protocolo de auditaje para empresas de servicios públicos

Proyecto:

“PROGRAMA INTEGRAL DE MEJORAMIENTO CONTINUO DE LAS COMPETENCIAS Y CAPACIDADES PROFESIONALES DE LOS SERVIDORES

PÚBLICOS DEL CONTROL FISCAL MEDIANTE LA FORMACIÓN, LA ASISTENCIA TÉCNICA Y OTRAS ACTIVIDADES DE DESARROLLO”

Guía Metodológica:

PROTOCOLO DE AUDITAJE PARA EMPRESAS DE SERVICIOS PÚBLICOS

Documento elaborado por:

Oficina de Estudios Especiales y Apoyo Técnico

Con el apoyo técnico de: ANDESCO

Aguas de Manizales Contraloría General del Municipio de Manizales

JAIME RAÚL ARDILA BARRERA Auditor General de la República

Dirección del Proyecto:

FREDY CÉSPEDES VILLA Director Oficina de Estudios Especiales y Apoyo Técnico

2

PROPUESTA

PROTOCOLO DE AUDITAJE PARA EMPRESAS DE SERVICIOS PÚBLICOS

Versión 1.0

COLABORADORES:

JULIO DE 2010

ENTIDAD PILOTO

3

DIRECCIÓN GENERAL DEL PROYECTO

IVÁN DARÍO GÓMEZ LEE Auditor General de la República

GUSTAVO ADOLFO CASTAÑEDA MEZA

Contralor Municipal de Manizales

COORDINACIÓN GENERAL ENTIDAD PILOTO

ÁLVARO ANDRÉS FRANCO VALENCIA Gerente Aguas de Manizales

INTEGRANTES MESAS DE TRABAJO

AUDITORÍA GENERAL DE LA REPÚBLICA

Iván Darío Gómez Lee Ana María Echeverry Alvarez Ana Sofía Arango Hoyos

Diana María Gómez Gaviria

JURÍDICA

Martha Lucía Hincapié López Juan Roberto Jiménez Carmona Sandra Constanza Puentes Murcia

NEGOCIO MISIONAL

Fabiola Delgado Morales Mónica Escobar Rendón

Carlos Arturo Hinestrosa Cárdenas Luz María Pinzón Jaramillo

SISTEMAS DE CONTROL INTERNO Y DE GESTIÓN DE CALIDAD

Mónica Escobar Rendón

Carlos Arturo Hinestrosa Cárdenas Luz María Pinzón Jaramillo Patricia Tangarife Martínez

4

PLANES DE MEJORAMIENTO

Mónica Escobar Rendón Carlos Arturo Hinestrosa Cárdenas

Luz María Pinzón Jaramillo Patricia Tangarife Martínez

GESTIÓN DE TALENTO HUMANO

Olga Cecilia Arias Aristizábal

Julián Augusto González Jaramillo

CONTROL SOCIAL PARTICIPATIVO

Carlos Arturo Hinestrosa Cárdenas Marina Jiménez Buitrago

Lina María Rodríguez Cardona Patricia Tangarife Martínez

GESTIÓN CONTRACTUAL

Geovanny Ochoa Corrales Carolina Osorio Tobón Natalia Salazar Mejía

Oscar Eduardo Toro Betancur

GESTIÓN PRESUPUESTAL Y FINANCIERA

Gustavo Adolfo Castañeda Meza Alvaro Andrés Franco Valencia

Roberto Montes Marín Julián Aristizábal Muñoz

Luis Fernando Castro Ramírez Felipe García López

GESTIÓN DE TECNOLOGÍA DE LA INFORMACIÓN

Edwin Arango Montes

Gustavo Aristizábal López Fabio Alberto Hurtado Zapata Geovanny Ochoa Corrales

5

TABLA DE CONTENIDO

INTRODUCCIÓN .............................................................................................................................. 7

AUDITORIA GUBERNAMENTAL CON ENFOQUE INTEGRAL .............................................. 9

DEFINICIÓN .................................................................................................................................. 9

FASES DE LA AUDITORÍA ...................................................................................................... 10

ALCANCE DE LA AUDITORÍA ................................................................................................ 12

PROGRAMA DE AUDITORÍA .................................................................................................. 12

CRITERIOS O FUENTES DE CRITERIO .............................................................................. 14

CONSOLIDACIÓN DE LA CALIFICACIÓN ............................................................................ 31

VARIABLE 1. NEGOCIO MISIONAL ........................................................................................... 36

DEFINICIÓN ................................................................................................................................ 36

PROGRAMA DE AUDITORIA .................................................................................................. 38

CALIFICACIÓN DEL NEGOCIO MISIONAL .......................................................................... 40

CALIFICACIÓN ADECUACIÓN MISIONAL ........................................................................... 40

CALIFICACIÓN CUMPLIMIENTO METAS PLAN DE DESARROLLO Y/O PLANES DEL SUJETO DE CONTROL ............................................................................................................ 40

CALIFICACIÓN INDICADORES DE GESTIÓN .................................................................... 41

VARIABLE 2. EVALUACIÓN DEL SISTEMA DE CONTROL INTERNO .............................. 42

DEFINICIÓN ................................................................................................................................ 42

ESTÁNDARES RELACIONADOS ........................................................................................... 43


METODOLOGÍA DE EVALUACIÓN ........................................................................................ 46

1. EVALUACIÓN CONCEPTUAL: ........................................................................................ 47

CALIFICACIÓN EVALUACIÓN CONCEPTUAL .................................................................... 51

2. EVALUACIÓN DE LA OPERATIVIDAD .......................................................................... 51

CALIFICACIÓN EVALUACIÓN DE LA OPERATIVIDAD ..................................................... 54

CALIFICACIÓN FINAL DEL SISTEMA DE CONTROL ........................................................ 55

VARIABLE 3. SEGUIMIENTO A PLANES DE MEJORAMIENTO ......................................... 56

DEFINICIÓN ................................................................................................................................ 56

CALIFICACIÓN CUMPLIMIENTO PLANES DE MEJORAMIENTO .................................. 57


EVALUACIÓN DEL AVANCE Y CUMPLIMIENTO DE LOS PLANES DE MEJORAMIENTO ....................................................................................................................... 59

6

VARIABLE 4. GESTIÓN DEL TALENTO HUMANO ................................................................. 60

DEFINICIÓN ................................................................................................................................ 60

CALIFICACIÓN DE LA GESTIÓN DEL TALENTO HUMANO ............................................ 60


VARIABLE 5. CONTROL SOCIAL PARTICIPATIVO ............................................................... 63

DEFINICIÓN ................................................................................................................................ 63

CALIFICACIÓN DEL CONTROL SOCIAL PARTICIPATIVO .............................................. 63


VARIABLE 6. GESTIÓN CONTRACTUAL ................................................................................. 66

CALIFICACIÓN DE LA GESTIÓN CONTRACTUAL ............................................................ 66

1. CUMPLIMIENTO DE LAS OBLIGACIONES DE LAS ESP ANTE EL SICE. ................ 66


2. CUMPLIMIENTO DEL PROCESO DE PLANEACIÓN .................................................... 67


3. CUMPLIMIENTO DE LA EJECUCIÓN CONTRACTUAL E INTERVENTORÍA Y/O SUPERVISIÓN ........................................................................................................................... 68

3.1. Cumplimiento de la ejecución contractual ........................................................................ 68

Programa de Auditoría .............................................................................................................. 68

3.2. Interventoría o supervisión ................................................................................................ 69


4. CIERRE DEL CONTRATO Y MEDICIÓN DEL IMPACTO .............................................. 70

4.1. Cierre del contrato ............................................................................................................. 70


4.2. Medición del impacto ......................................................................................................... 71


VARIABLE 7. GESTIÓN PRESUPUESTAL Y FINANCIERA .................................................. 73

CALIFICACIÓN DE LA GESTIÓN PRESUPUESTAL Y FINANCIERA ............................. 73


INDICADORES SEGÚN LA RESOLUCIÓN SSPD 12295 DE 2006 ................................. 76

VARIABLE 8. GESTIÓN EN TECNOLOGÍAS DE LA INFORMACIÓN ................................. 77


1. CLASIFICACIÓN DE COMPLEJIDAD TECNOLÓGICA .............................................. 79

CALIFICACIÓN DEL NIVEL DE COMPLEJIDAD TECNOLÓGICA DE LAS ESP ........... 82

2. DIAGNÓSTICO DE LA GESTIÓN TECNOLÓGICA ..................................................... 83

CALIFICACIÓN DE LA GESTIÓN EN TECNOLOGÍAS DE LA INFORMACIÓN ............ 86

7

INTRODUCCIÓN

El Protocolo de Auditaje para las Empresas de Servicios Públicos (ESP), es una propuesta presentada por la Contraloría General del Municipio de Manizales, basada en el Audite 4.0 de la Contraloría General de la República, cuya finalidad es alinear un procedimiento que pueda servir como marco de referencia a los diferentes tipos de control interno y externo que intervienen en estas entidades. Es por lo anterior que se busca establecer un Sistema Unificado de Control Gubernamental, que propenda por generar consenso en el método de auditaje entre los diferentes controles, propiciando el mejoramiento en el alcance de las auditorías y una mayor cobertura de la entidad; contribuyendo así, a un diagnóstico más acertado sobre la gestión de la entidad auditada. Este trabajo se realiza de manera conjunta con la Auditoría General de la República y el pilotaje con la empresa Aguas de Manizales. El fundamento del Protocolo hace especial énfasis en la claridad que debe existir en los Criterios y fuentes de criterio establecidos para cada tipo de empresa; es por ello, que se deja a disposición del auditor, una Matriz Jurídica que sirva de referencia para enfocar la auditoría con base en la naturaleza jurídica de la entidad auditada. Para el desarrollo de la Auditoría Gubernamental con Enfoque Integral – Regular, se han establecido las siguientes variables: Negocio misional, Evaluación del Sistema de Control Interno, Cumplimiento de planes de mejoramiento, Gestión del Talento humano, Control social participativo, Gestión contractual, Gestión Financiera y presupuestal y, Gestión en Tecnologías de la información. El resultado de cada variable deberá multiplicarse por el factor de ponderación asignado para conocer el resultado final de la Gestión empresarial, teniendo en cuenta que sobre la Gestión en Tecnologías de la Información sólo se emitirá un concepto, ya que es transversal a las demás variables. Cada variable es definida y presenta la matriz de calificación respectiva con un Programa de auditoría que contiene el procedimiento a desarrollar. Este último puede ser modificado por el auditor de acuerdo con el alcance de la auditoría. Esperamos que esta herramienta sea de utilidad para los diferentes organismos de control que auditan las ESP y contribuya al mejoramiento de la gestión de las mismas.

8

La presente versión del Protocolo propuesto para realizar auditaje a las Empresas de Servicios Públicos, es susceptible de ajuste y afinamiento a partir del valor agregado que las Contralorías territoriales, de manera específica, quieran aportarle.

9

PROPUESTA: PROTOCOLO DE AUDITAJE EMPRESAS DE SERVICIOS PÚBLICOS

AUDITORIA GUBERNAMENTAL CON ENFOQUE INTEGRAL

DEFINICIÓN: La Auditoría Gubernamental con enfoque integral es un proceso sistemático que mide y evalúa, acorde con las Normas de Auditoría Gubernamental Colombianas prescritas por la Contraloría General de la República (Compatibles con las Normas Internacionales de Auditoría NIAS), la gestión de una organización, mediante la aplicación articulada y simultánea de los procedimientos de evaluación contable y/o financiera, de legalidad y de gestión, para determinar, con conocimiento y certeza razonable, la calidad de su información, el cumplimiento de la normatividad, la eficiencia en la administración de los recursos públicos, la eficacia con que logra los resultados y su correspondencia entre las estrategias y

10

propósitos de los sujetos de Control, de manera que le permitan fundamentar sus opiniones y conceptos.

Es un Proceso Sistemático porque está construida por un conjunto de fases y actividades relacionadas entre sí con un objetivo especifico, con apego y arreglo a las normas que regulan la auditoría, y a los objetivos y principios de las diferentes auditorías reconocidas en el ejercicio del control fiscal.

El examen articulado consiste en el enlazamiento de los procedimientos de diferentes tipos de auditoría, lo cual significa que las herramientas de evaluación financiera y de gestión que nos ofrecen la Auditoría de Estados Contables, la Auditoría de Cumplimiento y la Auditoría de Gestión, son aprovechadas para el examen integral de las actividades o procesos de los Sujetos y Puntos de Control que se seleccionan para ser auditados.

Es simultánea toda vez que los procedimientos de evaluación contable y/o financiera, de legalidad y de gestión son aplicados simultáneamente sobre el proceso o actividad definida como línea de auditoría, lo que garantiza que los pronunciamientos de la Contraloría respectiva revelen una visión integral de la organización auditada. FASES DE LA AUDITORÍA1 :

1 Para profundizar en cada una de las fases, remítase al Audite 4.0

12

ALCANCE DE LA AUDITORÍA: Está relacionado con la profundidad y horizonte que el auditor pretende lograr con el estudio que se propone realizar, para tal fin es preciso que tenga en cuenta: • Los Objetivos Generales de la Auditoría. • Las Líneas de Auditoría. • Los Objetivos para cada una de las Líneas de Auditoría. NAFP-10. ALCANCE DE LA AUDITORÍA: Los equipos de auditoría, una vez evaluado conceptualmente el Sistema de control interno o de los mecanismos de control interno puntuales, según la modalidad de auditoría, deben establecer el alcance del proceso auditor para la fase de ejecución, como parte de las actividades que se desarrollan en la fase de planeación.

Este alcance se establece con la propuesta de la estrategia de auditoría que se incluye en el Memorando de Planeación de las líneas de auditoría, en el caso de la modalidad de auditoría regular. PROGRAMA DE AUDITORÍA:

13

Es un plan detallado de la auditoría donde se define el cómo, dónde y el por qué, cada uno de ellos se divide en Procedimientos / Esquema detallado del trabajo por realizar y los procedimientos a emplear durante la Fase de Ejecución, determinando la extensión y la oportunidad en que serán aplicados, así como los papeles de trabajo que han de ser elaborados. El Programa de Auditoría Integral proporciona una base para la asignación de tiempo y recursos. Los presupuestos de tiempo son más fáciles de preparar cuando los procedimientos de auditoría se han identificado previamente, así como las decisiones sobre el recurso humano y programación del proceso. El programa de auditoría debe dar lugar al desarrollo comprensivo de los hallazgos de auditoría. Para elaborar un programa de auditoría integral se deben tener en cuenta, entre otros, los siguientes aspectos: • Establecer objetivos comprensibles y alcanzables. • Debe ser flexible de tal manera que dé lugar a la iniciativa y criterio del auditor. • Debe incluir información relevante que permita efectuar el trabajo en forma adecuada y hacer evaluaciones.

• Establecer tareas específicas por programa con criterios y fuentes de información.

• Formular las tareas en términos de instrucciones positivas, no deben estar redactados como pregunta, pues el fin no es obtener una respuesta, sino aplicar un procedimiento para hacer evaluación y análisis.

• Debe elaborarse con base en Normas Internacionales de Auditoría y Normas de Auditoría Gubernamental Colombianas.

• Hacen parte de los papeles de trabajo. • Conocimiento de los ciclos, procesos o procedimientos de la entidad relacionados con el tema a evaluar, las dependencias o áreas involucradas y los responsables.

• Conocer las fuentes de criterio y criterios a aplicar. Todo proceso de auditaje se debe fundamentar en un análisis del entorno jurídico interno y externo que le aplique a la entidad. El marco normativo o normograma debe estructurarse desde un proceso deductivo; es decir, desde lo general a lo particular (normas genéricas y específicas aplicables, las cuales deben ser compatibles). Se debe hacer especial énfasis en las Políticas establecidas como marco referenciador, y su desdoblamiento para el logro de los Objetivos institucionales. La finalidad del proceso auditor es evaluar la Gestión Fiscal de la entidad auditada, para lo cual se requiere realizar un análisis transversal a la organización que le permita al auditor reconocer, con un razonable grado de fiabilidad, que la

14

aplicación de recursos está propendiendo de manera efectiva por el alcance de los objetivos institucionales. Para el efecto, es fundamental que el proceso auditor inicie su verificación desde la Planeación organizacional establecida. CRITERIOS O FUENTES DE CRITERIO: Para desarrollar una Auditoría a una Empresa de Servicios Públicos por parte de un ente de control fiscal, se deben revisar inicialmente los siguientes aspectos:

1. Naturaleza jurídica de la entidad prestadora: a. Empresa de servicios públicos oficial. b. Empresa de servicios públicos mixta. c. Empresa privada. d. Empresas industriales y comerciales del estado. 2. Régimen jurídico aplicable: La regulación, control y vigilancia en la prestación de los servicios públicos domiciliarios, de acuerdo con el inciso segundo del artículo 365 de la Constitución Política de 1991 está a cargo del Estado, sin distinguir el operador, sea persona natural o jurídica, pública o privada, siendo para el efecto la Superintendencia del ramo la encargada, por delegación del Gobierno Nacional, de desarrollar estas funciones. Situación similar ocurre con el control fiscal que le corresponde adelantar a las contralorías; las cuales tienen por mandato constitucional y legal facultad para evaluar la gestión fiscal de la administración y de los particulares o entidades que manejen fondos o bienes de la Nación (artículo 257 C.P.), pero es necesario establecer en el presente escrito el alcance de ese control fiscal a las empresas de servicios públicos domiciliarios dependiendo el grado de participación de recursos públicos en su capital social, atendiendo las características propias de esta categoría especial de entidades clasificadas según la ley 142 de 1994, artículo 14 en empresas de carácter oficiales, mixtas y privadas. A partir de la Constitución Política de 1991, se genera para la prestación de los servicios públicos en Colombia un régimen especial que tuvo su desarrollo con la expedición de la ley 142 de 1994 y sus normas reglamentarias; normas que establecen el régimen especial aplicable a estas empresas en cuanto a: a. La naturaleza jurídica. b. La definición de la calidad de empresas de servicios públicos. c. El Régimen laboral aplicable. d. El Régimen de Inhabilidades. e. El Régimen de Actos y Contratos.

