superintendencia nacional de salud oficina de …...sistema de seguimiento proyectos de inversión...
TRANSCRIPT
-
SUPERINTENDENCIA NACIONAL DE SALUD
OFICINA DE CONTROL INTERNO
INFORME FINAL AUDITORÍA PROCESOS
*Gestión de Servicios Tecnológicos
*Provisión de Soluciones Tecnológicas
ABRIL DE 2.019
Bogotá D.C.
-
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
2
TABLA DE CONTENIDO 1. Objetivo ...................................................................................................................................................................... 5
2. Criterios ...................................................................................................................................................................... 5
3. Alcance....................................................................................................................................................................... 6
4. Metodología ............................................................................................................................................................... 6
5. Informe ....................................................................................................................................................................... 7
5.1 Proceso Gestión de Servicios Tecnológicos .................................................................................................... 8
5.2 Proceso Provisión de Soluciones Tecnológicas ............................................................................................ 19
5.3 Sistemas de información, seleccionados por muestreo ............................................................................... 26
5.3.1 Circular Única “nRVCC” y “RVCC” ............................................................................................................. 27
5.3.2 Sistema Gestión de Tasa – SGT ................................................................................................................ 29
5.3.3 Sistema de Gestión Documental- SUPERCOR........................................................................................ 33
5.3.4 Software para la SDFJC - SJC ................................................................................................................... 38
5.3.5 Gestor Documental - SUMA ........................................................................................................................ 43
5.3.6 BPMS Automatización “Procesos Administrativos” y “Auditorías” para la Supervisión Institucional 52
5.4 Proyectos de Inversión ...................................................................................................................................... 58
5.5 Evaluación Riesgos Operacionales y de Corrupción.................................................................................... 65
5.5.1 Riesgos Operacionales ................................................................................................................................ 65
5.5.2 Riesgos de Corrupción ................................................................................................................................. 73
5.5.3 Riesgos del Mapa de Riesgos versus Puntos de control de los procedimientos ................................ 74
5.6 Planes de Mejoramiento radicados en el Sistema Integrado de Planeación y Gestión – SIPG. ........... 74
5.7 Evaluación a la Gestión Documental y organización de archivos .............................................................. 77
6. Conclusiones ...................................................................................................................................................... 83
7. Hallazgos ............................................................................................................................................................ 85
7.1 Recomendaciones ............................................................................................................................................. 85
7.2 Observaciones ................................................................................................................................................... 85
7.3 No Conformidades ............................................................................................................................................. 87
8. Observaciones del Auditado al informe preliminar........................................................................................ 93
-
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
3
LISTA DE TABLAS
Tabla 1 – Fuente OCI - Lista de abreviaturas ....................................................................................... 7
Tabla 2– Fuente OCI - Caso CA 57867 ............................................................................................... 15
Tabla 3 – Fuente OCI Actividades procedimiento Gestión de Problemas - GSPD03 ......................... 16
Tabla 4 – Fuente OCI Política de Operación No. 1 procedimiento Gestión de Problemas - GSPD03 16
Tabla 5 – Fuente OCI Análisis de Tiempo procedimiento Gestión de Problemas - GSPD03 ............. 16
Tabla 6 – Fuente OCI- Caso CA 73407 ............................................................................................... 16
Tabla 7 – Fuente OCI- Actividades procedimiento Gestión de Problemas - GSPD03 ....................... 17
Tabla 8 – Fuente OCI - Política de Operación No. 1 del Procedimiento Gestión de Problemas -
GSPD03 .............................................................................................................................................. 17
Tabla 9 – Fuente OCI-Análisis de Tiempo procedimiento Gestión de Problemas - GSPD03............. 17
Tabla 10 – Fuente OCI-Política de Operación No. 2 procedimiento Gestión de Problemas - GSPD03
........................................................................................................................................................... 18
Tabla 11 – Fuente OCI - Procedimiento Gestión Arquitectura TI – RSPD01 ..................................... 23
Tabla 12 – Fuente OCI- Tomado del Procedimiento Gestión de Aplicaciones – RSPD02 ................. 25
Tabla 13 – Fuente OCI Relación Contratos SGT................................................................................. 30
Tabla 14 – Fuente OCI. Contrato 574 de 2013 .................................................................................. 39
Tabla 15 – Fuente OCI. Contrato de compraventa No. 247 de 2016 ................................................ 44
Tabla 16 – Fuente OCI. Entregables 2016- contrato 247 de 2016 .................................................... 46
Tabla 17 – Fuente OCI. Entregables 2017 Contrato 247 de 2016 ..................................................... 46
Tabla 18 – Fuente OCI. Contrato 265 de 2017 .................................................................................. 54
Tabla 19 – Fuente OCI – Tomado de Informe “Gastos de Inversión Diciembre de 2018”-
https://www.supersalud.gov.co ..................................................................................................... 59
Tabla 20 – Fuente OCI - Tomado PAG OTI - Proyectos de Inversión ................................................. 59
Tabla 21 – Fuente “Guía Institucional de Gestión de Proyectos” – EPGU01 .................................... 60
Tabla 22 – Fuente “Guía Institucional de Gestión de Proyectos” – EPGU01 .................................... 60
Tabla 23 – Fuente OCI - “Guía Institucional de Gestión de Proyectos” – EPGU01 ........................... 60
Tabla 24 – Fuente OCI - Indicadores de Gestión ............................................................................... 61
Tabla 25 – Fuente PAG SNS 2018 ...................................................................................................... 62
Tabla 26 – Fuente OCI-Relación contratos suscritos bajo la supervisión de la OTI .......................... 64
Tabla 27 – Fuente OCI –Riesgos Operacionales proceso “Gestión de Servicios Tecnológicos”.
Tomado de Mapa de Riesgos Institucional – OTI .............................................................................. 65
Tabla 28 –Tomado del NURC 3-2017-020008 del 27.12.17 / Formato “Identificación y
Consolidación de Necesidades de Capacitación” - FCFT01 ............................................................... 66
Tabla 29 – Fuente OCI. Relación capacitaciones recibidas por a OTI en 2018, según tipo de
profesional ........................................................................................................................................ 66
Tabla 30 – Fuente OCI. Relación capacitaciones recibida por la OTI durante 2018.......................... 66
-
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
4
Tabla 31 – Fuente OCI. Hoja de Vida Indicador GS02. www.supersalud.gov.co. .............................. 67
Tabla 32 – Fuente OCI. Reporte cumplimiento Indicadores de gestión OTI-2018 ............................ 68
Tabla 33 – Fuente OCI. Informe actividades Mesa de Servicio Junio 2018 ....................................... 69
Tabla 34 – Fuente OCI. Informe actividades Mesa de Servicio Julio 2018 ........................................ 69
Tabla 35 – Fuente OCI. Reporte Actividades Mesa de Servicio "Top 5 Incidentes", junio 2018 ....... 69
Tabla 36– Fuente OCI. Reporte Actividades Mesa de Servicio "Top 5 Incidentes", julio 2018 ......... 70
Tabla 37 - Fuente OCI. Riesgos Operacionales proceso "Provisión de Soluciones Tecnológicas".
Tomado de Mapa de Riesgos Institucional - OTI ............................................................................... 71
Tabla 38 - Fuente OCI. Riesgos de Corrupción "Gestión de Soluciones Tecnológicas". Tomado de
Mapa de Riesgos Institucional - OTI .................................................................................................. 73
Tabla 39 – Fuente OCI - Planes de Mejoramiento registrados en SIPG vigencia 2018 ..................... 75
LISTA DE IMÁGENES
Imagen 1 – Fuente OCI - ANS procedimiento GSPD01 ...................................................................... 10
Imagen 2 – Fuente OTI - Matriz de Cálculo Prioridad de Supersalud. Aplicativo CA ........................ 11
Imagen 3 – Fuente OCI- ANS procedimiento GSPD03 ....................................................................... 14
Imagen 4 – Fuente OTI - Matriz de Cálculo Prioridad de Supersalud. Aplicativo CA ........................ 15
Imagen 5 – Fuente Contrato 84 de 2018 .......................................................................................... 36
Imagen 6 – Fuente Anexo 1-Especificaciones Técnicas. Numeral 2. Pág. 24 .................................... 45
Imagen 7 – Fuente OCI. Cumplimiento de solicitudes de servicio de TI ........................................... 68
Imagen 8 - Fuente: Instrumentos Archivísticos de organización documental-Programa de Gestión
Documental 2015-2018, Documento Soporte de la guía GDDS01 ................................................... 81
-
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
5
1. Objetivo
La presente Auditoría tiene como objetivo dar a conocer a la Alta Dirección la gestión que
se realiza en ejecución de los procesos “Provisión de Soluciones Tecnológicas” y “Gestión de Servicios
tecnológicos”, liderados por la Oficina de Tecnologías de la Información.
Las actividades generales del presente ejercicio auditor son:
• Verificar mediante muestreo aleatorio, la aplicación de los procedimientos que hacen parte
de los procesos enunciados.
• Evaluar los Sistemas de información, seleccionados por muestreo aleatorio.
• Realizar Seguimiento a los Planes de Mejoramiento radicados en el Sistema Integrado de
Planeación y Gestión SIPG.
• Realizar seguimiento a los riesgos (operacionales y de corrupción).
• Realizar seguimiento a gestión documental y organización de archivos, de acuerdo con
los lineamientos definidos en el Subsistema Gestión Documental.
