*20255000606321*

 

Al contestar por favor cite estos datos:

 

Radicado No.: 20255000606321

 

Fecha: 22/12/2025 07:05:41 a.m.

 

Referencia: Concepto sobre responsable de las funciones de auditoría interna y del Sistema Integrado de Gestión en el IGAC, y la voluntariedad de las certificaciones ISO. Radicado No. 20259000748022 del 20 de noviembre de 2025.

 

Cordial saludo.

 

En atención a su comunicación de la referencia en la cual nos formula múltiples inquietudes relacionadas con las funciones y roles de las oficinas o unidades de control interno así como la interacción entre normas de calidad y el Modelo Integrado de Planeación y Gestión – MIPG, al respecto, a continuación damos respuesta a sus inquietudes, sin antes precisar que de conformidad con lo establecido en el Decreto 430 de 2016 este Departamento Administrativo tiene como objeto el fortalecimiento de las capacidades de los servidores públicos y de las entidades y organismos del Estado, su organización y funcionamiento, el desarrollo de la democratización de la gestión pública y el servicio ciudadano, mediante la formulación, implementación, seguimiento y evaluación de políticas públicas, la adopción de instrumentos técnicos y jurídicos, la asesoría y la capacitación.

 

Así mismo, la resolución de los casos particulares, corresponderá en toda situación a la autoridad empleadora y nominadora, en cuanto es la instancia que conoce de manera cierta y documentada la situación particular de su personal, y, además, en desarrollo de los principios de la especialización presupuestal y de la autonomía administrativa, constituye el único órgano llamado a producir una declaración de voluntad con efectos vinculantes en el mundo del derecho.

 

Por tanto, este Departamento Administrativo, en ejercicio de sus funciones, realiza la interpretación general de las disposiciones legales y, en consecuencia, no le corresponde la valoración de los casos particulares.

 

Ahora bien, a continuación, nos permitimos emitir respuesta individual a cada una de ellas en los siguientes términos:

 

Función de Evaluación Independiente y Objetiva de la gestión institucional

 

En primer lugar, es importante señalar que la Ley 87 de 1993¹ dispone para las Oficinas de Control Interno, en su artículo 12, lo siguiente:

 

ARTÍCULO 12.- FUNCIONES DE LOS AUDITORES INTERNOS. Serán funciones del Asesor, Coordinador, Auditor Interno, o similar las siguientes:

 

a) Planear, dirigir y organizar la verificación y evaluación del Sistema de Control Interno;

b) Verificar que el Sistema de Control Interno esté formalmente establecido dentro de la organización y que su ejercicio sea intrínseco al desarrollo de las funciones de todos los cargos y, en particular, de aquellos que tengan responsabilidad de mando;

c) Verificar que los controles definidos para los procesos y actividades de la organización, se cumplan por los responsables de su ejecucióny en especial, que las áreas o empleados encargados de la aplicación del régimen disciplinario ejerzan adecuadamente esta función;

d) Verificar que los controles asociados con todas y cada una de las actividades de la organización, estén adecuadamente definidos, sean apropiados y se mejoren permanentemente, de acuerdo con la evolución de la entidad;

e) Velar por el cumplimiento de las leyes, normas, políticas, procedimientos, planes, programas, proyectos y metas de la organización y recomendar los ajustes necesarios;

f) Servir de apoyo a los directivos en el proceso de toma de decisiones, a fin que se obtengan los resultados esperados;

g) Verificar los procesos relacionados con el manejo de los recursos, bienes y los sistemas de información de la entidad y recomendar los correctivos que sean necesarios;

h) Fomentar en toda la organización la formación de una cultura de control que contribuya al mejoramiento continuo en el cumplimiento de la misión institucional;

i) Evaluar y verificar la aplicación de los mecanismos de participación ciudadana, que, en desarrollo del mandato constitucional y legal, diseñe la entidad correspondiente;

j) Mantener permanentemente informados a los directivos acerca del estado del control interno dentro de la entidad, dando cuenta de las debilidades detectadas y de las fallas en su cumplimiento;

k) Verificar que se implanten las medidas respectivas recomendadas;

l) Las demás que le asigne el jefe del organismo o entidad, de acuerdo con el carácter de sus funciones.

