superintendencia nacional de salud oficina de …...sistema de seguimiento proyectos de inversión...

SUPERINTENDENCIA NACIONAL DE SALUD

OFICINA DE CONTROL INTERNO

INFORME FINAL AUDITORÍA PROCESOS

*Gestión de Servicios Tecnológicos

*Provisión de Soluciones Tecnológicas

ABRIL DE 2.019

Bogotá D.C.

Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co

2

TABLA DE CONTENIDO 1. Objetivo ...................................................................................................................................................................... 5

2. Criterios ...................................................................................................................................................................... 5

3. Alcance....................................................................................................................................................................... 6

4. Metodología ............................................................................................................................................................... 6

5. Informe ....................................................................................................................................................................... 7

5.1 Proceso Gestión de Servicios Tecnológicos .................................................................................................... 8

5.2 Proceso Provisión de Soluciones Tecnológicas ............................................................................................ 19

5.3 Sistemas de información, seleccionados por muestreo ............................................................................... 26

5.3.1 Circular Única “nRVCC” y “RVCC” ............................................................................................................. 27

5.3.2 Sistema Gestión de Tasa – SGT ................................................................................................................ 29

5.3.3 Sistema de Gestión Documental- SUPERCOR........................................................................................ 33

5.3.4 Software para la SDFJC - SJC ................................................................................................................... 38

5.3.5 Gestor Documental - SUMA ........................................................................................................................ 43

5.3.6 BPMS Automatización “Procesos Administrativos” y “Auditorías” para la Supervisión Institucional 52

5.4 Proyectos de Inversión ...................................................................................................................................... 58

5.5 Evaluación Riesgos Operacionales y de Corrupción.................................................................................... 65

5.5.1 Riesgos Operacionales ................................................................................................................................ 65

5.5.2 Riesgos de Corrupción ................................................................................................................................. 73

5.5.3 Riesgos del Mapa de Riesgos versus Puntos de control de los procedimientos ................................ 74

5.6 Planes de Mejoramiento radicados en el Sistema Integrado de Planeación y Gestión – SIPG. ........... 74

5.7 Evaluación a la Gestión Documental y organización de archivos .............................................................. 77

6. Conclusiones ...................................................................................................................................................... 83

7. Hallazgos ............................................................................................................................................................ 85

7.1 Recomendaciones ............................................................................................................................................. 85

7.2 Observaciones ................................................................................................................................................... 85

7.3 No Conformidades ............................................................................................................................................. 87

8. Observaciones del Auditado al informe preliminar........................................................................................ 93


3

LISTA DE TABLAS

Tabla 1 – Fuente OCI - Lista de abreviaturas ....................................................................................... 7

Tabla 2– Fuente OCI - Caso CA 57867 ............................................................................................... 15

Tabla 3 – Fuente OCI Actividades procedimiento Gestión de Problemas - GSPD03 ......................... 16

Tabla 4 – Fuente OCI Política de Operación No. 1 procedimiento Gestión de Problemas - GSPD03 16

Tabla 5 – Fuente OCI Análisis de Tiempo procedimiento Gestión de Problemas - GSPD03 ............. 16

Tabla 6 – Fuente OCI- Caso CA 73407 ............................................................................................... 16

Tabla 7 – Fuente OCI- Actividades procedimiento Gestión de Problemas - GSPD03 ....................... 17

Tabla 8 – Fuente OCI - Política de Operación No. 1 del Procedimiento Gestión de Problemas -

GSPD03 .............................................................................................................................................. 17

Tabla 9 – Fuente OCI-Análisis de Tiempo procedimiento Gestión de Problemas - GSPD03............. 17

Tabla 10 – Fuente OCI-Política de Operación No. 2 procedimiento Gestión de Problemas - GSPD03

........................................................................................................................................................... 18

Tabla 11 – Fuente OCI - Procedimiento Gestión Arquitectura TI – RSPD01 ..................................... 23

Tabla 12 – Fuente OCI- Tomado del Procedimiento Gestión de Aplicaciones – RSPD02 ................. 25

Tabla 13 – Fuente OCI Relación Contratos SGT................................................................................. 30

Tabla 14 – Fuente OCI. Contrato 574 de 2013 .................................................................................. 39

Tabla 15 – Fuente OCI. Contrato de compraventa No. 247 de 2016 ................................................ 44

Tabla 16 – Fuente OCI. Entregables 2016- contrato 247 de 2016 .................................................... 46

Tabla 17 – Fuente OCI. Entregables 2017 Contrato 247 de 2016 ..................................................... 46

Tabla 18 – Fuente OCI. Contrato 265 de 2017 .................................................................................. 54

Tabla 19 – Fuente OCI – Tomado de Informe “Gastos de Inversión Diciembre de 2018”-

https://www.supersalud.gov.co ..................................................................................................... 59

Tabla 20 – Fuente OCI - Tomado PAG OTI - Proyectos de Inversión ................................................. 59

Tabla 21 – Fuente “Guía Institucional de Gestión de Proyectos” – EPGU01 .................................... 60

Tabla 22 – Fuente “Guía Institucional de Gestión de Proyectos” – EPGU01 .................................... 60

Tabla 23 – Fuente OCI - “Guía Institucional de Gestión de Proyectos” – EPGU01 ........................... 60

Tabla 24 – Fuente OCI - Indicadores de Gestión ............................................................................... 61

Tabla 25 – Fuente PAG SNS 2018 ...................................................................................................... 62

Tabla 26 – Fuente OCI-Relación contratos suscritos bajo la supervisión de la OTI .......................... 64

Tabla 27 – Fuente OCI –Riesgos Operacionales proceso “Gestión de Servicios Tecnológicos”.

Tomado de Mapa de Riesgos Institucional – OTI .............................................................................. 65

Tabla 28 –Tomado del NURC 3-2017-020008 del 27.12.17 / Formato “Identificación y

Consolidación de Necesidades de Capacitación” - FCFT01 ............................................................... 66

Tabla 29 – Fuente OCI. Relación capacitaciones recibidas por a OTI en 2018, según tipo de

profesional ........................................................................................................................................ 66

Tabla 30 – Fuente OCI. Relación capacitaciones recibida por la OTI durante 2018.......................... 66


4

Tabla 31 – Fuente OCI. Hoja de Vida Indicador GS02. www.supersalud.gov.co. .............................. 67

Tabla 32 – Fuente OCI. Reporte cumplimiento Indicadores de gestión OTI-2018 ............................ 68

Tabla 33 – Fuente OCI. Informe actividades Mesa de Servicio Junio 2018 ....................................... 69

Tabla 34 – Fuente OCI. Informe actividades Mesa de Servicio Julio 2018 ........................................ 69

Tabla 35 – Fuente OCI. Reporte Actividades Mesa de Servicio "Top 5 Incidentes", junio 2018 ....... 69

Tabla 36– Fuente OCI. Reporte Actividades Mesa de Servicio "Top 5 Incidentes", julio 2018 ......... 70

Tabla 37 - Fuente OCI. Riesgos Operacionales proceso "Provisión de Soluciones Tecnológicas".

Tomado de Mapa de Riesgos Institucional - OTI ............................................................................... 71

Tabla 38 - Fuente OCI. Riesgos de Corrupción "Gestión de Soluciones Tecnológicas". Tomado de

Mapa de Riesgos Institucional - OTI .................................................................................................. 73

Tabla 39 – Fuente OCI - Planes de Mejoramiento registrados en SIPG vigencia 2018 ..................... 75

LISTA DE IMÁGENES

Imagen 1 – Fuente OCI - ANS procedimiento GSPD01 ...................................................................... 10

Imagen 2 – Fuente OTI - Matriz de Cálculo Prioridad de Supersalud. Aplicativo CA ........................ 11

Imagen 3 – Fuente OCI- ANS procedimiento GSPD03 ....................................................................... 14

Imagen 4 – Fuente OTI - Matriz de Cálculo Prioridad de Supersalud. Aplicativo CA ........................ 15

Imagen 5 – Fuente Contrato 84 de 2018 .......................................................................................... 36

Imagen 6 – Fuente Anexo 1-Especificaciones Técnicas. Numeral 2. Pág. 24 .................................... 45

Imagen 7 – Fuente OCI. Cumplimiento de solicitudes de servicio de TI ........................................... 68

Imagen 8 - Fuente: Instrumentos Archivísticos de organización documental-Programa de Gestión

Documental 2015-2018, Documento Soporte de la guía GDDS01 ................................................... 81


5

1. Objetivo

La presente Auditoría tiene como objetivo dar a conocer a la Alta Dirección la gestión que

se realiza en ejecución de los procesos “Provisión de Soluciones Tecnológicas” y “Gestión de Servicios

tecnológicos”, liderados por la Oficina de Tecnologías de la Información.

Las actividades generales del presente ejercicio auditor son:

• Verificar mediante muestreo aleatorio, la aplicación de los procedimientos que hacen parte

de los procesos enunciados.

