Gestión y Sostenibilidad 2017 Findeter 2017
Desarrollado por Enablon Publisher

Página principal Control Interno

Auditorías Cargando...

PLAN DE AUDITORÍA

Conforme al Plan de Auditoria 2017-2018 que fue aprobado por el Comité de Auditoría de Junta Directiva en su sesión del 29 de noviembre de 2016. Al 31 de diciembre de 2017 se han ejecutado diecinueve (19) auditorías internas de gestión y seis (6) auditorias se encuentran en etapa de finalización y validación con el dueño del proceso.

RESULTADOS DE AUDITORÍAS
Resultado de las evaluaciones realizadas a 31 de diciembre de 2017, se generaron un total de 148 observaciones y oportunidades de mejora, sobre los cuales se establecieron los planes de acción orientados a fortalecer el cumplimiento de los objetivos de la Financiera y los diferentes elementos de control definidos en la Parte I, Título I, Capítulo IV de la circular externa 029 de la Superintendencia Financiera de Colombia.

De la gráfica anterior, a continuación presentamos el comportamiento de las observaciones y las oportunidades de mejora generadas por los elementos de control documentados en la Circular Externa 029 de 2014 emitida por la Superintendencia Financiera de Colombia en la Parte I, Título I, Capítulo IV:

Producto de la ejecución de las auditorías internas de gestión, se identificaron situaciones que le permitieron a la Financiera continuar con el fortalecimiento de su Sistema de Control Interno en cada uno de los procesos definidos en la cadena de valor vigente.

Así mismo, de acuerdo con la solicitud del Comité de Auditoría de Junta Directiva de Findeter, se ejecutó una evaluación específica sobre los procesos de Adquisición de Bienes y Servicios y de Asistencia Técnica. A continuación presentamos la conclusión de estas auditorías:


Asistencia Técnica:

Conclusión: De acuerdo con la evaluación realizada a los controles clave del proceso de Asistencia Técnica y para la muestra seleccionada (27 convocatorias), observamos que el mismo se encuentra alineado con el objetivo definido y se ejecuta de acuerdo con el alcance y los procedimientos documentados.

 Por otra parte, identificamos que la Vicepresidencia Técnica ha definido y ejecuta controles que buscan mitigar los riesgos a los que se encuentran expuesta la Entidad y están enfocados a la mejora continua.

No obstante lo anterior, se identificaron aspectos de mejora relacionados con:

  • El cumplimiento de la fecha de publicación de documentos en las convocatorias de Asistencia Técnica.
  • La aprobación del Comité Técnico a las adendas de los términos de referencia.
  • La oportunidad en la formalización de las actas de los comités Técnico y Fiduciario.
  • El fortalecimiento de los controles relacionados con la gestión documental para la integralidad, trazabilidad y disponibilidad de la documentación soporte en todas las etapas del proceso. 

De acuerdo con lo anterior, la Oficina de Control Interno presentó las siguientes recomendaciones para el mejoramiento continuo del proceso:

  • Definir las actividades administrativas y técnicas tendientes al procesamiento, manejo y organización de la documentación soporte de la gestión precontractual, tales como:

              -  Viabilidad de los proyectos de agua y saneamiento básico.

              -   Observaciones recibidas a los términos de referencia (TR).

              -   Aprobaciones de los TR y sus adendas.

              -   Propuestas recibidas.

              -   Evaluaciones técnicas, financieras y jurídicas firmadas y aprobadas, con sus soportes.

              -   Observaciones al informe de requisitos habilitantes.

              -   Subsanación de observaciones.

              -   Actas de selección.

Adicionalmente, definir los documentos que son soporte de la supervisión de los proyectos, con el fin de asegurar que los mismos se encuentran en custodia del programa correspondiente (agua e infraestructura social).

  • Definir y documentar lineamientos para la clasificación del estado de los proyectos (i.e. semáforos basados en avance, exposición mediática, siniestros, entre otros) y disposiciones para su reporte, incluyendo entre ellas las condiciones y frecuencias para su presentación a la Junta Directiva.
  • Reportar a la Vicepresidencia de Riesgos los derechos de petición relacionados con los proyectos de Asistencia Técnica, de acuerdo con el manual interno de SARO. Observamos un derecho de petición no reportado.
Adquisición de bienes y Servicios

Conclusión: De acuerdo con la evaluación realizada a los controles clave del proceso Adquisición de Bienes y Servicios y sobre la muestra seleccionada, observamos que el mismo se encuentra alineado con el objetivo definido y se ejecuta de acuerdo con el alcance y los procedimientos documentados.

