@) PRESIDENCIA DE LA REPÚBLICA INFORME DE AUDITaRlA INTERNA

1. INFORMACiÓN GENERAL

PROCESO: TecnoloQías de Información y Comunicaciones I FECHA: 01/08/2017

ACTIVIDAD: Proceso completo
RESPONSABLE PROCESO: Alex Mauricio Escallón Contreras
OBJE'nVO DE LA AUDITORIA: Evaluar la gestión del proceso de Tecnologías de Información y
Comunicaciones así como el cumplimiento de los requisitos técnicos, legales, de los clientes y la
organización, con el fin de contribuir a la mejora continua del SIGEPRE.
! AL~ANCE AUDITADO: La evaluación se realizará a la gestión que corresponde al cierre de 2016 y lo
corndo de 2017.
• REQUISITOS: Los relacionados en la caracterización del proceso y en el normograma publicado en el
i ajJlicativo SIGEPRE.

AUDITOR LlDER: Alvaro Ramírez Rodríguez.

EQUIPO AUDITOR: Javier Sanabria, Carlos Arcesio Vargas, Lorena Amalia Beltrán, José Robinson
Ferrucho. Observador: José Ignacio Casallas.

2. RELACiÓN DE HALLAZGOS

PRINCIPALES ASPECTOS CONFORMES

1. El alto compromiso y conocimiento por parte del líder del proceso y su disposición con el proceso de
auditoría, lo que permitió el cumplimiento de la agenda de trabajo y la obtención de resultados para la
mejora continua.

2. La disposición del equipo de trabajo con la Auditoría, lo que permitió verificar las cuatro (4) etapas del
ciclo PHVA del proceso de Tecnologías de Información y Comunicaciones.

3. La aplicación de controles idóneos que permiten anticiparse ante situaciones que amenacen la
seguridad de la información .

•4. La percepción positiva por parte de los usuarios en los servicios internos que presta el Proceso.

RELACION DE NO CONFORMIDADES REALES

(Descripción del Problema + Evidencia Objetiva + Requisito Incumplido)

1. No se evidencian análisis de datos que demuestren idoneidad, eficacia del proceso ni tampoco que
estos permitan identificar oportunidades de mejora frente a las mediciones realizadas a través de la
recopilación de información, como se evidenció en los siguientes indicadores:

a. fndice de satisfacción del cliente vigencia: periodo de mayo y se incluye análisis extemporáneo el
18 de julio de 2017, adicionalmente se toma la decisión frente al resultado de "Generar campaña
para realizar una solución temprana y de forma remota en la mesa de ayuda", sobre la campaña
citada en los análisis, no se aportaron evidencias.

b. Cumplimiento de los acuerdos de niveles de servicio TICS, periodo mayo, no alcanzó la meta
definida (> o = 90%), obteniendo un resultado de 87.80%/100, no se evidenciaron análisis del periodo
citado ni del periodo de junio.

Código: F-EM-03 (Versión: 05) 1 de 3

@) PRESIDENCIA DE LA REPÚBLICA INFORME DE AUDITORIA INTERNA

Incumpliendo el procedimiento Formulación, Registro y Análisis de Indicadores P-DE-02, el numeral

8,4 Análisis de datos, el literal c) de la NTC GP 1000 Y el control de evaluación en el componente de
planes de mejoramiento del MEC12014. Transversal al Proceso de Direccionamiento Estratégico.

2. No se evidencia la aplicación de los controles del riesgo "Inadecuada trazabilidad en las actuaciones
de los usuarios finales", como se determinó en el monitoreo realizado en el primer trimestre de 2017
al observar que no se registró el cómo se efectuó la aplicación de cada control, sino que se limita a
describirlos nuevamente, incumpliendo el numeral 8.2.3 de la NTC GP 1000 Seguimiento y Medición
de los procesos, con el módulo de Planeación y Gestión, control de evaluación y seguimiento en el
componente de Autoevaluación Institucional del MECI 2014 yel numeral 6.6.1 de los Lineamientos
para la Administración del Riesgo L-DE-01 Versión 12. Transversal al Proceso de Direccionamiento
Estratégico.

