INFORME FINAL EVALUACIÓN ADMINISTRACIÓN DE RIESGOS

SECRETARÍA DISTRITAL DE HACIENDA

DESPACHO DEL SECRETARIO DE HACIENDA

OFICINA DE CONTROL INTERNO

INFORME FINAL

EVALUACIÓN ADMINISTRACIÓN DE RIESGOS

Bogotá D. C., junio de 2020

Secretario Distrital de Hacienda JUAN MAURICIO RAMÍREZ CORTES

Jefe de la Oficina de Control Interno ALLAN MAURICE ALFISZ LÓPEZ

Equipo Evaluador

VICTOR MANUEL HERNANDEZ HERRERA Evaluador Líder JOHANA DEL PILAR SÁNCHEZ ALFONSO Evaluadora de Apoyo JESÚS ALBEIRO RIZO GALLARDO Evaluador de Apoyo

3

ÍNDICE

Numeral Detalle Página

Introducción 5

1. Plan de Evaluación 6

2. Metodología 7

3. Desarrollo de la Evaluación 8

3.1. Verificar de la gestión adelantada por las dependencias respecto de las conclusiones reiteradas en las Evaluaciones de los años 2016, 2017, 2018 y 2019.

8

Tabla 1: Consolidación Hallazgos 8

Tabla 2: Temas Recurrentes - Conclusiones 9

Tabla 3: Temas Recurrentes - Sugerencias y Recomendaciones 10

Análisis Conclusiones Auditorias y Evaluaciones Vigencias Anteriores 10

3.2.

Evaluar mediante encuestas-evaluación con responsables de proceso, gestores de riesgo y funcionarios, la aprehensión, conocimiento y gestión de sus roles y responsabilidades contenidas en la Política de Gestión de Riesgos POL-07.

11

Tabla 4: Estadística Encuestas 12

Encuesta Responsables de Proceso 12 Gráfica 1: Auto Calificación - Nivel de Conocimiento 12

Tabla 5: Resumen de Resultados Manejo Conceptual 13

Análisis Resultados Manejo Conceptual – Encuesta Responsables de Proceso

14

Encuesta Gestores de Riesgo 15 Gráfica 2: Antigüedad como Gestor 15

Gráfica 3: Cargos 15

Grafica 4: Autocalificación Nivel Conocimiento Riesgos 16


Análisis Encuesta Gestores de Riesgos: 17

Encuesta Funcionarios 18 Caracterización 18

Tabla y Grafica 1: Antigüedad 18

Tabla y Grafica 2: Cargo Ocupado Actualmente 18

Tabla y Grafica 3: Antigüedad en el Cargo Actual 19

Percepción 19

Tabla y Grafica 4: Compromiso Institucional 19

Tabla y Grafica 5: Autoevaluación Conocimiento 20

Tabla y Grafica 6: ¿Identifica el Gestor de Riesgos? 20

Tabla y Grafica 7: Participación en Actualización de Riesgos 20

Tabla y Grafica 8: ¿Conoce los controles que debe ejecutar en las actividades bajo su responsabilidad?

21

4

ÍNDICE

Numeral Detalle Página

Tabla y Grafica 9: Información recibida sobre los controles a su cargo 21

Análisis Encuesta Funcionarios - Caracterización y Percepción 21


Análisis Encuesta Funcionarios – Resultados Manejo Conceptual 23

3.3. Revisar matriz de riesgo operativo consolidada (SARO), para determinar la consistencia de la información contenida.

24

3.4. Verificar las actas del Comité Riesgos. 24

4. Conclusiones 25

5. Recomendaciones 26

Índice Tablas 27

Índice Gráficas – Tablas y Gráficas 28

Relación de Anexos 28

5

INTRODUCCIÓN

El artículo 17 del Decreto 648 de 2017 actualizó los cinco roles y sobre los cuales son ejecutadas las funciones de las unidades u oficinas de control interno, auditoría interna o quien haga sus veces; esos roles son: liderazgo estratégico, enfoque hacia la prevención, evaluación a la gestión del riesgo, evaluación y seguimiento y, relación con entes externos de control. Institucionalmente, la Política de Administración de Riesgos de la Secretaria Distrital de Hacienda - POL-07 contempla que la Oficina de Control Interno como tercera línea de defensa debe evaluar en forma periódica la efectividad, y el cumplimiento de la gestión de riesgo, al igual que el diseño y ejecución de controles para la mitigación.

6

1.PLAN DE EVALUACIÓN

Objetivo General Evaluar la efectividad y el cumplimiento de la gestión de riesgo en la entidad, el conocimiento y gestión de las funciones y responsabilidades de las partes intervinientes, con el propósito de detectar las posibles deficiencias y oportunidades de mejora.

Objetivos Específicos 1- Verificar la gestión adelantada por las dependencias respecto de las conclusiones

reiteradas en las Evaluaciones de los años 2016, 2017, 2018 y 2019. 2- Evaluar mediante encuestas-evaluación con responsables de proceso, gestores de

riesgo y funcionarios la aprehensión, conocimiento y gestión de sus roles y responsabilidades contenidas en la Política de Gestión de Riesgos POL-07.

3- Revisar la matriz de riesgo operativo consolidada (SARO), para determinar la

consistencia de la información contenida.

4- Verificar las actas del Comité de Riesgos.

Alcance de la Evaluación El alcance de la Gestión integral de riesgos en la Secretaria Distrital de Hacienda, comprende los siguientes temas: Seguridad de la Información, Riesgo Operativo y Riesgo Financiero. Muestra de la Evaluación: La evaluación se realizó teniendo en cuenta la información registrada en la documentación del proceso CPR-76 Administración del riesgo operacional, de la seguridad de la información y de continuidad del negocio, CPR-47 Gestión de riesgo financiero y la matriz de riesgos operacionales, de enero 2019 hasta marzo de 2020

7

2. METODOLOGIA

La presente evaluación, inició su planificación en el mes de marzo, con el concepto tradicional de realización física en las sedes de la Secretaria Distrital de Hacienda, por lo cual su ejecución ha representado un verdadero reto con aprendizajes muy importantes, dado que con el simulacro vital y luego el confinamiento total ordenado desde la Alcaldía por la crisis de salud pública originada con la pandemia COVID-19, ha obligado al equipo evaluador a integrar a todos los funcionarios de la Oficina de Control interno en pruebas e intercambio de información, además de la consecución de datos en las fuentes disponibles en las herramientas que apoyan el trabajo en casa. Las actividades fueron ejecutadas haciendo uso de las diferentes herramientas que apoyan el trabajo en casa contenidas en Office 365, esencialmente, la rápida comunicación en el Chat virtual Teams, el acceso a la información en Share Point, la comunicación con las partes interesadas por medio del correo electrónico en Outlook y el diseño y ejecución de encuestas/evaluación en Forms, fueron fundamentales para culminar esta responsabilidad y obtener un producto que verdaderamente contribuya al mejoramiento de la gestión institucional de los riesgos

8

3. DESARROLLO DE LA EVALUACIÓN

El plan de evaluación contempla cuatro objetivos propuestos, los cuales serán tratados a continuación; la información soporte fue incluida como anexos al final del presente informe, para quien decida adentrarse más en los análisis efectuados pueda hacerlo.

3.1. Verificar la gestión adelantada por las dependencias respecto de las conclusiones reiteradas en las Evaluaciones de los años 2016, 2017, 2018 y 2019.

El equipo evaluador consolidó los resultados de los informes desde la vigencia 2015 hasta 2019 (ver Anexo 1), se debe anotar que en las dos primeras vigencias de este período la actividad de evaluación fue tratada como ejercicios de auditoria que generan hallazgos con la obligación de construir un plan de mejoramiento (ver Tabla 1), para las demás vigencias se realizaron evaluaciones que generan conclusiones y recomendaciones.

Tabla 1 Consolidación Hallazgos

2015 2016

3.1.1 Acciones que a la fecha de terminación establecida en el plan de mejoramiento se encuentran sin cumplir.

3.1.1 Debilidad en los controles de acceso en el aplicativo VIGIA RIESGOS.

3.2.1 Aplicativo VIGIA para el manejo de los riesgos operativos en la SDH no se encuentra en uso.

3.2.1 La metodología para el diseño de la Matriz de Riesgos de Corrupción en la vigencia 2016, se encuentra sin implementar.

3.2.2 Objeto del contrato No. 150234-0-2015 incumple su finalidad teniendo en cuenta que la última versión del aplicativo no se encuentra en producción.

3.3.1 Controles establecidos en las matrices de riesgo por procesos evaluados como inadecuados en su diseño e inefectivos en su ejecución.

3.2.3 Incumplimiento en los requisitos para realizar el primer pago al contratista conforme a lo establecido en el contrato No. 150234-0-2015.

Fuente: Informes Evaluación Riesgos 2015 – 2016 – Secretaria Distrital de Hacienda

Por la circunstancia anterior, el equipo evaluador planificó para el actual ejercicio la verificación de las actuaciones sobre las conclusiones, recomendaciones y sugerencias de las vigencias 2015 al 2019; de la verificación mencionada fueron identificados los temas recurrentes, bajo el entendido que su reiteración evidencia una mínima o baja actuación sobre lo evidenciado en los informes.

9

Revisado el Procedimiento 71-P-02 Auditoria de Gestión, sobre la definición de los términos conclusión, sugerencia y recomendación, tenemos: Conclusión: Son opiniones del auditor, de carácter profesional, basadas en las observaciones formuladas como resultado del examen y referentes a la evaluación de los resultados de la gestión del proceso, procedimiento o actividad auditados, en cuanto al logro de las metas y objetivos, así como a la utilización de los recursos públicos, en términos de efectividad, eficiencia y economía. Recomendación / Sugerencia: Constituyen las sugerencias realizadas por el auditor para promover la superación de las observaciones identificadas. Deben estar dirigidas a los funcionarios que tengan la competencia para disponer la adopción de medidas correctivas y están encaminadas a superar la condición, y/o la causa, y/o los efectos de las situaciones críticas de éxito. En las tablas 2 y 3 se consolidaron los conceptos que se reiteraban en los informes del periodo señalado y sobre los cuales se hará el análisis más adelante.

Tabla 2 Temas Recurrentes

Conclusiones

DETALLE 2015 2016 2017 2018 2019

El aplicativo VIGIA Riesgos no cuenta con la optimización en su uso

X

Controles: inefectivos e inadecuados en su diseño y efectividad – Falta claridad en su manejo – Baja Apropiación Institucional

X X X X X

Política de Administración de Riesgos: conocimiento de la política

X

Gestión de Riesgos: Participación en la identificación de los riesgos – Concentración en riesgos altas y extremas– Falta Plan Institucional Apropiación

X X

Plan de Continuidad del Negocio PCN: Desactualizado – Baja apropiación institucional - Bajo conocimiento de los procesos u operaciones críticas y su recuperación en el menor tiempo posible -Sin socialización de Esquema de Comunicación

X X X

Fuente: Informes Evaluación Riesgos 2015 – 2019 – Secretaria Distrital de Hacienda

10

Tabla 3 Temas Recurrentes

Sugerencias y Recomendaciones

DETALLE 2015 2016 2017 2018 2019

Gestión de riesgos: socializar a todos los niveles de la entidad - Herramientas para su gestión

X X X X X

Matriz de Riesgos: Requiere unificar criterios, acompañamiento, documentación y especialmente el diligenciamiento.

X X X X X

Aplicativo VIGIA: Seguimiento al uso por parte de las dependencias - Verificación de la información incorporada

X X X

Articulo 9 Decreto 601 de 2014 y proceso CPR-76 Administración del Riesgo: Actualización, monitoreo, seguimiento y ejecución de pruebas del Plan de Continuidad de Negocio, con el involucramiento de toda la entidad

X X X

Responsables de controles: Adelantar acciones para que se integren en la entidad -Determinar responsables de cada control - Aclarar el manejo de los registros - Necesidad de evidencias

X X X

Fuente: Informes Evaluación Riesgos 2015 – 2016 – Secretaria Distrital de Hacienda Análisis Conclusiones Auditorias y Evaluaciones Vigencias Anteriores Los temas recurrentes y sobre los cuales la Entidad debiera adelantar intensas actividades para su tratamiento, manejo y consolidación en la gestión institucional son: Gestión de Riesgos, Herramientas, como matriz de riesgos y aplicativo VIGIA, de los cuales la socialización para unificar criterios de diligenciamiento, lectura de información contenida, al igual que la identificación plena, gestión y seguimiento de los controles, completan la relación de temas a ser trabajados institucionalmente. Plan de Continuidad del Negocio PCN, la actualización con miras a la simplificación, monitoreo, seguimiento y ejecución de pruebas deben tratarse con la misma intensidad que la actualización de los Riesgos Financieros y Operativos de la entidad, mas aun con el cambio de las condiciones de trabajo de los funcionarios que se encuentran desarrollando las actividades en casa.

11

3.2. Evaluar mediante encuestas-evaluación con responsables de proceso, gestores de riesgo y funcionarios, la aprehensión, conocimiento y gestión de sus roles y responsabilidades contenidas en la Política de Gestión de Riesgos POL-07.

