informe de auditorÍa sistema de informacion y...

|

INFORME DE AUDITORÍA

SISTEMA DE INFORMACION Y COMUNICACIÓN

PRESENTADO POR:

SAMUEL SAJAUT CAICEDO

Jefe de Control Interno

LUIS ALBERTO VERGARA PALACIO

Auditor par

AUDITADO

SOCIAL DEV S.A.S.

LUIS EDUARDO CAICEDO CAMPO

Director (E)

SANTA MARTA, MAGDALENA

VIGENCIA 2018

|

TABLA DE CONTENIDO

1. PRESENTACIÒN ............................................................................................................................................................... 3

2. ANALISIS DE GESTIÒN DEL PROCESO ........................................................................................................................... 4

3. HALLAZGOS .................................................................................................................................................................. 16

3.1. DESCRIPCION DE LOS HALLAZGOS...................................................................................................................... 16

|

1. PRESENTACIÒN

En el marco de los procesos de auditoria de debe desarrollar la Oficina de Control Interno y de las acciones tendientes a

verificar el cumplimiento de los lineamientos del Estado Colombiano en cuanto a la aplicación de Tecnologías de Información

y Comunicación (TIC`S) en las entidades públicas, en particular las acciones que se han ejecutado en el DEPARTAMENTO

ADMINISTRATIVO DISTRITAL DE LA SOSTENIBILIDAD AMBIENTAL – DADSA en las ultimas vigencias, para garantizar

la aplicación de las mismas en busca del mejoramiento continuo de los procesos y su tecnificación para lograr una mayor

eficiencia en la gestión.

En este sentido, se buscó evidenciar el estado de avance en la implementación de la Estrategia de Gobierno en Línea y el

cumplimiento de los lineamientos del Modelo Estándar de Control Interno, relacionados con el Eje Transversal de

Comunicación e Información, y que están dentro de las actividades que ejecuta el proceso de Sistemas de Información de la

entidad.

Para el análisis de la información referente al proceso auditado, se consideraron cuatro componentes objeto de análisis, los

cuales de citan a continuación:

• TIC Para Servicios

• TIC Para Gobierno Abierto

• TIC Para La Gestión

• Seguridad y Privacidad de la Información

De igual, forma se tuvieran en cuenta los documentos complementarios indicados en el manual técnico de gobierno en línea

y las directrices establecidas en el Decreto 2573 de 2014, Decreto Único Nacional 1078 de 2015 y la Ley 1712 de 2014 en

lo que corresponde a la transparencia y acceso a la información pública.

.

|

2. ANALISIS DE GESTIÒN DEL PROCESO

El desarrollo de este proceso de auditoría, tiene por objeto “Verificar que la gestión del proceso de sistemas de información

y comunicaciones se encuentre conforme a los requerimientos de ley y normas complementarias, de igual forma que la

entidad cumpla con los procedimientos para uso y publicación de la información pública y organizacional.” , para esto se

tomó como base los requerimientos de la Estrategia de Gobierno en Línea , la Ley de Transparencia de la Información

Pública, además, se verificaron algunos otros aspectos relacionados con la gestión del proceso y su grado de adherencia

a los demás procesos de la organización, considerando que este es un procesos transversal que aporta con su gestión en

el desarrollo de los demás procesos institucionales.

En este orden de ideas, a continuación, se describen los objetivos de los componentes de Gobierno en Línea:

COMPONENTE OBJETIVO DEL COMPONENTE

TIC PARA SERVICIOS ❖ Busca crear los mejores trámites y servicios en línea para

responder a las necesidades más apremiantes de los

ciudadanos con ayuda de la tecnología.

TIC PARA GOBIERNO ABIERTO ❖ Comprende las actividades encaminadas a fomentar la

construcción de un Estado más transparente, participativo y

colaborativo en los asuntos públicos mediante el uso de las

Tecnologías de la Información y las Comunicaciones.

