Fraude Corrupción (Soborno) LA/FTAnti-
FraudeAnti-Corrupción LA FT
GR&C E.1.1. Gobierno de Control Secretaría General de ODC/ Gerencia
GeneralE.1.1.1.
Errores o direccionamiento en el proceso de toma de decisiones y/o de
aprobaciones en nombre de la Compañía, por debilidades en la asignación
de autoridad, inadecuada segregación de funciones, definición y
aprobación de la estructura de gobierno, generando pérdidas de valor
(contingencias) y/o afectación reputacional.
N/A 5 Extremo N/A 4 Mayor D: Probable 5 Extremo D: Probable 5 D Alto E.1.1.1.1
1. Aprobar los Estatutos de Oleoducto de Colombia S.A. (ODC) y sus modificaciones, por parte de la Asamblea de Accionistas, en los que se
documentan los órganos de gobierno de la Compañía (Asamblea General de Accionistas, Junta Directiva y Gerencia General de ODC ), con sus
funciones, atribuciones y responsabilidades.
2a. Aprobar por la Junta Directiva posterior a la revisión y validación por parte del Gerente General de ODC el "Manual de Autoridad y
Delegación-MAD" de Oleoducto de Colombia S.A. (ODC) que establece los niveles de aprobación y las delegaciones, para el desarrollo de sus
actividades.
2b.El MAD es divulgado a las Direcciones de los prestadores de servicios administrativos y operativos (CENIT / ECOPETROL) por correo
electrónico por parte de Secretaria General. En caso de requerir modificaciones la solicitud se eleva a la Secretaria General y la misma debe
ser aprobada por el nivel requerido.
x x x x x x x N/A 5 Extremo N/A 4 Mayor B: Raro 5B- Extremo- Raro 5-B- Intermedio.
GR&C E.1.1. Gobierno de Control Secretaría General de ODC/ Gerencia
GeneralE.1.1.2
Faltas éticas en ODC, de los empleados y/o miembros de Junta Directiva o
inadecuada toma decisiones, debido a:
1. La inadecuada definición, aprobación y divulgación de las políticas,
manuales y procedimientos en materia de: Delegación de autoridad,
Ética, Denuncias éticas, Cumplimiento y Buen Gobierno
2. No promover actuaciones basadas en la integridad y los valores éticos.
3. Falta de capacitación en relación a los temas de ética, cumplimiento,
conflictos de interés y mecanismos para realizar denuncias éticas.
4. Manejo inadecuado de las denuncias, consultas y dilemas de los
interpuestos por los grupos de interés.
5. Conflictos de interés en los miembros de Junta Directiva que no hayan
sido avalados por asamblea de accionistas
Lo cual puede ocasionar, materialización de actos indebidos,
incumplimiento o desconocimiento de los Estatutos y definiciones de la
normativa interna, afectando el clima organizacional y la reputación y
eventualmente generando la pérdida de valor de la Compañía, entre
otros.
N/A 5 Extremo N/A 5 Extremo D: Probable 5 Extremo D: Probable 5 D Alto E.1.1.2.1
Aprobar por la Junta directiva la adhesión a las siguientes políticas de la Casa Matriz y políticas corporativas de ODC:
1. Adhesión:
1.1. Código de Ética de Casa Matriz, que contiene un conjunto de declaraciones explícitas de comportamientos y disyuntivas éticas, además de
los lineamientos de regalos, cortesías, atenciones y suscripción de patrocinios.
1.2.El procedimiento de gestión de denuncias de la Casa Matriz, especificando las excepciones en las actividades a realizar para los casos que
no aplique por la estructura organizacional de ODC.
1.3. El Manual de Cumplimiento del Prestador de Servicios administrativos, que establece las directrices y lineamientos generales para
garantizar el cumplimiento de los mecanismos de identificación, prevención, detección, reporte, monitoreo y respuesta ante actos de
corrupción, fraude, lavado de activos y/o financiación del terrorismo, que puedan presentarse en ODC, especificando las excepciones en las
actividades a realizar en los casos que no aplique por la estructura organizacional de ODC.
2.Aprobación políticas de ODC:
2.1. el Manual para la Prevención del Lavado de Activos y la Financiación del Terrorismo y sus modificaciones que establece directrices y
lineamientos generales para la prevención del lavado de activos y la financiación del terrorismo LA/FT, aplicables a cada una de las contrapartes
con las cuales Oleoducto de Colombia S.A, tiene vínculos de negocios, contractuales o jurídicos que involucren un factor de riesgo de LA/FT. El
Manual para la Prevención del Lavado de Activos y la Financiación del Terrorismo es administrado (mantenido, divulgado) por el Oficial de Ética
y Cumplimiento de ODC.
Divulgar los cambios en las políticas adheridas y propias de ODC a los empleados y prestadores de servicios por correo electrónico.
x x x x x x x N/A 5 Extremo N/A 5 Extremo B:Raro 5B- Extremo- Raro 5-B- Intermedio.
GR&C E.1.1. Gobierno de Control Secretaría General de ODC/ Gerencia
GeneralE.1.1.2
Faltas éticas en ODC, de los empleados y/o miembros de Junta Directiva o
inadecuada toma decisiones, debido a:
1. La inadecuada definición, aprobación y divulgación de las políticas,
manuales y procedimientos en materia de: Delegación de autoridad,
Ética, Denuncias éticas, Cumplimiento y Buen Gobierno
2. No promover actuaciones basadas en la integridad y los valores éticos.
3. Falta de capacitación en relación a los temas de ética, cumplimiento,
conflictos de interés y mecanismos para realizar denuncias éticas.
4. Manejo inadecuado de las denuncias, consultas y dilemas de los
interpuestos por los grupos de interés.
5. Conflictos de interés en los miembros de Junta Directiva que no hayan
sido avalados por asamblea de accionistas
Lo cual puede ocasionar, materialización de actos indebidos,
incumplimiento o desconocimiento de los Estatutos y definiciones de la
normativa interna, afectando el clima organizacional y la reputación y
eventualmente generando la pérdida de valor de la Compañía, entre
otros.
N/A 5 Extremo N/A 5 Extremo D: Probable 5 Extremo D: Probable 5 D Alto E.1.1.2.2
1. Aprobar el nombramiento de los miembros de la Junta Directiva de ODC así como sus compensaciones.
2. Designar miembros del Comité Financiero y Auditoría de ODC de acuerdo a lo establecido en el Reglamento.
3. Analizar los resultados de las auto-evaluación de los miembros principales de la Junta Directiva de ODC y de sus comités.
x x x x x x x N/A 5 Extremo N/A 5 Extremo B:Raro 5B- Extremo- Raro 5-B- Intermedio.
GR&C E.1.1. Gobierno de Control Secretaría General de ODC/ Gerencia
GeneralE.1.1.2
Faltas éticas en ODC, de los empleados y/o miembros de Junta Directiva o
inadecuada toma decisiones, debido a:
1. La inadecuada definición, aprobación y divulgación de las políticas,
manuales y procedimientos en materia de: Delegación de autoridad,
Ética, Denuncias éticas, Cumplimiento y Buen Gobierno
2. No promover actuaciones basadas en la integridad y los valores éticos.
3. Falta de capacitación en relación a los temas de ética, cumplimiento,
conflictos de interés y mecanismos para realizar denuncias éticas.
4. Manejo inadecuado de las denuncias, consultas y dilemas de los
interpuestos por los grupos de interés.
5. Conflictos de interés en los miembros de Junta Directiva que no hayan
sido avalados por asamblea de accionistas
Lo cual puede ocasionar, materialización de actos indebidos,
incumplimiento o desconocimiento de los Estatutos y definiciones de la
normativa interna, afectando el clima organizacional y la reputación y
eventualmente generando la pérdida de valor de la Compañía, entre
otros.
N/A 5 Extremo N/A 5 Extremo D: Probable 5 Extremo D: Probable 5 D Alto E.1.1.2.3
Obtener manifestaciones anuales de cumplimiento de los siguientes lineamientos:
1. Código de Ética por parte de los empleados y Junta Directiva de la compañía, manifestando su adherencia.
2. Pacto de Transparencia de los empleados de la compañía y miembros de Junta Directiva.
3.Declaración de conflictos de interés por parte de los empleados y Junta Directiva, en los casos que se presenten.
Las manifestaciones de los empleados quedan archivadas en la carpeta de hoja de vida para los empleados y la de los miembros de la Junta
Directiva en la carpeta de esté órgano conservada por la Secretaría General de ODC.
x x x x x x x N/A 5 Extremo N/A 5 Extremo B:Raro 5B- Extremo- Raro 5-B- Intermedio.
GR&C E.1.1. Gobierno de Control Secretaría General de ODC/ Gerencia
GeneralE.1.1.2
Faltas éticas en ODC, de los empleados y/o miembros de Junta Directiva o
inadecuada toma decisiones, debido a:
1. La inadecuada definición, aprobación y divulgación de las políticas,
manuales y procedimientos en materia de: Delegación de autoridad,
Ética, Denuncias éticas, Cumplimiento y Buen Gobierno
2. No promover actuaciones basadas en la integridad y los valores éticos.
3. Falta de capacitación en relación a los temas de ética, cumplimiento,
conflictos de interés y mecanismos para realizar denuncias éticas.
4. Manejo inadecuado de las denuncias, consultas y dilemas de los
interpuestos por los grupos de interés.
5. Conflictos de interés en los miembros de Junta Directiva que no hayan
sido avalados por asamblea de accionistas
Lo cual puede ocasionar, materialización de actos indebidos,
incumplimiento o desconocimiento de los Estatutos y definiciones de la
normativa interna, afectando el clima organizacional y la reputación y
eventualmente generando la pérdida de valor de la Compañía, entre
otros.
N/A 5 Extremo N/A 5 Extremo D: Probable 5 Extremo D: Probable 5 D Alto E.1.1.2.4
Aprobar y monitorear el cumplimiento al plan/programa de capacitación para los miembros de Junta Directiva, empleados y contratistas en
temas relacionados con:
1. Código de Ética que indica los lineamientos en materia de regalos y atenciones, suscripción de patrocinios, entre otros.
2. Línea ética
3. Manual de Cumplimiento del Prestador de Servicios administrativos.
Socializar los canales diseñados por la Compañía para recibir denuncias confidenciales de empleados, miembros de Junta Directiva y terceros de
acuerdo con el dicho plan/programa de capacitación
x x x x x x x N/A 5 Extremo N/A 5 Extremo B:Raro 5B- Extremo- Raro 5-B- Intermedio.
GR&C E.1.1. Gobierno de Control Secretaría General de ODC/ Gerencia
GeneralE.1.1.2
Faltas éticas en ODC, de los empleados y/o miembros de Junta Directiva o
inadecuada toma decisiones, debido a:
1. La inadecuada definición, aprobación y divulgación de las políticas,
manuales y procedimientos en materia de: Delegación de autoridad,
Ética, Denuncias éticas, Cumplimiento y Buen Gobierno
2. No promover actuaciones basadas en la integridad y los valores éticos.
3. Falta de capacitación en relación a los temas de ética, cumplimiento,
conflictos de interés y mecanismos para realizar denuncias éticas.
4. Manejo inadecuado de las denuncias, consultas y dilemas de los
interpuestos por los grupos de interés.
5. Conflictos de interés en los miembros de Junta Directiva que no hayan
sido avalados por asamblea de accionistas
Lo cual puede ocasionar, materialización de actos indebidos,
incumplimiento o desconocimiento de los Estatutos y definiciones de la
normativa interna, afectando el clima organizacional y la reputación y
eventualmente generando la pérdida de valor de la Compañía, entre
otros.
N/A 5 Extremo N/A 5 Extremo D: Probable 5 Extremo D: Probable 5 D Alto E.1.1.2.5
1. Monitorear el avance y resolución de las denuncias éticas que los empleados y terceras partes realizan por medio del canal confidencial de la
Casa Matriz relacionadas con Oleoducto de Colombia S.A. (ODC). El Oficial de Ética y Cumplimiento gestiona las denuncias de acuerdo al
procedimiento de gestión de denuncias adherido y reporta el estado de los casos y dilemas éticos relevantes para conocimiento del Comité
Financiero y de Auditoría y Junta Directiva de ODC para que se tomen las recomendaciones y decisiones cuando haya lugar.
Cuando el caso involucre al Oficial de Ética y Cumplimiento, la denuncia será direccionada por la Gerencia General.
2. Reportar a la UIAFF según sea el caso las operaciones sospechosas de acuerdo con lo establecido en el Manual de LAFT y la normatividad
pertinente.
x x x x x x x N/A 5 Extremo N/A 5 Extremo B:Raro 5B- Extremo- Raro 5-B- Intermedio.
MATRIZ CONSOLIDADA RIESGOS & CONTROLES SOX OLEODUCTO DE COLOMBIA S.A (ODC)
Combinación Nivel de Riesgo
InherenteCódigo del Control Actividad de ControlProceso Gerencia No. Riesgo Riesgo Asociado
Tipo de ImpactoTipologia control
5B- Extremo-
Intermedio
Nivel de Riesgo
ResidualPersonas Económicos Medio Ambiente Reputación
Tipo de Impacto
Riesgo de Cumplimiento Personas Económicos Medio Ambiente Reputación
Probabilidad del Riesgo Probabilidad del
Riesgo
GR&C E.1.1. Gobierno de Control Secretaría General de ODC/ Gerencia
GeneralE.1.1.2
Faltas éticas en ODC, de los empleados y/o miembros de Junta Directiva o
inadecuada toma decisiones, debido a:
1. La inadecuada definición, aprobación y divulgación de las políticas,
manuales y procedimientos en materia de: Delegación de autoridad,
Ética, Denuncias éticas, Cumplimiento y Buen Gobierno
2. No promover actuaciones basadas en la integridad y los valores éticos.
3. Falta de capacitación en relación a los temas de ética, cumplimiento,
conflictos de interés y mecanismos para realizar denuncias éticas.
4. Manejo inadecuado de las denuncias, consultas y dilemas de los
interpuestos por los grupos de interés.
5. Conflictos de interés en los miembros de Junta Directiva que no hayan
sido avalados por asamblea de accionistas
Lo cual puede ocasionar, materialización de actos indebidos,
incumplimiento o desconocimiento de los Estatutos y definiciones de la
normativa interna, afectando el clima organizacional y la reputación y
eventualmente generando la pérdida de valor de la Compañía, entre
otros.
N/A 5 Extremo N/A 5 Extremo D: Probable 5 Extremo D: Probable 5 D Alto E.1.1.2.6
Verificar que se cumpla con la normativa legal establecida para el tratamiento de posibles conflictos de interés de los miembros de Junta
Directiva de ODC que puedan afectar la independencia y objetividad en el proceso de toma de decisiones en caso de declarar posibles conflictos
por parte de los miembros de Junta Directiva.
En caso de identificar conflicto de interés, se reporta a la Asamblea de Accionistas para su resolución
x x x x x x x N/A 5 Extremo N/A 5 Extremo B:Raro 5B- Extremo- Raro 5-B- Intermedio.
SIR&CO E.3.1.
MonitoreoAuditoría Interna E.3.1.1.
Fallas en el monitoreo independiente al sistema de control interno, debido
a:
1. No contar con lineamientos y directrices claras del rol y función del
Comité de Auditoría (CA)
2. Inadecuada asignación de roles, responsabilidades y línea de reporte de
la Auditoría Interna.(A.I)
3. No contar con un plan general de auditoria (PGA) aprobado por el CA,
basado en riesgos que agregue valor al negocio o esté alineado con la
estrategia de la Compañía.
4. Inadecuado o inoportuno seguimiento a la ejecución del plan anual de
auditoria interna.
5. Conflictos de interés o independencia, supeditaje gerencial o colusión
del equipo de AI.
Lo que genera incumplimiento al estándar de monitoreo del Grupo
Empresarial.
N/A 5 Extremo N/A 5 Extremo C: Posible 6 Catastrófico C: Posible 6 C Alto E.3.1.1.1
1. Aprobar el Reglamento de Comité Financiero y de Auditoría como apoyo a la Junta Directiva para supervisar el Sistema de Control Interno.
2. Aprobar el Manual de Auditoría y el Estatuto de Auditoría Interna que establece los lineamientos para la ejecución de la función de la
auditoría Interna, el cual incluye las normas sobre la independencia y objetividad, actitud y cuidado profesional atendiendo la definición de
competencias del equipo de auditoría y plan de capacitación así como las normas de desempeño para la ejecución de trabajos de auditoría
interna y la supervisión de actividades.
3.Declarar anualmente al Comité Financiero y Auditoría, la independencia de la función de Auditoria Interna basado en estructura
organizacional (depende del comité) y la confirmación de independencia de los miembros del equipo para los trabajos individuales. Esta
declaración queda debidamente documentada en las actas del comité.
x x x x x x x N/A 3 Moderado N/A 3 Moderado B: Raro 3B Moderado- Raro 3B-Medio
SIR&CO E.3.1.
MonitoreoAuditoría Interna E.3.1.1.
Fallas en el monitoreo independiente al sistema de control interno, debido
a:
1. No contar con lineamientos y directrices claras del rol y función del
Comité de Auditoría (CA)
2. Inadecuada asignación de roles, responsabilidades y línea de reporte de
la Auditoría Interna.(A.I)
3. No contar con un plan general de auditoria (PGA) aprobado por el CA,
basado en riesgos que agregue valor al negocio o esté alineado con la
estrategia de la Compañía.
4. Inadecuado o inoportuno seguimiento a la ejecución del plan anual de
auditoria interna.
5. Conflictos de interés o independencia, supeditaje gerencial o colusión
del equipo de AI.
Lo que genera incumplimiento al estándar de monitoreo del Grupo
Empresarial.
N/A 5 Extremo N/A 5 Extremo C: Posible 6 Catastrófico C: Posible 6 C Alto E.3.1.1.2
1. Aprobar el Plan General de Auditoría (PGA) presentado por la Auditoría interna basado en el Manual de Auditoría Interna.
De presentarse ajustes al PGA, se presentará nuevamente al Comité para su aprobación.
2.Monitorear el cumplimiento del PGA por medio de la presentación trimestral de la Auditoría Interna al Comité Financiero y de Auditoría y
Junta Directiva de ODC.
x x x x x x x N/A 3 Moderado N/A 3 Moderado B: Raro 3B Moderado- Raro 3B-Medio
SIR&CO E.3.1.
MonitoreoAuditoría Interna E.3.1.2.
Inefectividad de los controles de reporte financiero debido a: errores en el
diseño del control, no operatividad del control, incumplimiento, errores
del dueño del proceso, falta de seguimiento y monitoreo lo que generaría
materialización de riesgos operativos, de reporte, de cumplimiento
,afectación la certificación SOX de ECP.
N/A 4 Mayor N/A 5 Extremo C: Posible 4 Mayor C: Posible 4 C Intermedio E.3.1.2.1
Evaluar y certificar el diseño y funcionamiento de los riesgos y controles de los procesos de la compañía, por medio de la certificación anual de
SOX que es reportada a Casa Matriz.
En caso de presentar deficiencias reportadas en está certificación, se comunican al prestador de servicios para la definición de los planes de
mejora y remediación.
x x x x x x x N/A 3 Moderado N/A 5 Extremo B: Raro 5B Extremo- Raro 5B-Intermedio
SIR&CO E.3.1.
MonitoreoAuditoría Interna E.3.1.3.
Incumplimiento en la gestión contractual de los contratistas de
operación y mantenimiento y prestación de servicios administrativos
debido a: errores en los diseños de los controles de supervisión de
contratos, no operatividad del control, celebración de transacciones sin la
debida autorización, incumplimiento, errores del dueño del proceso, falta
de seguimiento y monitoreo lo que generaría materialización de riesgos
operativos, de reporte , de cumplimiento y pérdidas económicas.
5 Extremo 5 Extremo 5 Extremo 5 Extremo C: Posible 5 Extremo C: Posible 5 C Intermedio E.3.1.3.1.
Monitorear la ejecución del contrato administrativo y de operación y mantenimiento con el prestador de servicios a través de reunión mensual
con el administrador del contrato o con quién este designe, en la que se evalúa las actividades contractuales y/o requerimientos ordinarios que
se requieran.
x x x x x x x 5 Extremo 5 Extremo 5 Extremo 5 Extremo B: Raro 5B Extremo- Raro 5B-Intermedio
SIR&CO E.2.1.
Evaluación de RiesgosGerencia de Aseguramiento E.2.1.1.
Fallas en la estructuración y despliegue de la Gestión de Riesgos y
controles, debido a:
1. Debilidades en la definición de políticas, metodologías y/o
herramientas para la identificación, valoración, tratamiento, monitoreo y
comunicación de riesgos y controles
2. Inadecuada divulgación de los lineamientos y políticas sobre la gestión
de riesgos y controles en la organización
3. No contar con una matriz de valoración de riesgos apropiada a la
Organización
4. No contar con un adecuado plan de tratamiento o acciones de
mitigación requeridas para riesgos identificados en la Organización.
Limitando que la Compañía cuente con una adecuada gestión de riesgos y
controles que soporte el desarrollo de la estrategia y sus objetivos.
N/A 5 Extremo N/A 5 Extremo D: Probable 5D Extremo- Posible 5 C Intermedio E.2.1.1.1
Aprobar la política y herramienta de gestión riesgos (Matriz RAM) que establece las directrices para la gestión de los riesgos y los controles de
ODC, así como la adhesión a la Guía de Gestión de Riesgos del prestador de Servicios.
Posteriormente se realiza la divulgación por parte del Gerente General de ODC por medio de correo electrónico al prestador de servicio.
x x x x x x x 5 Extremo 5 Extremo 5 Extremo 5 Extremo B: Raro 5B Extremo- Raro 5B-Intermedio
SIR&CO E.2.1.
Evaluación de RiesgosGerencia de Aseguramiento E.2.1.1.
Fallas en la estructuración y despliegue de la Gestión de Riesgos y
controles, debido a:
1. Debilidades en la definición de políticas, metodologías y/o
herramientas para la identificación, valoración, tratamiento, monitoreo y
comunicación de riesgos y controles
2. Inadecuada divulgación de los lineamientos y políticas sobre la gestión
de riesgos y controles en la organización
3. No contar con una matriz de valoración de riesgos apropiada a la
Organización
4. No contar con un adecuado plan de tratamiento o acciones de
mitigación requeridas para riesgos identificados en la Organización.
Limitando que la Compañía cuente con una adecuada gestión de riesgos y
controles que soporte el desarrollo de la estrategia y sus objetivos.
N/A 5 Extremo N/A 5 Extremo D: Probable 5D Extremo- Posible 5 C Intermedio E.2.1.1.2
Supervisar y acompañar a los dueños de proceso en el levantamiento y actualización de los riesgos y los controles. En caso tal que durante la
revisión de los riesgos y controles se presenten acciones de mejora, se generan los planes de acción respectivos
Nota: En caso de existir ajustes en los riesgos o controles por cambios internos y externos, se incluyen en el listado y se deja documentado en el
control de cambios.
x x x x x x x 5 Extremo 5 Extremo 5 Extremo 5 Extremo B: Raro 5B Extremo- Raro 5B-Intermedio
SIR&CO E.2.1.
Evaluación de RiesgosGerencia de Aseguramiento E.2.1.2.
Inadecuado monitoreo a la Gestión de Riesgos, debido a:
1. No reportar información relevante a las instancias organizacionales
adecuadas para la supervisión del sistema.
2. Falta de seguimiento a los riesgos relevantes para Cenit
Generando falta de alineación, retroalimentación y/o direccionamiento
respecto a la Gestión de Riesgos.
N/A 5 Extremo N/A 5 Extremo D: Probable 5D Extremo- Posible 5 C Intermedio E.2.1.1.3Monitorear y hacer seguimiento a los resultados de la gestión de riesgos de ODC, de acuerdo al ciclo de gestión de riesgos (la identificación,
valoración, tratamiento y monitoreo) definido por la Compañía. ( cuando y según aplique).X X X X X X X N/A 2-Menor N/A 2-Menor B:Improbable
2B-Menor-
Improbable 2B - Bajo
Información y Comunicación Secretaría General de ODC/ Gerencia
GeneralS 8.1.1
Falta de alineación entre la estrategia de Tecnología de la Información y la
de la Compañía, debido a no realizar un análisis de integración cuidadoso y
aplicable a las actividades del plan, información incompleta e inoportuna o
irregular, conflictos de interés o independencia (posible colusión), que
puede ocasionar incumplimiento de los objetivos de negocio y de gobierno
de la compañía, pérdidas económicas y afectación de la percepción
interna frente a la gestión de TI.
N/A 4 Mayor N/A 3 Moderado C: Posible 4 Mayor C: Posible 4 C Intermedio S.8.1.1.1
1. Aprobar el plan estratégico para tecnología de la información y sus modificaciones , que esté alineado con las estrategias generales de la
entidad. Los objetivos del plan de TI incluyen la entrega de ambientes seguros y confiables para la preparación de informes financieros para uso
externo de alta calidad y se consideran las necesidades de todas las áreas de la Compañía.
1.a. El Plan estratégico es almacenado en Share Point de ODC y se divulga a los interesados vía correo electrónico.
2. Realizar seguimiento a la ejecución del Plan Estratégico en la reunión trimestral de la dirección de talento humano y administración.
X X X X N/A 4-Mayor N/A 3-Moderado B-Improbable 4B-Improbale 4B-MEDIO
Información y Comunicación Secretaría General de ODC/ Gerencia
GeneralS.8.1.2
Modificaciones y/o accesos no autorizados a las hojas de cálculo utilizadas
en el proceso de reporte financiero u hojas de cálculo sensibles para los
procesos de negocio, presentación o carga de información incorrecta en
los sistemas de información, por desconocimiento de los lineamientos de
aseguramiento de hojas de cálculo, errores en la aplicación de la Guía de
aseguramiento de hojas de cálculo, fallas en el control de acceso a las
hojas de cálculo, almacenamiento en recursos compartidos sin o con faltas
de control de acceso, lectura y/o modificación, manipulación de las hojas
de cálculo (producción, alteración o supresión deliberada de registros) y
falta de controles de modificación de las hojas de cálculo, que puede
generar afectación a la razonabilidad de los Estados Financieros, pérdida o
mal uso de la información, inadecuada toma de decisiones, sanciones,
multas o pérdidas económicas.
N/A 5 Extremo N/A 5 Extremo C: Posible 5 Extremo C: Posible 5 C Intermedio S.8.1.1.2
1.Aprobar la guía de aseguramiento de Hojas de Cálculo y sus modificaciones que es almacenada en Share Point de ODC y se divulga a los
interesados.
2. Verificar que las hojas de cálculo cumplan con lo definido en la Guía de Aseguramiento de Hojas de Cálculo. En señal de revisión, el
Propietario del activo envía al área de Tecnología de la Información una certificación indicando que las hojas de cálculo cumplen con los
parámetros establecidos en la Guía.
Nota: El control es semestral siempre y cuando el inventario de hojas de cálculo no se ajuste. En caso de cambios y novedades, se reportará al
área de TI.
X X X X X X X N/A 5-Catastrófico N/A 5-Catastrófico A:Raro 5A-Catastrófico-Raro 5A- INTERMEDIO
Información y Comunicación Secretaría General de ODC/ Gerencia
GeneralS.8.1.3
Accesos no autorizados a la información y/o servicios tecnológicos, debido
a inadecuado monitoreo de accesos, falta de procedimientos relacionados
con revisión y depuración de cuentas en los sistemas de aplicación, falla en
la gestión de conflictos de segregación de funciones, que puede generar
fraude, pérdidas económicas, de confidencialidad e indisponibilidad de la
información.
N/A 6 Catastrófico N/A 6 Catastrófico D: Probable6 Catastrófico D:
Probable6 D Alto S.8.1.3.1
1. Los dueños de proceso y/o administradores de contrato verifican que los accesos de los usuarios están asignados en los sistemas de
información bajo alcance SOX de acuerdo con sus funciones. Indicar su aprobación o solicitud de ajustes de los accesos revisados. La verificación
es realizada con el reporte de usuarios generado por un miembro del área de Tecnología de la información.
2. A partir de la verificación, realizar el plan de acción de las observaciones identificadas por los dueños del proceso.
X X N/A 5-Catastrófico N/A 5-Catastrófico A:Raro 5A-Catastrófico-Raro 5A- INTERMEDIO
Información y Comunicación Secretaría General de ODC/ Gerencia
GeneralS.8.1.3
Accesos no autorizados a la información y/o servicios tecnológicos, debido
a inadecuado monitoreo de accesos, falta de procedimientos relacionados
con revisión y depuración de cuentas en los sistemas de aplicación, falla en
la gestión de conflictos de segregación de funciones, que puede generar
fraude, pérdidas económicas, de confidencialidad e indisponibilidad de la
información.
N/A 6 Catastrófico N/A 6 Catastrófico D: Probable6 Catastrófico D:
Probable6 D Alto S.8.1.3.2
1. El dueño de proceso o responsable de la administración del contrato realiza la notificación de retiro/licencias/vacaciones de los funcionarios
de la compañía a todas las áreas afectadas para realizar las acciones correspondientes. X X N/A 5-Catastrófico N/A 5-Catastrófico A:Raro 5A-Catastrófico-Raro 5A- INTERMEDIO
Información y Comunicación Secretaría General de ODC/ Gerencia
GeneralS.8.1.4
Inadecuada concentración de funciones en los sistemas de información y/o
servicios tecnológicos debido a falla en la gestión de conflictos de
segregación de funciones, que podrían generar fraude y/o perdida
económica.
N/A 6 Catastrófico N/A 5 Extremo D: Probable6 Catastrófico D:
Probable6 D Alto S.8.1.4.4
1. Aprobar la Matriz de segregación de funciones de los roles y responsabilidades y sus modificaciones.
2. Revisar si existen conflictos de segregación funcional de acuerdo con las reglas de segregación estándar para SAP, considerando la posible
existencia de:
- Conflictos de segregación de funciones a nivel de roles.
- Conflictos de segregación de funciones a nivel de usuarios.
3. En los casos de conflictos identificados en la revisión, se realiza la identificación y validación de controles compensatorios existentes y
definición de las acciones a seguir para su corrección
X X N/A 5-Catastrófico N/A 5-Catastrófico B-Improbable5B-Catastrófico-
Improbable5B- INTERMEDIO
Información y Comunicación Secretaría General de ODC/ Gerencia
GeneralS.8.1.5
Pérdida de confidencialidad, integridad o disponibilidad de la información,
ausencia de su divulgación y/o manejo inadecuado de la misma debido a la
implementación de controles no acordes a la clasificación de los datos y los
sistemas de información que estén bajo la administración de CENIT o de un
tercero, falta de lineamientos para la selección y administración de la
información, falla en la divulgación de dichos lineamientos y fallas en el
monitoreo de información clave, generando posible uso indebido de
información, generación de información fraudulenta y/o pérdida de valor
de la Compañía.
N/A 5 Extremo N/A 5 Extremo D: Probable 5 Extremo D: Probable 5 D Alto S.8.1.5.6
Aprobar la Política de Seguridad de la Información y sus modificaciones. Esta debe incluir:
-Responsabilidades por la seguridad de la información ,
-Declaración general de la importancia de la seguridad para la Compañía,
-Referencia a políticas, guías y procedimientos relacionados
-Responsabilidades de gestión de seguridad de la información de los empleados y contratistas
En caso de presentarse modificaciones a la Política de Seguridad de la Información el área de TI con apoyo del área de Comunicación divulgará
dichos cambios.
La manifestación de cumplimiento de la política de seguridad por parte de empleados y contratistas se encuentra en el control S8611
X X N/A 4-Mayor N/A 3-Moderado- B-Improbable4B-Mayor-
Improbable4B-MEDIO
Información y Comunicación Secretaría General de ODC/ Gerencia
GeneralS.8.1.5
Pérdida de confidencialidad, integridad o disponibilidad de la información,
ausencia de su divulgación y/o manejo inadecuado de la misma debido a la
implementación de controles no acordes a la clasificación de los datos y los
sistemas de información que estén bajo la administración de CENIT o de un
tercero, falta de lineamientos para la selección y administración de la
información, falla en la divulgación de dichos lineamientos y fallas en el
monitoreo de información clave, generando posible uso indebido de
información, generación de información fraudulenta y/o pérdida de valor
de la Compañía.
N/A 5 Extremo N/A 5 Extremo D: Probable 5 Extremo D: Probable 5 D Alto S.8.1.5.7
Aprobar la guía del ciclo de vida de la información que establece los lineamientos para el manejo de la información en la Compañía y las
modificaciones que se le realicen.
En caso de presentarse modificaciones a la guía del ciclo de vida de la información el área de TI con apoyo del área de Comunicación divulgará
dichos cambios.
X X N/A 4-Mayor N/A 3-Moderado- B-Improbable4B-Mayor-
Improbable4B-MEDIO
GR&C S.2.1. Controles generales de
TI
Secretaría General de ODC/ Gerencia
GeneralS.8.2.1
Cambios no autorizados de los sistemas de información, alteración no
autorizada de datos, pérdida de integridad y confiabilidad de la
información o inestabilidad en el sistema, incorporación de código
maliciosos, intervención no autorizadas a las bases de datos, CiberCrimen
y Vulnerabilidad de los sistemas debido a inexistencia o incumplimiento de
un procedimiento formal de control de cambios que incluya la solicitud,
aprobación, pruebas y paso producción de los mismos, inexistencia o
incumplimiento de un plan de implementación y de rollback para los
cambios implementados en los sistemas, inexistencia o incumplimiento de
un procedimiento formal de control de cambios de emergencia o ausencia
de ambientes segregados y revisión de los accesos otorgados a los
desarrolladores en cada ambiente, que puede ocasionar falta de
disponibilidad, intermitencia, degradación de los servicios prestados por
TI, perdida de información, sanciones o multas.
