PROCESO CONTROL Y SEGUIMIENTO Código: F08-FEO-01-D INFORME DE AUDITORÍA

Transcripción

1 PROCESO CONTROL Y SEGUIMIENTO Código: F08-FEO-01-D Depanamento Administrativo 1. INFORMACIÓN GENERAL GESTION DE LAS TECNOLOGIAS DE LA INFORMACION Y LAS COMUNICACIONES - I le, FECHA AUDITORÍA: Noviembre 19 a Diciembre 3 de 2014 OBJETIVO: ALCANCE: S: EQUIPO AUDITOR: Verificar la gestión del proceso de gestión de las TIC a través de la evaluación del cumplimiento de lineamientos internos y externos aplicables al proceso, a fin de establecer oportunidades de mejora que contribu an a la adecuada estión del mismo. *Plan Estratégico de Sistema de Información y Políticas de Informática. *Copias de respaldo de las aplicaciones y bases de datos. *Mantenimiento de hardware. *Plan de Acción *Mapa de riesgo del proceso. *Indicadores del proceso. 'Resolución 305 del 20 de octubre de 2008 "Por el cual se expiden políticas públicas para las entidades, organismos y órganos de control del Distrito Capital, en materia de Tecnologías de la Información y Comunicaciones respecto a la planeación, seguridad, democratización, calidad, racionalización del gasto. conectividad, infraestructura de Datos Especiales y Software Libre" 'Directiva 005 del 12 de junio de 2005 "Por medio de la cual se adoptan las Politices Generales de Tecnología de Información y Comunicaciones aplicables al Distrito Capital" *Directiva presidencial 02 de 2002 "Respecto al derecho de autor y los derechos conexos, en lo referente a utilización de programas de ordenador (software)" 'Manual de funciones. 'MECI 2014 Eje transversal de información y comunicación. 'NTCGP 1000: Infraestructura. 'Resoluciones internas, memorandos. *Manuales, procedimientos, instructivos, registros asociados al proceso. 'Directiva 03 de 2013 "Directrices para prevenir conductas irregulares relacionadas con incumplimiento de los manuales de funciones y de procedimientos y la pérdida de elementos y documentos públicos". 'Ley 594 de Ismael Martínez Guerrero. Nohemi Elifelet Ojeda Salinas, 2. METODOLOGÍA Y/0 ACTIVIDADES DESARROLLADAS:. [La auditoría se realizó del 19 de noviembre al 3 de diciembre de 2014 en las instalaciones del Departamento Administrativo del Servicio Distrital DASCD, ubicado en la Carrera 30 No Piso 9. Se hizo una reunión de apertura el 19 de noviembre con el Subdirector de Gestión Corporativa y Control Disciplinario y el equipo que lidera el Proceso Gestión de las Tecnologías de la Información y las Comunicaciones TIC de esta Subdirección, a fin de dar a conocer el Plan de auditoría y la metodología a realizar. Seguidamente, se solicitó L información pertinente, de acuerdo al alcance establecido para la auditoría, para hacer la i kat 1

2 PROCESO CONTROL Y SEGUIMIENTO Código: F08-PEC-01-CI Departamento Administrativo [revisión documental de escritorio. Posteriormente, se realizó el cotejo de los criterios -1 establecidos, frente a los soportes y evidencias aportados al equipo de auditoría, para registrar los resultados que aparecen en este informe. Finalmente, se realizaron entrevistas con las personas que gestionan el Proceso objeto de la auditoría, para que aportaran información adicional o aclararan inquietudes del equipo auditor, según fuera el caso. r 3. FORTALEZAS : Buena disposición del equipo auditado para la atención de la auditoría y recuperación adecuada de información para consulta. Actualización permanente de la infraestructura tecnológica del DASCD. La trayectoria del personal auditado en el manejo del proceso de Gestión de las Tecnologías de la Información y las Comunicaciones TIC. 4. RELACIÓN Y DESCRIPCIÓN DE HALLAZGOS O NO CONFORMIDADES: 4.1. Requisitos con cumplimiento Directiva 005 del 12 de junio de 2005 "Por 1 medio de la cual se adoptan las Políticas Generales de Tecnología de Información y Comunicaciones aplicables al Distrito Capital" "4.1.2 Formulación de la política Cada entidad debe definir su Plan Estratégico de Sistemas de Información (PESI). OBSERVACION Se evidenció la existencia del Plan Estratégico de Tecnologías de Información y Comunicaciones (PETIC), denominado anteriormente PESI, expedido en el mes de febrero de Adicional a la planeación estratégica institucional y la normatividad aplicable, este documento contiene los objetivos en materia de TIC de la entidad, las políticas informáticas, la estructura del equipo de sistemas, el inventario de activos informáticos, el análisis DOFA de los sistemas de infraestructura tecnológica del DASCD, las estrategias, los proyectos y plan de acción correspondientes. Resolución 305 del 20 de octubre de 2008 Se evidenció que el Plan Estratégico de 2 "Por el cual se expiden políticas públicas para las entidades, organismos y órganos de control del Distrito Capital, en materia de Tecnologías de Información y Comunicaciones (PETIC), denominado anteriormente PESI, expedido en el mes de febrero de 2014, del Tecnologías de la Información y DASCD, dio cumplimiento al artículo 5 de la Comunicaciones respecto a la planeación, Resolución 305 del 2008, aplicando las seguridad, democratización, calidad, directrices generales establecidas en la racionalización del gasto, conectividad, Metodología de Planeación Estratégica, el cual infraestructura de Datos Especiales y Software Libre" incluye el anexo 1 "Modelo Plan Estratégico de Entidades" 2

