Professional Documents
Culture Documents
com
Enero 2018
Señor
Juan Carlos Beltrán
Gerente Institucional
Universidad Manuela Beltrán
Avenida Circunvalar No. 60-00
Bogotá, Colombia
4 de enero de 2018
Estamos haciendo entrega del informe con los resultados obtenidos durante la realización de la Auditoría a los contratos de
Educación virtual y presencial entre Positiva Compañía de Seguros S.A. (en adelante: Positiva) y la Universidad Manuela
Beltrán. Este trabajo fue realizado para el periodo comprendido entre el abril de 2017 a octubre de 2017. Nuestra evaluación
fue desarrollada de acuerdo con los estándares existentes para los servicios de auditoría interna y nuestras normas de auditoría.
Este informe ha sido preparado por nosotros para uso exclusivo de la administración de la Universidad Manuela Beltrán, de
acuerdo con el contrato para la prestación de servicios profesionales de auditoría interna y conforme a los requerimientos
específicos de la Universidad y bajo ninguna circunstancia constituye una auditoría de estados financieros.
Es importante mencionar que debido a las limitaciones inherentes a cualquier estructura de control interno pueden, ocurrir
errores o irregularidades que no sean detectados a través de nuestros procedimientos de auditoría interna. Así mismo, la
proyección de los resultados hacia períodos futuros está sujeta al riesgo de que los procedimientos se modifiquen por cambios
en las condiciones o porque el grado de efectividad del diseño y operación de los procesos pudieran deteriorarse.
PricewaterhouseCoopers Asesores Gerenciales Ltda., Calle 100 No. 11A-35, Bogotá, Colombia
Tel: (57-1) 634 0555, Fax: (57-1) 634 0614, www.pwc.com/co
Universidad Manuela Beltrán
Informe de la auditoría a los contratos de Positiva Compañía de Seguros S.A.
4 de enero de 2018
La Compañía es responsable de establecer y mantener un sistema de control interno adecuado y de prevenir y detectar
irregularidades y fraude.
Los hallazgos, recomendaciones y oportunidades de mejora identificados producto de la auditoría, fueron compartidos con los
funcionarios responsables de cada una de las áreas evaluadas, con el fin que ellos establezcan los planes de acción que eviten que
las situaciones observadas se vuelvan a repetir.
Cualquier aclaración respecto al contenido de esta comunicación gustosamente les será atendida.
Atentamente,
2 de 2
Contenido
Resumen ejecutivo Objetivo y alcance
1 2
Situaciones observadas
Anexos
A. Bases de nuestra calificación
3 B. Soporte de registros
Resumen ejecutivo (1 de 3)
Efectividad operativa 3 1 1 -
Total 6 2 2 -
Resumen ejecutivo (2 de 3)
PwC 6
Resumen ejecutivo Objetivo y alcance Situaciones observadas Anexos
9
6 Los datos registrados en los cursos de Virtualnet no tienen un
Crítico Alto Medio bajo
control de validación con Positiva ni controles de seguridad
7 El acceso al sitio Web Virtualnet no tiene un protocolo seguro Crítico Alto Medio bajo
Las tablas que almacenan las notas de los usuarios que han
8 realizados cursos a través del sistema de información Crítico Alto Medio bajo
Virtualnet no tienen Logs de auditoría
Ausencia de un mecanismo de trazabilidad de los talleres y
9 eventos realizados en cumplimiento del contrato de Crítico Alto Medio bajo
Educación presencial
10 Falta de control y monitoreo de las cuentas por cobrar Crítico Alto Medio bajo
Objetivo y alcance
Objetivo:
Realizar una evaluación de la formalización y ejecución de los contratos de
Educación Virtual y Educación Presencial entre Positiva y la Universidad Manuela
Beltrán:
1. Entender el objeto de los contratos entre Positiva y la Universidad.
2. Validar el cumplimiento del servicio y controles de seguimiento de la
ejecución de los contratos.
3. Evaluar el diseño y efectividad de los controles que operan en el servicio
de Educa Virtual y Presencial prestado por la Universidad a Positiva.
Alcance:
La revisión de la auditoría de los contratos de Educa Virtual y presencial consideró
las actividades realizadas entre el período de abril y octubre 2017, evaluando:
1. Formalización contractual de los servicios tercerizados.
2. Segregación de funciones y niveles de autorización.
3. Documentación soporte e integridad de la información que soporta la
ejecución de los contratos.