N/A 6 Catastrófico N/A 6 Catastrófico C: Posible 6 Catastrófico C: Posible 6 C Alto S.8.2.1.1
1. Generar una solicitud de cambio con la información suministrada por el usuario solicitante y según lo establecido en las políticas o
procedimientos de la compañía. Dicha solicitud de control de cambios define el plan de implementación y plan de rollback, donde se tiene que
especificar en qué consiste el cambio y el plan para volver a atrás en caso de no ser exitoso el cambio.
2. Aprobación de cambio: La aprobación de cambios se realiza según lo categorizado y por los funcionarios designados en las políticas y
procedimientos de la compañía.
3. Pruebas: Las pruebas son realizadas en un ambiente de calidad, donde el usuario debe dar su aprobación según lo establecido en las políticas
y procedimientos de control de cambios de la compañía.
4. Paso a producción: La autorización del paso a producción es dada por el dueño de la información o proceso, luego de ser aprobadas las
pruebas por parte del usuario final. Lo anterior según lo establecido en las políticas y procedimientos de la compañía para el control de cambios.
X X N/A 5-Catastrófico N/A 5-Catastrófico C: Posible 5C: Catastrófico-
Posible 5C -ALTO
GR&C S.2.1. Controles generales de
TI
Secretaría General de ODC/ Gerencia
GeneralS.8.2.1
Cambios no autorizados de los sistemas de información, alteración no
autorizada de datos, pérdida de integridad y confiabilidad de la
información o inestabilidad en el sistema, incorporación de código
maliciosos, intervención no autorizadas a las bases de datos, CiberCrimen
y Vulnerabilidad de los sistemas debido a inexistencia o incumplimiento de
un procedimiento formal de control de cambios que incluya la solicitud,
aprobación, pruebas y paso producción de los mismos, inexistencia o
incumplimiento de un plan de implementación y de rollback para los
cambios implementados en los sistemas, inexistencia o incumplimiento de
un procedimiento formal de control de cambios de emergencia o ausencia
de ambientes segregados y revisión de los accesos otorgados a los
desarrolladores en cada ambiente, que puede ocasionar falta de
disponibilidad, intermitencia, degradación de los servicios prestados por
TI, perdida de información, sanciones o multas.
N/A 6 Catastrófico N/A 6 Catastrófico C: Posible 6 Catastrófico C: Posible 6 C Alto S.8.2.1.4
El jefe o representante del área solicitante aprueba los cambios de emergencia solicitados a través de correo electrónico o de la herramienta
de gestión. Adicionalmente, el área de TI da el visto bueno a dicha solicitud. X X N/A 5-Catastrófico N/A 5-Catastrófico B-Improbable5B-Catastrófico-
Improbable 5B-INTERMEDIO
GR&C S.2.1. Controles generales de
TI
Secretaría General de ODC/ Gerencia
GeneralS.8.2.1
Cambios no autorizados de los sistemas de información, alteración no
autorizada de datos, pérdida de integridad y confiabilidad de la
información o inestabilidad en el sistema, incorporación de código
maliciosos, intervención no autorizadas a las bases de datos, CiberCrimen
y Vulnerabilidad de los sistemas debido a inexistencia o incumplimiento de
un procedimiento formal de control de cambios que incluya la solicitud,
aprobación, pruebas y paso producción de los mismos, inexistencia o
incumplimiento de un plan de implementación y de rollback para los
cambios implementados en los sistemas, inexistencia o incumplimiento de
un procedimiento formal de control de cambios de emergencia o ausencia
de ambientes segregados y revisión de los accesos otorgados a los
desarrolladores en cada ambiente, que puede ocasionar falta de
disponibilidad, intermitencia, degradación de los servicios prestados por
TI, perdida de información, sanciones o multas.
N/A 6 Catastrófico N/A 6 Catastrófico C: Posible 6 Catastrófico C: Posible 6 C Alto S.8.2.1.5
El ERP cuenta con 3 ambientes de procesamiento:
- Desarrollo.
- Calidad.
- Productivo.
En los que es revisado la segregación de ambientes y roles de acuerdo con los siguientes lineamientos para los usuarios desarrolladores (ABAP):
- Desarrollo : Acceso ilimitado con programación,
- Calidad: Acceso limitado sin programación.
- Producción: No tienen acceso.
Identificar las desviaciones, justificar las desviaciones, definir e implementar el plan de acción producto de la revisión.
Para otros sistemas SOX se cuenta con un ambiente de desarrollo/pruebas de base de datos física y lógicamente separados, así:
• Desarrollo/Pruebas
• Producción
Para infraestructura no se tiene ambiente de pruebas. Las pruebas son realizadas en ventanas horarias que no afectan la operación de la
compañía.
X X N/A 5-Catastrófico N/A 5-Catastrófico B-Improbable5B-Catastrófico-
Improbable 5B-INTERMEDIO
GR&C S.2.1. Controles generales de
TI
Secretaría General de ODC/ Gerencia
GeneralS.8.6.1
Accesos no autorizados a la información y/o servicios tecnológicos, debido
a falta de políticas y/o procedimientos relacionados con la asignación de
cuentas de usuario y de perfiles, falta de procedimientos relacionados con
depuración de cuentas en los sistemas de aplicación, falta de
procedimientos relacionados con la revisión de usuarios con privilegios
administradores en los sistemas de aplicación, bases de datos y red de la
compañía, cambios o modificaciones temporales de privilegios de usuarios
y administradores de los sistemas, incumplimiento a las políticas y/o
N/A 6 Catastrófico N/A 6 Catastrófico D: Probable6 Catastrófico D:
Probable6 D Alto S.8.6.1.1
Autorizar la creación y/o modificación de usuarios de forma individual o masiva en los sistemas y recursos de TI por parte del responsable
establecido en el procedimiento de administración de usuarios de la compañía.X X X X X X N/A 5-Catastrófico N/A 5-Catastrófico B-Improbable
5B-Catastrófico-
Improbable 5B-INTERMEDIO
GR&C S.2.1. Controles generales de
TI
Secretaría General de ODC/ Gerencia
GeneralS.8.2.6
Accesos no autorizados a la información y/o servicios tecnológicos, debido
a falta de políticas y/o procedimientos relacionados con la asignación de
cuentas de usuario y de perfiles, falta de procedimientos relacionados con
depuración de cuentas en los sistemas de aplicación, falta de
procedimientos relacionados con la revisión de usuarios con privilegios
administradores en los sistemas de aplicación, bases de datos y red de la
compañía, cambios o modificaciones temporales de privilegios de usuarios
y administradores de los sistemas, incumplimiento a las políticas y/o
procedimientos de administración de usuarios finales y usuarios
administradores, inadecuado monitoreo de accesos y no identificación de
N/A 6 Catastrófico N/A 6 Catastrófico D: Probable6 Catastrófico D:
Probable6 D Alto S.8.2.6.2
Realizar una evaluación de segregación de funciones al momento de asignar permisos adicionales o nuevos a un usuario nuevo o ya existente en
el ERP de SAP.X X X X X X N/A 5-Catastrófico N/A 5-Catastrófico B-Improbable
5B-Catastrófico-
Improbable 5B-INTERMEDIO
GR&C S.2.1. Controles generales de
TI
Secretaría General de ODC/ Gerencia
GeneralS.8.2.6
Accesos no autorizados a la información y/o servicios tecnológicos, debido
a falta de políticas y/o procedimientos relacionados con la asignación de
cuentas de usuario y de perfiles, falta de procedimientos relacionados con
depuración de cuentas en los sistemas de aplicación, falta de
procedimientos relacionados con la revisión de usuarios con privilegios
administradores en los sistemas de aplicación, bases de datos y red de la
compañía, cambios o modificaciones temporales de privilegios de usuarios
y administradores de los sistemas, incumplimiento a las políticas y/o
procedimientos de administración de usuarios finales y usuarios
administradores, inadecuado monitoreo de accesos y no identificación de
roles y usuarios con conflictos de segregación de funciones, que puede
llegar a generar fraude, pérdida económica, de confidencialidad e
N/A 6 Catastrófico N/A 6 Catastrófico D: Probable6 Catastrófico D:
Probable6 D Alto S.8.2.6.3
Ejecutar las acciones pertinentes para desactivar/eliminar los usuarios en las plataformas correspondientes cada vez que los administradores de
contrato (según sea el caso), notifica el retiro, licencias o vacaciones de personal al área de TI, de acuerdo con los procedimientos definidos.X X X X X X N/A 5-Catastrófico N/A 5-Catastrófico B-Improbable
5B-Catastrófico-
Improbable 5B-INTERMEDIO
GR&C S.2.1. Controles generales de
TI
Secretaría General de ODC/ Gerencia
GeneralS.8.1.3
Accesos no autorizados a la información y/o servicios tecnológicos, debido
a falta de políticas y/o procedimientos relacionados con la asignación de
cuentas de usuario y de perfiles, falta de procedimientos relacionados con
depuración de cuentas en los sistemas de aplicación, falta de
procedimientos relacionados con la revisión de usuarios con privilegios
administradores en los sistemas de aplicación, bases de datos y red de la
compañía, cambios o modificaciones temporales de privilegios de usuarios
y administradores de los sistemas, incumplimiento a las políticas y/o
procedimientos de administración de usuarios finales y usuarios
administradores, inadecuado monitoreo de accesos y no identificación de
roles y usuarios con conflictos de segregación de funciones, que puede
llegar a generar fraude, pérdida económica, de confidencialidad e
N/A 6 Catastrófico N/A 6 Catastrófico D: Probable6 Catastrófico D:
Probable6 D Alto S.8.1.3.3
Bloquear de los sistemas de información de la compañía los usuarios con 15 días de inactividad, de acuerdo con el procedimiento establecido de
administración de usuarios de la compañía.
Nota: Este control solo aplica para SAPX X X X X X N/A 5-Catastrófico N/A 5-Catastrófico B-Improbable
5B-Catastrófico-
Improbable 5B-INTERMEDIO
GR&C S.2.1. Controles generales de
TI
Secretaría General de ODC/ Gerencia
GeneralS.8.6.1
Accesos no autorizados a la información y/o servicios tecnológicos, debido
a falta de políticas y/o procedimientos relacionados con la asignación de
cuentas de usuario y de perfiles, falta de procedimientos relacionados con
depuración de cuentas en los sistemas de aplicación, falta de
procedimientos relacionados con la revisión de usuarios con privilegios
administradores en los sistemas de aplicación, bases de datos y red de la
compañía, cambios o modificaciones temporales de privilegios de usuarios
y administradores de los sistemas, incumplimiento a las políticas y/o
procedimientos de administración de usuarios finales y usuarios
administradores, inadecuado monitoreo de accesos y no identificación de
roles y usuarios con conflictos de segregación de funciones, que puede
llegar a generar fraude, pérdida económica, de confidencialidad e
indisponibilidad de la información.
N/A 6 Catastrófico N/A 6 Catastrófico D: Probable6 Catastrófico D:
Probable6 D Alto S.8.6.1.2
Revisar los usuarios con privilegios administradores en los sistemas de información de la compañía:
Semestralmente se genera un reporte de usuarios con privilegios de administración que están configurados en los sistemas de información de la
compañía de alcance SOX (Aplicación, BD y Sistema Operativo). Este reporte es enviado por el gestor de plataforma al responsable de
tecnología de acuerdo con el procedimiento de administración de usuarios con privilegios amplios de la compañía.
En señal de revisión del responsable de Tecnología de Información indica si los usuarios encontrados son lo autorizados para tener estos
privilegios.
X X X X N/A 5-Catastrófico N/A 5-Catastrófico B-Improbable5B-Catastrófico-
Improbable 5B-INTERMEDIO
GR&C S.2.1. Controles generales de
TI
Secretaría General de ODC/ Gerencia
GeneralS.8.2.6
Accesos no autorizados a la información y/o servicios tecnológicos, debido
a falta de políticas y/o procedimientos relacionados con la asignación de
cuentas de usuario y de perfiles, falta de procedimientos relacionados con
depuración de cuentas en los sistemas de aplicación, falta de
procedimientos relacionados con la revisión de usuarios con privilegios
administradores en los sistemas de aplicación, bases de datos y red de la
compañía, cambios o modificaciones temporales de privilegios de usuarios
y administradores de los sistemas, incumplimiento a las políticas y/o
procedimientos de administración de usuarios finales y usuarios
administradores, inadecuado monitoreo de accesos y no identificación de
N/A 6 Catastrófico N/A 6 Catastrófico D: Probable6 Catastrófico D:
Probable6 D Alto S.8.2.6.6
Obtener la aprobación establecida en los procedimientos de la compañía para otorgar cuentas de usuario con privilegios de administración,
cuando esta se requiera en alguno de los sistemas de información de la compañía con alcance SOX.X X X X N/A 5-Catastrófico N/A 5-Catastrófico B-Improbable
5B-Catastrófico-
Improbable 5B-INTERMEDIO
GR&C S.2.1. Controles generales de
TI
Secretaría General de ODC/ Gerencia
GeneralS.8.6.1
Ataques cibernéticos sobre la infraestructura tecnológica debido a
inadecuada identificación, clasificación y gestión de los riesgos y
vulnerabilidades, falta de monitoreo, configuración no adecuada, que
puede llegar a generar perdida de confidencialidad e integridad de la
información, indisponibilidad de los servicios prestados por TI.
N/A 6 Catastrófico N/A 6 Catastrófico D: Probable6 Catastrófico D:
Probable6 D Alto S.8.6.1.3
1. Revisar el análisis de vulnerabilidades a nivel de infraestructura de tecnología de información que soporte aplicaciones de alcance SOX.
2. Definir las acciones correctivas para las vulnerabilidades catalogadas como Altas y Medias de acuerdo con el reporte generado por las
herramientas de análisis de seguridad. Así mismo, debe realizarse seguimiento al plan de acciones. El procedimiento se realiza de la siguiente
forma:
Se realiza análisis de vulnerabilidades al menos una vez al año por cada plataforma de infraestructura.
Se genera el plan de remediación para las vulnerabilidades identificadas y se realiza el seguimiento al plan de remediación trimestralmente.
X X X X X X N/A 5-Catastrófico N/A 5-Catastrófico B-Improbable5B-Catastrófico-
Improbable 5B-INTERMEDIO
GR&C S.2.1. Controles generales de
TI
Secretaría General de ODC/ Gerencia
GeneralS.8.8.2
Acceso no autorizado/inapropiado a los equipos en el data center, evasión
de los controles de acceso lógico, indisponibilidad de los sistemas de
información, actividades no autorizadas sobre los sistemas de información,
debido a falta de controles de acceso lógicos, ausencia de controles físicos,
que puede causar inadecuado uso de la información, indisponibilidad, fuga
de información, perdida de la integridad y confidencialidad de la
información.
N/A 4 Mayor N/A 3 Moderado B: Raro 4 Mayor B: Raro 4 B Medio S.8.8.2.2
El responsable establecido de TI autoriza todos los accesos de funcionarios de Cenit o de ODC según el procedimiento de control de acceso al
centro de cómputo de la compañía y/o prestador de serviciosX X N/A 2-Menor N/A 1- Leve B-Improbable 2B-Leve- Improbable 2B - Bajo
GR&C N.1.1.
Facturación
Prestador de servicio (Gerencia de
Desarrollo Comercial)N.1.1.1
Errores o manipulación del proceso en el proceso de emisión de facturas
debido a: inadecuada parametrización del sistema, aprobaciones por
personal no autorizado, inadecuada segregación de funciones,
inadecuados niveles de autorización, registro inadecuado de cantidades a
facturar lo cual puede generar pérdida y/o fraude sobre la calidad y
exactitud de la información contable, pérdidas económicas, afectación de
relaciones comerciales e imagen de la Compañía.
N/A 5 Extremo N/A 2 Menor C: Posible 5 Extremo C: Posible 5 C Intermedio N.1.1.1.1
Verificar los controles automáticos del sistema a través de los cuales:
1. El sistema está parametrizado para generar facturas, solo cuando se tenga el documento de venta. El valor de la factura se calcula
automáticamente, una vez se carguen las cantidades y los precios en el sistema
2. El sistema SAP no permite generar dos documentos de venta asociados al mismo número de pedido externo SAP
3. Para las facturas ya emitidas, los campos de la factura son bloqueados por el sistema SAP (campos correspondientes a cantidades y precios)
4. Para las tarifas parametrizadas, el sistema SAP no permite generar facturas para fechas de precio en que las tarifas no estén vigentes
Anualmente el Profesional de Gestión de Ingresos y Reportes verifica esta configuración haciendo prueba y dejando como evidencia la pantalla
de ésta
Nota: La periodicidad de éste control es anual siempre y cuando no se hayan presentado cambios en la configuración solicitados por el área
X X X X N/A 4 Mayor N/A 2 Menor A: Improbable4 Mayor A:
Improbable4 A Bajo
GR&C N.1.1.
Facturación
Prestador de servicio (Gerencia de
Desarrollo Comercial)N.1.1.1
Errores o manipulación del proceso en el proceso de emisión de facturas
debido a: inadecuada parametrización del sistema, aprobaciones por
personal no autorizado, inadecuada segregación de funciones,
inadecuados niveles de autorización, registro inadecuado de cantidades a
facturar lo cual puede generar pérdida y/o fraude sobre la calidad y
exactitud de la información contable, pérdidas económicas, afectación de
relaciones comerciales e imagen de la Compañía.
N/A 5 Extremo N/A 2 Menor C: Posible 5 Extremo C: Posible 5 C Intermedio N.1.1.1.2
Validar que las solicitudes y/ o ajustes de facturación presenten la aprobación de la Gerencia General de ODC, validando que el correo
electrónico o solicitud física enviada sea por parte de la Gerencia General de ODC.
Nota: La facturación de Impuesto de Transporte lo solicitará el Profesional Gestión de Ingresos y Reportes
X X X X N/A 4 Mayor N/A 2 Menor A: Improbable4 Mayor A:
Improbable4 A Bajo
GR&C N.1.1.
Facturación
Prestador de servicio (Gerencia de
Desarrollo Comercial)N.1.1.1
Errores o manipulación del proceso en el proceso de emisión de facturas
debido a: inadecuada parametrización del sistema, aprobaciones por
personal no autorizado, inadecuada segregación de funciones,
inadecuados niveles de autorización, registro inadecuado de cantidades a
facturar lo cual puede generar pérdida y/o fraude sobre la calidad y
exactitud de la información contable, pérdidas económicas, afectación de
relaciones comerciales e imagen de la Compañía.
N/A 5 Extremo N/A 2 Menor C: Posible 5 Extremo C: Posible 5 C Intermedio N.1.1.1.3Aprobar la conciliación de solicitudes de facturación verificando que las solicitudes atendidas según el registro en el sistema SAP coincidan con
las facturas emitidas. Las diferencias son identificadas y resueltas de forma oportuna.X X X X N/A 4 Mayor N/A 2 Menor A: Improbable
4 Mayor A:
Improbable4 A Bajo
GR&C N.1.1.
Facturación
Prestador de servicio (Gerencia de
Desarrollo Comercial)N.1.1.2
Sub o sobre estimación de ingresos involuntaria o fraudulenta debido a
falta de oportunidad de la información, estimación inadecuada y falta de
revisión de los servicios a facturar, generando registros contables erróneos
y pérdida de la calidad y exactitud de la información contable.
N/A 3 Moderado N/A 2 Menor D: Probable 3 Moderado D: Probable 3 D Intermedio N.1.1.2.1
Revisar por parte del Prestador de Servicios (Especialista en Soporte en la Operación) el monto a registrar por ingresos de operación portuaria
para TLU1 y TLU3 ya sea por provisión o legalización de la provisión, de acuerdo con el archivo en Excel enviado por el Profesional de Gestión y
Finanzas.
Para el caso de la provisión el Profesional de Gestión y Finanzas, realiza el cálculo tomando como base los archivos de servicios portuarios de
programación enviados por el área de operaciones del Prestador de Servicios (CENIT) y la tasa representativa de mercado publicada por el
Banco de La Republica de la fecha de la liquidación. En caso tal que la provisión presente una variación porcentual superior al 50% con relación
al mes anterior debe solicitar aprobación del Jefe Soporte de la Operación del Prestador de Servicios.
Para el caso de la legalización de provisiones, el Profesional de Gestión y Finanzas, revisa la legalización de los ingresos de provisión, a través de
los documentos físicos enviados por Ecopetrol vs los archivos de servicios portuarios emitidos por programación y utilizadas para el registro de la
provisión; se validan las desviaciones (en caso de aplicar) y se envía correo electrónico a Ecopetrol con los valores ajustar, los cuales se reversan
en la legalización del mes posterior si estos no superan el 20%, si son montos superiores al porcentaje establecido, debe solicitar aprobación por
parte del Especialista en Soporte en la Operación y Jefe Soporte de la Operación.
El Especialista envía aprobación de la provisión y/o legalización por correo electrónico al Profesional de Gestión y Finanzas quién informa al área
contable el valor de la provisión, posteriormente el Profesional de Gestión y Finanzas evidencia que el registro contable ha sido realizado en la
contabilidad (pantalla de SAP con el registro de la provisión).
X X N/A 2 Menor N/A 2 Menor B: Raro 2 Menor B: Raro 2 B Bajo
GR&C N.1.1.
Facturación
Prestador de servicio (Gerencia de
Desarrollo Comercial)N.1.1.2
Sub o sobre estimación de ingresos involuntaria o fraudulenta debido a
falta de oportunidad de la información, estimación inadecuada y falta de
revisión de los servicios a facturar, generando registros contables erróneos
y pérdida de la calidad y exactitud de la información contable.
N/A 3 Moderado N/A 2 Menor D: Probable 3 Moderado D: Probable 3 D Intermedio N.1.1.2.2
Revisar los valores pendientes por facturar al cierre del mes (calendario cierre contable) producto de las solicitudes de facturación no
atendidas, para consolidar las estimaciones por estos conceptos, que se reportan al área contable. El Coordinador de Gestión de Ingresos revisa
las estimaciones y en señal de aprobación, reenvía el correo electrónico al área de Contabilidad.
En caso de aplicar ajustes a los valores a estimar, el Coordinador de Gestión de Ingresos notifica por medio de correo electrónico al Profesional
de Gestión de Ingresos y Reportes, quién genera las modificaciones y/o ajustes para envío de la estimación al Coordinador de Gestión de
Ingresos.
X X N/A 2 Menor N/A 2 Menor B: Raro 2 Menor B: Raro 2 B Bajo
GR&C N.2.1.
Gestión y Capitalización de Activos
Prestador de Servicios (Gerencia
Finanzas)N.2.1.1.
Inadecuada gestión de activos fijos debido a errores en el registro de la
información en SAP en el momento de la creación, errores en la
actualización de las novedades y capitalización de activos, información
desactualizada, alteración o falsedad en la información, falta de revisión y
aprobación por el nivel requerido, fallas en el monitoreo de activos, lo cual
puede generar errores en los saldos de cuenta, pérdida o apropiación
inadecuada de activos y en la razonabilidad de los estados financieros.
N/A 4 Mayor N/A 3 Moderado E: Muy Probable 4 Mayor E: Muy Probable 4 E Alto N.2.1.1.1
Validar que las creaciones, bajas y traslados solicitados se registren correctamente en el sistema SAP, incluyendo los mantenimientos
capitalizables que han sido creados como activos en el módulo AM de SAP.
El Prestador de Servicios (profesional de Data Maestra de Activos), envía correo electrónico al Prestador de Servicios (Coordinador de Activos
Fijos), con el reporte mensual de datos maestros que es tomado del Sistema SAP, anexando los papeles de trabajo correspondientes a cada una
de las novedades que contiene las verificaciones. El Prestador de Servicios (Coordinador de Activos Fijos), en señal de revisión envía correo
electrónico al Prestador de Servicios (profesional de Data Maestra de Activos.)
De presentarse diferencias se envía correo electrónico al solicitante para su ajuste y comentarios por parte del profesional de data maestra de
activos con copia al Prestador de Servicios (Coordinador de Activos Fijos).
X X N/A 3 Moderado N/A 2 Menor C: Posible 3 Moderado C: Posible 3 C Medio
GR&C N.2.1.
Gestión y Capitalización de Activos
Prestador de Servicios (Gerencia
Finanzas)N.2.1.1.
Inadecuada gestión de activos fijos debido a errores en el registro de la
información en SAP en el momento de la creación, errores en la
actualización de las novedades y capitalización de activos, información
desactualizada, alteración o falsedad en la información, falta de revisión y
aprobación por el nivel requerido, fallas en el monitoreo de activos, lo cual
puede generar errores en los saldos de cuenta, pérdida o apropiación
inadecuada de activos y en la razonabilidad de los estados financieros.
N/A 4 Mayor N/A 3 Moderado E: Muy Probable 4 Mayor E: Muy Probable 4 E Alto N.2.1.1.2
Revisar y aprobar las actividades de cierre contable asociadas al módulo de activos fijos (registro de altas, bajas, traslados) por medio de la
validación del cierre de las actividades del checklist de activos fijos. X X N/A 3 Moderado N/A 2 Menor C: Posible 3 Moderado C: Posible 3 C Medio
GR&C N.2.1.
Gestión y Capitalización de Activos
Prestador de Servicios (Gerencia
Finanzas)N.2.1.1.
Inadecuada gestión de activos fijos debido a errores en el registro de la
información en SAP en el momento de la creación, errores en la
actualización de las novedades y capitalización de activos, información
desactualizada, alteración o falsedad en la información, falta de revisión y
aprobación por el nivel requerido, fallas en el monitoreo de activos, lo cual
puede generar errores en los saldos de cuenta, pérdida o apropiación
inadecuada de activos y en la razonabilidad de los estados financieros.
N/A 4 Mayor N/A 3 Moderado E: Muy Probable 4 Mayor E: Muy Probable 4 E Alto N.2.1.1.3
Revisar la conciliación de la toma física y los registros contables de acuerdo a la información suministrada por el tercero (avaluador) .
El Prestador de Servicios (Coordinador de Activos fijos) realiza una verificación aleatoria de los activos por placas y descripción acorde con las
especificaciones técnicas, dejando un papel de trabajo en señal de validación.
De encontrarse diferencias se toman las acciones necesarias con relación a la novedad.
X X N/A 3 Moderado N/A 2 Menor C: Posible 3 Moderado C: Posible 3 C Medio
GR&C N.2.1.
Gestión y Capitalización de Activos
Prestador de Servicios (Gerencia
Finanzas)N.2.1.1.
Inadecuada gestión de activos fijos debido a errores en el registro de la
información en SAP en el momento de la creación, errores en la
actualización de las novedades y capitalización de activos, información
desactualizada, alteración o falsedad en la información, falta de revisión y
aprobación por el nivel requerido, fallas en el monitoreo de activos, lo cual
puede generar errores en los saldos de cuenta, pérdida o apropiación
inadecuada de activos y en la razonabilidad de los estados financieros.
N/A 4 Mayor N/A 3 Moderado E: Muy Probable 4 Mayor E: Muy Probable 4 E Alto N.2.1.1.4
Aprobar los formatos de bajas y traslados solicitados por el operador (Ecopetrol - contrato de Operación y Mantenimiento ) que contiene la
novedad de los activos de la compañía, verificando que el formato se encuentre firmado por el responsable de la solicitud y que la información
coincida con el reporte adjunto enviado por el área de Activos Fijos. En señal de su revisión firma el formato de la novedad solicitada. X X N/A 3 Moderado N/A 2 Menor C: Posible 3 Moderado C: Posible 3 C Medio
GR&C N.2.1.
Gestión y Capitalización de Activos
Prestador de Servicios (Gerencia
Finanzas)N.2.1.2.
Inadecuado reconocimiento de los activos debido a desconocimiento de la
norma, aplicación tardía del análisis de avalúos en activos, omisión y/o
registro contable equivoco y reconocimiento de gastos/costos como
activos lo cual puede generar incumplimiento de la normatividad legal,
sobre o subvaloración de la utilidad y poca fiabilidad en los estados
financieros.
N/A 3 Moderado N/A 2 Menor D: Probable 3 Moderado D: Probable 3 D Intermedio N.2.1.2.1
Validar el cumplimiento de la normatividad vigente en cuanto al reconocimiento del valor actual y vidas útiles de los activos fijos mediante la
contratación de un avaluador técnico especializado.
Para el caso del avalúo técnico, este se efectúa para información de seguros, cada 3 años.
Para el caso de las vidas útiles, se revisan las premisas de las vidas útiles aplicables a los activos de la compañía y se señalan los cambios en los
mismos si da lugar, y en señal de revisión por parte del El Prestador de Servicio (Coordinador de Activos Fijos) emite un memorando de análisis.
Si se presentan cambios en las premisas de las vidas útiles, estos son enviados al área contable, quien a su vez realiza las actualizaciones a que
hubiere lugar. Posteriormente se realiza el ajuste contable correspondiente (si aplica).
El Prestador de Servicio (Jefe de Contabilidad) aprueba la carga correspondiente.
X X N/A 2 Menor N/A 1 Leve B: Raro 2 Menor B: Raro 1 B Bajo
GR&C N.2.1.
Gestión y Capitalización de Activos
Gerencia de Aseguramiento e
ingeniería ( Prestador de servicios)N.2.1.3
Sub o sobrevaloración de la provisión de costos de abandono, debido a
falta de integridad u omisión en la información reportada por las áreas
involucradas y del total de los activos de la compañía, errores en las
actividades de los procedimientos del cálculo de costos de
desincorporación, error del cálculo de los valores razonables para el
registro de la provisión, falta de revisión por el nivel requerido, errores en
el registro del comprobante manual lo que puede generar inconsistencias
en las cifras de los Estados financieros.
N/A 4 Mayor N/A 3 Moderado E: Muy Probable 4 Mayor E: Muy Probable 4 E Alto N.2.1.3.1
Verificar la información base del cálculo de costos de abandono de cada uno de los sistemas por medio de la revisión y ejecución de las
actividades descritas en la " Lista de chequeo de aspectos críticos de la estimación de costos de abandono". X X N/A 3 Moderado N/A 2 Menor C: Posible 3 Moderado C: Posible 3 C Medio
GR&C N.2.1.
Gestión y Capitalización de Activos
Prestador de Servicios (Gerencia
Finanzas)N.2.1.3
Sub o sobrevaloración de la provisión de costos de abandono, debido a
falta de integridad u omisión en la información reportada por las áreas
involucradas y del total de los activos de la compañía, errores en las
actividades de los procedimientos del cálculo de costos de
desincorporación, error del cálculo de los valores razonables para el
registro de la provisión, falta de revisión por el nivel requerido, errores en
el registro del comprobante manual lo que puede generar inconsistencias
en las cifras de los Estados financieros.
N/A 4 Mayor N/A 3 Moderado E: Muy Probable 4 Mayor E: Muy Probable 4 E Alto N.2.1.3.2Validar el cálculo de la provisión costos de abandono ejecutado por la Coordinación de activos fijos verificando que los inputs incluidos en el
modelo corresponda a la información recibida. X X N/A 3 Moderado N/A 2 Menor C: Posible 3 Moderado C: Posible 3 C Medio
GR&C N.2.1.
Gestión y Capitalización de Activos
Prestador de Servicios (Gerencia
Finanzas)N.2.1.3
Sub o sobrevaloración de la provisión de costos de abandono, debido a
falta de integridad u omisión en la información reportada por las áreas
involucradas y del total de los activos de la compañía, errores en las
actividades de los procedimientos del cálculo de costos de
desincorporación, error del cálculo de los valores razonables para el
registro de la provisión, falta de revisión por el nivel requerido, errores en
el registro del comprobante manual lo que puede generar inconsistencias
en las cifras de los Estados financieros.
N/A 4 Mayor N/A 3 Moderado E: Muy Probable 4 Mayor E: Muy Probable 4 E Alto N.2.1.3.3
Revisar y aprobar la razonabilidad del cálculo de la provisión de abandono, sus respectivos inputs y su cumplimiento frente al requerimiento
de la norma contable por medio una sesión de trabajo en donde participe el Gerente General de ODC / Gerente Senior de Finanzas/ Gerente
de Operaciones Financieras /Experto en Gestión de Activos
del prestador de servicios.
En caso de identificar inconsistencias se realizarán los ajustes y se programará una nueva sesión de trabajo.
X X N/A 3 Moderado N/A 2 Menor C: Posible 3 Moderado C: Posible 3 C Medio
GR&C N.2.1.
Gestión y Capitalización de Activos
Prestador de Servicios (Gerencia
Finanzas)N.2.1.3
Sub o sobrevaloración de la provisión de costos de abandono, debido a
falta de integridad u omisión en la información reportada por las áreas
involucradas y del total de los activos de la compañía, errores en las
actividades de los procedimientos del cálculo de costos de
desincorporación, error del cálculo de los valores razonables para el
registro de la provisión, falta de revisión por el nivel requerido, errores en
el registro del comprobante manual lo que puede generar inconsistencias
en las cifras de los Estados financieros.
