Embed Size (px)
Citation preview
COFL02 Página 1 de 15
SUPERINTENDENCIA NACIONAL DE SALUD
INFORME SEGUIMIENTO Y EVALUACIÓN
OFICINA DE TECNOLOGIAS DE LA INFORMACION
OFICINA DE CONTROL INTERNO
Bogotá, Noviembre de 2016
COFL02 Página 2 de 15
CONTENIDO
1. OBJETIVO ........................................................................................................................................................................ 3
2. ALCANCE ......................................................................................................................................................................... 3
3. MÉTODOLOGÍA .............................................................................................................................................................. 3
4. JUSTIFICACIÓN .............................................................................................................................................................. 3
5. INFORME .......................................................................................................................................................................... 4
5.1 CUMPLIMIENTO FUNCIONES ESTABLECIDAS MEDIANTE DECRETO 2462 DE 2013 ................................... 4
5.2 SEGUIMIENTO MAPA DE RIESGOS OPERACIONALES DEL PROCESO ........................................................... 4
5.3 SEGUIMIENTO MAPA DE RIESGOS DE CORRUPCIÓN DEL PROCESO ........................................................... 6
5.4 SEGUIMIENTO PLAN ANUAL DE GESTIÓN .............................................................................................................. 6
5.5 SEGUIMIENTO A RECOMENDACIONES DE LA OFICINA DE CONTROL INTERNO ..................................... 11
6. CONCLUSIONES Y RECOMENDACIONES ............................................................................................................. 14
COFL02 Página 3 de 15
1. OBJETIVO
La Oficina de Control Interno de la Superintendencia Nacional de Salud, en cumplimiento de sus
funciones y en atención al Plan Anual de Gestión – Plan Anual de Auditorías y Seguimientos
(PAAS), aprobado para la vigencia 2016 mediante Resolución 2639 de Diciembre de 2015; en el
mes de Noviembre de 2016, realizó seguimiento y evaluación a la gestión de la Oficina de
Tecnologías de la Información, cuyos procesos y procedimientos fueron aprobados mediante
resolución 4086 del 19 de Diciembre de 2014, creando grupos internos de trabajo y definiendo las
funciones para cada uno de ellos, mediante Resolución 1110 de 2015.
2. ALCANCE
La Oficina de Control Interno de la Superintendencia Nacional de Salud, en cumplimiento de sus
funciones legalmente asignadas, concentrará su atención en los tópicos que a continuación se
relacionan:
a. Cumplimiento de las funciones determinadas por el Decreto 2462 de 2013, para lo cual se hizo
muestra selectiva, escogiendo la función No. 19. De la mencionada norma.
b. Revisión de los riesgos asociados a los procesos y procedimientos de la Oficina de
Tecnologías de la Información (institucional y de corrupción)
c. Seguimiento al avance de las actividades programadas en el P.A.G., con corte 31 de Octubre
de 2016
d. Seguimiento a recomendaciones presentadas por la Oficina de Control Interno, en informes
anteriores.
3. MÉTODOLOGÍA
La metodología a seguir es la siguiente:
Anuncio del Seguimiento a la Oficina de Tecnologías de la Información y solicitud de
información, realizada mediante NURC 3-2016-020037 31 de Octubre de 2016.
Recopilación de información enviada por la Oficina de Tecnologías de la Información
Presentación del Informe de Seguimiento al Despacho del Señor Superintendente Nacional de
Salud
4. JUSTIFICACIÓN
De conformidad con las funciones contenidas en la Ley 87 de 1993, la Ley 1474 de 2011 y los
Decretos Reglamentarios 1826 de 1994 y 1537 de 2001, entre otras, corresponde a la Oficina de
Control Interno, verificar que el Sistema de Control Interno esté formalmente establecido dentro
de la organización y que su ejercicio sea intrínseco al desarrollo de las funciones de todos los
cargos; así como también, verificar que los controles asociados con todas y cada una de las
actividades de la organización estén adecuadamente definidos, sean apropiados y se mejoren
permanentemente, de acuerdo con la evolución de la Entidad.
COFL02 Página 4 de 15
5. INFORME
5.1 CUMPLIMIENTO FUNCIONES ESTABLECIDAS MEDIANTE DECRETO 2462 DE 2013
De acuerdo con el rediseño Institucional formalizado mediante el Artículo 11 del Decreto 2462 del
7 de Noviembre 2013, la Oficina de Tecnologías de la Información tiene asignadas 22 funciones,
de las que se escogió para el presente seguimiento, la función No. 19: “Coordinar con la Oficina de
Comunicaciones Estrategias e Imagen Institucional la incorporación de contenidos en la página web y el
óptimo aprovechamiento de las redes sociales, para la defensa de los derechos de los usuarios.”