Por otra parte, observamos que en el proceso se definen y ejecutan controles que buscan mitigar los riesgos a los que se encuentra expuesta la Entidad y están enfocados a la mejora continua del mismo.

No obstante lo anterior, se identificaron aspectos de mejora relacionados con:

  • El fortalecimiento de los controles relacionados con la gestión documental para la integralidad, trazabilidad y disponibilidad de la documentación soporte en todas las etapas del procedimiento.
  • La revisión y actualización de la matriz de riesgos y controles de fraude y corrupción a los que podría estar expuesta la Entidad en la adquisición de bienes y servicios.
AUDITORÍAS ESPECIALES

A continuación presentamos algunas de las acciones ejecutadas por la administración producto de las recomendaciones presentadas por la Oficina de Control Interno:

Seguridad de la información

En la evaluación de los controles clave de los procedimientos establecidos en la C.E. 029 de 2014 de la Superintendencia Financiera de Colombia Parte I, Título I, Capítulo IV, numeral 5.2.1.13. Seguridad de los sistemas y en la Parte I, Titulo II, Capítulo I, numeral 2. Seguridad y Calidad, observamos lo siguiente:

  • Se implementó el mecanismo de cifrado a los dispositivos para el uso de medios removibles y se implementaron las directrices de seguridad establecidas para el uso de equipos móviles.
  • Se definió la periodicidad para la revisión por parte de la Vicepresidencia de Riesgos sobre el bloqueo aplicado para el uso de dispositivos externos de almacenamiento en la Entidad. Para los 91 usuarios identificados sin este control, se solicitó por medio de una ASSISTA A la Dirección de tecnología el bloqueo respectivo.
  • Se identificaron los terceros permitidos para el intercambio de información. De igual manera se actualizó en el manual de políticas de seguridad y privacidad de la información la política 14.2.1 manejo seguro, transferencia o intercambio de la información donde se establece que la vicepresidencia de riesgos verificará periódicamente que los terceros o destinatarios con los cuales se intercambia información estén debidamente autorizados por el dueño de la información.
  • Se observó en la herramienta keepass la documentación de cuentas de usuario genéricas junto con su propósito y responsable. Así mismo se evidenció la creación de usuarios específicos en la consola de administración de McAfee para los responsables de la administración.
  • Se presentó al Comité de Riesgos la necesidad de fortalecer la clave de la red WIFI de invitados. El comité aceptó la solicitud y estableció una serie de políticas para fortalecer el control de conexión definiendo periodicidad para el cambio de la contraseña, utilización de contraseñas seguras, entre otras.
  • Se realizó la delegación de la responsabilidad y la actividad para verificar que las versiones de los programas del ambiente de producción corresponden a las versiones de programas fuentes catalogadas. Se presentó un primer informe sobre la revisión del versionamiento de los programas y se restringió el acceso a los datos de producción en sus copias de respaldo para los usuarios de infraestructura.
  • Se realizó la medición de la eficacia del programa de capacitación de Seguridad de la Información dirigido a los trabajadores de la Entidad, está se realizó junto a la capacitación anual de SARO y SARLAFT.
  • Se publicó el Manual de Políticas de Seguridad y Privacidad de la Información y se creó un cronograma de actividades para la divulgación del mismo.
Seguimiento al programa antifraude y  corrupción
  • Se formalizó el plan de sensibilización y concientización de los trabajadores respecto al programa antifraude y corrupción. Adicionalmente se observaron campañas de sensibilización tales como “DIC” y “DEBORA PLATA”, para todos los empleados generando conciencia sobre la protección de datos y la fuga de información. Así mismo, en las carteleras visuales de Findeter se dan consejos de seguridad.
  • Se incluyó un control en donde se indicó que diariamente se hará un seguimiento al funcionamiento del correo electrónico y semanalmente la línea de atención definida por la Entidad para la recepción de reportes de incidencias o eventos de fraude y corrupción.
  • La Vicepresidencia de Riesgos inició el proceso de re direccionamiento de las denuncias recibidas en la herramienta NEXURA, a las áreas correspondientes. Las mismas se encuentran en proceso de investigación.
Ley de Transparencia
  • Se estableció un nuevo direccionamiento impartido en el Plan de Comunicaciones de la Entidad, para la construcción de un nuevo portal web de Findeter, que de manera integral cumpla los requerimientos establecidos por la Ley de Transparencia y las políticas de Gobierno en Línea.
  • Se actualizó el horario de cada una de las sedes de Findeter en la página web.
  • De acuerdo con lo información suministrada y la revisión realizada a la página web de la Entidad, observamos que fueron publicados los activos de información, manteniendo las políticas de seguridad de la información. En esta documentación no se nombran los activos si no la funcionalidad con el fin de evitar que esta información sea utilizada por terceros. Así mismo, observamos que se realizó la actualización del programa de gestión documental v2 en la página web.
Gestión de Riesgos

