Consultoría para el diagnóstico del Sistema de

Control Interno de SEDAPAL

Entregable 03

Abril 2015
Contenido

I. Resumen ejecutivo
1. Objetivos y alcance
2. Trabajo realizado
3. Resultados
II. Diagnóstico del Sistema de control interno de SEDAPAL
1. Antecedentes
2. Objetivos y alcance
3. Trabajo realizado
4. Resultados del diagnóstico del Sistema de control interno de SEDAPAL

ANEXO I: Encuestas realizadas a Directores y Gerente General

ANEXO II: Encuestas realizadas a Gerentes y Jefes de Equipo
I. Resumen ejecutivo

1. Objetivos y alcance

El objetivo del servicio fue realizar un diagnóstico independiente respecto del grado
de implementación del Sistema de control interno de SEDAPAL, tomando en
consideración la normativa emitida por FONAFE, e identificar los principios de
control interno críticos y recomendaciones para elevar el nivel de implementación
de los mismos.

El alcance del diagnóstico abarcó los 135 puntos de interés establecidos por
FONAFE para los 17 principios del Sistema de control interno establecidos en el
marco de referencia de control interno COSO para los cinco componentes del
Sistema de control interno.

2. Trabajo realizado

Se realizaron las siguientes actividades.

Actividad 1: Relevamiento de información general relacionada a las actividades,

planes y evaluaciones sobre el Sistema de control interno realizados por
SEDAPAL.

Actividad 2: Evaluación del nivel de implementación del Sistema de control interno,

considerando la herramienta automatizada elaborada por FONAFE, para lo cual:
a. Se revisó documentación interna de SEDAPAL que sustenta las acciones
llevadas a cabo por éste para aplicar y dar cumplimiento a cada uno de los
puntos de interés requeridos para cada principio de los componentes del SCI.
b. Se aplicó encuestas para verificar el grado de conocimiento, compromiso y
difusión del SCI a lo largo de la organización.
c. Se realizó entrevistas con el personal clave de ciertas unidades orgánicas para
conocer las acciones llevadas a cabo para dar cumplimiento a los puntos de
interés relacionados con el ámbito de acción de cada una de estas unidades.

Actividad 3: Identificación de los principios críticos y formulación de

recomendaciones para elevar el nivel de implementación de dichos principios
críticos.

Actividad 4: Preparación y presentación del informe final del servicio.

 3. Resultados

El nivel de madurez del Sistema de control interno de SEDAPAL a julio de 2016 ha

sido evaluado como “Repetible” con un puntaje asignado por la herramienta
automatizada de FONAFE de 2.36.

Este nivel de madurez, de acuerdo con los lineamientos establecido por FONAFE,
significa que “El proceso de implementación del Sistema de Control Interno se
encuentra suficientemente desarrollado y distintas personas ejecutan más o menos
los mismos procedimientos. No existe una comunicación ni entrenamiento formal
de los procedimientos, y la responsabilidad es individual. Existe una gran
dependencia del conocimiento que tiene el personal y, por tanto existe una
Nivel de Madurez del SCI
probabilidad - Al 2016
de error importante”. Es decir, aún se debe fortalecer el proceso de
implementación de manera que se pueda lograr el grado mínimo requerido de
“Definido” (con un puntaje mínimo de 3.00).

4
Nivel de madurez
3 mínimo esperado
2.36
2

El nivel de madurez del SCI de SEDAPAL detallado a nivel de componentes del

SCI es como sigue:
 Nivel de Madurez del SCI - Al 2016 2.36 Repetible 47.28%

Ponderado Componente Puntaje Máximo Puntaje * Nivel de Madurez % Cump.**

20% Entorno de Control 5 3.23 Definido 64.51%
20% Evaluación de Riesgos 5 1.74 Inicial 34.89%
20% Actividades de Control 5 1.90 Inicial 38.03%
20% Información y Comunicación 5 2.83 Repetible 56.67%
20% Actividades de Supervisión 5 2.12 Repetible 42.32%
100% * Puntaje Obtenido ** % de Cumplimiento respecto al Puntaje Máximo (5)

Debido a que el control interno es un proceso llevado a cabo por el Directorio, la

Gerencia y el resto del personal, es fundamental que la Alta Dirección de
SEDAPAL asuma un rol de liderazgo que permita empoderar el proceso de
implementación llevado a cabo por los diversos grupos de trabajo y facilitación.

En ese sentido, la implementación de las acciones que deberá considerar

SEDAPAL para elevar el nivel de madurez de los principios críticos identificados,
deberán contar con el involucramiento y respaldo de la Alta Dirección.

A continuación se presenta los principales aspectos que se deberá considerar para

elevar el nivel de madurez de los componentes del Sistema de control interno de
SEDAPAL:

Respecto del componente de Ambiente de control:

 Fortalecer los mecanismos del Código de ética de SEDAPAL para que éste
se constituya en un documento con plena vigencia y permita establecer, de
manera efectiva el tono de la Alta Dirección respecto del compromiso con los
valores éticos. Entre otros, se deberá considerar fortalecer el canal de
denuncias, la conformación efectiva y el rol del Comité de ética, la instauración
de procedimientos para confirmar el conocimiento y adhesión de todo el
personal al Código de ética, y la capacitación y sensibilización periódica
respecto de dicho código.

 Actualizar el Manual de responsabilidades del equipo de trabajo del SCI y

evaluar la fusión de las funciones de capacitador con las de enlace; y realizar
dicha asignación por procesos y no por equipos.

 Fortalecer el rol del Directorio respecto de aspectos de control interno

para los cuales éste debe tener un rol más activo tales como: definición de
apetito y tolerancia al riesgo de SEDAPAL y gestión de riesgos, gestión y
supervisión del riesgo de fraude, monitoreo y mejoramiento de la gestión del
talento, establecimiento de estrategias de supervisión del SCI. Dicho
fortalecimiento se debe concretar mediante capacitaciones especializadas y
mediante la evaluación de la necesidad de conformar comités especializados;
así como, mediante la definición de los roles requeridos en un Reglamento del
Directorio.
 Fortalecer los aspectos relacionados con la gestión del personal
mediante, entre otros, evaluaciones que permitan determinar el verdadero
dimensionamiento del personal requerido, mejorar los procesos de evaluación
tanto del logro de metas como del desempeño y desarrollo de competencias.

Respecto del componente de Evaluación de riesgos:

 Establecer niveles de apetito y tolerancia al riesgo que sirvan de parámetro

explícito tanto para el establecimiento de objetivos y metas, como para el
despliegue de la gestión de los riesgos a los que estaría expuesto SEDAPAL
en la ejecución de las actividades tendientes a lograr sus objetivos.
Actualmente, si bien se viene realizando un ejercicio de identificación de
riesgos, ésta identificación de riesgos y su consiguiente gestión de los riesgos
no se realiza tomando con referencia un parámetro homogéneo y establecido
de tolerancia al riesgo,

 Constituir un Comité de riesgos con el empoderamiento adecuado para

permitir el despliegue de la evaluación y gestión de los riesgos de SEDAPAL.

 Establecer metodologías detalladas para la identificación, valoración,

gestión y seguimiento de riesgos; así como para la administración de los
riesgos de fraude, la cual soporte de manera técnica la labor realizada por el
equipo de antifraude considerando, entre otros: i) los factores de riesgo; ii) las
responsabilidades y protocolos de comunicación a los distintos niveles de la
organización.

 Establecer lineamientos y responsables para llevar a cabo un proceso formal

de identificación y evaluación de cambios significativos a los cuales se
encuentra expuesta la organización, así como protocolos de comunicación a
los niveles adecuados para dar gestión a los mismos.

Respecto del componente de Actividades de control:

 Desplegar un programa de fortalecimiento de control para los procesos

clave del negocio que permita desplegar, de manera orgánica, las respuestas a
los riesgos claves identificados. En este proceso, el rol de la Alta Dirección es
fundamental, para poder implantar los cambios necesarios tales como: i)
aprobar el mapa de procesos sobre la base de la cadena de valor que
establezca los procesos misionales, estratégicos y de soporte; ii) establecer los
procesos críticos, iii) establecer dueños de controles, iv) modificar los
lineamientos para la documentación de los procesos de forma que estos
permitan documentar adecuadamente las actividades de control con
responsables, periodicidad de ejecución, documentación de sustento y
supervisión de ejecución.

 Asimismo, se deberá conformar un Comité de tecnologías de información

con el nivel de empoderamiento suficiente que permita establecer, desplegar y
 monitorear las estrategias de tecnologías de información y comunicación, las
cuales soportan los procesos de SEDAPAL y su control interno.

