informe definitivo de auditorÍa modalidad especial … · 2018-09-25 · informe final de...

CONTRALORÍA MUNICIPAL DE PEREIRA INFORME FINAL DE AUDITORIA MODALIDAD ESPECIAL EXPRES

CÓDIGO FECHA VERSIÓN PÁGINAS

FO 1.3.2 -1.3 10-07-2018 2.0 1 de 17

Carrera 7 No. 18-55 Palacio Municipal piso 7º. – Teléfono: 3248278 Fax: 3248299 Web: www.contraloriapereira.gov.co

E-mail: [email protected]

Pereira - Risaralda

INFORME DEFINITIVO DE AUDITORÍA

MODALIDAD ESPECIAL

AUDITORÍA ESPECIAL AL MANEJO DE LAS TECNOLOGÍAS DE LA INFORMACIÓN DE LA EMPRESA SOCIAL DEL ESTADO SALUD PEREIRA,

VIGENCIA 2017

EMPRESA SOCIAL DEL ESTADO SALUD PEREIRA, VIGENCIA 2017

CONTRALORÍA MUNICIPAL DE PEREIRA

PEREIRA, JULIO DE 2018



FO 1.3.2 -1.3 10-07-2018 2.0 2 de 17



Pereira - Risaralda

CONTRALORÍA MUNICIPAL DE PEREIRA

EMPRESA SOCIAL DEL ESTADO SALUD PEREIRA, VIGENCIA 2017

ALBERTO DE JESÚS ÁRIAS DÁVILA

Contralor Municipal

EQUIPO DIRECTIVO

JUAN DAVID HURTADO BEDOYA

CARLOS ANDRÉS DE LA PAVA ISAZA ESPERANZA LONDOÑO OCAMPO DORA ÁNGELA TORRES QUICENO

EQUIPO AUDITOR

DORA LUZ GONZÁLEZ GONZÁLEZ

Profesional Universitario - Coordinadora

NANCY MARÍA ESCOBAR RESTREPO Profesional Universitario

HECTOR JAIME RAMIREZ GIRALDO Profesional Universitario



FO 1.3.2 -1.3 10-07-2018 2.0 3 de 17



Pereira - Risaralda

TABLA DE CONTENIDO

1. CARTA DE CONCLUSIONES .......................................................................... 4 1.1. CONCEPTO SOBRE EL ANÁLISIS EFECTUADO ....................................... 5

1.2. PLAN DE MEJORAMIENTO ......................................................................... 7 2. RESULTADO DE AUDITORIA ......................................................................... 7 3. RELACIÓN DE HALLAZGOS…………………………………………………… 11



FO 1.3.2 -1.3 10-07-2018 2.0 4 de 17



Pereira - Risaralda

1. CARTA DE CONCLUSIONES

Doctor FRANCISCO GONZALEZ BAENA Gerente (E) Empresa Social del Estado Salud Pereira

Asunto: Carta de Conclusiones Auditoría Especial al Manejo de las Tecnologías de la Información de la Empresa Social del Estado Salud Pereira, Vigencia 2017

La Contraloría Territorial, con fundamento en las facultades otorgadas por el Artículo 267 de la Constitución Política, practicó “Auditoría Especial al Manejo de las Tecnologías de la Información de la Empresa Social del Estado Salud Pereira, Vigencia 2017”, a través de la evaluación de la seguridad, efectividad y eficiencia en el manejo de las mismas, así el cumplimiento de la normatividad aplicable al proceso. Es responsabilidad de la administración el contenido de la información suministrada por la entidad y analizada por la Contraloría Territorial. La responsabilidad de la Contraloría Territorial consiste en producir un Informe de Auditoría Especial que contenga el concepto sobre el examen practicado. La evaluación se llevó a cabo de acuerdo con normas de auditoría generalmente aceptadas, con políticas y procedimientos de auditoría establecidos por la Contraloría Territorial, consecuentes con las de general aceptación; por lo tanto, requirió acorde con ellas, de planeación y ejecución del trabajo de manera que el examen proporcione una base razonable para fundamentar nuestro concepto. La auditoría incluyó el examen, sobre la base de pruebas selectivas, de las evidencias y documentos que soportan el cumplimiento de las disposiciones legales en cuanto a formulación y ejecución del Plan Estratégico de Tecnologías de Información, gestión del riesgo, existencia y efectividad de controles físicos y lógicos en dicha área, implementación de la estrategia de Gobierno Digital,