De acuerdo con la validación realizada a los diferentes sistemas de administración de riesgos que administra la Financiera y producto de los resultados de las auditorías, observamos que estos se encuentran alineados con lo definido por la Superintendencia Financiera de Colombia respecto a sus etapas y elementos. No obstante lo anterior, se generaron recomendaciones que le permitirán continuar con su fortalecimiento, en los siguientes aspectos:

Sistema de Administración  de Riesgo Operativo (SARO)
  • Se definió un control de validación de la información contenida en las Actas de Junta Directiva que corrobore el cumplimiento de todas las funciones descritas en la C.E 100 de 1995, numeral 3.2.4.1, para cada informe presentado por el Representante Legal respecto al SARO.
  • Entró en funcionamiento el método anónimo para el registro de eventos de riesgos con el cual se espera un aumento en el registro de los mismos y un insumo adicional para la valoración del riesgo operativo de los procesos.
  • Se migró la totalidad de los procesos a la nueva metodología de SARO y a la herramienta WRM donde se administrarán los riesgos no financieros.
Sistema de Administración de Riesgo de Lavado de Activos  y financiación del Terrorismo (SARLAFT)
  • El día 07 de julio de 2017, la Superintendencia Financiera de Colombia autorizó la posesión del oficial de cumplimiento principal de Findeter.
  • La Vicepresidencia de Riesgos realizó el monitoreo de SARLAFT para el primer semestre del año 2017.
  • Se implementó un control de seguimiento en el cual se verifica el envío de la solicitud de los certificados de SARLAFT a todos los intermediarios. Adicionalmente, se creó una carpeta compartida con todas las certificaciones actualizadas.
  • Se encuentra en análisis la implementación de una política para las Personas Expuestas Públicamente (PEP).
  • Se actualizó el Manual SARLAFT respecto a la aplicación de la metodología en la herramienta WRM en los siguientes aspectos, la estimación del impacto de riesgos, el mapa de riesgos (colorimetría), los parámetros de calificación de control, la clasificación de los riesgos y las demás que la administración considere necesarias.
  • Se encuentran en revisión las actas de Junta Directiva donde se presentaron los informes trimestrales del Oficial de Cumplimiento con el objetivo que las mismas dejen registro de la evolución individual y consolidada de los perfiles de riesgo de los factores de riesgo y los controles adoptados, así como de los riesgos asociados, en cumplimiento de la normatividad vigente.
  • Se actualizó el formulario único de vinculación de persona natural incluyendo los espacios para recolectar la información de los potenciales clientes definidos por la Circular Externa 029 de 2014.
Sistema de Administración de Riesgo de Mercado (SARM) y de Liquidez (SARL)
  • La Vicepresidencia de Riesgos implementó el envío del informe diario, incluyendo información de riesgo de mercado y de liquidez. Así mismo está enviando de forma diaria la información relevante disponible, referente a riesgo de mercado y de liquidez, como complemento del informe diario enviado por la Dirección de Operaciones.
  • Se actualizó la matriz de riesgos, donde se identificaron tres nuevos riesgos y sus respectivos controles.
Sistema de  Administración  de Riesgo  Crediticio  (SARC)
  • Se actualizó el manual de SARC aclarando el periodo contable a tomar para el seguimiento y la asignación del VME, adicionalmente se aclaró que no se tomará la cartera titularizada para la asignación del VME, toda vez que la misma no es de Findeter.
  • La Financiera se encuentra en proceso de levantamiento de la información con los intermediarios financieros y de aplicación de los resultados dentro de las diferentes metodologías del SARC.
  • Se están definiendo políticas y se están documentando las acciones a considerar cuando el deudor registre obligaciones castigadas en el sistema financiero, de acuerdo con la información proveniente de las centrales de riesgo o de cualquier otra fuente.
  • Se están identificando los derechos contingentes, su exposición e impacto para la cartera que aplique.