 

Parágrafo. En ningún caso, podrá el Asesor, Coordinar, Auditor Interno o quien haga sus veces, participar en los procedimientos administrativos de la entidad a través de autorizaciones o refrendaciones. (Subrayado fuera del texto)

 

De acuerdo con lo anterior, se debe precisar que la labor de las Oficinas de Control Interno es preminentemente asesora y sus actividades operativas se limitan exclusivamente a las necesarias para formarse un juicio sobre la materia objeto de análisis; conforme a ello, el asesor, coordinador, auditor interno debe ocuparse de verificar que los controles establecidos en los diferentes procesos, procedimientos, políticas de operación, entre otros elementos del Sistema de Control Interno se cumplan, que existan responsables, adecuados mecanismos de seguimiento, segregación de funciones, entre otros aspectos que garanticen de forma razonable el cumplimiento de los objetivos y metas, así como generar alertas y recomendaciones que puedan llegar a evitar situaciones no deseadas o posibles incumplimientos.

 

En este sentido, a la Oficina de Control Interno le corresponde diseñar y desarrollar adecuados sistemas de verificación y evaluación, y utilizar métodos que le permitan conocer y pronunciarse sobre la efectividad de los controles en la gestión, sin que tal labor signifique crear trámites aprobatorios a la gestión administrativa.

 

En consecuencia, es pertinente señalar que la Oficina de Control Interno debe establecer dentro del proceso de auditoría un análisis de unidad auditable desde su nivel de riesgos y criticidad frente al logro de los objetivos, de manera tal que el objetivo y alcance resulten suficientes, a partir de lo cual dicha Oficina podrá establecer la información necesaria y las pruebas de auditoría que le permitirán llegar a conclusiones objetivas basadas en evidencias.

 

En virtud de lo señalado en su consulta, consideramos pertinente dar claridad sobre los instrumentos incluidos en la caja de herramientas de la Guía de Auditoría Interna basada en riesgos para Entidades Públicas V4 y, en especial, sobre el Plan Anual de Auditoría y el Universo de Auditoría.

 

En la Guía referida, se determinan cinco fases que permiten llevar a cabo el proceso auditor de manera técnica y profesional, al hacer uso de diferentes herramientas y procedimientos de auditoría, dichas fases se despliegan así:

 

1 Planeación general para la Oficina de Control Interno (Plan Anual de Auditorías)

2 Planeación de la auditoría

3 Ejecución de la auditoría

4 Comunicación de resultados de la auditoría

5 Seguimiento al cumplimiento de los planes de mejoramiento

 

Cada una de estas etapas desarrolla orientaciones contempladas en el Marco para la Práctica Profesional de Auditoría Interna, que deben ser tenidas en cuenta por parte del Jefe de Control Interno, con el fin de mejorar la efectividad del proceso auditor.

 

En este marco general, para cada una de las fases antes listadas se han determinado una serie de instrumentos y herramientas parametrizadas que es posible incorporar y adaptar a las necesidades de cada Oficina de Control Interno.

 

Esta Guía inicia por precisar que, para la ejecución de las actividades mencionadas, la Oficina de Control Interno debe estructurar el Plan Anual de Auditorías, el cual, bajo los lineamientos de la guía en mención debe incluir además de las auditorías internas para la vigencia, todas aquellas actividades que cubren cada uno de los roles establecidos en la normatividad, es decir, que el plan cubre todas las actividades que se van a realizar en el año en cumplimiento de los roles de la Oficina de Control Interno, incluido el seguimiento a temas claves de la gestión, a fin de garantizar el suministro de información y los espacios necesarios con los líderes de los temas internos, con el propósito de evitar retrasos o posibles incumplimientos frente a informes de ley u otras necesidades de dicha oficina.

 

De este modo las Oficinas de Control Interno como agentes dinamizadores del Sistema de Control Interno realizan una gama de actividades en torno a los cinco (5) roles ya mencionados, los cuales deben analizarse a la hora de estructurar el Plan.

 

En este sentido, la guía en mención, expresa lo siguiente:

 

El plan anual de auditoría es el documento formulado y ejecutado por el equipo de trabajo de la Oficina de Control Interno en la Entidad, cuya finalidad es planificar y establecer los objetivos a cumplir anualmente para evaluar y mejorar la eficacia de los procesos de operación, control y gobierno.

 

Para la formulación del Plan Anual de Auditoría, se deben tener en cuenta los siguientes aspectos:

 

- Incluir el objetivo general del Plan de auditoría.

 

- Identificar el recurso existente disponible para la ejecución del plan. Tener en cuenta los días hábiles disponibles para la vigencia por persona.

 

Las actividades que se deben considerar para la elaboración del plan anual de auditoría son: Formulación del plan, elaboración de informes determinados por Ley, capacitación, auditorías internas a los procesos, actividades de asesoría y acompañamiento, asistencia a comités de la Entidad, atención a entes de control, seguimiento a planes de acción, auditorías especiales o eventuales sobre procesos o áreas responsables específicas y ante eventualidades presentadas que obliguen a ello, situaciones imprevistas que afecten el tiempo del programa de auditoría, entre otros.

