matriz consolidada riesgos & controles sox … · código de Ética de casa matriz, que...

Fraude Corrupción (Soborno) LA/FTAnti-

FraudeAnti-Corrupción LA FT

GR&C E.1.1. Gobierno de Control Secretaría General de ODC/ Gerencia

GeneralE.1.1.1.

Errores o direccionamiento en el proceso de toma de decisiones y/o de

aprobaciones en nombre de la Compañía, por debilidades en la asignación

de autoridad, inadecuada segregación de funciones, definición y

aprobación de la estructura de gobierno, generando pérdidas de valor

(contingencias) y/o afectación reputacional.

N/A 5 Extremo N/A 4 Mayor D: Probable 5 Extremo D: Probable 5 D Alto E.1.1.1.1

1. Aprobar los Estatutos de Oleoducto de Colombia S.A. (ODC) y sus modificaciones, por parte de la Asamblea de Accionistas, en los que se

documentan los órganos de gobierno de la Compañía (Asamblea General de Accionistas, Junta Directiva y Gerencia General de ODC ), con sus

funciones, atribuciones y responsabilidades.

2a. Aprobar por la Junta Directiva posterior a la revisión y validación por parte del Gerente General de ODC el "Manual de Autoridad y

Delegación-MAD" de Oleoducto de Colombia S.A. (ODC) que establece los niveles de aprobación y las delegaciones, para el desarrollo de sus

actividades.

2b.El MAD es divulgado a las Direcciones de los prestadores de servicios administrativos y operativos (CENIT / ECOPETROL) por correo

electrónico por parte de Secretaria General. En caso de requerir modificaciones la solicitud se eleva a la Secretaria General y la misma debe

ser aprobada por el nivel requerido.

x x x x x x x N/A 5 Extremo N/A 4 Mayor B: Raro 5B- Extremo- Raro 5-B- Intermedio.


GeneralE.1.1.2

Faltas éticas en ODC, de los empleados y/o miembros de Junta Directiva o

inadecuada toma decisiones, debido a:

1. La inadecuada definición, aprobación y divulgación de las políticas,

manuales y procedimientos en materia de: Delegación de autoridad,

Ética, Denuncias éticas, Cumplimiento y Buen Gobierno

2. No promover actuaciones basadas en la integridad y los valores éticos.

3. Falta de capacitación en relación a los temas de ética, cumplimiento,

conflictos de interés y mecanismos para realizar denuncias éticas.

4. Manejo inadecuado de las denuncias, consultas y dilemas de los

interpuestos por los grupos de interés.

5. Conflictos de interés en los miembros de Junta Directiva que no hayan

sido avalados por asamblea de accionistas

Lo cual puede ocasionar, materialización de actos indebidos,

incumplimiento o desconocimiento de los Estatutos y definiciones de la

normativa interna, afectando el clima organizacional y la reputación y

eventualmente generando la pérdida de valor de la Compañía, entre

otros.

N/A 5 Extremo N/A 5 Extremo D: Probable 5 Extremo D: Probable 5 D Alto E.1.1.2.1

Aprobar por la Junta directiva la adhesión a las siguientes políticas de la Casa Matriz y políticas corporativas de ODC:

1. Adhesión:

1.1. Código de Ética de Casa Matriz, que contiene un conjunto de declaraciones explícitas de comportamientos y disyuntivas éticas, además de

los lineamientos de regalos, cortesías, atenciones y suscripción de patrocinios.

1.2.El procedimiento de gestión de denuncias de la Casa Matriz, especificando las excepciones en las actividades a realizar para los casos que

no aplique por la estructura organizacional de ODC.

1.3. El Manual de Cumplimiento del Prestador de Servicios administrativos, que establece las directrices y lineamientos generales para

garantizar el cumplimiento de los mecanismos de identificación, prevención, detección, reporte, monitoreo y respuesta ante actos de

corrupción, fraude, lavado de activos y/o financiación del terrorismo, que puedan presentarse en ODC, especificando las excepciones en las

actividades a realizar en los casos que no aplique por la estructura organizacional de ODC.

2.Aprobación políticas de ODC:

2.1. el Manual para la Prevención del Lavado de Activos y la Financiación del Terrorismo y sus modificaciones que establece directrices y

lineamientos generales para la prevención del lavado de activos y la financiación del terrorismo LA/FT, aplicables a cada una de las contrapartes

con las cuales Oleoducto de Colombia S.A, tiene vínculos de negocios, contractuales o jurídicos que involucren un factor de riesgo de LA/FT. El

Manual para la Prevención del Lavado de Activos y la Financiación del Terrorismo es administrado (mantenido, divulgado) por el Oficial de Ética

y Cumplimiento de ODC.

Divulgar los cambios en las políticas adheridas y propias de ODC a los empleados y prestadores de servicios por correo electrónico.

x x x x x x x N/A 5 Extremo N/A 5 Extremo B:Raro 5B- Extremo- Raro 5-B- Intermedio.


GeneralE.1.1.2

















otros.


1. Aprobar el nombramiento de los miembros de la Junta Directiva de ODC así como sus compensaciones.

2. Designar miembros del Comité Financiero y Auditoría de ODC de acuerdo a lo establecido en el Reglamento.

3. Analizar los resultados de las auto-evaluación de los miembros principales de la Junta Directiva de ODC y de sus comités.



GeneralE.1.1.2

















otros.


Obtener manifestaciones anuales de cumplimiento de los siguientes lineamientos:

1. Código de Ética por parte de los empleados y Junta Directiva de la compañía, manifestando su adherencia.

2. Pacto de Transparencia de los empleados de la compañía y miembros de Junta Directiva.

3.Declaración de conflictos de interés por parte de los empleados y Junta Directiva, en los casos que se presenten.

Las manifestaciones de los empleados quedan archivadas en la carpeta de hoja de vida para los empleados y la de los miembros de la Junta

Directiva en la carpeta de esté órgano conservada por la Secretaría General de ODC.



GeneralE.1.1.2

















otros.


Aprobar y monitorear el cumplimiento al plan/programa de capacitación para los miembros de Junta Directiva, empleados y contratistas en

temas relacionados con:

1. Código de Ética que indica los lineamientos en materia de regalos y atenciones, suscripción de patrocinios, entre otros.

2. Línea ética

3. Manual de Cumplimiento del Prestador de Servicios administrativos.

Socializar los canales diseñados por la Compañía para recibir denuncias confidenciales de empleados, miembros de Junta Directiva y terceros de

acuerdo con el dicho plan/programa de capacitación



GeneralE.1.1.2

















otros.


1. Monitorear el avance y resolución de las denuncias éticas que los empleados y terceras partes realizan por medio del canal confidencial de la

Casa Matriz relacionadas con Oleoducto de Colombia S.A. (ODC). El Oficial de Ética y Cumplimiento gestiona las denuncias de acuerdo al

procedimiento de gestión de denuncias adherido y reporta el estado de los casos y dilemas éticos relevantes para conocimiento del Comité

Financiero y de Auditoría y Junta Directiva de ODC para que se tomen las recomendaciones y decisiones cuando haya lugar.

Cuando el caso involucre al Oficial de Ética y Cumplimiento, la denuncia será direccionada por la Gerencia General.

2. Reportar a la UIAFF según sea el caso las operaciones sospechosas de acuerdo con lo establecido en el Manual de LAFT y la normatividad

pertinente.


MATRIZ CONSOLIDADA RIESGOS & CONTROLES SOX OLEODUCTO DE COLOMBIA S.A (ODC)

Combinación Nivel de Riesgo

InherenteCódigo del Control Actividad de ControlProceso Gerencia No. Riesgo Riesgo Asociado

Tipo de ImpactoTipologia control

5B- Extremo-

Intermedio

Nivel de Riesgo

ResidualPersonas Económicos Medio Ambiente Reputación

Tipo de Impacto

Riesgo de Cumplimiento Personas Económicos Medio Ambiente Reputación

Probabilidad del Riesgo Probabilidad del

Riesgo


GeneralE.1.1.2

















otros.


Verificar que se cumpla con la normativa legal establecida para el tratamiento de posibles conflictos de interés de los miembros de Junta

Directiva de ODC que puedan afectar la independencia y objetividad en el proceso de toma de decisiones en caso de declarar posibles conflictos

por parte de los miembros de Junta Directiva.

En caso de identificar conflicto de interés, se reporta a la Asamblea de Accionistas para su resolución


SIR&CO E.3.1.

MonitoreoAuditoría Interna E.3.1.1.

Fallas en el monitoreo independiente al sistema de control interno, debido

a:

1. No contar con lineamientos y directrices claras del rol y función del

Comité de Auditoría (CA)

2. Inadecuada asignación de roles, responsabilidades y línea de reporte de

la Auditoría Interna.(A.I)

3. No contar con un plan general de auditoria (PGA) aprobado por el CA,

basado en riesgos que agregue valor al negocio o esté alineado con la

estrategia de la Compañía.

4. Inadecuado o inoportuno seguimiento a la ejecución del plan anual de

auditoria interna.

5. Conflictos de interés o independencia, supeditaje gerencial o colusión

del equipo de AI.

Lo que genera incumplimiento al estándar de monitoreo del Grupo

Empresarial.

N/A 5 Extremo N/A 5 Extremo C: Posible 6 Catastrófico C: Posible 6 C Alto E.3.1.1.1

1. Aprobar el Reglamento de Comité Financiero y de Auditoría como apoyo a la Junta Directiva para supervisar el Sistema de Control Interno.

2. Aprobar el Manual de Auditoría y el Estatuto de Auditoría Interna que establece los lineamientos para la ejecución de la función de la

auditoría Interna, el cual incluye las normas sobre la independencia y objetividad, actitud y cuidado profesional atendiendo la definición de

competencias del equipo de auditoría y plan de capacitación así como las normas de desempeño para la ejecución de trabajos de auditoría

interna y la supervisión de actividades.

3.Declarar anualmente al Comité Financiero y Auditoría, la independencia de la función de Auditoria Interna basado en estructura

organizacional (depende del comité) y la confirmación de independencia de los miembros del equipo para los trabajos individuales. Esta

declaración queda debidamente documentada en las actas del comité.

x x x x x x x N/A 3 Moderado N/A 3 Moderado B: Raro 3B Moderado- Raro 3B-Medio

SIR&CO E.3.1.


Fallas en el monitoreo independiente al sistema de control interno, debido

a:

1. No contar con lineamientos y directrices claras del rol y función del

Comité de Auditoría (CA)

2. Inadecuada asignación de roles, responsabilidades y línea de reporte de

la Auditoría Interna.(A.I)

3. No contar con un plan general de auditoria (PGA) aprobado por el CA,

basado en riesgos que agregue valor al negocio o esté alineado con la

estrategia de la Compañía.

4. Inadecuado o inoportuno seguimiento a la ejecución del plan anual de

auditoria interna.

5. Conflictos de interés o independencia, supeditaje gerencial o colusión

del equipo de AI.

Lo que genera incumplimiento al estándar de monitoreo del Grupo

Empresarial.

N/A 5 Extremo N/A 5 Extremo C: Posible 6 Catastrófico C: Posible 6 C Alto E.3.1.1.2

1. Aprobar el Plan General de Auditoría (PGA) presentado por la Auditoría interna basado en el Manual de Auditoría Interna.

De presentarse ajustes al PGA, se presentará nuevamente al Comité para su aprobación.

2.Monitorear el cumplimiento del PGA por medio de la presentación trimestral de la Auditoría Interna al Comité Financiero y de Auditoría y

Junta Directiva de ODC.

x x x x x x x N/A 3 Moderado N/A 3 Moderado B: Raro 3B Moderado- Raro 3B-Medio

SIR&CO E.3.1.


Inefectividad de los controles de reporte financiero debido a: errores en el

diseño del control, no operatividad del control, incumplimiento, errores

del dueño del proceso, falta de seguimiento y monitoreo lo que generaría

materialización de riesgos operativos, de reporte, de cumplimiento

,afectación la certificación SOX de ECP.

N/A 4 Mayor N/A 5 Extremo C: Posible 4 Mayor C: Posible 4 C Intermedio E.3.1.2.1

Evaluar y certificar el diseño y funcionamiento de los riesgos y controles de los procesos de la compañía, por medio de la certificación anual de

SOX que es reportada a Casa Matriz.

En caso de presentar deficiencias reportadas en está certificación, se comunican al prestador de servicios para la definición de los planes de

mejora y remediación.

x x x x x x x N/A 3 Moderado N/A 5 Extremo B: Raro 5B Extremo- Raro 5B-Intermedio

SIR&CO E.3.1.


Incumplimiento en la gestión contractual de los contratistas de

operación y mantenimiento y prestación de servicios administrativos

debido a: errores en los diseños de los controles de supervisión de

contratos, no operatividad del control, celebración de transacciones sin la

debida autorización, incumplimiento, errores del dueño del proceso, falta

de seguimiento y monitoreo lo que generaría materialización de riesgos

operativos, de reporte , de cumplimiento y pérdidas económicas.

5 Extremo 5 Extremo 5 Extremo 5 Extremo C: Posible 5 Extremo C: Posible 5 C Intermedio E.3.1.3.1.

Monitorear la ejecución del contrato administrativo y de operación y mantenimiento con el prestador de servicios a través de reunión mensual

con el administrador del contrato o con quién este designe, en la que se evalúa las actividades contractuales y/o requerimientos ordinarios que

se requieran.

x x x x x x x 5 Extremo 5 Extremo 5 Extremo 5 Extremo B: Raro 5B Extremo- Raro 5B-Intermedio

SIR&CO E.2.1.

Evaluación de RiesgosGerencia de Aseguramiento E.2.1.1.

Fallas en la estructuración y despliegue de la Gestión de Riesgos y

controles, debido a:

1. Debilidades en la definición de políticas, metodologías y/o

herramientas para la identificación, valoración, tratamiento, monitoreo y

comunicación de riesgos y controles

2. Inadecuada divulgación de los lineamientos y políticas sobre la gestión

de riesgos y controles en la organización

3. No contar con una matriz de valoración de riesgos apropiada a la

Organización

4. No contar con un adecuado plan de tratamiento o acciones de

mitigación requeridas para riesgos identificados en la Organización.

Limitando que la Compañía cuente con una adecuada gestión de riesgos y

controles que soporte el desarrollo de la estrategia y sus objetivos.

N/A 5 Extremo N/A 5 Extremo D: Probable 5D Extremo- Posible 5 C Intermedio E.2.1.1.1

Aprobar la política y herramienta de gestión riesgos (Matriz RAM) que establece las directrices para la gestión de los riesgos y los controles de

ODC, así como la adhesión a la Guía de Gestión de Riesgos del prestador de Servicios.

Posteriormente se realiza la divulgación por parte del Gerente General de ODC por medio de correo electrónico al prestador de servicio.


SIR&CO E.2.1.


Fallas en la estructuración y despliegue de la Gestión de Riesgos y

controles, debido a:

1. Debilidades en la definición de políticas, metodologías y/o

herramientas para la identificación, valoración, tratamiento, monitoreo y

comunicación de riesgos y controles

2. Inadecuada divulgación de los lineamientos y políticas sobre la gestión

de riesgos y controles en la organización

3. No contar con una matriz de valoración de riesgos apropiada a la

Organización

4. No contar con un adecuado plan de tratamiento o acciones de

mitigación requeridas para riesgos identificados en la Organización.

Limitando que la Compañía cuente con una adecuada gestión de riesgos y

controles que soporte el desarrollo de la estrategia y sus objetivos.

N/A 5 Extremo N/A 5 Extremo D: Probable 5D Extremo- Posible 5 C Intermedio E.2.1.1.2

Supervisar y acompañar a los dueños de proceso en el levantamiento y actualización de los riesgos y los controles. En caso tal que durante la

revisión de los riesgos y controles se presenten acciones de mejora, se generan los planes de acción respectivos

Nota: En caso de existir ajustes en los riesgos o controles por cambios internos y externos, se incluyen en el listado y se deja documentado en el

control de cambios.


SIR&CO E.2.1.


Inadecuado monitoreo a la Gestión de Riesgos, debido a:

1. No reportar información relevante a las instancias organizacionales

adecuadas para la supervisión del sistema.

2. Falta de seguimiento a los riesgos relevantes para Cenit

Generando falta de alineación, retroalimentación y/o direccionamiento

respecto a la Gestión de Riesgos.

N/A 5 Extremo N/A 5 Extremo D: Probable 5D Extremo- Posible 5 C Intermedio E.2.1.1.3Monitorear y hacer seguimiento a los resultados de la gestión de riesgos de ODC, de acuerdo al ciclo de gestión de riesgos (la identificación,

valoración, tratamiento y monitoreo) definido por la Compañía. ( cuando y según aplique).X X X X X X X N/A 2-Menor N/A 2-Menor B:Improbable

2B-Menor-

Improbable 2B - Bajo

Información y Comunicación Secretaría General de ODC/ Gerencia

GeneralS 8.1.1

Falta de alineación entre la estrategia de Tecnología de la Información y la

de la Compañía, debido a no realizar un análisis de integración cuidadoso y

aplicable a las actividades del plan, información incompleta e inoportuna o

irregular, conflictos de interés o independencia (posible colusión), que

puede ocasionar incumplimiento de los objetivos de negocio y de gobierno

de la compañía, pérdidas económicas y afectación de la percepción

interna frente a la gestión de TI.

N/A 4 Mayor N/A 3 Moderado C: Posible 4 Mayor C: Posible 4 C Intermedio S.8.1.1.1

1. Aprobar el plan estratégico para tecnología de la información y sus modificaciones , que esté alineado con las estrategias generales de la

entidad. Los objetivos del plan de TI incluyen la entrega de ambientes seguros y confiables para la preparación de informes financieros para uso

externo de alta calidad y se consideran las necesidades de todas las áreas de la Compañía.

1.a. El Plan estratégico es almacenado en Share Point de ODC y se divulga a los interesados vía correo electrónico.

2. Realizar seguimiento a la ejecución del Plan Estratégico en la reunión trimestral de la dirección de talento humano y administración.

X X X X N/A 4-Mayor N/A 3-Moderado B-Improbable 4B-Improbale 4B-MEDIO


GeneralS.8.1.2

Modificaciones y/o accesos no autorizados a las hojas de cálculo utilizadas

en el proceso de reporte financiero u hojas de cálculo sensibles para los

procesos de negocio, presentación o carga de información incorrecta en

los sistemas de información, por desconocimiento de los lineamientos de

aseguramiento de hojas de cálculo, errores en la aplicación de la Guía de

aseguramiento de hojas de cálculo, fallas en el control de acceso a las

hojas de cálculo, almacenamiento en recursos compartidos sin o con faltas

de control de acceso, lectura y/o modificación, manipulación de las hojas

de cálculo (producción, alteración o supresión deliberada de registros) y

falta de controles de modificación de las hojas de cálculo, que puede

generar afectación a la razonabilidad de los Estados Financieros, pérdida o

mal uso de la información, inadecuada toma de decisiones, sanciones,

multas o pérdidas económicas.

N/A 5 Extremo N/A 5 Extremo C: Posible 5 Extremo C: Posible 5 C Intermedio S.8.1.1.2

1.Aprobar la guía de aseguramiento de Hojas de Cálculo y sus modificaciones que es almacenada en Share Point de ODC y se divulga a los

interesados.

2. Verificar que las hojas de cálculo cumplan con lo definido en la Guía de Aseguramiento de Hojas de Cálculo. En señal de revisión, el

Propietario del activo envía al área de Tecnología de la Información una certificación indicando que las hojas de cálculo cumplen con los

parámetros establecidos en la Guía.

Nota: El control es semestral siempre y cuando el inventario de hojas de cálculo no se ajuste. En caso de cambios y novedades, se reportará al

área de TI.

X X X X X X X N/A 5-Catastrófico N/A 5-Catastrófico A:Raro 5A-Catastrófico-Raro 5A- INTERMEDIO


GeneralS.8.1.3

Accesos no autorizados a la información y/o servicios tecnológicos, debido

a inadecuado monitoreo de accesos, falta de procedimientos relacionados

con revisión y depuración de cuentas en los sistemas de aplicación, falla en

la gestión de conflictos de segregación de funciones, que puede generar

fraude, pérdidas económicas, de confidencialidad e indisponibilidad de la

información.

N/A 6 Catastrófico N/A 6 Catastrófico D: Probable6 Catastrófico D:

Probable6 D Alto S.8.1.3.1

1. Los dueños de proceso y/o administradores de contrato verifican que los accesos de los usuarios están asignados en los sistemas de

información bajo alcance SOX de acuerdo con sus funciones. Indicar su aprobación o solicitud de ajustes de los accesos revisados. La verificación

es realizada con el reporte de usuarios generado por un miembro del área de Tecnología de la información.

2. A partir de la verificación, realizar el plan de acción de las observaciones identificadas por los dueños del proceso.

X X N/A 5-Catastrófico N/A 5-Catastrófico A:Raro 5A-Catastrófico-Raro 5A- INTERMEDIO


GeneralS.8.1.3


a inadecuado monitoreo de accesos, falta de procedimientos relacionados

con revisión y depuración de cuentas en los sistemas de aplicación, falla en

la gestión de conflictos de segregación de funciones, que puede generar

fraude, pérdidas económicas, de confidencialidad e indisponibilidad de la

información.



1. El dueño de proceso o responsable de la administración del contrato realiza la notificación de retiro/licencias/vacaciones de los funcionarios

de la compañía a todas las áreas afectadas para realizar las acciones correspondientes. X X N/A 5-Catastrófico N/A 5-Catastrófico A:Raro 5A-Catastrófico-Raro 5A- INTERMEDIO


GeneralS.8.1.4

Inadecuada concentración de funciones en los sistemas de información y/o

servicios tecnológicos debido a falla en la gestión de conflictos de

segregación de funciones, que podrían generar fraude y/o perdida

económica.

N/A 6 Catastrófico N/A 5 Extremo D: Probable6 Catastrófico D:


1. Aprobar la Matriz de segregación de funciones de los roles y responsabilidades y sus modificaciones.

2. Revisar si existen conflictos de segregación funcional de acuerdo con las reglas de segregación estándar para SAP, considerando la posible

existencia de:

- Conflictos de segregación de funciones a nivel de roles.

- Conflictos de segregación de funciones a nivel de usuarios.

3. En los casos de conflictos identificados en la revisión, se realiza la identificación y validación de controles compensatorios existentes y

definición de las acciones a seguir para su corrección

X X N/A 5-Catastrófico N/A 5-Catastrófico B-Improbable5B-Catastrófico-

Improbable5B- INTERMEDIO


GeneralS.8.1.5

Pérdida de confidencialidad, integridad o disponibilidad de la información,

ausencia de su divulgación y/o manejo inadecuado de la misma debido a la

implementación de controles no acordes a la clasificación de los datos y los

sistemas de información que estén bajo la administración de CENIT o de un

tercero, falta de lineamientos para la selección y administración de la

información, falla en la divulgación de dichos lineamientos y fallas en el

monitoreo de información clave, generando posible uso indebido de

información, generación de información fraudulenta y/o pérdida de valor

de la Compañía.

N/A 5 Extremo N/A 5 Extremo D: Probable 5 Extremo D: Probable 5 D Alto S.8.1.5.6

Aprobar la Política de Seguridad de la Información y sus modificaciones. Esta debe incluir:

-Responsabilidades por la seguridad de la información ,

-Declaración general de la importancia de la seguridad para la Compañía,

-Referencia a políticas, guías y procedimientos relacionados

-Responsabilidades de gestión de seguridad de la información de los empleados y contratistas

En caso de presentarse modificaciones a la Política de Seguridad de la Información el área de TI con apoyo del área de Comunicación divulgará

dichos cambios.

La manifestación de cumplimiento de la política de seguridad por parte de empleados y contratistas se encuentra en el control S8611

X X N/A 4-Mayor N/A 3-Moderado- B-Improbable4B-Mayor-

Improbable4B-MEDIO


GeneralS.8.1.5

Pérdida de confidencialidad, integridad o disponibilidad de la información,

ausencia de su divulgación y/o manejo inadecuado de la misma debido a la


sistemas de información que estén bajo la administración de CENIT o de un

tercero, falta de lineamientos para la selección y administración de la

información, falla en la divulgación de dichos lineamientos y fallas en el

monitoreo de información clave, generando posible uso indebido de

información, generación de información fraudulenta y/o pérdida de valor

de la Compañía.

N/A 5 Extremo N/A 5 Extremo D: Probable 5 Extremo D: Probable 5 D Alto S.8.1.5.7

Aprobar la guía del ciclo de vida de la información que establece los lineamientos para el manejo de la información en la Compañía y las

modificaciones que se le realicen.

En caso de presentarse modificaciones a la guía del ciclo de vida de la información el área de TI con apoyo del área de Comunicación divulgará

dichos cambios.

X X N/A 4-Mayor N/A 3-Moderado- B-Improbable4B-Mayor-

Improbable4B-MEDIO

GR&C S.2.1. Controles generales de

TI

Secretaría General de ODC/ Gerencia

GeneralS.8.2.1

Cambios no autorizados de los sistemas de información, alteración no

autorizada de datos, pérdida de integridad y confiabilidad de la

información o inestabilidad en el sistema, incorporación de código

maliciosos, intervención no autorizadas a las bases de datos, CiberCrimen

y Vulnerabilidad de los sistemas debido a inexistencia o incumplimiento de

un procedimiento formal de control de cambios que incluya la solicitud,

aprobación, pruebas y paso producción de los mismos, inexistencia o

incumplimiento de un plan de implementación y de rollback para los

cambios implementados en los sistemas, inexistencia o incumplimiento de

un procedimiento formal de control de cambios de emergencia o ausencia

de ambientes segregados y revisión de los accesos otorgados a los

desarrolladores en cada ambiente, que puede ocasionar falta de

disponibilidad, intermitencia, degradación de los servicios prestados por

TI, perdida de información, sanciones o multas.

N/A 6 Catastrófico N/A 6 Catastrófico C: Posible 6 Catastrófico C: Posible 6 C Alto S.8.2.1.1

1. Generar una solicitud de cambio con la información suministrada por el usuario solicitante y según lo establecido en las políticas o

procedimientos de la compañía. Dicha solicitud de control de cambios define el plan de implementación y plan de rollback, donde se tiene que

especificar en qué consiste el cambio y el plan para volver a atrás en caso de no ser exitoso el cambio.

