INFORME

GESTION DE LA OFICINA DE CONTROL INTERNO y ESTADO DEL SISTEMA DE CONTROL INTERNO INSTITUCIONAL Circular Externa 029 de 2014 Numeral 6.1.4.2.2.5. Comunicación de Resultados

OFICINA DE CONTROL INTERNO VIGENCIA 2015

JORGE LUIS GARZÓN TOBAR Jefe Oficina de Control Interno

Bogotá D.C., abril de 2016

1

TABLA DE CONTENIDO

Numeral 6.1.4.2.2.5.1. 6.1.4.2.2.5.2.

6.1.4.2.2.5.3.

6.1.4.2.2.5.3.1.

6.1.4.2.2.5.3.2.

6.1.4.2.2.5.3.3.

6.1.4.2.2.5.3.4.

6.1.4.2.2.5.4.

6.1.4.2.2.5.5.

6.1.4.2.2.5.6.

6.1.4.2.2.5.7.

6.1.4.2.2.5.8.

6.1.4.2.2.5.9.

Tema Introducción Título. Identificación de los temas, procesos, áreas o materias objeto del examen, el periodo y criterios de evaluación, y la responsabilidad sobre la información utilizada, precisando que la responsabilidad del auditor interno es señalar los hallazgos y recomendaciones sobre los sistemas de control interno y de administración de riesgos. Especificación respecto a que las siguientes evaluaciones se realizaron de acuerdo con la regulación, las políticas definidas por la junta directiva u órgano equivalente y mejores prácticas de auditoría sobre el particular Evaluación de la confiabilidad de los sistemas de información contable, financiera y administrativa. Evaluación sobre el funcionamiento y confiabilidad del sistema de control interno. Evaluación de la calidad y adecuación de los sistemas establecidos para garantizar el cumplimiento con las leyes, regulaciones, políticas y procedimientos. Evaluación de la calidad y adecuación de otros sistemas y procedimientos, análisis crítico de la estructura organizacional y evaluación de la adecuación de los métodos y recursos en relación con su distribución. Los resultados de la evaluación realizada respecto a la existencia, funcionamiento, efectividad, eficacia, confiabilidad y razonabilidad de los sistemas de control interno y de riesgos. Una declaración de la forma en que fueron obtenidas sus evidencias, indicando cuál fue el soporte técnico de sus conclusiones. Mencionar las limitaciones que encontraron para realizar sus evaluaciones, tener acceso a información u otros eventos que puedan afectar el resultado de las pruebas realizadas y las conclusiones. Relación de las recomendaciones formuladas sobre deficiencias materiales detectadas, mencionando los criterios generales que se tuvieron en cuenta para determinar la importancia de las mismas. Resultados del seguimiento a la implementación de las recomendaciones formuladas en informes anteriores. Identificación, nombre y firma, ciudad y fecha de elaboración.

Página 3 3

3

8

8

8

9

9

10

10

11

11

11 13

2

INFORME: COMUNICACIÓN DE RESULTADOS

Introducción El numeral “6.1.4.2.2.5. Comunicación de Resultados”, de la Circular Externa 029 de 2014 emitida por la Superintendencia de Colombia, establece que: “Por lo menos al cierre de cada ejercicio, el auditor interno o quien haga sus veces deberá presentar un informe de su gestión y su evaluación sobre la eficacia del sistema de control interno, incluyendo todos sus elementos…”. En atención a la norma señalada, se presenta el informe correspondiente a la gestión que adelantó la Oficina de Control Interno durante la vigencia 2015, así como los aspectos relevantes de la evaluación realizada a cada uno de los elementos del sistema de control interno de la Entidad. La Oficina de Control Interno hizo énfasis en el análisis y evaluación al sistema de control interno institucional y en la generación de las recomendaciones que contribuyeran con el fortalecimiento del sistema. Los criterios establecidos por esta dependencia para la evaluación de la Entidad se enmarcaron dentro de la regulación actual, la normatividad vigente, los requerimientos de Alta Dirección, del Comité de Auditoría, así como las mejores prácticas y procedimientos de auditoría generalmente aceptados. Es preciso indicar que las evaluaciones se realizaron a través de muestras selectivas por lo cual, pudieran existir situaciones no detectadas debido a que los resultados obtenidos se limitan al alcance de los datos seleccionados. 6.1.4.2.2.5.1. Título. Informe de gestión de la Oficina de Control Interno y Estado del Sistema de Control Interno Institucional Vigencia 2015. 6.1.4.2.2.5.2. Identificación de los temas, procesos, áreas o materias objeto del examen, el periodo y criterios de evaluación y la responsabilidad sobre la información utilizada, precisando que la responsabilidad del auditor interno es señalar los hallazgos y recomendaciones sobre los sistemas de control interno y de administración de riesgos. La Oficina de Control Interno desarrolló un programa de trabajo para la vigencia 2015, en el que, de manera independiente y objetiva, ejecutó las evaluaciones y auditorías a los diferentes procesos con el fin de evaluar la eficacia y estado del sistema de control interno en cada uno de ellos.