La Política de Administración de Riesgos de la Secretaria Distrital de Hacienda POL-07 Versión 2 del 8 de enero de 2020, señala los actores involucrados y sus roles en la gestión de riesgos según las líneas de defensa establecidas en el MiPG, con base en esas obligaciones, se diseñaron tres tipos de Encuesta / Evaluación a los Responsables Proceso, Gestores de Riesgo y Funcionarios (Anexo 2), con el objetivo general de identificar las oportunidades de mejora institucional en el cumplimiento de sus funciones (Ver POL-07), los siguientes son los objetivos de cada evaluación: Responsables de Proceso: Busca empoderarlos, con el propósito de que sean los facilitadores en el desarrollo de las actividades tendientes al conocimiento, sensibilización y mitigación de los riesgos del proceso a su cargo, junto con su equipo de trabajo. Gestores de Proceso: Buscando visibilizar su papel fundamental como apoyo a sus dependencias siendo los facilitadores, por su conocimiento los que promueven junto con los responsables de proceso; la sensibilización, gestión y mitigación de los riesgos del proceso para el cual fueron asignados. Funcionarios: Con el objetivo específico de sensibilizar los roles en materia de Gestión de los Riesgos de tal manera que sean claros respecto de las actividades a su cargo en los procesos que actúan. La identificación en estos participantes en la gestión de riesgos, tanto de sus fortalezas como debilidades, sin lugar a dudas permitirán el desarrollo de actividades de formación de acuerdo a lo esperado institucionalmente.

Tabla 4

Estadística Encuestas ÍTEM CONCEPTO ENVIADAS CONTESTADAS PARTICIPACIÓN

1 Responsables de Proceso 27 20 74,07%

2 Gestores de Riesgos 80 43 53,75%

3 Funcionarios 133 88 66,17% TOTAL 240 151 62,92%

Fuente: Encuesta / Evaluación Riesgos Mayo2020 – Secretaria Distrital de Hacienda Los resultados, de las encuestas fueron satisfactorios, pues dadas las circunstancias del trabajo en casa, se alcanzó una importante participación.

12

Los análisis estarán orientados a establecer la experiencia, antigüedad, la formulación de ideas que contribuyan a mejorar la gestión y el grado de aprehensión de conceptos relacionados con el tema de riesgos de lo documentado en el Sistema de Gestión de la Calidad y la información contenida en las matrices de riesgos. Encuesta Responsables de Proceso: La respuesta de los responsables de proceso fue la mejor, el 74.07% contestaron la encuesta, lo que indica un alto nivel de compromiso; respecto de los ítems de percepción, tenemos lo siguiente: - Si tiene menos de un (1) año en la entidad; respecto del tema de riesgos la

información recibida en los procesos de empalme e inducción fue: Tan solo el 22% consideran que la información de los procesos de empalme se encontraba en un nivel medio. - En relación a su nivel de conocimiento en el tema de riesgos, ¿cómo se califica?: El 70% considera que tiene un nivel medio alto en adelante.

Gráfica 1

630%

840%

630%

Auto Calificación - Nivel de Conocimiento

Medio Medio Alto Alto

Fuente: Encuesta / Evaluación Riesgos Mayo2020 – Secretaria Distrital de Hacienda

13

La consolidación de los resultados de las preguntas conceptuales para los responsables de proceso muestra lo siguiente:

Tabla 5 Encuesta Responsables de Proceso

Resumen de Resultados Manejo Conceptual Pregunta Detalle Correcta % Incorrecta %

3 Definición de Riesgo 18 90% 2 10%

4 Los siguientes conceptos corresponden a la gestión de riesgos

19 95% 1 5%

5 La Gestión de riesgos se aplica en la Secretaria Distrital de Hacienda:

20 100 % 0 0%

6

En la Evaluación del diseño del control, los aspectos relevantes son

6 30% 14 70%

7 Las principales salidas del CPR-76 Administración de Riesgos, son:

20 100% 0 0%

8 Clasifique los siguientes conceptos según el ciclo del proceso al cual pertenecen

18 90% 2 10%

Planear 17 85% 3 15%

Hacer 16 80% 4 20%

Verificar 20 100% 0 0%

Actuar 19 95% 1 5%

9

Los Contratista y Particulares que ejercen funciones públicas en la entidad respecto de sus obligaciones relacionadas en la Política de Administración de Riesgos de la Secretaria Distrital de Hacienda:

18 90% 2 10%

10 Ubique respecto de la gestión de riesgos: 13,75 68,75

% 6,25 31,25%

Línea Estratégica 14 70% 6 30%

1ra. Línea de Defensa 13 65% 7 35%

2da. Línea de Defensa 11 55% 9 45%

3ra. Línea de Defensa 17 85% 3 15%

11

Algunas de las siguientes tipologías de riesgos que se agrupan en el alcance de la Política de Administración de Riesgos de la Secretaría Distrital de Hacienda, son:

14 70% 6 30%

14

Tabla 5 Encuesta Responsables de Proceso

Resumen de Resultados Manejo Conceptual Pregunta Detalle Correcta % Incorrecta %

12

COMPLETE: El Mapa de Riesgo es la ____________ que se utiliza para ___________ y visualizar la zona de riesgo mediante la definición de __________ para calificar la _____________ y el impacto.

19 95% 1 5%

13

Glosario de Términos del procedimiento 76-P-03 Plan de Continuidad del Negocio – PCN, señale la definición correspondiente.

15,25 76,25

% 4,75 23,75%

Continuidad del Negocio 14 70% 6 30%

Análisis de impacto del Negocio (BIA) 14 70% 6 30%

Activación 17 85% 3 15%

Emergencia 16 80% 4 20%

14 De su experiencia de trabajo en casa como responsable de proceso ¿cuáles actividades, solicitudes o actuaciones que le han resultado beneficiosas? y ¡pueden ser implementadas en la entidad como buenas prácticas!

- Reuniones Virtuales

- Uso Herramienta Microsoft

- Cuadros de control y Seguimiento

- Entregables Medibles

- Control de Agendas

- Aprendizaje de nuevas habilidades

- Cultura Cero Papel y Firma Digital

- Asignación de Trabajo por Especialidades

- Gestión del Conocimiento

Fuente: Encuesta / Evaluación Riesgos Mayo2020 – Secretaria Distrital de Hacienda Análisis Resultados Manejo Conceptual – Encuesta Responsables de Proceso El resumen de los resultados nos presenta que los conceptos a reforzar, son:

- Diseño del control, relevantes: con el 30% de Respuestas acertadas. - Líneas de acción respecto de la Gestión de Riesgos: 68.75% de acierto - Tipologías de Riesgos: 70% de Acierto - Plan de Continuidad del Negocio – PCN: 76.25% de acierto.

Las demás respuestas superan el 80% de acierto.

15

Encuesta Gestores de Riesgo: Este grupo fue el que menos participación porcentual obtuvo alcanzando un 57.75%, es decir de 80 invitaciones tan solo respondieron la encuesta 43 gestores, indicando un bajo compromiso con las responsabilidades asignadas; respecto a la antigüedad en la entidad se tienen los siguientes datos:

Gráfica 2

44,19%

16,28%

16,28%

23,26%

Encuesta Gestores Antiguedad como Gestor

Menos de 6 meses De 6 meses a 1 año

Más de 1 año y menos de 2 años Más de 2 años

Fuente: Encuesta / Evaluación Riesgos Mayo2020 – Secretaria Distrital de Hacienda Se observa que 60.47% de los gestores que respondieron la encuesta, tienen menos de 1 año en la entidad. Respecto a los cargos se considera adecuado siendo el 97.68% de gestores con nivel profesional en adelante.

Gráfica 3

6,98%

79,07%

2,33% 0,00%11,63%

Encuesta Gestores Cargos

Asesor/ Jefe Oficina Profesional Técnico


16

Respecto de la autoevaluación del nivel de conocimiento, 26 de 43 funcionarios, es decir, el 60.47%, manifestaron tener un nivel de conocimiento medio hacia bajo en la gestión de riesgos. El 39.53% corresponde a un nivel de conocimiento medio alto y alto.

Gráfica 4

16,28%

16,28%

27,91%

32,56%

6,98%

Encuesta Gestores Autocalificación Nivel Conocimiento Riesgos

Bajo Bajo Medio Medio Medio Alto Alto

Fuente: Encuesta / Evaluación Riesgos Mayo2020 – Secretaria Distrital de Hacienda El resultado consolidado de las preguntas conceptuales a los Gestores de Riesgos es el siguiente:

Tabla 6 Encuesta Gestores de Riesgo

Resumen de Resultados Manejo Conceptual PREGUNTA DETALLE Correcta % Incorrecta %

6 Definición de Riesgo 40 93,02 % 3 6,98%

7

La Gestión de riesgos se aplica en la Secretaria Distrital de Hacienda:

43 100% 0 0,00%

8 Se entiende como Control:

26 60,47% 17 39,53%

9

Los aspectos relevantes a tener en cuenta en la Evaluación del Diseño del Control, son:

14 32,56% 29 67,44%

10

Las principales salidas del CPR-76 Administración de Riesgos, son:

42 97,67% 1 2,33%

17

Tabla 6 Encuesta Gestores de Riesgo

Resumen de Resultados Manejo Conceptual PREGUNTA DETALLE Correcta % Incorrecta %

12 Ciclo del proceso, clasifique los siguientes conceptos según el ciclo al cual pertenecen

39 90,70% 4 9,30%

Planear 38 88,37% 5 11,63%

Hacer 35 81,40% 8 18,60%

Verificar 41 95,35% 2 4,65%

Actuar 42 97,67% 1 2,33%

13 Los siguientes conceptos Corresponden a la gestión de riesgos.

38 88,37% 5 11,63%

14

COMPLETE: El Mapa de Riesgo es la ______ que se utiliza para _____ y visualizar la zona de riesgo mediante la definición de ____ para calificar la ______ y el impacto.

41 95,35% 2 4,65%

15 Ubique respecto de la gestión de riesgos:

31,25 72,67% 11,75 27,33%

Línea Estratégica 38 88,37% 5 11,63%

1ra. Línea de Defensa 26 60,47% 17 39,53%

2da. Línea de Defensa 30 69,77% 13 30,23%


Fuente: Encuesta / Evaluación Riesgos Mayo2020 – Secretaria Distrital de Hacienda Análisis Encuesta Gestores de Riesgos: El resumen de los resultados presenta que los conceptos a reforzar, son:

- Definición de Control: 60.47% de respuestas acertadas - Diseño del control, relevantes: con el 32.56% de respuestas acertadas. - Líneas de acción respecto de la Gestión de Riesgos: 72.67% de acierto

Las demás respuestas superan el 80% de acierto. Gestión de Controles ¿Cómo son gestionados en su dependencia los controles definidos para los riesgos de los procesos?: Esta pregunta abierta, elaborada con el fin de corroborar la manera como se gestionan los controles en las dependencias, arrojó que de 43 Gestores de Riesgos que respondieron la encuesta, únicamente cinco (5) citaron la fuente y contenido de la información del detalle de los controles en la Matriz de Riesgos, para un 11,63%; para mayor detalle se puede ver el Anexo 3.

18

Encuesta Funcionarios Teniendo en cuenta las condiciones de trabajo en casa, el grupo de funcionarios obtuvo una participación muy satisfactoria, de 133 encuestas enviadas fueron respondidas 88, alcanzando un 66.17%. Esta encuesta fue diseñada de manera que se evidenciara una caracterización general del grupo, con un espacio para explorar temas de percepción y finalmente verificar el manejo de conceptos. Caracterización Conocer los aspectos de quienes responden la encuesta, es fundamental para la realización integral de los análisis ya que permitirán aclarar tendencias tanto desde la percepción como del manejo de conceptos.

Tabla y Grafica 1

Antigüedad en la Entidad

menos de 1 año 32 36,36%

de 1 año a 5 años 8 9,09%

de 5 hasta 10 años 14 15,91%

más de 10 años 34 38,64%


Tabla y Grafica 2

Cargo Ocupado Actualmente

Conductor/Asistencial 6 6,82%

Técnico 16 18,18%

Profesional 63 71,59%

Asesor 3 3,41%

19

Tabla y Grafica 3

Antigüedad en el Cargo Actual

Menos de 6 Meses 38 43,18%

De 6 Meses a 1 Año 12 13,64%

Más de 1 año hasta 2 años 4 4,55%

Mas de 2 años 34 38,64%

Fuente: Encuesta / Evaluación Riesgos Mayo2020 – Secretaria Distrital de Hacienda Percepción: Determinar como la mayoría de funcionarios perciben la gestión de riesgos institucional, contribuirá a establecer oportunidades de mejora que orientaran una mejor focalización de esfuerzos que permitan consolidar conceptos, responsabilidad y la obligación legal de conocer, participar y gestionar los riesgos institucionales.

Tabla y Grafica 4

Compromiso Institucional

Bajo 2 2,27%

Medio Bajo 7 7,95%

Medio 35 39,77%

Medo Alto 32 36,36%

Alto 12 13,64%


20

Tabla y Grafica 5

Autoevaluación Conocimiento

Bajo 2 2,27%

Medio Bajo 18 20,45%

Medio 36 40,91%

Medo Alto 25 28,41%

Alto 7 7,95%


Tabla y Grafica 6

¿Identifica el Gestor de

Riesgos?

