DEPARTAMENTO NACIONAL DE PLANEACION OFICINA DE CONTROL INTERNO EVALUACIÓN PROCESO GESTIÓN DOCUMENTAL INFORME DEFINITIVO

DEPARTAMENTO NACIONAL DE PLANEACION OFICINA DE CONTROL INTERNO EVALUACIÓN PROCESO GESTIÓN DOCUMENTAL INFORME DEFINITIVO Bogotá, D.C. Diciembre de 2014 1

TABLA DE CONTENIDO 1. INTRODUCCIÓN... 3 2. MARCO LEGAL... 4 3. ALCANCE... 5 4. METODOLOGÍA... 5 5. RESULTADOS DE LAS ACTIVIDADES DESARROLLADAS EN LA EVALUACIÓN... 6 5.1 Cumplimiento de políticas de seguridad para aplicativos y portales web en el uso de ORFEO... 6 5.2 Evaluación a la calidad y oportunidad en la incorporación de la documentación de competencia allegada al DNP y verificación del cumplimiento del Lineamiento para el control de la Gestión documental... 8 5.2.2.1 OPORTUNIDAD DE MEJORA DEFINITIVA No. 1... 11 5.3 Aspectos relacionados con el SGC... 15 5.3.1.1 OPORTUNIDAD DE DEFINITIVA No. 2... 16 5.3.1.2 HALLAZGO DEFINITIVO No.1... 17 5.3.2.1 OPORTUNIDAD DE MEJORA DEFINITIVA No 3... 19 5.3.3.1 OPORTUNIDAD DE MEJORA DEFINITIVA No 4... 23 5.4 Administración de riesgo... 25 5.4.1 OPORTUNIDAD DE MEJORA DEFINITIVA No 5... 25 6. CONCLUSIONES... 28 2

1. INTRODUCCIÓN La Oficina de Control Interno, en desarrollo del plan de operativo aprobado para la vigencia 2014 efectuó la evaluación al proceso de Gestión Documental, actividad que se desarrolla como parte de sus funciones en el marco de la Ley 87 de 1993. La evaluación estuvo orientada al fortalecimiento del Control Interno como mecanismo de apoyo al logro de los objetivos propuestos por las áreas que ejecutan el proceso objeto de la evaluación en cumplimiento de lo establecido en el artículo 2 de la Ley 87 de 1993, el cual establece la función de la Oficina de Control Interno en cuanto a planear, dirigir y organizar, la verificación. Esta evaluación se realizó con base en las normas de auditoría interna de general aceptación, incluyen la planeación de la evaluación, ejecución del plan de trabajo y generación de informe preliminar y definitivo. Una vez concluido el análisis de la información suministrada se generó un informe preliminar de la evaluación, que deberá ser analizado; producto de la revisión se efectuarán los ajustes a que haya lugar y se presentará el informe definitivo correspondiente. Con el propósito de contribuir al fortalecimiento del sistema de control interno institucional, se requerirá la formulación del plan de mejoramiento correspondiente según las recomendaciones efectuadas, las cuales serán objeto de acompañamiento y seguimiento por parte de la OCI. 3

2. MARCO LEGAL Para la evaluación a realizar se tuvo en cuenta entre otros, los siguientes aspectos legales que regulan los procedimientos relacionados con la Gestión Documental: Políticas de Seguridad de la Información del Departamento Nacional de Planeación Norma ISO 9001-2008 y NTCGP-2009 Ley 594 de 2000 Ley 734 de 2002 Decreto 4110 de 2004 Decreto 2578 de 2012 Decreto 1515 de 2013 Resolución 897 del 5 de octubre de 2000 del DNP Resolución 1636 del 23 de noviembre 2007 del DNP Resolución 1156 del 26 de agosto de 2008 del DNP Acuerdo 006 del 4 de febrero de 2000 del AGN Acuerdo 008 del 18 de octubre de 1995 del AGN Acuerdo 007 de 1994 del AGN Acuerdo 60 del 31 de octubre de 2001 del AGN Acuerdo 038 del 20 de septiembre de 2002 del AGN Acuerdo 041 del 31 de octubre de 2002 del AGN Acuerdo 042 del 31 de octubre de 2002 del AGN Acuerdo 04 del 15 de marzo de 2013 del AGN Acuerdos 05 del 15 de marzo de 2013 del AGN Acuerdo 02 del 14 de marzo de 2014 del AGN Circular 07 del 20 de diciembre de 2002 del DAFP y AGN Anexo1 Circular 04 de 2010 de COINFO Circular 007 de 2014 del DNP Circular externa 002 de 2012 del AGN Circular 017 de 2013 del DNP 4