• Evaluar los Sistemas de información, seleccionados por muestreo aleatorio.

• Realizar Seguimiento a los Planes de Mejoramiento radicados en el Sistema Integrado de

Planeación y Gestión SIPG.

• Realizar seguimiento a los riesgos (operacionales y de corrupción).

• Realizar seguimiento a gestión documental y organización de archivos, de acuerdo con

los lineamientos definidos en el Subsistema Gestión Documental.

2. Criterios

Los criterios a tener en cuenta por parte de la Oficina de Control Interno para la verificación

del cumplimiento de las funciones legales, debidamente estructuradas a través del Manual

de Operaciones de la Superintendencia Nacional de Salud y normatividad vigente que

aplique en la materia, entre otras, son:

• Decreto No. 2462 de 2013, "Por el cual se modifica la estructura de la Superintendencia Nacional de

Salud".

• Resolución 4086 del 19 de diciembre de 2014, por medio de la cual se adopta el Manual

de Procesos y Procedimientos de la Superintendencia Nacional de Salud y se dictan otras

disposiciones”.

• Resolución 1809 del 25 de septiembre de 2015, “por medio de la cual se modifica el

artículo 2º de la Resolución 4086 de 2014”.

• Decreto 1083 de 2015, “Por medio del cual se expide el Decreto Único Reglamentario del

Sector de Función Pública”.

• Decreto 648 de 2017, “Por medio del cual se modifica y adiciona el Decreto 1083 de 2015”,

en su artículo 16 que adiciona al Decreto 1083 de 2015 el artículo 2.2.21.4.8, literal b).

• Resolución 2462 de 2017, “Por medio de la cual se adopta el Estatuto de Auditoría Interna

que define el propósito, la autoridad y la responsabilidad de la actividad de Auditoría Interna

en la Superintendencia Nacional de Salud”.


6

• Decreto 1499 de 2017, “Por medio del cual se modifica el Decreto 1083 de 2015, Decreto

Único Reglamentario del Sector Función Pública, en lo relacionado con el Sistema de

Gestión establecido en el artículo 133 de la Ley 1753 de 2015”.

• Ley 594 de 2000, “Por medio de la cual se dicta la Ley General de Archivos y se dictan

otras disposiciones”.

• Guía para la administración del riesgo y el diseño de controles en entidades públicas.

Departamento Administrativo de la Función Pública. Octubre de 2018. Conforme en el

desarrollo de auditoría, podrán ser tenidos en cuenta criterios adicionales que tengan

relación con la gestión objeto de verificación.

3. Alcance

El alcance de la presente auditoría corresponde a la vigencia 2018 (enero 1 al 31 de

diciembre de 2018).

4. Metodología

Para el desarrollo de este ejercicio auditor, se utilizaron técnicas metodológicas como

cuestionarios y listas de chequeo, confrontación, observación y verificación.

Igualmente, en la extensión del informe y con el ánimo de simplificar los textos dentro de

este, se relacionan a continuación las abreviaturas que fueron utilizadas.

Nombre Abreviatura

Superintendencia Nacional de Salud SNS

Secretaría General SEGEN

Grupo de Talento Humano GTH

Grupo Contratación de Bienes y Servicios GCBS

Grupo de Gestión Documental GGD

Grupo de Recursos Físicos GRF

Grupo de Cobro Persuasivo y Jurisdicción Coactiva GPJC

Superintendencia Delegada de Procesos Administrativos SDPA

Superintendencia Delegada para la Supervisión Institucional SDSI

Superintendencia delegada para la Función Jurisdiccional y de

Conciliación SDFJC

Oficina Asesora de Planeación OAP

Sistema Integrado de Gestión SIG

Sistema Integrado de Planeación y Gestión SIPG

Oficina Asesora Jurídica OAJ

Oficina de Control Disciplinario Interno OCDI


7

Oficina de Control Interno OCI

Sistema Integrado de Gestión SIG

Subsistema de Gestión Documental SGD

Departamento Nacional de Planeación DNP

Sistema de Seguimiento Proyectos de Inversión SPI

Modelo Estándar de Control Interno MECI

Archivo General de la Nación AGN

Tablas de Retención Documental TRD

Contraloría General de la República CGR

Acuerdos de Niveles de Servicios ANS

Tabla 1 – Fuente OCI - Lista de abreviaturas

5. Informe

En cumplimiento del Plan de Auditoría a los procesos de “Gestión de Servicios Tecnológicos” y

“Provisión de Soluciones Tecnológicas”, liderados por la OTI, que fue anunciado con NURC 3-

2019-1548 del 31 de enero de 2019 y a lo acordado en la apertura de esta, realizada el 4

de febrero de 2019, se presenta el siguiente informe de auditoría.

El Decreto 2462 de 2013, en su artículo 11 define 22 funciones para la OTI, de las cuales

12 se ejecutan a través de los procesos “Gestión de Servicios Tecnológicos” y “Provisión de

Soluciones Tecnológicas” así:

➢ Gestión de Servicios Tecnológicos:

“7. Apoyar a nivel tecnológico a las dependencias involucradas en el cálculo, liquidación y recaudo de la tasa en favor de la Superintendencia”.

“14. Diseñar e implementar estrategias, instrumentos y herramientas con aplicación de tecnologías de punta

adecuada que permita brindar de manera constante y permanente un buen servicio al ciudadano”.

“16. Definir las necesidades para la obtención, generación y sostenimiento de sistemas de información

confiables que requiera la Superintendencia, coordinando su adquisición con la Secretaría General”.

“17. Brindar asesoría técnica para el diseño, puesta en marcha y operación de los diferentes sistemas de

información”.

“21. Definir, diseñar y asegurar el óptimo funcionamiento y mantenimiento de los sistemas de información, de

la infraestructura y plataforma tecnológica y de comunicaciones de la Superintendencia”.

➢ Provisión de Soluciones Tecnológicas:

“2. Realizar el análisis, diseño, programación, documentación, implantación y mantenimiento de los sistemas

de información requeridos por la entidad”.

“3. Adelantar acciones para que los sistemas de información de inspección, vigilancia y control del Sistema General de Seguridad Social en salud de la Superintendencia Nacional de Salud sean interoperables con los

demás sistemas de información existentes y que se requiera para el cumplimiento de las funciones de la

entidad”.


8

”7. Apoyar a nivel tecnológico a las dependencias involucradas en el cálculo, liquidación y recaudo de la tasa

en favor de la Superintendencia”.

“12. Elaborar el mapa de información que permita contar de manera actualizada y completa con los procesos

de información de la superintendencia”.

“13. Desarrollar estrategias para lograr un flujo eficiente de la información, como parte de la rendición de cuentas

a la sociedad”.

“14. Diseñar e implementar estrategias, instrumentos y herramientas con aplicación de tecnologías de punta

adecuada que permita brindar de manera constante y permanente un buen servicio al ciudadano”.

“16. Definir las necesidades para la obtención, generación y sostenimiento de sistemas de información

confiables que requiera la Superintendencia, coordinando su adquisición con la Secretaría General”.

“17. Brindar asesoría técnica para el diseño, puesta en marcha y operación de los diferentes sistemas de

información”.

“21. Definir, diseñar y asegurar el óptimo funcionamiento y mantenimiento de los sistemas de información, de

la infraestructura y plataforma tecnológica y de comunicaciones de la Superintendencia”.

5.1 Proceso Gestión de Servicios Tecnológicos

La OTI lidera el Proceso “Gestión de Servicios Tecnológicos”, el cual es desarrollado a

través de 5 procedimientos a saber:

➢ Gestión de Incidentes

➢ Gestión de Cambios

➢ Gestión de Problemas

➢ Gestión de Requerimientos

➢ Control de Software Misional de la Entidad

Sobre estos procedimientos, la OCI mediante la verificación por muestreo aleatorio, efectúo

evaluación a 4 de ellos, con el fin de identificar el cumplimiento las actividades que los

mismos definen, así como la valoración e interacción con los Riesgos tanto Operacionales

(Gestión) como de Corrupción, y las conductas reguladas en el SIG de la Entidad, que

directa o indirectamente pudieran estar asociados a estos.

a. Procedimiento Gestión de Incidentes - GSPD01

Objetivo: “Atender, asegurar y resolver todos los incidentes de TI, mediante la utilización de mesa de servicios

y bajo los parámetros de tiempo de respuesta acordados en los niveles de servicio, con el fin de restaurar y

optimizar el servicio con un mínimo de impacto en la operación de la entidad”.

Alcance: “Inicia con el registro de la solicitud en la herramienta de mesa de servicio con todos los detalles que

han ocurrido (hora, descripción, sistemas afectados y/o usuario que lo reporta), continua con el diagnóstico,

análisis y la asignación de prioridad del incidente y finaliza la restauración, solución, monitoreo y seguimiento al

incidente del servicio”.