4. Autorización y proceso de facturación del servicio.
5. Monitoreo y control de pagos.
Objetivo y alcance
Limitaciones
1. La siguiente documentación no fue entregada por la administración de la
Universidad Manuela Beltrán, requerida para la auditoría:
Contexto
Situaciones observadas
Inexistencia de lineamientos La Universidad no tiene definidos lineamientos para la administración de los servicios prestados a terceros de cursos virtuales y
presenciales, como: La formalización contractual, un protocolo de comunicación, la gestión de la información y la facturación al cliente,
documentados para la entre otros.
administración de los
servicios prestados por la Riesgos
Universidad
1
• Operativo: Ejecución de actividades no autorizadas.
• Fraude: Creación de usuarios no autorizados y/o ficticios.
• Económico: Cursos y eventos no aprobados y/o costos no autorizados.
Diseño de controles • Económico: Costos no cobrados al cliente.
Recomendaciones
Evaluación de las situaciones observadas
1. Definir y documentar una política y procedimiento de la gestión de servicios prestados por Responsable:
la Universidad a terceros, considerando como mínimo: Jaiver Urrego – Vicerrector Académico
Impacto Alto Jersson Jiménez – Director de
a) Definir los roles y responsabilidades para las actividades de administración y gestión Contratación
de los contratos con el cliente y niveles de autorización.
Probabilidad Probable b) Formalización contractual (contrato y el acuerdo de niveles de servicio). Fecha estimada: 01/02/2018
c) Definición de indicadores de gestión del proyecto y el contrato.
d) Administración de la información utilizada para la prestación de los servicios
Calificación Critico Alto (usuarios en Virtualnet (crear, modificar y eliminar)).
e) Controles de facturación y gestión de cobro.
f) Protocolos de comunicaciones y emisión de reportes periódicos.
Medio Bajo g) Monitoreo y seguimiento del presupuesto anual del proyecto y autorización de cambios
y/o ajustes.
Para Educación Virtual, la Universidad tiene que definir procedimientos para las
siguientes actividades:
a) Revisión y aprobación de las solicitudes de usuarios registrados en los cursos de
Positiva Compañía de Seguros S.A. Virtualnet. Enero 2018
PwC b) Validación de que los usuarios correspondan a personas naturales o compañías 11
afiliadas al cliente.
Resumen ejecutivo Contexto y alcance Situaciones observadas Anexos
Situaciones observadas
Recomendaciones
Inexistencia de lineamientos Para Educación Presencial, la Universidad tiene que definir procedimientos para las Responsable:
documentados para la siguientes actividades: Jaiver Urrego – Vicerrector Académico
a) Definición y autorización de la planeación de los talleres y eventos durante el año a Jersson Jiménez – Director de
administración de los nivel nacional. Contratación
servicios prestados por la b) Monitoreo y seguimiento del plan anual de talleres y eventos.
c) Selección y autorización de los proveedores que apoyan la ejecución de los talleres y Fecha estimada: 01/02/2018
Universidad eventos.
1
d) Autorización de las facturas de pago a proveedores.
e) Autorización de los cambios, ajustes y cancelación de los talleres y eventos gerenciales.
Diseño de controles 2. Comunicar a los funcionarios las políticas y procedimientos de los servicios prestados a
terceros y realizar las capacitaciones requeridas.
Evaluación de las situaciones observadas 3. Implementar un procedimiento de creación de usuarios en el sistema de información
Virtualnet, el cual considere como mínimo los siguientes aspectos:
Medio Bajo
Situaciones observadas
Inexistencia de los acuerdos 1. No fueron suministrados los acuerdos de niveles de servicio, con referencia a los contratos 0223 - 2017 Educación Virtual y 0215- 2017
Educación presencial entre Positiva y la Universidad Manuela Beltrán, ni otro documento en donde se establecieran como mínimo las
de niveles de servicio para la siguientes condiciones y/o actividades de operación del contrato y los términos del nivel de calidad del servicio:
ejecución de los contratos
a) Costos unitarios para el contrato de Educación virtual y presencial, como son costos por estudiante inscrito ($6,450), servicios
administrativos (Posipedia y hosting $16,000) y servicios de Talento Humano ($10,000) por taller ($750.000) y eventos
2
gerenciales ($5,000,000). *1
b) Roles y responsabilidades para la administración y monitoreo de la ejecución del contrato en la Universidad y en Positiva
c) Reportes periódicos de seguimiento y avance.
d) Indicadores de gestión
e) Reuniones periódicas de seguimiento (Comités de gestión) y monitoreo de desviaciones.