2. Criterios
Los criterios a tener en cuenta por parte de la Oficina de Control Interno para la verificación
del cumplimiento de las funciones legales, debidamente estructuradas a través del Manual
de Operaciones de la Superintendencia Nacional de Salud y normatividad vigente que
aplique en la materia, entre otras, son:
• Decreto No. 2462 de 2013, "Por el cual se modifica la estructura de la Superintendencia Nacional de
Salud".
• Resolución 4086 del 19 de diciembre de 2014, por medio de la cual se adopta el Manual
de Procesos y Procedimientos de la Superintendencia Nacional de Salud y se dictan otras
disposiciones”.
• Resolución 1809 del 25 de septiembre de 2015, “por medio de la cual se modifica el
artículo 2º de la Resolución 4086 de 2014”.
• Decreto 1083 de 2015, “Por medio del cual se expide el Decreto Único Reglamentario del
Sector de Función Pública”.
• Decreto 648 de 2017, “Por medio del cual se modifica y adiciona el Decreto 1083 de 2015”,
en su artículo 16 que adiciona al Decreto 1083 de 2015 el artículo 2.2.21.4.8, literal b).
• Resolución 2462 de 2017, “Por medio de la cual se adopta el Estatuto de Auditoría Interna
que define el propósito, la autoridad y la responsabilidad de la actividad de Auditoría Interna
en la Superintendencia Nacional de Salud”.
-
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
6
• Decreto 1499 de 2017, “Por medio del cual se modifica el Decreto 1083 de 2015, Decreto
Único Reglamentario del Sector Función Pública, en lo relacionado con el Sistema de
Gestión establecido en el artículo 133 de la Ley 1753 de 2015”.
• Ley 594 de 2000, “Por medio de la cual se dicta la Ley General de Archivos y se dictan
otras disposiciones”.
• Guía para la administración del riesgo y el diseño de controles en entidades públicas.
Departamento Administrativo de la Función Pública. Octubre de 2018. Conforme en el
desarrollo de auditoría, podrán ser tenidos en cuenta criterios adicionales que tengan
relación con la gestión objeto de verificación.
3. Alcance
El alcance de la presente auditoría corresponde a la vigencia 2018 (enero 1 al 31 de
diciembre de 2018).
4. Metodología
Para el desarrollo de este ejercicio auditor, se utilizaron técnicas metodológicas como
cuestionarios y listas de chequeo, confrontación, observación y verificación.
Igualmente, en la extensión del informe y con el ánimo de simplificar los textos dentro de
este, se relacionan a continuación las abreviaturas que fueron utilizadas.
Nombre Abreviatura
Superintendencia Nacional de Salud SNS
Secretaría General SEGEN
Grupo de Talento Humano GTH
Grupo Contratación de Bienes y Servicios GCBS
Grupo de Gestión Documental GGD
Grupo de Recursos Físicos GRF
Grupo de Cobro Persuasivo y Jurisdicción Coactiva GPJC
Superintendencia Delegada de Procesos Administrativos SDPA
Superintendencia Delegada para la Supervisión Institucional SDSI
Superintendencia delegada para la Función Jurisdiccional y de
Conciliación SDFJC
Oficina Asesora de Planeación OAP
Sistema Integrado de Gestión SIG
Sistema Integrado de Planeación y Gestión SIPG
Oficina Asesora Jurídica OAJ
Oficina de Control Disciplinario Interno OCDI
-
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
7
Oficina de Control Interno OCI
Sistema Integrado de Gestión SIG
Subsistema de Gestión Documental SGD
Departamento Nacional de Planeación DNP
Sistema de Seguimiento Proyectos de Inversión SPI
Modelo Estándar de Control Interno MECI
Archivo General de la Nación AGN
Tablas de Retención Documental TRD
Contraloría General de la República CGR
Acuerdos de Niveles de Servicios ANS
Tabla 1 – Fuente OCI - Lista de abreviaturas
5. Informe
En cumplimiento del Plan de Auditoría a los procesos de “Gestión de Servicios Tecnológicos” y
“Provisión de Soluciones Tecnológicas”, liderados por la OTI, que fue anunciado con NURC 3-
2019-1548 del 31 de enero de 2019 y a lo acordado en la apertura de esta, realizada el 4
de febrero de 2019, se presenta el siguiente informe de auditoría.
El Decreto 2462 de 2013, en su artículo 11 define 22 funciones para la OTI, de las cuales
12 se ejecutan a través de los procesos “Gestión de Servicios Tecnológicos” y “Provisión de
Soluciones Tecnológicas” así:
➢ Gestión de Servicios Tecnológicos:
“7. Apoyar a nivel tecnológico a las dependencias involucradas en el cálculo, liquidación y recaudo de la tasa en favor de la Superintendencia”.
“14. Diseñar e implementar estrategias, instrumentos y herramientas con aplicación de tecnologías de punta
adecuada que permita brindar de manera constante y permanente un buen servicio al ciudadano”.
“16. Definir las necesidades para la obtención, generación y sostenimiento de sistemas de información
confiables que requiera la Superintendencia, coordinando su adquisición con la Secretaría General”.
“17. Brindar asesoría técnica para el diseño, puesta en marcha y operación de los diferentes sistemas de
información”.
“21. Definir, diseñar y asegurar el óptimo funcionamiento y mantenimiento de los sistemas de información, de
la infraestructura y plataforma tecnológica y de comunicaciones de la Superintendencia”.
➢ Provisión de Soluciones Tecnológicas:
“2. Realizar el análisis, diseño, programación, documentación, implantación y mantenimiento de los sistemas
de información requeridos por la entidad”.
“3. Adelantar acciones para que los sistemas de información de inspección, vigilancia y control del Sistema General de Seguridad Social en salud de la Superintendencia Nacional de Salud sean interoperables con los
demás sistemas de información existentes y que se requiera para el cumplimiento de las funciones de la
entidad”.
-
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
8
”7. Apoyar a nivel tecnológico a las dependencias involucradas en el cálculo, liquidación y recaudo de la tasa
en favor de la Superintendencia”.
“12. Elaborar el mapa de información que permita contar de manera actualizada y completa con los procesos
de información de la superintendencia”.
“13. Desarrollar estrategias para lograr un flujo eficiente de la información, como parte de la rendición de cuentas
a la sociedad”.
“14. Diseñar e implementar estrategias, instrumentos y herramientas con aplicación de tecnologías de punta
adecuada que permita brindar de manera constante y permanente un buen servicio al ciudadano”.
“16. Definir las necesidades para la obtención, generación y sostenimiento de sistemas de información
confiables que requiera la Superintendencia, coordinando su adquisición con la Secretaría General”.
“17. Brindar asesoría técnica para el diseño, puesta en marcha y operación de los diferentes sistemas de
información”.
“21. Definir, diseñar y asegurar el óptimo funcionamiento y mantenimiento de los sistemas de información, de
la infraestructura y plataforma tecnológica y de comunicaciones de la Superintendencia”.
5.1 Proceso Gestión de Servicios Tecnológicos
La OTI lidera el Proceso “Gestión de Servicios Tecnológicos”, el cual es desarrollado a
través de 5 procedimientos a saber:
➢ Gestión de Incidentes
➢ Gestión de Cambios
➢ Gestión de Problemas
➢ Gestión de Requerimientos
➢ Control de Software Misional de la Entidad
Sobre estos procedimientos, la OCI mediante la verificación por muestreo aleatorio, efectúo
evaluación a 4 de ellos, con el fin de identificar el cumplimiento las actividades que los
mismos definen, así como la valoración e interacción con los Riesgos tanto Operacionales
(Gestión) como de Corrupción, y las conductas reguladas en el SIG de la Entidad, que
directa o indirectamente pudieran estar asociados a estos.
a. Procedimiento Gestión de Incidentes - GSPD01
Objetivo: “Atender, asegurar y resolver todos los incidentes de TI, mediante la utilización de mesa de servicios
y bajo los parámetros de tiempo de respuesta acordados en los niveles de servicio, con el fin de restaurar y
optimizar el servicio con un mínimo de impacto en la operación de la entidad”.
Alcance: “Inicia con el registro de la solicitud en la herramienta de mesa de servicio con todos los detalles que
han ocurrido (hora, descripción, sistemas afectados y/o usuario que lo reporta), continua con el diagnóstico,
análisis y la asignación de prioridad del incidente y finaliza la restauración, solución, monitoreo y seguimiento al
incidente del servicio”.
-
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
9
Ámbito de aplicación: “Este procedimiento aplica a toda la operación de la Superintendencia Nacional de
Salud, en consecuencia, aplica a todos los procesos de la entidad”.
Se hizo muestreo aleatorio de las Políticas de Operación1 que se definen en el
procedimiento; respecto de las conductas reguladas en el SIG de la Entidad, que directa o
indirectamente pudieran estar asociados a este.
Como resultado de lo anterior, la OCI observó que el procedimiento evaluado se encuentra
desactualizado en su parte normativa, ya que en el acápite “Normas” no contempla el
Decreto 1499 de 2017 MIPG expedido por el DAFP, el cual consolida la Política de Gobierno
Digital y el MECI; así mismo no se incluye la Resolución 1110 de 2015, la cual derogó la
Resolución 1621 de 2014, por la cual se crearon los Grupos Internos de Trabajo de la OTI;
finalmente hace falta incluir la Resolución 10447 de 2018, donde se nombran los nuevos
coordinadores de los Grupos Internos de Trabajo de la Oficina evaluada.