9

Ámbito de aplicación: “Este procedimiento aplica a toda la operación de la Superintendencia Nacional de

Salud, en consecuencia, aplica a todos los procesos de la entidad”.

Se hizo muestreo aleatorio de las Políticas de Operación1 que se definen en el

procedimiento; respecto de las conductas reguladas en el SIG de la Entidad, que directa o

indirectamente pudieran estar asociados a este.

Como resultado de lo anterior, la OCI observó que el procedimiento evaluado se encuentra

desactualizado en su parte normativa, ya que en el acápite “Normas” no contempla el

Decreto 1499 de 2017 MIPG expedido por el DAFP, el cual consolida la Política de Gobierno

Digital y el MECI; así mismo no se incluye la Resolución 1110 de 2015, la cual derogó la

Resolución 1621 de 2014, por la cual se crearon los Grupos Internos de Trabajo de la OTI;

finalmente hace falta incluir la Resolución 10447 de 2018, donde se nombran los nuevos

coordinadores de los Grupos Internos de Trabajo de la Oficina evaluada.

Ahora bien, en atención a los lineamientos regulados en el procedimiento objeto de

evaluación, se procedió a efectuar análisis de la Política de Operación No. 3 la cual señala:

“Tiempo de solución: Es el tiempo determinado para solucionar el requerimiento y restaurar el servicio. – ANS”;

al igual que el “Análisis de Tiempo” que regula el procedimiento; es así, que, fue establecido

como objetivo a verificar el comportamiento de los ANS del procedimiento que ahora nos

ocupa.

Para tal fin, por parte de la OTI, fue aportada base de datos “Consolidado Casos CA”, producto

de la información que es recaudada a través del Sistema de información “CA - Service Desk2”,

correspondiente a la vigencia 2018 (Enero – Diciembre), en donde se puede observar la

tipificación efectuada por parte de la mesa de servicios, de conformidad al registro de las

diferentes situaciones reportadas por funcionarios de la entidad, así como los diferentes

“ANS3” definidos en función de tiempo (2, 4, 8 y 12 horas), esto de conformidad a la

complejidad del requerimiento.

Producto del análisis efectuado a la base de datos anteriormente referida, se logró

determinar que durante la vigencia 2018 y según la tipificación asignada, se presentaron un

total de 24.168 casos, de los cuales el 36% (8.748) corresponden a incidentes; de estos, el

1 Política de Operación “Elemento de Control que establece las guías de acción para la implementación de las estrategias de ejecución de la Entidad; define los límites y parámetros necesarios para ejecutar los procesos y los procedimientos”. – Tomado de “Definiciones” Procedimiento “Elaboración y Control de Documentos y registros” – ASPD01 2 “Plataforma web CA: Software web para reportar los incidentes o servicios que requieran los usuarios de la Superintendencia Nacional de Salud” Tomado de “Definiciones” Procedimiento “Gestión de Incidentes” – GSPD01. 3 “Acuerdos de Nivel de Servicios” – “Pacto establecido entre un usuario y proveedor de los procesos en materia de calidad y oportunidad de las entradas y salidas, que se establecen para el cumplimiento del objetivo del proceso” - Tomado de “Definiciones” Procedimiento “Elaboración y Control de Documentos y registros” – ASPD01. “Herramienta que ayuda a ambas partes a llegar a un consenso en términos del nivel de calidad del servicio, en aspectos tales como tiempo de respuesta, disponibilidad horaria, documentación disponible, personal asignado al servicio, etc.” – Tomado de “Definiciones” Procedimiento Gestión de Incidentes” – GSPD01.


10

88% (7.731) cumplieron los requisitos frente a los niveles de ANS fijados y el 12% restante

(1.017) se encuentran fuera de los rangos definidos, así:

Imagen 1 – Fuente OCI - ANS procedimiento GSPD01

Es preciso ahora indicar, que por cuenta de esta OCI fue solicitado al líder del proceso

motivo de evaluación, matriz o herramienta que permitiera comprender la parametrización

definida para los ANS, de lo cual se informó que la SNS cuenta con el aplicativo “CA - Service

Desk”, mediante el cual se efectúa dicha parametrización; aportando como soporte imagen

del la “Matriz de cálculo de prioridad de Supersalud”.


11

Imagen 2 – Fuente OTI - Matriz de Cálculo Prioridad de Supersalud. Aplicativo CA

De lo cual se puede apreciar que la configuración matricial de la misma no resulta ser lógica,

toda vez que el “Impacto” vs “Urgencia” en su gran mayoría da como resultado prioridad baja;

en estas condiciones la OCI configura Observación No. 01, bajo el agravante que la

debilidad en el citado aplicativo, ocasiona que los ANS se encuentren mal tipificados y por

ende, los datos generados conlleven a contar con información imprecisa, además de evitar

la adecuada y oportuna toma de decisiones que al respecto puediera abordar el líder del

proceso en comento, (Ver numeral 7.2 - Observaciones).

En consecuencia, y bajo el sustento de la evidencia objetiva recaudada y lo regulado en la

Política de Operación No. 3 “Tiempo de solución: Es el tiempo determinado para solucionar el

requerimiento y restaurar el servicio. – ANS”, así como el “Análisis de Tiempo” – “Los tiempos se establecen en los Acuerdos de Niveles de Servicio de TI, los cuales se encuentran configurados en el sistema de

información AC, Service Desk”, se observó debilidad en el autocontrol que se debió ejercer en el

proceso “Gestión de Servicios Tecnológicos”, configurando incumplimiento de lo preceptuado en

el artículo 4º de la Resolución 4086 del 19 de diciembre de 2014, la cual precisa en sus

apartes: “la responsabilidad de mantener actualizados los procesos y procedimientos a que hace

referencia esta resolución” y […] “los procesos y procedimientos adoptados por la presente resolución son de obligatorio cumplimiento para los servidores públicos y contratistas que laboran en la

Superintendencia Nacional de Salud” (Negrillas nuestras); eventos que configuran NO Conformidad

No. 01 (Ver numeral 7.3 - NO Conformidades).

b. Procedimiento Gestión de Cambios - GSPD02

Objetivo: “Responder y direccionar de manera controlada las solicitudes de cambios que diferentes

funcionarios o dependencias de la Superintendencia Nacional de Salud, realizan sobre los elementos

enmarcados en las categorías de servicios de TI definidos por la OTI, garantizando su correcta

aplicación según los acuerdos y prioridades que eviten interrupciones en la prestación de dichos

servicios”.

Alcance: “Inicia con la recepción y análisis la solicitud de cambio de acuerdo al estándar de servicios

de la OTI, continúa con la validación, aprobación o rechazo de la solicitud recibida y termina con la


12

generación de recomendaciones de valor sobre la solicitud y realización de las actividades que

aplican los cambios, terminando con la evaluación y cierre de los mismos”.

Ámbito de aplicación: “Aplica a todos los procesos del Sistema Integrado de Gestión”.

La OCI practicó evaluación con el fin de identificar el cumplimiento del procedimiento

GSPD02, el cual registra que la última actualización aprobada por la OAP fue mediante

NURC 3-2016-023608 del 22-12-2016, estando actualmente en versión 2.

Se hizo muestreo aleatorio de las políticas de operaciones que se definen en el










Ahora bien, con el fin de verificar y hacer trazabilidad sobre las políticas de operación y

actividades de este procedimiento, se solicitó a la OTI el aporte de los listados generados

desde el aplicativo CA de la Mesa de Servicios recibidos durante la vigencia 2018, medio

oficial en el que se radican todas las solicitudes de funcionarios y dependencias de la

entidad, con el fin de verificar el cumplimiento de las políticas de operación, actividades y

puntos de control determinados en el procedimiento GSPD02.

De la muestra seleccionada, no se encontraron registros que permitieran determinar si hubo

solicitudes para activar el procedimiento “Gestión de Cambios”, adicionalmente y de

conformidad a las pruebas efectuadas insitu, se pudo establecer que al verificar la Política

de Operación No. 3, no se encuentra sustento alguno que permita inferir la conformación

del Comité de Cambios de la OTI y menos aún, que se haya realizado evaluación alguna

para determinar la viabilidad técnica y operativa de una solicitud, dejando sin aplicación las

políticas de operación No. 4 a 9.