Diseño de controles f) Documentación soporte para la facturación
g) Niveles de autorización
h) Operatividad de las plataformas tecnológicas.
Evaluación de las situaciones observadas
*1 Información tomada de las facturas cobradas a Positiva.
Medio Bajo 1. Validar que todos los contratos suscritos entre la Universidad y sus clientes o proveedores Responsable:
tengan formalizado un contrato y Acuerdos de niveles de servicio. Jaiver Urrego – Vicerrector Académico
Jersson Jiménez – Director de
2. Verificar que los Acuerdos de niveles de servicio estén aprobados por las partes y Contratación
contengan las actividades de operación del contrato y términos de calidad del servicio, así
como la definición de roles y responsabilidades de cada una de las partes. Fecha estimada: 01/02/2018
Positiva Compañía de Seguros S.A.
PwC 3. Definir un interventor o comité de gestión que evalúe periódicamente el cumplimiento del
contrato.
Resumen ejecutivo Contexto y alcance Situaciones observadas Anexos
Situaciones observadas
Actividades de 1. No se realizó un análisis de un posible conflicto de interés en la contratación del Coordinador del Proyecto de Positiva de la Universidad
Manuela Beltrán, considerando que su hoja de vida fue enviada y recomendada a la Universidad por la Vicepresidencia de Promoción y
administración de los Prevención de Positiva el 18 de abril de 2016. El Coordinador desempeñaba el cargo de Coaching de formación con Positiva en el año
contratos de Positiva sin 2016 y fue Líder de Comercial integral de Positiva en el año 2014-2015.
segregación de funciones 2. El Coordinador del Proyecto de Positiva, además de la planificación del proyecto (actividades, recursos y costos), seguimiento de
3
gestión, emisión de reportes y avances del proyecto y gestionar auditorías de Positiva, realizaba las siguientes actividades generando
una inadecuada segregación de funciones:
Educación Virtual
Diseño de controles a) Solicitar la inscripción de usuarios a la plataforma de Virtualnet para el proyecto de Educación virtual.
b) Definir y gestionar el cobro de los valores facturados a Positiva.
c) Anular, adicionar y ajustar los usuarios registrados en Virtualnet.
d) Solicitar al área de facturación de la emisión original de la factura de cobro.
Evaluación de las situaciones observadas
Educación Presencial
Situaciones observadas
Riesgos
Diseño de controles 3 1. Implementar un procedimiento de gestión de conflictos de interés del personal interno de la
Universidad con terceras partes (clientes, proveedores, docentes etc.).
2. Analizar los roles y perfiles de los funcionarios que gestionan y administran los Proyectos
de Positiva, definiendo funciones y actividades segregadas para:
Responsable:
Jaiver Urrego – Vicerrector Académico
Jersson Jiménez – Director de
Contratación
Medio Bajo
Situaciones observadas
Ausencia de actividades de 1. La gestión de los servicios de los cursos virtuales y los eventos presenciales prestados a Positiva se maneja desde la sede de la
Universidad en Cajicá. Hasta el 15 de diciembre de 2017 los proyectos fueron administrados por el Coordinador Proyectos de Positiva
monitoreo para la con apoyo del área de sistemas, sin embargo, no evidenciamos actividades de monitoreo, supervisión y autorización por parte de un
formalización contractual, nivel superior y/o el Vicerrector Académico para las siguientes actividades:
ejecución y cierre de
4
a) Definición del presupuesto financiero anual.
proyectos de Positiva b) Definición de la Planeación anual de la ejecución del proyecto (eventos y talleres a nivel nacional).
c) Cambios y ajustes a los talleres y eventos gerenciales.
d) Autorización de costos y gastos del proyecto.
e) Evaluación periódica de la rentabilidad de los proyectos.
f) Emisión de las facturas cobradas a Positiva y validación de los soportes o detalles relacionados.
Operatividad de controles g) Cruces de costos y gastos con Positiva.
h) Emisión de los reportes de gestión del proyecto y avances mensuales emitidos por la Universidad a Positiva.
Evaluación de las situaciones observadas
2. No se evidenció la definición formal de un comité de gestión del proyecto, en el cual se identifique:
Situaciones observadas
Recomendaciones
Ausencia de actividades de Implementar controles de monitoreo por parte del supervisor del contrato o Vicerrector Responsable:
monitoreo para la Académico y comité de gestión, considerando: Jaiver Urrego – Vicerrector Académico
formalización contractual, • Revisión del cumplimiento de contratación con Positiva, seguimiento de presupuestos Fecha estimada: 01/02/2018
ejecución y cierre de y planes anuales.