 

De las anteriores actividades se deberá establecer la secuencia, la duración y el responsable del desarrollo de la actividad.

 

Dejar constancia de la aprobación del plan por parte del comité de Coordinación de Control Interno, con fundamento en el artículo 13 de la Ley 87 de 1993 y el Decreto 648 de 2017 (Subrayado fuera de texto)

 

Acorde con lo anterior, es posible analizar que se trata de una planeación general, que va a permitir llevar un control de todas las actividades clave, incluyendo la presentación de informes responsabilidad de la oficina, así mismo podrá analizar, acorde con su capacidad, el desarrollo de actividades de asesoría y acompañamiento técnico a los líderes en materia de riesgos, procesos, procedimientos, u otros temas detectados como débiles en su aplicación, e incluir los procesos de auditoría priorizados, entre otros aspectos que considere pertinentes para el cumplimiento de sus funciones.

 

Es importante que este plan sea presentado y aprobado ante el Comité Institucional de Coordinación de Control interno, acorde con lo estipulado en el decreto 648 de 2017, artículo 4, que adiciona información al Título 1 del Decreto 1083 de 2015, donde define:

 

Artículo 2.2.21.1.6 Funciones del Comité Institucional de Coordinación de Control Interno. Son funciones del Comité Institucional de Coordinación de Control Interno:

 

a) Evaluar el estado del Sistema de Control Interno de acuerdo con las características propias de cada organismo o entidad y aprobar las modificaciones, actualizaciones y acciones de fortalecimiento del sistema a partir de la normatividad vigente, los informes presentados por el jefe de control interno o quien haga sus veces, organismos de control y las recomendaciones del equipo MECI.

 

b)Aprobar el Plan Anual de Auditoria de la entidad presentado por el jefe de control interno o quien haga sus veces, hacer sugerencias y seguimiento a las recomendaciones producto de la ejecución del plan de acuerdo con lo dispuesto en el estatuto de auditoría, basado en la priorización de los temas críticos según la gestión de la administración.

 

c) Aprobar el Estatuto de Auditoría Interna y el Código de Ética del auditor, así como verificar su cumplimiento.

 

d) Revisar la información contenida en los estados financieros de la entidad y hacer recomendaciones a que haya lugar.

 

e) Servir de instancia para resolver diferencias que surjan en desarrollo del ejercicio de auditoría interna.

 

f) Conocer y resolver los conflictos de interés que afecten la independencia de la auditoría.

 

g) Someter a aprobación del representante legal la política de administración del riesgo y hacer seguimiento, en especial a la previsión y detección de fraude y mala conducta.

 

h) Las demás asignadas por el Representante Legal de la entidad.

 

Párrafo 1. El Comité se reunirá como mínimo dos (2) veces en el año.

 

Párrafo 2. En las entidades que no cuenten con servidores públicos que hagan parte de la alta dirección, las funciones del comité serán ejercidas directamente por el representante legal de la entidad y los servidores que se designen.

 

Párrafo 3. En las entidades donde exista comité de auditoría este asumirá las funciones relacionadas con los literales b, c, e y f del presente artículo e informará al comité institucional de coordinación de control interno de su estado y desarrollo.

 

Debe tener en cuenta que, durante el proceso de aprobación, la Alta Dirección de su entidad puede solicitar auditorías o seguimientos sobre temas de su interés, los cuales deben ser priorizados y dejar constancia en las actas sobre estos cambios que puedan afectar la planeación inicial por usted propuesta.

 

Atendiendo a lo anterior, podemos afirmar que esta función se encuentra claramente asignada a la Oficina de Control Interno de Gestión, de conformidad con la Ley 87 de 1993, la Ley 1474 de 2011 y el Decreto 2106 de 2019, así como con el desarrollo del Sistema de Control Interno y el MIPG. La OCI constituye la tercera línea de defensa y es la encargada de realizar evaluaciones independientes y objetivas sobre la gestión institucional, asegurando que los controles definidos operen de manera efectiva.

 

Evaluación de la adecuación y eficacia de los procesos de gestión de riesgos, control y gobierno para asegurar el logro de los objetivos institucionales.

 

Para ello, es importante recordar y tener claro que, si bien la estructura del Modelo Estándar de Control Interno – MECI se actualiza en articulación con el Modelo Integrado de Planeación y Gestión – MIPG, dicha actualización busca alinearse con las buenas prácticas de control referenciadas en el Modelo COSO. En razón de lo anterior, la estructura del MECI se fundamenta en cinco componentes: (i) ambiente de control, (ii) evaluación del riesgo, (iii) actividades de control, (iv) información y comunicación y (v) actividades de monitoreo.

