Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Entregable 03
Abril 2015
Contenido
I. Resumen ejecutivo
1. Objetivos y alcance
2. Trabajo realizado
3. Resultados
II. Diagnóstico del Sistema de control interno de SEDAPAL
1. Antecedentes
2. Objetivos y alcance
3. Trabajo realizado
4. Resultados del diagnóstico del Sistema de control interno de SEDAPAL
1. Objetivos y alcance
El objetivo del servicio fue realizar un diagnóstico independiente respecto del grado
de implementación del Sistema de control interno de SEDAPAL, tomando en
consideración la normativa emitida por FONAFE, e identificar los principios de
control interno críticos y recomendaciones para elevar el nivel de implementación
de los mismos.
El alcance del diagnóstico abarcó los 135 puntos de interés establecidos por
FONAFE para los 17 principios del Sistema de control interno establecidos en el
marco de referencia de control interno COSO para los cinco componentes del
Sistema de control interno.
2. Trabajo realizado
Este nivel de madurez, de acuerdo con los lineamientos establecido por FONAFE,
significa que “El proceso de implementación del Sistema de Control Interno se
encuentra suficientemente desarrollado y distintas personas ejecutan más o menos
los mismos procedimientos. No existe una comunicación ni entrenamiento formal
de los procedimientos, y la responsabilidad es individual. Existe una gran
dependencia del conocimiento que tiene el personal y, por tanto existe una
Nivel de Madurez del SCI
probabilidad - Al 2016
de error importante”. Es decir, aún se debe fortalecer el proceso de
implementación de manera que se pueda lograr el grado mínimo requerido de
“Definido” (con un puntaje mínimo de 3.00).
4
Nivel de madurez
3 mínimo esperado
2.36
2
Fortalecer los mecanismos del Código de ética de SEDAPAL para que éste
se constituya en un documento con plena vigencia y permita establecer, de
manera efectiva el tono de la Alta Dirección respecto del compromiso con los
valores éticos. Entre otros, se deberá considerar fortalecer el canal de
denuncias, la conformación efectiva y el rol del Comité de ética, la instauración
de procedimientos para confirmar el conocimiento y adhesión de todo el
personal al Código de ética, y la capacitación y sensibilización periódica
respecto de dicho código.
1. Antecedentes
2. Objetivos y alcance
De acuerdo con los términos de referencia el objetivo del servicio fue realizar un
diagnóstico del estado situacional actual de implementación del Sistema de control
interno de SEDAPAL, considerando la normativa aprobada por FONAFE basada
en el marco de referencia de control interno emitido en el año 2013, “Control
interno - Marco integrado”, por el Committee of Sponsoring Organizations of the
Treadway Commission (COSO), para identificar los principios críticos y sus
correspondientes recomendaciones de cara a fortalecer el Sistema de control
interno de SEDAPAL.
El alcance del diagnóstico abarcó los 135 puntos de interés establecidos por
FONAFE para los 17 principios del Sistema de control interno establecidos en el
marco de referencia de control interno COSO para los cinco componentes del
Sistema de control interno (en adelante también “SCI”).
3. Trabajo realizado
De acuerdo con el Plan de trabajo del servicio, realizado sobre la base de los
términos de referencia, se realizó las siguientes actividades:
4
Nivel de madurez
3 mínimo esperado
2.36
2
De acuerdo con los resultados de la evaluación del nivel de madurez del SCI de
SEDAPAL, la herramienta automatizada asignó el siguiente nivel de criticidad a
los puntos de interés de cada componente del SCI:
Priorización: Para la implementación de las deficiencias para cada punto de interés evaluados
[4 y 5] Baja 23 8 11 10 5 # 57 (42%)
[2 y 3] Media 7 8 3 2 1 # 21 (16%)
[0 y 1] Alta 12 10 18 8 9 # 57 (42%)
42 26 32 20 15 # 135 (100%)
Principio 2: 1.2.13 ¿Se tiene establecido un 1. El Directorio tiene establecido un Comité de auditoría 1. Respecto del Directorio y los comités especializados
Ejerce la responsabilidad programa de actualización profesional que cuenta con lineamientos generales para la de éste:
de supervisión para los miembros de los comités supervisión de reportes financieros, de la gestión de 1.1 Establecer un programa de actualización
especiales conformados? riesgos y control interno y en materia de gobierno profesional para los miembros del Comité de
1.2.17 ¿El Directorio y/o Comité de corporativo. Asimismo, hace seguimiento a las auditoría y otros que se pudiesen conformar,
auditoría dan valor a las denuncias denuncias de casos de fraude que llegan a su sobre la base de una evaluación de posibles
recibidas de terceros y monitorean su atención. brechas respecto de temas específicos que
investigación y seguimiento? deban abordar en el cumplimiento de sus
Sin embargo, se ha observado que: funciones.