 Fortalecer los lineamientos de seguridad de información con

procedimientos específicos que establezcan responsables, periodicidad de
ejecución y documentación de sustento de la ejecución.

Respecto del componente de Información y comunicación:

 Llevar a cabo un proceso de identificación de la información relevante para

o Implementar y dar soporte a cada uno de los cinco componentes del
Sistema de control interno, y
o Que permita desplegar una adecuada supervisión respecto de la existencia
y funcionamiento de los mismos cinco componentes del Sistema de control
interno.

Respecto del componente de Actividades de supervisión:

 Implementar, de manera orgánica, evaluaciones continuas y evaluaciones

puntuales independientes, sobre la base del entendimiento del diseño del
Sistema de control interno en SEDAPAL y haciendo uso de la información
relevante identificada que soporta la existencia y funcionamiento de cada uno
de los cinco componente del Sistema de control interno.
II. Diagnóstico del Sistema de control interno de SEDAPAL

1. Antecedentes

SEDAPAL es una empresa estatal de derecho privado íntegramente de propiedad

del Estado que se encuentra bajo el ámbito del Fondo Nacional de Financiamiento
de la Actividad Empresarial del Estado - FONAFE.

Mediante el lineamiento corporativo “Sistema de control interno para las empresas

bajo el ámbito de FONAFE” aprobado en diciembre de 2015, FONAFE estableció
los lineamientos para impulsar la implementación del Sistema de control interno,
los cuales deben ser adoptados por las empresas bajo su ámbito. Dichos
lineamientos establecen las responsabilidades y mecanismos para la
implementación del Sistema de control interno de las empresas. Asimismo, en
diciembre de 2015 mediante el manual corporativo “Guía para la evaluación del
sistema de control interno” estableció la metodología a seguir por las empresas
bajo su ámbito para evaluar el Sistema de Control interno.

SEDAPAL de cara a dar cumplimiento con los documentos arriba mencionados,

requirió contar con un diagnóstico independiente del grado de implementación de
su Sistema de control interno, el cual le permita identificar los principios críticos a
los cuales dar atención para elevar su nivel de cumplimiento.

2. Objetivos y alcance

De acuerdo con los términos de referencia el objetivo del servicio fue realizar un
diagnóstico del estado situacional actual de implementación del Sistema de control
interno de SEDAPAL, considerando la normativa aprobada por FONAFE basada
en el marco de referencia de control interno emitido en el año 2013, “Control
interno - Marco integrado”, por el Committee of Sponsoring Organizations of the
Treadway Commission (COSO), para identificar los principios críticos y sus
correspondientes recomendaciones de cara a fortalecer el Sistema de control
interno de SEDAPAL.

El alcance del diagnóstico abarcó los 135 puntos de interés establecidos por
FONAFE para los 17 principios del Sistema de control interno establecidos en el
marco de referencia de control interno COSO para los cinco componentes del
Sistema de control interno (en adelante también “SCI”).

3. Trabajo realizado

De acuerdo con el Plan de trabajo del servicio, realizado sobre la base de los
términos de referencia, se realizó las siguientes actividades:

Actividad 1: Relevamiento de información

Se realizó el relevamiento de la información relacionada a las actividades, planes y
evaluaciones sobre el Sistema de control interno realizados por SEDAPAL,
considerando los cinco componentes y diecisiete principios del modelo COSO
aprobada por FONAFE (“Lineamiento corporativo sistema de control interno para
las empresas bajo el ámbito de FONAFE” y la “Guía para la evaluación del sistema
de control interno”).

Como resultado de dicha actividad se obtuvo un conocimiento general de la

organización y acciones llevadas a cabo por SEDAPAL para el despliegue de su
SCI, y se emitió el Plan de trabajo.

Actividad 2: Evaluación del nivel de implementación del Sistema de control interno

Se realizó la evaluación del nivel de implementación del Sistema de control interno

de SEDAPAL, considerando la herramienta automatizada elaborada por FONAFE
y que forma parte del Manual corporativo “Guía para la evaluación del Sistema de
Control Interno” aprobada por FONAFE en diciembre de 2015.

Como parte de dicha evaluación:

a. Se solicitó y revisó la documentación interna de SEDAPAL que sustenta las

acciones llevadas a cabo por éste para aplicar y dar cumplimiento a cada uno
de los puntos de interés requeridos para cada principio de los componentes del
SCI.
b. Se aplicó encuestas para verificar el grado de conocimiento, compromiso y
difusión del SCI a lo largo de la organización. Dichas encuestas incluyeron
preguntas respecto de cada uno de los 17 principios del sistema de control
interno, y fueron aplicadas a los siguientes grupos de interés:
- Directores (5)
- Gerentes (12)
- Jefes de equipo (16)
c. Se realizó entrevistas con el personal clave de ciertas unidades orgánicas para
conocer las acciones llevadas a cabo para dar cumplimiento a los puntos de
interés relacionados con el ámbito de acción de cada una de estas unidades.
Las unidades orgánicas en las que se realizó entrevistas fueron las siguientes:
- Gerencia de Auditoría Interna.
- Gerencia de Finanzas.
- Gerencia de Gestión de Aguas Residuales.
- Gerencia de Investigación y Desarrollo.
- Gerencia de Logística y Servicios.
- Gerencia de Producción y Distribución Primaria.
- Gerencia de Proyectos y Obras.
- Gerencia de Recursos Humanos.
- Equipo de Comunicación Institucional.
- Equipo de Gestión Institucional.
- Equipo de Gestión Comercial y Micromedición.
- Equipo de Gestión Legal y Administrativa.
 - Equipo de Planeamiento Operativo y Financiero.
- Equipo de Tecnología de la Información y Comunicación.

Actividad 3: Identificación de los principios críticos y formulación de

recomendaciones para dichos principios críticos

Como resultado de la evaluación del nivel de implementación de cada principio del

SCI realizado haciendo uso de la herramienta automatizada, se obtuvo los
principios críticos y se formuló recomendaciones para elevar el nivel de
implementación de los mismos.

Actividad 4: Preparación y presentación del informe final del servicio.

Sobre la base de los resultados obtenidos en las actividades precedentes, se

procedió a compilar dichos resultados y preparar el presente informe final, el cual
detalla: i) el nivel de madurez del SCI, ii) los resultados de las evaluaciones a cada
principio, identificando aquellos que resultaron críticos y iii) las recomendaciones
para elevar el nivel de implementación de los principios críticos.
4. Resultados del diagnóstico del Sistema de control interno de SEDAPAL

4.1 Nivel de madurez del Sistema de control interno de SEDAPAL

Como resultados del diagnóstico realizado, se determinó que el nivel de madurez

del Sistema de control interno de SEDAPAL a julio de 2016 es Repetible, según
se muestra en el siguiente cuadro obtenido de la herramienta automatizada de
FONAFE.

Nivel de Madurez del SCI - Al 2016 2.36 Repetible 47.28%

Ponderado Componente Puntaje Máximo Puntaje * Nivel de Madurez % Cump.**

20% Entorno de Control 5 3.23 Definido 64.51%
20% Evaluación de Riesgos 5 1.74 Inicial 34.89%
20% Actividades de Control 5 1.90 Inicial 38.03%
20% Información y Comunicación 5 2.83 Repetible 56.67%
20% Actividades de Supervisión 5 2.12 Repetible 42.32%
100% * Puntaje Obtenido ** % de Cumplimiento respecto al Puntaje Máximo (5)

De acuerdo con los lineamientos establecidos por FONAFE en la Guía para la

evaluación del SCI, un nivel de madurez repetible significa que: “El proceso de
implementación del Sistema de Control Interno se encuentra suficientemente
desarrollado y distintas personas ejecutan más o menos los mismos
procedimientos. No existe una comunicación ni entrenamiento formal de los
procedimientos, y la responsabilidad es individual. Existe una gran dependencia
del conocimiento que tiene el personal y, por tanto existe una probabilidad de error
importante.”
Nivel de Madurez del SCI - Al 2016

4
Nivel de madurez
3 mínimo esperado
2.36
2

A continuación se detalla el nivel de madurez obtenido por cada principio

correspondiente a cada componente del Sistema de control interno de SEDAPAL.
 Nivel de Madurez del Sistema de Control Interno 2.36 Repetible % Cump.*

ENTORNO DE CONTROL 3.23 Definido 64.51%

Principio 1: Demuestra compromiso con la integridad y los valores éticos 1.73 Inicial 34.55%
Principio 2: Ejerce la responsabilidad de supervisión 3.33 Definido 66.67%
Principio 3: Establece estructuras, autoridad y responsabilidades 4.14 Gestionado 82.86%
Principio 4: Demuestra compromiso con la competencia de sus profesionales 2.80 Repetible 56.00%