15

f. El Control de Gestión y Resultados. g. El Régimen de control, regulación y vigilancia. h. El Régimen tarifario. i. La Organización y procedimiento administrativo que debe aplicar. En cuanto a regulación, las empresas de servicios públicos deben tener en cuenta la Resolución CRA 151 de 2001 y todas aquellas resoluciones que la hayan modificado, la cual establece parámetros generales de regulación y los mecanismos de control de Gestión y Resultados. También se debe tener en cuenta la Ley 689 de 2001 que modifica el régimen contractual, la cual debe complementarse con las normas civiles y comerciales vigentes por ser aplicables a los negocios jurídicos que desarrollan las empresas. En cuanto al régimen Laboral deberá referenciarse en el Código Sustantivo del Trabajo, ya que así lo establece la Ley 142 de 1994. Desde el punto de vista financiero y presupuestal se tendrá en cuenta que las empresas de servicios públicos con una participación pública superior al 90% deben cumplir con el Estatuto orgánico del presupuesto (Decreto ley 111 de 1996 y 115 de 1996). Las ESP con una participación inferior a este porcentaje, no están obligados a llevar presupuesto público. En lo Ambiental las empresas de servicios públicos tendrán que ajustarse a los requerimientos en materia de concesiones de agua, vertimientos y otros aspectos, deberán cumplir con los requisitos establecidos por las normas ambientales como la Ley 99 de 1993, la Ley 1333 de 2009 y demás normas que la autoridad ambiental así lo exija. Es necesario concluir que donde existe participación de recursos del Estado en la conformación del capital social de estas empresas, para que exista competencia de las Contralorías y el control que se realiza no es un control de legalidad, pues lo que se evalúa es la gestión fiscal mediante la aplicación de los sistemas de control financiero, de gestión y resultados, como lo ordena el artículo 267 de Carta Política de 1991, sin importar la naturaleza o régimen jurídico de la Empresa de Servicios Públicos Domiciliarios. En efecto, respecto del alcance del control fiscal a las Empresas de Servicios Públicos Domiciliarios, los artículos 27.4 y 50 de la Ley 142 de 1994 modificado por la Ley 689 de 2001, refieren que el control recae sobre los actos, contratos, derechos y dividendos que el aporte estatal confiere, mandato que ha sido precisado y aclarado por la Corte Constitucional al declarar la inexequibilidad de apartes de los artículos anteriormente citados que limitaban y restringía el control fiscal al que podía ejercer el accionista público, por ello la Corte Constitucional y declaró una exequibilidad condicionada del inciso segundo del artículo 50 en

16

comento, indicando que las Contralorías gozaban de amplias facultades para examinar los documentos que soportan los actos y contratos que versen sobre las gestiones del Estado en su calidad de accionista o socio. (Sentencia C-290 del 23 de abril de 2002 de la Corte Constitucional). En el ámbito organizacional el control es un componente del proceso administrativo: Planeación, Dirección, Ejecución, y Control. En la administración pública la implementación del sistema de control es imperativa a partir de la Constitución Política de 1991, la cual modificó sustancialmente el ejercicio del control fiscal, lo que conllevó a un cambio significativo en los sistemas de control aplicados al sector público. En efecto, los siguientes mandatos Constitucionales contextualizan la nueva dinámica del control, así: Constitución Política: Artículo 209: “...Las autoridades administrativas deben coordinar sus actuaciones para el adecuado cumplimiento de los fines del Estado. La administración pública, en todos sus órdenes, tendrá un Control Interno que se ejercerá en los términos que señale la Ley. ... Artículo 269: “En las entidades públicas, las autoridades correspondientes están obligadas a diseñar y aplicar, según la naturaleza de sus funciones, métodos y procedimientos de Control Interno, de conformidad con lo que disponga la ley...”. Ley 87 de 1993: La formulación y responsabilidad del Control Interno tiene como base legal el artículo 6o. que señala: El Establecimiento y desarrollo del Sistema de Control Interno en los organismos y entidades públicas, será responsabilidad del representante legal o máximo directivo correspondiente. No obstante, la aplicación de los métodos y procedimientos al igual que la calidad, eficiencia y eficacia del Control Interno, también será de responsabilidad de los jefes de cada una de las distintas dependencias de las entidades y organismos. La competencia de la Contraloría General del Municipio de Manizales para la evaluación de los sistemas de control interno, está establecida en el numeral 6o., artículo 268 de la Constitución Política que enuncia: “Conceptuar sobre la calidad y eficiencia del control fiscal interno de las entidades y organismos del Estado” El Artículo 3o literal d, referente a la competencia de la administración del Estado en la evaluación del sistema de control interno, establece que:

17

“La Unidad de Control Interno o quien haga sus veces, es la encargada de evaluar en forma independiente el sistema de control interno de la entidad y proponer al representante legal del respectivo organismo las recomendaciones para mejorarlo” El Artículo 8o, establece: “Como parte de la aplicación de un apropiado sistema de control interno, el representante legal en cada organización deberá velar por el establecimiento formal de un sistema de evaluación y control de gestión, según las características propias de la entidad y de acuerdo con lo establecido en el artículo 342 de la Constitución Política y demás disposiciones legales vigentes”. Ley 42 de 1993: En su artículo 18 señala la Evaluación del Sistema de Control como un Sistema de Control y lo define así: “La evaluación de Control Interno es el análisis de los sistemas de control de las entidades sujetas a la vigilancia, con el fin de determinar la calidad de los mismos, el nivel de confianza que se les puede otorgar y si son eficaces y eficientes en el cumplimiento de sus objetivos. El Contralor General de la República reglamentará los métodos y procedimientos para llevar a cabo esta evaluación”. Ley 142 de 1994: “… Artículo 47 Participación de la Superintendencia. Es función de la Superintendencia velar por la progresiva incorporación y aplicación del Control Interno en las empresas de Servicios Públicos. Para ello vigilará que se cumplan los criterios, evaluaciones, indicadores y modelos que definan las comisiones de regulación y podrá apoyarse en otras entidades oficiales o particulares. … Artículo 49 Responsabilidad por el Control Interno. El Control Interno es responsabilidad de la Gerencia de cada empresa de servicios públicos. La Auditoría Interna cumple responsabilidades de evaluación y vigilancia del Control Interno, delegadas por la Gerencia. La organización y funciones de la Auditoría Interna serán determinadas por cada empresa de servicios públicos. Ley 489 de 1998: Crea el Sistema Nacional de Control y en su artículo 28 señala que tiene por objeto: “...integrar en forma armónica, dinámica, efectiva, flexible y suficiente el funcionamiento del control interno en las instituciones públicas, para que, mediante la aplicación de instrumentos idóneos de gerencia, fortalezcan el cumplimiento cabal y oportuno de las funciones del Estado” Decreto 1599 de 2005: Por medio del cual se adopta el Modelo Estándar de Control Interno, MECI 1000:2005 el cual define las generalidades y la estructura necesaria para establecer, documentar, implementar un Sistema de Control Interno en las entidades y agentes obligados conforme al artículo 5º de la ley 87 de 1993.

18

Ley 872 de 2003: Por la cual se crea el Sistema de gestión de la calidad en la Rama Ejecutiva del Poder Público y en otras entidades prestadoras de servicios. En su Artículo 2º. Señala “Entidades y agentes obligados. El sistema de gestión de la calidad se desarrollará y se pondrá en funcionamiento en forma obligatoria en los organismos y entidades del Sector Central y del Sector Descentralizado por servicios de la Rama Ejecutiva del Poder Público del orden Nacional, y en la gestión administrativa necesaria para el desarrollo de las funciones propias de las demás ramas del Poder Público en el orden nacional. Así mismo en las Corporaciones Autónomas Regionales, las entidades que conforman el Sistema de Seguridad Social Integral de acuerdo con lo definido en la Ley 100 de 1993, y de modo general, en las empresas y entidades prestadoras de servicios públicos domiciliarios y no domiciliarios de naturaleza pública o las privadas concesionarios del Estado. Parágrafo 1º. La máxima autoridad de cada entidad pública tendrá la responsabilidad de desarrollar, implementar, mantener, revisar y perfeccionar el Sistema de Gestión de la Calidad que se establezca de acuerdo con lo dispuesto en la presente ley. El incumplimiento de esta disposición será causal de mala conducta. … Artículo 3º. Características del Sistema. El Sistema se desarrollará de manera integral, intrínseca, confiable, económica, técnica y particular en cada organización, y será de obligatorio cumplimiento por parte de todos los funcionarios de la respectiva entidad y así garantizar en cada una de sus actuaciones la satisfacción de las necesidades de los usuarios. Parágrafo. Este Sistema es complementario a los sistemas de control interno y de desarrollo administrativo establecidos por la Ley 489 de 1998. El Sistema podrá integrarse al Sistema de Control Interno en cada uno de sus componentes definidos por el Departamento Administrativo de la Función Pública, de acuerdo con las políticas adoptadas por el Presidente de la República.” Decreto 4110 de 2004: Por el cual se reglamenta la Ley 872 de 2003 y se adopta la Norma Técnica de Calidad en la Gestión Pública. “… Artículo 2. El establecimiento y desarrollo del Sistema de Gestión de la Calidad en los organismos y entidades públicas a que hace referencia el artículo 2 de la Ley 872 de 2003, será responsabilidad de la máxima autoridad de la entidad u organismo correspondiente y de los jefes de cada dependencia de las entidades y organismos, así como de los demás funcionarios de la respectiva entidad.

19

Artículo 3. Como mecanismo para facilitar la evaluación por parte de la alta dirección, de los ciudadanos y de los organismos de control de la aplicación del Sistema de Gestión de la Calidad, cada entidad con fundamento en el literal h del Artículo 4 de la Ley 872 de 2003, deberá diseñar un sistema de seguimiento que incluya indicadores de eficacia, eficiencia y efectividad. Los procesos que revisten mayor importancia para los usuarios deberán estar permanentemente publicados en las respectivas páginas Web de los organismos y entidades, o en cualquier otro medio de divulgación, informando sus resultados a través de indicadores de eficacia, eficiencia y efectividad.” Decreto 4485 de 2009: Por medio de la cual se adopta la actualización de la Norma Técnica de Calidad en la Gestión Pública (NTCGP 1000:2009). En lo concerniente a Tecnologías de la Información, se citan entre otros los siguientes criterios legales: Ley 87 de 1993, articulo 2 “objetivos del Sistema de Control Interno” literal e: “e. Asegurar la oportunidad y confiabilidad de la información y de sus registros…”. Ley 594 de 2000, artículo 4, principios generales que rigen la función archivística “...d) Responsabilidad. Los servidores públicos son responsables de la organización, conservación, uso y manejo de los documentos...” ...Artículo 16. Obligaciones de los funcionarios a cuyo cargo estén los archivos de las entidades públicas. …tendrán la obligación de velar por la integridad, autenticidad, veracidad y fidelidad de la información de los documentos de archivo y serán responsables de su organización y conservación... ...Artículo 19. Soporte documental. Las entidades del Estado podrán incorporar tecnologías de avanzada en la administración y conservación de sus archivos, empleando cualquier medio técnico, electrónico, informático, óptico o telemático… b) Realización de estudios técnicos para la adecuada decisión, teniendo en cuenta aspectos como la conservación física, las condiciones ambientales y operacionales, la seguridad, perdurabilidad y reproducción de la información contenida en estos soportes, así como el funcionamiento razonable del sistema.” Directiva Presidencial 01 de 1999: Respeto al derecho de autor y a los derechos conexos: “El gobierno colombiano es consciente de la creciente importancia de la creación, compra, venta y uso de los bienes protegidos por el derecho de autor y los

20

derechos conexos en el país, dentro de las entidades del Estado a todos los niveles. Por tal motivo me permito hacerles las siguientes consideraciones: ...3. La legislación nacional protege a los autores nacionales y extranjeros, y titulares de derecho de autor en general, en relación con sus obras literarias, artísticas, científicas y programas de computador,... ...En este sentido instruyo a las dependencias mencionadas en los siguientes aspectos: 4. Los organismos y entidades no deberán utilizar o adquirir obras literarias, artísticas, científicas, programas de computador, fonogramas y señales de televisión captadas violatorias o que se presuma violen el derecho de autor o los derechos conexos... ...7. Todas las entidades deberán establecer procedimientos para asegurar, determinar y mantener dentro de sus respectivas entidades bienes que cumplan con los derechos de autor.” Decreto 2150 de 1995. “Por el cual se suprimen y reforman regulaciones, procedimientos o trámites innecesarios existentes en la Administración Pública” Artículo 26. “Utilización de sistemas electrónicos de archivo y transmisión de datos. Las entidades de la Administración Pública deberán habilitar sistemas de transmisión electrónica de datos para, que los usuarios envíen o reciban información requerida en sus actuaciones frente a la administración...” Documento CONPES 3072 de febrero 9 de 2000. Agenda de Conectividad IV. OBJETIVOS DE LA AGENDA. “...C. El Estado. Objetivo: Proveer al Estado la conectividad que facilite la gestión de los organismos gubernamentales y apoye la función de servicio al ciudadano. ...2. Impacto. El desarrollo de las anteriores estrategias contribuye a construir un Gobierno Eficiente y Transparente, al garantizar la calidad, prontitud y confianza en la información y servicios institucionales ofrecidos por este medio...” V. ESTRATEGIAS DE LA AGENDA DE CONECTIVIDAD. “...6. Gobierno en Línea... - Mejorar el funcionamiento y la eficiencia del Estado. - Mejorar la transparencia del Estado y fortalecer el control social sobre la gestión

pública. - Fortalecer la función del Estado de servicio al ciudadano a través del uso de

tecnologías de la información.”

21

Ley 603 de 2000. “Por la cual se modifica el artículo 47 de la Ley 222 de 1995”: Artículo 1. Numeral 4. “El artículo 47 de la Ley 222 de 1995, quedará así: "Artículo 47. Informe de gestión. El informe de gestión deberá contener... …4. El estado de cumplimiento de las normas sobre propiedad intelectual y derechos de autor por parte de la sociedad”. Directiva Presidencial 02 de 2000 “...Las Tecnologías de la Información son herramientas que permiten el desarrollo de una nueva economía, la construcción de un Estado más moderno y eficiente, la universalización del acceso a la información, y la adquisición y eficaz utilización del conocimiento, todos estos elementos fundamentales para el desarrollo de la sociedad moderna... ...La Agenda de Conectividad es una Política de Estado presentada y aprobada por el Conpes mediante el documento 3072 del 9 de febrero de 2000... ...es de obligatorio cumplimiento por parte de todas las entidades públicas, según se instrumenta por medio de la presente directiva.” “...Estrategia de Gobierno en Línea Son responsabilidad de las entidades del Estado destinatarias de esta Directiva Presidencial...: ...2. Incluir el cumplimiento de estas instrucciones, correspondientes a la estrategia de Gobierno en Línea de la Agenda de Conectividad, dentro del Plan Estratégico de cada entidad... ...5. Crear en sus respectivas instituciones la cultura de trabajo utilizando tecnologías de información... 6. Adecuar la organización, los procesos y los sistemas de información internos para atender los requerimientos de información y servicios de los ciudadanos en la oportunidad y con la calidad debidos.” Ley 962 de 2005. “Racionalización de trámites y procedimientos administrativos de los organismos y entidades del Estado y de los particulares que ejercen funciones públicas o prestan servicios públicos”: El Artículo 1. Numeral 4, promueve el fortalecimiento tecnológico, con el fin de articular la actuación de la Administración Pública y de disminuir los tiempos y costos de realización de trámites; se incentiva el uso de medios tecnológicos integrados.

22

Artículo 6. “Medios Tecnológicos. Para atender los trámites y procedimientos de su competencia, los organismos y entidades de la Administración Pública deberán ponerlos en conocimiento de los ciudadanos en la forma prevista en las disposiciones vigentes, o emplear, adicionalmente, cualquier medio tecnológico o documento electrónico de que dispongan, a fin de hacer efectivos los principios de igualdad, economía, celeridad, imparcialidad, publicidad, moralidad y eficacia en la función administrativa… PARÁGRAFO 1º. Las entidades y organismos de la Administración Pública deberán hacer públicos los medios tecnológicos o electrónicos de que dispongan, para permitir su utilización. PARÁGRAFO 2º. En todo caso, el uso de los medios tecnológicos y electrónicos para adelantar trámites y competencias de la Administración Pública deberá garantizar los principios de autenticidad, disponibilidad e integridad”. Decreto 1151 de abril 14 de 2008. “Por el cual se establecen los lineamientos generales de la Estrategia de Gobierno en Línea de la República de Colombia, se reglamenta parcialmente la Ley 962 de 2005, y se dictan otras disposiciones” Artículo 1. “Ámbito de Aplicación. Las disposiciones a que se refiere el presente Decreto son de obligatorio cumplimiento para las entidades que conforman la Administración Pública, en los términos de los artículos 2° de la Ley 962 de 2005 y 39 de la Ley 489 de 1998. Parágrafo. Los demás organismos y Ramas del Estado, seguirán los lineamientos señalados en el presente decreto de conformidad con lo previsto en el artículo 209 de la Constitución Política y el artículo 6° de la Ley 489 de 1998, con el fin de garantizar la armonía y articulación en el desarrollo de la Estrategia de Gobierno en Línea.” Artículo 2. “Objetivo de la Estrategia de Gobierno en Línea. El objetivo es contribuir con la construcción de un Estado más eficiente, más transparente y participativo, y que preste mejores servicios a los ciudadanos y a las empresas, a través del aprovechamiento de las Tecnologías de la Información y la Comunicación”. Ley 1273 de enero 5 de 2009. “Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado -denominado ‘de la protección de la información y de los datos’- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones.”

23

CRITERIOS Y FUENTES DE CRITERIO PARA ESP

VARIABLE / NORMA APLICABLE

E.S.P.

OFICIAL

E.S.P.

INDUSTRIAL Y

COMERCIAL

E.S.P. MIXTAS E.S.P.

PRIVADA

100% 100% 50% -

90% >90%

De 0,1% a

49,99%

NEGOCIO MISIONAL

Constitución Política de 1991, Arts 365 a 370. X X X X X

Ley 142 de 1994, Art. 14 - Definiciones especiales, 19 - Régimen jurídico, 27.4 - Control fiscal y del 45 a 52 - Control de gestión y resultados.

X X X X X

Ley 489 de 1998 X X NA NA NA

Postulados delimitadores del control fiscal: a. La gestión empresarial estatal: Las empresas de SPD domiciliarios deben competir en igualdad de condiciones con los demás operadores que participan de su mismo mercado. b. El riesgo empresarial razonable: La prestación de los SPD bajo el esquema de las leyes 142 y 143 de 1994 conllevan la asunción de riesgos comerciales, financieros, jurídicos y tecnológicos, que el estado debe y puede razonablemente asumir. c. La planeación empresarial dinámica: Los planes de negocios y en general las previsiones comerciales, técnicas y financieras en las que se apoya el desarrollo empresarial de una ESP, son referentes que aunque técnicos, no son ni exactos ni inamovibles. d. La gestión empresarial integral: El concepto sobre la gestión fiscal debe ser integral, soportado en el análisis selectivo de las principales variables determinadas en el mapa de procesos de la entidad.

X X X X X

Resoluciones de las Comisiones de Regulación (CRAG 151 DE 2001 para los servicios de acueducto alcantarillado y aseo).

X X X X X

Estatutos Sociales X X X X X

24


E.S.P.

OFICIAL

E.S.P.

INDUSTRIAL Y

COMERCIAL


PRIVADA

100% 100% 50% -

90% >90%

De 0,1% a

49,99%

Políticas administrativas, financieras, comerciales y operativas dictadas por la Junta Directiva o Asamblea de Socios.

X X X X X

Otras Fuentes de criterio: - Plan Nacional de Desarrollo / Plan territorial (municipal, departamental o distrital) de Desarrollo.

- Plan Estratégico. - Plan de Acción. - Buenas Prácticas Administrativas. - Buenas Prácticas Comerciales. - Actas de Junta Directiva. - Actas de Asamblea de accionistas - Estatutos. - Directivas Presidenciales. - Código de Buen Gobierno.

X X X X X

GESTION CONTRACTUAL

Ley 142 de 1994, Arts 30 al 40 X X X X X

Ley 689 de 2001 X X X X X

Ley 1150 de 2007 Principios exigibles artículo 13. X X X X NA

Ley 80 de 1993, Cláusulas exorbitantes y contratos de concesión

X X X X X

Resolución de la Comisión de Regulación del Sector

X X X X X

Código Civil Colombiano X X X X X

Código de Comercio X X X X X

Régimen de inhabilidades e incompatibilidades de la Ley 80 de 1993 y 617 de 2000. Ley 142 de 1994 artículo 44

X X X X X

Constitución Política de 1991 - Derecho de Huelga

X X X X X

25


E.S.P.

OFICIAL

E.S.P.

INDUSTRIAL Y

COMERCIAL


PRIVADA

100% 100% 50% -

90% >90%

De 0,1% a

49,99%

GESTION TALENTO HUMANO

Ley 142 de 1994, Arts 41 a 44 – Régimen laboral

X X X X X

Régimen del Empleado Público y del Trabajador Oficial

X X NA NA NA

Código Sustantivo del Trabajo NA NA X X X

Sentencia C – 736 de 2007, nueva categoría de servidor público.

NA NA X X X

Ley 100 y decretos reglamentarios – Régimen de Seguridad Social

X X X X X

Resolución 1076 de 2003 de Min ambiente y vivienda – Capacitación y asistencia técnica de empleados vinculados a ESP

X X X X X

Resolución 1570 de 2004 de Min ambiente y vivienda – Certificación en competencias laborales

X X X X X

Resoluciones Min trabajo – Salud Ocupacional

X X X X X

Resolución 2646 de 2008 de Min protección social - Riesgos Psicosociales

X X X X

NTCGP 1000: 6.2 – Talento Humano, 6.4 Ambiente de trabajo, 8.2.3 Seguimiento y medición de los procesos, 8.5 – Mejora (Plan de Mejoramiento individual)

X X X X

Concesio-narias del

Estado

GESTIÓN PRESUPUESTAL Y FINANCIERA

Decreto Ley 111 de 1996 y 115 de 1996

X X NA X NA

Ley 142 de 1994. Criterios para definir régimen tarifario. Artículo 87

X X X X X

Régimen tributario. Ley 142 de 1994. Artículo 24 X X X X X

Estatuto Tributario Decreto 624 de 1989

X X X X X

26


E.S.P.

OFICIAL

E.S.P.

INDUSTRIAL Y

COMERCIAL


PRIVADA

100% 100% 50% -

90% >90%

De 0,1% a

49,99%

Plan General de Contabilidad Pública

X X X X NA

Régimen de Contabilidad Privada NA NA NA NA X

GESTIÓN DE CONTROL INTERNO Y SISTEMAS DE GESTIÓN DE CALIDAD

Constitución Política de 1991, Arts 209 y 269 – Control Interno en las entidades del Estado

X X X X NA

Ley 87 de 1993 – Reglamenta el Sistema de Control Interno X X NA X NA

Ley 42 de 1993, Art. 18 – Evaluación del Sistema de Control Interno

X X X X

Ley 142 de 1994, Artículo 47 – La Superintendencia y el SCI, Art. 49 – Responsabilidad por el SCI

X X X X X

Ley 489 de 1998 – Crea el Sistema Nacional de Control Interno

X X NA NA NA

Decreto 1599 de 2002 – Adopción del Modelo Estándar de Control Interno – MECI

X X NA X NA

Ley 872 de 1994 - Sistema de Gestión de Calidad

X X NA X NA

Decreto 4110 de 2004 - Reglamenta la Ley 872 de 2003 y se adopta la Norma Técnica de Calidad en la Gestión Pública

X X X X Concesio-naria del Estado

Decreto 4485 de 2009: Por medio de la cual se adopta la actualización de la Norma Técnica de Calidad en la Gestión Pública (NTCGP 1000:2009). Para ESP certificadas.

X X X X Concesio-naria del Estado

27


E.S.P.

OFICIAL

E.S.P.

INDUSTRIAL Y

COMERCIAL


PRIVADA

100% 100% 50% -

90% >90%

De 0,1% a

49,99%

Resoluciones de las Comisiones de Regulación, así: 1. Energía y Gas: La CREG ha expedido las Resoluciones CREG 072 de 2002, 26 de 2003, 91 de 2003, 121 de 2003 y 34 de 2004. 2. Acueducto y Saneamiento Básico: La CRA ha expedido la Resolución 151 de 2001 Artículo 1.3.6.2, 1.3.6.3, 1.3.6.4 y 1.3.6.5 3. Telecomunicaciones: La CRT ha definido normas, principios y criterios sobre control interno, en la Resolución CRT 87 de 1997 (Modificada por la Resolución 575 de 2002), particularmente en los artículos 10.3.1 a 10.3.15.

X X X X X

GESTIÓN EN CUMPLIMIENTO PLANES DE MEJORAMIENTO

Audite 4.0. Exigibilidad de Planes de Mejoramiento y reglamentación interna de cada Contraloría

X X X X X

Ley 87 de 1993 X X NA X NA

NTCGP 1000, 8.5 – Mejora (Planes de Mejoramiento). ESP certificadas X X X X X

GESTIÓN EN CONTROL SOCIAL PARTICIPATIVO

Constitución Política de 1991 Art. 2 – Fines esenciales del Estado, Art. 23 – Derecho de petición, Art. 40 – Participación del ciudadano, Art. 78 – Control de Calidad de bienes y servicios, Art. 103 – Mecanismos de participación, Art. 270 – Formas y sistemas de Participación ciudadana, y Arts. 365 a 370 – De la finalidad social del Estado y de los servicios públicos.

X X X X X

28


E.S.P.

OFICIAL

E.S.P.

INDUSTRIAL Y

COMERCIAL


PRIVADA

100% 100% 50% -

90% >90%

De 0,1% a

49,99%

Ley 142 de 1994, Arts 62 a 66 – Control Social de los Servicios Públicos Domiciliarios, y Arts. 152 y siguientes – Derecho de petición y de recurso.

X X X X X

Ley 489 de 1998 – Estructura Orgánica del Estado

X X NA NA NA

Ley 689 de 2001 – Modifica parcialmente la Ley 142 de 1994

X X X X X

Ley 850 de 2003 – Veeduría Ciudadana X X X X X

Ley 1171 de 2007 – Se establecen beneficios a personas adultas mayores

X X X X NA

Ley 1275 de 2009 - Establece lineamientos de Política Pública Nacional para las personas que presentan enanismo

X X X X X

Ley 1306 de 2009 - Protección de Personas con Discapacidad Mental y se establece el Régimen de la Representación Legal de Incapaces Emancipados

X X X X X

GESTIÓN EN TECNOLOGÍAS DE LA INFORMACIÓN

Audite 4.0 – CGR X X X X X

Ley 87 de 1993, Art. 2, literal e – Oportunidad y confiabilidad de la información y registros

X X X X X

Ley 142 de 1994, Art. 53 X X X X X

Decreto 2150 de 1995, Art. 26 – Sistemas electrónicos de archivos y transmisión de datos

X X X X X

Directiva Presidencial 01 de 1999 – Derechos de autor y derechos conexos

X X X X X

Documento Conpes 3072 de 2000 – Agenda de conectividad

X X X X X

29


E.S.P.

OFICIAL

E.S.P.

INDUSTRIAL Y

COMERCIAL


PRIVADA

100% 100% 50% -

90% >90%

De 0,1% a

49,99%

Ley 594 de 2000, Art. 4 – Principios generales que rigen la función archivística , Art. 16 – Obligación de velar por la integridad, autenticidad, veracidad y fidelidad de la información, Art. 19 – Soporte documental.

X X X X X

Ley 603 de 2000 – Modifica Art. 47 de la Ley 222 de 1995 sobre informe de gestión que debe contener estado de cumplimiento de las normas sobre propiedad intelectual y derechos de autor.

X X X X X

Directiva Presidencial 02 de 2000 – Tecnologías de información como herramientas de desarrollo, agenda de conectividad, gobierno en línea

X X X X X

Ley 689 de 2001. Art. 15 X X X X X

Ley 962 de 2005 – Racionalización de trámites y procedimientos administrativos

X X X X X

Decreto 1151 de 2008 – Lineamientos generales de Estrategia de Gobierno en línea

X X X X X

Ley 1273 de 2009 – Modifica Código Penal y tutela un nuevo bien jurídico “de la protección de la información y de los datos”

X X X X X

Por lo anterior, existe claridad que el control fiscal a las ESP se realiza para evaluar el cumplimiento de los principios de eficiencia, eficacia, economía equidad y valoración de costos ambientales, con el objeto de emitir concepto sobre la gestión fiscal de manera técnica, objetiva y sustentada, situación que debe ser armonizada con las particulares características de estas empresas que tienen vocación comercial, y que están en competencia con entidades públicas y privadas, lo que las distingue de otras entidades del estado. Por ello se considera que el control fiscal que ejercen las Contralorías en sus diferentes niveles, esté delimitado por los siguientes postulados:

30

a. La gestión empresarial estatal: Las empresas de servicios públicos domiciliarios deben competir en igualdad de condiciones con los demás operadores que participan de su mismo mercado.

b. El riesgo empresarial razonable: La prestación de los servicios públicos

domiciliarios bajo el esquema de las leyes 142 y 143 de 1994 conllevan la asunción de riesgos comerciales, financieros, jurídicos y tecnológicos, que el estado debe y puede razonablemente asumir.

c. La planeación empresarial dinámica: Los planes de negocios y en general

las previsiones comerciales, técnicas y financieras en las que se apoya el desarrollo empresarial de una empresa de servicios públicos domiciliarios, son referentes que aunque técnicos, no son ni exactos ni inamovibles.

d. La gestión empresarial integral: El concepto sobre la gestión fiscal debe ser

integral, soportado en el análisis selectivo de las principales variables determinadas en el mapa de procesos de la entidad.

Atendiendo estos postulados o referentes, en consonancia con las Normas de Auditoría Gubernamentales para Colombia establecidas por la Contraloría General de la República, con la adopción del Audite como instrumento metodológico para desarrollar el proceso auditor, en las Empresas de Servicios Públicos se evaluará la gestión y se conceptuará sobre la misma a partir del examen de los siguientes componentes: Gestión Misional y Gestión en los Recursos Públicos, que a su vez se desagregan en las siguientes variables: Negocio Misional, Evaluación del Sistema de Control Interno, Cumplimiento de Planes de Mejoramiento, Gestión del Talento Humano, Control Social Participativo, Gestión Contractual, Gestión Presupuestal y Financiera y, Gestión Tecnológica. A continuación se presenta la Matriz de Calificación de la Gestión que recopila la evaluación de las diferentes variables:

31

Tabla 1 CONSOLIDACIÓN DE LA CALIFICACIÓN

Componentes Variables Calificación sin ponderar

Factor de Ponderación

Calificación Total

Concepto de la

calificación

Gestión misional

Negocio misional 0 0.2

Evaluación del Sistema de Control Interno

0 0.1

Cumplimiento de plan de mejoramiento

0 0.1

Gestión del talento humano

0 0.05

Control Social Participativo

0 0.05

Subtotal Gestión misional 0.5

Gestión en los recursos públicos

Gestión contractual 0 0.25

Gestión presupuestal y financiera

0 0.25

Subtotal Gestión en los recursos públicos 0.5

Calificación final 1

Diagnóstico de la Gestión en Tecnologías de la información: Cada entidad auditora determinará el % de calificación que se otorgará basado en la valoración de impacto en la Gestión.

A cada una de las variables se les asigna el peso ponderado y definido en la matriz de calificación que finalmente arroja un resultado consolidado y que ubica el concepto en uno de los siguientes rangos:

RANGO CONCEPTO

MÁS DE 80 PUNTOS FAVORABLE ENTRE 60 Y 79 PUNTOS CON OBSERVACIONES

MENOS DE 59 PUNTOS DESFAVORABLE

En conclusión se cuenta con instrumentos técnicos y de probada efectividad que permiten realizar evaluación a la gestión y los resultados de las Empresas de servicios públicos domiciliarios de manera objetiva, imparcial y generando valor a la gestión eficiente, eficaz y efectiva de estas empresas.

32

Es muy importante que la auditoría tenga en cuenta que existen reglas generales que operan en condiciones iguales para todas las empresas prestadoras de servicios públicos domiciliarios, así2: “… 1. La sujeción a las normas constitucionales que regulan la prestación de servicios

públicos domiciliarios y sus prestadores; normas como las contenidas en los artículos 365 a 370 de la Constitución, se aplican a la totalidad de los prestadores, oficiales o mixtos.

2. Las normas contenidas en la ley 142, que no hagan distinción especial entre los

prestadores de los servicios, se aplican a la totalidad de los prestadores, en cuanto ellas no resulten contrarias a la Constitución o a la propia ley; esta regla está contenida en el inciso final del artículo 3 de la ley 142 de 1994.

3. El régimen de actos y contratos en todo tipo de empresa prestadora de servicios

públicos se someten a las reglas del derecho común, sin embargo en el caso de las empresas estatales, esto es en materia contractual, las ESP mixtas y oficiales se someten a los principios de la función administrativa, a los del control fiscal y al régimen de inhabilidades contenido en la ley 80 de 1993.

4. Las normas regulatorias y las normas técnicas de las condiciones en las cuales los

diferentes operadores deben prestar los servicios públicos a su cargo, en especial el cumplimiento de indicadores, la sujeción al régimen tarifario y las obligaciones asociadas a la interconexión de las redes y el uso de instalaciones esenciales, asociadas a los servicios…

5. El régimen de prestación de los servicios; en este caso se hace referencia a las

normas que rigen las relaciones de las empresas con los usuarios, esto es, la celebración, ejecución y terminación del contrato de servicios públicos en condiciones uniformes.

6. La aplicación del régimen tarifario y la sujeción a normas de competencia en

condiciones de lealtad e igualdad, constituyen normas que son aplicables y vinculan a todos los prestadores con independencia de la naturaleza jurídica de cada uno de ellos.

7. Los controles de policía administrativa que ejerce la superintendencia de servicios

públicos domiciliarios, para proteger a los usuarios, garantizar el cumplimiento de normas sobre competencia y la sostenibilidad de las empresas, debe ejercerse de la misma manera y con el mismo alcance para la totalidad los prestadores de servicios públicos domiciliarios.

8. La sujeción a normas territoriales en materia de contribuciones, uso del espacio

público, cumplimiento de las normas de tránsito, urbanismo, salubridad y obligación

2 Carlos Alberto Atehortúa, en su texto Régimen de los Servicios Públicos domiciliarios, páginas 160 a 162. Biblioteca Jurídica DIKE 2008.

33

de atender las cargas propias del servicio universal; este tipo de normas son aplicables a todos los operadores, sin que pueda presentarse abuso de la posición dominante, ni competencia en condiciones de desigualdad.

9. El régimen general de la aplicación del sistema de contribuciones y subsidios al que

deben sujetarse los usuarios, con el fin de garantizar la prestación de los servicios a los sectores con menores ingresos dentro de la población...”

Definición de las variables a evaluar: En cuanto a las variables a evaluar por la respectiva Contraloría, deberá tenerse en cuenta el siguiente marco normativo como fuente de criterios de evaluación: La gestión misional deberá tener en cuenta para la evaluación de la auditoría como criterio los estatutos de la organización y las decisiones de Junta Directiva o de las directrices legalmente adoptadas por las Asambleas de Socios. En cuanto a la evaluación de indicadores o instrumentos de medición, los criterios que permita su valoración, son los siguientes: Para evaluar el Sistema de control interno se debe analizar la aplicabilidad de la Ley 872 de 2003, la cual es exigible a las empresas de servicios públicos domiciliarios, públicas, mixtas y a las privadas concesionarias del Estado. La regulación de los Planes de mejoramiento, es potestativa de la respectiva entidad de control que audita a la empresa de servicios públicos domiciliarios. En cuanto la Gestión del Talento humano debe tenerse en cuenta que para las empresas de carácter oficial, mixtas e industriales y comerciales del estado todos son servidores públicos y deberá analizarse la condición o la relación laboral que existe en la empresa prestadora de servicios públicos. Para las industriales y comerciales del estado y las empresas de servicios públicos oficiales, se deberá tener en cuenta que podrán existir empleados públicos y trabajadores oficiales, de acuerdo con los estatutos y que el régimen legal de estos se encuentra establecido, para el caso de los empleados públicos en normas como la Ley 4 de 1992, el Decreto Ley 2400 de 1968, Decreto 1919 de 2002 y para los trabajadores oficiales se deberá tener en cuenta la Ley 6 de 1945, Decreto 3135 de 1968 y Decreto 3148 de 1968, Decreto 2127 de 1945 y Decreto 797 de 1949. En cuanto a las empresas de servicios públicos mixtas, en ellas existen trabajadores particulares (una nueva categoría de servidores públicos) de acuerdo con la Sentencia C-736 de 2007 y art. 41 de la Ley 142 de 1994, siéndoles aplicables el Código Sustantivo del Trabajo y la Ley 142 de 1994, lo cual permite

34

generar planes de incentivos por función del desempeño tal como lo establece el art. 42 de la Ley 142 de 1994. Se deberá tener en cuenta que solamente serán sujetos disciplinables por parte del Ministerio Público, cuando se ejerzan funciones públicas como cuando se expiden actos administrativos en las relaciones empresa usuario como son: negativa del contrato de prestación, suspensión, terminación, corte y facturación, así como en aquellos en que se da respuesta al derecho de petición de contenido particular sobre asunto del contrato de condiciones uniformes (Sentencia C-558 de 2001). En cuanto al derecho Constitucional de Huelga art. 56 de la C.N., deberá tenerse en cuenta el Código Sustantivo del Trabajo, donde los servicios públicos domiciliarios están definidos como servicio público esencial que se constituye en una excepción al ejercicio de este derecho. Desde el punto de vista Presupuestal y contable, se deberá tener en cuenta el art 5 del decreto 111 de 1996 que determina que las empresas de servicios públicos oficiales, empresas industriales y comerciales del estado y mixtas con participación igual o superior al 90% de capital público se rigen por el decreto ley 115 de 1996 y las restantes empresas de servicios públicos no están obligadas formalmente a llevar presupuesto público. En materia contable, están obligadas a llevar Contabilidad Pública las Empresas de Servicios Públicos Domiciliarios con participación igual o superior al 50% de capital público en su capital social. En asuntos tributarios, todas las empresas de servicios públicos, de acuerdo con el artículo 24 de la Ley 142 de 1994, deberán acogerse al régimen tributario nacional y el establecido por las entidades territoriales y teniendo en cuenta que los Departamentos y Municipios podrán gravar a las empresas de servicios públicos con tasas, e impuestos que sean aplicables a los demás contribuyentes que cumplan funciones industriales y comerciales. En cuanto a los Aspectos contractuales que rigen a todas las empresas de servicios públicos domiciliarios este es el régimen privado, es decir que se debe aplicar el Código de Comercio Código Civil y en especial los contratos establecidos por el artículo 39 de la Ley 142 de 1994, ello está normado en los artículos 31 y 32 de la Ley 142 de 1994 y la Resolución CRA 151 de 2001 expedida por la Comisión de Regulación de Agua Potable con todas sus modificaciones, especialmente lo relacionado en los artículos 1,3,5 y siguientes. En materia contractual se deberá tener en cuenta que no se aplica el Estatuto General de Contratación Pública establecido por la Ley 80 de 1993, sus decretos reglamentarios y demás normas concordantes, salvo lo regulado para el régimen de inhabilidades e incompatibilidades establecido por la Ley 80 de 1993 en su artículo 2 y el 8 y 13 de la Ley 1150 de 2007, y cuando se haga uso de las

35

cláusulas exorbitantes; y lo regulado para los convenios y contratos interadministrativos regulados por el artículo 2, numeral 2, literal b, numeral 4 literal c, para estos casos se aplica el régimen de Ley 80 de 1993 y demás normas concordantes por excepción para regular la relación contractual entre las entidades que firman el convenio o contrato interadministrativo. De igual manera es aplicable el Estatuto Contractual Estatal en la celebración de contratos de concesiones, especialmente para la selección del concesionario en el cual se debe aplicar el procedimiento licitatorio. Se deberá tener en cuenta que los contratos de concesión deberán ser evaluados de conformidad con la guía metodológica adoptada. El Control Social Participativo está regulado en la Ley 142 de 1994 en los artículos 62 a 66, exigible a todas las E.S.P. Adicionalmente existen Resoluciones de la Comisiones de Regulación que reglamentan la materia. Finalmente en lo referente a la gestión en Tecnologías de la Información, la evaluación debe tener como criterios los determinados en el Audite 4.0 adoptado por la Contraloría General de la República, las Directivas Presidenciales sobre gobierno en línea, lo establecido en la Ley 142 de 1994, Artículo 53, y en la Ley 689 de 2001, Artículo 15; así como las políticas y directrices establecidas al interior de cada ESP por la alta dirección sobre la materia.

36

VARIABLE 1. NEGOCIO MISIONAL DEFINICIÓN: El control fiscal a las ESP se realiza para evaluar el cumplimiento de los principios de eficiencia, eficacia, economía, equidad y valoración de costos ambientales, con el objeto de emitir concepto sobre la gestión fiscal de manera técnica, objetiva y sustentada, situación que debe ser armonizada con las particulares características de estas empresas que tienen vocación comercial, y que están en competencia con entidades públicas y privadas, lo que las distingue de otras entidades del estado. Para la evaluación de la Gestión Misional el Audite 4.0 contempla el análisis del negocio misional que compila aspectos relacionados con la adecuación misional, el cumplimiento de los planes de acción y la pertinencia de los indicadores. Se busca determinar si las actividades cumplidas por la entidad y la asignación de los recursos corresponden a las funciones misionales definidas en la Ley y en los estatutos de las ESP, e igualmente si ha dado cumplimiento a sus planes y programas con adecuada asignación de los recursos. Se plantea la necesidad de evaluar en una ESP: • La gestión de proyectos de inversión. • La participación colectiva de la alta dirección en el diseño del mapa estratégico

de la organización. • La interiorización de los objetivos y estrategias organizaciones por parte de

cada uno de los colaboradores. • El reconocimiento por parte de los funcionarios que ejecutan cada actividad,

del cómo su tarea contribuye al cumplimiento de las estrategias organizacionales.

• Evaluación de las determinaciones de las Juntas Directivas. • Evaluación de los criterios y de los insumos que se tuvieron en cuenta para la

toma de decisiones. Y para evaluar todos los aspectos contemplados, se propone una estrategia de auditoría que debe contener como mínimo los siguientes elementos: 1. Plantear los Objetivos de la auditoría:

37

Ejemplo. Determinar si los resultados alcanzados por la ESPD XX, reflejan la debida programación de las actividades y los recursos desde su aprovisionamiento, distribución y aplicación, hasta la prestación del servicio. 2. Reconocer las Fuentes de Criterios: Se debe recocer la información básica que se requiere para evaluar la gestión de las ESPD; entre otras se señalan: • Plan Nacional de Desarrollo / Plan territorial (municipal, departamental o

distrital) de Desarrollo. • Plan Estratégico. • Plan de Acción. • Buenas Prácticas Administrativas. • Buenas Prácticas Comerciales. • Actas de Junta Directiva. • Actas de Asamblea de accionistas • Estatutos. • Directivas Presidenciales. • Código de Buen Gobierno. 3. Plantear los criterios (deber ser): • Debe existir concordancia entre los objetivos y políticas de la ESPD frente a los

del sector y subsector. • Debe existir relación entre los recursos, actividades y productos ofrecidos,

frente a los resultados obtenidos. • El uso de los recursos humanos, físicos y financieros debe ser acorde con el

volumen de servicios o productos ofrecidos. • Las acciones y estrategias consideradas para solucionar las dificultades

coyunturales presentadas en la ejecución de los planes deben tomarse en forma oportuna.

• La calidad y cobertura de los servicios debe ser consistente con la misión y objetivos estratégicos de la entidad.

• El cumplimiento de los principios de la función administrativa y de la gestión fiscal es inherente al papel que desempeñan las ESPD.

• Debe existir coherencia de los planes y programas de la entidad con el Plan Nacional de desarrollo / Plan de desarrollo del ente territorial.

4. Definir las estrategias y procedimientos de auditoría: El auditor con base en el encargo y alcance de la auditoría debe presentar un Programa de auditoría. Para el desarrollo de esta variable se propone como guía el siguiente:

38

PROGRAMA DE AUDITORIA

PROCEDIMIENTO HE HR REF. P/T

Auditor Resp.

Verifique la existencia de los siguientes documentos: Plan indicativo o plan estratégico de la ESPD, planes de acción o documento con los proyectos, actividades y responsables de ejecutar las estrategias establecidas.

Compare lo previsto en el Plan de Desarrollo y/o en los planes propios del Sujeto de Control respectivo, con las funciones misionales definidas en la ley y los estatutos e identifique cada uno de sus objetivos.

Revise si los objetivos planteados en los planes mencionados son claramente misionales y si las metas están determinadas de manera concreta y cuantificable.

De acuerdo con la comparación anterior diligencie la tabla correspondiente - Calificación del negocio misional.

Con base en la información suministrada en la Rendición de la Cuenta y en otras fuentes oficiales, verifique y establezca el porcentaje de cumplimiento de los objetivos programados para la vigencia auditada, tanto de las contempladas en el Plan de Desarrollo como en los planes del Sujeto de Control.

De acuerdo con la comparación anterior diligencie la tabla correspondiente. Cumplimiento metas Plan Nacional de Desarrollo y Planes del Sujeto de Control.

Identifique los indicadores que tiene el Sujeto de Control, relacionados con los principios de economía, eficacia, eficiencia, equidad y aspecto ambiental.

Para los indicadores relacionados con el principio de economía, es decir aquellos que se relacionan con una definición adecuada de la necesidad de recursos en cada una de las dependencias de la organización y una adecuada adquisición, utilización y retiro de recursos, una vez cumplido su ciclo de vida (por ejemplo, rotación de inventarios (si aplica), tendencia de bajas de inventarios y activos, rentabilidad sobre activos (utilidad neta / activos), entre otros), analice su comportamiento en cuanto a tendencias y comparación con Sujetos de Control del mismo subsector, similares o su comportamiento frente al año anterior.

Diligencie en la tabla correspondiente el indicador economía.

39


Auditor Resp.

Para los indicadores relacionados con el principio de eficacia / eficiencia, como por ejemplo, número de reclamaciones recibidas por el servicio prestado / número de usuarios, rentabilidad sobre ventas (utilidad neta / ventas), tendencias de costos o gastos, analice su comportamiento en cuanto a tendencias y comparación con Sujetos de Control del mismo subsector, similares o su comportamiento frente al año anterior.

Diligencie en la tabla correspondiente al indicador eficiencia.

Para los indicadores relacionados con el principio de eficacia, como por ejemplo, grado de cobertura del servicio prestado, avance de los proyectos de inversión, analice su comportamiento en cuanto a tendencias y comparación con Sujetos de Control del mismo subsector, similares o su comportamiento frente al año anterior. Valorar la efectividad de la empresa desde el impacto generado en la prestación del servicio (cobertura / continuidad)

Diligencie en la tabla correspondiente el indicador eficacia.

Para los indicadores relacionados con el principio de equidad, como por ejemplo, extensión de servicios públicos en barrios de bajo nivel adquisitivo en proporción total de servicios públicos en barrios de similar número de habitantes y mayor nivel, analice su comportamiento en cuanto a tendencias y comparación con Sujetos de Control del mismo subsector, similares o su comportamiento frente al año anterior.

Diligencie en la tabla correspondiente el indicador equidad.

Para los indicadores relacionados con el aspecto ambiental, como por ejemplo, cumplimiento de obligaciones constitucionales y legales en materia ambiental, porcentaje de ejecución de actividades orientadas a la búsqueda de un desarrollo sostenible, tendencias de inversión proyectos o actividades de prevención, mitigación, manejo y compensación de los impactos ambientales generados, analice su comportamiento en cuanto a tendencias y comparación con Sujetos de Control del mismo subsector, similares o su comportamiento frente al año anterior.

Diligencie en la tabla correspondiente al indicador valoración de costos ambientales.

Finalice el diligenciamiento de la tabla correspondiente a Calificación de indicadores de gestión.

Verifique la realización y las determinaciones de Junta Directiva en las respectivas actas.

Evidencie los soportes sobre los cuales se toman determinaciones relevantes.

40


Auditor Resp.

HE= Horas estimadas, HR= Horas Reales

Auditor Responsable (nombres y apellidos)

Supervisor (nombres y apellidos)

Fecha:_____________________________ Fecha:___________________

Tabla 2

CALIFICACIÓN DEL NEGOCIO MISIONAL

Criterio Puntaje Parcial


Puntaje Total

Concepto de la calificación

Adecuación misional 0 0.2

Cumplimiento metas Plan de Desarrollo y/o Planes del Sujeto de Control

0 0.5

Evaluación de indicadores de gestión

0 0.3

Total

1

Tabla 3 CALIFICACIÓN ADECUACIÓN MISIONAL

Objetivo Misional Puntaje Concepto de la calificación

Promedio

Tabla 4

CALIFICACIÓN CUMPLIMIENTO METAS PLAN DE DESARROLLO Y/O PLANES DEL SUJETO DE CONTROL

41

Objetivo Misional Cumplimiento Concepto de la calificación

Promedio

Tabla 5 CALIFICACIÓN INDICADORES DE GESTIÓN

Indicador Calificación

(A)


(B)

Puntaje Total (AxB)


Economía

0.2

Eficiencia

0.2

Eficacia

0.2

Equidad

0.2

Valoración de costos ambientales

0.2

Calificación total (suma)

1

42

VARIABLE 2. EVALUACIÓN DEL SISTEMA DE CONTROL INTERNO

DEFINICIÓN: NAFP-083. EVALUACIÓN DEL SISTEMA DE CONTROL INTERNO: Se realiza durante el desarrollo de la modalidad de auditoría regular en todo el proceso auditor. La administración debe asegurar que el Sistema de Control Interno esté definido para soportar los procesos del Sujeto de Control, también, como cada actividad de control individual satisface los requerimientos de información e impacta los recursos de tecnología de la información (TI). La administración a través de su gobierno corporativo debe asegurar la correcta diligencia de todo el personal involucrado en la administración, utilización, diseño, desarrollo, mantenimiento u operación de los sistemas de información. Para evaluar los anteriores aspectos, se ejecutan procedimientos que permitan obtener una comprensión de cada uno de los cinco (5) componentes del control interno — el ambiente de control, evaluación de riesgo, actividades de control, información y comunicación y monitoreo. La comprensión del control interno a nivel de Sujeto de Control forma los cimientos para la ejecución de varios objetivos que, en conjunto, proveen una comprensión detallada de los controles del Sujeto de Control y permiten diseñar los procedimientos de auditoría. En las modalidades de auditoría especial no procede una evaluación del sistema de control interno como tal, sino sobre los mecanismos de control interno de las áreas evaluadas, sin llegar a una calificación general sobre el sistema de control interno. El modelo de evaluación del sistema de control interno adoptado por la CGM, permite examinar, evaluar y calificar el control interno de los sujetos de control independientemente si está estructurado bajo el modelo estándar de control interno MECI, COSO u otro estándar. En la fase de planeación, se evaluará la existencia y aplicación de los controles generales existentes, con el fin de conceptuar si hay una adecuada conceptualización del sistema de control interno, lo que permitirá obtener una comprensión de su estructura y valorar su grado de confiabilidad. Esta evaluación tiene como propósito, identificar los riesgos institucionales, fijar de manera real el

3 NAFP: Normas de Auditoría Fase de Planeación – Audite 4.0

43

alcance de la auditoría y la aplicación de los programas que serán aplicados en la fase de ejecución. En la fase de ejecución a través de pruebas sustantivas o de detalle se evaluará la operatividad del Sistema de control interno, examinando si los controles específicos son efectivos para conceptuar sobre el nivel de eficiencia del Sistema. ESTÁNDARES RELACIONADOS: NIA 300, 315, 330 Evaluación de Riesgos y Control Interno INTOSAI – Capítulo III – Numeral 3.3 Examen y evaluación del Control Interno NAFP-08 Evaluación del Sistema de Control Interno NTCGP 1000:2004/2009 Entender los componentes de control interno: Los siguientes son los cinco componentes interrelacionados que son base para un adecuado sistema de control interno:

Ambiente de Control • Influencia de la organización para definir el nivel de concientización que

respecto a los controles tengan los funcionarios. • Influencia hacia los valores de integridad, ética, competencia, autoridad y

responsabilidad. • Base para todos los otros componentes de control. Evaluación del Riesgo • Identificación y análisis de riesgos relevantes para la consecución de los

objetivos del Sujeto de Control.

44

• Forma la base para determinar las actividades de control. Actividades de Control • Políticas / procedimientos que aseguran que las directrices de la

administración sean ejecutadas. • Incluyen definiciones y controles sobre: aprobaciones, autorizaciones,

revisiones de desempeño y segregación de funciones. Información y Comunicación • Información pertinente, si es identificada, suministrada y comunicada en

forma oportuna.(divulgación) • Controles sobre el acceso a información generada interna como

externamente. • Flujo de información que permite acciones de control Monitoreo • Evaluación del desempeño del sistema de control interno. • Indicadores de Gestión • Control ejercido dentro del proceso • Actividades de auditoría interna.

PROGRAMA DE AUDITORÍA


Auditor Resp.

Comprender el Control Interno del Sujeto de Control y los beneficios de las TI en los 5 componentes

Comprender los controles específicos a nivel de procesos y subprocesos para someterlos a pruebas de validación

Realizar la evaluación conceptual, a través de la aplicación del cuestionario de evaluación del SCI

Realizar la evaluación de la operatividad del SCI, a través del evaluación de los riesgos del control mediante pruebas de recorrido, y realizar pruebas detalladas sobre los controles

Consolidar la calificación final del SCI

Comprender el Control Interno del sujeto de control: Obtener una suficiente comprensión del control interno de la entidad incluye conocer la visión que tiene la administración sobre los componentes de control

45

interno y la importancia que tiene para facilitar el logro de los objetivos misionales de la entidad. Este conocimiento implica que el Equipo Auditor deberá evaluar el diseño de los controles generales del Sujeto de Control importantes para la auditoría, y determinar si esos controles son aplicados. Adicionalmente, al obtener una comprensión del control interno a nivel de Sujeto de Control, también se deberá comprender cómo la Tecnología de la Información TI afecta los cinco componentes de control interno. El uso de TI por parte de los Sujetos de Control puede afectar cualquiera de los cinco componentes de control interno relevantes al logro de los objetivos misionales y de información financiera. El uso de TI provee beneficios potenciales de eficacia y eficiencia para el control interno de los sujetos de control porque les permite aplicar consistentemente las reglas de negocios predefinidas y ejecutar cálculos complejos al procesar altos volúmenes de transacciones o datos; mejora la oportunidad, disponibilidad, y exactitud de la información; facilita el análisis adicional de información; mejora la habilidad de monitorear la ejecución de sus políticas y procedimientos; reduce el riesgo que los controles sean ignorados; y mejora la capacidad de lograr la segregación eficaz de funciones al implementar controles de seguridad. La utilización de TI también presenta riesgos específicos a la eficacia del control interno de los sujetos de control porque se puede confiar en sistemas o programas que están procesando datos incorrectamente. Los riesgos adicionales incluyen dejar de hacer cambios necesarios a los sistemas o programas y la posibilidad de que personal de TI obtenga privilegios de acceso más allá de los necesarios para ejecutar sus funciones asignadas deteriorando así la segregación de funciones. El acceso no autorizado a los datos puede resultar en la destrucción de datos, cambios inapropiados a los datos, cambios no autorizados en los archivos maestros, cambios no autorizados de sistemas o programas, intervención manual inapropiada y pérdida potencial de datos o imposibilidad de acceso requerido a datos. Finalmente la evaluación de control interno permite establecer el nivel apropiado de confianza que se dará al Sistema de Control Interno y como este impacta en la definición de la estrategia y alcance del proceso auditor. Comprender los controles específicos: El Equipo Auditor debe comprender en forma adecuada como la entidad tiene establecidos los controles específicos a nivel de procesos y subprocesos. Cuando se analizan los controles específicos que tiene implementados el Sujeto de Control estos se pueden relacionar en su gran mayoría con cada uno de los cinco componentes del Sistema de Control Interno.

46

La comprensión de dichos controles facilitará al Equipo Auditor identificar como la entidad se asegura que el Sistema de Control Interno este incorporado en cada una de las actividades ejecutadas en virtud de su objeto misional. Una vez se comprenden los controles específicos del sujeto de control, el Equipo Auditor deberá someterlos a pruebas con el fin de validar si su diseño es adecuado y su correcta aplicación. El proceso de comprensión de los controles específicos se puede lograr de una manera más eficaz y eficiente cuando se involucra a todos los miembros del Equipo Auditor tanto en la fase de Planeación como la de Ejecución, compartiendo el conocimiento previo que se tenga del sujeto de control y resaltando los aspectos particulares referentes a su sistema de control interno. Evaluar la efectividad del sistema de control interno: Una vez el Equipo Auditor ha comprendido el Sistema de Control Interno de la Entidad y ha identificado los controles específicos a nivel de procesos y/o transacciones dentro del Sujeto de Control, deberá aplicar la metodología de evaluación definida por la Contraloría General del Municipio de Manizales, con el fin de determinar la efectividad del sistema y conceptualizar sobre la calidad y eficiencia del Sistema de Control Interno. METODOLOGÍA DE EVALUACIÓN: El modelo adoptado por la Contraloría General del Municipio de Manizales para la evaluación y calificación del sistema de control interno en las ESP, es un instrumento que permite a los auditores determinar durante el desarrollo del proceso auditor, el grado de confianza que éstos puedan depositar en los mecanismos de control implementados por el Sujeto de Control, establecer la profundidad de las pruebas de auditoría y soportar el concepto que se emita por parte de la Contraloría General del Municipio de Manizales, sobre la calidad y eficiencia del Sistema de Control Interno. La evaluación del Sistema de Control Interno se realiza en dos etapas: La primera corresponde a la Evaluación Conceptual que se realiza a los controles generales de control interno, esta evaluación es realizada en la Fase de Planeación y la segunda corresponde a la Evaluación de la Operatividad sobre controles aplicados a las actividades que se encuentran dentro de los procesos y transacciones representativas del Sujeto de Control, esta calificación se realiza tanto en la Fase de Planeación como de Ejecución. El resultado de la calificación del Sistema de Control Interno se presenta en el Informe Final en dos calificaciones, la primera corresponderá a la Evaluación Conceptual en la cual se debe establecer si el Sistema de Control Interno es adecuado o inadecuado y la segunda corresponderá a la Evaluación de la

47

Operatividad en la cual se determinará la calidad y eficiencia del Sistema de Control Interno. 1. EVALUACIÓN CONCEPTUAL: Consiste en la verificación sobre los controles generales que tiene implementado el sujeto de control de acuerdo con cada uno de los cinco componentes del control interno (ambiente de control, evaluación de riesgo, actividades de control, información y comunicación y monitoreo). Para realizar esta evaluación la CGR ha definido por cada uno de los componentes de control un número determinado de criterios que permiten evaluar la existencia y aplicación del control que se pretende evaluar.

Gráfico 1 – Metodología de Evaluación Conceptual del Sistema de Control Interno La aplicación del cuestionario debe ser realizada directamente por el auditor de mayor experiencia y debe ejecutarse de manera presencial con el sujeto de control (Se recomienda la aplicación de pruebas corroborativas). Las personas de la entidad que se requieren para realizar esta evaluación, deberán

48

corresponder a niveles directivos, quienes pueden brindar la mayor información posible respecto al control interno en cada una de las áreas que gerencian. El resultado de la Evaluación Conceptual determinará en el Informe Final si el Control Interno es Adecuado o Inadecuado y para el desarrollo del proceso auditor le permitirá al Equipo Auditor definir si confía o no en el Sistema de Control Interno.

Criterios para la evaluación conceptual: Para la evaluación conceptual del control interno se deben considerar los siguientes criterios: a. Valor porcentual por componente La Contraloría General del Municipio de Manizales para cada uno de los componentes del sistema de control interno ha definido un peso porcentual de acuerdo con el grado de importancia que tiene cada componente en un Sistema de Control Interno:

Tabla 6 MATRIZ DE CALIFICACIÓN POR COMPONENTES

COMPONENTE PORCENTAJE

Ambiente de Control 20 Valoración del riesgo 20 Actividades de Control 20 Monitoreo 20 Información y Comunicación 20 Total 100

Cada componente contiene los elementos sobre los cuales la Contraloría General del Municipio de Manizales ha diseñado un número determinado de preguntas que permite la evaluación del sistema de control interno compatible con los requerimientos del COSO, de los diferentes Sujetos de Control que son auditados por la Contraloría General del Municipio de Manizales. Si el auditor o el Equipo Auditor consideran que deben adicionarse criterios de evaluación a un componente, éstos igualmente serán calificados de acuerdo con la escala de evaluación y se deberán sumar como un criterio más para el cálculo del promedio de la calificación del respectivo componente.

49

La evaluación de cada uno de los componentes del control interno se realiza de manera directa por el Equipo Auditor con el sujeto de control, la evidencia que se requiere para cada procedimiento ejecutado deberá solicitarse en el momento de la evaluación (pruebas corroborativas) y documentarse en papeles de trabajo que incluya: • Componente de control interno evaluado • Respuesta del sujeto de control • Documentación evidenciada que soporta la aplicación del control Papel de Trabajo: Cuestionario Evaluación Conceptual Sistema Control Interno b. Calificación de los componentes de control interno La calificación de cada componente se realiza de acuerdo con las evaluaciones que se aplican a las preguntas definidas por la Contraloría General del Municipio de Manizales, teniendo en cuenta los siguientes criterios: Existencia formal de los controles: Cada control que la entidad ha definido deberá estar documentado y formalizado. Cada componente contiene un número de criterios o preguntas para responder, “SI” o “NO”.

• Para los criterios de cada componente que existan formalmente, asigne una “x” en la columna “existencia formal de los controles = 0”, esto significa que la respuesta es "SI", para lo cual el ejecutable les asigna una calificación de "0" cuando existen.

• Para los criterios de cada componente que no existan formalmente, asigne

una “x” en la columna “no existe formalmente el control = 1”, esto significa que la respuesta es “NO”, para lo cual el ejecutable les asigna una calificación de “1” cuando no existen.

En este primer evento lo que se valora por el Equipo Auditor es la existencia formal del control o la Inexistencia del mecanismo de control, mecanismo que permite determinar el enfoque de auditoría. Aplicación de los controles: A los criterios de cada componente relacionados con la aplicación del control se les asigna:

50

• Para los criterios de cada componente que existan formalmente y se aplican, asigne una “x” en la columna “se aplica = 0”, esto significa que la respuesta es “SI”; el ejecutable les asigna una calificación de "0" cuando se aplican.

• Para los criterios de cada componente que existan formalmente pero que no

se aplican, asigne una “x” en la columna “no se aplica = 1”, esto significa que la respuesta es “NO”; el ejecutable les asigna una calificación de "0" cuando no se aplican.

• Para los criterios de cada componente que no existan formalmente pero que

el sujeto de control aplica un mecanismo de control no documentado, asigne una “x” en la columna “se aplica = 0”, esto significa que la respuesta es “SI”; el ejecutable les asigna una calificación de "0" cuando se aplican.

• Para los criterios de cada componente que no existan formalmente y que el

sujeto de control tampoco aplica un mecanismo de control, asigne una “x” en la columna “no se aplica = 1”, esto significa que la respuesta es “NO”; el ejecutable les asigna una calificación de "1" cuando no se aplican.

Para validar si se aplica el control, el Equipo Auditor deberá solicitar la documentación soporte que sea del caso y verificar que exista evidencia de la ejecución del control objeto de validación. c. Consolidación de la calificación Una vez se califica en la evaluación conceptual los aspectos de Existencia y Aplicación para cada criterio de control, se deberá consolidar el resultado para cada componente de control interno con el fin de determinar el nivel de riesgo. El ejecutable consolida bajo los siguientes parámetros: • Para cada concepto “existencia” y “aplicación” de controles realiza sumatoria

de las preguntas calificación con respuesta “NO”. • Para efectos de definir el nivel de riesgo de cada componente se han definido

los siguientes valores:

Porcentaje Escala de Riesgo <17% Bajo

17% < 34% Medio >34% Alto

51

• El concepto de “existencia” tiene una importancia del 30% sobre el total del riesgo.

• El concepto de “aplicación” tiene una importancia del 70% sobre el total del

riesgo. • El resultado de la sumatoria de cada pregunta se multiplica por el porcentaje

de ponderación del concepto (“existencia” ó aplicación”) y se divide por el número de preguntas correspondientes al componente.

• El nivel de riesgo por componente será la sumatoria de los resultados

obtenidos por concepto de “existencia” y “aplicación” de los controles. • El nivel de confianza en el sistema de control interno se determina realizando

la sumatoria del puntaje establecido para cada uno de los cinco componentes y clasificando el resultado en los siguientes rangos:

Tabla 7

CALIFICACIÓN EVALUACIÓN CONCEPTUAL

Porcentaje Escala de riesgo

Resultado de la Evaluación Conceptual del Sistema de Control Interno

Para Informe Para el Proceso

Auditor

<17% Bajo Adecuado Confiable

17% < 34% Medio

>34% Alto Inadecuado No Confiable 2. EVALUACIÓN DE LA OPERATIVIDAD: Para efectuar la evaluación el Equipo Auditor deberá validar que los controles específicos establecidos por el Sujeto de Control son adecuados, mitigan los riesgos para los cuales fueron establecidos y de acuerdo con las pruebas realizadas en la Fase de Ejecución, los controles específicos se aplican de manera adecuada.

52

Gráfico 2 – Metodología de Evaluación de la Operatividad del Sistema de Control Interno Ver papel de trabajo: Formato Evaluación Sistema Control Interno Operatividad La verificación debe permitir al Equipo Auditor determinar si los controles generales se reflejan de manera adecuada sobre cada uno de los controles específicos a nivel proceso y transacción. El resultado de la Evaluación de la Operatividad determinará la calidad y eficiencia del Sistema de Control Interno a incluir en el Informe Final y para efectos del trabajo del proceso auditor definirá si debe aumentar o no el alcance de sus procedimientos de auditoría.

Criterios para la evaluación de la operatividad: Para verificar si los controles específicos son adecuados o no, el Equipo Auditor debe considerar dos aspectos: a. Evaluación riesgo de control A partir de las pruebas de recorrido realizadas por el Equipo Auditor (Ver Numeral 3.9.3 Efectuar Pruebas de recorrido4), se establecen si los controles se encuentran diseñados de manera adecuada y si mitigan el riesgo para el cual el sujeto de control los definió. Para lo cual el Auditor debe tomar los resultados de la evaluación del riesgo de control realizada de manera previa y documentada en

4 Audite 4.0

53

la Matriz de Riesgos y Controles en la columna denominada “Evaluación Riesgo de Control”. Los Resultados del Riesgo de Control corresponderán a conceptos de Mínimo, Moderado y Máximo y para efectos de cuantificar su resultado, su equivalencia numérica es:

Evaluación del Riesgo de Control

Puntaje

Mínimo 1 Moderado 2 Máximo 3

b. Resultados de las pruebas Una vez el Equipo Auditor ha realizado las pruebas detalladas sobre los controles (Ver Capítulo 4.4. Ejecutar pruebas sobre controles) que identificó en la Fase de Planeación, deberá determinar si los controles son aplicados de manera adecuada por el Sujeto de Control y mitigan los riesgos asociados con ellos. Los controles que fueron probados y sus resultados se encuentran documentados en el Formato Matriz Riesgos y Controles, en la columna denominada “Resultado de Evaluación del control probado en la ejecución”. (Ver capítulo 4.4 Aplicar pruebas de auditoría). Los resultados de la evaluación del control probado se describen como Bajo, Medio y Alto (Ver definición de conceptos en el capítulo 4.4 Aplicar pruebas de auditoría de la Fase de Ejecución) y su calificación en términos cuantitativos es:

Resultado del Control Probado

Puntaje

Alto 1 Medio 2 Bajo 3

Alto: Es un control fuerte y cumple con sus objetivos. Medio: El control presenta desviaciones pero No afectan significativamente el

cumplimiento del objetivo del control. Bajo: El control no cumple con sus objetivos. Una vez el Equipo Auditor tiene los resultados de las evaluaciones de Riesgo de Control y el Resultado de la Pruebas, deberá consolidar la información en el Papel de Trabajo para la Evaluación de la Operatividad del Sistema de Control Interno.

54

c. Consolidación de la calificación Una vez se califican los aspectos de Riesgo de Control y el Resultado de la Pruebas para cada control, se deberá consolidar el resultado con el fin de determinar la calidad y eficiencia del sistema de control interno. La consolidación se ejecuta bajos los siguientes parámetros: • De acuerdo con el puntaje asignado a cada calificación cualitativa de los

criterios Riesgo de Control y el Resultado de la Pruebas, se realiza sumatoria correspondiente.

• Cada uno de los criterios Riesgo de Control y el Resultado de la Pruebas se ponderan en un 50% sobre el total de la calificación.

• Para efectos de definir el nivel en el cual se considera eficiente o deficiente el

sistema de control interno, se ha definido los siguientes valores:

Tabla 8 CALIFICACIÓN EVALUACIÓN DE LA OPERATIVIDAD

Total Puntaje Calificación

<2 Eficiente =>2 Ineficiente

• Por cada criterio (“Riesgo de Control y el Resultado de la Pruebas”) se realiza la sumatoria de los puntajes asignados a cada control evaluado, el resultado se multiplica por el porcentaje de ponderación de cada criterio y se divide por el número de controles que fueron evaluados.