Si 35 39,77%

No 53 60,23%


Tabla y Grafica 7

Participación en Actualización de

Riesgos

Nunca 48 54,55%

Hace 2 año 12 13,64%

Hace 1 Año 10 11,36%

Hace 6 Meses 18 20,45%


21

Tabla y Grafica 8

¿Conoce los controles que debe ejecutar en las actividades bajo su

responsabilidad?:

Si 63 71,59%

No 25 28,41%


Tabla y Grafica 9

Información recibida sobre los controles a su cargo

Insuficiente 7 7,95%

* * 15 17,05%

* * * 32 36,36%

* * * * 26 29,55%

Suficiente 8 9,09%

Fuente: Encuesta / Evaluación Riesgos Mayo2020 – Secretaria Distrital de Hacienda Análisis Encuesta Funcionarios - Caracterización y Percepción Los datos permiten identificar y destacar temas como:

- Funcionarios con menos de 1 año en la entidad: 36.96%

- Funcionarios con menos de 1 año en el cargo actual: 56.82%

- La percepción del compromiso institucional se encuentra dividida en 50% de medio hacia bajo y 50% Medio alto y alto

- Autoevaluación del conocimiento: 63.64% medio hacia bajo

- El 60.23% no conocen al Gestor de Riesgos de su dependencia

- El 68.18% hace 2 años o nunca a participado en la actualización de riesgos

22

- Los funcionarios que no consideran suficiente la información de controles a su cargo son del 90.91%

Tabla 7 Encuesta Funcionarios

Resumen de Resultados Manejo Conceptual

Pregunta Detalle Correcta % Incorrecta %

8 Definición de Riesgo 76 86,36% 12 13,64%

9 Definición correcta de Control: 69 78,41% 19 21,59%

12

La información documental sobre la gestión de riesgos en la Secretaria Distrital de Hacienda la podemos encontrar principalmente, en:

56 63,64% 32 36,36%

13

Si se desea identificar y conocer los Controles de la gestión de riesgos en la Secretaria Distrital de Hacienda, ¿dónde se encuentran definidos?

77 87,50% 11 12,50%

14 La Gestión de Riesgos estratégicos es competencia de:

36 40,91% 52 59,09%

15 El Riesgo es expresado en términos de: 83 94,32% 5 5,68%

17

El Objetivo de: Orientar la identificación, medición, control y monitoreo de los riesgos operacionales, de corrupción, de seguridad de la información y de continuidad de negocio para la gestión de los mismos en la entidad, en el marco de la normativa aplicable, Corresponde a:

14 15,91% 74 84,09%

18 La Gestión de riesgos se aplica en la Secretaria Distrital de Hacienda:

86 97,73% 2 2,27%

19

Ubique respecto de la gestión de riesgos:

45,25 51,42% 41,5 47,16%

Línea Estratégica 47 53,41% 41 46,59%


2da. Línea de Defensa 42 47,73% 41 46,59%


23

Tabla 7 Encuesta Funcionarios

Resumen de Resultados Manejo Conceptual

Pregunta Detalle Correcta % Incorrecta %

20 Exprese sus ideas que contribuirán a mejorar la gestión de riesgo, en estos tiempos de Trabajo en Casa.

Toma de conciencia y adecuado manejo de la información 2

Capacitación / Actualización 22

Sitio de Trabajo adecuado (ergonomía/ Riesgos) 4

Comunicación que involucre en el tema de riesgos 6

Mayor Participación en la Construcción de Matrices 1

Elaboración de Manual de Teletrabajo 1

Actualización / Gestión de Riesgos Trabajo en casa 5

Reuniones que integren el equipo 1

Informar / actualizar Potenciales Riesgos 1

Plan de Continuidad del Negocio que involucre el trabajo encasa 1

Procesos de inducción en Sitios de Trabajo 2

Confidencialidad de labores 1

Mayor acercamiento por parte de Lideres de Proceso 1

Socialización y Sensibilización de la Responsabilidad de la Gestión de Riesgos 3

Habito de Vida Saludable 1

Control de Instalación de Software 1

Revisión de cargas laborales teniendo en cuenta las restricciones de trabajo encasa 2

Tener en cuenta las condiciones de seguridad de la información, Antivirus, actualización de programas, acceso al wifi

2

Mayor contacto y acompañamiento 2

Monitoreo Acceso PVN 1

Manejo del tiempo 1


Análisis Encuesta Funcionarios – Resultados Manejo Conceptual

El resumen de los resultados nos presenta que los conceptos a reforzar, son:

- Definición de Control: 78.41% de respuestas acertadas

- Temas relacionados con la documentación:

. Ubicación de la información: 63.64% de aciertos.

. Objetivo Procedimiento de Riesgos: 15.91% de aciertos.

. Competencias nivel Estratégico: 40.91% de aciertos.

. Líneas de Gestión MiPG: 42.25% de aciertos.

24

3.3. Revisar matriz de riesgo operativo consolidada (SARO), para determinar la consistencia de la información contenida.

La matriz de riesgo operativo se encuentra definida en el procedimiento 76-P-01 Administración de Riesgos como una “herramienta que se utiliza para plasmar la identificación de riesgos, causas, controles, la medición de los riesgos en su estado puro y los criterios de evaluación de los controles”, esta herramienta ha venido siendo actualizada incorporando nuevos conceptos necesarios para el completo análisis de la gestión de riesgos operativos de la entidad, su calificación, análisis de causas, medición del riesgo inherente, riesgo residual, identificación, evaluación y diseño de controles, haciendo más completo y metodológico el análisis integral de los riesgos. El Archivo con la matriz consolidada de riesgo operacional, se encuentra en Excel y contiene además del libro con la matriz, otros libros como: Matriz de riesgos transversales, causa factor de riesgo, causas sin control, controles, controles a fortalecer, riesgo inherente y residual, y riesgos residuales altos y extremos, información que debe ser presentada tanto a los responsables de proceso como a los gestores, de manera que estos actores tengan un panorama general y claro de la situación institucional respecto a la gestión de riesgos y que sirva como documento de consulta para la actualización periódica de los mismos. Importante destacar la información del libro “causas sin control”, en el cual son señaladas 20 causas de riesgos de 17 procesos, de las cuales 11 son señaladas con nivel de riesgo inherente “alto y extremo” (SDH081R, SDH134R, SDH014R, SDH159R, SDH263R, SDH027R, SHR269R, SDH042R, SDH081R, SDH246R, SDH113R)

3.4. Verificar las actas del Comité de Riesgos. Este tema fue abordado desde la perspectiva funcional y reglamentaria con el fin de hacer un análisis de su funcionamiento que, de los temas tratados, por lo cual fueron solicitadas y verificadas un total 13 las actas de 2019 y las Actas No. 59 y 60 correspondiente al 2020 (Anexo 4), se revisó la normatividad que lo reglamenta y la documentación de calidad que establece el detalle de su operación. La revisión normativa y procedimental (Anexo 5) permitió tener un panorama claro de las funciones, alcances de las decisiones, periodicidad de reunión, estructura, integrantes y temas a tratar, teniendo los siguientes resultados de la revisión de las Actas vigencia 2019 y 2020 del Comité de Riesgos de la Secretaría de Hacienda Distrital:

25

1. Cumple con su obligación de establecer políticas y lineamientos en el manejo y control de riesgos financieros de sus portafolios de inversión y de deuda.

2. Se observa el cumplimiento con la asistencia de los miembros de Comité

integrado por el Secretario Técnico de Hacienda, Director de Estudios Estadísticos y Fiscales, Directora de Presupuesto, Director de Crédito Público, Director Distrital de Tesorería, la Jefe de Oficina Análisis Control del Riesgo y Director Jurídico.

3. Revisadas las actas de los Comités de Riesgos correspondientes a la vigencia

2019, se observa la no asistencia de la Oficina de Control, tal como lo estipula el artículo 27 del Decreto 390 de 2008 Alcaldía Mayor de Bogotá, D.C. La Oficina de Análisis y Control de Riesgos en respuesta al informe preliminar, aclara que el Decreto 390 de 2008 fue derogado por el Decreto 234 de 2015, El equipo evaluador realiza la verificación correspondiente y además establece que mediante la Resolución SDH-000170 del 30 de julio de 2015 de la Secretaria Distrital de Hacienda, se señala en su Artículo 2° la integración del Comité, no incluyendo la participación del jefe de la Oficina de Control Interno como invitado permanente con voz, pero sin voto. Por lo anterior, el tema relacionado con la asistencia de la Oficina de Control Interno incluido en el informe preliminar se retira tanto de las conclusiones como de las sugerencias.

4. Los temas más recurrentes en los comités fueron: Seguimiento de cupos de bancos locales, seguimiento Fiduciarias, seguimiento portafolio de deuda, SARLAFT, seguimientos cupos bancarios extranjeros, propuesta cambio periodicidad e informes, seguimiento al cumplimiento de los límites de riesgos establecidos en la Resolución No. SHD -000073 de 2018.

4. CONCLUSIONES

La presente evaluación ha generado importantes aprendizajes por las condiciones de su ejecución, tanto desde el punto de vista de la labor de equipo de los evaluadores como la interacción con los evaluados y la manera de obtener la información. La disponibilidad de herramientas que permiten la ubicación de información, la comunicación para su obtención e intercambio, la realización de reuniones que potencian la coordinación de labores, la exposición de ideas y el seguimiento de

26

actividades, terminan generando un ambiente de control que afecta positivamente la gestión de riesgos. Las actuales circunstancias de operación generan la necesidad de la adaptación y actualización de las condiciones en que son desarrolladas las actividades de los colaboradores y en consecuencia el conjunto de medidas para asegurar una efectiva gestión de riesgos, que van desde la identificación de nuevos riesgos, evaluación de los que se encuentran identificados y en gestión hasta llegar a los análisis de valoración de causas e implementación de controles. De la misma manera se logró identificar que existen oportunidades de mejora en lo relacionado con el tema de controles, respecto de: su diseño, asignación de responsables, monitoreo de la ejecución, investigación de desviaciones, generación de traza, implementación a causas sin tratamiento y actualización teniendo en cuenta las condiciones de trabajo en casa. El acercamiento a los principales actores que participan en la gestión institucional de riesgos por medio de encuestas tendientes a su caracterización, percepción y medición de la aprehensión de conceptos, ha revelado un compromiso aceptable con relación al tema, con un 62.92%, de participación en la actividad citada, siendo los responsables de proceso quienes más participaron alcanzando el 70%, los gestores de riesgo con 53.75% y los funcionarios alcanzaron el 66.17% Lo anterior pone en evidencia la necesidad de reforzamiento en las capacidades de los gestores, por ser el eje articulador entre la dirección y la operación de actividades. El Plan de Continuidad del Negocio (PCN) no ha sido renovado a la contingencia, en la cual, el trabajo en casa, el ingreso de nuevos directivos y funcionarios, plantea la necesidad de una urgente actualización con la correspondiente socialización.

5. RECOMENDACIONES

• Fortalecer el conocimiento y la cultura de riesgos, haciendo énfasis en la aplicación y gestión de controles a todos los actores involucrados, desde los responsables de proceso y en especial a los gestores por su rol de eje articulador e involucrando a los funcionarios como ejecutores de controles y potenciales gestores y hasta responsables de proceso.

• Sensibilizar e informar permanente en los medios de comunicación institucionales de la política, actores, roles, responsabilidades, conceptos, actualidad y recomendaciones (tips); relacionados con la gestión de riesgos.

27

• Actualización del Plan de Continuidad del Negocio y la gestión de riesgos institucionales incorporando el concepto de trabajo en casa, en los análisis, identificación, valoración e implementación de controles.

La Oficina de Análisis y Control de Riesgos en respuesta al informe preliminar, comunica la existencia de la Acción Correctiva SAC 16 de 2019, radicada ante la Oficina Asesora de Planeación – OAP, la cual es elaborada en el marco la Auditoría Interna de Calidad 09-2019 al Proceso CPR-76 Administración de Riesgos, en respuesta a la No Conformidad: “Realizar pruebas y mantenimiento al plan de continuidad del negocio” del procedimiento 76-P-03 “Plan de Continuidad del Negocio”, a lo cual los auditados informan que no cuentan con esta información y las pruebas no se han llevado a cabo, lo que incumple el procedimiento 76-P-03 y su actividad 10 “Realizar pruebas y mantenimiento al Plan de Continuidad del Negocio”.

Este equipo evaluador surtido el análisis correspondiente, mantiene la recomendación dado que las actividades contempladas en la SAC 016 de 2019 no guardan relación directa con el objeto y objetivo de la recomendación de actualización del Plan de Continuidad del Negocio.

• Tener en cuenta los datos e información generada en las encuestas elaboradas contenidas en el presente informe, para el diseño de los programas de actualización, formación, socialización, sensibilización y actualización de la gestión de riesgos

• Realizar la gestión para la implementación de controles a las causas de riesgos reportadas en la matriz, sin control implementado.

