informe seguimiento y evaluaciÓn oficina … · definieron los componentes que fundamentan la...
TRANSCRIPT
COFL02 Página 1 de 21
SUPERINTENDENCIA NACIONAL DE SALUD
INFORME SEGUIMIENTO Y EVALUACIÓN
OFICINA DE TECNOLOGIAS DE LA INFORMACION
OFICINA DE CONTROL INTERNO
Bogotá, Mayo de 2016
COFL02 Página 2 de 21
CONTENIDO
1. OBJETIVO ........................................................................................................................................................................ 3
2. ALCANCE ......................................................................................................................................................................... 3
3. MÉTODOLOGÍA ............................................................................................................................................................... 3
4. JUSTIFICACIÓN .............................................................................................................................................................. 3
5. INFORME .......................................................................................................................................................................... 4
5.1 CUMPLIMIENTO FUNCIONES ESTABLECIDAS MEDIANTE RESOLUCION 2462 DE 2013 .............................. 4
5.2 SEGUIMIENTO MAPA DE RIESGOS OPERACIONALES DEL PROCESO ........................................................... 11
5.3 SEGUIMIENTO MAPA DE RIESGOS DE CORRUPCIÓN DEL PROCESO ........................................................... 13
5.4 SEGUIMIENTO PLAN ANUAL DE GESTIÓN .............................................................................................................. 13
5.5 SEGUIMIENTO A LAS RECOMENDACIONES PRESENTADAS POR LA OFICINA DE CONTROL
INTERNO EN INFORMES ANTERIORES ........................................................................................................................... 17
6. CONCLUSIONES Y RECOMENDACIONES ............................................................................................................. 21
COFL02 Página 3 de 21
1. OBJETIVO
La Oficina de Control Interno de la Superintendencia Nacional de Salud, en cumplimiento de sus
funciones y en atención al Plan Anual de Gestión – Plan Anual de Auditorías y Seguimientos (PAAS),
aprobado para la vigencia 2016 mediante Resolución 2639 de Diciembre de 2015, realizará
seguimiento y evaluación a la gestión de la Oficina de Tecnologías de la Información, cuyos procesos
y procedimientos fueron aprobados mediante resolución 4086 del 19 de Diciembre de 2014,
adicionando un procedimiento mediante Resolución 1110 de 2015.
2. ALCANCE
La Oficina de Control Interno de la Superintendencia Nacional de Salud, en cumplimiento de sus
funciones legalmente asignadas, concentrará su atención en los tópicos que a continuación se
relacionan:
a. Cumplimiento de las funciones determinadas por el Decreto 2462 de 2013, a través del
seguimiento al avance de las actividades programadas en el P.A.G. de los meses de Febrero,
Marzo y Abril de 2016, por parte de la Oficina de Tecnologías de la Información.
b. Revisión de los riesgos asociados (institucional y de corrupción) al procedimiento para el proceso
de “Provisión de Soluciones Tecnológicas”.
c. Seguimiento a recomendaciones presentadas en el pasado por la Oficina de Control Interno en
informes de seguimiento.
3. MÉTODOLOGÍA
La metodología a seguir es la siguiente:
Anuncio del Seguimiento a la Oficina de Tecnologías de la Información y solicitud de información,
mediante memorando NURC 3-2016-008462 del 3 de Mayo de 2016
Trabajo de campo (visita in-situ) y recopilación de información enviada
Presentación del Informe de Seguimiento al Despacho del Señor Superintendente Nacional de
Salud
4. JUSTIFICACIÓN
De conformidad con las funciones contenidas en la Ley 87 de 1993, la Ley 1474 de 2011 y los
Decretos Reglamentarios 1826 de 1994 y 1537 de 2001, entre otras, corresponde a la Oficina de
Control Interno, verificar que el Sistema de Control Interno esté formalmente establecido dentro de la
organización y que su ejercicio sea intrínseco al desarrollo de las funciones de todos los cargos; así
como también, verificar que los controles asociados con todas y cada una de las actividades de la
organización estén adecuadamente definidos, sean apropiados y se mejoren permanentemente, de
acuerdo con la evolución de la entidad.
COFL02 Página 4 de 21
5. INFORME
La Oficina de Control Interno de la Superintendencia Nacional de Salud, en cumplimiento de las
funciones asignadas por la Ley, en especial, lo preceptuado en la Ley 87 de 1993 y demás normas
concordantes y en atención a las actividades definidas en el Plan Anual de Gestión (PAG)-Plan Anual
de Auditorías y Seguimientos (PAAS) correspondientes a la Vigencia 2016, durante el mes de Mayo
realizó seguimiento y evaluación a la Oficina de Tecnologías de la Información sobre las actividades
realizadas durante los meses de Febrero, Marzo y Abril de 2016, para lo cual la Oficina de
Tecnologías de la Información da respuesta a la solicitud formulada por la Oficina de Control Interno
con el NURC 3-2016-009233 del 17 de Mayo de 2016, temas que fueron complementados en las
entrevistas sostenidas con miembros de esta Oficina.
5.1 CUMPLIMIENTO FUNCIONES ESTABLECIDAS MEDIANTE RESOLUCION 2462 DE 2013
De acuerdo con el rediseño Institucional formalizado mediante el Artículo 11 del Decreto 2462 del 7
de Noviembre 2013, la Oficina de Tecnologías de la Información tiene asignadas 22 funciones, la
cuales se pueden verificar con el cumplimiento de las actividades registradas en el Plan Anual de
Gestión-Vigencia 2016, que se desarrolla en el numeral 5.4 de este mismo documento.
Para el desarrollo de sus funciones, la Oficina de Tecnologías de la Información cuenta con la
siguiente estructura, la cual fue presentada en informe de Seguimiento de esa Oficina, mediante
NURC 3-2016-003820 del 26 de Febrero de 2016:
La Oficina de Tecnologías de la Información para el cumplimiento de sus funciones, ha reforzado sus
Grupos Internos de Trabajo, de la siguiente manera:
COFL02 Página 5 de 21
Grupo Administración y Seguridad de la Información
Dentro de las funciones de este Grupo, está la de “atender todos los asuntos de carácter
administrativo y liderar operativamente la implementación del Subsistema de Seguridad de la
Información”.
En desarrollo de la Estrategia de Gobierno en Línea- GEL se establecieron lineamientos mediante
los Decretos 2573 de 2014 y 1078 de 2015 y complementados en el Manual GEL del Ministerio de
las TICS, en el cual se exige la implementación de un Sistema de Seguridad de la Información para
las Entidades del nivel central, de las cuales hace parte la Superintendencia Nacional de Salud. En
este orden, el artículo 5 del Decreto 2573 de 2014 y el artículo 2.2.9.1.2.1 del Decreto 1078 de 2015,
definieron los componentes que fundamentan la estrategia de Gobierno en Línea (GEL) y cuya
finalidad consiste en facilitar la masificación de la oferta y la demanda en GEL, a saber:
1. TIC para Servicios
2. TIC para el Gobierno abierto
3. TIC para la Gestión
4. Seguridad y privacidad de la Información
Por lo anterior su planta de personal, se compone de la siguiente manera:
FUNCIONARIOS:
NOMBRE PROFESION
Manuel Guillermo Acero Gutiérrez Coordinador-Profesional Especializado, Carrera Administrativa
Carlos Julián Duarte Suárez Asesor Libre Nombramiento y Remoción
Sindy Melisa Losada Suárez Profesional Especializado - Provisional
Juan Carlos Nocua Camargo Profesional Especializado - Provisional
Claudia García Rodríguez Técnico Administrativo - Carrera Administrativa
CONTRATISTAS:
Para este Grupo se hizo la contratación de los cinco (5) profesionales que se relacionan a
continuación, “teniendo en cuenta que actualmente la Supersalud no cuenta dentro de la planta de personal con
profesionales idóneos y experimentados para desarrollar la implementación, gestión y mantenimiento de la mencionada
obligación para cumplir con el componente de Sistema de Gestión de Seguridad de la Información, y teniendo en cuenta
la necesidad de dar continuidad al proceso de implementación del Sistema de Gestión de Seguridad para poder cumplir
con todas las obligaciones planteadas, la Oficina de Tecnologías de la Información considera necesario la conveniencia de
disponer de un equipo de ingenieros expertos, con experiencia para coadyuvar y orientar la función de la OTI, en términos
de seguridad de la información, que a su vez disponga de las competencias y experiencia necesaria para garantizar la
obtención de resultados esperados y el aprovechamiento económico de los recursos destinados para tal fin“
NOMBRE No.