3 PROCESO CONTROL Y SEGUIMIENTO Código: F08-PEC-01-CI Departamento Administrativo SERVICIO CIVIL OISTRITAL t I I No. "ARTÍCULO 5. METODOLOGÍA DE PLANEACIÓN ESTRATÉGICA. Los Jefes de las entidades, organismos y órganos de control del Distrito Capital, deben adoptar y aplicar las directrices generales establecidas en el documento denominado "Metodologia de Planeación Estratégica", el cual hace parte integral de la presente Resolución, incluyendo el instrumento denominado "Modelo Plan Estratégico de Entidades". (Anexo 1)." OBSERVACION En efecto, el PETIC del DASCD cumple con cada uno de los ítems establecidos en el modelo al establecer: El propósito, alcance, beneficios de la planeación y justificación del PETIC; normatividad, misión, visión, funciones, objetivos de la entidad; objetivos específicos del Plan Estratégico de la entidad; políticas informáticas; alcance del Sistema Distrital de Información; estructura organizacional de la dependencia de sistemas; situación actual (en cuanto a dotación del Centro de Cómputo, aplicativos y sistemas, red de comunicaciones, desarrollo, soporte y mantenimiento, principales proveedores, infraestructura de seguridad, Planes de Contingencias); inventario de activos de los procesos de Gestión de las Tecnologías de información y comunicaciones; evaluación de los sistemas e infraestructura tecnológica de la entidad (se analiza las fortalezas, oportunidades, amenazas y debilidades del área de sistemas y de su tecnología); estrategias del plan que contribuyen al cumplimiento de los propósitos misionales de la entidad; proyectos definidos (se establecen descripción, objetivos, entregables, indicadores, factores críticos de éxito); Plan de Acción; Plan o estrategia de Divulgación. 3 Directiva 03 de 2013 "Directrices para prevenir conductas irregulares relacionadas con incumplimiento de los manuales de funciones y de procedimientos y la pérdida de elementos y documentos públicos" Plan Estratégico de Tecnologías de 4 Información y Comunicaciones (PETIC) - DASCD, Febrero de En entrevista realizada con servidores públicos de la Subdirección de Gestión Corporativa y Control Disciplinario asociados con el proceso de Gestión de las Tecnologías de la Información y las Comunicaciones - TIC(Ana Consuelo Rodríguez y Gerardo Gutiérrez Sarmiento), y de acuerdo con el Manual de Funciones suministrado por Talento Humano, se pudo evidenciar que los profesionales mencionados han venido ejecutando actividades que guardan relación con las funciones esenciales descritas en el mismo. Se evidenció que el DASCD, cumple con las siguientes políticas informáticas establecidas en el PETIC: "X - POLÍTICAS INFORMATICAS 3