Principio 5: Aplica la responsabilidad por la rendición de cuentas 4.13 Gestionado 82.50%

EVALUACIÓN DE RIESGOS 1.74 Inicial 34.89%

Principio 6: Especifica objetivos adecuados 3.88 Definido 77.50%
Principio 7: Identifica y analiza el riesgo 1.77 Inicial 35.38%
Principio 8: Evalúa el riesgo de fraude 1.00 Inicial 20.00%
Principio 9: Identifica y analiza los cambios significativos 0.33 Inexistente 6.67%

ACTIVIDADES DE CONTROL 1.90 Inicial 38.03%

Principio 10: Selecciona y desarrolla actividades de control 2.08 Repetible 41.54%
Principio 11: Selecciona y desarrolla controles generales sobre la tecnología 2.46 Repetible 49.23%
Principio 12: Despliega políticas y procedimientos 1.17 Inicial 23.33%

INFORMACIÓN Y COMUNICACIÓN 2.83 Repetible 56.67%

Principio 13: Utiliza información relevante 2.00 Repetible 40.00%
Principio 14: Se comunica internamente 3.30 Definido 66.00%

Principio 15: Se comunica con el exterior 3.20 Definido 64.00%

ACTIVIDADES DE SUPERVISIÓN 2.12 Repetible 42.32%

Principio 16: Realiza evaluaciones continuas y/o independientes 1.38 Inicial 27.50%
Principio 17: Evalúa y comunica deficiencias 2.86 Repetible 57.14%

4.2 Principios críticos y recomendaciones

De acuerdo con los resultados de la evaluación del nivel de madurez del SCI de
SEDAPAL, la herramienta automatizada asignó el siguiente nivel de criticidad a
los puntos de interés de cada componente del SCI:

Priorización: Para la implementación de las deficiencias para cada punto de interés evaluados

Entorno de Evaluación de Actividades de Información y Actividades de

Valor TOTAL
Control Riesgos Control Comunicación Supervisión

[4 y 5] Baja 23 8 11 10 5 # 57 (42%)

[2 y 3] Media 7 8 3 2 1 # 21 (16%)

[0 y 1] Alta 12 10 18 8 9 # 57 (42%)

42 26 32 20 15 # 135 (100%)

Sobre la base de dicha priorización, se ha identificado los siguientes principios