 

En tal sentido, los cambios que se surtieron estuvieron orientados hacia las buenas prácticas de control, por lo cual la nueva estructura se fundamenta en cinco componentes, así:

 

i. Ambiente de Control:Tiene como propósito asegurar un ambiente de control que le facilite a la entidad disponer de las condiciones mínimas para el ejercicio del control interno. Requiere del compromiso, el liderazgo y los lineamientos de la alta dirección y del Comité Institucional de Coordinación de Control Interno.

 

ii. Evaluación del riesgo:Tiene como propósito identificar, evaluar y gestionar eventos potenciales, tanto internos como externos, que puedan afectar el logro de los objetivos institucionales.

 

iii. Actividades de control: Tiene como propósito potenciar el control de los riesgos identificados y como mecanismo para apalancar el logro de los objetivos y forma parte integral de los procesos.

 

iv. Información y comunicación:Tiene como propósito utilizar la información de manera adecuada y comunicarla por los medios y en los tiempos oportunos. Para su desarrollo se deben diseñar políticas, directrices y mecanismos de consecución, captura, procesamiento y generación de datos dentro y en el entorno de cada entidad, que satisfagan la necesidad de divulgar los resultados, de mostrar mejoras en la gestión administrativa y procurar que la información y la comunicación de la entidad y de cada proceso sea adecuada a las necesidades específicas de los grupos de valor y grupos de interés.

 

v. Actividades de monitoreo:Tiene como propósito desarrollar las actividades de supervisión continua (controles permanentes) en el día a día de las actividades, así como evaluaciones periódicas (autoevaluación, auditorías) que admiten valorar: (i) la efectividad del control interno de la entidad pública; (ii) la eficiencia, eficacia y efectividad de los procesos; (iii) el nivel de ejecución de los planes, programas y proyectos; (iv) los resultados de la gestión, con el propósito de detectar desviaciones, establecer tendencias, y generar recomendaciones para orientar las acciones de mejoramiento de la entidad pública.

 

Esta estructura está acompañada de un esquema de asignación de roles y responsabilidades para la gestión del riesgo y el control, el cual se distribuye en diversos servidores de la entidad, no siendo ésta una tarea exclusiva de las oficinas de control interno, tal como se explica a continuación:

 

a. Línea Estratégica:Corresponderá a la Alta Dirección establecer desde el Direccionamiento Estratégico los lineamientos necesarios para que los controles definidos para la entidad tengan un enfoque basado en riesgos y evaluarlos de forma sistemática en el marco del Comité Institucional de Control Interno.

 

b. 1ª Línea de Defensa: Corresponde a los servidores en sus diferentes niveles la aplicación de los controles tal como han sido diseñados, como parte del día a día y autocontrol de las actividades de la gestión a su cargo.

 

c. 2ª Línea de Defensa:Corresponde a la Media y Alta Gerencia, como son la Oficina de Planeación o quien haga sus veces, los Líderes de Proceso, Coordinadores, gerencias de riesgos (donde existan), entre otros, con el fin de ejecutar un seguimiento o autoevaluación permanente de la gestión, orientando y generando alertas a la 1ª línea de defensa.

 

d. 3ª Línea de Defensa:Corresponde a la Oficina de Control Interno o quien haga sus veces hacer el seguimiento objetivo e independiente de la gestión, utilizando los mecanismos y herramientas de auditoría interna, o bien estableciendo cursos de acción que generen alertas y recomendaciones a la administración, a fin de evitar posibles incumplimientos o materializaciones de riesgos en los diferentes ámbitos de la entidad.

 

Acorde con lo anterior, la Línea Estratégica debe definir lineamientos claros frente a la estructura de control, por lo que específicamente a través del componente Ambiente de Control debe generar los espacios para el análisis y seguimiento de los temas relacionados con el Talento Humano, la Integridad y la Planeación Estratégica, claves para que se cuente con ambiente propicio o favorable al control. De igual forma, a través de los demás componentes del MECI, podrá tomar decisiones basados en hechos y datos, ya que los miembros de 2ª línea que se identifiquen aportarán información a tiempo, con evaluaciones en términos de control y riesgos, lo que facilitará tomar acciones que eviten situaciones no deseadas en la entidad.

 

En este sentido, la 2ª Línea de Defensa lleva a cabo autoevaluación permanente de las actividades llevadas a cabo por la 1ª línea de defensa, por lo que su objetivo principal es asegurar que la primera línea está diseñada y opera de manera efectiva, es decir, que las funciones de la segunda línea de defensa informan a la Alta Dirección y/o son parte de ella y generan información clave para la toma de decisiones en tiempos diferenciados respecto de los seguimientos y evaluaciones de la tercera línea de defensa.