TIC PARA LA GESTIÓN ❖ Comprende la planeación y gestión tecnológica, la mejora de

procesos internos y el intercambio de información. Igualmente,

la gestión y aprovechamiento de la información para el

análisis, toma de decisiones y el mejoramiento permanente,

con un enfoque integral para una respuesta articulada de

gobierno y hacer más eficaz gestión administrativa de

Gobierno

SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN ❖ Comprende las acciones transversales a los demás

componentes enunciados, tendientes a proteger la

información y los sistemas de información, de acceso, uso,

divulgación, interrupción o destrucción no autorizada

|

Para el análisis de la información referente al proceso auditado, se consideraron los (4) cuatro componentes de la nueva

estrategia de gobierno en línea (2015 – 2020) y sus lineamientos de referencia, contenidos en el Manual de Gobierno en

Línea (Decreto 2573 de 2014 y Decreto Único Nacional 1078 de 2015).

Desde esta perspectiva se busca evidenciar el desarrollo los objetivos de la Estrategia de Gobierno en Línea, enlazados

con el propósito de cada componente, que en su orden respectivo permitirán a la entidad: 1) Crear los mejores trámites y

servicios en línea para responder a las necesidades más apremiantes de los ciudadanos con ayuda de la tecnología. 2)

Fomentar la construcción de un Estado más transparente, participativo y colaborativo en los asuntos públicos mediante el

uso de las Tecnologías de la Información y las Comunicaciones. 3) La planeación y gestión tecnológica, la mejora de

procesos internos y el intercambio de información. Igualmente, la gestión y aprovechamiento de la información para el

análisis, toma de decisiones y el mejoramiento permanente, con un enfoque integral para una respuesta articulada de

gobierno y hacer más eficaz gestión administrativa de Gobierno. 4) Demostrar acciones transversales a los demás

componentes enunciados, tendientes a proteger la información y los sistemas de información, de acceso, uso, divulgación,

interrupción o destrucción no autorizada.

En el marco de la auditoria se inicio identificando, como la organización articula, la estrategia TIC con alguna dependencia

o tercero que este a cargo del aspecto respectivo, en este orden de idea, se evidencio que la entidad no dispone de una

Oficina de Tecnologías de Información y Comunicación que lidere la Estrategia de Gobierno en línea, sin embargo, tiene

contrato para la vigencia 2018, el servicio con un tercero, que tiene por objeto contractual “PRESTACION DE SERVICIOS,

PARA SOPORTE TÉCNICO DE IMPRESORAS Y COMPUTADORES, SOFTWARE DE SEGUIMIENTO A TRAMITES Y

ASESORÍA EN TEMAS DE TECNOLOGÍA”, en este orden de ideas, se realizó un análisis a la contratación de este servicio

en comparación a las necesidades de la institución en el cumplimiento de la Estrategia Gobierno en Línea y la Ley de

Transparencia y Acceso a la Información Pública.

Mediante orden de prestación de servicios N° 034 de 4 de enero de 2018, se suscribió contrato entre el DEPARTAMENTO

ADMINISTRATIVO DISTRITAL DE LA SOSTENIBILIDAD AMBIENTAL – DADSA y la empresa SOCIAL DEV S.A.S. , por de

valor de 69 millones de pesos a un término de 6 meses, dichas obligaciones contractuales indican lo siguiente:

|

1. Apoyar y brindar asesoramiento al DADSA, para el mejoramiento de la obtención de documentos y archivos en la

web, con el fin de obtener altos índices de calidad.

2. Apoyar en el Manejo del portal web para mantenerla actualizada y al día con los requerimientos de gobierno en línea

y de la empresa.

3. Apoyar en la prestación de servicio del sistema de soporte y seguimiento a las solicitudes de los clientes a través de

radicados (almacenamiento de documentos digitalizados).

4. Apoyar en el Seguimiento a quejas y reclamos de clientes a través del sitio web.

5. Brindar soporte técnico a equipos de cómputo e impresora de la empresa cuando se requiera.

6. Capacitar al personal requerido en el manejo de los sistemas implementados de tal manera que se pueda

1. garantizar la calidad de nuestros productos y servicios.

7. Informar de manera permanente al DADSA de cualquier novedad que pueda alterar las condiciones inicialmente

pactadas, esto con el fin de garantizar la correcta aprobación de las condiciones o requisitos del producto o servicio

prestado.