4 PROCESO CONTROL Y SEGUIMIENTO Código: F08-PEC-01-CI Departamento Administrativo ENo. OBSERVACION Política de Seguridad. Política de Seguridad. Se hace copia de respaldo de todas las aplicaciones críticas del Departamento. Se hace backup a los archivos de trabajo de los servidores públicos. (.4 Organización de la Seguridad. En el Departamento Administrativo del Servicio Civil el comité de seguridad está conformado por el personal del área de Sistemas, el cual se basa en el Documento de Políticas de Seguridad Informática y permite tener una directriz en caso de un siniestro tecnológico. Gestión de Activos. De las aplicaciones e información crítica se obtiene copia de respaldo periódicamente, las cual se almacena en el lugar destinado para tal fin según lo estipulado en el manual de Politica de Seguridad. Igualmente se guarda una copia externa del sistema (Servidor DNS) y en un disco del mismo servidor. Seguridad de los Recursos Humanos. Al centro de cómputo solamente tienen acceso los funcionarios del área de sistemas debidamente autorizados. A los equipos servidores sólo se puede acceder mediante contraseña. Por medio del software COBIAN BACKUP se realiza copias de respaldo de los siguientes aplicativos: *SIG: Los días lunes, martes, miércoles, jueves y viernes a las 23:30 horas, en el servidor principal. *Correspondencia: Los días lunes, miércoles y viernes a las 13:00 horas, en el servidor principal. *DATASIX: Los días lunes, miércoles y viernes a las 19:00 horas, en el servidor principal. *SIGÍA: Los días jueves y sábados a las 02:00 horas, en el servidor principal. "SI CAPITAL: Los días lunes, martes, miércoles, jueves y viernes a las 03:00 horas, en el servidor principal. *Cámaras: Continuo, guarda un mes de grabación en el disco duro cámaras. Organización de la Seguridad. Se evidencia documento del Comité de Sistemas de Gestión de Seguridad de octubre de 2014, en el cual se señala cuáles son los participantes, funciones de los mismos, plan de emergencia, pruebas e implantación del plan, recursos y entrenamiento del personal y mantenimiento del plan. Para la salida y entrada del hardware, en especial cuando se hace mantenimiento preventivo y correctivo, esta operación se hace según las normas establecidas en el manual de Política de Seguridad y la normatividad establecida por la administración del edificio. El área de sistemas socializa una circular de cuidados de los equipos y los bienes informáticos y otra con todos los cuidados que deben tener con el uso del internet y el acceso a páginas no permitidas, ya que en la entidad no hay restricción en internet ni bloqueo de páginas. Gestión de Activos. Por medio del software COBIAN BACKUP, se realiza copias de respaldo en Máquinas virtuales: Los días miércoles y sábados a las 20:00 horas, en el servidor antivirus J:/BACKUP SERVIDORES Seguridad de los Recursos Humanos. Gestión de las Telecomunicaciones Y Operaciones. Seguridad Fisica. Se expidieron las Circulares Internas No. 04 y 05 El sistema general y la consola se encuentran del 1 de octubre de 2014, la primera relacionada 4

5 PROCESO CONTROL Y SEGUIMIENTO Código: F08-PEC-01-CI Departarn nto Administralivo SERVIO CIVIL DISTRITAL No. I ubicados dentro del centro de cómputo, al cual solamente tienen acceso los funcionarios de sistemas debidamente autorizados. La entrada está controlada por software de huella digital. Para trabajos de mantenimiento en general, los funcionarios o contratistas que prestan estos servicios están acompañados de personal del área de Sistemas. Gestión de las Telecomunicaciones y Operaciones. Para tal fin se emitieron circulares Internas y se envió por correo electrónico, en las cuales se manifiesta claramente el manejo de la información, del software, del hardware y el uso del internet. Control de Acceso a los Datos. Todos los equipos que se encuentran conectados a la red interna y a las extranet, tienen acceso a través de contraseña. Los funcionarios están autorizados para cambiar la contraseña cuando lo consideren conveniente. En el centro de cómputo el acceso a los equipos servidores es mediante contraseña. Solamente acceden los funcionarios del área de sistemas al centro de cómputo. (...)" *Contrato de Prestación de Servicios No. 006 I 5 del 24 de febrero de 2014, suscrito entre el Departamento Administrativo del Servicio Civil Distrital y OB INGENIERIA S.A.S. En el acta de aceptación y adjudicación del Proceso de Selección de Mínima Cuantía No. 001 de 2014, se estableció: "OBLIGACIONES ESPECÍFICAS OBSERVACION con el uso adecuado del correo electrónico institucional e internet y la segunda sobre los cuidados en la utilización de los equipos de computación, seguridad de la información y prevención de virus informáticos, las cuales se dieron a conocer a todos los funcionarios del DASCD, el 2 de octubre de 2014 por Outlook. Seguridad Física. Se evidenció que el sistema general y la consola se encuentran ubicados dentro del centro de cómputo, cuya entrada está controlada por software de huella digital. Control de Acceso a los Datos. Se evidenció en varios equipos de funcionarios del DASCD, que se tienen acceso a través de contraseña y en el centro de cómputo el acceso a los equipos servidores es mediante contraseña. El DASCD, por medio del proceso de Selección de Mínima Cuantía DASCD-SMIC , seleccionó al contratista OB INGENIERIA S.A.S. para que prestara los servicios de mantenimiento preventivo y correctivo para la UPS de 30 KVA, suscribiendo el Contrato de Prestación de Servicios No. 006 del 24 de febrero de 2014, en el cual se evidenció en la carpeta que custodia la supervisora, que se da cumplimiento a las siguientes obligaciones específicas asi: Realizar cuatro (4) visitas de mantenimiento preventivo a la UPS de 30 KVA del Departamento. Realizar el mantenimiento correctivo de la UPS de 30 KVA del Departamento, en el momento que se requiera Suministrar en el mantenimiento correctivo los repuestos dañados de la UPS *A folios 10, 13, 14, 17, 19 y 22 se evidencia el cumplimiento de las obligaciones de las visitas de mantenimiento preventivo a la UPS de 30 KVA del Departamento realizadas por la firma OB INGENIERIA S.A.S. *Se evidencia que las visitas de mantenimiento preventivo a la UPS del Departamento fueron 5 Yfv