FO 1.3.2 -1.3 10-07-2018 2.0 5 de 17



Pereira - Risaralda

cumplimiento de la normatividad en cuanto a la protección de los Derechos de Autor sobre uso de software, así como la implementación del control fiscal interno en el área evaluada; los estudios y análisis se encuentran debidamente documentados en papeles de trabajo, los cuales reposan en los archivos de la Contraloría Territorial.

1.1. CONCEPTO SOBRE EL ANÁLISIS EFECTUADO

La Contraloría Territorial como resultado de la auditoría practicada, conceptúa que la gestión en el área de Tecnologías de información y comunicación de la Ese Salud Pereira, es FAVORABLE, cumpliendo con los principios de seguridad, efectividad y eficiencia evaluados en el proceso auditor, obteniendo una calificación de 94.6 puntos, como se muestra en la siguiente tabla:

TABLA 1. RESULTADOS DE LA GESTIÓN DE TI DE LA ESE SALUD PEREIRA

TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN

ASPECTO SISTEMAS DE INFORMACIÓN 94.5

CRITERIOS SISTEMAS DE INFORMACIÓN Puntaje Atribuido Calculado

Integridad de la Información 87.5

Disponibilidad de la Información 95.6

Efectividad de la Información 99.3

Eficiencia de la Información 99.0

Seguridad y Confidencialidad de la Información. 91.2

Estabilidad y Confiabilidad de la Información 95.0

Estructura y Organización área de sistemas. 93.7 Fuente: Metodología Auditoria Regular

Una vez aplicados los parámetros establecidos en la Guía de auditoría Territorial “G.A.T, a fin de evaluar los componentes: integridad, disponibilidad, efectividad, eficiencia, seguridad, confidencialidad, estabilidad y confiabilidad de la información, estructura y organización del área de sistemas, se observaron debilidades en cuanto a los siguientes aspectos: No se evidencia la implementación de suficientes medidas de seguridad física del cuarto de servidores de la entidad, con el fin de proteger de posibles daños a los activos informáticos y los datos almacenados en ellos.



FO 1.3.2 -1.3 10-07-2018 2.0 6 de 17



Pereira - Risaralda

Limitaciones presupuestales durante la vigencia auditada, que no permitieron realizar las inversiones requeridas en la actualización de tecnológica de la entidad y el apoyo a los planes de contingencia. Aunque la entidad entiende la importancia del proceso de gestión de TI como soporte fundamental de los procesos misionales de la entidad, no se observa la aplicación de auditorías internas de sistemas, dirigidas a la evaluación periódica de bases de datos y procesos relacionados con tecnología de información, que permitan identificar y subsanar posibles deficiencias, a fin de garantizar la disponibilidad, integridad y seguridad de la información. Los sistemas de información de la entidad no se encuentran integrados entre sí, situación que dificulta la obtención de información suficiente, relevante, confiable y oportuna para la toma de decisiones, evitando la duplicación de datos que puede conllevar al error. Se evidencian avances significativos en la implementación de la estrategia de Gobierno Digital, aunque se presentan algunas observaciones que requieren de análisis y mejoramiento por parte de la entidad En lo referente a las tecnologías de la información y comunicación, la entidad presenta fortalezas en cuanto a los controles de acceso a las bases de datos, a las medidas de seguridad lógicas, el establecimiento de responsabilidades sobre la administración de la información, así como de los mecanismos para salvaguardarla; además, cuenta con políticas de informática, con el modelo de seguridad y protección de la información, planes de contingencia, mapa de riesgos con seguimientos trimestrales. Dentro de los componentes transversales, se revisaron la gestión del control interno en el área auditada, así como la aplicación del principio de legalidad en la gestión de TI, con el fin de evaluar los avances en la Estrategia de Gobierno Digital. CONTROL FISCAL INTERNO A través del ejercicio de la evaluación adelantada se evidenció que el control fiscal en la gestión de TI es eficiente, al evidenciarse que la entidad implementó controles adecuados en el proceso.