Contrato PROFESION
FECHA
INICIAL
FECHA
FINAL
Raúl Wexler Pulido Téllez 043/2016 Oficial de Seguridad de la Información 22/01/2016 30/12/2016
Carmen Carolina Soto Espinosa 079/2013 Ingeniera Seguridad de la Información 10/02/2016 30/12/2016
Jorge Iván Castaño Valencia 081/2016 Experto en Análisis de Riesgos de
Seguridad de la Información 11/02/2016 30/12/2016
Liliana Paola Buenaventura Caicedo 100/2016 Experta en Continuidad de Negocio 03/03/2016 30/12/2016
Alexander Larrahondo Núñez 101/2016 Ingeniero Experto en Seguridad
Informática 03/03/2016 30/12/2016
COFL02 Página 6 de 21
Los principales logros alcanzados por este Grupo, hasta la fecha son:
Análisis de brecha de la situación actual de la Entidad en seguridad de la información.
Documento con el resultado de la herramienta de la encuesta Modelo de Seguridad. (exigencia Mintic)
Documento con el resultado de la estratificación de la entidad. (exigencia Mintic)
Alcance y límites de la seguridad de la información
Documento con el plan de comunicación, sensibilización y capacitación.
Actualización de la Política del Subsistema de Seguridad de la Información - ASPO05 disponible en
http://intranet/quienes-somos/sistema-integrado-de-gestion/politicas-del-sistema-integrado-de-gestion
Creación de las Políticas de Segundo Nivel del Subsistema de Seguridad de la Información –
ASPO09 disponible en http://intranet/quienes-somos/sistema-integrado-de-gestion/subsistema-de-
gesti%C3%B3n-de-seguridad-de-la-informaci%C3%B3n
Actualización-Matriz de Roles y Responsabilidades-ASFT14 disponible en
https://www.supersalud.gov.co/es-co/superintendencia/sistema-integrado-de-gestion/subsistema-gestion-
de-calidad
Levantamiento de información de los procesos del Alcance del Subsistema de Seguridad de la Información
Implementación de herramientas de seguridad informática (Firewall, Control de contenido web, detector de
intrusos, control de acceso a dispositivos de lectura/escritura, clowd app security y control manager)
Realización de jornadas y campañas de capacitación y sensibilización del Subsistema de Seguridad de la
Información
Análisis de riesgos de seguridad de la información para los procesos del alcance del Subsistema de
Seguridad de la Información.
Autoevaluación (IPv4/IPv6)
Indicadores de gestión del MSPI
Grupo de Gestión de Arquitectura de T.I.
Dentro de las funciones de este Grupo, está la de “adelantar la atención a los nuevos proyectos y
soluciones de T.I. definiendo la Arquitectura Empresarial de T.I., así como estableciendo el Marco de
Referencia.”
“Dando continuidad a los objetivos y las actividades realizadas en la vigencia 2015, el Grupo de Gestión de Arquitectura
Empresarial de TI, pretende en la vigencia 2016 continuar con la implementación de seis (6) nuevos sistemas de
información y planear la inclusión y ejecución de tres (3) nuevos adicionales, quedando en total nueve (9) proyectos para la
vigencia 2016 a saber:
Proyectos Diseñados en la Vigencia 2015
Gestión Documental, Procesos administrativos, Cobro Coactivo, PQR, Gestión Contractual y Gestión de
administración de Inventarios, que incluye el diseño, pruebas y puesta en producción de los sistemas de información.
Nuevos proyectos:
Control Disciplinario, Sistema de Auditoria y Acceso a la información de los vigilados (50 EPS), que incluye la
definición de la Línea Base y Arquitectura Objetivo, Hoja de Ruta de la implementación anexo técnico necesario para
la implementación de los sistemas
De acuerdo a las funciones, actividades y metas trazadas para la vigencia 2016 mencionadas anteriormente, surge la
necesidad de continuar con el fortalecimiento del equipo de trabajo del Grupo de Arquitectura Empresarial TI, pues la planta
de personal actual (5 profesionales) no da cubrimiento a todas las actividades a realizar para cada proyecto, ello se ve
reflejado en que al estimar los recursos y tiempos de cada uno, los tiempos de entrega de los sistemas no se ajustan a los
tiempos que la Entidad lo requiere y la calidad que los productos exige, ello basado en que el personal de planta no posee
la formación y experiencia suficiente para la definición de las arquitecturas de los sistemas de información, involucrando las
nuevas tecnologías, marcos de referencia y normativa vigente .
COFL02 Página 7 de 21
Adicional a lo anterior, en los meses posteriores (febrero y marzo de 2016) se asignan más proyectos a éste grupo de
trabajo: RIESGOS, INTEROPERABILIDADES – MINSALUD, Registro de Interventores y XBRL, es decir, se suman a lista
anterior 4 proyectos adicionales para el mismo grupo de trabajo.
Además, la Oficina de Tecnologías en la presente vigencia debe dar cumplimiento al 50% de los 93 lineamientos definidos
por Gobierno en línea alrededor los componentes de: Tic para la Gestión, Tic para Servicios, Tic para Gobierno Abierto y
Seguridad y privacidad de la información. Razón por la cual se suman a la lista de asignaciones a éste grupo de trabajo, dos
proyectos dos adicionales: FORTALECIMIENTO A LA GESTIÓN Y GOBIERNO DE LA OTI y FORTALECIMIENTO A LA
ARQUITECTURA EMPRESARIAL DE T.I.,Y ADQUISICIÓN E IMPLEMENTACION DE LA HERRAMIENTA
TECNOLÓGICA PARA EL PROCESO, es decir, actualmente el grupo de trabajo de Arquitectura tiene una asignación de
15 proyectos en total, que requieren una dedicación por persona aproximada del 100%, durante la vigencia 2016 y 2017,
según los proyectos asignados a la fecha.”
Por lo anterior su planta de personal, se compone de la siguiente manera:
FUNCIONARIOS:
NOMBRE PROFESION
Erika Díaz Abella Coordinador-Profesional Especializado-Provisional
Robert Aponte Villamizar Profesional Especializado-Provisional
Jenny Lorena Garzón Gil Profesional Especializado-Provisional
Alejandro Isaza Pareja Profesional Especializado-Provisional
Wilson Rene Riaño Niño Profesional Especializado-Provisional
CONTRATISTAS:
La Coordinadora de este Grupo, informa que como consecuencia de todo lo anteriormente explicado, “Es importante insistir que, de no disponer del recurso adicional, el impacto para la Entidad se reflejará en que la OTI no
tendrá durante la vigencia de 2016 la capacidad de atender el diseño y la implementación de todos los proyectos trazados
para la presente vigencia, razón por la cual se deberá entonces considerar una estrategia de reducción de resultados y/o
proyectos planteados.