N/A 4 Mayor N/A 3 Moderado E: Muy Probable 4 Mayor E: Muy Probable 4 E Alto N.2.1.3.4
Revisar y aprobar el registro contable de la provisión de abandono al cierre de los estados financieros, reportado por el Jefe de Contabilidad en
el que se valide el Comprobante Contable.X X N/A 3 Moderado N/A 2 Menor C: Posible 3 Moderado C: Posible 3 C Medio
GR&C N.2.1.
Gestión y Capitalización de Activos
Prestador de Servicios (Gerencia
Finanzas)N.2.1.3
Sobre o subestimación del deterioro de activos debido a falta de
integridad u omisión en la información reportada por los responsables ,
errores en las actividades de los procedimientos del cálculo, error en el
modelo matemático del cálculo de los valores razonables para el registro
de la provisión y/o falta de revisión por el nivel requerido lo que puede
generar inconsistencias en los Estados financieros.
N/A 4 Mayor N/A 3 Moderado E: Muy Probable 4 Mayor E: Muy Probable 4 E Alto N.2.1.3.1
Validar el análisis cualitativo para la identificación de indicios de deterioro ( internos y externos) , mediante verificación de la existencia de
respuestas a todas las preguntas del test cualitativo para el sistema . De acuerdo a la respuesta se procede a lo establecido en el procedimiento
" Determinar el deterioro de los activos" del prestador de servicios. X X N/A 3 Moderado N/A 2 Menor C: Posible 3 Moderado C: Posible 3 C Medio
GR&C N.2.1.
Gestión y Capitalización de Activos
Prestador de Servicios (Gerencia
Finanzas)N.2.1.3
Sobre o subestimación del deterioro de activos debido a falta de
integridad u omisión en la información reportada por los responsables ,
errores en las actividades de los procedimientos del cálculo, error en el
modelo matemático del cálculo de los valores razonables para el registro
de la provisión y/o falta de revisión por el nivel requerido lo que puede
generar inconsistencias en los Estados financieros.
N/A 4 Mayor N/A 3 Moderado E: Muy Probable 4 Mayor E: Muy Probable 4 E Alto N.2.1.3.2
Verificar y revisar que los inputs entregados por los responsables ( tasa de descuento, impuesto de renta, Tasa de cambio, vidas útiles, tarifas,
costos, inversiones, volúmenes, valor de la propiedad planta y equipo ( incluyendo ARO) y valor de salvamento estén correctamente ingresados
a la hoja de calculo, comparando la información entregada frente al modelo.
X X N/A 3 Moderado N/A 2 Menor C: Posible 3 Moderado C: Posible 3 C Medio
GR&C N.2.1.
Gestión y Capitalización de Activos
Prestador de Servicios (Gerencia
Finanzas)N.2.1.3
Sobre o subestimación del deterioro de activos debido a falta de
integridad u omisión en la información reportada por los responsables ,
errores en las actividades de los procedimientos del cálculo, error en el
modelo matemático del cálculo de los valores razonables para el registro
de la provisión y/o falta de revisión por el nivel requerido lo que puede
generar inconsistencias en los Estados financieros.
N/A 4 Mayor N/A 3 Moderado E: Muy Probable 4 Mayor E: Muy Probable 4 E Alto N.2.1.3.3
Revisar la razonabilidad y aprobar el cálculo cuantitativo del deterioro de los activos, por medio de una mesa de trabajo en donde participen el
Gerente General de ODC, Gerente de Planeación y Control de Gestión y el Gerente de Operaciones Financieras, con el fin de asegurar el
cumplimiento de la normativa IFRS.
En caso de identificar inconsistencias se realizarán los ajustes y se programará una nueva sesión de trabajo.
X X N/A 3 Moderado N/A 2 Menor C: Posible 3 Moderado C: Posible 3 C Medio
GR&C N.2.1.
Gestión y Capitalización de Activos
Prestador de Servicios (Gerencia
Finanzas)N.2.1.3
Sobre o subestimación del deterioro de activos debido a falta de
integridad u omisión en la información reportada por los responsables ,
errores en las actividades de los procedimientos del cálculo, error en el
modelo matemático del cálculo de los valores razonables para el registro
de la provisión y/o falta de revisión por el nivel requerido lo que puede
generar inconsistencias en los Estados financieros.
N/A 4 Mayor N/A 3 Moderado E: Muy Probable 4 Mayor E: Muy Probable 4 E Alto N.2.1.3.4Revisar y aprobar el registro contable de deterioro en los estados financieros, reportado por el Jefe de Contabilidad en el que se validé el
Comprobante Contable y su correcta aplicabilidad con la NIC 36. X X N/A 3 Moderado N/A 2 Menor C: Posible 3 Moderado C: Posible 3 C Medio
GR&C N.2.1.
Gestión y Capitalización de Activos
Gerente Planeación y
Programación de
Mantenimiento
N.2.1.4
Asignación errada de costos de órdenes de trabajo de mantenimiento,
debido a:
- Inadecuada clasificación de las actividades de mantenimiento
(capitalizable o no capitalizable), conflicto de segregación de funciones,
generando afectación a la confiabilidad, clasificación y razonabilidad en los
estados financieros de la compañía
N/A 5-Catastrófico N/A 5-Catastrófico C: Posible 5C: Catastrófico- Posible 5C -ALTO N.2.1.4.1
Revisar y aprobar el reporte de las órdenes de trabajo correspondientes a mantenimientos a capitalizar en el mes y a transferir a activos en
curso de acuerdo a los criterios definidos bajo IFRS, el cual es enviado por el área de planeación de mantenimiento.
En caso de identificar diferencias, se remite nuevamente al área de planeación de mantenimiento para su justificación.
Posteriormente se envía a la Coordinación de Activos Fijos para su registro.
x N/A 4-Mayor N/A 2-Menor B-Improbable4B-,mayor-
Improbable 4B Medio
GR&C S.1.1.Cierre Contable,
Preparación y Revelación de Estados
Financieros
Prestador de Servicios (Gerencia
Finanzas)S.1.1.1
Inadecuada aplicación de la normatividad contable, debido a inexistencia
de políticas contables, no contar con monitoreos periódicos de los posibles
cambios normativos, falta de divulgación al personal responsable,
incumplimiento de las políticas y/o procedimientos definidas, lo cual
puede ocasionar errores o fraude en los estados financieros y llevar a toma
de decisiones inadecuadas y/o sanciones a la Compañía.
N/A 3 Moderado N/A 4 Mayor B: Raro 4 Mayor B: Raro 4 B Medio S.1.1.1.1
Aprobar y divulgar las políticas contables aplicar en la Compañía para la preparación reporte y emisión de estados financieros.
En la definición se incluye mecanismos y entes de control que ejercerán el monitoreo así como los niveles de aprobación para realizar
actualizaciones y cambios correspondientes.
X X X X N/A 2 Menor N/A 3 Moderado A: Improbable3 Moderado A:
Improbable3 A Bajo
GR&C S.1.1.Cierre Contable,
Preparación y Revelación de Estados
Financieros
Prestador de Servicios (Gerencia
Finanzas)S.1.1.2
Inexactitud, falta de integridad o fraude de la información financiera
tanto para su registro, presentación y/o revelación debido a
modificaciones de la información, errores en el registro del comprobante,
errores manuales, apertura de periodos reportados, inadecuada
segregación de funciones, débil proceso de revisión, falta de controles en
asignación de usuarios e incorrecta parametrización del sistema,
manipulación dolosa de estados financieros (producción, alteración o
supresión deliberada de registros, creación de transacciones con
proveedores o acreedores falsos, manipulación de saldos de cuentas del
activo y pasivo, traslado periódico de obligaciones reales o ficticias (de un
acreedor o deudor a otro, real o ficticio), lo cual puede generar incorrecta
clasificación o presentación de los Estados Financieros, información
fraudulenta (por sobrevaloración/subvaloración de activos, registro de
activos ficticios, registro de ingresos o pagos ficticios, incorrecta
clasificación del grado de liquidez de inversiones, incorrecta clasificación
de activos/pasivos entre corto y largo plazo, no reconocimiento de
obligaciones financieras, inexactitud en las revelaciones de eventos
significativos/materiales o de transacciones con partes relacionadas, entre
otros), fallas en la toma de decisiones, sanciones, multas y calificación de
la opinión del revisor fiscal.
N/A 3 Moderado N/A 4 Mayor C: Posible 4 Mayor C: Posible 4 C Intermedio S.1.1.2.1
Controles automáticos del Sistema SAP en el módulo FI a través de los cuales:
1. Limita la creación de cuentas contables con un mismo número.
2. Bloquea la cuenta, que no tenga saldos vigentes para contabilización, en este caso, el sistema automáticamente impide contabilizar en la
cuenta bloqueada.
3. Valida que los campos obligatorios para la creación de cuentas (Número de cuenta, denominación, plan de cuentas operativo y alternativo,
sociedad, etc.) sean registrados. En el caso de asociación de atributos el sistema arroja un mensaje de error el cual informa que los atributos no
están completos.
4. Las cuentas contables configuradas en el sistema SAP responden a los grupos y rangos de numeración, de acuerdo con las definiciones de la
organización.
5. No permite realizar ningún registro contable en periodos cerrados.
6. El sistema requiere que cada vez que se registra un documento contable, este quede asociado a una clase de documento donde solicita el
campo "Moneda de origen". De no presentarse la actualización diaria de la tasa de cambio el sistema genera un error y no permite su registro.
7. En el sistema SAP, existen tipos de documentos específicos, asociados a cada módulo para el registro de la información financiero
8. El sistema SAP genera automáticamente un registro de las modificaciones aplicadas (log) sobre el archivo maestro de cuentas.
Una vez por semestre desde el último log ejecutado el Prestador de Servicios (Jefe de Contabilidad) verifica mediante la revisión de los logs
generados del sistema SAP que las modificaciones realizadas al maestro correspondan a modificaciones autorizadas mediante correo
electrónico a Data Maestra.
En caso de encontrar irregularidades, el Jefe de Contabilidad debe enviar un correo al Jefe de TI para revisar y corregir la situación
El Jefe de Contabilidad revisa las pruebas realizadas por Data Maestra y en señal de validación de la configuración envía correo electrónico.
Nota: La periodicidad de este control es anual siempre y cuando no se hayan presentado cambios en la configuración.
X X X N/A 2 Menor N/A 2 Menor A: Improbable2 Menor A:
Improbable2 A Bajo
GR&C S.1.1.Cierre Contable,
Preparación y Revelación de Estados
Financieros
Prestador de Servicios (Gerencia
Finanzas)S.1.1.2
Inexactitud, falta de integridad o fraude de la información financiera
tanto para su registro, presentación y/o revelación debido a
modificaciones de la información, errores en el registro del comprobante,
errores manuales, apertura de periodos reportados, inadecuada
segregación de funciones, débil proceso de revisión, falta de controles en
asignación de usuarios e incorrecta parametrización del sistema,
manipulación dolosa de estados financieros (producción, alteración o
supresión deliberada de registros, creación de transacciones con
proveedores o acreedores falsos, manipulación de saldos de cuentas del
activo y pasivo, traslado periódico de obligaciones reales o ficticias (de un
acreedor o deudor a otro, real o ficticio), lo cual puede generar incorrecta
clasificación o presentación de los Estados Financieros, información
fraudulenta (por sobrevaloración/subvaloración de activos, registro de
activos ficticios, registro de ingresos o pagos ficticios, incorrecta
clasificación del grado de liquidez de inversiones, incorrecta clasificación
de activos/pasivos entre corto y largo plazo, no reconocimiento de
obligaciones financieras, inexactitud en las revelaciones de eventos
significativos/materiales o de transacciones con partes relacionadas, entre
otros), fallas en la toma de decisiones, sanciones, multas y calificación de
la opinión del revisor fiscal.
N/A 3 Moderado N/A 4 Mayor C: Posible 4 Mayor C: Posible 4 C Intermedio S.1.1.2.2
Revisar el listado de comprobantes manuales generado por el sistema SAP.
Posteriormente el Prestador de Servicio (Jefe de Contabilidad) valida la información de los comprobantes manuales.
En caso de encontrarse inconsistencias por parte del Prestador de Servicios (Jefe de Contabilidad), éste envía correo electrónico al Outsourcing
contable con las diferencias para su resolución.
X X X N/A 2 Menor N/A 2 Menor A: Improbable2 Menor A:
Improbable2 A Bajo
GR&C S.1.1.Cierre Contable,
Preparación y Revelación de Estados
Financieros
Prestador de Servicios (Gerencia
Finanzas)S.1.1.4
Inadecuado cálculo y registro de provisiones así como sobre o
subestimación fraudulenta de las mismas debido a la falta de revisión de la
integridad de la información entre los estimados contables y el registro en
el modulo F.I y las fuentes externas como el área legal entre otros, lo cual
puede generar información incorrecta y/o fraudulenta en los estados
financieros y las revelaciones.
N/A 3 Moderado N/A 4 Mayor C: Posible 4 Mayor C: Posible 4 C Intermedio S.1.1.4.1.
Verificar el registro de la información de acuerdo con el reporte enviado por el abogado de ODC sobre el estado, cuantía y probabilidad de
pérdida de los procesos judiciales y contingencias que la Compañía presenta en contra, con base en las cuales el prestador de servicios registra
la provisión o se revela en las notas de los Estados Financieros. X X N/A 2 Menor N/A 3 Moderado B: Raro 3 Moderado B: Raro 3 B Medio
GR&C S.1.1.Cierre Contable,
Preparación y Revelación de Estados
Financieros
Prestador de Servicios (Gerencia
Finanzas)S.1.1.5
Errores y/o información fraudulenta en la información financiera
reportada y revelaciones, debido a una inadecuada revisión y análisis de
las cifras contables, incumplimiento de las políticas y/o procedimientos y la
normativa aplicable y supeditaje gerencial, lo cual puede afectar la toma
de decisiones de los usuarios de la información y el correcto análisis de la
situación económica de la compañía
N/A 3 Moderado N/A 4 Mayor C: Posible 4 Mayor B: Raro 4 B Medio S.1.1.5.1.
Revisar las variaciones de saldos de los reportes financieros (mensuales(1) y anual con corte a diciembre(2)), con el fin de identificar hechos
económicos que no hayan quedado adecuadamente registrados.
Si aplica, el Prestador de Servicios (Jefe de Contabilidad), solicita explicaciones a las áreas por las variaciones inusuales que se presentan dentro
de los rubros de las cuentas, de ser necesario entre las partes construyen el análisis de las variaciones y/o se realizan los ajustes necesarios.X X N/A 2 Menor N/A 3 Moderado B: Raro 3 Moderado B Raro 3 B Medio
GR&C S.1.1.Cierre Contable,
Preparación y Revelación de Estados
Financieros
Prestador de Servicios (Gerencia
Finanzas)S.1.1.5
Errores y/o información fraudulenta en la información financiera
reportada y revelaciones, debido a una inadecuada revisión y análisis de
las cifras contables, incumplimiento de las políticas y/o procedimientos y la
normativa aplicable y supeditaje gerencial, lo cual puede afectar la toma
de decisiones de los usuarios de la información y el correcto análisis de la
situación económica de la compañía
N/A 3 Moderado N/A 4 Mayor C: Posible 4 Mayor C: Probable 4 C Intermedio S.1.1.5.2.
Validar que la información incluida en los formatos de reporte a las entidades de control y demás Entidades Gubernamentales, sea consistente
con la información registrada en el sistema de información SAP.
En caso de encontrar inconsistencias en la información, se envía correo electrónico al Outsourcing para realizar los ajustes correspondientes.
X X N/A 2 Menor N/A 3 Moderado B: Raro 3 Moderado B Raro 3 B Medio
GR&C S.1.1.Cierre Contable,
Preparación y Revelación de Estados
Financieros
Prestador de Servicios (Gerencia
Finanzas)S.1.1.5
Errores y/o información fraudulenta en la información financiera
reportada y revelaciones, debido a una inadecuada revisión y análisis de
las cifras contables, incumplimiento de las políticas y/o procedimientos y la
normativa aplicable y supeditaje gerencial, lo cual puede afectar la toma
de decisiones de los usuarios de la información y el correcto análisis de la
situación económica de la compañía
N/A 3 Moderado N/A 4 Mayor C: Posible 4 Mayor C: Probable 4 C Intermedio S.1.1.5.3.
Presentar ante la Junta Directiva para su análisis y revisión, los reportes y/o Estados Financieros.
En caso de que aplique, Prestador de Servicio (el Outsourcing) se asegura la inclusión de las recomendaciones realizadas por parte de la Junta
Directiva revisando el acta, y envía correo electrónico al Prestador de Servicio (Jefe de Contabilidad) con la confirmación de los cambios y
posteriormente se envía al Prestador de Servicio (Gerente Senior de Finanzas y Director Estratégico y de Finanzas), para su aprobación
X X N/A 2 Menor N/A 3 Moderado B: Raro 3 Moderado B Raro 3 B Medio
GR&C S.1.1.Cierre Contable,
Preparación y Revelación de Estados
Financieros
Prestador de Servicios (Gerencia
Finanzas)S.1.1.5
Errores y/o información fraudulenta en la información financiera
reportada y revelaciones, debido a una inadecuada revisión y análisis de
las cifras contables, incumplimiento de las políticas y/o procedimientos y la
normativa aplicable y supeditaje gerencial, lo cual puede afectar la toma
de decisiones de los usuarios de la información y el correcto análisis de la
situación económica de la compañía
N/A 3 Moderado N/A 4 Mayor C: Posible 4 Mayor C: Probable 4 C Intermedio S.1.1.5.4.
Revisión de los estados financieros y revelaciones por el Prestador de Servicios (Gerente Senior de Finanzas) y Gerente General ODC, quienes
analizan las cifras, detecta posibles errores, modificaciones o ajustes (en el caso de aplicar) y solicita explicación detallada de los saldos de las
cuentas al prestador de servicio; posteriormente el Gerente General de ODC envía al Prestador de Servicios correo electrónico en señal de
aprobación.
X X N/A 2 Menor N/A 3 Moderado B: Raro 3 Moderado B Raro 3 B Medio
GR&C S.1.1.Cierre Contable,
Preparación y Revelación de Estados
Financieros
Prestador de Servicios (Gerencia
Finanzas)S.1.1.5
Errores y/o información fraudulenta en la información financiera
reportada y revelaciones, debido a una inadecuada revisión y análisis de
las cifras contables, incumplimiento de las políticas y/o procedimientos y la
normativa aplicable y supeditaje gerencial, lo cual puede afectar la toma
de decisiones de los usuarios de la información y el correcto análisis de la
situación económica de la compañía
N/A 3 Moderado N/A 4 Mayor C: Posible 4 Mayor C: Probable 4 C Intermedio S.1.1.5.5.
Revisar la razonabilidad de los Estados Financieros (anuales) de ODC, analizando los saldos de cuenta presentados, variaciones y revelaciones
detectando posibles inconsistencias (en caso de aplicar), ajustes, y/o modificaciones, las cuales son informadas a la Gerencia General de ODC y
Prestador de Servicios (Gerente Senior de Finanzas) quienes se encargan de aplicar los resultados de la revisión (en caso de aplicar) a los estados
financieros; lo anterior se consigna en el acta del Comité Financiero y de Auditoría.
X X N/A 2 Menor N/A 3 Moderado B: Raro 3 Moderado B Raro 3 B Medio
GR&C S.1.1.Cierre Contable,
Preparación y Revelación de Estados
Financieros
Prestador de Servicios (Gerencia
Finanzas)S.1.1.6
Registrar información no autorizada después de haber realizado el cierre
del módulo contable (FI) debido a falta de autorización del Gerente
General, errores en el análisis, falta de soportes contables, lo cual puede
generar afectación al corte, presentación, razonabilidad y confiabilidad de
los Estados Financieros de la Compañía.
N/A 3 Moderado N/A 4 Mayor C: Posible 4 Mayor C: Posible 4 C Intermedio S.1.1.6.1.
Revisar y aprobar la solicitud del ajuste/correcciones/errores posteriores al cierre, a fin de realizar los registros en el sistema SAP. Las
reaperturas realizadas después de haber reportado a Casa Matriz deben contar con la autorización del Prestador de Servicio (Gerente Senior
Finanzas) y Gerente General de ODC y son realizadas por el Prestador de Servicio (Jefe de Contabilidad).
Hecho el ajuste por el Prestador de Servicio( Outsourcing Contable), el Prestador de Servicio (Jefe de Contabilidad) valida en el sistema SAP, que
lo solicitado, haya sido realizado, tenga su soporte de registro y sea consistente con el análisis.
Posteriormente, el Prestador de Servicio (Gerente Senior Finanzas) y Gerente General verifica que los ajustes realizados correspondan a los
autorizados y envía por medio de correo electrónico su verificación al Prestador de Servicio (Jefe de Contabilidad).
En caso de encontrar inconsistencias y/o diferencias, el Jefe de Contabilidad y/o el Gerente Senior de Finanzas envía correo electrónico
solicitando justificaciones o ajustes (si aplica).
Nota: El perfil del usuario del Jefe Contabilidad es el único que tiene la posibilidad abrir periodos cerrados y SAP no permite el registro de
transacciones en periodos cerrados.
X X N/A 2 Menor N/A 3 Moderado B: Raro 3 Moderado B: Raro 3 B Medio
GR&C S.1.1.Cierre Contable,
Preparación y Revelación de Estados
Financieros
Prestador de Servicios (Gerencia
Finanzas)S.1.1.7
Falta de integridad, valuación, validez y razonabilidad de la información
financiera debido errores en registros contables manuales, errores en las
interfaces registradas, lo cual puede ocasionar errores en los Estados
Financieros y/o información fraudulenta.
N/A 3 Moderado N/A 2 Menor C: Posible 3 Moderado C: Posible 3 C Medio S.1.1.7.1.
Revisar y aprobar conciliaciones mensuales del balance, incluyendo las operaciones reciprocas, de acuerdo a la información enviada por el
prestador de servicios(outsourcing) donde se realiza el cruce de los saldos.
Todas las partidas conciliatorias se identifican en el mes siguiente, se investigan y aclaran oportunamente y de ser necesario, se realizan
registros contables correspondientes. X X N/A 2 Menor N/A 2 Menor B: Raro 2 Menor B: Raro 2B Bajo
GR&C S.1.1.Cierre Contable,
Preparación y Revelación de Estados
Financieros
Prestador de Servicios (Gerencia
Finanzas)S.1.1.5
Errores y/o información fraudulenta en la información financiera
reportada y revelaciones, debido a una inadecuada revisión y análisis de
las cifras contables, incumplimiento de las políticas y/o procedimientos y la
normativa aplicable y supeditaje gerencial, lo cual puede afectar la toma
de decisiones de los usuarios de la información y el correcto análisis de la
situación económica de la compañía
N/A 3 Moderado N/A 4 Mayor C: Posible 4 Mayor B: Raro 4 B Medio S.1.1.5.6.
Validar que los totales del patrimonio incluida la utilidad del ejercicio cargada en hyperion correspondan al cierre contable del periodo de
acuerdo a la información cargada por el prestador de servicios(outsourcing) , por medio de la pantalla de reporte de Hyperion que valida los
saldos contra el balance.
En caso de ajustes o diferencias se envía correo electrónico al Outsourcing para ajustar o corregir o justificar.
Para los cambios posteriores al cierre contable, el Prestador de Servicios (Jefe de Contabilidad) envía correo electrónico a Casa Matriz con los
ajustes para efectos de consolidación y cargue en Hyperión.
2. Revisión de la conciliación de las cifras SAP frente al reporte de Hyperion ( día 15 posterior al cierre) o cuando ocurra ajuste posterior al
cierre . En caso de encontrar diferencias, el Prestador de Servicios (Jefe de Contabilidad) envía correo electrónico a Casa Matriz para su gestión
y respuesta. ( si aplica ajustes posteriores al cierre).
Nota: Una vez cargadas las cifras de los EEFF en Hyperion no se permite realizar ajuste en la aplicación por parte de Cenit.
X X N/A 2 Menor N/A 3 Moderado B: Raro 3 Moderado B Raro 3 B Medio
GR&C S.1.3 Determinación de
Impuestos Nacionales y MunicipalesPrestador de Servicios (Gerencia
Finanzas)S.1.3.1.
Inoportuna e inadecuada presentación de las declaraciones tributarias
incluyendo fraude en la información declarada debido a falta de revisión y
aplicación de los cambios tributarios, falta de revisión y aprobación de las
declaraciones por el nivel requerido, supeditaje gerencial, pago tardío y/o
inadecuada planeación de los plazos establecidos de presentación y pago
lo cual puede generar sanciones y/o intereses por mora y afectación
reputacional.
N/A 3 Moderado N/A 4 Mayor D: Probable 4 Mayor D: Probable 4 D Intermedio S.1.3.1.1
Analizar el patrimonio fiscal base para el cálculo del impuesto a la riqueza, por medio de los anexos de la declaración de renta con el que se
elabora la hoja de trabajo para su respectivo cálculo.
El Prestador de Servicios (Jefe Tributario) aprueba el cálculo del impuesto a la riqueza para su posterior registro en el sistema SAP.
En caso de encontrar inconsistencias o errores en la depuración y cálculo del impuesto a la riqueza, se realiza el respectivo ajuste.
X X X N/A 2 Menor N/A 2 Menor C: Posible 2 Menor C: Posible 2 C Medio
GR&C S.1.3 Determinación de
Impuestos Nacionales y MunicipalesPrestador de Servicios (Gerencia
Finanzas)S.1.3.1.
Inoportuna e inadecuada presentación de las declaraciones tributarias
incluyendo fraude en la información declarada debido a falta de revisión y
aplicación de los cambios tributarios, falta de revisión y aprobación de las
declaraciones por el nivel requerido, supeditaje gerencial, pago tardío y/o
inadecuada planeación de los plazos establecidos de presentación y pago
lo cual puede generar sanciones y/o intereses por mora y afectación
reputacional.
N/A 3 Moderado N/A 4 Mayor D: Probable 4 Mayor D: Probable 4 D Intermedio S.1.3.1.2
Aprobar las declaraciones tributarias, mediante la revisión de las hojas de trabajo (archivos en Excel), análisis de variaciones, anexos de cada
una de las declaraciones físicos o magnéticos, así:
Mensual: Retención en la Fuente, Autorretención y retención de ICA (en los municipios que aplique)
Bimestral: Declaración de IVA, Autorretención y retención de ICA (en los municipios que aplique), Declaración de ICA y Retenciones de ICA en
Bogotá.
Anual: Declaración de Renta, declaración de ICA anuales, declaración de activos en el exterior, declaración de precios de transferencia e
Impuesto a la riqueza.
En caso de encontrar inconsistencias, el Prestador de Servicio(Jefe Tributario/Especialista Tributario y Aduanero) envía correo electrónico al
Prestador de Servicio (outsourcing), solicitando ajuste o modificación.
Posteriormente, son firmadas por el Gerente General de ODC en señal de aprobación de las declaraciones tributarias.
X X X N/A 2 Menor N/A 2 Menor C: Posible 2 Menor C: Posible 2 C Medio
GR&C S.1.3 Determinación de
Impuestos Nacionales y MunicipalesPrestador de Servicios (Gerencia
Finanzas)S.1.3.1.
Inoportuna e inadecuada presentación de las declaraciones tributarias
incluyendo fraude en la información declarada debido a falta de revisión y
aplicación de los cambios tributarios, falta de revisión y aprobación de las
declaraciones por el nivel requerido, supeditaje gerencial, pago tardío y/o
inadecuada planeación de los plazos establecidos de presentación y pago
lo cual puede generar sanciones y/o intereses por mora y afectación
reputacional.
N/A 3 Moderado N/A 4 Mayor D: Probable 4 Mayor D: Probable 4 D Intermedio S.1.3.1.3
Verificar como mínimo el 20% de los proveedores creados en el semestre con el fin de validar los indicadores de retención asignados por el
prestador de servicios.
En caso de que se identifique alguna inconsistencia se solicitará explicación y/o ajuste .
X X X N/A 2 Menor N/A 2 Menor C: Posible 2 Menor C: Posible 2 C Medio
GR&C S.1.3 Determinación de
Impuestos Nacionales y MunicipalesPrestador de Servicios (Gerencia
Finanzas)S.1.3.2.
Inadecuado cálculo del impuesto diferido y renta, debido a: Información
base para el cálculo del impuesto diferido sea errónea o fraudulenta,
errores en el cálculo de la provisión de renta e impuesto diferido,
supeditaje gerencial lo que puede generar afectación reputacional y/o
sanciones, estados financieros y revelaciones erróneos, sobrestimación o
subestimación de la utilidad a distribuir.
N/A 3 Moderado N/A 2 Menor D: Probable 3 Moderado D: Probable 3 D Intermedio S.1.3.2.1.
Aprobar el cálculo del Impuesto diferido y verificación del registro en el sistema SAP, por medio de la validación de la tasa proyectada, en
periodos intermedios que es realizada de manera trimestral y aplicable mensualmente a la utilidad del periodo.
La hoja de trabajo del cálculo de la tasa proyectada, contiene las proyecciones de Estados Financieros entregada a través de correo electrónico
enviado por el Prestador de Servicios (Gerente de Planeación y Control de Gestión) para periodos trimestrales y las depreciaciones proyectadas
entregada por el Outsourcing a través de correo electrónico.
En caso de ajustes o modificaciones al cálculo del impuesto diferido, el Prestador de Servicios (Jefe de Impuestos/Especialista Tributario y
Aduanero) envía correo electrónico con la solicitud de cambios (si aplica).
Para el cierre anual o cierre de propósitos específicos, el cálculo del impuestos diferido se realiza sobre las diferencias temporarias reales entre
libro contable y fiscal generado del sistema SAP.
X X N/A 2 Menor N/A 2 Menor C: Posible 2 Menor C: Posible 2 C Medio
GR&C S.1.3 Determinación de
Impuestos Nacionales y MunicipalesPrestador de Servicios (Gerencia
Finanzas)S.1.3.2.
Inadecuado cálculo del impuesto diferido y renta, debido a: Información
base para el cálculo del impuesto diferido sea errónea o fraudulenta,
errores en el cálculo de la provisión de renta e impuesto diferido,
supeditaje gerencial lo que puede generar afectación reputacional y/o
sanciones, estados financieros y revelaciones erróneos, sobrestimación o
subestimación de la utilidad a distribuir.
N/A 3 Moderado N/A 2 Menor D: Probable 3 Moderado D: Probable 3 D Intermedio S.1.3.2.2.
Aprobar el cálculo del impuesto de Renta para su posterior registro en el sistema SAP, por medio de la validación de la tasa proyectada en
periodos intermedios, que es realizada por el Prestador de Servicios (Outsourcing) de manera trimestral y que es aplicable mensualmente a la
utilidad del periodo.
La hoja de trabajo Excel del cálculo de la tasa efectiva de tributación enviada por medio de correo electrónico contiene las proyecciones de
Estados Financieros entregada por el Prestador de Servicios (Gerente de Planeación y Control de Gestión) para periodos trimestrales y las
depreciaciones proyectadas entregada por el Prestador de Servicios(Outsourcing) a través de correo electrónico.
El cálculo contiene el análisis de las cuentas de ingresos, costos y gastos con el fin de determinar los conceptos de ingresos gravados y no
gravados, los costos y gastos deducibles o no deducibles en el impuesto sobre la renta.
En caso de ajustes o modificaciones al cálculo de los impuestos, el Prestador de Servicios (Jefe de Impuestos/Especialista Tributario y Aduanero)
envía correo electrónico al outsourcing con la solicitud de cambios.
Para el cierre anual o cierre de propósitos específicos, el cálculo del impuestos se realiza sobre bases reales, esto es, ingresos, costos y gastos
arrojados del sistema SAP. Posteriormente, se realiza la depuración de ingresos gravados y no gravados y de costos/gastos deducibles y no
deducibles dejando la captura de pantalla de SAP del registro en la hoja de trabajo Excel.
X N/A 2 Menor N/A 2 Menor C: Posible 2 Menor C: Posible 2 C Medio
GR&C S.1.4. Cálculo DD&A Prestador de Servicios (Gerencia
Finanzas)S.1.4.1.
Errores en la clasificación de las cuentas de depreciación y amortización
debido a inadecuada asociación de los activos a las cuentas
parametrizadas en el sistema SAP para el cálculo y fallas o alteraciones al
ejecutar el proceso de liquidación, lo que puede generar reprocesos y/o
información contable incorrecta.
N/A 3 Moderado N/A 4 Mayor C: Posible 4 Mayor C: Posible 4 C Intermedio S.1.4.1.1.
El sistema SAP cuenta con una configuración para que cada vez que la entidad adquiera un activo, este se asocie a una cuenta en el GL (General
Líder/ Libro Mayor) para su posterior depreciación de manera automática, teniendo en cuenta los parámetros establecidos para la
depreciación de activos definidos por la organización.
Anualmente, el prestador de servicios ( data maestra) valida esta configuración haciendo prueba dejando como evidencia las pantallas de esta.
Posteriormente envía correo al prestador de servicios (Jefe de contabilidad) con la información para su visto bueno.
Nota: La periodicidad de este control es anual siempre y cuando no se hayan presentado cambios en la configuración.
En caso de encontrar irregularidades en la configuración, el Prestador de Servicios (Jefe de Contabilidad) debe enviar un correo al Prestador de
Servicio (Jefe de TI) informando la situación.
X N/A 2 Menor N/A 2 Menor B: Raro 2 Menor B: Raro 2B Bajo
GR&C S.1.4. Cálculo DD&A Prestador de Servicios (Gerencia
Finanzas)S.1.4.2.