3. ALCANCE La evaluación fue realizada en forma integral al proceso denominado Gestión Documental e incluyó la revisión del aplicativo de gestión documental ORFEO y cumplimiento de las políticas de seguridad de la información. Se evaluó la gestión de la dependencia responsable del proceso durante la vigencia del 01 de Enero al 15 de Noviembre de 2014. 4. METODOLOGÍA La Oficina de Control Interno orientó la evaluación verificando aspectos de cumplimiento legal, procedimental, riesgos, controles, información y de funcionalidad en general asociados al proceso de Gestión documental código IN-DC Versión 06. Para el desarrollo de la evaluación se realizó las siguientes actividades: Solicitud, recopilación, análisis y evaluación de la información. Realización de pruebas selectivas al Software Sistema de Información Documental ORFEO de acuerdo a las políticas de seguridad de la información definidas para el aplicativo. Realización de entrevistas con los funcionarios encargados de la ejecución y seguimiento del proceso. Realización del análisis de la información disponible en el sistema documental ORFEO, validando el cumplimiento normativo y de los lineamientos para el control de la gestión documental en el DNP, así mismo las disposiciones internas establecidas en el proceso Gestión Documental IN_DC V06. Identificación de fortalezas, hallazgos y/o oportunidades de mejora una vez revisada y analizada la documentación del Sistema definida en el alcance de la evaluación. 5

5. RESULTADOS DE LAS ACTIVIDADES DESARROLLADAS EN LA EVALUACIÓN La evaluación fue adelantada de acuerdo con la metodología establecida para lo cual se recibió colaboración del grupo de correspondencia y grupo del sistema de gestión documental ORFEO, quienes prestaron apoyo permanente en el trabajo desarrollado a través del suministro de información y la validación de la misma. Con base en el objetivo general y los objetivos específicos definidos en el plan de trabajo de la evaluación, se presentan los siguientes resultados: 5.1 Cumplimiento de políticas de seguridad para aplicativos y portales web en el uso de ORFEO Para la presente evaluación se toma para el análisis del cumplimiento de las políticas los documentos entregados por la dependencia de subdirección administrativa y por la Oficina de Informática en correos enviados del buzón hladino@dnp.gov.co los días 31-oct-2014 y 10-dic-2014 ; los archivos recibidos fueron permisos registrados Orfeo.docx, inventario de aplicativos web.xlsx, diagrama de flujo de gestión documental.docs, auth_orfeo.cvs y config.php. Del análisis realizado a la información anteriormente descrita, surgen los siguientes resultados: Política 1: Proceso de autenticación y autorización, garantizando autenticación única -una sola vez- y único usuario (single sign-on). Para el caso de usuarios internos DNP debe ser contra Directorio Activo el proceso de autenticación y en cada aplicación el proceso de autorización. Prueba realizada: En cuanto al modelo de autenticación se verificó: El usuario de inicio de sesión en el dominio en la Intranet del DNP es el mismo con el que se inicia sesión en ORFEO. La contraseña del usuario del dominio de la intranet del DNP es la misma cuando se hace la autenticación en ORFEO. Se realizó cambio de contraseña en el dominio de la intranet del DNP y cuando se realizó el inicio de sesión en ORFEO, se observó reflejado el cambio de credenciales. 6

Se revisaron en la capa de presentación, en el archivo de configuración de parámetros de la aplicación y en la capa de persistencia el manejo del método de autenticación. Autenticación contra Directorio Activo y autenticación contra Base de Datos. se validaron los archivos de configuración del aplicativo verificando la integración con el Directorio Activo para usuarios internos. Política 2: Administración de usuarios y perfiles, donde los perfiles se conforman de roles y permisos. Prueba realizada: En cuanto al modelo de roles y usuarios se verificó: La existencia de perfiles de usuario de acuerdo al nivel de acceso y a la clasificación de la información gestionada por ORFEO. La existencia de un mecanismo de asignación de perfiles a cada uno de los usuarios de ORFEO. se verificó que en la tabla USUARIOS y en el archivo config.php se tienen los parámetros de otorgamiento de permisos y de acceso al aplicativo, también se tiene en la capa de negocio la gestión del mecanismo de autorización con base en la tabla mencionada Política 3: Deben incluir auditoría para la aplicación, es decir, todos los accesos de ingreso y transacciones deben ser monitoreados y registrados a fin de generar un rastro de referencia. Prueba realizada: En cuanto al mecanismo de auditoría se verificó: La existencia de mecanismos de auditoría para el acceso al aplicativo ORFEO. La existencia de mecanismo s de auditoría para la gestión de información por medio del aplicativo ORFEO. Se verificó que el servidor de aplicaciones genera y almacena el log de operaciones de acceso a este; también se verificó que a nivel de la capa de negocio se implementó el mecanismo que permite almacenar el histórico de las operaciones que los usuarios realizan sobre los archivos gestionados por medio del aplicativo Política 4: Comunicaciones seguras a fin de proteger las transferencias de datos entre componentes y servicios remotos. 7

Prueba realizada: En cuanto a los mecanismos o tecnologías que garanticen comunicaciones seguras, se verificó: El uso del protocolo de comunicaciones de ORFEO entre el nodo usuario y el servidor de aplicaciones. El diagrama de despliegue de ORFEO. se verificó que el protocolo empleado para la comunicación vía web de ORFEO es HTTPS el cual es un protocolo que implementa el servicio de cifrado de la información que se transmite por él. De acuerdo al diagrama de despliegue entregado por la OI, se observa que ORFEO está respaldado en la zona perimetral mitigando los riesgos de ataques externos vía web. De acuerdo a lo establecido en el capítulo 5 de la Guía General de Arquitectura de Software del DNP (ver. 4.0), y a las entrevistas y documentación entregada por la OI, que se están utilizando patrones y tecnologías de seguridad estándares de la industria evitando la personalización de la solución. Se verificó con el equipo técnico de la OI que se adoptó el principio de menor privilegio, el principio de reducción del área de superficie, del principio de desconfianza en la seguridad a través del ocultamiento, del adecuado mecanismo de autorización a la funcionalidad que corresponda según los perfiles de usuario; igualmente ORFEO cuenta con los mecanismo que implementan los requisitos de Autenticación, Autorización, Comunicaciones Seguras y Auditoría, como lo establece los numerales 5.1, 5.2, 5.3 y 5.4 de la guía mencionada. Resultados Se observó conformidad en el cumplimiento frente a lo establecido en las políticas de seguridad para aplicativos y portales web en el uso de ORFEO. 5.2 Evaluación a la calidad y oportunidad en la incorporación de la documentación de competencia allegada al DNP y verificación del cumplimiento del Lineamiento para el control de la Gestión documental La gestión documental en el DNP según el descriptor del proceso código IN-DC versión 6, contiene 13 actividades las cuales describen la recepción, verificación, radicación, digitalización documentos, 8