De acuerdo con el número de proyectos asignados, las actividades requeridas y el personal de planta disponible se
identificaron los roles y responsabilidades requeridos para asegurar la calidad y oportunidad de la entrega de los productos
esperados (sistemas de información) a saber, es así como se identificó el número de personas requeridas adicionales para
fortalecer el equipo de trabajo (Un (1) Arquitecto Empresarial Líder, Un (1) Gestor de Proyectos, (1) Arquitecto empresarial
de TI, y cuatro (4) Arquitectos de TI).”
NOMBRE No.
Contrato PROFESION
FECHA
INICIAL
FECHA
FINAL
Mario Javier Monsalve
Hazbón 036/2016 Experto en Arquitectura Empresarial de TI. 20/01/2016 19/12/2016
Luis Enrique Camacho
Vanegas 037/2016 Experto en Arquitectura Empresarial de TI 20/01/2016 19/09/2016
Claudia Victoria Guaracao
Ayala 038/2016
Experto en Apoyo a la Gestión de Proyectos
de Arquitectura Empresarial de TI. 20/01/2016 19/12/2016
Germán Cortés Lasso 109/2016 Experto en Arquitectura Empresarial de TI. 10/03/2016 25/12/2016
Elkin Doney Suárez Gómez 110/2016 Experto en Generación documentos de
Arquitectura Empresarial de TI. 10/03/2016 25/12/2016
José Manuel Rodríguez
Valbuena 111/2016
Experto en Generación documentos de
Arquitectura Empresarial de TI. 10/03/2016 25/12/2016
Eduardo Juan Forero Morales 117/2016 Experto en Arquitectura Empresarial de TI. 01/04/2016 31/12/2016
COFL02 Página 8 de 21
Los logros obtenidos por este Grupo, con la contratación realizada a la fecha, son:
“PROYECTOS GESTION DOCUMENTAL Y PROCESOS ADMINISTRATIVOS: Se elaboró y definió:
Se realizó revisión a los requerimientos funcionales
Se realizó la restructuración de los requerimientos NO funcionales
Definición de la nueva Arquitectura Objetivo
Hoja de Ruta
Estudios de mercado
Se realizó 2 sesiones de aclaración de anexo técnico con los posibles interesados en participar en la licitación publica
Estudios previos para revisión de la Abogada externa asignada a la OTI
Se realizaron ajustes al anexo técnico de acuerdo con la retroalimentación del estudio de mercado y revisiones
adelantadas a la fecha
PROYECTO DE RECURSOS FISICOS:
Se realizaron sesiones de entendimiento y revisión a los requerimientos funcionales
Se realizaron las revisiones a los requerimientos No funcionales
Se encuentra en avance la definición de la nueva Arquitectura Objetivo
PROYECTO DE GESTIÓN CONTRACTUAL:
Se realizaron las revisiones a los requerimientos No funcionales y los funcionales existentes
Actualmente el proyecto se encuentra detenido por disponibilidad de tiempo del área funcional para definir el alcance,
recursos y cronograma del proyecto, dado que la carga operativa actual de ésta dependencia no permite la dedicación
requerida para avanzar según lo programad.
Adicional a lo anterior cabe aclarar que los cambios de los directivos relacionados con éste proceso han impactado el
proyecto en términos de tiempo (1 mes de trabajo) y toma de decisiones concluyentes, poniendo en riesgo la implementación
de la solución en la presente vigencia.
PROYECTO DE COBRO COACTIVO:
Se realizaron revisión a los requerimientos funcionales
Se realizó la restructuración de los requerimientos NO funcionales
PROYECTO DE GESTION PQR:
Se realizaron revisión a los requerimientos funcionales incluyendo nuevas solicitudes
Se realizó la restructuración de los requerimientos NO funcionales
Definición de la nueva Arquitectura Objetivo
Hoja de Ruta
Estudios de mercado
Estudios previos
Se adelantó socialización con el área funcional, producto de la cual el proyecto se encuentra en estado detenido, para
atender la solicitud del Superintendente Delegado para la Protección al Usuario, en el sentido de hacer otro estudio de
mercado para evaluar la posibilidad de comprar un software nuevo y no usar el SUPQR
Se está elaborando un nuevo anexo técnico que considere todo un sistema nuevo para lanzar el estudio de mercado
requerido.
PROYECTOS FORTALECIMIENTO A LA GESTIÓN Y GOBIERNO DE LA OTI y FORTALECIMIENTO A LA
ARQUITECTURA EMPRESARIAL DE T.I. y ADQUISICIÓN E IMPLEMENTACION DE LA HERRAMIENTA
TECNOLÓGICA PARA EL PROCESO
Levantamiento de información
Se encuentra en ejecución la definición de Línea base
PROYECTO DE CONTROL DISCIPLINARIO:
Levantamiento de información
Definición de Línea base
COFL02 Página 9 de 21
Análisis de brechas
Se encuentra en ejecución la definición de la arquitectura objetivo
En relación con los proyectos: Control EPS, Auditorias, Riesgos, Registro de Interventores, Interoperabilidad con
Minsalud y XBRL, se informa que no se han iniciado actividades pues las áreas líderes responsables de éstos procesos,
se encuentran definiendo los requerimientos funcionales, insumo indispensable para que ésta oficina adelante las etapas
iniciales de los mismos. Así mismo se tiene estimado que de recibir los insumos en el presente mes, será posible adelantar
la etapa de estructuración de los proyectos, pero la contratación e implementación se deberá posponer para la vigencia
2017.”
Grupo de Gestión de Aplicaciones
Dentro de las funciones de este Grupo, está la de “atender las mejoras y mantenimiento de los
Sistemas de Información que existen en la Superintendencia y se adelantan los nuevos Sistemas de
Información que se requieran.”
Por lo anterior su planta de personal, se compone de la siguiente manera:
FUNCIONARIOS:
NOMBRE PROFESION
Patricia Manosalva Peña Coordinador-Profesional Especializado-Carrera Administrativa
Luis Alfonso Plazas Rincón Profesional Especializado-Provisional
John Jairo Ardila Romero Profesional Especializado-Provisional
Luis Fernando Osorio Villamil Profesional Especializado-Provisional
Diana Carolina Hurtado Profesional Especializado-Provisional
Sandra Yomay Suárez Padilla Analista de Sistemas-Carrera Administrativa
Olga Lucía Morales Nova Analista de Sistemas-Carrera Administrativa
Tomás Carmelo Quiroz Velásquez Analista de Sistemas-Carrera Administrativa
CONTRATISTAS:
Para este Grupo se hizo la contratación de los tres (3) profesionales que se relacionan a continuación,
con el fin de prestar sus servicios profesionales para el mantenimiento de las soluciones de software
existentes e implementación de nuevas soluciones, para la Entidad.
NOMBRE No.
Contrato PROFESION
FECHA
INICIAL
FECHA
FINAL
Miguel Ángel Ordoñez Neira 044/2016 Ingeniero Soporte a SUPERSIAD 27/01/2016 30/12/2016
Jeisson Octavio Gómez Pinilla 123/2016 Ingeniero de Desarrollo y
Mantenimiento de Aplicaciones 14/04/2016
30/12/2016
Guillermo Pinzón Gómez 125/2016 Ingeniero de Desarrollo y
Mantenimiento de Aplicaciones. 14/04/2016 31/12/2016
Los logros alcanzados por este Grupo, hasta la fecha son:
El ingeniero Miguel Angel (Ordoñez) realiza actividades de soporte y mantenimiento al Sistema SUPERSIAD, en
atención a los requerimientos que realiza la Delegada de Procesos Administrativos diariamente; al igual que participa
en el apoyo técnico al grupo de arquitectura en lo relacionado con la nueva solución que soportará este proceso en
actualización, filtración y depuración de la información histórica.