Ahora bien, en atención a los lineamientos regulados en el procedimiento objeto de
evaluación, se procedió a efectuar análisis de la Política de Operación No. 3 la cual señala:
“Tiempo de solución: Es el tiempo determinado para solucionar el requerimiento y restaurar el servicio. – ANS”;
al igual que el “Análisis de Tiempo” que regula el procedimiento; es así, que, fue establecido
como objetivo a verificar el comportamiento de los ANS del procedimiento que ahora nos
ocupa.
Para tal fin, por parte de la OTI, fue aportada base de datos “Consolidado Casos CA”, producto
de la información que es recaudada a través del Sistema de información “CA - Service Desk2”,
correspondiente a la vigencia 2018 (Enero – Diciembre), en donde se puede observar la
tipificación efectuada por parte de la mesa de servicios, de conformidad al registro de las
diferentes situaciones reportadas por funcionarios de la entidad, así como los diferentes
“ANS3” definidos en función de tiempo (2, 4, 8 y 12 horas), esto de conformidad a la
complejidad del requerimiento.
Producto del análisis efectuado a la base de datos anteriormente referida, se logró
determinar que durante la vigencia 2018 y según la tipificación asignada, se presentaron un
total de 24.168 casos, de los cuales el 36% (8.748) corresponden a incidentes; de estos, el
1 Política de Operación “Elemento de Control que establece las guías de acción para la implementación de las estrategias de ejecución de la Entidad; define los límites y parámetros necesarios para ejecutar los procesos y los procedimientos”. – Tomado de “Definiciones” Procedimiento “Elaboración y Control de Documentos y registros” – ASPD01 2 “Plataforma web CA: Software web para reportar los incidentes o servicios que requieran los usuarios de la Superintendencia Nacional de Salud” Tomado de “Definiciones” Procedimiento “Gestión de Incidentes” – GSPD01. 3 “Acuerdos de Nivel de Servicios” – “Pacto establecido entre un usuario y proveedor de los procesos en materia de calidad y oportunidad de las entradas y salidas, que se establecen para el cumplimiento del objetivo del proceso” - Tomado de “Definiciones” Procedimiento “Elaboración y Control de Documentos y registros” – ASPD01. “Herramienta que ayuda a ambas partes a llegar a un consenso en términos del nivel de calidad del servicio, en aspectos tales como tiempo de respuesta, disponibilidad horaria, documentación disponible, personal asignado al servicio, etc.” – Tomado de “Definiciones” Procedimiento Gestión de Incidentes” – GSPD01.
-
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
10
88% (7.731) cumplieron los requisitos frente a los niveles de ANS fijados y el 12% restante
(1.017) se encuentran fuera de los rangos definidos, así:
Imagen 1 – Fuente OCI - ANS procedimiento GSPD01
Es preciso ahora indicar, que por cuenta de esta OCI fue solicitado al líder del proceso
motivo de evaluación, matriz o herramienta que permitiera comprender la parametrización
definida para los ANS, de lo cual se informó que la SNS cuenta con el aplicativo “CA - Service
Desk”, mediante el cual se efectúa dicha parametrización; aportando como soporte imagen
del la “Matriz de cálculo de prioridad de Supersalud”.
-
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
11
Imagen 2 – Fuente OTI - Matriz de Cálculo Prioridad de Supersalud. Aplicativo CA
De lo cual se puede apreciar que la configuración matricial de la misma no resulta ser lógica,
toda vez que el “Impacto” vs “Urgencia” en su gran mayoría da como resultado prioridad baja;
en estas condiciones la OCI configura Observación No. 01, bajo el agravante que la
debilidad en el citado aplicativo, ocasiona que los ANS se encuentren mal tipificados y por
ende, los datos generados conlleven a contar con información imprecisa, además de evitar
la adecuada y oportuna toma de decisiones que al respecto puediera abordar el líder del
proceso en comento, (Ver numeral 7.2 - Observaciones).
En consecuencia, y bajo el sustento de la evidencia objetiva recaudada y lo regulado en la
Política de Operación No. 3 “Tiempo de solución: Es el tiempo determinado para solucionar el
requerimiento y restaurar el servicio. – ANS”, así como el “Análisis de Tiempo” – “Los tiempos se establecen en los Acuerdos de Niveles de Servicio de TI, los cuales se encuentran configurados en el sistema de
información AC, Service Desk”, se observó debilidad en el autocontrol que se debió ejercer en el
proceso “Gestión de Servicios Tecnológicos”, configurando incumplimiento de lo preceptuado en
el artículo 4º de la Resolución 4086 del 19 de diciembre de 2014, la cual precisa en sus
apartes: “la responsabilidad de mantener actualizados los procesos y procedimientos a que hace
referencia esta resolución” y […] “los procesos y procedimientos adoptados por la presente resolución son de obligatorio cumplimiento para los servidores públicos y contratistas que laboran en la
Superintendencia Nacional de Salud” (Negrillas nuestras); eventos que configuran NO Conformidad
No. 01 (Ver numeral 7.3 - NO Conformidades).
b. Procedimiento Gestión de Cambios - GSPD02
Objetivo: “Responder y direccionar de manera controlada las solicitudes de cambios que diferentes
funcionarios o dependencias de la Superintendencia Nacional de Salud, realizan sobre los elementos
enmarcados en las categorías de servicios de TI definidos por la OTI, garantizando su correcta
aplicación según los acuerdos y prioridades que eviten interrupciones en la prestación de dichos
servicios”.
Alcance: “Inicia con la recepción y análisis la solicitud de cambio de acuerdo al estándar de servicios
de la OTI, continúa con la validación, aprobación o rechazo de la solicitud recibida y termina con la
-
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
12
generación de recomendaciones de valor sobre la solicitud y realización de las actividades que
aplican los cambios, terminando con la evaluación y cierre de los mismos”.
Ámbito de aplicación: “Aplica a todos los procesos del Sistema Integrado de Gestión”.
La OCI practicó evaluación con el fin de identificar el cumplimiento del procedimiento
GSPD02, el cual registra que la última actualización aprobada por la OAP fue mediante
NURC 3-2016-023608 del 22-12-2016, estando actualmente en versión 2.
Se hizo muestreo aleatorio de las políticas de operaciones que se definen en el
procedimiento; respecto de las conductas reguladas en el SIG de la Entidad, que directa o
indirectamente pudieran estar asociados a este.
Como resultado de lo anterior, la OCI observó que el procedimiento evaluado se encuentra
desactualizado en su parte normativa, ya que en el acápite “Normas” no contempla el
Decreto 1499 de 2017 MIPG expedido por el DAFP, el cual consolida la Política de Gobierno
Digital y el MECI; así mismo no se incluye la Resolución 1110 de 2015, la cual derogó la
Resolución 1621 de 2014, por la cual se crearon los Grupos Internos de Trabajo de la OTI;
finalmente hace falta incluir la Resolución 10447 de 2018, donde se nombran los nuevos
coordinadores de los Grupos Internos de Trabajo de la Oficina evaluada.
Ahora bien, con el fin de verificar y hacer trazabilidad sobre las políticas de operación y
actividades de este procedimiento, se solicitó a la OTI el aporte de los listados generados
desde el aplicativo CA de la Mesa de Servicios recibidos durante la vigencia 2018, medio
oficial en el que se radican todas las solicitudes de funcionarios y dependencias de la
entidad, con el fin de verificar el cumplimiento de las políticas de operación, actividades y
puntos de control determinados en el procedimiento GSPD02.
De la muestra seleccionada, no se encontraron registros que permitieran determinar si hubo
solicitudes para activar el procedimiento “Gestión de Cambios”, adicionalmente y de
conformidad a las pruebas efectuadas insitu, se pudo establecer que al verificar la Política
de Operación No. 3, no se encuentra sustento alguno que permita inferir la conformación
del Comité de Cambios de la OTI y menos aún, que se haya realizado evaluación alguna
para determinar la viabilidad técnica y operativa de una solicitud, dejando sin aplicación las
políticas de operación No. 4 a 9.
En consecuencia y bajo el sustento de la evidencia objetiva recaudada, se observó
debilidad en el autocontrol que se debió ejercer en el proceso “Gestión de Servicios Tecnológicos”
respecto del procedimiento “Gestión de Cambios”, configurando incumplimiento de lo
preceptuado en el artículo 4º de la Resolución 4086 del 19 de diciembre de 2014, la cual
precisa en sus apartes: “la responsabilidad de mantener actualizados los procesos y procedimientos
a que hace referencia esta resolución” y […] “los procesos y procedimientos adoptados por la presente
-
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
13
resolución son de obligatorio cumplimiento para los servidores públicos y contratistas que laboran en
la Superintendencia Nacional de Salud” (Negrillas nuestras); eventos que reiteran NO Conformidad
No. 01 (Ver numeral 7.3 - NO Conformidades).
c. Procedimiento Gestión de Problemas - GSPD03
Objetivo: “Analizar los registros y antecedentes de los incidentes repetitivos con el fin de identificar su tendencia
y alcance para evitar un problema significativo, determinando la prioridad, categorizando, alimentando la Base
de Datos de Errores Conocidos y aplicando soluciones definidas para que los problemas resueltos se eliminen
completa y satisfactoriamente”.