2. Aprobación de cambio: La aprobación de cambios se realiza según lo categorizado y por los funcionarios designados en las políticas y

procedimientos de la compañía.

3. Pruebas: Las pruebas son realizadas en un ambiente de calidad, donde el usuario debe dar su aprobación según lo establecido en las políticas

y procedimientos de control de cambios de la compañía.

4. Paso a producción: La autorización del paso a producción es dada por el dueño de la información o proceso, luego de ser aprobadas las

pruebas por parte del usuario final. Lo anterior según lo establecido en las políticas y procedimientos de la compañía para el control de cambios.

X X N/A 5-Catastrófico N/A 5-Catastrófico C: Posible 5C: Catastrófico-

Posible 5C -ALTO


TI


GeneralS.8.2.1
















El jefe o representante del área solicitante aprueba los cambios de emergencia solicitados a través de correo electrónico o de la herramienta

de gestión. Adicionalmente, el área de TI da el visto bueno a dicha solicitud. X X N/A 5-Catastrófico N/A 5-Catastrófico B-Improbable5B-Catastrófico-

Improbable 5B-INTERMEDIO


TI


GeneralS.8.2.1
















El ERP cuenta con 3 ambientes de procesamiento:

- Desarrollo.

- Calidad.

- Productivo.

En los que es revisado la segregación de ambientes y roles de acuerdo con los siguientes lineamientos para los usuarios desarrolladores (ABAP):

- Desarrollo : Acceso ilimitado con programación,

- Calidad: Acceso limitado sin programación.

- Producción: No tienen acceso.

Identificar las desviaciones, justificar las desviaciones, definir e implementar el plan de acción producto de la revisión.

Para otros sistemas SOX se cuenta con un ambiente de desarrollo/pruebas de base de datos física y lógicamente separados, así:

• Desarrollo/Pruebas

• Producción

Para infraestructura no se tiene ambiente de pruebas. Las pruebas son realizadas en ventanas horarias que no afectan la operación de la

compañía.

X X N/A 5-Catastrófico N/A 5-Catastrófico B-Improbable5B-Catastrófico-



TI


GeneralS.8.6.1


a falta de políticas y/o procedimientos relacionados con la asignación de

cuentas de usuario y de perfiles, falta de procedimientos relacionados con

depuración de cuentas en los sistemas de aplicación, falta de

procedimientos relacionados con la revisión de usuarios con privilegios

administradores en los sistemas de aplicación, bases de datos y red de la

compañía, cambios o modificaciones temporales de privilegios de usuarios

y administradores de los sistemas, incumplimiento a las políticas y/o



Autorizar la creación y/o modificación de usuarios de forma individual o masiva en los sistemas y recursos de TI por parte del responsable

establecido en el procedimiento de administración de usuarios de la compañía.X X X X X X N/A 5-Catastrófico N/A 5-Catastrófico B-Improbable

5B-Catastrófico-



TI


GeneralS.8.2.6









procedimientos de administración de usuarios finales y usuarios

administradores, inadecuado monitoreo de accesos y no identificación de



Realizar una evaluación de segregación de funciones al momento de asignar permisos adicionales o nuevos a un usuario nuevo o ya existente en

el ERP de SAP.X X X X X X N/A 5-Catastrófico N/A 5-Catastrófico B-Improbable

5B-Catastrófico-



TI


GeneralS.8.2.6











roles y usuarios con conflictos de segregación de funciones, que puede

llegar a generar fraude, pérdida económica, de confidencialidad e



Ejecutar las acciones pertinentes para desactivar/eliminar los usuarios en las plataformas correspondientes cada vez que los administradores de

contrato (según sea el caso), notifica el retiro, licencias o vacaciones de personal al área de TI, de acuerdo con los procedimientos definidos.X X X X X X N/A 5-Catastrófico N/A 5-Catastrófico B-Improbable

5B-Catastrófico-



TI


GeneralS.8.1.3















Bloquear de los sistemas de información de la compañía los usuarios con 15 días de inactividad, de acuerdo con el procedimiento establecido de

administración de usuarios de la compañía.

Nota: Este control solo aplica para SAPX X X X X X N/A 5-Catastrófico N/A 5-Catastrófico B-Improbable

5B-Catastrófico-



TI


GeneralS.8.6.1













indisponibilidad de la información.



Revisar los usuarios con privilegios administradores en los sistemas de información de la compañía:

Semestralmente se genera un reporte de usuarios con privilegios de administración que están configurados en los sistemas de información de la

compañía de alcance SOX (Aplicación, BD y Sistema Operativo). Este reporte es enviado por el gestor de plataforma al responsable de

tecnología de acuerdo con el procedimiento de administración de usuarios con privilegios amplios de la compañía.

En señal de revisión del responsable de Tecnología de Información indica si los usuarios encontrados son lo autorizados para tener estos

privilegios.

X X X X N/A 5-Catastrófico N/A 5-Catastrófico B-Improbable5B-Catastrófico-



TI


GeneralS.8.2.6













Obtener la aprobación establecida en los procedimientos de la compañía para otorgar cuentas de usuario con privilegios de administración,

cuando esta se requiera en alguno de los sistemas de información de la compañía con alcance SOX.X X X X N/A 5-Catastrófico N/A 5-Catastrófico B-Improbable

5B-Catastrófico-



TI


GeneralS.8.6.1

Ataques cibernéticos sobre la infraestructura tecnológica debido a

inadecuada identificación, clasificación y gestión de los riesgos y

vulnerabilidades, falta de monitoreo, configuración no adecuada, que

puede llegar a generar perdida de confidencialidad e integridad de la

información, indisponibilidad de los servicios prestados por TI.



1. Revisar el análisis de vulnerabilidades a nivel de infraestructura de tecnología de información que soporte aplicaciones de alcance SOX.

2. Definir las acciones correctivas para las vulnerabilidades catalogadas como Altas y Medias de acuerdo con el reporte generado por las

herramientas de análisis de seguridad. Así mismo, debe realizarse seguimiento al plan de acciones. El procedimiento se realiza de la siguiente

forma:

Se realiza análisis de vulnerabilidades al menos una vez al año por cada plataforma de infraestructura.

Se genera el plan de remediación para las vulnerabilidades identificadas y se realiza el seguimiento al plan de remediación trimestralmente.

X X X X X X N/A 5-Catastrófico N/A 5-Catastrófico B-Improbable5B-Catastrófico-



TI


GeneralS.8.8.2

Acceso no autorizado/inapropiado a los equipos en el data center, evasión

de los controles de acceso lógico, indisponibilidad de los sistemas de

información, actividades no autorizadas sobre los sistemas de información,

debido a falta de controles de acceso lógicos, ausencia de controles físicos,

que puede causar inadecuado uso de la información, indisponibilidad, fuga

de información, perdida de la integridad y confidencialidad de la

información.

N/A 4 Mayor N/A 3 Moderado B: Raro 4 Mayor B: Raro 4 B Medio S.8.8.2.2

El responsable establecido de TI autoriza todos los accesos de funcionarios de Cenit o de ODC según el procedimiento de control de acceso al

centro de cómputo de la compañía y/o prestador de serviciosX X N/A 2-Menor N/A 1- Leve B-Improbable 2B-Leve- Improbable 2B - Bajo

GR&C N.1.1.

Facturación

Prestador de servicio (Gerencia de

Desarrollo Comercial)N.1.1.1

Errores o manipulación del proceso en el proceso de emisión de facturas

debido a: inadecuada parametrización del sistema, aprobaciones por

personal no autorizado, inadecuada segregación de funciones,

inadecuados niveles de autorización, registro inadecuado de cantidades a

facturar lo cual puede generar pérdida y/o fraude sobre la calidad y

exactitud de la información contable, pérdidas económicas, afectación de

relaciones comerciales e imagen de la Compañía.

N/A 5 Extremo N/A 2 Menor C: Posible 5 Extremo C: Posible 5 C Intermedio N.1.1.1.1

Verificar los controles automáticos del sistema a través de los cuales:

1. El sistema está parametrizado para generar facturas, solo cuando se tenga el documento de venta. El valor de la factura se calcula

automáticamente, una vez se carguen las cantidades y los precios en el sistema

2. El sistema SAP no permite generar dos documentos de venta asociados al mismo número de pedido externo SAP

3. Para las facturas ya emitidas, los campos de la factura son bloqueados por el sistema SAP (campos correspondientes a cantidades y precios)

4. Para las tarifas parametrizadas, el sistema SAP no permite generar facturas para fechas de precio en que las tarifas no estén vigentes

Anualmente el Profesional de Gestión de Ingresos y Reportes verifica esta configuración haciendo prueba y dejando como evidencia la pantalla

de ésta

Nota: La periodicidad de éste control es anual siempre y cuando no se hayan presentado cambios en la configuración solicitados por el área

X X X X N/A 4 Mayor N/A 2 Menor A: Improbable4 Mayor A:

Improbable4 A Bajo

GR&C N.1.1.

Facturación










N/A 5 Extremo N/A 2 Menor C: Posible 5 Extremo C: Posible 5 C Intermedio N.1.1.1.2

Validar que las solicitudes y/ o ajustes de facturación presenten la aprobación de la Gerencia General de ODC, validando que el correo

electrónico o solicitud física enviada sea por parte de la Gerencia General de ODC.

Nota: La facturación de Impuesto de Transporte lo solicitará el Profesional Gestión de Ingresos y Reportes

X X X X N/A 4 Mayor N/A 2 Menor A: Improbable4 Mayor A:

Improbable4 A Bajo

GR&C N.1.1.

Facturación










N/A 5 Extremo N/A 2 Menor C: Posible 5 Extremo C: Posible 5 C Intermedio N.1.1.1.3Aprobar la conciliación de solicitudes de facturación verificando que las solicitudes atendidas según el registro en el sistema SAP coincidan con

las facturas emitidas. Las diferencias son identificadas y resueltas de forma oportuna.X X X X N/A 4 Mayor N/A 2 Menor A: Improbable

4 Mayor A:

Improbable4 A Bajo

GR&C N.1.1.

Facturación



Sub o sobre estimación de ingresos involuntaria o fraudulenta debido a

falta de oportunidad de la información, estimación inadecuada y falta de

revisión de los servicios a facturar, generando registros contables erróneos

y pérdida de la calidad y exactitud de la información contable.

N/A 3 Moderado N/A 2 Menor D: Probable 3 Moderado D: Probable 3 D Intermedio N.1.1.2.1

Revisar por parte del Prestador de Servicios (Especialista en Soporte en la Operación) el monto a registrar por ingresos de operación portuaria

para TLU1 y TLU3 ya sea por provisión o legalización de la provisión, de acuerdo con el archivo en Excel enviado por el Profesional de Gestión y

Finanzas.

Para el caso de la provisión el Profesional de Gestión y Finanzas, realiza el cálculo tomando como base los archivos de servicios portuarios de

programación enviados por el área de operaciones del Prestador de Servicios (CENIT) y la tasa representativa de mercado publicada por el

Banco de La Republica de la fecha de la liquidación. En caso tal que la provisión presente una variación porcentual superior al 50% con relación

al mes anterior debe solicitar aprobación del Jefe Soporte de la Operación del Prestador de Servicios.

Para el caso de la legalización de provisiones, el Profesional de Gestión y Finanzas, revisa la legalización de los ingresos de provisión, a través de

los documentos físicos enviados por Ecopetrol vs los archivos de servicios portuarios emitidos por programación y utilizadas para el registro de la

provisión; se validan las desviaciones (en caso de aplicar) y se envía correo electrónico a Ecopetrol con los valores ajustar, los cuales se reversan

en la legalización del mes posterior si estos no superan el 20%, si son montos superiores al porcentaje establecido, debe solicitar aprobación por

parte del Especialista en Soporte en la Operación y Jefe Soporte de la Operación.

El Especialista envía aprobación de la provisión y/o legalización por correo electrónico al Profesional de Gestión y Finanzas quién informa al área

contable el valor de la provisión, posteriormente el Profesional de Gestión y Finanzas evidencia que el registro contable ha sido realizado en la

contabilidad (pantalla de SAP con el registro de la provisión).

X X N/A 2 Menor N/A 2 Menor B: Raro 2 Menor B: Raro 2 B Bajo

GR&C N.1.1.

Facturación



Sub o sobre estimación de ingresos involuntaria o fraudulenta debido a

falta de oportunidad de la información, estimación inadecuada y falta de

revisión de los servicios a facturar, generando registros contables erróneos

y pérdida de la calidad y exactitud de la información contable.


Revisar los valores pendientes por facturar al cierre del mes (calendario cierre contable) producto de las solicitudes de facturación no

atendidas, para consolidar las estimaciones por estos conceptos, que se reportan al área contable. El Coordinador de Gestión de Ingresos revisa

las estimaciones y en señal de aprobación, reenvía el correo electrónico al área de Contabilidad.

En caso de aplicar ajustes a los valores a estimar, el Coordinador de Gestión de Ingresos notifica por medio de correo electrónico al Profesional

de Gestión de Ingresos y Reportes, quién genera las modificaciones y/o ajustes para envío de la estimación al Coordinador de Gestión de

Ingresos.

X X N/A 2 Menor N/A 2 Menor B: Raro 2 Menor B: Raro 2 B Bajo

GR&C N.2.1.

Gestión y Capitalización de Activos

Prestador de Servicios (Gerencia

Finanzas)N.2.1.1.

Inadecuada gestión de activos fijos debido a errores en el registro de la

información en SAP en el momento de la creación, errores en la

actualización de las novedades y capitalización de activos, información

desactualizada, alteración o falsedad en la información, falta de revisión y

aprobación por el nivel requerido, fallas en el monitoreo de activos, lo cual

puede generar errores en los saldos de cuenta, pérdida o apropiación

inadecuada de activos y en la razonabilidad de los estados financieros.

N/A 4 Mayor N/A 3 Moderado E: Muy Probable 4 Mayor E: Muy Probable 4 E Alto N.2.1.1.1

Validar que las creaciones, bajas y traslados solicitados se registren correctamente en el sistema SAP, incluyendo los mantenimientos

capitalizables que han sido creados como activos en el módulo AM de SAP.

El Prestador de Servicios (profesional de Data Maestra de Activos), envía correo electrónico al Prestador de Servicios (Coordinador de Activos

Fijos), con el reporte mensual de datos maestros que es tomado del Sistema SAP, anexando los papeles de trabajo correspondientes a cada una

de las novedades que contiene las verificaciones. El Prestador de Servicios (Coordinador de Activos Fijos), en señal de revisión envía correo

electrónico al Prestador de Servicios (profesional de Data Maestra de Activos.)

De presentarse diferencias se envía correo electrónico al solicitante para su ajuste y comentarios por parte del profesional de data maestra de

activos con copia al Prestador de Servicios (Coordinador de Activos Fijos).

X X N/A 3 Moderado N/A 2 Menor C: Posible 3 Moderado C: Posible 3 C Medio

GR&C N.2.1.



Finanzas)N.2.1.1.









Revisar y aprobar las actividades de cierre contable asociadas al módulo de activos fijos (registro de altas, bajas, traslados) por medio de la

validación del cierre de las actividades del checklist de activos fijos. X X N/A 3 Moderado N/A 2 Menor C: Posible 3 Moderado C: Posible 3 C Medio

GR&C N.2.1.



Finanzas)N.2.1.1.









Revisar la conciliación de la toma física y los registros contables de acuerdo a la información suministrada por el tercero (avaluador) .

El Prestador de Servicios (Coordinador de Activos fijos) realiza una verificación aleatoria de los activos por placas y descripción acorde con las

especificaciones técnicas, dejando un papel de trabajo en señal de validación.

De encontrarse diferencias se toman las acciones necesarias con relación a la novedad.


GR&C N.2.1.



Finanzas)N.2.1.1.









Aprobar los formatos de bajas y traslados solicitados por el operador (Ecopetrol - contrato de Operación y Mantenimiento ) que contiene la

novedad de los activos de la compañía, verificando que el formato se encuentre firmado por el responsable de la solicitud y que la información

coincida con el reporte adjunto enviado por el área de Activos Fijos. En señal de su revisión firma el formato de la novedad solicitada. X X N/A 3 Moderado N/A 2 Menor C: Posible 3 Moderado C: Posible 3 C Medio

GR&C N.2.1.



Finanzas)N.2.1.2.

Inadecuado reconocimiento de los activos debido a desconocimiento de la

norma, aplicación tardía del análisis de avalúos en activos, omisión y/o

registro contable equivoco y reconocimiento de gastos/costos como

activos lo cual puede generar incumplimiento de la normatividad legal,

sobre o subvaloración de la utilidad y poca fiabilidad en los estados

financieros.


Validar el cumplimiento de la normatividad vigente en cuanto al reconocimiento del valor actual y vidas útiles de los activos fijos mediante la

contratación de un avaluador técnico especializado.

Para el caso del avalúo técnico, este se efectúa para información de seguros, cada 3 años.

Para el caso de las vidas útiles, se revisan las premisas de las vidas útiles aplicables a los activos de la compañía y se señalan los cambios en los

mismos si da lugar, y en señal de revisión por parte del El Prestador de Servicio (Coordinador de Activos Fijos) emite un memorando de análisis.

Si se presentan cambios en las premisas de las vidas útiles, estos son enviados al área contable, quien a su vez realiza las actualizaciones a que

hubiere lugar. Posteriormente se realiza el ajuste contable correspondiente (si aplica).

El Prestador de Servicio (Jefe de Contabilidad) aprueba la carga correspondiente.

X X N/A 2 Menor N/A 1 Leve B: Raro 2 Menor B: Raro 1 B Bajo

GR&C N.2.1.


Gerencia de Aseguramiento e

ingeniería ( Prestador de servicios)N.2.1.3

Sub o sobrevaloración de la provisión de costos de abandono, debido a

falta de integridad u omisión en la información reportada por las áreas

involucradas y del total de los activos de la compañía, errores en las

actividades de los procedimientos del cálculo de costos de

desincorporación, error del cálculo de los valores razonables para el

registro de la provisión, falta de revisión por el nivel requerido, errores en

el registro del comprobante manual lo que puede generar inconsistencias

en las cifras de los Estados financieros.


Verificar la información base del cálculo de costos de abandono de cada uno de los sistemas por medio de la revisión y ejecución de las

actividades descritas en la " Lista de chequeo de aspectos críticos de la estimación de costos de abandono". X X N/A 3 Moderado N/A 2 Menor C: Posible 3 Moderado C: Posible 3 C Medio

GR&C N.2.1.



Finanzas)N.2.1.3









N/A 4 Mayor N/A 3 Moderado E: Muy Probable 4 Mayor E: Muy Probable 4 E Alto N.2.1.3.2Validar el cálculo de la provisión costos de abandono ejecutado por la Coordinación de activos fijos verificando que los inputs incluidos en el

modelo corresponda a la información recibida. X X N/A 3 Moderado N/A 2 Menor C: Posible 3 Moderado C: Posible 3 C Medio

GR&C N.2.1.



Finanzas)N.2.1.3










Revisar y aprobar la razonabilidad del cálculo de la provisión de abandono, sus respectivos inputs y su cumplimiento frente al requerimiento

de la norma contable por medio una sesión de trabajo en donde participe el Gerente General de ODC / Gerente Senior de Finanzas/ Gerente

de Operaciones Financieras /Experto en Gestión de Activos

del prestador de servicios.

En caso de identificar inconsistencias se realizarán los ajustes y se programará una nueva sesión de trabajo.


GR&C N.2.1.



Finanzas)N.2.1.3










Revisar y aprobar el registro contable de la provisión de abandono al cierre de los estados financieros, reportado por el Jefe de Contabilidad en

el que se valide el Comprobante Contable.X X N/A 3 Moderado N/A 2 Menor C: Posible 3 Moderado C: Posible 3 C Medio

GR&C N.2.1.



Finanzas)N.2.1.3

Sobre o subestimación del deterioro de activos debido a falta de

integridad u omisión en la información reportada por los responsables ,

errores en las actividades de los procedimientos del cálculo, error en el

modelo matemático del cálculo de los valores razonables para el registro

de la provisión y/o falta de revisión por el nivel requerido lo que puede

generar inconsistencias en los Estados financieros.


Validar el análisis cualitativo para la identificación de indicios de deterioro ( internos y externos) , mediante verificación de la existencia de

respuestas a todas las preguntas del test cualitativo para el sistema . De acuerdo a la respuesta se procede a lo establecido en el procedimiento

" Determinar el deterioro de los activos" del prestador de servicios. X X N/A 3 Moderado N/A 2 Menor C: Posible 3 Moderado C: Posible 3 C Medio

GR&C N.2.1.



Finanzas)N.2.1.3








Verificar y revisar que los inputs entregados por los responsables ( tasa de descuento, impuesto de renta, Tasa de cambio, vidas útiles, tarifas,

costos, inversiones, volúmenes, valor de la propiedad planta y equipo ( incluyendo ARO) y valor de salvamento estén correctamente ingresados

a la hoja de calculo, comparando la información entregada frente al modelo.


GR&C N.2.1.



Finanzas)N.2.1.3








Revisar la razonabilidad y aprobar el cálculo cuantitativo del deterioro de los activos, por medio de una mesa de trabajo en donde participen el

Gerente General de ODC, Gerente de Planeación y Control de Gestión y el Gerente de Operaciones Financieras, con el fin de asegurar el

cumplimiento de la normativa IFRS.

En caso de identificar inconsistencias se realizarán los ajustes y se programará una nueva sesión de trabajo.


GR&C N.2.1.



Finanzas)N.2.1.3







N/A 4 Mayor N/A 3 Moderado E: Muy Probable 4 Mayor E: Muy Probable 4 E Alto N.2.1.3.4Revisar y aprobar el registro contable de deterioro en los estados financieros, reportado por el Jefe de Contabilidad en el que se validé el

Comprobante Contable y su correcta aplicabilidad con la NIC 36. X X N/A 3 Moderado N/A 2 Menor C: Posible 3 Moderado C: Posible 3 C Medio

GR&C N.2.1.


Gerente Planeación y

Programación de

Mantenimiento

N.2.1.4

Asignación errada de costos de órdenes de trabajo de mantenimiento,

debido a:

- Inadecuada clasificación de las actividades de mantenimiento

(capitalizable o no capitalizable), conflicto de segregación de funciones,

generando afectación a la confiabilidad, clasificación y razonabilidad en los

estados financieros de la compañía

N/A 5-Catastrófico N/A 5-Catastrófico C: Posible 5C: Catastrófico- Posible 5C -ALTO N.2.1.4.1

Revisar y aprobar el reporte de las órdenes de trabajo correspondientes a mantenimientos a capitalizar en el mes y a transferir a activos en

curso de acuerdo a los criterios definidos bajo IFRS, el cual es enviado por el área de planeación de mantenimiento.

En caso de identificar diferencias, se remite nuevamente al área de planeación de mantenimiento para su justificación.

Posteriormente se envía a la Coordinación de Activos Fijos para su registro.

x N/A 4-Mayor N/A 2-Menor B-Improbable4B-,mayor-

Improbable 4B Medio

GR&C S.1.1.Cierre Contable,

Preparación y Revelación de Estados

Financieros


Finanzas)S.1.1.1

Inadecuada aplicación de la normatividad contable, debido a inexistencia

de políticas contables, no contar con monitoreos periódicos de los posibles

cambios normativos, falta de divulgación al personal responsable,

incumplimiento de las políticas y/o procedimientos definidas, lo cual

puede ocasionar errores o fraude en los estados financieros y llevar a toma

de decisiones inadecuadas y/o sanciones a la Compañía.

N/A 3 Moderado N/A 4 Mayor B: Raro 4 Mayor B: Raro 4 B Medio S.1.1.1.1

Aprobar y divulgar las políticas contables aplicar en la Compañía para la preparación reporte y emisión de estados financieros.

En la definición se incluye mecanismos y entes de control que ejercerán el monitoreo así como los niveles de aprobación para realizar

actualizaciones y cambios correspondientes.

X X X X N/A 2 Menor N/A 3 Moderado A: Improbable3 Moderado A:

Improbable3 A Bajo



Financieros


Finanzas)S.1.1.2

Inexactitud, falta de integridad o fraude de la información financiera

tanto para su registro, presentación y/o revelación debido a

modificaciones de la información, errores en el registro del comprobante,

errores manuales, apertura de periodos reportados, inadecuada

segregación de funciones, débil proceso de revisión, falta de controles en

asignación de usuarios e incorrecta parametrización del sistema,

manipulación dolosa de estados financieros (producción, alteración o

supresión deliberada de registros, creación de transacciones con

proveedores o acreedores falsos, manipulación de saldos de cuentas del

activo y pasivo, traslado periódico de obligaciones reales o ficticias (de un

acreedor o deudor a otro, real o ficticio), lo cual puede generar incorrecta

clasificación o presentación de los Estados Financieros, información

fraudulenta (por sobrevaloración/subvaloración de activos, registro de

activos ficticios, registro de ingresos o pagos ficticios, incorrecta

clasificación del grado de liquidez de inversiones, incorrecta clasificación

de activos/pasivos entre corto y largo plazo, no reconocimiento de

obligaciones financieras, inexactitud en las revelaciones de eventos

significativos/materiales o de transacciones con partes relacionadas, entre

otros), fallas en la toma de decisiones, sanciones, multas y calificación de

la opinión del revisor fiscal.

N/A 3 Moderado N/A 4 Mayor C: Posible 4 Mayor C: Posible 4 C Intermedio S.1.1.2.1

Controles automáticos del Sistema SAP en el módulo FI a través de los cuales:

1. Limita la creación de cuentas contables con un mismo número.

2. Bloquea la cuenta, que no tenga saldos vigentes para contabilización, en este caso, el sistema automáticamente impide contabilizar en la

cuenta bloqueada.

3. Valida que los campos obligatorios para la creación de cuentas (Número de cuenta, denominación, plan de cuentas operativo y alternativo,

sociedad, etc.) sean registrados. En el caso de asociación de atributos el sistema arroja un mensaje de error el cual informa que los atributos no

están completos.

4. Las cuentas contables configuradas en el sistema SAP responden a los grupos y rangos de numeración, de acuerdo con las definiciones de la

organización.