3. No se documentaron los cambios asociados a los sistemas de información de la Entidad, como se

evidenció al indagar por la gestión del cambio de la versión 02 del SIGEPRE de marzo de 2017 yel
cambio del Sistema de Información de nómina HOMINIS a Sistema KACTUS realizado en enero de
2017, incumpliendo el numeral 6.3 b) de la NTC ISO 9001 :2008 Infraestructura y el Procedimiento
Administración de Cambio P-TI-22. Versión 2 y el numeral 9. Gestión del Cambio en el SIGEPRE del
Manual del SIGEPRE.

ASPECTO TRANSVERSAL

1. Incumplimiento de las políticas de seguridad de la información establecidas por la Entidad, como se

evidenció en:

a. El Proceso de Gestión Documental: se evidenció por parte de uno de los integrantes del equipo
de trabajo accediendo a la herramienta SIGEPRE con clave y usuario de su coordinador.

b. Fondo Paz: entrevista al equipo del FONDO al manifestar que varios funcionarios cargan la
información en el aplicativo SIGEPRE con la clave del enlace de la dependencia.

Incumpliendo lo establecido en el M-TI-01 Manual de pollticas de seguridad de la información, en el

numeral 5.1.12. Política de establecimiento, uso y protección de claves de acceso; eje transversal de
Información y Comunicación del MECI 2014. Transversal al proceso de Tecnologias de la
Información y Comunicaciones.

OBSERVACIONES (No Conformidades Potenciales)

(Descripción de la Observación + Evidencia Objetiva + Posible requisito a Incumplir)

1. En el proceso de implementación de la NTC 27001:2013 asociada a la NCR NCR-0573 TI - SGSI

Sistema de Gestión de Seguridad de la Información ya la OM-021 O, se evidenció que se destinó para
la Categoría de Disef'lo del Sistema de gestión de Seguridad de la Información la actividad "4.1
Determinación del alcance del Sistema de gestión de Seguridad de la Información (SGSI)" desde elll
de marzo de 2017 hasta el 31 de agosto de 2017 y para la actividad "4.2 Formulación estratégica
(Políticas, objetivos, alcance y exclusiones)." desde el13 de marzo de 2017 hasta el 30 de septiembre
de 2017, actividad que dentro del ciclo lógico de implementación del sistema de gestión, debe ser
posterior a la definición de su alcance. Adicional, no se evidenció en el seguimiento de la actividad la .

Código: F-EM-03 (Versión: 05) 2de 3

 @ PRESIDENCIA DE LA REPÚBLICA INFORME DE AUDITORIA INTERNA

etapa actual de aprobación por parte del Comité de Seguridad. Lo anterior, podría generar un
incumplimiento asociado al numeral 4.2.1 de la NTC ISO 27001 :2013 y el eje transversal de
Información y Comunicación del MECI 2014.

2. El indicador de "Nivel de Obsolescencia vigencia" que se relaciona con el número de computadores

con obsolescencia tecnológica, no abarca dispositivos como el circuito cerrado de televisión, lectores
de huella digital, escáneres, teléfonos, entre otros, que podrían generar un incumplimiento asociado al
numeral 6.3 b) de la NTC ISO 9001 :2008 Infraestructura y el eje transversal de Información y
Comunicación del MECI 2014 y Procedimiento Formulación, Registro y Análisis de Indicadores P-DE­
02. Transversal al Proceso de Direccionamiento Estratégico.

OPORTUNIDADES DE MEJORA

1. Articular los grupos de trabajo, con el fin de mejorar la comunicación interna y el flujo de entradas y
salidas dentro del proceso.

2. Reforzar el manejo del SIGEPRE para todas las personas que participan en el proceso con el fin de
descentralizar la responsabilidad del enlace y permitir que cada integrante mantenga una perspectiva
general del desempeño del proceso al que pertenece.

CONCLUSIONES DE LA AUDITORIA

El Proceso de Tecnología de la Información y Comunicaciones desarrolla su gestión conforme a los

requisitos establecidos en el marco del Sistema Integrado de Gestión de la Presidencia de la República
aplicando el enfoque al cliente y orientado a la consecución de los objetivos Institucionales.

Sin embargo, es importante que el proceso establezca las acciones correctivas y preventivas pertinentes
que contribuyan al mejoramiento continuo del SIGEPRE.

ELABORADO POR:

Alvaro Ramírez Rodríguez,

~
l
/ ) /1
AP~B~~0t: \'~(Y
r-
".......,.

f:X'_~
:J
Lorena Amalia Beltran y equipo auditor. M~ ria Elisa Morón Bal! te
Je e Oficina de Control Interno

Código: F-EM-03 (Versión: 05) 3 de3