3

Para efectos de tener un adecuado cubrimiento en la evaluación del SCI y de los Sistemas de administración de riesgo, el programa de auditoría para la vigencia 2015 evaluó la totalidad de los procesos de la Entidad, así:

4

5

Las actividades realizadas por parte de la Oficina de Control Interno, además de dar cumplimiento a los requisitos de la Circular Externa 029, se enmarcaron en los lineamientos de la Ley 87 de 1993, sus Decretos reglamentarios, el Modelo Estándar de Control Interno MECI 2014 y la Norma Técnica de Calidad NTCGP 1000. Es importante señalar que la responsabilidad en la función de auditoría de la Oficina de Control Interno correspondió a la evaluación de los procedimientos, normas, documentos y demás elementos que permitieran emitir un juicio de valor sobre el estado del sistema de control interno, señalando las debilidades detectadas y emitiendo las recomendaciones que permitieran contribuir con el mejoramiento del sistema. A continuación, se presenta una relación de los procesos evaluados teniendo en cuenta que el resultado de la auditoría se encuentra plasmado en los correspondientes informes. Las conclusiones de la evaluación fueron puestas en conocimiento de cada una de las áreas evaluadas, así como a la Alta Dirección y al Comité Auditoría:                         

Planeación Financiera Presupuesto SARM Tesorería SARL Investigación y Desarrollo de productos: Gestión contable Comunicaciones FRECH Gestión Humana SARC Puntos de atención Contratación Gestión de Infraestructura Archivo y correspondencia Gestión Jurídica Desarrollo Organizacional: Planeación del sistema de Gestión de Calidad SARLAFT Gestión Comercial Modelo de prevención de fraude Captación de AVC Administración de cuentas y pago de avc SAC, PQR´s, MSC. Crédito educativo

6

       

Crédito Hipotecario Desembolsos Aporte de cesantías Facturación y Cartera Administración de cuentas y pago de cesantías SARO Gobierno Corporativo. Gestión de Tecnología: o o o o o o o o o o o o o o o o o o o o o o o

Presupuesto e Inversión de T.I Revisión y Evaluación de Políticas de T.I Administración de la Calidad de TI Estructura organizacional de TI Administración de Terceros (Servicios subcontratados o en outsourcing) Monitorear y evaluar el desempeño de TI Mantenimiento del software aplicativo. Administración de cambios en TI Administrar el desempeño y la capacidad de TI Administrar la configuración de TI Administración de datos Administración del ambiente físico Administración de operaciones Administración de la mesa de servicio y los incidentes. Administración de inventarios y licencias Administración de proyectos de T.I. Facilitar la operación y el uso. Entrenamiento y capacitación Garantizar cumplimiento regulatorio Seguridad de TI Evaluación software aplicativo Evaluación al DRP Cumplimiento de la circular externa 042 de la SFC. Evaluación a los terceros que participan en la operación de TI Verificación protección de datos personales y el Habeas Data.

Para cada uno de los temas evaluados, se generaron los correspondientes informes que contenían observaciones relacionadas con el diseño, la efectividad operativa de los controles u oportunidades de mejora identificadas de acuerdo con la realidad de los procesos actuales y lo considerado por las mejores prácticas. De otro lado es preciso señalar que con el fin de subsanar las debilidades detectadas la Alta Dirección a través de los líderes de los procesos generaron los correspondientes planes de acción los cuales fueron objeto de seguimiento por parte de la Oficina de Control Interno.

7

6.1.4.2.2.5.3. Especificación respecto a que las siguientes evaluaciones se realizaron de acuerdo con la regulación, las políticas definidas por la Junta Directiva u órgano equivalente y mejores prácticas de auditoría sobre el particular: Los procedimientos de auditoría adelantados, se efectuaron teniendo en cuenta las mejores prácticas de control que recomienda el marco de trabajo para el desarrollo de la auditoría y las normas generalmente aceptadas. Las evaluaciones realizadas cumplieron con los lineamientos establecidos en las normas vigentes, no solo las propias del tema evaluado sino las correspondientes a la auditoría, al sistema de control interno y al sistema de administración de riesgos. 6.1.4.2.2.5.3.1. Evaluación de la confiabilidad de los sistemas de información contable, financiera y administrativa. Durante la vigencia en cuestión la Oficina de Control Interno desarrolló evaluaciones a los sistemas de información contable, financiera y administrativa resultados que fueron presentados en los correspondientes informes. Para el desarrollo de estas evaluaciones se aplicaron las técnicas de auditoría generalmente aceptadas. 6.1.4.2.2.5.3.2. Evaluación sobre el funcionamiento y confiabilidad del sistema de control interno. En las evaluaciones realizadas a los diferentes procesos de la entidad, se evidenciaron las principales debilidades que a juicio de esta dependencia pudieron afectar el sistema de control interno del proceso y de la organización. Adicionalmente, la Oficina de Control interno, realizó la evaluación del Sistema de Control Interno de acuerdo con las Normas de Auditoría Generalmente Aceptadas y según lo establecido por la Circular Externa 029 de 2014, Parte I, Título I, Capítulo IV. Dicha evaluación incluyó un entendimiento del Sistema de Control Interno, evaluando y probando la efectividad del diseño y la operación del mismo; adicionalmente realizó la evaluación a los componentes del sistema a saber:       

Ambiente de Control Gestión de Riesgos Actividades de Control Información y Comunicación Monitoreo Control Interno de la Gestión Contable Normas de Control Interno para la gestión de la Tecnología

8

El resultado de la revisión y así como del seguimiento efectuado a las recomendaciones emitidas por los diferentes entres de Control y la auditoría interna del Fondo Nacional del Ahorro, son una base razonable para concluir que el sistema de control interno de la entidad es confiable y efectivo, anotando que existen algunos aspectos que han sido objeto de mejoramiento por parte de la Administración en atención a las recomendaciones de la Oficina de Control Interno. 6.1.4.2.2.5.3.3. Evaluación de la calidad y adecuación de los sistemas establecidos para garantizar el cumplimiento con las leyes, regulaciones, políticas y procedimientos. En cada una de las evaluaciones realizadas por la Oficina de Control Interno se verificó el cumplimiento de las leyes, decretos, principios y procedimientos vigentes los cuales deben ser aplicados en cada uno de los procesos de la Entidad. Como complemento al sistema de control interno, el sistema de gestión de calidad ha establecido mecanismos para la elaboración, revisión y mejora permanente de la documentación que hace parte de cada uno de los procesos del sistema de la entidad. Esta documentación también es evaluada dentro de las auditorías al sistema de gestión de calidad que se ejecutaron en la vigencia señalada. Durante la vigencia 2015 y en concordancia con las evaluaciones practicadas, la Entidad dio cumplimiento a las disposiciones establecidas en la normatividad externa y en la interna. De igual manera se presentaron las correspondientes observaciones cuando se identificaban incumplimientos en las normas vigentes. 6.1.4.2.2.5.3.4. Evaluación de la calidad y adecuación de otros sistemas y procedimientos, análisis crítico de la estructura organizacional y evaluación de la adecuación de los métodos y recursos en relación con su distribución. Como parte integral del sistema de control interno, el sistema de gestión de calidad implementado por la entidad y certificado por el Icontec, propende por el mejoramiento continuo de la gestión institucional. En el marco de las evaluaciones realizadas se establecido que la estructura organizacional de la entidad es adaptativa y flexible y cuenta con las líneas de autoridad y responsabilidad claramente definidas. La entidad viene ejecutando los estudios y análisis necesarios para la modernización y fortalecimiento institucional, cuyo objetivo es el de ajustar la estructura de la entidad al creciente desarrollo de productos y servicios ofrecidos por la misma.

9

6.1.4.2.2.5.4. Los resultados de la evaluación realizada respecto a la existencia, funcionamiento, efectividad, eficacia, confiabilidad y razonabilidad de los sistemas de control interno y de riesgos. La Oficina de Control Interno, realizó la evaluación del Sistema de Control Interno de acuerdo con las Normas de Auditoría Generalmente Aceptadas y según lo establecido por la Circular Externa 029 de 2014. Dicha evaluación incluyó un entendimiento del Sistema de Control Interno, evaluando y probando la efectividad del diseño y la operación del mismo; adicionalmente realizó otros procedimientos de evaluación que consideró necesarios, incluyendo la observación de evidencia suficiente sobre los componentes de control que indican las normas establecidas para el control interno a saber: Ambiente de Control, Gestión de Riesgos, Actividades de Control, Información y Comunicación, Monitoreo, Control Interno de la Gestión Contable, Normas de Control Interno para la gestión de la Tecnología, Órganos de Administración y Evaluaciones Independiente. El resultado de la revisión permite establecer que se presentan algunas debilidades en el sistema de control interno institucional, las cuales de acuerdo con los planes de mejoramiento adelantados en los procesos están siendo objeto de mejoramiento de tal forma que pueda brindar confiabilidad y razonabilidad en las operaciones. Las debilidades del sistema y los planes de mejora formulados fueron comunicados a la Administración en informes separados que contienen las recomendaciones correspondientes. Igualmente, los resultados de las evaluaciones se presentaron en las diferentes sesiones del Comité de Auditoría informando los asuntos más relevantes. De otra parte, se puede indicar que, aunque se informaron debilidades en el sistema de administración de riesgos, la entidad cuenta con una Vicepresidencia que se encarga de administrar este sistema. Durante la vigencia 2015 trabajo en el fortalecimiento de los controles, la revisión de los riesgos y las operaciones en cada uno de los sistemas de administración. 6.1.4.2.2.5.5. Una declaración de la forma en que fueron obtenidas sus evidencias, indicando cuál fue el soporte técnico de sus conclusiones. En atención a las normas de auditoría generalmente aceptadas y a los lineamientos del Modelo Estándar de Control Interno, la Oficina de Control Interno presenta previo al desarrollo de cada auditoría, el plan en el que se establecen los objetivos, alcance y temas a evaluar. En forma posterior y en desarrollo del proceso auditor solicitó la información objeto de revisión y comparación frente a los criterios de auditoría, la normatividad vigente, los procedimientos y controles establecidos.

10

Las evidencias se obtuvieron siguiendo el conducto regular, mediante solicitud formal por carta o por mensaje de correo electrónico. Adicionalmente, durante el mismo proceso de revisión de auditoría se obtuvo con el auditado, copia de evidencias que soportan el hallazgo o el punto evaluado las cuales reposan en los correspondientes papeles de trabajo. Igualmente, las evidencias fueron obtenidas al comparar las funciones, actividades y productos en cada uno de los procesos evaluados frente a los criterios de auditoría y el deber ser frente a la normatividad vigente aplicable a la entidad. Para la emisión de las conclusiones y hallazgos se evaluaron y analizaron bases de datos, actas, informes, documentos solicitados en cada proceso, teniendo en cuenta que las conclusiones y las recomendaciones se ajustaran a la evaluación y análisis efectuado. Se concluye entonces que tanto la recolección de datos, análisis y resultados emitidos se desarrollaron bajo los parámetros de auditoría y fueron socializados con los responsables de los procesos y posteriormente ser formalizados u entregados. 6.1.4.2.2.5.6. Mencionar las limitaciones que encontraron para realizar sus evaluaciones, para tener acceso a información u otros eventos que puedan afectar el resultado de las pruebas realizadas y las conclusiones. Durante el desarrollo del proceso auditor de la vigencia 2015, se presentaron algunas limitaciones en el suministro oportuno de la información requerida por parte de la Oficina de Control Interno. 6.1.4.2.2.5.7. Relación de las recomendaciones formuladas sobre deficiencias materiales detectadas, mencionando los criterios generales que se tuvieron en cuenta para determinar la importancia de las mismas. Las recomendaciones formuladas se encuentran en cada de los informes que fueron remitidos a la Alta Dirección y al líder del proceso auditado. 6.1.4.2.2.5.8. Resultados del seguimiento a la implementación de las recomendaciones formuladas en informes anteriores. Uno de los elementos fundamentales resultado de los informes de auditoría es la formulación de planes de mejora que atiendas las debilidades detectadas en el proceso de evaluación. Los planes formulados por los procesos se plasmaron en las correspondientes actas y se incorporaron en el aplicativo utilizado por la entidad para su correspondiente seguimiento. De acuerdo con lo anterior la Oficina de Control Interno realizó seguimiento a los planes de acción, producto de las auditorías realizadas en el año 2013, 2014 y 2015. En el último comité de Auditoría realizado en el mes de febrero de 2016, se

11

informó el estado del seguimiento a los planes de acción estableciendo un porcentaje de cierre del 95%, lo cual indica que se adelantan acciones de mejora permanente que permiten fortalecer el sistema de control interno institucional así:

Todas las oportunidades de mejora fueron comunicadas a la Administración en informes separados que contienen las recomendaciones correspondientes, los cuales fueron presentados al Comité de Auditoría informando los asuntos más relevantes. Así mismo, se efectuó seguimiento a las respuestas sobre los informes de recomendaciones dirigidas a la Administración de la Entidad y no hay asuntos de importancia material pendientes, que puedan afectar el resultado de la evaluación, no obstante, la administración debe continuar con el fortalecimiento los planes de acción diseñados por cada área.

12

6.1.4.2.2.5.9. Identificación, nombre y firma, ciudad y fecha de elaboración. El informe sobre los resultados de la gestión de la Oficina de Control Interno y el estado del sistema de control interno vigencia 2015 de acuerdo con lo establecido en la Circular Externa 029 del mismo año, se presenta por parte del Jefe de la Oficina de Control Interno a los 15 días del mes de abril de 2016.

JORGE LUIS GARZON TOBAR Jefe Oficina de Control Interno Elaboró:

Juan Carlos Acosta Ariza OCI

Revisó:

Jorge Luis Garzón Tobar Jefe Oficina Control Interno

13