2arnve017 172.16.1.126 00101 eee TODOS PORUN |] SOO [ele Superior de Administracion Publica NUEVO PAIS 150.180.20.257 Ecouela Superior de Adiinistracion publea-ESAP Radicago.12017-004219 2017-11-21 10:36:19 Envia 190 - OFICINA DE CONTROL INTER Destintari: 109 - DIRECCION RACIONAL ‘Asunto: REMISION INFORME DE AUDITORIA Paginas:16. Anoxos 18 Bogota D.C., 21 de Noviembre de 2017 Doctora CLAUDIA MARCELA FRANCO DOMINGUEZ Directora Nacional (E) Escuela Superior de Administracién Publica - ESAP Asunto Remisién Informe Final de Aucitoria de Evaluacién y Seguimiento proceso de Planeacién Estratégica y Plan de Mejoramiento Respetada doctora Claudia La Oficina de Control Interno, en cumplimiento integral a las funciones encomendadas por la Ley 87 de 1993 y las normas que la desarrollan y reglamentan, remite para su conocimiento y andlisis e! "Informe Final de fa Auditoria de Evaluacion y Seguimiento al proceso de Planeacion Estratégica”, realizada por el equipo auditor de esta dependencia. Es de precisar que el informe fue elaborado de acuerdo alas normas y metodologia de auditoria generalmente aceptadas en el émbito colombiano, dentro del marco de la guia de auditoria para entidades pilblicas versin 2 de octubre de 2015, del Departamento Administrativo de la Funcién Publica, de la guia da auditoria y el cédigo de ética de la OCI. El Informe final de la Auditoria fue dado a conocer el pasado 19 de octubre de la vigencia y de MARIA MAY! REROS PINZON interno ‘Anexos: Informe final de Aucitoria en 14 folios y plan de Mejoramiento en 1 folio Sede Nacional - Bogoté - Calle 44 N° 53 - 37 CAN, PBX: 220 27 90 hup:'www.esap.edu.co htps172.18.1.126:90 108 "TE oD SVALUACION Y§ COMER DOCUMENTOS DE REFERENCIA: DC-E-GE-02 N°. INFORME FINAL: _ — PROCESO/ ACTIVIDAD: RESPONSABLE del PROCESO: Planeacién Estratégica _ | Oficina Asesora de Planeacién LUGAR Y FECHA DE REALIZACION PERIODO A AUDITAR: AUDITORIA: Vigencia 2016 y lo corrido del afio 2017 ESAP - Sede Central Julio de 2017, | EQUIPO AUDITOR: | Camilo Mahecha | Marcela Cardenas Cortés OBJETIVO(S): ealizar la evaluacion y seguimiento a las actividades establecidas en el proceso de Planeacién | | Estrategica — ALCANCE: En el marco de la auditoria se revisa: * Disefio y actualizacion de la planeacién estratégica * Seguimiento a la planeacién estratégica. * Sistema de informacién DECLARACION: La auditoria se realiza con base en el analisis de diferentes muestras aleatorias seleccionadas por los auditores, y se fundamenta en el siguiente soporte documental: expedientes fuente, procesos y procedimientos del Sistema de Gestién, reportes de los sistemas de informacion, cruces y validaciones, pagina web, intranet y normas intemas y externas En aplicacién al Decreto 648 de 2017 Articulo 2.2.21.4.8, la Oficina de Control Interno incorpora los siguientes Instrumentos para la Actividad de la Auditoria Interna: 4, Cédigo de Etica del Auditor Intern que tiene como bases fundamentales, la integridad, objetividad, confidencialidad, conflictos de interés y competencia de éste. 2. Estatuto de auditoria, en el cual se establecen y comunican las directrices fundamentales que definen el marco dentro del cual se desarrollan las actividades de la Oficina de Control Intemo, segiin los lineamientos de las normas internacionales de auditoria COMPROMISO DEL AUDITADO: Carta de representacién en la que se establezca la veracidad, calidad y oportunidad de la entrega de la informacién presentada a las Oficinas de Control Interno. Cédigo RE-E-GE-20 Fecha: 2016/12/12 Pagina 1 de 14 Version 02ae “INFORME DE AUDITORIA INTERNA ges DEEVALUACION Y SEGUIMIENTO DOCUMENTOS DE REFERENCIA: DC-E-GE-02 ANTECEDENTES MARCO NORMATIVO: NORMAS GENERALES: Constitucién Politica de Colombia, Ley 87 de 1993 y sus Decretos Reglamentarios, Ley30 de 1992, Decreto 219 de 2004, Decreto 1083 de 2015, Decreto 943 de 2014, Decreto 648 de 2017. NORMAS ESPECIFICAS: Plan Nacional de Desarrollo del Periodo Vigente, Metodologia del DNP, Ley 182 