En consecuencia y bajo el sustento de la evidencia objetiva recaudada, se observó

debilidad en el autocontrol que se debió ejercer en el proceso “Gestión de Servicios Tecnológicos”

respecto del procedimiento “Gestión de Cambios”, configurando incumplimiento de lo

preceptuado en el artículo 4º de la Resolución 4086 del 19 de diciembre de 2014, la cual

precisa en sus apartes: “la responsabilidad de mantener actualizados los procesos y procedimientos

a que hace referencia esta resolución” y […] “los procesos y procedimientos adoptados por la presente


13

resolución son de obligatorio cumplimiento para los servidores públicos y contratistas que laboran en

la Superintendencia Nacional de Salud” (Negrillas nuestras); eventos que reiteran NO Conformidad

No. 01 (Ver numeral 7.3 - NO Conformidades).

c. Procedimiento Gestión de Problemas - GSPD03

Objetivo: “Analizar los registros y antecedentes de los incidentes repetitivos con el fin de identificar su tendencia

y alcance para evitar un problema significativo, determinando la prioridad, categorizando, alimentando la Base

de Datos de Errores Conocidos y aplicando soluciones definidas para que los problemas resueltos se eliminen

completa y satisfactoriamente”.

Alcance: “Inicia con la identificación y registro del problema, continua con la categorización, priorización y

análisis del problema y termina con el monitoreo, validación y cierre del problema”.

Ámbito de aplicación: “Este procedimiento aplica a toda la operación de la Superintendencia Nacional de

Salud, en consecuencia, aplica a todos los procesos de la entidad”.











Ahora bien, en atención a los lineamientos regulados en el procedimiento objeto de

evaluación, se efectúo análisis de la Política de Operación No. 3 la cual señala: “Tiempo de

solución: Es el tiempo determinado para solucionar el requerimiento y restaurar el servicio. – ANS”; al igual

que el “Análisis de Tiempo” que regula el procedimiento; es así, que, fue establecido como

objetivo a verificar el comportamiento de los ANS del procedimiento que ahora nos ocupa.

Para tal fin, fue aportada base de datos “Consolidado Casos CA”, producto de la información

que es recaudad a través del Sistema de información “CA - Service Desk4”, correspondiente a

la vigencia 2018 (Enero – Diciembre), en donde se puede observar la tipificación efectuada

por parte de la mesa de servicios, de conformidad al registro de las situaciones reportadas

4 “Plataforma web CA: Software web para reportar los incidentes o servicios que requieran los usuarios de la Superintendencia Nacional

de Salud” Tomado de “Definiciones” Procedimiento Gestión de Incidentes.


14

por funcionarios de la entidad, así como los diferentes “ANS5” definidos en función de tiempo

de tiempo (2, 4 y 8 horas) de conformidad a la complejidad del requerimiento; producto del

análisis a efectuado a la base de datos anteriormente referida, se logró determinar que

durante la vigencia 2018 y según la tipificación asignada, se presentaron un total de 24.168

casos, de los cuales 11 corresponden a problemas; de estos, el 55% (6) cumplieron los

requisitos frente a los niveles de ANS fijados y el 45% restante (5) se encuentran fuera de

los rangos definidos, así:

Imagen 3 – Fuente OCI- ANS procedimiento GSPD03

Es preciso ahora indicar, que por cuenta de la OCI, fue solicitado al líder del proceso motivo

de evaluación, matriz o herramienta que permitiera comprender la parametrización definida

para los ANS, de lo cual se informó que la SNS cuenta con el aplicativo “CA - Service Desk”,

mediante el cual se efectúa dicha parametrización; aportando como soporte imagen del la

“Matriz de cálculo de prioridad de Supersalud”.

5 “Acuerdos de Nivel de Servicios” – “Herramienta que ayuda a ambas partes a llegar a un consenso en términos del nivel de calidad del

servicio, en aspectos tales como tiempo de respuesta, disponibilidad horaria, documentación disponible, personal asignado al servicio,

etc.” – Tomado de “Definiciones” Procedimiento Gestión de Incidentes.


15

Imagen 4 – Fuente OTI - Matriz de Cálculo Prioridad de Supersalud. Aplicativo CA

De lo cual se puede apreciar que la configuración matricial de la misma no resulta ser lógica,

toda vez que el “Impacto” vs “Urgencia” en su gran mayoría da como resultado prioridad baja;

en estas condiciones la OCI reitera Observación No. 01, bajo el agravante que la debilidad

en el citado aplicativo, ocasiona que los ANS se encuentren mal tipificados y por ende, los

datos generados conlleven a contar con información imprecisa, además de evitar la

adecuada y oportuna toma de decisiones que al respecto puediera abordar el líder del

proceso en comento, (Ver numeral 7.2 - Observaciones).

En atención a la información observada mediante la base de datos anteiormente referida,

la OCI efectúo evaluación a 2 de los 5 casos que fueron tipificados como “Problema”, así:

➢ Caso No.1

ID

TIQUETE CATEGORÍA

GRUPO DE

ANALISTA

CUMPLIMIENTO

ANS ANS PRIORIDAD

57687 SOFTWARE. Software Libre. Navegadores

Web. Incidentes de Funcionamiento Mesa de Servicio NO 8 horas Baja

Tabla 2– Fuente OCI - Caso CA 57867

De conformidad con la base de datos entregada al equipo auditor, este caso fue reportado

por funcionario de la OAP el día lunes 12 de febrero de 2018, ahora bien, al efectuar

validación de la trazabilidad en el aplicativo “CA - Service Desk”, no se observa conducta

alguna que permita identificar que se presentaron incidentes que conllevaron a determinar

tal y como lo señala el procedimiento motivo de evaluación que “se entenderá como problema cuando se presentan uno o varios incidentes en los que se desconoce su causa raíz o cuando se presenta un

incidente mayor”, lo cual permite inferir, que el registro en el aplicativo “CA – Service Desk”, no

cumple con este precepto.


16

Actividad Descripción Área

Responsable Registro

Identificar y

registrar

problemas

El profesional asignado se encargará de identificar y registrar los problemas, que permita

establecer el plan de tratamiento del problema. Se entenderá como problema cuando

se presentan uno o varios incidentes en los que se desconoce su causa raíz o

cuando se presenta un incidente mayor.

Otra causa de identificación de problemas es cuando en cualquiera de los procesos de TI

realice una gestión proactiva de problemas, es decir, se identifique un problema potencial,

aunque aún no haya ocurrido este debe ser notificado al proceso de gestión de problemas

para crear un registro del mismo.

Se registran los problemas presentados y reportados por cada uno de los

funcionarios de la entidad en el aplicativo CA - Servicie Desk, los cuales pueden ser

recepcionadas mediante diferentes canales como es: telefónico, Intranet, o de manera

personal al operador de mesa de ayuda.

De esta manera será posible establecer la prioridad y el tratamiento adecuado para la

resolución del problema.

OTI

Aplicación

CA -

Service

Desk

Tabla 3 – Fuente OCI Actividades procedimiento Gestión de Problemas - GSPD03

De lo anterior, se observa debilidad en la “estrecha colaboración” que según la Política de

Operación No. 1 debe establecerse entre la Gestión de incidentes y la de probelmas.

Política de Operación 1

“Establecer una estrecha colaboración entre la Gestión de Incidentes y la de Problemas. Sin esta Gestión

de Incidentes no dispondrá de toda la información necesaria para la rápida solución de los incidentes y la

Gestión de Problemas carecerá de la información necesaria para determinar, clasificar y resolver los

problemas”.

Tabla 4 – Fuente OCI Política de Operación No. 1 procedimiento Gestión de Problemas - GSPD03

Ahora bien, dado que el caso, fue reportado el día lunes 12 de febrero de 2018 y el día

lunes 26 de marzo de la misma anualidad, el técnico asignado lo declara como “resuelto” en

el aplicativo “CA – Service Desk”, indicando que “se verifica el equipo ya está en funcionamiento”; se

evidencia incumplimiento de los ANS que fueron establecidos para dar trámite al caso que

ahora nos coupa, de conformidad a lo regulado en el “Análisis de Tiempo” del ya referido

procedimiento.

Análisis de Tiempo

“El tiempo para el desarrollo del procedimiento se estima dependiendo el problema y el caso planteado por

la dependencia, pero seguirá lineamientos de los tiempos estipulados en los acuerdos de nivel de servicios

de TI.”.

Tabla 5 – Fuente OCI Análisis de Tiempo procedimiento Gestión de Problemas - GSPD03

➢ Caso No.2

ID

TIQUETE CATEGORÍA

GRUPO DE

ANALISTA

CUMPLIMIENTO

ANS ANS PRIORIDAD

73407 HARDWARE. Impresora. Impresora.

Incidentes de Funcionamiento Mesa de Servicio NO 8 horas Media

Tabla 6 – Fuente OCI- Caso CA 73407

De conformidad con la base de datos entregada al equipo auditor, este caso fue reportado

por funcionario de la OCID el día lunes 31 de agosto de 2018, ahora bien, al efectuar

validación de la trazabilidad en el aplicativo “CA - Service Desk”, no se observa conducta


17

alguna que permita identificar que se presentaron incidentes que conllevaron a determinar

tal y como lo señala el procedimiento motivo de evaluación que “se entenderá como problema cuando se presentan uno o varios incidentes en los que se desconoce su causa raíz o cuando se presenta un

incidente mayor”, lo cual permite inferir, que el registro en el aplicativo “CA – Service Desk”, no

cumple con este precepto.