8. Elaboración de piezas gráficas, fotografía, videos y animaciones.

9. Gestión de las redes sociales de la entidad.

Para evidenciar el cumplimiento de las obligaciones contractuales, se revisaron las cuentas de cobro de enero a mayo de

2018 (cargadas del sistema Helpdesk), valorando las actividades realizadas, como se puede observar en el cuadro siguiente:

MES ANÁLISIS DE LAS ACTIVIDADES

Enero Entre las acciones realizadas se reportaron 7 actividades de mantenimiento y/o recarga de impresoras las

cuales no describen valor unitario del servicio, y se reporta una actividad de administración del sistema de

información Helpdesk, que igual forma no indica costo unitario de servicio prestado. Valor cobrado $

11.500.000 incluye IVA. , la factura anexa a la cuenta de cobro no corresponde al mes cobrado. Se reporta

pago de seguridad social de un solo empleado DAVILA MATOS DIANA PAOLA, quien cotiza como

independiente, el IBC de liquidación es de $737.717, lo que permite inferir que el pago de este empleado por

servicios técnicos se estima por un valor de $1.844.292,50.

|

Febrero Entre las acciones realizadas se reportaron 8 actividades de mantenimiento y/o recarga de impresoras las

cuales no describen valor unitario del servicio, y se reporta una actividad de administración del sistema de

información Helpdesk, que igual forma no indica costo unitario de servicio prestado. Valor cobrado $

11.500.000 incluye IVA. , la factura anexa a la cuenta de cobro no corresponde al mes cobrado. Se reporta

pago de seguridad social de un solo empleado DAVILA MATOS DIANA PAOLA, quien cotiza como


servicios técnicos se estima por un valor de $ $1.953.105,00.

Marzo Entre las acciones realizadas se reportaron 9 actividades de mantenimiento y/o recarga de impresoras las

cuales no describen valor unitario del servicio, y 12 actividades de diseño grafico y una de administración del

sistema de información help desk, que de igual forma no indica costo unitario de servicio prestado. Valor

cobrado $ 11.500.000 incluye IVA. , la factura anexa a la cuenta de cobro no corresponde al mes cobrado.

Se reporta pago de seguridad social de un solo empleado DAVILA MATOS DIANA PAOLA, quien cotiza como


servicios técnicos se estima por un valor de $ $1.953.105,00.

Abril

Entre las acciones realizadas se reportaron 14 actividades de mantenimiento y/o recarga de impresoras y 4

actividades de reparación de equipos de cómputo, las cuales no describen valor unitario del servicio. También

se reporta además una actividad de administración del sistema de información Helpdesk, que igual forma no

indica costo unitario de servicio prestado, también se incluye entre las actividades realizadas 17 actividades

de diseño gráfico. Valor cobrado $ 11.500.000 incluye IVA. , no se reporta pago de seguridad social de los

empleados.

Mayo Entre las acciones realizadas se reportaron 14 actividades de mantenimiento y/o recarga de impresoras las

cuales no describen valor unitario del servicio, y 19 actividades de diseño grafico, que de igual forma no

indica costo unitario de servicio prestado. Valor cobrado $ 11.500.000 incluye IVA. , la factura anexa a la

cuenta de cobro no corresponde al mes cobrado. Se reporta pago de seguridad social de un solo empleado

DAVILA MATOS DIANA PAOLA, quien cotiza como independiente, el IBC de liquidación es de $781.242, lo

que permite inferir que el pago de este empleado por servicios técnicos se estima por un valor de $

$1.953.105,00.

|

En análisis de la ejecución del contrato suscrito con la empresa SOCIAL DEV, , muestra una muy baja gestión en relación

a la Gestión de las TIC en la entidad, en comparación con los servicios que presta el valor de contrato y los resultados que

se evidencian a continuación en cuanto al cumplimiento de la Estrategia de Gobierno en Línea en la institución, si bien es

cierto, el objeto de contrato, no esta enfocado en la implementación de las TIC en la institución, los recursos que se invierten,

no son acordes, ni proporcionales a la necesidad de la institución en relación a las TIC. Por tanto se debe replantear este

aspecto, para lograr un mejor nivel de implementación.

