de los objetivos del Sistema de Control Interno, el estudio, análisis y manejo de los riesgos, son actividades inherentesa la función del nivel gerencial dentro de la organización, que tiene como objetivo definir un conjunto de estrategias que a partir de los recursos (humanos, físicos y financieros), de manera que en el corto plazo se mantenga la estabilidad de la organización, protegiendo los activos y recursos y, en el largo plazo se minimicen las pérdidas ocasionadas por la ocurrencia de dichos riesgos.

Que con la aplicación de estas directrices se busca encausar y optimizar el accionar de la Secretaría General en la estructuración de criterios orientados hacia la toma de decisiones respecto al tratamiento de los riesgos y sus efectos al interior de la entidad para el cumplimiento de la misión, los objetivos organizacionales, un uso eficiente de los recursos, la continuidad en la prestación de los servicios, y la protección de los bienes utilizados para servir a la comunidad. Igualmente, se busca el mejoramiento continuo con la aplicación e implementación de políticas efectivas de administración del riesgo.

Que en mérito de lo expuesto

ARTÍCULO PRIMERO - Establecer y desarrollar la Política de Administración de Riesgos en la Secretaría General de la Alcaldía Mayor de Bogota D.C., a través del adecuado tratamiento de los riesgos para garantizar el cumplimiento de la misión y objetivos institucionales, la cual será la base para la definición de los planes de contingencia y continuidad de la entidad.

• Generar una visión sistémica acerca de la administración y evaluación de riesgos, consolidando un ambiente de control adecuado a la Secretaría General y un direccionamiento estratégico, que fije orientación clara y planeada de la gestión dando las bases para el adecuado desarrollo de la Actividad de Control.

• Proteger los recursos de la entidad, resguardándolos de la materialización de los riesgos.

• Incluir dentro de los procesos las acciones de mitigación resultado de la administración de riesgos.

• Involucrar y comprometer a todos los servidores de la Secretaría General y a los particulares que cumplan funciones públicas, en la búsqueda de acciones encaminadas a prevenir y administrar los riesgos.

• Propender porque la Secretaría General interactúe entre sus procesos y con otras entidades, para fortalecer su desarrollo.

• Asegurar el cumplimiento de normas, leyes y regulaciones.

ARTÍCULO TERCERO- ARTICULACIÓN: En el marco del Sistema Integrado de Gestión se deben estructurar criterios orientadores en la toma de decisiones, respecto al tratamiento de los riesgos y sus efectos al interior de la entidad. Por tanto:

La implementación de la política de administración de riesgos debe ser coordinada por el representante de la alta dirección del Sistema Integrado de Gestión, el equipo directivo y contar con el apoyo del equipo operativo (Gestores del Sistema Integrado de Gestión), también debe ser interiorizada por todos los funcionarios y contratistas de la entidad, responsables del desarrollo de los diferentes procesos.

ARTÍCULO CUARTO.- OPERACIONALIZACIÓN: Los responsables de los procesos, en equipo con sus colaboradores, deben utilizar la herramienta electrónica publicada en la Intranet y/o Página Web -Administración de Riesgos-, de acuerdo con el rol asignado y en los ciclos de control definidos en la presente Resolución.

ARTÍCULO QUINTO.- ROLES Y RESPONSABILIDADES: Para adelantar este proceso es importante señalar los roles de los diferentes actores de acuerdo a la directriz del Departamento Administrativo de la Función Pública consignada en el Manual de Implementación del MECI 1000:2005, así:

• Identificar y construir los mapas de riesgos de los procesos a su cargo, teniendo en cuenta los aspectos ambientales, de seguridad de la información entre otros.

• Adelantar la revisión, actualización periódica y seguimiento de los mapas de riesgos, en todos aquellos aspectos que les fueren asignados.

• Adoptar las medidas necesarias para el cabal desempeño de la Gerencia o Administración de Riesgos en cumplimiento de las funciones, la entrega de los productos y prestación de los servicios y/o la ejecución de los procesos asignados a sus cargos, con miras a la realización de los fines del Estado.

b) Del representante de la Alta Dirección del Sistema Integrado de Gestión en relación con la administración del riesgo.

• Formular, orientar, dirigir y coordinar la implementación del componente de la Administración del Riesgo.

• Apoyar a los responsables de procesos en la implementación de la política de Administración del Riesgo.

• Asegurar que se desarrollen a cabalidad cada una de las etapas previstas para el diseño e implementación del Componente de la Administración del Riesgo, a través del Sistema de Alarmas Tempranas.

• Informar en los Comités del Sistema Integrado de Gestión a la Alta Dirección sobre la planificación, avances, implementación y resultados de la Política de Administración del Riesgo.

• Dirigir y coordinar las actividades del Equipo de Gestores del Sistema Integrado de Gestión.