• El nivel de eficiencia o ineficiencia para el sistema de control interno será la sumatoria de los resultados obtenidos por cada criterio (“Riesgo de Control y el Resultado de la Pruebas”). Ver capítulo 4.4 Aplicar pruebas de auditoría de la Fase de Ejecución. Evaluación del Sistema de Control Interno: El Equipo Auditor calificará el Sistema de control interno, de acuerdo con los resultados obtenidos al evaluar su operatividad y su diseño conceptual, como se muestra en la siguiente tabla:

55

Tabla 9 CALIFICACIÓN FINAL DEL SISTEMA DE CONTROL

CALIFICACIÓN DEL SISTEMA

Evaluación de la operatividad del SCI

Ineficiente Eficiente

Evaluación conceptual del SCI

Adecuado 30 100

Inadecuado 0 50 Como se observa 100 puntos es el máximo puntaje obtenido y 0 es el mínimo.

56

VARIABLE 3. SEGUIMIENTO A PLANES DE MEJORAMIENTO

DEFINICIÓN: Se entiende por plan de mejoramiento, el conjunto de las acciones correctivas o preventivas que debe adelantar un sujeto de control fiscal en un período determinado, para dar cumplimiento a la obligación de eliminar las causas que dieron origen a los hallazgos de auditoría identificados por la Contraloría General del Municipio de Manizales, como resultado del ejercicio del proceso auditor, con el fin de adecuar la gestión fiscal a los principios de economía, eficiencia, eficacia, equidad o mitigar el impacto ambiental. La acción de mejoramiento es la medida que propone adoptar el sujeto de control con el fin de eliminar la causa o causas que originan las deficiencias o riesgos identificados por la Contraloría General del Municipio de Manizales. Es conveniente la inclusión de acciones correctivas y/o preventivas, de tal manera, que permitan la solución definitiva de las situaciones detectadas. Las acciones de mejoramiento y sus respectivas actividades son mejoras que la administración introduce a los procesos o actividades de la organización para garantizar que lo planteado en el hallazgo no vuelva a suceder. En la formulación de estas mejoras no se les debe confundir con el proceso mismo. Cuando en un plan de mejoramiento se proponen actividades permanentes es porque se ha cometido el error de plantear como mejora, el desarrollo de un proceso como se describe en el siguiente ejemplo: “Las conciliaciones bancarias no están al día” la acción correctiva planteada “hacer el 100% de las conciliaciones bancarias todos los días, plazo de ejecución permanente”. En aras de la simplicidad es importante considerar lo siguiente: • A cada hallazgo corresponde una o varias acciones de mejora de acuerdo

con su naturaleza y complejidad. • Cada acción de mejora debe tener una o varias actividades mediante las

cuales se pueda cuantificar, medir y evidenciar el grado de avance y cumplimiento de la acción.

Asimismo, una acción de mejora puede resolver los problemas de varios hallazgos de la misma naturaleza. NAFE-06 SEGUIMIENTO AL PLAN DE MEJORAMIENTO: La Contraloría respectiva efectuará el seguimiento a las acciones preventivas y correctivas que

57

sean necesarias de acuerdo con los resultados de la auditoría para garantizar el mejoramiento continuo de los vigilados. El equipo de auditoría con adecuadas labores de coordinación y supervisión y a través de pruebas corroborativas o de detalle verificará el cumplimiento, el avance y la efectividad de las acciones de mejora adoptadas por el sujeto de control. Para efectuar el seguimiento y verificar el cumplimiento, el avance y la efectividad de las acciones previstas en el Plan de mejoramiento único, los equipos de auditoría deben verificar que el mismo corresponda al último plan con pronunciamiento sin observacionessuscrito con por parte de la Contraloría respectiva, para lo cual coordinarán con la instancia competente encargada de la administración del Plan de mejoramiento.

Tabla 10 CALIFICACIÓN CUMPLIMIENTO PLANES DE MEJORAMIENTO

Plan de Mejoramiento Nivel de

cumplimiento Factor de

Ponderación

Resultado (Cumplimiento x Porcentaje)

Contraloría respectiva 0.5 Otros entes de control 0.5 Total 1

Nota: En caso de que no se cuente con Plan de Mejoramiento vigente con la Contraloría respectiva, el factor de ponderación total se aplicará a los suscritos con otros entes de control.



Auditor Resp.

Verifique la existencia de Plan de Mejoramiento con el sujeto de control.

Corrobore el nivel de avance de cada una de las acciones propuestas para subsanar los hallazgos detectados, haciendo uso de la matriz adoptada para tal fin.

Emita su concepto basado en el resultado del cumplimiento, determinando el cumplimiento o no del Plan en vigencia.

58


Auditor Resp.

Solicite los planes de mejoramiento o acción suscritos con los organismos de control interno y externo que se encuentren vigentes.

Verifique que se encuentren debidamente suscritos y tome una muestra selectiva para verificar su nivel de cumplimiento.

Emita su concepto sobre el grado de cumplimiento de los planes de mejoramiento o acción suscritos con otros organismos de control.

Con base en lo anterior la Verificación del Cumplimiento del Plan de Mejoramiento, tendrá dos momentos: 1. Evaluar el Nivel de Cumplimiento del Plan de Mejoramiento suscrito con

la Contraloría respectiva

Durante la fase de ejecución el equipo auditor deberá, revisar el formato Seguimiento planes de mejoramiento del Sujeto de control y allí identificar el grado de avance de las actividades, el cual se encuentra en la columna “Avance físico de ejecución de las Actividades”. Una vez realizado lo anterior, el equipo debe verificar que el avance reportado en el formato sea verídico, solicitando la documentación o el soporte que demuestra el cumplimiento de la meta determinada por el Sujeto de control. En la evaluación se determina el porcentaje de cumplimiento de las metas físicas propuestas, cuyo plazo de ejecución se encuentre cumplido a la fecha de evaluación. La duración en semanas de cada meta, se utilizará como factor ponderador de la importancia específica de cada meta, dentro del plan de mejoramiento, atribuyendo un punto a cada una de las metas propuestas por cada semana de duración de las mismas. Ver metodología Audite para evaluar planes de mejoramiento. 2. Verificar el cumplimiento de los Planes de Mejoramiento suscritos con

otros entes de control internos o externos. La Contraloría respectiva, propendiendo por un Sistema Unificado de Control Gubernamental, verificará el cumplimiento de los planes de mejoramiento con otros entes de control internos y externos que se encuentren vigentes al momento de realizar la auditoría.

59

Para el efecto, se solicitarán los planes de mejoramiento o de acción suscritos con los diferentes entes de control externos e internos y se procederá a verificar el avance de los mismos y los seguimientos realizados por la entidad. De lo anterior se dejará constancia en la matriz de verificación dispuesta para ello. EVALUACIÓN DEL AVANCE Y CUMPLIMIENTO DE LOS PLANES DE MEJORAMIENTO: Mecanismos de seguimiento: La Contraloría respectiva programará seguimiento a los Planes de Mejoramiento suscritos, y se pronunciará sobre el avance de los mismos. Evaluaciones periódicas: La Contraloría General del Municipio de Manizales hará evaluaciones sobre el cumplimiento y avance del plan de mejoramiento vigente a la fecha de evaluación, para ello podrá basarse en el informe semestral enviado por el representante legal. Se entiende por cumplimiento del plan de mejoramiento el logro de las metas propuestas dentro de los plazos establecidos, de acuerdo con los lineamientos establecidos por la Contraloría respectiva. Concepto: La Contraloría respectiva, en ejercicio del proceso auditor aplicado mediante sus modalidades de auditoría, emitirá concepto sobre el nivel de cumplimiento, avance de los compromisos adquiridos y la efectividad de las acciones implementadas en el plan de mejoramiento.

Cuándo utilizar el diagrama causa-efecto:

El equipo auditor podrá utilizar esta herramienta cuando necesite llevar a cabo un análisis de los hallazgos u oportunidades de mejora en los Sujetos de control y analizar la definición y cumplimiento del plan de mejoramiento. Incumplimiento del Plan de Mejoramiento: En los casos de incumplimiento del requisito de integridad o incumplimiento del plan, determinados en las evaluaciones desarrolladas de acuerdo con la metodología establecida por la Contraloría General del Municipio de Manizales, se les iniciará un proceso sancionatorio al representante legal y a los gestores fiscales respectivos. En consecuencia se podrán aplicar las sanciones a que se refiere el capítulo V de la Ley 42 de enero 26 de 1993.

60

VARIABLE 4. GESTIÓN DEL TALENTO HUMANO

DEFINICIÓN: Para conceptuar sobre la administración del Talento Humano es necesario calificar la gestión del Sujeto de Control frente a los criterios descritos en la siguiente tabla, con un puntaje entre 0 y 100, en la cual cero es totalmente insatisfactorio y 100 satisfactorio, calificación que se obtendrá en mesa de trabajo, del promedio de la calificación dada por el Líder de auditoría y cada uno de los miembros del Equipo Auditor.

Tabla 11

CALIFICACIÓN DE LA GESTIÓN DEL TALENTO HUMANO

Criterio Calificación

parcial Factor de

Ponderación Puntaje Total


Cumplimiento normativo 0.25

Gestión para desarrollar las competencias del talento humano

0.25

Contratación de prestación de servicios personales 0.25

Clima Laboral (bienestar laboral) 0.25

Puntaje total 1

Una vez aplicados los instrumentos desarrollados por el auditor para validar los factores de calificación, se procede a calificar cada criterio entre 0 y 100, obteniendo al final una calificación de gestión de TIC cuyo concepto puede ser: FAVORABLE: Entre 80 y 100 FAVORABLE CON OBSERVACIONES: Entre 60 y 79,9 DESFAVORABLE: Inferior a 60 En el criterio de cumplimiento normativo se analizará el acatamiento de las normas aplicables a todas las situaciones laborales y prestacionales referentes a la administración del talento humano, como selección, contratación, vacaciones, licencias, prestaciones sociales y retiro, entre otros. El equipo auditor se deberá

61

basar en los resultados de las pruebas realizadas en la evaluación de los estados contables referentes a nómina. En el criterio de gestión para desarrollar las competencias del talento humano, se analizarán los temas relacionados con Hojas de vida y ajuste del personal con respecto al manual de funciones, promoción, mejoramiento, capacitación y evaluación del desempeño. En cuanto a la contratación de prestación de servicios personales, se analizará la pertinencia de las contrataciones y su relación con el cumplimiento de las labores misionales de la organización. Para evaluar este criterio el equipo auditor deberá tomar muestra de contratos de prestación de servicios y realizar la evaluación. Clima Laboral: Se analizará el clima laboral relacionado con el bienestar del personal. Se observarán variables tales como: remuneración y beneficios, comunicación organizacional, plan de incentivos, condiciones de trabajo, entre otros. Se propone mediar mediante Indicadores de gestión los siguientes aspectos: • La Gestión por Competencias (eficacia, eficiencia y efectividad) • Las acciones de formación y su impacto en la mejora del proceso (efectividad) • La retroalimentación de la capacitación (eficiencia) • La eficiencia laboral (eficiencia) • El número de empleados por cada 1000 usuarios (efectividad) • Salud Ocupacional (Eficiencia, eficacia y efectividad) • Bienestar laboral (eficiencia) • El impacto de la inducción y la reinducción (efectividad).



Auditor Resp.

Solicite y verifique que los manuales de funciones y procedimientos sean evaluados y actualizados periódicamente.

Mediante la revisión selectiva de hojas de vida verifique que el personal vinculado a la entidad tenga el perfil requerido para el cargo, los requisitos y la experiencia mínima, establecidos en el manual de funciones o normas afines; y la distribución de la asignación académica y la de los administrativos.

62


Auditor Resp.

Verifique que las hojas de vida se encuentren debidamente archivadas con las normas que rigen la materia.

Solicite las políticas, planes, programas de bienestar social y capacitación, teniendo en cuenta las necesidades de los funcionarios.

Verifique los Procedimientos utilizados por la entidad para el otorgamiento de los permisos, licencias y vacaciones de los empleados, y si han reportado oportunamente las novedades e irregularidades del personal.

Solicite al área encargada, el registro de las personas que durante la vigencia participaron en los programas de capacitación, y Confronte si la capacitación impartida se focalizó a atender las necesidades.

Solicite la nómina de personal y verifique que esté debidamente autorizada, certificada y firmada por los funcionarios. Confronte esta información con la planta de personal legalmente autorizada y las novedades que pudiesen presentar.

Analice la cantidad de personal vinculado por contrato de prestación de servicios y constate la necesidad de dicho servicio.

Use el cuadro de calificación la gestión del talento humano, estableciendo el cumplimiento normativo, la gestión para desarrollar competencias y la contratación de servicios personales

63

VARIABLE 5. CONTROL SOCIAL PARTICIPATIVO

DEFINICIÓN: En desarrollo del artículo 209 de la constitución nacional, la legislación ha reconocido a las empresas prestadoras de servicios públicos domiciliarios, derechos y prerrogativas de autoridad pública y como particulares que desempeñan funciones administrativas pueden dictar verdaderos actos administrativos, susceptibles de los recursos gubernativos previstos en el Código Contencioso Administrativo. No obstante, las empresas de servicios públicos domiciliarios deben regirse por el derecho privado en términos generales, el procedimiento para conocer y decidir en cuanto a las peticiones, quejas, reclamos y recursos es de carácter público.

Tabla 12 CALIFICACIÓN DEL CONTROL SOCIAL PARTICIPATIVO

La calificación otorgada a esta variable estará definida por los siguientes criterios:


parcial Factor de



Cumplimiento normativo 0.25

Cumplimiento de políticas y procedimientos establecidos en torno al Control Social Participativo

0.25

Calidad y oportunidad en las respuestas a las PQR 0.25

Efectividad de los mecanismos e instrumentos de participación puestos al servicio del usuario

0.25

Puntaje total 1

Una vez aplicados los instrumentos desarrollados por el auditor para validar los factores de calificación, se procede a calificar cada criterio entre 0 y 100, obteniendo al final una calificación de gestión de TIC cuyo concepto puede ser: FAVORABLE: Entre 80 y 100 FAVORABLE CON OBSERVACIONES: Entre 60 y 79,9 DESFAVORABLE: Inferior a 60

64



Auditor Resp.

Verifique que esté formalmente constituido el Comité o Comités de Desarrollo y Control Social de los Servicios Públicos Domiciliarios, de conformidad con la normatividad vigente. Solicite evidencia documental del cumplimiento de sus funciones, relacionadas con: • Proponer a las E.S.P. los planes y programas que

consideren necesarios para resolver las deficiencias en la prestación de los servicios públicos domiciliarios.

• Estudiar y analizar el monto de los subsidios que debe conceder el municipio con sus recursos presupuestales a los usuarios de bajos ingresos; examinar los criterios y mecanismos de reparto de esos subsidios; y proponer las medidas que sean pertinentes para el efecto.

Solicite las directrices adoptadas por la E.S.P., en materia de control social participativo (planes, procesos, procedimientos, políticas, manuales)

Identifique la existencia en la organización, de una Oficina o Área de Peticiones, Quejas y Recursos, y las funciones que le fueron asignadas, así como la existencia de una línea gratuita de atención al usuario.

Mediante visita administrativa, verifique que los funcionarios de la E.S.P. encargados de la atención directa a la comunidad, poseen el perfil adecuado para el efectivo desarrollo de sus actividades.

Solicite selectivamente algunos expedientes de las peticiones y recursos presentados, y verifique la conformidad del trámite y la calidad de la respuesta que se dio al quejoso o peticionario.

Aplique en visita administrativa el cuestionario sobre el procedimiento que deben seguir las oficinas de PQR de las E.S.P. para dar respuesta a los usuarios, en lo relacionado con la planeación, ejecución y control a las mismas.

Verifique en el SUI (Sistema Único de Información – SSPD) el cumplimiento de registro de información pertinente al área de control social.

Identifique la fecha de última actualización del contrato de servicios públicos, y su disponibilidad en la oficina de atención al usuario o su equivalente.

65


Auditor Resp.

Determine los mecanismos existentes en la organización para garantizar la participación activa de la comunidad en la vigilancia y veeduría de su gestión.

Identifique los proyectos vigentes, destinados a mejorar las condiciones de vida de la comunidad, su interacción con diferentes sectores económicos o sociales, y la participación de las instancias de control social en los mismos.

Relacione los mecanismos de comunicación, información, interacción y retroalimentación de la E.S.P. con la ciudadanía y la sociedad; valore su eficacia, eficiencia y efectividad.

Solicite las últimas rendiciones de cuentas a la ciudadanía y verifique su periodicidad y contenido; debe contener por lo menos la destinación de los recursos asignados, resultados de su gestión, planes y programas, relaciones con el entorno y la sociedad. Verifique que los medios de comunicación utilizados fueron adecuados para llegarle a la ciudadanía en general.

Solicite los instrumentos adoptados por la E.S.P. para evaluar la atención prestada por los servidores públicos a todas las partes interesadas.

Solicite y confronte los resultados de las encuestas de satisfacción o percepción de los usuarios, con las acciones aplicadas por la E.S.P.

66

VARIABLE 6. GESTIÓN CONTRACTUAL El equipo auditor después de revisar la muestra selectiva de los contratos que elige para auditar, debe valorar el proceso contractual asignando una calificación entre 0 y 100, en la cual cero es totalmente insatisfactorio y 100 completamente satisfactorio, de acuerdo con los criterios establecidos en la siguiente tabla:

Tabla 13 CALIFICACIÓN DE LA GESTIÓN CONTRACTUAL


parcial Factor de



Cumplimiento de las obligaciones de las ESP, ante el SICE.