4
proyectos de Positiva • Definición del protocolo de comunicaciones con el cliente (reportes periódicos)
• Revisión y aprobación de facturas cobradas a Positiva.
• Conciliaciones periódicas de los eventos presenciales con los gastos incurridos por los
proveedores de la Universidad.
• Revisión de la rentabilidad de los proyectos.
Operatividad de controles
Impacto Alto
Probabilidad Probable
Medio Bajo
Situaciones observadas
Falta de integridad de la 1. Evidenciamos inconsistencias entre la información soporte de las facturas de cobro emitidas a Positiva por la Universidad y la
información suministrada por el área de tecnología generada por Virtualnet:
información soporte de la
facturación de servicios a) La información de usuarios registrados en Virtualnet para acceder a cursos virtuales durante el período de abril a septiembre de 2017
presenta diferencias de 16.616 registros con la cantidad de usuarios facturados por la Universidad Manuela Beltrán a Positiva, así:
Operatividad de controles
5
Evaluación de las situaciones observadas
Impacto Alto
Probabilidad Probable
Medio Bajo
Por limitación de la información y falta de trazabilidad de la misma, no fue posible para la auditoría identificar la justificación de las
diferencias mensuales, por lo tanto la Universidad debe realizar la validación de las mismas.
Positiva Compañía de Seguros S.A. (*1) Por limitaciones de la documentación entregada por el Coordinador de Positiva, no se puede garantizar para la factura 223 – 851 que
PwC los registros facturados corresponden al soporte recibido para la auditoría. Se identificó que los registros facturados (31.216 registros) no
corresponden al soporte de la factura (36.184 registros).
Resumen ejecutivo Contexto y alcance Situaciones observadas Anexos
Situaciones observadas
Falta de integridad de la
2. De acuerdo a la verificación de la integridad de la información de los usuarios registrados en Virtualnet y facturados mensualmente, se
información soporte de la observó:
facturación de servicios
a) Registros facturados a Positiva en meses posteriores a su inscripción en Virtualnet. 1,203 registros, por un valor total
de $7.759.350 (costo unidad $6,450), de los meses de enero, febrero y marzo, fueron facturados en meses posteriores desde abril a
5
septiembre de 2017, ya que el contrato esta formalmente firmado desde abril de 2017. Referencia a Anexo 1.
b) Registros facturados dos veces en diferentes meses del año 2017. 78 registros por un valor de $503,100 fueron facturados
dos veces en diferentes facturas mensuales para el mismo curso virtual. Referencia Anexo 2.
Operatividad de controles c) Registros duplicados en la misma factura de cobro. 44 registros duplicados en la base de información soporte de la
facturación de junio a septiembre 2017. El mayor valor cobrado por 22 registros corresponde a $141,900. Referencia a Anexo 3.
Evaluación de las situaciones observadas d) Registros no facturados a Positiva en septiembre de 2017. De los 694 registros inscritos en Virtualnet, solo 163 registros
fueron facturados en septiembre de 2017. Los 531 registros no facturados en septiembre ascienden a un costo de $3,424,950.
Impacto Alto 3. De acuerdo a la validación de la data de usuarios registrados en la base de datos del sistema de información Virtualnet, evidenciamos
las siguientes situaciones:
Probabilidad Probable a) Un usuario con nombres y apellido no válidos “X Y Z”.
b) Cuarenta y nueve (49) usuarios con campo identificación (Cédula) menor a 6 dígitos.
c) Diez (10) cédulas con más de once dígitos.
Calificación Critico Alto
d) Diez y seis (16) nombres en blanco.
e) Cuatro (4) usuarios con el campo nombre “con números de cédula”.
f) Cincuenta y ocho (58) usuarios con NIT y nombre de entidades jurídicas.
Medio Bajo
g) Veinticuatro (24) usuarios que en el campo cédula cuentan con letras y con caracteres especiales.
Situaciones observadas
Riesgos
5
Responsable:
1. Implementar un control mensual de conciliación entre la información de usuarios inscritos Jaiver Urrego – Vicerrector Académico
en Virtualnet y los documentos soportes de la facturación en donde se detallan los inscritos Gonzalo Guzmán – Dir. Tecnología
por curso, validando usuarios repetidos por Nit y por nombre, estado de los inscritos,
Operatividad de controles usuarios facturados en meses anteriores para el mismo curso y en estado aprobado. Fecha estimada: 01/02/2018
2. Validar y conciliar los registros facturados a Positiva entre abril y diciembre de 2017,
Evaluación de las situaciones observadas realizar los ajustes correspondientes y emitir el cobro de registros no facturados.