• Coordinar con los directivos o responsables de cada dependencia o proceso las actividades que requiere realizar el Equipo Operativo (Gestores del Sistema Integrado de Gestión), en armonía y colaboración con los servidores de las mismas.

• Hacer seguimiento a las actividades planeadas para la implementación del Componente de la Administración del Riesgo, aplicando las acciones que se requieran.

• Someter a consideración del Comité Directivo del Sistema Integrado de Gestión los resultados de la implementación del Componente de la Administración del Riesgo, para su mejoramiento continuo.

El Equipo Operativo o de Gestores cumplirá los siguientes roles y responsabilidades:

• Apoyar el proceso de implementación de la Política de Administración del Riesgo, bajo las orientaciones del Representante de la Alta Dirección del Sistema Integrado de Gestión.

• Capacitar a los servidores de su dependencia en la utilización de la metodología de la herramienta – Sistema de Alarmas Tempranas- y el Componente de la Administración del Riesgo.

• Apoyar al jefe de la dependencia y/o responsable del proceso en la identificación, análisis, valoración y acciones de mitigación del riesgo, así como en la revisión, análisis y consolidación periódica de la información en el Sistema de Alarmas Tempranas de la Administración del Riesgo, en coordinación con los demás servidores que participan en el proceso.

• Rol directo: Asesorar el proceso de identificación de los riesgos institucionales y con base en ellos, realizar recomendaciones preventivas y/o correctivas con los responsables de los procesos. Igualmente, debe hacer seguimiento a la evolución de los riesgos y al cumplimiento de las acciones propuestas, con el fin de verificarlas y proponer mejoras.

• Rol indirecto: Verificar que en la entidad se implementen políticas y mecanismos efectivos de la Administración del Riesgo.

A través de las evaluaciones y seguimiento al Sistema de Control Interno, estará atento a resolver las dificultades que resulten y a prestar la colaboración necesaria en el marco de su competencia.

PARÁGRAFO: Para los efectos previstos en el artículo 4° de la Ley 1150 de 2007, se entienden como riesgos involucrados en la contratación todas aquellas circunstancias que de presentarse durante el desarrollo y ejecución del contrato, pueden alterar el equilibrio financiero del mismo.

Cada responsable de rubros de funcionamiento y de proyectos de inversión, deberán tipificar en los pliegos de condiciones los riesgos que puedan presentarse en el desarrollo de cada contrato, con el fin de cuantificar la posible afectación de la ecuación financiera de los mismos, y señalará el sujeto contractual que soportará, total o parcialmente, la ocurrencia de la circunstancia prevista en caso de presentarse, o la forma en que se recobrará el equilibrio contractual, cuando se vea afectado por la ocurrencia del riesgo.

ARTÍCULO SEXTO.- CICLOS DE CONTROL: Para la operación del sistema de Administración de Riesgos, se debe cumplir con los siguientes ciclos de control:

1. A 31 de marzo de cada año se debe actualizar la información del Sistema de Administración de Riesgos, para lo cual:

La Oficina Asesora de Planeación en coordinación con los responsables de procesos y/o jefes de dependencias, dispondrá de los controles para que la información requerida se mantenga actualizada por proceso y procedimiento, permitiendo a los responsables de proceso utilizar las últimas versiones (Caracterización de procesos y procedimientos).

2. Teniendo en cuenta que el adecuado manejo de los riesgos favorece el desarrollo y crecimiento de la Secretaría General, con el fin de asegurar dicho manejo es importante que los responsables del proceso, a través del aplicativo establezcan el entorno de la entidad, la identificación, análisis, valoración y definición de las alternativas de acciones de mitigación de los riesgos, teniendo en cuenta las siguientes etapas o elementos establecidos en el Modelo Estándar de Control Interno:

• Contexto Estratégico:

El contexto estratégico es la base para la identificación de los riesgos en los procesos y actividades. El análisis se realiza a partir del conocimiento de situaciones del entorno de la entidad, tanto de carácter social, económico, cultural, ambiental, de orden público, político, legal y/o cambios tecnológicos, entre otros; se alimenta también con el análisis de la situación actual de la entidad, basado en los resultados de los Componentes de Ambiente de Control, Estructura Organizacional, Modelo de Operación, cumplimiento de los Planes y Programas, sistemas de información, procesos y procedimientos y los recursos económicos, entre otros.

• Identificación de Eventos de Riesgo:

El proceso de la identificación del riesgo debe ser permanente e interactivo basado en el resultado del análisis del contexto estratégico, en el proceso de planeación y debe partir de la claridad de los objetivos estratégicos de la entidad para la obtención de resultados.

El Modelo Estándar de Control Interno lo define como: Elemento de control que posibilita conocer los eventos potenciales, estén o no bajo el control de la Entidad Pública, que ponen en riesgo el logro de su Misión, estableciendo los agentes generadores, las causas y los efectos de su ocurrencia.