ÍNDICE

Tablas

Detalle Página

Tabla 1: Consolidación Hallazgos 8

Tabla 2: Temas Recurrentes - Conclusiones 9

Tabla 3: Temas Recurrentes - Sugerencias y Recomendaciones 10

Tabla 4: Estadística Encuestas 12

Tabla 5: Resumen de Resultados Manejo Conceptual Responsables de Proceso

13

Tabla 6: Resumen de Resultados Manejo Conceptual Gestores de Riesgos 16

Tabla 7: Resumen de Resultados Manejo Conceptual funcionarios 22

28

ÍNDICE

Gráficas – Tablas y Gráficas

Detalle Página

Gráfica 1: Auto Calificación - Nivel de Conocimiento Responsables del Proceso 12

Gráfica 2: Antigüedad como Gestor de riesgos 15

Gráfica 3: Cargo Gestor de Riesgos 15

Grafica 4: Autocalificación Nivel Conocimiento Gestor de Riesgos 16

Tabla y Grafica 1: Funcionario - Antigüedad 18

Tabla y Grafica 2: Funcionario - Cargo Ocupado Actualmente 18

Tabla y Grafica 3: Funcionario - Antigüedad en el Cargo Actual 19

Tabla y Grafica 4: Funcionario - Compromiso Institucional 19

Tabla y Grafica 5: Funcionario - Autoevaluación Conocimiento 20

Tabla y Grafica 6: Funcionario - ¿Identifica el Gestor de Riesgos? 20

Tabla y Grafica 7: Funcionario - Participación en Actualización de Riesgos 20

Tabla y Grafica 8: Funcionario - ¿Conoce los controles que debe ejecutar en las actividades bajo su responsabilidad?

21

Tabla y Grafica 9: Funcionario - Información recibida sobre los controles a su cargo

21

Relación de Anexos

Detalle

Anexo 1: Consolidación de Hallazgos, Conclusiones, Sugerencias y Recomendaciones

Anexo 2: Encuesta Responsables de Proceso, Gestores de Riesgos y Funcionarios

Anexo 3: ¿Cómo son gestionados en su dependencia los controles definidos para los riesgos de los procesos?:

Anexo 4: Actas comité de Riesgos

Anexo 5: Comité Institucional de Política de Riesgos: Normatividad y Documentación de Calidad

Ejecutó Equipo Evaluador: Victor Manuel Hernandez Herrera

Johana Sánchez Alfonso

Jesús Albeiro Rizo Gallardo

ANEXO 1 AUDITORÍA DE RIESGOS 2020

Consolidación de Hallazgos Años 2015 a 2019

2015 2016 2017 2018 2019

3.1.1 Acciones que a la fecha de terminación establecida en el plan de mejoramiento se encuentran sin cumplir.

3.1.1 Debilidad en los controles de acceso en el aplicativo VIGIA RIESGOS.

No aplica

No aplica

No aplica

3.2.1 Aplicativo VIGIA para el manejo de los riesgos operativos en la SDH no se encuentra en uso.

3.2.1 La metodología para el diseño de la Matriz de Riesgos de Corrupción en la vigencia 2016, se encuentra sin implementar.

3.2.2 Objeto del contrato No. 150234-0-2015 incumple su finalidad teniendo en cuenta que la última versión del aplicativo no se encuentra en producción.

3.3.1 Controles establecidos en las matrices de riesgo por procesos evaluados como inadecuados en su diseño e inefectivos en su ejecución.

3.2.3 Incumplimiento en los requisitos para realizar el primer pago al contratista conforme a lo establecido en el contrato No. 150234-0-2015.

ANEXO 1 AUDITORÍA DE RIESGOS 2020 Consolidación Conclusiones

Años 2015 a 2019

2015 2016 2017 2018 2019

El plan de mejoramiento suscrito por la Oficina de Análisis y Control de Riesgos no ha sido cumplido en su totalidad, encontrándose acciones con fecha de terminación 30 de septiembre de 2015, las cuales no fueron realizadas. El aplicativo VIGIA Riesgos no cuenta con la optimización en su uso, la aplicabilidad de su objetivo y con la justificación presentada en los estudios y documentos previos numeral primero “Análisis sobre la conveniencia de realizar contratación y descripción de la necesidad que se pretende satisfacer” que dice: “Para la Secretaría Distrital de Hacienda es conveniente la celebración de un contrato con el objeto abajo registrado por que su suscripción es de gran importancia para la mejora en eficiencia, exactitud y tiempos de ejecución en el desarrollo de las funciones de administración y seguimiento de los riesgos operacionales y de seguridad de

En el seguimiento realizado el día 29 de septiembre de 2016, el plan de mejoramiento interno suscrito por la Oficina de Análisis y Control de Riesgos, el cual contiene diecisiete (17) acciones, se encontraron siete (7) acciones con cumplimiento del 100%, las cuales fueron cerradas por esta Oficina, quedando con una baja ejecución de diez (10) acciones que tienen fecha de terminación 30 de noviembre y 15 de diciembre de 2016, respectivamente. El aplicativo VIGIA RIESGOS presenta debilidad en los controles de acceso, teniendo en cuenta que funcionarios no autorizados pueden acceder a los recursos de software que lo componen (carpetas, archivos binarios y de texto, páginas web dinámicas, etc.), permitiendo su navegación, consulta, ejecución o descarga sin necesidad de un inicio de sesi ón dentro del mencionado aplicativo.

- De la revisión y verificaciones realizadas a las Matrices de Riesgos de los 56 procesos de la entidad, se observa en forma general que falta claridad en el manejo de los controles. Si bien las dependencias cuentan con los soportes, no se evidenció la identificación del momento y/o periodicidad de ejecución, la consolidación de los registros, así como tampoco, la designación del responsable de la ejecución. - El uso y diligenciamiento de las matrices de riesgos, no se encuentran suficientemente consolidados, la existencia de un formato documentado y otro en uso, además del parcial e incompleto diligenciamiento de los campos descriptivos de Riesgo, Causa y Control, pueden generar inexactitudes a la hora de interpretar y/o actualizar su contenido. - Las áreas de la Secretaria Distrital de Hacienda, han demostrado un genuino interés y voluntad en el manejo de

- De la revisión y verificaciones realizadas a las Matrices de Riesgos de los 54 procesos de la entidad, se observa en forma general que no se tiene una administración central para la creación, eliminación actualización en la generación de Códigos ya sea a los riesgos o a las causas de estos, la tendencia en el BCM es a disminuir los inventarios de riesgos y sus causas. - La alta dirección debe tener como principio para la creación y protección de valor y de la mejora continua en la secretaría, un plan de implementación y apropiación de la gestión de riesgos, la adecuada gestión tendrá como resultado el incremento de la productividad. Así las cosas, los recursos que se invierten en la gestión del riesgo potencializan el avance de la organización. - Los responsables de proceso deben apropiarse de los conceptos de la administración de riesgos y de su

No aplica ACLARACIONES A pesar de que la Oficina de Análisis y Control de Riesgo, realizó aclaraciones por correo electrónico el día 1 de noviembre de 2019, con respecto a lo detectado en el presente informe de evaluación, la Oficina de Control Interno mantiene sus observaciones y solicita tener en cuenta las diferentes recomendaciones e implementar acciones que puedan contribuir al mejoramiento de la gestión propia del proceso y por ende redundar en el cumplimiento de los objetivos institucionales.


Años 2015 a 2019

2015 2016 2017 2018 2019

la información identificados en las dependencias de la Entidad, lo que permite mantener una base de riesgos automatizada brindando una herramienta de gestión para la toma de decisiones, y además para dar cumplimiento a los objetivos previstos en el Plan de Desarrollo de la presente administración y a las funciones a cargo de la entidad.” El contrato No. 150234-0-2015 suscrito con la empresa Solusoft de Colombia Ltda., incumple su finalidad, teniendo en cuenta que la licencia fue otorgada a perpetuidad desde el año 2010, tal como fue manifestado por la OACR y conforme a los documentos aportados con el memorando del 18 de noviembre de 2015, Cordis 2015IE26326. Así mismo, las condiciones para realizar el primer pago no fueron dadas en su totalidad. En las áreas en las cuales se realizó la evaluación de los

En la Matriz de Riesgos de Corrupción de la SDH para la presente vigencia, en los 24 procesos que identificaron riesgos, no se evidenció la aplicación de la metodología establecida en la Guía para la Gestión del Riesgo de Corrupción –versión 2015 expedida por la Presidencia de la República, encontrando aspectos importantes a tener en cuenta como la definición del riesgo, establecer la probabilidad, el impacto y la evaluación de los controles. Así mismo, se encontró que en el formato de la matriz de riesgos de corrupción utilizado por la Entidad, existe una Columna denominada “Tipificación del delito”, la cual enuncia los posibles delitos que podrían llegar a generarse con la materialización del riesgo, no siendo competente la SDH para establecer este tipo de conductas.

controles, sin embargo, sus esfuerzos se han concentrado en los riesgos con calificaciones altas y extremas, sin percibir o tener claro, que la gestión de riesgos se basa en la ejecución integral, periódica y técnica de todos los controles, tanto documentados en el SIG – SGC como en las matrices de riesgos. - El Plan de Continuidad del Negocio PCN desde su creación en el 2012, solamente ha tenido modificaciones de forma; consistentes en cambios en el glosario de términos, inclusión de un instructivo y actualización, modificación o eliminación de formatos, lo anterior hasta el 25 de abril de 2017. Sin embargo, los cambios de la estructura administrativa de la SDH, las prioridades del nuevo plan de gobierno y las modificaciones logísticas de los últimos dos años, no se ven reflejadas en sus actualizaciones, colocando lo documentado en un alto grado

responsabilidad ante el proceso en cuanto al monitoreo permanente de los riesgos operacionales a su cargo e informar oficialmente las novedades a la OACR, con el propósito de realizar las actualizaciones de la matriz de riesgo a que haya lugar - Los resultados a la aplicación del cuestionario a los integrantes de los esquemas de comunicaciones, para los PCN, se encontró que un porcentaje importante de funcionarios no tienen conocimiento de las acciones a seguir para la recuperación de los procesos u operaciones críticas en el menor tiempo posible, administrando los eventos inesperados que se puedan presentar, así como las actividades a desarrollar en respuesta a las operaciones de emergencia. - El uso y diligenciamiento de las matrices de riesgos, no se encuentran suficientemente


Años 2015 a 2019

2015 2016 2017 2018 2019

controles establecidos en las matrices de riesgos se encontró el compromiso por los responsables de ejecutar lo que se encuentra planteado, sin embargo, algunos de estos en un bajo porcentaje son inefectivos e inadecuados en su diseño y efectividad, esta información se remitirá a los procesos evaluados para que realicen el análisis de la información con el acompañamiento de la OACR. De los procesos evaluados se encontró que para el proceso CPR-37 “Contratación”, presenta riesgos que fueron eliminados, sin encontrarse documento soporte de la eliminación de los riesgos. En el desarrollo de la auditoría se logró evidenciar que los responsables de los procesos ejecutan los planes de acción con esmero en lograr su objetivo.

Las matrices de riesgos operacionales correspondientes a los procesos CPR-09 Programación y Gestión de Pagos, CPR-11 Ejecución, Seguimiento y Cierre Presupuestal, CPR-53 Elaboración de Estados Contables e Informes Complementarios a cargo de la SDH, CPR-63 Gestión de Operaciones de Crédito Público, CPR-80 Análisis de Hacienda Pública sobre la Actividad Económica Sectorial e Impacto de las Políticas Públicas, CPR-28 Asesoría y Discusión Jurídico Tributaria, fueron evaluadas y se encontró que existen controles que si diseño es inadecuado y otros evaluados como inefectivos en sus ejecución. Respecto a la encuesta realizada aleatoriamente a los funcionarios de los procesos evaluados, se encontró que un porcentaje importante de ellos no tienen conocimiento de la Política de Administración de

de obsolescencia, respecto a la realidad actual de la entidad. - Existe una baja apropiación a nivel institucional, tanto de la gestión de riesgos, ejecución de controles y aplicación de Plan de Continuidad del Negocio – PCN (actuaciones de responsables – roles).

consolidados en la Secretaria Distrital de Hacienda, se muestra un buen interés por parte de las áreas, pero, sus esfuerzos se han concentrado en los riesgos con calificaciones altas y extremas. - Los documentos relacionados con la gestión de riesgos y el Plan de Continuidad del Negocio PCN, presentan las siguientes condiciones:

• No están actualizados y por ello en los documentos no se reflejan los cambios en la estructura de la SDH y sedes de la entidad ente otros.

• En los documentos no se evidencia la fecha de actualización o modificación. Esto incumple con lo establecido en el procedimiento 01-P-01 Administración de documentos del sistema de gestión de la calidad. - Existe una baja apropiación a nivel institucional, tanto de la


Años 2015 a 2019

2015 2016 2017 2018 2019

Riesgos de la SDH y la participación en la identificación de los riesgos por procesos y de anticorrupción es baja.

gestión de riesgos operacionales, ejecución de controles y aplicación de Plan de Continuidad del Negocio – PCN (actuaciones de responsables – roles). - Ausencia en la presentación Oficial del esquema ARBOL DE EMERGENCIA, el equipo evaluador verificó que no se cumple lo señalado en el Instructivo 76-I-04 de Activación de esquemas de comunicación, respecto al envío por parte de las áreas a la Oficina de Análisis y Control de Riesgo de la copia magnética de su Esquema de comunicación. Tampoco se encontró que la Oficina de Análisis y Control de Riesgo las hubiese solicitado para su archivo de control



Años 2015 a 2019

2015 2016 2017 2018 2019

Se recomienda realizar los esfuerzos necesarios con el fin de cumplir con los compromisos adquiridos por la OACR en el plan de mejoramiento, teniendo en cuenta que hace parte del fortalecimiento del control interno y de los objetivos misionales de la SDH. Se sugiere revisar las condiciones contractuales del contrato No. 150234-0-2015 suscrito con la empresa SOLUSOFT DE COLOMBIA LTDA, con el apoyo de la Dirección de Sistemas e Informática y la Subdirección de Asuntos Contractuales, a fin de tomar las medidas necesarias para el cumplimiento efectivo y eficaz de su objeto contractual. El contar con el software completamente funcional y operativo le permitiría a la SDH, realizar de forma eficiente el seguimiento a los riesgos operacionales detectados en sus procesos y definir eficazmente e implementar los planes de acción para su tratamiento.