4. Definir niveles de autorización para la emisión de facturas de cobro, considerando que esta
Probabilidad Probable actividad debe estar segregada del funcionario responsable de la gestión del proyecto.
Medio Bajo
Situaciones observadas
6
controles de seguridad Durante nuestras pruebas de auditoría realizadas, se ingresó una solicitud para crear un usuario a través de la cédula de un afiliado a
Positiva compañía de Seguros, ingresando datos ficticios como nombre, apellido, cédula (pide reconfirmar), email, edad, profesión,
celular, sexo, departamento, antigüedad en empresa, nombre de la empresa y correo corporativo; evidenciando que el portal permite la
creación de la solicitud.
Operatividad de controles
Virtualnet
2. Durante el proceso de creación de usuarios en el sistema de información Virtualnet de la Universidad Manuela Beltrán, observamos que
el sistema:
Evaluación de las situaciones observadas
a) No exige el cambio de contraseña de un usuario que se crea en la plataforma, al ingresar por primera vez al sistema.
b) No se tienen configuradas políticas de contraseña que garanticen la creación de una contraseña fuerte para acceder a la
Impacto Alto plataforma de cursos. No se exige una contraseña con un número mínimo de letras mayúsculas y minúsculas ni la inclusión de
caracteres especiales.
c) No valida que la cédula y nombre del usuario que se está creado corresponda a un usuario afiliado a Positiva Compañía de Seguros
Probabilidad Probable S.A.
d) Se seleccionó una muestra de sesenta (60) usuarios creados en el sistema de información Virtualnet con acceso a los cursos virtuales
de Positiva, de los cuales veintiséis (26) (43% de la muestra), fueron identificados como no registrados en la base de afiliados
Calificación Critico Alto
configurada en el portal de Posipedia. Esta situación fue identificada ingresando con la cédula del cada uno de los 26 usuarios que
presentaron excepción en el portal de Posipedia y el portal arrojo un error.
Medio Bajo
Ver anexo 4 – usuarios creados en Virtualnet que no registran como afiliados de Positiva.
Situaciones observadas
Los datos registrados en los 3. Se identificaron las siguientes debilidades de control en el proceso de envío por parte de Positiva y cargue de los archivos planos, que
contienen información de usuarios que deben ser creados de forma masiva en la plataforma Virtualnet para acceder a los cursos ofrecidos
cursos de Virtualnet no por la Universidad Manuela Beltrán:
tienen un control de
Los archivos:
validación con Positiva, ni a) Son enviados a través del correo electrónico al área de tecnología de la Universidad por el Coordinador de proyectos de Positiva de
6
controles de seguridad la Universidad Manuela Beltrán, en un formato editable.
b) Son descargados al computador del señor Jorge Mora - Ingeniero de Soporte Técnico VirtualNet, sin la utilización de carpetas
compartidas con accesos restringidos.
c) Son cargados por el área de tecnología de la Universidad Manuela Beltrán a la plataforma Virtualnet.
Operatividad de controles
4. No se observan controles de monitoreo que garanticen que los usuarios creados por el área de tecnología de la Universidad Manuela
Beltrán, corresponden a usuarios autorizados y afiliados a Positiva Compañía de Seguros S.A., para la fecha de asignación del acceso.
Evaluación de las situaciones observadas 5. La opción de cargue del archivo plano no valida que la cédula y nombre del usuario que se está creado en el sistema de información
Virtualnet, corresponda a un usuario afiliado a Positiva Compañía de Seguros S.A.
Impacto Alto
Probabilidad Probable
Medio Bajo
Situaciones observadas
Riesgos
Los datos registrados en los • Financiero: Realización de cursos por usuarios no afiliados que no sean reconocidos por Positiva.
cursos de Virtualnet no • Operativo: Creación de usuarios no autorizados y/o ficticios para los cuales es posible generar certificados de manera no autorizada.
• Fraude: Modificación de los archivos planos
tienen un control de • Operativo: Usuarios no autorizados y/o ficticios creados en el sistema de información Virtualnet.
validación con Positiva, ni
Plan de Acción
6
controles de seguridad
1. Analizar con Positiva Compañía de Seguros S.A. la implementación de un control en el Responsable:
portal Posipedia, que permita que en el momento de ingresar una solicitud para crear un Jaiver Urrego – Vicerrector Académico
usuario en Virtualnet, se validen de manera automática los datos ingresados en el portal Gonzalo Guzmán – Dir. Tecnología
Operatividad de controles contra la base de datos de afiliados de Positiva.