COFL02 Página 10 de 21
El Ingeniero Jeisson Octavio Gómez Pinilla ha participado en actividades como:
o Reunión primer acercamiento referente al requerimiento de la autorización de la notificación electrónica al vigilado.
o Revisión alcance e impacto del requerimiento.
o Lectura de los documentos NOTIFICACION ELECTRONICA.pdf y Circular Externa 00002 de 2012.pdf,
documentos que adjunto.
o Instalación Visual Studio 2010 con el fin de poder ver, actualizar, modificar, desarrollar los requisitos funcionales
del requerimiento de autorización de notificación electrónica, para el sistema RVCC.
o Fuentes de la aplicación RVCC de los cuales adjunto copia en el CD, y scripts RVCC
o Elaboración inicial de documento marco de trabajo dentro Visión de Aplicaciones. En el cual se sustenta la
metodología de desarrollo ágil de aplicaciones SCRUM, e igualmente es la base para el aporte al área en la
organización de definición de un estándar de pruebas, desarrollo, e implementación de soluciones.
o Elaboración del Informe de Actividades correspondientes al mes de abril del contrato 123 de 2016.
o Apoyo en las actividades asociadas en la ejecución del objeto contractual.
El Ingeniero Guillermo Pinzón Gómez, ha participado en actividades como
o Revisión de estado del Aplicativo y ajustes por errores en cambio de servidor SJC
o Instalación Visual Studio 2010 con el fin de poder ver, actualizar, modificar, desarrollar los requisitos funcionales
o Asistencia a sesiones: definición de Arquitectura Componentes Transversales y Definición de Arquitectura
Componentes Transversales
o Elaboración del Informe de Actividades correspondientes al mes de abril del contrato 125 de 2016.
o Apoyo en las actividades asociadas en la ejecución del objeto contractual.
Grupo de Infraestructura y Soporte de T.I.
El Coordinador de este grupo, describe de la siguiente manera la necesidad de hacer una
contratación: “Por ser equipos de gran capacidad que atienden peticiones de cientos o miles de equipos o clientes a los
que envía información u ofrecen un servicio, se hace necesario contar con profesionales adicionales, mínimo uno (1), para
apoyar estas actividades.
En la actualidad la Superintendencia Nacional de Salud, cuenta con una plataforma tecnológica de servidores, asociados a
la plataforma WINDOWS, la cual soporta los procesos estratégicos y misionales de la entidad que contribuyen al
fortalecimiento de las funciones de Inspección, Vigilancia y Control asignadas a la entidad, la cual opera con productos de
Microsoft en los respectivos ambientes, tanto de pruebas como de producción y conformada por:
Infraestructura de Dominio
Infraestructura de Seguridad
Sistema gestor y motor de base de datos
Sistemas Operativos para Servidores Server (Device Cal, Enterprise, Standard, Web, Datacenter, User Cal)
Ambiente de Virtualización
Sistema de Administración de red
Sistema de Almacenamiento y backup
Sistemas de Administración en la Nube
Sistema de Mesa de Ayuda
Actualmente, la Entidad cuenta con un total de 106 recursos de TI, los cuales son administrados por dos (2) profesionales
del Grupo de Infraestructura y Soporte, los cuales ejecutan las tareas de administración de la plataforma tecnológica
(mantenimiento, actualización, aseguramiento, pruebas, monitoreo, seguimiento y reconfiguración) y dada la alta demanda
que requiere esta administración, el personal no es suficiente para realizar todas las tareas que atañen a esta actividad,
sumado a las actividades y proyectos que se tienen que atender en el día a día.
Asimismo, la entidad cuenta con aplicativos, relacionados a continuación y distribuidos en diversos tipos de servidores,
como son: correo, proxy, bases de datos, clúster, físicos, dedicados, virtuales y que requieren a diario actividades que
deben ser ejecutadas dentro de los acuerdos de niveles de servicio establecidos para satisfacción de los clientes internos
y externos.”
COFL02 Página 11 de 21
Por lo anterior su planta de personal, se compone de la siguiente manera:
FUNCIONARIOS:
NOMBRE PROFESION
Fabio Andrés Parrado Velásquez Coordinador-Profesional Especializado-Provisional
Edgar Arias Medina Profesional Especializado-Provisional
Claudia Constanza Cleves Reinoso Profesional Especializado-Provisional
Claudia Liliana Molina Cruz Profesional Especializado-Provisional
Luis Francisco Oviedo Hernández Analista de Sistemas-Carrera Administrativa
Mario Alberto Duque Guerrero Analista de Sistemas-Provisional
Oscar Jaramillo Muñoz Analista de Sistemas-Provisional
CONTRATISTAS:
Para este Grupo se ha realizado la contratación de un (1) profesional, brindar apoyo a la
administración de la infraestructura tecnológica de servidores de la Superintendencia Nacional de
Salud.
NOMBRE No.
Contrato PROFESION
FECHA
INICIAL
FECHA
FINAL
Miguel Alfonso Lucero Angulo 130/2016 Apoyo a la Administración de Infraestructura 04/05/2016 31/12/2016
La Oficina de Tecnologías de la Información, a la fecha está compuesta por 26 funcionarios de planta
y 16 contratistas; lo anterior quiere decir que el 38% de su personal tiene contrato de prestación de
servicios. Cabe advertir, que a la fecha de presentación del informe que ahora nos ocupa, el último
contratista ingresó a esa dependencia el 4 de Mayo de 2016 y se ha relacionado en este documento,
a pesar que el alcance es de Febrero, Marzo y Abril de 2016.
Tal como lo informó la Oficina de Control Interno, mediante NURC 3-2016-009011 del 13 de Mayo de
2016, “la Alta Dirección se encuentra interesada en poder certificarse en el Sistema de Seguridad de la
Información, por lo que se han vinculado contratistas con este propósito, tendientes a lograr una debida
implementación de ese Subsistema del Sistema Integrado de Gestión”, situación que es ratificada en las
entrevistas sostenidas con la Oficina de Tecnologías de la Información, para lo cual aportaron la
información registrada en este informe y en documentos que se conservan como papeles de trabajo
en la Oficina de Control Interno.
El monto de los contratos anteriormente referidos, al 5 de Mayo de 2016, asciende a un valor total de
$1.194.943.327.
5.2 SEGUIMIENTO MAPA DE RIESGOS OPERACIONALES DEL PROCESO
Dentro de los seguimientos que se realizarán durante la vigencia 2016 a la Oficina de Tecnologías
de la Información, se incluirá un (1) riesgo institucional en cada una de ellas, con el fin de verificar si
esta dependencia tiene plenamente identificados los riesgos asociados a sus procesos, y recoger
evidencias de las acciones de mejora que se han implementado con el fin de mitigarlos
COFL02 Página 12 de 21
Dentro del mapa de riesgos, para el proceso de “Provisión de Soluciones Tecnológicas”
Para el tema de riesgos, la Oficina de Tecnologías de la Información da respuesta a la solicitud
formulada por la Oficina de Control Interno, con el NURC 3-2016-009233 del 17 de Mayo de 2016,
en los siguientes términos:
“La OTI socializó con todos sus funcionarios y contratistas la Caracterización y Riesgos del Proceso como temas para
estudio el 29 de octubre de 2015.