Alcance: “Inicia con la identificación y registro del problema, continua con la categorización, priorización y
análisis del problema y termina con el monitoreo, validación y cierre del problema”.
Ámbito de aplicación: “Este procedimiento aplica a toda la operación de la Superintendencia Nacional de
Salud, en consecuencia, aplica a todos los procesos de la entidad”.
Se hizo muestreo aleatorio de las políticas de operaciones que se definen en el
procedimiento; respecto de las conductas reguladas en el SIG de la Entidad, que directa o
indirectamente pudieran estar asociados a este.
Como resultado de lo anterior, la OCI observó que el procedimiento evaluado se encuentra
desactualizado en su parte normativa, ya que en el acápite “Normas” no contempla el
Decreto 1499 de 2017 MIPG expedido por el DAFP, el cual consolida la Política de Gobierno
Digital y el MECI; así mismo no se incluye la Resolución 1110 de 2015, la cual derogó la
Resolución 1621 de 2014, por la cual se crearon los Grupos Internos de Trabajo de la OTI;
finalmente hace falta incluir la Resolución 10447 de 2018, donde se nombran los nuevos
coordinadores de los Grupos Internos de Trabajo de la Oficina evaluada.
Ahora bien, en atención a los lineamientos regulados en el procedimiento objeto de
evaluación, se efectúo análisis de la Política de Operación No. 3 la cual señala: “Tiempo de
solución: Es el tiempo determinado para solucionar el requerimiento y restaurar el servicio. – ANS”; al igual
que el “Análisis de Tiempo” que regula el procedimiento; es así, que, fue establecido como
objetivo a verificar el comportamiento de los ANS del procedimiento que ahora nos ocupa.
Para tal fin, fue aportada base de datos “Consolidado Casos CA”, producto de la información
que es recaudad a través del Sistema de información “CA - Service Desk4”, correspondiente a
la vigencia 2018 (Enero – Diciembre), en donde se puede observar la tipificación efectuada
por parte de la mesa de servicios, de conformidad al registro de las situaciones reportadas
4 “Plataforma web CA: Software web para reportar los incidentes o servicios que requieran los usuarios de la Superintendencia Nacional
de Salud” Tomado de “Definiciones” Procedimiento Gestión de Incidentes.
-
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
14
por funcionarios de la entidad, así como los diferentes “ANS5” definidos en función de tiempo
de tiempo (2, 4 y 8 horas) de conformidad a la complejidad del requerimiento; producto del
análisis a efectuado a la base de datos anteriormente referida, se logró determinar que
durante la vigencia 2018 y según la tipificación asignada, se presentaron un total de 24.168
casos, de los cuales 11 corresponden a problemas; de estos, el 55% (6) cumplieron los
requisitos frente a los niveles de ANS fijados y el 45% restante (5) se encuentran fuera de
los rangos definidos, así:
Imagen 3 – Fuente OCI- ANS procedimiento GSPD03
Es preciso ahora indicar, que por cuenta de la OCI, fue solicitado al líder del proceso motivo
de evaluación, matriz o herramienta que permitiera comprender la parametrización definida
para los ANS, de lo cual se informó que la SNS cuenta con el aplicativo “CA - Service Desk”,
mediante el cual se efectúa dicha parametrización; aportando como soporte imagen del la
“Matriz de cálculo de prioridad de Supersalud”.
5 “Acuerdos de Nivel de Servicios” – “Herramienta que ayuda a ambas partes a llegar a un consenso en términos del nivel de calidad del
servicio, en aspectos tales como tiempo de respuesta, disponibilidad horaria, documentación disponible, personal asignado al servicio,
etc.” – Tomado de “Definiciones” Procedimiento Gestión de Incidentes.
-
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
15
Imagen 4 – Fuente OTI - Matriz de Cálculo Prioridad de Supersalud. Aplicativo CA
De lo cual se puede apreciar que la configuración matricial de la misma no resulta ser lógica,
toda vez que el “Impacto” vs “Urgencia” en su gran mayoría da como resultado prioridad baja;
en estas condiciones la OCI reitera Observación No. 01, bajo el agravante que la debilidad
en el citado aplicativo, ocasiona que los ANS se encuentren mal tipificados y por ende, los
datos generados conlleven a contar con información imprecisa, además de evitar la
adecuada y oportuna toma de decisiones que al respecto puediera abordar el líder del
proceso en comento, (Ver numeral 7.2 - Observaciones).
En atención a la información observada mediante la base de datos anteiormente referida,
la OCI efectúo evaluación a 2 de los 5 casos que fueron tipificados como “Problema”, así:
➢ Caso No.1
ID
TIQUETE CATEGORÍA
GRUPO DE
ANALISTA
CUMPLIMIENTO
ANS ANS PRIORIDAD
57687 SOFTWARE. Software Libre. Navegadores
Web. Incidentes de Funcionamiento Mesa de Servicio NO 8 horas Baja
Tabla 2– Fuente OCI - Caso CA 57867
De conformidad con la base de datos entregada al equipo auditor, este caso fue reportado
por funcionario de la OAP el día lunes 12 de febrero de 2018, ahora bien, al efectuar
validación de la trazabilidad en el aplicativo “CA - Service Desk”, no se observa conducta
alguna que permita identificar que se presentaron incidentes que conllevaron a determinar
tal y como lo señala el procedimiento motivo de evaluación que “se entenderá como problema cuando se presentan uno o varios incidentes en los que se desconoce su causa raíz o cuando se presenta un
incidente mayor”, lo cual permite inferir, que el registro en el aplicativo “CA – Service Desk”, no
cumple con este precepto.
-
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
16
Actividad Descripción Área
Responsable Registro
Identificar y
registrar
problemas
El profesional asignado se encargará de identificar y registrar los problemas, que permita
establecer el plan de tratamiento del problema. Se entenderá como problema cuando
se presentan uno o varios incidentes en los que se desconoce su causa raíz o
cuando se presenta un incidente mayor.
Otra causa de identificación de problemas es cuando en cualquiera de los procesos de TI
realice una gestión proactiva de problemas, es decir, se identifique un problema potencial,
aunque aún no haya ocurrido este debe ser notificado al proceso de gestión de problemas
para crear un registro del mismo.
Se registran los problemas presentados y reportados por cada uno de los
funcionarios de la entidad en el aplicativo CA - Servicie Desk, los cuales pueden ser
recepcionadas mediante diferentes canales como es: telefónico, Intranet, o de manera
personal al operador de mesa de ayuda.
De esta manera será posible establecer la prioridad y el tratamiento adecuado para la
resolución del problema.
OTI
Aplicación
CA -
Service
Desk
Tabla 3 – Fuente OCI Actividades procedimiento Gestión de Problemas - GSPD03
De lo anterior, se observa debilidad en la “estrecha colaboración” que según la Política de
Operación No. 1 debe establecerse entre la Gestión de incidentes y la de probelmas.
Política de Operación 1
“Establecer una estrecha colaboración entre la Gestión de Incidentes y la de Problemas. Sin esta Gestión
de Incidentes no dispondrá de toda la información necesaria para la rápida solución de los incidentes y la
Gestión de Problemas carecerá de la información necesaria para determinar, clasificar y resolver los
problemas”.
Tabla 4 – Fuente OCI Política de Operación No. 1 procedimiento Gestión de Problemas - GSPD03
Ahora bien, dado que el caso, fue reportado el día lunes 12 de febrero de 2018 y el día
lunes 26 de marzo de la misma anualidad, el técnico asignado lo declara como “resuelto” en
el aplicativo “CA – Service Desk”, indicando que “se verifica el equipo ya está en funcionamiento”; se
evidencia incumplimiento de los ANS que fueron establecidos para dar trámite al caso que
ahora nos coupa, de conformidad a lo regulado en el “Análisis de Tiempo” del ya referido
procedimiento.
Análisis de Tiempo
“El tiempo para el desarrollo del procedimiento se estima dependiendo el problema y el caso planteado por
la dependencia, pero seguirá lineamientos de los tiempos estipulados en los acuerdos de nivel de servicios
de TI.”.
Tabla 5 – Fuente OCI Análisis de Tiempo procedimiento Gestión de Problemas - GSPD03
➢ Caso No.2
ID
TIQUETE CATEGORÍA
GRUPO DE
ANALISTA
CUMPLIMIENTO
ANS ANS PRIORIDAD
73407 HARDWARE. Impresora. Impresora.
Incidentes de Funcionamiento Mesa de Servicio NO 8 horas Media
Tabla 6 – Fuente OCI- Caso CA 73407
De conformidad con la base de datos entregada al equipo auditor, este caso fue reportado
por funcionario de la OCID el día lunes 31 de agosto de 2018, ahora bien, al efectuar
validación de la trazabilidad en el aplicativo “CA - Service Desk”, no se observa conducta
-
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
17
alguna que permita identificar que se presentaron incidentes que conllevaron a determinar
tal y como lo señala el procedimiento motivo de evaluación que “se entenderá como problema cuando se presentan uno o varios incidentes en los que se desconoce su causa raíz o cuando se presenta un
incidente mayor”, lo cual permite inferir, que el registro en el aplicativo “CA – Service Desk”, no
cumple con este precepto.