reasignación, respuesta de requerimientos que aplicables a las dependencias de la Entidad, despacho de correspondencia externa, creación y conformación de expedientes, consulta de documentos, conformación y aplicación de las TRD y realización de transferencias documentales. Prueba Realizada Para la evaluación del cumplimiento de los requisitos en la gestión documental establecidas en el proceso Gestión documental código IN-DC Versión 06 y el Lineamiento para el control de la gestión documental del DNP código DC-L01 versión 5 se realizaron las siguientes pruebas: 5.2.1 Se realiza trazabilidad a 6 radicados en ORFEO pertenecientes a las dependencias de oficina Jurídica, Dirección de desarrollo social, Dirección de inversiones y finanzas públicas, y Dirección de vigilancia de Regalías; Teniendo en cuenta la importancia y oportunidad de respuesta a estos oficios, los cuales fueron verificados en su información general, flujo histórico del documento y expediente, los cuales están relacionados a continuación: a) Radicado número 20146630182382 asunto: En uso del derecho de petición solicita incluirla en la lista de beneficiarios de la política publica nacional de vivienda red unidos guía servientrega n-7207034803 de la fecha 2014-04-22. b) Radicado número 20146630535952 asunto: Envía anteproyecto de presupuesto vigencia fiscal 2015 y proyecciones 2015-2018 de la fecha 2014-11-04. c) Radicado número 20143241065461 asunto: En rta relacionada con acción de tutela, accionante, Judith del Carmen Eraso salas, accionado, emssanar ess - Sisben, informa admitir la presente acción de la fecha 2014-11-26. d) Radicado número 20143240220521 asunto: Acción de tutela accionante Luis Eduardo Rodriguez Higuita contra secretaria de salud Sisben vinculado DNP remite notificación de admisión de la tutela termino de 2 días para pronunciarse de la fecha 2014-03-07. e) Radicado número 20146630536512 asunto: Mail-explicaciones-(3) 20144460809231 - la cumbre, depto valle del cauca - pap-1102-14 de la fecha 2014-11-04. f) Radicado número 20146630095682 asunto: Mail - envía información contratos vigencia 2010 Piamonte cauca de la fecha 2014-03-03. 9

Adicionalmente en los radicados e y f mencionados anteriormente, se verificó la radicación de correos electrónicos en el sistema de gestión documental ORFEO, teniendo en cuenta el procedimiento que define el Lineamiento para el control de la gestión documental del DNP código DC-L01 versión 5. Resultados Como resultado de la verificación efectuada, se evidencia conformidad en las actividades de recepción, verificación, radicación, digitalización documentos, reasignación, respuesta de requerimientos aplicables a las dependencias de la Entidad y despacho de correspondencia externa, de acuerdo a lo establecida en el proceso Gestión documental código IN-DC Versión 06 y el Lineamiento para el control de la gestión documental del DNP código DC-L01 versión 5. 5.2.2 Pruebas realizadas en la conformación de expedientes ORFEO Se revisaron 5 documentos incorporados en el sistema de información documental ORFEO pertenecientes a las dependencias de Dirección de inversiones y finanzas públicas, Dirección de seguimiento y evaluación de políticas públicas, Secretaria general, y Subdirección territorial y de inversiones públicas, relacionados a continuación: a) El radicado 20144320000246 del 2014-02-06 asunto: Trámite para la solicitud no. 40550, se encuentra asociado al expediente 201443022700100046E nombrado Hacienda -ministerio de hacienda y crédito público-distribución previo concepto-40550. b) El radicado 20143600120703 del 2014-11-18 asunto: Agenda de Evaluaciones 2015, se encuentra asociado al expediente 20136001800800002E nombrado Agenda de evaluaciones 2013. c) El radicado 2014600028543 del 2014-06-10 asunto: Registrar tipo Petición, se encuentra asociado al expediente 201460017699800003E nombrado Nueva Remisión 2014. d) El radicado 20146000000158 del 2014-11-09 asunto: Traslado de bienes muebles, se encuentra asociado al expediente 201460000600100001E nombrado Circulares internas DNP 2014. 10

