INFORME SEGUIMIENTO Y EVALUACIÓN OFICINA … · definieron los componentes que fundamentan la...

COFL02 Página 1 de 21

SUPERINTENDENCIA NACIONAL DE SALUD

INFORME SEGUIMIENTO Y EVALUACIÓN

OFICINA DE TECNOLOGIAS DE LA INFORMACION

OFICINA DE CONTROL INTERNO

Bogotá, Mayo de 2016


CONTENIDO

1. OBJETIVO ........................................................................................................................................................................ 3

2. ALCANCE ......................................................................................................................................................................... 3

3. MÉTODOLOGÍA ............................................................................................................................................................... 3

4. JUSTIFICACIÓN .............................................................................................................................................................. 3

5. INFORME .......................................................................................................................................................................... 4

5.1 CUMPLIMIENTO FUNCIONES ESTABLECIDAS MEDIANTE RESOLUCION 2462 DE 2013 .............................. 4

5.2 SEGUIMIENTO MAPA DE RIESGOS OPERACIONALES DEL PROCESO ........................................................... 11

5.3 SEGUIMIENTO MAPA DE RIESGOS DE CORRUPCIÓN DEL PROCESO ........................................................... 13

5.4 SEGUIMIENTO PLAN ANUAL DE GESTIÓN .............................................................................................................. 13

5.5 SEGUIMIENTO A LAS RECOMENDACIONES PRESENTADAS POR LA OFICINA DE CONTROL

INTERNO EN INFORMES ANTERIORES ........................................................................................................................... 17

6. CONCLUSIONES Y RECOMENDACIONES ............................................................................................................. 21


1. OBJETIVO

La Oficina de Control Interno de la Superintendencia Nacional de Salud, en cumplimiento de sus

funciones y en atención al Plan Anual de Gestión – Plan Anual de Auditorías y Seguimientos (PAAS),

aprobado para la vigencia 2016 mediante Resolución 2639 de Diciembre de 2015, realizará

seguimiento y evaluación a la gestión de la Oficina de Tecnologías de la Información, cuyos procesos

y procedimientos fueron aprobados mediante resolución 4086 del 19 de Diciembre de 2014,

adicionando un procedimiento mediante Resolución 1110 de 2015.

2. ALCANCE

La Oficina de Control Interno de la Superintendencia Nacional de Salud, en cumplimiento de sus

funciones legalmente asignadas, concentrará su atención en los tópicos que a continuación se

relacionan:

a. Cumplimiento de las funciones determinadas por el Decreto 2462 de 2013, a través del

seguimiento al avance de las actividades programadas en el P.A.G. de los meses de Febrero,

Marzo y Abril de 2016, por parte de la Oficina de Tecnologías de la Información.

b. Revisión de los riesgos asociados (institucional y de corrupción) al procedimiento para el proceso

de “Provisión de Soluciones Tecnológicas”.

c. Seguimiento a recomendaciones presentadas en el pasado por la Oficina de Control Interno en

informes de seguimiento.

3. MÉTODOLOGÍA

La metodología a seguir es la siguiente:

Anuncio del Seguimiento a la Oficina de Tecnologías de la Información y solicitud de información,

mediante memorando NURC 3-2016-008462 del 3 de Mayo de 2016

Trabajo de campo (visita in-situ) y recopilación de información enviada

Presentación del Informe de Seguimiento al Despacho del Señor Superintendente Nacional de

Salud

4. JUSTIFICACIÓN

De conformidad con las funciones contenidas en la Ley 87 de 1993, la Ley 1474 de 2011 y los

Decretos Reglamentarios 1826 de 1994 y 1537 de 2001, entre otras, corresponde a la Oficina de

Control Interno, verificar que el Sistema de Control Interno esté formalmente establecido dentro de la

organización y que su ejercicio sea intrínseco al desarrollo de las funciones de todos los cargos; así

como también, verificar que los controles asociados con todas y cada una de las actividades de la

organización estén adecuadamente definidos, sean apropiados y se mejoren permanentemente, de

acuerdo con la evolución de la entidad.


5. INFORME

La Oficina de Control Interno de la Superintendencia Nacional de Salud, en cumplimiento de las

funciones asignadas por la Ley, en especial, lo preceptuado en la Ley 87 de 1993 y demás normas

concordantes y en atención a las actividades definidas en el Plan Anual de Gestión (PAG)-Plan Anual

de Auditorías y Seguimientos (PAAS) correspondientes a la Vigencia 2016, durante el mes de Mayo

realizó seguimiento y evaluación a la Oficina de Tecnologías de la Información sobre las actividades

realizadas durante los meses de Febrero, Marzo y Abril de 2016, para lo cual la Oficina de

Tecnologías de la Información da respuesta a la solicitud formulada por la Oficina de Control Interno

con el NURC 3-2016-009233 del 17 de Mayo de 2016, temas que fueron complementados en las

entrevistas sostenidas con miembros de esta Oficina.

5.1 CUMPLIMIENTO FUNCIONES ESTABLECIDAS MEDIANTE RESOLUCION 2462 DE 2013

De acuerdo con el rediseño Institucional formalizado mediante el Artículo 11 del Decreto 2462 del 7

de Noviembre 2013, la Oficina de Tecnologías de la Información tiene asignadas 22 funciones, la

cuales se pueden verificar con el cumplimiento de las actividades registradas en el Plan Anual de

Gestión-Vigencia 2016, que se desarrolla en el numeral 5.4 de este mismo documento.

Para el desarrollo de sus funciones, la Oficina de Tecnologías de la Información cuenta con la

siguiente estructura, la cual fue presentada en informe de Seguimiento de esa Oficina, mediante

NURC 3-2016-003820 del 26 de Febrero de 2016:

La Oficina de Tecnologías de la Información para el cumplimiento de sus funciones, ha reforzado sus

Grupos Internos de Trabajo, de la siguiente manera:


Grupo Administración y Seguridad de la Información

Dentro de las funciones de este Grupo, está la de “atender todos los asuntos de carácter

administrativo y liderar operativamente la implementación del Subsistema de Seguridad de la

Información”.

En desarrollo de la Estrategia de Gobierno en Línea- GEL se establecieron lineamientos mediante

los Decretos 2573 de 2014 y 1078 de 2015 y complementados en el Manual GEL del Ministerio de

las TICS, en el cual se exige la implementación de un Sistema de Seguridad de la Información para

las Entidades del nivel central, de las cuales hace parte la Superintendencia Nacional de Salud. En

este orden, el artículo 5 del Decreto 2573 de 2014 y el artículo 2.2.9.1.2.1 del Decreto 1078 de 2015,

definieron los componentes que fundamentan la estrategia de Gobierno en Línea (GEL) y cuya

finalidad consiste en facilitar la masificación de la oferta y la demanda en GEL, a saber:

1. TIC para Servicios

2. TIC para el Gobierno abierto

3. TIC para la Gestión

4. Seguridad y privacidad de la Información

Por lo anterior su planta de personal, se compone de la siguiente manera:

FUNCIONARIOS:

NOMBRE PROFESION

Manuel Guillermo Acero Gutiérrez Coordinador-Profesional Especializado, Carrera Administrativa

Carlos Julián Duarte Suárez Asesor Libre Nombramiento y Remoción

Sindy Melisa Losada Suárez Profesional Especializado - Provisional

Juan Carlos Nocua Camargo Profesional Especializado - Provisional

Claudia García Rodríguez Técnico Administrativo - Carrera Administrativa

CONTRATISTAS:

Para este Grupo se hizo la contratación de los cinco (5) profesionales que se relacionan a

continuación, “teniendo en cuenta que actualmente la Supersalud no cuenta dentro de la planta de personal con

profesionales idóneos y experimentados para desarrollar la implementación, gestión y mantenimiento de la mencionada

obligación para cumplir con el componente de Sistema de Gestión de Seguridad de la Información, y teniendo en cuenta

la necesidad de dar continuidad al proceso de implementación del Sistema de Gestión de Seguridad para poder cumplir

con todas las obligaciones planteadas, la Oficina de Tecnologías de la Información considera necesario la conveniencia de

disponer de un equipo de ingenieros expertos, con experiencia para coadyuvar y orientar la función de la OTI, en términos

de seguridad de la información, que a su vez disponga de las competencias y experiencia necesaria para garantizar la

obtención de resultados esperados y el aprovechamiento económico de los recursos destinados para tal fin“

NOMBRE No.