0.05

Cumplimiento del proceso de planeación

0.15

Cumplimiento de la ejecución contractual (0.30) e interventoría y/o supervisión (0.25)

0.55

Cierre del contrato (0.15) y Medición del impacto (0.10)

0.25

Puntaje total

1

La calificación se obtendrá en mesa de trabajo, del promedio otorgado por el Líder de auditoría y cada uno de los miembros del Equipo Auditor. 1. CUMPLIMIENTO DE LAS OBLIGACIONES DE LAS ESP ANTE EL SICE. El equipo auditor deberá verificar el cumplimiento de las obligaciones que las Empresas de Servicios Públicos, tienen con respecto a la inscripción y reporte ante el SICE (Sistema Información para la vigilancia de la Contratación Estatal) de los contratos suscritos. Para mayor detalle, ver el Capitulo 8. Anexos numeral 8.4. Sistema de Información para la vigilancia de la Contratación Estatal – SICE del tutorial metodológico Audite 4.0.

67



Auditor Resp.

Verifique que la entidad registró los contratos dentro de las condiciones y términos establecidos en las disposiciones vigentes. Nota: Se dará por cumplida la obligación en el SICE cuando la entidad publique los contratos con precios unitarios y códigos CUBS en la imprenta Nacional u otros medios de publicación estatales.

Verifique que la entidad haya registrado el presupuesto total de la entidad, desagregado en los valores totales de inversión, funcionamiento, servicio a la deuda u operación comercial, de acuerdo con las condiciones y fechas establecidas en las disposiciones vigentes.

Verifique que la entidad haya reportado el valor total de su ejecución presupuestal, con una periodicidad trimestral durante cada vigencia fiscal, dentro de las condiciones y términos establecidos en las disposiciones vigentes.

Determine la existencia de un responsable para la detección de alarmas en el SICE y toma de decisiones.

2. CUMPLIMIENTO DEL PROCESO DE PLANEACIÓN La Empresa debe elaborar un Plan de Obras e Inversiones, el cual debe estar armonizado y articulado con el Modelo Tarifario. Así mismo, se debe determinar la capacidad de las partes para suscribir el contrato.



Auditor Resp.

Verifique la existencia y aplicación de políticas y procedimientos para la selección y contratación de proveedores.

Corrobore la aplicación de los principios de la función administrativa.

Verifique el análisis y priorización de contratos/proyectos de acuerdo con las necesidades estratégicas y operativas del Sujeto de Control.

68


Auditor Resp.

Constate la identificación de beneficios cualitativos y cuantitativos, y la definición de mecanismos para la medición y seguimiento a la realización de dichos beneficios.

Verifique la aplicación de análisis con factores objetivos y equitativos para la selección de proveedores.

Verifique que cada contrato haya sido suscrito por el funcionario debidamente autorizado mediante acto de delegación. Si requiere de autorización de Junta o Comité, se deben analizar las actas debidamente firmadas, con el fin de determinar si se dejaron consignadas las deliberaciones o decisiones al respecto; en caso contrario, se deberá indagar por las razones y el responsable de la autorización legal para contratar.

3. CUMPLIMIENTO DE LA EJECUCIÓN CONTRACTUAL E INTERVENTORÍA Y/O SUPERVISIÓN Todas las actividades desarrolladas con relación a los aspectos: Legales, técnicos, financieros, ambientales, sociales, entre otros, deben propender por el cumplimiento del Objeto Contractual. La interventoría o supervisión velará por el cumplimiento del contrato. 3.1. Cumplimiento de la ejecución contractual:

Programa de Auditoría


Auditor

Resp.

Establecer si las partes involucradas en el proceso contractual actuaron con la debida gestión, permitiendo el cabal cumplimiento de las cláusulas pactadas y las disposiciones legales que la reglamentan.

Verificar si los pagos efectuados obedecieron a lo pactado y aseguraron que el objeto contractual y el plazo cumplieron los fines o propósitos que dieron origen a su contratación.

Analizar si los responsables de la ejecución contractual, adoptaron las medidas pertinentes para ejercer control oportuno sobre el desarrollo del proceso contractual.

69


Auditor

Resp.

Establecer si los saldos por pagar registrados, corresponden a las obligaciones contractuales pactadas y pendientes de pago.

La identificación de sinergias entre diferentes contratos/proyectos y la definición de mecanismos para la materialización de las mismas.

La gestión de cambios al alcance, tiempos, costos y recursos de los contratos/proyectos y determinación del impacto de los mismos.

La gestión del avance y la definición e identificación de las rutas críticas de los proyectos/contratos, considerando las acciones preventivas y correctivas en caso de presentarse desviaciones.

La identificación de riesgos críticos de los contratos/proyectos, análisis cualitativo y cuantitativo y plan de mitigación de los riesgos.

La definición e identificación de entregables y de procedimientos para la aceptación de cada uno de los productos del contrato/proyecto.

A criterio del auditor y sobre la muestra seleccionada, realizar control físico sobre los objetos contratados.

Verificar que las adiciones y/o modificaciones estén debidamente justificadas y se hayan cumplido.

3.2. Interventoría o supervisión:



Auditor Resp.

Definición y asignación de responsables para supervisar el cumplimiento de las obligaciones acordadas en los contratos suscritos.

Los mecanismos para comprobar el cumplimiento oportuno de las obligaciones laborales contraídas en desarrollo del contrato, cuando aplique. NOTA: Esta verificación, en caso de aplicar, puede efectuarse a través de medios tecnológicos en línea y en tiempo real.

Los mecanismos para abordar el incumplimiento de los términos o condiciones contractuales.

70


Auditor Resp.

La correspondencia entre el supervisor o interventor designado y el remisor de los informes de interventoría o supervisión.

La comprobación del cumplimiento de las normas técnicas, profesionales o específicas sobre la materia objeto del contrato.

El control de calidad del objeto contratado, exigiendo el cumplimiento de normas, especificaciones, procedimientos y demás condiciones contratadas.

4. CIERRE DEL CONTRATO Y MEDICIÓN DEL IMPACTO

En esta fase se propende por medir el impacto que tienen los contratos que suscribe y ejecuta una empresa de servicios públicos para la comunidad, quien es finalmente el receptor o cliente final del servicio que se presta. 4.1. Cierre del contrato:



Auditor Resp.

Establezca si el objeto contratado alcanzó los fines previstos para satisfacer las necesidades del sujeto de control.

Compruebe si la terminación y liquidación del contrato se realizó dentro de los términos pactados o legalmente establecidos.

Si hubo ajustes de precios, determine su razonabilidad y las causas internas y externas que los ocasionaron y sus efectos.

Verifique que los bienes y/o servicios recibidos sean iguales en especie y calidad a los ofertados y contratados, es decir, que contengan las características técnicas acordadas en las cláusulas pactadas y si los bienes y/o servicios son utilizados por la entidad para los propósitos previstos.

Verifique que las partes contratantes hayan realizado los acuerdos, conciliaciones y transacciones de tal manera que garanticen la igualdad y la equidad entre derechos y obligaciones contractuales.

71


Auditor Resp.

Verifique que la liquidación se haya realizado conforme a las normas aplicables vigentes y cumpla los requisitos de forma y fondo.

Dado que en las ESP, por regirse por el derecho privado, no existe la obligación de liquidar los contratos, la anterior información puede ser verificada en los documentos que soportan los respectivos pagos, o en los documentos equivalentes que los sujetos de control generen, si les aplica. 4.2. Medición del impacto Corresponde a la percepción que el usuario final del objeto contractual tiene respecto del cumplimiento de los propósitos del mismo, en lo social, ambiental y económico. Para el efecto, se pueden utilizar técnicas como encuestas de satisfacción, u observación directa de los beneficios o perjuicios generados por la ejecución del contrato.



Auditor Resp.

Impacto ambiental: Derivado del carácter medioambiental de los objetivos o el diseño del proyecto y de los compromisos corporativos del centro tecnológico; incluye: Alivio de impactos negativos, sostenibilidad, regulación, manejo y disposición de materiales, abastecimiento, distribución y usos e información al consumidor.

Impacto social: Derivados del carácter social de los objetivos o el diseño del proyecto y de los compromisos corporativos del centro tecnológico. Impactos sobre la creación y la transformación del empleo. Incluye: calidad de vida, riesgos tecnológicos, economía con interés social, problemas sociales, participación social, relaciones sociales, compromisos éticos y sociales de los clientes, socios y proveedores.

Impacto económico: Consideraciones económicas de interés estratégico para la región. Incluye: Coherencia con la política económica, Desarrollo endógeno, Desarrollo equilibrado y, Potenciación de la ESP.

Para la verificación de cada uno de estos aspectos, es muy importante que se utilicen herramientas tecnológicas de última generación soportadas en las TICS

72

(Tecnologías de la información y las comunicaciones), que permitan a la comunidad ser parte activa para el control en línea y en tiempo real de la contratación que efectúan las Empresas de Servicios Públicos, desde la suscripción del contrato hasta el recibo de la obra, bien o servicio. Lo anterior, con el fin de contribuir con la calidad y continuidad del servicio que se presta. A partir de la utilización de dichos instrumentos se garantiza la valoración del principio de Equidad.

Otra ventaja significativa de las TICS aplicadas al control fiscal de la contratación en las Empresas de Servicios Públicos Domiciliarios, es la generación de relaciones de confianza entre el ente de control y la Empresa, ya que mediante el control en tiempo real, se pueden dinamizar acciones oportunas que contribuyan al mejoramiento y cumplimiento de los objetivos del contrato/proyecto y por ende de los objetivos estratégicos de la Organización, teniendo como fin último la satisfacción del Cliente.

73

VARIABLE 7. GESTIÓN PRESUPUESTAL Y FINANCIERA El control a la gestión financiera y presupuestal que se realiza a través de la herramienta Audite 4.0 evalúa la programación y políticas de manejo financiero, tarifas, cartera, recaudo, ventas, costo de ventas, compras, inversiones, cumplimiento normativo, ejecución de ingresos y gastos, los rendimientos financieros y la calidad en los registros contables para determinar el ajuste que tuvo la empresa a su planificación financiera y su resultado o impactos obtenidos, de forma tal que se posea un insumo que permita conceptuar si la citada gestión no sólo se desarrolló de acuerdo con la planificado sino que alcanzó los impactos positivos que a su vez sirvieron para garantizar el sostenibilidad financiera del negocio.

Tabla 14 CALIFICACIÓN DE LA GESTIÓN PRESUPUESTAL Y FINANCIERA

La calificación otorgada a esta variable estará definida por los siguientes criterios:


parcial Factor de



Cumplimiento normativo

0.20

Análisis de la planificación financiera

• Presupuesto de ingresos

• Presupuesto de gastos

• Presupuesto de inversión

0.20

Análisis de la ejecución financiera

• Presupuesto de ingresos

• Presupuesto de gastos

• Presupuesto de inversión

0.20

Análisis de resultados de indicadores (Resolución SSPD-20061300012295 de 2006)

0.20

Valoración EVA y EBITDA

0.20

74

Puntaje total

1



Auditor Resp.

Realice el análisis financiero con base en EBITDA (Earnings before Interest, Taxes, Depreciation and Amortization) como un indicador de la capacidad de generar rentabilidad en el área de negocios, sin los inconvenientes que implica la utilización de la utilidad neta, adicionalmente tanto los ingresos como los egresos deberán ser auditados teniendo en cuenta los estados de resultados y no únicamente el concepto de análisis sobre el presupuesto.

Adicional al análisis del EBITDA, evalúe aquellos indicadores financieros que dan cuenta de las variaciones que presentan los estados financieros y que muestran los riesgos asociados al capital de trabajo, inversiones de capital, costos y gastos, márgenes y rentabilidades.

Efectúe análisis prospectivo e histórico de los estados contables y los indicadores asociados que permitan reconocer la evolución financiera en el tiempo y el estado de avance del proceso hacia los objetivos.

Tenga en cuenta los indicadores de la Superintendencia de Servicios Públicos Domiciliarios para evaluar la gestión de las ESP5, de manera tal que sirvan de apoyo para un adecuado análisis de la viabilidad financiera en las diferentes empresas de servicios públicos. Los indicadores a los cuales se hace mención se encuentran en la Resolución SSPD-20061300012295 del 18 de abril de 2006 y son utilizados para evaluar la gestión y medir el nivel de riesgo de la Entidad por parte de las Auditorías Externas de Gestión y Resultados, por tanto, considerando que lo que se busca es integrar en un solo programa aquellas herramientas que sirven para una adecuada medición de las empresas, se deberían tener en cuenta dichos indicadores que sirven para analizar tanto la gestión financiera, técnica y comercial en las E.S.P.

Analice los Estados Financieros por Unidad de Negocio, evaluando el impacto de cada una de ellas en los resultados finales obtenidos y en el mismo EBITDA para tener una visión más acertada de cuáles son los que están sirviendo de apalancamiento para la Entidad.

5 Ver cuadro de indicadores, a continuación de los procedimientos de auditoría

75


Auditor Resp.

De igual forma y considerando que cada unidad de negocio ofrece servicios diferentes a la comunidad, realice un balance social de los beneficios que se le están prestando por cada tipo de actividad realizada.

Analice como factor importante, el impacto ambiental y la responsabilidad social que conlleva la utilización de recursos naturales por parte de las empresas de servicios públicos en especial las de acueducto, alcantarillado y energía eléctrica, por lo tanto mida las inversiones efectuadas en estos aspectos desde el punto de vista cuantitativo y cualitativo.

Evalúe la implementación y aplicación de tableros de control financieros, que permitan monitorear las variaciones y el impacto sobre los recursos de la organización.

Evalúe si se están generando y cómo se aplican las decisiones y políticas financieras, administrativas, operativas, comerciales y técnicas de las Juntas Directivas, analizando los insumos que fundamentan las decisiones del máximo órgano directivo de la organización.

Evalúe el aprovechamiento por parte de las ESPD, de los logros obtenidos para dinamizar su portafolio de productos y servicios, mejorar su imagen e incrementar el prestigio de su marca.

Analice las condiciones de los aportes a nivel de participación accionaria realizados por entidades públicas en las empresas de servicios públicos domiciliarios como una medida complementaria de medición adicional al EBITDA, al igual que las diferentes remuneraciones que perciban las entidades públicas como contraprestación de bienes entregados en concesión a empresas de servicios públicos.

Analice el EVA (Valor Económico Agregado) para determinar si se construye o se destruye valor.

Balance Social: Valore el impacto social de la inversión financiera, toda vez que es parte integral de la misión institucional de este tipo de empresas.

En caso de utilizarse un consolidado nacional de empresas de servicios públicos para efectos comparativos, debe tener en cuenta modelos de agrupación con variables de similitud entre empresas que permitan una correcta comparación.

76

INDICADORES SEGÚN LA RESOLUCIÓN SSPD 12295 DE 2006

INDICADORES DE EVALUACIÓN DE GESTIÓN Y RESULTADOS

Servicio de energía eléctrica, Gas combustible por redes y GLP

Servicio de acueducto, alcantarillado y aseo

Rotación cuentas por cobrar (Días) Cobertura (%) Acueducto, Alcantarillado y Aseo

Rotación cuentas por pagar (Días) Rotación de cartera (días) Acueducto, Alcantarillado y Aseo

Razón Corriente (Veces) Ejecución de Inversiones Acueducto, Alcantarillado y Aseo

Margen Operacional (%) Índice de eficiencia laboral ($/m3 o Ton) Acueducto, Alcantarillado y Aseo

Cubrimiento gastos financieros (Veces) Cobertura medición (%) Acueducto

Suscriptores sin medición (%) Índice de agua no contabilizada (%) Acueducto

Cobertura (%) Continuidad Acueducto, Alcantarillado y Aseo

Reclamos facturación (por 10.000) Tratamiento de aguas residuales (%) Alcantarillado

Atención reclamos servicios (%) Índice de disposición final (%) Aseo

Atención solicitud de conexión (%)

INDICADORES NIVEL DE RIESGO

Servicio de energía eléctrica, Gas combustible por redes y GLP

Servicio de acueducto, alcantarillado y aseo

Período de pago del pasivo de Largo Plazo (años)

Liquidez y Endeudamiento

Rentabilidad sobre Activos (%) Eficiencia en el Recaudo

Rentabilidad sobre Patrimonio (%) Cobertura de intereses

Rotación activos fijos (veces) Indicador Financiero Agregado

Capital de trabajo sobre activos Calidad de Agua

Servicio de deuda sobre patrimonio Agua no Contabilizada

Flujo de caja sobre servicio de deuda Cumplimiento de cobertura

Flujo de caja sobre activos Continuidad

Ciclo operacional Indicador Operativo y de Calidad Agregado

Patrimonio sobre activo Razón de endeudamiento corto y largo plazo

Pasivo corriente sobre pasivo total Costo promedio de pasivos financieros y pensionales

Activo corriente sobre activo total Rentabilidad de Activos

77

VARIABLE 8. GESTIÓN EN TECNOLOGÍAS DE LA INFORMACIÓN Para el desarrollo del protocolo estandarizado de auditoría, se propone la aplicación de los criterios que a continuación se relacionan con base en el ciclo PHVA; cabe aclarar que esta valoración no hace parte en sí de la calificación de la gestión bajo los principios fiscales, sino que se trata de información requerida en el marco del conocimiento de la entidad, para entender el negocio, en particular el nivel de complejidad de las tecnologías de la información y las comunicaciones – TIC de la empresa de servicios públicos auditada.


PROCEDIMIENTO HE HR R. P/T Auditor

Responsable

Concierte los criterios legales y normativos aplicables por la ESP, en materia de tecnologías de la información

Valore los lineamientos organizacionales de las ESP sobre gestión tecnológica de la información y las comunicaciones, frente a los lineamientos legales, así como la armonización entre la planeación de TI estratégica, táctica y operativa.