FO 1.3.2 -1.3 10-07-2018 2.0 7 de 17



Pereira - Risaralda

En cuanto a la labor desarrollada por la Asesoría de Control Interno de la ESE Salud Pereira, se evidencian seguimientos a la implementación de la estrategia Gobierno Digital, así como al cumplimiento de la normatividad en cuanto a derechos de autor. No se observa la ejecución de auditorías encaminadas a evaluar los sistemas de información existentes y la administración de las bases de datos de la entidad, teniendo en cuenta que las debilidades que pueden afectar la confiabilidad de la información, como principal activo de la organización.

1.2. PLAN DE MEJORAMIENTO

La Entidad debe ajustar el plan de mejoramiento que se encuentra desarrollando, con acciones y metas que permitan solucionar las deficiencias comunicadas durante el proceso auditor y que se describen en el informe. El Plan de Mejoramiento ajustado debe ser entregado dentro de los términos establecidos por la Contraloría Territorial. Dicho plan de mejoramiento debe contener las acciones y metas que se implementarán por parte de la Entidad, las cuales deberán responder a cada una de las debilidades detectadas y comunicadas por el equipo auditor, el cronograma para su implementación y los responsables de su desarrollo.

2. RESULTADO DE AUDITORIA

2.1. ALCANCE La Contraloría Municipal de Pereira en cumplimiento de su función constitucional y del Plan General de Auditorías de la vigencia 2018, aprobado mediante Resolución N° 014 del 15 de enero de 2018, mediante Memorando N° 028 del 5 de marzo de 2018 fue asignada la “Auditoría Especial al Manejo de las Tecnologías de la Información de la Empresa Social del Estado Salud Pereira, Vigencia 2017”. Es por ello que la presente auditoría pretendió dar respuesta a los objetivos específicos definidos desde la etapa de planeación; así:

Evaluar la eficiencia en la formulación y ejecución del Plan Estratégico de Tecnologías de Información – PETI.



FO 1.3.2 -1.3 10-07-2018 2.0 8 de 17



Pereira - Risaralda

Evaluar la eficiencia en la gestión del riesgo en el área de Tecnologías de la información. (planes de manejo, planes de seguridad y respaldo de la información).

Evaluar la existencia y efectividad de controles físicos y lógicos.

Determinar el grado de cumplimiento de la entidad en cuanto a la implementación de la estrategia de Gobierno en Línea.

Verificar el cumplimiento de la normatividad establecida en cuanto a la protección de los Derechos de Autor sobre uso de software.

Establecer el inventario de la entidad en cuanto a software aplicativo en uso, generando la ficha técnica de cada aplicación.

Establecer el inventario de activos informáticos (hardware y software)

Conceptuar sobre el control fiscal interno en el área.