e) El radicado20146400062373 del 2014-06-26 asunto: Supervisión Contrato de Consultoría No. DNP-398-2014 celebrado con SAS INSTITUTE COLOMBIA S.A.S., se encuentra asociado al expediente 201464001401700398E nombrado: sas intitute Colombia s.a.s. - contrato de licenciamiento Resultados Como resultado de la revisión efectuada se observó la siguiente situación susceptible de mejora: 5.2.2.1 OPORTUNIDAD DE MEJORA DEFINITIVA No. 1 se evidencia falencias en la creación de expedientes teniendo en cuenta lo establecido y comparado con las TRD de las dependencias de los radicados verificados lo cual puede contravenir con el requisito, podría incumplirse con el numeral 7 Control de Registros del Lineamiento para el control de la gestión documental del DNP código DC-L01 versión 5, que establece: Las tablas de retención documental aprobadas por el Archivo General de la Nación y su constante ajuste y actualización, es la directriz para que las dependencias identifiquen, clasifiquen y organicen sus expedientes virtuales y con esto los físicos de acuerdo con sus funciones y/o procedimientos. Así mismo podría incumplirse lo establecido en la norma NTC GP1000:2009, en el requisito Numeral 4.2.4 Control de los registros que establece: Los registros deben permanecer legibles, fácilmente identificables y recuperables a continuación se relaciona lo observado: a) Se Asigna el radicado 20143600120703 del 2014-11-18 asunto: Agenda de Evaluaciones 2015, al expediente 20136001800800002E nombrado Agenda de evaluaciones 2013, que de acuerdo a la TRD de Dirección de seguimiento y evaluación de políticas públicas 360 indica que el tipo documental es evaluaciones estratégicas/agenda de evaluaciones, el cual es diferente según expediente en ORFEO, ya que allí se indica como evaluaciones/ evaluaciones focalizadas. b) El radicado 2014600028543 del 2014-06-10 asunto: Registrar tipo Petición, se encuentra asociado al expediente 201460017699800003E nombrado Nueva Remisión 2014 y la TRD indica que la forma de identificación debe ser por Tema y/o por año, generando así ambigüedad en el nombre del radicado y expediente relacionado. 11

c) El radicado20146400062373 del 2014-06-26 asunto: Supervisión Contrato de Consultoría No. DNP-398-2014 celebrado con SAS INSTITUTE COLOMBIA S.A.S., se encuentra asociado al expediente 201464001401700398E nombrado: sas intitute Colombia s.a.s. - contrato de licenciamiento y la TRD indica que la forma de identificación debe ser por Nombre del Contratista, Tipo de Contrato y por Año. RECOMENDACIÓN Adelantar las acciones pertinentes encaminadas con el objeto de dar cumplimiento al numeral 7 Control de Registros del Lineamiento para el control de la gestión documental del DNP código DC- L01 versión 5. RESPUESTA ENTREGADA POR LA SUBDIRECCIÓN ADMINISTRATIVA Con fecha de 19 de Diciembre de 2014 mediante radicado No 2014660014223, se recibió repuesta al informe preliminar de la evaluación al proceso de Gestión Documental así: CO NSI DE RA CIO NE S DE LA OCI Una vez analizada la respuesta dada por la subdirección administrativa esta oficina considera que se mantiene la oportunidad de mejora No 1, con el fin que se documenten las acciones pertinentes. 5.2.3 TRD 2014 y Transferencias documentales 12

Prueba Realizada Para verificar el cumplimiento a la ejecución de las actividades números: 11 Elaborar y ejecutar el plan de seguimiento 12 Realizar transferencias documentales y 13 Elaborar el acta de transferencias, se realizó observación y comprobación de los soportes de cada una de las actividades relacionadas en el memorando recibido con Radicado número 20146600114383 del 2014-10-31, sobre el cronograma de seguimiento a las TRD 2014 e informe de avance, en el cual se indicó lo siguiente: Con la organización de la documentación realizada por la firma Servicios Postales Nacionales, se hizo necesario llevar a cabo una actualización de las mismas, toda vez que se encontró que hacía falta incluir algunas series y subseries, en este orden de ideas, si bien no hubo un cronograma, esto no quiere decir que con esta labor no se hubiese cumplido con el compromiso, toda vez que se realizaron reuniones en las dependencias para esta actualización, detectándose la necesidad de llevar a cabo la modificación, según relación anexa en la pestaña documentos del presente memorando. De otra parte, se realizaron reuniones para ajuste de las TRD en algunas dependencias, en lo pertinente al cambio de funciones y estructura de grupos y/o subdirecciones, como son: - Confrontación de funciones de acuerdo a la Resolución N 1734 del 2 de Mayo de 2014 por la cual se reorganizan los Grupos de Trabajo. Eliminación y traspaso de funciones del Grupo de Conceptos Jurídicos y Agenda Legislativa a la Oficina Asesora Jurídica. - Modificación de Funciones y denominación a la Dirección de Vigilancia de las Regalías y sus Subdirecciones de acuerdo al Decreto N 1118 del 17 de Junio 2014. - Creación de dos Grupos de Trabajo (Grupo de Estudios Territoriales y Grupo de Financiamiento Territorial) según Resolución N 2858 del 11 de Agosto de 2014 Informe de resultados seguimiento TRD. Según lo manifestado en el punto anterior, en el presente año se están realizando las siguientes actividades: - Estandarización de tiempos de retención y procedimientos en las series transversales de las dependencias del Departamento Nacional de Planeación, como son los Proyectos, Programas, Conceptos, Participación en reuniones, Juntas y Comités. - Inactivación de la Serie 300 Sistema General de Regalías en cuarenta y seis (46) dependencias, realizando el ajuste e inclusión de nuevas series en las dependencias de la Dirección de la Vigilancia de las Regalías. 13