En lo referente a lo plasmado en el Riesgo, la OTI ha adelantado las siguientes acciones sobre la socialización de la
Metodología de Arquitectura Empresarial de TI:
Las actividades de socialización metodológica en el marco de arquitectura empresarial de T.I. inició en la vigencia 2015,
primero al equipo interno de la OTI, luego se continuó con los líderes funcionales de los procesos de Gestión Documental,
Procesos Administrativos, Protección al Usuario, Coordinación de Cobro Coactivo de la Oficina Asesora Jurídica, de
acuerdo como se relaciona a continuación:
AL EQUIPO INTERNO DE LA OTI
- 7 Mayo de 2015 - Análisis de Dominios AE SNS (Planeación Equipo Arquitectura) Acta 884 de 2015
- 5 Agosto de 2015 - Describiendo la Línea Base y Definiendo la Arquitectura de una solución, Acta 1024
- 24 Agosto de 2015 – Plan de Gestión del cambio, Acta 1119
- 11 Noviembre de 2015 – Socialización Modelo de Gobierno- Acta 1405 de 2015
A LOS LÍDERES FUNCIONALES Y SUS EQUIPOS:
- 20 Agosto de 2015, Delegada de Protección al Usuario, Acta 1083
- 19 Agosto de 2015, Subdirección Administrativa (Gestión Documental), Acta 1118
- 15 Septiembre de 2015, Procesos Administrativos, Acta 1192 de 2015
- 11 Septiembre de 2015, Oficina Asesora Jurídica, Acta 1188 de 2015
Para la vigencia 2016, se plantea reforzar las capacitaciones en la metodología y las prácticas que benefician directamente
los proyectos de implementación de nuevas soluciones en curso, de lo cual se adelantado lo siguiente:
- Buenas prácticas para la gestión de proyectos – 8 Marzo a 5 de Abril - Dirigida a profesionales de la OTI
- Marco de referencia de TOGAF – 2, 3,4, 10,11 y 12 de Mayo - Dirigida a profesionales de la OTI y Oficina Asesora de
Planeación
La socialización de arquitectura empresarial se ha adelantado en el desarrollo del levantamiento de los requerimientos
técnicos de los Sistemas de Información, cuyos soportes se encuentran en los reportes de PAG de Enero a Abril de 2016.
En cuanto a la Socialización de las Políticas de la Información lo siguiente: En cuanto a la difusión de las Políticas de
la Información, se formularon las de segundo nivel, se solicitó su aprobación por parte de la Oficina Asesora de Planeación
se socializaron con el grupo de Gestores de Seguridad de la Información el día 16 de Marzo de 2016 y a toda la Entidad en
la semana del 18 al 22 de Abril de 2016 y presentaron al Comité de Desarrollo Administrativo - CDA el día 28 de Abril de
2016.“
PROCESO RIESGO DESCRIPCION CONTROLES EXISTENTES ACCIONES
Provisión de
Soluciones
Tecnológicas
Uso Indebido de la
Información;
Incumplimiento en los
tiempos acordados de
soluciones a usuarios finales;
Insatisfacción del usuario
frente a productos recibidos;
Interrupción de la
disponibilidad de los
sistemas de información.
Acceder, manipular y/o
divulgar sin autorización la
información privilegiada o
de reserva que se origine,
suministre o custodie en los
sistemas de información
Sistemas de información
con especificaciones
inadecuadas
Áreas de proceso sin
herramientas tecnológicas
que apoyen la operación de
manera óptima
Roles definidos y
documentados, para el
manejo de la información
confidencial
Construcción de políticas para
el manejo de la información y
posterior divulgación.
Monitoreo a los sistemas de
información.
Implementación de ejercicios
de arquitectura empresarial
para la definición y diseño de
nuevas soluciones
Socialización de la
metodología para
realizar los ejercicios de
arquitectura
empresarial dirigida a
técnicos y líderes
funcionales.
Socialización de las
políticas de manejo de
información
COFL02 Página 13 de 21
Como soporte de lo anterior, la Oficina de Tecnologías de la Información anexa las listas de asistencia
correspondientes a las reuniones de capacitación con los Gestores del Subsistema y con todos los
funcionarios de la entidad, así como la presentación al CDA, las cuales se conservan como papeles
de trabajo para la presentación de este informe.
5.3 SEGUIMIENTO MAPA DE RIESGOS DE CORRUPCIÓN DEL PROCESO
En cuanto a riesgos de corrupción, se solicitó a la OTI se informara: “En cuanto a Riesgos de Corrupción,
por favor indicar cuáles riesgos están definidos para su dependencia y que acciones se han emprendido para
mitigarlo”
La Oficina de Tecnologías de la Información, informa que “no tiene responsabilidades definidas en la
Matriz de Riesgos de Corrupción, tal como se puede verificar por la Oficina de Control Interno.”; lo anterior se
pudo verificar en el mapa de riesgos publicado en el portal web de la Entidad, cuya última
actualización es del 26 de Febrero de 2016, y los riesgos de corrupción se han definido por procesos
y no por dependencias, como estaba anteriormente.
5.4 SEGUIMIENTO PLAN ANUAL DE GESTIÓN
La Oficina de Tecnologías de la Información hizo remisión de Avance a sus actividades programadas
en el Plan Anual de Gestión-vigencia 2016 a la Oficina Asesora de Planeación, de la siguiente
manera:
MES DE REPORTE NURC FECHA
Febrero 3-2016-005103 14 de Abril de 2016
Marzo 3-2016-006703 11 de Abril de 2016
Abril 3-2016-008917 12 de Mayo de 2016
Para la presentación del avance del P.A.G. correspondiente a los meses de Febrero, Marzo y Abril
de 2016 de la Oficina de Tecnologías de la Información, la Oficina de Control Interno realizó
seguimiento mediante muestreo, tomando las siguientes actividades:
No. PROCESO ACTIVIDAD NOMBRE INDICADOR FÓRMULA
META
PROPU
ESTA al
30-04-
2016
%
AVANC
E al 30-
04-
2016
1
RS-Provisión de
Soluciones
Tecnológicas
Renovar, adquirir y
desplegar
licenciamiento
Porcentaje acumulado
de actividades realizadas
para la adquisición y
renovación de
licenciamiento
Numero acumulado de actividades
realizadas para la adquisición y renovación
de licenciamiento / Número de actividades
definidas en el Cronograma
45% 21%
2
RS - Provisión
de Soluciones
Tecnológicas
Realizar mejoras a
los servicios y a las
funcionalidades de
los Sistemas de
Información
existentes en la
entidad
Porcentaje acumulado
de actividades para
actualizaciones y
mejoras a los sistemas
de la entidad
Número acumulado de actividades
realizadas para actualizaciones y mejoras a
los sistemas de la entidad /
Número de actividades definidas en el
Cronograma
15% 37%
3
PI-Formulación
implementació
n y evaluación
de Planes y
Programas
Adelantar el Rol de
Oficial de Seguridad
de la Información de
acuerdo al Plan de
Trabajo trazado
Porcentaje acumulado
de actividades
ejecutadas del Plan de
Trabajo como Oficial de
Seguridad de la
Información
Número acumulado de actividades
realizadas del Plan de Trabajo como Oficial
de Seguridad de la Información / Número de
actividades definidas en el del Plan de
Trabajo como Oficial de Seguridad de la
Información
20% 21%
COFL02 Página 14 de 21
La Oficina de Tecnologías de la Información mediante NURC 3-2016-008917 del 12 de Mayo de
2016, presenta el siguiente avance al 30 de Abril de 2016, sobre los ítems seleccionados:
1. Para la actividad: Renovar, adquirir y desplegar licenciamiento, el reporte de la Oficina de Tecnologías de la
Información, es:
Se cumplió el soporte dado a la licencia del Sistema Planeación y Gestión ITS, que se obtuvo mediante el Contrato
147 de 2015. A 30 de Abril el pago estaba pendiente.