5. No permite realizar ningún registro contable en periodos cerrados.

6. El sistema requiere que cada vez que se registra un documento contable, este quede asociado a una clase de documento donde solicita el

campo "Moneda de origen". De no presentarse la actualización diaria de la tasa de cambio el sistema genera un error y no permite su registro.

7. En el sistema SAP, existen tipos de documentos específicos, asociados a cada módulo para el registro de la información financiero

8. El sistema SAP genera automáticamente un registro de las modificaciones aplicadas (log) sobre el archivo maestro de cuentas.

Una vez por semestre desde el último log ejecutado el Prestador de Servicios (Jefe de Contabilidad) verifica mediante la revisión de los logs

generados del sistema SAP que las modificaciones realizadas al maestro correspondan a modificaciones autorizadas mediante correo

electrónico a Data Maestra.

En caso de encontrar irregularidades, el Jefe de Contabilidad debe enviar un correo al Jefe de TI para revisar y corregir la situación

El Jefe de Contabilidad revisa las pruebas realizadas por Data Maestra y en señal de validación de la configuración envía correo electrónico.

Nota: La periodicidad de este control es anual siempre y cuando no se hayan presentado cambios en la configuración.

X X X N/A 2 Menor N/A 2 Menor A: Improbable2 Menor A:

Improbable2 A Bajo



Financieros


Finanzas)S.1.1.2

Inexactitud, falta de integridad o fraude de la información financiera

tanto para su registro, presentación y/o revelación debido a

modificaciones de la información, errores en el registro del comprobante,

errores manuales, apertura de periodos reportados, inadecuada

segregación de funciones, débil proceso de revisión, falta de controles en

asignación de usuarios e incorrecta parametrización del sistema,

manipulación dolosa de estados financieros (producción, alteración o

supresión deliberada de registros, creación de transacciones con

proveedores o acreedores falsos, manipulación de saldos de cuentas del

activo y pasivo, traslado periódico de obligaciones reales o ficticias (de un

acreedor o deudor a otro, real o ficticio), lo cual puede generar incorrecta

clasificación o presentación de los Estados Financieros, información

fraudulenta (por sobrevaloración/subvaloración de activos, registro de

activos ficticios, registro de ingresos o pagos ficticios, incorrecta

clasificación del grado de liquidez de inversiones, incorrecta clasificación

de activos/pasivos entre corto y largo plazo, no reconocimiento de

obligaciones financieras, inexactitud en las revelaciones de eventos

significativos/materiales o de transacciones con partes relacionadas, entre

otros), fallas en la toma de decisiones, sanciones, multas y calificación de

la opinión del revisor fiscal.

N/A 3 Moderado N/A 4 Mayor C: Posible 4 Mayor C: Posible 4 C Intermedio S.1.1.2.2

Revisar el listado de comprobantes manuales generado por el sistema SAP.

Posteriormente el Prestador de Servicio (Jefe de Contabilidad) valida la información de los comprobantes manuales.

En caso de encontrarse inconsistencias por parte del Prestador de Servicios (Jefe de Contabilidad), éste envía correo electrónico al Outsourcing

contable con las diferencias para su resolución.

X X X N/A 2 Menor N/A 2 Menor A: Improbable2 Menor A:

Improbable2 A Bajo



Financieros


Finanzas)S.1.1.4

Inadecuado cálculo y registro de provisiones así como sobre o

subestimación fraudulenta de las mismas debido a la falta de revisión de la

integridad de la información entre los estimados contables y el registro en

el modulo F.I y las fuentes externas como el área legal entre otros, lo cual

puede generar información incorrecta y/o fraudulenta en los estados

financieros y las revelaciones.

N/A 3 Moderado N/A 4 Mayor C: Posible 4 Mayor C: Posible 4 C Intermedio S.1.1.4.1.

Verificar el registro de la información de acuerdo con el reporte enviado por el abogado de ODC sobre el estado, cuantía y probabilidad de

pérdida de los procesos judiciales y contingencias que la Compañía presenta en contra, con base en las cuales el prestador de servicios registra

la provisión o se revela en las notas de los Estados Financieros. X X N/A 2 Menor N/A 3 Moderado B: Raro 3 Moderado B: Raro 3 B Medio



Financieros


Finanzas)S.1.1.5

Errores y/o información fraudulenta en la información financiera

reportada y revelaciones, debido a una inadecuada revisión y análisis de

las cifras contables, incumplimiento de las políticas y/o procedimientos y la

normativa aplicable y supeditaje gerencial, lo cual puede afectar la toma

de decisiones de los usuarios de la información y el correcto análisis de la

situación económica de la compañía

N/A 3 Moderado N/A 4 Mayor C: Posible 4 Mayor B: Raro 4 B Medio S.1.1.5.1.

Revisar las variaciones de saldos de los reportes financieros (mensuales(1) y anual con corte a diciembre(2)), con el fin de identificar hechos

económicos que no hayan quedado adecuadamente registrados.

Si aplica, el Prestador de Servicios (Jefe de Contabilidad), solicita explicaciones a las áreas por las variaciones inusuales que se presentan dentro

de los rubros de las cuentas, de ser necesario entre las partes construyen el análisis de las variaciones y/o se realizan los ajustes necesarios.X X N/A 2 Menor N/A 3 Moderado B: Raro 3 Moderado B Raro 3 B Medio



Financieros


Finanzas)S.1.1.5







N/A 3 Moderado N/A 4 Mayor C: Posible 4 Mayor C: Probable 4 C Intermedio S.1.1.5.2.

Validar que la información incluida en los formatos de reporte a las entidades de control y demás Entidades Gubernamentales, sea consistente

con la información registrada en el sistema de información SAP.

En caso de encontrar inconsistencias en la información, se envía correo electrónico al Outsourcing para realizar los ajustes correspondientes.

X X N/A 2 Menor N/A 3 Moderado B: Raro 3 Moderado B Raro 3 B Medio



Financieros


Finanzas)S.1.1.5








Presentar ante la Junta Directiva para su análisis y revisión, los reportes y/o Estados Financieros.

En caso de que aplique, Prestador de Servicio (el Outsourcing) se asegura la inclusión de las recomendaciones realizadas por parte de la Junta

Directiva revisando el acta, y envía correo electrónico al Prestador de Servicio (Jefe de Contabilidad) con la confirmación de los cambios y

posteriormente se envía al Prestador de Servicio (Gerente Senior de Finanzas y Director Estratégico y de Finanzas), para su aprobación




Financieros


Finanzas)S.1.1.5








Revisión de los estados financieros y revelaciones por el Prestador de Servicios (Gerente Senior de Finanzas) y Gerente General ODC, quienes

analizan las cifras, detecta posibles errores, modificaciones o ajustes (en el caso de aplicar) y solicita explicación detallada de los saldos de las

cuentas al prestador de servicio; posteriormente el Gerente General de ODC envía al Prestador de Servicios correo electrónico en señal de

aprobación.




Financieros


Finanzas)S.1.1.5








Revisar la razonabilidad de los Estados Financieros (anuales) de ODC, analizando los saldos de cuenta presentados, variaciones y revelaciones

detectando posibles inconsistencias (en caso de aplicar), ajustes, y/o modificaciones, las cuales son informadas a la Gerencia General de ODC y

Prestador de Servicios (Gerente Senior de Finanzas) quienes se encargan de aplicar los resultados de la revisión (en caso de aplicar) a los estados

financieros; lo anterior se consigna en el acta del Comité Financiero y de Auditoría.




Financieros


Finanzas)S.1.1.6

Registrar información no autorizada después de haber realizado el cierre

del módulo contable (FI) debido a falta de autorización del Gerente

General, errores en el análisis, falta de soportes contables, lo cual puede

generar afectación al corte, presentación, razonabilidad y confiabilidad de

los Estados Financieros de la Compañía.


Revisar y aprobar la solicitud del ajuste/correcciones/errores posteriores al cierre, a fin de realizar los registros en el sistema SAP. Las

reaperturas realizadas después de haber reportado a Casa Matriz deben contar con la autorización del Prestador de Servicio (Gerente Senior

Finanzas) y Gerente General de ODC y son realizadas por el Prestador de Servicio (Jefe de Contabilidad).

Hecho el ajuste por el Prestador de Servicio( Outsourcing Contable), el Prestador de Servicio (Jefe de Contabilidad) valida en el sistema SAP, que

lo solicitado, haya sido realizado, tenga su soporte de registro y sea consistente con el análisis.

Posteriormente, el Prestador de Servicio (Gerente Senior Finanzas) y Gerente General verifica que los ajustes realizados correspondan a los

autorizados y envía por medio de correo electrónico su verificación al Prestador de Servicio (Jefe de Contabilidad).

En caso de encontrar inconsistencias y/o diferencias, el Jefe de Contabilidad y/o el Gerente Senior de Finanzas envía correo electrónico

solicitando justificaciones o ajustes (si aplica).

Nota: El perfil del usuario del Jefe Contabilidad es el único que tiene la posibilidad abrir periodos cerrados y SAP no permite el registro de

transacciones en periodos cerrados.

X X N/A 2 Menor N/A 3 Moderado B: Raro 3 Moderado B: Raro 3 B Medio



Financieros


Finanzas)S.1.1.7

Falta de integridad, valuación, validez y razonabilidad de la información

financiera debido errores en registros contables manuales, errores en las

interfaces registradas, lo cual puede ocasionar errores en los Estados

Financieros y/o información fraudulenta.

N/A 3 Moderado N/A 2 Menor C: Posible 3 Moderado C: Posible 3 C Medio S.1.1.7.1.

Revisar y aprobar conciliaciones mensuales del balance, incluyendo las operaciones reciprocas, de acuerdo a la información enviada por el

prestador de servicios(outsourcing) donde se realiza el cruce de los saldos.

Todas las partidas conciliatorias se identifican en el mes siguiente, se investigan y aclaran oportunamente y de ser necesario, se realizan

registros contables correspondientes. X X N/A 2 Menor N/A 2 Menor B: Raro 2 Menor B: Raro 2B Bajo



Financieros


Finanzas)S.1.1.5







N/A 3 Moderado N/A 4 Mayor C: Posible 4 Mayor B: Raro 4 B Medio S.1.1.5.6.

Validar que los totales del patrimonio incluida la utilidad del ejercicio cargada en hyperion correspondan al cierre contable del periodo de

acuerdo a la información cargada por el prestador de servicios(outsourcing) , por medio de la pantalla de reporte de Hyperion que valida los

saldos contra el balance.

En caso de ajustes o diferencias se envía correo electrónico al Outsourcing para ajustar o corregir o justificar.

Para los cambios posteriores al cierre contable, el Prestador de Servicios (Jefe de Contabilidad) envía correo electrónico a Casa Matriz con los

ajustes para efectos de consolidación y cargue en Hyperión.

2. Revisión de la conciliación de las cifras SAP frente al reporte de Hyperion ( día 15 posterior al cierre) o cuando ocurra ajuste posterior al

cierre . En caso de encontrar diferencias, el Prestador de Servicios (Jefe de Contabilidad) envía correo electrónico a Casa Matriz para su gestión

y respuesta. ( si aplica ajustes posteriores al cierre).

Nota: Una vez cargadas las cifras de los EEFF en Hyperion no se permite realizar ajuste en la aplicación por parte de Cenit.


GR&C S.1.3 Determinación de

Impuestos Nacionales y MunicipalesPrestador de Servicios (Gerencia

Finanzas)S.1.3.1.

Inoportuna e inadecuada presentación de las declaraciones tributarias

incluyendo fraude en la información declarada debido a falta de revisión y

aplicación de los cambios tributarios, falta de revisión y aprobación de las

declaraciones por el nivel requerido, supeditaje gerencial, pago tardío y/o

inadecuada planeación de los plazos establecidos de presentación y pago

lo cual puede generar sanciones y/o intereses por mora y afectación

reputacional.

N/A 3 Moderado N/A 4 Mayor D: Probable 4 Mayor D: Probable 4 D Intermedio S.1.3.1.1

Analizar el patrimonio fiscal base para el cálculo del impuesto a la riqueza, por medio de los anexos de la declaración de renta con el que se

elabora la hoja de trabajo para su respectivo cálculo.

El Prestador de Servicios (Jefe Tributario) aprueba el cálculo del impuesto a la riqueza para su posterior registro en el sistema SAP.

En caso de encontrar inconsistencias o errores en la depuración y cálculo del impuesto a la riqueza, se realiza el respectivo ajuste.

X X X N/A 2 Menor N/A 2 Menor C: Posible 2 Menor C: Posible 2 C Medio



Finanzas)S.1.3.1.







reputacional.


Aprobar las declaraciones tributarias, mediante la revisión de las hojas de trabajo (archivos en Excel), análisis de variaciones, anexos de cada

una de las declaraciones físicos o magnéticos, así:

Mensual: Retención en la Fuente, Autorretención y retención de ICA (en los municipios que aplique)

Bimestral: Declaración de IVA, Autorretención y retención de ICA (en los municipios que aplique), Declaración de ICA y Retenciones de ICA en

Bogotá.

Anual: Declaración de Renta, declaración de ICA anuales, declaración de activos en el exterior, declaración de precios de transferencia e

Impuesto a la riqueza.

En caso de encontrar inconsistencias, el Prestador de Servicio(Jefe Tributario/Especialista Tributario y Aduanero) envía correo electrónico al

Prestador de Servicio (outsourcing), solicitando ajuste o modificación.

Posteriormente, son firmadas por el Gerente General de ODC en señal de aprobación de las declaraciones tributarias.




Finanzas)S.1.3.1.







reputacional.


Verificar como mínimo el 20% de los proveedores creados en el semestre con el fin de validar los indicadores de retención asignados por el

prestador de servicios.

En caso de que se identifique alguna inconsistencia se solicitará explicación y/o ajuste .




Finanzas)S.1.3.2.

Inadecuado cálculo del impuesto diferido y renta, debido a: Información

base para el cálculo del impuesto diferido sea errónea o fraudulenta,

errores en el cálculo de la provisión de renta e impuesto diferido,

supeditaje gerencial lo que puede generar afectación reputacional y/o

sanciones, estados financieros y revelaciones erróneos, sobrestimación o

subestimación de la utilidad a distribuir.

N/A 3 Moderado N/A 2 Menor D: Probable 3 Moderado D: Probable 3 D Intermedio S.1.3.2.1.

Aprobar el cálculo del Impuesto diferido y verificación del registro en el sistema SAP, por medio de la validación de la tasa proyectada, en

periodos intermedios que es realizada de manera trimestral y aplicable mensualmente a la utilidad del periodo.

La hoja de trabajo del cálculo de la tasa proyectada, contiene las proyecciones de Estados Financieros entregada a través de correo electrónico

enviado por el Prestador de Servicios (Gerente de Planeación y Control de Gestión) para periodos trimestrales y las depreciaciones proyectadas

entregada por el Outsourcing a través de correo electrónico.

En caso de ajustes o modificaciones al cálculo del impuesto diferido, el Prestador de Servicios (Jefe de Impuestos/Especialista Tributario y

Aduanero) envía correo electrónico con la solicitud de cambios (si aplica).

Para el cierre anual o cierre de propósitos específicos, el cálculo del impuestos diferido se realiza sobre las diferencias temporarias reales entre

libro contable y fiscal generado del sistema SAP.

X X N/A 2 Menor N/A 2 Menor C: Posible 2 Menor C: Posible 2 C Medio



Finanzas)S.1.3.2.

Inadecuado cálculo del impuesto diferido y renta, debido a: Información

base para el cálculo del impuesto diferido sea errónea o fraudulenta,

errores en el cálculo de la provisión de renta e impuesto diferido,

supeditaje gerencial lo que puede generar afectación reputacional y/o

sanciones, estados financieros y revelaciones erróneos, sobrestimación o

subestimación de la utilidad a distribuir.

N/A 3 Moderado N/A 2 Menor D: Probable 3 Moderado D: Probable 3 D Intermedio S.1.3.2.2.

Aprobar el cálculo del impuesto de Renta para su posterior registro en el sistema SAP, por medio de la validación de la tasa proyectada en

periodos intermedios, que es realizada por el Prestador de Servicios (Outsourcing) de manera trimestral y que es aplicable mensualmente a la

utilidad del periodo.

La hoja de trabajo Excel del cálculo de la tasa efectiva de tributación enviada por medio de correo electrónico contiene las proyecciones de

Estados Financieros entregada por el Prestador de Servicios (Gerente de Planeación y Control de Gestión) para periodos trimestrales y las

depreciaciones proyectadas entregada por el Prestador de Servicios(Outsourcing) a través de correo electrónico.

El cálculo contiene el análisis de las cuentas de ingresos, costos y gastos con el fin de determinar los conceptos de ingresos gravados y no

gravados, los costos y gastos deducibles o no deducibles en el impuesto sobre la renta.

En caso de ajustes o modificaciones al cálculo de los impuestos, el Prestador de Servicios (Jefe de Impuestos/Especialista Tributario y Aduanero)

envía correo electrónico al outsourcing con la solicitud de cambios.

Para el cierre anual o cierre de propósitos específicos, el cálculo del impuestos se realiza sobre bases reales, esto es, ingresos, costos y gastos

arrojados del sistema SAP. Posteriormente, se realiza la depuración de ingresos gravados y no gravados y de costos/gastos deducibles y no

deducibles dejando la captura de pantalla de SAP del registro en la hoja de trabajo Excel.

X N/A 2 Menor N/A 2 Menor C: Posible 2 Menor C: Posible 2 C Medio

GR&C S.1.4. Cálculo DD&A Prestador de Servicios (Gerencia

Finanzas)S.1.4.1.

Errores en la clasificación de las cuentas de depreciación y amortización

debido a inadecuada asociación de los activos a las cuentas

parametrizadas en el sistema SAP para el cálculo y fallas o alteraciones al

ejecutar el proceso de liquidación, lo que puede generar reprocesos y/o

información contable incorrecta.


El sistema SAP cuenta con una configuración para que cada vez que la entidad adquiera un activo, este se asocie a una cuenta en el GL (General

Líder/ Libro Mayor) para su posterior depreciación de manera automática, teniendo en cuenta los parámetros establecidos para la

depreciación de activos definidos por la organización.

Anualmente, el prestador de servicios ( data maestra) valida esta configuración haciendo prueba dejando como evidencia las pantallas de esta.

Posteriormente envía correo al prestador de servicios (Jefe de contabilidad) con la información para su visto bueno.

Nota: La periodicidad de este control es anual siempre y cuando no se hayan presentado cambios en la configuración.

En caso de encontrar irregularidades en la configuración, el Prestador de Servicios (Jefe de Contabilidad) debe enviar un correo al Prestador de

Servicio (Jefe de TI) informando la situación.

X N/A 2 Menor N/A 2 Menor B: Raro 2 Menor B: Raro 2B Bajo


Finanzas)S.1.4.2.

Errores en el cálculo de la depreciación y amortización debido a

desconocimiento de la política de depreciación por el responsable errores

manuales, manipulación y/o alteración de la información y falta de

revisión del cálculo depreciación y amortización generando inconsistencias

en los saldos contables y por ende en los estados financieros y reportes

emitidos por la Compañía.


Revisar la prueba del cálculo de la depreciación de los activos de Oleoducto de Colombia S.A., mediante la validación de los datos de la

depreciación del mes frente a los valores registrados en la contabilidad de acuerdo a la prueba del cálculo realizada por el Outsourcing Contable

Analista y que es enviada por correo electrónico al Outsourcing Contable Supervisor.

En señal de revisión de la prueba del cálculo, el Prestador de Servicios (Outsourcing - Supervisor de Activos Fijos) envía correo electrónico al

Prestador de Servicios (analista de activos fijos);

En caso de encontrar inconsistencias y diferencias en las pruebas del cálculo de la depreciación de los activos, el Prestador de Servicios

(Supervisor de Activos Fijos) envía correo electrónico al Outsourcing Contable Analista para su ajuste. (si aplica)

Posteriormente se ejecuta el proceso de depreciación del mes.



Finanzas)S.1.4.2.








Verificar que el registro en el sistema SAP del cálculo de depreciación y amortización (DD&A) haya quedado en los libros :fiscal e IFRS, por

medio de la revisión de los pantallazos capturados de cada uno de los libros.

En caso de encontrar irregularidades en la configuración, el Outsourcing Contable (Analista con copia al Supervisor) debe enviar un correo al

Prestador de Servicio (Jefe de TI) informando la situación. Correo almacenado en Share Point.



Finanzas)S.1.4.2.








Revisar las variaciones de la depreciación y amortización (DD&A), mediante análisis de variación de la cuenta respecto al mes anterior de

acuerdo con el soporte de variaciones enviado por el Outsourcing Contable Supervisor el cual es tomado del sistema SAP. Las variaciones

superiores al 10% son indagadas, justificadas y de ser requerido se realizan los ajustes correspondientes.

Posteriormente, Prestador de Servicios (Jefe de Contabilidad) envía correo electrónico al Outsourcing Contable Supervisor en señal de

aprobación.


GR&C S.1.5 Cuentas por Cobrar Prestador de Servicios (Gerencia

Finanzas)S.1.5.1.

Inadecuada gestión de las cuentas por cobrar, reconocimiento incorrecto

de los recaudos y registro de pagos ficticios debido a gestión de cobro

inoportuno, errores manuales, manipulación y/o alteración de la

información, cobros por montos superiores, autorización de ajustes

incorrectos en la verificación de los intereses por mora y/o aplicación

errónea de los recaudos y/o a clientes incorrectos de forma deliberada

generando pérdidas económicas, fraude, reportes de cartera alterados

y/o afectación a los Estados Financieros de la Compañía.

N/A 4 Mayor N/A 4 Mayor D: Probable 4 Mayor D: Probable 4 D Intermedio S.1.5.1.1

Controles automáticos del Sistema a través de los cuales:

1. El sistema SAP está configurado para asegurar que solamente se aplique depósitos a terceros previamente creados.

2. El sistema SAP no permite que un recaudo de las cuenta por cobrar pueda ser aplicado más de una vez.

3. El sistema SAP no permite borrar los deudores que presentan movimiento en los saldos contables.

4. El sistema SAP no permite la creación de un deudor sin diligenciar los campos obligatorios parametrizados.

5. El sistema SAP calcula automáticamente los intereses de mora de acuerdo con las facturas de clientes que presentan vencimiento.

Anualmente el Prestador de Servicios (Jefe de Tesorería y Data Maestra ) valida esta configuración haciendo prueba, dejando como evidencia

las pantallas de esta.

En caso de reportar inconsistencias, se hace la solicitud a IT, como respuesta a la corrección de la solicitud, la jefatura procede a verificar y

realizar las pruebas sobre cambios.

Nota: La periodicidad de este control es anual, siempre y cuando no se hayan presentado cambios solicitados por el área de cartera en la

configuración".

X X N/A 2 Menor N/A 2 Menor B: Raro 2 Menor B: Raro 2B Bajo

GR&C S.1.5 Cuentas por Cobrar Prestador de Servicios (Gerencia

Finanzas)S.1.5.1.

Inadecuada gestión de las cuentas por cobrar, reconocimiento incorrecto

de los recaudos y registro de pagos ficticios debido a gestión de cobro

inoportuno, errores manuales, manipulación y/o alteración de la

información, cobros por montos superiores, autorización de ajustes

incorrectos en la verificación de los intereses por mora y/o aplicación

errónea de los recaudos y/o a clientes incorrectos de forma deliberada

generando pérdidas económicas, fraude, reportes de cartera alterados

y/o afectación a los Estados Financieros de la Compañía.

N/A 4 Mayor N/A 4 Mayor D: Probable 4 Mayor D: Probable 4 D Intermedio S.1.5.1.2.

Revisar el proceso de gestión de cobranza y provisión de cartera (si aplica) para todos los clientes que presentan cartera vencida por medio del

seguimiento (llamada telefónica o correo electrónico) consignado en la hoja de cálculo; El Prestador de Servicios (Especialista de Liquidez,

Deuda y Seguros) calcula la provisión de cartera de acuerdo a la guía de provisión de cartera del Prestador de Servicios. El cálculo es revisado

por el Prestador de Servicios (Jefe de Tesorería)

En el caso que aplique la provisión, el Prestador de Servicios (Jefe de Tesorería) envía correo electrónico al Prestador de Servicios (Jefe de

Contabilidad) para el registro y posteriormente confirma el valor de la provisión al Prestador de Servicios (Jefe de Tesorería) por medio de

correo electrónico; posteriormente el Prestador de Servicios (Gerente senior de Finanzas) solicita autorización al Gerente General ODC por

correo electrónico.

X X N/A 2 Menor N/A 2 Menor B: Raro 2 Menor B: Raro 2B Bajo

GR&C S.1.2.

Manejo de Caja y Bancos


Finanzas)S.1.2.1.

Realizar pagos errados, fraudulentos (robo) o no autorizados debido a que

son ejecutados por personal no autorizado, inadecuada segregación de

funciones o cargue de gastos que no estén autorizados, fraccionamiento

de pagos, ausencia en la verificación de los ajustes realizados y solicitados

por el autorizador y generando pérdidas económicas y afectación al

cumplimiento de las obligaciones.

N/A 4 Mayor N/A 3 Moderado E: Muy Probable 4 Mayor E: Muy Probable 4 E Alto S.1.2.1.1.

Aprobación de la creación de usuarios para preparador, aprobador 1 y aprobador 2 en los portales de los bancos por medio de la solicitud al

Gerente General de la creación del nuevo aprobador quién por medio de correo electrónico aprueba la solicitud.

Posteriormente y cada vez que se requiera la creación, modificación o eliminación de perfiles en el canal de pago, el control será ejecutado por

el súper usuario (prestador de servicios) con aprobación del Prestador de Servicios (Gerente Financiero) mediante correo electrónico otorgando

la aprobación de creación y/o modificación.

X X X X X X X N/A 2 Menor N/A 2 Menor B: Raro 2 Menor B: Raro 2 B Bajo

GR&C S.1.2.



Finanzas)S.1.2.1.







N/A 4 Mayor N/A 3 Moderado E: Muy Probable 4 Mayor E: Muy Probable 4 E Alto S.1.2.1.2.Verificar las validaciones de la configuración de los perfiles y los usuarios relacionados al sistema de pagos en línea realizada por el súper usuario

y Gerente General ODC.X X X X X X X N/A 2 Menor N/A 2 Menor B: Raro 2 Menor B: Raro 2 B Bajo

GR&C S.1.2.