6 PROCESO CONTROL Y SEGUIMIENTO Código: F08-PEC-01-CI Departamento Administrativo L No71 OBSERVACIÓN (exceptuando las baterias de la UPS), de no ser posible suministrarlos en su totalidad, el proponente deberá especificar cuáles no incluye en su propuesta. Cumplir con todas las especificaciones técnicas para el mantenimiento de la UPS. Acudir en el tiempo de respuesta ofrecido en su propuesta para el mantenimiento correctivo. Incluir, sin costo adicional alguno para el Departamento, el suministro de equipos de respaldo, cuando la reparación de las mismas requieran el traslado a los laboratorios del contratista, a fin de realizar el mantenimiento correctivo por un periodo igual al término de devolución de la UPS reparada propiedad del DASCD. Prestar el servicio de mantenimiento preventivo y correctivo de la UPS de 30 KVA del Departamento, en el momento en que se requiera (por demanda), de lunes a viernes en el horario de 7:00 AM a 6:00 PM. Debe tener soporte técnico telefónico los siete (7) días de la semana las veinticuatro (24) horas del día. El Departamento considera de gran importancia el soporte técnico para la UPS, por lo que exige que las personas que lo vayan a ejecutar tengan un perfil idóneo y de experiencia, por lo tanto la firma oferente deberá anexar titulo de educación y certificaciones de experiencia para: a. Un líder de proyecto con titulo de pregrado en ingeniería electrónica o eléctrica. Mínimo seis (6) años de experiencia certificada en la ejecución de este tipo de contrato. b. Un técnico o tecnólogo en electrónica o eléctrico. Mínimo seis (6) años de experiencia certificada en el mantenimiento de UPS. Mantener el valor de la propuesta durante la ejecución del contrato." realizadas de conformidad con la programación-1 establecida a folio 8. *A folios 11, 15 y 20 se pudo evidenciar que el valor facturado por la firma OB INGENIERIA S.A.S, mantiene el valor propuesto a folio 276 que se encuentra en la carpeta que tiene bajo su custodia la Subdirección Jurídica. Se evidencia cumplimiento de obligaciones específicas en la carpeta del Contrato de Prestación de Servicios No. 006 del 24 de febrero de 2014, la cual tiene bajo su custodia la Subdirección Jurídica así: *Del folio 255 al 265, los documentos y certificaciones del líder de proyecto, del folio 266 al 275, los documentos y certificaciones del Técnico en Electrónica. *Del folio 357 al 359, informe definitivo de verificación de requisitos habilitantes, evaluación técnica definitiva y evaluación de experiencia definitiva de la firma OB INGENIERIA S.A.S, dando cumplimiento con todas las especificaciones técnicas para el mantenimiento de la UPS del Departamento. Por otra parte, la funcionaria Ana Consuelo Rodríguez, supervisora del Contrato de Prestación de Servicios No. 006 del 24 de febrero de 2014, informó que en vigencia de la ejecución del mismo hasta la fecha, la UPS del Departamento no ha requerido mantenimiento correctivo. 6 Modelo Estándar de Control Interno para el Estado Colombiano- MECI Módulo: Control de planeación y gestión Componente: Administración del riesgo Se evidenció que el proceso de gestión de las TIC ha realizado la identificación, análisis y valoración de sus riesgos, los cuales se encuentran relacionados en la Matriz de riesgos 6