críticos para los cuales formulamos recomendaciones a fin de elevar su nivel de
implementación:
a. Entorno de control:
Principio Puntos de interés con prioridad alta
Principio 1: 1.1.4 ¿El código de ética se da a 1. Si bien SEDAPAL cuenta con un Código de ética que 1. Respecto del Código de ética y su adecuado
Demuestra compromiso conocer a otras personas con las que
con la integridad y valores se relaciona la empresa?
éticos 1.1.5 ¿La empresa solicita por escrito,
periódicamente, a aceptación formal
del compromiso de cumplir con el
Código de ética o el de conducta por
parte de todo el personal sin distinción
de jerarquías?
1.1.6 ¿El Código de ética y/o el de
conducta están incluidos en el plan
anual de capacitación de la empresa?
1.1.8 ¿Todo el personal incluyendo
órganos gerenciales, son sujetos
periódicamente a una confirmación de
conocimiento y adhesión al Código de
ética o el de conducta de la empresa?
1.1.11 ¿Se tiene establecido instancias
superiores donde se informa el estado
que guarda la atención de las
investigaciones de las denuncias por
actos contrarios a la ética y conducta
que involucran al personal de la
empresa?
2. SEDAPAL formalizó una estructura de grupos de
Diagnóstico
establece los valores éticos de la institución y los
mecanismos para denunciar y sancionar las faltas a
dichos valores, y el código se da a conocer al
personal nuevo mediante el programa de inducción;
se observa que:
1.1 El canal de denuncias establecido (denuncia
mediante carta formal no anónima dirigida a la
Gerencia General) no es conocido por el
personal, ni ha sido utilizado desde su entrada en
vigencia en el año 2010.
1.2 El procedimiento administrativo disciplinario
establecido para dar sanción a los actos
contrarios a la ética no se ha puesto en vigencia.
1.3 El Comité de ética, encargado de evaluar los
casos de violaciones a los actos contrarios a la
ética nunca ha sido conformado.
1.4 El Código de ética no se da a conocer a terceros
con los que SEDAPAL entabla relaciones de
negocio como proveedores de servicios
externalizados.
1.5 La difusión a través de la intranet no permite al
trabajador tener acceso directo al texto vigente
del Código.
1.6 No se solicita confirmaciones periódicas formales
a todo el personal, respecto del conocimiento y
adhesión a los valores éticos de SEDAPAL.
1.7 El Plan de fortalecimiento de capacidades de
SEDAPAL no contempla capacitaciones de
reforzamiento a todo el personal respecto del
Código de ética.
trabajo para el SCI, estableciendo las
responsabilidades de los tres grupos de trabajo
requeridos en su momento por FONAFE (directivo,
operativo y evaluador). Sin embargo, si bien
SEDAPAL ha formalizado la conformación del nuevo
equipo de trabajo del SCI (ahora Comité de Gerentes, 2. Asimismo, respecto de la normativa en materia de
Equipo Implementador, y Equipo Evaluador), el
Manual de responsabilidad del equipo institucional de
trabajo del SCI no ha sido actualizado recogiendo
esta nueva conformación y ratificando las
responsabilidades correspondientes a cada grupo.
Recomendaciones
funcionamiento:
1.1 Considerar en la actualización del Código de ética
aspectos para mejorar los mecanismos vigentes
de difusión sobre la base de una evaluación de
qué tan útiles han resultado desde su entrada en
vigencia, tales como:
- El canal de denuncias (evaluar la
implementación de mecanismos más efectivos
como una línea ética o un buzón electrónico que
podrían ser administrados internamente o
tercerizados con empresas especializadas).
- El procedimiento administrativo disciplinario y el
rol efectivo del Comité de Ética.
1.2 Establecer la responsabilidad de dar a conocer el
Código de ética a los proveedores de servicios
externalizados y a posibles socios comerciales de
SEDAPAL, como parte de los acuerdos de
negocio que se firmen, de forma que éstos que
éstos conozcan y acepten conducir los negocios
acordados siguiendo los lineamientos éticos de
SEDAPAL.
1.4 Permitir un acceso directo al texto vigente del
código de ética en la intranet de SEDAPAL.
1.3 Realizar una confirmación periódica formal, a todo
el personal de SEDAPAL, respecto del
conocimiento, aceptación y adhesión a los
principios éticos y lineamientos establecidos en el
Código de ética; la cual podría ser gestionada por
la Gerencia de Recursos Humanos.
1.4 Incluir formalmente como parte del Plan de
fortalecimiento de capacidades, capacitaciones
sobre el Código de ética de SEDAPAL a ser
realizadas por el equipo de Capacitación. Estas
actividades de capacitación deberán considerar a
todo el personal de todo nivel, y deberán hacer
énfasis en los mecanismos establecidos para su
adecuado funcionamiento (canal de denuncias,
procedimiento y responsables).
control interno:
2.1 Actualizar el Manual de responsabilidades del
equipo institucional de trabajo de control interno
de manera que:
- Se recoja la estructura actual del Equipo
 Principio Puntos de interés con prioridad alta
Principio 2: 1.2.13 ¿Se tiene establecido un 1. El Directorio tiene establecido un Comité de auditoría 1. Respecto del Directorio y los comités especializados
Ejerce la responsabilidad programa de actualización profesional que cuenta con lineamientos generales para la
de supervisión para los miembros de los comités
especiales conformados?
1.2.17 ¿El Directorio y/o Comité de
auditoría dan valor a las denuncias
recibidas de terceros y monitorean su atención.
investigación y seguimiento?
Diagnóstico
Asimismo, se ha encargado a ciertos empleados de
la organización las funciones de “instructores” y a
otros las funciones de “enlaces de control interno”.
Éstos últimos vienen realizando labores de nexo
entre el equipo facilitador del SCI (personal del
Equipo de Gestión Institucional - EGI) y sus
respectivos equipos orgánicos. Sin embargo, se ha
observado que el personal de enlace no tiene claro
los objetivos de la implementación del SCI y su
relación con el quehacer propio de sus equipos
orgánicos, encargándose únicamente de compilar la
información requerida periódicamente por el personal
del EGI para la evaluación de implementación del
SCI.
de éste:
supervisión de reportes financieros, de la gestión de 1.1 Establecer un programa de actualización
riesgos y control interno y en materia de gobierno
corporativo. Asimismo, hace seguimiento a las
denuncias de casos de fraude que llegan a su
Sin embargo, se ha observado que:
1.2 No se tiene establecido un programa de
actualización profesional para los miembros del
Directorio que permita capacitarlos en aspectos
específicos relacionados con las funciones
encargadas al comité de auditoría u otros que
pudiese conformar (p.e. aspectos relacionados
con el marco de control interno COSO, conceptos
y lineamientos para definir el apetito y tolerancia
al riesgo, consideraciones respecto de los
factores que exponen a las organizaciones al
riesgo de fraude, entre otros).
1.2 No se cuenta con un Reglamento del Directorio
que compile y detalle todas las
responsabilidades y funciones de monitoreo
sobre la gestión, reporte financiero y control
interno que le competen y para las cuales podría
conformar comités especializados (p.e.
monitorear las denuncias de fraudes relacionados
con temas no solo de aspectos contables sino de
todo aspecto relacionado con control interno,
Recomendaciones
institucional de trabajo del SCI.
- Se incorpore las responsabilidades de los
instructores y enlaces de control interno.
2.2 Fusionar la función de instructores con la de
enlaces de control interno, de cara a fortalecer
dichas funciones y lograr eficiencias en el
despliegue del SCI al interior de cada Equipo.
Asimismo, reformular la designación de enlaces
de control interno por unidad orgánica a enlaces
de control interno por procesos.
2.3 Establecer una capacitación especializada para
los enlaces de control interno a fin de que éstos
comprendan el porqué de las actividades
desplegadas y evaluadas en sus respectivos
Equipos, así como, que puedan fungir
cabalmente de facilitadores y concientizadores al
interior de sus respectivos equipos.
profesional para los miembros del Comité de
auditoría y otros que se pudiesen conformar,
sobre la base de una evaluación de posibles
brechas respecto de temas específicos que
deban abordar en el cumplimiento de sus
funciones.
1.2 Formalizar un Reglamento del Directorio en el
cual se incluya las responsabilidades y funciones
de monitoreo sobre gestión, reporte financiero y
control interno, incluyendo todas las acciones de
éste requeridas; así como la facultad de dicho
Directorio para constituir los comités que
considere necesarios para llevar a cabo dichas
responsabilidades.
1.3 Adicionalmente, evaluar la necesidad de
conformar comités de Directorio adicionales, en
función a la naturaleza y tamaño de las
operaciones de SEDAPAL, así como de los
requerimientos legales vigentes que le sean
aplicables.
 Principio Puntos de interés con prioridad alta Diagnóstico
operacional o de cumplimiento, que atenten
contra la ética y la imagen de SEDAPAL).
Principio 4: 1.4.27 ¿La empresa cuenta con 1. Se ha observado que el Cuadro de asignación de 1. Respecto del compromiso con la competencia del
Demuestra compromiso estudios de carga laboral por área, personal de SEDAPAL no viene resultando suficiente
con la competencia de sus perfiles de cargo, identificación de para dar atención al nivel de sus operaciones;
profesionales exceso o carencia de personal en debiendo algunos equipos suplir dichas brechas
ciertas áreas o procesos en función al mediante la contratación de servicios de consultoría
valor agregado? específicos. Esta situación, al margen de los
1.4.31 ¿Existe un procedimiento cuestionamientos laborales que podría generar,
formalizado para evaluar la afecta el desarrollo y conservación del talento.
competencia profesional y/o el
desempeño del personal que labora en 2. SEDAPAL cuenta con un procedimiento de