Actividad Descripción Área

Responsable Registro

Identificar y

registrar

problemas

El profesional asignado se encargará de identificar y registrar los problemas, que permita

establecer el plan de tratamiento del problema. Se entenderá como problema cuando

se presentan uno o varios incidentes en los que se desconoce su causa raíz o

cuando se presenta un incidente mayor.

Otra causa de identificación de problemas es cuando en cualquiera de los procesos de TI

realice una gestión proactiva de problemas, es decir, se identifique un problema potencial,

aunque aún no haya ocurrido este debe ser notificado al proceso de gestión de problemas

para crear un registro del mismo.

Se registran los problemas presentados y reportados por cada uno de los

funcionarios de la entidad en el aplicativo CA - Servicie Desk, los cuales pueden ser

recepcionadas mediante diferentes canales como es: telefónico, Intranet, o de manera

personal al operador de mesa de ayuda.

De esta manera será posible establecer la prioridad y el tratamiento adecuado para la

resolución del problema.

OTI

Aplicación

CA -

Service

Desk

Tabla 7 – Fuente OCI- Actividades procedimiento Gestión de Problemas - GSPD03

De lo anterior, se observa debilidad en la “estrecha colaboración” que según la Política de

Operación No. 1 debe establecerse entre la Gestión de incidentes y la de probelmas.

Política de

Operación 1

“Establecer una estrecha colaboración entre la Gestión de Incidentes y la de Problemas. Sin esta Gestión

de Incidentes no dispondrá de toda la información necesaria para la rápida solución de los incidentes y la

Gestión de Problemas carecerá de la información necesaria para determinar, clasificar y resolver los

problemas”.

Tabla 8 – Fuente OCI - Política de Operación No. 1 del Procedimiento Gestión de Problemas - GSPD03

Dado que el caso, fue reportado el día lunes 12 de febrero de 2018 y el día lunes 26 de

marzo de la misma anualidad, el técnico asignado lo declara como “resuelto” en el aplicativo

“CA – Service Desk”, indicando que “usuario informa que no tiene problema con la impresora”; se

evidencia incumplimiento de los ANS que fueron establecidos para dar trámite al caso que

ahora nos coupa, de conformidad a lo regulado en el “Análisis de Tiempo” del ya referido

procedimiento.

Análisis de Tiempo

“El tiempo para el desarrollo del procedimiento se estima dependiendo el problema y el caso planteado por

la dependencia, pero seguirá lineamientos de los tiempos estipulados en los acuerdos de nivel de servicios

de TI.”.

Tabla 9 – Fuente OCI-Análisis de Tiempo procedimiento Gestión de Problemas - GSPD03

Ahora bien, al efectuar validación insitu, respecto del cumplimiento de la Política de

Operación No. 2, del procedimiento motivo de evaluación, no se observa evidencia objetiva

que permita inferir que por parte de los responsables de “Infraestructura TI” se efectuara

“seguimiento cercano” a fin de “matener actualizada la base de datos”.


18

Política de

Operación 2

“Mantener actualizadas las bases de datos asociadas requiere un compromiso por parte de todos los agentes

implicados que frecuentemente requiere un seguimiento cercano de los responsables de la infraestructura

TI”

Tabla 10 – Fuente OCI-Política de Operación No. 2 procedimiento Gestión de Problemas - GSPD03


debilidad en el autocontrol que se debió ejercer en el proceso “Gestión de Servicios Tecnológicos”,

configurando incumplimiento de lo preceptuado en el artículo 4º de la Resolución 4086 del

19 de diciembre de 2014, la cual precisa: “los procesos y procedimientos adoptados por la presente resolución son de obligatorio cumplimiento para los servidores públicos y contratistas que

laboran en la Superintendencia Nacional de Salud”; (Negrillas nuestras); eventos que reiteran NO

Conformidad No. 01. (Ver numeral 7.3 - NO Conformidades).

d. Procedimiento Control Software Misional de la Entidad- GSPD05

Objetivo: “Confirmar la capacidad operativa de los sistemas de información misionales mediante el monitoreo

de su desempeño de conformidad con los requisitos establecidos para garantizar la confiabilidad del

funcionamiento de los Sistemas”.

Alcance: “Inicia con el registro de la solicitud en la herramienta de mesa de servicio con todos los detalles que

han ocurrido (hora, descripción, sistemas afectados y/o usuario que lo reporta), continua con el diagnóstico,

análisis y la asignación de prioridad del incidente y finaliza la restauración, solución, monitoreo y seguimiento al

incidente del servicio”.

Ámbito de aplicación: “Inicia con la configuración del sistema a monitorear en la herramienta de

seguimiento, parametrizando la gestión de acceso a usuarios, continua con la selección de tipos de informes a

visualizar, la configuración de fechas del informe y finaliza con guardar, exportar o enviar los informes generados

en formato .pdf, .xlsx entre otros”.


desactualizado en su parte normativa, ya que en el acápite “Normas” no contempla el Decreto

1499 de 2017 MIPG expedido por el DAFP, el cual consolida la Política de Gobierno Digital

y el MECI; así mismo no se incluye la Resolución 1110 de 2015, la cual derogó la




Igualmente, de la verificación insitu se pudo constatar que, por parte de la OTI, líder del

procedimiento evaluado, no se da aplicabilidad a las condiciones reguladas en el

procedimiento y en concreto a las establecidas en las siguientes actividades:

Actividad No.1 “Recibir la solicitud de monitoreo de la Aplicación”, - “El área líder del proceso en el cual se

ejecuta la aplicación realiza la solicitud de monitoreo mediante memorando, identificado con código ASFL01”.


19

Actividad No. 4: “Parametrizar la aplicación en el Software de Seguimiento”, descripción de la actividad

“Se parametriza la aplicación en el software de seguimiento, definiendo el tipo de monitoreo (BD, Sesiones de usuario, Red, memoria, etc.), definiendo la aplicación que se va a monitorear con el propósito de atender las

solicitudes enviados por las áreas e identificados por el profesional designado por la OTI”; eventos que

igualmente no son desarrollados por parte de quien lidera el procedimiento evaluado.

De lo anterior, durante la vigencia 2018, no se observa que se haya dado socialización,

implementación y por ende cumplimiento al procedimiento “Control Software Misional de la

Entidad” GSPD05, ni que alguna de las áreas misionales efectuara tal solicitud, aunado a

que no fue aportada evidencia objetiva que permitiera establecer la socialización del

señalado procedimiento, situaciones que igualmente permiten concluir incumplimiento del

objetivo definido en el procedimiento identificado con el código GSPD05.


debilidad en el autocontrol que se debió ejercer en el proceso “Gestión de Servicios Tecnológicos”

respecto del procedimiento GSPD05, configurando incumplimiento de lo preceptuado en el

artículo 4º de la Resolución 4086 del 19 de diciembre de 2014, la cual precisa: “los procesos y procedimientos adoptados por la presente resolución son de obligatorio cumplimiento para los

servidores públicos y contratistas que laboran en la Superintendencia Nacional de Salud”; (Negrillas nuestras);

eventos que reiteran NO Conformidad No. 01 (Ver numeral 7.3 - NO Conformidades).

5.2 Proceso Provisión de Soluciones Tecnológicas

La OTI lidera el Proceso “Provisión de Soluciones Tecnológicas”, el cual es desarrollado a través

de 2 procedimientos a saber:

➢ Gestión de Arquitectura de TI

➢ Gestión de Aplicaciones

a. Procedimiento Gestión Arquitectura de Tecnologías de la información - RSPD01

Objetivo: “Formular la arquitectura de solución de T.I., mediante la realización del ciclo de vida de arquitectura

de solución, la elaboración de documentos de estudios previos, aplicación de buenas prácticas de gestión de

proyectos y apoyo al gobierno arquitectónico de la implementación, con el propósito de proveer soluciones

tecnológicas adecuadas que atiendan las necesidades y/o problemáticas de la entidad”.

Alcance: “Inicia con el análisis del requerimiento, continúa con la formulación de la estrategia del ejercicio de

arquitectura, Definición del Ejercicio de Arquitectura de TI, la ejecución del ejercicio de arquitectura, Formulación

de la Hoja de Ruta para Implementar la solución, elaboración de documentos precontractuales, empalme del

diseño arquitectónico de la solución de T.I. a los demás grupos de la OTI, apoyo al gobierno arquitectónico de

la implementación y finaliza con la definición y/o actualización de guías, lineamientos, políticas, estándares y

marcos de referencia de Arquitectura de T.I.”.


20


La OCI practicó evaluación con el fin de identificar el cumplimiento del procedimiento

RSPD01, el cual registra que la última actualización aprobada por la OAP fue mediante

NURC 3-2017-015273 del 02-10-2017, estando actualmente en versión 5.



indirectamente pudieran estar asociados a este, tomando como muestra el proyecto

“Automatización de Gestión de Procesos Administrativos y el Proceso de Auditorías para la Supervisión

Institucional, a través de BPMS”




Digital y el MECI; y hace falta incluir la Resolución 10447 de 2018, donde se nombran los

nuevos coordinadores de los Grupos Internos de Trabajo de la OTI.

Con el fin de determinar el cumplimiento de las Políticas de Operación, se revisó la

documentación aportada por la OTI y se hizo seguimiento a la traza de los casos CA que

generaron la adquisición del proyecto BPMS; en este punto es importante mencionar que

las primeras solicitudes que dieron origen a la contratación del proyecto BPMS estaban

orientadas para atender los procesos de: Gestión del Proceso Administrativo, Actuaciones

Disciplinarias y Gestión de Cobro Persuasivo y Jurisdicción Coactiva; posteriormente, se

determinó que el proyecto atendiera la automatización de Gestión de Procesos

Administrativos y Auditorías para la Supervisión Institucional.

De la verificación efectuada en el aplicativo CA de la Mesa de Servicios, se registraron 3

solicitudes (15570 del 25-09-2015 de SDPA, 25557 del 06-06-2016 de OCID y 42226 del

31-05-2017 de SDSI), observando el cumplimiento de las políticas de operación 1, 2, y 6

de este procedimiento, que indican que toda solicitud debe ingresar por el aplicativo CA.

En relación con la política de operación No. 7 indica que los requisitos de seguridad de la

información deben ser recopilados diligenciando el formato RSFT03, formato que no se

encontró en los documentos aportados para ninguna de las solicitudes que originaron este

proyecto; adicionalmente este formato es enunciado en las políticas de operación, pero no

es invocado en ninguna de las actividades del procedimiento.

Respecto de la política de operación No. 8 “Los ejercicios de arquitectura de solución de T.I. deben alinearse con lo establecido en el documento de “Arquitectura de referencia de componentes de software para

las nuevas soluciones de la SNS” existente en el SIG, de lo contrario se documentarán las excepciones”, en


21

ella no se encuentra cómo se “documentarán las excepciones”, por lo cual se reitera NO

Conformidad No. 01 (Ver numeral 7.3 - NO Conformidades).

Ahora bien, mediante muestreo aleatorio se efectuó evaluación de actividades definidas en

este procedimiento, así:

Con el fin de determinar el cumplimiento de actividades definidas en este procedimiento, se

seleccionaron 5 de ellas.

Actividad Descripción Registro Caso revisado Cumple

(SI/NO)

1. Recibir y

Analizar el

requerimiento

La dependencia solicitante debe diligenciar en su totalidad el

formato Solicitud de requerimientos para sistemas de

información, código RSFT02. Este deberá tener la firma del

jefe de la dependencia.

Dicha solicitud debe ser radicada mediante el sistema de

información CA Service Desk, adjuntando el formato antes

descrito.

Un analista de sistemas de la mesa de servicio hace la

asignación del caso a través del sistema de información CA

Service Desk, al Grupo de Gestión de Arquitectura de TI.

El coordinador del grupo de Gestión de Arquitectura de TI

asigna a un profesional especializado para atender el

requerimiento.

El Profesional especializado del Grupo de Gestión de

Arquitectura de TI, que es asignado al caso realiza el

acompañamiento al área solicitante para la definición del

alcance y entendimiento del requerimiento e identifica en

conjunto con el arquitecto líder si el requerimiento debe ser

atendido por este grupo de trabajo según la: “Guía de apoyo

para el procedimiento de gestión de arquitectura de T.I.”,

código RSGU04.

Solicitud de requerimientos

para sistemas de

información. Código

RSFT02

Sistema de información CA

Service Desk

15570 (SDPA)

Solo CA

sin

anexos


para sistemas de


RSFT02


Service Desk

25557 (OCID)

Solo CA

sin

anexos


para sistemas de


RSFT02


Service Desk

42226 (SDSI) SI

3. Formular la

estrategia del

ejercicio de

arquitectura de

T.I

El Profesional del Grupo de Gestión de Arquitectura de TI

asignado al proyecto, con apoyo del arquitecto líder y

coordinador de grupo, acuerdan con el solicitante del

requerimiento realizar sesiones de trabajo, registradas

mediante actas, el levantamiento de la información de los

componentes que se relacionan a continuación:

- Problemática que se debe resolver

- Motivadores (beneficios esperados)

- Identificación de Interesados

- Alcance

- Metodología

- Entregables del ejercicio (para esta actividad se debe

consultar el documento de apoyo: “Matriz de entregables del

procedimiento Gestión de Arquitectura de T.I.”)

Con la información recopilada se elabora el documento de:

Estrategia del ejercicio de arquitectura de T.I. código


Service Desk

Estrategia del ejercicio de

arquitectura de T.I. código

COFL02

Acta de constitución

Código COFL02

15570 (SDPA)

Solo CA

sin

anexos


Service Desk



COFL02


Código COFL02

25557 (OCID)

Solo CA

sin

anexos


22


(SI/NO)

COFL02. y el Acta de constitución Código COFL02, que

contiene entre otros, la firma de aprobación del solicitante

frente a la estrategia propuesta.

Los eventos más relevantes de esta actividad son registrados

como actualización del caso en el sistema de información CA

Service Desk


Service Desk



COFL02


Código COFL02

42226 (SDSI) SI

6. Formular Hoja

de Ruta para

Implementar la

solución.

El profesional del Grupo de Gestión de Arquitectura de TI

asignado al proyecto, elabora, presenta y propone al área

solicitante del requerimiento los siguientes documentos:

- Análisis de brecha de la arquitectura actual vs. la

arquitectura objetivo, por dominio.

- Identificación de iniciativas o Proyectos

- Priorización de proyectos.

- Definición de ruta a implementar

Los cuáles serán aprobados mediante acta de reunión por el

jefe del área solicitante, coordinador de Grupo de Gestión de

Arquitectura y jefe de la oficina de tecnologías de la

información.



Service Desk.

Acta, Código ASFT06


Service Desk

15570 (SDPA) NO

25557 (OCID) NO

42226 (SDSI) NO

9. Elaborar

Documentos

Precontractuales

El profesional del Grupo de Gestión de Arquitectura de TI

asignado al proyecto, elabora los siguientes documentos con

el apoyo del Arquitecto líder (rol definido dentro del proyecto)

y el Coordinador de arquitectura y acorde a los lineamientos

establecidos en el proceso Precontractual, código PPCR01 y

a las actividades descritas en el manual de contratación y

supervisión, código PPMN01:

- Anexo técnico

- Estudio de mercado

- Solicitud de CDP

- Estudio previo

- Solicitud de vigencias futuras (en caso de requerirlo)

Consolidados los documentos anteriores, se procede con la

radicación de solicitud de contratación, mediante memorando,

código ASFL01 dirigido al grupo de contratación.

Una vez se dispone de asignación de abogado al proceso por

parte del grupo de contratación, se realizan las siguientes

actividades de orden técnico:

- Revisión y ajustes a documentos elaborados.

- Respuestas a observaciones de carácter técnico de

posibles proponentes.

- Evaluación técnica de propuestas

- Respuestas a observaciones de la evaluación realizada.


como actualización del caso en la aplicación CA Service Desk

Memorando, ASFL01


Service Desk

15570 (SDPA)

Solo CA

sin

anexos

Memorando, ASFL01


Service Desk

42226 (SDSI)

Solo CA

sin

anexos

11. Apoyar en el

gobierno

arquitectónico

Durante la ejecución y monitoreo a la implementación de la

solución, ya sea para desarrollos internos o servicios

tercerizados, el profesional especializado del Grupo de

Gestión de Arquitectura de TI asignado al proyecto y de


Service Desk

Bitácora de proyecto

15570 (SDPA) NO


23


(SI/NO)

de la

implementación

acuerdo con los requerimientos de la solución acompaña las

siguientes actividades:

- Hacer seguimiento y verificación al cumplimiento de los

componentes arquitectónicos diseñados.

- Poblar del repositorio documental de arquitectura, de

acuerdo con los documentos generados por la

implementación de la solución de T.I.

- Formular recomendaciones asociadas al cumplimiento de la

arquitectura, mitigación de riesgos y /o acciones de mejora

frente a situaciones que se presenten durante la ejecución

del contrato, cuando aplique.

- Actualizar la bitácora de implementación del proyecto

mensualmente.

Estas actividades pueden realizarse en paralelo y activar

cambios en la Definición de Arquitectura, en tal caso debe

analizar el impacto de los mismos y actualizar la

documentación relacionada de la arquitectura a implementar.



Service Desk.


Service Desk

Bitácora de proyecto

42226 (SDSI) Solo

Bitácora

Tabla 11 – Fuente OCI - Procedimiento Gestión Arquitectura TI – RSPD01

Sobre la aplicación de este procedimiento, la OCI observó que los registros en el aplicativo

CA, son muy superficiales y no dejan entrever claramente la traza ni evidencia de las

acciones adelantadas; adicionalmente, sobre la documentación aportada por la OTI como

soporte, se encontró que, en la ejecución de este procedimiento que involucró la revisión

de 3 casos, no se tiene información suficiente que permita colegir que hay uniformidad en

la documentación y los pasos que se deben realizar para el cumplimiento los requerimientos

establecidos en el procedimiento RSPD01.

En consecuencia, y bajo el sustento de la evidencia objetiva recaudada, se observó

debilidad en la aplicación del procedimiento RSPD01 y autocontrol que se debió ejercer en

el proceso, factores que configuran incumplimiento a lo preceptuado en el artículo 4 de la

Resolución 4086 del 19 de diciembre de 2014, la cual precisa: “los procesos y procedimientos adoptados por la presente resolución son de obligatorio cumplimiento para los servidores públicos y

contratistas que laboran en la Superintendencia Nacional de Salud”; (Negrillas nuestras); eventos que

reiteran NO Conformidad No. 01 (Ver numeral 7.3 - NO Conformidades).

b. Procedimiento Gestión de Aplicaciones – RSPD02

Objetivo: “Implementar las soluciones tecnológicas requeridas por la entidad, mediante los acuerdos de desarrollo, implantación, normalización y actualización de sistemas de información con el propósito de

garantizar el funcionamiento de las aplicaciones y apoyar los procesos de negocio de la entidad”.


24

Alcance: “Inicia con el establecimiento de los acuerdos de desarrollo definidos en el procedimiento “Gestión de arquitectura de TI”, continúa con el desarrollo o ajuste de la solución, validación de las iteraciones y termina

con la transición, puesta en marcha y el soporte funcional”.


La OCI practicó evaluación a fin de identificar el cumplimiento del procedimiento RSPD02,

el cual registra que la última actualización aprobada por la OAP fue mediante NURC 3-

2016-019443 del 14-10-2016, estando actualmente en versión 2.

Se hizo muestreo aleatorio de las políticas de operación y actividades que se definen en el

procedimiento, respecto de las conductas reguladas en el SIG de la Entidad, que directa o

indirectamente pudieran estar asociados a este, seleccionando del aplicativo CA el caso

63789 del 27-04-2018 que corresponde a una solicitud relacionada con la segunda fase del

sistema RILCO.



Decreto 1499 de 2017 MIPG, expedido por el DAFP, el cual consolida la Política de

Gobierno Digital y el MECI; así mismo no se incluye la Resolución 1110 de 2015, la cual

derogó la Resolución 1621 de 2014, por la cual se crearon los Grupos Internos de Trabajo

de la OTI; y tampoco se registra la Resolución 10447 de 2018, donde se nombran los

nuevos coordinadores de los Grupos Internos de Trabajo de la OTI.

Con el fin de determinar el cumplimiento de las Políticas de Operación, se hizo seguimiento

a la traza del caso 63789 para determinar el cumplimiento de las 2 políticas de operación

definidas en el procedimiento.

Política de operación No. 1: “Toda solicitud de trabajo debe entregarse a través del caso generado

por el procedimiento Gestión de Requerimientos, código GSPD04”, encontrando que

originalmente el requerimiento fue elevado por el área solicitante el 18-04-2018 (formato

RSFT02), y en el aplicativo quedó abierto el 27-04-2018, con fecha de cierre el 08-11-2018,

observando el cumplimiento de esta política de operación.

Política de operación No. 2: “Se deben tener en cuenta los requisitos establecidos por el

Subsistema de Seguridad de la Información en el formato Requerimientos de Seguridad para

Aplicaciones con código RSFT03”. Esta política indica que se debe diligenciar el formato

RSFT03, el cual no se encontró en la documentación aportada, ni en la traza del caso en

CA.

Con el fin de determinar el cumplimiento de las actividades definidas en este procedimiento,

se seleccionaron 3 de ellas, debido a que la actividad No. 1 indica que, si la solicitud se


25

realiza sobre un producto existente, se debe continuar con la actividad 3, por lo que no se

evaluó traza de la actividad 2 “Implantar Sistemas de Información”, encontrando lo

siguiente:

Actividad Descripción Registro Cumple

(SI/NO)

1. Identificar

acuerdos de

desarrollo

El jefe de la OTI, junto con la dependencia solicitante del requerimiento del Sistema de

Información, elabora los acuerdos de desarrollo acorde a los lineamientos establecidos en el

procedimiento Gestión de Arquitectura de Tecnologías de la Información, código RSPD01 y el

Procedimiento de Gestión de Requerimientos, código GSPD04 pertenecientes al proceso Gestión

de Servicios Tecnológicos y mediante acta, registra los acuerdos establecidos.

Si se trata de un requerimiento totalmente nuevo, se continúa con la actividad 2, del presente

procedimiento.

Si se trata de un requerimiento que se encuentra en uso en la entidad, se continúa con la

actividad 3, del presente procedimiento.

Acta.

Sistema de

información

de

Planeación

y Gestión

NO

3. Actualizar

o mantener

Sistemas de

Información

El profesional asignado, para actualizar o mantener los Sistemas de Información, deberá realizar

las siguientes actividades:

• Elaborar y solicitar aprobación de los diseños por parte del dueño del proceso, en caso de

involucrar actividades de desarrollo.

• Preparar el ambiente de desarrollo de Software.

• Preparar y elaborar guiones; realizar y evaluar pruebas unitarias de integración y de sistemas.

• Elaborar Plan de Migración de datos

Cuando se acuerda trasladar datos históricos a la nueva funcionalidad:

o Desarrollo de software de migración.

o Establecer ambiente.

o Realizar y evaluar pruebas de migración.

o Elaboración de manuales, si es requerido.

o Implantar las prácticas que le permiten al equipo tener retroalimentación temprana y continua de

los interesados, y demostrar valor e iteración incremental, remitirse a la guía para la implantación

o implementación de sistemas de información.

o Para la profundización e identificación de actividades detalladas para cada una de las

actividades mencionadas anteriormente, por favor ver la Guía Gestión de mantenimiento, código

RSGU02.

NO

4. Gestionar

la puesta en

Implantación

de Sistemas

de

información

El profesional asignado, para Puesta en Implantación de Sistemas de información, deberá realizar

las siguientes actividades:

• Garantizar la calidad del software por medio de la definición y ejecución de pruebas funcionales,

de instalación y de software.

• Definir y especificar el Plan de Implantación.

• Capacitar al Equipo de Implantación.

• Capacitar a los usuarios líderes, usuarios finales y a quienes deben dar soporte de mesa de

ayuda.

• Preparar plan de pruebas, realizar y evaluar las pruebas de aseguramiento de calidad, y

preparar la estructura y plan de mantenimiento.

• Identificar, describir y establecer acuerdos de niveles de servicio de TI.

• Obtener aprobación del sistema.

• Preparar y habilitar ambiente de Producción.

Ver actividades detalladas para cada una de las actividades mencionadas anteriormente, remitirse

a la Gestión de implantación, código RSGU01

NO

Tabla 12 – Fuente OCI- Tomado del Procedimiento Gestión de Aplicaciones – RSPD02

Sobre la aplicación de este procedimiento, la OCI encontró los registros en el aplicativo CA,

son muy superficiales y no dejan entrever la traza ni evidencia de las acciones adelantadas;

adicionalmente, sobre la documentación aportada por la OTI como soporte, se puede ver


26

que se hizo la gestión solicitada, pero no se cumplió con los requerimientos establecidos

en el procedimiento RSPD02.


debilidad en la aplicación del procedimiento RSPD02 y por ende, autocontrol que se debió

ejercer en el proceso, configurando incumplimiento a lo preceptuado en el artículo 4º de la

Resolución 4086 del 19 de diciembre de 2014, la cual precisa: “los procesos y procedimientos adoptados por la presente resolución son de obligatorio cumplimiento para los servidores públicos y

contratistas que laboran en la Superintendencia Nacional de Salud”; (Negrillas nuestras); eventos que

reiteran NO Conformidad No 01 (Ver numeral 7.3 - NO Conformidades).

5.3 Sistemas de información, seleccionados por muestreo

Para la auditoría objeto de este informe, se hizo solicitud a la OTI sobre el aporte de un

inventario de sistemas de información existentes en la entidad durante la vigencia 2018,

para lo cual se aportó un listado de 25 aplicaciones, indicando en cada una de ellas nombre

del sistema de información, descripción, tipo de aplicación (misional, apoyo, estratégico,

transversal), tipo de información que administra, tipo de implementación, fabricante o

desarrollador.