Para la identificación de los posibles hallazgos se realizó comprobación directa en los canales y medios electrónicos

dispuestos por la entidad. Entre los aspectos relevantes a resaltar, es necesario indicar que la entidad cuenta con página

web, con las siguiente URL: http://dadsa.co/ , la cual tiene acceso directo en su parte inferior con redes sociales: Facebook

con el enlace: https://www.facebook.com/dadsasm, Twitter con el enlace: https://twitter.com/dadsasm e Instagram con el

enlace: https://www.instagram.com/dadsasm/ a través de estos canales se informa a los usuarios de manera permanente

sobre los resultados de la gestión de la entidad, sin embargo se debe propender por habilitar espacios virtuales llamativos,

para difundir las convocatorias a los eventos presenciales de rendición de cuentas, aspectos que se puede ilustrar en el

cartilla “Lineamientos para la Rendición de Cuentas por Medios Electrónicos – MinTIC”

Por otra parte, en relación con el cumplimiento de la Ley 1712 de 2014 y el art 74 de la Ley 1474 de 2011, se observó que

la entidad tiene habilitado un link con la denominación “Documentos/ Transparencia y Anticorrupción”, por, no cumple con

todos los lineamientos y requisitos de la Ley de Transparencia y Acceso a la Información púbica, como se puede evidenciar

en las siguientes imágenes:

http://dadsa.co/

https://www.facebook.com/dadsasm

https://twitter.com/dadsasm

https://www.instagram.com/dadsasm/

|

En la imagen anterior, no se evidencia la publicación del Informe de Gestión de la vigencia inmediatamente anterior, tampoco

el proyecto de presupuesto de la vigencia 2018 y los indicadores de gestión de la entidad.

No esta publicada en la pagina web, la estructura organizacional de la entidad, incumpliendo con el literal a) articulo 9 de la

Ley 1712 de 2014. Solo se observa en la parte inferior de la página web, la descripción del lugar de domicilio de la institución

y lo horarios de atención, lo cual a nivel de diseño es engorroso para el usuario, pues debe desplazar todas la pagina para

encontrar esta información de suma importancia, como se puede observar en la siguiente capture.

|

Por otra parte, la información que debe ir incluida en el link de Transparencia/ Acceso a la Información Pública, se entra

fragmentada, debido a que una parte de esta se publica en una pestaña innecesaria denominada “Documentos”

Por otra parte, no se evidencia en toda la página web un directorio que incluya el cargo, direcciones de correo electrónico y

teléfono del despacho de los empleados y funcionarios y las escalas salariales correspondientes a las categorías de todos

los servidores que trabajan en el sujeto obligado, de conformidad con el formato de información de servidores públicos y

contratistas, incumpliendo con el literal c) artículo 9 de la Ley 1712 de 2014.

|

Sin embargo, en lo que respecta a la identificación de la entidad, se puede observar la publicación de la MISION, VISION,

MAPA DE PROCESOS y PRINCIPIOS Y VALORES.

En lo que respecta a las PQR, se observa una pestaña ubicada en la pagina web, pero que no tienen ningún tipo de

funcionalidad, incumpliendo con el art. 76 de la Ley 1474 de 2011.

|

Sin embargo, se dispone de un link de contacto, en el que se puede registrar datos de usuario y un Chat en línea, de los

cuales no se evidencia que estén siendo funcionales, para interactuar con usuarios de la entidad.

En relación a la información de los tramites y servicios que presta la entidad, como se puede observar, estos encuentran

publicados en la pagina web de la entidad con la información y formatos del respectivo tramite.

|

Por último, podemos identificar en los registros y publicaciones del sitio web con información desactualizada, lo que indica

que la institución no establece parámetros de procedimientos para mantener actualizado el sistema de información público

de la institución, y tampoco existe una política adecuada al respecto.

|

Por otra parte, se debe destacar la implementación de un sistema de gestión de tramites el cual consiste en el desarrollo de

aplicativo web (Help Desk) para facilitar a los usuarios el acceso a la información del estado de tramite solicitado, permite,

además a las dependencias hacer trazabilidad a los tramites y la digitalización de la información de los mismo, un aporte

importante en la implementación de la estrategia de gobierno en línea, que busca la generación de soluciones provenientes

de los usuarios, a retos o problemáticas identificados por las entidades y/o por los usuarios. En tal sentido el usuario después

de realizar la radicación de su trámite tiene la opción de hacer seguimiento al estado de su trámite a través de la pestaña

|

“Consulta de Ticket”, permitiendo así que está al tanto del estado de su trámite sin necesidad de desplazarse a la sede de la

entidad.