La Oficina de Tecnologías de la Información mediante NURC 3-2016-021150 del 17 de Noviembre
de 2016, complementado con correo electrónico del 23 de Noviembre de 2016, informó que: “para
el cumplimiento de la función escogida para este seguimiento, durante la presente vigencia se han realizado
las siguientes actividades:
Se han establecido la creación y configuración de bibliotecas para cada una de las áreas que han venido realizando solicitudes.
Se han venido estableciendo mejoras y optimización en el portal frente a tiempos de respuesta en indexación y estabilidad de la plataforma.
Se adelanta la estandarización de las bibliotecas y vistas para cada una de las áreas.
Se realizó la creación del SITE PGIR https://supersalud.sharepoint.com/sites/pgir como respuesta al inconveniente de cargue de los vigilados para la Dirección para la Supervisión de Riesgos en Salud. Tal como se pudo evidenciar, se requieren permisos para acceder a éste. Una vez se accede se podrán consultar para las regiones Amazónica, Andina, Caribe, Orinoquía y Pacífico las entidades vigiladas que tienen suscritos planes de mejoramiento.
También se viene adelantado la solicitud de ampliación de recursos en memoria en las maquinas servidores donde se aloja la granja de SharePoint.”
Con lo informado; la Oficina de Control Interno puede concluir que se ha venido desarrollando la
función escogida para seguimiento anteriormente mencionada.
5.2 SEGUIMIENTO MAPA DE RIESGOS OPERACIONALES DEL PROCESO
Dentro de los seguimientos realizados durante la vigencia 2016 a la Oficina de Tecnologías de la
Información, para el presente ejercicio se incluyó un (1) riesgo institucional, con el fin de verificar
si esta dependencia tiene plenamente identificados los riesgos asociados a sus procesos, y
recoger evidencias de las acciones de mejora que se han implementado con el fin de mitigarlos
Dentro del mapa de riesgos, para el proceso de “Gestión de Servicios Tecnológicos”, se escogió
el siguiente:
PROCESO RIESGO DESCRIPCIÓN CAUSAS CONSECUENCIAS/EFECTOS
POTENCIALES
Gestión de Servicios Tecnológicos
Inadecuada ejecución y seguimiento al Plan Estratégico Institucional
Incumplimiento de las metas y objetivos propias del área y redunda en la ausencia de la falta de uso y apropiación de las soluciones tecnológicas
*Ausencia de recursos económicos. *Falta de compromiso de la alta dirección para el cumplimiento del PETIC. *Falta apropiación de PETIC al interior de la Oficina de Tecnologías de la Información. *Falta de capacidad técnica para el desarrollo de los proyectos.
*Falencias en la implementación de licenciamientos de software *Falencias en la prestación de servicios de tecnologías de la información para el cumplimiento Misional de la entidad *No utilización de sistemas de información implementados por parte de los usuarios
COFL02 Página 5 de 15
Para el tema de riesgos, la Oficina de Tecnologías de la Información da respuesta mediante NURC
3-2016-021150 del 17 de Noviembre de 2016, informando que para el riesgo “Inadecuada
ejecución y seguimiento al Plan Estratégico Institucional”, en los siguientes términos:
“… contamos con un Proyecto de Inversión en el que tenemos asignados $11.500.593.651 de los cuales a
la fecha hemos comprometido alrededor de $8.200.000.000, lo que va a representar un nivel de ejecución
en la actual vigencia de aproximadamente el 71%, incrementando de manera significativa lo logrado en el
2015.
Lo anterior ha sido posible en la medida que hemos trabajado conjuntamente con las diferentes
dependencias de la Entidad con relación a atender oportuna y pertinentemente las necesidades de servicios
y soluciones tecnológicas.
Dentro de lo logrado, se encuentra el mantenimiento en operación de la plataforma tecnológica representada
en los servicios de DataCenter, Conectividad, Telefonía IP, Internet, Correo Electrónico, Página Web,
Sistemas de Información como Supercor, Tasa, Jurisdiccional y Conciliación, RVCC, Humano de Nómina,
Biométrico, Supersiad, Interoperabilidades entre los diferentes SI, la formulación de la Arquitectura de TI, la
contratación de nuevos SI como son: Gestión Documental, PQR, Contratos, Inventarios, Cobro Coactivo,
Procesos Administrativos y Control Disciplinario, la contratación de la Mesa de Servicios de TI, la adquisición
de nuevos equipos, la solución de Telefonía IP y Videoconferencias, así como la implementación del
Subsistema de Seguridad de la Información.