- Actualización de la Serie 176 Atención al Usuario, Peticiones, Quejas, Reclamos o Sugerencias en las 62 dependencias, e inactivación de la serie 10 Derechos de Petición en 47 Dependencias. - Normalización de Subseries a los Contratos de Préstamo y Donaciones, incluyéndolas en las TRD de las dependencias correspondientes. - Ajuste a 23 dependencias pendientes de ajuste en las TRD una vez realizado el seguimiento del año pasado. - Confrontación y ajuste de todas las TRD contra el Sistema de Gestión Documental Orfeo - Verificación de la forma de identificación de expedientes de acuerdo a lo consignado en la TRD, esta actividad se complementa con el equipo de trabajo del Grupo de Archivo, que se encuentra conformando los expedientes físicos. - Ajuste de la TRD del Grupo de Conceptos Jurídicos y Agenda Legislativa a la Oficina Asesora Jurídica. Por eliminación de Grupo y traspaso de funciones, confrontación de funciones de acuerdo a la Resolución N 1734 del 2 de Mayo de 2014. - Ajuste de la TRD de la Dirección de Vigilancia de las Regalías y sus Subdirecciones por modificación de Funciones. Decreto N 1118 del 17 de Junio 2014. - Creación TRD por creación de dos Grupos de Trabajo de Estudios Territoriales y de Financiamiento Territorial. Resolución N 2858 del 11 de Agosto de 2014 Resultados Teniendo en cuenta lo anterior se verificó los avances señalados, revisando las TRD ajustadas y los soportes de seguimiento a las TRD ejecutados durante el año vigente entre los meses de Marzo y Noviembre enviados por correo electrónico el 10 de Diciembre de 2014. Adicionalmente se constató que las actualizaciones y ajustes a las TRD realizadas fueron aprobadas por el comité institucional de Desarrollo Administrativo del 16 de Octubre de 2014, para lo cual se confrontó con el acta del comité. Como resultado de la revisión y cambio a las TRD en el año 2014, se evidenció oficio enviado por la Secretaria General a la dependencia encargada en el AGN el día 14 de Noviembre de 2014 radicado número 20146601033511 solicitando aval de actualización TRD del DNP. De acuerdo a lo señalado anteriormente se observa cumplimiento en el seguimiento y apoyo a las dependencias en la revisión y ajustes a las TDR en la vigencia 2014. Recomendación Registrar e implementar una acción preventiva que evidencie la acciones tomadas para evitar el incumplimiento al seguimiento sobre las TRD, frente a la no legalización o comunicación del cronograma de seguimiento a las TRD año 2014,como lo indica el producto de salida en la actividad número 11 Comunicación con cronograma de seguimiento TRD que establece el proceso Gestión 14

documental código IN-DC Versión 06 y el Acuerdo 04 del 15 de marzo de 2013 del AGN : Por el cual se reglamentan parcialmente los Decretos 2578 y 2609 de 2012 y se modifica el procedimiento para la elaboración, presentación, evaluación, aprobación e implementación de las Tablas de Retención Documental y las Tablas de Valoración Documental. 5.2.4 Transferencias documentales: De acuerdo a memorando recibido con Radicado número 20146600114383 del 2014-10-31, comunican sobre estado de transferencias documentales, lo siguiente: Debido a la organización del archivo del DNP realizada mediante el contrato DNP 380 2013, se realizaron las actividades archivísticas para el Fondo Acumulado y del Archivo de Gestión de los años 2007 al 2012; como resultado del mismo se recibió como producto la transferencia de la documentación que cumplían los tiempos de valoración y retención documental, en las correspondientes etapas de transferencias primarias y secundarias. Los inventarios de Transferencias, se pueden consultar en el disco O:\Plan de Mejoramiento Archivístico\Seguimiento\OCI\Transferencias. Informe de avance y estado de transferencias documentales. La transferencia primaria está a la fecha y la secundaria se dará inicio al proceso con el Archivo General de la Nación. Resultados Teniendo en cuenta lo anterior se consultó el inventario y actas de transferencias, como soporte a la gestión correspondiente año 2014, por lo tanto se observó conformidad frente a lo establecido en el descriptor del proceso Gestión documental código IN-DC Versión 06. 5.3 Aspectos relacionados con el SGC 5.3.1 Se revisó las referencias normativas aplicables definidas en el Descriptor del proceso de gestión documental código IN-DC Versión 06, Lineamiento para el control de la gestión documental del DNP código DC-L01 versión 5 y el Normograma publicado en La Rebeca. Resultados En el análisis realizado se observó la siguiente situación susceptible de mejora: 15

