Matriz-De-Riego-Y-Controles-De-Cumplimiento Ejemplo para Trabajar PDF

MATRIZ CONSOLIDADA RIESGOS & CONTROLES SOX OLEODUCTO DE COLOMBIA S.
A (ODC)
Tipo de Impacto Tipo de Impacto

Tipologia control
Probabilidad del Nivel de Riesgo Riesgo de Cumplimiento 5B- Extremo- Nivel de Riesgo
Proceso Gerencia No. Riesgo Riesgo Asociado Combinación Código del Control Actividad de Control Probabilidad del Riesgo
Personas Económicos Medio Ambiente Reputación Riesgo Inherente Anti- Personas Económicos Medio Ambiente Reputación Intermedio Residual
Fraude Corrupción (Soborno) LA/FT Anti-Corrupción LA FT
Fraude
1. Aprobar los Estatutos de Oleoducto de Colombia S.A. (ODC) y sus modificaciones, por parte de la Asamblea de Accionistas, en los que se
documentan los órganos de gobierno de la Compañía (Asamblea General de Accionistas, Junta Directiva y Gerencia General de ODC ), con sus
Errores o direccionamiento en el proceso de toma de decisiones y/o de funciones, atribuciones y responsabilidades.
aprobaciones en nombre de la Compañía, por debilidades en la asignación 2a. Aprobar por la Junta Directiva posterior a la revisión y validación por parte del Gerente General de ODC el "Manual de Autoridad y
Secretaría General de ODC/ Gerencia
GR&C E.1.1. Gobierno de Control E.1.1.1. de autoridad, inadecuada segregación de funciones, definición y N/A 5 Extremo N/A 4 Mayor D: Probable 5 Extremo D: Probable 5 D Alto E.1.1.1.1 Delegación-MAD" de Oleoducto de Colombia S.A. (ODC) que establece los niveles de aprobación y las delegaciones, para el desarrollo de sus x x x x x x x N/A 5 Extremo N/A 4 Mayor B: Raro 5B- Extremo- Raro 5-B- Intermedio.
General
aprobación de la estructura de gobierno, generando pérdidas de valor actividades.
(contingencias) y/o afectación reputacional. 2b.El MAD es divulgado a las Direcciones de los prestadores de servicios administrativos y operativos (CENIT / ECOPETROL) por correo
electrónico por parte de Secretaria General. En caso de requerir modificaciones la solicitud se eleva a la Secretaria General y la misma debe
ser aprobada por el nivel requerido.
Aprobar por la Junta directiva la adhesión a las siguientes políticas de la Casa Matriz y políticas corporativas de ODC:
Faltas éticas en ODC, de los empleados y/o miembros de Junta Directiva o
inadecuada toma decisiones, debido a:
1. Adhesión:
1.1. Código de Ética de Casa Matriz, que contiene un conjunto de declaraciones explícitas de comportamientos y disyuntivas éticas, además de
1. La inadecuada definición, aprobación y divulgación de las políticas,
los lineamientos de regalos, cortesías, atenciones y suscripción de patrocinios.
manuales y procedimientos en materia de: Delegación de autoridad,
1.2.El procedimiento de gestión de denuncias de la Casa Matriz, especificando las excepciones en las actividades a realizar para los casos que
Ética, Denuncias éticas, Cumplimiento y Buen Gobierno
no aplique por la estructura organizacional de ODC.
2. No promover actuaciones basadas en la integridad y los valores éticos.
1.3. El Manual de Cumplimiento del Prestador de Servicios administrativos, que establece las directrices y lineamientos generales para
3. Falta de capacitación en relación a los temas de ética, cumplimiento,
garantizar el cumplimiento de los mecanismos de identificación, prevención, detección, reporte, monitoreo y respuesta ante actos de
conflictos de interés y mecanismos para realizar denuncias éticas.
Secretaría General de ODC/ Gerencia corrupción, fraude, lavado de activos y/o financiación del terrorismo, que puedan presentarse en ODC, especificando las excepciones en las
GR&C E.1.1. Gobierno de Control E.1.1.2 4. Manejo inadecuado de las denuncias, consultas y dilemas de los N/A 5 Extremo N/A 5 Extremo D: Probable 5 Extremo D: Probable 5 D Alto E.1.1.2.1 x x x x x x x N/A 5 Extremo N/A 5 Extremo B:Raro 5B- Extremo- Raro 5-B- Intermedio.
General actividades a realizar en los casos que no aplique por la estructura organizacional de ODC.
interpuestos por los grupos de interés.
5. Conflictos de interés en los miembros de Junta Directiva que no hayan
2.Aprobación políticas de ODC:
sido avalados por asamblea de accionistas
2.1. el Manual para la Prevención del Lavado de Activos y la Financiación del Terrorismo y sus modificaciones que establece directrices y
lineamientos generales para la prevención del lavado de activos y la financiación del terrorismo LA/FT, aplicables a cada una de las contrapartes
Lo cual puede ocasionar, materialización de actos indebidos,
con las cuales Oleoducto de Colombia S.A, tiene vínculos de negocios, contractuales o jurídicos que involucren un factor de riesgo de LA/FT. El
incumplimiento o desconocimiento de los Estatutos y definiciones de la
Manual para la Prevención del Lavado de Activos y la Financiación del Terrorismo es administrado (mantenido, divulgado) por el Oficial de Ética
normativa interna, afectando el clima organizacional y la reputación y
y Cumplimiento de ODC.
eventualmente generando la pérdida de valor de la Compañía, entre
otros.
Divulgar los cambios en las políticas adheridas y propias de ODC a los empleados y prestadores de servicios por correo electrónico.