2.2. HECHOS RELEVANTES La auditoría se enfocó en evaluación de la gestión en el área las tecnologías de la información y las comunicaciones, conceptuando sobre la seguridad, efectividad y eficiencia en el manejo de las mismas, así como el cumplimiento de la normatividad aplicable, durante la vigencia 2017, dando aplicación a los parámetros establecidos en la Guía de auditoría Territorial “G.A.T” adoptada por la Contraloría Municipal de Pereira mediante la Resolución 097 del 06 de junio del 2013. Para ello, la Ese Salud Pereira aportó la información solicitada por el ente de control que permitiera su evaluación, tal como el PETSI Plan Estratégico de Sistemas de Información, el plan de acción de tecnologías de información para la vigencia 2017, el manual de las políticas de informática incluyendo el Modelo de Seguridad y Protección de la Información, plan de contingencia y recuperación, manual de funciones del área de Tecnologías de Información, el manual de



FO 1.3.2 -1.3 10-07-2018 2.0 9 de 17



Pereira - Risaralda

procesos, el mapa de riesgos y su seguimiento, el inventario de hardware y software, diagrama de la red, avances en la Estrategia de Gobierno en Línea y auditorías internas. Resulta importante destacar que, en el ejercicio de control fueron evaluadas las Tecnologías de Información y Comunicación, considerando aspectos como integridad, disponibilidad, efectividad, eficiencia, seguridad y confiabilidad, además de la estructura y organización de la misma, teniendo en cuenta el cumplimiento de la normatividad vigente.

La estrategia general que aplicó el equipo auditor para lograr el cumplimiento de los objetivos específicos contenidos en el presente ejercicio auditor, está definida en el componente de gestión, aplicable al proceso objeto de la auditoría especial y las matrices de calificación de gestión de TI adoptada y adaptada como se dijo antes, al tamaño y realidades de la organización. 2.3. FACTORES EVALUADOS

CUADRO N° 2 CRITERIOS SISTEMAS DE INFORMACIÓN

TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN

ASPECTO SISTEMAS DE INFORMACIÓN 94.5

CRITERIOS SISTEMAS DE INFORMACIÓN Puntaje Atribuido Calculado

Integridad de la Información 87.5

Disponibilidad de la Información 95.6

Efectividad de la Información 99.3

Eficiencia de la Información 99.0

Seguridad y Confidencialidad de la Información. 91.2

Estabilidad y Confiabilidad de la Información 95.0

Estructura y Organización área de sistemas. 93.7

Fuente: matriz de gestión fiscal, factor de TI aplicada a la Ese Salud Pereira

2.3.1. LEGALIDAD Y ACCESO A LA INFORMACION Durante la vigencia auditada, la ESE Salud Pereira presentó avances significativos en la implementación de la Estrategia Gobierno Digital, teniendo en cuenta las



FO 1.3.2 -1.3 10-07-2018 2.0 10 de 17



Pereira - Risaralda

normas y guías emitidas por el Ministerio de Tecnologías de la Información y las Comunicaciones (MinTIC). En el seguimiento y evaluación realizado en este proceso auditor, se evidencia en el sitio Web de la entidad el logro de algunos objetivos, permitiendo que alguna información considerada relevante pueda ser consultada por la ciudadanía, como: proyectos de inversión, plan estratégico, plan anual de adquisiciones, ejecución histórica anual, catálogo de datos abiertos, políticas de seguridad y protección de la información, rendición de la cuenta en línea, de la vigencia 2017, entre otros. No obstante, en el sitio Web se detectaron algunas observaciones que deben tenerse en cuenta para su mejoramiento, relacionados con el incumplimiento de algunos parámetros referentes a la transparencia y acceso a la información pública. 2.3.2. CONTROL FISCAL INTERNO A través del ejercicio de la evaluación adelantada se evidenció que para la vigencia evaluada, la entidad implementó controles adecuados en la gestión de TI, por lo tanto se conceptúa que el control fiscal interno en el proceso evaluado es eficiente. En cuanto a la labor desarrollada por la Asesoría de Control Interno de la ESE Salud Pereira, se evidencian seguimientos a la implementación de la estrategia Gobierno Digital, así como al cumplimiento de la normatividad en cuanto a derechos de autor. No se observa la ejecución de auditorías encaminadas a evaluar los sistemas de información existentes y la administración de las bases de datos de la entidad, teniendo en cuenta que las debilidades que pueden afectar la confiabilidad de la información, como principal activo de la organización. 3. RELACION DE HALLAZGOS