Contrato PROFESION

FECHA

INICIAL

FECHA

FINAL

Raúl Wexler Pulido Téllez 043/2016 Oficial de Seguridad de la Información 22/01/2016 30/12/2016

Carmen Carolina Soto Espinosa 079/2013 Ingeniera Seguridad de la Información 10/02/2016 30/12/2016

Jorge Iván Castaño Valencia 081/2016 Experto en Análisis de Riesgos de

Seguridad de la Información 11/02/2016 30/12/2016

Liliana Paola Buenaventura Caicedo 100/2016 Experta en Continuidad de Negocio 03/03/2016 30/12/2016

Alexander Larrahondo Núñez 101/2016 Ingeniero Experto en Seguridad

Informática 03/03/2016 30/12/2016


Los principales logros alcanzados por este Grupo, hasta la fecha son:

Análisis de brecha de la situación actual de la Entidad en seguridad de la información.

Documento con el resultado de la herramienta de la encuesta Modelo de Seguridad. (exigencia Mintic)

Documento con el resultado de la estratificación de la entidad. (exigencia Mintic)

Alcance y límites de la seguridad de la información

Documento con el plan de comunicación, sensibilización y capacitación.

Actualización de la Política del Subsistema de Seguridad de la Información - ASPO05 disponible en

http://intranet/quienes-somos/sistema-integrado-de-gestion/politicas-del-sistema-integrado-de-gestion

Creación de las Políticas de Segundo Nivel del Subsistema de Seguridad de la Información –

ASPO09 disponible en http://intranet/quienes-somos/sistema-integrado-de-gestion/subsistema-de-

gesti%C3%B3n-de-seguridad-de-la-informaci%C3%B3n

Actualización-Matriz de Roles y Responsabilidades-ASFT14 disponible en

https://www.supersalud.gov.co/es-co/superintendencia/sistema-integrado-de-gestion/subsistema-gestion-

de-calidad

Levantamiento de información de los procesos del Alcance del Subsistema de Seguridad de la Información

Implementación de herramientas de seguridad informática (Firewall, Control de contenido web, detector de

intrusos, control de acceso a dispositivos de lectura/escritura, clowd app security y control manager)

Realización de jornadas y campañas de capacitación y sensibilización del Subsistema de Seguridad de la

Información

Análisis de riesgos de seguridad de la información para los procesos del alcance del Subsistema de

Seguridad de la Información.

Autoevaluación (IPv4/IPv6)

Indicadores de gestión del MSPI

Grupo de Gestión de Arquitectura de T.I.

Dentro de las funciones de este Grupo, está la de “adelantar la atención a los nuevos proyectos y

soluciones de T.I. definiendo la Arquitectura Empresarial de T.I., así como estableciendo el Marco de

Referencia.”

“Dando continuidad a los objetivos y las actividades realizadas en la vigencia 2015, el Grupo de Gestión de Arquitectura

Empresarial de TI, pretende en la vigencia 2016 continuar con la implementación de seis (6) nuevos sistemas de

información y planear la inclusión y ejecución de tres (3) nuevos adicionales, quedando en total nueve (9) proyectos para la

vigencia 2016 a saber:

Proyectos Diseñados en la Vigencia 2015

Gestión Documental, Procesos administrativos, Cobro Coactivo, PQR, Gestión Contractual y Gestión de

administración de Inventarios, que incluye el diseño, pruebas y puesta en producción de los sistemas de información.

Nuevos proyectos:

Control Disciplinario, Sistema de Auditoria y Acceso a la información de los vigilados (50 EPS), que incluye la

definición de la Línea Base y Arquitectura Objetivo, Hoja de Ruta de la implementación anexo técnico necesario para

la implementación de los sistemas

De acuerdo a las funciones, actividades y metas trazadas para la vigencia 2016 mencionadas anteriormente, surge la

necesidad de continuar con el fortalecimiento del equipo de trabajo del Grupo de Arquitectura Empresarial TI, pues la planta

de personal actual (5 profesionales) no da cubrimiento a todas las actividades a realizar para cada proyecto, ello se ve

reflejado en que al estimar los recursos y tiempos de cada uno, los tiempos de entrega de los sistemas no se ajustan a los

tiempos que la Entidad lo requiere y la calidad que los productos exige, ello basado en que el personal de planta no posee

la formación y experiencia suficiente para la definición de las arquitecturas de los sistemas de información, involucrando las

nuevas tecnologías, marcos de referencia y normativa vigente .

http://intranet/quienes-somos/sistema-integrado-de-gestion/politicas-del-sistema-integrado-de-gestion

http://intranet/quienes-somos/sistema-integrado-de-gestion/subsistema-de-gesti%C3%B3n-de-seguridad-de-la-informaci%C3%B3n

http://intranet/quienes-somos/sistema-integrado-de-gestion/subsistema-de-gesti%C3%B3n-de-seguridad-de-la-informaci%C3%B3n

https://www.supersalud.gov.co/es-co/superintendencia/sistema-integrado-de-gestion/subsistema-gestion-de-calidad

https://www.supersalud.gov.co/es-co/superintendencia/sistema-integrado-de-gestion/subsistema-gestion-de-calidad


Adicional a lo anterior, en los meses posteriores (febrero y marzo de 2016) se asignan más proyectos a éste grupo de

trabajo: RIESGOS, INTEROPERABILIDADES – MINSALUD, Registro de Interventores y XBRL, es decir, se suman a lista

anterior 4 proyectos adicionales para el mismo grupo de trabajo.

Además, la Oficina de Tecnologías en la presente vigencia debe dar cumplimiento al 50% de los 93 lineamientos definidos

por Gobierno en línea alrededor los componentes de: Tic para la Gestión, Tic para Servicios, Tic para Gobierno Abierto y

Seguridad y privacidad de la información. Razón por la cual se suman a la lista de asignaciones a éste grupo de trabajo, dos

proyectos dos adicionales: FORTALECIMIENTO A LA GESTIÓN Y GOBIERNO DE LA OTI y FORTALECIMIENTO A LA

ARQUITECTURA EMPRESARIAL DE T.I.,Y ADQUISICIÓN E IMPLEMENTACION DE LA HERRAMIENTA

TECNOLÓGICA PARA EL PROCESO, es decir, actualmente el grupo de trabajo de Arquitectura tiene una asignación de

15 proyectos en total, que requieren una dedicación por persona aproximada del 100%, durante la vigencia 2016 y 2017,

según los proyectos asignados a la fecha.”