Actividad Descripción Área
Responsable Registro
Identificar y
registrar
problemas
El profesional asignado se encargará de identificar y registrar los problemas, que permita
establecer el plan de tratamiento del problema. Se entenderá como problema cuando
se presentan uno o varios incidentes en los que se desconoce su causa raíz o
cuando se presenta un incidente mayor.
Otra causa de identificación de problemas es cuando en cualquiera de los procesos de TI
realice una gestión proactiva de problemas, es decir, se identifique un problema potencial,
aunque aún no haya ocurrido este debe ser notificado al proceso de gestión de problemas
para crear un registro del mismo.
Se registran los problemas presentados y reportados por cada uno de los
funcionarios de la entidad en el aplicativo CA - Servicie Desk, los cuales pueden ser
recepcionadas mediante diferentes canales como es: telefónico, Intranet, o de manera
personal al operador de mesa de ayuda.
De esta manera será posible establecer la prioridad y el tratamiento adecuado para la
resolución del problema.
OTI
Aplicación
CA -
Service
Desk
Tabla 7 – Fuente OCI- Actividades procedimiento Gestión de Problemas - GSPD03
De lo anterior, se observa debilidad en la “estrecha colaboración” que según la Política de
Operación No. 1 debe establecerse entre la Gestión de incidentes y la de probelmas.
Política de
Operación 1
“Establecer una estrecha colaboración entre la Gestión de Incidentes y la de Problemas. Sin esta Gestión
de Incidentes no dispondrá de toda la información necesaria para la rápida solución de los incidentes y la
Gestión de Problemas carecerá de la información necesaria para determinar, clasificar y resolver los
problemas”.
Tabla 8 – Fuente OCI - Política de Operación No. 1 del Procedimiento Gestión de Problemas - GSPD03
Dado que el caso, fue reportado el día lunes 12 de febrero de 2018 y el día lunes 26 de
marzo de la misma anualidad, el técnico asignado lo declara como “resuelto” en el aplicativo
“CA – Service Desk”, indicando que “usuario informa que no tiene problema con la impresora”; se
evidencia incumplimiento de los ANS que fueron establecidos para dar trámite al caso que
ahora nos coupa, de conformidad a lo regulado en el “Análisis de Tiempo” del ya referido
procedimiento.
Análisis de Tiempo
“El tiempo para el desarrollo del procedimiento se estima dependiendo el problema y el caso planteado por
la dependencia, pero seguirá lineamientos de los tiempos estipulados en los acuerdos de nivel de servicios
de TI.”.
Tabla 9 – Fuente OCI-Análisis de Tiempo procedimiento Gestión de Problemas - GSPD03
Ahora bien, al efectuar validación insitu, respecto del cumplimiento de la Política de
Operación No. 2, del procedimiento motivo de evaluación, no se observa evidencia objetiva
que permita inferir que por parte de los responsables de “Infraestructura TI” se efectuara
“seguimiento cercano” a fin de “matener actualizada la base de datos”.
-
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
18
Política de
Operación 2
“Mantener actualizadas las bases de datos asociadas requiere un compromiso por parte de todos los agentes
implicados que frecuentemente requiere un seguimiento cercano de los responsables de la infraestructura
TI”
Tabla 10 – Fuente OCI-Política de Operación No. 2 procedimiento Gestión de Problemas - GSPD03
En consecuencia y bajo el sustento de la evidencia objetiva recaudada, se observó
debilidad en el autocontrol que se debió ejercer en el proceso “Gestión de Servicios Tecnológicos”,
configurando incumplimiento de lo preceptuado en el artículo 4º de la Resolución 4086 del
19 de diciembre de 2014, la cual precisa: “los procesos y procedimientos adoptados por la presente resolución son de obligatorio cumplimiento para los servidores públicos y contratistas que
laboran en la Superintendencia Nacional de Salud”; (Negrillas nuestras); eventos que reiteran NO
Conformidad No. 01. (Ver numeral 7.3 - NO Conformidades).
d. Procedimiento Control Software Misional de la Entidad- GSPD05
Objetivo: “Confirmar la capacidad operativa de los sistemas de información misionales mediante el monitoreo
de su desempeño de conformidad con los requisitos establecidos para garantizar la confiabilidad del
funcionamiento de los Sistemas”.
Alcance: “Inicia con el registro de la solicitud en la herramienta de mesa de servicio con todos los detalles que
han ocurrido (hora, descripción, sistemas afectados y/o usuario que lo reporta), continua con el diagnóstico,
análisis y la asignación de prioridad del incidente y finaliza la restauración, solución, monitoreo y seguimiento al
incidente del servicio”.
Ámbito de aplicación: “Inicia con la configuración del sistema a monitorear en la herramienta de
seguimiento, parametrizando la gestión de acceso a usuarios, continua con la selección de tipos de informes a
visualizar, la configuración de fechas del informe y finaliza con guardar, exportar o enviar los informes generados
en formato .pdf, .xlsx entre otros”.
Como resultado de lo anterior, la OCI observó que el procedimiento evaluado se encuentra
desactualizado en su parte normativa, ya que en el acápite “Normas” no contempla el Decreto
1499 de 2017 MIPG expedido por el DAFP, el cual consolida la Política de Gobierno Digital
y el MECI; así mismo no se incluye la Resolución 1110 de 2015, la cual derogó la
Resolución 1621 de 2014, por la cual se crearon los Grupos Internos de Trabajo de la OTI;
finalmente hace falta incluir la Resolución 10447 de 2018, donde se nombran los nuevos
coordinadores de los Grupos Internos de Trabajo de la Oficina evaluada.
Igualmente, de la verificación insitu se pudo constatar que, por parte de la OTI, líder del
procedimiento evaluado, no se da aplicabilidad a las condiciones reguladas en el
procedimiento y en concreto a las establecidas en las siguientes actividades:
Actividad No.1 “Recibir la solicitud de monitoreo de la Aplicación”, - “El área líder del proceso en el cual se
ejecuta la aplicación realiza la solicitud de monitoreo mediante memorando, identificado con código ASFL01”.
-
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
19
Actividad No. 4: “Parametrizar la aplicación en el Software de Seguimiento”, descripción de la actividad
“Se parametriza la aplicación en el software de seguimiento, definiendo el tipo de monitoreo (BD, Sesiones de usuario, Red, memoria, etc.), definiendo la aplicación que se va a monitorear con el propósito de atender las
solicitudes enviados por las áreas e identificados por el profesional designado por la OTI”; eventos que
igualmente no son desarrollados por parte de quien lidera el procedimiento evaluado.
De lo anterior, durante la vigencia 2018, no se observa que se haya dado socialización,
implementación y por ende cumplimiento al procedimiento “Control Software Misional de la
Entidad” GSPD05, ni que alguna de las áreas misionales efectuara tal solicitud, aunado a
que no fue aportada evidencia objetiva que permitiera establecer la socialización del
señalado procedimiento, situaciones que igualmente permiten concluir incumplimiento del
objetivo definido en el procedimiento identificado con el código GSPD05.
En consecuencia y bajo el sustento de la evidencia objetiva recaudada, se observó
debilidad en el autocontrol que se debió ejercer en el proceso “Gestión de Servicios Tecnológicos”
respecto del procedimiento GSPD05, configurando incumplimiento de lo preceptuado en el
artículo 4º de la Resolución 4086 del 19 de diciembre de 2014, la cual precisa: “los procesos y procedimientos adoptados por la presente resolución son de obligatorio cumplimiento para los
servidores públicos y contratistas que laboran en la Superintendencia Nacional de Salud”; (Negrillas nuestras);
eventos que reiteran NO Conformidad No. 01 (Ver numeral 7.3 - NO Conformidades).
5.2 Proceso Provisión de Soluciones Tecnológicas
La OTI lidera el Proceso “Provisión de Soluciones Tecnológicas”, el cual es desarrollado a través
de 2 procedimientos a saber:
➢ Gestión de Arquitectura de TI
➢ Gestión de Aplicaciones
a. Procedimiento Gestión Arquitectura de Tecnologías de la información - RSPD01
Objetivo: “Formular la arquitectura de solución de T.I., mediante la realización del ciclo de vida de arquitectura
de solución, la elaboración de documentos de estudios previos, aplicación de buenas prácticas de gestión de
proyectos y apoyo al gobierno arquitectónico de la implementación, con el propósito de proveer soluciones
tecnológicas adecuadas que atiendan las necesidades y/o problemáticas de la entidad”.
Alcance: “Inicia con el análisis del requerimiento, continúa con la formulación de la estrategia del ejercicio de
arquitectura, Definición del Ejercicio de Arquitectura de TI, la ejecución del ejercicio de arquitectura, Formulación
de la Hoja de Ruta para Implementar la solución, elaboración de documentos precontractuales, empalme del
diseño arquitectónico de la solución de T.I. a los demás grupos de la OTI, apoyo al gobierno arquitectónico de
la implementación y finaliza con la definición y/o actualización de guías, lineamientos, políticas, estándares y
marcos de referencia de Arquitectura de T.I.”.
-
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
20
Ámbito de aplicación: “Aplica a todos los procesos del Sistema Integrado de Gestión”.
La OCI practicó evaluación con el fin de identificar el cumplimiento del procedimiento
RSPD01, el cual registra que la última actualización aprobada por la OAP fue mediante
NURC 3-2017-015273 del 02-10-2017, estando actualmente en versión 5.