Sin embargo, se detecta como una falencia que administración del aplicativo web HELP DESK, está a cargo de un tercero y

la entidad no tienen dominio sobre los códigos fuentes o derechos de propiedad intelectual de la herramienta, aspecto que

identifica como un potencial riesgo, dado que, si en un eventual caso, de terminar la contratación con la empresa SOCIAL

DEV, empresa que diseño el sistema, no se tiene claridad, si los derechos de propiedad pasarían al DADSA.

Después de analiza toda la Gestión TIC de le entidad, se hace necesario comunicar a la Dirección de la entidad debe de

acuerdo con los plazos establecido para la implementación de la Estrategia de Gobierno en Línea que la entidad se tiene

un bajo nivel de implementación de la misma y su aplicación se encuentra aún en etapas precarias , por lo cual se debe

propender por subsanar los hallazgos que a presentan a continuación en la brevedad posible y establecer un plan de

implementación que permita hacer un seguimiento minucioso al proyecto de implementación TIC en la entidad, para lo cual

a continuación se deja consignado en este informe cuales son las etapas y avances esperados de acuerdo con las fechas

establecidas en el Decreto 1078 de 2015, por cada componente:

|

3. HALLAZGOS

3.1. DESCRIPCION DE LOS HALLAZGOS

N° DESCRIPCION CRITERIO

1 NARRACIÓN DEL HALLAZGO: La entidad no cuenta con un

diagnóstico del entorno nacional, sectorial o institucional, que

incluya el entendimiento estratégico de la Arquitectura

Empresarial, dinámica organizacional y análisis del desempeño

estratégico.

CAUSA: Falta de análisis estratégico

CONSECUENCIA: Aplicación de acciones sin un análisis

estratégica

RESPONSABLE: Director

Evidencias/documentos

/Normas de Referencia:

Lineamiento de Referencia Manual de

Gobierno en Línea (Decreto 2573 de

2014 y Decreto Único Nacional 1078 de

2015)

2 NARRACIÓN DEL HALLAZGO: La entidad no cuenta con un

plan estratégico de TI, que incluye la identificación de retos y

oportunidades de TI, la definición de políticas e iniciativas

estratégicas de TI y la definición del portafolio de proyectos.

CAUSA: Deficiencias en la prospección estratégica de las TIC´S

CONSECUENCIA: Aplicación de acciones no planificadas

RESPONSABLE: Director.






2015)

|

3 NARRACIÓN DEL HALLAZGO: No se evidencio que el

DADSA publique los aportes de los usuarios, ciudadanos y

grupos de interés sobre la gestión de la entidad y las decisiones

adoptadas frente a los mismos en su página web. Tampoco se

evidencio que haya realizado el inventario de datos abiertos,

base sobre la cual se identificaría cual es la información de

carácter público o reservado, o que cumpla con la totalidad de

los requisitos establecido en el artículo 9 de Ley 1712 de 2014

“Ley de transparencia y acceso a la información publica

CAUSA: Ausencia de elementos de interacción con usuarios y

grupos de interés a través de la página web , falta de un

inventario de datos abiertos.

CONSECUENCIA: Incumplimiento de lineamientos de gobierno

en línea

RESPONSABLE: Director.






2015).

Lineamientos para la Rendición de

Cuentas por Medios Electrónicos –

MinTIC

Guía para la apertura de datos

artículo 9 de Ley 1712 de 2014

4 NARRACIÓN DEL HALLAZGO: En el marco de la estrategia de

gobierno en línea, la entidad no realizado el inventario de datos

abiertos por tales motivos, no se evidencia la aplicación de los

siguientes criterios:

• La entidad realiza actividades de comunicación y

difusión de los datos abiertos.

• La entidad promueve el uso de los datos abiertos, a

través de acciones que incentiven su aprovechamiento.

• La entidad mantiene actualizados los conjuntos de datos

publicados.


/Normas de Referencia

Guía para la apertura de datos

Plantilla para estructuración de datos –

Min TIC

Ley 1712 de 2014

|

• La entidad hace monitoreo a la calidad y uso de los

datos.