Fecha estimada: 01/02/2018
2. Parametrizar políticas de contraseña asociadas a:
Evaluación de las situaciones observadas a) Cambio de contraseña cuando se ingresa por primera vez al sistema de información
Virtualnet.
b) Longitud de contraseña (mínimo 8 caracteres).
Impacto Alto c) Complejidad de contraseña (alfanumérica, con mayúsculas y minúsculas, y con
caracteres especiales)
Probabilidad Probable 3. Implementar una interfaz en línea que permita validar en la base de datos de afiliados de
Positiva Compañía de Seguros S.A, los datos del usuario que se está creando en la
plataforma Virtualnet.
Calificación Critico Alto
4. Conciliar la base de datos del sistema de información Virtualnet contra la base de datos de
afiliados de Positiva Compañía de Seguros S.A, con el fin de que se depuren los usuarios
Medio Bajo que no deberían estar activos en Virtualnet.
5. Para los casos que no corresponden a usuarios afiliados a Positiva Compañía de Seguros
S.A, verificar la razonabilidad y veracidad de los mismos y verificar si estos usuarios han
tomado cursos o se les ha generado algún certificado.
Situaciones observadas
Plan de Acción
6
controles de seguridad carpetas seguras con restricción de modificación destinadas para tal fin.
c) Se cree una opción para que el área usuaria, realice la creación masiva de usuarios en
la plataforma Virtualnet.
d) Se implemente una interfaz en línea que permita validar en la base de datos de
Operatividad de controles afiliados de Positiva Compañía de Seguros S.A, los datos del usuario que se está
creando en la plataforma Virtualnet.
Evaluación de las situaciones observadas En caso que la recomendación anterior no pueda ser atendida, se deberá implementar
un control de monitoreo que asegure que no se creen usuarios no autorizados o que no
estén afiliados a Positiva Compañía de Seguros S.A.
Impacto Alto
Este procedimiento deberá considerar la conciliación periódica de la base de datos de
Virtualnet contra la base de datos de afiliados de Positiva Compañía de Seguros S.A.
Probabilidad Probable
Medio Bajo
Situaciones observadas
El acceso al sitio Web El sitio web para el ingreso a la plataforma de educación VirtualNet http://virtualnet2.umb.edu.co no es un sitio seguro, debido a que no
cuenta con protocolo “HTTPS” el cual contribuye a evitar la captura de datos “Usuario” y “Clave” por parte de un posible atacante.
Virtualnet no tiene un
protocolo seguro El protocolo HTTPS cifra los datos y autentica las solicitudes en portales web, lo cual garantiza la transferencia segura de datos.
7
Riesgos
• Fraude: Robo de información sensible como cédula y contraseña de usuarios, por parte de terceros no autorizados, lo cual permitiría la
creación de usuarios no autorizados y/o ficticios para la generación de certificados.
Diseño de controles
Plan de Acción
Evaluación de las situaciones observadas
Solicitar al área de tecnología de la Universidad Manuela Beltrán, la activación de un el Responsable:
protocolo seguro “HTTPS” para el acceso al sitio web de la plataforma de educación Virtualnet Gonzalo Guzmán – Dir. Tecnología
Impacto Medio
Fecha estimada: 01/02/2018
Probabilidad Posible
Medio Bajo
Situaciones observadas
Las tablas que almacenan las El sistema de información Virtualnet no tiene activo un log de auditoría sobre las tablas donde se almacena información de las notas
generadas por el sistema para los usuarios que toma los cursos.
notas de los usuarios que han
realizado cursos a través del La situación anterior podría permitir que se modifique una nota con un valor mayor, que permita la generación de un certificado no
autorizado.
sistema de información
Virtualnet no tiene logs de
8
auditoría
Riesgos
• Operativo: Pérdida de oportunidad en la detección de modificaciones no autorizadas sobre la data de notas generadas a través del
Operatividad de controles sistema de información Virtualnet.
• Fraude: modificación de notas.