la empresa? evaluación de cumplimiento de metas del personal
1.4.33 ¿La empresa cuenta con asociado a un incentivo económico. Sin embargo,
indicadores de rotación del personal? dicho sistema de evaluación no considera factores
1.4.34 ¿La empresa cuenta con un plan asociados a la calidad en la consecución de las
de sucesión temporal o permanente metas, aspecto que es observado, principalmente,
especialmente para cargos críticos? por las jefaturas y gerencias entrevistadas. Asimismo,
si bien se realiza un ejercicio de evaluación de
competencias, dicha evaluación no es considerada,
de manera oficial para la gestión del personal.
3. SI bien SEDAPAL realiza actividades de seguimiento
y control de movimientos de personal, no cuenta con
indicadores de rotación del personal que le sirva de
insumo para gestionar la retención del personal clave.
4. Asimismo, debido a que las plazas para funcionarios
son cubiertas mediante concurso, SEDAPAL no ha
establecido mecanismos para gestionar planes de
sucesión. En relación con este punto, se ha podido
observar que el personal percibe que no existe línea
de carrera en la empresa.
Recomendaciones
personal:
1.1 Realizar un estudio de cargas de trabajo a fin de
sustentar técnicamente ante FONAFE el
requerimiento de personal necesario para llevar a
cabo las actividades de cada unidad orgánica.
1.2 Fortalecer los mecanismos establecidos de
evaluación del personal, de cara a que permitan
verificar y monitorear tanto las competencias
como el desempeño de cada persona. Entre
otros se sugiere:
- Fortalecer el procedimiento de incentivo por
cumplimiento de metas con factores de
evaluación que permitan incluir consideraciones
relacionadas a la calidad del trabajo.
- Formalizar y poner en práctica efectiva la
evaluación de desempeño por competencias del
personal.
1.3 Fortalecer las actividades de seguimiento y
control de los movimientos de personal (llevadas
a cabo por la Gerencia de Recursos Humanos),
con indicadores de la rotación del personal a fin
de identificar aspectos relevantes para la
administración de la retención del personal clave.
1.4 Constituir un proceso que permita identificar el
personal clave por el cual se deba desarrollar un
plan de sucesión, y que permita llevar a cabo
planes de sucesión, de cara a formar al personal
que esté llamado a asumir mayores
responsabilidades. Este proceso permitiría
preparar adecuadamente al personal interno de
SEDAPAL, que conoce la operativa de la
empresa, para postular a los cargos aun cuando
éstos deban postular mediante convocatoria.
b. Evaluación de riesgos:
Principio
Principio 7:
Identifica y analiza el riesgo
Puntos de interés con prioridad alta
2.7.12 ¿La empresa tiene identificados 1. SEDAPAL cuenta con una Política de gestión de 1. Respecto de la identificación y análisis de riesgos:
los riesgos que pudieran afectar el
cumplimiento de sus objetivos y metas?
2.7.19 ¿En el proceso de evaluación de
riesgos se analizan las fallas en los
controles que puedan haber provocado
en el pasado la pérdida de recursos,
errores en la información
incumplimientos legales o normativos?
2.7.20 ¿Para los riesgos identificados y Sin embargo, respecto del despliegue efectivo de la
evaluados según su importancia, la
empresa ha determinado y formalizado
la respuesta a cada uno de los
mismos?
2.7.21 ¿El proceso de administración
de riesgos es iterativo, de manera que
cuando un riesgo residual exceda los
niveles de tolerancia al riesgo para
cualquiera de las categorías de
objetivos, la respuesta al riesgo es
redefinida?
Diagnóstico
riesgos y un procedimiento de Gestión planificada de
riesgos, los cuales establecen las políticas y
lineamientos generales, así como las
responsabilidades para la gestión de los riesgos.
Asimismo, se viene llevando a cabo ejercicios de
evaluación de riesgos soportados en una herramienta
o electrónica.
gestión de riesgo:
1.1 No se ha formalizado niveles de apetito y
tolerancia al riesgo.
1.2 Se observa que el Comité de riesgos que se
enuncia en los documentos mencionados no
involucra a miembros del Directorio.
1.3 Asimismo, dicho comité no ha sido conformado
de manera efectiva, de manera que apruebe los
niveles de apetito y tolerancia al riesgo, ni los
riesgos y respuestas al riesgo.
1.3 No se cuenta con una metodología detallada para
la identificación, valoración, respuesta y
monitoreo de los riesgos.
Recomendación
1.1 La Alta Dirección deberá establecer y formalizar
los niveles de apetito y tolerancia al riesgo, de
forma que sirvan:
- De parámetro objetivo en el proceso de
formulación de los objetivos, metas y
estratégicas.
- De punto de referencia para el despliegue del
proceso de evaluación de los riesgos a los que
está expuesto SEDAPAL para el logro de sus
objetivos.
1.2 Conformar el Comité de Riesgos, el cual deberá
incluir en su conformación a miembros del
Directorio y al Gerente General para dotarlo del
suficiente empoderamiento que le permita dar
soporte al despliegue de manera formal a las
actividades de gestión de riesgos. Entre otros:
- Aprobar los niveles de apetito y tolerancia al
riesgo sobre los cuales se gestionará los riesgos
de SEDAPAL.
- Aprobación de los riesgos identificados, su
idoneidad y nivel de identificación.
- Aprobación de los niveles de riesgo inherente
evaluados, tomando como referencia el nivel de
tolerancia al riesgo.
- Aprobación de las estrategias de gestión del
riesgo y el nivel de riesgo residual esperado, el
cual deberá estar de acuerdo con el nivel de
tolerancia al riesgo.
1.3 Fortalecer los lineamientos metodológicos para
identificación y análisis de riesgos, de manera
que éstos:
- Consideren la evaluación de eventos que
pueden dar origen a los riesgos identificados, de
cara a gestionar adecuadamente la probabilidad
e impacto teniendo en consideración dichos
eventos.
- Consideren el nivel de tolerancia al riesgo
(previamente establecido por la Alta Dirección)
como parámetro para la evaluación de los
riesgos.
- Consideren la formulación de una base de datos
de eventos que alimente, progresivamente, el
proceso de identificación y valoración de los
riesgos.
 Principio Puntos de interés con prioridad alta Diagnóstico Recomendación
Principio 8: 2.8.22 ¿Se cuenta con alguna política, 1. SEDAPAL cuenta con una unidad orgánica de 1. Respecto de la evaluación del riesgo de fraude en
Evalúa el riesgo de fraude procedimiento, manual o guía en el que Prevención de fraude que realiza investigaciones SEDAPAL se deberá formalizar una metodología
se establezca la metodología para relacionadas con posibles fraudes y que son para la administración de los riesgos de fraude, la
administrar los riesgos de fraude y la elevadas a conocimiento de la Gerencia General. Sin cual soporte de manera técnica la labor realizada por
obligatoriedad de realizar la revisión embargo, no se cuenta con una metodología técnica el equipo de antifraude considerando, entre otros:
periódica de las áreas susceptibles a para la administración de los riesgos de fraude a nivel - Los factores de riesgo.
posibles actos de fraude, para de toda la organización. - Las responsabilidades y protocolos de
garantizar que están operando comunicación a los distintos niveles de la
adecuadamente? organización.
2.8.23 En la empresa, con el apoyo, en
su caso, de las instancias
especializadas (Comité de ética,
Comité de riesgos, etc.) ¿se identifica,
analiza y da respuesta al riesgo de
fraude y contrarios a la integridad en
todos los procesos que lleva a cabo?
Principio 9: 2.9.24 ¿Cuenta la empresa con un 1. Si bien la Gerencia General y el Directorio realizan 1. Respecto de la identificación y análisis de los
Identifica y analiza los proceso para identificar, comunicar y evaluaciones sobre el impacto en la organización que cambios significativos que afecten la organización, se
cambios significativos evaluar cambios en los factores podrían tener los cambios significativos de los que deberá establecer un proceso formal (el cual puede
internos y externos que pueden toman conocimiento, no existe un proceso formal desplegarse en paralelo al proceso de evaluación de
impactar de manera significativa su mediante el cual se realice, la evaluación de los riesgos establecido por SEDAPAL) mediante el cual
habilidad para alcanzar los objetivos? cambios significativos, tanto internos como externos se realice la evaluación de los cambios significativos
2.9.25 En relación con la pregunta que se puedan estar presentando y que afecten a la a los cuales se encuentra expuesta la organización,
anterior, ¿estos asuntos son escalados organización en cuanto al logro de sus objetivos y/o estableciendo lineamientos y responsables, así como
para consideración del Directorio y la el control interno. protocolos de comunicación a los niveles adecuados
Gerencia General u órgano para dar gestión a los mismos.
equivalente?
2.9.26 ¿Se evalúa el impacto que
puede tener sobre el control interno de
la empresa, realizar cambios en la
operación tales como reestructuración,
nuevas tecnologías, alianzas
estratégicas, entre otros?
c. Actividades de control:
Principio Puntos de interés con prioridad alta
Principio 10: 3.10.1 En Relación con la pregunta N° 1. A la fecha del presente informe SEDAPAL no cuenta 1. Respecto de los procesos críticos (incluidos en el
Selecciona y desarrolla 2.7.15 del componente de Riesgos
actividades de control ¿señale si se tiene formalmente
implementado un programa para el
fortalecimiento del control interno
respecto de los procesos críticos
seleccionados en el alcance?
3.10.3 ¿La empresa tiene formalizado
un mapa de procesos, donde se
evidencie la interrelación de éstos, 2. Si bien se ha identificado actividades de mitigación de
articulados entre estratégicos, los riesgos que se viene evaluando (ver componente
misionales y de soporte?
3.10.5. ¿La empresa cuenta con