Finanzas)S.1.2.1.







N/A 4 Mayor N/A 3 Moderado E: Muy Probable 4 Mayor E: Muy Probable 4 E Alto S.1.2.1.3.

Revisar y aprobar los pagos manuales realizados a través de cartas u otros mecanismos, dejando evidencia en los documentos aprobados.

Los documentos son ingresados al SIMAD (Sistema Integrado de Administración Documental) que genera el consecutivo.

X X X X X X X N/A 2 Menor N/A 2 Menor B: Raro 2 Menor B: Raro 2 B Bajo

GR&C S.1.2.



Finanzas)S.1.2.1.







N/A 4 Mayor N/A 3 Moderado E: Muy Probable 4 Mayor E: Muy Probable 4 E Alto S.1.2.1.4.Verificar, aprobar y autorizar la propuesta de pago por la transacción ZFI_SWIFT / niveles de aprobación ZFI029 en el sistema SAP, a través

del workflow que recibe cada nivel de aprobador autorizado que son: Aprobador 1, Aprobador 2 y Aprobador 3.X X X X X X X N/A 2 Menor N/A 2 Menor B: Raro 2 Menor B: Raro 2 B Bajo

GR&C S.1.2.



Finanzas)S.1.2.2.

Registrar inadecuadamente en SAP los movimientos bancarios generados

por aquellos bancos que no cuentan con proceso automático, debido a

errores de digitación (tercero, cuenta y valor) e información incompleta o

transacciones ficticias, generando impacto en la toma de decisiones, la

cual se realiza sobre la base de reportes con cifras que no se ajustan a la

realidad (fraude) y reproceso en las actividades de cargue de información

a SAP.

N/A 4 Mayor N/A 4 Mayor E: Muy Probable 4 Mayor E: Muy Probable 4 E Alto S.1.2.2.1.

Revisar las partidas conciliatorias por medio de la conciliación realizada por el Prestador de servicio (contabilidad) vs las aplicaciones en

carteras y las liberaciones de pagos; en caso de aplicar, las partidas no identificadas, se enviará correo el electrónico como gestión de la

identificación.

X X X X N/A 2 Menor N/A 2 Menor A: Improbable2 Menor A:

Improbable2 A Bajo

GR&C S.1.2.



Finanzas)S.1.2.2.

Registrar inadecuadamente en SAP los movimientos bancarios generados

por aquellos bancos que no cuentan con proceso automático, debido a

errores de digitación (tercero, cuenta y valor) e información incompleta o

transacciones ficticias, generando impacto en la toma de decisiones, la

cual se realiza sobre la base de reportes con cifras que no se ajustan a la

realidad (fraude) y reproceso en las actividades de cargue de información

a SAP.

N/A 4 Mayor N/A 4 Mayor E: Muy Probable 4 Mayor E: Muy Probable 4 E Alto S.1.2.2.2.

Verificar que los movimientos de caja coincida con los saldos de banco, por medio de la revisión del flujo de caja al cierre de mes.

De encontrarse diferencias en los reportes se envía correo electrónico al Prestador de Servicios (Analista de Tesorería) para corrección y ajuste.X X X X N/A 2 Menor N/A 2 Menor A: Improbable

2 Menor A:

Improbable2 A Bajo

Cuentas por Pagar Gerencia Operaciones S 7.5.1

Inadecuados registros de cuentas por pagar debido a solicitudes

incorrectas o no autorizadas, fallas en el proceso de revisión, registrar

inadecuadamente anticipos de proveedores, legalizaciones de gastos

inconsistentes y/o por fraude interno, lo cual puede generar pérdida

económica reprocesos y no razonabilidad en los estados financieros.

N/A 5-Catastrófico N/A 5-Catastrófico D: Probable 5D-Catastrófico-Probable 5D-ALTO S.7.5.1.1.

Aprobar la contabilización del pago manual, una vez se verifique que el formato para pago manual adjunte los documentos soportes solicitados

y que el formato esté diligenciado por el responsable de la solicitud y aprobado por el responsable del área. X X N/A 3-Moderado N/A 3-Moderado- C: Posible 3C-Moderado-Posible 3C-MEDIO


Incumplimiento de los requisitos establecidos en el Estatuto Tributario o

por la Compañía debido a la recepción de facturas que no cumplan con

dichos requisitos, generando reprocesos y correcciones en las

declaraciones tributarias.

N/A 5-Catastrófico N/A 5-Catastrófico D: Probable 5D-Catastrófico-Probable 5D-ALTO S.7.5.2.3.

S.7.5.2.3 Verificar que el sistema SAP esté configurado para que al registrar facturas se exija el ingreso de los siguientes campos obligatorios:

- Fecha de la factura

- Código de proveedor o NIT

- Número de factura recibida (referencia)

- Valor

- Texto cabecera (usuario que desbloquea la factura para que se pueda generar el pago.)

- Cuenta contable (e indicador de IVA si la cuenta es relevante para impuestos)

- Objeto de costos (PEP, grafo, orden de costos)

Anualmente, el Jefe de Contabilidad valida esta configuración de acuerdo a la revisión efectuada por el Outsourcing que es enviada por correo

electrónico donde se evidencian las pantallas de verificación.

X N/A 3-Moderado N/A 4-Mayor C: Posible 4C:Mayor-Posible 4C-INTERMEDIO


Subvalorar o sobrevalorar los pasivos de la Compañía debido al registro

inadecuado o inoportuno de hechos económicos,, afectando la

razonabilidad del saldo de la cuenta en los estados financieros.

N/A 5-Catastrófico N/A 5-Catastrófico D: Probable 5D-Catastrófico-Probable 5D-ALTO S.7.5.3.4

Verificar las hojas de entrada de servicio sin match en el sistema (registros de recepción de los cuales no se ha recibido factura por parte del

proveedor), con el fin de provisionar todos los bienes y servicios recibidos y no facturados por el proveedor.

El registro de la provisión se realiza a través de un proceso automático del sistema. Se envía correo al Jefe de Contabilidad y a los

administradores de contrato con los comentarios respectivos.X X N/A 3-Moderado N/A 4-Mayor C: Posible 4C:Mayor-Posible 4C-INTERMEDIO








S.7.5.1.5 Controles automáticos del Sistema a través de los cuales:

1. El sistema SAP realiza el proceso de validación de "Three Way Match" (coincidencia en factura, pedido y recibo). La relación establecida

entre estos documentos garantiza la trazabilidad de la solicitud y la correcta aprobación en cada etapa para las compras realizadas.

2. El sistema SAP no permite registrar dos veces el mismo número de factura para el mismo proveedor, evitando así la duplicidad de pagos.

3. El sistema SAP cuenta con un recordatorio de los anticipos pendientes de aplicar al proveedor.

Anualmente, el Jefe de Contabilidad valida el funcionamiento de los controles automáticos en referencia de acuerdo a la información facilitada

por el Outsourcing y envía correo electrónico con el visto bueno.

En caso de encontrar inconsistencias, el Jefe de Contabilidad envía correo electrónico al área de TI informando irregularidades en el

funcionamiento de dicha parametrización.

X X N/A 3-Moderado N/A 3-Moderado- C: Posible 3C-Moderado-Posible 3C-MEDIO








Validar la adecuada aplicación de anticipos y garantías por medio la revisión de formato para autorización de pago a proveedores frente al

registro en el sistema SAP.

En caso de diferencias en la aplicación de anticipos se envía correo electrónico al administrador de contrato o gestor para su revisión. X X N/A 3-Moderado N/A 3-Moderado- C: Posible 3C-Moderado-Posible 3C-MEDIO







N/A 5-Catastrófico N/A 5-Catastrófico D: Probable 5D-Catastrófico-Probable 5D-ALTO S.7.5.1.7Validar que los saldos registrados en la cuenta por pagar de proveedores sea correcto y consistente a través de conciliaciones mensuales del

saldo de la cuenta. Posteriormente se envía al Jefe de Contabilidad para su aprobación.X X N/A 3-Moderado N/A 3-Moderado- C: Posible 3C-Moderado-Posible 3C-MEDIO

Gestión Presupuestal

Gerente de Planeación y Control de

Gestión D.1.3.1

Inadecuada planeación financiera debido a: falta de definición de

lineamientos para la elaboración del presupuesto de la Compañía, falta de

definición de un calendario de actividades, errores por parte de las áreas

en las planillas presupuestales, lo cual puede generar toma de decisiones

inadecuada, desalineación de los objetivos de la compañía, pérdidas

económicas.

N/A 5-Catastrófico N/A N/A C: Posible 5C-Catastrófico-Posible 5C-ALTO D.1.3.1.3

Verificar que el presupuesto cargado en el sistema SAP corresponda con la versión final aprobada por la Junta Directiva.

En caso de requerir algún ajuste, estos son aprobados de acuerdo al Manual Delegación de Autoridad (ODC) y posteriormente son cargados por

el prestador de Servicios ( Experto en Proyecciones Financieras) , quién envía correo electrónico con el ajuste o modificación y se verifica

nuevamente el cargue del presupuesto en el sistema SAP.X X N/A 1-Leve N/A N/A B: Improbable 1B-Leve-Improbable 1B - BAJO

Gestión Presupuestal

Gerente de Planeación y Control de

Gestión D.1.3.3

Incumplimiento al presupuesto programado, debido a falta de ejecución

presupuestal o exceso de ejecución presupuestal, generando pérdidas de

recursos y excesos frente a lo presupuestado. N/A 5-Catastrófico N/A N/A C: Posible 5C-Catastrófico-Posible 5C-ALTO D.1.3.1.4

Monitorear las variaciones del presupuesto ejecutado vs lo planeado a fin de identificar variaciones significativas que impacten el desempeño

financiero futuro de la Compañía

En caso de identificar desviaciones o alertas, se generarán los planes de acción correspondientes para su seguimiento

X X N/A 1-Leve N/A N/A B: Improbable 1B-Leve-Improbable 1B - BAJO

Gestionar Logística Gerente Compras e Inventarios S.AB.050.020.8:

Eventos de fraude, corrupción, lavado de dinero y financiación del

terrorismo en el proceso de gestión logística, debido a: * recibir o

autorizar pagos de bienes y/o servicios que no cumplan con las condiciones

pactadas o que no se hubieren recibido, * fallas en la parametrización del

sistema, *pérdida o hurto de materiales, activos o residuos, * sub o

sobrevaloración de los inventarios de materiales; lo cual puede ocasionar

afectación a la reputación, inclusión en listas restrictivas o de control,

vinculación en procesos legales, pérdidas económicas y de competitividad.

N/A 6- Catastrófico N/A 4- Mayor E: Muy Probable 4E- Mayor Muy Probable 9 Alto S.AB.050.020.2.28

Controles automáticos atraves de los cuales:

a. El sistema SAP No permite efectuar entradas de mercancía por cantidades superiores a las pactadas en cada posición del pedido de

compras. (Esto no impide el ingreso parcial de cantidades inferiores a las pactadas en el pedido).

b. SAP no permite efectuar una entrada de mercancía si no se cuenta con una orden de pedido liberada, a excepción de los ingresos por ajuste

de inventario.

c. Al momento de registrar la entrada de mercancía SAP genera automáticamente el pasivo estimado.

d. El sistema no permite una salida de materiales si no existe una reserva liberada a excepción de las salidas por ajuste de inventario.

Anualmente, el Prestador de Servicios) área de inventarios valida esta configuración donde se evidencian las pantallas de verificación.

X X X X X X N/A N/A N/A 2- Menor B: Raro 2B - Menor Raro 30 Bajo

Gestionar Logística Gerente Compras e Inventarios S.AB.050.020.9

Sobre o subestimación de inventarios de la compañía, debido a: *

inadecuado o inoportuno registro de los movimientos de inventario

(entradas, salidas y traslados), * inadecuado proceso de revisión y conteo

de materiales una vez se genera una entrada y salida de los mismos, * no

contar con las aprobaciones adecuadas para realizar dichos movimientos,

* no contar con los soportes adecuados sobre los movimientos, *

movimientos ficticios registrados y * movimientos pendientes de registrar

con antigüedad; generando: interrupciones en la operación, pérdidas

económicas, reprocesos y daños reputacionales para la Organización.

N/A 6- Catastrófico N/A N/A E: Muy Probable6E- Catastrófico Muy

Probable9 Alto S.AB.050.020.3.29

Monitorear el adecuado cumplimiento del proceso de registro de ingresos y salidas de materiales realizados por el operador logístico, mediante

las visitas mensuales a las bodegas de acuerdo al cronograma de visitas del año.

La revisión se realiza por medio de una muestra aleatoria en el que se valida el material recibido (cuando se encuentra aún en bodega),

chequeo del material (cuando se encuentra aun en bodega), orden de compra, remisión del proveedor, etc., frente a las fechas registradas en

el sistema SAP. En señal de verificación, se deja un acta con los temas de la visita.

En caso de encontrar desviaciones se generaran planes de acción para cerrar las brechas y se realiza el respectivo seguimiento.

X X N/A 3- Moderado N/A N/A B: Raro 3B - Moderado Raro 25 Medio


Sobre o subestimación del valor de inventarios, debido a la inadecuada o

inoportuna realización de conteos periódicos y anuales, inadecuada o no

autorizada o fraudulenta realización de ajustes de inventarios generando

información contable errada, interrupciones en la operación, pérdidas

económicas, sobrecostos y daños reputacionales para la Organización.

N/A 6- Catastrófico N/A N/A C: Posible6C Catastrófico

Moderado - Posible6 Alto S.AB.050.030.3.30

Realizar tomas físicas mensuales de inventario considerando la metodología ABC. Para ello se selecciona una muestra aleatoria de materiales,

teniendo en cuenta aquellos materiales de mayor valor y que cuenten con alto índice de rotación y se verifica que las existencias registradas en

el sistema de información corresponda con las existencias físicas en la bodega y con base en el cronograma de viajes a las bodegas.

Al finalizar el año, debe haberse cubierto la totalidad del inventario existente del total de las bodegas

Las diferencias físicas son revisadas y ajustadas. El ajuste es aprobado por el nivel correspondiente de acuerdo con el MAD.

El operador logístico debe soportar la diferencia. Cuando no hay soporte:

1. Se genera una reposición o

2. Se genera un menor valor de la factura a pagar al OL.

Cenit realiza el ajuste en el sistema (Logística realiza el ajuste en el sistema SAP).

X X N/A 2- Menor N/A N/A A: Improbable2A - Menor

Improbable34 Bajo


Sobre o subestimación del valor de inventarios, debido a la inadecuada o

inoportuna realización de conteos periódicos y anuales, inadecuada o no

autorizada o fraudulenta realización de ajustes de inventarios generando

información contable errada, interrupciones en la operación, pérdidas

económicas, sobrecostos y daños reputacionales para la Organización.



Realizar la toma física anual de inventario al 100% de los materiales registrados en el sistema de información. Verificando que las existencias

registradas en el sistema de información correspondan a las existencias físicas en la bodega.

La información sobre los inventarios y las diferencias identificadas quedan registradas en el sistema de información SAP.

Las diferencias físicas son revisadas y ajustadas por el nivel adecuado de acuerdo con el MAD.

El operador logístico debe soportar la diferencia. Cuando no hay soporte:

1. Se genera una reposición o

2. Se genera un menor valor de la factura

Cenit realiza el ajuste en el sistema (Logística realiza el ajuste en el sistema SAP).

Adicionalmente, un tercero independiente al Operador Logístico y Cenit ejecuta el inventario anual para garantizar la independencia y

cumplimiento del proceso de toma física.

X X N/A 2- Menor N/A N/A A: Improbable2A - Menor

Improbable34 Bajo


Incorrecta o fraudulenta valoración de la provisión de deterioro de

inventarios, debido a errores en la base de información usada para su

calculo, inexistencia o incumplimiento de la políticas y procedimientos

definidos y fallas en la revisión del cálculo que genere errores en el reporte

financiero y afectación a la utilidad reportada.



Revisar y aprobar el calculo del valor de la provisión de deterioro de los inventarios de materiales de gastos y proyectos, revisando que las cifras

y los cálculos estén adecuadamente soportados y acorde a los índices de rotación, saldo o existencias en bodegas.

El cálculo incluye un análisis de la rotación de inventarios mediante el cual se identifican los inventarios de lento o nulo movimiento.

Posteriormente esta información es enviada por el área Logística e Inventarios a la Gerencia de Mantenimiento y Gerencia de Proyectos para

su revisión técnica.

Una vez el área técnica da su concepto sobre cuales son los materiales a ser provisionados, Logística e Inventarios realiza los cálculos

pertinentes y comunica al área contable para su verificación y registro.

X N/A 3- Moderado N/A N/A A: Improbable3A - Moderado

Improbable32 Bajo

Compras y Contratación Gte. Compras e Inventarios

S.2.1.1.

Inadecuado cumplimiento de los requisitos del proceso de compras y

contratación (fraude / corrupción), debido a: falta de lineamientos

autorizados sobre el proceso, incumplimiento de las disposiciones y niveles

de atribución definidos en el Manual de Delegación de Autoridad de la

Compañía; inadecuada segregación de funciones en el proceso;

inadecuada parametrización del sistema; fraccionamiento de las

solicitudes de compra para evitar los controles estipulados por la

compañía en relación con montos de aprobación; falta de la

documentación relacionada con los límites de atribución; incumplimiento

sobre los trámites definidos; incorrecta creación de proveedores;

desconocimiento de los contratos y fraude interno, direccionamiento de

proveedores, supeditaje gerencial, creación de necesidades ficticias,

manipulación de precios y cotizaciones, conflictos de interés y/o

independencia. Lo cual puede generar compras innecesarias, uso y/o

apropiación indebida de activos, afectación a la reputación de la

Compañía y pérdidas económicas.

N/A 6- Catastrófico N/A 6- Catastrófico F: Con Certeza6F - Catastrófico Con

certeza1 Muy Alto S.2.1.1.1

Revisar la minuta del contrato de acuerdo con las plantillas autorizadas por el área legal, durante la etapa precontractual.

En caso de presentarse ajustes en la minuta estándar, se envía correo electrónico al Gerente Legal Operativo para su revisión y aprobación.

Las modificaciones propuestas son revisadas y se ajustan en el modelo del área.

X X X X N/A 6- Catastrófico N/A 6- Catastrófico B: Raro 6B - Catastrófico Raro 11 Intermedio


S.2.1.1.

Inadecuado cumplimiento de los requisitos del proceso de compras y

contratación (fraude / corrupción), debido a: falta de lineamientos

autorizados sobre el proceso, incumplimiento de las disposiciones y niveles

de atribución definidos en el Manual de Delegación de Autoridad de la

Compañía; inadecuada segregación de funciones en el proceso;

inadecuada parametrización del sistema; fraccionamiento de las

solicitudes de compra para evitar los controles estipulados por la

compañía en relación con montos de aprobación; falta de la

documentación relacionada con los límites de atribución; incumplimiento

sobre los trámites definidos; incorrecta creación de proveedores;

desconocimiento de los contratos y fraude interno, direccionamiento de

proveedores, supeditaje gerencial, creación de necesidades ficticias,


independencia. Lo cual puede generar compras innecesarias, uso y/o

apropiación indebida de activos, afectación a la reputación de la

Compañía y pérdidas económicas.



El sistema SAP automáticamente no permite:

1. Crear contratos (Bienes o Servicios) para proveedores que no se encuentren registrados en la maestro de acreedores y clientes.

2. Crear contratos (Bienes o Servicios) por montos mayores a los de las SOLPED.

3. Liberar SOLPED y contratos que no se ajusten a los niveles de autorización definidos en el MAD.

4. Liberar SOLPED que no cuente con un presupuesto disponible

5. Anular SOLPED ni Ordenes de Compra / Ordenes de Trabajo ya aprobadas en SAP.

6. Los permisos de SAP para liberar SOLPED y contratos no generan conflictos o inadecuada segregación funcional.

7. Asignar el mismo número de identificación (NIT/Cédula de Ciudadanía/Consecutivo) a más de un proveedor.

Anualmente el Gerente de Compras e inventarios valida esta configuración de acuerdo a la información enviada por el Especialista de Mejora

de procesos y en señal de revisión envía correo electrónico con el visto bueno. En caso de encontrar alguna irregularidad, el Gerente de

Compras e inventarios envía correo electrónico al área de TI para su resolución.



S.2.1.1.

Inadecuado cumplimiento de los requisitos del proceso de compras

y contratación (fraude / corrupción), debido a: falta de

lineamientos autorizados sobre el proceso, incumplimiento de las

disposiciones y niveles de atribución definidos en el Manual de

Delegación de Autoridad de la Compañía; inadecuada segregación

de funciones en el proceso; inadecuada parametrización del

sistema; fraccionamiento de las solicitudes de compra para evitar

los controles estipulados por la compañía en relación con montos

de aprobación; falta de la documentación relacionada con los

límites de atribución; incumplimiento sobre los trámites definidos;

incorrecta creación de proveedores; desconocimiento de los

contratos y fraude interno, direccionamiento de proveedores,

supeditaje gerencial, creación de necesidades ficticias,


independencia. Lo cual puede generar compras innecesarias, uso

y/o apropiación indebida de activos, afectación a la reputación de

la Compañía y pérdidas económicas.



Analizar las especificaciones técnicas que soportan la solicitud de contratación. En caso de tener claridad de la necesidad de contratación se da

inicio al proceso de contratación emitiendo la invitación a cotizar. En caso contrario, se interactúa con el área usuaria con el fin de entender la

necesidad.



S.2.1.1.




















Revisa y liberar el contrato tanto en el sistema SAP como en el documento físico de acuerdo con los términos de la negociación, el cual cumple

las condiciones para ser formalizado.X X X N/A 6- Catastrófico N/A 6- Catastrófico B: Raro 6B - Catastrófico Raro 11 Intermedio


S.2.1.1.




















Verificar que las pólizas entregadas por el contratista amparen adecuadamente a la Compañía según las condiciones establecidas en el

contrato.X X X N/A 6- Catastrófico N/A 6- Catastrófico B: Raro 6B - Catastrófico Raro 11 Intermedio

Compras y Contratación Gerente de Gestión de Contratos S.2.1.2.

Inadecuada administración de contratos incluyendo el favorecimiento al

contratista durante su ejecución debido a: ausencia de lineamientos para

la administración de contratos, demoras en el inicio de la ejecución del

contrato, fallas en el seguimiento de las obligaciones del contratista,

colusión entre el administrador o el supervisor técnico y el contratista y

errores en la liquidación del contrato que ocasionen sobrecostos,

interrupciones en las operaciones de la compañía, reclamos y afectación

reputacional.

N/A 6-Catastrófico N/A 4-Mayor C: Posible 6C -Catastrófico Posible 6 Alto S.2.1.2.6Verificar que la información del contrato firmado sea consistente con los datos que se encuentran en el sistema SAP (Fechas, firmas, anexos

pólizas aprobadas, modificaciones contractuales).X N/A 3 -Moderado N/A 3 -Moderado B: Raro 3B 25 Medio









reputacional.

N/A 6-Catastrófico N/A 4-Mayor C: Posible 6C -Catastrófico Posible 6 Alto S.2.1.2.7 Revisar y aprobar los planes de carácter administrativo establecidos en el contrato u orden de compra. X N/A 3 -Moderado N/A 3 -Moderado B: Raro 3B 25 Medio









reputacional.

N/A 6-Catastrófico N/A 4-Mayor C: Posible 6C -Catastrófico Posible 6 Alto S.2.1.2.8 Revisar, consolidar y aprobar los planes de carácter técnico establecidos en el contrato (HSE, seguridad física, RSE, PDT, y demás que apliquen). X N/A 3 -Moderado N/A 3 -Moderado B: Raro 3B 25 Medio









reputacional.

N/A 6-Catastrófico N/A 4-Mayor C: Posible 6C -Catastrófico Posible 6 Alto S.2.1.2.9Evaluar el desempeño del proveedor y/o contratista con base en los criterios de evaluación definidos en el la "Guía de Evaluación de

Desempeño " o documento equivalente que aplique para el respectivo contrato con el fin de registrar los resultados de desempeño.X X N/A 3 -Moderado N/A 3 -Moderado B: Raro 3B 25 Medio









reputacional.

N/A 6-Catastrófico N/A 4-Mayor C: Posible 6C -Catastrófico Posible 6 Alto S.2.1.2.10Monitorear la ejecución del contrato relacionada con el seguimiento técnico y administrativo del mismo, identificando cumplimiento de fechas,

entregables, planeación y presupuesto.X X N/A 3 -Moderado N/A 3 -Moderado B: Raro 3B 25 Medio









reputacional.

N/A 6-Catastrófico N/A 4-Mayor C: Posible 6C -Catastrófico Posible 6 Alto S.2.1.2.11

Aprobar la modificaciones contractuales previamente analizadas y sustentadas por el Administrador y el Supervisor Técnico del contrato.

El Administrador presenta al área de planeación la necesidad para su aprobación.

Nota: si se niega la solicitud se inicia una nueva solicitud para un nuevo contrato.

X X N/A 3 -Moderado N/A 3 -Moderado B: Raro 3B 25 Medio









reputacional.

N/A 6-Catastrófico N/A 4-Mayor C: Posible 6C -Catastrófico Posible 6 Alto S.2.1.2.12Verificar el cumplimiento de las actividades de cierre y/o liquidación de contratos, mediante la elaboración y aprobación del Acta de Liquidación

del Contrato, así como los documentos soporte que apliquen (soportes y anexos del acta) según el tipo de contrato. X X X X N/A 3 -Moderado N/A 3 -Moderado B: Raro 3B 25 Medio


Recibir bienes y/o servicios ficticios, no autorizados o que no correspondan

con lo acordado (orden de compra y/o solicitud de servicio pactado en el

contrato) durante la ejecución del contrato en cuanto a valores,

cantidades, tiempos, calidad, entre otros, debido a un inadecuado

seguimiento a la ejecución del contrato, que puedan generar posibles

conflictos de segregación funcional y/o colusión con el contratista que

generan afectación económica, reputacional, sobrecostos y reprocesos.

N/A 6-Catastrófico N/A 4-Mayor C: Posible 6C -Catastrófico Posible 6 Alto S.2.1.2.13

Revisar que el pedido está de acuerdo con las condiciones definidas en el contrato y liberarlo en el sistema SAP.

En caso de requerir ajustes, se envía la notificación al administrador del contrato.

X X X X X X X N/A 3 -Moderado N/A 3 -Moderado A: Improbable 3A 32 Bajo


Recibir bienes y/o servicios ficticios, no autorizados o que no correspondan

con lo acordado (orden de compra y/o solicitud de servicio pactado en el

contrato) durante la ejecución del contrato en cuanto a valores,

cantidades, tiempos, calidad, entre otros, debido a un inadecuado

seguimiento a la ejecución del contrato, que puedan generar posibles

conflictos de segregación funcional y/o colusión con el contratista que

generan afectación económica, reputacional, sobrecostos y reprocesos.

N/A 6-Catastrófico N/A 4-Mayor C: Posible 6C -Catastrófico Posible 6 AltoS.2.1.2.14

Verificar el cumplimiento de las obligaciones contractuales pactadas, realizando seguimiento a los plazos de entrega, ejecución de las obras y/o

cantidad y calidad de los bienes o servicios (según el caso) haciendo uso de las Actas de Recibo de Cantidades firmadas por el Supervisor Técnico

y el Contratista, como insumo para registro de las entradas de servicios en SAP y la liberación de la hoja de entrada correspondiente.

En caso de identificar variables inconsistentes de avance, desviaciones y/o alertas que se presente durante la ejecución del contrato, se debe

tomar las acciones correspondientes para asegurar el cierre, corrección y/o ajuste de desviaciones.

X X X X N/A 3 -Moderado N/A 3 -Moderado A: Improbable 3A 32 Bajo


S.2.1.1.




















1. Verificar que los proponentes que participan en el proceso de selección cumplen con los requisitos financieros, técnicos y reputacionales

(revisión listas restrictivas) para la ejecución del contrato a través de los siguientes documentos:

- Reporte del análisis y viabilidad financiera del proveedor para los contratos cuyo monto sea superior al autorizado por el Comité de Compras y

Contratación.

- Reporte del análisis del LA/FT (Listas restrictivas)

2. Antes de la firma del contrato se verificará nuevamente en listas restrictivas (OFAC y Contraloría) de acuerdo a los establecido en el manual

de cumplimiento.

3. Para proveedores activos con contratos en ejecución se realiza una validación al inicio del contrato y al menos una vez cada año.

X X X X X X X N/A 6- Catastrófico N/A 6- Catastrófico B: Raro 6B - Catastrófico Raro 11 Intermedio


S.2.1.1.




















Validar que el formato de creación de proveedores y sus documentos anexos enviados por el área de Compras e Inventarios estén de acuerdo

con el procedimiento de creación de proveedores establecido por la Compañía y tenga las firmas de autorización así como el visto bueno de las

listas restrictivas; adicionalmente se firma el check list de revisión de documentos.

X X X X X X X N/A 6- Catastrófico N/A 6- Catastrófico B: Raro 6B - Catastrófico Raro 11 Intermedio

Inmobiliaria Gestión Inmobiliaria S.6.2.1

Fraude y/o corrupción durante el proceso de adquisición de

procesos inmobiliarios, debido: Falta de Lineamientos para la

negociación, pagos excesivos, incidencia en el concepto de peritos,

dádivas ilegales, uso de información privilegiada, errores

intencionales en la aplicación de la metodología, lo cual generaría,

afectación reputacional y pérdidas económicas.

N/A1

LeveN/A

4

MayorD: Probable 4D-Mayor-Probable 4D-ALTO S.6.2.1.1

Revisión de los cumplimientos técnicos, económicos y jurídicos de los acuerdos de indemnización para que cuente con toda la documentación

soporte de la adquisición del derecho y sean consistentes con las metodologías de indemnización de daños y servidumbres.

En caso de encontrar inconsistencias se envía correo electrónico a los gestores para su análisis y ajuste por parte del área Inmobiliaria.

X X X X N/A2

MenorN/A

4Mayor

C: Posible 4C-Mayor- Posible 4C-INTERMEDIO


Involucrarse en actividades asociadas al lavado de activos y/o

Financiación del terrorismo durante el proceso de adquisición de

derechos inmobiliarios debido a la suscripción de acuerdos de

indemnización en predios y con terceros vinculados con temas de

LA/FA, ausencia de verificación en listas restrictivas de las

contrapartes y estudios jurídicos de los bienes a adquirir y los

titulares del derecho, lo que puede generar pérdidas económicas y

afectación reputacional para Compañía.

N/A1

LeveN/A

4


Revisar los terceros en la lista restrictiva en el proceso de adquisición de derechos inmobiliarios, tomando un pantallazo de la consulta.X X X X N/A

2

MenorN/A

5

Catastrófico B: Improbable

5B-Catastrófico-

Improbable5B-INTERMEDIO


Inadecuada constitución de los derechos inmobiliarios, debido a,

errores catastrales, falta y/o errores en el estudio de títulos,

mutación de los predios, lo cual puede derivar en demandas,

imposibilidad de uso de los derechos inmobiliarios para la

operación de la Compañía.

N/A1

LeveN/A

4


Revisión de los cumplimientos técnicos y jurídicos de los acuerdos de indemnización por servidumbres para que cuente con toda la

documentación soporte de la adquisición del derecho.X X X X X N/A

2Menor

N/A5

Catastrófico B: Improbable

5B-Catastrófico-Improbable

5B-INTERMEDIO

PLANES DE ACCIÓN

Proceso Dirección Gerencia Tipo de Deficiencia Código de control Control GAP Acción (es) de MejoraResponsable

(Cargo)Fechas Plan de Acción Seguimiento

Responsable del

Seguimiento

(Dueño del proceso)

Observaciones

SIR&CO E.1.1. Gobierno de Control Secretaría General de ODC/ Gerencia GeneralSecretaría General de ODC/ Gerencia

GeneralControl - Alto E.1.1.2.1


1. Adhesión:

1.1. Código de Ética de Casa Matriz, que contiene un conjunto de declaraciones explícitas de comportamientos y disyuntivas éticas, además de los

lineamientos de regalos, cortesías, atenciones y suscripción de patrocinios.

1.2.El procedimiento de gestión de denuncias de la Casa Matriz, especificando las excepciones en las actividades a realizar para los casos que no aplique por

la estructura organizacional de ODC.

1.3. El Manual de Cumplimiento del Prestador de Servicios administrativos, que establece las directrices y lineamientos generales para garantizar el

cumplimiento de los mecanismos de identificación, prevención, detección, reporte, monitoreo y respuesta ante actos de corrupción, fraude, lavado de

activos y/o financiación del terrorismo, que puedan presentarse en ODC, especificando las excepciones en las actividades a realizar en los casos que no

aplique por la estructura organizacional de ODC.


2.1. el Manual para la Prevención del Lavado de Activos y la Financiación del Terrorismo y sus modificaciones que establece directrices y lineamientos

generales para la prevención del lavado de activos y la financiación del terrorismo LA/FT, aplicables a cada una de las contrapartes con las cuales Oleoducto

de Colombia S.A, tiene vínculos de negocios, contractuales o jurídicos que involucren un factor de riesgo de LA/FT. El Manual para la Prevención del Lavado

de Activos y la Financiación del Terrorismo es administrado (mantenido, divulgado) por el Oficial de Ética y Cumplimiento de ODC.


Falta de un procedimiento para la gestión de denuncias o la aprobación de la adherencia al documento definido

por la Casa Matriz para el tratamiento de los casos éticos.

Falta de directrices formales para la gestión del programa de cumplimiento de ODC o la aprobación de la

adherencia al Manual de Cumplimiento del prestador de servicio o casa matriz.

Falta de un documento normativo (Código de Buen Gobierno o en su lugar Reglamento de Junta Directiva) en

donde se establezcan las responsabilidades de supervisión del sistema de control interno por parte de la Junta

Directiva o sus comités, así como los lineamientos para la designación de miembros competentes e

independientes y las actividades diseñadas para evaluar la gestión de supervisión por parte de la Junta

Directiva.

Aprobar por parte de la Junta Directiva la adherencia a los siguientes documentos normativos:

1.El procedimiento de gestión de denuncias de la Casa Matriz, especificando las excepciones en las actividades

a realizar para los casos que no aplique por la estructura organizacional de ODC.

2. El Manual de Cumplimiento del Prestador de Servicios , especificando las excepciones en las actividades a

realizar en los casos que no aplique por la estructura organizacional de ODC.

Diseñar y someter aprobación un reglamento de la Junta Directiva en donde se definan las responsabilidades

de supervisión en relación con el sistema de control interno de ODC, así como los lineamientos para la

designación de miembros competentes e independientes y las actividades diseñadas para evaluar la gestión de

supervisión por parte de la Junta Directiva.

Gerencia General ODC 01/08/2017 31/12/2017


GeneralControl - Alto E.1.1.2.4

Aprobar y monitorear el cumplimiento al plan/programa de capacitación para los miembros de Junta Directiva, empleados y contratistas en temas

relacionados con:


2. Línea ética

3. Manual de Cumplimiento del Prestador de Servicios administrativos.

Socializar los canales diseñados por la Compañía para recibir denuncias confidenciales de empleados, miembros de Junta Directiva y terceros de acuerdo

con el dicho plan/programa de capacitación

El control relacionado con el programa de capacitación de temas éticos a los empleados, miembros de Junta

Directiva y contratistas se encuentra pendiente de diseño e implementación.

Diseñar el programa de capacitación de temas éticos a los empleados, miembros de Junta Directiva y

contratistas y someterlo aprobación para su ejecución.Gerencia General ODC 01/08/2017 31/12/2017


GeneralControl - Alto Aplica para riesgos Todos los controles de Gobierno de Control. La valoración de los riesgos está en proceso de revisión Valorar los riesgos residuales del proceso de Gobierno de control

Gerencia General ODC /

Cenit 31/12/2017

SIR&CO E.3.1.

MonitoreoAuditoría Interna Auditoría Interna Control - Alto E.3.1.1.1


2. Aprobar el Manual de Auditoría y el Estatuto de Auditoría Interna que establece los lineamientos para la ejecución de la función de la auditoría Interna,

el cual incluye las normas sobre la independencia y objetividad, actitud y cuidado profesional atendiendo la definición de competencias del equipo de

auditoría y plan de capacitación así como las normas de desempeño para la ejecución de trabajos de auditoría interna y la supervisión de actividades.

3.Declarar anualmente al Comité Financiero y Auditoría, la independencia de la función de Auditoria Interna. Esta declaración queda debidamente

documentada en las actas del comité.

El reglamento del Comité Financiero y de Auditoría se encuentra desactualizado dado que no incluye la

totalidad de funciones definidas en el acta No.13 del 14 de abril de 2016 de esté órgano.

Adicionalmente la función definida en dicha acta relacionada con "apoyar y asesorar a la administración en

identificación de riesgos " no cubre la totalidad del proceso de gestión de riesgos y controles.

Actualizar el reglamento del Comité Financiero y de Auditoría con las funciones definidas en el acta No.13 del

14 de abril de 2016 de este órgano.

Modificar la función definida en dicha acta "apoyar y asesorar a la administración en identificación de riesgos "

por Supervisar el proceso de gestión de riesgos y controles.

Líder de Auditoría Interna 31/12/2017

SIR&CO E.3.1.



2. Aprobar el Manual de Auditoría y el Estatuto de Auditoría Interna que establece los lineamientos para la ejecución de la función de la auditoría Interna,

el cual incluye las normas sobre la independencia y objetividad, actitud y cuidado profesional atendiendo la definición de competencias del equipo de

auditoría y plan de capacitación así como las normas de desempeño para la ejecución de trabajos de auditoría interna y la supervisión de actividades.

3.Declarar anualmente al Comité Financiero y Auditoría, la independencia de la función de Auditoria Interna. Esta declaración queda debidamente

documentada en las actas del comité.

1.El Manual de Auditoría Interna se encuentra desactualizado o no considera:

-Incluye funciones que no son ejecutadas por la Función de Auditoría como: Gestión de riesgos, cumplimiento,

legal, seguridad, ética y auditoría externa medio ambiente.

-No establece procedimientos de supervisión del trabajo en sus diferentes etapas.

2. No se cuenta con un código de ética de la función.

3. Auditoría Interna es liderada por un auditor en misión contratado a través de una empresa temporal, no

cuenta con experiencia como director ejecutivo de auditoría y posee poca experiencia en riesgos de fraude y

tecnología de la información.

4.No se contó con un plan de desarrollo y capacitación para el 2016 ni se tiene programada capacitación para

2017.

5.El auditor interno no ha ratificado ante el Comité de Auditoría la independencia de la actividad de la

auditoría interna.

6.No se firma una confirmación o declaración de independencia de los miembros del equipo para los trabajos

individuales.

1.Actualizar el manual de auditoría interna en cuanto a:

1.1.Incluir todos los aspectos indicados en las normas de auditoría y desincorporar aquellos que afectan su

cumplimiento; asegurar su aprobación por parte del Comité de Auditoría y la socialización a las partes

interesadas.

1.2.Diseñar y aplicar mecanismos de supervisión a trabajos de auditorías contratadas.

1.3.Crear el Estatuto de Auditoría Interna en documento independiente del Manual de Auditoría Interna.

2.Implementar el código de ética e incluirlo en el Estatuto de Auditoría Interna.

Aprobar el Estatuto y de la modificación del Manual por Comité de Auditoría y Junta Directiva.

Implementar el formato de declaración de independencia de auditores.

3. y 4. Diseñar y ejecutar un plan de capacitación que permita a los miembros de la función fortalecer sus

conocimientos y competencias de acuerdo las necesidades identificadas.

5.Efectuar anualmente ratificación de independencia de la actividad ante el Comité de Auditoría.

6.Implementar formato de declaración de independencia de auditores y asegurar su diligenciamiento previo al

inicio de los trabajos de aseguramiento y consultoría.

Líder de Auditoría Interna

01/07/2017 1. 30/11/2017

2. 30/11/2017

SIR&CO E.3.1.


1. Aprobar el Plan General de Auditoría (PGA) presentado por la Auditoría interna basado en el Manual de Auditoría Interna.

2.Monitorear la efectividad del sistema de control interno por medio de la presentación trimestral de la Auditoría Interna y el prestador de servicios

(Gerencia de Aseguramiento) al Comité Financiero y de Auditoría y Junta Directiva de ODC que incluye:

1. El avance en el cumplimiento del PGA aprobado

2. Los hallazgos de las auditorías considerados con riesgo o criticidad alta

3. Seguimiento a la implementación de planes de acción de los hallazgos críticos (Cuando aplique).

4.Seguimiento al proceso de gestión de riesgos y controles, presentando los riesgos críticos y eventos significativos que se materialicen (si aplica)

En caso de recomendaciones y/o ajustes por parte del Comité de Auditoría PGA la auditoría interna generará los cambios y presentará en el comité el

seguimiento de los mismos.

1.La metodología para la construcción del PGA (Plan General de Auditoría) requiere ser fortalecida

documentalmente, soportando de forma mas detallada el universo de auditoría, TBGs y presupuestos de capex

y opex asociados a cada proceso, resultado de auditorías anteriores, rotación de énfasis y resultados de trabajo

de ética y cumplimiento.

2.Modificaciones del PGA no autorizadas por el Comité de Auditoría: Inclusión de auditoría DRA y combustible y

Exclusión auditoría a Fundación Oleoductos de Colombia.

3.No se sometió a aprobación del Comité de Auditoría, los recursos a ser utilizados para desarrollar el PGA

2016.

Inoportunidad en la construcción del PGA 2017.

4.Inoportunidad en la construcción del PGA 2017.

1.Implementar la metodología ECP para construcción del PGA 2018 y años posteriores.

2.Presentar para autorización por parte del Comité de Auditoría las modificaciones que se realicen al PGA.

Para el PGA 2018 y años posteriores se presentarán para aprobación del Comité de Auditoría los recursos

requeridos para su ejecución.

3.Aprobación del PGA por Comité de Auditoría.

4.Construcción del PGA 2018 y años posteriores durante el último trimestre de cada año.

Líder de Auditoría Interna

1. 01/10/2017

2. 01/07/2017

3. 01/12/2017

4. 01/10/2017

1. Permanente

2. Permanente

3. 31/12/Cada año

4. 31/12/Cada año

SIR&CO E.2.1.

Evaluación de Riesgos

Prestador del Servicio (Dirección de Asuntos

Corporativos y Sostenibilidad)Gerencia de Aseguramiento Control - Alto E.2.1.1.1

Aprobar la política y herramienta de gestión riesgos (Matriz RAM) que establece las directrices para la administración de los riesgos y los controles de ODC,

así como la adhesión a la Guía de Gestión de Riesgos del prestador de Servicios.

Posteriormente se realiza la divulgación por parte del Gerente General de ODC por medio de correo electrónico a los funcionarios internos (empleados) y

prestadores de servicios.

La política de gestión de riesgos de ODC se encuentra desactualizada.

Falta de un procedimiento o guía que defina el proceso de gestión de riesgos o en su lugar la aprobación de la

adhesión de la guía de gestión de riesgos del prestador de servicios.

Actualizar la política de gestión de riesgos de acuerdo a la realidad operativa y según los responsables y

actividades definidas en el contrato de prestación de servicios.

Aprobar por parte de la Junta Directiva la adhesión de la guía de gestión de riesgos del prestador de servicios y

especificar las excepciones que den lugar de acuerdo con la estructura organizacional de ODC.

Gerencia General ODC

Prestador de Servicio

(Gerencia de

Aseguramiento).

Junta Directiva de ODC.

14/09/2017

SIR&CO S.7.10 Gestión y Capitalización de Activos Dirección General de Operaciones Dirección Técnica de Activos Control - Alto S.7.10.5.10

Revisar y aprobar el reporte de las órdenes de trabajo correspondientes a mantenimientos a capitalizar en el mes y a transferir a activos en curso de

acuerdo a los criterios definidos bajo IFRS, el cual es enviado por el área de planeación de mantenimiento.



El proceso de mantenimiento está en estabilización y formalización Asegurar que las órdenes de trabajo ya ejecutadas queden clasificadas como capitalizables o no de acuerdo a

la norma IFRS

Gerente de Planeación y

Programación de

Mantenimiento ( Prestador

de Servicios)

30/09/2017 N/A N/A N/A

De acuerdo al seguimiento realizado en diciembre, se

identificó que este control no aplica para ODC porque

el servicio es prestado por ECOPETROL.






El proceso de mantenimiento está en estabilización y formalización Definir el umbral de revisión por parte del a Gerencia de planeación y programación de mantenimiento para la

revisión de las órdenes de trabajo capitalizables y no capitalizable.


Programación de


de Servicios)

30/09/2017 N/A N/A









El proceso de mantenimiento está en estabilización y formalización c. Inclusión de un control de Monitoreo aleatorio de las OT no capitalizables y revisar su nivel de error en la

clasificación de acuerdo a la información enviada por el área de Planeación de Mantenimiento.


Programación de


de Servicios)

30/09/2017 N/A N/A




GR&C S.1.1.Cierre Contable, Preparación y

Revelación de Estados Financieros Dirección Estrategia y Finanzas


Finanzas)Control - Alto S.1.1.5.6.

Validar que los totales del patrimonio incluida la utilidad del ejercicio cargada en hyperion correspondan al cierre contable del periodo de acuerdo a la

información cargada por el prestador de servicios(outsourcing) , por medio de la pantalla de reporte de Hyperion que valida los saldos contra el balance.


Para los cambios posteriores al cierre contable, el Prestador de Servicios (Jefe de Contabilidad) envía correo electrónico a Casa Matriz con los ajustes para

efectos de consolidación y cargue en Hyperión.

2. Revisión de la conciliación de las cifras SAP frente al reporte de Hyperion ( día 15 posterior al cierre) o cuando ocurra ajuste posterior al cierre . En caso

de encontrar diferencias, el Prestador de Servicios (Jefe de Contabilidad) envía correo electrónico a Casa Matriz para su gestión y respuesta. ( si aplica

ajustes posteriores al cierre).


La conciliación de las cifras de SAP frente al reporte de Hyperion está en proceso de formalización para ODC. Ejecutar la conciliación de las cifras de SAP y hyperion posterior la cierre. Prestador de Servicios (Jefe

de Contabilidad) 30/10/2017 15/11/2017

GR&C S.1.4. Cálculo DD&ADirección Estrategia y Finanzas


Finanzas)Diseño -Medio S.1.4.2.1.

Revisar la prueba del cálculo de la depreciación de los activos de Oleoducto de Colombia S.A., mediante la validación de los datos de la depreciación del

mes frente a los valores registrados en la contabilidad de acuerdo a la prueba del cálculo realizada por el Outsourcing Contable Analista y que es enviada

por correo electrónico al Outsourcing Contable Supervisor.

En señal de revisión de la prueba del cálculo, el Prestador de Servicios (Outsourcing - Supervisor de Activos Fijos) envía correo electrónico al Prestador de

Servicios (analista de activos fijos);

En caso de encontrar inconsistencias y diferencias en las pruebas del cálculo de la depreciación de los activos, el Prestador de Servicios (Supervisor de

Activos Fijos) envía correo electrónico al Outsourcing Contable Analista para su ajuste. (si aplica)

Posteriormente se ejecuta el proceso de depreciación del mes.

El papel de trabajo que contiene el test de depreciación generado de SAP con la pantalla del valor calculado

está en proceso de formalización

Asegurar el papel de trabajo que contiene el test de depreciación generado SAP con la pantalla del valor

calculado y la fecha por el sistema, además de la hoja de validación del cálculo adicionada por el Supervisor.

Prestador de Servicios (Jefe

de Contabilidad) 30/10/2017 15/11/2017

inmobiliaria Gestión Inmobiliaria Gerente de Entorno Diseño -Medio S.6.2.5.6 Revisar la razonabilidad y el correcto cálculo de las provisión de gestión inmobiliaria a fin reportar antes de cierre al área contable para su registro. Está pendiente de formalización y definición del ejecutor del control de acuerdo a la realidad operativa. Actualizar el responsable del control de acuerdo a la realidad operativa Responsable 30/10/2017 30/10/2017

Gestión de Proyectos Dirección Técnica de Activos Gerencia de Proyectos y

Mantenimientos Mayores Diseño -Medio N/A N/A La actualización de riesgos y controles del proceso de Gestión de proyectos está en revisión Actualizar los riesgos y controles de Gestión de Proyectos 15/11/2017

Proceso Soporte Diseño -Medio

S.8.2.1.5 El ERP cuenta con 3 ambientes de procesamiento:

- Desarrollo.

- Calidad.

- Productivo.

En los que es revisado la segregación de ambientes y roles de acuerdo con los siguientes lineamientos para los usuarios desarrolladores (ABAP):

- Desarrollo : Acceso ilimitado con programación,






• Producción

Para infraestructura no se tiene ambiente de pruebas. Las pruebas son realizadas en ventanas horarias que no afectan la operación de la compañía.

El control es inefectivo ya que la evidencia obtenida solo indica la segregación de ambientes para SAP. El

control indica otros sistemas SOX, sin evidenciar a la fecha de nuestra evaluación cuales son los otros sistemas

SOX y sin que se observe evidencia de esta validación para otros sistemas aparte de SAP.

Actualizar el inventario de aplicaciones con los líderes fncionales para determinar cuales otras aplicaciones

quedan en el alcance SOX.Especialista TI 30/06/2017

La unica aplicación SOX actualmente es Sap para la

cual se esta cumpliendo el control, se tiene un plan

para implementar el próximo año los controles a la

aplicación Enruta

Proceso Soporte Diseño -Medio S.8.2.14.2

Anualmente, se define y aplica el cronograma de mantenimiento preventivo de hardware de Infraestructura de TI que soporta los sistemas SOX.

Nota: Para las plataformas que se encuentren en garantía se siguen las recomendaciones emitidas por el proveedor.

El control menciona aplicativos de alcance SOX. Se observa que únicamente se realizó la verificación para AIX

SAP, y según la certificación el contrato iba hasta septiembre 30 de 2017

El contrato iba con el proveedor hasta septiembre, por lo tanto la carta de certificación estaba solo hasta el fin

de la vigencia. A la fecha ya se firmó el otro sí con Indra hasta el año 2018 y se va a solicitar una certificación

con la nueva vigencia.

Especialista TI 30/11/2017

Descripción cambio Número de Riesgo Resultado del cambio Descripción cambioNúmero de

Control Resultado del cambio

V2Gobierno

Corporativo Actualización Matrices SOX 2017

Ajuste en el Riesgo asegurando

temas de fraude y corrupción y estandarizando a los riesgos de

CENIT.

E.1.1.1.

Anterior

E.1.1.1. Fallas en el proceso de toma de decisiones ( Intencionales o involuntarios) debido a; inadecuada asignación y desconocimiento de los niveles de autoridad y

sus responsabilidades, lo que puede generar pérdida de valor y afectación de la

imagen.

Riesgo estandarizado al de CENIT.

E.1.1.1. Errores o direccionamiento en el proceso de toma de decisiones y/o de

aprobaciones en nombre de la Compañía, por debilidades en la asignación de autoridad, inadecuada segregación de funciones, definición y aprobación de la

estructura de gobierno, generando pérdidas de valor (contingencias) y/o afectación

reputacional.

Ajuste en la descripción

de la actividad del control y en la

evidencia

E.1.1.1.1

Se estandarizo con el objetivo de control de Cenit:Verificar que las autoridades y responsabilidades asignadas a ODC para tomar decisiones y/o supervisar estén formalizadas, actualizadas y divulgadas

Evidencia anterior:

'1. Estatutos de Oleoducto de Colombia S.A. (ODC), conservados por la Secretaría General y publicados en la Página Web.

2. Manual de Autoridad y Delegación (MAD) vigente y correo electrónico enviado por la Secretaría General ODC al Administrador del Contrato de CENIT / Ecopetrol, para que lo divulguen a las personas involucradas de los prestadores de servicios, y a funcionarios de ODC con el documento vigente.

Nota: En caso de ajustes modificaciones y/o actualizaciones, se realiza el proceso de aprobación de acuerdo con lo definido y es informado por medio de correo electrónico a los administradores de contrato de los prestadores de servicios y a funcionarios ODC por parte de la Secretaría General de ODC.

El MAD se encuentra almacenado en el Centro de Administración

Evidencia actual:'1. Estatutos de Oleoducto de Colombia S.A. (ODC), conservados por la Secretaría General y publicados en la Página Web.

2. Actas de asamblea de accionistas y Junta Directiva de ODC en caso de aprobar modificaciones de los estatutos o Manual de delegación de autoridad.1. Manual de delegación de autoridad (MAD) vigente publicado en el Share Point de ODC y correo electrónico a los prestadores de servicios en los casos que se generen modificaciones.

IPE: Actas de asamblea y Junta Directiva de ODC.

17/06/2017 Deloitte

Gobierno Corporativo

E.1.1.2.1.

Se unifica el control: E.1.1.2.2 y E.1.1.2.4. Adicionalmente se adiciona la adherencia al procedimiento de Gestión de Denuncias y el Manual de Cumplimiento de la prestación del servicios.


1. Adhesión:

1.1. Código de Ética de Casa Matriz, que contiene un conjunto de declaraciones explícitas de comportamientos y disyuntivas éticas, además de los lineamientos de regalos, cortesías, atenciones y suscripción de patrocinios.

1.2.El procedimiento de gestión de denuncias de la Casa Matriz, especificando las excepciones en las actividades a realizar para los casos que no aplique por la estructura organizacional de ODC.

1.3. El Manual de Cumplimiento del Prestador de Servicios administrativos, que establece las directrices y lineamientos generales para garantizar el cumplimiento de los mecanismos de identificación, prevención, detección, reporte, monitoreo y

respuesta ante actos de corrupción, fraude, lavado de activos y/o financiación del terrorismo, que puedan presentarse en ODC, especificando las excepciones en las actividades a realizar en los casos que no aplique por la estructura organizacional

de ODC.


2.1. el Manual para la Prevención del Lavado de Activos y la Financiación del Terrorismo y sus modificaciones que establece directrices y lineamientos generales para la prevención del lavado de activos y la financiación del terrorismo LA/FT,

aplicables a cada una de las contrapartes con las cuales Oleoducto de Colombia S.A, tiene vínculos de negocios, contractuales o jurídicos que involucren un factor de riesgo de LA/FT. El Manual para la Prevención del Lavado de Activos y la

Financiación del Terrorismo es administrado (mantenido, divulgado) por el Oficial de Ética y Cumplimiento de ODC.


Evidencia:

1. Actas de Junta Directiva en donde se apruebe los siguientes documentos:

1.1. Código de Ética vigente adherido, aprobado y publicado en el Share Point de ODC.

1.2. Procedimiento de Gestión de Denuncias Éticas adherio de la Casa Matriz vigente y aprobado

1.3. Manual de Cumplimiento del prestador de servicios administrativos, adherido por ODC (Antifraude, Anticorrupción, Lavado de Activos y Financiación del terrorismo) vigente, aprobado y publicado en la pagina web de ODC.

1.5.Manual para la Prevención del Lavado de Activos y la Financiación del Terrorismo aprobado por la Junta Directiva y su publicación en la página web.

2. Correos el electrónicos a los empleados y prestadores de servicios divulgando las modificaciones a los manuales, códigos y procedimientos cuando haya lugar.

El acta se encuentra en custodia de la Secretaria General.

IPE: Control de cambio de los manuales, códigos, políticas y procedimientos y actas de Junta Directiva

17/06/2017 Deloitte

Gobierno Corporativo

E.1.1.2.2.

El control E.1.1.2.2 se fusiono en el control E.1.1.2.1 y el control E.1.1.2.4 quedo en este control:

1. Aprobar el nombramiento de los miembros de la Junta Directiva de ODC así como sus compensaciones.2. Designar miembros del Comité Financiero y Auditoría de ODC de acuerdo a lo establecido en el Reglamento.

3. Analizar los resultados de las auto-evaluación de los miembros principales de la Junta Directiva de ODC y de sus comités.

17/06/2017 Deloitte

Gobierno

Corporativo E.1.1.2.3

El control E.1.2.5 quedo en el E.1.2.3 así:

Obtener manifestaciones anuales de cumplimiento de los siguientes lineamientos:

1. Código de Ética por parte de los empleados y Junta Directiva de la compañía, manifestando su adherencia.

2. Pacto de Transparencia de los empleados de la compañía y miembros de Junta Directiva.

3.Declaración de conflictos de interés por parte de los empleados y Junta Directiva, en los casos que se presenten.

Las manifestaciones de los empleados quedan archivadas en la carpeta de hoja de vida para los empleados y la de los miembros de la Junta Directiva en la carpeta de esté órgano conservada por la Secretaría General de ODC.

17/06/2017 Deloitte

Gobierno


Control nuevo:

Aprobar y monitorear el cumplimiento al plan/programa de capacitación para los miembros de Junta Directiva, empleados y contratistas en temas relacionados con:


2. Línea ética3. Manual de Cumplimiento del Prestador de Servicios administrativos.

Socializar los canales diseñados por la Compañía para recibir denuncias confidenciales de empleados, miembros de Junta Directiva y terceros de acuerdo con el dicho plan/programa de capacitación

17/06/2017 Deloitte

Gobierno


El control E.1.1.2.5 era el control 1.1.3.3 el cual se estádarizo de acuerdo al riesgo y control del prestador del servicio así:

1. Monitorear el avance y resolución de las denuncias éticas que los empleados y terceras partes realizan por medio del canal confidencial de la Casa Matriz relacionadas con Oleoducto de Colombia S.A. (ODC). El

Oficial de Ética y Cumplimiento gestiona las denuncias de acuerdo al procedimiento de gestión de denuncias adherido y reporta el estado de los casos y dilemas éticos relevantes para conocimiento del Comité Financiero y de Auditoría y Junta Directiva de ODC para que se tomen las recomendaciones y decisiones cuando haya lugar.

Cuando el caso involucre al Oficial de Ética y Cumplimiento, la denuncia será direccionada por la Gerencia General.

17/06/2017 Deloitte

V2 Monitoreo Actualización Matrices SOX 2017



CENIT.

E.3.1.3.

Incumplimiento en la gestión contractual de los contratistas de operación y mantenimiento y prestación de servicios administrativos debido a: errores en los

diseños de los controles de supervisión de contratos, no operatividad del control,

celebración de transacciones sin la debida autorización, incumplimiento, errores

del dueño del proceso, falta de seguimiento y monitoreo lo que generaría materialización de riesgos operativos, de reporte , de cumplimiento y pérdidas

económicas.

N/A N/A N/A 05/07/2017 Deloitte

Gestión de riesgos E.2.1.1.1Aprobar la política y herramienta de gestión riesgos (Matriz RAM) que establece las directrices para la administración de los riesgos y los controles de ODC, así como la adhesión a la Guía de Gestión de Riesgos del

prestador de Servicios.

Posteriormente se realiza la divulgación por parte del Gerente General de ODC por medio de correo electrónico a los funcionarios internos (empleados) y prestadores de servicios.

05/07/2017 Deloitte

CONTROL DE CAMBIOS

Versión del

DocumentoCausa del cambio

Riesgo ControlFecha Cambio:

dd/mm/aaaa

Quién Realizó el

Cambio: Proceso

Ajuste en la descripción de la actividad del

control y en la

evidencia

V2 Actualización Matrices SOX 2017


temas de fraude y corrupción y

estandarizando a los riesgos de CENIT.

E.2.1.1.

Fallas en la estructuración y despliegue del Sistema de Gestión de Riesgos, debido a:

1. Debilidades en la definición de políticas, metodologías y/o herramientas para la identificación, valoración, tratamiento, monitoreo y comunicación de riesgos.

2. Inadecuada divulgación de los lineamientos y políticas sobre la gestión de

riesgos en la organización 3. No contar con una matriz de valoración de riesgos apropiada a la Organización

4. No contar con un adecuado plan de tratamiento o acciones de mitigación

requeridas para riesgos identificados en la Organización.

Limitando que la Compañía cuente con un adecuado sistema de gestión que

soporte el desarrollo de la estrategia y sus objetivos.


de la actividad del

control y en la evidencia


Ajuste en el Riesgo asegurando temas de fraude y corrupción y

estandarizando a los riesgos de

CENIT.

E.1.1.2.

Se unifica el riesgo E.1.1.2, E.1.1.3 y E.1.1.4 y se estandariza con el de Cenit:Faltas éticas en ODC de los empleados y/o miembros de Junta Directiva o

inadecuada toma decisiones, debido a:1. La inadecuada definición, aprobación y divulgación de las políticas, manuales y

procedimientos en materia de: Delegación de autoridad, Ética, Denuncias éticas,

Cumplimiento y Buen Gobierno.

2. No promover actuaciones basadas en la integridad y los valores éticos. 3. Falta de capacitación en relación a los temas de ética, cumplimiento, conflictos

de interés y mecanismos para realizar denuncias éticas.

4. Manejo inadecuado de las denuncias, consultas y dilemas de los interpuestos por los grupos de interés.

5. Conflictos de interés en los miembros de Junta Directiva.

Lo cual puede ocasionar, materialización de actos indebidos, incumplimiento o

desconocimiento de los Estatutos y definiciones de la normativa interna, afectando el clima organizacional y la reputación y eventualmente generando la

pérdida de valor de la Compañía, entre otros.

Gestión de riesgos E.2.1.1.2

Monitorear y mantener actualizado el sistema de gestión de riesgos de ODC por parte del prestador de servicio compuesto por:

1. Identificación de riesgos estratégicos, 2.Revisión de la matriz de valoración RAM

3. Establecimiento y seguimiento de planes de tratamiento, donde sea requerido para corrección de controles y/o materialización de riesgos.

4. Matrices de riesgo y control, a través de la identificación, análisis, evaluación y actualización del mapa de riesgos corporativos, ajustando en las matrices modificaciones y generando la versión final la cual es

compartido a los dueños de procesos. En caso tal que se presenten acciones a mejorar, los dueños del proceso implementan los planes respectivos y el Prestador de Servicio (Gerencia de Aseguramiento) realizan el seguimiento correspondiente.

05/07/2017 Deloitte

Gestión de riesgos E.2.1.1.3

Monitorear el proceso de gestión de riesgos ejecutado por el Prestador de Servicio a través de la reunión trimestral de seguimiento en donde el contratista (Gerencia de Aseguramiento) presenta los aspectos

claves definidos en el contrato que incluyen entre otro los siguientes asuntos:

1. Las certificaciones emitidas por los terceros (prestadores de servicios) en relación con los riesgos y controles SOX así como el análisis de la información descrita en la misma.

2.Listado de riesgos estratégicos y matriz RAM

3.En caso de encontrar desviaciones (controles con calificación inefectivo / oportunidades de mejora) y alertas temprana (planes de acción no ejecutados o con modificación de fecha) definen planes de acción y se

monitorea su cumplimiento.4.Reporte de nuevos planes de acción y ejecución de los definidos.

05/07/2017 Deloitte

V2 Gestión de riesgos Actualización Matrices SOX 2017




E.3.1.1.

Fallas en el monitoreo independiente al sistema de control interno, debido a:

1. No contar con lineamientos y directrices claras del rol y función del Comité de Auditoría (CA)

2. Inadecuada asignación de roles, responsabilidades y línea de reporte de la

Auditoría Interna.(A.I)

3. No contar con un plan general de auditoria (PGA) aprobado por el CA, basado en riesgos que agregue valor al negocio o esté alineado con la estrategia de la

Compañía.4. Inadecuado o inoportuno seguimiento a la ejecución del plan anual de auditoria

interna.

5. Conflictos de interés o independencia, supeditaje gerencial o colusión del

equipo de AI.

Lo que genera incumplimiento al estándar de monitoreo del Grupo Empresarial.


de la actividad del


E.3.1.1.1


2. Aprobar el Manual de Auditoría y el Estatuto de Auditoría Interna que establece los lineamientos para la ejecución de la función de la auditoría Interna, el cual incluye las normas sobre la independencia y

objetividad, actitud y cuidado profesional atendiendo la definición de competencias del equipo de auditoría y plan de capacitación así como las normas de desempeño para la ejecución de trabajos de auditoría

interna y la supervisión de actividades.

3.Declarar anualmente al Comité Financiero y Auditoría, la independencia de la función de Auditoria Interna basado en estructura organizacional (depende del comité) y la confirmación de independencia de los

miembros del equipo para los trabajos individuales. Esta declaración queda debidamente documentada en las actas del comité.

05/07/2017 Deloitte

V2

GR&C S.2.1.

Controles generales

de TI

Actualización Matrices SOX 2017

Ajuste en el Número y redacción del Riesgo asegurando, sobre



CENIT.

S 8.1.1

Falta de alineación entre la estrategia de Tecnología de la Información y la de la Compañía, debido a no realizar un análisis de integración cuidadoso y aplicable a

las actividades del plan, información incompleta e inoportuna o irregular,

conflictos de interés o independencia (posible colusión), que puede ocasionar incumplimiento de los objetivos de negocio y de gobierno de la compañía,

pérdidas económicas y afectación de la percepción interna frente a la gestión de TI.


de la actividad del

control.

S.8.1.1.1

1. Aprobar el plan estratégico para tecnología de la información y sus modificaciones , que esté alineado con las estrategias generales de la entidad. Los objetivos del plan de TI incluyen la entrega de ambientes seguros y confiables para la preparación de informes financieros para uso externo de alta calidad y se consideran las necesidades de todas las áreas de la Compañía.

1.a. El Plan estratégico es almacenado en Share Point de ODC y se divulga a los interesados vía correo electrónico.

2. Realizar seguimiento a la ejecución del Plan Estratégico en la reunión trimestral de la dirección de talento humano y administración.

05/07/2017 Deloitte

V3GR&C S.2.1.

Controles generales

de TI


Ajuste en el Número y redacción

del Riesgo asegurando, sobre temas de fraude y corrupción y


CENIT.

S.8.1.2

Modificaciones y/o accesos no autorizados a las hojas de cálculo utilizadas en el

proceso de reporte financiero u hojas de cálculo sensibles para los procesos de negocio, presentación o carga de información incorrecta en los sistemas de

información, por desconocimiento de los lineamientos de aseguramiento de hojas

de cálculo, errores en la aplicación de la Guía de aseguramiento de hojas de cálculo, fallas en el control de acceso a las hojas de cálculo, almacenamiento en

recursos compartidos sin o con faltas de control de acceso, lectura y/o

modificación, manipulación de las hojas de cálculo (producción, alteración o

supresión deliberada de registros) y falta de controles de modificación de las hojas de cálculo, que puede generar afectación a la razonabilidad de los Estados

Financieros, pérdida o mal uso de la información, inadecuada toma de decisiones,

sanciones, multas o pérdidas económicas.


control.

S.8.1.1.2

1.Aprobar la guía de aseguramiento de Hojas de Cálculo y sus modificaciones que es almacenada en Share Point de ODC y se divulga a los interesados.

2. Verificar que las hojas de cálculo cumplan con lo definido en la Guía de Aseguramiento de Hojas de Cálculo. En señal de revisión, el Propietario del activo envía al área de Tecnología de la Información una

certificación indicando que las hojas de cálculo cumplen con los parámetros establecidos en la Guía.

Nota: El control es semestral siempre y cuando el inventario de hojas de cálculo no se ajuste. En caso de cambios y novedades, se reportará al área de TI.

05/07/2017 Deloitte

V3GR&C S.2.1.

Controles generales

de TI





CENIT.

S.8.1.3

Accesos no autorizados a la información y/o servicios tecnológicos, debido a

inadecuado monitoreo de accesos, falta de procedimientos relacionados con revisión y depuración de cuentas en los sistemas de aplicación, falla en la gestión

de conflictos de segregación de funciones, que puede generar fraude, pérdidas

económicas, de confidencialidad e indisponibilidad de la información.


control.

S.8.1.3.1

1. Los dueños de proceso y/o administradores de contrato verifican que los accesos de los usuarios están asignados en los sistemas de información bajo alcance SOX de acuerdo con sus funciones. Indicar su aprobación o solicitud de ajustes de los accesos revisados. La verificación es realizada con el reporte de usuarios generado por un miembro del área de Tecnología de la información.

2. A partir de la verificación, realizar el plan de acción de las observaciones identificadas por los dueños del proceso.

05/07/2017 Deloitte

V3

GR&C S.2.1.

Controles generales de TI



del Riesgo asegurando, sobre


CENIT.

S.8.1.4

Inadecuada concentración de funciones en los sistemas de información y/o

servicios tecnológicos debido a falla en la gestión de conflictos de segregación de funciones, que podrían generar fraude y/o perdida económica.


de la actividad del control.

S.8.1.4.4

1. Aprobar la Matriz de segregación de funciones de los roles y responsabilidades y sus modificaciones.

2. Revisar si existen conflictos de segregación funcional de acuerdo con las reglas de segregación estándar para SAP, considerando la posible existencia de:

- Conflictos de segregación de funciones a nivel de roles. - Conflictos de segregación de funciones a nivel de usuarios.

3. En los casos de conflictos identificados en la revisión, se realiza la identificación y validación de controles compensatorios existentes y definición de las acciones a seguir para su corrección

05/07/2017 Deloitte

V3GR&C S.2.1.

Controles generales

de TI





CENIT.

S.8.1.5

Pérdida de confidencialidad, integridad o disponibilidad de la información, ausencia de su divulgación y/o manejo inadecuado de la misma debido a la


sistemas de información que estén bajo la administración de CENIT o de un tercero, falta de lineamientos para la selección y administración de la información,

falla en la divulgación de dichos lineamientos y fallas en el monitoreo de

información clave, generando posible uso indebido de información, generación de

información fraudulenta y/o pérdida de valor de la Compañía.


control.

S.8.1.5.7

Aprobar la guía del ciclo de vida de la información que establece los lineamientos para el manejo de la información en la Compañía y las modificaciones que se le realicen.

En caso de presentarse modificaciones a la guía del ciclo de vida de la información el área de TI con apoyo del área de Comunicación divulgará dichos cambios. 05/07/2017 Deloitte




CENIT.

E.2.1.1.

Fallas en la estructuración y despliegue del Sistema de Gestión de Riesgos, debido

a:

1. Debilidades en la definición de políticas, metodologías y/o herramientas para la

identificación, valoración, tratamiento, monitoreo y comunicación de riesgos.

2. Inadecuada divulgación de los lineamientos y políticas sobre la gestión de riesgos en la organización

3. No contar con una matriz de valoración de riesgos apropiada a la Organización

4. No contar con un adecuado plan de tratamiento o acciones de mitigación requeridas para riesgos identificados en la Organización.

Limitando que la Compañía cuente con un adecuado sistema de gestión que

soporte el desarrollo de la estrategia y sus objetivos.



evidencia

V3GR&C S.2.1.

Controles generales

de TI





CENIT.

S.8.2.1

Cambios no autorizados de los sistemas de información, alteración no autorizada

de datos, pérdida de integridad y confiabilidad de la información o inestabilidad en el sistema, incorporación de código maliciosos, intervención no autorizadas a

las bases de datos, CiberCrimen y Vulnerabilidad de los sistemas debido a inexistencia o incumplimiento de un procedimiento formal de control de cambios

que incluya la solicitud, aprobación, pruebas y paso producción de los mismos, inexistencia o incumplimiento de un plan de implementación y de rollback para los

cambios implementados en los sistemas, inexistencia o incumplimiento de un

procedimiento formal de control de cambios de emergencia o ausencia de ambientes segregados y revisión de los accesos otorgados a los desarrolladores en

cada ambiente, que puede ocasionar falta de disponibilidad, intermitencia, degradación de los servicios prestados por TI, perdida de información, sanciones o

multas.


control.

S.8.2.1.4El jefe o representante del área solicitante aprueba los cambios de emergencia solicitados a través de correo electrónico o de la herramienta de gestión. Adicionalmente, el área de TI da el visto bueno a dicha

solicitud. 05/07/2017 Deloitte

S.8.2.1.5

El ERP cuenta con 3 ambientes de procesamiento:

- Desarrollo.- Calidad.

- Productivo.

En los que es revisado la segregación de ambientes y roles de acuerdo con los siguientes lineamientos para los usuarios desarrolladores (ABAP):- Desarrollo : Acceso ilimitado con programación,






• Producción

Para infraestructura no se tiene ambiente de pruebas. Las pruebas son realizadas en ventanas horarias que no afectan la operación de la compañía.

05/07/2017 Deloitte

V3

GR&C S.2.1.

Controles generales

de TI





S.8.3.1

Cambios o inversiones no autorizadas sobre la infraestructura o software que

soportan los procesos y/o operaciones, debido a inexistencia o incumplimiento de procedimientos de adquisición de software o infraestructura tecnológica menor, o

procedimientos de gestión de la demanda, donde sea evaluada la adquisición en

referencia a las iniciativas estratégicas de la organización. Inexistencia o

incumplimiento de una metodología de proyecto donde se incluya la evaluación de la adquisición de infraestructura tecnológica o software enmarcados en un

proyecto o mejora, que podría generar pérdidas económicas, afectación de la imagen o incumplimiento de los objetivos de negocio.


de la actividad del

control.

S.8.3.1.1

Evaluar y aprobar los requerimientos iniciales de adquisiciones tecnológicas por parte de TI.

La necesidad inicial entra por el proceso de abastecimiento en el que el área solicitante diligencia el formato de justificación de la adquisición tecnológica donde se indica el objeto, el alcance, tipo de proceso

(contratación directa o concurso), presupuesto y plazo de ejecución.

El área de abastecimiento asegura que todos los requerimientos que incluyan adquisiciones de TI están firmados por el Jefe de Tecnología de la Información y el Líder de área solicitante.

05/07/2017 Deloitte

S.8.3.1.2

1. Revisar y aprobar que la adquisición de software o infraestructura haga parte de un proyecto, aplicando el procedimiento de "Gestión de iniciativas".

2. Verificar que el formato de registro de iniciativas es firmado por el usuario solicitante, el Dueño de información o proceso y Tecnología de la Información.

3. Evaluar, priorizar y aprobar la adquisición en la reunión con la Gerencia de ODC.

05/07/2017 Deloitte

V3

GR&C S.2.1.

Controles generales

de TI






S.8.6.3

Inadecuada gestión de los incidentes de seguridad de la información, debido a

inexistencia o incumplimiento de un procedimiento formal de gestión de Incidentes que incluya el registro, priorización, valoración y cierre del incidente,

falta de detección o detección inoportuna de incidentes o problemas en la

plataforma tecnológica, inadecuados mecanismos para reportar el incidente,

inadecuados métodos de seguimiento a la definición y cierre de los incidentes de acuerdo a su criticidad, que puede impactar la confiabilidad, integridad y

disponibilidad de la información.


de la actividad del

control.

S.8.6.3.5

Implementar las acciones de mejora, preventivas y correctivas, sobre los incidentes de seguridad, contemplando las siguientes acciones:

- Análisis de la situación presentada y diagnóstico

- Análisis de posibles causas

- Acciones correctivas y/o mitigantes

Los incidentes de seguridad han sido definidos en el Procedimiento de manejo de incidentes de seguridad.

Los incidentes de seguridad asociados a las plataformas criticas y con impacto al negocio son analizados por parte de los administradores de plataforma para identificar acciones preventivas y correctivas.

05/07/2017 Deloitte

V3GR&C S.2.1.

Controles generales

de TI





CENIT.

S.8.5.1

Incumplimiento y/o indisponibilidad deliberada o involuntaria en la prestación de

los servicios ofrecidos en el portafolio de TI, debido a falta de oportunidad o insuficiencia en el monitoreo de los procesos y servicios ofrecidos por TI, ausencia

de métricas de rendimiento o indicadores de gestión del área de TI. Lo anterior podría generar la pérdida de efectividad del servicio de TI, el incumplimiento de los

objetivos del negocio, pérdidas financieras, legales y daños en la reputación.


control.

S.8.5.1.1

1. Monitorear y evaluar el desempeño de los servicios de TI.

El área de TI ha definido formalmente los Acuerdos de Nivel de Servicio con ODC.

La evaluación del cumplimiento de los ANSs establecidos de cara a los usuarios internos es realizada trimestralmente en reunión con el Director del área.

05/07/2017 Deloitte

V3

GR&C S.2.1.

Controles generales

de TI






S.8.6.1

Accesos no autorizados a la información y/o servicios tecnológicos, debido a falta de políticas y/o procedimientos relacionados con la asignación de cuentas de

usuario y de perfiles, falta de procedimientos relacionados con depuración de

cuentas en los sistemas de aplicación, falta de procedimientos relacionados con la revisión de usuarios con privilegios administradores en los sistemas de aplicación,

bases de datos y red de la compañía, cambios o modificaciones temporales de

privilegios de usuarios y administradores de los sistemas, incumplimiento a las

políticas y/o procedimientos de administración de usuarios finales y usuarios administradores, inadecuado monitoreo de accesos y no identificación de roles y

usuarios con conflictos de segregación de funciones, que puede llegar a generar

fraude, pérdida económica, de confidencialidad e indisponibilidad de la información.


de la actividad del

control.

S.8.6.1.1

Autorizar la creación y/o modificación de usuarios de forma individual o masiva en los sistemas y recursos de TI por parte del responsable establecido en el procedimiento de administración de usuarios de la

compañía.05/07/2017 Deloitte

V3GR&C S.2.1.

Controles generales

de TI





S.8.2.6.2 Realizar una evaluación de segregación de funciones al momento de asignar permisos adicionales o nuevos a un usuario nuevo o ya existente en el ERP de SAP. 05/07/2017 Deloitte

V3

GR&C S.2.1.

Controles generales

de TI






S.8.2.6.3Ejecutar las acciones pertinentes para desactivar/eliminar los usuarios en las plataformas correspondientes cada vez que los administradores de contrato (según sea el caso), notifica el retiro, licencias o vacaciones

de personal al área de TI, de acuerdo con los procedimientos definidos.05/07/2017 Deloitte

V3GR&C S.2.1.

Controles generales

de TI





S.8.1.3.3

Bloquear de los sistemas de información de la compañía los usuarios con 15 días de inactividad, de acuerdo con el procedimiento establecido de administración de usuarios de la compañía.

Nota: Este control solo aplica para SAP05/07/2017 Deloitte

V3GR&C S.2.1.

Controles generales

de TI





CENIT.