Una vez analizada la respuesta al informe preliminar enviada por el sujeto de control, fueron desestimadas dos (2) observaciones (10 y 16), al ser satisfactorias las aclaraciones realizadas a las mismas. En consecuencia, se establecieron dieciséis (16) hallazgos con connotación administrativa, los cuales se relacionan a continuación:



FO 1.3.2 -1.3 10-07-2018 2.0 11 de 17



Pereira - Risaralda

3.1. HALLAZGO ADMINISTRATIVO N° 1. UBICACIÓN DEL ÁREA DE

SISTEMAS DENTRO DE LA ESTRUCTURA ORGÁNICA Dentro de la estructura organizacional, el área de sistemas depende de la Dirección de Planeación y Proyectos, ubicación que no le permite ejercer de manera adecuada su autoridad, actitud crítica e independencia, para garantizar soluciones oportunas y efectivas. En la respuesta al informe preliminar, la entidad no desvirtuó lo expuesto por el ente de control, configurándose un hallazgo de tipo administrativo. 3.2. HALLAZGO ADMINISTRATIVO N° 2. SEGURIDAD FÍSICA CUARTO DE

SERVIDORES Se evidencian algunas deficiencias en las instalaciones físicas, específicamente el cuarto de servidores de la entidad, observando falta de adecuación y cumplimiento de estándares respecto a medidas de monitoreo y control de temperatura; igualmente se evidencian bajos niveles de seguridad, toda vez que no hay cámaras suficientes y extintores internos, además falta una puerta de seguridad. Esta situación puede exponer los equipos o activos críticos de información de la entidad a altos riesgos de pérdida o daños de los mismos. La entidad no ejerció ningún tipo de contradicción para este punto, por lo tanto, lo observado se establece como hallazgo de tipo administrativo. 3.3. HALLAZGO ADMINISTRATIVO N° 3. FUNCIÓN DE AUDITORÍA

INTERNA DE SISTEMAS No se observa la aplicación de auditorías internas de sistemas que permitan la evaluación de los sistemas existentes y la revisión de funciones de administración de base de datos DBA; en la estructura orgánica existe la Oficina Asesoría de Control Interno la cual no cuenta con personal suficiente para realizar esta función. Por lo tanto, la falta de mecanismos de seguimiento y monitoreo no permiten advertir los riesgos asociados al uso de las Tecnologías de la información en contravía a lo estipulado Ley 87 de 1993 Artículo 2 Objetivos del sistema de Control Interno, literales a), b), c) y e)



FO 1.3.2 -1.3 10-07-2018 2.0 12 de 17



Pereira - Risaralda

La entidad no ejerció el derecho de contradicción para este punto, por lo tanto, se configura un hallazgo de tipo administrativo 3.4. HALLAZGO ADMINISTRATIVO N° 4. DESACTUALIZACIÓN DEL PLAN

DE CONTINGENCIA La Ese Salud Pereira cuenta con un plan de contingencia vigencia 2017, sin embargo, se observó que en el” Plan de Recuperación - Recursos Tecnológicos” está desactualizado, toda vez que menciona la ubicación de servidores de contingencia en el Datacenter de Torre Central, situación que no corresponde a la realidad, por cuanto la entidad fue trasladada a la nueva sede en el mes de enero de 2017. Situación que podría impedir actuar de forma oportuna ante la ocurrencia de un evento. La entidad no ejerció contradicción para esta observación, por lo tanto, se establece un hallazgo de tipo administrativo. 3.5. HALLAZGO ADMINISTRATIVO N° 5. PLAN DE CONTINGENCIA La Gerencia y el área administrativa de la entidad, tienen conocimiento sobre el plan de continuidad de tecnologías de Información; de las pruebas realizadas, los tiempos de recuperación de las bases de datos y de las inversiones necesarias en tecnología que deben ejecutarse para soportar las necesidades de recuperación y reanudación en caso de ser necesario; sin embargo, en la vigencia evaluada 2017 se presentaron limitaciones en cuanto al presupuesto asignado, que podrían afectar la efectividad del plan ante la ocurrencia de un desastre. En la respuesta al informe preliminar, la entidad comunica que en la vigencia 2017, se realizó adición al Convenio Interadministrativo No.3291 del 29 de junio 2017 suscrito entre el Municipio de Pereira - Secretaría de Salud Pública y Seguridad Social y la ESE Salud Pereira, donde se adquirió la licencia de las bases de datos Oracle y Forms and Reports para ser instaladas en el Servidor de contingencia del Sistema de Información, Administrativo y Financiero SAFIX – de la ESE Salud Pereira. No obstante lo anterior, la adquisición de las licencias de Oracle para ser instaladas en el servidor de contingencia, se realizó mediante contrato No.330 de 22 de marzo de 2018, por lo tanto la observación se mantiene y se configura un hallazgo con connotación administrativa.