Por lo expuesto, la OTI ha enfocado todos sus esfuerzos y recursos no solo a mitigar este riesgo, sino a
eliminarlo.”
OBSERVACIONES OFICINA DE CONTROL INTERNO
En la visita in situ y con los soportes aportados por la Oficina de Tecnologías de la Información,
se pudo verificar que, en relación con las nuevas adquisiciones, ya se tienen contrataciones para:
Gestor Documental
Mesa de Servicios
Adquisición de nuevos equipos, Solución de telefonía IP y videoconferencias
COFL02 Página 6 de 15
5.3 SEGUIMIENTO MAPA DE RIESGOS DE CORRUPCIÓN DEL PROCESO
La Oficina de Control Interno realizó seguimiento al Mapa de Riesgos de Corrupción, evidenciando
que la última versión correspondiente a la vigencia de 2016, está asociada a diez (10) procesos,
los cuales se describen a continuación:
OBSERVACIONES OFICINA DE CONTROL INTERNO
Se evidenció por parte de la Oficina de Control Interno que los Procesos y procedimientos a cargo
de la Oficina de Tecnologías de la Información, no tienen identificados Riesgos de Corrupción; lo
cual se pudo establecer de la revisión del Mapa de Riesgos, que se encuentra aprobado y
publicado en la Página Web de la Entidad con el código ASFT12, y que tiene identificados diez
(10) Riesgos de corrupción; por lo que esta Oficina recomienda que se revise en conjunto con la
Oficina Asesora de Planeación, la pertinencia de incorporar en el Mapa de Riesgos, riesgos de
corrupción para los procesos y procedimientos de la Oficina de Tecnologías de la Información, con
el fin de evitar que se lleguen a materializar riesgos que no se han contemplado hasta la fecha.
5.4 SEGUIMIENTO PLAN ANUAL DE GESTIÓN
La Oficina de Tecnologías de la Información hizo remisión de Avance a sus actividades
programadas en el Plan Anual de Gestión-vigencia 2016 a la Oficina Asesora de Planeación, de
la siguiente manera:
MES DE REPORTE NURC FECHA
Septiembre 3-2016-018789 11 de Octubre de 2016
Octubre 3-2016-020682 10 de Noviembre de 2016
La Oficina de Control Interno realizó seguimiento mediante muestreo, del avance del P.A.G.
correspondiente a los meses de Septiembre y Octubre de 2016 de la Oficina de Tecnologías de la
Información, tomando las siguientes actividades:
COFL02 Página 7 de 15
No PROCESO ACTIVIDAD NOMBRE INDICADOR
META PROPUESTA
al 31-10-2016
% AVANCE al 31-10-
2016
1 RS - Provisión de Soluciones Tecnológicas
Renovar, Adquirir e implementar infraestructura de TIC
Porcentaje de cumplimiento de los hitos y/o productos definidos en el cronograma-OTI/RS/01.
90 72
2 RS - Provisión de Soluciones Tecnológicas
Realizar mejoras a los servicios y a las funcionalidades de los Sistemas de Información existentes en la entidad
Porcentaje de cumplimiento de los hitos y/o productos definidos en el cronograma-OTI/RS/03
80 87
La Oficina de Tecnologías de la Información mediante NURC 3-2016-020682 del 10 de Noviembre
de 2016, reportó a la Oficina Asesora de Planeación avance al 31 de Octubre de 2016, sobre los
ítems seleccionados:
1. Para la actividad 1: RS - Provisión de Soluciones Tecnológicas. Renovar, Adquirir e implementar infraestructura de TIC
a. “Fortalecimiento a la Gestión y Gobierno de la O.T.I: El documento de anexo técnico, se
encuentra en ajustes para emitir segunda versión en donde se incorpora retroalimentación de la
primera versión realizado con el equipo de trabajo.
b. Sistema de información Humano.
Se suscribió Contrato 129 Soporte Lógico, con el objeto de Prestar el servicio de mantenimiento
periódico sistema de información.
Se han realizado reuniones con el proveedor en el cual se avanza en el proceso de diseño del
módulo de viáticos y se efectúa verificación del módulo desarrollado de viáticos 1ª. fase.
Se ha brindado el soporte funcional y no funcional a través de la mesa de ayuda y en forma
presencial para el apoyo de nómina y mantenimiento de la base de datos
Entrega de la versión 7.8 en producción y 7.9 en el ambiente de pruebas y se pasó a producción
c. ITS
Se realizó reunión con la Oficina Asesora de Planeación para la identificación de las nuevas
funcionalidades con la firma ITS para definir totalidad de requerimientos y horas de desarrollo. Se
recibe cotización y se elabora estudio previo para la contratación.