7 P PROCESO CONTROL Y SEGUIMIENTO Código: F08-PEC-01-CI ALCA DIA MAYOR Departam oto Administrativo No. Elementos:-Políticas de Admón del riesgo -Identificación del riesgo -Análisis de riesgo -Análisis y Valoración del riesgo OBSERVACIÓN institucional En la matriz se encuentran tipificados los riesgos de gestión y se relacionan los controles para mitigar los riesgos identificados; así como también los indicadores de gestión. Plan de Acción 2014 de la Subdirección de 7 Gestión Corporativa y Control Disciplinario Revisado el seguimiento al Plan de acción de lag Subdirección de Gestión Corporativa y Control Disciplinario-SGCCD relacionado con el proceso de gestión de las TIC, a corte de 30 de septiembre de 2014, se identificó cumplimiento al 100% de la programación en las siguientes actividades: 1.1. Mantenimiento de bienes informáticos (hardware y Sosftware) y Ups para mejorar la gestión de la entidad y reemplazar equipos Adquisición de Bienes informáticos (hardware y software) y otros dispositivos Soporte técnico a las áreas del Departamento y a otras entidades del distrito Norma Técnica de Calidad en la Gestión 8 I Pública NTCGP 1000: Seguimiento y medición de los procesos La entidad debe aplicar métodos apropiados para el seguimiento de los procesos del Sistema de Gestión de la Calidad, y cuando sea posible, su medición. Estos métodos deben demostrar la capacidad de los procesos para alcanzar los resultados planificados (eficacia) así como el manejo de los recursos disponibles (eficiencia). El seguimiento y la medición del impacto (efectividad) de la gestión tanto en el logro de los resultados planificados como en el manejo de los recursos utilizados pueden realizarse por proceso, por conjunto de procesos o en forma global para el Sistema. Como resultado del seguimiento de la medición y 7 Se evidenció ficha del indicador No. De requerimientos atendidos, que tiene como objetivo fortalecer la plataforma tecnológica utilizando herramientas TICS que permitan la administración y aseguramiento de la información así como la utilización de hardware y software actualizado. Este indicador es de eficacia, su periodicidad de medición es trimestral, y de acuerdo con el reporte del equipo que integra el proceso, en las mediciones realizadas en los tres primeros trimestres del año, el resultado del indicador ha estado por encima del 100%. cmc

8 ALCA DIA MAYOR BOGOTA D.C. Departan oto Administrativo H PROCESO CONTROL Y SEGUIMIENTO Código: F08-PEC-01-CI nno. f seguimiento de los procesos, deben llevarse a cabo correcciones, acciones preventivas y/o correctivas, según sea conveniente. 9 Resolución Reglamentaria 011 del 28 de febrero de 2014 "Por medio de la cual se prescriben los métodos y se establecen la forma, términos y procedimientos para la rendición de la cuenta y la presentación de informes, se reglamenta su revisión y se unifica la información que se presenta a la Contraloría de Bogotá D.C., y se dictan otras disposiciones" "CAPÍTULO VI OBSERVACION Revisados los certificados de reporte de la cuenta anual 2013 y las cuentas mensuales de enero a octubre reportados a la Contraloría de Bogotá D.C., se evidenció que el DASCD ha dado estricto cumplimiento en las fechas establecidas en la Resolución Reglamentaria 011 del 28 de febrero de Se evidencia adecuada gestión de los integrantes del proceso en la solicitud y cargue de la información a las diferentes dependencias de la entidad para el reporte de los formatos y documentos electrónicos al organismo de control. De los Términos Articulo 13. De la cuenta consolidada. El término máximo para la rendición de la cuenta, mensual y anual, consolidada a través del Sistema de Vigilancia y Control Fiscal SIVICOF, a la Contraloria de Bogotá, D.C., será el siguiente: Mensual: El séptimo dia hábil siguiente al mes reportado. Anual: El décimo primer dia hábil del mes de febrero. Términos para la presentación de la Cuenta mensual y anual a la Contraloría de Bogotá D.C." 4.2. No conformidades Noj E-SIG-IN-001 Instructivo de elaboración y control de documentos Sistema Integrado de Gestión Plantillas Procedimiento de proceso Norma Técnica de Calidad en la Gestión Pública NTCGP 1000:2009 OBSERVACIÓN No conformidad 1. Revisada la información con la que cuenta el proceso de gestión de las TIC en el aplicativo del Sistema Integrado de Gestión- SIG, se pudo evidenciar desactualización de documentos del proceso frente a los lineamientos establecidos internamente en la entidad para los documentos del SIG, lo cual contraviene lo estipulado en el Instructivo de elaboración y control de documentos del Sistema Integrado de Gestión (E-SIG-IN-001). 8 A continuación se relacionan algunos casos en