Se hizo muestreo aleatorio de las políticas de operaciones que se definen en el
procedimiento; respecto de las conductas reguladas en el SIG de la Entidad, que directa o
indirectamente pudieran estar asociados a este, tomando como muestra el proyecto
“Automatización de Gestión de Procesos Administrativos y el Proceso de Auditorías para la Supervisión
Institucional, a través de BPMS”
Como resultado de lo anterior, la OCI observó que el procedimiento evaluado se encuentra
desactualizado en su parte normativa, ya que en el acápite “Normas” no contempla el
Decreto 1499 de 2017 MIPG expedido por el DAFP, el cual consolida la Política de Gobierno
Digital y el MECI; y hace falta incluir la Resolución 10447 de 2018, donde se nombran los
nuevos coordinadores de los Grupos Internos de Trabajo de la OTI.
Con el fin de determinar el cumplimiento de las Políticas de Operación, se revisó la
documentación aportada por la OTI y se hizo seguimiento a la traza de los casos CA que
generaron la adquisición del proyecto BPMS; en este punto es importante mencionar que
las primeras solicitudes que dieron origen a la contratación del proyecto BPMS estaban
orientadas para atender los procesos de: Gestión del Proceso Administrativo, Actuaciones
Disciplinarias y Gestión de Cobro Persuasivo y Jurisdicción Coactiva; posteriormente, se
determinó que el proyecto atendiera la automatización de Gestión de Procesos
Administrativos y Auditorías para la Supervisión Institucional.
De la verificación efectuada en el aplicativo CA de la Mesa de Servicios, se registraron 3
solicitudes (15570 del 25-09-2015 de SDPA, 25557 del 06-06-2016 de OCID y 42226 del
31-05-2017 de SDSI), observando el cumplimiento de las políticas de operación 1, 2, y 6
de este procedimiento, que indican que toda solicitud debe ingresar por el aplicativo CA.
En relación con la política de operación No. 7 indica que los requisitos de seguridad de la
información deben ser recopilados diligenciando el formato RSFT03, formato que no se
encontró en los documentos aportados para ninguna de las solicitudes que originaron este
proyecto; adicionalmente este formato es enunciado en las políticas de operación, pero no
es invocado en ninguna de las actividades del procedimiento.
Respecto de la política de operación No. 8 “Los ejercicios de arquitectura de solución de T.I. deben alinearse con lo establecido en el documento de “Arquitectura de referencia de componentes de software para
las nuevas soluciones de la SNS” existente en el SIG, de lo contrario se documentarán las excepciones”, en
-
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
21
ella no se encuentra cómo se “documentarán las excepciones”, por lo cual se reitera NO
Conformidad No. 01 (Ver numeral 7.3 - NO Conformidades).
Ahora bien, mediante muestreo aleatorio se efectuó evaluación de actividades definidas en
este procedimiento, así:
Con el fin de determinar el cumplimiento de actividades definidas en este procedimiento, se
seleccionaron 5 de ellas.
Actividad Descripción Registro Caso revisado Cumple
(SI/NO)
1. Recibir y
Analizar el
requerimiento
La dependencia solicitante debe diligenciar en su totalidad el
formato Solicitud de requerimientos para sistemas de
información, código RSFT02. Este deberá tener la firma del
jefe de la dependencia.
Dicha solicitud debe ser radicada mediante el sistema de
información CA Service Desk, adjuntando el formato antes
descrito.
Un analista de sistemas de la mesa de servicio hace la
asignación del caso a través del sistema de información CA
Service Desk, al Grupo de Gestión de Arquitectura de TI.
El coordinador del grupo de Gestión de Arquitectura de TI
asigna a un profesional especializado para atender el
requerimiento.
El Profesional especializado del Grupo de Gestión de
Arquitectura de TI, que es asignado al caso realiza el
acompañamiento al área solicitante para la definición del
alcance y entendimiento del requerimiento e identifica en
conjunto con el arquitecto líder si el requerimiento debe ser
atendido por este grupo de trabajo según la: “Guía de apoyo
para el procedimiento de gestión de arquitectura de T.I.”,
código RSGU04.
Solicitud de requerimientos
para sistemas de
información. Código
RSFT02
Sistema de información CA
Service Desk
15570 (SDPA)
Solo CA
sin
anexos
Solicitud de requerimientos
para sistemas de
información. Código
RSFT02
Sistema de información CA
Service Desk
25557 (OCID)
Solo CA
sin
anexos
Solicitud de requerimientos
para sistemas de
información. Código
RSFT02
Sistema de información CA
Service Desk
42226 (SDSI) SI
3. Formular la
estrategia del
ejercicio de
arquitectura de
T.I
El Profesional del Grupo de Gestión de Arquitectura de TI
asignado al proyecto, con apoyo del arquitecto líder y
coordinador de grupo, acuerdan con el solicitante del
requerimiento realizar sesiones de trabajo, registradas
mediante actas, el levantamiento de la información de los
componentes que se relacionan a continuación:
- Problemática que se debe resolver
- Motivadores (beneficios esperados)
- Identificación de Interesados
- Alcance
- Metodología
- Entregables del ejercicio (para esta actividad se debe
consultar el documento de apoyo: “Matriz de entregables del
procedimiento Gestión de Arquitectura de T.I.”)
Con la información recopilada se elabora el documento de:
Estrategia del ejercicio de arquitectura de T.I. código
Sistema de información CA
Service Desk
Estrategia del ejercicio de
arquitectura de T.I. código
COFL02
Acta de constitución
Código COFL02
15570 (SDPA)
Solo CA
sin
anexos
Sistema de información CA
Service Desk
Estrategia del ejercicio de
arquitectura de T.I. código
COFL02
Acta de constitución
Código COFL02
25557 (OCID)
Solo CA
sin
anexos
-
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
22
Actividad Descripción Registro Caso revisado Cumple
(SI/NO)
COFL02. y el Acta de constitución Código COFL02, que
contiene entre otros, la firma de aprobación del solicitante
frente a la estrategia propuesta.
Los eventos más relevantes de esta actividad son registrados
como actualización del caso en el sistema de información CA
Service Desk
Sistema de información CA
Service Desk
Estrategia del ejercicio de
arquitectura de T.I. código
COFL02
Acta de constitución
Código COFL02
42226 (SDSI) SI
6. Formular Hoja
de Ruta para
Implementar la
solución.
El profesional del Grupo de Gestión de Arquitectura de TI
asignado al proyecto, elabora, presenta y propone al área
solicitante del requerimiento los siguientes documentos:
- Análisis de brecha de la arquitectura actual vs. la
arquitectura objetivo, por dominio.
- Identificación de iniciativas o Proyectos
- Priorización de proyectos.
- Definición de ruta a implementar
Los cuáles serán aprobados mediante acta de reunión por el
jefe del área solicitante, coordinador de Grupo de Gestión de
Arquitectura y jefe de la oficina de tecnologías de la
información.
Los eventos más relevantes de esta actividad son registrados
como actualización del caso en el sistema de información CA
Service Desk.
Acta, Código ASFT06
Sistema de información CA
Service Desk
15570 (SDPA) NO
25557 (OCID) NO
42226 (SDSI) NO
9. Elaborar
Documentos
Precontractuales
El profesional del Grupo de Gestión de Arquitectura de TI
asignado al proyecto, elabora los siguientes documentos con
el apoyo del Arquitecto líder (rol definido dentro del proyecto)
y el Coordinador de arquitectura y acorde a los lineamientos
establecidos en el proceso Precontractual, código PPCR01 y
a las actividades descritas en el manual de contratación y
supervisión, código PPMN01:
- Anexo técnico
- Estudio de mercado
- Solicitud de CDP
- Estudio previo
- Solicitud de vigencias futuras (en caso de requerirlo)
Consolidados los documentos anteriores, se procede con la
radicación de solicitud de contratación, mediante memorando,
código ASFL01 dirigido al grupo de contratación.
Una vez se dispone de asignación de abogado al proceso por
parte del grupo de contratación, se realizan las siguientes
actividades de orden técnico:
- Revisión y ajustes a documentos elaborados.
- Respuestas a observaciones de carácter técnico de
posibles proponentes.
- Evaluación técnica de propuestas
- Respuestas a observaciones de la evaluación realizada.
Los eventos más relevantes de esta actividad son registrados
como actualización del caso en la aplicación CA Service Desk
Memorando, ASFL01
Sistema de información CA
Service Desk
15570 (SDPA)
Solo CA
sin
anexos
Memorando, ASFL01
Sistema de información CA
Service Desk
42226 (SDSI)
Solo CA
sin
anexos
11. Apoyar en el
gobierno
arquitectónico
Durante la ejecución y monitoreo a la implementación de la
solución, ya sea para desarrollos internos o servicios
tercerizados, el profesional especializado del Grupo de
Gestión de Arquitectura de TI asignado al proyecto y de
Sistema de información CA
Service Desk
Bitácora de proyecto
15570 (SDPA) NO
-
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
23
Actividad Descripción Registro Caso revisado Cumple
(SI/NO)
de la
implementación
acuerdo con los requerimientos de la solución acompaña las
siguientes actividades:
- Hacer seguimiento y verificación al cumplimiento de los
componentes arquitectónicos diseñados.
- Poblar del repositorio documental de arquitectura, de
acuerdo con los documentos generados por la
implementación de la solución de T.I.