del 94, Ley 3 del 86, Decreto 1222 del 86, Ley 99 del 93, Ley 101 del 93, Ley 131 del 94, Ley 134 del 94, Ley 136 del 94, Ley 756 del 02, Ley 388 del 97, Ley 549 del 99, Ley 550 del 99, Ley 617 del 2000, Ley 607 del 2000, Ley 655 del 2001, Ley 715 del 2001, Ley 811 del 2003, Ley 812 del 2003, Decreto 1188 del 2003, Ley 819 del 2003, Ley 142 Servicios Publicos, Ley 38 del 89, Decreto 841 del 90, Resolucién 5345 del 93, Documentos CONPES, Documentos de Vision, ISO 9001 Versién Vigente , Decreto 2482, Ley 489, Decreto 2844 de 2010. CONTEXTO GENERAL DE LA AUDITORIA: El proceso de planeacién estratégica liderado por la Direccién Nacional y la Oficina Asesora de Planeaciéntiene como objetivo “Planear y orientar la gestion en el corto, mediano y largo plazo, mediante la identificaci6n y definicién concertada de las prioridades de la ESAP, teniendo en cuenta les politicas nacionales, compromisos internacionales y prioridades del gobierno, a través del seguimiento y evaluacion de resultados" El proceso est compuesto por dos procedimientos, planes instituciones y proyectos de inversién. El despliegue de planes es el siguiente: PND Pian sectoral PB PL Plan de sen Pen operative al ll 5 Fuente: Reinduccién julio de 2017 Codigo RE-E-GE-20 Fecha: 2016/12/12 Pagina 2 de 14 Version 02é€ [Subdireccion Administrative y Financiers — NOMBRE [Adquisicion o eonstruccion y datacion de sedes central y temtoriales de Ia ESAP. Subdireccién Administrative y [Adecuacion mantenimionto de edlflos 8e ESAI _ implementacién de las tecnologia de la Ireferente nacional informacién y comunicacién en la ESAP, un 6.944,000,000) 24.316 000.000) 'Subdireccién de Proyeccién institucional |Actualizacién perfeccionamiento de a capacidad para el fortalecimionto de la gestién publica. ide los funcionarios publices y los cludadancs | 12.486.000.000) [Actualizacion da! recursa humane de la ESAP. 972,948 584) 2.100.000.000] [Mejoramiento de la gestion de la imestigacion | &; [Bubetreceltn Anaienicn (del saber administrative publica a nivel nacional, | 5201-000.000) 7.500.000.000 6 |Subaireccion de Ate Gobieme _[Foralecimiento de las capacidades de os alfos |” eos. e50.000| 76,626,000.000 +6,089,000,000 Inattucional| lorganizaciones sociales dol orden nacional y Ieritora @ |Subcireccién de Proyeccion —_[Msiorament “4.818.363.000| _ 9,000.000.000 7} |Subaieccién de Proyeccion ——[Desarolo del sistema de gestion del alenio TaEa an GRE Institucional humano por competencias nacional | [Acecuaci6n y fortalecimiento cel desarralo. 40 [Subsireccién de Proyeccién institucional de las entidades publicas y er 1} 418.859 000 000) | | 11 |Subaieccion Academics 'Subdireccién de Proyeccion nstitucional ig | Otsina de Planeacion y [Secretaria General Fortalecimiento de la gestion acaderica de 1a 69, apoyo institucional y mercadeo) Fortalecimiento de a efciencia on la gestion |adrministrathva de la ESAP nacional 122.193.970.000 |comuricaciones y uso de tics para los procesos joan 3.242, 500,000) '3,269,593,000) '4.681.000,000) Fuente: won 6sap edu co Total "756, 852,089.446) Los riesgos identificados en la matriz vigente para el proceso de planeacién estratégica son los "246.760.000.000, siguientes: Ty]: | evaluseiin Evaluacln Ress PLT nherente kinabciad | | residual FI. Recortes presupuestales de ley CE. Normatividad presupuestal 1/3] medio |vigente 3] Medio 2. Entrega inoportuna de 2. Enlaces en Tod as reas Informacién 2/3] medio 3] medio FS: Modificaciones permanentes de Planes _y Programas los lanes institucionales basados en las Fichas 3/2) Medio | presupuesto aprobado por el| >|?) Medio Congreso Nota: Ver hallazgo “Debilidades en el diserio de los procesos y riesgos de planeacian™ Cédigo RE-E-GE-20 Fecha: 2016/12/12 Pagina 3 de 14 Version 02DOCUMENTOS DE REFERENCIA: DC-€-GE-02 FORTALEZAS: Durante las vigencias 2016 y 2017, se observa un avance en el registro y generacién de tableros de control para los planes institucionales denominados Plan de Accién, Plan Operativo