Se realizó contrato 174 con la Firma Software Shop de Colombia SAS
En la ejecución del Contrato 174 con la Firma Software Shop de Colombia SAS
Se recibieron los documentos del licenciamiento
Se realizó la instalación de las mismas en el pc de los usuarios.
d. ARCGIS
Se generaron órdenes de compra en Colombia Compra Eficiente con los códigos 10171 y 10172
Se realizó instalación en el servidor de las nuevas licencias y la actualización de las anteriores.
Se realizan las capacitaciones para los usuarios finales.
Se está realizando el proceso de construcción para institucional y protección
e. MICROSTRATEGY
Se realizó el Contrato 255 de 2016
Se recibió contenido de capacitación
Se solicitará a las áreas los designados para la capacitación
Se ha realizado consumo de 8 horas para rediseño del reporte de financiero.
COFL02 Página 8 de 15
f. Se realizó la ejecución del contrato el 183 entre tmconsulting y Supersalud
Se recibieron 5 switches, 3 access point y 1 UTM
g. Contrato 186 de 2016 entre UT Intelligent Bussines y Supersalud
• Se recibieron 4 servidores, 100 equipos AIO, 7 monitores, 9 discos duros, 3 escáner.
• Del contrato 186 está pendiente la entrega 100 memorias
h. En el contrato N° 130 -2016 en el mes de Octubre
• Se realizaron las actividades correspondientes para el mantenimiento y mejoras de la Infraestructura
tecnológica:
- Monitoreo de los servidores
- Adecuación de los servidores
- Mantenimiento de servidores
• Gestión de las políticas de directorio activo y solución de problemas de replicación.
• Se instaló y configuro un servidor físico para Directorio Activo de acuerdo a las buenas
• Se ajustó el servidor file Server para optimizar rendimiento
• Se realizó pago de factura mensual junio de este contrato, para mayor detalle ver informe del
contratista del mes de Julio.
i. En el contrato interadministrativo 205 de 2015
Se prestó el servicio de Telefonía IP.
j. En la orden de compra 4963 del Contrato 176 de 2015.
Se prestaron los servicios Contratados de Conectividad Pública y Privada para el mes de Octubre.
k. En la orden de compra 4962 del Contrato 177 de 2015.
Se prestaron los servicios de Datacenter (Nube privada)
l. Contrato 240 de 2016
Se realizó la evaluación técnica del proceso de subasta inversa SI-38-2016 y se adjudicó el proceso al
proponente UT Origen-voxcom-2016”.
a. Para la actividad 2: RS - Provisión de Soluciones Tecnológicas. Realizar mejoras a los
servicios y a las funcionalidades de los Sistemas de Información existentes en la Entidad.
En el mes de Octubre se realizaron las siguientes Actividades:
“SOPORTE PREMIER: CONTRATO 126 de 2016 entre las obligaciones están:
• Proveer a la Supersalud de un (1) ingeniero de sistemas o electrónico en sitio que trabaje
directamente en sus instalaciones hasta 244 horas de conformidad con lo establecido en el anexo
técnico. Durante el mes de octubre se consumieron 20 horas proactivas.
• Apoyo Caché de pertenencia a grupos universales 1 hora
• Revisión errores SharePoint 2 horas
• Configuración inicial de autenticación multifactor en Office 365 1 hora
• Pruebas de autenticación multifactor en Office 365 1 hora
• Revisión inicial opciones de DLP en Office 365 1 hora
COFL02 Página 9 de 15
• Apoyo problema con granja de SharePoint caída 1 hora
• Apoyo problema con granja de SharePoint caída (Remoto) 1 hora
• Revisión inicial opciones de recuperación granular de SharePoint 2 horas
• Revisión inicial acta requerimientos de RVCC 1 hora
• Apoyo falla con servicios de rastreo de SharePoint 3 horas
• Revisión backup de GPOs 2 horas
• Apoyo permisos en SQL para cuentas de SharePoint 1 hora
• Revisión errores SharePoint 1 hora
• Preparación inicial archivo XML para política DLP Office 365 2 horas
• Servicios Reactivos entregados en el periodo. 46 horas,
• Envió de correos electrónicos a través del cliente Outlook de más de 5000 solo se entregaron 700
y de forma repetida.
• Revisión de los correos para la identificar la situación de repetición de los correos.
• Revisión del content search webparts que no retorna resultados.
• Revisión del sharepoint 2013 para compartir y publicar contenidos.
SUPERSIAD
• Informe de avance mensual de la información objeto de depuración y filtración con miras a la
migración al nuevo sistema de información, determinando en el porcentaje de avance a la fecha.