Principio 4: 1.4.27 ¿La empresa cuenta con 1. Se ha observado que el Cuadro de asignación de 1. Respecto del compromiso con la competencia del
Demuestra compromiso estudios de carga laboral por área, personal de SEDAPAL no viene resultando suficiente personal:
con la competencia de sus perfiles de cargo, identificación de para dar atención al nivel de sus operaciones; 1.1 Realizar un estudio de cargas de trabajo a fin de
profesionales exceso o carencia de personal en debiendo algunos equipos suplir dichas brechas sustentar técnicamente ante FONAFE el
ciertas áreas o procesos en función al mediante la contratación de servicios de consultoría requerimiento de personal necesario para llevar a
valor agregado? específicos. Esta situación, al margen de los cabo las actividades de cada unidad orgánica.
1.4.31 ¿Existe un procedimiento cuestionamientos laborales que podría generar,
formalizado para evaluar la afecta el desarrollo y conservación del talento. 1.2 Fortalecer los mecanismos establecidos de
competencia profesional y/o el evaluación del personal, de cara a que permitan
desempeño del personal que labora en 2. SEDAPAL cuenta con un procedimiento de verificar y monitorear tanto las competencias
la empresa? evaluación de cumplimiento de metas del personal como el desempeño de cada persona. Entre
1.4.33 ¿La empresa cuenta con asociado a un incentivo económico. Sin embargo, otros se sugiere:
indicadores de rotación del personal? dicho sistema de evaluación no considera factores - Fortalecer el procedimiento de incentivo por
1.4.34 ¿La empresa cuenta con un plan asociados a la calidad en la consecución de las cumplimiento de metas con factores de
de sucesión temporal o permanente metas, aspecto que es observado, principalmente, evaluación que permitan incluir consideraciones
especialmente para cargos críticos? por las jefaturas y gerencias entrevistadas. Asimismo, relacionadas a la calidad del trabajo.
si bien se realiza un ejercicio de evaluación de - Formalizar y poner en práctica efectiva la
competencias, dicha evaluación no es considerada, evaluación de desempeño por competencias del
de manera oficial para la gestión del personal. personal.
3. SI bien SEDAPAL realiza actividades de seguimiento 1.3 Fortalecer las actividades de seguimiento y
y control de movimientos de personal, no cuenta con control de los movimientos de personal (llevadas
indicadores de rotación del personal que le sirva de a cabo por la Gerencia de Recursos Humanos),
insumo para gestionar la retención del personal clave. con indicadores de la rotación del personal a fin
de identificar aspectos relevantes para la
4. Asimismo, debido a que las plazas para funcionarios administración de la retención del personal clave.
son cubiertas mediante concurso, SEDAPAL no ha
establecido mecanismos para gestionar planes de 1.4 Constituir un proceso que permita identificar el
sucesión. En relación con este punto, se ha podido personal clave por el cual se deba desarrollar un
observar que el personal percibe que no existe línea plan de sucesión, y que permita llevar a cabo
de carrera en la empresa. planes de sucesión, de cara a formar al personal
que esté llamado a asumir mayores
responsabilidades. Este proceso permitiría
preparar adecuadamente al personal interno de
SEDAPAL, que conoce la operativa de la
empresa, para postular a los cargos aun cuando
éstos deban postular mediante convocatoria.
b. Evaluación de riesgos:
Principio 11: 3.11.15 ¿La empresa cuenta con un 1. Si bien SEDAPAL cuenta con un Plan estratégico de 1. Respecto de los controles generales sobre la
Selecciona y desarrolla Comité de tecnología de información y tecnologías de información, no cuenta con un Comité tecnología:
controles generales sobre comunicación (u otro equivalente) de tecnologías de información que dé dirección y 1.1 Constituir un Comité de tecnología de información
la tecnología donde participen los principales vigilancia, así como que retenga la responsabilidad encargado de asegurar que la estrategia de
órganos gerenciales, personal del área sobre la estrategia de tecnologías de información. tecnologías de información y su despliegue estén
de tecnología y representante de las alineados con los objetivos de SEDAPAL. Para
área usuarias? 2. SEDAPAL cuenta con una Política de seguridad de ello tendrá responsabilidad sobre: i) la
3.11.20 ¿La empresa cuenta con tecnologías de información y cuenta con un Oficial de priorización de proyectos de TI, ii) la aprobación
políticas y lineamientos de seguridad seguridad de la información que realiza actividades de los proyectos de TI, iii) la planeación
para los sistemas informáticas y de de control para dar cumplimiento a la política. Sin estratégica de TI y el establecimiento de políticas
comunicación (claves de acceso a los embargo, no todos los lineamientos de seguridad de y lineamientos de TI, iv) monitoreo sobre el
sistemas, programas y datos; la política cuentan con procedimientos aprobados que portafolio de proyectos de TI y v) asignación de
detectores y defensas contra accesos permitan llevarla a cabo de manera efectiva. recursos y presupuestos de inversión en TI.