- Formular recomendaciones asociadas al cumplimiento de la
arquitectura, mitigación de riesgos y /o acciones de mejora
frente a situaciones que se presenten durante la ejecución
del contrato, cuando aplique.
- Actualizar la bitácora de implementación del proyecto
mensualmente.
Estas actividades pueden realizarse en paralelo y activar
cambios en la Definición de Arquitectura, en tal caso debe
analizar el impacto de los mismos y actualizar la
documentación relacionada de la arquitectura a implementar.
Los eventos más relevantes de esta actividad son registrados
como actualización del caso en el sistema de información CA
Service Desk.
Sistema de información CA
Service Desk
Bitácora de proyecto
42226 (SDSI) Solo
Bitácora
Tabla 11 – Fuente OCI - Procedimiento Gestión Arquitectura TI – RSPD01
Sobre la aplicación de este procedimiento, la OCI observó que los registros en el aplicativo
CA, son muy superficiales y no dejan entrever claramente la traza ni evidencia de las
acciones adelantadas; adicionalmente, sobre la documentación aportada por la OTI como
soporte, se encontró que, en la ejecución de este procedimiento que involucró la revisión
de 3 casos, no se tiene información suficiente que permita colegir que hay uniformidad en
la documentación y los pasos que se deben realizar para el cumplimiento los requerimientos
establecidos en el procedimiento RSPD01.
En consecuencia, y bajo el sustento de la evidencia objetiva recaudada, se observó
debilidad en la aplicación del procedimiento RSPD01 y autocontrol que se debió ejercer en
el proceso, factores que configuran incumplimiento a lo preceptuado en el artículo 4 de la
Resolución 4086 del 19 de diciembre de 2014, la cual precisa: “los procesos y procedimientos adoptados por la presente resolución son de obligatorio cumplimiento para los servidores públicos y
contratistas que laboran en la Superintendencia Nacional de Salud”; (Negrillas nuestras); eventos que
reiteran NO Conformidad No. 01 (Ver numeral 7.3 - NO Conformidades).
b. Procedimiento Gestión de Aplicaciones – RSPD02
Objetivo: “Implementar las soluciones tecnológicas requeridas por la entidad, mediante los acuerdos de desarrollo, implantación, normalización y actualización de sistemas de información con el propósito de
garantizar el funcionamiento de las aplicaciones y apoyar los procesos de negocio de la entidad”.
-
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
24
Alcance: “Inicia con el establecimiento de los acuerdos de desarrollo definidos en el procedimiento “Gestión de arquitectura de TI”, continúa con el desarrollo o ajuste de la solución, validación de las iteraciones y termina
con la transición, puesta en marcha y el soporte funcional”.
Ámbito de aplicación: “Aplica a todos los procesos del Sistema Integrado de Gestión”.
La OCI practicó evaluación a fin de identificar el cumplimiento del procedimiento RSPD02,
el cual registra que la última actualización aprobada por la OAP fue mediante NURC 3-
2016-019443 del 14-10-2016, estando actualmente en versión 2.
Se hizo muestreo aleatorio de las políticas de operación y actividades que se definen en el
procedimiento, respecto de las conductas reguladas en el SIG de la Entidad, que directa o
indirectamente pudieran estar asociados a este, seleccionando del aplicativo CA el caso
63789 del 27-04-2018 que corresponde a una solicitud relacionada con la segunda fase del
sistema RILCO.
Como resultado de lo anterior, la OCI observó que el procedimiento evaluado se encuentra
desactualizado en su parte normativa, ya que en el acápite “Normas” no contempla el
Decreto 1499 de 2017 MIPG, expedido por el DAFP, el cual consolida la Política de
Gobierno Digital y el MECI; así mismo no se incluye la Resolución 1110 de 2015, la cual
derogó la Resolución 1621 de 2014, por la cual se crearon los Grupos Internos de Trabajo
de la OTI; y tampoco se registra la Resolución 10447 de 2018, donde se nombran los
nuevos coordinadores de los Grupos Internos de Trabajo de la OTI.
Con el fin de determinar el cumplimiento de las Políticas de Operación, se hizo seguimiento
a la traza del caso 63789 para determinar el cumplimiento de las 2 políticas de operación
definidas en el procedimiento.
Política de operación No. 1: “Toda solicitud de trabajo debe entregarse a través del caso generado
por el procedimiento Gestión de Requerimientos, código GSPD04”, encontrando que
originalmente el requerimiento fue elevado por el área solicitante el 18-04-2018 (formato
RSFT02), y en el aplicativo quedó abierto el 27-04-2018, con fecha de cierre el 08-11-2018,
observando el cumplimiento de esta política de operación.
Política de operación No. 2: “Se deben tener en cuenta los requisitos establecidos por el
Subsistema de Seguridad de la Información en el formato Requerimientos de Seguridad para
Aplicaciones con código RSFT03”. Esta política indica que se debe diligenciar el formato
RSFT03, el cual no se encontró en la documentación aportada, ni en la traza del caso en
CA.
Con el fin de determinar el cumplimiento de las actividades definidas en este procedimiento,
se seleccionaron 3 de ellas, debido a que la actividad No. 1 indica que, si la solicitud se
-
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
25
realiza sobre un producto existente, se debe continuar con la actividad 3, por lo que no se
evaluó traza de la actividad 2 “Implantar Sistemas de Información”, encontrando lo
siguiente:
Actividad Descripción Registro Cumple
(SI/NO)
1. Identificar
acuerdos de
desarrollo
El jefe de la OTI, junto con la dependencia solicitante del requerimiento del Sistema de
Información, elabora los acuerdos de desarrollo acorde a los lineamientos establecidos en el
procedimiento Gestión de Arquitectura de Tecnologías de la Información, código RSPD01 y el
Procedimiento de Gestión de Requerimientos, código GSPD04 pertenecientes al proceso Gestión
de Servicios Tecnológicos y mediante acta, registra los acuerdos establecidos.
Si se trata de un requerimiento totalmente nuevo, se continúa con la actividad 2, del presente
procedimiento.
Si se trata de un requerimiento que se encuentra en uso en la entidad, se continúa con la
actividad 3, del presente procedimiento.
Acta.
Sistema de
información
de
Planeación
y Gestión
NO
3. Actualizar
o mantener
Sistemas de
Información
El profesional asignado, para actualizar o mantener los Sistemas de Información, deberá realizar
las siguientes actividades:
• Elaborar y solicitar aprobación de los diseños por parte del dueño del proceso, en caso de
involucrar actividades de desarrollo.
• Preparar el ambiente de desarrollo de Software.
• Preparar y elaborar guiones; realizar y evaluar pruebas unitarias de integración y de sistemas.
• Elaborar Plan de Migración de datos
Cuando se acuerda trasladar datos históricos a la nueva funcionalidad:
o Desarrollo de software de migración.
o Establecer ambiente.
o Realizar y evaluar pruebas de migración.
o Elaboración de manuales, si es requerido.
o Implantar las prácticas que le permiten al equipo tener retroalimentación temprana y continua de
los interesados, y demostrar valor e iteración incremental, remitirse a la guía para la implantación
o implementación de sistemas de información.
o Para la profundización e identificación de actividades detalladas para cada una de las
actividades mencionadas anteriormente, por favor ver la Guía Gestión de mantenimiento, código
RSGU02.
NO
4. Gestionar
la puesta en
Implantación
de Sistemas
de
información
El profesional asignado, para Puesta en Implantación de Sistemas de información, deberá realizar
las siguientes actividades:
• Garantizar la calidad del software por medio de la definición y ejecución de pruebas funcionales,
de instalación y de software.
• Definir y especificar el Plan de Implantación.
• Capacitar al Equipo de Implantación.
• Capacitar a los usuarios líderes, usuarios finales y a quienes deben dar soporte de mesa de
ayuda.
• Preparar plan de pruebas, realizar y evaluar las pruebas de aseguramiento de calidad, y
preparar la estructura y plan de mantenimiento.
• Identificar, describir y establecer acuerdos de niveles de servicio de TI.
• Obtener aprobación del sistema.
• Preparar y habilitar ambiente de Producción.
Ver actividades detalladas para cada una de las actividades mencionadas anteriormente, remitirse
a la Gestión de implantación, código RSGU01
NO
Tabla 12 – Fuente OCI- Tomado del Procedimiento Gestión de Aplicaciones – RSPD02
Sobre la aplicación de este procedimiento, la OCI encontró los registros en el aplicativo CA,
son muy superficiales y no dejan entrever la traza ni evidencia de las acciones adelantadas;
adicionalmente, sobre la documentación aportada por la OTI como soporte, se puede ver
-
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
26
que se hizo la gestión solicitada, pero no se cumplió con los requerimientos establecidos
en el procedimiento RSPD02.
En consecuencia y bajo el sustento de la evidencia objetiva recaudada, se observó
debilidad en la aplicación del procedimiento RSPD02 y por ende, autocontrol que se debió
ejercer en el proceso, configurando incumplimiento a lo preceptuado en el artículo 4º de la
Resolución 4086 del 19 de diciembre de 2014, la cual precisa: “los procesos y procedimientos adoptados por la presente resolución son de obligatorio cumplimiento para los servidores públicos y
contratistas que laboran en la Superintendencia Nacional de Salud”; (Negrillas nuestras); eventos que
reiteran NO Conformidad No 01 (Ver numeral 7.3 - NO Conformidades).