• Se atendió de manera oportuna los requerimientos presentados por la Coordinación del Grupo
Secretaria Delegada de Procesos Administrativos, para ordenar la actualización de datos que de
manera inconsistente aparecen registrados en la base de datos SIAD, labor de depuración y
filtración de datos previa a la migración de información al nuevo sistema a implementar.
• A la fecha de este informe se encuentran registrados en el Sistema de Investigaciones
Administrativas SUPERSIAD, 13310 expedientes que Se validó con el usuario final de Secretaria
General Sra. Olga Gutierrez, encargada del registro de actuaciones de numeración de actos
administrativos proyectados y firmados para resolver recursos de Apelación (segunda instancia), los
datos registrados correspondientes a los actos emitidos durante el presente año (2016), quedando
depurada la base de datos SIAD.
• Se validó el registro de actuaciones de actos administrativos proyectados y firmados para resolver
recursos de Reposición, emitidos durante el presente año (2016) por la Delegada de Procesos
Administrativos, depurando la base de datos SIAD, por este concepto, de acuerdo a la información
suministrada por la Coordinadora del Grupo de Secretaria de la Delegada de Procesos
Administrativos según informe enviado por la OTI para analizar dicha situación.
• Se genera y entrega a la Coordinadora del Grupo de Secretaria de la Delegada de Procesos
Administrativos, el informe con las cifras estadísticas y relación de los Actos Administrativos
proyectados y emitidos por la Delegada durante el año 2016, que presentan de manera eventual
posible inconsistencia en el número del acto administrativo (resolución o auto), para verificar de
manera puntual la situación de cada expediente y determinar cuál es el tipo de corrección que se
debe aplicar para depurar la base de datos SIAD, dejando el registro de la actuación de numeración
verificado y consistente con los soportes físicos del expediente.
• Se aprobó con el Ing. Jeison Gomez del grupo de Aplicaciones de T.I., las pruebas, de las
correcciones realizadas al aplicativo SUPERSIAD, para subsanar el error que se venía presentando
al registrar de manera concurrente por las áreas usuarias, las actuaciones de la acción de: sanción,
reposición y apelación que se interponen a los vigilados investigados, se solicita al Grupo de
Infraestructura instalar en producción esta nueva versión SUPERSIAD.
• Informe final del histórico de los ajustes, cambios, modificaciones, adiciones y/o eliminación de las
actuaciones de los procesos que se realizaron en el sistema SUPERSIAD, junto con sus respectivas
autorizaciones
• Se atendieron por solicitud de las áreas usuarias del aplicativo SUPERSIAD los requerimientos y
autorizaciones de modificación de datos y/o actuaciones de expedientes que presentan
inconsistencia en los registros procesales históricos, cambio que se realiza directamente sobre la
base de datos, para el periodo de este informe se atendieron aproximadamente 208 solicitudes.
COFL02 Página 10 de 15
• Se genera y entrega a la Delegada de Procesos Administrativos (Dr. Leonardo Maestre) informe
mensual de cifras estadísticas consolidadas con la cantidad de expedientes para tramite ubicados
en la Delegada y Grupo de Notificaciones, Cantidad de Actos administrativos emitidos por la
Delegada durante el periodo ENE 01 – OCT 31 2016, Lista detallada de los expedientes en trámite,
Lista detallada de los actos administrativos emitidos por la Delegada, Lista detallada de los
expedientes en trámite clasificados cronológicamente de acuerdo a la fecha de los hechos
incluyendo el sitio donde ocurrieron los hechos.
• Se genera y remite a la Coordinadora Grupo Secretaria de la Delegada Procesos Administrativos
con fecha octubre 25, el reporte con el estado de los expedientes activos (ubicación cód. 91 o 21)
que presentan la actuación “ELABORACION PROYECTO DE RESOLUCION”, acto administrativo
que no tiene número de resolución, esta información es soporte para la revisión
• Se atendieron por solicitud de las áreas usuarias del aplicativo SUPERSIAD los requerimientos y
autorizaciones de modificación de datos y/o actuaciones de expedientes que presentan
inconsistencia en los registros procesales históricos, cambio que se realiza directamente sobre la
base de datos, para el periodo de este informe se atendieron aproximadamente 125 solicitudes, en
el informe general se detallan estas novedades de manera individual, Ítem Actualizaciones octubre
2016.
• Se realiza el procedimiento de respaldo de información correspondiente a las solicitudes para
atender y resolver los requerimientos resueltos durante el periodo de este informe, manteniendo en
el Outlook de correspondencia los correos recibidos y respondidos a las áreas usuarias y usuarios
finales.