3. Falta de capacitación en relación a los temas de ética, cumplimiento, 1. Aprobar el nombramiento de los miembros de la Junta Directiva de ODC así como sus compensaciones.
GR&C E.1.1. Gobierno de Control E.1.1.2 4. Manejo inadecuado de las denuncias, consultas y dilemas de los N/A 5 Extremo N/A 5 Extremo D: Probable 5 Extremo D: Probable 5 D Alto E.1.1.2.2 2. Designar miembros del Comité Financiero y Auditoría de ODC de acuerdo a lo establecido en el Reglamento. x x x x x x x N/A 5 Extremo N/A 5 Extremo B:Raro 5B- Extremo- Raro 5-B- Intermedio.
General
5. Conflictos de interés en los miembros de Junta Directiva que no hayan 3. Analizar los resultados de las auto-evaluación de los miembros principales de la Junta Directiva de ODC y de sus comités.

otros.


Obtener manifestaciones anuales de cumplimiento de los siguientes lineamientos:
1. Código de Ética por parte de los empleados y Junta Directiva de la compañía, manifestando su adherencia.
2. Pacto de Transparencia de los empleados de la compañía y miembros de Junta Directiva.
3.Declaración de conflictos de interés por parte de los empleados y Junta Directiva, en los casos que se presenten.
General Las manifestaciones de los empleados quedan archivadas en la carpeta de hoja de vida para los empleados y la de los miembros de la Junta
Directiva en la carpeta de esté órgano conservada por la Secretaría General de ODC.

otros.


Ética, Denuncias éticas, Cumplimiento y Buen Gobierno Aprobar y monitorear el cumplimiento al plan/programa de capacitación para los miembros de Junta Directiva, empleados y contratistas en
2. No promover actuaciones basadas en la integridad y los valores éticos. temas relacionados con:
conflictos de interés y mecanismos para realizar denuncias éticas. 1. Código de Ética que indica los lineamientos en materia de regalos y atenciones, suscripción de patrocinios, entre otros.
GR&C E.1.1. Gobierno de Control E.1.1.2 4. Manejo inadecuado de las denuncias, consultas y dilemas de los N/A 5 Extremo N/A 5 Extremo D: Probable 5 Extremo D: Probable 5 D Alto E.1.1.2.4 2. Línea ética x x x x x x x N/A 5 Extremo N/A 5 Extremo B:Raro 5B- Extremo- Raro 5-B- Intermedio.
General
interpuestos por los grupos de interés. 3. Manual de Cumplimiento del Prestador de Servicios administrativos.
sido avalados por asamblea de accionistas Socializar los canales diseñados por la Compañía para recibir denuncias confidenciales de empleados, miembros de Junta Directiva y terceros de
acuerdo con el dicho plan/programa de capacitación
otros.


Ética, Denuncias éticas, Cumplimiento y Buen Gobierno 1. Monitorear el avance y resolución de las denuncias éticas que los empleados y terceras partes realizan por medio del canal confidencial de la
2. No promover actuaciones basadas en la integridad y los valores éticos. Casa Matriz relacionadas con Oleoducto de Colombia S.A. (ODC). El Oficial de Ética y Cumplimiento gestiona las denuncias de acuerdo al
3. Falta de capacitación en relación a los temas de ética, cumplimiento, procedimiento de gestión de denuncias adherido y reporta el estado de los casos y dilemas éticos relevantes para conocimiento del Comité
conflictos de interés y mecanismos para realizar denuncias éticas. Financiero y de Auditoría y Junta Directiva de ODC para que se tomen las recomendaciones y decisiones cuando haya lugar.
General
interpuestos por los grupos de interés. Cuando el caso involucre al Oficial de Ética y Cumplimiento, la denuncia será direccionada por la Gerencia General.
sido avalados por asamblea de accionistas 2. Reportar a la UIAFF según sea el caso las operaciones sospechosas de acuerdo con lo establecido en el Manual de LAFT y la normatividad
pertinente.
otros.