FO 1.3.2 -1.3 10-07-2018 2.0 13 de 17



Pereira - Risaralda

3.6. HALLAZGO ADMINISTRATIVO N° 6. ACTUALIZACIÓN MAPA DE RIESGOS

En la revisión al “Seguimiento, funcionamiento y monitoreo a la Matriz Mapa de Riesgo, correspondiente al cuarto trimestre de 2017, se observó que ante el riesgo “Deficiencia en la infraestructura tecnológica” fue realizado “… estudio para el mejoramiento de la infraestructura tecnológica, en el cual se solicita cambio de los computadores de baja configuración (más de 10 años de uso) y nuevos equipos de cómputo que se requieren. Igualmente el soporte, mantenimiento y actualización del software de Gestión Documental, Gestión de Calidad, PQRDS, Sitio Web y soporte especializado de Misión Crítica no fue aprobado por falta de presupuesto.” Esta acción fue calificada como no efectiva porque no fue aprobada por falta de presupuesto; lo que puede afectar la efectividad y eficiencia en la prestación de servicios de la entidad, toda vez que la tecnología es considerada obsoleta.

Manifiesta la entidad en la respuesta a la observación: “…Se adquirió: 1. Quince (15) computadores…2. Seis (6) dispositivos para firmas. 3. Nueve (9) licencias de office, soporte técnico, mantenimiento y actualización del software SEVENET instalado en la ESE Salud Pereira…,4. Soporte especializado de la plataforma de los servidores y bases de datos…, 5. Soporte especializado de la plataforma de los servidores y bases de datos…“. En la presente auditoría, al observar los contratos relacionados en el derecho de contradicción, se evidencia que estos se suscribieron en marzo de 2018, vigencia no incluida en el alcance de la auditoría, por lo tanto, aún no ha sido objeto de evaluación. En consecuencia, se mantiene la observación y se establece un hallazgo de tipo administrativo, debiendo ser incluido en plan de mejoramiento. 3.7. HALLAZGO ADMINISTRATIVO N° 7. MODELO DE COSTOS PARA LAS

TI La entidad no ha implementado un modelo de costos para los servicios de TI, que permita evaluar y controlar costos asociados al proceso, a fin de facilitar la prestación de un servicio de calidad, con un uso eficiente de los recursos de TI necesarios; tal como lo estipula la Ley 100 de 1993. “específica aún más los requerimientos en materia de costos, planteando la necesidad de que las entidades cuenten con un sistema de costos y registren los costos en el sistema contable, de manera que se pudiera establecer el costo de cada servicio, tal como



FO 1.3.2 -1.3 10-07-2018 2.0 14 de 17



Pereira - Risaralda

se describe… Artículo 185 Parágrafo: “Toda institución Prestadora de Servicios de Salud contará con un sistema contable que permita registrar los costos de los servicios ofrecidos…”. La entidad no ejerció derecho de contradicción, por lo tanto, se configura un hallazgo de tipo administrativo. 3.8. HALLAZGO ADMINISTRATIVO N° 8. TRANSPARENCIA Y ACCESO A