Anual de Inversion ~ POAI, HALLAZGOS HALLAZGO No. 1 ~ Debilidad en la formulacion de los planes y ausencia de seguimiento al Plan Decenal de Desarrollo Institucional 2010 - 2020 y al Plan estratégico 2015 - 2018 CONTEXTO: De acuerdo a lo establecido en el procedimiento PT-S-PE-06 Planes Institucionales, se define un plan como “Instrumento de gestién que permite describir las actividades necesarias para cumplir los objetivos propuestos, especificando los productos esperados con sus cantidades expresadas en la unidad de medida respectiva, los responsables, las fechas importantes especialmente la culminacién de la actividad, los recursos, y demas aspectos que /a institucién o la dependencia 0 el grupo de trabajo consideren' DESCRIPCION DEL HALLAZGO: Como resultado de la revisién de los planes institucionales, se observaron las siguientes debilidades: a. Formulacién de los planes Plan Decenal de Desarrollo institucional 2010 - 2020 * Si bien el plan decenal contempla una visién al 2020, documentos posteriores como el informe de gestién de la entidad la acortan a 2019. * El despliegue del plan define para cada escenario estratégico diferentes lineas de accion donde se nominan indicadores de medicién y seguimiento, No obstante a lo anterior, no se establece una meta numérica que permita establecer el avance y cumplimiento durante el decenio. Por tal motivo, en lo corrido del decenio, no se puede establecer el grado de avance en el cumplimiento de lo planeado. Plan estratégico 2015 - 2018 + No se observa alineacién directa entre el Plan de Decenal de Desarrollo institucional 2010 = 2020 y el Plan estratégico 2015 — 2018. En ese orden de ideas, los ejes estratégicos que se registran en el Plan Estratégico no son los mismos que se encuentran en el Plan Decenal . Soporte de la formulacién de los planes: En la revisién no se observan documentos que soporten la formulacién de los planes a excepcién del Plan Decenal de Desarrollo institucional. ©. Seguimiento a planes: El “Plan de Decenal de Desarrollo institucional 2010 - 2020" no cuenta con un seguimiento que permita establecer el grado de avance de! mismo Cédigo RE-E-GE-20 Fecha: 2016/12/12 Pagina 4 de 14 Version 02DESCRIPCION DEL RIESGO: + Falta de oportunidad en el cumplimiento del plan + Bajo impacto en los en los planes por baja calidad en el cumplimiento de las actividades. + Fallas 0 inconsistencias en la ejecucién de los planes + Bajo impacto en los proyectos de inversién por omisién de aspectos claves de la definicién de los | planes. RECOMENDACIONES: Se recomienda la construccién de indicadores que permitan la medicién al cumplimiento del plan | decenal, asi como de los objetivos estratégicos de primer nivel y de la Visi6n de la Entidad, en dicha | construcci6n dar especial atencién a la definicién de metas. Adicionalmente, se sugiere documentar y almacenar el desarrollo metodolégico efectuado para el disefio de cada uno de los planes institucionales. RESPUESTA OFICINA ASESORA DE PLANEACION: En primera instancia el PDDI fue formulado en 2010 en una administracién diferente a la actual y no se tiene trazabilidad de su formulacién; por otro lado el seguimiento del PDDI y el PEI se realiza por medio del Plan de Accién como se mostré en la reunién de cierre del 25 de septiembre de los corrientes, alineando las actividades con los objetivos de los planes y demas. Por lo anterior, solicitarnos retirar el Hallazgo N° 1 y aceptaremos las recomendaciones formuladas. RESPUESTA CONTROL INTERNO: Analizada la respuesta suministrada tanto en la comunicacién escrita de respuesta al informe como en lo presentado en la reunién de cierre del 25 de septiembre de 2017, se procede a levantar el hallazgo. Adicionalmente, se acepta que las recomendaciones sean acogidas por la Oficina Asesora de Planeacién toda vez que las debilidades identificadas requieren que en el ejercicio 2020 ~ 2030 se consideren estos aspectos y que desde su inicio se despliegue la estrategia de arriba