3. Falta de capacitación en relación a los temas de ética, cumplimiento, Verificar que se cumpla con la normativa legal establecida para el tratamiento de posibles conflictos de interés de los miembros de Junta
conflictos de interés y mecanismos para realizar denuncias éticas. Directiva de ODC que puedan afectar la independencia y objetividad en el proceso de toma de decisiones en caso de declarar posibles conflictos
GR&C E.1.1. Gobierno de Control E.1.1.2 4. Manejo inadecuado de las denuncias, consultas y dilemas de los N/A 5 Extremo N/A 5 Extremo D: Probable 5 Extremo D: Probable 5 D Alto E.1.1.2.6 por parte de los miembros de Junta Directiva. x x x x x x x N/A 5 Extremo N/A 5 Extremo B:Raro 5B- Extremo- Raro 5-B- Intermedio.
General
5. Conflictos de interés en los miembros de Junta Directiva que no hayan En caso de identificar conflicto de interés, se reporta a la Asamblea de Accionistas para su resolución

otros.
Fallas en el monitoreo independiente al sistema de control interno, debido

a:
1. No contar con lineamientos y directrices claras del rol y función del

1. Aprobar el Reglamento de Comité Financiero y de Auditoría como apoyo a la Junta Directiva para supervisar el Sistema de Control Interno.
Comité de Auditoría (CA)
2. Inadecuada asignación de roles, responsabilidades y línea de reporte de
2. Aprobar el Manual de Auditoría y el Estatuto de Auditoría Interna que establece los lineamientos para la ejecución de la función de la
la Auditoría Interna.(A.I)
auditoría Interna, el cual incluye las normas sobre la independencia y objetividad, actitud y cuidado profesional atendiendo la definición de
3. No contar con un plan general de auditoria (PGA) aprobado por el CA,
SIR&CO E.3.1. competencias del equipo de auditoría y plan de capacitación así como las normas de desempeño para la ejecución de trabajos de auditoría
Auditoría Interna E.3.1.1. basado en riesgos que agregue valor al negocio o esté alineado con la N/A 5 Extremo N/A 5 Extremo C: Posible 6 Catastrófico C: Posible 6 C Alto E.3.1.1.1 x x x x x x x N/A 3 Moderado N/A 3 Moderado B: Raro 3B Moderado- Raro 3B-Medio
Monitoreo interna y la supervisión de actividades.
estrategia de la Compañía.
4. Inadecuado o inoportuno seguimiento a la ejecución del plan anual de
3.Declarar anualmente al Comité Financiero y Auditoría, la independencia de la función de Auditoria Interna basado en estructura
auditoria interna.
organizacional (depende del comité) y la confirmación de independencia de los miembros del equipo para los trabajos individuales. Esta
5. Conflictos de interés o independencia, supeditaje gerencial o colusión
declaración queda debidamente documentada en las actas del comité.
del equipo de AI.
Lo que genera incumplimiento al estándar de monitoreo del Grupo

Empresarial.
Fallas en el monitoreo independiente al sistema de control interno, debido

a:
1. No contar con lineamientos y directrices claras del rol y función del

Comité de Auditoría (CA)
2. Inadecuada asignación de roles, responsabilidades y línea de reporte de
1. Aprobar el Plan General de Auditoría (PGA) presentado por la Auditoría interna basado en el Manual de Auditoría Interna.
la Auditoría Interna.(A.I)
3. No contar con un plan general de auditoria (PGA) aprobado por el CA,
SIR&CO E.3.1. De presentarse ajustes al PGA, se presentará nuevamente al Comité para su aprobación.
Auditoría Interna E.3.1.1. basado en riesgos que agregue valor al negocio o esté alineado con la N/A 5 Extremo N/A 5 Extremo C: Posible 6 Catastrófico C: Posible 6 C Alto E.3.1.1.2 x x x x x x x N/A 3 Moderado N/A 3 Moderado B: Raro 3B Moderado- Raro 3B-Medio
Monitoreo
estrategia de la Compañía.
2.Monitorear el cumplimiento del PGA por medio de la presentación trimestral de la Auditoría Interna al Comité Financiero y de Auditoría y
4. Inadecuado o inoportuno seguimiento a la ejecución del plan anual de
Junta Directiva de ODC.
auditoria interna.
5. Conflictos de interés o independencia, supeditaje gerencial o colusión
del equipo de AI.
Lo que genera incumplimiento al estándar de monitoreo del Grupo