Errores en el cálculo de la depreciación y amortización debido a
desconocimiento de la política de depreciación por el responsable errores
manuales, manipulación y/o alteración de la información y falta de
revisión del cálculo depreciación y amortización generando inconsistencias
en los saldos contables y por ende en los estados financieros y reportes
emitidos por la Compañía.
N/A 3 Moderado N/A 4 Mayor C: Posible 4 Mayor C: Posible 4 C Intermedio S.1.4.2.1.
Revisar la prueba del cálculo de la depreciación de los activos de Oleoducto de Colombia S.A., mediante la validación de los datos de la
depreciación del mes frente a los valores registrados en la contabilidad de acuerdo a la prueba del cálculo realizada por el Outsourcing Contable
Analista y que es enviada por correo electrónico al Outsourcing Contable Supervisor.
En señal de revisión de la prueba del cálculo, el Prestador de Servicios (Outsourcing - Supervisor de Activos Fijos) envía correo electrónico al
Prestador de Servicios (analista de activos fijos);
En caso de encontrar inconsistencias y diferencias en las pruebas del cálculo de la depreciación de los activos, el Prestador de Servicios
(Supervisor de Activos Fijos) envía correo electrónico al Outsourcing Contable Analista para su ajuste. (si aplica)
Posteriormente se ejecuta el proceso de depreciación del mes.
X N/A 2 Menor N/A 2 Menor B: Raro 2 Menor B: Raro 2B Bajo
GR&C S.1.4. Cálculo DD&A Prestador de Servicios (Gerencia
Finanzas)S.1.4.2.
Errores en el cálculo de la depreciación y amortización debido a
desconocimiento de la política de depreciación por el responsable errores
manuales, manipulación y/o alteración de la información y falta de
revisión del cálculo depreciación y amortización generando inconsistencias
en los saldos contables y por ende en los estados financieros y reportes
emitidos por la Compañía.
N/A 3 Moderado N/A 4 Mayor C: Posible 4 Mayor C: Posible 4 C Intermedio S.1.4.2.2.
Verificar que el registro en el sistema SAP del cálculo de depreciación y amortización (DD&A) haya quedado en los libros :fiscal e IFRS, por
medio de la revisión de los pantallazos capturados de cada uno de los libros.
En caso de encontrar irregularidades en la configuración, el Outsourcing Contable (Analista con copia al Supervisor) debe enviar un correo al
Prestador de Servicio (Jefe de TI) informando la situación. Correo almacenado en Share Point.
X N/A 2 Menor N/A 2 Menor B: Raro 2 Menor B: Raro 2B Bajo
GR&C S.1.4. Cálculo DD&A Prestador de Servicios (Gerencia
Finanzas)S.1.4.2.
Errores en el cálculo de la depreciación y amortización debido a
desconocimiento de la política de depreciación por el responsable errores
manuales, manipulación y/o alteración de la información y falta de
revisión del cálculo depreciación y amortización generando inconsistencias
en los saldos contables y por ende en los estados financieros y reportes
emitidos por la Compañía.
N/A 3 Moderado N/A 4 Mayor C: Posible 4 Mayor C: Posible 4 C Intermedio S.1.4.2.3.
Revisar las variaciones de la depreciación y amortización (DD&A), mediante análisis de variación de la cuenta respecto al mes anterior de
acuerdo con el soporte de variaciones enviado por el Outsourcing Contable Supervisor el cual es tomado del sistema SAP. Las variaciones
superiores al 10% son indagadas, justificadas y de ser requerido se realizan los ajustes correspondientes.
Posteriormente, Prestador de Servicios (Jefe de Contabilidad) envía correo electrónico al Outsourcing Contable Supervisor en señal de
aprobación.
X N/A 3 Menor N/A 2 Menor B: Raro 2 Menor B: Raro 2B Bajo
GR&C S.1.5 Cuentas por Cobrar Prestador de Servicios (Gerencia
Finanzas)S.1.5.1.
Inadecuada gestión de las cuentas por cobrar, reconocimiento incorrecto
de los recaudos y registro de pagos ficticios debido a gestión de cobro
inoportuno, errores manuales, manipulación y/o alteración de la
información, cobros por montos superiores, autorización de ajustes
incorrectos en la verificación de los intereses por mora y/o aplicación
errónea de los recaudos y/o a clientes incorrectos de forma deliberada
generando pérdidas económicas, fraude, reportes de cartera alterados
y/o afectación a los Estados Financieros de la Compañía.
N/A 4 Mayor N/A 4 Mayor D: Probable 4 Mayor D: Probable 4 D Intermedio S.1.5.1.1
Controles automáticos del Sistema a través de los cuales:
1. El sistema SAP está configurado para asegurar que solamente se aplique depósitos a terceros previamente creados.
2. El sistema SAP no permite que un recaudo de las cuenta por cobrar pueda ser aplicado más de una vez.
3. El sistema SAP no permite borrar los deudores que presentan movimiento en los saldos contables.
4. El sistema SAP no permite la creación de un deudor sin diligenciar los campos obligatorios parametrizados.
5. El sistema SAP calcula automáticamente los intereses de mora de acuerdo con las facturas de clientes que presentan vencimiento.
Anualmente el Prestador de Servicios (Jefe de Tesorería y Data Maestra ) valida esta configuración haciendo prueba, dejando como evidencia
las pantallas de esta.
En caso de reportar inconsistencias, se hace la solicitud a IT, como respuesta a la corrección de la solicitud, la jefatura procede a verificar y
realizar las pruebas sobre cambios.
Nota: La periodicidad de este control es anual, siempre y cuando no se hayan presentado cambios solicitados por el área de cartera en la
configuración".
X X N/A 2 Menor N/A 2 Menor B: Raro 2 Menor B: Raro 2B Bajo
GR&C S.1.5 Cuentas por Cobrar Prestador de Servicios (Gerencia
Finanzas)S.1.5.1.
Inadecuada gestión de las cuentas por cobrar, reconocimiento incorrecto
de los recaudos y registro de pagos ficticios debido a gestión de cobro
inoportuno, errores manuales, manipulación y/o alteración de la
información, cobros por montos superiores, autorización de ajustes
incorrectos en la verificación de los intereses por mora y/o aplicación
errónea de los recaudos y/o a clientes incorrectos de forma deliberada
generando pérdidas económicas, fraude, reportes de cartera alterados
y/o afectación a los Estados Financieros de la Compañía.
N/A 4 Mayor N/A 4 Mayor D: Probable 4 Mayor D: Probable 4 D Intermedio S.1.5.1.2.
Revisar el proceso de gestión de cobranza y provisión de cartera (si aplica) para todos los clientes que presentan cartera vencida por medio del
seguimiento (llamada telefónica o correo electrónico) consignado en la hoja de cálculo; El Prestador de Servicios (Especialista de Liquidez,
Deuda y Seguros) calcula la provisión de cartera de acuerdo a la guía de provisión de cartera del Prestador de Servicios. El cálculo es revisado
por el Prestador de Servicios (Jefe de Tesorería)
En el caso que aplique la provisión, el Prestador de Servicios (Jefe de Tesorería) envía correo electrónico al Prestador de Servicios (Jefe de
Contabilidad) para el registro y posteriormente confirma el valor de la provisión al Prestador de Servicios (Jefe de Tesorería) por medio de
correo electrónico; posteriormente el Prestador de Servicios (Gerente senior de Finanzas) solicita autorización al Gerente General ODC por
correo electrónico.
X X N/A 2 Menor N/A 2 Menor B: Raro 2 Menor B: Raro 2B Bajo
GR&C S.1.2.
Manejo de Caja y Bancos
Prestador de Servicios (Gerencia
Finanzas)S.1.2.1.
Realizar pagos errados, fraudulentos (robo) o no autorizados debido a que
son ejecutados por personal no autorizado, inadecuada segregación de
funciones o cargue de gastos que no estén autorizados, fraccionamiento
de pagos, ausencia en la verificación de los ajustes realizados y solicitados
por el autorizador y generando pérdidas económicas y afectación al
cumplimiento de las obligaciones.
N/A 4 Mayor N/A 3 Moderado E: Muy Probable 4 Mayor E: Muy Probable 4 E Alto S.1.2.1.1.
Aprobación de la creación de usuarios para preparador, aprobador 1 y aprobador 2 en los portales de los bancos por medio de la solicitud al
Gerente General de la creación del nuevo aprobador quién por medio de correo electrónico aprueba la solicitud.
Posteriormente y cada vez que se requiera la creación, modificación o eliminación de perfiles en el canal de pago, el control será ejecutado por
el súper usuario (prestador de servicios) con aprobación del Prestador de Servicios (Gerente Financiero) mediante correo electrónico otorgando
la aprobación de creación y/o modificación.
X X X X X X X N/A 2 Menor N/A 2 Menor B: Raro 2 Menor B: Raro 2 B Bajo
GR&C S.1.2.
Manejo de Caja y Bancos
Prestador de Servicios (Gerencia
Finanzas)S.1.2.1.
Realizar pagos errados, fraudulentos (robo) o no autorizados debido a que
son ejecutados por personal no autorizado, inadecuada segregación de
funciones o cargue de gastos que no estén autorizados, fraccionamiento
de pagos, ausencia en la verificación de los ajustes realizados y solicitados
por el autorizador y generando pérdidas económicas y afectación al
cumplimiento de las obligaciones.
N/A 4 Mayor N/A 3 Moderado E: Muy Probable 4 Mayor E: Muy Probable 4 E Alto S.1.2.1.2.Verificar las validaciones de la configuración de los perfiles y los usuarios relacionados al sistema de pagos en línea realizada por el súper usuario
y Gerente General ODC.X X X X X X X N/A 2 Menor N/A 2 Menor B: Raro 2 Menor B: Raro 2 B Bajo
GR&C S.1.2.
Manejo de Caja y Bancos
Prestador de Servicios (Gerencia
Finanzas)S.1.2.1.
Realizar pagos errados, fraudulentos (robo) o no autorizados debido a que
son ejecutados por personal no autorizado, inadecuada segregación de
funciones o cargue de gastos que no estén autorizados, fraccionamiento
de pagos, ausencia en la verificación de los ajustes realizados y solicitados
por el autorizador y generando pérdidas económicas y afectación al
cumplimiento de las obligaciones.
N/A 4 Mayor N/A 3 Moderado E: Muy Probable 4 Mayor E: Muy Probable 4 E Alto S.1.2.1.3.
Revisar y aprobar los pagos manuales realizados a través de cartas u otros mecanismos, dejando evidencia en los documentos aprobados.
Los documentos son ingresados al SIMAD (Sistema Integrado de Administración Documental) que genera el consecutivo.
X X X X X X X N/A 2 Menor N/A 2 Menor B: Raro 2 Menor B: Raro 2 B Bajo
GR&C S.1.2.
Manejo de Caja y Bancos
Prestador de Servicios (Gerencia
Finanzas)S.1.2.1.
Realizar pagos errados, fraudulentos (robo) o no autorizados debido a que
son ejecutados por personal no autorizado, inadecuada segregación de
funciones o cargue de gastos que no estén autorizados, fraccionamiento
de pagos, ausencia en la verificación de los ajustes realizados y solicitados
por el autorizador y generando pérdidas económicas y afectación al
cumplimiento de las obligaciones.
N/A 4 Mayor N/A 3 Moderado E: Muy Probable 4 Mayor E: Muy Probable 4 E Alto S.1.2.1.4.Verificar, aprobar y autorizar la propuesta de pago por la transacción ZFI_SWIFT / niveles de aprobación ZFI029 en el sistema SAP, a través
del workflow que recibe cada nivel de aprobador autorizado que son: Aprobador 1, Aprobador 2 y Aprobador 3.X X X X X X X N/A 2 Menor N/A 2 Menor B: Raro 2 Menor B: Raro 2 B Bajo
GR&C S.1.2.
Manejo de Caja y Bancos
Prestador de Servicios (Gerencia
Finanzas)S.1.2.2.
Registrar inadecuadamente en SAP los movimientos bancarios generados
por aquellos bancos que no cuentan con proceso automático, debido a
errores de digitación (tercero, cuenta y valor) e información incompleta o
transacciones ficticias, generando impacto en la toma de decisiones, la
cual se realiza sobre la base de reportes con cifras que no se ajustan a la
realidad (fraude) y reproceso en las actividades de cargue de información
a SAP.
N/A 4 Mayor N/A 4 Mayor E: Muy Probable 4 Mayor E: Muy Probable 4 E Alto S.1.2.2.1.
Revisar las partidas conciliatorias por medio de la conciliación realizada por el Prestador de servicio (contabilidad) vs las aplicaciones en
carteras y las liberaciones de pagos; en caso de aplicar, las partidas no identificadas, se enviará correo el electrónico como gestión de la
identificación.
X X X X N/A 2 Menor N/A 2 Menor A: Improbable2 Menor A:
Improbable2 A Bajo
GR&C S.1.2.
Manejo de Caja y Bancos
Prestador de Servicios (Gerencia
Finanzas)S.1.2.2.
Registrar inadecuadamente en SAP los movimientos bancarios generados
por aquellos bancos que no cuentan con proceso automático, debido a
errores de digitación (tercero, cuenta y valor) e información incompleta o
transacciones ficticias, generando impacto en la toma de decisiones, la
cual se realiza sobre la base de reportes con cifras que no se ajustan a la
realidad (fraude) y reproceso en las actividades de cargue de información
a SAP.
N/A 4 Mayor N/A 4 Mayor E: Muy Probable 4 Mayor E: Muy Probable 4 E Alto S.1.2.2.2.
Verificar que los movimientos de caja coincida con los saldos de banco, por medio de la revisión del flujo de caja al cierre de mes.
De encontrarse diferencias en los reportes se envía correo electrónico al Prestador de Servicios (Analista de Tesorería) para corrección y ajuste.X X X X N/A 2 Menor N/A 2 Menor A: Improbable
2 Menor A:
Improbable2 A Bajo
Cuentas por Pagar Gerencia Operaciones S 7.5.1
Inadecuados registros de cuentas por pagar debido a solicitudes
incorrectas o no autorizadas, fallas en el proceso de revisión, registrar
inadecuadamente anticipos de proveedores, legalizaciones de gastos
inconsistentes y/o por fraude interno, lo cual puede generar pérdida
económica reprocesos y no razonabilidad en los estados financieros.
N/A 5-Catastrófico N/A 5-Catastrófico D: Probable 5D-Catastrófico-Probable 5D-ALTO S.7.5.1.1.
Aprobar la contabilización del pago manual, una vez se verifique que el formato para pago manual adjunte los documentos soportes solicitados
y que el formato esté diligenciado por el responsable de la solicitud y aprobado por el responsable del área. X X N/A 3-Moderado N/A 3-Moderado- C: Posible 3C-Moderado-Posible 3C-MEDIO
Cuentas por Pagar Gerencia Operaciones S 7.5.2
Incumplimiento de los requisitos establecidos en el Estatuto Tributario o
por la Compañía debido a la recepción de facturas que no cumplan con
dichos requisitos, generando reprocesos y correcciones en las
declaraciones tributarias.
N/A 5-Catastrófico N/A 5-Catastrófico D: Probable 5D-Catastrófico-Probable 5D-ALTO S.7.5.2.3.
S.7.5.2.3 Verificar que el sistema SAP esté configurado para que al registrar facturas se exija el ingreso de los siguientes campos obligatorios:
- Fecha de la factura
- Código de proveedor o NIT
- Número de factura recibida (referencia)
- Valor
- Texto cabecera (usuario que desbloquea la factura para que se pueda generar el pago.)
- Cuenta contable (e indicador de IVA si la cuenta es relevante para impuestos)
- Objeto de costos (PEP, grafo, orden de costos)
Anualmente, el Jefe de Contabilidad valida esta configuración de acuerdo a la revisión efectuada por el Outsourcing que es enviada por correo
electrónico donde se evidencian las pantallas de verificación.
X N/A 3-Moderado N/A 4-Mayor C: Posible 4C:Mayor-Posible 4C-INTERMEDIO
Cuentas por Pagar Gerencia Operaciones S 7.5.3
Subvalorar o sobrevalorar los pasivos de la Compañía debido al registro
inadecuado o inoportuno de hechos económicos,, afectando la
razonabilidad del saldo de la cuenta en los estados financieros.
N/A 5-Catastrófico N/A 5-Catastrófico D: Probable 5D-Catastrófico-Probable 5D-ALTO S.7.5.3.4
Verificar las hojas de entrada de servicio sin match en el sistema (registros de recepción de los cuales no se ha recibido factura por parte del
proveedor), con el fin de provisionar todos los bienes y servicios recibidos y no facturados por el proveedor.
El registro de la provisión se realiza a través de un proceso automático del sistema. Se envía correo al Jefe de Contabilidad y a los
administradores de contrato con los comentarios respectivos.X X N/A 3-Moderado N/A 4-Mayor C: Posible 4C:Mayor-Posible 4C-INTERMEDIO
Cuentas por Pagar Gerencia Operaciones S 7.5.1
Inadecuados registros de cuentas por pagar debido a solicitudes
incorrectas o no autorizadas, fallas en el proceso de revisión, registrar
inadecuadamente anticipos de proveedores, legalizaciones de gastos
inconsistentes y/o por fraude interno, lo cual puede generar pérdida
económica reprocesos y no razonabilidad en los estados financieros.
N/A 5-Catastrófico N/A 5-Catastrófico D: Probable 5D-Catastrófico-Probable 5D-ALTO S.7.5.1.5
S.7.5.1.5 Controles automáticos del Sistema a través de los cuales:
1. El sistema SAP realiza el proceso de validación de "Three Way Match" (coincidencia en factura, pedido y recibo). La relación establecida
entre estos documentos garantiza la trazabilidad de la solicitud y la correcta aprobación en cada etapa para las compras realizadas.
2. El sistema SAP no permite registrar dos veces el mismo número de factura para el mismo proveedor, evitando así la duplicidad de pagos.
3. El sistema SAP cuenta con un recordatorio de los anticipos pendientes de aplicar al proveedor.
Anualmente, el Jefe de Contabilidad valida el funcionamiento de los controles automáticos en referencia de acuerdo a la información facilitada
por el Outsourcing y envía correo electrónico con el visto bueno.
En caso de encontrar inconsistencias, el Jefe de Contabilidad envía correo electrónico al área de TI informando irregularidades en el
funcionamiento de dicha parametrización.
X X N/A 3-Moderado N/A 3-Moderado- C: Posible 3C-Moderado-Posible 3C-MEDIO
Cuentas por Pagar Gerencia Operaciones S 7.5.1
Inadecuados registros de cuentas por pagar debido a solicitudes
incorrectas o no autorizadas, fallas en el proceso de revisión, registrar
inadecuadamente anticipos de proveedores, legalizaciones de gastos
inconsistentes y/o por fraude interno, lo cual puede generar pérdida
económica reprocesos y no razonabilidad en los estados financieros.
N/A 5-Catastrófico N/A 5-Catastrófico D: Probable 5D-Catastrófico-Probable 5D-ALTO S.7.5.1.6
Validar la adecuada aplicación de anticipos y garantías por medio la revisión de formato para autorización de pago a proveedores frente al
registro en el sistema SAP.
En caso de diferencias en la aplicación de anticipos se envía correo electrónico al administrador de contrato o gestor para su revisión. X X N/A 3-Moderado N/A 3-Moderado- C: Posible 3C-Moderado-Posible 3C-MEDIO
Cuentas por Pagar Gerencia Operaciones S 7.5.1
Inadecuados registros de cuentas por pagar debido a solicitudes
incorrectas o no autorizadas, fallas en el proceso de revisión, registrar
inadecuadamente anticipos de proveedores, legalizaciones de gastos
inconsistentes y/o por fraude interno, lo cual puede generar pérdida
económica reprocesos y no razonabilidad en los estados financieros.
N/A 5-Catastrófico N/A 5-Catastrófico D: Probable 5D-Catastrófico-Probable 5D-ALTO S.7.5.1.7Validar que los saldos registrados en la cuenta por pagar de proveedores sea correcto y consistente a través de conciliaciones mensuales del
saldo de la cuenta. Posteriormente se envía al Jefe de Contabilidad para su aprobación.X X N/A 3-Moderado N/A 3-Moderado- C: Posible 3C-Moderado-Posible 3C-MEDIO
Gestión Presupuestal
Gerente de Planeación y Control de
Gestión D.1.3.1
Inadecuada planeación financiera debido a: falta de definición de
lineamientos para la elaboración del presupuesto de la Compañía, falta de
definición de un calendario de actividades, errores por parte de las áreas
en las planillas presupuestales, lo cual puede generar toma de decisiones
inadecuada, desalineación de los objetivos de la compañía, pérdidas
económicas.
N/A 5-Catastrófico N/A N/A C: Posible 5C-Catastrófico-Posible 5C-ALTO D.1.3.1.3
Verificar que el presupuesto cargado en el sistema SAP corresponda con la versión final aprobada por la Junta Directiva.
En caso de requerir algún ajuste, estos son aprobados de acuerdo al Manual Delegación de Autoridad (ODC) y posteriormente son cargados por
el prestador de Servicios ( Experto en Proyecciones Financieras) , quién envía correo electrónico con el ajuste o modificación y se verifica
nuevamente el cargue del presupuesto en el sistema SAP.X X N/A 1-Leve N/A N/A B: Improbable 1B-Leve-Improbable 1B - BAJO
Gestión Presupuestal
Gerente de Planeación y Control de
Gestión D.1.3.3
Incumplimiento al presupuesto programado, debido a falta de ejecución
presupuestal o exceso de ejecución presupuestal, generando pérdidas de
recursos y excesos frente a lo presupuestado. N/A 5-Catastrófico N/A N/A C: Posible 5C-Catastrófico-Posible 5C-ALTO D.1.3.1.4
Monitorear las variaciones del presupuesto ejecutado vs lo planeado a fin de identificar variaciones significativas que impacten el desempeño
financiero futuro de la Compañía
En caso de identificar desviaciones o alertas, se generarán los planes de acción correspondientes para su seguimiento
X X N/A 1-Leve N/A N/A B: Improbable 1B-Leve-Improbable 1B - BAJO
Gestionar Logística Gerente Compras e Inventarios S.AB.050.020.8:
Eventos de fraude, corrupción, lavado de dinero y financiación del
terrorismo en el proceso de gestión logística, debido a: * recibir o
autorizar pagos de bienes y/o servicios que no cumplan con las condiciones
pactadas o que no se hubieren recibido, * fallas en la parametrización del
sistema, *pérdida o hurto de materiales, activos o residuos, * sub o
sobrevaloración de los inventarios de materiales; lo cual puede ocasionar
afectación a la reputación, inclusión en listas restrictivas o de control,
vinculación en procesos legales, pérdidas económicas y de competitividad.
N/A 6- Catastrófico N/A 4- Mayor E: Muy Probable 4E- Mayor Muy Probable 9 Alto S.AB.050.020.2.28
Controles automáticos atraves de los cuales:
a. El sistema SAP No permite efectuar entradas de mercancía por cantidades superiores a las pactadas en cada posición del pedido de
compras. (Esto no impide el ingreso parcial de cantidades inferiores a las pactadas en el pedido).
b. SAP no permite efectuar una entrada de mercancía si no se cuenta con una orden de pedido liberada, a excepción de los ingresos por ajuste
de inventario.
c. Al momento de registrar la entrada de mercancía SAP genera automáticamente el pasivo estimado.
d. El sistema no permite una salida de materiales si no existe una reserva liberada a excepción de las salidas por ajuste de inventario.
Anualmente, el Prestador de Servicios) área de inventarios valida esta configuración donde se evidencian las pantallas de verificación.
X X X X X X N/A N/A N/A 2- Menor B: Raro 2B - Menor Raro 30 Bajo
Gestionar Logística Gerente Compras e Inventarios S.AB.050.020.9
Sobre o subestimación de inventarios de la compañía, debido a: *
inadecuado o inoportuno registro de los movimientos de inventario
(entradas, salidas y traslados), * inadecuado proceso de revisión y conteo
de materiales una vez se genera una entrada y salida de los mismos, * no
contar con las aprobaciones adecuadas para realizar dichos movimientos,
* no contar con los soportes adecuados sobre los movimientos, *
movimientos ficticios registrados y * movimientos pendientes de registrar
con antigüedad; generando: interrupciones en la operación, pérdidas
económicas, reprocesos y daños reputacionales para la Organización.
N/A 6- Catastrófico N/A N/A E: Muy Probable6E- Catastrófico Muy
Probable9 Alto S.AB.050.020.3.29
Monitorear el adecuado cumplimiento del proceso de registro de ingresos y salidas de materiales realizados por el operador logístico, mediante
las visitas mensuales a las bodegas de acuerdo al cronograma de visitas del año.
La revisión se realiza por medio de una muestra aleatoria en el que se valida el material recibido (cuando se encuentra aún en bodega),
chequeo del material (cuando se encuentra aun en bodega), orden de compra, remisión del proveedor, etc., frente a las fechas registradas en
el sistema SAP. En señal de verificación, se deja un acta con los temas de la visita.
En caso de encontrar desviaciones se generaran planes de acción para cerrar las brechas y se realiza el respectivo seguimiento.
X X N/A 3- Moderado N/A N/A B: Raro 3B - Moderado Raro 25 Medio
Gestionar Logística Gerente Compras e Inventarios S.AB.050.020.9
Sobre o subestimación del valor de inventarios, debido a la inadecuada o
inoportuna realización de conteos periódicos y anuales, inadecuada o no
autorizada o fraudulenta realización de ajustes de inventarios generando
información contable errada, interrupciones en la operación, pérdidas
económicas, sobrecostos y daños reputacionales para la Organización.
N/A 6- Catastrófico N/A N/A C: Posible6C Catastrófico
Moderado - Posible6 Alto S.AB.050.030.3.30
Realizar tomas físicas mensuales de inventario considerando la metodología ABC. Para ello se selecciona una muestra aleatoria de materiales,
teniendo en cuenta aquellos materiales de mayor valor y que cuenten con alto índice de rotación y se verifica que las existencias registradas en
el sistema de información corresponda con las existencias físicas en la bodega y con base en el cronograma de viajes a las bodegas.
Al finalizar el año, debe haberse cubierto la totalidad del inventario existente del total de las bodegas
Las diferencias físicas son revisadas y ajustadas. El ajuste es aprobado por el nivel correspondiente de acuerdo con el MAD.
El operador logístico debe soportar la diferencia. Cuando no hay soporte:
1. Se genera una reposición o
2. Se genera un menor valor de la factura a pagar al OL.
Cenit realiza el ajuste en el sistema (Logística realiza el ajuste en el sistema SAP).
X X N/A 2- Menor N/A N/A A: Improbable2A - Menor
Improbable34 Bajo
Gestionar Logística Gerente Compras e Inventarios S.AB.050.020.9
Sobre o subestimación del valor de inventarios, debido a la inadecuada o
inoportuna realización de conteos periódicos y anuales, inadecuada o no
autorizada o fraudulenta realización de ajustes de inventarios generando
información contable errada, interrupciones en la operación, pérdidas
económicas, sobrecostos y daños reputacionales para la Organización.
N/A 6- Catastrófico N/A N/A C: Posible6C Catastrófico
Moderado - Posible6 Alto S.AB.050.030.3.31
Realizar la toma física anual de inventario al 100% de los materiales registrados en el sistema de información. Verificando que las existencias
registradas en el sistema de información correspondan a las existencias físicas en la bodega.
La información sobre los inventarios y las diferencias identificadas quedan registradas en el sistema de información SAP.
Las diferencias físicas son revisadas y ajustadas por el nivel adecuado de acuerdo con el MAD.
El operador logístico debe soportar la diferencia. Cuando no hay soporte:
1. Se genera una reposición o
2. Se genera un menor valor de la factura
Cenit realiza el ajuste en el sistema (Logística realiza el ajuste en el sistema SAP).
Adicionalmente, un tercero independiente al Operador Logístico y Cenit ejecuta el inventario anual para garantizar la independencia y
cumplimiento del proceso de toma física.
X X N/A 2- Menor N/A N/A A: Improbable2A - Menor
Improbable34 Bajo
Gestionar Logística Gerente Compras e Inventarios S.AB.050.020.10
Incorrecta o fraudulenta valoración de la provisión de deterioro de
inventarios, debido a errores en la base de información usada para su
calculo, inexistencia o incumplimiento de la políticas y procedimientos
definidos y fallas en la revisión del cálculo que genere errores en el reporte
financiero y afectación a la utilidad reportada.
N/A 6- Catastrófico N/A N/A C: Posible6C Catastrófico
Moderado - Posible6 Alto S.AB.050.040.4.32
Revisar y aprobar el calculo del valor de la provisión de deterioro de los inventarios de materiales de gastos y proyectos, revisando que las cifras
y los cálculos estén adecuadamente soportados y acorde a los índices de rotación, saldo o existencias en bodegas.
El cálculo incluye un análisis de la rotación de inventarios mediante el cual se identifican los inventarios de lento o nulo movimiento.
Posteriormente esta información es enviada por el área Logística e Inventarios a la Gerencia de Mantenimiento y Gerencia de Proyectos para
su revisión técnica.
Una vez el área técnica da su concepto sobre cuales son los materiales a ser provisionados, Logística e Inventarios realiza los cálculos
pertinentes y comunica al área contable para su verificación y registro.
X N/A 3- Moderado N/A N/A A: Improbable3A - Moderado
Improbable32 Bajo
Compras y Contratación Gte. Compras e Inventarios
S.2.1.1.
Inadecuado cumplimiento de los requisitos del proceso de compras y
contratación (fraude / corrupción), debido a: falta de lineamientos
autorizados sobre el proceso, incumplimiento de las disposiciones y niveles
de atribución definidos en el Manual de Delegación de Autoridad de la
Compañía; inadecuada segregación de funciones en el proceso;
inadecuada parametrización del sistema; fraccionamiento de las
solicitudes de compra para evitar los controles estipulados por la
compañía en relación con montos de aprobación; falta de la
documentación relacionada con los límites de atribución; incumplimiento
sobre los trámites definidos; incorrecta creación de proveedores;
desconocimiento de los contratos y fraude interno, direccionamiento de
proveedores, supeditaje gerencial, creación de necesidades ficticias,
manipulación de precios y cotizaciones, conflictos de interés y/o
independencia. Lo cual puede generar compras innecesarias, uso y/o
apropiación indebida de activos, afectación a la reputación de la
Compañía y pérdidas económicas.
N/A 6- Catastrófico N/A 6- Catastrófico F: Con Certeza6F - Catastrófico Con
certeza1 Muy Alto S.2.1.1.1
Revisar la minuta del contrato de acuerdo con las plantillas autorizadas por el área legal, durante la etapa precontractual.
En caso de presentarse ajustes en la minuta estándar, se envía correo electrónico al Gerente Legal Operativo para su revisión y aprobación.
Las modificaciones propuestas son revisadas y se ajustan en el modelo del área.
X X X X N/A 6- Catastrófico N/A 6- Catastrófico B: Raro 6B - Catastrófico Raro 11 Intermedio
Compras y Contratación Gte. Compras e Inventarios
S.2.1.1.
Inadecuado cumplimiento de los requisitos del proceso de compras y
contratación (fraude / corrupción), debido a: falta de lineamientos
autorizados sobre el proceso, incumplimiento de las disposiciones y niveles
de atribución definidos en el Manual de Delegación de Autoridad de la
Compañía; inadecuada segregación de funciones en el proceso;
inadecuada parametrización del sistema; fraccionamiento de las
solicitudes de compra para evitar los controles estipulados por la
compañía en relación con montos de aprobación; falta de la
documentación relacionada con los límites de atribución; incumplimiento
sobre los trámites definidos; incorrecta creación de proveedores;
desconocimiento de los contratos y fraude interno, direccionamiento de
proveedores, supeditaje gerencial, creación de necesidades ficticias,
manipulación de precios y cotizaciones, conflictos de interés y/o
independencia. Lo cual puede generar compras innecesarias, uso y/o
apropiación indebida de activos, afectación a la reputación de la
Compañía y pérdidas económicas.
N/A 6- Catastrófico N/A 6- Catastrófico F: Con Certeza6F - Catastrófico Con
certeza1 Muy Alto S.2.1.1.2
El sistema SAP automáticamente no permite:
1. Crear contratos (Bienes o Servicios) para proveedores que no se encuentren registrados en la maestro de acreedores y clientes.
2. Crear contratos (Bienes o Servicios) por montos mayores a los de las SOLPED.
3. Liberar SOLPED y contratos que no se ajusten a los niveles de autorización definidos en el MAD.
4. Liberar SOLPED que no cuente con un presupuesto disponible
5. Anular SOLPED ni Ordenes de Compra / Ordenes de Trabajo ya aprobadas en SAP.
6. Los permisos de SAP para liberar SOLPED y contratos no generan conflictos o inadecuada segregación funcional.
7. Asignar el mismo número de identificación (NIT/Cédula de Ciudadanía/Consecutivo) a más de un proveedor.
Anualmente el Gerente de Compras e inventarios valida esta configuración de acuerdo a la información enviada por el Especialista de Mejora
de procesos y en señal de revisión envía correo electrónico con el visto bueno. En caso de encontrar alguna irregularidad, el Gerente de
Compras e inventarios envía correo electrónico al área de TI para su resolución.
X X X X N/A 6- Catastrófico N/A 6- Catastrófico B: Raro 6B - Catastrófico Raro 11 Intermedio
Compras y Contratación Gte. Compras e Inventarios
S.2.1.1.