 

Por último, la 3ª línea de defensa la conforma la Oficina de Control Interno o quien haga sus veces en la entidad, quien lleva a cabo una evaluación independiente de la gestión, de forma coordinada con la 2ª Línea de Defensa.

 

De este modo, es claro frente al Sistema de Control Interno, el cual se lleva a operación a través del MECI y el Esquema de Líneas de Defensa como eje articulador, que su responsabilidad principal está en cabeza de la Alta Dirección a través de la Línea Estratégica y se desdobla en diferentes instancias con la 1ª, 2ª y 3ª línea de defensa, instancias que aportan información en tiempo real para la toma de decisiones.

 

Acorde con la anterior estructura, la segunda línea de defensa tiene un objetivo principal que es asegurar que la primera línea está diseñada y opera de manera efectiva, es decir, que las funciones de la segunda línea de defensa informan a la Alta Dirección y/o son parte de la misma generando información clave para la toma de decisiones en tiempos diferenciados respecto de los seguimientos y evaluaciones de la tercera línea de defensa.

 

Dentro de estas instancias se pueden encontrar auditores de calidad, medio ambiente, seguridad e higiene (donde se cuenta con sistemas bajo normas internacionales), gestión de riesgos, información financiera, entre otros que se definan y que evalúen a la primera línea de defensa.

 

De este modo, la segunda línea de defensa puede intervenir directamente sobre el desarrollo y autoevaluación de la gestión de riesgos y control interno, acciones que se complementan con la tercera línea de defensa, la cual proporciona aseguramiento independiente y objetivo al no participar directamente en la gestión.

 

En ese orden de ideas, corresponde a la Oficina de Control Interno de Gestión como tercera línea de defensa, encargada de realizar una evaluación independiente y objetiva sobre la efectividad del Sistema de Control Interno. Sin embargo, esta evaluación debe coordinarse con las instancias de la segunda línea de defensa (líderes de procesos, Oficina de Planeación, responsables de riesgos y sistemas voluntarios), quienes realizan monitoreo continuo sobre los procesos, riesgos e indicadores. Esta articulación permite consolidar información confiable, evitar duplicidad de esfuerzos y generar análisis integrales que faciliten la toma de decisiones. La OCI, como control de controles, complementa estas autoevaluaciones con aseguramiento independiente, verificando prácticas, metodologías, informes y acciones de mejora aplicadas.

 

Realización del seguimiento a los mecanismos de control definidos para los procesos y actividades, y promoción de la cultura del autocontrol y la mejora continua.

 

Así mismo, con base en la información anterior, corresponde a la Oficina de Control Interno de Gestión desarrollar estas actividades como parte de los roles definidos en el artículo 2.2.21.5.3 del Decreto 1083 de 2015, modificado por el Decreto 648 de 2017, los cuales incluyen la evaluación y el seguimiento, así como el enfoque hacia la prevención. Esto implica monitorear la efectividad de los controles, promover la cultura del autocontrol en la primera línea de defensa y articular acciones con la segunda línea, con el fin de garantizar la mejora continua. Adicionalmente, la OCI coordina con la alta dirección y el Comité Institucional de Control Interno para fortalecer el ambiente de control y asegurar que las decisiones se fundamenten en información confiable.

 

Auditoría del sistema de gestión integrado bajo las normas técnicas como ISO 9001, ISO 14001 y las demás que adopte la entidad

 

En primer lugar, se debe señalar que el Decreto 1499 de 2017 “Por medio del cual se modifica el Decreto 1083 de 2015, Decreto Único Reglamentario del Sector Función Pública, en lo relacionado con el Sistema de Gestión establecido en el artículo 133 de la Ley 1753 de 2015” establece lo siguiente:

 

“Artículo 2.2.22.1.1 SISTEMA DE GESTIÓN. El Sistema de Gestión, creado en el artículo 133 de la Ley 1753 de 2015, que integra los Sistemas de Desarrollo Administrativo y de Gestión de la Calidad, es el conjunto de entidades y organismos del Estado, políticas, normas, recursos e información cuyo objeto es dirigir la gestión pública al mejor desempeño institucional y a la consecución de resultados para la satisfacción de las necesidades y el goce efectivo de los derechos de los ciudadanos en el marco de la legalidad y la integridad. (Subrayado fuera del texto)

 

Artículo 2.2.23.1 Articulación del Sistema de Gestión con los Sistemas de Control Interno. El Sistema de Control Interno previsto en la Ley 87 de 1993 y en la Ley 489 de 1998, se articulará al Sistema de Gestión en el marco del Modelo Integrado de Planeación y Gestión -MIPG, a través de los mecanismos de control y verificación que permiten el cumplimiento de los objetivos y el logro de resultados de las entidades.