Se suscribió el Contrato 129 de 2016 con la firma Soporte Lógico Ltda., mediante el cual se realizará mantenimiento
y mejoras al Sistema de Nómina denominado “Humano”, el cual también se financiará con Recursos de “Actividad
2.1.1. Realizar actualizaciones y mejoras a los sistemas de información existentes de la entidad.”.
Gestión Documental:
Se realizó el 5 de Abril sesión de aclaración de anexo técnico con los interesados en participar del estudio de
mercado lanzado a finales del mes anterior.
Se consolidó el estudio de mercado con las propuestas recibidas de los proveedores.
Se elaboró y entregó para revisión la versión No.1 de Estudios previos para radicar en el grupo de contratación.
Se realizaron los ajustes de anexo técnico, relacionados con el componente de migración y el componente de
citaciones y notificaciones según la arquitectura de referencia definida.
Procesos Administrativos:
Se realizó el 5 de abril sesión de aclaración de anexo técnico con los interesados en participar del estudio de
mercado lanzado a finales del mes anterior.
Se consolidó el estudio de mercado con las propuestas recibidas de los proveedores.
Se elaboró y entregó para revisión, la versión No.1 de Estudios previos para radicar en el grupo de contratación.
Cobro Persuasivo y Jurisdicción Coactiva:
Se elaboró el Project chárter del proyecto de acuerdo con el alcance definido en la presente vigencia.
Se realizó la Identificación y Análisis de Riesgos Preliminar
Se elaboró el análisis de Interesados del proyecto, La disminución de porcentaje en relación con el mes anterior se
debe a la redefinición del alcance del proyecto, el cual inicialmente no consideraba el fortalecimiento al proceso de
arquitectura, solamente incluía actividades propias para la compra del software como apoyo a la gestión. El avance
para éste periodo está representado en la definición del cronograma como plan de trabajo y los documentos
correspondientes para la aprobación del proyecto, por parte de la jefatura de la oficina, la cual se obtuvo en éste
periodo también.
Se realizó el proceso de estudio previo y ajuste a las observaciones enviadas por parte del grupo de contratación
Se realizó minuta de contrato y está pendiente firma del contrato, Este proyecto aún no se ha iniciado puesto que
está activo aún, soporte y mantenimiento por garantía del contrato anterior y con el representante de Microsoft se
realizó el inventario del Software de la Supersalud.
2. Para la actividad: Realizar mejoras a los servicios y a las funcionalidades de los Sistemas de Información
existentes en la Entidad
Se continuó la ejecución del Contrato 044 de 2016 dando el soporte correspondiente conforme lo requerido por la
Delegada de Procesos Administrativos en el mes de Abril en lo correspondiente a la depuración, actualización y
filtración de la base de datos. Se terminó satisfactoriamente la ejecución del Contrato 085 de 2016 con la firma
COFL02 Página 15 de 21
SKENA S.A.S., mediante el cual se dio soporte a la Entidad para el reporte periodo 43 de diciembre de 2015, contrato
con el que se implementó la funcionalidad “validación miles de pesos”, obteniendo como resultado que 7.357
vigilados reportaron oportunamente, al disponer del aplicativo desde Enero y hasta las 11:59:59 del 25 de Febrero
de 2016, que era la fecha límite, tal como se había reportado en Marzo.
Sistema de Gestión de Tasa SGT. Se está procediendo al proceso de levantamiento de los requerimientos con el
área funcional y se realizaron cotizaciones.
Se suscribieron los Contratos de los desarrolladores: Jeisson Octavio Gómez Pinilla-Contrato 123 de 2016 y
Guillermo Pinzón Gómez-Contrato 125 de 2016.
Sistema de PQR SUPQR. Se recibió estudio de mercado del proveedor exclusivo. Se adelantó reunión con el líder
funcional (Delegada para la Protección al Usuario) en donde se solicitó al área técnica realizar estudio de mercado
tipo licitación para evaluar un sistema nuevo. La actividad antes mencionada obliga a redefinir cronograma desde el
siguiente periodo en adelante. Elaboración de estudio de previo para la contratación.
Soporte al Sistema de Correspondencia SUPERCOR. Se realizaron ajustes a estudio previo para la contratación del
soporte y mantenimiento al Sistema, y la implementación de las funcionalidades consistentes en firma digital y el
manejo de las tipologías de radicación de documentos 5 y 6 para autos y sentencias, Migración a nuevo Data Center
y el Web Service para conectarse con el APP de PQR que se desarrolló por parte de MINSALUD, para recibir PQR.
Soporte de Servicios PREMIER, Se adelantó y completo el proceso precontractual y se firmó el Contrato No. 126 de
2016 con la firma Microsoft.
Se suscribió el Contrato 129 de 2016 con la firma Soporte Lógico Ltda., mediante el cual se realizarán mantenimiento
y mejoras al Sistema de Nómina denominado “Humano”, el cual también se financiará con Recursos de “Actividad
3.2.1. Adquirir y desplegar licenciamiento.”.
3. Para la actividad: Adelantar el Rol de Oficial de Seguridad de la Información de acuerdo al Plan de Trabajo
trazado.
Se generó el documento de “Actividades e Implementación del Plan de transición para la adopción de IPV6 en
convivencia con el IPV4” para ser presentado al Comité de Desarrollo Administrativo – CDA. Con el propósito de
continuar con la implementación de IPV6, se adelantó reunión con el proveedor IPV6 Technology.
Se generó y entregó al equipo la propuesta de política de navegación en Internet y la matriz de permisos por grupos
de navegación para revisión. Se depuraron y revisaron con el área de planeación los indicadores del Subsistema
para ser cargado en el SGC. Se generó y propuso un tablero de control para las herramientas de seguridad
informática.
Se gestionó con el Grupo de Infraestructura y soporte de Servicios de TI la entrega de la información de las VLAN’s
para el afinamiento del Firewall. Se avanza en las actividades de la implementación de la solución InterScan Web
Security según el cronograma. Se instaló y dejó en calidad de prueba de concepto la solución Deep Discovery
Inspector de TrendMicro con apoyo del área de Infraestructura. Se Gestionó la solicitud de dos servidores para la
instalación e implementación de las soluciones Vulnerability Protection y Endpoint Encryption.
Recopilación de los instrumentos de transparencia donde se listan los títulos de información con fecha de
actualización del 31 de Diciembre de 2015, las entrevistas del Programa de Gestión Documental con cada una de
las áreas durante el segundo semestre de 2015 y el conocimiento de los conocedores y responsables de la
información inicialmente para los procesos objeto del alcance.
Validación de los títulos de información identificándolos como Activos de Información con los conocedores y
gestores de los procesos objeto del alcance.
Revisión de las categorías documentales (Series y Subseries) que provee el Grupo de Gestión Documental y que
se encuentran actualizadas y aprobadas en primera revisión al interior de la Superintendencia Nacional de Salud
y en espera de las observaciones por parte del Archivo General de la Nación.
o Alineación de los primeros inventarios de información con las Tablas de Retención Documental, obteniendo
como producto en revisión: Listado de Activos de Información para los procesos: Gestión de la
COFL02 Página 16 de 21
Participación Ciudadana, Gestión de Atención al Ciudadano, Gestión de Servicios Tecnológicos y
Provisión de Soluciones Tecnológicas.
o Elaboración del esquema o matriz con las características mínimas exigidas por el Decreto 1081 de 2015 y que
permite avanzar en paralelo para la actualización de los instrumentos de gestión de transparencia en
conformidad con lo establecido en la ley 1712 de 2014 para el listado o registro de activos de información,
siendo éste un insumo crítico para las actividades de implementación del Subsistema de Seguridad de la
Información.
o Elaboración del test de conocimientos para la evaluación de las sesiones de capacitación de Seguridad de la
Información.
o Elaboración del documento que contempla acciones propuestas para la implementación de las actividades de
seguimiento del Plan de Acción Ley 1581 de 2012, con especial énfasis en la identificación del Riesgo:
“Inadecuado Tratamiento de los Datos Personales”, sus causas, impacto y medidas de seguridad sugeridas.
o Elaboración de material sobre información de Riesgos de Seguridad como instrumento para construir
herramientas de concienciación.