5.3.1.1 OPORTUNIDAD DE DEFINITIVA No. 2 a) La Ley 527 de 1999 Por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las Entidades de certificación y se dictan otras disposiciones No se encuentra relacionada en el listado de Requisitos legales y otros documentos en el descriptor del proceso y Normograma. b) La Resolución 1134 de 2012: Adopta la generación de documentos electrónicos, la aplicación de la firma mecánica y la conformación del expediente electrónico en el aplicativo para la Administración y control de las comunicaciones oficiales se relaciona en el descriptor del proceso y el lineamiento pero no se encuentra disponible en el Normograma. La anterior situación podría contravenir la norma NTCGP1000:2009, que en su numeral 4.2.3 Control de Documentos, en el literal b. "Revisar y actualizar los documentos cuando sea necesario y aprobarlos nuevamente. y la aplicación de Documentación de Procesos, que establece: Los Requisitos legales y otros documentos: Son el marco de referencia normativo que da instrucciones o directrices acerca de la operatividad del proceso RECOMENDACIÓN Se recomienda la revisión descriptor del proceso de gestión documental, Lineamiento para el control de la gestión documental del DNP y el Normograma publicado en La Rebeca, dando cumplimiento al lo establecido en el lineamiento para la elaboración y control de los documentos de los sistemas de gestión del DNP DS-L01 Versión 09 numeral 6.2.1. RESPUESTA ENTREGADA POR LA SUBDIRECCIÓN ADMINISTRATIVA 16

Con fecha de 19 de Diciembre de 2014 mediante radicado No 2014660014223, se recibió repuesta al informe preliminar de la evaluación al proceso de Gestión Documental así: CONSIDERACIONES DE LA OCI Una vez analizada la respuesta dada por la subdirección administrativa esta oficina considera que se mantiene la oportunidad de mejora No 2, con el fin que en la acción de mejora No 14-122A se amplié el alcance en la actividad a realizar, señalando la actualización y relación de la normatividad aplicable en el descriptor, lineamiento y Normograma. 5.3.1.2 HALLAZGO DEFINITIVO No.1 En el proceso Gestión documental código IN-DC Versión 06, Lineamiento para el control de la gestión documental del DNP código DC-L01 versión 5 y Normograma, no se tiene identificada La ley 1712 de 2014: Por medio de la cual se crea la Ley de Transparencia y del Derecho de Acceso a la Información Pública Nacional y se dictan otras disposiciones. Y tiene como objeto: regular el derecho de acceso a la información pública, los procedimientos para el ejercicio y garantía del derecho y las excepciones a la publicidad de información. Adicionalmente se evidencia casos en los cuales se restringe accesos a la información en sistema de gestión documental ORFEO, por lo tanto se concluyó incumplimiento en el Artículo 24. Del Derecho de acceso a la información: Toda persona tiene derecho a solicitar y recibir información de cualquier sujeto obligado, en la forma y condiciones que establece esta ley y la Constitución y Artículo 25. Solicitud de acceso a la Información Pública: Es aquella que, de forma oral o escrita, incluida la vía electrónica, puede hacer cualquier persona para acceder a la información pública. Parágrafo. En ningún caso podrá ser rechazada la petición por motivos de fundamentación inadecuada o incompleta. Algunas evidencias de casos en los cuales se restringe accesos a la información en sistema de gestión documental ORFEO se relacionan a continuación: 17

Se presenta situación de restricción de acceso con documento originado en la OCI y asignado a los expedientes 201434001801400009E Y 201444499909900001E, de acuerdo a correo electrónico del día 28 de Noviembre de 2014 enviado por la funcionaria interesada en la información, al cual responde la dependecia de subdirección administrativa lo siguiente: Para ponernos en contexto, en este momento se manejan dos tipos de Niveles de Seguridad de acceso a un radicado en el Sistema de Gestión Documental - Orfeo: A nivel de usuario. (1 2 3 4-5)2 y nivel de Radicado. (Público o Privado) dicha respuesta sin amparo legal a esta restricción, ya que la funcionaria solicitó por medio de correo electrónico la justificación y a la fecha de esta verificación no se tiene respuesta. No se tienen acceso habilitado a algunos radicados de la dependencia Subdirección administrativa números 20146620403982 asunto: Informe final de Interventoría, como obligación del Contrato de Interventoría N. DNP-391-2013, suscrito entre el DNP y el Archivo General de la Nación (AGN). 20143400063313 asunto: Memo Rem. Segundo Seguimiento Plan de Mejoramiento Archivístico Junio 2014,20146630505902 asunto: remite diagnóstico de la gestión documental DNP entre otros. No se tienen acceso habilitado a expedientes números 201465431600200011E 201465431600200023E, 201465431600200007E con documentos relacionados a Accidentes de trabajo, de la dependencia Subdirección administrativa. RECOMENDACIÓN Adelantar las acciones pertinentes encaminadas con el objeto de dar cumplimiento a lo establecido en La ley 1712 DE 2014, en el desarrollo de la gestión documental del DNP. RESPUESTA ENTREGADA POR LA SUBDIRECCIÓN ADMINISTRATIVA Con fecha de 19 de Diciembre de 2014 mediante radicado No 2014660014223, se recibió repuesta al informe preliminar de la evaluación al proceso de Gestión Documental así: 18