Evaluación de las situaciones observadas
Plan de Acción
Impacto Alto
Solicitar al área de Tecnología de la Universidad Manuela Beltrán activar los logs de auditorÍa Responsable:
sobre las tablas que almacenan resultados de los cursos realizados por los estudiantes a través Gonzalo Guzmán – Dir. Tecnología
del sistema de información Virtualnet, con el fin de tener una trazabilidad sobre las posibles
Probabilidad Probable
modificaciones realizadas. Fecha estimada: 01/02/2018
Calificación Critico Alto Una vez se tengan activos los logs de auditoría, implementar un procedimiento de monitoreo
sobre dichos logs, el cual deberá considerar como mínimo:
a) Responsables del monitoreo
Medio Bajo b) Periodicidad del monitoreo
c) Soporte del monitoreo realizado
d) Acciones correctivas en caso de detectar cambios no autorizados
Situaciones observadas
Ausencia de un mecanismo
de trazabilidad de los 1. No se tiene definido un protocolo de comunicaciones entre la Universidad y Positiva para la cancelación o cambio de condiciones de los
talleres y eventos gerenciales, en donde se identifique:
talleres y eventos realizados
en cumplimiento del contrato a) Responsable de notificar los cambios o ajustes a talleres o eventos gerenciales.
b) Tiempo mínimo de notificación de cambios o ajustes.
de Educación presencial
9
c) Niveles de autorización para los cambios o ajustes
d) Responsable de asumir los costos adicionales incurridos en cada evento a causa de cambios o ajustes.
2. Aunque existe un Plan anual de los talleres y eventos gerenciales para el año 2017, se observó:
Operatividad de controles
a) La Universidad no lleva un control de los talleres y eventos realizados ni manualmente, ni en su sistema de información
(Virtualnet)
b) El Coordinador del proyecto de Positiva no cuenta con una trazabilidad de los ajustes o cambios al plan anual, por lo tanto no fue
Evaluación de las situaciones observadas posible para durante la auditoria validar:
• Los eventos realizados durante el año 2017 (nombre del curso, ciudad, número de asistentes, duración)
• La trazabilidad y justificación de eventos anulados y/o cambiados
Impacto Alto
Auditoría interna validó los talleres y eventos gerenciales registrados en Posipedia (sistema de información de Positiva) con la
facturación emitida por la universidad y no encontró diferencias en la información.
Probabilidad Probable
3. El Coordinador del proyecto de Educación presencial no tiene un control que permita asociar los costos incurridos con cada uno de los
talleres y eventos gerenciales realizados durante la vigencia del contrato.
Calificación Critico Alto
4. En la información financiera (contable) de la Universidad, actualmente se cuenta con un centro de costos (950-070) para todos los
gastos de Positiva y no se tiene discriminado por tipo de proyecto o contrato en el cual permita tener una trazabilidad clara y detallada
Medio Bajo
los costos por contrato.
Situaciones observadas
Ausencia de un mecanismo
de trazabilidad de los 5. De acuerdo a la validación de una muestra de 344 órdenes de compra (154 son facturas de gastos del proyecto y 190 ordenes de pago a
profesores de Educación Presencial), del periodo de abril a septiembre de 2017 por valor de $248 Mill, se observó:
talleres y eventos realizados
en cumplimiento del contrato a) No es posible tener la trazabilidad de los costos por taller o evento:
• Los proveedores agrupan en una misma factura el costo de varios eventos realizados en distintas fechas que pueden
de Educación presencial
9
corresponder a varias facturas.
• Las facturas no siempre discriminan los costos por concepto.
• El detalle de las facturas no es claro.
• Para 19 facturas (12% de la muestra), por un valor total de $28 Mill. se identificó gastos de refrigerios adicionales no
Operatividad de controles presupuestados previamente.
6. No hay un lineamiento en donde se defina el costo autorizado para cada uno de los conceptos incurridos en cada evento o taller, ni el
tipo de costo autorizado (Salón, refrigerios, capacitador, logística, sillas, manteles, logística, pantallas, entre otros). Estos cotos son
Evaluación de las situaciones observadas autorizados en algunas ocasiones por el Vicerrector académico y en otras por el Coordinador del proyecto.
7. Los proveedores que apoyan la ejecución de los eventos son seleccionados en cada regional, sin una autorización adicional del
Impacto Alto Vicerrector, la Universidad no cuenta con un procedimiento para la selección de proveedores que participan en la ejecución de eventos
y talleres, que considere como mínimo.
Probabilidad Probable a) Certificaciones de experiencia y calidad
b) Documentación básica requerida (Rut, estados financieros, certificaciones bancarias, cédula, entre otras.)
c) Declaración de conflicto de interés
Calificación Critico Alto
d) Cotizaciones del evento o conceptos.
e) Proveedores autorizados.
f) Niveles de autorización para su evaluación y selección
Medio Bajo
g) Mecanismo de evaluación periódica de los proveedores.