Se recomienda dar cumplimiento a las fechas de terminación de las acciones propuestas en el plan de mejoramiento dentro del término establecido, teniendo en cuenta que estas contribuyen al fortalecimiento del Sistema de Control Interno y de los objetivos misionales. Se sugiere que la consulta y modificación de los datos de conexión (usuario, clave, string de conexión, etc.) a la base de datos en la aplicación VIGIA RIESGOS no se realice por medio de páginas web propias desarrolladas, si no a través de mecanismos de configuración existentes en el servidor de aplicaciones, que cumplan con los requerimientos de seguridad necesarios, teniendo en cuenta que genera una gran vulnerabilidad en la visibilización de las contraseñas de acceso a la base de datos. Se recomienda revisar e implementar correcciones y ajustes que minimicen el riesgo de un ataque de tipo “Inyección de SQL” en el aplicativo, lo

- Se deben adelantar acciones para que en la entidad se Integren los conceptos de riesgos y la ejecución tanto de los controles planteados en los flujos de trabajo diseñados y existentes en la información documentada en el SIG – SGC, como los incluidos en las matrices de riesgos, de manera que las áreas determinen los responsables de cada control, aclaren el manejo de los registros y la necesidad de evidencias, con fin de hacer más eficiente la Gestión del Riesgo. - La entidad requiere la unificación de criterios, documentación y herramientas para la gestión de riesgos, especialmente respecto del diligenciamiento de la Matriz de Riesgos, al igual que la ejecución y aplicación del Plan de Continuidad del Negocio PCN. - La actualización del Plan de Continuidad del Negocio – PCN, que integre el Plan Institucional de Respuesta a Emergencias – PIRE y el Plan de Emergencia y Contingencias PEC, soportados en las más recientes técnicas y

- Se deben adelantar acciones para que en la entidad se Integren los conceptos de riesgos y la ejecución tanto de los controles planteados en los flujos de trabajo en la información documentada en el SIG – SGC, como los incluidos en las matrices de riesgos operacionales, de manera que las áreas determinen los responsables de cada control, aclaren el manejo de los registros y la necesidad de evidencias, con fin de hacer más eficiente la Gestión del Riesgo. - La entidad requiere la unificación de criterios, documentación y herramientas para la gestión de riesgos, especialmente respecto del diligenciamiento de la Matriz de Riesgos operacionales, al igual que la ejecución y aplicación del Plan de Continuidad del Negocio PCN. - La actualización del Plan de Continuidad del Negocio – PCN, que integre el Plan Institucional de Respuesta a Emergencias – PIRE y el Plan de Emergencia y Contingencias PEC, soportados en las más recientes técnicas y sistemas de gestión, además del

- La alta dirección debe gestionar el desarrollo e implementación de un Plan de Continuidad de Negocio mediante un proyecto estratégico, involucrando a toda la organización, para que la información necesaria fluya de forma continua, conforme a las necesidades de todas las áreas.

- El Plan de Continuidad del Negocio de la SDH debe ser divulgado, implementado, probado y ajustado permanentemente; los responsables deben recibir capacitaciones periódicas, participar en simulaciones de modo que, en caso de materialización de un incidente, sea posible responder adecuadamente a la entidad.

- Dar cumplimiento a las Políticas de operación contenidas en el procedimiento 76-P-03 Plan de Continuidad del Negocio “PCN”, numeral 5: 5.1, 5.2, 5.3 y 5.4, a saber:

- 5.1 Todos los funcionarios de la SDH deben conocer, gestionar y aplicar los lineamientos y



Años 2015 a 2019

2015 2016 2017 2018 2019

Igualmente, se recomienda seguir realizando el acompañamiento a los responsables de los procesos en la implementación de la Política de Administración de Riesgos en la entidad. Así mismo, cuando exista tratamiento de riesgos, se visualice dentro de las matrices de cada uno de los procesos, tal como se encuentra establecido en el formato 76-F-02 Matriz de riesgos y controles. Así mismo, se recomienda que la OACR, deba conocer el estado actual de las acciones suscritas por los responsables de los procesos, con el fin de fortalecer la administración del riesgo. En el desarrollo de la auditoria se logró evidenciar que los responsables de los procesos ejecutan los planes de acción para el tratamiento de los riesgos altos y/o extremos.

anterior teniendo en cuenta que un ataque de inyección SQL consiste en la inserción o “inyección” de una consulta SQL a través de los datos de entrada del cliente a la aplicación. Un ataque de tipo “inyección de SQL” exitoso puede leer los datos sensibles de la base de datos, modificar los datos de base de datos (Insertar /Actualizar / Eliminar), ejecutar operaciones de administración de la base de datos (por ejemplo, apagar el DBMS), entre otras acciones no autorizadas. Es importante que para la identificación de los riesgos de corrupción de la Entidad, sea utilizada la metodología establecida en la Guía para la Gestión del Riesgo de Corrupción – 2015, la cual hace parte del artículo 2.1.4.4 del Decreto 124 de 2016 “Anexo. Los documentos “Estrategias para la Construcción del Plan Anticorrupción y de Atención al Ciudadano – Versión 2” y “Guía para la Gestión del Riesgo de Corrupción, hacen

sistemas de gestión, además del apoyo de herramientas tecnologías, es una actividad inaplazable e inmediata, para aclarar el panorama respecto del cumplimiento de los objetivos institucionales y su apropiación por medio de la incorporación en la cultura organizacional. - Incluir en la evaluación al Sistema Integral de Riesgos para la vigencia 2018, el seguimiento al uso del aplicativo VIGIA por parte de las dependencias, con la verificación de la información que es incorporada.

apoyo de herramientas tecnologías, es una actividad inaplazable e inmediata, para aclarar el panorama respecto del cumplimiento de los objetivos institucionales y su apropiación por medio de la incorporación en la cultura organizacional. - Realizar seguimiento a la apropiación del Plan de Continuidad del Negocio (PCN) y el Plan Institucional de Respuesta a Emergencias especialmente en la activación de esquemas de comunicación, gestión de crisis y gestión de incidentes. - Socializar a todos los niveles que es la gestión de riesgos y los deberes, responsabilidades y beneficios de esta para la Secretaría, los funcionarios y la ciudad - Revisar y actualizar los procedimientos y formatos asociados al procedimiento Administración del riesgo operacional de la seguridad de la información y de continuidad del negocio CPR-76, de tal forma que su aplicación se adapte a las necesidades de este y den

estrategias de continuidad del negocio definidas para la entidad.

- 5.2 El Plan de Continuidad de Negocio de la SDH debe mantenerse actualizado, y revisarse como mínimo una vez al año con la participación de los responsables de los procesos que soportan la operación de la entidad. 5.3 Las distintas direcciones, subdirecciones, oficinas y/o dependencias de la entidad, deben tener representantes con la debida experiencia para que formen parte de los comités y equipos de continuidad de negocio.

- 5.4 Todos los resultados de las pruebas de continuidad del negocio deben ser retroalimentados al Comité de Dirección en sesión.

- Es necesario adelantar una mayor divulgación al interior de las áreas responsables que conforman el Esquema de comunicación o Árbol de llamadas de la entidad: dirección, subdirección, oficina y/o dependencia. Conforme al



Años 2015 a 2019

2015 2016 2017 2018 2019

parte integral del presente decreto”. Se sugiere revisar y actualizar el formato de la Matriz de Riesgos de Corrupción tal como se encuentra establecido en la Guía para la Gestión del Riesgo de Corrupción emitida por la Presidencia de la República. Se recomienda que para las matrices de riesgos operacionales de los procesos CPR-09 Programación y Gestión de Pagos, CPR-11 Ejecución, Seguimiento y Cierre Presupuestal, CPR-53 Elaboración de Estados Contables e Informes Complementarios a cargo de la SDH, CPR-63 Gestión de Operaciones de Crédito Público, CPR-80 Análisis de Hacienda Pública sobre la Actividad Económica Sectorial e Impacto de las Políticas Públicas, CPR-28 Asesoría y Discusión Jurídico Tributaria, de acuerdo a la evaluación realizada, se revisen por los responsables de los procesos con el acompañamiento de la Oficina de Análisis y Control

cumplimiento a la normatividad que lo rige.

formato establecido en el instructivo 76-I-04 Numeral .5.1.3, se debe distribuir el esquema a todos los miembros del equipo de trabajo y posteriormente enviar copia a la Oficina de Análisis y Control de Riesgo.

- Es importante tener en cuenta que, de acuerdo con lo establecido en el Artículo 9° del Decreto 601 de 2014, la implementación de la Política de Riesgo, del Plan de Continuidad del Negocio y el continuo monitoreo, seguimiento y ejecución de pruebas del PCN, es responsabilidad del jefe de la Oficina de Análisis y Control de Riesgo.

- La Oficina de Control Interno en virtud de las deficiencias identificadas sugiere para las próximas vigencias, identificar e implementar acciones para la elaboración, control, prueba y seguimiento al plan de continuidad de negocio.

- • Verificadas las observaciones y recomendaciones contenidas en



Años 2015 a 2019

2015 2016 2017 2018 2019

de Riesgos y sean actualizadas las matrices de riesgo por proceso, en el caso de requerirse. Es necesario que, al interior de la entidad, se fortalezca la cultura de administración de riesgos a través de acciones de capacitación, sensibilización y socialización en todos los niveles de la SDH, con el fin de “identificar, evaluar y gestionar aquellos eventos negativos, tanto internos como externos, que puedan afectar o impedir el logro de sus objetivos institucionales”, tomado del Manual Técnico del Modelo Estándar de Control Interno para el Estado Colombiano MECI 2014.

los informes de evaluación al Sistema Integral de Riesgo realizadas en el año 2018, se detectó la reiteración del incumplimiento a lo establecido tanto en el Decreto 601 de 2014 como en el proceso CPR-76 Administración del Riesgo, por lo que se hace necesario implementar acciones de manera inmediata con el fin de lograr los objetivos y metas propuestas del Proceso.


Encuesta / Evaluación

Responsable de Proceso

1. Responda si tiene menos de un (1) año en la entidad; respecto del tema de riesgos la información recibida en los procesos de empalme e inducción fue:

Insuficiente Adecuado

2. En relación a su nivel de conocimiento en el tema de riesgos, ¿cómo se califica?: Básico Práctico

3. El Riesgo es definido como:

Suceso adverso que impide la realización normal de las labores

Posibilidad que suceda algún evento que impactará el cumplimiento de objetivos

Incidente que dificulta la ejecución de las actividades bajo nuestra responsabilidad

Eventualidad que origina la entrega de productos o servicios no conformes

4. Los siguientes conceptos corresponden a la gestión de riesgos

Mejora del Desempeño Individual, Desarrollo integral de funcionarios, Control y Seguimiento del Producto No Conforme

Seguimiento a Indicadores, Sistema Propio de Evaluación del Desempeño, Revisión

Plan de Continuidad del Negocio, Riesgos Operacionales, Seguridad de la información

Ejecución y Seguimiento a Proyectos de Inversión, Construcción y Evaluación de Indicadores

5. La Gestión de riesgos se aplica en la Secretaria Distrital de Hacienda:

Para las Operaciones de Crédito Público

En los Contratos realizados en la Dirección de Gestión Corporativa

En todos los procesos y dependencias de la Entidad

En la Gestión de pagos de la Dirección Distrital de Tesorería

6. En la Evaluación del diseño del control, los aspectos relevantes son

Código de Control, Nombre del Control, Descripción del Control, Objetivo del Control

Asignación de responsable, Ejecución oportuna, Investigación de desviaciones/diferencias, Ejecución con evidencia y traza

Tipo de Control, Factor de Riesgo, Medición del Riesgo

Nivel de Riesgo Inherente, Impacto Inherente, Nivel Residual, Impacto Residual

7. Las principales salidas del CPR-76 Administración de Riesgos, son:

Plan del SGSST, Informe de Evaluación del Desempeño, Informe Anual del Plan Institucional de Capacitación

Consolidación y Análisis del producto y/o servicio no conforme, Informes de Auditoría Interna de Calidad, formulación y seguimiento de los compromisos de la revisión gerencial

Matrices de Riesgos, Planes de tratamiento de riesgos, Indicadores claves de medición de riesgo

Plan Estratégico, Seguimiento al Plan Estratégico, Informe Gerencial de Gestión, Retroalimentación

8. Clasifique los siguientes conceptos según el ciclo del proceso al cual pertenecen

Establecer los lineamientos para la gestión de riesgos

operacionales, de seguridad de la información y continuidad

del negocio.