hacia abajo, generando total coherencia entre los planes y se establezca las mediciones sobre los avances y resultados de lo planeado. HALLAZGO No. 2 - Falla en el control de Formulacién de actualizacién del proyecto “Actualizacién del Recurso Humane de la ESAP" para 2016. CONTEXTO: Como parte del procedimiento PT-S-PE-01 Proyectos de Inversién, se tiene contemplado un control de formulacién que indica “Verificar que ef proyecto formulado se ajuste a lo dispuesto en el articulo 12 del Decreto 2844 de 2010 - cumplimiento de los requisitos para la formulacién de los proyectos le inversién’. Dicho control es efectuado por el Jefe de la Oficina Asesora de Planeacién de la ESAP. DESCRIPCION DEL HALLAZGO: Para el proyecto de *Actualizacién del Recurso Humano de la ESAP", se identificé dentro del contro! | efectuado por la Jefe de la Planeacién para la ficha correspondiente al afio 2016, que para la pregunta referente a los recursos programados, se registré que no aplicaba cuando si era aplicable toda vez que el proyecto se encuentra formulado desde 1996. A continuacién el detalle: Cédigo RE-E-GE-20 Fecha: 2016/12/12 Pagina 5 de 14 Version 02et DOCUMENTOS DE REFERENCIA: DC-E-GE-02 - Pregunta Deseripeién Respuesta {Los recursos que este proyecto esta| El proyecio se esta actualizando de Solictando para la _programacién son | manera coherente, teniendo en cuenta los coherentes con la ejecucién del avance fisico | resultados de la\ ejecucién durante tay 4. registrado en el Sistema de Seguimiento del | vigencia actual y en las vigencias Proyecto de inversion (SPI)? anteriores. Para proyectos nuevos no aplica | Fuente: Informacion extractada de la ficha EB Febrero 23 de 2016 DESCRIPCION del RIESG * Fallas o inconsistencias en la ejecucién de los proyectos de inversion * Bajo impacto en los proyectos de inversion por omisién de aspectos claves de la definicién de los planes, RECOMENDACIONES: Se recomienda la aplicacién de los controles adecuados y su evidencia respectiva que permita asegurar de manera razonable el cumplimiento del articulo 12 del Decreto 2844 de 2010. RESPUESTA OFICINA ASESORA DE PLANEACION: Revisando los reportes emitidos por el aplicativo SUIFP relacionados con la solicitud 1\1°157787 registrada y actualizada el 22 de Febrero de 2016 que modificé el proyecto "Actualizacién del Recurso Humano de la ESAP" asi como el cuestionario que hoy se debe contestar para dar respuesta, nos permitimos informar que en el formulario actualmente establecido no es posible contestar N/A sino solamente a la primera pregunta, las demas son solo de SI 0 NO ya que en la mayoria de los casos el N/A no establecia ningun tipo razonamiento Iégico sobre la respuesta y més si no se hacia ninguna observacién que la explicara, por lo que en el formulario actual optaron solamente por la respuesta afirmativa o negativa como se muestra a continuacién en el cuestionario de un proyecto que no es nuevo: Cédigo RE-E-GE-20 Fecha: 2016/12/12 Pagina 6 de 14 Version 02DOCUMENTOS DE REFERENCIA: DC-E-GE-02 Cédigo RE-E-GE-20 Fecha: 2016/12/12 Pagina 7 de 14 Version 02Por otro lado, se opté por solicitar a la mesa de ayuda del DNP confirmara si en aquella época existia la opcién N/A alo que respondieron afirmativamente, sin embargo dicha respuesta no generé ningun impacto ya que al final el proyecto quedé registrado y actualizado luego del control final dado por DNP con una respuesta positiva a dicha pregunta, ya que estos aspectos relacionados con el "Aseguramiento de la existencia de [os elementos necesarios para llevar a cabo el seguimiento al proyecto” se encuentran en el rol de "Control Posterior de Viabilidad" a cargo del DNP como se muestra a continuadién: CONTROL DE ‘CONTROL DE ‘CONTROL POSTERIOR PORAROOR FORMULACION DEVABIUDAD Cor dni pycnidia | niadescutoras —_eitidaet de nil cial i Ls empha ef pecdarn para epeatar por, paaienicicniniizanss — Tronia ewer sta yoomogarna a pte payeta y “pega (pa de wen atnnade Fin de bor fe ao tehowntcanen