FUNCIONARIOS:

NOMBRE PROFESION

Erika Díaz Abella Coordinador-Profesional Especializado-Provisional

Robert Aponte Villamizar Profesional Especializado-Provisional

Jenny Lorena Garzón Gil Profesional Especializado-Provisional

Alejandro Isaza Pareja Profesional Especializado-Provisional

Wilson Rene Riaño Niño Profesional Especializado-Provisional

CONTRATISTAS:

La Coordinadora de este Grupo, informa que como consecuencia de todo lo anteriormente explicado, “Es importante insistir que, de no disponer del recurso adicional, el impacto para la Entidad se reflejará en que la OTI no

tendrá durante la vigencia de 2016 la capacidad de atender el diseño y la implementación de todos los proyectos trazados

para la presente vigencia, razón por la cual se deberá entonces considerar una estrategia de reducción de resultados y/o

proyectos planteados.

De acuerdo con el número de proyectos asignados, las actividades requeridas y el personal de planta disponible se

identificaron los roles y responsabilidades requeridos para asegurar la calidad y oportunidad de la entrega de los productos

esperados (sistemas de información) a saber, es así como se identificó el número de personas requeridas adicionales para

fortalecer el equipo de trabajo (Un (1) Arquitecto Empresarial Líder, Un (1) Gestor de Proyectos, (1) Arquitecto empresarial

de TI, y cuatro (4) Arquitectos de TI).”

NOMBRE No.

Contrato PROFESION

FECHA

INICIAL

FECHA

FINAL

Mario Javier Monsalve

Hazbón 036/2016 Experto en Arquitectura Empresarial de TI. 20/01/2016 19/12/2016

Luis Enrique Camacho

Vanegas 037/2016 Experto en Arquitectura Empresarial de TI 20/01/2016 19/09/2016

Claudia Victoria Guaracao

Ayala 038/2016

Experto en Apoyo a la Gestión de Proyectos

de Arquitectura Empresarial de TI. 20/01/2016 19/12/2016

Germán Cortés Lasso 109/2016 Experto en Arquitectura Empresarial de TI. 10/03/2016 25/12/2016

Elkin Doney Suárez Gómez 110/2016 Experto en Generación documentos de

Arquitectura Empresarial de TI. 10/03/2016 25/12/2016

José Manuel Rodríguez

Valbuena 111/2016

Experto en Generación documentos de

Arquitectura Empresarial de TI. 10/03/2016 25/12/2016

Eduardo Juan Forero Morales 117/2016 Experto en Arquitectura Empresarial de TI. 01/04/2016 31/12/2016


Los logros obtenidos por este Grupo, con la contratación realizada a la fecha, son:

“PROYECTOS GESTION DOCUMENTAL Y PROCESOS ADMINISTRATIVOS: Se elaboró y definió:

Se realizó revisión a los requerimientos funcionales

Se realizó la restructuración de los requerimientos NO funcionales

Definición de la nueva Arquitectura Objetivo

Hoja de Ruta

Estudios de mercado

Se realizó 2 sesiones de aclaración de anexo técnico con los posibles interesados en participar en la licitación publica

Estudios previos para revisión de la Abogada externa asignada a la OTI

Se realizaron ajustes al anexo técnico de acuerdo con la retroalimentación del estudio de mercado y revisiones

adelantadas a la fecha

PROYECTO DE RECURSOS FISICOS:

Se realizaron sesiones de entendimiento y revisión a los requerimientos funcionales

Se realizaron las revisiones a los requerimientos No funcionales

Se encuentra en avance la definición de la nueva Arquitectura Objetivo

PROYECTO DE GESTIÓN CONTRACTUAL:

Se realizaron las revisiones a los requerimientos No funcionales y los funcionales existentes

Actualmente el proyecto se encuentra detenido por disponibilidad de tiempo del área funcional para definir el alcance,

recursos y cronograma del proyecto, dado que la carga operativa actual de ésta dependencia no permite la dedicación

requerida para avanzar según lo programad.

Adicional a lo anterior cabe aclarar que los cambios de los directivos relacionados con éste proceso han impactado el

proyecto en términos de tiempo (1 mes de trabajo) y toma de decisiones concluyentes, poniendo en riesgo la implementación

de la solución en la presente vigencia.

PROYECTO DE COBRO COACTIVO:

Se realizaron revisión a los requerimientos funcionales


PROYECTO DE GESTION PQR:

Se realizaron revisión a los requerimientos funcionales incluyendo nuevas solicitudes


Definición de la nueva Arquitectura Objetivo

Hoja de Ruta

Estudios de mercado

Estudios previos

Se adelantó socialización con el área funcional, producto de la cual el proyecto se encuentra en estado detenido, para

atender la solicitud del Superintendente Delegado para la Protección al Usuario, en el sentido de hacer otro estudio de

mercado para evaluar la posibilidad de comprar un software nuevo y no usar el SUPQR

Se está elaborando un nuevo anexo técnico que considere todo un sistema nuevo para lanzar el estudio de mercado

requerido.

PROYECTOS FORTALECIMIENTO A LA GESTIÓN Y GOBIERNO DE LA OTI y FORTALECIMIENTO A LA

ARQUITECTURA EMPRESARIAL DE T.I. y ADQUISICIÓN E IMPLEMENTACION DE LA HERRAMIENTA

TECNOLÓGICA PARA EL PROCESO

Levantamiento de información

Se encuentra en ejecución la definición de Línea base

PROYECTO DE CONTROL DISCIPLINARIO:

Levantamiento de información

Definición de Línea base


Análisis de brechas

Se encuentra en ejecución la definición de la arquitectura objetivo

En relación con los proyectos: Control EPS, Auditorias, Riesgos, Registro de Interventores, Interoperabilidad con

Minsalud y XBRL, se informa que no se han iniciado actividades pues las áreas líderes responsables de éstos procesos,

se encuentran definiendo los requerimientos funcionales, insumo indispensable para que ésta oficina adelante las etapas

iniciales de los mismos. Así mismo se tiene estimado que de recibir los insumos en el presente mes, será posible adelantar

la etapa de estructuración de los proyectos, pero la contratación e implementación se deberá posponer para la vigencia

2017.”

Grupo de Gestión de Aplicaciones

Dentro de las funciones de este Grupo, está la de “atender las mejoras y mantenimiento de los

Sistemas de Información que existen en la Superintendencia y se adelantan los nuevos Sistemas de

Información que se requieran.”


FUNCIONARIOS:

NOMBRE PROFESION

Patricia Manosalva Peña Coordinador-Profesional Especializado-Carrera Administrativa

Luis Alfonso Plazas Rincón Profesional Especializado-Provisional

John Jairo Ardila Romero Profesional Especializado-Provisional

Luis Fernando Osorio Villamil Profesional Especializado-Provisional

Diana Carolina Hurtado Profesional Especializado-Provisional

Sandra Yomay Suárez Padilla Analista de Sistemas-Carrera Administrativa

Olga Lucía Morales Nova Analista de Sistemas-Carrera Administrativa

Tomás Carmelo Quiroz Velásquez Analista de Sistemas-Carrera Administrativa

CONTRATISTAS:

Para este Grupo se hizo la contratación de los tres (3) profesionales que se relacionan a continuación,

con el fin de prestar sus servicios profesionales para el mantenimiento de las soluciones de software

existentes e implementación de nuevas soluciones, para la Entidad.

NOMBRE No.

Contrato PROFESION

FECHA

INICIAL

FECHA

FINAL

Miguel Ángel Ordoñez Neira 044/2016 Ingeniero Soporte a SUPERSIAD 27/01/2016 30/12/2016

Jeisson Octavio Gómez Pinilla 123/2016 Ingeniero de Desarrollo y

Mantenimiento de Aplicaciones 14/04/2016

30/12/2016

Guillermo Pinzón Gómez 125/2016 Ingeniero de Desarrollo y

Mantenimiento de Aplicaciones. 14/04/2016 31/12/2016

Los logros alcanzados por este Grupo, hasta la fecha son:

El ingeniero Miguel Angel (Ordoñez) realiza actividades de soporte y mantenimiento al Sistema SUPERSIAD, en

atención a los requerimientos que realiza la Delegada de Procesos Administrativos diariamente; al igual que participa

en el apoyo técnico al grupo de arquitectura en lo relacionado con la nueva solución que soportará este proceso en

actualización, filtración y depuración de la información histórica.