Mesas de trabajo equipo riesgo operacional,

seguridad de la información y

continuidad del negocio

Revisión periódica de matrices de

riesgos

Acciones de Mejora

Planear

Hacer

Verificar

Actuar

9. Los Contratista y Particulares que ejercen funciones públicas en la entidad respecto de sus obligaciones relacionadas en la Política de Administración de Riesgos de la Secretaria Distrital de Hacienda:

Solo se limitan al contenido del objeto de su contrato y a las obligaciones especiales del mismo

Únicamente asistirán a las jornadas de sensibilización presencial o virtual en materia de Riesgos

Sus roles y obligaciones son las mismas que los funcionarios que prestan sus servicios en la entidad

Se limitan a conocer y gestionar los riesgos identificados en el proceso contractual

10. Ubique respecto de la gestión de riesgos:

Responsables de Proceso, Gestores de

Riesgo y Funcionarios

Secretario Distrital

de Hacienda

Oficina de Análisis y Control de

Riesgos y Oficina Asesora de Planeación

Oficina de

Control Interno

Línea Estratégica

1ra. Línea de Defensa

2da. Línea de Defensa

3ra. Línea de Defensa

11. Algunas de las siguientes tipologías de riesgos que se agrupan en el alcance de la Política de Administración de Riesgos de la Secretaría Distrital de Hacienda, son:

Financiero, Contingente, Operacional, Corrupción, Ambiental, Salud Ocupacional

Seguridad de la información, Evaluación entes de Control, Auditoria Interna, Plan Anticorrupción

Continuidad del Negocio, Desastres y Emergencias, Contagio, Bioseguridad

Liquidez, Mercado, Reputacional, Continuidad del Negocio

12. COMPLETE: El Mapa de Riesgo es la ____________ que se utiliza para ___________ y visualizar la zona de riesgo mediante la definición de __________ para calificar la _____________ y el impacto.

Abstracción, Identificar, Tipos, Ocurrencia

Imagen, Determinar, Rumbos, Dificultad

Herramienta, Clasificar, Rangos, Probabilidad

Guía, Seleccionar, Espacios, Intensidad

13. Glosario de Términos del procedimiento 76-P-03 Plan de Continuidad del Negocio – PCN, señale la definición correspondiente.

Continuidad de Negocio

Análisis de Impacto del

Negocio (BIA) Activación Emergencia

La aplicación de las capacidades de continuidad del negocio, procedimientos, actividades y planes en respuesta ....

Capacidad estratégica y táctica de la organización para planificar y responder a los incidentes y rupturas del negocio para continuar las operaciones ....

Un evento repentino e inesperado que requiere inmediata acción debido a una amenaza potencial ....

Proceso de analizar funciones del negocio y el efecto que una ruptura del negocio podría tener en ellas.

14. De su experiencia de trabajo en casa como responsable de proceso ¿cuales

actividades, solicitudes o actuaciones que le han resultado beneficiosas? y ¡pueden ser implementadas en la entidad como buenas prácticas!

ANEXO 2

AUDITORÍA DE RIESGOS 2020

Encuestas Evaluación Gestor de Riesgos

1. Escriba sin abreviaturas el Área de la cual es Gestor de Riesgos:

2. Tiempo como Gestor de Riesgos

Menos de 6 meses

De 6 meses a 1 año

Más de 1 año hasta 2 años

Más de 2 años

3. Cargo que ocupa actualmente:

Asesor

Profesional

Técnico

Asistencial

4. Relacione el(los) proceso(s) del cual es Gestor

5. Su nivel de Conocimiento en el tema de Riesgos, es:

Conocimiento Básico Conocimiento Práctico

6. Riesgo se define como:







Únicamente en los Contrato realizados en la Dirección de Gestión Corporativa

En todos los Procesos y Dependencias de la Entidad


8. Se entiende como Control:

Supervisión de cumplimiento de actividades

Aprobación y firma de los actos administrativos

Evidencia de revisión de actividades

Medida que modifica el riesgo

9. Los aspectos relevantes a tener en cuenta en la Evaluación del Diseño del

Control, son:

Código de Control, Nombre del Control, Descripción del Control, Objetivo del Control

Existe un responsable asignado, Oportunidad de ejecución, Desviaciones o diferencias son

investigadas, Evidencias y rastro de la ejecución

Tipo de Control, Factor de Riesgo, Medición del Riesgo

Nivel de Riesgo Inherente, Impacto Inherente, Nivel Residual, Impacto Residual

10. Las principales salidas del Proceso CPR-76 Administración de Riesgos, son:

Plan del SGSST, Informe de Evaluación del Desempeño, Informe Anual del Plan Institucional

de Capacitación

Consolidación y Análisis del producto y/o servicio no conforme, Informes de Auditoría

Interna de Calidad, formulación y seguimiento de los compromisos de la revisión gerencial

Matrices de Riesgos, Planes de tratamiento de riesgos, Indicadores claves de Riesgo

Plan Estratégico, Seguimiento al Plan Estratégico, Informe Gerencial de Gestión,

Retroalimentación

11. ¿Cómo son gestionados en su dependencia los controles definidos para los

riesgos de los procesos?:

12. Ciclo del proceso, clasifique los siguientes conceptos según el ciclo al cual

pertenecen

Establecer los lineamientos para

la gestión de riesgos

operacionales, de seguridad de la

información y continuidad del

negocio.

Mesas de trabajo

equipo riesgo

operacional,

seguridad de la

información y

continuidad del

negocio

Revisión

periódica

de

matrices

de

riesgos

Acciones

de

Mejora

Planear

Hacer

Verificar

Actuar

13. Los siguientes conceptos corresponden a la gestión de riesgos.

Mejora del Desempeño Individual, Desarrollo integral de Funcionarios, Control y

Seguimiento del Producto No Conforme

Seguimiento a Indicadores, Sistema Propio de Evaluación del Desempeño, Revisión

Gerencial

Plan de Continuidad del Negocio, Riesgos Operacionales, Seguridad de la información

Ejecución y Seguimiento a Proyectos de Inversión, Construcción y Evaluación de Indicadores

14. Complete:

MAPA DE RIESGO: es la ___________ que se utiliza para __________ y visualizar la

zona de riesgo mediante la definición de ______ para calificar la ____________ y

el impacto.

Abstracción, Identificar, Tipos, Ocurrencia

Imagen, Determinar, Rumbos, Dificultad

Herramienta, Clasificar, Rangos, Probabilidad

Guía, Seleccionar, Espacios, Intensidad

15. Ubique respecto de la gestión de riesgos, los siguientes participantes:

Responsables de

Proceso, Gestores de

Riesgo y Funcionarios

Secretario

Distrital de

Hacienda

Oficina de Análisis y

Control de Riesgos y

Oficina Asesora de

Planeación

Oficina

de

Control

Interno

Línea

Estratégica

1ra. Línea de

Defensa

2da. Línea de

Defensa

3ra. Línea de

Defensa

ANEXO 2

AUDITORÍA DE RIESGOS 2020

Encuestas Evaluación Funcionarios

1. Antigüedad en la Entidad

Menos de 1 año

De 1 año hasta 5 años

De 5 años hasta 10 años

Más de 10 años

2. Cargo Ocupado Actualmente

Conductor / Asistencial

Técnico

Profesional

Asesor

3. Antigüedad en el cargo actual

Menos de 6 meses

De 6 meses a 1 año

Más de 1 año hasta 2 años

Mas de 2 años

4. Califique el compromiso institucional en términos de la capacitación en

Gestión de Riesgos brindada por la Secretaria Distrital de Hacienda:

Baja Capacitación Suficiente Capacitación

5. Autoevalúe su nivel de conocimiento en el tema de Riesgos

Escaso Conocimiento Alto Conocimiento

6. ¿Usted identifica quién es el Gestor de Riesgos en su dependencia?

SI

NO

7. Su Participación en el análisis periódico de actualización de Riesgos:

Nunca ha participado

Hace aproximadamente 2 años

Hace aproximadamente 1 año

Hace aproximadamente 6 meses o menos

8. El Riesgo es definido como:





9. Definición correcta de Control:

Supervisar el cumplimiento de actividades.

Aprobación y firma de los actos administrativos

Revisión de actividades

Medida que modifica el riesgo buscando su mitigación

10. ¿Conoce los controles que debe ejecutar en las actividades bajo su

responsabilidad?:

SI

No

11. Estime la información recibida sobre los controles a su cargo

Insuficiente Suficiente

12. La información documental sobre la gestión de riesgos en la Secretaria

Distrital de Hacienda la podemos encontrar principalmente, en:

SharePoint

One Drive

Intranet

Sistema Integrado de Gestión – Sistema de Gestión de la Calidad

13. Si se desea identificar y conocer los Controles de la gestión de riesgos en la

Secretaria Distrital de Hacienda, ¿dónde se encuentran definidos?

En la minuta de registro del despacho

Matriz de Riesgos de Procesos

Diagrama de Flujo de los Procedimientos

En los Instructivos, Guías, Manuales o Protocolos

14. La Gestión de Riesgos estratégicos es competencia de:

El Jefe de la Oficina de Análisis y Gestión de Riesgos

La Alta Dirección

La Oficina de Control Interno

La Oficina Asesora de Planeación

15. El Riesgo es expresado en términos de:

Ocurrencia y Recuerdo

Daño y Alarma

Apariencia y Marca

Probabilidad e Impacto

16. En su dependencia cómo percibe la aplicación del concepto de gestión de

riesgos y controles:

Baja / Poco Interés Alta / Todos está interesados

17. El Objetivo de: Orientar la identificación, medición, control y monitoreo de los

riesgos operacionales, de corrupción, de seguridad de la información y de

continuidad de negocio para la gestión de los mismos en la entidad, en el

marco de la normativa aplicable, Corresponde a:

La Política POL-07 Política Integral de Administración de Riesgos de la Secretaria Distrital

de Hacienda

El Procedimiento 76-P-01 Administración del Riesgo

El Instructivo - 76-I-01 Identificación, medición, control y monitoreo de los riesgos

operacionales

Proceso CPR-76 Administración del Riesgo



En los Contratos realizados en la Dirección de Gestión Corporativa

En los Procesos y Dependencias en la Entidad


19. Ubique Respecto de la gestión de riesgos:

Responsables de Proceso,

Gestores de Riesgo y

Funcionarios

Secretario

Distrital de

Hacienda

Oficina de Análisis y

Control de Riesgos y

Oficina Asesora de

Planeación

Oficina de

Control

Interno

Línea

Estratégica

1ra. Línea de

Defensa

2da. Línea de

Defensa

3ra. Línea de

Defensa

20. Exprese sus ideas que contribuirán a mejorar la gestión de riesgo, en estos

tiempos de Trabajo en Casa.



Respuesta ¿Cómo son gestionados en su dependencia los controles definidos para los riesgos de los

procesos?:

DETALLE

sdfdfdf

Los gestores de riesgo revisan las matrices de riesgos y hacen seguimiento a los controles establecidos en cada riesgo, de acuerdo a los responsables de ejecutarlos.

CONTROL PERIODICO, REPORTE CUANDO SUCEDAN, EVALUACION Y SEGUIMIENTO

Se dejan evidencias y se hace seguimiento a los controles que se han implementado

Se hacen reuniones con los coordinadores de línea para monitorear la aplicación de los controles.

Análisis de riesgo, y conjuntamente con la oficina de riegos en reuniones previamente acordadas se definen los controles que que se deben tener en el área.

Los controles definidos para mitigar los riesgos en la operación del área son previamente indagados con los funcionarios encargados de realizar nuestra función misional, posteriormente retroalimentados y concertados con cada uno de los jefes de oficina, para finalmente ser reportados ante la Oficina de Riesgos.

Se aplican los controles definidos y se realiza monitoreo permanente.

- Verificar controles existentes - Verificar si están documentados - Establecer sin manuales o automáticos - Verificar si están es uso - Observar si han sido efectivos

LOS CONTROLES DEFINIDOS ESTÁN ASOCIADOS CON EL SISTEMA DE REQUERIMIENTOS, HERRAMIENTA QUE APOYA LA GESTIÓN DEL PROCESO CPR-44 Y CON LA APLICACIÓN DE LA GESTIÓN DE CAMBIOS. 1. EL SISTEMA DE REQUERIMIENTOS, PERMITE LA RIGUROSIDAD DEL CUMPLIMIENTO DE LAS ACTIVIDADES ASOCIADAS AL CICLO DE DESARROLLO Y DE LOS DOCUMENTOS QUE SE DEBEN GENERAR EN CADA UNA, LOS CUALES SE DISPONEN EN LAS HERRAMIENTAS VERSIONADORAS O EN SHAREPOINT SEGÚN ESTE DEFINIDO. CADA ROL CUMPLE ESTRICTAMENTE CON SUS RESPONSABILIDADES Y DISPONE LOS DOCUMENTOS. 2. LA GESTIÓN DE CAMBIOS, A TRAVÉS DE LA INTERACCIÓN CON LA CON LA SUBDIRECCIÓN DE INFRAESTRUCTURA DE TIC, EN MESAS TÉCNICAS, PERMITE LA VALORACIÓN Y GESTIÓN DEL IMPACTO DE TODOS LOS CAMBIOS DE SOFTWARE QUE SE ATIENDEN. ESTA GESTIÓN TAMBIÉN SE CONTROLA EN EL SISTEMA DE REQUERIMIENTOS, CON LA ACTIVIDAD APROBACIÓN MESA TÉCNICA Y EN LOS COMITÉS DE CAMBIOS QUE REALIZA LA DIT SEMANALMENTE.