9 PROCESO CONTROL Y SEGUIMIENTO Código: F08-PEC-01-CI Departamento Administrativo No. OBSERVACIÓN los que documentos del proceso que se encuentran publicados en el aplicativo del Sistema Integrado de Gestión-SIG no tienen la plantilla aprobada por la Oficina Asesora de Planeación en el Instructivo mencionado: "Procedimiento administración de la red. *Procedimiento de aistencia y soporte técnico a usuarios de bienes informáticos. Lo anterior evidencia deficiencias en el control documental de procedimientos asociados al Sistema Integrado de Gestión, e incumplimiento a lineamientos internos establecidos desde el proceso de Sistemas de Gestión, que genera que se utilicen procedimientos en versiones no oficiales, toda vez que ya se encuentran en estado publicado. Plan Estratégico de Tecnologías de 2 Información y Comunicaciones (PETIC) - DASCD, Febrero de "X - POLÍTICAS INFORMATICAS Politica de Seguridad. Se actualiza y socializa el Documento de Políticas de Seguridad Informática." Procedimiento: Formulación Plan Estratégico de Sistemas de Información y Políticas de Seguridad Informática. Código: A-SI-PRO1. Versión 3. "Actividad 3 Revisar y aprobar la actualización del PESI y el Documento de Politica de Seguridad Informática. Descripción de la actividad 6. Se presenta al Subdirector de Gestión Corporativa y Control Disciplinario el PESI y el Documento de Política de Seguridad Informática para sus No conformidad 2. Se evidenció incumplimiento del capitulo X relacionado con las políticas de seguridad del Plan Estratégico de Tecnologías de Información y Comunicaciones (PETIC) DASCD de Febrero de 2014 y de la actividad No. 3 del Procedimiento de Formulación Plan Estratégico de Sistemas de Información y Políticas de Seguridad Informática Código: A-SI-PRO1. Versión 3, al no tener registro de la revisión y aprobación por parte del Subdirector de Gestión Corporativa y Control Disciplinario al PETIC y al Documento de Política de Seguridad Informática, así como tampoco a la expedición de la circular respectiva y su socialización. Esta situación genera el riesgo de no dar cumplimiento al PETIC y a las políticas de seguridad informática por parte de los funcionarios del DASCD, por desconocimiento del mismo, creando confusiones acerca de cuáles son los documentos aprobados y oficiales, ya que se evidenció en los documentos aportados a la auditoría que no se encuentran firmados y no hay evidencia del aval de los mismos. 9

10 Departamento Adrninistralivo PROCESO CONTROL Y SEGUIMIENTO Código: F08-PEC-01-CI No. observaciones y/o aprobación. OBSERVACIÓN 7. Se realiza circular para la socialización con firma de la subdirección y dirección. "Actividad 4 Descripción de la actividad Socializar el PESI y el Documento de Politica de Seguridad Informática. 9. Se socializa el PESI y el Documento de Politica de Seguridad Informática en el Departamento. 5. RELACIÓN Y DESCRIPCIÓN DE OBSERVACIONES: 5.1. Oportunidades de mejora No. Memorando 2014-I-E-86 del 29 de enero de Asunto: Directrices en materia contractual ( ) Una vez finalizado el proceso de selección y sea designada la supervisión, el funcionario a cargo de la misma deberá construir su expediente de supervisión, que le permita adelantar el seguimiento técnico, administrativo, financiero y contable del contrato respectivo. (...)" OBSERVACION Observación 1. Revisados los soportes de la I ejecución de algunos contratos, supervisados por personal que pertenece al proceso de Gestión de las Tecnologías de la Información y las Comunicaciones TIC, si bien se observó que se cuenta con la información que soporta las actividades realizadas por los contratistas, también se evidenciaron inconsistencias en las directrices impartidas por la Subdirección Jurídica por medio de Memorando 2014-I-E-86 del 29 de enero de A continuación se señalan algunos casos: En el Contrato de Prestación de Servicios No. 006 del 24 de febrero de 2014, suscrito entre el Departamento Administrativo del Servicio Civil Distrital y OB INGENIERIA S.A.S, se evidenció que en la carpeta que tiene bajo custodia la supervisora se encuentran los soportes de la orden de pago No. 146 del 15 de septiembre de 2014; sin embargo, en la carpeta del contrato que tiene bajo su custodia la Subdirección Jurídica, a folios 381 a 390 reposan los soportes a las órdenes de pago No. 25 del 25 de marzo de

11 PROCESO CONTROL Y SEGUIMIENTO Código: F08-PEC-01-CI Ir Departamento Administrativo SERVICIO CIVIL OISTRMAL F OBSERVACION y la No. 71 del 13 de junio de 2014 Ejecución del Contrato de Prestación de 2 Servicios No. 009 del 22 de mayo de 2014, suscrito entre el Departamento Administrativo del Servicio Civil Distrital y E & C INGENIEROS LTDA. 11 *En el Contrato de Prestación de Servicios No. 009 del 22 de mayo de 2014, suscrito entre el Departamento Administrativo del Servicio Civil Distrital y E & C INGENIEROS LTDA, se evidenció que en la carpeta que tiene bajo custodia la supervisora se encuentran los soportes de la órdenes de pago No. 129 del 26 de agosto de 2014 y la No. 181 del 4 de noviembre de 2014; sin embargo, en la carpeta del contrato que tiene bajo su custodia la Subdirección Jurídica, a folios 438 a 443 reposan los soportes a la orden de pago No. 81 del 2 de julio de Lo anterior, genera dificultades para la recuperación rápida de la documentación de los contratos, consulta y acceso para los entes de control y demás partes interesadas en la gestión contractual, por lo que es necesario que se tomen las acciones pertinentes desde la Subdirección Jurídica para precisar y fortalecer la socialización de los diferentes instrumentos con los que cuenta la entidad en los que aparezcan disposiciones en materia de gestión documental de soportes contractuales. Observación 2. El DASCD, por medio del proceso de Selección Abreviada de Menor Cuantía Subasta Inversa para la Adquisición de Bienes y Servicios de Características Técnicas Uniformes y de Común Utilización DASCD 001 DE 2014, seleccionó al contratista E & C INGENIEROS LTDA, para prestar el servicio de mantenimiento preventivo y correctivo para los 1 bienes informáticos (Hardware y software) y la red del DASCD, suscribiendo el Contrato de Prestación de Servicios No. 009 de 2014, en el cual se observó que el supervisor expide una certificación y/o informe de cada una de las actividades realizadas en cumplimiento del objeto contractual; sin embargo, la información consignada se hace de manera general y transcribe cada una de las especificaciones?f,tc)