5.3 Sistemas de información, seleccionados por muestreo
Para la auditoría objeto de este informe, se hizo solicitud a la OTI sobre el aporte de un
inventario de sistemas de información existentes en la entidad durante la vigencia 2018,
para lo cual se aportó un listado de 25 aplicaciones, indicando en cada una de ellas nombre
del sistema de información, descripción, tipo de aplicación (misional, apoyo, estratégico,
transversal), tipo de información que administra, tipo de implementación, fabricante o
desarrollador.
De la anterior lista se seleccionaron 3 sistemas que se encuentran en producción, a los que
se le verificaron los controles de acceso, perfiles y existencia de manuales; adicionalmente
se les hizo valoración e interacción con los Riesgos tanto Operacionales (Gestión) como de
Corrupción, y las conductas reguladas en el SIG de la Entidad, que directa o indirectamente
pudieran estar asociados a estos:
o NRVCC y RVCC para el cargue de Circular Única;
o SGT-Sistema Gestión de Tasa;
o SUPERCOR-Gestión Documental.
Además, se verificaron otros sistemas que fueron adquiridos pero que no han entrado en
producción, a los cuales se les hizo seguimiento para determinar su estado contractual,
técnico y funcional:
o SJC software para la SDFJC;
o SUMA-Gestor Documental;
o Plataforma BPMS, para la automatización de los procesos de negocio de la SNS
(módulos de “Auditorías” para la SDSI y “Gestión del Proceso Administrativo” para la
SDPA).
-
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
27
5.3.1 Circular Única “nRVCC” y “RVCC”
Antecedentes:
A través del Sistema de Recepción, Validación y Cargue de la Circular Única - RVCC, los
vigilados reportan la información que solicita la SNS, de acuerdo con los diferentes tipos,
atendiendo las fechas o periodicidad en que debe ser enviada, de conformidad con lo
establecido en la Circular Externa 047 de 2007 y las modificaciones que ésta ha tenido en
el tiempo; insumo que sirve a otras dependencias como la SDSI y SEGEN, para determinar
el estado en el cual se encuentran los vigilados en aspectos generales, administrativos y
financieros, y con base en esa información, desarrollar en debida forma las funciones de
Inspección, Vigilancia y Control.
El Sistema de Recepción, Validación y Cargue Circular Única-RVCC, es el que suministra
al proceso de Gestión de Tasa (cálculo, liquidación y recaudo), la base de vigilados que
han reportado a través de este sistema la información requerida por Circular No. 047 de
2007.
Renovación Tecnológica del sistema de información RVCC
Desde la vigencia 2015 y durante la vigencia 2016, la SNS a través de los funcionarios y
contratistas de la OTI, se realizó el análisis, diseño, desarrollo e implementación del nuevo
sistema de recepción de archivos financieros el cual contempla temas de retransmisiones
y datos generales en su fase III, implementando nuevas validaciones a los archivos de
cargue y la implementación de un módulo temporal de habilitaciones solicitado por el área
funcional, además de una reestructuración al CORE que permita nuevas capacidades frente
a la imputación transaccional.
El nuevo sistema de Recepción, Validación y Cargue Circular de Archivos – nRVCC, entró
en producción durante el primer trimestre de 2017, logrando tener mayor disponibilidad de
la infraestructura, permitiendo atender de manera fluida la alta concurrencia de los vigilados
en la plataforma.
El sistema de validación para el ingreso de los vigilados al sistema (RVCC y nRVCC),
cuenta con una interfaz web de autenticación para las entidades vigiladas, el cual exige uso
de usuario y contraseña para cada entidad, permite “validar, cargar oficialmente la
información” y “verificar el reporte de los envíos realizados y de los archivos reportados”,
en cumplimiento de lo estipulado en las circulares publicadas en la página web de la
Superintendencia, siguiendo enlace: https://www.supersalud.gov.co/vigilados/normatividad/circular-unica.
https://www.supersalud.gov.co/vigilados/normatividad/circular-unicahttps://www.supersalud.gov.co/vigilados/normatividad/circular-unica
-
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
28
Es importante mencionar que las dos versiones del aplicativo están disponibles y se utilizan,
debido a que a través de cada una de ellas, se transmiten archivos diferentes; por ejemplo,
en RVCC se transmiten los archivos definidos por la Circular Externa 047 de 2007-
información financiera (los que están vigentes) y en NRVCC se transmiten los nuevos
reportes definidos desde la emisión de las Circulares 012 y 016 de 2016 y subsiguientes,
las cuales contemplan, entre otros, la aplicación de las normas NIIF.
El sistema de cargue Circular Única, se ha estado actualizando permanentemente de
acuerdo con los requerimientos del área funcional (SDSI), entre los cuales se encuentran
la estructuración de las Circulares Externas 012 y 016 de 2016, y las subsiguientes que se
han generado por parte de la entidad.
Tanto para el antiguo RVCC como el nRVCC, la entidad tiene dispuesto en la página web,
los manuales, resoluciones, circulares y demás documentación necesaria para guiar a los
vigilados en la transmisión de sus archivos.
Toda esta documentación puede ser consultada en el siguiente enlace:
https://www.supersalud.gov.co/vigilados/normatividad/circular-unica. Otra forma de consultar normativa
es siguiendo el enlace: https://www.supersalud.gov.co/vigilados/normatividad/circulares-externas.
Verificación Funcional de la OCI:
▪ En la visita insitu, se realizaron pruebas con los perfiles de administrador (OTI) y con perfil
de usuario (vigilado), con el fin de verificar el nivel de seguridad y validación que se tiene
parametrizado en este sistema.
▪ Al ingresar a RVCC/NRVCC, la primera validación es el uso de un usuario y contraseña;
en la entidad la verificación y activación de usuarios de vigilados
▪ La definición, modificación, eliminación de usuarios, se hace en la OTI con base en correo
radicado por la Mesa de Servicios, quienes reciben el correo en
[email protected], para lo cual se genera el caso en CA.
En la visita insitu y pruebas realizadas, se observó carga operativa en la administración de
usuarios, la cual debería estar en cabeza del área funcional, por lo cual la OCI configura la
Observación No. 02 (Ver numeral 7.2 - Observaciones), ya que una inapropiada segregación de
funciones, origina deficiencias significativas en el control que se debe ejercer sobre estos
sistemas de información, aumentando la probabilidad de ocurrencia de errores
(intencionales o involuntarios), afectando o impidiendo una adecuada asistencia en la
protección de los activos de información de la entidad, y restando tiempo y recursos para la
ejecución de otras actividades propias de la OTI.
https://www.supersalud.gov.co/vigilados/normatividad/circular-unicahttps://www.supersalud.gov.co/vigilados/normatividad/circulares-externasmailto:[email protected]
-
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
29
▪ En el portal web de la entidad, se tiene una página para el ingreso de vigilados, donde se
pueden consultar los manuales de acceso al sistema, la normativa expedida para el cargue
y validación de información, circulares expedidas modificatorias de la circular Única, y los
íconos que permiten ingresar al sistema; los cuales se pueden verificar en el siguiente
enlace: https://www.supersalud.gov.co/vigilados/normatividad/circular-unica, funcionalidad que permite
a los vigilados la consulta permanente de la documentación que les compete y que es
generada por la SNS.
▪ En las transmisiones que hacen los vigilados, hay mallas de validación que permiten
garantizar que las características de los archivos cumplen con lo requerido por el sistema.
▪ Al sistema se le hacen copias de seguridad (backup`s), en cumplimiento de las políticas y
periodicidad establecidas por la entidad.
5.3.2 Sistema Gestión de Tasa – SGT
Antecedentes:
Con el fin de automatizar el proceso Gestión de tasa en un sistema de información que
consolide información, realice el cálculo, la liquidación, la notificación, el recaudo y la cartera
para la Tasa de Inspección, Vigilancia y Control de manera integral y sistémica, se suscribió
el contrato 611 de 2013 (adquisición, desarrollo e implementación del software) con la Unión
temporal Abits-Sertisoft; posteriormente y de forma periódica se han suscrito contratos de
mantenimiento y soporte.
Estado contractual:
Contrato No. 611 de 2013 Valor del Contrato: $1.099.999.580.
Clase de Contrato: Prestación de Servicios.
Contratista: UNIÓN TEMPORAL ABITS - SERTISOFT.
Objeto Contractual:
Proveer el licenciamiento del software que permita el proceso integral de consolidación de información,
cálculo, liquidación, notificación, recaudo y cartera para la Tasa de Inspección, Vigilancia y Control de la
Superintendencia Nacional de Salud de conformidad con las especificaciones descritas en el Anexo
Técnico.
Supervisores del
Contrato: Secretaría General y Oficina de Tecnologías de la Información.
Fecha Inicio: 12 de diciembre de 2013.
Fecha Terminación: 31 de julio de 2014.
Prórroga 1: Del 1 al 31 de agosto de 2014.
Motivo prórroga: Prórroga en tiempo de 1 mes y modificación obligación específica No. 14 y modificación cláusula forma de
pago.
Prórroga 2: Del 31 de agosto al 31 de octubre de 2014.
Motivo prórroga: Prórroga en tiempo de 2 meses.
Acta de Liquidación del
Contrato: enero 8 de 2015.
Contrato No. 188 de 2015
https://www.supersalud.gov.co/vigilados/normatividad/circular-unica
-
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
30
Valor del Contrato: $203.154.280.
Clase de Contrat