Inadecuado cumplimiento de los requisitos del proceso de compras
y contratación (fraude / corrupción), debido a: falta de
lineamientos autorizados sobre el proceso, incumplimiento de las
disposiciones y niveles de atribución definidos en el Manual de
Delegación de Autoridad de la Compañía; inadecuada segregación
de funciones en el proceso; inadecuada parametrización del
sistema; fraccionamiento de las solicitudes de compra para evitar
los controles estipulados por la compañía en relación con montos
de aprobación; falta de la documentación relacionada con los
límites de atribución; incumplimiento sobre los trámites definidos;
incorrecta creación de proveedores; desconocimiento de los
contratos y fraude interno, direccionamiento de proveedores,
supeditaje gerencial, creación de necesidades ficticias,
manipulación de precios y cotizaciones, conflictos de interés y/o
independencia. Lo cual puede generar compras innecesarias, uso
y/o apropiación indebida de activos, afectación a la reputación de
la Compañía y pérdidas económicas.
N/A 6- Catastrófico N/A 6- Catastrófico F: Con Certeza6F - Catastrófico Con
certeza1 Muy Alto S.2.1.1.3
Analizar las especificaciones técnicas que soportan la solicitud de contratación. En caso de tener claridad de la necesidad de contratación se da
inicio al proceso de contratación emitiendo la invitación a cotizar. En caso contrario, se interactúa con el área usuaria con el fin de entender la
necesidad.
X X X X N/A 6- Catastrófico N/A 6- Catastrófico B: Raro 6B - Catastrófico Raro 11 Intermedio
Compras y Contratación Gte. Compras e Inventarios
S.2.1.1.
Inadecuado cumplimiento de los requisitos del proceso de compras
y contratación (fraude / corrupción), debido a: falta de
lineamientos autorizados sobre el proceso, incumplimiento de las
disposiciones y niveles de atribución definidos en el Manual de
Delegación de Autoridad de la Compañía; inadecuada segregación
de funciones en el proceso; inadecuada parametrización del
sistema; fraccionamiento de las solicitudes de compra para evitar
los controles estipulados por la compañía en relación con montos
de aprobación; falta de la documentación relacionada con los
límites de atribución; incumplimiento sobre los trámites definidos;
incorrecta creación de proveedores; desconocimiento de los
contratos y fraude interno, direccionamiento de proveedores,
supeditaje gerencial, creación de necesidades ficticias,
manipulación de precios y cotizaciones, conflictos de interés y/o
independencia. Lo cual puede generar compras innecesarias, uso
y/o apropiación indebida de activos, afectación a la reputación de
la Compañía y pérdidas económicas.
N/A 6- Catastrófico N/A 6- Catastrófico F: Con Certeza6F - Catastrófico Con
certeza1 Muy Alto S.2.1.1.4
Revisa y liberar el contrato tanto en el sistema SAP como en el documento físico de acuerdo con los términos de la negociación, el cual cumple
las condiciones para ser formalizado.X X X N/A 6- Catastrófico N/A 6- Catastrófico B: Raro 6B - Catastrófico Raro 11 Intermedio
Compras y Contratación Gte. Compras e Inventarios
S.2.1.1.
Inadecuado cumplimiento de los requisitos del proceso de compras
y contratación (fraude / corrupción), debido a: falta de
lineamientos autorizados sobre el proceso, incumplimiento de las
disposiciones y niveles de atribución definidos en el Manual de
Delegación de Autoridad de la Compañía; inadecuada segregación
de funciones en el proceso; inadecuada parametrización del
sistema; fraccionamiento de las solicitudes de compra para evitar
los controles estipulados por la compañía en relación con montos
de aprobación; falta de la documentación relacionada con los
límites de atribución; incumplimiento sobre los trámites definidos;
incorrecta creación de proveedores; desconocimiento de los
contratos y fraude interno, direccionamiento de proveedores,
supeditaje gerencial, creación de necesidades ficticias,
manipulación de precios y cotizaciones, conflictos de interés y/o
independencia. Lo cual puede generar compras innecesarias, uso
y/o apropiación indebida de activos, afectación a la reputación de
la Compañía y pérdidas económicas.
N/A 6- Catastrófico N/A 6- Catastrófico F: Con Certeza6F - Catastrófico Con
certeza1 Muy Alto S.2.1.1.5
Verificar que las pólizas entregadas por el contratista amparen adecuadamente a la Compañía según las condiciones establecidas en el
contrato.X X X N/A 6- Catastrófico N/A 6- Catastrófico B: Raro 6B - Catastrófico Raro 11 Intermedio
Compras y Contratación Gerente de Gestión de Contratos S.2.1.2.
Inadecuada administración de contratos incluyendo el favorecimiento al
contratista durante su ejecución debido a: ausencia de lineamientos para
la administración de contratos, demoras en el inicio de la ejecución del
contrato, fallas en el seguimiento de las obligaciones del contratista,
colusión entre el administrador o el supervisor técnico y el contratista y
errores en la liquidación del contrato que ocasionen sobrecostos,
interrupciones en las operaciones de la compañía, reclamos y afectación
reputacional.
N/A 6-Catastrófico N/A 4-Mayor C: Posible 6C -Catastrófico Posible 6 Alto S.2.1.2.6Verificar que la información del contrato firmado sea consistente con los datos que se encuentran en el sistema SAP (Fechas, firmas, anexos
pólizas aprobadas, modificaciones contractuales).X N/A 3 -Moderado N/A 3 -Moderado B: Raro 3B 25 Medio
Compras y Contratación Gerente de Gestión de Contratos S.2.1.2.
Inadecuada administración de contratos incluyendo el favorecimiento al
contratista durante su ejecución debido a: ausencia de lineamientos para
la administración de contratos, demoras en el inicio de la ejecución del
contrato, fallas en el seguimiento de las obligaciones del contratista,
colusión entre el administrador o el supervisor técnico y el contratista y
errores en la liquidación del contrato que ocasionen sobrecostos,
interrupciones en las operaciones de la compañía, reclamos y afectación
reputacional.
N/A 6-Catastrófico N/A 4-Mayor C: Posible 6C -Catastrófico Posible 6 Alto S.2.1.2.7 Revisar y aprobar los planes de carácter administrativo establecidos en el contrato u orden de compra. X N/A 3 -Moderado N/A 3 -Moderado B: Raro 3B 25 Medio
Compras y Contratación Gerente de Gestión de Contratos S.2.1.2.
Inadecuada administración de contratos incluyendo el favorecimiento al
contratista durante su ejecución debido a: ausencia de lineamientos para
la administración de contratos, demoras en el inicio de la ejecución del
contrato, fallas en el seguimiento de las obligaciones del contratista,
colusión entre el administrador o el supervisor técnico y el contratista y
errores en la liquidación del contrato que ocasionen sobrecostos,
interrupciones en las operaciones de la compañía, reclamos y afectación
reputacional.
N/A 6-Catastrófico N/A 4-Mayor C: Posible 6C -Catastrófico Posible 6 Alto S.2.1.2.8 Revisar, consolidar y aprobar los planes de carácter técnico establecidos en el contrato (HSE, seguridad física, RSE, PDT, y demás que apliquen). X N/A 3 -Moderado N/A 3 -Moderado B: Raro 3B 25 Medio
Compras y Contratación Gerente de Gestión de Contratos S.2.1.2.
Inadecuada administración de contratos incluyendo el favorecimiento al
contratista durante su ejecución debido a: ausencia de lineamientos para
la administración de contratos, demoras en el inicio de la ejecución del
contrato, fallas en el seguimiento de las obligaciones del contratista,
colusión entre el administrador o el supervisor técnico y el contratista y
errores en la liquidación del contrato que ocasionen sobrecostos,
interrupciones en las operaciones de la compañía, reclamos y afectación
reputacional.
N/A 6-Catastrófico N/A 4-Mayor C: Posible 6C -Catastrófico Posible 6 Alto S.2.1.2.9Evaluar el desempeño del proveedor y/o contratista con base en los criterios de evaluación definidos en el la "Guía de Evaluación de
Desempeño " o documento equivalente que aplique para el respectivo contrato con el fin de registrar los resultados de desempeño.X X N/A 3 -Moderado N/A 3 -Moderado B: Raro 3B 25 Medio
Compras y Contratación Gerente de Gestión de Contratos S.2.1.2.
Inadecuada administración de contratos incluyendo el favorecimiento al
contratista durante su ejecución debido a: ausencia de lineamientos para
la administración de contratos, demoras en el inicio de la ejecución del
contrato, fallas en el seguimiento de las obligaciones del contratista,
colusión entre el administrador o el supervisor técnico y el contratista y
errores en la liquidación del contrato que ocasionen sobrecostos,
interrupciones en las operaciones de la compañía, reclamos y afectación
reputacional.
N/A 6-Catastrófico N/A 4-Mayor C: Posible 6C -Catastrófico Posible 6 Alto S.2.1.2.10Monitorear la ejecución del contrato relacionada con el seguimiento técnico y administrativo del mismo, identificando cumplimiento de fechas,
entregables, planeación y presupuesto.X X N/A 3 -Moderado N/A 3 -Moderado B: Raro 3B 25 Medio
Compras y Contratación Gerente de Gestión de Contratos S.2.1.2.
Inadecuada administración de contratos incluyendo el favorecimiento al
contratista durante su ejecución debido a: ausencia de lineamientos para
la administración de contratos, demoras en el inicio de la ejecución del
contrato, fallas en el seguimiento de las obligaciones del contratista,
colusión entre el administrador o el supervisor técnico y el contratista y
errores en la liquidación del contrato que ocasionen sobrecostos,
interrupciones en las operaciones de la compañía, reclamos y afectación
reputacional.
N/A 6-Catastrófico N/A 4-Mayor C: Posible 6C -Catastrófico Posible 6 Alto S.2.1.2.11
Aprobar la modificaciones contractuales previamente analizadas y sustentadas por el Administrador y el Supervisor Técnico del contrato.
El Administrador presenta al área de planeación la necesidad para su aprobación.
Nota: si se niega la solicitud se inicia una nueva solicitud para un nuevo contrato.
X X N/A 3 -Moderado N/A 3 -Moderado B: Raro 3B 25 Medio
Compras y Contratación Gerente de Gestión de Contratos S.2.1.2.
Inadecuada administración de contratos incluyendo el favorecimiento al
contratista durante su ejecución debido a: ausencia de lineamientos para
la administración de contratos, demoras en el inicio de la ejecución del
contrato, fallas en el seguimiento de las obligaciones del contratista,
colusión entre el administrador o el supervisor técnico y el contratista y
errores en la liquidación del contrato que ocasionen sobrecostos,
interrupciones en las operaciones de la compañía, reclamos y afectación
reputacional.
N/A 6-Catastrófico N/A 4-Mayor C: Posible 6C -Catastrófico Posible 6 Alto S.2.1.2.12Verificar el cumplimiento de las actividades de cierre y/o liquidación de contratos, mediante la elaboración y aprobación del Acta de Liquidación
del Contrato, así como los documentos soporte que apliquen (soportes y anexos del acta) según el tipo de contrato. X X X X N/A 3 -Moderado N/A 3 -Moderado B: Raro 3B 25 Medio
Compras y Contratación Gerente de Gestión de Contratos S.2.1.3.
Recibir bienes y/o servicios ficticios, no autorizados o que no correspondan
con lo acordado (orden de compra y/o solicitud de servicio pactado en el
contrato) durante la ejecución del contrato en cuanto a valores,
cantidades, tiempos, calidad, entre otros, debido a un inadecuado
seguimiento a la ejecución del contrato, que puedan generar posibles
conflictos de segregación funcional y/o colusión con el contratista que
generan afectación económica, reputacional, sobrecostos y reprocesos.
N/A 6-Catastrófico N/A 4-Mayor C: Posible 6C -Catastrófico Posible 6 Alto S.2.1.2.13
Revisar que el pedido está de acuerdo con las condiciones definidas en el contrato y liberarlo en el sistema SAP.
En caso de requerir ajustes, se envía la notificación al administrador del contrato.
X X X X X X X N/A 3 -Moderado N/A 3 -Moderado A: Improbable 3A 32 Bajo
Compras y Contratación Gerente de Gestión de Contratos S.2.1.3.
Recibir bienes y/o servicios ficticios, no autorizados o que no correspondan
con lo acordado (orden de compra y/o solicitud de servicio pactado en el
contrato) durante la ejecución del contrato en cuanto a valores,
cantidades, tiempos, calidad, entre otros, debido a un inadecuado
seguimiento a la ejecución del contrato, que puedan generar posibles
conflictos de segregación funcional y/o colusión con el contratista que
generan afectación económica, reputacional, sobrecostos y reprocesos.
N/A 6-Catastrófico N/A 4-Mayor C: Posible 6C -Catastrófico Posible 6 AltoS.2.1.2.14
Verificar el cumplimiento de las obligaciones contractuales pactadas, realizando seguimiento a los plazos de entrega, ejecución de las obras y/o
cantidad y calidad de los bienes o servicios (según el caso) haciendo uso de las Actas de Recibo de Cantidades firmadas por el Supervisor Técnico
y el Contratista, como insumo para registro de las entradas de servicios en SAP y la liberación de la hoja de entrada correspondiente.
En caso de identificar variables inconsistentes de avance, desviaciones y/o alertas que se presente durante la ejecución del contrato, se debe
tomar las acciones correspondientes para asegurar el cierre, corrección y/o ajuste de desviaciones.
X X X X N/A 3 -Moderado N/A 3 -Moderado A: Improbable 3A 32 Bajo
Compras y Contratación Gte. Compras e Inventarios
S.2.1.1.
Inadecuado cumplimiento de los requisitos del proceso de compras
y contratación (fraude / corrupción), debido a: falta de
lineamientos autorizados sobre el proceso, incumplimiento de las
disposiciones y niveles de atribución definidos en el Manual de
Delegación de Autoridad de la Compañía; inadecuada segregación
de funciones en el proceso; inadecuada parametrización del
sistema; fraccionamiento de las solicitudes de compra para evitar
los controles estipulados por la compañía en relación con montos
de aprobación; falta de la documentación relacionada con los
límites de atribución; incumplimiento sobre los trámites definidos;
incorrecta creación de proveedores; desconocimiento de los
contratos y fraude interno, direccionamiento de proveedores,
supeditaje gerencial, creación de necesidades ficticias,
manipulación de precios y cotizaciones, conflictos de interés y/o
independencia. Lo cual puede generar compras innecesarias, uso
y/o apropiación indebida de activos, afectación a la reputación de
la Compañía y pérdidas económicas.
N/A 6- Catastrófico N/A 6- Catastrófico F: Con Certeza6F - Catastrófico Con
certeza1 Muy Alto S.2.1.1.15
1. Verificar que los proponentes que participan en el proceso de selección cumplen con los requisitos financieros, técnicos y reputacionales
(revisión listas restrictivas) para la ejecución del contrato a través de los siguientes documentos:
- Reporte del análisis y viabilidad financiera del proveedor para los contratos cuyo monto sea superior al autorizado por el Comité de Compras y
Contratación.
- Reporte del análisis del LA/FT (Listas restrictivas)
2. Antes de la firma del contrato se verificará nuevamente en listas restrictivas (OFAC y Contraloría) de acuerdo a los establecido en el manual
de cumplimiento.
3. Para proveedores activos con contratos en ejecución se realiza una validación al inicio del contrato y al menos una vez cada año.
X X X X X X X N/A 6- Catastrófico N/A 6- Catastrófico B: Raro 6B - Catastrófico Raro 11 Intermedio
Compras y Contratación Gte. Compras e Inventarios
S.2.1.1.
Inadecuado cumplimiento de los requisitos del proceso de compras
y contratación (fraude / corrupción), debido a: falta de
lineamientos autorizados sobre el proceso, incumplimiento de las
disposiciones y niveles de atribución definidos en el Manual de
Delegación de Autoridad de la Compañía; inadecuada segregación
de funciones en el proceso; inadecuada parametrización del
sistema; fraccionamiento de las solicitudes de compra para evitar
los controles estipulados por la compañía en relación con montos
de aprobación; falta de la documentación relacionada con los
límites de atribución; incumplimiento sobre los trámites definidos;
incorrecta creación de proveedores; desconocimiento de los
contratos y fraude interno, direccionamiento de proveedores,
supeditaje gerencial, creación de necesidades ficticias,
manipulación de precios y cotizaciones, conflictos de interés y/o
independencia. Lo cual puede generar compras innecesarias, uso
y/o apropiación indebida de activos, afectación a la reputación de
la Compañía y pérdidas económicas.
N/A 6- Catastrófico N/A 6- Catastrófico F: Con Certeza6F - Catastrófico Con
certeza1 Muy Alto S.2.1.1.16
Validar que el formato de creación de proveedores y sus documentos anexos enviados por el área de Compras e Inventarios estén de acuerdo
con el procedimiento de creación de proveedores establecido por la Compañía y tenga las firmas de autorización así como el visto bueno de las
listas restrictivas; adicionalmente se firma el check list de revisión de documentos.
X X X X X X X N/A 6- Catastrófico N/A 6- Catastrófico B: Raro 6B - Catastrófico Raro 11 Intermedio
Inmobiliaria Gestión Inmobiliaria S.6.2.1
Fraude y/o corrupción durante el proceso de adquisición de
procesos inmobiliarios, debido: Falta de Lineamientos para la
negociación, pagos excesivos, incidencia en el concepto de peritos,
dádivas ilegales, uso de información privilegiada, errores
intencionales en la aplicación de la metodología, lo cual generaría,
afectación reputacional y pérdidas económicas.
N/A1
LeveN/A
4
MayorD: Probable 4D-Mayor-Probable 4D-ALTO S.6.2.1.1
Revisión de los cumplimientos técnicos, económicos y jurídicos de los acuerdos de indemnización para que cuente con toda la documentación
soporte de la adquisición del derecho y sean consistentes con las metodologías de indemnización de daños y servidumbres.
En caso de encontrar inconsistencias se envía correo electrónico a los gestores para su análisis y ajuste por parte del área Inmobiliaria.
X X X X N/A2
MenorN/A
4Mayor
C: Posible 4C-Mayor- Posible 4C-INTERMEDIO
Inmobiliaria Gestión Inmobiliaria S.6.2.3
Involucrarse en actividades asociadas al lavado de activos y/o
Financiación del terrorismo durante el proceso de adquisición de
derechos inmobiliarios debido a la suscripción de acuerdos de
indemnización en predios y con terceros vinculados con temas de
LA/FA, ausencia de verificación en listas restrictivas de las
contrapartes y estudios jurídicos de los bienes a adquirir y los
titulares del derecho, lo que puede generar pérdidas económicas y
afectación reputacional para Compañía.
N/A1
LeveN/A
4
MayorD: Probable 4D-Mayor-Probable 4D-ALTO S.6.2.3.3
Revisar los terceros en la lista restrictiva en el proceso de adquisición de derechos inmobiliarios, tomando un pantallazo de la consulta.X X X X N/A
2
MenorN/A
5
Catastrófico B: Improbable
5B-Catastrófico-
Improbable5B-INTERMEDIO
Inmobiliaria Gestión Inmobiliaria S.6.2.4
Inadecuada constitución de los derechos inmobiliarios, debido a,
errores catastrales, falta y/o errores en el estudio de títulos,
mutación de los predios, lo cual puede derivar en demandas,
imposibilidad de uso de los derechos inmobiliarios para la
operación de la Compañía.
N/A1
LeveN/A
4
MayorD: Probable 4D-Mayor-Probable 4D-ALTO S.6.2.4.4
Revisión de los cumplimientos técnicos y jurídicos de los acuerdos de indemnización por servidumbres para que cuente con toda la
documentación soporte de la adquisición del derecho.X X X X X N/A
2Menor
N/A5
Catastrófico B: Improbable
5B-Catastrófico-Improbable
5B-INTERMEDIO
PLANES DE ACCIÓN
Proceso Dirección Gerencia Tipo de Deficiencia Código de control Control GAP Acción (es) de MejoraResponsable
(Cargo)Fechas Plan de Acción Seguimiento
Responsable del
Seguimiento
(Dueño del proceso)
Observaciones
SIR&CO E.1.1. Gobierno de Control Secretaría General de ODC/ Gerencia GeneralSecretaría General de ODC/ Gerencia
GeneralControl - Alto E.1.1.2.1
Aprobar por la Junta directiva la adhesión a las siguientes políticas de la Casa Matriz y políticas corporativas de ODC:
1. Adhesión:
1.1. Código de Ética de Casa Matriz, que contiene un conjunto de declaraciones explícitas de comportamientos y disyuntivas éticas, además de los
lineamientos de regalos, cortesías, atenciones y suscripción de patrocinios.
1.2.El procedimiento de gestión de denuncias de la Casa Matriz, especificando las excepciones en las actividades a realizar para los casos que no aplique por
la estructura organizacional de ODC.
1.3. El Manual de Cumplimiento del Prestador de Servicios administrativos, que establece las directrices y lineamientos generales para garantizar el
cumplimiento de los mecanismos de identificación, prevención, detección, reporte, monitoreo y respuesta ante actos de corrupción, fraude, lavado de
activos y/o financiación del terrorismo, que puedan presentarse en ODC, especificando las excepciones en las actividades a realizar en los casos que no
aplique por la estructura organizacional de ODC.
2.Aprobación políticas de ODC:
2.1. el Manual para la Prevención del Lavado de Activos y la Financiación del Terrorismo y sus modificaciones que establece directrices y lineamientos
generales para la prevención del lavado de activos y la financiación del terrorismo LA/FT, aplicables a cada una de las contrapartes con las cuales Oleoducto
de Colombia S.A, tiene vínculos de negocios, contractuales o jurídicos que involucren un factor de riesgo de LA/FT. El Manual para la Prevención del Lavado
de Activos y la Financiación del Terrorismo es administrado (mantenido, divulgado) por el Oficial de Ética y Cumplimiento de ODC.
Divulgar los cambios en las políticas adheridas y propias de ODC a los empleados y prestadores de servicios por correo electrónico.
Falta de un procedimiento para la gestión de denuncias o la aprobación de la adherencia al documento definido
por la Casa Matriz para el tratamiento de los casos éticos.
Falta de directrices formales para la gestión del programa de cumplimiento de ODC o la aprobación de la
adherencia al Manual de Cumplimiento del prestador de servicio o casa matriz.
Falta de un documento normativo (Código de Buen Gobierno o en su lugar Reglamento de Junta Directiva) en
donde se establezcan las responsabilidades de supervisión del sistema de control interno por parte de la Junta
Directiva o sus comités, así como los lineamientos para la designación de miembros competentes e
independientes y las actividades diseñadas para evaluar la gestión de supervisión por parte de la Junta
Directiva.
Aprobar por parte de la Junta Directiva la adherencia a los siguientes documentos normativos:
1.El procedimiento de gestión de denuncias de la Casa Matriz, especificando las excepciones en las actividades
a realizar para los casos que no aplique por la estructura organizacional de ODC.
2. El Manual de Cumplimiento del Prestador de Servicios , especificando las excepciones en las actividades a
realizar en los casos que no aplique por la estructura organizacional de ODC.
Diseñar y someter aprobación un reglamento de la Junta Directiva en donde se definan las responsabilidades
de supervisión en relación con el sistema de control interno de ODC, así como los lineamientos para la
designación de miembros competentes e independientes y las actividades diseñadas para evaluar la gestión de
supervisión por parte de la Junta Directiva.
Gerencia General ODC 01/08/2017 31/12/2017
SIR&CO E.1.1. Gobierno de Control Secretaría General de ODC/ Gerencia GeneralSecretaría General de ODC/ Gerencia
GeneralControl - Alto E.1.1.2.4
Aprobar y monitorear el cumplimiento al plan/programa de capacitación para los miembros de Junta Directiva, empleados y contratistas en temas
relacionados con:
1. Código de Ética que indica los lineamientos en materia de regalos y atenciones, suscripción de patrocinios, entre otros.
2. Línea ética
3. Manual de Cumplimiento del Prestador de Servicios administrativos.
Socializar los canales diseñados por la Compañía para recibir denuncias confidenciales de empleados, miembros de Junta Directiva y terceros de acuerdo
con el dicho plan/programa de capacitación
El control relacionado con el programa de capacitación de temas éticos a los empleados, miembros de Junta
Directiva y contratistas se encuentra pendiente de diseño e implementación.
Diseñar el programa de capacitación de temas éticos a los empleados, miembros de Junta Directiva y
contratistas y someterlo aprobación para su ejecución.Gerencia General ODC 01/08/2017 31/12/2017
SIR&CO E.1.1. Gobierno de Control Secretaría General de ODC/ Gerencia GeneralSecretaría General de ODC/ Gerencia
GeneralControl - Alto Aplica para riesgos Todos los controles de Gobierno de Control. La valoración de los riesgos está en proceso de revisión Valorar los riesgos residuales del proceso de Gobierno de control
Gerencia General ODC /
Cenit 31/12/2017
SIR&CO E.3.1.
MonitoreoAuditoría Interna Auditoría Interna Control - Alto E.3.1.1.1
1. Aprobar el Reglamento de Comité Financiero y de Auditoría como apoyo a la Junta Directiva para supervisar el Sistema de Control Interno.
2. Aprobar el Manual de Auditoría y el Estatuto de Auditoría Interna que establece los lineamientos para la ejecución de la función de la auditoría Interna,
el cual incluye las normas sobre la independencia y objetividad, actitud y cuidado profesional atendiendo la definición de competencias del equipo de
auditoría y plan de capacitación así como las normas de desempeño para la ejecución de trabajos de auditoría interna y la supervisión de actividades.
3.Declarar anualmente al Comité Financiero y Auditoría, la independencia de la función de Auditoria Interna. Esta declaración queda debidamente
documentada en las actas del comité.
El reglamento del Comité Financiero y de Auditoría se encuentra desactualizado dado que no incluye la
totalidad de funciones definidas en el acta No.13 del 14 de abril de 2016 de esté órgano.
Adicionalmente la función definida en dicha acta relacionada con "apoyar y asesorar a la administración en
identificación de riesgos " no cubre la totalidad del proceso de gestión de riesgos y controles.
Actualizar el reglamento del Comité Financiero y de Auditoría con las funciones definidas en el acta No.13 del
14 de abril de 2016 de este órgano.
Modificar la función definida en dicha acta "apoyar y asesorar a la administración en identificación de riesgos "
por Supervisar el proceso de gestión de riesgos y controles.
Líder de Auditoría Interna 31/12/2017
SIR&CO E.3.1.
MonitoreoAuditoría Interna Auditoría Interna Control - Alto E.3.1.1.1
1. Aprobar el Reglamento de Comité Financiero y de Auditoría como apoyo a la Junta Directiva para supervisar el Sistema de Control Interno.
2. Aprobar el Manual de Auditoría y el Estatuto de Auditoría Interna que establece los lineamientos para la ejecución de la función de la auditoría Interna,
el cual incluye las normas sobre la independencia y objetividad, actitud y cuidado profesional atendiendo la definición de competencias del equipo de
auditoría y plan de capacitación así como las normas de desempeño para la ejecución de trabajos de auditoría interna y la supervisión de actividades.
3.Declarar anualmente al Comité Financiero y Auditoría, la independencia de la función de Auditoria Interna. Esta declaración queda debidamente
documentada en las actas del comité.
1.El Manual de Auditoría Interna se encuentra desactualizado o no considera:
-Incluye funciones que no son ejecutadas por la Función de Auditoría como: Gestión de riesgos, cumplimiento,
legal, seguridad, ética y auditoría externa medio ambiente.
-No establece procedimientos de supervisión del trabajo en sus diferentes etapas.
2. No se cuenta con un código de ética de la función.
3. Auditoría Interna es liderada por un auditor en misión contratado a través de una empresa temporal, no
cuenta con experiencia como director ejecutivo de auditoría y posee poca experiencia en riesgos de fraude y
tecnología de la información.
4.No se contó con un plan de desarrollo y capacitación para el 2016 ni se tiene programada capacitación para
2017.
5.El auditor interno no ha ratificado ante el Comité de Auditoría la independencia de la actividad de la
auditoría interna.
6.No se firma una confirmación o declaración de independencia de los miembros del equipo para los trabajos
individuales.
1.Actualizar el manual de auditoría interna en cuanto a:
1.1.Incluir todos los aspectos indicados en las normas de auditoría y desincorporar aquellos que afectan su
cumplimiento; asegurar su aprobación por parte del Comité de Auditoría y la socialización a las partes
interesadas.
1.2.Diseñar y aplicar mecanismos de supervisión a trabajos de auditorías contratadas.
1.3.Crear el Estatuto de Auditoría Interna en documento independiente del Manual de Auditoría Interna.
2.Implementar el código de ética e incluirlo en el Estatuto de Auditoría Interna.
Aprobar el Estatuto y de la modificación del Manual por Comité de Auditoría y Junta Directiva.
Implementar el formato de declaración de independencia de auditores.
3. y 4. Diseñar y ejecutar un plan de capacitación que permita a los miembros de la función fortalecer sus
conocimientos y competencias de acuerdo las necesidades identificadas.
5.Efectuar anualmente ratificación de independencia de la actividad ante el Comité de Auditoría.
6.Implementar formato de declaración de independencia de auditores y asegurar su diligenciamiento previo al
inicio de los trabajos de aseguramiento y consultoría.
Líder de Auditoría Interna
01/07/2017 1. 30/11/2017
2. 30/11/2017
SIR&CO E.3.1.
MonitoreoAuditoría Interna Auditoría Interna Control - Alto E.3.1.1.2
1. Aprobar el Plan General de Auditoría (PGA) presentado por la Auditoría interna basado en el Manual de Auditoría Interna.
2.Monitorear la efectividad del sistema de control interno por medio de la presentación trimestral de la Auditoría Interna y el prestador de servicios
(Gerencia de Aseguramiento) al Comité Financiero y de Auditoría y Junta Directiva de ODC que incluye:
1. El avance en el cumplimiento del PGA aprobado
2. Los hallazgos de las auditorías considerados con riesgo o criticidad alta
3. Seguimiento a la implementación de planes de acción de los hallazgos críticos (Cuando aplique).
4.Seguimiento al proceso de gestión de riesgos y controles, presentando los riesgos críticos y eventos significativos que se materialicen (si aplica)
En caso de recomendaciones y/o ajustes por parte del Comité de Auditoría PGA la auditoría interna generará los cambios y presentará en el comité el
seguimiento de los mismos.
1.La metodología para la construcción del PGA (Plan General de Auditoría) requiere ser fortalecida
documentalmente, soportando de forma mas detallada el universo de auditoría, TBGs y presupuestos de capex
y opex asociados a cada proceso, resultado de auditorías anteriores, rotación de énfasis y resultados de trabajo
de ética y cumplimiento.
2.Modificaciones del PGA no autorizadas por el Comité de Auditoría: Inclusión de auditoría DRA y combustible y
Exclusión auditoría a Fundación Oleoductos de Colombia.
3.No se sometió a aprobación del Comité de Auditoría, los recursos a ser utilizados para desarrollar el PGA
2016.
Inoportunidad en la construcción del PGA 2017.
4.Inoportunidad en la construcción del PGA 2017.
1.Implementar la metodología ECP para construcción del PGA 2018 y años posteriores.
2.Presentar para autorización por parte del Comité de Auditoría las modificaciones que se realicen al PGA.
Para el PGA 2018 y años posteriores se presentarán para aprobación del Comité de Auditoría los recursos
requeridos para su ejecución.
3.Aprobación del PGA por Comité de Auditoría.
4.Construcción del PGA 2018 y años posteriores durante el último trimestre de cada año.
Líder de Auditoría Interna
1. 01/10/2017
2. 01/07/2017
3. 01/12/2017
4. 01/10/2017
1. Permanente
2. Permanente
3. 31/12/Cada año
4. 31/12/Cada año
SIR&CO E.2.1.
Evaluación de Riesgos
Prestador del Servicio (Dirección de Asuntos
Corporativos y Sostenibilidad)Gerencia de Aseguramiento Control - Alto E.2.1.1.1
Aprobar la política y herramienta de gestión riesgos (Matriz RAM) que establece las directrices para la administración de los riesgos y los controles de ODC,
así como la adhesión a la Guía de Gestión de Riesgos del prestador de Servicios.
Posteriormente se realiza la divulgación por parte del Gerente General de ODC por medio de correo electrónico a los funcionarios internos (empleados) y
prestadores de servicios.
La política de gestión de riesgos de ODC se encuentra desactualizada.
Falta de un procedimiento o guía que defina el proceso de gestión de riesgos o en su lugar la aprobación de la
adhesión de la guía de gestión de riesgos del prestador de servicios.
Actualizar la política de gestión de riesgos de acuerdo a la realidad operativa y según los responsables y
actividades definidas en el contrato de prestación de servicios.
Aprobar por parte de la Junta Directiva la adhesión de la guía de gestión de riesgos del prestador de servicios y
especificar las excepciones que den lugar de acuerdo con la estructura organizacional de ODC.
Gerencia General ODC
Prestador de Servicio
(Gerencia de
Aseguramiento).
Junta Directiva de ODC.
14/09/2017
SIR&CO S.7.10 Gestión y Capitalización de Activos Dirección General de Operaciones Dirección Técnica de Activos Control - Alto S.7.10.5.10
Revisar y aprobar el reporte de las órdenes de trabajo correspondientes a mantenimientos a capitalizar en el mes y a transferir a activos en curso de
acuerdo a los criterios definidos bajo IFRS, el cual es enviado por el área de planeación de mantenimiento.