Aplique cuestionario a la ESP para reconocer el grado de complejidad de los sistemas de información con que cuenta la entidad para desarrollar su labor, solicitando como anexos: Relación de hardware y software de la entidad, Mapa de riesgos informáticos, Planes, políticas y procedimientos de TI adoptados y vigentes

Solicite las últimas auditorías de sistemas que se hayan realizado en la ESP, bien sea por auditores externos, oficina de control interno u otras instancias de control. Verifique los principales hallazgos u observaciones enunciados, para focalizar aspectos importantes de la auditoría.

Mediante visita administrativa, verifique el acompañamiento realizado por la oficina de control interno a los procesos de TI.

Solicite acervo documental sobre la implementación de planes de continuidad, contingencia y recuperación.

78

PROCEDIMIENTO HE HR R. P/T Auditor

Responsable

Solicite selectivamente documentos que soportan los procesos contractuales de hardware y software, para identificar la pertinencia e importancia de los requerimientos.

Mediante visita administrativa, realice pruebas de cumplimiento sobre las respuestas a los cuestionarios de TI, con verificaciones directas sobre hardware, de manera selectiva, dejando evidencia documental de especificaciones detectadas.

Por medio de visita administrativa, realice pruebas de cumplimiento de la información remitida y verifique selectivamente el software instalado, su licenciamiento (cumplimiento de normas sobre derechos de autor) y su nivel de utilización.

Identifique los niveles de suministro e implementación de los acuerdos de niveles de servicios.

Identifique los procesos de mesa de ayuda y manejo de incidentes.

Efectúe pruebas sobre las bases de datos sensibles, para comprobar los niveles de seguridad, confidencialidad, integridad, confiabilidad y disponibilidad de la información. Deje evidencia documental de las pruebas realizadas. Si es del caso, realice minería de datos para comprobar los criterios enunciados.

Identifique y relacione en una matriz las buenas prácticas tecnológicas que impactan la responsabilidad social y ambiental en la empresa, y las consecuencias de las mismas.

Analice y consolide en una matriz la información recopilada, para clasificar la complejidad informática de la ESP e identificar la relación de la función informática con los objetivos institucionales, reconociendo los aspectos críticos de la entidad a considerar en la fase de diagnóstico de gestión de TI. Si es del caso, identifique y consulte fuentes de información alternas acerca de los recursos informáticos y de la información de la entidad.

Aplique selectivamente encuestas a usuarios para determinar el nivel de conocimiento e interacción con los aplicativos propios de la entidad, así como la percepción sobre el servicio prestado por el departamento de TI.

El análisis de los sistemas de información y tecnologías de la empresa se presenta en dos fases:

79

1. CLASIFICACIÓN DE COMPLEJIDAD TECNOLÓGICA En esta fase se presentan los criterios de clasificación de los procesos de las TIC para evaluar el grado de complejidad en las Empresas de servicios públicos domiciliarios. 1.1 Importancia de las TIC Cuando se considera este criterio para responder a los requerimientos de información del Sujeto de Control en cuanto a la confidencialidad, integridad, disponibilidad, cumplimiento, confiabilidad, efectividad y eficiencia, se deberán considerar como mínimo los siguientes factores: • Importancia y alineación de TIC con las estrategias del Sujeto de Control

(corto, mediano y largo plazo) • Dependencia de las actividades del Sujeto de Control en el procesamiento

oportuno y exacto de los sistemas de información e impacto que se podría presentar, si el Sujeto de Control fuera forzado a operar sin sistemas de información por cualquier período de tiempo.

• El impacto de los cambios del ambiente de TIC (por ejemplo, estructura organizacional e infraestructura de TIC) en el Sujeto de Control.

• El uso de redes informáticas para la comunicación organizacional interna y externa.

• El grado de instantaneidad o inmediatez de las comunicaciones vía medios informáticos (frente a envío y a respuesta).

• La utilización de aplicaciones multimedia como instrumento para facilitar el acceso a las TIC por parte de los usuarios de la empresa y con terceros.

• La trazabilidad de las comunicaciones organizacionales por medios tecnológicos.

Utilizando esta información, se puede clasificar el criterio “Importancia de las TIC” para responder a los requerimientos de información y comunicaciones del Sujeto de Control, a lo largo del rango establecido para su clasificación, el cual fluctúa desde “muy importante” hasta “limitado”, según la escala de calificación presentada más adelante.

1.2 Extensión de uso de los sistemas de información

Los factores que deberán ser considerados para determinar la extensión del uso de los sistemas de información que soportan los procesos y transacciones críticas del Sujeto de Control son los siguientes: • Número de sistemas de información que soportan los procesos críticos del

Sujeto de Control.

80

• Nivel de confianza de la información generada por los diferentes sistemas de información.

• Volumen de transacciones procesadas por medio de los sistemas de información.

• Porcentaje de empleados que regularmente utilizan los sistemas de información.

Con base en la evaluación de los factores anteriormente mencionados, se puede ubicar el criterio “Extensión del uso de los sistemas de información” a lo largo del rango, el cual fluctúa de “penetrante” a “limitado”, según la escala de calificación presentada más adelante. 1.3 Complejidad de infraestructura de TI Cuando se determina la complejidad de la infraestructura de TI del Sujeto de Control se deberán contemplar de forma enunciativa, no limitativa, los siguientes factores: • Cambios significativos en infraestructura de TI (por ejemplo, implementación

de nuevos sistemas de información que soportan los procesos de negocio, actualización de sistemas de información, incorporación de nuevos elementos de infraestructura, cambio en la administración de TI, proyectos de TI con alto impacto en el negocio, implementación de nuevos sistemas financieros,…) durante el periodo de auditoría.

• Existencia de un Sistema de Planeación de Recursos Empresariales (ERP). • Naturaleza y número de interfaces automatizadas entre los sistemas de

información del Sujeto de Control. • Sistemas de información que procesan en un ambiente de procesamiento

único y centralizado o en múltiples ambientes de procesamiento. • Existencia y tipo de intercambio de información electrónica con clientes,

proveedores o instituciones financieras. • Existencia de ambientes separados de producción, desarrollo y pruebas. • Tamaño de operación del centro de cómputo considerando aspectos como:

Criticidad de servidores, cantidad de servidores, esquema de red, controles ambientales, mecanismos de seguridad de acceso instalados y mecanismos de respaldo de energía, entre otros.

• Manejo de Telecomunicaciones y seguridad dentro de los esquemas más complejos que se presenten dentro de desarrollos operativos e institucionales.

Teniendo en cuenta dichos factores se puede ubicar el criterio “Complejidad de la infraestructura de TI” a lo largo del respectivo rango, que fluctúa de “complejo” a “simple”, según la escala de calificación presentada más adelante.

81

1.4 Estructura organizacional de TI

Al considerar la estructura organizacional de TI del Sujeto de Control se deberán considerar como mínimo los siguientes aspectos:

• Existencia de una estructura organizacional de TI formal dentro del Sujeto de

Control. • Nivel de tercerización de la estructura organizacional de TI y de sus funciones

(si aplica). • Definición de objetivos y estrategias del área de TI del Sujeto de Control • Presupuesto de TI del Sujeto de Control. • Porcentaje del presupuesto de TI en relación con los ingresos del Sujeto de

Control (si aplica). • Existencia de una función interna de auditoría de sistemas, con las habilidades

y recursos requeridos (por ejemplo, profesionales con conocimiento en aplicaciones, bases de datos, sistemas operativos, redes de datos, seguridad informática, elaboración y ejecución de programas de trabajo y técnicas asistidas por computador, entre otros aspectos).

Utilizando la información obtenida se puede ubicar el criterio “Estructura organizacional de TI” a lo largo del rango de Estructura de TI, el cual fluctúa de “complejo” a “simple”, según la escala de calificación presentada más adelante.

1.5 Procesos y herramientas tecnológicas ajenos al departamento de TI Para verificar los procesos y herramientas tecnológicos ajenos al departamento de TI, deben considerarse al menos los siguientes factores:

• Identificación de niveles tecnológicos de procesos operativos ajenos al

departamento de TI. • Presupuesto destinado a fortalecimiento tecnológico en aspectos no

informáticos. • Programas de mantenimiento predictivo, preventivo y correctivo de

herramientas tecnológicas. • Planes de contingencia para instrumentos tecnológicos ajenos al

departamento de TI. • Nivel de preparación del personal que participa en el uso de herramientas

tecnológicas no informáticas.

Con base en la información obtenida para el criterio “Procesos y herramientas tecnológicas ajenos al departamento de TI”, se puede realizar la clasificación de “complejo” a “simple”, según la escala de calificación presentada más adelante.

82

De los anteriores cinco criterios, y valiéndose del juicio profesional del auditor, se consolida una calificación única del nivel de complejidad de la entidad auditada que puede ser Simple, Moderado o Complejo, así.

Tabla 15 CALIFICACIÓN DEL NIVEL DE COMPLEJIDAD TECNOLÓGICA DE LAS ESP

Criterios de Evaluación Ponderación Rangos de Evaluación

% Categoría

Importancia de las TIC 0.25 50 – 100 0 – 49,9

Muy importante Limitado

Extensión de uso de los sistemas de información

0.25 50 – 100 0 – 49,9

Penetrante Limitado

Infraestructura Tecnológica 0.25 50 – 100 0 – 49,9

Complejo Simple

Estructura Organizacional de TI 0.15 50 – 100 0 – 49,9

Complejo Simple

Procesos y herramientas tecnológicos ajenos al departamento de TI

0.10 50 – 100 0 – 49,9

Complejo Simple

Complejidad del ambiente de TI 1.00 71 – 100 31 – 70,9 0 – 30,9

Complejo Moderado Simple

El ambiente de TI en su totalidad podrá ser clasificado como: COMPLEJO: Para efectos del proceso auditor, en un ambiente de TI complejo los sistemas de información son empleados en todos los aspectos significativos del negocio, la habilidad del Sujeto de Control para operar depende en gran medida de los sistemas informáticos y/o la administración depende del uso de la información generada por los sistemas de información. Los Sujetos de Control que caen dentro de esta categoría por lo general tienen sistemas de información complejos, herramientas tecnológicas de avanzada, y sus procesos de negocio son altamente automatizados. MODERADO: Si el grado de uso de los sistemas de información y de las herramientas tecnológicas es menos que complejo, pero más que simple. Los Sujetos de Control cuya complejidad del ambiente de TI es clasificada como moderada a menudo tienen uno o dos sistemas de información complejos que se usan ampliamente y son importantes para las actividades de negocios pero, en su conjunto, no son imprescindibles para el Sujeto de Control ni para el proceso auditor. Adicionalmente, presentan avances tecnológicos en áreas particulares, no reflejadas en toda la organización.

83

SIMPLE: Si por ejemplo, el grado de uso de los sistemas de información está confinado a tareas relativamente simples que son de importancia limitada para las actividades del Sujeto de Control y no tienen una infraestructura y organización de TI compleja, y las herramientas utilizadas en procesos operacionales ajenos al departamento de TI son manuales. Los Sujetos de Control que caen dentro de esta categoría por lo general tienen sistemas de información relativamente simples que no afectan el proceso auditor.

2. DIAGNÓSTICO DE LA GESTIÓN TECNOLÓGICA

Soportada en la evaluación al ciclo PHVA de la gestión de las tecnologías de la información y las comunicaciones, donde se valoran criterios en la planeación, ejecución y control de los sistemas y herramientas informáticos, con el propósito de valorar la eficiencia, eficacia y efectividad en la gestión de la información. 2.1 CRITERIOS EN PLANEACIÓN

Planeación estratégica Hace referencia a la valoración de los lineamientos organizacionales de las E.S.P. encaminados a optimizar la gestión de las tecnologías de la información y las comunicaciones en la entidad, al articularlas con los lineamientos legales y con las condiciones organizacionales, para armonizar los niveles de planeación táctica y operativa. Su evaluación debe incluir los siguientes factores. • Administración del Valor de las TIC para la organización • Alineación de TIC con el Negocio • Evaluación del Desempeño y la Capacidad Actual • Plan Estratégico de TI • Planes Tácticos de TIC • Administración del Portafolio de TIC

Procesos de administración de riesgo de TIC

Verificación relacionada con el proceso de gestión de riesgos institucional, y la incorporación dentro de ésta del proceso de administración de riesgos informáticos:

• Contexto estratégico del riesgo • Identificación de riesgos informáticos • Análisis de riesgo • Valoración del riesgo • Políticas de administración del riesgo

84

• Documentación en mapa de riesgos informáticos • Mantenimiento y Monitoreo de un Plan de Acción de Riesgos

Seguridad física y lógica de la información • Análisis previos del área de TI en cuanto a seguridad informática • Diseño y programación de pruebas de seguridad • Verificación por parte de terceros de pruebas en la infraestructura tecnológica.

Cumplimiento normativo y legal aplicable

• Identificación del marco normativo aplicable: Legislación sobre Gobierno en

Línea, derecho de autor, delitos informáticos, firma digital, gestión documental, comercio electrónico, hábeas data, entre otros.

• Políticas informáticas adoptadas por la ESP y armonización con normas generales

2.2 CRITERIOS EN EJECUCIÓN

Desempeño de las TIC

• Participación de las TIC en el cumplimiento de los objetivos misionales • Relación costo/beneficio • Adaptabilidad y confiabilidad de los sistemas de información • Integración y madurez entre diferentes sistemas de información

Suministro e implementación de los acuerdos de niveles de servicios.

• Marco de Trabajo de la Administración de los Niveles de Servicio • Definición de Servicios • Acuerdos de Niveles de Servicio • Acuerdos de Niveles de Operación • Monitoreo y Reporte del Cumplimento de los Niveles de Servicio • Revisión de los Acuerdos de Niveles de Servicio y de los Contratos

Procesos de mesa de ayuda y manejo de incidentes

• Mesa de Servicios • Registro de Consultas de Clientes • Escalamiento de Incidentes • Cierre de Incidentes • Análisis de Tendencias

85

Buenas prácticas tecnológicas que impactan la responsabilidad social y ambiental en la empresa

• Adecuada disposición final de consumibles • Obsolescencia tecnológica • Implementación de empresas cero papel • Reutilización de papel

Seguridad física y lógica de la información

• Ejecución de pruebas de nivel de seguridad informática • Revisión de controles de seguridad a sistemas de información (sistemas

operativos, aplicativos, bases de datos) • Revisión de controles de seguridad física en el área de informática • Trazabilidad de las copias de seguridad • Niveles de integridad, confidencialidad y disponibilidad • Verificación por parte de Terceros la vulnerabilidad tecnológica.

Administración y gestión de recursos informáticos

• Procesos de contratación de TIC • Análisis de estandarización para adquisición de recursos tecnológicos • Criterios de actualización informática • Buen gobierno de TI • Mantenimiento de Software Aplicativo • Mantenimiento de Infraestructura Tecnológica 1.3 CRITERIOS EN CONTROL

Apoyo y soporte del área de control interno a los procesos de TI

• Nivel de conocimiento del personal de control interno, sobre procesos

informáticos • Programación de auditorías internas a procesos de TI • Ejecución de auditorías internas a procesos de TI

Implementación de los planes de continuidad, contingencia y recuperación

• Planes de Continuidad de TI • Recursos Críticos de TI • Mantenimiento del Plan de Continuidad de TI • Pruebas del Plan de Continuidad de TI • Entrenamiento del Plan de Continuidad de TI

86

• Distribución del Plan de Continuidad de TI • Recuperación y Reanudación de los Servicios de TI • Almacenamiento de Respaldos Fuera de las Instalaciones • Revisión Post Reanudación Seguridad física y lógica de la información

• Recuperación de datos a partir de copias de seguridad • Verificación de controles físicos y lógicos a información crítica

Percepción del cliente interno y externo sobre el servicio prestado por TI • Confiabilidad en los sistemas de información • Percepción sobre el tiempo de inactividad • Calidad del soporte técnico • Nivel de innovación de las soluciones informáticas • Cumplimiento de expectativas • Indicadores de quejas sobre el servicio • Eficacia en detección de errores

Tabla 16 CALIFICACIÓN DE LA GESTIÓN EN TECNOLOGÍAS DE LA INFORMACIÓN


parcial Factor de



CRITERIOS EN PLANEACIÓN

0.30

Planeación estratégica 0.09

Procesos de administración de riesgo de TIC

0.08


0.05

Cumplimiento normativo y legal aplicable

0.08

CRITERIOS EN EJECUCIÓN 0.50

Desempeño de las TIC 0.10

Suministro e implementación de los acuerdos de niveles de servicios.

0.03

Procesos de mesa de ayuda y manejo de incidentes

0.03

87


parcial Factor de



Buenas prácticas tecnológicas que impactan la responsabilidad social y ambiental en la empresa

0.04


0.05

Administración y gestión de recursos informáticos

0.25

CRITERIOS EN CONTROL 0.20

Apoyo y soporte del área de control interno a los procesos de TI

0.08

Implementación de los planes de continuidad, contingencia y recuperación

0.02


0.05

Percepción del cliente interno y externo sobre el servicio prestado por TI

0.05

Calificación de la gestión de TIC

1

Una vez aplicados los instrumentos desarrollados por el auditor para validar los factores de calificación, se procede a calificar cada criterio entre 0 y 100, obteniendo al final una calificación de gestión de TIC cuyo concepto puede ser: FAVORABLE: Entre 80 y 100 puntos FAVORABLE CON OBSERVACIONES: Entre 60 y 79,9 puntos DESFAVORABLE: Inferior a 60 puntos

protocolo de auditaje para empresas de servicios públicos

Documents