El Ingeniero Jeisson Octavio Gómez Pinilla ha participado en actividades como:

o Reunión primer acercamiento referente al requerimiento de la autorización de la notificación electrónica al vigilado.

o Revisión alcance e impacto del requerimiento.

o Lectura de los documentos NOTIFICACION ELECTRONICA.pdf y Circular Externa 00002 de 2012.pdf,

documentos que adjunto.

o Instalación Visual Studio 2010 con el fin de poder ver, actualizar, modificar, desarrollar los requisitos funcionales

del requerimiento de autorización de notificación electrónica, para el sistema RVCC.

o Fuentes de la aplicación RVCC de los cuales adjunto copia en el CD, y scripts RVCC

o Elaboración inicial de documento marco de trabajo dentro Visión de Aplicaciones. En el cual se sustenta la

metodología de desarrollo ágil de aplicaciones SCRUM, e igualmente es la base para el aporte al área en la

organización de definición de un estándar de pruebas, desarrollo, e implementación de soluciones.

o Elaboración del Informe de Actividades correspondientes al mes de abril del contrato 123 de 2016.

o Apoyo en las actividades asociadas en la ejecución del objeto contractual.

El Ingeniero Guillermo Pinzón Gómez, ha participado en actividades como

o Revisión de estado del Aplicativo y ajustes por errores en cambio de servidor SJC

o Instalación Visual Studio 2010 con el fin de poder ver, actualizar, modificar, desarrollar los requisitos funcionales

o Asistencia a sesiones: definición de Arquitectura Componentes Transversales y Definición de Arquitectura

Componentes Transversales

o Elaboración del Informe de Actividades correspondientes al mes de abril del contrato 125 de 2016.

o Apoyo en las actividades asociadas en la ejecución del objeto contractual.

Grupo de Infraestructura y Soporte de T.I.

El Coordinador de este grupo, describe de la siguiente manera la necesidad de hacer una

contratación: “Por ser equipos de gran capacidad que atienden peticiones de cientos o miles de equipos o clientes a los

que envía información u ofrecen un servicio, se hace necesario contar con profesionales adicionales, mínimo uno (1), para

apoyar estas actividades.

En la actualidad la Superintendencia Nacional de Salud, cuenta con una plataforma tecnológica de servidores, asociados a

la plataforma WINDOWS, la cual soporta los procesos estratégicos y misionales de la entidad que contribuyen al

fortalecimiento de las funciones de Inspección, Vigilancia y Control asignadas a la entidad, la cual opera con productos de

Microsoft en los respectivos ambientes, tanto de pruebas como de producción y conformada por:

Infraestructura de Dominio

Infraestructura de Seguridad

Sistema gestor y motor de base de datos

Sistemas Operativos para Servidores Server (Device Cal, Enterprise, Standard, Web, Datacenter, User Cal)

Ambiente de Virtualización

Sistema de Administración de red

Sistema de Almacenamiento y backup

Sistemas de Administración en la Nube

Sistema de Mesa de Ayuda

Actualmente, la Entidad cuenta con un total de 106 recursos de TI, los cuales son administrados por dos (2) profesionales

del Grupo de Infraestructura y Soporte, los cuales ejecutan las tareas de administración de la plataforma tecnológica

(mantenimiento, actualización, aseguramiento, pruebas, monitoreo, seguimiento y reconfiguración) y dada la alta demanda

que requiere esta administración, el personal no es suficiente para realizar todas las tareas que atañen a esta actividad,

sumado a las actividades y proyectos que se tienen que atender en el día a día.

Asimismo, la entidad cuenta con aplicativos, relacionados a continuación y distribuidos en diversos tipos de servidores,

como son: correo, proxy, bases de datos, clúster, físicos, dedicados, virtuales y que requieren a diario actividades que

deben ser ejecutadas dentro de los acuerdos de niveles de servicio establecidos para satisfacción de los clientes internos

y externos.”



FUNCIONARIOS:

NOMBRE PROFESION

Fabio Andrés Parrado Velásquez Coordinador-Profesional Especializado-Provisional

Edgar Arias Medina Profesional Especializado-Provisional

Claudia Constanza Cleves Reinoso Profesional Especializado-Provisional

Claudia Liliana Molina Cruz Profesional Especializado-Provisional

Luis Francisco Oviedo Hernández Analista de Sistemas-Carrera Administrativa

Mario Alberto Duque Guerrero Analista de Sistemas-Provisional

Oscar Jaramillo Muñoz Analista de Sistemas-Provisional

CONTRATISTAS:

Para este Grupo se ha realizado la contratación de un (1) profesional, brindar apoyo a la

administración de la infraestructura tecnológica de servidores de la Superintendencia Nacional de

Salud.

NOMBRE No.

Contrato PROFESION

FECHA

INICIAL

FECHA

FINAL

Miguel Alfonso Lucero Angulo 130/2016 Apoyo a la Administración de Infraestructura 04/05/2016 31/12/2016

La Oficina de Tecnologías de la Información, a la fecha está compuesta por 26 funcionarios de planta

y 16 contratistas; lo anterior quiere decir que el 38% de su personal tiene contrato de prestación de

servicios. Cabe advertir, que a la fecha de presentación del informe que ahora nos ocupa, el último

contratista ingresó a esa dependencia el 4 de Mayo de 2016 y se ha relacionado en este documento,

a pesar que el alcance es de Febrero, Marzo y Abril de 2016.

Tal como lo informó la Oficina de Control Interno, mediante NURC 3-2016-009011 del 13 de Mayo de

2016, “la Alta Dirección se encuentra interesada en poder certificarse en el Sistema de Seguridad de la

Información, por lo que se han vinculado contratistas con este propósito, tendientes a lograr una debida

implementación de ese Subsistema del Sistema Integrado de Gestión”, situación que es ratificada en las

entrevistas sostenidas con la Oficina de Tecnologías de la Información, para lo cual aportaron la

información registrada en este informe y en documentos que se conservan como papeles de trabajo

en la Oficina de Control Interno.

El monto de los contratos anteriormente referidos, al 5 de Mayo de 2016, asciende a un valor total de

$1.194.943.327.

5.2 SEGUIMIENTO MAPA DE RIESGOS OPERACIONALES DEL PROCESO

Dentro de los seguimientos que se realizarán durante la vigencia 2016 a la Oficina de Tecnologías

de la Información, se incluirá un (1) riesgo institucional en cada una de ellas, con el fin de verificar si

esta dependencia tiene plenamente identificados los riesgos asociados a sus procesos, y recoger

evidencias de las acciones de mejora que se han implementado con el fin de mitigarlos


Dentro del mapa de riesgos, para el proceso de “Provisión de Soluciones Tecnológicas”

Para el tema de riesgos, la Oficina de Tecnologías de la Información da respuesta a la solicitud

formulada por la Oficina de Control Interno, con el NURC 3-2016-009233 del 17 de Mayo de 2016,

en los siguientes términos:

“La OTI socializó con todos sus funcionarios y contratistas la Caracterización y Riesgos del Proceso como temas para

estudio el 29 de octubre de 2015.