 

El Control Interno es transversal a la gestión y desempeño de las entidades y se implementa a través del Modelo Estándar de Control Interno –MECI.” (Subrayado fuera del texto).

 

A partir de la anterior reglamentación, se integró el Sistema de Desarrollo Administrativo y el Sistema de Gestión de la Calidad, definiéndose un solo Sistema de Gestión, el cual se articula con el Sistema de Control Interno a través del Modelo Estándar de Control Interno MECI.

 

Como producto de lo anterior, se define el Modelo Integrado de Planeación y Gestión – MIPG, el cual les permite a todas las entidades del Estado, planear, gestionar, evaluar, controlar y mejorar su desempeño, bajo criterios de calidad, cumpliendo su misión y buscando la satisfacción de los ciudadanos.

 

En este sentido, el mismo decreto 1499 de 2017 define en su artículo 5º lo siguiente:

 

Artículo 5. Vigencia y derogatorias. El presente decreto rige a partir de la fecha de su publicación. deroga el artículo 2.2.21.1.4, el segundo inciso del literal c. del artículo 2.2.21.2.2, el numeral 4 del artículo 2.2.21.2.4, el segundo y tercer incisos del literal e) del artículo 2.2.21.2.5, el artículo 2.2.24.3 y el Capítulo 6 del Título 21; sustituye los Títulos 22 Y 23 Y modifica el literal 1) del artículo 2.2.21.3.9, los artículos 2.2.21.3.14 y 2.2.24.4 del Decreto 1083 de 2015; deroga el Decreto 1826 de 1994 así como las normas y disposiciones que le sean contrarias. De acuerdo con lo dispuesto en el artículo 133 de la Ley 1753 de 2015, una vez sea expedido el presente Decreto, quedan derogados los articulas 15 al 23 de la Ley 489 de 1998 y la Ley 872 de 2003. (Subrayado fuera de texto)

 

Acorde con lo anterior la Ley 872 de 2003 queda derogada, por lo que pierden vigencia todos los decretos reglamentarios de la misma, como sería el Decreto 4485 de 2009 “Por medio la de la cual se adopta la actualización de la Norma Técnica de Calidad en la Gestión Pública”.

 

Se debe precisar que si bien la norma técnica de calidad NTCGP1000:2009 no se mantiene en su estructura con esta nueva reglamentación, el Modelo Integrado de Planeación y Gestión MIPG se constituye en sí mismo en un modelo de gestión de la calidad, por lo que será relevante revisar cuáles elementos del sistema de gestión actual pueden incorporarse y adaptarse con el fin de mantener los estándares de calidad en los procesos que se desarrollan.

 

En cuanto a la Norma ISO9001:2015, dentro del decreto reglamentario, se ha establecido lo siguiente:

 

“Artículo 2.2.22.3.12 Certificación de Calidad. Las entidades y organismos públicos, que lo consideren pertinente, podrán certificarse bajo las normas nacionales e internacionales de calidad. Las certificaciones otorgadas de conformidad con la Norma Técnica de Calidad en la Gestión Pública NTCGP 1000 Versión 2009 continuarán vigentes hasta la fecha para la cual fueron expedidas.” (Subrayado fuera de texto).

 

Acorde con lo anterior, las entidades podrán implementar y cuando consideren pertinente certificar sus Sistemas de Gestión de la Calidad bajo normas internacionales, como sería el caso de la ISO9001 u otras relacionadas con este mismo estándar internacional.

 

En consecuencia, si su entidad cuenta con sistemas de gestión bajo normas internacionales como la ISO9001:2015 y cuenta con certificación podrá dar sostenimiento de forma articulada con los lineamientos del Modelo Integrado de Planeación y Gestión MIPG, dado que su estructura está completamente alineada con dicha norma.

 

Es importante así mismo señalar, que estos estándares para todas las entidades son opcionales, por lo que en primera instancia se debe garantizar el cumplimiento del Modelo Integrado de Planeación y Gestión MIPG, el cual, tal como hemos expresado, se orienta a la gestión por resultados y a la generación de valor público, ejes centrales que van a permitir realmente que la calidad sea evidenciada por los usuarios o grupos de valor y no que se quede en un simple cumplimiento documental que no se ve reflejado en los resultados, así como en los productos y servicios que entregan.

 

De este modo será importante que si deciden avanzar con el sostenimiento de la norma ISO9001 lo hagan de forma paralela con la implementación del MIPG, a fin de garantizar su cumplimiento.