di patoy Sine pend ounce kes etttoes Mees Asst wmuenaioacmm Segoe Sp a A wpe ferme pesos res Fuente Manual Médulo BPIN - DNP. Fecha Marzo 2017, Version 10.0 Es importante destacar que "las preguntas cuentan con las siguientes caracteristicas: ¥” Condicionamiento de la respuesta a ser obligatoria en SI para pasar al siguiente filtro Y Obligatoriedad de registro de la observacién relacionada a la pregunta, en algunos casos ¥ Condicionamiento de la respuesta marcada como No, para que restrinja el paso al siguiente filtro (por lo tanto el filtro debera devolver la solicitud). Codigo RE-E-GE-20 Fecha: 2016/12/12 Pagina 8 de 14 Version 02v Algunas preguntas se visualizaran automaticamente de acuerdo a una condicion establecida. Por | ejemplo si el proyecto es nuevo y no ha tenido ejecucion, no se le preguntaran avances en el SPI.” Lo anterior adicionalmente concluye que no se hubiese hecho la pregunta si no aplicara ya que es un control del sistema, se adjunta parte del cuestionario en el item "Seguimiento a proyectos de inversién" en un Proyecto nuevo donde se muestra que no se hace la pregunta de SPI. Los cuestionarios se pueden validar en linea sobre el sistema Por lo anterior, solicitarnos retirar el Hallazgo N° 2 RESPUESTA CONTROL INTERNO: Con base en la respuesta suministrada y tenienclo en cuenta el soporte sobre el error presentado en la generacién de la ficha de Proyecto “Actualizacién de! Recurso Humano de la ESAP" para 2016, se levanta el hallazgo HALLAZGO No. 3 - Herramienta RPG implementada sin el aval de la Oficina de Sistemas e | Informatica | CONTEXTO: De acuerdo a lo indicado en la Circular emitida por la Oficina de Sistemas e Informatica en noviembre de 2016, "...me permito informar que la custodia, administracién y soporte de los sistemas informaticos, bases de datos de los mismos al igual que toda la adquisicién tecnolégica, deberd contar con el aval de la Oficina de Sistemas e informatica...” El anterior lineamiento se ratifica en la Circular emitida por la Oficina de Sistemas e Informatica en marzo de 2016, informando que *...la custodia, administracién y soporte de los sistemas informaticos, bases de datos de los mismos al igual que toda la adquisicién tecnoldgica, deberd contar con el aval de la Oficina de Sistemas 6 Informatica Cédigo RE-E-GE-20 Fecha: 2016/12/12 Pagina 9 de 14 Versién 02INFORME DE AUDITORIA INTERNA _ = _ DE EVALUACION Y SEGUIMIENTO DOCUMENTOS DE REFERENCIA: DC-E-GE-02 YY nuevamente en la Circular remitida porla Direccién Nacional a la ESAP en abril de 2077, indica que con el fin de evitar que las diferentes areas de la entidad adquieran licencias y software sin ningun control y sin contar con el aval de la Oficina de Sistemas e Informatica, se gestionen los debidos conceptos con dicha Oficina, Es de resaltar que es a la Oficina de Sistemas e Informatica a quien corresponde asumir la administraci6n de los mismos. DESCRIPCION DEL HALLAZGO: El aplicativo de Registro, Planeacién y Gestién ~ RPG fue desarrollado in-house bajo la herramienta Access por la Oficina Asesora de Pianeacién sin el aval de Oficina de Sistemas e Informatica. Asi mismo, la herramienta no cuenta con manuales técnicos ni de usuario y al ser desarrollada bajo Access, la herramienta no es segura en linea con lo establecido en las politicas de seguridad de la informacién. Dicha herramienta permite el registro de los Planes de Accién y de Inversién por cada rea asi como del avance de cada uno de ellos. ‘Asi mismo la herramienta presenta debilidades de control como por ejemplo para las modificaciones no autorizadas de los registros de informacién, politicas de back up, entre otros. DESCRIPCION del RIESGO: * Modificacién no autorizada de registros « Pérdida de informacién. * Dependencia de contratista, RECOMENDACION: Se recomienda que la herramienta sea diagnosticada por la Oficina de Sistemas e Informética para | establecer su continuidad 0 implementacién en una nueva herramienta, de tal manera que