En lo referente a lo plasmado en el Riesgo, la OTI ha adelantado las siguientes acciones sobre la socialización de la

Metodología de Arquitectura Empresarial de TI:

Las actividades de socialización metodológica en el marco de arquitectura empresarial de T.I. inició en la vigencia 2015,

primero al equipo interno de la OTI, luego se continuó con los líderes funcionales de los procesos de Gestión Documental,

Procesos Administrativos, Protección al Usuario, Coordinación de Cobro Coactivo de la Oficina Asesora Jurídica, de

acuerdo como se relaciona a continuación:

AL EQUIPO INTERNO DE LA OTI

- 7 Mayo de 2015 - Análisis de Dominios AE SNS (Planeación Equipo Arquitectura) Acta 884 de 2015

- 5 Agosto de 2015 - Describiendo la Línea Base y Definiendo la Arquitectura de una solución, Acta 1024

- 24 Agosto de 2015 – Plan de Gestión del cambio, Acta 1119

- 11 Noviembre de 2015 – Socialización Modelo de Gobierno- Acta 1405 de 2015

A LOS LÍDERES FUNCIONALES Y SUS EQUIPOS:

- 20 Agosto de 2015, Delegada de Protección al Usuario, Acta 1083

- 19 Agosto de 2015, Subdirección Administrativa (Gestión Documental), Acta 1118

- 15 Septiembre de 2015, Procesos Administrativos, Acta 1192 de 2015

- 11 Septiembre de 2015, Oficina Asesora Jurídica, Acta 1188 de 2015

Para la vigencia 2016, se plantea reforzar las capacitaciones en la metodología y las prácticas que benefician directamente

los proyectos de implementación de nuevas soluciones en curso, de lo cual se adelantado lo siguiente:

- Buenas prácticas para la gestión de proyectos – 8 Marzo a 5 de Abril - Dirigida a profesionales de la OTI

- Marco de referencia de TOGAF – 2, 3,4, 10,11 y 12 de Mayo - Dirigida a profesionales de la OTI y Oficina Asesora de

Planeación

La socialización de arquitectura empresarial se ha adelantado en el desarrollo del levantamiento de los requerimientos

técnicos de los Sistemas de Información, cuyos soportes se encuentran en los reportes de PAG de Enero a Abril de 2016.

En cuanto a la Socialización de las Políticas de la Información lo siguiente: En cuanto a la difusión de las Políticas de

la Información, se formularon las de segundo nivel, se solicitó su aprobación por parte de la Oficina Asesora de Planeación

se socializaron con el grupo de Gestores de Seguridad de la Información el día 16 de Marzo de 2016 y a toda la Entidad en

la semana del 18 al 22 de Abril de 2016 y presentaron al Comité de Desarrollo Administrativo - CDA el día 28 de Abril de

2016.“

PROCESO RIESGO DESCRIPCION CONTROLES EXISTENTES ACCIONES

Provisión de

Soluciones

Tecnológicas

Uso Indebido de la

Información;

Incumplimiento en los

tiempos acordados de

soluciones a usuarios finales;

Insatisfacción del usuario

frente a productos recibidos;

Interrupción de la

disponibilidad de los

sistemas de información.

Acceder, manipular y/o

divulgar sin autorización la

información privilegiada o

de reserva que se origine,

suministre o custodie en los

sistemas de información

Sistemas de información

con especificaciones

inadecuadas

Áreas de proceso sin

herramientas tecnológicas

que apoyen la operación de

manera óptima

Roles definidos y

documentados, para el

manejo de la información

confidencial

Construcción de políticas para

el manejo de la información y

posterior divulgación.

Monitoreo a los sistemas de

información.

Implementación de ejercicios

de arquitectura empresarial

para la definición y diseño de

nuevas soluciones

Socialización de la

metodología para

realizar los ejercicios de

arquitectura

empresarial dirigida a

técnicos y líderes

funcionales.

Socialización de las

políticas de manejo de

información


Como soporte de lo anterior, la Oficina de Tecnologías de la Información anexa las listas de asistencia

correspondientes a las reuniones de capacitación con los Gestores del Subsistema y con todos los

funcionarios de la entidad, así como la presentación al CDA, las cuales se conservan como papeles

de trabajo para la presentación de este informe.

5.3 SEGUIMIENTO MAPA DE RIESGOS DE CORRUPCIÓN DEL PROCESO

En cuanto a riesgos de corrupción, se solicitó a la OTI se informara: “En cuanto a Riesgos de Corrupción,

por favor indicar cuáles riesgos están definidos para su dependencia y que acciones se han emprendido para

mitigarlo”

La Oficina de Tecnologías de la Información, informa que “no tiene responsabilidades definidas en la

Matriz de Riesgos de Corrupción, tal como se puede verificar por la Oficina de Control Interno.”; lo anterior se

pudo verificar en el mapa de riesgos publicado en el portal web de la Entidad, cuya última

actualización es del 26 de Febrero de 2016, y los riesgos de corrupción se han definido por procesos

y no por dependencias, como estaba anteriormente.

5.4 SEGUIMIENTO PLAN ANUAL DE GESTIÓN

La Oficina de Tecnologías de la Información hizo remisión de Avance a sus actividades programadas

en el Plan Anual de Gestión-vigencia 2016 a la Oficina Asesora de Planeación, de la siguiente

manera:

MES DE REPORTE NURC FECHA

Febrero 3-2016-005103 14 de Abril de 2016

Marzo 3-2016-006703 11 de Abril de 2016

Abril 3-2016-008917 12 de Mayo de 2016

Para la presentación del avance del P.A.G. correspondiente a los meses de Febrero, Marzo y Abril

de 2016 de la Oficina de Tecnologías de la Información, la Oficina de Control Interno realizó

seguimiento mediante muestreo, tomando las siguientes actividades:

No. PROCESO ACTIVIDAD NOMBRE INDICADOR FÓRMULA

META

PROPU

ESTA al

30-04-

2016

%

AVANC

E al 30-

04-

2016

1

RS-Provisión de

Soluciones

Tecnológicas

Renovar, adquirir y

desplegar

licenciamiento

Porcentaje acumulado

de actividades realizadas

para la adquisición y

renovación de

licenciamiento

Numero acumulado de actividades

realizadas para la adquisición y renovación

de licenciamiento / Número de actividades

definidas en el Cronograma

45% 21%

2

RS - Provisión

de Soluciones

Tecnológicas

Realizar mejoras a

los servicios y a las

funcionalidades de

los Sistemas de

Información

existentes en la

entidad


de actividades para

actualizaciones y

mejoras a los sistemas

de la entidad

Número acumulado de actividades

realizadas para actualizaciones y mejoras a

los sistemas de la entidad /

Número de actividades definidas en el

Cronograma

15% 37%

3

PI-Formulación

implementació

n y evaluación

de Planes y

Programas

Adelantar el Rol de

Oficial de Seguridad

de la Información de

acuerdo al Plan de

Trabajo trazado


de actividades

ejecutadas del Plan de

Trabajo como Oficial de

Seguridad de la

Información

Número acumulado de actividades

realizadas del Plan de Trabajo como Oficial

de Seguridad de la Información / Número de

actividades definidas en el del Plan de

Trabajo como Oficial de Seguridad de la

Información

20% 21%


La Oficina de Tecnologías de la Información mediante NURC 3-2016-008917 del 12 de Mayo de

2016, presenta el siguiente avance al 30 de Abril de 2016, sobre los ítems seleccionados:

1. Para la actividad: Renovar, adquirir y desplegar licenciamiento, el reporte de la Oficina de Tecnologías de la

Información, es:

Se cumplió el soporte dado a la licencia del Sistema Planeación y Gestión ITS, que se obtuvo mediante el Contrato

147 de 2015. A 30 de Abril el pago estaba pendiente.

Se suscribió el Contrato 129 de 2016 con la firma Soporte Lógico Ltda., mediante el cual se realizará mantenimiento

y mejoras al Sistema de Nómina denominado “Humano”, el cual también se financiará con Recursos de “Actividad

2.1.1. Realizar actualizaciones y mejoras a los sistemas de información existentes de la entidad.”.

Gestión Documental:

Se realizó el 5 de Abril sesión de aclaración de anexo técnico con los interesados en participar del estudio de

mercado lanzado a finales del mes anterior.

Se consolidó el estudio de mercado con las propuestas recibidas de los proveedores.

Se elaboró y entregó para revisión la versión No.1 de Estudios previos para radicar en el grupo de contratación.

Se realizaron los ajustes de anexo técnico, relacionados con el componente de migración y el componente de

citaciones y notificaciones según la arquitectura de referencia definida.

Procesos Administrativos:

Se realizó el 5 de abril sesión de aclaración de anexo técnico con los interesados en participar del estudio de

mercado lanzado a finales del mes anterior.

Se consolidó el estudio de mercado con las propuestas recibidas de los proveedores.

Se elaboró y entregó para revisión, la versión No.1 de Estudios previos para radicar en el grupo de contratación.

Cobro Persuasivo y Jurisdicción Coactiva:

Se elaboró el Project chárter del proyecto de acuerdo con el alcance definido en la presente vigencia.

Se realizó la Identificación y Análisis de Riesgos Preliminar

Se elaboró el análisis de Interesados del proyecto, La disminución de porcentaje en relación con el mes anterior se

debe a la redefinición del alcance del proyecto, el cual inicialmente no consideraba el fortalecimiento al proceso de

arquitectura, solamente incluía actividades propias para la compra del software como apoyo a la gestión. El avance

para éste periodo está representado en la definición del cronograma como plan de trabajo y los documentos

correspondientes para la aprobación del proyecto, por parte de la jefatura de la oficina, la cual se obtuvo en éste

periodo también.

Se realizó el proceso de estudio previo y ajuste a las observaciones enviadas por parte del grupo de contratación

Se realizó minuta de contrato y está pendiente firma del contrato, Este proyecto aún no se ha iniciado puesto que

está activo aún, soporte y mantenimiento por garantía del contrato anterior y con el representante de Microsoft se

realizó el inventario del Software de la Supersalud.

2. Para la actividad: Realizar mejoras a los servicios y a las funcionalidades de los Sistemas de Información

existentes en la Entidad

Se continuó la ejecución del Contrato 044 de 2016 dando el soporte correspondiente conforme lo requerido por la

Delegada de Procesos Administrativos en el mes de Abril en lo correspondiente a la depuración, actualización y

filtración de la base de datos. Se terminó satisfactoriamente la ejecución del Contrato 085 de 2016 con la firma


SKENA S.A.S., mediante el cual se dio soporte a la Entidad para el reporte periodo 43 de diciembre de 2015, contrato

con el que se implementó la funcionalidad “validación miles de pesos”, obteniendo como resultado que 7.357

vigilados reportaron oportunamente, al disponer del aplicativo desde Enero y hasta las 11:59:59 del 25 de Febrero

de 2016, que era la fecha límite, tal como se había reportado en Marzo.

Sistema de Gestión de Tasa SGT. Se está procediendo al proceso de levantamiento de los requerimientos con el

área funcional y se realizaron cotizaciones.

Se suscribieron los Contratos de los desarrolladores: Jeisson Octavio Gómez Pinilla-Contrato 123 de 2016 y

Guillermo Pinzón Gómez-Contrato 125 de 2016.

Sistema de PQR SUPQR. Se recibió estudio de mercado del proveedor exclusivo. Se adelantó reunión con el líder

funcional (Delegada para la Protección al Usuario) en donde se solicitó al área técnica realizar estudio de mercado

tipo licitación para evaluar un sistema nuevo. La actividad antes mencionada obliga a redefinir cronograma desde el

siguiente periodo en adelante. Elaboración de estudio de previo para la contratación.

Soporte al Sistema de Correspondencia SUPERCOR. Se realizaron ajustes a estudio previo para la contratación del

soporte y mantenimiento al Sistema, y la implementación de las funcionalidades consistentes en firma digital y el

manejo de las tipologías de radicación de documentos 5 y 6 para autos y sentencias, Migración a nuevo Data Center

y el Web Service para conectarse con el APP de PQR que se desarrolló por parte de MINSALUD, para recibir PQR.

Soporte de Servicios PREMIER, Se adelantó y completo el proceso precontractual y se firmó el Contrato No. 126 de

2016 con la firma Microsoft.

Se suscribió el Contrato 129 de 2016 con la firma Soporte Lógico Ltda., mediante el cual se realizarán mantenimiento

y mejoras al Sistema de Nómina denominado “Humano”, el cual también se financiará con Recursos de “Actividad

3.2.1. Adquirir y desplegar licenciamiento.”.

3. Para la actividad: Adelantar el Rol de Oficial de Seguridad de la Información de acuerdo al Plan de Trabajo

trazado.

Se generó el documento de “Actividades e Implementación del Plan de transición para la adopción de IPV6 en

convivencia con el IPV4” para ser presentado al Comité de Desarrollo Administrativo – CDA. Con el propósito de

continuar con la implementación de IPV6, se adelantó reunión con el proveedor IPV6 Technology.

Se generó y entregó al equipo la propuesta de política de navegación en Internet y la matriz de permisos por grupos

de navegación para revisión. Se depuraron y revisaron con el área de planeación los indicadores del Subsistema

para ser cargado en el SGC. Se generó y propuso un tablero de control para las herramientas de seguridad

informática.

Se gestionó con el Grupo de Infraestructura y soporte de Servicios de TI la entrega de la información de las VLAN’s

para el afinamiento del Firewall. Se avanza en las actividades de la implementación de la solución InterScan Web

Security según el cronograma. Se instaló y dejó en calidad de prueba de concepto la solución Deep Discovery

Inspector de TrendMicro con apoyo del área de Infraestructura. Se Gestionó la solicitud de dos servidores para la

instalación e implementación de las soluciones Vulnerability Protection y Endpoint Encryption.

Recopilación de los instrumentos de transparencia donde se listan los títulos de información con fecha de

actualización del 31 de Diciembre de 2015, las entrevistas del Programa de Gestión Documental con cada una de

las áreas durante el segundo semestre de 2015 y el conocimiento de los conocedores y responsables de la

información inicialmente para los procesos objeto del alcance.

Validación de los títulos de información identificándolos como Activos de Información con los conocedores y

gestores de los procesos objeto del alcance.

Revisión de las categorías documentales (Series y Subseries) que provee el Grupo de Gestión Documental y que

se encuentran actualizadas y aprobadas en primera revisión al interior de la Superintendencia Nacional de Salud

y en espera de las observaciones por parte del Archivo General de la Nación.

o Alineación de los primeros inventarios de información con las Tablas de Retención Documental, obteniendo

como producto en revisión: Listado de Activos de Información para los procesos: Gestión de la


Participación Ciudadana, Gestión de Atención al Ciudadano, Gestión de Servicios Tecnológicos y

Provisión de Soluciones Tecnológicas.

o Elaboración del esquema o matriz con las características mínimas exigidas por el Decreto 1081 de 2015 y que

permite avanzar en paralelo para la actualización de los instrumentos de gestión de transparencia en

conformidad con lo establecido en la ley 1712 de 2014 para el listado o registro de activos de información,

siendo éste un insumo crítico para las actividades de implementación del Subsistema de Seguridad de la

Información.

o Elaboración del test de conocimientos para la evaluación de las sesiones de capacitación de Seguridad de la

Información.

o Elaboración del documento que contempla acciones propuestas para la implementación de las actividades de

seguimiento del Plan de Acción Ley 1581 de 2012, con especial énfasis en la identificación del Riesgo:

“Inadecuado Tratamiento de los Datos Personales”, sus causas, impacto y medidas de seguridad sugeridas.

o Elaboración de material sobre información de Riesgos de Seguridad como instrumento para construir

herramientas de concienciación.