Situaciones observadas
Riesgos
Ausencia de un mecanismo • Económico: Costos asumidos por la Universidad no asociados a eventos y talleres.
de trazabilidad de los • Económico: Costos no cobrados al cliente o no autorizados.
talleres y eventos realizados • Reputacional: Cobros no autorizados o que no tienen relación con el objeto del contrato.
• Operativo: Costos que no corresponden al objeto del contrato y/o no autorizados.
en cumplimiento del contrato • Fraude: Favorecimiento a terceros y conflicto de interés
de Educación presencial
a)
b)
Nivel de autorización para solicitar y notificar los cambios en eventos y talleres.
Causales para permitir cambios o ajustes a eventos o talleres.
Responsable:
Jaiver Urrego – Vicerrector Académico
Rodrigo Martta – Dir. Financiero
Evaluación de las situaciones observadas c) Tiempo mínimo de notificación de cambios. Fecha estimada: 01/02/2018
d) Responsable de asumir los costos generados por los cambios requeridos.
Impacto Alto 2. El responsable de gestionar el proyecto debe contar con la trazabilidad de los ajustes y
cambios del plan anual de ejecución:
Probabilidad Probable a) Realizar una conciliación mensual entre el plan anual y los eventos realizados. La
conciliación debe ser revisado y aprobado por el vicerrector académico.
b) Justificación de los eventos anulados y/o cambios en fechas o ciudades.
Calificación Critico Alto
3. El responsable de gestionar el proyecto debe contar con la trazabilidad de los costos por
evento, cuando se supere el monto aprobado por concepto este debe ser autorizado por el
Medio Bajo Vicerrector, de igual manera contablemente (información financiera) se debe categorizar
en un centro de costos, a que ellos asociados al proyecto de educación virtual, lo cual
permita realizar análisis periódicos de los costos por concepto, proveedor y evento,
permitiendo verificar la rentabilidad de cada uno de los eventos y talleres.
Situaciones observadas
Recomendaciones
Ausencia de un mecanismo
4. Definir un procedimiento de selección de proveedores en donde se establezcan los requisitos Responsable:
de trazabilidad de los técnicos y de calidad requeridos para la contratación de proveedores que apoyan la Jaiver Urrego – Vicerrector Académico
talleres y eventos realizados ejecución de eventos y talleres, acuerdos de niveles de servicio, declaración de conflicto de Rodrigo Martta – Dir. Financiero
en cumplimiento del contrato interés, niveles de autorización y procedimiento periódico de evaluación del servicio.
Fecha estimada: 01/02/2018
de Educación presencial 5. Definir un lineamiento de concepto y costos autorizados para la ejecución de eventos
9
gerenciales y talleres, en la cual se establezca:
Medio Bajo
Situaciones observadas
Falta de control y monitoreo Con corte a octubre de 2017, se evidenció que Positiva adeuda a la Universidad Manuela Beltrán la suma de $18,159,000, relacionado con
las siguientes facturas de venta:
de las cuentas por cobrar
Operatividad de controles
10 No se evidenciaron actividades de cobro y/o seguimiento de estas facturas por parte de la Vicerrectoría académica y/o por el área de
Finanzas.
Riesgos
Recomendaciones
Impacto Alto
1. Conciliar las facturas de cobro emitidas a Positiva por los contratos de Educación virtual y Responsable:
presencial, con los productos entregados y/o servicios prestados y con los pagos realizados Jaiver Urrego – Vicerrector Académico
Probabilidad Posible
por el cliente. Rodrigo Martta – Dir. Financiero
2. Realizar las gestiones de cobro correspondientes, ajustes y emisión de facturas pendientes. Fecha estimada: 01/02/2018
Calificación Critico Alto
Medio Bajo
La función de auditoría comúnmente tiene una categoría “otra” por medio de la cual plantean una observación que no cae en ninguna de las categorías
Otra anteriores por una razón u otra. Estas podrían ser observaciones que están fuera del alcance de la auditoría, pero la auditoría interna las quiere documentar
o discutir. Estas podrían ser observaciones verbales o documentadas sin calificación asociada.
Reporte de Calificación:
La clasificación del informe se determina asignando puntos a cada una de las observaciones incluidas en el informe.
© 2017 [insert legal name of the PwC firm]. All rights reserved. In this document, “PwC” refers to [insert legal name of the PwC firm] which is a member firm of PricewaterhouseCoopers International Limited, each member
firm of which is a separate legal entity.