cumpla con las politicas de la seguridad de la informacién emitidas por la Oficina de Sistemas e Informatica y la Direccién Nacional RESPUESTA OFICINA ASESORA DE PLANEACION: La Oficina de Sistemas e informatica cada afio, genera circulares (se anexa para la vigencia 2017: Circulares N° 011 y N° 064 de 2017) recordando a las diferentes areas y territoriales sus funciones de conformidad al Decreto 219 de 2004 y por lo tanto, la custodia, administracién, y soporte de los sistemas informaticos, bases de datos de los mismos al igual que toda adquisicién tecnolégica debera contar con el aval de ellos, Es preciso aclarar, que los sistemas informaticos y base de datos que actualmente tiene la Oficina Asesora de Planeacién, como el hardware (por ejemplo el servidor 172.16.1.228) y software (por ejemplo las licencias de Microsoft office) estan en custodia y administracién de la Oficina de Sistemas e Informatica. También es de aclarar, que en el caso que nos compete, el RPG es un archivo de Access, el cual hace parte del paquete de aplicaciones de Microsoft Office. | Ahora, frente a su afirmacién que el aplicativo RPG fue desarrollado sin el aval de la Oficina de Sistemas e Informatica, es primordial tener presente, que al definir sistema informatico (como lo sefialan en las diferentes circulares la Oficina de Sistemas e informatica) se sobrentiende como un sistema que permite almacenar y procesar informacién, como el conjunto de partes interrelacionadas: | hardware (que incluye computadoras o cualquier tipo de dispositive electrénico, que consisten en | procesadores, memoria, sistemas de almacenamiento externo, etc.), software (que incluye al sistema _operativo, firmware y aplicaciones, siendo especialmente importante los sistemas de gestion de bases | Cédigo RE-E-GE-20 Fecha: 2016/12/12 Pagina 10 de 14 Version 02seo sce eri DOCUMENTOS DE REFERENCIA: DC-E-GE-02 | de datos) y personal informattico (usuarios que [o utilizan y el soporte humano que incluye, al personal técnico que crean y mantienen el sistema como analistas, programadores, operarios, etc). Asi las cosas, lo desarrollado en la Oficina Asesora de Planeacién es una herramienta informatica, la cual se define como programas, aplicaciones o simplemente instrucciones usadas para efectuar tareas de modo més sencillo, en un sentido amplio del término, podemos decir que una herramienta es cualquier programa o instruccién que facilita una tarea. Por lo tanto el RPG es una herramienta que le facilita @ las areas y territoriales de la Escuela el reporte de los avances de sus actividades que conforman los compromisos institucionales de una forma sencilla, eficaz e intuitiva y a la Oficina Asesora de Planeacién le permite, la consolidacién de la informacién reportada (sus datos se almacenan automaticamente en un archivo en el servidor 172.16.1.228 por lo que estan protegidos de acuerdo a las politicas de seguridad de la informacién definidas por el area responsable). Por lo tanto, se puede entender que son dos simples tareas que se estan facilitando en pro de la efectividad y oportunidad en el reporte y consolidacién de la informacién de la OAP y en general de la ESAP. Frente a su afirmacién que la herramienta no cuenta con manuales técnicos ni de usuario, me permito informar que el proyecto de manual se encuentra para aprobacién e inclusién en el Sistema de Gestion de Calidad; mas sin embargo, es preciso aciarar, que e! RPG fue socializado a los diferentes enlaces de cada drea junto con un instructivo el 3 de octubre de 2016 (Se anexa uno de los correos con el instructivo en la fecha que inicié su aplicacién) y para la presente vigencia, a través de circular Nei 02 de 2017, se dio la instruccién para su utiizacién y se reenvié a los enlaces con el instructive nuevamente. Por ultimo. me permito anexar correos de reunién de la Oficina Asesora de Planeacién con la Subdireccion Administrativa y Financiera y la Oficina de sistemas e Informatica, donde se plasm la | necesidad