LA INFORMACIÓN PUBLICA Se observa que la entidad publicó en su sitio web oficial, en la sección "transparencia y acceso a la información pública”, el directorio de empleados y servidores públicos; sin embargo no se evidencia el enlace con el SIGEP. Igualmente no se encontraron publicados informes de gestión y evaluación y auditoría, correspondientes a la vigencia evaluada; en cuanto a Planes de Mejoramiento solo se encuentran publicados los suscritos por control interno, sin incluir los derivados de las auditorias desarrolladas por los entes de control; no se publicó el registro de Activos de Información, el índice de información clasificada y reservada; no se observa una opción que permita dar respuestas a solicitudes de información que realicen los usuarios, de acuerdo a lo establecido en la Ley 1712 de 2014 “Por medio de la cual se crea la Ley de transparencia y del derecho de acceso a la información pública nacional y se dictan otras disposiciones, Titulo II De la publicidad y contenido de la información.” Para está observación no se ejerció derecho de contradicción, por lo tanto se mantiene y se configura como un hallazgo de tipo administrativo. 3.9. HALLAZGO ADMINISTRATIVO N° 9. CRITERIO DE ACCESIBILIDAD Respecto a los “criterios de accesibilidad” en el sitio Web, se evidencia lo siguiente: La página no cuenta con textos alternativos como principal medio para hacer accesible la información ya que se pueden interpretar a través de cualquier modalidad sensorial (visual, auditiva o táctil); no cuenta con características sensoriales (videos, audios, sonidos), escazas sugerencias significativas, el idioma de la página es español, es decir no hay textos que permitan comunicación con otras etnias; en cuanto al procesamiento no se observan mecanismos de búsqueda. Como lo establece la Ley 1712 de 2014 “Por medio de la cual se crea la Ley de transparencia y del derecho de acceso a la información pública nacional se dictan otras disposiciones



FO 1.3.2 -1.3 10-07-2018 2.0 15 de 17



Pereira - Risaralda

Para está observación no se ejerció derecho de contradicción, por lo tanto se configura un hallazgo de tipo administrativo. 3.10. HALLAZGO ADMINISTRATIVO N° 10. CATÁLOGO DE FLUJOS DE

INFORMACIÓN En el sitio web no se evidencia el “Catálogo de Flujos de información”, que describa los procesos de la entidad desde el inicio hasta el final; su identificación permite a la institución conocer la información que actualmente intercambia con otras instituciones y actores, y como fluye la información al interior de la entidad; en cumplimiento a las directrices del Mintic en la G.INF.04 Guía Técnica de Información - Mapa de información. Para está observación no se ejerció derecho de contradicción, por lo tanto se configura un hallazgo de tipo administrativo. 3.11. HALLAZGO ADMINISTRATIVO N° 11. PLATAFORMA

INTEROPERABILIDAD DEL ESTADO Respecto a la automatización de datos, no se conoce la inscripción de los servicios de información en la plataforma de interoperabilidad del Estado colombiano, a través de la agenda de conectividad que permita intercambio de información entre entidades del sector público, lo que redunda en el mejoramiento de servicios. Lo anterior, teniendo en cuenta las directrices de Mintic - Gobierno digital. Para este punto la entidad no ejerció de derecho de contradicción, por lo tanto, se constituye un hallazgo de tipo administrativo que se incluirá en plan de mejoramiento. 3.12. HALLAZGO ADMINISTRATIVO N° 12. PLAN DE TRANSICIÓN DEL