S.8.6.1.2

Revisar los usuarios con privilegios administradores en los sistemas de información de la compañía:

Semestralmente se genera un reporte de usuarios con privilegios de administración que están configurados en los sistemas de información de la compañía de alcance SOX (Aplicación, BD y Sistema Operativo). Este

reporte es enviado por el gestor de plataforma al responsable de tecnología de acuerdo con el procedimiento de administración de usuarios con privilegios amplios de la compañía.

En señal de revisión del responsable de Tecnología de Información indica si los usuarios encontrados son lo autorizados para tener estos privilegios.

05/07/2017 Deloitte

V3GR&C S.2.1.

Controles generales

de TI





CENIT.

S.8.2.6.6Obtener la aprobación establecida en los procedimientos de la compañía para otorgar cuentas de usuario con privilegios de administración, cuando esta se requiera en alguno de los sistemas de información de la

compañía con alcance SOX.05/07/2017 Deloitte

V3GR&C S.2.1.

Controles generales

de TI





CENIT.

S.8.6.1

Ataques cibernéticos sobre la infraestructura tecnológica debido a inadecuada

identificación, clasificación y gestión de los riesgos y vulnerabilidades, falta de monitoreo, configuración no adecuada, que puede llegar a generar perdida de

confidencialidad e integridad de la información, indisponibilidad de los servicios

prestados por TI.


control.

S.8.6.1.3

1. Revisar el análisis de vulnerabilidades a nivel de infraestructura de tecnología de información que soporte aplicaciones de alcance SOX.

2. Definir las acciones correctivas para las vulnerabilidades catalogadas como Altas y Medias de acuerdo con el reporte generado por las herramientas de análisis de seguridad. Así mismo, debe realizarse seguimiento al plan de acciones. El procedimiento se realiza de la siguiente forma:

Se realiza análisis de vulnerabilidades al menos una vez al año por cada plataforma de infraestructura.

Se genera el plan de remediación para las vulnerabilidades identificadas y se realiza el seguimiento al plan de remediación trimestralmente.

05/07/2017 Deloitte

V3GR&C S.2.1.

Controles generales

de TI





CENIT.

S.8.6.2

Incumplimiento de los acuerdos de servicios establecidos con proveedores de servicio, debido a falta de monitoreo y control periódico del cumplimiento de los

servicios pactados con el proveedor, falta de políticas, procedimientos y estándares establecidos por la compañía, ausencia de acuerdos de niveles de servicio en los

contratos. Lo anterior puede llegar a generar pérdidas financieras, perdidas legales

y daños en la reputación por la interrupción de los servicios de TI y de la

operación de la organización.


control.

S.8.6.2.4

1. Establecer y mantener actualizado un repositorio de configuración:

Se tiene un repositorio de información donde está contenida la siguiente información de la configuración del software y hardware del sistema SAP, BD y Red:

- Versión de SAP, BD y Sistema Operativo

- Configuración de contraseña (Red, BD y SAP)

- Configuración de logs de auditoria a nivel de SAP

- Usuarios por defecto (SAP, BD y Red) y estado.- Configuración de las características técnicas del servidor

- Esquema de componentes y detalle de la Red.

- Configuración de política de Backup

Esta información es actualizada según las modificaciones que sean requeridas y aprobadas por control de cambios en la configuración de los ítems. Esta documentación cuenta con una hoja de control de cambios,

donde se registra el cambio, la fecha y el usuario que realizó el cambio.

2. Revisar anualmente que la configuración de la aplicación SAP, su base de datos, sistema operativo y Red de la compañía corresponda a lo definido en el repositorio de configuración del software y hardware del

sistema SAP, BD y Red.

Mediante un informe se registra la verificación de la configuración. Se analiza si existe justificación para las desviaciones que sean identificadas. Dependiendo del resultado del análisis se ejecutan acciones tales

como: ajustar el repositorio o restablecer la configuración del sistema. Las conclusiones del análisis y las acciones tomadas se registran en el informe.

05/07/2017 Deloitte

V3GR&C S.2.1.

Controles generales

de TI





CENIT.

S.8.7.1.1

1. Generar una notificación indicando las acciones a tomar cuando se genera una falla en la toma de backup.

2. Consolidar y revisar la cantidad de backups ejecutados por el proveedor y su estado de finalización.

3. Realizar seguimiento a la ejecución de back ups y fallas generadas en reunión realizada con el proveedor de servicios.

05/07/2017 Deloitte

V3

GR&C S.2.1.






CENIT.

S.8.1.5.5

1. Obtener y revisar el informe o el documento equivalente a la evaluación independiente del funcionamiento de los controles generales de TI para los sistemas de Información que impactan SOX que no son administrados por la compañía.

En caso de existir observaciones se realiza seguimiento al plan de acción definido con el proveedor del sistema de información.

05/07/2017 Deloitte

V3

GR&C S.2.1.

Controles generales

de TI





CENIT.

S.8.7.2

Restauraciones de back ups fallidas, pérdida de información, datos no

actualizados, debido a falta de procedimientos para la restauración de copias de respaldo, no ejecución de pruebas de restauración, inadecuados controles

ambientales y físicos en el centro de cómputo donde se encuentran los servidores

que soportan la operación de la compañía. Lo anterior podría generar pérdida de

información, pérdidas económicas, indisponibilidad de información, falta de continuidad de la operación.


de la actividad del

control.

S.8.7.2.2

2. Restaurar las copia de respaldo de sistemas SOX, por medio de una muestra aleatoria, tomada en el periodo (Anual).

En caso de presentarse fallas en el proceso de restauración, se realizan las acciones correspondientes.

Lo anterior se documenta adjuntando las evidencias de la correcta restauración o de las fallas presentadas y las acciones a tomar.

05/07/2017 Deloitte

S.8.8.1.1

Revisión anual de los controles ambientales, físicos y de control de acceso que tiene el centro de cómputo donde se encuentran los servidores.

Se verifica que solo personal autorizado puede ingresar al lugar donde se encuentran los servidores de la compañía.

Adicionalmente, revisa el cronograma de mantenimiento de los dispositivos de seguridad ambiental contra los soportes de su ejecución.

De la revisión se genera un informe de la visita y de los hallazgos encontrados.

05/07/2017 Deloitte

V3

GR&C S.2.1.

Controles generales

de TI





CENIT.

S.8.8.2

Acceso no autorizado/inapropiado a los equipos en el data center, evasión de los controles de acceso lógico, indisponibilidad de los sistemas de información,

actividades no autorizadas sobre los sistemas de información, debido a falta de

controles de acceso lógicos, ausencia de controles físicos, que puede causar

inadecuado uso de la información, indisponibilidad, fuga de información, perdida de la integridad y confidencialidad de la información.


de la actividad del

control.

S.8.8.2.2

El responsable establecido de TI autoriza todos los accesos de funcionarios de Cenit o de ODC según el procedimiento de control de acceso al centro de cómputo de la compañía y/o prestador de servicios

05/07/2017 Deloitte

V3

GR&C S.2.1.






CENIT.

S.8.9.1

Procesamiento inexacto, incompleto o no autorizado de datos de los sistemas de

información, debido a falta de normalización de los procedimientos relacionados

con la secuencia y programación de los trabajos y tareas. Lo anterior podría generar pérdidas económicas, multas, sanciones, impacto a la imagen y reputación

de la compañía, procesamiento incorrecto de información, perdida de la integridad y confidencialidad de la información.



S.8.9.1.1

1. Identificar, documentar y monitorear los procesos de fondo que se realizan en SAP.

En caso de encontrar fallas en la ejecución del proceso de fondo programado, el Basis procede de acuerdo con lo definido en el procedimiento para corregir la falla. En caso de ser requerido se notifica al

representante de TI.

2. En la reunión mensual es revisado el Reporte de Gestión entregado por el proveedor, donde se indican:

- Reporte general del monitoreo de los Jobs (Fallas y novedades)

De la reunión realizada deja un acta aprobada por los participantes.

05/07/2017 Deloitte

V3

GR&C S.2.1.

Controles generales

de TI





S.8.10.1

Cambios o inversiones no autorizadas sobre la infraestructura o software que

soportan los procesos y/o operaciones, debido a inexistencia o incumplimiento de

procedimientos de adquisición de software o infraestructura tecnológica menor, o

procedimientos de gestión de la demanda, donde sea evaluada la adquisición en referencia a las iniciativas estratégicas de la organización. Inexistencia o

incumplimiento de una metodología de proyecto donde se incluya la evaluación de

la adquisición de infraestructura tecnológica o software enmarcados en un proyecto o mejora, que podría generar pérdidas económicas, afectación de la

imagen o incumplimiento de los objetivos de negocio.


de la actividad del

control.

05/07/2017 Deloitte

V3GR&C S.2.1.

Controles generales

de TI





S.8.10.2

No obtención de beneficios y Servicios relacionados con las TI, entrega de programas que no proporcionen beneficios a tiempo, dentro del presupuesto y no

satisfacen los requisitos y normas de calidad debido a inversiones de tecnología

que no están acorde con las necesidades de la organización y que podría generar falta de alineamiento de TI y la estrategia de negocio, incumplimiento de la

estrategia y metas de negocio.


control.

S.8.10.2.4

1. Aprobar el inicio de cada fase del proyecto mediante un acta. En el caso de proyectos o requerimientos pequeños o de bajo impacto en los que no se requiera hacer el Project charter, en el acta de inicio se definen los entregables que aplicaran.

Aprobar el cierre de cada fase del proyecto mediante un acta.

En esta acta se registra la aceptación de los entregables que se definieron en el Project Charter para la respectiva fase.

2. Aprobar el informe de cierre de proyecto por los responsables definidos en el Project Charter. Dentro de este documento se incluye:

- Resultados obtenidos del proyecto

- Entregables del proyecto

- Resumen del cronograma y costos del proyecto

- Relación de documentos manejados en el proyecto- Aprobaciones del documento

El PMO de Proyecto revisa que se encuentre publicada en repositorio de información de la compañía toda la documentación relacionada con el proyecto y lo especifica en el informe de cierre del proyecto

05/07/2017 Deloitte

V3

GR&C S.2.1.






CENIT.

S.8.11.1

Incumplimiento y/o indisponibilidad en la prestación de los servicios ofrecidos en

el portafolio de TI, debido a falta de oportunidad o insuficiencia en el monitoreo de los procesos y servicios ofrecidos por TI, ausencia de métricas de rendimiento o

indicadores de gestión del área de TI, que podría generar pérdida de efectividad

del servicio de TI, perdidas económicas, incumplimiento de los objetivos del negocio y daños en la reputación.



S.8.11.1.1Aprobar el procedimiento "Monitoreo de Desempeño de Servicios de TI" y sus actualizaciones, que reglamenta la metodología de revisión y los planes de acción en caso de desviaciones.

Definir y actualizar periódicamente los ANSs con el negocio para la prestación de los servicios de T.I. Estos ANS son propuestos por el Jefe de T.I. y aceptados los dueños de los procesos. 05/07/2017 Deloitte

S.8.11.1.2

Revisar el cumplimiento y medidas correctivas, mediante reunión donde se presenta un informe de los servicios prestados por los terceros.

De esta reunión se genera un acta en la que:

- Se formaliza la aceptación del servicio cuando es prestado de acuerdo a los ANSs definidos.- Se registra el seguimiento y/o cumplimiento de los compromisos adquiridos en la anterior reunión.

En caso de identificarse desviaciones u oportunidades de mejora, se documentan los compromisos establecidos.

- Análisis integral respecto a los tiempos de respuesta y el tipo de falla sin solucionar, lo anterior con el fin de identificar irregularidades no solucionadas a tiempo y que hayan desatado o permitido un evento de

fraude.Para la revisión de cumplimiento del área de TI, se tiene definido el control S.8.2.5.1

05/07/2017 Deloitte

V3

GR&C S.2.1.

Controles generales

de TI





CENIT.

S.8.2.16

Perdida de la continuidad de la tecnología que soporta procesos críticos del negocio de alcance SOX, en caso de generarse un escenario de contingencia, debido

a falta de pruebas de recuperación sobre los elementos de la plataforma tecnológica, no ejecución de planes de mejora como resultado de las pruebas

realizadas, falta de actualización de los planes de recuperación tecnológica de

acuerdo con los cambios presentados en los sistemas de información donde se

soporta la operación y procesos críticos de la organización. Lo anterior podría

generar pérdida de disponibilidad e integridad de la información, incumplimiento de los objetivos del negocio, pérdidas financieras, legales y daños en la reputación.


de la actividad del

control.

05/07/2017 Deloitte

N.1.1.1.1

Verificar los controles automáticos del sistema a través de los cuales:1. El sistema está parametrizado para generar facturas, solo cuando se tenga el documento de venta. El valor de la factura se calcula automáticamente, una vez se carguen las cantidades y los precios en el sistema

2. El sistema SAP no permite generar dos documentos de venta asociados al mismo número de pedido externo SAP

3. Para las facturas ya emitidas, los campos de la factura son bloqueados por el sistema SAP (campos correspondientes a cantidades y precios)

4. Para las tarifas parametrizadas, el sistema SAP no permite generar facturas para fechas de precio en que las tarifas no estén vigentesAnualmente el Profesional de Gestión de Ingresos y Reportes verifica esta configuración haciendo prueba y dejando como evidencia la pantalla de ésta

Nota: La periodicidad de éste control es anual siempre y cuando no se hayan presentado cambios en la configuración solicitados por el área

05/07/2017 Deloitte

N.1.1.1.3Aprobar la conciliación de solicitudes de facturación verificando que las solicitudes atendidas según el registro en el sistema SAP coincidan con las facturas emitidas. Las diferencias son investigadas, identificadas y

resueltas de forma oportuna.05/07/2017 Deloitte

V2 Facturación Actualización Matrices SOX 2017




N.1.1.2

Sub o sobre estimación de ingresos involuntaria o fraudulenta debido a falta de oportunidad de la información, estimación inadecuada y falta de revisión de los

servicios a facturar, generando registros contables erróneos y pérdida de la calidad

y exactitud de la información contable.


de la actividad del


N.1.1.2.1

Revisar por parte del Prestador de Servicios (Especialista en Soporte en la Operación) el monto a registrar por ingresos de operación portuaria para TLU1 y TLU3 ya sea por provisión o legalización de la provisión,

de acuerdo con el archivo en Excel enviado por el Profesional de Gestión y Finanzas.

Para el caso de la provisión el Profesional de Gestión y Finanzas, realiza el cálculo tomando como base los archivos de servicios portuarios de programación enviados por el área de operaciones del Prestador de

Servicios (CENIT) y la tasa representativa de mercado publicada por el Banco de La Republica de la fecha de la liquidación. En caso tal que la provisión presente una variación porcentual superior al 50% con

relación al mes anterior debe solicitar aprobación del Jefe Soporte de la Operación del Prestador de Servicios.

Para el caso de la legalización de provisiones, el Profesional de Gestión y Finanzas, revisa la legalización de los ingresos de provisión, a través de los documentos físicos enviados por Ecopetrol vs los archivos de

servicios portuarios emitidos por programación y utilizadas para el registro de la provisión; se validan las desviaciones (en caso de aplicar) y se envía correo electrónico a Ecopetrol con los valores ajustar, los cuales

se reversan en la legalización del mes posterior si estos no superan el 20%, si son montos superiores al porcentaje establecido, debe solicitar aprobación por parte del Especialista en Soporte en la Operación y Jefe Soporte de la Operación.

El Especialista envía aprobación de la provisión y/o legalización por correo electrónico al Profesional de Gestión y Finanzas quién informa al área contable el valor de la provisión, posteriormente el Profesional de

Gestión y Finanzas evidencia que el registro contable ha sido realizado en la contabilidad (pantalla de SAP con el registro de la provisión).

05/07/2017 Deloitte


control.

N.2.1.1.1

Validar que las creaciones, bajas y traslados solicitados se registren correctamente en el sistema SAP, incluyendo los mantenimientos capitalizables que han sido creados como activos en el módulo AM de SAP.

El Prestador de Servicios (profesional de Data Maestra de Activos), envía correo electrónico al Coordinador de Activos Fijos, con el reporte mensual de datos maestros que es tomado del Sistema SAP, anexando los

papeles de trabajo correspondientes a cada una de las novedades que contiene las verificaciones. El Coordinador de Activos Fijos, en señal de revisión envía correo electrónico al profesional de Data Maestra de Activos.

De presentarse diferencias se envía correo electrónico al solicitante para su ajuste y comentarios por parte del profesional de data maestra de activos con copia al Coordinador de Activos Fijos.

05/07/2017 Deloitte


de la actividad del

control.

N.2.1.1.3

Revisar la conciliación de la toma física y los registros contables de acuerdo a la información suministrada por el tercero (avaluador) .

El Prestador de Servicios (Coordinador de Activos fijos) realiza una verificación aleatoria de los activos por placas y descripción acorde con las especificaciones técnicas, dejando un papel de trabajo en señal de validación.

05/07/2017 Deloitte

V2



CENIT.


Gestión y

Capitalización de Activos


información en SAP en el momento de la creación, errores en la actualización de

las novedades y capitalización de activos, información desactualizada, alteración o falsedad en la información, falta de revisión y aprobación por el nivel requerido,

fallas en el monitoreo de activos, lo cual puede generar errores en los saldos de

cuenta, pérdida o apropiación inadecuada de activos y en la razonabilidad de los estados financieros.

N.2.1.1.




evidencia



CENIT.

N.1.1.1

Errores o manipulación del proceso en el proceso de emisión de facturas debido a:

inadecuada parametrización del sistema, aprobaciones por personal no autorizado, inadecuada segregación de funciones, inadecuados niveles de

autorización, registro inadecuado de cantidades a facturar lo cual puede generar pérdida y/o fraude sobre la calidad y exactitud de la información contable,

pérdidas económicas, afectación de relaciones comerciales e imagen de la

Compañía.

Facturación



N.2.1.1.4

Verificar que los mantenimientos mayores registrados en el módulo de PM de SAP estén asociados a los Activos Fijos de acuerdo a la información reportada por el operador.

En señal de revisión se envía el archivo al Prestador de Servicios (Jefatura de Contabilidad) por medio de correo electrónico.05/07/2017 Deloitte

N.2.1.2.

Inadecuado reconocimiento de los activos debido a desconocimiento de la norma,

aplicación tardía del análisis de avalúos en activos, omisión y/o registro contable

equivoco y reconocimiento de gastos/costos como activos lo cual puede generar incumplimiento de la normatividad legal, sobre o subvaloración de la utilidad y

poca fiabilidad en los estados financieros.



N.2.1.2.1

Validar el cumplimiento de la normatividad vigente en cuanto al reconocimiento del valor actual y vidas útiles de los activos fijos mediante la contratación de un avaluador técnico especializado, que revisa las vidas

útiles aplicables de los activos de la compañía y el cual posteriormente es enviado al área contable, quien a su vez realiza las actualizaciones a que hubiere lugar.

El Prestador de Servicio (Jefe de Contabilidad) aprueba la carga correspondiente.05/07/2017 Deloitte

N.2.1.3

Inadecuado cálculo de deterioro y de la provisión de abandono debido a falta de

integridad, manipulación u omisión en la información reportada por las áreas

involucradas, errores en las actividades de los procedimientos del cálculo de costos

de desincorporación y del deterioro, error del cálculo de los valores razonables para el registro de la provisión y falta de revisión por el nivel requerido lo que

puede generar inconsistencias en las cifras de los Estados financieros.



N.2.1.3.1

1. Validar y revisar los costos de abandono de acuerdo con lo establecido en la Guía de desincorporación de activos de Cenit, para efectos del cálculo de la provisión de abandono bajo la norma IFRS en conjunto

con los involucrados por medio de una mesa de trabajo.

2. Revisar la provisión de costos de abandono validando las variables del cálculo, de acuerdo a la información enviada por el Prestador de Servicio (Coordinador de Activos fijos) al área contable con el cálculo respectivo.

En caso de encontrar diferencias, el Prestador de Servicio (área contable) enviará correo electrónico al Prestador de Servicio (Coordinador de Activos fijos) con los comentarios y/o ajustes a realizar.

05/07/2017 Deloitte

N.2.1.3

Inadecuado cálculo de deterioro y de la provisión de abandono debido a falta de integridad, manipulación u omisión en la información reportada por las áreas

involucradas, errores en las actividades de los procedimientos del cálculo de costos

de desincorporación y del deterioro, error del cálculo de los valores razonables

para el registro de la provisión y falta de revisión por el nivel requerido lo que puede generar inconsistencias en las cifras de los Estados financieros.


de la actividad del

control.

N.2.1.3.2

1.Revisar las premisas cualitativas del deterioro indicadas en la normatividad IFRS de acuerdo a la información suministrada por la Gerencia de Planeación y Control de Gestión (prestador de Servicios) por medio de

correo electrónico que contiene el checklist del análisis y los soportes respectivos. En señal de revisión, el Gerente Senior de Finanzas (prestador de Servicios) envía correo electrónico con su visto bueno.

2. Si aplica, se procede al cálculo cuantitativo de deterioro, validando por parte del Gerente Senior de Finanzas (prestador de Servicios)que el valor de los activos, tarifas, inversiones, costos reportados para el

sistema coincida con la información recibida por las áreas y de acuerdo al procedimiento de deterioro de los activos emitido por Casa Matriz y en señal de revisión envía correo electrónico al Gerente de

Planeación y Control de Gestión.(prestador de Servicios)

Posteriormente, El Gerente de Planeación y Control de Gestión (prestador de Servicios) envía correo electrónico al Jefe de Contabilidad (prestador de Servicios)con el archivo con del cálculo del deterioro para su

registro con la validación de la integridad de las cifras y posteriormente el Jefe de contabilidad envía correo electrónico confirmando el registro.

31/08/2017Coordinador de

Aseguramiento

N.2.1.4

Asignación errada de costos de órdenes de trabajo de mantenimiento, debido a:

- Inadecuada clasificación de las actividades de mantenimiento (capitalizable o no

capitalizable), conflicto de segregación de funciones, generando afectación a la

confiabilidad, clasificación y razonabilidad en los estados financieros de la compañía


de la actividad del

control.

S.7.10.5.10

Revisar y aprobar el reporte de las órdenes de trabajo correspondientes a mantenimientos a capitalizar en el mes y a transferir a activos en curso de acuerdo a los criterios definidos bajo IFRS, el cual es enviado por el área de planeación de mantenimiento.



05/07/2017 Deloitte

V3

Gestión y

Capitalización de Activos

Eliminación de control. N/A N/A

N/A

El riesgo es existe en la matriz. Hay controles identificados en la compañía que

mitigan el riesgo.

Eliminación del control N.2.1.1.4

N.2.1.1.4

Verificar que los mantenimientos mayores registrados en el módulo de PM de SAP estén asociados a los Activos Fijos de acuerdo a la información reportada por el operador.

En señal de revisión se envía el archivo al Prestador de Servicios (Jefatura de Contabilidad) por medio de correo electrónico. 03/10/2017Coordinador de

Aseguramiento ( Cenit)

S.1.1.1

Inadecuada aplicación de la normatividad contable, debido a inexistencia de políticas contables, no contar con monitoreos periódicos de los posibles cambios

normativos, falta de divulgación al personal responsable, incumplimiento de las

políticas y/o procedimientos definidas, lo cual puede ocasionar errores o fraude en los estados financieros y llevar a toma de decisiones inadecuadas y/o sanciones

a la Compañía.


S.1.1.2

Inexactitud, falta de integridad o fraude de la información financiera tanto para su

registro, presentación y/o revelación debido a modificaciones de la información, errores en el registro del comprobante, errores manuales, apertura de periodos

reportados, inadecuada segregación de funciones, débil proceso de revisión, falta

de controles en asignación de usuarios e incorrecta parametrización del sistema,

manipulación dolosa de estados financieros (producción, alteración o supresión deliberada de registros, creación de transacciones con proveedores o acreedores

falsos, manipulación de saldos de cuentas del activo y pasivo, traslado periódico de

obligaciones reales o ficticias (de un acreedor o deudor a otro, real o ficticio), lo cual puede generar incorrecta clasificación o presentación de los Estados

Financieros, información fraudulenta (por sobrevaloración/subvaloración de

activos, registro de activos ficticios, registro de ingresos o pagos ficticios, incorrecta

clasificación del grado de liquidez de inversiones, incorrecta clasificación de activos/pasivos entre corto y largo plazo, no reconocimiento de obligaciones

financieras, inexactitud en las revelaciones de eventos significativos/materiales o de transacciones con partes relacionadas, entre otros), fallas en la toma de

decisiones, sanciones, multas y calificación de la opinión del revisor fiscal.

Ajuste en la descripción de la actividad del control.S.1.1.2.2

Revisar el listado de comprobantes manuales generado por el sistema SAP.

Posteriormente el Prestador de Servicio (Jefe de Contabilidad) valida la información de los comprobantes manuales.

En caso de encontrarse inconsistencias por parte del Prestador de Servicios (Jefe de Contabilidad), éste envía correo electrónico al Outsourcing contable con las diferencias para su resolución.05/07/2017 Deloitte

S.1.1.4

Inadecuado cálculo y registro de provisiones así como sobre o subestimación

fraudulenta de las mismas debido a la falta de revisión de la integridad de la información entre los estimados contables y el registro en el modulo F.I y las

fuentes externas como el área legal entre otros, lo cual puede generar información

incorrecta y/o fraudulenta en los estados financieros y las revelaciones.

Ajuste en la descripción de la actividad del control.S.1.1.5.6.

Validar que los totales del patrimonio incluida la utilidad del ejercicio cargada en hyperion correspondan al cierre contable del periodo de acuerdo a la información cargada por el prestador de

servicios(outsourcing) , por medio de la pantalla de reporte de Hyperion que valida los saldos contra el balance.

En caso de ajustes o diferencias se envía correo electrónico al prestador de servicios(outsourcing) para ajustar o corregir o justificar

05/07/2017 Deloitte

Ajuste en la descripción de la actividad del control.S.1.1.5.2.Validar que la información incluida en los formatos de reporte a las entidades de control y demás Entidades Gubernamentales, sea consistente con la información registrada en el sistema de información SAP.

En caso de encontrar inconsistencias en la información, se envía correo electrónico al Outsourcing para realizar los ajustes correspondientes.

05/07/2017 Deloitte


de la actividad del

control.

S.1.1.5.3.

Presentar ante la Junta Directiva para su análisis y revisión, los reportes y/o Estados Financieros.