• Otras actividades adelantadas para el cumplimiento de obligaciones específicas asociadas al objeto
del contrato
• Se atendió el requerimiento para actualizar la tabla de Prestadores según solicitud de la Delegada
de Procesos Administrativos para incluir personas naturales.
• Se crearon nuevos usuarios finales para la Delegada de Procesos Administrativos.
• Se atendió el requerimiento de consulta a la base de datos SIAD, para generar informes del estado
y registro de actuaciones de los procesos administrativos sancionatorios históricos y en proceso,
para apoyar a la Delegada de Procesos, en la gestión de responder oportunamente las solicitudes
internas y externas de información.
• Se atendió la invitación a participar en la reunión para realizar la revisión de los estudios previos
para la apertura del proceso de contratación para el Desarrollo e implementación de un sistema de
información para la gestión del procedimiento administrativo y la gestión del proceso de las
actuaciones disciplinarias de la Superintendencia Nacional de Salud, licenciamiento de un
automatizador para flujos de trabajo (Workflow Management System o superior) y servicios conexos
OBSERVACIONES OFICINA DE CONTROL INTERNO
De acuerdo a las evidencias aportadas y entrevista sostenida con la Oficina de Tecnologías de la
Información, la Oficina de Control Interno concluye que la mencionada dependencia viene
realizando las actividades encaminadas al cumplimiento de los objetivos definidos en su Plan
Anual de Gestión, a pesar que debido a las decisiones y directrices impartidas por la Alta Dirección
y por las dependencias usuarias, han forzado a esta Oficina a cambiar las prioridades de sus
proyectos, situación que se ve reflejada en el porcentaje de avance de cumplimiento de las
actividades escogidas para esta revisión, lo que llevó a que una de las actividades seleccionadas
en el muestreo ejecutado por esta Oficina, se cumpliera a cabalidad y el otro presentara algún
retraso, incumpliendo con la meta propuesta en el Plan Anual de Gestión.
COFL02 Página 11 de 15
5.5 SEGUIMIENTO A RECOMENDACIONES DE LA OFICINA DE CONTROL INTERNO, EN
INFORMES ANTERIORES
5.5.1 Se revisaron las acciones adelantadas por la Oficina de Tecnologías de la Información, sobre
los hallazgos de la Auditoría de Calidad, realizada en Octubre de 2015 y radicada con NURC
3-2015-020639, evidenciando que aún continúan sin ser resueltos los siguientes temas:
a. En el procedimiento “Gestión de arquitectura de tecnologías de la información”, con
código RSPD01-Versión 3, la cual tiene fecha de modificación el “21/10/2016”, la Oficina
de Control Interno pudo verificar que, en los puntos de control en el campo “frecuencia”,
sigue apareciendo el nombre de la “Oficina de Tecnologías de la Información”, tal como
se aprecia en la siguiente imagen.
b. En el procedimiento “Gestión de arquitectura de tecnologías de la información”, con
código RSPD01-Versión 3, la cual tiene fecha de modificación el “21/10/2016”, la Oficina
de Control Interno pudo verificar que en la actividad No. 7 se hace referencia al formato
COFT02, a pesar de encontrarse en la última hoja (control de cambios) de este
procedimiento, el ajuste del error de digitación COFL02, tal como se aprecia en la
siguiente imagen.
COFL02 Página 12 de 15
De acuerdo con lo anterior, la Oficina de Control Interno reitera recomendación formulada
en informes anteriores, que la Oficina de Tecnologías de la Información efectúe
verificación y seguimiento de los ajustes solicitados a la Oficina Asesora de Planeación
en la documentación relacionada con sus procesos y procedimientos, ya que al consultar
el procedimiento en el portal web (Mapa de Procesos), el procedimiento no refleja el ajuste
solicitado; en especial lo relacionado con el formato eliminado y anunciado dentro del
procedimiento, así como el ajuste al error que aparece en la “frecuencia” de los puntos
de control del mismo.”
Al realizar seguimiento a estas recomendaciones, la Oficina de Control Interno pudo evidenciar
que aún siguen pendientes los temas antes enunciados, ya que como lo indica la Oficina de
Tecnologías de la Información “se continúa trabajando en las mejoras de los procedimientos”.
5.5.2 La Oficina de Control Interno mediante NURC 3-2016-012672 del 1º de Julio de 2016,
presentó informe de Auditoría a los Subsistemas del Sistema Integrado de Gestión, en el
cual se establecieron No conformidades a cargo de la Oficina de Tecnologías de la
Información, las cuales se transcriben a continuación:
“Proceso de Gestión de Servicios Tecnológicos”:
“Observaciones
1. Verificar integralmente los procedimientos, formatos, indicadores de gestión, matriz de
riesgos y en general toda la documentación de los cinco (5) procedimientos que hacen parte
del proceso Gestión de servicios tecnológicos.