La identificación de los riesgos se realiza a nivel del componente de direccionamiento estratégico, identificando los factores internos o externos a la entidad, que pueden ocasionar riesgos que afecten el logro de los objetivos. Es la base del análisis de riesgos que permite avanzar hacia una adecuada implementación de políticas que conduzcan a su control.

• Análisis de Riesgos:

El análisis del riesgo busca establecer la probabilidad de ocurrencia de los riesgos y el impacto de sus consecuencias, calificándolos y evaluándolos con el fin de obtener información para establecer el nivel de riesgo y las acciones que se van a implementar. El análisis del riesgo dependerá de la información obtenida, de la identificación de riesgos y de la disponibilidad de datos históricos y aportes de los servidores de la entidad.

• Valoración de Riesgos:

La valoración del riesgo es el producto de confrontar los resultados de la evaluación del riesgo con los controles identificados en el Elemento de Control, denominado "Controles", del Subsistema de Control de Gestión, con el objetivo de establecer prioridades para su manejo y fijación de políticas. Para adelantar esta etapa se hace necesario tener claridad sobre los puntos de control existentes en los diferentes procesos, los cuales permiten obtener información para efectos de tomar decisiones.

Para realizar la valoración de los controles existentes es necesario recordar que éstos se clasifican en:

- Preventivos: aquellos que actúan para eliminar las causas del riesgo para prevenir su ocurrencia o materialización.

- Correctivos: aquellos que permiten el restablecimiento de la actividad después de ser detectado un evento no deseable; también permiten la modificación de las acciones que propiciaron su ocurrencia.

• Tratamiento de los Riesgos:

Para la consolidación de la política de administración de riesgos, se deben tener en cuenta todas las etapas anteriormente desarrolladas en el ejercicio de la administración del riesgo.

Las acciones para tratar y manejar los riesgos basadas en la valoración de los mismos, permiten tomar decisiones adecuadas y fijar los lineamientos de la Administración del Riesgo, a su vez transmiten la posición de la Secretaría y establecen las guías de acción necesarias a todos los servidores de la entidad, encaminadas a evitar, reducir, compartir o transferir, o finalmente a asumir el riesgo.

Para el manejo de los riesgos se deben analizar las posibles acciones a emprender, las cuales deben ser factibles y efectivas, tales como: implementación de acciones, definición de estándares, optimización de procesos y procedimientos y cambios físicos, entre otros. La selección de acciones debe considerar la viabilidad ambiental, jurídica, técnica, institucional, financiera y económica.

Para la ejecución de las acciones se debe identificar los responsables de llevarlas a cabo, a través del sistema de alarmas tempranas, y definir el cronograma e indicadores que permitan verificar el cumplimiento para tomar medidas preventivas y/o correctivas cuando sea necesario.

A través de los Subcomités de Autocontrol, establecidos mediante la Resolución 161 de 2006, los responsables del proceso con su equipo de colaboradores deben hacer seguimiento mensual de los planes de mitigación de riesgos.

3. Por lo menos en los primeros 10 días hábiles de julio y noviembre de cada año, se deben realizar a través del aplicativo nuevas evaluaciones de probabilidad e impacto teniendo en cuenta que los riesgos nunca dejan de representar una amenaza para la organización.

De acuerdo con los resultados, se debe actualizar o modificar las acciones de mitigación consignando las nuevas acciones y justificaciones en el plan de mitigación.

El monitoreo debe estar a cargo de los responsables de los procesos, su finalidad principal es la de aplicar y sugerir los correctivos y ajustes necesarios para asegurar un efectivo manejo del riesgo.

El monitoreo debe asegurar que las acciones se están llevando a cabo y evaluar la eficiencia en su implementación, adelantando revisiones sobre la marcha, para evidenciar todas aquellas situaciones o factores que pueden estar influyendo en la aplicación de las acciones preventivas.

ARTÍCULO SÉPTIMO.- PROCEDIMIENTO: La Oficina Asesora de Planeación incluirá y mantendrá actualizado el procedimiento para la administración de riesgos, en el proceso correspondiente, el cual será de obligatorio cumplimiento por todos los servidores de la Secretaría General.

ARTÍCULO OCTAVO.- SEGUIMIENTO Y EVALUACION: La Oficina de Control Interno dentro de su función asesora comunicará y presentará luego del seguimiento y evaluación, los resultados, propuestas de mejoramiento y tratamiento a las situaciones detectadas.

ARTÍCULO  NOVENO: La presente Resolución rige a partir de la fecha de su publicación y deroga la Circular 022 de 2006, expedida por la Secretaría General de la Alcaldía Mayor de Bogotá, D.C.