CONSIDERACIONES DE LA OCI Una vez analizada la respuesta dada por la subdirección administrativa esta oficina considera que se mantiene el hallazgo No 1, con el fin que se documenten las acciones pertinentes que son expresadas en la respuesta encaminas a cumplir con la ley 1712 de 2014 y demás que regulan, para que sean objeto de revisión de eficacia en su resultado. 5.3.2 VERIFICACION DE REGISTROS DEL PROCESO Se observó diferentes registros suministrados en el desarrollo de la evaluación como soportes a capacitaciones y seguimientos a las TRD. Resultados En el análisis realizado se observó la siguiente situación susceptible de mejora: 5.3.2.1 OPORTUNIDAD DE MEJORA DEFINITIVA No 3 Los registros de control de asistencia correspondientes a capacitaciones generales SGD-ORFEO 2014 con 45 registros, de los cuales 30 están incompletos en el campo de fecha y algunos no son legibles en los datos. Igualmente en los registros de control de asistencia correspondientes Seguimientos a tablas de retención documental 2014 con 15 registros, de los cuales 6 están incompletos en algunas casillas. La anterior situación podría contravenir la norma 19

NTCGP1000:2009, que en su numeral 4.2.4 Control de Registros que establece: Los registros son un tipo especial de documento y se establecen para proporcionar evidencia de al conformidad con los requisitos.los registros deben permanecer legibles, fácilmente identificables y recuperables". Algunas de las evidencias sobre la situación anteriormente descrita se relacionan a continuación: 20

21

RECOMENDACIÓN Adelantar las acciones pertinentes encaminadas a fortalecer y corregir el diligenciamiento y uso de los registros en el proceso. RESPUESTA ENTREGADA POR LA SUBDIRECCIÓN ADMINISTRATIVA Con fecha de 19 de Diciembre de 2014 mediante radicado No 2014660014223, se recibió repuesta al informe preliminar de la evaluación al proceso de Gestión Documental así: CONSIDERACIONES DE LA OCI Una vez analizada la respuesta dada por la subdirección administrativa esta oficina considera que se mantiene la oportunidad de mejora No 3, con el fin que se documenten las acciones. 22

5.3.3 AUDITORÍAS INTERNAS Se analizó y verificó los informes de las Auditorías Internas de Calidad año 2014 coordinadas por la OCI, donde se evidencian situaciones sobre las actualizaciones, manejo de registros en los procesos auditados, situaciones las cuales son repetitivas. Resultados En el análisis realizado se observó la siguiente situación susceptible de mejora: 5.3.3.1 OPORTUNIDAD DE MEJORA DEFINITIVA No 4 De acuerdo a los informes de las Auditorías Internas de Calidad año 2014,se evidencia deficiencias en la actualización y manejo de registros según las TRD,de continuar lo anterior, podría incumplirse con el numeral 7 Control de Registros del Lineamiento para el control de la gestión documental del DNP código DC-L01 versión, que establece: Las tablas de retención documental aprobadas por el Archivo General de la Nación y su constante ajuste y actualización, es la directriz para que las dependencias identifiquen, clasifiquen y organicen sus expedientes virtuales y con esto los físicos de acuerdo con sus funciones y/o procedimientos. Así mismo podría incumplirse lo establecido en la norma NTC GP1000:2009, en el requisito Numeral 4.2.4 Control de los registros que establece: Los registros deben permanecer legibles, fácilmente identificables y recuperables. Algunos hallazgos de las auditorías internas 2014 se relacionan a continuación: Se pudo evidenciar al revisar la TRD de la Dependencia - Grupo de Finanzas Publicas Territoriales, que el tipo documental "Solicitud de Certificación", no se está archivando en ORFEO conforme a las disposiciones dadas en la TRD. Situación identificada en Auditoria interna de calidad a DISTRIBUCIÓN DEL SGP SP-FP, V. 11-DDTS Durante la revisión realizada a la Tabla de Retención Documental de la Subdirección de Ordenamiento Territorial publicada en el disco O, se observó que las columnas denominadas Forma de Identificación de Expedientes y Ubicación de Expedientes, no se encuentran diligenciadas para las series documentales 424301 Secretaria Técnica de la Comisión de Ordenamiento COT Situación identificada en Auditoria interna de calidad a ORDENAMIENTO Y DESARROLLO TERRITORIAL - PM-EE-OT V.6 DDTS 23

En la revisión de las Tablas de Retención Documental del proceso, se observó que un (1) registro identificado como Comunicación escrita solicitando inclusión en la actividad 3 del descriptor, no se encuentra definido como tipo documental en la TRD asociado a la dependencia. Situación identificada en Auditoria interna de calidad a Contratación de Créditos Externos de la Nación - FP- CE, V. 6 Al revisar la TRD de la dependencia, se encontró que no se tienen creados los tipos documentales que dan soporte a la ejecución del proceso. Es así como se puede observar que los registros determinados en las actividades 4, 5 y 9 del proceso no existen en la TRD respectiva. Lo anterior dificulta la identificación, consulta y conservación de la gestión documental del mismo. Situación identificada en Auditoria interna de calidad a Elaboración de Indicadores de Coyuntura Económica PM-IC, V.6- DEE Al verificar la información contenida en la TRD de la Oficina de Informática, se observó que para la serie identificada con el número 196 Sistema de Seguridad de la Información no se encuentran incluidos en la casilla de Ubicación de Expedientes el aplicativo ALTIRIS y el disco O:\ que actualmente son repositorios de esta serie. Situación identificada en Auditoria interna de calidad a GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN IN-SE, V. 6 Al verificar la información contenida en la casilla Ubicación de Expedientes de la TRD relacionada con el proceso, se observó que algunos registros señalados en el descriptor como salidas, ej.: POAI y documento CONPES, están remitidos al sistema ORFEO, y actualmente se archivan en los sistemas SUIFP y SISCONPES. Adicionalmente se evidenció que algunos registros identificados como (R) en el descriptor del proceso ej. Presentación POAI, Propuesta de distribución de techos sectoriales, Archivo medio electrónico POAI, no se encuentran relacionadas como tipos documentales en la tabla de retención. Situación identificada en Auditoria interna de calidad a Programación Presupuestal de la Inversión del PGN FP-PP, V. 9 y Subproceso: Elaboración del Marco de Gasto Mediano Plazo FP-PP-MG, V. 5. RECOMENDACIÓN 24