12 PROCESO CONTROL Y SEGUIMIENTO Código: F08-PEC-01-CI ALCALDÍA MAYOR Departamento Adminstrallivo No. OBSERVACION técnicas requeridas, situación que no permite establecer el detalle de los avances en cada obligación contractual o una breve descripción de las mismas. Sería recomendable que los informes de supervisión, en donde se certifica el cumplimiento de las obligaciones para el pago respectivo, se especifique de mejor manera las actividades realizadas en el marco de cada obligación contractual tanto general como específica, con sus respectivas evidencias. 3 Plan Estratégico de Tecnologías de Información y Comunicaciones (PETIC) DASCD, Febrero de "X POLÍTICAS INFORMATICAS Organización de la Seguridad. En el Departamento Administrativo del Servicio Civil el comité de seguridad está conformado por el personal del área de Sistemas, el cual se basa en el Documento de Políticas de Seguridad Informática y permite tener una directriz en caso de un siniestro tecnológico. Observación 3. Si bien el DASCD, cuenta con -1 documentos que evidencian el Plan de Contingencias del área de Sistema e Informática, actualizado en octubre de 2014 y el Comité de, Sistema de Gestión de Seguridad, actualizado en octubre de 2014, sería recomendable que dichos instrumentos sean aprobados por el Subdirector de Gestión Corporativa y Control Disciplinario y socializados a todos los funcionarios del DASCD. Adicionalmente, es importante que se registren las actas del Comité de Sistema de Gestión de Seguridad y no solamente el Simulacro Plan de Contingencia 2014 "Suspensión del Servicio Temporal de Internet, Red, Aplicativos de SI- CAPITAL y Funcionamiento de Impresoras" realizado el 2 de octubre de Plan Estratégico de Tecnologías de Observación 4. Si bien el DASCD aplica las Información y Comunicaciones (PETIC) i directrices generales establecidas en la DASCD, Febrero de Metodología de Planeación Estratégica, el cual incluye el anexo 1 "Modelo Plan Estratégico de Entidades" que dispone la Resolución 305 del 20 de octubre de 2008, sería recomendable que el PETIC detallara en el plan de acción las actividades puntuales que se van a ejecutar durante la vigencia y que se establezca la asociación con los objetivos específicos y estrategias del Plan estratégico del Departamento. 12

13 PROCESO CONTROL Y SEGUIMIENTO Código: F08-PEC-01-CI Departamento Admmistratrvo No. 5 Modelo Estándar de Control Interno para el Estado Colombiano- MECI Módulo: Control de planeación y gestión Componente: Administración del riesgo Elementos: -Políticas de Admón del riesgo -Identificación del riesgo -Análisis de riesgo -Análisis y Valoración del riesgo OBSERVACIÓN Observación 5. El proceso de gestión de las TIC tiene identificados, analizados y valorados sus riesgos; sin embargo, no existe evidencia documentada del seguimiento y control que se hace internamente a los mismos, para determinar la efectividad de los controles. El no contar con el resultado al seguimiento de las acciones establecidas para mitigar los riesgos en la matriz de riesgos del proceso, puede dificultar el seguimiento al cumplimiento de las mismas, bien sea a través de un ejercicio de autoevaluación o evaluación independiente. Lo anterior puede generar que los riesgos identificados se materialicen y al no hacer un control adecuado, se agudice el impacto. Sería recomendable fortalecer el seguimiento a los riesgos identificados en el proceso de gestión de las TIC y documentar dichos seguimientos, a fin de mantener monitoreados y controlados los mismos, o en su defecto, tomar las acciones preventivas correspondientes. Asimismo, es importante la actualización de los riesgos en la nueva matriz implementada en la entidad. Norma Técnica de Calidad en la Gestión 6 Pública NTCGP 1000: Seguimiento y medición de los procesos La entidad debe aplicar métodos apropiados para el seguimiento de los procesos del Sistema de Gestión de la Calidad, y cuando sea posible, su medición. Estos métodos deben demostrar la capacidad de los procesos para alcanzar los resultados planificados (eficacia) así como el manejo de los recursos disponibles (eficiencia). El seguimiento y la medición del impacto (efectividad) de la gestión tanto en el logro de los resultados planificados como en el manejo de los recursos utilizados pueden realizarse por proceso, por conjunto de procesos o en forma global para el Sistema. Como resultado del seguimiento de la medición y seguimiento de los procesos, deben llevarse a cabo _orrecciones, acciones preventivas correctivas, Observación 6. El proceso de gestión de las TIC cuenta con la ficha del indicador No. de requerimientos atendidos, el cual se mide trimestralmente; sin embargo, no se evidencia las mediciones documentadas a indicadores que se encuentran establecidos en el PETIC, como (Visitas de mantenimiento preventivo realizadas/ Visitas de mantenimiento preventivo estipuladas en el contrato de mantenimiento) X 100., Canal de internet funcionando al 100%. Sería recomendable que se realice una validación de los indicadores con los que cuenta el proceso, y sobre los mismos, construir la hoja de vida del indicador y realizar las mediciones de acuerdo con la periodicidad establecida en ella. 13