Se enviaron a la Oficina Asesora de Planeación – NURC 3-2016-006004 los documentos requeridos por MINTIC,
a saber:
o Documento con el resultado de la herramienta de la encuesta, revisado, aprobado y aceptado por la alta
dirección –
o Resultado de la herramienta de la encuesta MSPI
o Documento con el resultado de la estratificación de la entidad, aceptado y aprobado por la dirección. –
o Resultado de la estratificación de la Entidad.docx.
o Documento con el alcance y límites de la seguridad de la información, debidamente aprobado y socializado al
interior de la Entidad, por la alta dirección. –
o Alcance y límites de seguridad de la información.docx.
o Documento con el plan de comunicación, sensibilización y capacitación, con los respectivos soportes, revisado
y aprobado por la alta Dirección. –
o Cronograma campañas SIG.xlsx. Documento con la estrategia de planificación y control operacional –
o Cronograma implementación SSI.pdf.
Con el NURC 3-2016-006380, se remitieron:
o Procedimiento de Gestión de incidentes de Seguridad de la Información.docx,
o Contexto de la SNS.docx,
o Declaración de Aplicabilidad.docx,
o Guía de contacto con las autoridades y grupos de interés especial.docx,
o Guía para la Gestión de activos de información.docx,
o Manual de Políticas de Segundo nivel del Subsistema de Seguridad de la Información.docx,
o Matriz de Roles y Responsabilidades.docx,
o Procedimiento de calificación, etiquetado y tratamiento de la información.docx,
o Matriz de segregación de funciones.xls,
o Guía metodológica de análisis de riesgos de seguridad de la información.docx,
o procedimiento de Acciones Correctivas, Preventivas y de Mejora.docx ajustado SSI.
Con el memorando 3-2016-006671, se envió Solicitud de Modificación de Paz y Salvo de Entidad APFT53 Paz y
Salvo.xlsx.
Al Grupo de Contratación de Bienes y Servicios con NURC 3-2016-006672, solicitud de inclusión de acuerdo de
confidencialidad en contratos que suscriba la entidad.
Elaboración de los siguientes documentos exigidos por la Norma ISO 27001:2013: Procedimiento de gestión de
usuarios, Guía de gestión segura de usuarios, Formato Autorización servicios informáticos por usuario, Guía de
borrado seguro de información, Guía de seguridad física y del entorno, Formato de hoja de vida servidores,
Procedimiento Mantenimiento preventivo, Formato de Ingreso a áreas seguras, Guía para la seguridad en las
operaciones, Procedimiento de Copias de seguridad, Caracterización del Proceso, Manual de Acuerdos de nivel
de servicio.”
De acuerdo con la información y soportes aportados por la Oficina de Tecnologías de la Información,
la Oficina de Control Interno pudo verificar que la Oficina objeto de este seguimiento ha realizado
actividades encaminadas al cumplimiento de los objetivos definidos en su Plan Anual de Gestión;
situación, que de acuerdo con esas evidencias y la información recibida en las entrevistas, ha sido
COFL02 Página 17 de 21
fluctuante impidiendo el cumplimiento riguroso de lo planeado, ya que como se registra en el
contenido de este informe las decisiones y directrices impartidas por la Alta Dirección y de las
dependencias usuarias, han forzado a la Oficina de Tecnologías de la Información a cambiar las
prioridades de sus proyectos, situación que se ve reflejada en el porcentaje de avance de
cumplimiento de los tres indicadores escogidos para esta revisión.
No. ACTIVIDAD NOMBRE INDICADOR
META
PROPUEST
A al 30-04-
2016
% AVANCE
al 30-04-
2016
1 Renovar, adquirir y desplegar
licenciamiento
Porcentaje acumulado de actividades realizadas
para la adquisición y renovación de licenciamiento 45% 21%
2
Realizar mejoras a los servicios y a las
funcionalidades de los Sistemas de
Información existentes en la entidad
Porcentaje acumulado de actividades para
actualizaciones y mejoras a los sistemas de la
entidad
15% 37%
3
Adelantar el Rol de Oficial de Seguridad
de la Información de acuerdo al Plan de
Trabajo trazado
Porcentaje acumulado de actividades ejecutadas
del Plan de Trabajo como Oficial de Seguridad de
la Información
20% 21%
Por la situación que ahora se evidencia, la Oficina de Tecnologías de la Información informa que
actualmente su Plan Anual de Gestión-vigencia 2016 se encuentra en proceso de revisión y ajuste,
modificación que, se espera que para el próximo seguimiento que realizará la Oficina de Control
Interno, pueda ser evidenciado.
A pesar de lo antes mencionado, la Oficina de Control Interno concluye que la dependencia que por
medio de este informe se evalúa, está realizando las actividades programadas para el cumplimiento
de su Plan Anual de Gestión.
5.5 SEGUIMIENTO A LAS RECOMENDACIONES PRESENTADAS POR LA OFICINA DE
CONTROL INTERNO EN INFORMES ANTERIORES
Durante el Segundo Semestre de la vigencia 2015, la Oficina de Control Interno lideró auditoría de
calidad realizada con funcionarios de toda la Entidad, cuyo informe fue enviado al Despacho del señor
Superintendente Nacional de Salud mediante NURC 3-2015-020639 del 19 de Octubre de 2015, y se
remitió copia del mismo a todas las dependencias a través del correo institucional, donde además,
se informó que se debían radicar los planes de mejoramiento a que hubiera lugar.
En el presente documento se realiza seguimiento a la recomendación formulada en informe radicado
con NURC 3-2016-003820 del 26 de Febrero de 2016, el cual quedó definido en los siguientes
términos:
“En relación con los Hallazgos de la Auditoría de Calidad, la Oficina de Control Interno recomienda a la Oficina
de Tecnologías de la Información, presentará la Oficina Asesora de Planeación, Plan de Mejoramiento, al cual
se le realizará posteriormente seguimiento por parte de esta dependencia.”
Al respecto la Oficina de Tecnologías de la Información informa que “el Plan de Mejoramiento formulado
se atendió y cumplió tal como se puede verificar mediante el Memorando con NURC 3-2015-021958 del 6 de
Noviembre de 2015.”
La Oficina de Control Interno verificó que las NO CONFORMIDADES declaradas en el informe de
Auditoría de Calidad, presentado mediante NURC 3-2015-020639 del 19 de Octubre de 2015,
hubieran quedado atendidas tal como lo indica la respuesta de la Oficina de Tecnologías de la
Información, para lo cual verificó que la Oficina a la cual ahora se le hace seguimiento, hizo solicitud
COFL02 Página 18 de 21
a la Oficina Asesora de Planeación, mediante formato PMFT04 “Solicitud de Acción Correctiva, Preventiva
o de Mejora”, sobre los siguientes ítems:
“No Conformidad Mayor: Relacionada con los numerales 4.2.3. Control de documentos y 4.2.4. Control de los registros,
enunciados en la norma NTCGP 1000:2009, en relación con los puntos que a continuación se relacionan:
1. En la actividad 4 del procedimiento “Gestión de arquitectura de tecnologías de la información” se hace referencia al código
de formato COF02 el cual no es un código válido dentro del sistema integrado de gestión de la Supersalud. No se encuentra
definida la frecuencia de aplicación de los puntos de control del procedimiento (en su lugar aparece el responsable del
proceso).