de la Entidad por un sistema que reemplazara el SIGEB, que permitiera realizar la | planeacion y seguimiento a la planeacién institucional Por lo anterior, solicitarnos retirar el Hallazgo N' 3. RESPUESTA CONTROL INTERNO: Se ratifica el hallazgo. De acuerdo con la respuesta y argumentos presentados, segiin indica la Oficina Asesora de Planeacion, el RPG es una herramienta informatica, la Oficina de Control Interno aclara que el RPG es un desarrollo en el aplicativo de Gestion de Bases de Datos MS Access. En ese | sentido, su configuracién y proceso automatizado que se comunica con la Base de Datos central, hace uso de direcciones (ip’s) y derechos de acceso de uso confidencial, por lo cual debe considerarse como un aplicativo (fue el resultado de una etapa disefio, desarrollo y configuracién previos) para recopilar, almacenar, organizar, consultar informacion, generar reportes y hacer seguimiento a la gestion institucional. Adicionalmente, se reitera la existencia de debilidades de control como por ejemplo para las modificaciones no autorizadas de los registros de informacién, politicas de back up, entre otros, Bajo esta premisa y en linea con la recomendacién presentada por Control interno, el aplicativo debe ser evaluado para establecer su continuidad o implementacion en una nueva herramienta por la Oficina de Sistemas e Informatica, ente responsable de la administracion del hardware, software, comunicaciones y personal de desarrollo que permiten la creacién de este tipo de aplicativos que Cédigo RE-E-GE-20 Fecha: 2016/12/12 Pagina 11 de 14 Version 02DOCUMENTOS DE REFERENCIA: DC-E-GE-02 { operan de manera automatizada y directa los datos institucionales y que cumplan con las politicas de seguridad de la informacién. Finalmente, como lo indican las buenas practicas, todo desarrollo debe contar con manuales técnicos y de usuario. HALLAZGO No. 4 ~ Debilidades en el disefio del proceso y riesgos de planeacién CONTEXTO: En el marco del Sistema de Gestién de Calidad y de las normas que lo soportan, los procesos y procedimientos deben ser documentados. La documentacién debe contemplar los objetivos y las actividades requeridas para su desarrollo. Igualmente, los procesos deben tener métricas que permitan el analisis y mejora de los mismos. En ese sentido se consideran los indicadores de eficiencia, eficacia y efectividad. Por otra parte, la ESAP tiene definido un Sistema de Administracién de Riesgos que inicia con la identificacion de riesgos y controles, evaluacién de riesgos (inherente y residual), establecimiento de planes de mitigacion y monitoreo. En linea con lo anterior, es clave que los procesos cuenten con una identificacién completa y clara de riesgos asi como de los controles implementados para su mitigacién. DESCRIPCION DEL HALLAZGO: De acuerdo a la documentacién vigente del proceso de planeacién se observé que: a. El procedimiento de planes institucionales no incluye actividades de verificacién bajo la responsabilidad del duefio del proceso, Por el contrario, se registré una actividad de control asignada a la Oficina de Control Interno - OCI, aun cuando la OCI desarrolla una actividad de evaluacion independiente, En ese sentido, la primera linea de defensa y el principio de autocontrol se ven afectados. Esta situacién también se refleja en el Manual del proceso de planeacién estratégica. b, El procedimiento de proyectos de inversién no contempla el control de formulacién técnico efectuado por un profesional de la Oficina Asesora de Planeacién. De otra parte, el proceso muestra actividades efectuadas por entes externos a la ESAP, especificamente el Departamento de Planeacién Nacional. c. De otra parte se anota que los indicadores existentes se enfocan al seguimiento de los planes mas no a la operacién misma de planeacién, debilitindose el seguimiento y mejora de la operacién. d. En lo correspondiente a Riesgos, se identifica debilidad en la identificacion y descripcién de riesgos asi como en los