En caso de identificar diferencias, se remite nuevamente al área de planeación de mantenimiento para su justificación.
Posteriormente se envía a la Coordinación de Activos Fijos para su registro.
El proceso de mantenimiento está en estabilización y formalización Asegurar que las órdenes de trabajo ya ejecutadas queden clasificadas como capitalizables o no de acuerdo a
la norma IFRS
Gerente de Planeación y
Programación de
Mantenimiento ( Prestador
de Servicios)
30/09/2017 N/A N/A N/A
De acuerdo al seguimiento realizado en diciembre, se
identificó que este control no aplica para ODC porque
el servicio es prestado por ECOPETROL.
SIR&CO S.7.10 Gestión y Capitalización de Activos Dirección General de Operaciones Dirección Técnica de Activos Control - Alto S.7.10.5.10
Revisar y aprobar el reporte de las órdenes de trabajo correspondientes a mantenimientos a capitalizar en el mes y a transferir a activos en curso de
acuerdo a los criterios definidos bajo IFRS, el cual es enviado por el área de planeación de mantenimiento.
En caso de identificar diferencias, se remite nuevamente al área de planeación de mantenimiento para su justificación.
Posteriormente se envía a la Coordinación de Activos Fijos para su registro.
El proceso de mantenimiento está en estabilización y formalización Definir el umbral de revisión por parte del a Gerencia de planeación y programación de mantenimiento para la
revisión de las órdenes de trabajo capitalizables y no capitalizable.
Gerente de Planeación y
Programación de
Mantenimiento ( Prestador
de Servicios)
30/09/2017 N/A N/A
De acuerdo al seguimiento realizado en diciembre, se
identificó que este control no aplica para ODC porque
el servicio es prestado por ECOPETROL.
SIR&CO S.7.10 Gestión y Capitalización de Activos Dirección General de Operaciones Dirección Técnica de Activos Control - Alto S.7.10.5.10
Revisar y aprobar el reporte de las órdenes de trabajo correspondientes a mantenimientos a capitalizar en el mes y a transferir a activos en curso de
acuerdo a los criterios definidos bajo IFRS, el cual es enviado por el área de planeación de mantenimiento.
En caso de identificar diferencias, se remite nuevamente al área de planeación de mantenimiento para su justificación.
Posteriormente se envía a la Coordinación de Activos Fijos para su registro.
El proceso de mantenimiento está en estabilización y formalización c. Inclusión de un control de Monitoreo aleatorio de las OT no capitalizables y revisar su nivel de error en la
clasificación de acuerdo a la información enviada por el área de Planeación de Mantenimiento.
Gerente de Planeación y
Programación de
Mantenimiento ( Prestador
de Servicios)
30/09/2017 N/A N/A
De acuerdo al seguimiento realizado en diciembre, se
identificó que este control no aplica para ODC porque
el servicio es prestado por ECOPETROL.
GR&C S.1.1.Cierre Contable, Preparación y
Revelación de Estados Financieros Dirección Estrategia y Finanzas
Prestador de Servicios (Gerencia
Finanzas)Control - Alto S.1.1.5.6.
Validar que los totales del patrimonio incluida la utilidad del ejercicio cargada en hyperion correspondan al cierre contable del periodo de acuerdo a la
información cargada por el prestador de servicios(outsourcing) , por medio de la pantalla de reporte de Hyperion que valida los saldos contra el balance.
En caso de ajustes o diferencias se envía correo electrónico al Outsourcing para ajustar o corregir o justificar.
Para los cambios posteriores al cierre contable, el Prestador de Servicios (Jefe de Contabilidad) envía correo electrónico a Casa Matriz con los ajustes para
efectos de consolidación y cargue en Hyperión.
2. Revisión de la conciliación de las cifras SAP frente al reporte de Hyperion ( día 15 posterior al cierre) o cuando ocurra ajuste posterior al cierre . En caso
de encontrar diferencias, el Prestador de Servicios (Jefe de Contabilidad) envía correo electrónico a Casa Matriz para su gestión y respuesta. ( si aplica
ajustes posteriores al cierre).
Nota: Una vez cargadas las cifras de los EEFF en Hyperion no se permite realizar ajuste en la aplicación por parte de Cenit.
La conciliación de las cifras de SAP frente al reporte de Hyperion está en proceso de formalización para ODC. Ejecutar la conciliación de las cifras de SAP y hyperion posterior la cierre. Prestador de Servicios (Jefe
de Contabilidad) 30/10/2017 15/11/2017
GR&C S.1.4. Cálculo DD&ADirección Estrategia y Finanzas
Prestador de Servicios (Gerencia
Finanzas)Diseño -Medio S.1.4.2.1.
Revisar la prueba del cálculo de la depreciación de los activos de Oleoducto de Colombia S.A., mediante la validación de los datos de la depreciación del
mes frente a los valores registrados en la contabilidad de acuerdo a la prueba del cálculo realizada por el Outsourcing Contable Analista y que es enviada
por correo electrónico al Outsourcing Contable Supervisor.
En señal de revisión de la prueba del cálculo, el Prestador de Servicios (Outsourcing - Supervisor de Activos Fijos) envía correo electrónico al Prestador de
Servicios (analista de activos fijos);
En caso de encontrar inconsistencias y diferencias en las pruebas del cálculo de la depreciación de los activos, el Prestador de Servicios (Supervisor de
Activos Fijos) envía correo electrónico al Outsourcing Contable Analista para su ajuste. (si aplica)
Posteriormente se ejecuta el proceso de depreciación del mes.
El papel de trabajo que contiene el test de depreciación generado de SAP con la pantalla del valor calculado
está en proceso de formalización
Asegurar el papel de trabajo que contiene el test de depreciación generado SAP con la pantalla del valor
calculado y la fecha por el sistema, además de la hoja de validación del cálculo adicionada por el Supervisor.
Prestador de Servicios (Jefe
de Contabilidad) 30/10/2017 15/11/2017
inmobiliaria Gestión Inmobiliaria Gerente de Entorno Diseño -Medio S.6.2.5.6 Revisar la razonabilidad y el correcto cálculo de las provisión de gestión inmobiliaria a fin reportar antes de cierre al área contable para su registro. Está pendiente de formalización y definición del ejecutor del control de acuerdo a la realidad operativa. Actualizar el responsable del control de acuerdo a la realidad operativa Responsable 30/10/2017 30/10/2017
Gestión de Proyectos Dirección Técnica de Activos Gerencia de Proyectos y
Mantenimientos Mayores Diseño -Medio N/A N/A La actualización de riesgos y controles del proceso de Gestión de proyectos está en revisión Actualizar los riesgos y controles de Gestión de Proyectos 15/11/2017
Proceso Soporte Diseño -Medio
S.8.2.1.5 El ERP cuenta con 3 ambientes de procesamiento:
- Desarrollo.
- Calidad.
- Productivo.
En los que es revisado la segregación de ambientes y roles de acuerdo con los siguientes lineamientos para los usuarios desarrolladores (ABAP):
- Desarrollo : Acceso ilimitado con programación,
- Calidad: Acceso limitado sin programación.
- Producción: No tienen acceso.
Identificar las desviaciones, justificar las desviaciones, definir e implementar el plan de acción producto de la revisión.
Para otros sistemas SOX se cuenta con un ambiente de desarrollo/pruebas de base de datos física y lógicamente separados, así:
• Desarrollo/Pruebas
• Producción
Para infraestructura no se tiene ambiente de pruebas. Las pruebas son realizadas en ventanas horarias que no afectan la operación de la compañía.
El control es inefectivo ya que la evidencia obtenida solo indica la segregación de ambientes para SAP. El
control indica otros sistemas SOX, sin evidenciar a la fecha de nuestra evaluación cuales son los otros sistemas
SOX y sin que se observe evidencia de esta validación para otros sistemas aparte de SAP.
Actualizar el inventario de aplicaciones con los líderes fncionales para determinar cuales otras aplicaciones
quedan en el alcance SOX.Especialista TI 30/06/2017
La unica aplicación SOX actualmente es Sap para la
cual se esta cumpliendo el control, se tiene un plan
para implementar el próximo año los controles a la
aplicación Enruta
Proceso Soporte Diseño -Medio S.8.2.14.2
Anualmente, se define y aplica el cronograma de mantenimiento preventivo de hardware de Infraestructura de TI que soporta los sistemas SOX.
Nota: Para las plataformas que se encuentren en garantía se siguen las recomendaciones emitidas por el proveedor.
El control menciona aplicativos de alcance SOX. Se observa que únicamente se realizó la verificación para AIX
SAP, y según la certificación el contrato iba hasta septiembre 30 de 2017
El contrato iba con el proveedor hasta septiembre, por lo tanto la carta de certificación estaba solo hasta el fin
de la vigencia. A la fecha ya se firmó el otro sí con Indra hasta el año 2018 y se va a solicitar una certificación
con la nueva vigencia.
Especialista TI 30/11/2017
Descripción cambio Número de Riesgo Resultado del cambio Descripción cambioNúmero de
Control Resultado del cambio
V2Gobierno
Corporativo Actualización Matrices SOX 2017
Ajuste en el Riesgo asegurando
temas de fraude y corrupción y estandarizando a los riesgos de
CENIT.
E.1.1.1.
Anterior
E.1.1.1. Fallas en el proceso de toma de decisiones ( Intencionales o involuntarios) debido a; inadecuada asignación y desconocimiento de los niveles de autoridad y
sus responsabilidades, lo que puede generar pérdida de valor y afectación de la
imagen.
Riesgo estandarizado al de CENIT.
E.1.1.1. Errores o direccionamiento en el proceso de toma de decisiones y/o de
aprobaciones en nombre de la Compañía, por debilidades en la asignación de autoridad, inadecuada segregación de funciones, definición y aprobación de la
estructura de gobierno, generando pérdidas de valor (contingencias) y/o afectación
reputacional.
Ajuste en la descripción
de la actividad del control y en la
evidencia
E.1.1.1.1
Se estandarizo con el objetivo de control de Cenit:Verificar que las autoridades y responsabilidades asignadas a ODC para tomar decisiones y/o supervisar estén formalizadas, actualizadas y divulgadas
Evidencia anterior:
'1. Estatutos de Oleoducto de Colombia S.A. (ODC), conservados por la Secretaría General y publicados en la Página Web.
2. Manual de Autoridad y Delegación (MAD) vigente y correo electrónico enviado por la Secretaría General ODC al Administrador del Contrato de CENIT / Ecopetrol, para que lo divulguen a las personas involucradas de los prestadores de servicios, y a funcionarios de ODC con el documento vigente.
Nota: En caso de ajustes modificaciones y/o actualizaciones, se realiza el proceso de aprobación de acuerdo con lo definido y es informado por medio de correo electrónico a los administradores de contrato de los prestadores de servicios y a funcionarios ODC por parte de la Secretaría General de ODC.
El MAD se encuentra almacenado en el Centro de Administración
Evidencia actual:'1. Estatutos de Oleoducto de Colombia S.A. (ODC), conservados por la Secretaría General y publicados en la Página Web.
2. Actas de asamblea de accionistas y Junta Directiva de ODC en caso de aprobar modificaciones de los estatutos o Manual de delegación de autoridad.1. Manual de delegación de autoridad (MAD) vigente publicado en el Share Point de ODC y correo electrónico a los prestadores de servicios en los casos que se generen modificaciones.
IPE: Actas de asamblea y Junta Directiva de ODC.
17/06/2017 Deloitte
Gobierno Corporativo
E.1.1.2.1.
Se unifica el control: E.1.1.2.2 y E.1.1.2.4. Adicionalmente se adiciona la adherencia al procedimiento de Gestión de Denuncias y el Manual de Cumplimiento de la prestación del servicios.
Aprobar por la Junta directiva la adhesión a las siguientes políticas de la Casa Matriz y políticas corporativas de ODC:
1. Adhesión:
1.1. Código de Ética de Casa Matriz, que contiene un conjunto de declaraciones explícitas de comportamientos y disyuntivas éticas, además de los lineamientos de regalos, cortesías, atenciones y suscripción de patrocinios.
1.2.El procedimiento de gestión de denuncias de la Casa Matriz, especificando las excepciones en las actividades a realizar para los casos que no aplique por la estructura organizacional de ODC.
1.3. El Manual de Cumplimiento del Prestador de Servicios administrativos, que establece las directrices y lineamientos generales para garantizar el cumplimiento de los mecanismos de identificación, prevención, detección, reporte, monitoreo y
respuesta ante actos de corrupción, fraude, lavado de activos y/o financiación del terrorismo, que puedan presentarse en ODC, especificando las excepciones en las actividades a realizar en los casos que no aplique por la estructura organizacional
de ODC.
2.Aprobación políticas de ODC:
2.1. el Manual para la Prevención del Lavado de Activos y la Financiación del Terrorismo y sus modificaciones que establece directrices y lineamientos generales para la prevención del lavado de activos y la financiación del terrorismo LA/FT,
aplicables a cada una de las contrapartes con las cuales Oleoducto de Colombia S.A, tiene vínculos de negocios, contractuales o jurídicos que involucren un factor de riesgo de LA/FT. El Manual para la Prevención del Lavado de Activos y la
Financiación del Terrorismo es administrado (mantenido, divulgado) por el Oficial de Ética y Cumplimiento de ODC.
Divulgar los cambios en las políticas adheridas y propias de ODC a los empleados y prestadores de servicios por correo electrónico.
Evidencia:
1. Actas de Junta Directiva en donde se apruebe los siguientes documentos:
1.1. Código de Ética vigente adherido, aprobado y publicado en el Share Point de ODC.
1.2. Procedimiento de Gestión de Denuncias Éticas adherio de la Casa Matriz vigente y aprobado
1.3. Manual de Cumplimiento del prestador de servicios administrativos, adherido por ODC (Antifraude, Anticorrupción, Lavado de Activos y Financiación del terrorismo) vigente, aprobado y publicado en la pagina web de ODC.
1.5.Manual para la Prevención del Lavado de Activos y la Financiación del Terrorismo aprobado por la Junta Directiva y su publicación en la página web.
2. Correos el electrónicos a los empleados y prestadores de servicios divulgando las modificaciones a los manuales, códigos y procedimientos cuando haya lugar.
El acta se encuentra en custodia de la Secretaria General.
IPE: Control de cambio de los manuales, códigos, políticas y procedimientos y actas de Junta Directiva
17/06/2017 Deloitte
Gobierno Corporativo
E.1.1.2.2.
El control E.1.1.2.2 se fusiono en el control E.1.1.2.1 y el control E.1.1.2.4 quedo en este control:
1. Aprobar el nombramiento de los miembros de la Junta Directiva de ODC así como sus compensaciones.2. Designar miembros del Comité Financiero y Auditoría de ODC de acuerdo a lo establecido en el Reglamento.
3. Analizar los resultados de las auto-evaluación de los miembros principales de la Junta Directiva de ODC y de sus comités.
17/06/2017 Deloitte
Gobierno
Corporativo E.1.1.2.3
El control E.1.2.5 quedo en el E.1.2.3 así:
Obtener manifestaciones anuales de cumplimiento de los siguientes lineamientos:
1. Código de Ética por parte de los empleados y Junta Directiva de la compañía, manifestando su adherencia.
2. Pacto de Transparencia de los empleados de la compañía y miembros de Junta Directiva.
3.Declaración de conflictos de interés por parte de los empleados y Junta Directiva, en los casos que se presenten.
Las manifestaciones de los empleados quedan archivadas en la carpeta de hoja de vida para los empleados y la de los miembros de la Junta Directiva en la carpeta de esté órgano conservada por la Secretaría General de ODC.
17/06/2017 Deloitte
Gobierno
Corporativo E.1.1.2.4
Control nuevo:
Aprobar y monitorear el cumplimiento al plan/programa de capacitación para los miembros de Junta Directiva, empleados y contratistas en temas relacionados con:
1. Código de Ética que indica los lineamientos en materia de regalos y atenciones, suscripción de patrocinios, entre otros.
2. Línea ética3. Manual de Cumplimiento del Prestador de Servicios administrativos.
Socializar los canales diseñados por la Compañía para recibir denuncias confidenciales de empleados, miembros de Junta Directiva y terceros de acuerdo con el dicho plan/programa de capacitación
17/06/2017 Deloitte
Gobierno
Corporativo E.1.1.2.5
El control E.1.1.2.5 era el control 1.1.3.3 el cual se estádarizo de acuerdo al riesgo y control del prestador del servicio así:
1. Monitorear el avance y resolución de las denuncias éticas que los empleados y terceras partes realizan por medio del canal confidencial de la Casa Matriz relacionadas con Oleoducto de Colombia S.A. (ODC). El
Oficial de Ética y Cumplimiento gestiona las denuncias de acuerdo al procedimiento de gestión de denuncias adherido y reporta el estado de los casos y dilemas éticos relevantes para conocimiento del Comité Financiero y de Auditoría y Junta Directiva de ODC para que se tomen las recomendaciones y decisiones cuando haya lugar.
Cuando el caso involucre al Oficial de Ética y Cumplimiento, la denuncia será direccionada por la Gerencia General.
17/06/2017 Deloitte
V2 Monitoreo Actualización Matrices SOX 2017
Ajuste en el Riesgo asegurando
temas de fraude y corrupción y estandarizando a los riesgos de
CENIT.
E.3.1.3.
Incumplimiento en la gestión contractual de los contratistas de operación y mantenimiento y prestación de servicios administrativos debido a: errores en los
diseños de los controles de supervisión de contratos, no operatividad del control,
celebración de transacciones sin la debida autorización, incumplimiento, errores
del dueño del proceso, falta de seguimiento y monitoreo lo que generaría materialización de riesgos operativos, de reporte , de cumplimiento y pérdidas
económicas.
N/A N/A N/A 05/07/2017 Deloitte
Gestión de riesgos E.2.1.1.1Aprobar la política y herramienta de gestión riesgos (Matriz RAM) que establece las directrices para la administración de los riesgos y los controles de ODC, así como la adhesión a la Guía de Gestión de Riesgos del
prestador de Servicios.
Posteriormente se realiza la divulgación por parte del Gerente General de ODC por medio de correo electrónico a los funcionarios internos (empleados) y prestadores de servicios.
05/07/2017 Deloitte
CONTROL DE CAMBIOS
Versión del
DocumentoCausa del cambio
Riesgo ControlFecha Cambio:
dd/mm/aaaa
Quién Realizó el
Cambio: Proceso
Ajuste en la descripción de la actividad del
control y en la
evidencia
V2 Actualización Matrices SOX 2017
Ajuste en el Riesgo asegurando
temas de fraude y corrupción y
estandarizando a los riesgos de CENIT.
E.2.1.1.
Fallas en la estructuración y despliegue del Sistema de Gestión de Riesgos, debido a:
1. Debilidades en la definición de políticas, metodologías y/o herramientas para la identificación, valoración, tratamiento, monitoreo y comunicación de riesgos.
2. Inadecuada divulgación de los lineamientos y políticas sobre la gestión de
riesgos en la organización 3. No contar con una matriz de valoración de riesgos apropiada a la Organización
4. No contar con un adecuado plan de tratamiento o acciones de mitigación
requeridas para riesgos identificados en la Organización.
Limitando que la Compañía cuente con un adecuado sistema de gestión que
soporte el desarrollo de la estrategia y sus objetivos.
Ajuste en la descripción
de la actividad del
control y en la evidencia
V2 Actualización Matrices SOX 2017
Ajuste en el Riesgo asegurando temas de fraude y corrupción y
estandarizando a los riesgos de
CENIT.
E.1.1.2.
Se unifica el riesgo E.1.1.2, E.1.1.3 y E.1.1.4 y se estandariza con el de Cenit:Faltas éticas en ODC de los empleados y/o miembros de Junta Directiva o
inadecuada toma decisiones, debido a:1. La inadecuada definición, aprobación y divulgación de las políticas, manuales y
procedimientos en materia de: Delegación de autoridad, Ética, Denuncias éticas,
Cumplimiento y Buen Gobierno.
2. No promover actuaciones basadas en la integridad y los valores éticos. 3. Falta de capacitación en relación a los temas de ética, cumplimiento, conflictos
de interés y mecanismos para realizar denuncias éticas.
4. Manejo inadecuado de las denuncias, consultas y dilemas de los interpuestos por los grupos de interés.
5. Conflictos de interés en los miembros de Junta Directiva.
Lo cual puede ocasionar, materialización de actos indebidos, incumplimiento o
desconocimiento de los Estatutos y definiciones de la normativa interna, afectando el clima organizacional y la reputación y eventualmente generando la
pérdida de valor de la Compañía, entre otros.
Gestión de riesgos E.2.1.1.2
Monitorear y mantener actualizado el sistema de gestión de riesgos de ODC por parte del prestador de servicio compuesto por:
1. Identificación de riesgos estratégicos, 2.Revisión de la matriz de valoración RAM
3. Establecimiento y seguimiento de planes de tratamiento, donde sea requerido para corrección de controles y/o materialización de riesgos.
4. Matrices de riesgo y control, a través de la identificación, análisis, evaluación y actualización del mapa de riesgos corporativos, ajustando en las matrices modificaciones y generando la versión final la cual es
compartido a los dueños de procesos. En caso tal que se presenten acciones a mejorar, los dueños del proceso implementan los planes respectivos y el Prestador de Servicio (Gerencia de Aseguramiento) realizan el seguimiento correspondiente.
05/07/2017 Deloitte
Gestión de riesgos E.2.1.1.3
Monitorear el proceso de gestión de riesgos ejecutado por el Prestador de Servicio a través de la reunión trimestral de seguimiento en donde el contratista (Gerencia de Aseguramiento) presenta los aspectos
claves definidos en el contrato que incluyen entre otro los siguientes asuntos:
1. Las certificaciones emitidas por los terceros (prestadores de servicios) en relación con los riesgos y controles SOX así como el análisis de la información descrita en la misma.
2.Listado de riesgos estratégicos y matriz RAM
3.En caso de encontrar desviaciones (controles con calificación inefectivo / oportunidades de mejora) y alertas temprana (planes de acción no ejecutados o con modificación de fecha) definen planes de acción y se
monitorea su cumplimiento.4.Reporte de nuevos planes de acción y ejecución de los definidos.
05/07/2017 Deloitte
V2 Gestión de riesgos Actualización Matrices SOX 2017
Ajuste en el Riesgo asegurando
temas de fraude y corrupción y
estandarizando a los riesgos de CENIT.
E.3.1.1.
Fallas en el monitoreo independiente al sistema de control interno, debido a:
1. No contar con lineamientos y directrices claras del rol y función del Comité de Auditoría (CA)
2. Inadecuada asignación de roles, responsabilidades y línea de reporte de la
Auditoría Interna.(A.I)
3. No contar con un plan general de auditoria (PGA) aprobado por el CA, basado en riesgos que agregue valor al negocio o esté alineado con la estrategia de la
Compañía.4. Inadecuado o inoportuno seguimiento a la ejecución del plan anual de auditoria
interna.
5. Conflictos de interés o independencia, supeditaje gerencial o colusión del
equipo de AI.
Lo que genera incumplimiento al estándar de monitoreo del Grupo Empresarial.
Ajuste en la descripción
de la actividad del
control y en la evidencia
E.3.1.1.1
1. Aprobar el Reglamento de Comité Financiero y de Auditoría como apoyo a la Junta Directiva para supervisar el Sistema de Control Interno.
2. Aprobar el Manual de Auditoría y el Estatuto de Auditoría Interna que establece los lineamientos para la ejecución de la función de la auditoría Interna, el cual incluye las normas sobre la independencia y
objetividad, actitud y cuidado profesional atendiendo la definición de competencias del equipo de auditoría y plan de capacitación así como las normas de desempeño para la ejecución de trabajos de auditoría
interna y la supervisión de actividades.
3.Declarar anualmente al Comité Financiero y Auditoría, la independencia de la función de Auditoria Interna basado en estructura organizacional (depende del comité) y la confirmación de independencia de los
miembros del equipo para los trabajos individuales. Esta declaración queda debidamente documentada en las actas del comité.
05/07/2017 Deloitte
V2
GR&C S.2.1.
Controles generales
de TI
Actualización Matrices SOX 2017
Ajuste en el Número y redacción del Riesgo asegurando, sobre
temas de fraude y corrupción y
estandarizando a los riesgos de
CENIT.
S 8.1.1
Falta de alineación entre la estrategia de Tecnología de la Información y la de la Compañía, debido a no realizar un análisis de integración cuidadoso y aplicable a
las actividades del plan, información incompleta e inoportuna o irregular,
conflictos de interés o independencia (posible colusión), que puede ocasionar incumplimiento de los objetivos de negocio y de gobierno de la compañía,
pérdidas económicas y afectación de la percepción interna frente a la gestión de TI.
Ajuste en la descripción
de la actividad del
control.
S.8.1.1.1
1. Aprobar el plan estratégico para tecnología de la información y sus modificaciones , que esté alineado con las estrategias generales de la entidad. Los objetivos del plan de TI incluyen la entrega de ambientes seguros y confiables para la preparación de informes financieros para uso externo de alta calidad y se consideran las necesidades de todas las áreas de la Compañía.
1.a. El Plan estratégico es almacenado en Share Point de ODC y se divulga a los interesados vía correo electrónico.
2. Realizar seguimiento a la ejecución del Plan Estratégico en la reunión trimestral de la dirección de talento humano y administración.
05/07/2017 Deloitte
V3GR&C S.2.1.
Controles generales
de TI
Actualización Matrices SOX 2017
Ajuste en el Número y redacción
del Riesgo asegurando, sobre temas de fraude y corrupción y
estandarizando a los riesgos de
CENIT.
S.8.1.2
Modificaciones y/o accesos no autorizados a las hojas de cálculo utilizadas en el
proceso de reporte financiero u hojas de cálculo sensibles para los procesos de negocio, presentación o carga de información incorrecta en los sistemas de
información, por desconocimiento de los lineamientos de aseguramiento de hojas
de cálculo, errores en la aplicación de la Guía de aseguramiento de hojas de cálculo, fallas en el control de acceso a las hojas de cálculo, almacenamiento en
recursos compartidos sin o con faltas de control de acceso, lectura y/o
modificación, manipulación de las hojas de cálculo (producción, alteración o
supresión deliberada de registros) y falta de controles de modificación de las hojas de cálculo, que puede generar afectación a la razonabilidad de los Estados
Financieros, pérdida o mal uso de la información, inadecuada toma de decisiones,
sanciones, multas o pérdidas económicas.
Ajuste en la descripción de la actividad del
control.
S.8.1.1.2
1.Aprobar la guía de aseguramiento de Hojas de Cálculo y sus modificaciones que es almacenada en Share Point de ODC y se divulga a los interesados.
2. Verificar que las hojas de cálculo cumplan con lo definido en la Guía de Aseguramiento de Hojas de Cálculo. En señal de revisión, el Propietario del activo envía al área de Tecnología de la Información una
certificación indicando que las hojas de cálculo cumplen con los parámetros establecidos en la Guía.
Nota: El control es semestral siempre y cuando el inventario de hojas de cálculo no se ajuste. En caso de cambios y novedades, se reportará al área de TI.
05/07/2017 Deloitte
V3GR&C S.2.1.
Controles generales
de TI
Actualización Matrices SOX 2017
Ajuste en el Número y redacción
del Riesgo asegurando, sobre temas de fraude y corrupción y
estandarizando a los riesgos de
CENIT.
S.8.1.3
Accesos no autorizados a la información y/o servicios tecnológicos, debido a
inadecuado monitoreo de accesos, falta de procedimientos relacionados con revisión y depuración de cuentas en los sistemas de aplicación, falla en la gestión
de conflictos de segregación de funciones, que puede generar fraude, pérdidas
económicas, de confidencialidad e indisponibilidad de la información.
Ajuste en la descripción de la actividad del
control.
S.8.1.3.1
1. Los dueños de proceso y/o administradores de contrato verifican que los accesos de los usuarios están asignados en los sistemas de información bajo alcance SOX de acuerdo con sus funciones. Indicar su aprobación o solicitud de ajustes de los accesos revisados. La verificación es realizada con el reporte de usuarios generado por un miembro del área de Tecnología de la información.
2. A partir de la verificación, realizar el plan de acción de las observaciones identificadas por los dueños del proceso.
05/07/2017 Deloitte
V3
GR&C S.2.1.
Controles generales de TI
Actualización Matrices SOX 2017
Ajuste en el Número y redacción
del Riesgo asegurando, sobre
temas de fraude y corrupción y estandarizando a los riesgos de
CENIT.
S.8.1.4
Inadecuada concentración de funciones en los sistemas de información y/o
servicios tecnológicos debido a falla en la gestión de conflictos de segregación de funciones, que podrían generar fraude y/o perdida económica.
Ajuste en la descripción
de la actividad del control.
S.8.1.4.4
1. Aprobar la Matriz de segregación de funciones de los roles y responsabilidades y sus modificaciones.
2. Revisar si existen conflictos de segregación funcional de acuerdo con las reglas de segregación estándar para SAP, considerando la posible existencia de:
- Conflictos de segregación de funciones a nivel de roles. - Conflictos de segregación de funciones a nivel de usuarios.
3. En los casos de conflictos identificados en la revisión, se realiza la identificación y validación de controles compensatorios existentes y definición de las acciones a seguir para su corrección
05/07/2017 Deloitte
V3GR&C S.2.1.
Controles generales
de TI
Actualización Matrices SOX 2017
Ajuste en el Número y redacción
del Riesgo asegurando, sobre temas de fraude y corrupción y
estandarizando a los riesgos de
CENIT.
S.8.1.5
Pérdida de confidencialidad, integridad o disponibilidad de la información, ausencia de su divulgación y/o manejo inadecuado de la misma debido a la
implementación de controles no acordes a la clasificación de los datos y los
sistemas de información que estén bajo la administración de CENIT o de un tercero, falta de lineamientos para la selección y administración de la información,
falla en la divulgación de dichos lineamientos y fallas en el monitoreo de
información clave, generando posible uso indebido de información, generación de
información fraudulenta y/o pérdida de valor de la Compañía.
Ajuste en la descripción de la actividad del
control.
S.8.1.5.7
Aprobar la guía del ciclo de vida de la información que establece los lineamientos para el manejo de la información en la Compañía y las modificaciones que se le realicen.
En caso de presentarse modificaciones a la guía del ciclo de vida de la información el área de TI con apoyo del área de Comunicación divulgará dichos cambios. 05/07/2017 Deloitte
V2 Actualización Matrices SOX 2017
Ajuste en el Riesgo asegurando
temas de fraude y corrupción y estandarizando a los riesgos de
CENIT.
E.2.1.1.
Fallas en la estructuración y despliegue del Sistema de Gestión de Riesgos, debido
a:
1. Debilidades en la definición de políticas, metodologías y/o herramientas para la
identificación, valoración, tratamiento, monitoreo y comunicación de riesgos.
2. Inadecuada divulgación de los lineamientos y políticas sobre la gestión de riesgos en la organización
3. No contar con una matriz de valoración de riesgos apropiada a la Organización
4. No contar con un adecuado plan de tratamiento o acciones de mitigación requeridas para riesgos identificados en la Organización.
Limitando que la Compañía cuente con un adecuado sistema de gestión que
soporte el desarrollo de la estrategia y sus objetivos.
Ajuste en la descripción
de la actividad del control y en la
evidencia
V3GR&C S.2.1.
Controles generales
de TI
Actualización Matrices SOX 2017
Ajuste en el Número y redacción
del Riesgo asegurando, sobre temas de fraude y corrupción y
estandarizando a los riesgos de
CENIT.
S.8.2.1
Cambios no autorizados de los sistemas de información, alteración no autorizada
de datos, pérdida de integridad y confiabilidad de la información o inestabilidad en el sistema, incorporación de código maliciosos, intervención no autorizadas a
las bases de datos, CiberCrimen y Vulnerabilidad de los sistemas debido a inexistencia o incumplimiento de un procedimiento formal de control de cambios
que incluya la solicitud, aprobación, pruebas y paso producción de los mismos, inexistencia o incumplimiento de un plan de implementación y de rollback para los
cambios implementados en los sistemas, inexistencia o incumplimiento de un
procedimiento formal de control de cambios de emergencia o ausencia de ambientes segregados y revisión de los accesos otorgados a los desarrolladores en
cada ambiente, que puede ocasionar falta de disponibilidad, intermitencia, degradación de los servicios prestados por TI, perdida de información, sanciones o
multas.
Ajuste en la descripción de la actividad del
control.
S.8.2.1.4El jefe o representante del área solicitante aprueba los cambios de emergencia solicitados a través de correo electrónico o de la herramienta de gestión. Adicionalmente, el área de TI da el visto bueno a dicha
solicitud. 05/07/2017 Deloitte
S.8.2.1.5
El ERP cuenta con 3 ambientes de procesamiento:
- Desarrollo.- Calidad.
- Productivo.
En los que es revisado la segregación de ambientes y roles de acuerdo con los siguientes lineamientos para los usuarios desarrolladores (ABAP):- Desarrollo : Acceso ilimitado con programación,
- Calidad: Acceso limitado sin programación.
- Producción: No tienen acceso.
Identificar las desviaciones, justificar las desviaciones, definir e implementar el plan de acción producto de la revisión.