CAUSA: Falta de un inventario de datos abiertos.


en línea


5 NARRACIÓN DEL HALLAZGO: No se evidencia que la entidad

elaboré y divulgue un Plan de Participación por Medios

Electrónicos que busque promover la participación, conocer e

involucrar a los usuarios en el quehacer público.

CAUSA: Aplicación de acciones no planificadas


en línea







2015).

6 NARRACIÓN DEL HALLAZGO: La entidad no publica

información del directorio de servidores públicos, empleados y

contratistas en el SIGEP, en el sitio web de la institución

CAUSA: Falta de gestión de la entidad en los componentes de

información publica



Art. 2.1.1.2.1.5 del Decreto 1081 de 2015

Ley 1712 de 2014

|

CONSECUENCIA: Incumplimiento de los parámetros de norma

con respecto a la información de hojas de vidas de servidores

públicos y contratistas del estado


7 NARRACIÓN DEL HALLAZGO: La entidad no tiene registrado

los tramites y otros procedimientos administrativos en el sistema

único de información de tramites – SUIT; tampoco dispone de un

enlace en el sitio web de la institución que sirva como acceso

directo al Portal del Estado Colombiano - PEC

CAUSA: Falta de identicacion de criterios para incluir los

tramites en el SUIT

CONSECUENCIA: Incumplimiento de lineamientos del gobierno




Decreto 1081 de 2015

Ley 1712 de 2014

8 NARRACIÓN DEL HALLAZGO: La entidad no elabora el

informe de solicitudes de acceso a la información a la

información pública de que habla el literal h) del artículo 11 de la

ley 1712 de 2014 y el articulo 2.1.1.6.2. del Decreto 1081 de

2015.

CAUSA: : Falta de gestión de la entidad en los componentes

de información publica

CONSECUENCIA: Incumplimiento de los parámetros de norma

con respecto a la información de hojas de vidas de servidores

públicos y contratistas del estado



Literal h) del artículo 11 de la ley 1712 de

2014 y el artículo 2.1.1.6.2. del Decreto

1081 de 2015

|


9 NARRACIÓN DEL HALLAZGO: Se evidencio con que existen

datos desactualizados de la entidad en el sitio web de la

institución.

CAUSA: Deficiencia en los procedimientos de actualización de

datos

CONSECUENCIA: Desinformación a los usuarios y grupos de

interés




Registro

Fotográfico por Screemshot

10 NARRACIÓN DEL HALLAZGO: La entidad no ha implementado

una política de tratamiento de datos personales conforme a lo

establecido en el artículo 13 del decreto 1377 de 2013

CAUSA: Ausencia de directrices en la aplicación de tratamiento

de datos personales

CONSECUENCIA: Inadecuado tratamiento de datos personales

RESPONSABLE: Ingeniero de Sistemas, Director



Art. 13 del decreto 1377 de 2013

11 NARRACIÓN DEL HALLAZGO: La entidad no se ha realizado

la caracterización de sus usuarios, ciudadanos y grupos de

interés para gestión de TIC.

CAUSA: No se ha iniciado proceso de caracterización

CONSECUENCIA: No se tiene caracterizado los usuarios




Guía para la caracterización de usuarios,

ciudadanos y grupos de interés -

Departamento Nacional de Planeación

PNSC

|

12 NARRACIÓN DEL HALLAZGO: La entidad no dispone en la

actualidad de medios electrónicos que permiten gestionar

certificaciones y constancias garantizando la seguridad y

privacidad de la información.

CAUSA: Se está apenas en etapas iniciales de procesos de

tramites en línea

CONSECUENCIA: Desfase en el proceso de implementación

de gobierno en línea







2015).

13 NARRACIÓN DEL HALLAZGO: La entidad no cuenta en la

actualidad con un plan seguridad y privacidad de la información.

CAUSA: Desconocimiento de un modelo para elaboración del

Plan

CONSECUENCIA: Proceso no documentado


Evidencias/documentos/Normas de

Referencia




2015).

M.SPI Modelo de Seguridad y Privacidad

de la Información para GEL - Anexo No.

8 y 9

NTC-ISO-IEC 27001:2013

informe de auditorÍa sistema de informacion y...

Documents