Se enviaron a la Oficina Asesora de Planeación – NURC 3-2016-006004 los documentos requeridos por MINTIC,

a saber:

o Documento con el resultado de la herramienta de la encuesta, revisado, aprobado y aceptado por la alta

dirección –

o Resultado de la herramienta de la encuesta MSPI

o Documento con el resultado de la estratificación de la entidad, aceptado y aprobado por la dirección. –

o Resultado de la estratificación de la Entidad.docx.

o Documento con el alcance y límites de la seguridad de la información, debidamente aprobado y socializado al

interior de la Entidad, por la alta dirección. –

o Alcance y límites de seguridad de la información.docx.

o Documento con el plan de comunicación, sensibilización y capacitación, con los respectivos soportes, revisado

y aprobado por la alta Dirección. –

o Cronograma campañas SIG.xlsx. Documento con la estrategia de planificación y control operacional –

o Cronograma implementación SSI.pdf.

Con el NURC 3-2016-006380, se remitieron:

o Procedimiento de Gestión de incidentes de Seguridad de la Información.docx,

o Contexto de la SNS.docx,

o Declaración de Aplicabilidad.docx,

o Guía de contacto con las autoridades y grupos de interés especial.docx,

o Guía para la Gestión de activos de información.docx,

o Manual de Políticas de Segundo nivel del Subsistema de Seguridad de la Información.docx,

o Matriz de Roles y Responsabilidades.docx,

o Procedimiento de calificación, etiquetado y tratamiento de la información.docx,

o Matriz de segregación de funciones.xls,

o Guía metodológica de análisis de riesgos de seguridad de la información.docx,

o procedimiento de Acciones Correctivas, Preventivas y de Mejora.docx ajustado SSI.

Con el memorando 3-2016-006671, se envió Solicitud de Modificación de Paz y Salvo de Entidad APFT53 Paz y

Salvo.xlsx.

Al Grupo de Contratación de Bienes y Servicios con NURC 3-2016-006672, solicitud de inclusión de acuerdo de

confidencialidad en contratos que suscriba la entidad.

Elaboración de los siguientes documentos exigidos por la Norma ISO 27001:2013: Procedimiento de gestión de

usuarios, Guía de gestión segura de usuarios, Formato Autorización servicios informáticos por usuario, Guía de

borrado seguro de información, Guía de seguridad física y del entorno, Formato de hoja de vida servidores,

Procedimiento Mantenimiento preventivo, Formato de Ingreso a áreas seguras, Guía para la seguridad en las

operaciones, Procedimiento de Copias de seguridad, Caracterización del Proceso, Manual de Acuerdos de nivel

de servicio.”

De acuerdo con la información y soportes aportados por la Oficina de Tecnologías de la Información,

la Oficina de Control Interno pudo verificar que la Oficina objeto de este seguimiento ha realizado

actividades encaminadas al cumplimiento de los objetivos definidos en su Plan Anual de Gestión;

situación, que de acuerdo con esas evidencias y la información recibida en las entrevistas, ha sido


fluctuante impidiendo el cumplimiento riguroso de lo planeado, ya que como se registra en el

contenido de este informe las decisiones y directrices impartidas por la Alta Dirección y de las

dependencias usuarias, han forzado a la Oficina de Tecnologías de la Información a cambiar las

prioridades de sus proyectos, situación que se ve reflejada en el porcentaje de avance de

cumplimiento de los tres indicadores escogidos para esta revisión.

No. ACTIVIDAD NOMBRE INDICADOR

META

PROPUEST

A al 30-04-

2016

% AVANCE

al 30-04-

2016

1 Renovar, adquirir y desplegar

licenciamiento

Porcentaje acumulado de actividades realizadas

para la adquisición y renovación de licenciamiento 45% 21%

2

Realizar mejoras a los servicios y a las

funcionalidades de los Sistemas de

Información existentes en la entidad

Porcentaje acumulado de actividades para

actualizaciones y mejoras a los sistemas de la

entidad

15% 37%

3

Adelantar el Rol de Oficial de Seguridad

de la Información de acuerdo al Plan de

Trabajo trazado

Porcentaje acumulado de actividades ejecutadas

del Plan de Trabajo como Oficial de Seguridad de

la Información

20% 21%

Por la situación que ahora se evidencia, la Oficina de Tecnologías de la Información informa que

actualmente su Plan Anual de Gestión-vigencia 2016 se encuentra en proceso de revisión y ajuste,

modificación que, se espera que para el próximo seguimiento que realizará la Oficina de Control

Interno, pueda ser evidenciado.

A pesar de lo antes mencionado, la Oficina de Control Interno concluye que la dependencia que por

medio de este informe se evalúa, está realizando las actividades programadas para el cumplimiento

de su Plan Anual de Gestión.

5.5 SEGUIMIENTO A LAS RECOMENDACIONES PRESENTADAS POR LA OFICINA DE

CONTROL INTERNO EN INFORMES ANTERIORES

Durante el Segundo Semestre de la vigencia 2015, la Oficina de Control Interno lideró auditoría de

calidad realizada con funcionarios de toda la Entidad, cuyo informe fue enviado al Despacho del señor

Superintendente Nacional de Salud mediante NURC 3-2015-020639 del 19 de Octubre de 2015, y se

remitió copia del mismo a todas las dependencias a través del correo institucional, donde además,

se informó que se debían radicar los planes de mejoramiento a que hubiera lugar.

En el presente documento se realiza seguimiento a la recomendación formulada en informe radicado

con NURC 3-2016-003820 del 26 de Febrero de 2016, el cual quedó definido en los siguientes

términos:

“En relación con los Hallazgos de la Auditoría de Calidad, la Oficina de Control Interno recomienda a la Oficina

de Tecnologías de la Información, presentará la Oficina Asesora de Planeación, Plan de Mejoramiento, al cual

se le realizará posteriormente seguimiento por parte de esta dependencia.”

Al respecto la Oficina de Tecnologías de la Información informa que “el Plan de Mejoramiento formulado

se atendió y cumplió tal como se puede verificar mediante el Memorando con NURC 3-2015-021958 del 6 de

Noviembre de 2015.”

La Oficina de Control Interno verificó que las NO CONFORMIDADES declaradas en el informe de

Auditoría de Calidad, presentado mediante NURC 3-2015-020639 del 19 de Octubre de 2015,

hubieran quedado atendidas tal como lo indica la respuesta de la Oficina de Tecnologías de la

Información, para lo cual verificó que la Oficina a la cual ahora se le hace seguimiento, hizo solicitud


a la Oficina Asesora de Planeación, mediante formato PMFT04 “Solicitud de Acción Correctiva, Preventiva

o de Mejora”, sobre los siguientes ítems:

“No Conformidad Mayor: Relacionada con los numerales 4.2.3. Control de documentos y 4.2.4. Control de los registros,

enunciados en la norma NTCGP 1000:2009, en relación con los puntos que a continuación se relacionan:

1. En la actividad 4 del procedimiento “Gestión de arquitectura de tecnologías de la información” se hace referencia al código

de formato COF02 el cual no es un código válido dentro del sistema integrado de gestión de la Supersalud. No se encuentra

definida la frecuencia de aplicación de los puntos de control del procedimiento (en su lugar aparece el responsable del

proceso).