En caso de que aplique, Prestador de Servicio (el Outsourcing) se asegura la inclusión de las recomendaciones realizadas por parte de la Junta Directiva revisando el acta, y envía correo electrónico al Prestador de Servicio (Jefe de Contabilidad) con la confirmación de los cambios y posteriormente se envía al Prestador de Servicio (Gerente Senior de Finanzas y Director Estratégico y de Finanzas), para su aprobación

05/07/2017 Deloitte


de la actividad del

control.

S.1.1.5.6.

Validar que los totales del patrimonio incluida la utilidad del ejercicio cargada en hyperion correspondan al cierre contable del periodo de acuerdo a la información cargada por el prestador de

servicios(outsourcing) , por medio de la pantalla de reporte de Hyperion que valida los saldos contra el balance.

En caso de ajustes o diferencias se envía correo electrónico al prestador de servicios(outsourcing) para ajustar o corregir o justificar

05/07/2017 Deloitte

V2

V2

GR&C S.1.1.Cierre

Contable, Preparación y

Revelación de

Estados Financieros




CENIT.



CENIT.


Gestión y

Capitalización de

Activos


información en SAP en el momento de la creación, errores en la actualización de las novedades y capitalización de activos, información desactualizada, alteración o

falsedad en la información, falta de revisión y aprobación por el nivel requerido,

fallas en el monitoreo de activos, lo cual puede generar errores en los saldos de

cuenta, pérdida o apropiación inadecuada de activos y en la razonabilidad de los estados financieros.

N.2.1.1.

S.1.1.5

Errores y/o información fraudulenta en la información financiera reportada y

revelaciones, debido a una inadecuada revisión y análisis de las cifras contables,

incumplimiento de las políticas y/o procedimientos y la normativa aplicable y supeditaje gerencial, lo cual puede afectar la toma de decisiones de los usuarios

de la información y el correcto análisis de la situación económica de la compañía

S.1.1.7

Falta de integridad, valuación, validez y razonabilidad de la información financiera

debido errores en registros contables manuales, errores en las interfaces registradas, lo cual puede ocasionar errores en los Estados Financieros y/o

información fraudulenta.


control.

S.1.1.7.1.

Revisar y aprobar conciliaciones mensuales del balance, incluyendo las operaciones reciprocas, de acuerdo a la información enviada por el prestador de servicios(outsourcing) donde se realiza el cruce de los saldos.

Todas las partidas conciliatorias se identifican en el mes siguiente, se investigan y aclaran oportunamente y de ser necesario, se realizan registros contables correspondientes.05/07/2017 Deloitte

N/A N/A


de la actividad del

control.

S.1.1.3.1

Validar por parte del Prestador de Servicio(Jefe de Contabilidad) que las actividades definidas para el cierre de estados financieros se cumplan en su totalidad de acuerdo a la comunicación enviada por Casa Matriz,

mediante la verificación de las actividades presentadas en el calendario de cierre contable por parte del Prestador de Servicio( Outsourcing contable), el cual es divulgado de acuerdo a las fechas establecidas.

En caso de incumplimiento de alguna de las actividades se contacta al responsable para validar las causas que lo impide o su gestión oportuna.

05/07/2017 Deloitte

N/A N/A


de la actividad del

control.

S.1.1.6.1.

Revisar y aprobar la solicitud del ajuste/correcciones/errores posteriores al cierre, a fin de realizar los registros en el sistema SAP. Las reaperturas realizadas después de haber reportado a Casa Matriz deben contar con la autorización del Prestador de Servicio (Gerente Senior Finanzas) y Gerente General de ODC y son realizadas por el Prestador de Servicio (Jefe de Contabilidad).

Hecho el ajuste por el Prestador de Servicio( Outsourcing Contable), el Prestador de Servicio (Jefe de Contabilidad) valida en el sistema SAP, que lo solicitado, haya sido realizado, tenga su soporte de registro y sea consistente con el análisis.

Posteriormente, el Prestador de Servicio (Gerente Senior Finanzas) y Gerente General verifica que los ajustes realizados correspondan a los autorizados y envía por medio de correo electrónico su verificación al

Prestador de Servicio (Jefe de Contabilidad).

En caso de encontrar inconsistencias y/o diferencias, el Jefe de Contabilidad y/o el Gerente Senior de Finanzas envía correo electrónico solicitando justificaciones o ajustes (si aplica).

Nota: El perfil del usuario del Jefe Contabilidad es el único que tiene la posibilidad abrir periodos cerrados y SAP no permite el registro de transacciones en periodos cerrados.

05/07/2017 Deloitte

V3

GR&C S.1.1.Cierre


Revelación de

Estados Financieros

Ajuste de control N/A N/A N/AAjuste en la descripción

de la actividad del

control.

S.1.1.5.6.

Validar que los totales del patrimonio incluida la utilidad del ejercicio cargada en hyperion correspondan al cierre contable del periodo de acuerdo a la información cargada por el prestador de servicios(outsourcing) , por medio de la pantalla de reporte de Hyperion que valida los saldos contra el balance.


Para los cambios posteriores al cierre contable, el Prestador de Servicios (Jefe de Contabilidad) envía correo electrónico a Casa Matriz con los ajustes para efectos de consolidación y cargue en Hyperión.

2. Revisión de la conciliación de las cifras SAP frente al reporte de Hyperion ( día 15 posterior al cierre) o cuando ocurra ajuste posterior al cierre . En caso de encontrar diferencias, el Prestador de Servicios (Jefe de

Contabilidad) envía correo electrónico a Casa Matriz para su gestión y respuesta. ( si aplica ajustes posteriores al cierre).


23/10/2017Coordinador de Aseguramiento


control.

S.1.3.1.1

Analizar el patrimonio fiscal base para el cálculo del impuesto a la riqueza, por medio de los anexos de la declaración de renta con el que se elabora la hoja de trabajo para su respectivo cálculo.

El Prestador de Servicios (Jefe Tributario) aprueba el cálculo del impuesto a la riqueza para su posterior registro en el sistema SAP.

En caso de encontrar inconsistencias o errores en la depuración y cálculo del impuesto a la riqueza, se realiza el respectivo ajuste.05/07/2017 Deloitte

Control eliminado S.1.3.1.6

Revisar que la base de datos de los Acuerdos de Rentas Municipales de los municipios en donde ODC es contribuyente declarante del impuesto de industria y comercio se encuentre actualizada, así como los

formularios de las declaraciones, mediante la verificación de las comunicaciones recibidas a los municipios y las páginas Web de los municipios frente a la base.05/07/2017 Deloitte

S.1.3.1.2

Aprobar las declaraciones tributarias, mediante la revisión de las hojas de trabajo (archivos en Excel), análisis de variaciones, anexos de cada una de las declaraciones físicos o magnéticos, así:

Mensual: Retención en la Fuente, Autorretención y retención de ICA (en los municipios que aplique)

Bimestral: Declaración de IVA, Autorretención y retención de ICA (en los municipios que aplique), Declaración de ICA y Retenciones de ICA en Bogotá.Anual: Declaración de Renta, declaración de ICA anuales, declaración de activos en el exterior, declaración de precios de transferencia e Impuesto a la riqueza.

En caso de encontrar inconsistencias, el Prestador de Servicio(Jefe Tributario/Especialista Tributario y Aduanero) envía correo electrónico al Prestador de Servicio (outsourcing), solicitando ajuste o modificación.

Posteriormente, son firmadas por el Gerente General de ODC en señal de aprobación de las declaraciones tributarias.

05/07/2017 Deloitte

S.1.3.2.2.

Aprobar el cálculo del impuesto de Renta para su posterior registro en el sistema SAP, por medio de la validación de la tasa proyectada en periodos intermedios, que es realizada por el Prestador de Servicios (Outsourcing) de manera trimestral y que es aplicable mensualmente a la utilidad del periodo.

La hoja de trabajo Excel del cálculo de la tasa efectiva de tributación enviada por medio de correo electrónico contiene las proyecciones de Estados Financieros entregada por el Prestador de Servicios (Gerente de Planeación y Control de Gestión) para periodos trimestrales y las depreciaciones proyectadas entregada por el Prestador de Servicios(Outsourcing) a través de correo electrónico.

El cálculo contiene el análisis de las cuentas de ingresos, costos y gastos con el fin de determinar los conceptos de ingresos gravados y no gravados, los costos y gastos deducibles o no deducibles en el impuesto

sobre la renta.

En caso de ajustes o modificaciones al cálculo de los impuestos, el Prestador de Servicios (Jefe de Impuestos/Especialista Tributario y Aduanero) envía correo electrónico al outsourcing con la solicitud de cambios.

Para el cierre anual o cierre de propósitos específicos, el cálculo del impuestos se realiza sobre bases reales, esto es, ingresos, costos y gastos arrojados del sistema SAP. Posteriormente, se realiza la depuración de

ingresos gravados y no gravados y de costos/gastos deducibles y no deducibles dejando la captura de pantalla de SAP del registro en la hoja de trabajo Excel.

05/07/2017 Deloitte

N/A N/A Control eliminado S.1.3.3.9

Informar al área de cuentas por pagar y tesorería el valor a pagar de las declaraciones tributarias (DIAN, municipales) y la fecha límite de pago, así como solicitar los soportes del pago de cada una de estas y verificar que el mismo se haya realizado oportunamente.

De generarse un saldo a favor no se emite comunicado al área de cuentas por pagar y tesorería.

05/07/2017 Deloitte

N/A N/A Control eliminado S.1.3.3.10

1.Realizar seguimiento a las fechas de vencimiento de las solicitudes de información enviadas por los entes de control.

2. Aprobar (a)las respuestas emitidas por el Prestador de Servicios (área de impuestos) (b), hacía los requerimientos ordinarios y especiales de los entes de control.05/07/2017 Deloitte

S.1.4.1.

Errores en la clasificación de las cuentas de depreciación y amortización debido a

inadecuada asociación de los activos a las cuentas parametrizadas en el sistema

SAP para el cálculo y fallas o alteraciones al ejecutar el proceso de liquidación, lo que puede generar reprocesos y/o información contable incorrecta.






V2

GR&C S.1.1.Cierre


Revelación de

Estados Financieros




CENIT.

GR&C S.1.4. Cálculo

DD&A





S.1.3.2.

Se elimino:Sobreestimar o subestimar las utilidades a distribuir, debido que la información

base para el cálculo del impuesto diferido sea errónea, que la extracción de la

información base sea incompleta, errores en el cálculo de la provisión de renta, lo que puede generar falta de integridad en la información financiera.

Se dejo:

Inadecuado cálculo del impuesto diferido y renta, debido a: Información base para el cálculo del impuesto diferido sea errónea o fraudulenta, errores en el cálculo de

la provisión de renta e impuesto diferido, supeditaje gerencial lo que puede

generar afectación reputacional y/o sanciones, estados financieros y revelaciones

erróneos, sobrestimación o subestimación de la utilidad a distribuir.


Impuestos

Nacionales y Municipales

Inoportuna e inadecuada presentación de las declaraciones tributarias incluyendo fraude en la información declarada debido a falta de revisión y aplicación de los

cambios tributarios, falta de revisión y aprobación de las declaraciones por el nivel

requerido, supeditaje gerencial, pago tardío y/o inadecuada planeación de los

plazos establecidos de presentación y pago lo cual puede generar sanciones y/o intereses por mora y afectación reputacional.

S.1.3.1.



S.1.4.2.

Errores en el cálculo de la depreciación y amortización debido a desconocimiento de la política de depreciación por el responsable errores manuales, manipulación

y/o alteración de la información y falta de revisión del cálculo depreciación y

amortización generando inconsistencias en los saldos contables y por ende en los estados financieros y reportes emitidos por la Compañía.


v3GR&C S.1.4. Cálculo

DD&AAmpliación de la evidencia del control N/A N/A N/A

Ajuste de la evidencia del control

S.1.4.2.1.

Correo electrónico por parte del Prestador de Servicios (Supervisor de Activos Fijos) al analista de activos fijos con el visto bueno para el registro de la depreciación.

Si aplica,

Correo electrónico por parte del Prestador de Servicio (Supervisor de Activos Fijos) al analista con las diferencias e inconsistencias para ajustes.

La evidencia se guarda en la red del Prestador de Servicios

El papel de trabajo contiene el test de depreciación generado SAP con la pantalla del valor calculado y la fecha por el sistema, además de la hoja de validación del cálculo adicionada por el Supervisor.

Nota: La prueba de la depreciación únicamente se puede realizar en el mes vigente. El sistema no permite generar "ejecución en test" para meses anteriores y posterior.

2. Correo electrónico por parte del Outsourcing Contable Analista al Supervisor al analista de activos fijos con el visto bueno para el registro de la depreciación.

Si aplica,

Correo electrónico por parte del Outsourcing Contable Supervisor al Analista del Outsourcing con las diferencias e inconsistencias para ajustes.

23/10/2017Coordinador de Aseguramiento

V2 Costos Actualización Matrices SOX 2017



CENIT.

S.1.6.1

Se elimina el riesgo relacionado con la distribución de costos dado que ODC por

tener un solo ducto no requiere de una distribución d costos. Se deja el riesgo relacionado con operación y mantenimiento.

Sobrestimación o Subestimación ( involuntaria/ intencional) de los costos directos

e indirectos debido a: errada causación frente a la estructura contable de costos, desviaciones importantes en el establecimiento de presupuestos y en su

coherencia con la ejecución del contrato y falta de análisis de los responsables del

procesos, lo cual genera errores en la valuación del costeo, inconsistencias en las distribuciones de costos y Estados Financieros no acordes con la realidad del

negocio.



S.1.6.1.1.

Se elimina el control de distribución de costos dado que ODC por tener un solo ducto no requiere de una distribución de costos, adicionalmente la actividad de verificación que las cuentas 7 se traslada alas

cuentas 6 se incluyó en el check list.

Control ajustado:Aprobar la revisión del registro en el sistema SAP por concepto de costos de operación y mantenimiento con base en el correo electrónico elaborado por el Profesional de Finanzas. El Profesional de Finanzas

verifica lo presupuestado vs lo ejecutado, detalle que se extrae del sistema SAP, comparando las cifras y solicitando explicación al encargado de la operación y mantenimiento (Ecopetrol) para diferencias que

superen un porcentaje mayor a 10%. En el caso de que la justificación no corresponda a la realidad del servicio se debe solicitar el ajuste / reclasificación correspondiente.

05/07/2017 Deloitte

V2GR&C S.1.2.

Manejo de Caja y

Bancos





CENIT.

S.1.2.1.

Realizar pagos errados, fraudulentos (robo) o no autorizados debido a que son

ejecutados por personal no autorizado, inadecuada segregación de funciones o cargue de gastos que no estén autorizados, fraccionamiento de pagos, ausencia en

la verificación de los ajustes realizados y solicitados por el autorizador y generando

pérdidas económicas y afectación al cumplimiento de las obligaciones.


control.

S.1.2.1.4.Verificar, aprobar y autorizar la propuesta de pago por la transacción ZFI_SWIFT / niveles de aprobación ZFI029 en el sistema SAP, a través del workflow que recibe cada nivel de aprobador autorizado que son:

Aprobador 1, Aprobador 2 y Aprobador 3.05/07/2017 Deloitte

V2

GR&C S.1.2.


Actualización Matrices SOX 2017 Riesgo eliminado S.1.2.3

Realización de pagos que no cumplan con la política de caja menor debido a la

ausencia de facturas o documentos que soporten la generación del gasto o a la

existencia de gastos o ingresos que no tengan su respectivo gasto-soporte en SAP y viceversa. Lo anterior podría generar la perdida de recursos necesarios para el

desarrollo de la actividad de la compañía.

Control eliminado S.1.2.3.6.

Realizar los arqueos al menos una vez al año. Cada año se debe realizar un arqueo en el mes de diciembre y otro en una fecha aleatoria por medio de una visita física que realiza el prestador de servicios (Coordinador de Tesorería) con la persona responsable de custodiar la caja menor previo citación a través de una llamada telefónica.

En caso de encontrar diferencias se deja un acta con las inconsistencias firmada por el Prestador de Servicios (Jefe de Tesorería/ Gerente Senior de Finanzas) y Gerente General de ODC

05/07/2017 Deloitte

V2

GR&C S.1.2.

Manejo de Caja y

Bancos


Movimientos bancarios realizado por personas no autorizadas, debido a:

actualización no oportuna de los funcionarios autorizados, errores en

comunicaciones al banco generando perdidas económicas para la Compañía.


Confirmar saldos, firmas autorizadas y entidad financiera, relacionadas con las cuentas bancarias, fiducias y cualquier otro tipo de producto financiero a través de circularizaciones sobre las cuales se solicita el

siguiente detalle:

1. Número y tipo de cuenta

2. Nombres y números de cédulas de los funcionarios

La Coordinación de Tesorería realiza seguimiento a la oportuna respuesta por medio de correos electrónicos y llamadas telefónicas.

05/07/2017 Deloitte

V2

GR&C S.1.2.

Manejo de Caja y

Bancos


Modificación involuntaria o intencional a la información crítica en SAP de los contratos por funcionarios no autorizados, debido a inadecuada segregación de

funciones, desconocimiento del personal responsable, débiles procesos de

revisión, lo cual puede generar inexactitud en la información financiera o pérdidas

económicas.


Validar que la información de clientes creada en el sistema SAP, tenga como mínimo; la sociedad, organización de ventas, tipo de servicio, zona de transporte, cuenta bancaria, condición de pago, el grupo de

clientes al que pertenecen y único NIT registrado, de acuerdo con el formato de creación de clientes nacionales.

Posterior data maestra envía correo electrónico al área solicitante con el registro de creación SAP de los clientes nacionales o del exterior.

05/07/2017 Deloitte

Cuentas por Cobrar Control eliminado S.1.5.1.2.

Verificar el cálculo de intereses de mora de acuerdo con las facturas de clientes que presentan vencimiento y el recalculo en Excel enviado por el Analista de Cartera- Outsourcing por medio de correo electrónico.

Nota: Los intereses de mora son calculados por el sistema SAP05/07/2017 Deloitte

Cuentas por Cobrar


de la actividad del

control.

S.1.5.1.1

Controles automáticos del Sistema a través de los cuales:

1. El sistema SAP está configurado para asegurar que solamente se aplique depósitos a terceros previamente creados. 2. El sistema SAP no permite que un recaudo de las cuenta por cobrar pueda ser aplicado más de una vez.

3. El sistema SAP no permite borrar los deudores que presentan movimiento en los saldos contables.

4. El sistema SAP no permite la creación de un deudor sin diligenciar los campos obligatorios parametrizados.5. El sistema SAP calcula automáticamente los intereses de mora de acuerdo con las facturas de clientes que presentan vencimiento.

Anualmente el Prestador de Servicios (Jefe de Tesorería y Data Maestra ) valida esta configuración haciendo prueba, dejando como evidencia las pantallas de esta.

En caso de reportar inconsistencias, se hace la solicitud a IT, como respuesta a la corrección de la solicitud, la jefatura procede a verificar y realizar las pruebas sobre cambios.

Nota: La periodicidad de este control es anual, siempre y cuando no se hayan presentado cambios solicitados por el área de cartera en la configuración".

05/07/2017 Deloitte




CENIT.

GR&C S.1.4. Cálculo DD&A

S.1.5.1.

Inadecuada gestión de las cuentas por cobrar, reconocimiento incorrecto de los

recaudos y registro de pagos ficticios debido a gestión de cobro inoportuno,

errores manuales, manipulación y/o alteración de la información, cobros por montos superiores, autorización de ajustes incorrectos en la verificación de los

intereses por mora y/o aplicación errónea de los recaudos y/o a clientes

incorrectos de forma deliberada generando pérdidas económicas, fraude, reportes de cartera alterados y/o afectación a los Estados Financieros de la Compañía.




CENIT.

Cuentas por Cobrar



S.1.5.1.2.

Revisar el proceso de gestión de cobranza y provisión de cartera (si aplica) para todos los clientes que presentan cartera vencida por medio del seguimiento (llamada telefónica o correo electrónico) consignado en la hoja de cálculo; El Prestador de Servicios (Especialista de Liquidez, Deuda y Seguros) calcula la provisión de cartera de acuerdo a la guía de provisión de cartera del Prestador de Servicios. El cálculo es revisado

por el Prestador de Servicios (Jefe de Tesorería)

En el caso que aplique la provisión, el Prestador de Servicios (Jefe de Tesorería) envía correo electrónico al Prestador de Servicios (Jefe de Contabilidad) para el registro y posteriormente confirma el valor de la provisión al Prestador de Servicios (Jefe de Tesorería) por medio de correo electrónico; posteriormente el Prestador de Servicios (Gerente senior de Finanzas) solicita autorización al Gerente General ODC por correo

electrónico.

05/07/2017 Deloitte

V3Gestión

Presupuestal

Actualización del proceso de acuerdo a la estructuración del prestador de

Servicios

Actualización de valoración del

riesgos de acuerdo a la RAM 2017Todos Todos

Ajuste en el

responsable D.1.3.1.1 Experto en Proyecciones Financieras (Prestador de Servicios ) 30/0972017

Coordinador de

aseguramiento

V3Gestión

Presupuestal

Actualización del proceso de acuerdo a

la estructuración del prestador de

Servicios




de la actividad del

control.

D.1.3.3.2

Revisar el presupuesto de ingresos costos y gastos en conjunto con la Gerencia General de ODC para posterior presentación a la Junta Directiva

En caso de identificar ajustes en el presupuesto, estos son realizados por DC y entregados nuevamente para revisión

Responsable: Gerente General de ODC/ Cenit (Prestador de Servicios )

30/0972017Coordinador de

aseguramiento

V3Gestión

Presupuestal


la estructuración del prestador de Servicios





D.1.3.3.2

Verificar que el presupuesto cargado en el sistema SAP corresponda con la versión final aprobada por la Junta Directiva.

En caso de requerir algún ajuste, estos son aprobados de acuerdo al Manual Delegación de Autoridad (ODC) y posteriormente son cargados por el prestador de Servicios ( Experto en Proyecciones Financieras) ,

quién envía correo electrónico con el ajuste o modificación y se verifica nuevamente el cargue del presupuesto en el sistema SAP. 30/0972017Coordinador de

aseguramiento

V3Gestión

Presupuestal


la estructuración del prestador de

Servicios



Inclusión de control

nuevo D.1.3.1.4

Monitorear las variaciones del presupuesto ejecutado vs lo planeado a fin de identificar variaciones significativas que impacten el desempeño financiero futuro de la Compañía

En caso de identificar desviaciones o alertas, se generarán los planes de acción correspondientes para su seguimiento30/0972017

Coordinador de

aseguramiento

V1 Logística

Riesgos y controles nuevos de acuerdo

a las actividades ejecutadas por el

prestador de Servicios

Riesgos nuevos Todos Todos Controles nuevos Todos Todos 30/10/2017Coordinador de

aseguramiento

v3 Transporte Actualización de acuerdo a la nueva

estructura, riesgos y responsables Todos Todos Todos Todos Todos Todos 15/10/2017

Coordinador de aseguramiento

V3Compras y

Contratación

Actualización del proceso de acuerdo a la estructuración del prestador de

Servicios

Todos Todos Todos

Inclusión de controles,

ajustes en la

descripción de las

actividades, etc.

Todos Todos 15/10/2017Coordinador de

aseguramiento

V3Controles generales

de TI

Se ajustaron los criterios para selección

del backup sobre el cual se realiza el

control.

Ajuste de acuerdo a observación

de ECPS.8.8.1

Restauraciones de back ups fallidas, pérdida de información, datos no actualizados, debido a falta de procedimientos para la restauración de copias de

respaldo, no ejecución de pruebas de restauración, inadecuados controles

ambientales y físicos en el centro de cómputo donde se encuentran los servidores

que soportan la operación de la compañía. Lo anterior podría generar pérdida de información, pérdidas económicas, indisponibilidad de información, falta de

continuidad de la operación.

Ajuste de acuerdo a

observación de ECPS.8.7.2.2 2.

Restaurar las copia de respaldo de sistemas SOX, seleccionando el backup de las copias disponibles de acuerdo a las políticas de retención de backups.

En caso de presentarse fallas en el proceso de restauración, se realizan las acciones correspondientes.

Lo anterior se documenta adjuntando las evidencias de la correcta restauración o de las fallas presentadas y las acciones a tomar.

21/11/2017 Deloitte

V4Gestión y

Capitalización de

Activos

Controles nuevos de ARO e Impairment 20/12/2017Coordinador de aseguramiento

V5Gobierno

Corporativo

Valoración de riesgos de Gobierno

Corporativo y cambios en la clase del

control y ajuste en la frecuencia del control de inmobiliaria

Se ajusta una causa del riesgo E.1.1.2



1. La inadecuada definición, aprobación y divulgación de las políticas, manuales y

procedimientos en materia de: Delegación de autoridad, Ética, Denuncias éticas,

Cumplimiento y Buen Gobierno2. No promover actuaciones basadas en la integridad y los valores éticos.

3. Falta de capacitación en relación a los temas de ética, cumplimiento, conflictos

de interés y mecanismos para realizar denuncias éticas.

4. Manejo inadecuado de las denuncias, consultas y dilemas de los interpuestos por los grupos de interés.

5. Conflictos de interés en los miembros de Junta Directiva que no hayan sido avalados por asamblea de accionistas

Lo cual puede ocasionar, materialización de actos indebidos, incumplimiento o

desconocimiento de los Estatutos y definiciones de la normativa interna,

afectando el clima organizacional y la reputación y eventualmente generando la pérdida de valor de la Compañía, entre otros.

Ajuste en la frecuecia del control de acuerdo

a la realidad operativa

S.6.2.5.6 Eventual 27/12/2017Coordinador de

aseguramiento

S.1.5.1.

Inadecuada gestión de las cuentas por cobrar, reconocimiento incorrecto de los

recaudos y registro de pagos ficticios debido a gestión de cobro inoportuno,

errores manuales, manipulación y/o alteración de la información, cobros por montos superiores, autorización de ajustes incorrectos en la verificación de los

intereses por mora y/o aplicación errónea de los recaudos y/o a clientes

incorrectos de forma deliberada generando pérdidas económicas, fraude, reportes

de cartera alterados y/o afectación a los Estados Financieros de la Compañía.





CENIT.

matriz consolidada riesgos & controles sox … · código de Ética de casa matriz, que...

Documents