PROTOCOLO IPv4 A IPv6 En cuanto a la seguridad y privacidad de la información, la entidad no ha adelantado el plan de transición del protocolo IPv4 a IPv6, protocolos que mejoran la red y seguridades de la misma. En contravía con la circular 002 del 6 de Julio del 2.011, la cual establece que “las entidades públicas deben adoptar todas las medidas necesarias para garantizar el máximo aprovechamiento de las tecnologías de la información y las comunicaciones en sus funciones y procesos, garantizando la implementación de los principios que se orientan sobre este tema, en la ley 1341 del 31 de Julio del 2009”. La entidad no ejerció derecho de



FO 1.3.2 -1.3 10-07-2018 2.0 16 de 17



Pereira - Risaralda

contradicción para este punto; por lo tanto, se la observación se mantiene y se configura en hallazgo con connotación administrativa. 3.13. HALLAZGO ADMINISTRATIVO N° 13. MANUAL DE POLÍTICAS DE

SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN En el Manual de políticas de seguridad y privacidad de la información, en la descripción del Perímetro de Seguridad, refiere los servidores ubicados en el Piso 10 Torre central, lo que no aplica por el traslado a la nueva sede. Lo anterior evidencia una desactualización de este documento para la vigencia 2017. En la respuesta al informe preliminar, el sujeto de control no ejerció derecho de contradicción para este punto; por lo tanto, se la observación se mantiene y se establece un hallazgo de tipo administrativo. 3.14. HALLAZGO ADMINISTRATIVO N° 14. FORMULACIÓN DEL PLAN DE

COMUNICACIÓN, SENSIBILIZACIÓN Y CAPACITACIÓN La entidad no ha adelantado la Formulación del plan de comunicación, sensibilización y capacitación, en lo referente a seguridad y privacidad de la información, el cual debe estar orientado a dar conocer a los usuarios los roles y responsabilidades de seguridad y privacidad de información y para el uso de los sistemas de información de la entidad; situación que no acata las directrices de MINTIC. Para este punto no se ejerció derecho de contradicción; por lo tanto, se establece un hallazgo de tipo administrativo que debe ser incluido en plan de mejoramiento. 3.15. HALLAZGO ADMINISTRATIVO N° 15. INTERFACES Los sistemas de información institucionales no cuentan con interfaces que permitan la actualización eficiente de datos, siendo necesaria la realización de procesos manuales, lo que podría afectar la confiabilidad de la información de la entidad. Analizados los argumentos expuestos en el derecho de contradicción que se transcriben “…Actualmente la entidad se encuentra en el proceso de implementación de un nuevo software Administrativo Integrado que contempla los siguientes módulos: “Historias Clínicas, Protección y Detención Temprana de Enfermedad, Eventos Adversos, Referencia y Contrarreferencia, Citas Médicas, Facturación Hospitalaria (Contratos, Admisiones y Facturación), Farmacia, Laboratorio Clínico, Presupuesto, Cartera y Glosas, Tesorería, Nomina y Talento



FO 1.3.2 -1.3 10-07-2018 2.0 17 de 17



Pereira - Risaralda

Humano, Modulo de Gestión gerencial, (reportes, Gráficos, Estadísticas, Indicadores y Proyecciones) Jurídica y garantía de Calidad …”, se mantiene la observación, por cuanto el sistema aún se encuentra en proceso de implementación, constituyéndose en un hallazgo de tipo administrativo que debe ser incluido en plan de mejoramiento. 3.16. HALLAZGO ADMINISTRATIVO N° 16. REPORTES POST-ADQUISICIÓN No se realizan reportes post-adquisición que permitan analizar los costos, beneficios proyectados en el estudio de factibilidad y los resultados actuales. Las inversiones correspondientes a TI deben contar con estudios posteriores en los que se evalúe la efectividad real del fortalecimiento tecnológico y la medida en que este contribuye al mejor desempeño organizacional, permitiendo medir la eficacia y efectividad de las inversiones en TI. En la respuesta al informe preliminar, no se aportó respuesta a lo observado, constituyéndose un hallazgo administrativo.

informe definitivo de auditorÍa modalidad especial … · 2018-09-25 · informe final de...

Documents