indicadores de desempeño para los
procesos críticos seleccionados en el
alcance?
3.10.6 ¿Se establecen actividades de
control, para garantizar la integridad de
la información enviada y recibida de los
proveedores de servicios compartidos,
centros de datos, o procesos
tercerizados que procesen información
para la empresa?
3.10.10 ¿Se evalúa el adecuado diseño
de los controles como respuesta a la
mitigación de los riesgos, y si éstos han
sido desarrollados e implementados
como fueron diseñados?
3.10.11 ¿Los accesos en los sistemas
son revisados con el fin de mantener la
segregación de funciones?
3.10.12 ¿Las actividades expuestas a
riesgo de error o fraude han sido
asignadas a diferentes personas o
equipos de trabajo?
3.10.13 ¿Se efectúa rotación periódica
del personal asignado u otro método en
puestos susceptibles a riesgo de
fraude?
Diagnóstico
con un mapa de procesos, basado en la cadena de
valor que establezca los procesos estratégicos,
misionales y de soporte. Asimismo, los procesos
vigentes no cuentan con indicadores de desempeño
ni se ha realizado evaluaciones de actividades
potencialmente conflictivas y que generen riesgo de
inadecuada segregación de funciones.
Evaluación de riesgos), las actividades de mitigación
y el riesgo residual no han sido revisados ni
aprobados por un Comité de riesgos, ni se ha
establecido una metodología para evaluar el diseño y
operación de los mismos.
2. Formalizar un programa de fortalecimiento del control
Recomendación
alcance del despliegue de actividades de control
como respuesta a la evaluación de los riesgos):
1.1 Formalizar el mapa de procesos articulado
interrelacionado, basados en la cadena de valor
que establece los procesos estratégicos,
misionales y de soporte; de manera que sirvan de
base a la priorización de los mismos.
1.2 Sobre la base de dicho mapa de procesos y
cadena de valor, SEDAPAL deberá gestionar su
SCI por procesos y no por unidades orgánicas.
1.3 Establecer indicadores de desempeño de los
procesos críticos, los cuales estarán alineados a
los objetivos y metas organizacionales
establecidos para la organización y los equipos.
1.3 Realizar una evaluación de las actividades
potencialmente conflictivas, de cara a evaluar el
riesgo de segregación de funciones y las
estrategias para mitigarlo (posibles reasignación
de tareas, rotación de personal, adecuación de
los perfiles de acceso a los sistemas).
interno, el cual tome como fuente la evaluación de los
riesgos y la determinación de las estrategias de
gestión de riesgos, las cuales deben haber sido
formalmente aprobadas por el Comité de riesgos.
Dicho programa debe contar con el empoderamiento
del mencionado comité a fin de poder desplegar el
programa de manera orgánica en SEDAPAL. El
despliegue de este programa de fortalecimiento del
control interno debe considerar:
- Aprobación del Comité de riesgos.
- Establecimiento de una metodología para la
evaluación de la efectividad de los controles tanto
en su diseño, como en su operación. Dicha
metodología deberá incluir la oportunidad y
responsabilidad de llevar a cabo dichas
evaluaciones.
- Identificación de dueños de controles y niveles
de supervisión.
- Documentación formal de los controles como
parte integral de la caracterización de los
procesos, de manera que se puedan diferenciar
claramente de las actividades propias de los
procesos, estableciendo el responsable de su
 Principio Puntos de interés con prioridad alta
Principio 11: 3.11.15 ¿La empresa cuenta con un 1. Si bien SEDAPAL cuenta con un Plan estratégico de 1. Respecto de los controles generales sobre la
Selecciona y desarrolla Comité de tecnología de información y
controles generales sobre comunicación (u otro equivalente)
la tecnología donde participen los principales
órganos gerenciales, personal del área
de tecnología y representante de las
área usuarias?
3.11.20 ¿La empresa cuenta con
políticas y lineamientos de seguridad
para los sistemas informáticas y de
comunicación (claves de acceso a los
sistemas, programas y datos;
detectores y defensas contra accesos
no autorizados, y antivirus; respaldo de
la información; entre otros)?
3.11.21 ¿Se realizan actividades de
control para validar que las solicitudes
de accesos a las aplicaciones
corresponden con las listas aprobadas?
3.11.24 ¿Existe una metodología para
el desarrollo de los sistemas
informáticos?
3.11.25 ¿La metodología desarrollada
incluye controles sobre los cambios a la
tecnología?
3.11.26 ¿Se seleccionan y ejecutan
actividades de control sobre los
servicios de Outsourcing, para
asegurar la integridad, exactitud y
validez de la información entregada y
recibida de los proveedores de
servicios?
Diagnóstico
tecnologías de información, no cuenta con un Comité
de tecnologías de información que dé dirección y
vigilancia, así como que retenga la responsabilidad
sobre la estrategia de tecnologías de información.
2. SEDAPAL cuenta con una Política de seguridad de
tecnologías de información y cuenta con un Oficial de
seguridad de la información que realiza actividades
de control para dar cumplimiento a la política. Sin
embargo, no todos los lineamientos de seguridad de
la política cuentan con procedimientos aprobados que
permitan llevarla a cabo de manera efectiva.
3. Asimismo, SEDAPAL no cuenta con una metodología
ni procedimiento formal para el desarrollo de
sistemas de informáticos, el cual contemple los
controles a lo largo del proceso de desarrollo hasta la
puesta en producción.
2. Formalizar una metodología para el desarrollo de los
Recomendación
ejecución, la periodicidad de ejecución, la
documentación de sustento de la ejecución.
Dicha documentación de controles deberá incluir
las actividades de verificación (establecidas como
controles) sobre la información recibida de
proveedores de servicios que procesan
información para SEDAPAL.
tecnología:
1.1 Constituir un Comité de tecnología de información
encargado de asegurar que la estrategia de
tecnologías de información y su despliegue estén
alineados con los objetivos de SEDAPAL. Para
ello tendrá responsabilidad sobre: i) la
priorización de proyectos de TI, ii) la aprobación
de los proyectos de TI, iii) la planeación
estratégica de TI y el establecimiento de políticas
y lineamientos de TI, iv) monitoreo sobre el
portafolio de proyectos de TI y v) asignación de
recursos y presupuestos de inversión en TI.
Este comité debería estar integrado por el
Gerente General, el Gerente de Desarrollo e
Investigación y el Jefe del Equipo de Tecnologías
de la Información y Comunicación,
conjuntamente con miembros de las unidades
orgánicas usuarias con el suficiente nivel de
empoderamiento y visión de gestión sobre éstas;
de manera que cuente con el liderazgo suficiente.
1.2 Fortalecer la política de seguridad de la
información con procedimientos específicos a ser
aplicados sobre las tecnologías de la información.
Dicho fortalecimiento incluirá la formalización de
todos los procedimientos que soporten las
políticas de seguridad y que deben ser llevados a
cabo por el Oficial de Seguridad de la información
y otros funcionarios (cuando corresponda),
detallando las actividades específicas,
periodicidad de ejecución y la documentación que
sustente su ejecución.
sistemas de información de SEDAPAL, la cual
debería establecer los controles llevados a cabo en el
proceso de desarrollo desde la fase de requerimiento
hasta la puesta en producción, así como la
responsabilidad sobre estos.
 Principio Puntos de interés con prioridad alta Diagnóstico Recomendación
Principio 12: 3.12.29 ¿Los procedimientos 1. SEDAPAL cuenta con procedimientos documentados 1. Como parte del programa de fortalecimiento del
Despliega políticas y especifican claramente las para sus procesos incluidos en el alcance del sistema control interno (ver punto 2 relacionado al principio
procedimientos responsabilidades del personal que de gestión integrado, los cuales incluyen 10: Selecciona y desarrolla actividades de control), se
realiza la actividad de control y procedimientos y actividades de supervisión que se deberá fortalecer la documentación de
establecen la rendición de cuentas que constituyen en controles. procedimientos con la inclusión formal de los
reside en la última instancia en la controles como parte integral de la caracterización de
gestión o en la empresa o en el Sin embargo, dicha caracterización no contempla la los procesos, de manera que se puedan diferenciar
proceso donde reside el riesgo? identificación de una actividad de control como tal, es claramente de las actividades propias de los
3.12.30 ¿Los procedimientos incluyen decir, como actividades distintas a las actividades procesos, estableciendo el responsable de su
fechas y/o frecuencia de cuando se propias del flujo del proceso, con responsables ejecución, la periodicidad de ejecución, la
llevan a cabo las actividades de control específicos de su ejecución, periodicidad de documentación de sustento de la ejecución. Dicha
y las acciones correctivas de ejecución, documentación de sustento de su documentación de controles deberá incluir las
seguimiento y estos consideran el nivel ejecución. actividades de verificación (establecidas como
de exposición al riesgo? controles) sobre la información recibida de
3.12.31 ¿La asignación de controles se proveedores de servicios que procesan información
realiza considerando el nivel de para SEDAPAL.
competencia del personal y su
autoridad para llevar a cabo el control,
la complejidad de la actividad de
control y el volumen de las
operaciones?
3.12.32 ¿La Gerencia General u
órgano equivalente revisa
periódicamente las políticas,
procedimientos y actividades de control
para determinar que siguen siendo
relevantes y las actualiza cuando es
necesario?
d. Información y comunicación:
Principio Puntos de interés con prioridad alta