 

En consecuencia, es posible afirmar que las evaluaciones a sistemas de gestión bajo normas voluntarias (ISO9001:2015 u otras bajo este estándar), hacen parte de la segunda línea de defensa, por lo que deberán existir responsables o líderes internos que no necesariamente corresponde a la oficina de planeación o quienes hagan sus veces, quienes deben definir su estructura, formas de evaluación y mecanismos que permitan contar con información confiable que facilite la toma de decisiones, tanto a la primera línea de defensa como a la línea estratégica, es decir que corresponde a los líderes en los diferentes sistemas de gestión (calidad, seguridad y salud en el trabajo, ambiental, entre otros) como segunda línea de defensa llevarlas a cabo autónomamente con sus auditores formados en tales temas, verificando de forma articulada el cumplimiento de los atributos de calidad establecidos en MIPG entre otros aspectos. Por lo tanto, no se trata de un ejercicio independiente sino una actividad que es de la 2ª línea de defensa, con lo cual es viable adelantar estas auditorías de calidad, pero con el modelo como marco general, que es lo obligatorio para todas las entidades vinculando las normas voluntarias a él y no al revés.

 

Ahora bien, en cuanto a la relación de estas evaluaciones de segunda línea de defensa con la Oficina de Control Interno cómo la encargada de medir y evaluar la eficiencia, eficacia y economía de los demás controles (artículo 9º de la Ley 87 de 1993), en el marco del Modelo Estándar de Control Interno (7ª Dimensión de MIPG), en su componente Actividades de Monitoreo, donde convergen las evaluaciones de 2ª línea y la evaluación independiente como 3ª línea de defensa, se plantea el siguiente esquema para la evaluación articulada a sistemas bajo normas voluntarias así:

 

1 Atendiendo los lineamientos de normas internacionales, y en el entendido que la Oficina de Control Interno es control de controles, frente a las auditorías requeridas para el sostenimiento de sistemas bajo normas voluntarias, deberá coordinar la programación general de las auditorías, a fin de contar con un panorama completo de los procesos auditores que se llevarán a cabo durante la vigencia.

 

2 Esto requerirá que el Jefe de Control Interno se coordine con el Jefe de Planeación, así como con otros líderes internos, acorde con las normas voluntarias con las que cuente la entidad, a fin de analizar el número de auditorías para la vigencia que tiene previstas la Oficina de Control Interno en el marco de sus funciones más las necesarias para los sistemas que se van a evaluar, de manera tal que se definan las fechas para su ejecución, evitando recargar a los procesos y sus líderes con continuos procesos de auditoría que generan fatiga de auditoría y que pueden afectar los resultados esperados frente a tales evaluaciones.

 

Esta programación facilitará su ejecución, evitando cruces entre los auditores y generando un mejor flujo de información entre todas las instancias que intervienen.

 

Así mismo, estos análisis deberán observar los requerimientos de recursos financieros y/o humanos o de otro tipo como se señaló anteriormente a fin de someterlos a consideración de la alta dirección con la premisa de garantizar el desarrollo de las actividades de evaluación.

 

3 En cuanto a la ejecución de las auditorías a normas voluntarias, corresponderá a los líderes en los diferentes sistemas de gestión (calidad, seguridad y salud en el trabajo, ambiental, entre otros) como segunda línea de defensa llevarlas a cabo autónomamente con sus auditores formados en tales temas, verificando de forma articulada el cumplimiento de los atributos de calidad establecidos en MIPG, entre otros aspectos.

 

4 Dado que estas evaluaciones hacen parte integral del componente Actividades de Monitoreo del MECI (Dimensión 7 Control Interno), será relevante que para los cierres de informe definitivo puedan reunirse con la Oficina de Control Interno, a fin de analizar hallazgos comunes, conclusiones generales, entre otros aspectos, a fin de suministrar al Representante Legal y sus líderes un panorama claro, especialmente en relación con los planes de mejoramiento, ya que este elemento es fundamental para los procesos de mejora requeridos y su articulación facilita un análisis de causas con mayor efectividad.

 

5 Considerando que la Oficina de Control Interno es control de controles (tercera línea de defensa) deberá evaluar el ejercicio efectuado por la segunda línea de defensa en términos de los siguientes aspectos: i) objetivo y alcance; ii) Prácticas y metodologías; iii) Informes y acciones de mejora aplicadas; iv) efectividad de los sistemas en su impacto frente a la gestión en los temas que a cada uno compete, con lo cual se materializará la evaluación integral a la que nos hemos venido refiriendo.