Asimismo, trabajar conjuntamente con la Oficina Asesora de Planeación para realizar los
ajustes a los mismos y subsanar los hallazgos que se relacionan a continuación:
Procedimiento Gestión de Cambios:
En definiciones, hacer más explícita la definición del “Comité de Cambios” o el nombre
que se le haya definido, por ejemplo, quiénes (cargos) y cuántos son los miembros del
“Comité”, cada cuánto se reúnen, etc.
En relación con la política 3 se debe precisar para qué tipos de cambios son
aplicables. Asimismo, evaluar la pertinencia de implementar un formato para identificar de
forma clara: “el objetivo, los beneficios esperados y los ámbitos a los cuales el cambio
aportará mejoras el cambio, los indicadores que se verán favorecidos con el cambio, los
recursos requeridos y los actores a quienes impacta el cambio”. Si ya está definido, debe
relacionarse dentro del documento.
En este procedimiento, la actividad No. 5 se define como “aprobar cambio según
riesgos e impacto”, pero en el mapa de riesgos, el proceso no tiene este riesgo asociado,
por lo que se debe verificar y solicitar el ajuste al mapa de riesgos.
En este procedimiento, en políticas de operación se menciona un “procedimiento de
rollback”; si se requiere como procedimiento, hace falta su definición, codificación e
implementación.
COFL02 Página 13 de 15
Procedimiento Control de Software Misionales de la Entidad:
No Conformidad
1. En la revisión documental del proceso Gestión de Servicios Tecnológicos y sus
procedimientos, se establece una No Conformidad al numeral 4.2.3 “Control de
Documentos”, enunciados en la norma NTCGP 1000:2009, la cual expresa: “revisar y
actualizar los documentos cuando sea necesario y aprobarlos nuevamente”, situaciones que
se evidencian con los siguientes hallazgos:
Las definiciones no atienden a un orden lógico. Para facilitar la búsqueda de términos,
y organizarlas en orden alfabético.
Verificar las definiciones y eliminar las que se encuentren repetidas, tanto en los
procedimientos como en las guías.
Incluir otras definiciones, las cuales podrían ayudar a la interpretación de los
procedimientos; por ejemplo: herramientas tecnológicas, rollback.
Verificar la redacción, ya que en algunos casos no es comprensible la idea que se
plantea.
En normas, se relaciona la Resolución 001621 de 2014, por medio de la cual se crean
los grupos internos de trabajo de la Oficina de Tecnologías de la Información, pero no se
incluye la resolución 1110 de 2015, la cual deroga la Resolución 1621 de 2014.
Unificar la definición de “CA Service Desk”, ya que en algunos apartes aparece como
“AC Service Desk”
En entrevista sostenida con la Oficina de Tecnologías de la Información, se informó a la Oficina
de Control Interno que a la fecha se ha suscrito Plan de Mejoramiento en el aplicativo ITS y que
ya se definieron los indicadores de PAG, se continúa trabajando en la Matriz de Riesgos y en los
demás documentos relacionados en la NO Conformidad establecida en la auditoría realizada en
Junio de 2016.
5.5.3 La Oficina de Control Interno mediante NURC 3-2016-016298 del 31 de Agosto de 2016,
presentó informe de Auditoría al Subsistema de Seguridad de la Información, en el cual se
registraron para los cuatro (4) procesos objeto de evaluación, Conformidades, No
Conformidades Mayores, No Conformidades Menores y Observaciones; distribuidas de
la siguiente manera:
“a. Procesos de Gestión de Servicios Tecnológicos y de Provisión de Soluciones
Tecnológicas: tres (3) Conformidades, dos (2) No Conformidades Mayores, nueve
(9) No Conformidades Menores y nueve (9) Observaciones
b. Procesos de Gestión de Participación Ciudadana En El Sistema SGSSS y de
Gestión de Atención al Usuario del Sistema SGSSS: dos (2) Conformidades y ocho
(8) No Conformidades Menores.”
A efectos de registrar en el Sistema Integrado de Planeación y Gestión-ITS, se clasificaron las no
conformidades y observaciones, separándolas por cada uno de los procesos, quedando de la
siguiente manera:
COFL02 Página 14 de 15
PROCESO NO
CONFORMIDAD OBSERVACION
Gestión de Servicios Tecnológicos 5 0
Provisión de Soluciones Tecnológicas 3 1
Gestión de Participación Ciudadana en el SGSSS 3 0
Gestión de Atención al Usuario del SGSSS 4 0
Subsistema de Seguridad de la Información 8 3
En verificación efectuada por la Oficina de Control Interno al líder del Subsistema de Seguridad de
la Información (Oficina de Tecnologías de la Información), relacionada con el avance al plan de
mejoramiento radicados en el Sistema Integrado de Planeación y Gestión ITS, encontrándose que
todos fueron atendidos y cerrados en el aplicativo en mención, quedando pendiente el tramite que
en la herramienta tecnológica debe realizar la Oficina Asesora de Planeación.