Principio 13: 4.13.2 ¿Se ha definido la información 1. SEDAPAL no ha realizado un proceso de 1. Respecto de la información relevante para la
Utiliza información requerida en cada nivel de la empresa
relevante para soportar el funcionamiento del
Sistema de control interno?
4.13.4 ¿Se han diseñado sistemas de
información para capturar y procesar
datos y transformarlos en información
para alcanzar los requerimientos de
información definidos?
4.13.5 ¿Se realiza un balance entre los
beneficios y los costos de obtener y
administrar la información de acuerdo a
las necesidades de la empresa?
Diagnóstico
identificación y mapeo de la información requerida puesta en marcha y funcionamiento del Sistema
para la implementación y soporte a cada uno de
los cinco componente del SCI y para el monitoreo
del funcionamiento de cada uno de los
mencionados componentes del SCI.
Recomendación
de control interno de SEDAPAL la Alta Dirección
de SEDAPAL deberá llevar a cabo un proceso
formal de identificación de la información relevante
o clave, que requiere para: i) implementar y dar
soporte a cada componente del SCI y ii) poder
tener una visión del funcionamiento de cada uno
de los cinco componentes del SCI.
En este proceso, deberá tener en consideración
cada principio (y sus punto de interés) para
identificar la información clave que permita
implantar cada principio de cada componente y
aquella que le permita obtener retroalimentación
respecto de su existencia y funcionamiento (esta
última servirá de insumo para poner en práctica el
componente de Actividades de Supervisión).
A lo largo de este proceso la Alta Dirección:
1.1 Considerará fuentes de información y
protocolos existentes y otros que será
necesario considerar e implementar (p.e. para
el componente de entorno de control podría
identificar: i) que requiere información respecto
del comportamiento de los funcionarios y
empleados de SEDAPAL respecto de la ética
para fortalecer el Código de ética, y ii) que
requiere saber si se ha comunicado, reforzado
y obtenido una aceptación por parte del
personal respecto de los principios éticos del
Código de ética.
1.2 Identificará información actualmente requerida
para diversos propósitos de control interno que
podrían estar resultando redundante y/o
ineficiente.
1.3 Obtendrá un mapa de la información requerida
y podrá evaluar el costo involucrado en su
obtención y tratamiento y podrá contrastarlo
contra el beneficio a obtener de cara a la
implantación, mejora y monitoreo de su SCI.
Esto le permitirá establecer una estrategia que
permita establecer sistemas de información
(soportados o no por tecnologías de
información) para llevar a cabo una
implantación, mejora y supervisión adecuadas
pero de manera eficiente.
 Principio Puntos de interés con prioridad alta
Principio 14: 4.14.13 Para los sistemas informáticos 1. SEDAPAL no cuenta con una metodología para la 1. Respecto de la evaluación de control interno y
Se comunica internamente que apoyan el desarrollo de las
actividades misionales, financieras o
administrativas de la empresa,
indicados en la pregunta N°3.11.14 del
componente Ambiente de control,
señale si se les ha aplicado una
evaluación de control interno y/o de
riesgos en el último ejercicio.
4.14.14 En relación a la pregunta
anterior, señale si la empresa
estableció actividades de control para
mitigar los riesgos identificados que, de
materializarse, pudieran afectar su
operación.
4.14.15 ¿La empresa cuenta con una
metodología para la evaluación de
control interno y riesgos en el ambiente
de Tecnologías de información y
comunicación?
Principio 15: 4.15.17 ¿A los proveedores se les 1. SEDAPAL no pone en conocimiento de sus 1. Respecto dar a conocer a los proveedores el
Se comunica con el exterior comparte el código de ética de la
empresa para que también ayuden a
garantizar el cumplimiento del código 2. El Directorio a través del Comité de auditoría, toma
de ética a interior de la empresa?
4.15.19 ¿La información resultante de
las evaluaciones externas sobre las
actividades de la empresa que se
relacionan con asuntos de control
interno son evaluados por la Gerencia
y, cuando sea apropiado, comunicados
al Directorio y/o Comité de auditoría?
Diagnóstico
evaluación del control interno en el ambiente de riesgos para los sistemas informáticos se deberá
tecnología de información.
proveedores el código de ética.
conocimiento de los resultados de las
evaluaciones del nivel de implementación del SCI
de SEDAPAL. Sin embargo, no se ha establecido
los mecanismos que permitan escalar a
conocimiento del Directorio otros asuntos
relevantes de control interno.
Recomendación
elaborar una metodología para la evaluación del
control interno en el ambiente de tecnología de
información, el cual establezca los objetivos de
control, herramientas y organización requeridos
para gestionar los riesgos en dicho ambiente.
Dicha metodología podría basarse en marcos de
referencia como COBIT.
Código de ética de SEDAPAL, ver recomendación
1.2 relacionada con el Principio 1- Demuestra
compromiso con la integridad y los valores éticos:
“Establecer la responsabilidad de dar a conocer el
Código de ética a los proveedores de servicios
externalizados y a posibles socios comerciales de
SEDAPAL”.
2. Respecto de la evaluación de asuntos de control
interno por parte del Directorio, ver recomendación
1.2 relacionada con el Principio 2 – Ejerce
responsabilidad de supervisión: “Formalizar un
Reglamento del Directorio en el cual se incluya las
responsabilidades y funciones de monitoreo sobre
gestión, reporte financiero y control interno,
incluyendo todas las acciones de éste requeridas;
así como la facultad de dicho Directorio para
constituir los comités que considere necesarios
para llevar a cabo dichas responsabilidades”;
asimismo, establecer en el Manual de
responsabilidades del equipo institucional de
trabajo de control interno los mecanismos para dar
a conocer los asuntos de control interno relevantes
(y no únicamente los resultados de las
evaluaciones del nivel de implementación del SCI).
Principio Puntos de interés con prioridad alta Diagnóstico Recomendación
3. Adicionalmente, se deberá fortalecer el
procedimiento de atención de centro de contactos
de SEDAPAL con mecanismos que permitan
escalar a los niveles pertinentes los asuntos que
sean comunicados a través de los canales de
entrada y que estén referidos a asuntos de control
interno.
e. Actividades de supervisión:
Principio Puntos de interés con prioridad alta
Principio 16: 5.16.1 ¿La Gerencia selecciona y 1. La Alta Dirección de SEDAPAL no ha establecido, 1. Respecto de la realización de evaluaciones
Realiza evaluaciones desarrolla una mezcla de evaluaciones
continuas y/o continuas e independientes para
independientes asegurar que los cinco componentes
de control interno estén presentes y
funcionando?
5.16.2 ¿La Gerencia considera los
cambios que se van a presentar en la
empresa y se anticipa a seleccionar y 2. Los contratos con proveedores de servicios
desarrollar actividades de monitoreo
para reaccionar a dichos cambios?
5.16.3 ¿Las evaluaciones continuas e
independientes se realizan frente a la
línea base de entendimiento del diseño
del sistema de control interno?
5.16.4 ¿Las evaluaciones continuas
están incluidas como parte de las
actividades de los procesos y se
ajustan a las condiciones cambiantes
del negocio?
5.16.6 ¿Se realiza un entendimiento de
cómo los proveedores de servicios
tercerizados impactan los procesos que
afectan el sistema de control interno y
cuáles son las actividades y controles
asociados al servicio?
5.16.7 ¿Los contratos con proveedores
de servicios de outsourcing cuentan
con cláusulas de auditoría?
Diagnóstico
sobre la base del entendimiento del Sistema de
control interno actual, un esquema de supervisión 1.1 Fortalecer la supervisión respecto de la
que incluya evaluaciones continuas y evaluaciones
puntuales independientes, respecto de la
existencia y funcionamiento de cada componente
del SCI.
tercerizados no contemplan cláusulas que faculten
a SEDAPAL a realizar actividades de revisión y
auditoría, tanto a nivel de autoevaluaciones como
parte del curso regular de los servicios, como por
parte de estamentos independientes que ejerzan
función de verificación.
Recomendación
continuas y/o independientes:
existencia y funcionamiento de los principios
de los cinco componentes del SCI, mediante la
implementación de evaluaciones continuas en
el ámbito de cada componente. Dichas
evaluaciones continuas deberían considerar:
- Ser realizadas por el personal que cuente
con un adecuado nivel de conocimiento y
empoderamiento en el ámbito de las
actividades y procesos para los cuales se ha
establecido controles para dar cumplimiento a
cada componente del SCI.
- Ser incluidas como parte de los procesos
para los cuales se ha establecido controles
para dar cumplimiento a cada componente del
SCI, incluyendo los procesos que involucran
tercerizaciones que deben estar sujetas a
supervisión operativa.
- Deberán estar adecuadamente sustentadas
mediante evidencia de su ejecución y deberán
cursar reporte a los dueños de procesos para
que se establezca las subsanaciones
relacionadas con deficiencias encontradas y
que deberán ser comunicadas al enlace de
control interno del proceso.
1.2 Fortalecer la supervisión respecto de la
existencia y funcionamiento de los principios
de los cinco componentes del SCI, mediante la
solicitud a la Gerencia de Auditoría, el Equipo
de Gestión Institucional o a auditores externos,
para que realicen verificaciones puntuales
independientes respecto del funcionamiento
de los controles establecidos para los
componentes del SCI.
1.3 El despliegue de la aplicación de las
actividades de supervisión (tanto
autoevaluaciones como evaluaciones
puntuales independientes) por parte de la Alta
Dirección deberá tomar como punto de partida