 

Acorde con los anteriores lineamientos, me permito aclararle que las orientaciones determinadas para este tema obedecen a la actualización del Modelo Estándar de Control Interno MECI como la 7ª dimensión de MIPG y la incorporación del Esquema de Líneas de Defensa, por lo que no se trata de dejar de evaluar el sistema de gestión de la calidad, u otros que puedan incorporar voluntariamente las entidades, sino que la Oficina de Control Interno entrará a verificar lo ejecutado por parte de la 2ª línea generando recomendaciones para su mejora, así mismo, con alcances diferentes e información de contraste, debe pronunciarse sobre la efectividad de tales sistemas y su correcta articulación con el MIPG.

 

En este marco general, cada entidad debe considerar su situación actual, a fin de aplicar estos lineamientos con un sentido de realidad, proponiendo procesos de transición que faciliten su cumplimiento en un tiempo razonable, acorde con las condiciones actuales, recursos y otras consideraciones.

 

¿La Ley 872 de 2003 (y su artículo 7) sigue rigiendo la voluntariedad de la certificación de los Sistemas de Gestión de las entidades públicas, o existe normativa posterior que haya modificado esta disposición en relación con la ISO 9001 o la ISO 14001 y demás normas técnicas que adopte la entidad?

 

La Ley 872 de 2003, que creó el Sistema de Gestión de la Calidad en la Rama Ejecutiva y estableció la voluntariedad de la certificación, fue derogada por el artículo 133 de la Ley 1753 de 2015 (Plan Nacional de Desarrollo), derogatoria que se consolidó con la expedición del Decreto 1499 de 2017, mediante el cual se adoptó el Modelo Integrado de Planeación y Gestión (MIPG) como marco obligatorio para las entidades públicas.

 

En ese orden de ideas, las entidades públicas pueden adoptar voluntariamente normas internacionales como ISO 9001, ISO 14001 o ISO 45001 para fortalecer su gestión, sin existir obligación legal de certificarse; así lo confirma el artículo 2.2.22.3.12 del Decreto 1083 de 2015, que permite a las entidades certificarse cuando lo consideren pertinente.

 

Si una entidad del orden nacional implementa a cabalidad todas las dimensiones y políticas del MIPG (incluyendo la Gestión de la Calidad y la Gestión Ambiental), ¿se considera que ha cumplido con su obligación legal en materia de gestión, haciendo innecesaria la certificación externa en ISO 9001 o ISO 14001?

 

Sí, una entidad del orden nacional que implemente de manera completa todas las dimensiones y políticas del Modelo Integrado de Planeación y Gestión (MIPG), incluyendo la Gestión de la Calidad y la Gestión Ambiental, cumple con su obligación legal en materia de gestión pública, haciendo innecesaria la certificación externa en normas ISO como 9001 o 14001, ya que estas son voluntarias; no obstante, la entidad debe garantizar que su gestión ambiental se ajuste a la normativa vigente del Estado colombiano, pues ello sí constituye un requisito legal independiente del MIPG.

 

¿Existe alguna directriz o restricción por parte del DAFP o entes de control respecto al uso de recursos públicos para financiar los procesos de certificación y mantenimiento de las certificaciones ISO, teniendo en cuenta que el cumplimiento del MIPG es el requisito legal obligatorio para la gestión institucional?

 

No existe una prohibición expresa del DAFP ni de los entes de control para que las entidades públicas destinen recursos a certificaciones ISO (como ISO 9001 o ISO 14001); sin embargo, estas son voluntarias y no constituyen obligación legal, pues el requisito obligatorio es implementar el MIPG conforme al Decreto 1499 de 2017.

 

Finalmente los invitamos a consultar nuestro servicio de asesoría: Espacio Virtual de Asesoría – EVA, en la dirección: www.funcionpublica.gov.co/eva/, donde encontrará normas, jurisprudencia, conceptos, videos informativos, publicaciones de la Función Pública, entre otras opciones, las cuales serán de gran apoyo en su gestión.

 

El anterior concepto se imparte en los términos del artículo 28 del Código de Procedimiento Administrativo y de lo Contencioso Administrativo.

 

Cordialmente,

 

LUZ DAIFENIS ARANGO RIVERA

Directora de Gestión y Desempeño Institucional

 

Datos de quien Proyectó	Carlos Andrés Rodríguez
Datos de quien Revisó	Iván Arturo Márquez Rincón
Datos de Vo.Bo.
Código TRD	11302.8.2

 

NOTAS DE PIE DE PÁGINA

 

1 Ley 87 de 1993 “Por la cual se establecen normas para el ejercicio del control interno en las entidades y organismos del estado y se dictan otras disposiciones”