2. Al verificar un registro en el formato Línea de base de arquitectura de TI RSFT01 correspondiente al procedimiento
“Gestión de arquitectura de tecnologías de la información”, se evidenció que el mismo no cuenta con el encabezado en el
cual se encuentra el logo institucional, nombre del formato, código y versión del mismo.
No Conformidad Mayor: Relacionada con el numeral 4.1. Requisitos generales, literal g y numeral 8.5.3 Acción preventiva,
la siguiente situación, en relación con los puntos que a continuación se relacionan:
3. Dentro de la documentación del procedimiento “Gestión de la arquitectura de tecnologías de información”, en la política
1 se recomienda especificar que el marco de referencia de arquitectura empresarial para la gestión de tecnologías de la
información adoptado en las entidades del sector público Colombiano es IT4+ e incluir dentro del mapa de procesos como
documentos externos los correspondientes a la documentación de este modelo en MinTic.
4. En el procedimiento “Gestión de la arquitectura de tecnologías de información”, no se encuentran dentro del sistema
integrado de gestión, la tabla de control de actas. Se recomienda evaluar conjuntamente con la Oficina asesora de
Planeación, la pertinencia de oficializar este documento incluyéndolo como un formato dentro del sistema integrado de
gestión.”
La propuesta elevada por la Oficina de Tecnologías de la Información, fue la siguiente:
“Se debe eliminar el registro de formato COF02 debido a que el registro de dicha actividad se realizará mediante Acta
del sistema Integrado de Gestión. Adicionalmente se asignará la frecuencia de aplicación de los puntos de control del
procedimiento.
A partir de la fecha se adoptará el formato de registro de Línea Base de Arquitectura de T.I. Cód. RSFT01.
La recomendación se adoptará en el momento que la SNS defina y apruebe las estrategias necesarias para el
cumplimento de los lineamientos establecidos en el decreto 2573 de 17 de Diciembre de 2014.
Para lo anterior desde ahora la Oficina Asesora de Planeación, está participando de comités de Gobierno en Línea y
contactos con el Ministerio de TIC a fin de identificar las etapas y planes de acción al respecto.
La recomendación realizada no será adoptada, debido a que el Formato "Registro de Documentos" es un documento
de apoyo para el control de la gestión del proceso”.
La Oficina de Control Interno hizo seguimiento al ítem 1: “Ítem 1: En la actividad 4 del procedimiento
“Gestión de arquitectura de tecnologías de la información” se hace referencia al código de formato COF02 el
cual no es un código válido dentro del sistema integrado de gestión de la Supersalud. No se encuentra definida
la frecuencia de aplicación de los puntos de control del procedimiento (en su lugar aparece el responsable del
proceso)”, a las acciones propuestas, verificando que:
a. El formato COF02, ya no existe en la documentación del Mapa de Procesos, y ya se encuentra
el formato RSFT01.
COFL02 Página 19 de 21
b. En cuanto a: “No se encuentra definida la frecuencia de aplicación de los puntos de control del
procedimiento (en su lugar aparece el responsable del proceso), en el procedimiento que actualmente
se encuentra en el Mapa de Procesos, se evidencia que el cambio no se ha registrado.
c. Verificando el procedimiento “Gestión de arquitectura de tecnologías de la información”, con
código RSPD01-Versión 2, la cual tiene fecha de modificación el “23/02/2016”, la Oficina de
Control Interno pudo verificar que en la actividad No. 8 y en el punto de control de la misma
actividad, se hace referencia al formato COFT02:
COFL02 Página 20 de 21
d. Con base en lo anterior, la Oficina de Control Interno verificó el formato COFT02 que aparece en
el mapa de procesos, encontrando que hace referencia a “publicación de Contenidos Intranet”,
el cual no concuerda con el procedimiento en revisión, como se evidencia a continuación.
De acuerdo con lo anterior, la Oficina de Control Interno recomienda muy respetuosamente a la
Oficina de Tecnologías de la Información que se efectúe verificación y seguimiento, ya que al
consultar el procedimiento en el portal web (Mapa de Procesos), el procedimiento no refleja el ajuste
solicitado; en especial lo relacionado con el formato eliminado y anunciado dentro del procedimiento,
así como el ajuste al error que aparece en la “frecuencia” de los puntos de control del mismo, todo
ello en acuerdo con la Oficina Asesora de Planeación, a la que se le remitirá copia de este informe
para el apoyo que considere oportuno brindar, a fin de superar la(s) acción(es) correctiva (s) antes
enunciadas.
COFL02 Página 21 de 21
6. CONCLUSIONES Y RECOMENDACIONES
De acuerdo a las evidencias aportadas y entrevistas sostenidas con la Oficina de Tecnologías de la
Información y en concordancia con las funciones y actividades definidas para esa dependencia, la
Oficina de Control Interno puede concluir que la mencionada dependencia viene realizando las
actividades encaminadas al cumplimiento de los objetivos definidos en su Plan Anual de Gestión;
situación, ha sido fluctuante impidiendo el cumplimiento riguroso de lo planeado, ya que como se
registra en el contenido de este informe, las decisiones y directrices impartidas por la Alta Dirección
y las decisiones tomadas por las dependencias usuarias, han forzado a la Oficina de Tecnologías de
la Información a cambiar las prioridades de sus proyectos, situación que se ve reflejada en el
porcentaje de avance de cumplimiento de los tres indicadores escogidos para esta revisión.
Por la situación que ahora se evidencia, la Oficina de Tecnologías de la Información informa que
actualmente su Plan Anual de Gestión-vigencia 2016 se encuentra en proceso de revisión y ajuste,
modificación que, se espera que para el próximo seguimiento que realizará la Oficina de Control
Interno, pueda ser evidenciado.
De acuerdo con lo informado por la Oficina de Tecnologías de la Información en relación con el Plan
de Mejoramiento formulado mediante NURC 3-2015-021958 del 6 de Noviembre de 2015, sobre la
Auditoría de Calidad efectuada por la Institución en Octubre de 2015, con el cual se remitió el formato
PMFT04 “Solicitud de Acción Correctiva, Preventiva o de Mejora”, la Oficina de Control Interno
recomienda muy respetuosamente que se efectúe verificación y seguimiento, ya que al consultar el
procedimiento en el portal web (Mapa de Procesos), el procedimiento no refleja el ajuste solicitado;
en especial lo relacionado con el formato eliminado y anunciado dentro del procedimiento, así como
el ajuste al error que aparece en la “frecuencia” de los puntos de control del mismo.
A pesar de lo antes mencionado, la Oficina de Control Interno concluye que la dependencia que por
medio de este informe se evalúa, está realizando las actividades programadas para el cumplimiento
de su Plan Anual de Gestión.
La Oficina de Control Interno, en cumplimiento de su Plan Anual de Gestión – Plan Anual de
Auditorías y Seguimientos (PAAS), aprobado para la vigencia 2016 mediante Resolución 2639 de
Diciembre de 2015, realizará nuevo seguimiento a la Oficina de Tecnologías de la Información en el
mes de Julio de 2016, en el cual se incluirán los aspectos relacionados en este informe.
Cordialmente,
JUAN DAVID LEMUS PACHECO
Jefe Oficina de Control Interno
Proyectó: Eddna Dueñas Monsalve, Ingeniera de Sistemas-Oficina de Control Interno