controles existentes DESCRIPCION DEL RIESGO: Reprocesos o actividades desarrolladas de manera ineficiente. RECOMENDACION: a. Ajustar y actualizar la documentacién del proceso teniendo en cuenta las definiciones establecidas en el Sistema de Gestién de Calidad b, Establecer, formalizar e implementar los indicadores del proceso de Planeacién. Codigo RE-E-GE-20 Fecha: 2016/12/12 Pagina 12 de 14 Version 02| ¢. Actualizar la matriz de riesgos del proceso de Planeacién teniendo en cuenta las actividades desarrolladas y de acuerdo con la Metodologia de Gestién de Riesgos. Asi mismo, re-evaluar la descripcién de los riesgos y controles existentes. RESPUESTA OFICINA ASESORA DE PLANEACION: En la reunion de cierre del 25 de septiembre de los corrientes se dio la explicacién a cada uno de los siguientes literales, a lo cual, me permito plasmarlo por escrito asi: a. Enel procedimiento de planes y de proyectos se evidencié que los responsables no son acordes y se procedera a actualizar, pero consideramos que es mas un tema de correccién documental como. observacién; de igual forma, se mostré que en el Manual de Apropiaciones, se identifica claramente como es el proceso de aprobaciones. b. El ente rector en seguimiento a los proyectos de inversién es el DNP, por lo cual la ESAP realiza el control de formulacién de acuerdo a los lineamientos dados por ellos en el siguiente link: http://suifp.dnp.gov.coi y pueden visualizar en su manual, el procedimiento para el rol de control de formulacién en el siguiente link: https://su ifp .d np.gov.coidescargas/NotiS u ifpMANUAL_D . U SUARI O BPIN WEB_paf. Por lo tanto las instrucciones especificas y en detalle que brinde el DNP deben ser acogidas e implementadas desde sus manuales de instrucciones y no incorporadas necesariamente de manera literal a los nuestros; sin embargo, se informa que en el Manual de Gestion de Apropiaciones presupuestales DC-A-GF-05 se hace referencia al control de formulacién técnico ‘efectuado por un profesional de la Oficina Asesora de Planeacion. , Como se mostré en el los informes de desempefio institucional y en el informe de rendicién de cuentas, todos los procesos son medidos, realizando su respectivo seguimiento y mejora de ser el caso. d. Los riesgos del area estan en proceso de actualizacién, de acuerdo a los nuevos lineamientos aprobados en el mes de septiembre de 2017. RESPUESTA CONTROL INTERNO: Con base en la respuesta suministrada por la Oficina Asesora de Planeacién, se levanta el hallazgo. No obstante, se sugiere la aplicacién de las recomendaciones presentadas, y particularmente se ajuste el proceso en cuanto a las responsabilidades de actividades y controles para que se adecue a los principios de autocontrol que le debe regir. Nota: el plan de mejoramiento hard parte integral de este informe definitive (formato RE-E-GE-19) RESUMEN DE HALLAZGOS: NP Titulo de hallazgo 1 Herramienta RPG sin manuales de coperacién, Incidencia | Cédigo RE-E-GE-20 Fecha: 2016/12/12 Pagina 13 de 14 Version 02ie hs ESF Oe eer fees ~ DOCUMENTOS DE REFERENCIA: DC-E-GE-02 CONCLUSIONES: El proceso de Planeacién Estratégica es la base fundamental en el direccionamiento de las actividades a desarrollar la ESAP. En ese sentido se resalta la importancia de fortalecer el ejercicio de planeacién en lo correspondiente a la definicién de productos en términos de cantidades. Lo anterior es relevante, toda vez que permite que el despliegue estratégico y su seguimiento establezcan claramente su avance y cumplimiento de los objetivos propuestos, Adicionaimente, es necesario fortalecer la herramienta de registro sobre la gestién de la planeacion puesto que la existente, llamada RPG, presenta debilidades de control y ademas no se encuentra dentro del dominio de la Oficina de Sistemas e Informatica. Finalmente, es clave fortalecer la documentacién del proceso, riesgos y controles. Elabord: Camilo Mahecha Mareots Cardona Cédigo RE-E-GE-20 Fecha: 2016/12/12 Pagina 14 de 14 Version 02