De la anterior lista se seleccionaron 3 sistemas que se encuentran en producción, a los que

se le verificaron los controles de acceso, perfiles y existencia de manuales; adicionalmente

se les hizo valoración e interacción con los Riesgos tanto Operacionales (Gestión) como de

Corrupción, y las conductas reguladas en el SIG de la Entidad, que directa o indirectamente

pudieran estar asociados a estos:

o NRVCC y RVCC para el cargue de Circular Única;

o SGT-Sistema Gestión de Tasa;

o SUPERCOR-Gestión Documental.

Además, se verificaron otros sistemas que fueron adquiridos pero que no han entrado en

producción, a los cuales se les hizo seguimiento para determinar su estado contractual,

técnico y funcional:

o SJC software para la SDFJC;

o SUMA-Gestor Documental;

o Plataforma BPMS, para la automatización de los procesos de negocio de la SNS

(módulos de “Auditorías” para la SDSI y “Gestión del Proceso Administrativo” para la

SDPA).


27

5.3.1 Circular Única “nRVCC” y “RVCC”

Antecedentes:

A través del Sistema de Recepción, Validación y Cargue de la Circular Única - RVCC, los

vigilados reportan la información que solicita la SNS, de acuerdo con los diferentes tipos,

atendiendo las fechas o periodicidad en que debe ser enviada, de conformidad con lo

establecido en la Circular Externa 047 de 2007 y las modificaciones que ésta ha tenido en

el tiempo; insumo que sirve a otras dependencias como la SDSI y SEGEN, para determinar

el estado en el cual se encuentran los vigilados en aspectos generales, administrativos y

financieros, y con base en esa información, desarrollar en debida forma las funciones de

Inspección, Vigilancia y Control.

El Sistema de Recepción, Validación y Cargue Circular Única-RVCC, es el que suministra

al proceso de Gestión de Tasa (cálculo, liquidación y recaudo), la base de vigilados que

han reportado a través de este sistema la información requerida por Circular No. 047 de

2007.

Renovación Tecnológica del sistema de información RVCC

Desde la vigencia 2015 y durante la vigencia 2016, la SNS a través de los funcionarios y

contratistas de la OTI, se realizó el análisis, diseño, desarrollo e implementación del nuevo

sistema de recepción de archivos financieros el cual contempla temas de retransmisiones

y datos generales en su fase III, implementando nuevas validaciones a los archivos de

cargue y la implementación de un módulo temporal de habilitaciones solicitado por el área

funcional, además de una reestructuración al CORE que permita nuevas capacidades frente

a la imputación transaccional.

El nuevo sistema de Recepción, Validación y Cargue Circular de Archivos – nRVCC, entró

en producción durante el primer trimestre de 2017, logrando tener mayor disponibilidad de

la infraestructura, permitiendo atender de manera fluida la alta concurrencia de los vigilados

en la plataforma.

El sistema de validación para el ingreso de los vigilados al sistema (RVCC y nRVCC),

cuenta con una interfaz web de autenticación para las entidades vigiladas, el cual exige uso

de usuario y contraseña para cada entidad, permite “validar, cargar oficialmente la

información” y “verificar el reporte de los envíos realizados y de los archivos reportados”,

en cumplimiento de lo estipulado en las circulares publicadas en la página web de la

Superintendencia, siguiendo enlace: https://www.supersalud.gov.co/vigilados/normatividad/circular-unica.

https://www.supersalud.gov.co/vigilados/normatividad/circular-unicahttps://www.supersalud.gov.co/vigilados/normatividad/circular-unica


28

Es importante mencionar que las dos versiones del aplicativo están disponibles y se utilizan,

debido a que a través de cada una de ellas, se transmiten archivos diferentes; por ejemplo,

en RVCC se transmiten los archivos definidos por la Circular Externa 047 de 2007-

información financiera (los que están vigentes) y en NRVCC se transmiten los nuevos

reportes definidos desde la emisión de las Circulares 012 y 016 de 2016 y subsiguientes,

las cuales contemplan, entre otros, la aplicación de las normas NIIF.

El sistema de cargue Circular Única, se ha estado actualizando permanentemente de

acuerdo con los requerimientos del área funcional (SDSI), entre los cuales se encuentran

la estructuración de las Circulares Externas 012 y 016 de 2016, y las subsiguientes que se

han generado por parte de la entidad.

Tanto para el antiguo RVCC como el nRVCC, la entidad tiene dispuesto en la página web,

los manuales, resoluciones, circulares y demás documentación necesaria para guiar a los

vigilados en la transmisión de sus archivos.

Toda esta documentación puede ser consultada en el siguiente enlace:

https://www.supersalud.gov.co/vigilados/normatividad/circular-unica. Otra forma de consultar normativa

es siguiendo el enlace: https://www.supersalud.gov.co/vigilados/normatividad/circulares-externas.

Verificación Funcional de la OCI:

▪ En la visita insitu, se realizaron pruebas con los perfiles de administrador (OTI) y con perfil

de usuario (vigilado), con el fin de verificar el nivel de seguridad y validación que se tiene

parametrizado en este sistema.

▪ Al ingresar a RVCC/NRVCC, la primera validación es el uso de un usuario y contraseña;

en la entidad la verificación y activación de usuarios de vigilados

▪ La definición, modificación, eliminación de usuarios, se hace en la OTI con base en correo

radicado por la Mesa de Servicios, quienes reciben el correo en

[email protected], para lo cual se genera el caso en CA.

En la visita insitu y pruebas realizadas, se observó carga operativa en la administración de

usuarios, la cual debería estar en cabeza del área funcional, por lo cual la OCI configura la

Observación No. 02 (Ver numeral 7.2 - Observaciones), ya que una inapropiada segregación de

funciones, origina deficiencias significativas en el control que se debe ejercer sobre estos

sistemas de información, aumentando la probabilidad de ocurrencia de errores

(intencionales o involuntarios), afectando o impidiendo una adecuada asistencia en la

protección de los activos de información de la entidad, y restando tiempo y recursos para la

ejecución de otras actividades propias de la OTI.

https://www.supersalud.gov.co/vigilados/normatividad/circular-unicahttps://www.supersalud.gov.co/vigilados/normatividad/circulares-externasmailto:[email protected]


29

▪ En el portal web de la entidad, se tiene una página para el ingreso de vigilados, donde se

pueden consultar los manuales de acceso al sistema, la normativa expedida para el cargue

y validación de información, circulares expedidas modificatorias de la circular Única, y los

íconos que permiten ingresar al sistema; los cuales se pueden verificar en el siguiente

enlace: https://www.supersalud.gov.co/vigilados/normatividad/circular-unica, funcionalidad que permite

a los vigilados la consulta permanente de la documentación que les compete y que es

generada por la SNS.

▪ En las transmisiones que hacen los vigilados, hay mallas de validación que permiten

garantizar que las características de los archivos cumplen con lo requerido por el sistema.

▪ Al sistema se le hacen copias de seguridad (backup`s), en cumplimiento de las políticas y

periodicidad establecidas por la entidad.

5.3.2 Sistema Gestión de Tasa – SGT

Antecedentes:

Con el fin de automatizar el proceso Gestión de tasa en un sistema de información que

consolide información, realice el cálculo, la liquidación, la notificación, el recaudo y la cartera

para la Tasa de Inspección, Vigilancia y Control de manera integral y sistémica, se suscribió

el contrato 611 de 2013 (adquisición, desarrollo e implementación del software) con la Unión

temporal Abits-Sertisoft; posteriormente y de forma periódica se han suscrito contratos de

mantenimiento y soporte.

Estado contractual:

Contrato No. 611 de 2013 Valor del Contrato: $1.099.999.580.

Clase de Contrato: Prestación de Servicios.

Contratista: UNIÓN TEMPORAL ABITS - SERTISOFT.

Objeto Contractual:

Proveer el licenciamiento del software que permita el proceso integral de consolidación de información,

cálculo, liquidación, notificación, recaudo y cartera para la Tasa de Inspección, Vigilancia y Control de la

Superintendencia Nacional de Salud de conformidad con las especificaciones descritas en el Anexo

Técnico.

Supervisores del

Contrato: Secretaría General y Oficina de Tecnologías de la Información.

Fecha Inicio: 12 de diciembre de 2013.

Fecha Terminación: 31 de julio de 2014.

Prórroga 1: Del 1 al 31 de agosto de 2014.

Motivo prórroga: Prórroga en tiempo de 1 mes y modificación obligación específica No. 14 y modificación cláusula forma de

pago.

Prórroga 2: Del 31 de agosto al 31 de octubre de 2014.

Motivo prórroga: Prórroga en tiempo de 2 meses.

Acta de Liquidación del

Contrato: enero 8 de 2015.

Contrato No. 188 de 2015

https://www.supersalud.gov.co/vigilados/normatividad/circular-unica


30

Valor del Contrato: $203.154.280.

Clase de Contrat

superintendencia nacional de salud oficina de …...sistema de seguimiento proyectos de inversión...

Documents