2. Al verificar un registro en el formato Línea de base de arquitectura de TI RSFT01 correspondiente al procedimiento

“Gestión de arquitectura de tecnologías de la información”, se evidenció que el mismo no cuenta con el encabezado en el

cual se encuentra el logo institucional, nombre del formato, código y versión del mismo.

No Conformidad Mayor: Relacionada con el numeral 4.1. Requisitos generales, literal g y numeral 8.5.3 Acción preventiva,

la siguiente situación, en relación con los puntos que a continuación se relacionan:

3. Dentro de la documentación del procedimiento “Gestión de la arquitectura de tecnologías de información”, en la política

1 se recomienda especificar que el marco de referencia de arquitectura empresarial para la gestión de tecnologías de la

información adoptado en las entidades del sector público Colombiano es IT4+ e incluir dentro del mapa de procesos como

documentos externos los correspondientes a la documentación de este modelo en MinTic.

4. En el procedimiento “Gestión de la arquitectura de tecnologías de información”, no se encuentran dentro del sistema

integrado de gestión, la tabla de control de actas. Se recomienda evaluar conjuntamente con la Oficina asesora de

Planeación, la pertinencia de oficializar este documento incluyéndolo como un formato dentro del sistema integrado de

gestión.”

La propuesta elevada por la Oficina de Tecnologías de la Información, fue la siguiente:

“Se debe eliminar el registro de formato COF02 debido a que el registro de dicha actividad se realizará mediante Acta

del sistema Integrado de Gestión. Adicionalmente se asignará la frecuencia de aplicación de los puntos de control del

procedimiento.

A partir de la fecha se adoptará el formato de registro de Línea Base de Arquitectura de T.I. Cód. RSFT01.

La recomendación se adoptará en el momento que la SNS defina y apruebe las estrategias necesarias para el

cumplimento de los lineamientos establecidos en el decreto 2573 de 17 de Diciembre de 2014.

Para lo anterior desde ahora la Oficina Asesora de Planeación, está participando de comités de Gobierno en Línea y

contactos con el Ministerio de TIC a fin de identificar las etapas y planes de acción al respecto.

La recomendación realizada no será adoptada, debido a que el Formato "Registro de Documentos" es un documento

de apoyo para el control de la gestión del proceso”.

La Oficina de Control Interno hizo seguimiento al ítem 1: “Ítem 1: En la actividad 4 del procedimiento

“Gestión de arquitectura de tecnologías de la información” se hace referencia al código de formato COF02 el

cual no es un código válido dentro del sistema integrado de gestión de la Supersalud. No se encuentra definida

la frecuencia de aplicación de los puntos de control del procedimiento (en su lugar aparece el responsable del

proceso)”, a las acciones propuestas, verificando que:

a. El formato COF02, ya no existe en la documentación del Mapa de Procesos, y ya se encuentra

el formato RSFT01.


b. En cuanto a: “No se encuentra definida la frecuencia de aplicación de los puntos de control del

procedimiento (en su lugar aparece el responsable del proceso), en el procedimiento que actualmente

se encuentra en el Mapa de Procesos, se evidencia que el cambio no se ha registrado.

c. Verificando el procedimiento “Gestión de arquitectura de tecnologías de la información”, con

código RSPD01-Versión 2, la cual tiene fecha de modificación el “23/02/2016”, la Oficina de

Control Interno pudo verificar que en la actividad No. 8 y en el punto de control de la misma

actividad, se hace referencia al formato COFT02:


d. Con base en lo anterior, la Oficina de Control Interno verificó el formato COFT02 que aparece en

el mapa de procesos, encontrando que hace referencia a “publicación de Contenidos Intranet”,

el cual no concuerda con el procedimiento en revisión, como se evidencia a continuación.

De acuerdo con lo anterior, la Oficina de Control Interno recomienda muy respetuosamente a la

Oficina de Tecnologías de la Información que se efectúe verificación y seguimiento, ya que al

consultar el procedimiento en el portal web (Mapa de Procesos), el procedimiento no refleja el ajuste

solicitado; en especial lo relacionado con el formato eliminado y anunciado dentro del procedimiento,

así como el ajuste al error que aparece en la “frecuencia” de los puntos de control del mismo, todo

ello en acuerdo con la Oficina Asesora de Planeación, a la que se le remitirá copia de este informe

para el apoyo que considere oportuno brindar, a fin de superar la(s) acción(es) correctiva (s) antes

enunciadas.


6. CONCLUSIONES Y RECOMENDACIONES

De acuerdo a las evidencias aportadas y entrevistas sostenidas con la Oficina de Tecnologías de la

Información y en concordancia con las funciones y actividades definidas para esa dependencia, la

Oficina de Control Interno puede concluir que la mencionada dependencia viene realizando las

actividades encaminadas al cumplimiento de los objetivos definidos en su Plan Anual de Gestión;

situación, ha sido fluctuante impidiendo el cumplimiento riguroso de lo planeado, ya que como se

registra en el contenido de este informe, las decisiones y directrices impartidas por la Alta Dirección

y las decisiones tomadas por las dependencias usuarias, han forzado a la Oficina de Tecnologías de

la Información a cambiar las prioridades de sus proyectos, situación que se ve reflejada en el

porcentaje de avance de cumplimiento de los tres indicadores escogidos para esta revisión.

Por la situación que ahora se evidencia, la Oficina de Tecnologías de la Información informa que

actualmente su Plan Anual de Gestión-vigencia 2016 se encuentra en proceso de revisión y ajuste,

modificación que, se espera que para el próximo seguimiento que realizará la Oficina de Control

Interno, pueda ser evidenciado.

De acuerdo con lo informado por la Oficina de Tecnologías de la Información en relación con el Plan

de Mejoramiento formulado mediante NURC 3-2015-021958 del 6 de Noviembre de 2015, sobre la

Auditoría de Calidad efectuada por la Institución en Octubre de 2015, con el cual se remitió el formato

PMFT04 “Solicitud de Acción Correctiva, Preventiva o de Mejora”, la Oficina de Control Interno

recomienda muy respetuosamente que se efectúe verificación y seguimiento, ya que al consultar el

procedimiento en el portal web (Mapa de Procesos), el procedimiento no refleja el ajuste solicitado;

en especial lo relacionado con el formato eliminado y anunciado dentro del procedimiento, así como

el ajuste al error que aparece en la “frecuencia” de los puntos de control del mismo.

A pesar de lo antes mencionado, la Oficina de Control Interno concluye que la dependencia que por

medio de este informe se evalúa, está realizando las actividades programadas para el cumplimiento

de su Plan Anual de Gestión.

La Oficina de Control Interno, en cumplimiento de su Plan Anual de Gestión – Plan Anual de

Auditorías y Seguimientos (PAAS), aprobado para la vigencia 2016 mediante Resolución 2639 de

Diciembre de 2015, realizará nuevo seguimiento a la Oficina de Tecnologías de la Información en el

mes de Julio de 2016, en el cual se incluirán los aspectos relacionados en este informe.

Cordialmente,

JUAN DAVID LEMUS PACHECO

Jefe Oficina de Control Interno

Proyectó: Eddna Dueñas Monsalve, Ingeniera de Sistemas-Oficina de Control Interno

INFORME SEGUIMIENTO Y EVALUACIÓN OFICINA … · definieron los componentes que fundamentan la...

Documents

Transcript of INFORME SEGUIMIENTO Y EVALUACIÓN OFICINA … · definieron los componentes que fundamentan la...