Seguimiento a indicadores

Mesas de trabajo con la Oficina de Análisis y Control de Riesgo

Mesas de trabajo con la Oficina de Análisis y Control de Riesgos

Mesas de trabajo con la Oficina de Análisis y Control de Riesgos

No he estado en el proceso, por tanto, no los conozco. Se requiere capacitación sobre el tema.

Se organizan reuniones de seguimiento con los responsables del proceso y los funcionarios para realizar seguimiento

Con el fin de evitar que los riesgos operacionales se materialicen, la jefe de la Oficina Asesora de Comunicaciones: • Emite y publica información oficial de manera oportuna y la refuerza continuamente por todos los canales de comunicación, monitoreando y respondiendo a tiempo los requerimientos de los medios de comunicación. • Mantiene Informada a la asesora de comunicaciones de la Alcaldía Mayor. • Controla y hace seguimiento a la realización de los eventos, para verificar que todo esté acorde con lo planeado, resolviendo las observaciones con oportunidad.




procesos?:

DETALLE

• Trabaja de la mano con la Subsecretaría General para difundir campañas informativas acerca de las consecuencias de no cumplir con la política de seguridad de la información. • Revisa, valida y ajusta, si es el caso, la información entregada por cada una de las áreas, previamente a su difusión.

Difundiendo los procedimientos y revisando los puntos de control de los mismos.

los controles se gestionan para disminuir las causas de los posibles riesgos de los cuales se debe dejar las evidencias

Controles ejecutados de manera consistente de parte del responsable.

Los controles se gestionan de acuerdo a su identificación contando con las evidencias respectivas.

En mesas de trabajo con la oficina de análisis y control de riesgos

Verificar la información recibida.

CADA UNA DE LAS OFICINAS DE LA SUBDIRECCIÓN EJECUTAN EL CONTROL IDENTIFICADO EN LA MATRIZ CON SU RESPECTIVA MEDICIÓN DE INDICADOR DE EFICIENCIA

Los controles están inmersos en el desarrollo del proceso, por tal razón hacen parte para cumplirlo, desde que es radicada la devolución.

Se realiza una revisión de los documentos y/o operaciones que se realizan durante cada proceso por parte de los funcionarios a cargo. Se realiza una verificación y validación de los resultados y luego la aprobación.

A través de formatos definidos para realizar las actividades, solicitudes a través de ticket, aplicativos a cargo de la Subdirección

SE DETERMINA EL RIESGO, LA DESCRIPCIÓN DEL MISMO, LA CAUSA Y SU VALORACIÓN Y SE TRABAJA EN COMPAÑÍA DE LA OFICINA ASESORA DE RIESGOS

Se gestionan en compañía de la Oficina Asesora de Riesgos, se determina el riesgo, la descripción del mismo, la causa y valoración.

Revisando y actualizando las matrices de riesgo.

Se gestionan de diferentes maneras: Si son controles que involucran aplicaciones se tienen logs de auditoria Si son controles de entrega de información se tienen planillas asignadas y tickets de ejecución Entre otros

Mensualmente se realiza el seguimiento a la ejecución de los controles por parte de los funcionarios y del jefe de la oficina de registro y gestión de la información

MONITOREO DE PROCESOS

Conforme a la definición del control y periodicidad, el responsable lo aplica y se adelanta el monitoreo respectivo

xx

A TRAVES DE LAS MATRICES DE RIESGOS SE REALIZA SEGUIMIENTO Y SE ESTA CONSTANTEMENTE TRABAJANDO CON LOS CONTROLES DEFINIDOS EN LA OPERACION PARA EVITAR SU MATERIALIZACION, AL IGUAL QUE LA REVISION PERIODICA A LOS CONTROLES

Presentación semestral por parte del Jefe del PAA al Comité Institucional de Coordinación de Control Interno El equipo construye el Plan de la Auditoria, el cual es revisado por el Jefe y se ajusta El jefe de la Oficina de Control Interno, revisa y verifica que el informe preliminar se ajusta a los




procesos?:

DETALLE

lineamientos, normas y objetivos, en caso de encontrar desviaciones, solicita los ajustes pertinentes hasta la aprobación del informe preliminar

Con una revisión periódica y con el seguimiento a los controles definidos en la matriz de riesgo operacional.

Se realiza el análisis por área, se valora si cada proceso y hasta donde podría impactar par que llegue a ser un riesgo.

mediante evaluación permanente del proceso.

Los controles son definidos por los funcionarios y el Jefe de Oficina y la gestión de cada control

Dando cumplimiento a los controles y evaluando su efectividad

mediante la matriz de riesgos operacionales, se establecen controles y se hace seguimiento, con evidencias.


COMITE DE RIESGOS Análisis Actas Año 2019

No.

Actas Miembros Comité

de Riesgos Cumplimiento de inclusión de temas

según los procedimientos relacionados Revisión de tareas asignadas y su

cumplimiento No. 46

25 ene 2019

1. Secretaría

Técnica

2. DDT

3. OACR

4. DDCP

Secretaría Técnica Comité de Riesgos:

Jefe Oficina Asesora Control del

Riesgo.

1. Seguimiento de cupos de bancos locales.

2. Seguimientos cupos SCB

3. Seguimiento Fiduciarias

4. Seguimiento portafolio de deuda SARLAFT

5. Incumplimiento de limites banco Itaú – Corbanca

6. Varios

Esta acta presento en avance de 3 tareas pendientes (Oct-Nov 2018): 1. DDCP: Avances en materia de aprobación

cupos SCB 2. DDT: Celeridad en la contratación de custodió

para la venta de títulos en caso requerir liquidez y presentar los avances respetivos al Comité.

3. DDT: Validar la aplicabilidad de la Res. 073 de 2018 sobre las entidades de administración Central, cuya tesorería corresponde a la Tesorería Distrital y se presume que el manejo de cuentas bancarias se limita a sus cajas menores.

No. 47

25 feb 2019

1. STH

2. DDT

3. DEEF

4. DDCP

5. DDP



Riesgo.

1. Seguimientos Cupos bancarios locales.

2. Seguimientos Cupos bancarios extranjeros.

3. Banck y StressTesting

4. Exceso cupo concentración BBVA

5. Estrategia de Inversión Anual

Explica la estrategia de financiamiento para el año 2019, proyección de utilización de recursos por valor aproximado de 2.5 billones; gestión créditos multibanca y la posibilidad de la emisión de bonos Locales

Presento en avance de 6 tareas pendientes (Oct-Nov 2018 enero 2019):

1. DDCP: Avances en materia de aprobación con

MHCP y mitigación de riesgos cambiarios con derivados financieros.

2. DDT: Contratación de custodio, para la venta de títulos y resolución No. 073 de 2018

3. OACR: evaluar lo pertinente para otorgar cupo al banco Itaú exclusivamente para el servicio de custodio de valores y verificación del cumplimiento de riegos de los saldos en bancos.

4. DDJ: Solicitud concepto jurídico para la

Implementación SARLAF



No.




cumplimiento No. 48

27 mar 2019

1. STH

2. DDT

3. DDCP

4. DDP



Riesgo.

1. Cupo de contraparte sociedades Fiduciarias que no estén listada en el MEC.

2. Seguimiento bancos de inversión locales 3. Propuesta cambio periodicidad e informes. 4. Modificación límites por operador 5. Varios.

1- DDCP: Avances en materia de aprobación con MHCP y mitigación de riesgos cambiarios con derivados financieros.

2- DDT: Contratación de custodio, para la venta de títulos y resolución No. 073 de 2018.

3- DDT: Validar la aplicabilidad de la Res. 073 de 2018 sobre las entidades de administración central.

4- OACR: Se debatió acerca de la pertinencia de asignar cupo al Banco Itaú Securities

5- DDJ: Solicitud concepto jurídico para la Implementación SARLAF-La cual el Director Jurídico, que no es procedente mantenerlo.

No. 49

26 abr 2019

1. STH

2. DDT

3. DDCP

4. DDP

5. DEEF



Riesgo.

1. Seguimiento cupos de Inversión bancos locales: BCSC, Occidente, Finandina.

2. Seguimiento al portafolio de Deuda.

3. Seguimiento portafolio de deuda.

1. DDCP: Se concluye que después de haber realizado un avance en materia de aprobaciones con MHPC, Operativamente La entidad no se encuentra en capacidad de realizar operaciones con derivados par a mitigación del riesgo cambiario.

2. DDT: Trabajar con celeridad en la contratación de custodio con el fin de garantizar que se cuenta con lo necesario para la venta de títulos en caso de requerir liquidez y presentar los avances en el comité.

3. DDT: Validará la aplicabilidad e la Res. 073 de 2018 sobre las entidades de administración central

4. DDJ: El Director jurídico responde mediante Cordis No. 2019IE10346 requerimiento de información.



No.




cumplimiento No. 50

27 may 2019

1. STH

2. DDT

3. DDCP

4. DDP

5. DEEF

6. OACR



Riesgo.

1. Seguimiento a bancos Locales

2. Seguimiento Sociedades Comisionistas en Bolsa.

3. Procedimiento Custodio –DDT 4. Transición LIBOR 5. Varios.

Sin

No. 51

26 jun 2019

1. SHT

2. DDCP

3. DDP

4. DEEF



Riesgo.

1. Seguimiento cupos de Inversiones bancos Locales.

2. Seguimiento portafolio de deuda.

1 DDCP: Se concluye que después de haber realizado un avance en materia de aprobaciones con MHPC, Operativamente y que la entidad no se encuentra en capacidad de realizar operaciones con derivados par a mitigación del riesgo cambiario; se requiere un trabajo en conjunto para solventar las restricciones identificadas.

2 DDT: Validará la aplicabilidad e la Res. 073 de 2018 sobre las entidades de administración central. El subsecretario técnico solicita a la DDT trabajar conjuntamente con la OACR para socializar propuesta ante el próximo comité



No.




cumplimiento No. 52

24 jul 2019

1. STH

2. DDP

3. DEEF

4. DDT



Riesgo.

1. Seguimiento cupos de Inversiones bancos locales.

2. Seguimiento portafolio de deuda. 3. Seguimiento riesgos de mercado portafolio

de inversiones. 4. Seguimiento Estrategias de Inversión I

semestre 2019.

1. DDCP: Se concluye que a pesar de haber realizado avances con MHCP, los tiempos estimados (5 meses aproximadamente) y no se encuentra en capacidad de realizar operaciones con derivados par a mitigación del riesgo cambiario; se requiere un trabajo en conjunto para solventar las restricciones identificadas.

2. DDT: Se indicó que producto de la última mesa de trabajo entre la DDT y a OACR se generó un nuevo documento presupuestal el cual se encuentra en revisión final previo a la autorización.

Hallazgo Contraloría: Hallazgo Administrativo por la Contraloría: La Jefe de Oficina de la OACR indica los antecedentes del hallazgo administrativo 3.2.2.5. “Por exceder e incumplir los límites de concentración establecidos por la OACR y dispuestos en la Resolución No. SHD 000073 del 05/06/2018” donde le ente de Control Informa la disponibilidad de recursos de la Tesorería Distrital con corte a 31-12-2018 es de 6.607.888 millones de pesos , conformados por los recursos en títulos y cuentas , en los cuales el Banco de Bogotá S.A. Presento una concentración del 29.67% del total del portafolio , excediendo el límite del 27% para la zona de riesgos 5.Por lo anterior la OACR MEDIANTE Acta No. 45 el comité aprueba el cambio de porcentajes se asignación y concentración.



No.




cumplimiento No. 53

29 jul 2019

1. STH

2. DDP

3. DEEF

4. DDT

5. DDCP



Riesgo.

1. Solicitud de extensión de plazos para ajuste al lineamiento cambiario.

No se desarrollaron tareas pendientes.

No. 54

28 agt 2019

1. STH

2. DDP

3. DEEF

4. DDT

5. DDCP



Riesgo.

1. Seguimiento cupos de Inversiones bancos locales-mayo 2019

2. Seguimiento Back y Stress Testing.

3. Seguimiento riesgos de mercado

4. Seguimiento estrategia de financiamiento

Dirección de Crédito Público

1. DDCP: Se precisa que no se tiene mayor avance adicional a la reportada anteriormente.

2. DDT: Se validará la aplicabilidad de la resolución 073 de 2018, sobre las entidades de administración central, cuya tesorería corresponde a la de la Tesorería distrital y se presume que, en el manejo de las cuentas bancarias, se limita a sus cajas menores. El subsecretario de Hacienda solicita a la DDT, revisar el tema con OACR y socializar la propuesta previo al próximo comité.



No.




cumplimiento No. 55

12 sept 2019

1. STH

2. DDP

3. DEEF

4. DDCP



Riesgo.