el entendimiento del diseño del SCI en
SEDAPAL (que principios se han
implementado y cómo, y cuales no) para poder
tener un mapa inicial de lo que se va a
supervisar.
2. Incluir cláusulas a los contratos con proveedores
de servicios tercerizados que permitan a
SEDAPAL realizar actividades de revisión y
 Principio Puntos de interés con prioridad alta
Principio 17: 5.17.12 De los procesos críticos 1. La Alta Dirección de SEDAPAL no ha establecido, 1. Ver recomendación 1 del Principio 16 - Realiza
Evalúa y comunica seleccionados en el alcance, ¿señale si
deficiencias se llevaron a cabo autoevaluaciones de
control interno por parte de los
responsables de su funcionamiento en
el último ejercicio y, en su caso, si se
establecieron programas de trabajo
para atender las deficiencias
identificadas?
5.17.13 ¿La empresa cuenta con un
procedimiento formal por el cual se
establezcan políticas y mecanismos
necesarios para que los responsables
de los procesos, en sus respectivos
ámbitos de actuación, comuniquen los
resultados de sus evaluaciones de
control interno y de las deficiencias
identificadas al responsable de
coordinar las actividades de control
interno para su seguimiento?
5.17.14 Respecto de los procesos
críticos seleccionados en el alcance,
¿indique si se llevaron a cabo
auditorías internas o externas en el
último ejercicio?
Diagnóstico Recomendación
auditoría, tanto a nivel de autoevaluaciones como
parte del curso regular de los servicios, como por
parte de estamentos independientes que ejerzan
función de verificación.
sobre la base del entendimiento del Sistema de evaluaciones continuas y/o independientes
control interno actual, un esquema de supervisión
que incluya evaluaciones continuas y evaluaciones
puntuales independientes, respecto de la
existencia y funcionamiento de cada componente
del SCI.
2. Si bien la Gerencia de Auditoría Interna realiza
revisiones a las unidades orgánicas, de acuerdo
con su plan anual de control, las cuales incluyen
revisiones de cumplimiento del plan de trabajo de
implementación del SCI, no se realizan
evaluaciones de la operación de los controles
establecidos en los procesos críticos.
 ANEXO I
Encuesta realizada a Directores y Gerencia General
Estoy de De acuerdo No estoy
Afirmaciones No se TOTAL
acuerdo parcial de acuerdo
1 En SEDAPAL existe un compromiso con la 6 100% 0 0% 0 0% 0 0% 6
integridad y los valores éticos.
2 El Directorio está involucrado en los asuntos 6 100% 0 0% 0 0% 0 0% 6
importantes de SEDAPAL y supervisa el control
interno.
3 La estructura organizacional esta de acuerdo a los 0 0% 0 0% 6 100% 0 0% 6
objetivos de SEDAPAL y reparte o delega las
facultades y responsabilidades adecuadamente.
4 En SEDAPAL se tiene como política desarrollar, 0 0% 6 100% 0 0% 0 0% 6
capacitar y retener a los profesionales más
capaces. Es una empresa atractiva para
profesionales competentes.
5 En SEDAPAL se define claramente las 0 0% 6 100% 0 0% 0 0% 6
responsabilidades del personal y se les evalúa en
función a su desempeño / cumplimiento.
6 SEDAPAL establece objetivos sobre la base de su 0 0% 1 17% 5 83% 0 0% 6
plan estratégico y la normativa aplicable, teniendo
en consideración la tolerancia al riesgo.
7 SEDAPAL realiza una identificación y análisis de 0 0% 6 100% 0 0% 0 0% 6
los riesgos que pueden afectar el logro de sus
objetivos, tanto a nivel de entidad, como a nivel de
procesos / unidades orgánicas.
8 SEDAPAL realiza un análisis de los tipos de fraude 0 0% 5 83% 1 17% 0 0% 6
que pueden afectar el logro de sus objetivos, así
como de los elementos que podrían generarlos
(oportunidad / incentivos / justificaciones).
9 En SEDAPAL se identifica y evalúa los cambios 4 67% 2 33% 0 0% 0 0% 6
tanto internos (dirección, modelos de negocio) como
externos (entorno económico, regulatorio, político)
que pueden afectar el control interno.
10 Se ha implementado actividades de control que 0 0% 6 100% 0 0% 0 0% 6
mitigan los riesgos identificados en los principales
procesos / procedimientos de las unidades
orgánicas.
11 Se ha establecido controles generales para los 0 0% 6 100% 0 0% 0 0% 6
sistemas de tecnologías de información que
soportan las actividades de SEDAPAL.
12 SEDAPAL ha establecido políticas y 0 0% 6 100% 0 0% 0 0% 6
procedimientos para aplicar las actividades de
control, indicando responsables y oportunidad en
que se deben ejecutar, y para verificar su vigencia.
13 A lo largo de los procesos y unidades orgánicas se 0 0% 1 17% 5 83% 0 0% 6
genera información útil, de calidad y oportuna para
el logro de los objetivos de SEDAPAL.
14 En SEDAPAL la información interna se comunica de 0 0% 0% 6 100% 0 0% 6
manera eficaz (incluyendo los objetivos y
responsabilidades).
15 Existen adecuados canales y protocolos de 0 0% 0% 6 100% 0 0% 6
comunicación con los interesados externos.
16 En SEDAPAL se realizan evaluaciones continuas, 6 100% 0% 0 0% 0 0% 6
tanto internas como externas, para ver si el sistema
de control interno está adecuadamente
implementado y funcionando.
17 Se evalúa y comunica las deficiencias encontradas 5 83% 1 17% 0 0% 0 0% 6
a quien corresponda, de manera oportuna para que
las subsane.
Los Directores y Gerente General encuestados fueron los siguientes:
Persona Cargo Fecha de la encuesta
Roberto Urrunaga P. Presidente del Directorio 04.08.2016
Silvia Dedios V. Vicepresidenta 04.08.2016
Ricardo Palomino B. Director 04.08.2016
Juan del Carmen Haro M. Director 04.08.2016
Juan Martínez O. Director 04.08.2016
Ramón Huapaya R. Gerente General 04.08.2016
 ANEXO II
Encuestas realizadas a Gerentes y Jefes de Equipo
Estoy de No estoy
Afirmaciones No se TOTAL
acuerdo de acuerdo
1 En SEDAPAL existe un compromiso con la 22 81% 5 19% - 0% 27
integridad y los valores éticos.
2 El Directorio está involucrado en los asuntos 23 85% 2 7% 2 7% 27
importantes de SEDAPAL y supervisa el control
interno.
3 La estructura organizacional esta de acuerdo a los 16 59% 11 41% - 0% 27
objetivos de SEDAPAL y reparte o delega las
facultades y responsabilidades adecuadamente.
4 En SEDAPAL se tiene como política desarrollar, 6 22% 16 59% 5 19% 27
capacitar y retener a los profesionales más
capaces. Es una empresa atractiva para
profesionales competentes.
5 En SEDAPAL se define claramente las 19 70% 8 30% - 0% 27
responsabilidades del personal y se les evalúa en
función a su desempeño / cumplimiento.
6 SEDAPAL establece objetivos sobre la base de su 21 78% 6 22% - 0% 27
plan estratégico y la normativa aplicable, teniendo
en consideración la tolerancia al riesgo.
7 SEDAPAL realiza una identificación y análisis de 18 67% 8 30% 1 4% 27
los riesgos que pueden afectar el logro de sus
objetivos, tanto a nivel de entidad, como a nivel de
procesos / unidades orgánicas.
8 SEDAPAL realiza un análisis de los tipos de fraude 9 33% 9 33% 9 33% 27
que pueden afectar el logro de sus objetivos, así
como de los elementos que podrían generarlos
(oportunidad / incentivos / justificaciones).
9 En SEDAPAL se identifica y evalúa los cambios 14 52% 6 22% 7 26% 27
tanto internos (dirección, modelos de negocio) como
externos (entorno económico, regulatorio, político)
que pueden afectar el control interno.
10 Se ha implementado actividades de control que 15 56% 8 30% 4 15% 27
mitigan los riesgos identificados en los principales
procesos / procedimientos de las unidades
orgánicas.
11 Se ha establecido controles generales para los 18 67% 3 11% 6 22% 27
sistemas de tecnologías de información que
soportan las actividades de SEDAPAL.
12 SEDAPAL ha establecido políticas y 19 70% 5 19% 3 11% 27
procedimientos para aplicar las actividades de
control, indicando responsables y oportunidad en
que se deben ejecutar, y para verificar su vigencia.
13 A lo largo de los procesos y unidades orgánicas se 22 81% 4 15% 1 4% 27
genera información útil, de calidad y oportuna para
el logro de los objetivos de SEDAPAL.
14 En SEDAPAL la información interna se comunica de 16 59% 9 33% 2 7% 27
manera eficaz (incluyendo los objetivos y
responsabilidades).
15 Existen adecuados canales y protocolos de 14 52% 10 37% 3 11% 27
comunicación con los interesados externos.
16 En SEDAPAL se realizan evaluaciones continuas, 13 48% 8 30% 6 22% 27
tanto internas como externas, para ver si el sistema
de control interno está adecuadamente
implementado y funcionando.
17 Se evalúa y comunica las deficiencias encontradas 15 56% 6 22% 6 22% 27
a quien corresponda, de manera oportuna para que
las subsane.
Los Gerentes y Jefes de Equipo encuestados fueron los siguientes:
Persona Cargo Fecha de la encuesta
Jorge Gómez R. Gerente Comercial 25.07.2016
Yolanda Andía C. Gerente Producción y 25.07.2016
Distribución Primaria
Pilar Alva T. Gerente Gestión de 25.07.2016
Aguas Residuales
Oscar Pastor P. Gerente Desarrollo e 25.07.2016
Investigación
Cesar Rovegno O Gerente Recursos 25.07.2016
Humanos
Antonio Angulo Z. Gerente Asuntos Legales 25.07.2016
y Regulación
Michael Vega B. Gerente Servicios Norte 25.07.2016
Héctor Piscoya V. Gerente Servicios Centro 25.07.2016
Carlos Paredes C. Gerente Servicios Sur 25.07.2016
Juan Calderón L. Gerente Finanzas (e) 25.07.2016
Richard Acosta A. Gerente Proyectos y 25.07.2016
Obras (e)

Los Jefes de Equipo encuestados fueron los siguientes:

Persona Cargo Fecha de la encuesta
Carlos Rospigliosi L. Jefe (e) ERCB 15.07.2016
José Luis Kcomt K. Jefe EGAB 15.07.2016
Maribel Cieza G. Jefe EGLA 15.07.2016
Juan José Motta L. EPF 15.07.2016
Juan Calderón L. Jefe EOF 15.07.2016
Humberto Chavea A. Jefe EP 15.07.2016
Sara Sarmiento Jefe EG-PTAR 15.07.2016
Dino Huatuco L. Jefe (e) EGIP 15.07.2016
Cecilia del Barco C. Jefe EEP 18.07.2016
Sussy Sarmiento C. Jefe ERC 18.07.2016
Arturo Parra Q. Jefe ETIC 18.07.2016
Juana Arzola G. Jefe (e) EC 18.07.2016
David Chong S. Jefe EGCM 18.07.2016
Daniel Benvenutto M. Jefe (e) EPFPI 18.07.2016
Milagros Vicente V. Jefe ECI 18.07.2016
Gladys Carruitero C. Jefe (e) ELC 18.07.2016