Para otros sistemas SOX se cuenta con un ambiente de desarrollo/pruebas de base de datos física y lógicamente separados, así:
• Desarrollo/Pruebas
• Producción
Para infraestructura no se tiene ambiente de pruebas. Las pruebas son realizadas en ventanas horarias que no afectan la operación de la compañía.
05/07/2017 Deloitte
V3
GR&C S.2.1.
Controles generales
de TI
Actualización Matrices SOX 2017
Ajuste en el Número y redacción del Riesgo asegurando, sobre
temas de fraude y corrupción y
estandarizando a los riesgos de CENIT.
S.8.3.1
Cambios o inversiones no autorizadas sobre la infraestructura o software que
soportan los procesos y/o operaciones, debido a inexistencia o incumplimiento de procedimientos de adquisición de software o infraestructura tecnológica menor, o
procedimientos de gestión de la demanda, donde sea evaluada la adquisición en
referencia a las iniciativas estratégicas de la organización. Inexistencia o
incumplimiento de una metodología de proyecto donde se incluya la evaluación de la adquisición de infraestructura tecnológica o software enmarcados en un
proyecto o mejora, que podría generar pérdidas económicas, afectación de la imagen o incumplimiento de los objetivos de negocio.
Ajuste en la descripción
de la actividad del
control.
S.8.3.1.1
Evaluar y aprobar los requerimientos iniciales de adquisiciones tecnológicas por parte de TI.
La necesidad inicial entra por el proceso de abastecimiento en el que el área solicitante diligencia el formato de justificación de la adquisición tecnológica donde se indica el objeto, el alcance, tipo de proceso
(contratación directa o concurso), presupuesto y plazo de ejecución.
El área de abastecimiento asegura que todos los requerimientos que incluyan adquisiciones de TI están firmados por el Jefe de Tecnología de la Información y el Líder de área solicitante.
05/07/2017 Deloitte
S.8.3.1.2
1. Revisar y aprobar que la adquisición de software o infraestructura haga parte de un proyecto, aplicando el procedimiento de "Gestión de iniciativas".
2. Verificar que el formato de registro de iniciativas es firmado por el usuario solicitante, el Dueño de información o proceso y Tecnología de la Información.
3. Evaluar, priorizar y aprobar la adquisición en la reunión con la Gerencia de ODC.
05/07/2017 Deloitte
V3
GR&C S.2.1.
Controles generales
de TI
Actualización Matrices SOX 2017
Ajuste en el Número y redacción
del Riesgo asegurando, sobre
temas de fraude y corrupción y
estandarizando a los riesgos de CENIT.
S.8.6.3
Inadecuada gestión de los incidentes de seguridad de la información, debido a
inexistencia o incumplimiento de un procedimiento formal de gestión de Incidentes que incluya el registro, priorización, valoración y cierre del incidente,
falta de detección o detección inoportuna de incidentes o problemas en la
plataforma tecnológica, inadecuados mecanismos para reportar el incidente,
inadecuados métodos de seguimiento a la definición y cierre de los incidentes de acuerdo a su criticidad, que puede impactar la confiabilidad, integridad y
disponibilidad de la información.
Ajuste en la descripción
de la actividad del
control.
S.8.6.3.5
Implementar las acciones de mejora, preventivas y correctivas, sobre los incidentes de seguridad, contemplando las siguientes acciones:
- Análisis de la situación presentada y diagnóstico
- Análisis de posibles causas
- Acciones correctivas y/o mitigantes
Los incidentes de seguridad han sido definidos en el Procedimiento de manejo de incidentes de seguridad.
Los incidentes de seguridad asociados a las plataformas criticas y con impacto al negocio son analizados por parte de los administradores de plataforma para identificar acciones preventivas y correctivas.
05/07/2017 Deloitte
V3GR&C S.2.1.
Controles generales
de TI
Actualización Matrices SOX 2017
Ajuste en el Número y redacción
del Riesgo asegurando, sobre temas de fraude y corrupción y
estandarizando a los riesgos de
CENIT.
S.8.5.1
Incumplimiento y/o indisponibilidad deliberada o involuntaria en la prestación de
los servicios ofrecidos en el portafolio de TI, debido a falta de oportunidad o insuficiencia en el monitoreo de los procesos y servicios ofrecidos por TI, ausencia
de métricas de rendimiento o indicadores de gestión del área de TI. Lo anterior podría generar la pérdida de efectividad del servicio de TI, el incumplimiento de los
objetivos del negocio, pérdidas financieras, legales y daños en la reputación.
Ajuste en la descripción de la actividad del
control.
S.8.5.1.1
1. Monitorear y evaluar el desempeño de los servicios de TI.
El área de TI ha definido formalmente los Acuerdos de Nivel de Servicio con ODC.
La evaluación del cumplimiento de los ANSs establecidos de cara a los usuarios internos es realizada trimestralmente en reunión con el Director del área.
05/07/2017 Deloitte
V3
GR&C S.2.1.
Controles generales
de TI
Actualización Matrices SOX 2017
Ajuste en el Número y redacción
del Riesgo asegurando, sobre
temas de fraude y corrupción y
estandarizando a los riesgos de CENIT.
S.8.6.1
Accesos no autorizados a la información y/o servicios tecnológicos, debido a falta de políticas y/o procedimientos relacionados con la asignación de cuentas de
usuario y de perfiles, falta de procedimientos relacionados con depuración de
cuentas en los sistemas de aplicación, falta de procedimientos relacionados con la revisión de usuarios con privilegios administradores en los sistemas de aplicación,
bases de datos y red de la compañía, cambios o modificaciones temporales de
privilegios de usuarios y administradores de los sistemas, incumplimiento a las
políticas y/o procedimientos de administración de usuarios finales y usuarios administradores, inadecuado monitoreo de accesos y no identificación de roles y
usuarios con conflictos de segregación de funciones, que puede llegar a generar
fraude, pérdida económica, de confidencialidad e indisponibilidad de la información.
Ajuste en la descripción
de la actividad del
control.
S.8.6.1.1
Autorizar la creación y/o modificación de usuarios de forma individual o masiva en los sistemas y recursos de TI por parte del responsable establecido en el procedimiento de administración de usuarios de la
compañía.05/07/2017 Deloitte
V3GR&C S.2.1.
Controles generales
de TI
Actualización Matrices SOX 2017
Ajuste en el Número y redacción
del Riesgo asegurando, sobre temas de fraude y corrupción y
estandarizando a los riesgos de
S.8.2.6.2 Realizar una evaluación de segregación de funciones al momento de asignar permisos adicionales o nuevos a un usuario nuevo o ya existente en el ERP de SAP. 05/07/2017 Deloitte
V3
GR&C S.2.1.
Controles generales
de TI
Actualización Matrices SOX 2017
Ajuste en el Número y redacción
del Riesgo asegurando, sobre
temas de fraude y corrupción y
estandarizando a los riesgos de
S.8.2.6.3Ejecutar las acciones pertinentes para desactivar/eliminar los usuarios en las plataformas correspondientes cada vez que los administradores de contrato (según sea el caso), notifica el retiro, licencias o vacaciones
de personal al área de TI, de acuerdo con los procedimientos definidos.05/07/2017 Deloitte
V3GR&C S.2.1.
Controles generales
de TI
Actualización Matrices SOX 2017
Ajuste en el Número y redacción
del Riesgo asegurando, sobre temas de fraude y corrupción y
estandarizando a los riesgos de
S.8.1.3.3
Bloquear de los sistemas de información de la compañía los usuarios con 15 días de inactividad, de acuerdo con el procedimiento establecido de administración de usuarios de la compañía.
Nota: Este control solo aplica para SAP05/07/2017 Deloitte
V3GR&C S.2.1.
Controles generales
de TI
Actualización Matrices SOX 2017
Ajuste en el Número y redacción
del Riesgo asegurando, sobre temas de fraude y corrupción y
estandarizando a los riesgos de
CENIT.
S.8.6.1.2
Revisar los usuarios con privilegios administradores en los sistemas de información de la compañía:
Semestralmente se genera un reporte de usuarios con privilegios de administración que están configurados en los sistemas de información de la compañía de alcance SOX (Aplicación, BD y Sistema Operativo). Este
reporte es enviado por el gestor de plataforma al responsable de tecnología de acuerdo con el procedimiento de administración de usuarios con privilegios amplios de la compañía.
En señal de revisión del responsable de Tecnología de Información indica si los usuarios encontrados son lo autorizados para tener estos privilegios.
05/07/2017 Deloitte
V3GR&C S.2.1.
Controles generales
de TI
Actualización Matrices SOX 2017
Ajuste en el Número y redacción
del Riesgo asegurando, sobre temas de fraude y corrupción y
estandarizando a los riesgos de
CENIT.
S.8.2.6.6Obtener la aprobación establecida en los procedimientos de la compañía para otorgar cuentas de usuario con privilegios de administración, cuando esta se requiera en alguno de los sistemas de información de la
compañía con alcance SOX.05/07/2017 Deloitte
V3GR&C S.2.1.
Controles generales
de TI
Actualización Matrices SOX 2017
Ajuste en el Número y redacción
del Riesgo asegurando, sobre temas de fraude y corrupción y
estandarizando a los riesgos de
CENIT.
S.8.6.1
Ataques cibernéticos sobre la infraestructura tecnológica debido a inadecuada
identificación, clasificación y gestión de los riesgos y vulnerabilidades, falta de monitoreo, configuración no adecuada, que puede llegar a generar perdida de
confidencialidad e integridad de la información, indisponibilidad de los servicios
prestados por TI.
Ajuste en la descripción de la actividad del
control.
S.8.6.1.3
1. Revisar el análisis de vulnerabilidades a nivel de infraestructura de tecnología de información que soporte aplicaciones de alcance SOX.
2. Definir las acciones correctivas para las vulnerabilidades catalogadas como Altas y Medias de acuerdo con el reporte generado por las herramientas de análisis de seguridad. Así mismo, debe realizarse seguimiento al plan de acciones. El procedimiento se realiza de la siguiente forma:
Se realiza análisis de vulnerabilidades al menos una vez al año por cada plataforma de infraestructura.
Se genera el plan de remediación para las vulnerabilidades identificadas y se realiza el seguimiento al plan de remediación trimestralmente.
05/07/2017 Deloitte
V3GR&C S.2.1.
Controles generales
de TI
Actualización Matrices SOX 2017
Ajuste en el Número y redacción
del Riesgo asegurando, sobre temas de fraude y corrupción y
estandarizando a los riesgos de
CENIT.
S.8.6.2
Incumplimiento de los acuerdos de servicios establecidos con proveedores de servicio, debido a falta de monitoreo y control periódico del cumplimiento de los
servicios pactados con el proveedor, falta de políticas, procedimientos y estándares establecidos por la compañía, ausencia de acuerdos de niveles de servicio en los
contratos. Lo anterior puede llegar a generar pérdidas financieras, perdidas legales
y daños en la reputación por la interrupción de los servicios de TI y de la
operación de la organización.
Ajuste en la descripción de la actividad del
control.
S.8.6.2.4
1. Establecer y mantener actualizado un repositorio de configuración:
Se tiene un repositorio de información donde está contenida la siguiente información de la configuración del software y hardware del sistema SAP, BD y Red:
- Versión de SAP, BD y Sistema Operativo
- Configuración de contraseña (Red, BD y SAP)
- Configuración de logs de auditoria a nivel de SAP
- Usuarios por defecto (SAP, BD y Red) y estado.- Configuración de las características técnicas del servidor
- Esquema de componentes y detalle de la Red.
- Configuración de política de Backup
Esta información es actualizada según las modificaciones que sean requeridas y aprobadas por control de cambios en la configuración de los ítems. Esta documentación cuenta con una hoja de control de cambios,
donde se registra el cambio, la fecha y el usuario que realizó el cambio.
2. Revisar anualmente que la configuración de la aplicación SAP, su base de datos, sistema operativo y Red de la compañía corresponda a lo definido en el repositorio de configuración del software y hardware del
sistema SAP, BD y Red.
Mediante un informe se registra la verificación de la configuración. Se analiza si existe justificación para las desviaciones que sean identificadas. Dependiendo del resultado del análisis se ejecutan acciones tales
como: ajustar el repositorio o restablecer la configuración del sistema. Las conclusiones del análisis y las acciones tomadas se registran en el informe.
05/07/2017 Deloitte
V3GR&C S.2.1.
Controles generales
de TI
Actualización Matrices SOX 2017
Ajuste en el Número y redacción
del Riesgo asegurando, sobre temas de fraude y corrupción y
estandarizando a los riesgos de
CENIT.
S.8.7.1.1
1. Generar una notificación indicando las acciones a tomar cuando se genera una falla en la toma de backup.
2. Consolidar y revisar la cantidad de backups ejecutados por el proveedor y su estado de finalización.
3. Realizar seguimiento a la ejecución de back ups y fallas generadas en reunión realizada con el proveedor de servicios.
05/07/2017 Deloitte
V3
GR&C S.2.1.
Controles generales de TI
Actualización Matrices SOX 2017
Ajuste en el Número y redacción
del Riesgo asegurando, sobre
temas de fraude y corrupción y estandarizando a los riesgos de
CENIT.
S.8.1.5.5
1. Obtener y revisar el informe o el documento equivalente a la evaluación independiente del funcionamiento de los controles generales de TI para los sistemas de Información que impactan SOX que no son administrados por la compañía.
En caso de existir observaciones se realiza seguimiento al plan de acción definido con el proveedor del sistema de información.
05/07/2017 Deloitte
V3
GR&C S.2.1.
Controles generales
de TI
Actualización Matrices SOX 2017
Ajuste en el Número y redacción del Riesgo asegurando, sobre
temas de fraude y corrupción y
estandarizando a los riesgos de
CENIT.
S.8.7.2
Restauraciones de back ups fallidas, pérdida de información, datos no
actualizados, debido a falta de procedimientos para la restauración de copias de respaldo, no ejecución de pruebas de restauración, inadecuados controles
ambientales y físicos en el centro de cómputo donde se encuentran los servidores
que soportan la operación de la compañía. Lo anterior podría generar pérdida de
información, pérdidas económicas, indisponibilidad de información, falta de continuidad de la operación.
Ajuste en la descripción
de la actividad del
control.
S.8.7.2.2
2. Restaurar las copia de respaldo de sistemas SOX, por medio de una muestra aleatoria, tomada en el periodo (Anual).
En caso de presentarse fallas en el proceso de restauración, se realizan las acciones correspondientes.
Lo anterior se documenta adjuntando las evidencias de la correcta restauración o de las fallas presentadas y las acciones a tomar.
05/07/2017 Deloitte
S.8.8.1.1
Revisión anual de los controles ambientales, físicos y de control de acceso que tiene el centro de cómputo donde se encuentran los servidores.
Se verifica que solo personal autorizado puede ingresar al lugar donde se encuentran los servidores de la compañía.
Adicionalmente, revisa el cronograma de mantenimiento de los dispositivos de seguridad ambiental contra los soportes de su ejecución.
De la revisión se genera un informe de la visita y de los hallazgos encontrados.
05/07/2017 Deloitte
V3
GR&C S.2.1.
Controles generales
de TI
Actualización Matrices SOX 2017
Ajuste en el Número y redacción del Riesgo asegurando, sobre
temas de fraude y corrupción y
estandarizando a los riesgos de
CENIT.
S.8.8.2
Acceso no autorizado/inapropiado a los equipos en el data center, evasión de los controles de acceso lógico, indisponibilidad de los sistemas de información,
actividades no autorizadas sobre los sistemas de información, debido a falta de
controles de acceso lógicos, ausencia de controles físicos, que puede causar
inadecuado uso de la información, indisponibilidad, fuga de información, perdida de la integridad y confidencialidad de la información.
Ajuste en la descripción
de la actividad del
control.
S.8.8.2.2
El responsable establecido de TI autoriza todos los accesos de funcionarios de Cenit o de ODC según el procedimiento de control de acceso al centro de cómputo de la compañía y/o prestador de servicios
05/07/2017 Deloitte
V3
GR&C S.2.1.
Controles generales de TI
Actualización Matrices SOX 2017
Ajuste en el Número y redacción
del Riesgo asegurando, sobre
temas de fraude y corrupción y estandarizando a los riesgos de
CENIT.
S.8.9.1
Procesamiento inexacto, incompleto o no autorizado de datos de los sistemas de
información, debido a falta de normalización de los procedimientos relacionados
con la secuencia y programación de los trabajos y tareas. Lo anterior podría generar pérdidas económicas, multas, sanciones, impacto a la imagen y reputación
de la compañía, procesamiento incorrecto de información, perdida de la integridad y confidencialidad de la información.
Ajuste en la descripción
de la actividad del control.
S.8.9.1.1
1. Identificar, documentar y monitorear los procesos de fondo que se realizan en SAP.
En caso de encontrar fallas en la ejecución del proceso de fondo programado, el Basis procede de acuerdo con lo definido en el procedimiento para corregir la falla. En caso de ser requerido se notifica al
representante de TI.
2. En la reunión mensual es revisado el Reporte de Gestión entregado por el proveedor, donde se indican:
- Reporte general del monitoreo de los Jobs (Fallas y novedades)
De la reunión realizada deja un acta aprobada por los participantes.
05/07/2017 Deloitte
V3
GR&C S.2.1.
Controles generales
de TI
Actualización Matrices SOX 2017
Ajuste en el Número y redacción del Riesgo asegurando, sobre
temas de fraude y corrupción y
estandarizando a los riesgos de CENIT.
S.8.10.1
Cambios o inversiones no autorizadas sobre la infraestructura o software que
soportan los procesos y/o operaciones, debido a inexistencia o incumplimiento de
procedimientos de adquisición de software o infraestructura tecnológica menor, o
procedimientos de gestión de la demanda, donde sea evaluada la adquisición en referencia a las iniciativas estratégicas de la organización. Inexistencia o
incumplimiento de una metodología de proyecto donde se incluya la evaluación de
la adquisición de infraestructura tecnológica o software enmarcados en un proyecto o mejora, que podría generar pérdidas económicas, afectación de la
imagen o incumplimiento de los objetivos de negocio.
Ajuste en la descripción
de la actividad del
control.
05/07/2017 Deloitte
V3GR&C S.2.1.
Controles generales
de TI
Actualización Matrices SOX 2017
Ajuste en el Número y redacción
del Riesgo asegurando, sobre temas de fraude y corrupción y
estandarizando a los riesgos de CENIT.
S.8.10.2
No obtención de beneficios y Servicios relacionados con las TI, entrega de programas que no proporcionen beneficios a tiempo, dentro del presupuesto y no
satisfacen los requisitos y normas de calidad debido a inversiones de tecnología
que no están acorde con las necesidades de la organización y que podría generar falta de alineamiento de TI y la estrategia de negocio, incumplimiento de la
estrategia y metas de negocio.
Ajuste en la descripción de la actividad del
control.
S.8.10.2.4
1. Aprobar el inicio de cada fase del proyecto mediante un acta. En el caso de proyectos o requerimientos pequeños o de bajo impacto en los que no se requiera hacer el Project charter, en el acta de inicio se definen los entregables que aplicaran.
Aprobar el cierre de cada fase del proyecto mediante un acta.
En esta acta se registra la aceptación de los entregables que se definieron en el Project Charter para la respectiva fase.
2. Aprobar el informe de cierre de proyecto por los responsables definidos en el Project Charter. Dentro de este documento se incluye:
- Resultados obtenidos del proyecto
- Entregables del proyecto
- Resumen del cronograma y costos del proyecto
- Relación de documentos manejados en el proyecto- Aprobaciones del documento
El PMO de Proyecto revisa que se encuentre publicada en repositorio de información de la compañía toda la documentación relacionada con el proyecto y lo especifica en el informe de cierre del proyecto
05/07/2017 Deloitte
V3
GR&C S.2.1.
Controles generales de TI
Actualización Matrices SOX 2017
Ajuste en el Número y redacción
del Riesgo asegurando, sobre
temas de fraude y corrupción y estandarizando a los riesgos de
CENIT.
S.8.11.1
Incumplimiento y/o indisponibilidad en la prestación de los servicios ofrecidos en
el portafolio de TI, debido a falta de oportunidad o insuficiencia en el monitoreo de los procesos y servicios ofrecidos por TI, ausencia de métricas de rendimiento o
indicadores de gestión del área de TI, que podría generar pérdida de efectividad
del servicio de TI, perdidas económicas, incumplimiento de los objetivos del negocio y daños en la reputación.
Ajuste en la descripción
de la actividad del control.
S.8.11.1.1Aprobar el procedimiento "Monitoreo de Desempeño de Servicios de TI" y sus actualizaciones, que reglamenta la metodología de revisión y los planes de acción en caso de desviaciones.
Definir y actualizar periódicamente los ANSs con el negocio para la prestación de los servicios de T.I. Estos ANS son propuestos por el Jefe de T.I. y aceptados los dueños de los procesos. 05/07/2017 Deloitte
S.8.11.1.2
Revisar el cumplimiento y medidas correctivas, mediante reunión donde se presenta un informe de los servicios prestados por los terceros.
De esta reunión se genera un acta en la que:
- Se formaliza la aceptación del servicio cuando es prestado de acuerdo a los ANSs definidos.- Se registra el seguimiento y/o cumplimiento de los compromisos adquiridos en la anterior reunión.
En caso de identificarse desviaciones u oportunidades de mejora, se documentan los compromisos establecidos.
- Análisis integral respecto a los tiempos de respuesta y el tipo de falla sin solucionar, lo anterior con el fin de identificar irregularidades no solucionadas a tiempo y que hayan desatado o permitido un evento de
fraude.Para la revisión de cumplimiento del área de TI, se tiene definido el control S.8.2.5.1
05/07/2017 Deloitte
V3
GR&C S.2.1.
Controles generales
de TI
Actualización Matrices SOX 2017
Ajuste en el Número y redacción del Riesgo asegurando, sobre
temas de fraude y corrupción y
estandarizando a los riesgos de
CENIT.
S.8.2.16
Perdida de la continuidad de la tecnología que soporta procesos críticos del negocio de alcance SOX, en caso de generarse un escenario de contingencia, debido
a falta de pruebas de recuperación sobre los elementos de la plataforma tecnológica, no ejecución de planes de mejora como resultado de las pruebas
realizadas, falta de actualización de los planes de recuperación tecnológica de
acuerdo con los cambios presentados en los sistemas de información donde se
soporta la operación y procesos críticos de la organización. Lo anterior podría
generar pérdida de disponibilidad e integridad de la información, incumplimiento de los objetivos del negocio, pérdidas financieras, legales y daños en la reputación.
Ajuste en la descripción
de la actividad del
control.
05/07/2017 Deloitte
N.1.1.1.1
Verificar los controles automáticos del sistema a través de los cuales:1. El sistema está parametrizado para generar facturas, solo cuando se tenga el documento de venta. El valor de la factura se calcula automáticamente, una vez se carguen las cantidades y los precios en el sistema
2. El sistema SAP no permite generar dos documentos de venta asociados al mismo número de pedido externo SAP
3. Para las facturas ya emitidas, los campos de la factura son bloqueados por el sistema SAP (campos correspondientes a cantidades y precios)
4. Para las tarifas parametrizadas, el sistema SAP no permite generar facturas para fechas de precio en que las tarifas no estén vigentesAnualmente el Profesional de Gestión de Ingresos y Reportes verifica esta configuración haciendo prueba y dejando como evidencia la pantalla de ésta
Nota: La periodicidad de éste control es anual siempre y cuando no se hayan presentado cambios en la configuración solicitados por el área
05/07/2017 Deloitte
N.1.1.1.3Aprobar la conciliación de solicitudes de facturación verificando que las solicitudes atendidas según el registro en el sistema SAP coincidan con las facturas emitidas. Las diferencias son investigadas, identificadas y
resueltas de forma oportuna.05/07/2017 Deloitte
V2 Facturación Actualización Matrices SOX 2017
Ajuste en el Riesgo asegurando
temas de fraude y corrupción y
estandarizando a los riesgos de CENIT.
N.1.1.2
Sub o sobre estimación de ingresos involuntaria o fraudulenta debido a falta de oportunidad de la información, estimación inadecuada y falta de revisión de los
servicios a facturar, generando registros contables erróneos y pérdida de la calidad
y exactitud de la información contable.
Ajuste en la descripción
de la actividad del
control y en la evidencia
N.1.1.2.1
Revisar por parte del Prestador de Servicios (Especialista en Soporte en la Operación) el monto a registrar por ingresos de operación portuaria para TLU1 y TLU3 ya sea por provisión o legalización de la provisión,
de acuerdo con el archivo en Excel enviado por el Profesional de Gestión y Finanzas.
Para el caso de la provisión el Profesional de Gestión y Finanzas, realiza el cálculo tomando como base los archivos de servicios portuarios de programación enviados por el área de operaciones del Prestador de
Servicios (CENIT) y la tasa representativa de mercado publicada por el Banco de La Republica de la fecha de la liquidación. En caso tal que la provisión presente una variación porcentual superior al 50% con
relación al mes anterior debe solicitar aprobación del Jefe Soporte de la Operación del Prestador de Servicios.
Para el caso de la legalización de provisiones, el Profesional de Gestión y Finanzas, revisa la legalización de los ingresos de provisión, a través de los documentos físicos enviados por Ecopetrol vs los archivos de
servicios portuarios emitidos por programación y utilizadas para el registro de la provisión; se validan las desviaciones (en caso de aplicar) y se envía correo electrónico a Ecopetrol con los valores ajustar, los cuales
se reversan en la legalización del mes posterior si estos no superan el 20%, si son montos superiores al porcentaje establecido, debe solicitar aprobación por parte del Especialista en Soporte en la Operación y Jefe Soporte de la Operación.
El Especialista envía aprobación de la provisión y/o legalización por correo electrónico al Profesional de Gestión y Finanzas quién informa al área contable el valor de la provisión, posteriormente el Profesional de
Gestión y Finanzas evidencia que el registro contable ha sido realizado en la contabilidad (pantalla de SAP con el registro de la provisión).
05/07/2017 Deloitte
Ajuste en la descripción de la actividad del
control.
N.2.1.1.1
Validar que las creaciones, bajas y traslados solicitados se registren correctamente en el sistema SAP, incluyendo los mantenimientos capitalizables que han sido creados como activos en el módulo AM de SAP.
El Prestador de Servicios (profesional de Data Maestra de Activos), envía correo electrónico al Coordinador de Activos Fijos, con el reporte mensual de datos maestros que es tomado del Sistema SAP, anexando los
papeles de trabajo correspondientes a cada una de las novedades que contiene las verificaciones. El Coordinador de Activos Fijos, en señal de revisión envía correo electrónico al profesional de Data Maestra de Activos.
De presentarse diferencias se envía correo electrónico al solicitante para su ajuste y comentarios por parte del profesional de data maestra de activos con copia al Coordinador de Activos Fijos.
05/07/2017 Deloitte
Ajuste en la descripción
de la actividad del
control.
N.2.1.1.3
Revisar la conciliación de la toma física y los registros contables de acuerdo a la información suministrada por el tercero (avaluador) .
El Prestador de Servicios (Coordinador de Activos fijos) realiza una verificación aleatoria de los activos por placas y descripción acorde con las especificaciones técnicas, dejando un papel de trabajo en señal de validación.
05/07/2017 Deloitte
V2
Ajuste en el Riesgo asegurando
temas de fraude y corrupción y estandarizando a los riesgos de
CENIT.
Actualización Matrices SOX 2017
Gestión y
Capitalización de Activos
Inadecuada gestión de activos fijos debido a errores en el registro de la
información en SAP en el momento de la creación, errores en la actualización de
las novedades y capitalización de activos, información desactualizada, alteración o falsedad en la información, falta de revisión y aprobación por el nivel requerido,
fallas en el monitoreo de activos, lo cual puede generar errores en los saldos de
cuenta, pérdida o apropiación inadecuada de activos y en la razonabilidad de los estados financieros.
N.2.1.1.
V2 Actualización Matrices SOX 2017
Ajuste en la descripción
de la actividad del control y en la
evidencia
Ajuste en el Riesgo asegurando
temas de fraude y corrupción y estandarizando a los riesgos de
CENIT.
N.1.1.1
Errores o manipulación del proceso en el proceso de emisión de facturas debido a:
inadecuada parametrización del sistema, aprobaciones por personal no autorizado, inadecuada segregación de funciones, inadecuados niveles de
autorización, registro inadecuado de cantidades a facturar lo cual puede generar pérdida y/o fraude sobre la calidad y exactitud de la información contable,
pérdidas económicas, afectación de relaciones comerciales e imagen de la
Compañía.
Facturación
Ajuste en la descripción
de la actividad del control.
N.2.1.1.4
Verificar que los mantenimientos mayores registrados en el módulo de PM de SAP estén asociados a los Activos Fijos de acuerdo a la información reportada por el operador.
En señal de revisión se envía el archivo al Prestador de Servicios (Jefatura de Contabilidad) por medio de correo electrónico.05/07/2017 Deloitte
N.2.1.2.
Inadecuado reconocimiento de los activos debido a desconocimiento de la norma,
aplicación tardía del análisis de avalúos en activos, omisión y/o registro contable
equivoco y reconocimiento de gastos/costos como activos lo cual puede generar incumplimiento de la normatividad legal, sobre o subvaloración de la utilidad y
poca fiabilidad en los estados financieros.
Ajuste en la descripción
de la actividad del control.
N.2.1.2.1
Validar el cumplimiento de la normatividad vigente en cuanto al reconocimiento del valor actual y vidas útiles de los activos fijos mediante la contratación de un avaluador técnico especializado, que revisa las vidas
útiles aplicables de los activos de la compañía y el cual posteriormente es enviado al área contable, quien a su vez realiza las actualizaciones a que hubiere lugar.
El Prestador de Servicio (Jefe de Contabilidad) aprueba la carga correspondiente.05/07/2017 Deloitte
N.2.1.3
Inadecuado cálculo de deterioro y de la provisión de abandono debido a falta de
integridad, manipulación u omisión en la información reportada por las áreas
involucradas, errores en las actividades de los procedimientos del cálculo de costos
de desincorporación y del deterioro, error del cálculo de los valores razonables para el registro de la provisión y falta de revisión por el nivel requerido lo que
puede generar inconsistencias en las cifras de los Estados financieros.
Ajuste en la descripción
de la actividad del control.
N.2.1.3.1
1. Validar y revisar los costos de abandono de acuerdo con lo establecido en la Guía de desincorporación de activos de Cenit, para efectos del cálculo de la provisión de abandono bajo la norma IFRS en conjunto
con los involucrados por medio de una mesa de trabajo.
2. Revisar la provisión de costos de abandono validando las variables del cálculo, de acuerdo a la información enviada por el Prestador de Servicio (Coordinador de Activos fijos) al área contable con el cálculo respectivo.
En caso de encontrar diferencias, el Prestador de Servicio (área contable) enviará correo electrónico al Prestador de Servicio (Coordinador de Activos fijos) con los comentarios y/o ajustes a realizar.
05/07/2017 Deloitte
N.2.1.3
Inadecuado cálculo de deterioro y de la provisión de abandono debido a falta de integridad, manipulación u omisión en la información reportada por las áreas
involucradas, errores en las actividades de los procedimientos del cálculo de costos
de desincorporación y del deterioro, error del cálculo de los valores razonables
para el registro de la provisión y falta de revisión por el nivel requerido lo que puede generar inconsistencias en las cifras de los Estados financieros.
Ajuste en la descripción
de la actividad del
control.
N.2.1.3.2
1.Revisar las premisas cualitativas del deterioro indicadas en la normatividad IFRS de acuerdo a la información suministrada por la Gerencia de Planeación y Control de Gestión (prestador de Servicios) por medio de
correo electrónico que contiene el checklist del análisis y los soportes respectivos. En señal de revisión, el Gerente Senior de Finanzas (prestador de Servicios) envía correo electrónico con su visto bueno.
2. Si aplica, se procede al cálculo cuantitativo de deterioro, validando por parte del Gerente Senior de Finanzas (prestador de Servicios)que el valor de los activos, tarifas, inversiones, costos reportados para el
sistema coincida con la información recibida por las áreas y de acuerdo al procedimiento de deterioro de los activos emitido por Casa Matriz y en señal de revisión envía correo electrónico al Gerente de
Planeación y Control de Gestión.(prestador de Servicios)
Posteriormente, El Gerente de Planeación y Control de Gestión (prestador de Servicios) envía correo electrónico al Jefe de Contabilidad (prestador de Servicios)con el archivo con del cálculo del deterioro para su
registro con la validación de la integridad de las cifras y posteriormente el Jefe de contabilidad envía correo electrónico confirmando el registro.
31/08/2017Coordinador de
Aseguramiento
N.2.1.4
Asignación errada de costos de órdenes de trabajo de mantenimiento, debido a:
- Inadecuada clasificación de las actividades de mantenimiento (capitalizable o no
capitalizable), conflicto de segregación de funciones, generando afectación a la
confiabilidad, clasificación y razonabilidad en los estados financieros de la compañía
Ajuste en la descripción
de la actividad del
control.
S.7.10.5.10
Revisar y aprobar el reporte de las órdenes de trabajo correspondientes a mantenimientos a capitalizar en el mes y a transferir a activos en curso de acuerdo a los criterios definidos bajo IFRS, el cual es enviado por el área de planeación de mantenimiento.
En caso de identificar diferencias, se remite nuevamente al área de planeación de mantenimiento para su justificación.
Posteriormente se envía a la Coordinación de Activos Fijos para su registro.