1. Propuesta modificación lineamiento cambiario y de tasa de interés.

2. Propuesta modificación lineamientos de liquidez.

3. Situación salida en vivo Bogdata

1. DDCP: Se precisa que frente a la operatividad para realizar operaciones con derivados nos e tiene información adicional a la reportada, el comité solicita que DDCP, concentre los esfuerzos para crear una política contable en conjunto con Dirección distrital de Contabilidad.

2. DDT: Somete a consideración del comité la propuesta de incrementar a 150.000 millones el límite por operador aprobados por el comité de riesgo No. 164 de 23-09-2014 respecto al sistema Master Trader (antiguo MEC) , dado que se han presentado inconvenientes con la nueva plataforma para las operaciones cruzadas en las cuales el sistema está duplicando la afectación de cupo utilizado

No. 56

22 oct 2019

1. STH

2. DDP

3. DDT

4. DDCP



Riesgo.

1. Seguimiento bancos Locales

2. Seguimiento cupos contraparte SCB 3. Varios.

1. DDCP: Se precisó que la dirección Distrital de crédito junto con la Dirección de Contabilidad se encuentra revisando las metodologías para el registro de instrumentos derivados bajo el NICSP.

2. OACR: Desarrollo cronograma anual para la realización de las sesiones comité año 2020



No.




cumplimiento No. 57

25 nov 2019

1. STH

2. DDP

3. DEEF

4. DDT

5. DDCP



Riesgo.

1. Propuesta proyección UVR

2. Seguimiento al cumplimiento de los límites de riesgos establecidos en la Resolución No. SHD -000073 de 2018.

3. Sobre concentración Banco BBVA 4. Varios

1. DDCP: No presentan mayores avances en lo señalado en el acta de comité anterior

2. DDT: Somete a decisión del comité la propuesta de incrementar a 150.000 millones el límite por operador aprobados en el comité de riesgos No. 1640020DEL 13-11-2014, respecto al sistema Master Trader (antiguo MEC)

No. 58

17 dic 2019

1. STH

2. DDP

3. DEEF

4. DDT

5. DDCP



Riesgo.

1. Revisión liquidez Metodología de Bancos Locales.

2. Seguimiento portafolio de deuda

1. DDCP: Se precisó que la dirección Distrital de crédito junto con la Dirección de Contabilidad se encuentra revisando las metodologías para el registro de instrumentos derivados bajo el NICSP. No presentan mayores avances en lo señalado en el acta de comité anterior

2. OACR: El Director Distrital de Tesorería sugirió realizar una medición al indicador de liquidez de acuerdo a lo expresado por el banco Itaú respecto a la inclusión en la cuenta de efectivo.



No. Actas Miembros Comité

de riesgos Cumplimiento de inclusión de temas según

los procedimientos relacionados Revisión de tareas asignadas y su

cumplimiento

No. 59

29 ene 2020

1. STH

2. DDP

3. DEEF

4. DDT

5. DDCP

Secretaría Técnica Comité de

Riesgos: Jefe Oficina Asesora

Control del Riesgo.

1. Seguimiento cupos de Inversión.

2. Seguimiento estrategias cupos de inversión

3. Seguimiento estrategias de financiamiento.

4. Incumplimiento Límite de inversión Banco BBVA

1. DDCP: Se precisó que frente a la operatividad para realizar operaciones con derivados no se tiene información a la adicional a la reportada anteriormente.

El director de Crédito Público informa que no se han realizado mayores avances.

No. 60

20 feb 2020

1. STH 2. DEEF 3. DDT 4. DDCP

1. Back and Testing

2. Modificación Solvencia metodológica Sociedades Fiduciarias.

3. Varios

2. DDCP: Se precisó que frente a la operatividad para realizar operaciones con derivados no se tiene información a la adicional a la reportada anteriormente. El Director de Crédito Público informa que no se han realizado mayores avances.


COMITE INSTITUCIONAL DE POLITICA DE RIESGOS DE LA SECRETARIA DE HACIENDA DISTRITAL

Normatividad y Documentación de Calidad NORMATIVIDAD: Decreto 390 de 2008 Alcaldía Mayor de Bogotá, D.C. https://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=33749

Señala que además del Comité de Política de Riesgo de que trata los artículos 62 y 65 del Decreto Distrital 545 de 2006, la Secretaría Distrital de Hacienda para el establecimiento de políticas y lineamientos en el manejo y control del riesgo financiero de sus portafolios de inversión y de deuda, y la gestión de tesorería tendrá el Comité de Riesgo y el Comité de Tesorería, de los cuales determina su integración y las funciones que deberán cumplir El Comité de Riesgo de la Secretaría Distrital de Hacienda estará integrado por:

- El (la) Subsecretario (a) Distrital de Hacienda, quien lo presidirá; - El (la) Director (a) de Estudios Económicos, - El (la) Director (a) de Presupuesto - El (la) Director (a) de Crédito Público; - El (la) Director (a) Distrital de Tesorería o Tesorero (a) Distrital; y - El (la) Jefe de la Oficina de Análisis y Control de Riesgo. - El (la) Director (a) Jurídico (a) de la Secretaría Distrital de Hacienda y - El (la) Asesor(a) de Control Interno serán invitados permanentes, con voz, pero no con

voto. - Los demás Directores y/o funcionarios de la entidad podrán asistir en calidad de

invitados.

El Comité se reunirá por lo menos una (1) vez en el mes y las decisiones serán aprobadas por la mitad más uno de sus miembros. La Secretaría Técnica será ejercida por un funcionario del nivel directivo o asesor de la Oficina de Análisis y Control de Riesgo.

El Comité de Riesgo tendrá las siguientes funciones:

- Definir y aprobar los lineamientos para la implementación y el desarrollo de la política de gestión de riesgo de mercado y crediticio para el portafolio de inversión y deuda de la Secretaría de Distrital de Hacienda aprobada por el Comité de Política de Riesgo.

- Aprobar metodologías acordes con la estrategia aprobada por el Comité de Política de Riesgo para controlar los riesgos de mercado y crediticio de los portafolios de inversión y deuda de la Secretaría Distrital de Hacienda.

- Realizar seguimiento al cumplimiento de los lineamientos de gestión de riesgo de

mercado y crediticio y proponer correctivos a partir de los informes presentados por la Oficina de Análisis y Control de Riesgo.

https://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=33749

- Aprobar los nuevos productos de inversión y de financiamiento a realizar por las áreas

administradoras de los portafolios, las operaciones de uso restrictivo, así como los excesos temporales de límites cuando sea pertinente y éstos se encuentren dentro de los lineamientos generales aprobados por el Comité de Política de Riesgo.

- Determinar los límites de control de riesgos de solvencia, contraparte, liquidez, tasa de interés, bursatilidad, tipo de cambio y crediticio por sector y entidad, así como los cupos y límites de concentración de emisores y de contrapartes aplicable tanto a la Dirección Distrital de Tesorería como a los establecimientos públicos del Distrito Capital, estos últimos hasta tanto entre en total funcionamiento la Cuenta Única Distrital.

- Analizar y tomar decisiones sobre las propuestas de administración del riesgo que

presenten las áreas administradoras de los portafolios, previo concepto de la Oficina de Análisis y Control de Riesgo.

- Aprobar los informes de riesgo preparados por la Oficina de Análisis y Control de

Riesgo, previa a su presentación al Comité de Política de Riesgo.

- Realizar seguimiento al cumplimiento y desempeño de la estrategia de inversión anual de la Dirección Distrital de Tesorería.

- Realizar seguimiento al cumplimiento y desempeño de la estrategia de financiamiento

anual de la Dirección Distrital de Crédito Público.

- Las demás funciones que le sean asignadas.

La asistencia por parte de los miembros de los comités no podrá ser delegada en ningún otro funcionario, salvo en casos de fuerza mayor. DOCUMENTACIÓN SISTEMA DE GESTIÓN DE LA CALIDAD CPR 47 GESTION DEL RIESGO FINANCIERO:

Objetivo: Gestionar el riesgo financiero inherente a los portafolios de inversión y de deuda administrados por la SDH. Responsable: Oficina Asesora Control del Riesgo

1. Inicia con la identificación de los factores de Riesgo Financiero asociados a los portafolios de inversión y de deuda administrados por la SDH

2. finaliza con el envío de los informes de monitoreo al cumplimiento de las políticas y lineamientos establecidos para los respectivos riesgos.

Procedimientos:

• 47-P-01Procedimiento Evaluación del Riesgo de Mercado del Portafolio de Inversiones Administrado por la SDH.

• 47-P-02 Procedimiento Gestión de riesgo del portafolio de deuda.

• 47-P-07 Proyección de variables económicas.

• 47-P-08 Procedimiento Generación del informe diario de mercado y calificación de bancos internacionales.

• 47-P-10 Procedimiento Generación de cupos. Ahora bien, revisamos los procedimientos:

• 47-P-02 Procedimiento Gestión de riesgo del portafolio de deuda: Valorar y efectuar el seguimiento de los riesgos financieros del portafolio de deuda de la SHD

Numeral 3. - 3.4. Lineamiento de Riesgo

Cada una de las reglas internas emitidas por el Comité de Política de Riesgo para la mitigación de riesgos financieros, en materia de liquidez, tasa de interés y riesgo cambiario ANEXO 1: riesgo vigente, teniendo en cuenta que el Comité de Política de Riesgo de la Secretaría Distrital de Hacienda es quien evalúa y aprueba las estrategias (políticas y lineamientos) de gestión de riesgo de mercado y crediticio de los portafolios de activos y pasivos de la SDH2. Adicionalmente, el Comité de Riesgo es quien define y aprueba los lineamientos para la implementación y el desarrollo de la política de gestión de riesgo de mercado y crediticio para el portafolio de inversión y deuda de la-SDH, aprobada por el Comité de Política de Riesgo3”.

1. Riesgos De liquidez: En el Comité de Política de Riesgo, se establecieron un límite

máximo de perfil de vencimientos anuales del 10% con desviaciones permitidas hasta 13%.

2. Valor en riesgo: metodología de valoración de riesgo es consistente con las políticas y lineamientos establecidos por el Comité de Política de Riesgo encaminados al manejo y control del riesgo financiero del portafolio de deuda, al tiempo que contempla la metodología usada por el Ministerio de Hacienda y Crédito Público.

3. VaR portafolio de deuda: Una vez actualizada la información y realizado los

cálculos requeridos (explicado con detalle en las siguientes secciones) se crea un archivo para el mes de evaluación que contiene los resultados referentes al VaR del portafolio de deuda y los lineamientos establecidos por el Comité de Política de Riesgo con el nombre de “Portafolio de Deuda”

47-P-07 Proyección de variables económicas: Generar las proyecciones de variables económicas, para la gestión del riesgo Financiero en la Secretaría Distrital de Hacienda Numeral 5. Políticas de Operación:

- Para la proyección de las variables económicas se requiere la aprobación de los modelos estadísticos por parte del Comité de Política de Riesgo y la utilización de Software estadístico para la implementación de los mismos.

Numeral 7: Descripción de Actividades: Ítem: 3, Nombre Actividad: Revisar el Modelo, Responsable: Comité de Política de Riesgo, Detalle: Decide si aprueban la metodología propuesta.

47-P-10 Procedimiento Generación de cupos.

Numeral 5: Políticas de Operación: - 5.1 Para la asignación de cupos se requiere la aprobación de los modelos estadísticos por parte del Comité de Política de Riesgo. Numeral 7. Descripción de Actividades: Ítem: 4, Nombre Actividad: Revisar el Modelo, Responsable: Comité de Política de Riesgo, Detalle: Decide si aprueban la metodología propuesta. Ítem: 24, Nombre Actividad: Aprobar documento(s) de asignación de cupos, Responsable: Presidente Comité de Política de Riesgo, Detalle: Revisa los documentos recibidos, si detecta inconsistencias

retorna a la actividad 15; de lo contrario firma en señal de aprobación y remite los documentos para continuar con el trámite.

Numeral 8. Relación de tiempos:

POR ACTIVIDAD Y/O PRODUCTO TIEMPO: Institucional

(Lineamientos internos)

Elaborar documentos de seguimiento de cupos de Inversión Bancos Locales.

De acuerdo con la periodicidad establecida por el Comité de Política de Riesgo y máximo 3 días hábiles después de la fecha de publicación de la información insumo por parte de la SFC

Elaborar documentos de seguimiento de cupos de Inversión Bancos Internacionales.

De acuerdo con la periodicidad establecida por el Comité de Política de Riesgo, dentro de los 8 primeros días hábiles

Elaborar documentos de seguimiento de cupos de Contraparte

De acuerdo con la periodicidad establecida por el Comité de Política de Riesgo, máximo 3 días hábiles después de la fecha de publicación de la información insumo por parte de la SFC.

Elaborar documento(s) Asignación de cupos de inversión y contraparte.

De acuerdo con la periodicidad establecida por el Comité de Política de Riesgo y máximo 2 días hábiles después de la fecha de validación del seguimiento.

Aprobar documento(s) de asignación de cupos de inversión y contraparte; por parte del presidente del Comité de Política de Riesgo

Máximo 4 días hábiles después de la fecha de entrega los documentos de asignación aprobados por el jefe de la OACR.

Documents

INFORME FINAL EVALUACIÓN ADMINISTRACIÓN DE RIESGOS