PROCESO FINALIZADOS PENDIENTES
Gestión de Servicios Tecnológicos 5 0
Provisión de Soluciones Tecnológicas 4 0
Gestión de Participación Ciudadana en el SGSSS 3 0
Gestión de Atención al Usuario del SGSSS 4 0
Subsistema de Seguridad de la Información 11 0
6. CONCLUSIONES Y RECOMENDACIONES
De acuerdo a las evidencias aportadas y entrevistas sostenidas con la Oficina de Tecnologías
de la Información y en concordancia con las funciones y actividades definidas para esa
dependencia, la Oficina de Control Interno concluye que la mencionada dependencia viene
realizando las actividades encaminadas al cumplimiento de los objetivos definidos en su Plan
Anual de Gestión; a pesar que debido a las decisiones y directrices impartidas por la Alta
Dirección y las decisiones tomadas por las dependencias usuarias, que han forzado a la
Oficina de Tecnologías de la Información a cambiar las prioridades de sus proyectos, situación
que se ve reflejada en el porcentaje de avance de cumplimiento de las actividades escogidas
para esta revisión, en la que una de las tomadas como muestreo cumplió con la meta
establecida en el PAG, mientras que la otra seleccionada no se cumplió.
Se recomienda a la Oficina de Tecnologías de la Información, gestionar ante la Oficina Asesora
de Planeación, la revisión y ajuste de sus indicadores derivados de los Procesos y
Procedimientos que se ejecutan y con base en esto, adaptar el Plan Anual de Gestión a fin de
establecer metas que resulten posibles o que se ajusten a lo programado, ya que como se
indicó anteriormente, sus cumplimientos se ven afectados por decisiones administrativas y de
las dependencias usuarias. Para lo anterior, se puede contar con el apoyo de la oficina Asesora
de Planeación, la que en estos momentos viene trabajando con las diferentes dependencias
de la Institución; en la Estructuración de la Planeación Estratégica de la Vigencia 2.017
De acuerdo con el seguimiento que se ha realizado y cuyo informe se presenta con este
documento, la Oficina de Control Interno reitera de manera respetuosa y comedida
recomendación a la Oficina de Tecnologías de la Información; para que cuando se soliciten
modificaciones a los documentos formalizados y que contienen sus procesos, procedimientos,
guías, manuales, etc., se haga la correspondiente validación y verificación, en ejercicio del
principio de autocontrol que establece el modelo estándar de control interno, situación que
permite lograr un mejoramiento continuo en todas las actividades y procesos y procedimientos
de la dependencia que ahora ocupa este informe.
COFL02 Página 15 de 15
Se evidenció por parte de la Oficina de Control Interno que, los Procesos y procedimientos a
cargo de la Oficina de Tecnologías de la Información no tienen identificados Riesgos de
Corrupción, lo cual se pudo establecer de la revisión del Mapa de Riesgos, que se encuentra
aprobado y publicado en la Página Web de la Entidad con el código ASFT12, y que tiene
identificados diez (10) Riesgos de corrupción; por lo que esta Oficina recomienda que se revise
en conjunto con la Oficina Asesora de Planeación, la pertinencia de incorporar riesgos de
corrupción para los procesos y procedimientos de la Oficina de Tecnologías de la Información,
con el fin de evitar que se materialicen riesgos que no se han contemplado hasta la fecha.
La Oficina de Control Interno quiere exponer que las recomendaciones de sus informes se
realizan en aras de lograr el mejoramiento continuo de los procesos y procedimientos
Institucionales, para lo cual se implementó en la presente vigencia los seguimientos
bimensuales a través de Padrinos y Enlaces, esperando que al cierre del año 2016, el balance
de las dependencias en cumplimiento de sus actividades, pueda verse reflejado con el logro
de metas y objetivos institucionales; por lo que queremos dejar plasmado en este informe,
nuestro agradecimiento en el apoyo brindado por los Profesionales asignados para esta tarea
y en el oportuno suministro de evidencias, en procura de cumplir con el objetivo ahora
expuesto.
Cordialmente,
JUAN DAVID LEMUS PACHECO
Jefe Oficina de Control Interno
Proyectó: Eddna Dueñas Monsalve, Ingeniera de Sistemas-Oficina de Control Interno