05/07/2017 Deloitte
V3
Gestión y
Capitalización de Activos
Eliminación de control. N/A N/A
N/A
El riesgo es existe en la matriz. Hay controles identificados en la compañía que
mitigan el riesgo.
Eliminación del control N.2.1.1.4
N.2.1.1.4
Verificar que los mantenimientos mayores registrados en el módulo de PM de SAP estén asociados a los Activos Fijos de acuerdo a la información reportada por el operador.
En señal de revisión se envía el archivo al Prestador de Servicios (Jefatura de Contabilidad) por medio de correo electrónico. 03/10/2017Coordinador de
Aseguramiento ( Cenit)
S.1.1.1
Inadecuada aplicación de la normatividad contable, debido a inexistencia de políticas contables, no contar con monitoreos periódicos de los posibles cambios
normativos, falta de divulgación al personal responsable, incumplimiento de las
políticas y/o procedimientos definidas, lo cual puede ocasionar errores o fraude en los estados financieros y llevar a toma de decisiones inadecuadas y/o sanciones
a la Compañía.
N/A N/A N/A 05/07/2017 Deloitte
S.1.1.2
Inexactitud, falta de integridad o fraude de la información financiera tanto para su
registro, presentación y/o revelación debido a modificaciones de la información, errores en el registro del comprobante, errores manuales, apertura de periodos
reportados, inadecuada segregación de funciones, débil proceso de revisión, falta
de controles en asignación de usuarios e incorrecta parametrización del sistema,
manipulación dolosa de estados financieros (producción, alteración o supresión deliberada de registros, creación de transacciones con proveedores o acreedores
falsos, manipulación de saldos de cuentas del activo y pasivo, traslado periódico de
obligaciones reales o ficticias (de un acreedor o deudor a otro, real o ficticio), lo cual puede generar incorrecta clasificación o presentación de los Estados
Financieros, información fraudulenta (por sobrevaloración/subvaloración de
activos, registro de activos ficticios, registro de ingresos o pagos ficticios, incorrecta
clasificación del grado de liquidez de inversiones, incorrecta clasificación de activos/pasivos entre corto y largo plazo, no reconocimiento de obligaciones
financieras, inexactitud en las revelaciones de eventos significativos/materiales o de transacciones con partes relacionadas, entre otros), fallas en la toma de
decisiones, sanciones, multas y calificación de la opinión del revisor fiscal.
Ajuste en la descripción de la actividad del control.S.1.1.2.2
Revisar el listado de comprobantes manuales generado por el sistema SAP.
Posteriormente el Prestador de Servicio (Jefe de Contabilidad) valida la información de los comprobantes manuales.
En caso de encontrarse inconsistencias por parte del Prestador de Servicios (Jefe de Contabilidad), éste envía correo electrónico al Outsourcing contable con las diferencias para su resolución.05/07/2017 Deloitte
S.1.1.4
Inadecuado cálculo y registro de provisiones así como sobre o subestimación
fraudulenta de las mismas debido a la falta de revisión de la integridad de la información entre los estimados contables y el registro en el modulo F.I y las
fuentes externas como el área legal entre otros, lo cual puede generar información
incorrecta y/o fraudulenta en los estados financieros y las revelaciones.
Ajuste en la descripción de la actividad del control.S.1.1.5.6.
Validar que los totales del patrimonio incluida la utilidad del ejercicio cargada en hyperion correspondan al cierre contable del periodo de acuerdo a la información cargada por el prestador de
servicios(outsourcing) , por medio de la pantalla de reporte de Hyperion que valida los saldos contra el balance.
En caso de ajustes o diferencias se envía correo electrónico al prestador de servicios(outsourcing) para ajustar o corregir o justificar
05/07/2017 Deloitte
Ajuste en la descripción de la actividad del control.S.1.1.5.2.Validar que la información incluida en los formatos de reporte a las entidades de control y demás Entidades Gubernamentales, sea consistente con la información registrada en el sistema de información SAP.
En caso de encontrar inconsistencias en la información, se envía correo electrónico al Outsourcing para realizar los ajustes correspondientes.
05/07/2017 Deloitte
Ajuste en la descripción
de la actividad del
control.
S.1.1.5.3.
Presentar ante la Junta Directiva para su análisis y revisión, los reportes y/o Estados Financieros.
En caso de que aplique, Prestador de Servicio (el Outsourcing) se asegura la inclusión de las recomendaciones realizadas por parte de la Junta Directiva revisando el acta, y envía correo electrónico al Prestador de Servicio (Jefe de Contabilidad) con la confirmación de los cambios y posteriormente se envía al Prestador de Servicio (Gerente Senior de Finanzas y Director Estratégico y de Finanzas), para su aprobación
05/07/2017 Deloitte
Ajuste en la descripción
de la actividad del
control.
S.1.1.5.6.
Validar que los totales del patrimonio incluida la utilidad del ejercicio cargada en hyperion correspondan al cierre contable del periodo de acuerdo a la información cargada por el prestador de
servicios(outsourcing) , por medio de la pantalla de reporte de Hyperion que valida los saldos contra el balance.
En caso de ajustes o diferencias se envía correo electrónico al prestador de servicios(outsourcing) para ajustar o corregir o justificar
05/07/2017 Deloitte
V2
V2
GR&C S.1.1.Cierre
Contable, Preparación y
Revelación de
Estados Financieros
Actualización Matrices SOX 2017
Ajuste en el Riesgo asegurando temas de fraude y corrupción y
estandarizando a los riesgos de
CENIT.
Ajuste en el Riesgo asegurando temas de fraude y corrupción y
estandarizando a los riesgos de
CENIT.
Actualización Matrices SOX 2017
Gestión y
Capitalización de
Activos
Inadecuada gestión de activos fijos debido a errores en el registro de la
información en SAP en el momento de la creación, errores en la actualización de las novedades y capitalización de activos, información desactualizada, alteración o
falsedad en la información, falta de revisión y aprobación por el nivel requerido,
fallas en el monitoreo de activos, lo cual puede generar errores en los saldos de
cuenta, pérdida o apropiación inadecuada de activos y en la razonabilidad de los estados financieros.
N.2.1.1.
S.1.1.5
Errores y/o información fraudulenta en la información financiera reportada y
revelaciones, debido a una inadecuada revisión y análisis de las cifras contables,
incumplimiento de las políticas y/o procedimientos y la normativa aplicable y supeditaje gerencial, lo cual puede afectar la toma de decisiones de los usuarios
de la información y el correcto análisis de la situación económica de la compañía
S.1.1.7
Falta de integridad, valuación, validez y razonabilidad de la información financiera
debido errores en registros contables manuales, errores en las interfaces registradas, lo cual puede ocasionar errores en los Estados Financieros y/o
información fraudulenta.
Ajuste en la descripción de la actividad del
control.
S.1.1.7.1.
Revisar y aprobar conciliaciones mensuales del balance, incluyendo las operaciones reciprocas, de acuerdo a la información enviada por el prestador de servicios(outsourcing) donde se realiza el cruce de los saldos.
Todas las partidas conciliatorias se identifican en el mes siguiente, se investigan y aclaran oportunamente y de ser necesario, se realizan registros contables correspondientes.05/07/2017 Deloitte
N/A N/A
Ajuste en la descripción
de la actividad del
control.
S.1.1.3.1
Validar por parte del Prestador de Servicio(Jefe de Contabilidad) que las actividades definidas para el cierre de estados financieros se cumplan en su totalidad de acuerdo a la comunicación enviada por Casa Matriz,
mediante la verificación de las actividades presentadas en el calendario de cierre contable por parte del Prestador de Servicio( Outsourcing contable), el cual es divulgado de acuerdo a las fechas establecidas.
En caso de incumplimiento de alguna de las actividades se contacta al responsable para validar las causas que lo impide o su gestión oportuna.
05/07/2017 Deloitte
N/A N/A
Ajuste en la descripción
de la actividad del
control.
S.1.1.6.1.
Revisar y aprobar la solicitud del ajuste/correcciones/errores posteriores al cierre, a fin de realizar los registros en el sistema SAP. Las reaperturas realizadas después de haber reportado a Casa Matriz deben contar con la autorización del Prestador de Servicio (Gerente Senior Finanzas) y Gerente General de ODC y son realizadas por el Prestador de Servicio (Jefe de Contabilidad).
Hecho el ajuste por el Prestador de Servicio( Outsourcing Contable), el Prestador de Servicio (Jefe de Contabilidad) valida en el sistema SAP, que lo solicitado, haya sido realizado, tenga su soporte de registro y sea consistente con el análisis.
Posteriormente, el Prestador de Servicio (Gerente Senior Finanzas) y Gerente General verifica que los ajustes realizados correspondan a los autorizados y envía por medio de correo electrónico su verificación al
Prestador de Servicio (Jefe de Contabilidad).
En caso de encontrar inconsistencias y/o diferencias, el Jefe de Contabilidad y/o el Gerente Senior de Finanzas envía correo electrónico solicitando justificaciones o ajustes (si aplica).
Nota: El perfil del usuario del Jefe Contabilidad es el único que tiene la posibilidad abrir periodos cerrados y SAP no permite el registro de transacciones en periodos cerrados.
05/07/2017 Deloitte
V3
GR&C S.1.1.Cierre
Contable, Preparación y
Revelación de
Estados Financieros
Ajuste de control N/A N/A N/AAjuste en la descripción
de la actividad del
control.
S.1.1.5.6.
Validar que los totales del patrimonio incluida la utilidad del ejercicio cargada en hyperion correspondan al cierre contable del periodo de acuerdo a la información cargada por el prestador de servicios(outsourcing) , por medio de la pantalla de reporte de Hyperion que valida los saldos contra el balance.
En caso de ajustes o diferencias se envía correo electrónico al Outsourcing para ajustar o corregir o justificar.
Para los cambios posteriores al cierre contable, el Prestador de Servicios (Jefe de Contabilidad) envía correo electrónico a Casa Matriz con los ajustes para efectos de consolidación y cargue en Hyperión.
2. Revisión de la conciliación de las cifras SAP frente al reporte de Hyperion ( día 15 posterior al cierre) o cuando ocurra ajuste posterior al cierre . En caso de encontrar diferencias, el Prestador de Servicios (Jefe de
Contabilidad) envía correo electrónico a Casa Matriz para su gestión y respuesta. ( si aplica ajustes posteriores al cierre).
Nota: Una vez cargadas las cifras de los EEFF en Hyperion no se permite realizar ajuste en la aplicación por parte de Cenit.
23/10/2017Coordinador de Aseguramiento
Ajuste en la descripción de la actividad del
control.
S.1.3.1.1
Analizar el patrimonio fiscal base para el cálculo del impuesto a la riqueza, por medio de los anexos de la declaración de renta con el que se elabora la hoja de trabajo para su respectivo cálculo.
El Prestador de Servicios (Jefe Tributario) aprueba el cálculo del impuesto a la riqueza para su posterior registro en el sistema SAP.
En caso de encontrar inconsistencias o errores en la depuración y cálculo del impuesto a la riqueza, se realiza el respectivo ajuste.05/07/2017 Deloitte
Control eliminado S.1.3.1.6
Revisar que la base de datos de los Acuerdos de Rentas Municipales de los municipios en donde ODC es contribuyente declarante del impuesto de industria y comercio se encuentre actualizada, así como los
formularios de las declaraciones, mediante la verificación de las comunicaciones recibidas a los municipios y las páginas Web de los municipios frente a la base.05/07/2017 Deloitte
S.1.3.1.2
Aprobar las declaraciones tributarias, mediante la revisión de las hojas de trabajo (archivos en Excel), análisis de variaciones, anexos de cada una de las declaraciones físicos o magnéticos, así:
Mensual: Retención en la Fuente, Autorretención y retención de ICA (en los municipios que aplique)
Bimestral: Declaración de IVA, Autorretención y retención de ICA (en los municipios que aplique), Declaración de ICA y Retenciones de ICA en Bogotá.Anual: Declaración de Renta, declaración de ICA anuales, declaración de activos en el exterior, declaración de precios de transferencia e Impuesto a la riqueza.
En caso de encontrar inconsistencias, el Prestador de Servicio(Jefe Tributario/Especialista Tributario y Aduanero) envía correo electrónico al Prestador de Servicio (outsourcing), solicitando ajuste o modificación.
Posteriormente, son firmadas por el Gerente General de ODC en señal de aprobación de las declaraciones tributarias.
05/07/2017 Deloitte
S.1.3.2.2.
Aprobar el cálculo del impuesto de Renta para su posterior registro en el sistema SAP, por medio de la validación de la tasa proyectada en periodos intermedios, que es realizada por el Prestador de Servicios (Outsourcing) de manera trimestral y que es aplicable mensualmente a la utilidad del periodo.
La hoja de trabajo Excel del cálculo de la tasa efectiva de tributación enviada por medio de correo electrónico contiene las proyecciones de Estados Financieros entregada por el Prestador de Servicios (Gerente de Planeación y Control de Gestión) para periodos trimestrales y las depreciaciones proyectadas entregada por el Prestador de Servicios(Outsourcing) a través de correo electrónico.
El cálculo contiene el análisis de las cuentas de ingresos, costos y gastos con el fin de determinar los conceptos de ingresos gravados y no gravados, los costos y gastos deducibles o no deducibles en el impuesto
sobre la renta.
En caso de ajustes o modificaciones al cálculo de los impuestos, el Prestador de Servicios (Jefe de Impuestos/Especialista Tributario y Aduanero) envía correo electrónico al outsourcing con la solicitud de cambios.
Para el cierre anual o cierre de propósitos específicos, el cálculo del impuestos se realiza sobre bases reales, esto es, ingresos, costos y gastos arrojados del sistema SAP. Posteriormente, se realiza la depuración de
ingresos gravados y no gravados y de costos/gastos deducibles y no deducibles dejando la captura de pantalla de SAP del registro en la hoja de trabajo Excel.
05/07/2017 Deloitte
N/A N/A Control eliminado S.1.3.3.9
Informar al área de cuentas por pagar y tesorería el valor a pagar de las declaraciones tributarias (DIAN, municipales) y la fecha límite de pago, así como solicitar los soportes del pago de cada una de estas y verificar que el mismo se haya realizado oportunamente.
De generarse un saldo a favor no se emite comunicado al área de cuentas por pagar y tesorería.
05/07/2017 Deloitte
N/A N/A Control eliminado S.1.3.3.10
1.Realizar seguimiento a las fechas de vencimiento de las solicitudes de información enviadas por los entes de control.
2. Aprobar (a)las respuestas emitidas por el Prestador de Servicios (área de impuestos) (b), hacía los requerimientos ordinarios y especiales de los entes de control.05/07/2017 Deloitte
S.1.4.1.
Errores en la clasificación de las cuentas de depreciación y amortización debido a
inadecuada asociación de los activos a las cuentas parametrizadas en el sistema
SAP para el cálculo y fallas o alteraciones al ejecutar el proceso de liquidación, lo que puede generar reprocesos y/o información contable incorrecta.
N/A N/A N/A 05/07/2017 Deloitte
V2 Actualización Matrices SOX 2017
Ajuste en el Riesgo asegurando
temas de fraude y corrupción y
estandarizando a los riesgos de CENIT.
V2
GR&C S.1.1.Cierre
Contable, Preparación y
Revelación de
Estados Financieros
Actualización Matrices SOX 2017
Ajuste en el Riesgo asegurando temas de fraude y corrupción y
estandarizando a los riesgos de
CENIT.
GR&C S.1.4. Cálculo
DD&A
Actualización Matrices SOX 2017
Ajuste en el Riesgo asegurando
temas de fraude y corrupción y
estandarizando a los riesgos de CENIT.
S.1.3.2.
Se elimino:Sobreestimar o subestimar las utilidades a distribuir, debido que la información
base para el cálculo del impuesto diferido sea errónea, que la extracción de la
información base sea incompleta, errores en el cálculo de la provisión de renta, lo que puede generar falta de integridad en la información financiera.
Se dejo:
Inadecuado cálculo del impuesto diferido y renta, debido a: Información base para el cálculo del impuesto diferido sea errónea o fraudulenta, errores en el cálculo de
la provisión de renta e impuesto diferido, supeditaje gerencial lo que puede
generar afectación reputacional y/o sanciones, estados financieros y revelaciones
erróneos, sobrestimación o subestimación de la utilidad a distribuir.
GR&C S.1.3 Determinación de
Impuestos
Nacionales y Municipales
Inoportuna e inadecuada presentación de las declaraciones tributarias incluyendo fraude en la información declarada debido a falta de revisión y aplicación de los
cambios tributarios, falta de revisión y aprobación de las declaraciones por el nivel
requerido, supeditaje gerencial, pago tardío y/o inadecuada planeación de los
plazos establecidos de presentación y pago lo cual puede generar sanciones y/o intereses por mora y afectación reputacional.
S.1.3.1.
Ajuste en la descripción
de la actividad del control.
S.1.4.2.
Errores en el cálculo de la depreciación y amortización debido a desconocimiento de la política de depreciación por el responsable errores manuales, manipulación
y/o alteración de la información y falta de revisión del cálculo depreciación y
amortización generando inconsistencias en los saldos contables y por ende en los estados financieros y reportes emitidos por la Compañía.
N/A N/A N/A 05/07/2017 Deloitte
v3GR&C S.1.4. Cálculo
DD&AAmpliación de la evidencia del control N/A N/A N/A
Ajuste de la evidencia del control
S.1.4.2.1.
Correo electrónico por parte del Prestador de Servicios (Supervisor de Activos Fijos) al analista de activos fijos con el visto bueno para el registro de la depreciación.
Si aplica,
Correo electrónico por parte del Prestador de Servicio (Supervisor de Activos Fijos) al analista con las diferencias e inconsistencias para ajustes.
La evidencia se guarda en la red del Prestador de Servicios
El papel de trabajo contiene el test de depreciación generado SAP con la pantalla del valor calculado y la fecha por el sistema, además de la hoja de validación del cálculo adicionada por el Supervisor.
Nota: La prueba de la depreciación únicamente se puede realizar en el mes vigente. El sistema no permite generar "ejecución en test" para meses anteriores y posterior.
2. Correo electrónico por parte del Outsourcing Contable Analista al Supervisor al analista de activos fijos con el visto bueno para el registro de la depreciación.
Si aplica,
Correo electrónico por parte del Outsourcing Contable Supervisor al Analista del Outsourcing con las diferencias e inconsistencias para ajustes.
23/10/2017Coordinador de Aseguramiento
V2 Costos Actualización Matrices SOX 2017
Ajuste en el Riesgo asegurando
temas de fraude y corrupción y estandarizando a los riesgos de
CENIT.
S.1.6.1
Se elimina el riesgo relacionado con la distribución de costos dado que ODC por
tener un solo ducto no requiere de una distribución d costos. Se deja el riesgo relacionado con operación y mantenimiento.
Sobrestimación o Subestimación ( involuntaria/ intencional) de los costos directos
e indirectos debido a: errada causación frente a la estructura contable de costos, desviaciones importantes en el establecimiento de presupuestos y en su
coherencia con la ejecución del contrato y falta de análisis de los responsables del
procesos, lo cual genera errores en la valuación del costeo, inconsistencias en las distribuciones de costos y Estados Financieros no acordes con la realidad del
negocio.
Ajuste en la descripción
de la actividad del control.
S.1.6.1.1.
Se elimina el control de distribución de costos dado que ODC por tener un solo ducto no requiere de una distribución de costos, adicionalmente la actividad de verificación que las cuentas 7 se traslada alas
cuentas 6 se incluyó en el check list.
Control ajustado:Aprobar la revisión del registro en el sistema SAP por concepto de costos de operación y mantenimiento con base en el correo electrónico elaborado por el Profesional de Finanzas. El Profesional de Finanzas
verifica lo presupuestado vs lo ejecutado, detalle que se extrae del sistema SAP, comparando las cifras y solicitando explicación al encargado de la operación y mantenimiento (Ecopetrol) para diferencias que
superen un porcentaje mayor a 10%. En el caso de que la justificación no corresponda a la realidad del servicio se debe solicitar el ajuste / reclasificación correspondiente.
05/07/2017 Deloitte
V2GR&C S.1.2.
Manejo de Caja y
Bancos
Actualización Matrices SOX 2017
Ajuste en el Riesgo asegurando
temas de fraude y corrupción y
estandarizando a los riesgos de
CENIT.
S.1.2.1.
Realizar pagos errados, fraudulentos (robo) o no autorizados debido a que son
ejecutados por personal no autorizado, inadecuada segregación de funciones o cargue de gastos que no estén autorizados, fraccionamiento de pagos, ausencia en
la verificación de los ajustes realizados y solicitados por el autorizador y generando
pérdidas económicas y afectación al cumplimiento de las obligaciones.
Ajuste en la descripción de la actividad del
control.
S.1.2.1.4.Verificar, aprobar y autorizar la propuesta de pago por la transacción ZFI_SWIFT / niveles de aprobación ZFI029 en el sistema SAP, a través del workflow que recibe cada nivel de aprobador autorizado que son:
Aprobador 1, Aprobador 2 y Aprobador 3.05/07/2017 Deloitte
V2
GR&C S.1.2.
Manejo de Caja y Bancos
Actualización Matrices SOX 2017 Riesgo eliminado S.1.2.3
Realización de pagos que no cumplan con la política de caja menor debido a la
ausencia de facturas o documentos que soporten la generación del gasto o a la
existencia de gastos o ingresos que no tengan su respectivo gasto-soporte en SAP y viceversa. Lo anterior podría generar la perdida de recursos necesarios para el
desarrollo de la actividad de la compañía.
Control eliminado S.1.2.3.6.
Realizar los arqueos al menos una vez al año. Cada año se debe realizar un arqueo en el mes de diciembre y otro en una fecha aleatoria por medio de una visita física que realiza el prestador de servicios (Coordinador de Tesorería) con la persona responsable de custodiar la caja menor previo citación a través de una llamada telefónica.
En caso de encontrar diferencias se deja un acta con las inconsistencias firmada por el Prestador de Servicios (Jefe de Tesorería/ Gerente Senior de Finanzas) y Gerente General de ODC
05/07/2017 Deloitte
V2
GR&C S.1.2.
Manejo de Caja y
Bancos
Actualización Matrices SOX 2017 Riesgo eliminado S.1.2.4
Movimientos bancarios realizado por personas no autorizadas, debido a:
actualización no oportuna de los funcionarios autorizados, errores en
comunicaciones al banco generando perdidas económicas para la Compañía.
Control eliminado S.1.2.2.8.
Confirmar saldos, firmas autorizadas y entidad financiera, relacionadas con las cuentas bancarias, fiducias y cualquier otro tipo de producto financiero a través de circularizaciones sobre las cuales se solicita el
siguiente detalle:
1. Número y tipo de cuenta
2. Nombres y números de cédulas de los funcionarios
La Coordinación de Tesorería realiza seguimiento a la oportuna respuesta por medio de correos electrónicos y llamadas telefónicas.
05/07/2017 Deloitte
V2
GR&C S.1.2.
Manejo de Caja y
Bancos
Actualización Matrices SOX 2017 Riesgo eliminado S.1.5.2
Modificación involuntaria o intencional a la información crítica en SAP de los contratos por funcionarios no autorizados, debido a inadecuada segregación de
funciones, desconocimiento del personal responsable, débiles procesos de
revisión, lo cual puede generar inexactitud en la información financiera o pérdidas
económicas.
Control eliminado S.1.5.1.2.
Validar que la información de clientes creada en el sistema SAP, tenga como mínimo; la sociedad, organización de ventas, tipo de servicio, zona de transporte, cuenta bancaria, condición de pago, el grupo de
clientes al que pertenecen y único NIT registrado, de acuerdo con el formato de creación de clientes nacionales.
Posterior data maestra envía correo electrónico al área solicitante con el registro de creación SAP de los clientes nacionales o del exterior.
05/07/2017 Deloitte
Cuentas por Cobrar Control eliminado S.1.5.1.2.
Verificar el cálculo de intereses de mora de acuerdo con las facturas de clientes que presentan vencimiento y el recalculo en Excel enviado por el Analista de Cartera- Outsourcing por medio de correo electrónico.
Nota: Los intereses de mora son calculados por el sistema SAP05/07/2017 Deloitte
Cuentas por Cobrar
Ajuste en la descripción
de la actividad del
control.
S.1.5.1.1
Controles automáticos del Sistema a través de los cuales:
1. El sistema SAP está configurado para asegurar que solamente se aplique depósitos a terceros previamente creados. 2. El sistema SAP no permite que un recaudo de las cuenta por cobrar pueda ser aplicado más de una vez.
3. El sistema SAP no permite borrar los deudores que presentan movimiento en los saldos contables.
4. El sistema SAP no permite la creación de un deudor sin diligenciar los campos obligatorios parametrizados.5. El sistema SAP calcula automáticamente los intereses de mora de acuerdo con las facturas de clientes que presentan vencimiento.
Anualmente el Prestador de Servicios (Jefe de Tesorería y Data Maestra ) valida esta configuración haciendo prueba, dejando como evidencia las pantallas de esta.
En caso de reportar inconsistencias, se hace la solicitud a IT, como respuesta a la corrección de la solicitud, la jefatura procede a verificar y realizar las pruebas sobre cambios.
Nota: La periodicidad de este control es anual, siempre y cuando no se hayan presentado cambios solicitados por el área de cartera en la configuración".
05/07/2017 Deloitte
V2 Actualización Matrices SOX 2017
Ajuste en el Riesgo asegurando
temas de fraude y corrupción y estandarizando a los riesgos de
CENIT.
GR&C S.1.4. Cálculo DD&A
S.1.5.1.
Inadecuada gestión de las cuentas por cobrar, reconocimiento incorrecto de los
recaudos y registro de pagos ficticios debido a gestión de cobro inoportuno,
errores manuales, manipulación y/o alteración de la información, cobros por montos superiores, autorización de ajustes incorrectos en la verificación de los
intereses por mora y/o aplicación errónea de los recaudos y/o a clientes
incorrectos de forma deliberada generando pérdidas económicas, fraude, reportes de cartera alterados y/o afectación a los Estados Financieros de la Compañía.
V2 Actualización Matrices SOX 2017
Ajuste en el Riesgo asegurando temas de fraude y corrupción y
estandarizando a los riesgos de
CENIT.
Cuentas por Cobrar
Ajuste en la descripción
de la actividad del control.
S.1.5.1.2.
Revisar el proceso de gestión de cobranza y provisión de cartera (si aplica) para todos los clientes que presentan cartera vencida por medio del seguimiento (llamada telefónica o correo electrónico) consignado en la hoja de cálculo; El Prestador de Servicios (Especialista de Liquidez, Deuda y Seguros) calcula la provisión de cartera de acuerdo a la guía de provisión de cartera del Prestador de Servicios. El cálculo es revisado
por el Prestador de Servicios (Jefe de Tesorería)
En el caso que aplique la provisión, el Prestador de Servicios (Jefe de Tesorería) envía correo electrónico al Prestador de Servicios (Jefe de Contabilidad) para el registro y posteriormente confirma el valor de la provisión al Prestador de Servicios (Jefe de Tesorería) por medio de correo electrónico; posteriormente el Prestador de Servicios (Gerente senior de Finanzas) solicita autorización al Gerente General ODC por correo
electrónico.
05/07/2017 Deloitte
V3Gestión
Presupuestal
Actualización del proceso de acuerdo a la estructuración del prestador de
Servicios
Actualización de valoración del
riesgos de acuerdo a la RAM 2017Todos Todos
Ajuste en el
responsable D.1.3.1.1 Experto en Proyecciones Financieras (Prestador de Servicios ) 30/0972017
Coordinador de
aseguramiento
V3Gestión
Presupuestal
Actualización del proceso de acuerdo a
la estructuración del prestador de
Servicios
Actualización de valoración del
riesgos de acuerdo a la RAM 2017Todos Todos
Ajuste en la descripción
de la actividad del
control.
D.1.3.3.2
Revisar el presupuesto de ingresos costos y gastos en conjunto con la Gerencia General de ODC para posterior presentación a la Junta Directiva
En caso de identificar ajustes en el presupuesto, estos son realizados por DC y entregados nuevamente para revisión
Responsable: Gerente General de ODC/ Cenit (Prestador de Servicios )
30/0972017Coordinador de
aseguramiento
V3Gestión
Presupuestal
Actualización del proceso de acuerdo a
la estructuración del prestador de Servicios
Actualización de valoración del
riesgos de acuerdo a la RAM 2017Todos Todos
Ajuste en la descripción
de la actividad del control.
D.1.3.3.2
Verificar que el presupuesto cargado en el sistema SAP corresponda con la versión final aprobada por la Junta Directiva.
En caso de requerir algún ajuste, estos son aprobados de acuerdo al Manual Delegación de Autoridad (ODC) y posteriormente son cargados por el prestador de Servicios ( Experto en Proyecciones Financieras) ,
quién envía correo electrónico con el ajuste o modificación y se verifica nuevamente el cargue del presupuesto en el sistema SAP. 30/0972017Coordinador de
aseguramiento
V3Gestión
Presupuestal
Actualización del proceso de acuerdo a
la estructuración del prestador de
Servicios
Actualización de valoración del
riesgos de acuerdo a la RAM 2017Todos Todos
Inclusión de control
nuevo D.1.3.1.4
Monitorear las variaciones del presupuesto ejecutado vs lo planeado a fin de identificar variaciones significativas que impacten el desempeño financiero futuro de la Compañía
En caso de identificar desviaciones o alertas, se generarán los planes de acción correspondientes para su seguimiento30/0972017
Coordinador de
aseguramiento
V1 Logística
Riesgos y controles nuevos de acuerdo
a las actividades ejecutadas por el
prestador de Servicios
Riesgos nuevos Todos Todos Controles nuevos Todos Todos 30/10/2017Coordinador de
aseguramiento
v3 Transporte Actualización de acuerdo a la nueva
estructura, riesgos y responsables Todos Todos Todos Todos Todos Todos 15/10/2017
Coordinador de aseguramiento
V3Compras y
Contratación
Actualización del proceso de acuerdo a la estructuración del prestador de
Servicios
Todos Todos Todos
Inclusión de controles,
ajustes en la
descripción de las
actividades, etc.
Todos Todos 15/10/2017Coordinador de
aseguramiento
V3Controles generales
de TI
Se ajustaron los criterios para selección
del backup sobre el cual se realiza el
control.
Ajuste de acuerdo a observación
de ECPS.8.8.1
Restauraciones de back ups fallidas, pérdida de información, datos no actualizados, debido a falta de procedimientos para la restauración de copias de
respaldo, no ejecución de pruebas de restauración, inadecuados controles
ambientales y físicos en el centro de cómputo donde se encuentran los servidores
que soportan la operación de la compañía. Lo anterior podría generar pérdida de información, pérdidas económicas, indisponibilidad de información, falta de
continuidad de la operación.
Ajuste de acuerdo a
observación de ECPS.8.7.2.2 2.
Restaurar las copia de respaldo de sistemas SOX, seleccionando el backup de las copias disponibles de acuerdo a las políticas de retención de backups.
En caso de presentarse fallas en el proceso de restauración, se realizan las acciones correspondientes.
Lo anterior se documenta adjuntando las evidencias de la correcta restauración o de las fallas presentadas y las acciones a tomar.
21/11/2017 Deloitte
V4Gestión y
Capitalización de
Activos
Controles nuevos de ARO e Impairment 20/12/2017Coordinador de aseguramiento
V5Gobierno
Corporativo
Valoración de riesgos de Gobierno
Corporativo y cambios en la clase del
control y ajuste en la frecuencia del control de inmobiliaria
Se ajusta una causa del riesgo E.1.1.2
Faltas éticas en ODC, de los empleados y/o miembros de Junta Directiva o
inadecuada toma decisiones, debido a:
1. La inadecuada definición, aprobación y divulgación de las políticas, manuales y
procedimientos en materia de: Delegación de autoridad, Ética, Denuncias éticas,
Cumplimiento y Buen Gobierno2. No promover actuaciones basadas en la integridad y los valores éticos.
3. Falta de capacitación en relación a los temas de ética, cumplimiento, conflictos
de interés y mecanismos para realizar denuncias éticas.
4. Manejo inadecuado de las denuncias, consultas y dilemas de los interpuestos por los grupos de interés.
5. Conflictos de interés en los miembros de Junta Directiva que no hayan sido avalados por asamblea de accionistas
Lo cual puede ocasionar, materialización de actos indebidos, incumplimiento o
desconocimiento de los Estatutos y definiciones de la normativa interna,
afectando el clima organizacional y la reputación y eventualmente generando la pérdida de valor de la Compañía, entre otros.
Ajuste en la frecuecia del control de acuerdo
a la realidad operativa
S.6.2.5.6 Eventual 27/12/2017Coordinador de
aseguramiento
S.1.5.1.
Inadecuada gestión de las cuentas por cobrar, reconocimiento incorrecto de los
recaudos y registro de pagos ficticios debido a gestión de cobro inoportuno,
errores manuales, manipulación y/o alteración de la información, cobros por montos superiores, autorización de ajustes incorrectos en la verificación de los
intereses por mora y/o aplicación errónea de los recaudos y/o a clientes
incorrectos de forma deliberada generando pérdidas económicas, fraude, reportes
de cartera alterados y/o afectación a los Estados Financieros de la Compañía.
V2 Actualización Matrices SOX 2017
Ajuste en el Riesgo asegurando
temas de fraude y corrupción y
estandarizando a los riesgos de
CENIT.