14 Departamento Administralivo SERVICIO CIVIL OISTRITAL PROCESO CONTROL Y SEGUIMIENTO Código: F08-PEC-01-CI H No. I _ i según sea conveniente. Ley 1712 de 2014 "Por medio de la cual se crea i 7 la Ley de Transparencia y del Derecho de Acceso a la Información Pública Nacional y se dictan otras disposiciones". OBSERVACION Observación 7. En el portal web institucional se I encuentra publicada información relacionada con la plataforma estratégica institucional, informes de gestión, información presupuestal y contable, informes de los proyectos de inversión, entre otra información; sin embargo, es necesario revisar las temáticas de obligatoria publicación conforme a lo establecido en la Ley 1714 de 2014, para que de acuerdo con la competencia del proceso de gestión de las TIC, se realicen las acciones correspondientes, toda vez, que dicha ley, para las entidades territoriales, entra en vigencia a partir de marzo de CONCLUSIONES DE AUDITORÍA: En términos generales el Proceso de Gestión de las Tecnologías de la Información y las Comunicaciones TIC, se realiza siguiendo la normatividad aplicable; no obstante, existen oportunidades de mejorar alrededor de la formalización y socialización de documentos estratégicos del proceso, seguimiento al comportamiento de los indicadores y riesgos del proceso e informes de supervisión de contratos. Producto de la auditoría realizada, se identificaron dos (2) No conformidades y siete (7) oportunidades de mejora. Recomendaciones Fortalecer los informes de supervisión en donde se certifica el cumplimiento de las obligaciones para el pago respectivo, de tal manera que se especifique de mejor manera las actividades realizadas en el marco de cada obligación contractual, con sus respectivas evidencias. Documentar la aprobación por parte del Subdirector de Gestión Corporativa y Control Disciplinario del Plan de Contingencias de la entidad y realizar la socialización del mismo al personal de la entidad. Formalizar la estructura y funciones del Comité de Sistemas de Gestión de Seguridad de la entidad. Detallar en el Plan de acción del PETIC las actividades puntuales que se van a ejecutar durante la vigencia y establecer más claramente la asociación de las acciones a ejecutar con los objetivos específicos y estrategias del Plan estratégico del Departamento. 14

15 PROCESO CONTROL Y SEGUIMIENTO Código: F08-PEC-01-CI BOGOTA D.C. Departamento Administrativo SERVICIO CIVIL OISTRITAL Fortalecer el seguimiento a los riesgos identificados en el proceso de gestión de las TIC y documentar dichos seguimientos, a fin de mantener monitoreados y controlados los mismos, o en su defecto, tomar las acciones preventivas correspondientes. Es importante la actualización de los riesgos en la nueva matriz implementada en la entidad. Realizar validación de los indicadores con los que cuenta el proceso, y sobre los mismos, construir la hoja de vida del indicador y realizar las mediciones de acuerdo con la periodicidad establecida en ella. En este sentido, se requiere avanzar en la construcción de indicadores que midan la eficiencia y efectividad del proceso y comunicar de manera oportuna los resultados de estos indicadores, que sean de interés de la comunidad institucional. NOMBRE AUDITOR LÍDER: ISMAEL MA ÍNEZ G ERO CARGO: FIRMA: Asesor e 1 et fl ' terno r / II I EQUIP.11 lit NOMBRES CARGO FIRMA Nohemi Elifelet Ojeda Salinas Profesional especializado u_d C-1) z;kalsliz.----z: 15