no autorizados, y antivirus; respaldo de
la información; entre otros)? 3. Asimismo, SEDAPAL no cuenta con una metodología Este comité debería estar integrado por el
3.11.21 ¿Se realizan actividades de ni procedimiento formal para el desarrollo de Gerente General, el Gerente de Desarrollo e
control para validar que las solicitudes sistemas de informáticos, el cual contemple los Investigación y el Jefe del Equipo de Tecnologías
de accesos a las aplicaciones controles a lo largo del proceso de desarrollo hasta la de la Información y Comunicación,
corresponden con las listas aprobadas? puesta en producción. conjuntamente con miembros de las unidades
3.11.24 ¿Existe una metodología para orgánicas usuarias con el suficiente nivel de
el desarrollo de los sistemas empoderamiento y visión de gestión sobre éstas;
informáticos? de manera que cuente con el liderazgo suficiente.
3.11.25 ¿La metodología desarrollada
incluye controles sobre los cambios a la 1.2 Fortalecer la política de seguridad de la
tecnología? información con procedimientos específicos a ser
3.11.26 ¿Se seleccionan y ejecutan aplicados sobre las tecnologías de la información.
actividades de control sobre los Dicho fortalecimiento incluirá la formalización de
servicios de Outsourcing, para todos los procedimientos que soporten las
asegurar la integridad, exactitud y políticas de seguridad y que deben ser llevados a
validez de la información entregada y cabo por el Oficial de Seguridad de la información
recibida de los proveedores de y otros funcionarios (cuando corresponda),
servicios? detallando las actividades específicas,
periodicidad de ejecución y la documentación que
sustente su ejecución.
Principio 15: 4.15.17 ¿A los proveedores se les 1. SEDAPAL no pone en conocimiento de sus 1. Respecto dar a conocer a los proveedores el
Se comunica con el exterior comparte el código de ética de la proveedores el código de ética. Código de ética de SEDAPAL, ver recomendación
empresa para que también ayuden a 1.2 relacionada con el Principio 1- Demuestra
garantizar el cumplimiento del código 2. El Directorio a través del Comité de auditoría, toma compromiso con la integridad y los valores éticos:
de ética a interior de la empresa? conocimiento de los resultados de las “Establecer la responsabilidad de dar a conocer el
4.15.19 ¿La información resultante de evaluaciones del nivel de implementación del SCI Código de ética a los proveedores de servicios
las evaluaciones externas sobre las de SEDAPAL. Sin embargo, no se ha establecido externalizados y a posibles socios comerciales de
actividades de la empresa que se los mecanismos que permitan escalar a SEDAPAL”.
relacionan con asuntos de control conocimiento del Directorio otros asuntos
interno son evaluados por la Gerencia relevantes de control interno. 2. Respecto de la evaluación de asuntos de control
y, cuando sea apropiado, comunicados interno por parte del Directorio, ver recomendación
al Directorio y/o Comité de auditoría? 1.2 relacionada con el Principio 2 – Ejerce
responsabilidad de supervisión: “Formalizar un
Reglamento del Directorio en el cual se incluya las
responsabilidades y funciones de monitoreo sobre
gestión, reporte financiero y control interno,
incluyendo todas las acciones de éste requeridas;
así como la facultad de dicho Directorio para
constituir los comités que considere necesarios
para llevar a cabo dichas responsabilidades”;
asimismo, establecer en el Manual de
responsabilidades del equipo institucional de
trabajo de control interno los mecanismos para dar
a conocer los asuntos de control interno relevantes
(y no únicamente los resultados de las
evaluaciones del nivel de implementación del SCI).
Principio Puntos de interés con prioridad alta Diagnóstico Recomendación
3. Adicionalmente, se deberá fortalecer el
procedimiento de atención de centro de contactos
de SEDAPAL con mecanismos que permitan
escalar a los niveles pertinentes los asuntos que
sean comunicados a través de los canales de
entrada y que estén referidos a asuntos de control
interno.
e. Actividades de supervisión: