Los mapas de riesgos en las entidades públicas son elementos fundamentales para poder garantizar el cumplimiento de los objetivos de los procesos de las organizaciones y así de la misionalidad de la entidad. Sin embargo, la gestión del riesgo no solo se basa en la creación de un mapa de riesgos y su gestión de controles, sino también depende de otros esquemas y herramientas. Uno de estos esquemas es el modelo de líneas de defensa, el cual es divulgado por la entidad líder de la política de control interno a nivel nacional, es decir, del Departamento Administrativo de la Función Pública.

Este esquema define los responsables y sus roles por cada línea de defensa, como se explica a continuación:

• Línea estratégica: ejercida por la alta dirección como la Junta Directiva y Comités de alto nivel, cuya responsabilidad es gobernar la gestión del riesgo, definir y aprobar la Política de Gestión del Riesgo y supervisar el cumplimiento de dicha política.

• Primera línea de defensa: ejercida por los lideres de proceso y gerentes o referentes de temas, los cuales deben gestionar directamente los riesgos mediante su identificación, análisis, valorización, monitoreo y generación de acciones de tratamiento.

• Segunda línea de defensa: ejercida por los lideres de temas transversales de la entidad, como jefes de planeación (en temas de gestión), encargado contractual (riesgos contractuales), jefe de talento humano (seguridad y salud en el trabajo), etc. Su función es definir la operación de la gestion del riesgo, acompañar a la primera línea, asegurar los controles, monitoreas los riesgos y controles; además de impulsar la gestión del riesgo.

• Tercera línea de defensa: esta dada por las Oficinas de Control Interno, cuyo rol y responsabilidad es proporcionar información sobre la efectividad del Sistema de Control Interno a través de un enfoque basado en riesgos, incluida la operación de la primera y segunda línea de defensa; esto incluye realizar auditorias o evaluación de forma independiente y objetiva, y realizar seguimiento a los riesgos de las entidades verificando la efectividad de los controles.

Con este esquema se pretende garantizar la gestión del riesgo en todas las entidades.

Ahora bien, hay que resaltar el esfuerzo del Distrito Capital en generar acciones para mejorar esta gestión del riesgo. La Secretaria General de la Alcaldía de Bogotá implementó el esquema de mapas de aseguramiento mediante la expedición de la circular 103 del 2020, en primera instancia este esquema pretende asegurar aspectos claves estrategicos de la entidad, dando mas responsabilidad a la primera y segunda línea de defensa en la gestión de los riesgos operativamente hablando. En segundo lugar, este mapa pretende aunar esfuerzos en el plan de auditorías con su resultado, pues los aseguramientos altos del mapa no deben ser objeto de auditoria de por parte de dichas oficinas.

Así las cosas, los pasos para implementar un mapa de aseguramiento son:

1. Identificar aspectos claves a asegurar:

Identificar los aspectos estratégicos claves por proceso que requieren aseguramiento de 2da línea, estos pueden ser procedimiento, actividades, programas, proyectos, planeas, sistemas de información, sistemas integrados de gestion entre otros.

2. Asociar riesgos y controles:

Identificar los riesgos estratégicos y controles asociados a cada uno de los aspectos a ase­gurar.

3. Definir los servicios de aseguramiento y proveedores internos:

Analizar si los aspectos identificados requieren aseguramiento de 2ª línea de defensa, y cuáles son las funciones o servicios de aseguramiento (controles) y los proveedores (responsables) internos de dichos servicios.

4. Medir el nivel de confianza y resultados:

Definir los criterios que van a permitir medir el nivel de confianza del servicio de asegura­miento y analizar los resultados.

5. Realizar el seguimiento y actualización del mapa:

Revisar y actualizar el mapa de aseguramiento de forma periódica.

De esta manera, los beneficios de la implementación de este mapa de aseguramiento son: brindar información a la Alta Dirección frente a la gestión de riesgos y los controles, para la toma de decisiones; fortalecer el esquema de líneas de defensa, mediante la definición de los roles y responsabili­dades en las actividades de monitoreo y revisión, mejorando los flujos de comunicación e in­formación, logrando una mayor sinergia en toda la entidad para la gestión de riesgos y control; permite coordinar los servicios de aseguramiento interno, su oportunidad y alcance, evitando la fatiga de la auditoria dentro de las áreas o procesos a evaluar, minimizando la duplicidad de esfuerzos y optimizando los recursos; ayuda a la oficina de control interno o auditoría interna (tercera línea de defensa) a facilitar una comprensión clara de la cobertura de riesgos y aseguramiento en toda la organización, lo que le sirve de insumo para la definición de su Plan Anual de Auditoría; aumenta la comprensión de la organización frente a los aspectos o factores clave de éxito que requieren aseguramiento por parte de la 2ª segunda línea; mejora la gestión de riesgos, ampliando la cobertura de riesgos sin incrementar las horas de auditoría interna.

En este sentido, es de vital importancia que este esquema sea adoptado por cada una de las administraciones públicas del país, ya sea por iniciativa de los entes territoriales o por la adopción del esquema por parte del DAFP.