- Identificar puntos críticos de control para los riesgos relacionados con las actividades que involucran el manejo, seguimiento y actualización de los registros que son incorporados en las TRD, que evite la materialización de riesgos sobre dicha actividad. RESPUESTA ENTREGADA POR LA SUBDIRECCIÓN ADMINISTRATIVA Con fecha de 19 de Diciembre de 2014 mediante radicado No 2014660014223, se recibió repuesta al informe preliminar de la evaluación al proceso de Gestión Documental así: CONSIDERACIONES DE LA OCI Una vez analizada la respuesta dada por la subdirección administrativa esta oficina considera que se mantiene la oportunidad de mejora No 4, con el fin que se documenten las acciones. 5.4 Administración de riesgo 5.4.1 Se revisó el mapa de riesgos del proceso del publicado en La Rebeca y los puntos de control critico que se señalan en el descriptor Gestión documental código IN-DC Versión 06. Resultados En el análisis realizado se observó la siguiente situación susceptible de mejora: 5.4.1 OPORTUNIDAD DE MEJORA DEFINITIVA No 5 Se evidencia que en el mapa de riesgos del proceso publicado en La rebeca se identifica como actividades criticas las 2,4,5,6, y 9, estos puntos de control critico no son los mismos señalados en 25

el descriptor del proceso código IN-DC v. 6 ya que allí identifican las actividades 6 2,3,8 y 9. Se procede a preguntar por medio de correo electrónico enviado el día 09 de diciembre sobre esta diferencia en puntos críticos de control, a la fecha de la entrega de este informe preliminar no se pudo evidenciar la identificación de puntos críticos de control actualizados en mapa de riesgos del proceso, sobre lo que la dependencia responsable informó haber trabajado en la actualización del mismo pero no fue posible evidenciar soportes. La desactualización del mapa de riesgos y la falta de evidencia sobre la gestión adelantada para la documentación del mismo puede contravenir con el proceso Administración de Riesgos GC- AR V. 6 del DNP que establece: Identificar y valorar los riesgos asociados a los procesos y administrarlos a través de la política institucional de tratamiento de riesgos asociados a los procesos de acuerdo con la guía establecida para tal fin, con el propósito de reducir la posibilidad de ocurrencia o mitigar el impacto de aquellas situaciones (internas o externas) que puedan afectar el logro de los objetivos institucionales o la calidad de los productos ofrecidos por la Entidad. RECOMENDACIÓN - Implementar estrategias que agilicen la actualización de los mapas de riesgos, y continuar los controles que actualmente ejecutan en el proceso con el fin de evitar la materialización de los riesgos, con el objeto de cumplir con el proceso Administración de Riesgos GC- AR V. 6 fortaleciendo el propósito de reducir la posibilidad de ocurrencia o mitigar el impacto de aquellas situaciones (internas o externas) que puedan afectar el logro de los objetivos institucionales o la calidad de los productos ofrecidos por la Entidad. RESPUESTA ENTREGADA POR LA SUBDIRECCIÓN ADMINISTRATIVA Con fecha de 19 de Diciembre de 2014 mediante radicado No 2014660014223, se recibió repuesta al informe preliminar de la evaluación al proceso de Gestión Documental así: 26

CONSIDERACIONES DE LA OCI Una vez analizada la respuesta dada por la subdirección administrativa esta oficina considera que se mantiene la oportunidad de mejora No 5, con el fin que se documenten las acciones. 27

6. CONCLUSIONES De acuerdo con las actividades previstas en el plan operativo del año 2014, la Oficina de Control Interno evaluó en forma independiente, con sujeción a las normas generales de auditoría integral, el sistema de control interno inherente al proceso del SGC denominado Gestión documental código IN-DC Versión 06. Los resultados de las pruebas practicadas y la evidencia obtenida de acuerdo con los criterios definidos en la planeación del trabajo se refieren sólo a los registros y/o documentos examinados, no se hacen extensibles como conclusión general del estado del proceso Gestión documental código IN-DC Versión 06 teniendo en cuenta que la evaluación es selectiva y las muestras fueron tomadas aleatoriamente. El análisis de los resultados de esta evaluación permite concluir que el sistema de control interno vinculado con el proceso Gestión documental es susceptible de mejoramiento de acuerdo con las Oportunidades de Mejora identificadas para cada uno de los aspectos evaluados, respecto de las cuales se presentan recomendaciones sugeridas en cada uno de los objetivos evaluados, en aras de prevenir la materialización de riesgos frente al desarrollo de cada una de las actividades. Las acciones que se formulen con base en las recomendaciones formuladas en este informe de evaluación serán objeto de acompañamiento y seguimiento por parte de la OCI. 28