Empresarial.
Inefectividad de los controles de reporte financiero debido a: errores en el

Evaluar y certificar el diseño y funcionamiento de los riesgos y controles de los procesos de la compañía, por medio de la certificación anual de
diseño del control, no operatividad del control, incumplimiento, errores
SOX que es reportada a Casa Matriz.
SIR&CO E.3.1. del dueño del proceso, falta de seguimiento y monitoreo lo que generaría
Auditoría Interna E.3.1.2. N/A 4 Mayor N/A 5 Extremo C: Posible 4 Mayor C: Posible 4 C Intermedio E.3.1.2.1 x x x x x x x N/A 3 Moderado N/A 5 Extremo B: Raro 5B Extremo- Raro 5B-Intermedio
Monitoreo materialización de riesgos operativos, de reporte, de cumplimiento
En caso de presentar deficiencias reportadas en está certificación, se comunican al prestador de servicios para la definición de los planes de
,afectación la certificación SOX de ECP.
mejora y remediación.
Incumplimiento en la gestión contractual de los contratistas de

operación y mantenimiento y prestación de servicios administrativos
debido a: errores en los diseños de los controles de supervisión de Monitorear la ejecución del contrato administrativo y de operación y mantenimiento con el prestador de servicios a través de reunión mensual
SIR&CO E.3.1.
Auditoría Interna E.3.1.3. contratos, no operatividad del control, celebración de transacciones sin la 5 Extremo 5 Extremo 5 Extremo 5 Extremo C: Posible 5 Extremo C: Posible 5 C Intermedio E.3.1.3.1. con el administrador del contrato o con quién este designe, en la que se evalúa las actividades contractuales y/o requerimientos ordinarios que x x x x x x x 5 Extremo 5 Extremo 5 Extremo 5 Extremo B: Raro 5B Extremo- Raro 5B-Intermedio
Monitoreo
debida autorización, incumplimiento, errores del dueño del proceso, falta se requieran.
de seguimiento y monitoreo lo que generaría materialización de riesgos
operativos, de reporte , de cumplimiento y pérdidas económicas.
Fallas en la estructuración y despliegue de la Gestión de Riesgos y

controles, debido a:
1. Debilidades en la definición de políticas, metodologías y/o

herramientas para la identificación, valoración, tratamiento, monitoreo y
comunicación de riesgos y controles
2. Inadecuada divulgación de los lineamientos y políticas sobre la gestión Aprobar la política y herramienta de gestión riesgos (Matriz RAM) que establece las directrices para la gestión de los riesgos y los controles de
SIR&CO E.2.1.
Gerencia de Aseguramiento E.2.1.1. de riesgos y controles en la organización N/A 5 Extremo N/A 5 Extremo D: Probable 5D Extremo- Posible 5 C Intermedio E.2.1.1.1 ODC, así como la adhesión a la Guía de Gestión de Riesgos del prestador de Servicios. x x x x x x x 5 Extremo 5 Extremo 5 Extremo 5 Extremo B: Raro 5B Extremo- Raro 5B-Intermedio
Evaluación de Riesgos
3. No contar con una matriz de valoración de riesgos apropiada a la Posteriormente se realiza la divulgación por parte del Gerente General de ODC por medio de correo electrónico al prestador de servicio.
Organización
4. No contar con un adecuado plan de tratamiento o acciones de
mitigación requeridas para riesgos identificados en la Organización.
Limitando que la Compañía cuente con una adecuada gestión de riesgos y

controles que soporte el desarrollo de la estrategia y sus objetivos.
Fallas en la estructuración y despliegue de la Gestión de Riesgos y

controles, debido a:
1. Debilidades en la definición de políticas, metodologías y/o

herramientas para la identificación, valoración, tratamiento, monitoreo y
comunicación de riesgos y controles Supervisar y acompañar a los dueños de proceso en el levantamiento y actualización de los riesgos y los controles. En caso tal que durante la
2. Inadecuada divulgación de los lineamientos y políticas sobre la gestión revisión de los riesgos y controles se presenten acciones de mejora, se generan los planes de acción respectivos
SIR&CO E.2.1.
Gerencia de Aseguramiento E.2.1.1. de riesgos y controles en la organización N/A 5 Extremo N/A 5 Extremo D: Probable 5D Extremo- Posible 5 C Intermedio E.2.1.1.2 x x x x x x x 5 Extremo 5 Extremo 5 Extremo 5 Extremo B: Raro 5B Extremo- Raro 5B-Intermedio
Evaluación de Riesgos
3. No contar con una matriz de valoración de riesgos apropiada a la Nota: En caso de existir ajustes en los riesgos o controles por cambios internos y externos, se incluyen en el listado y se deja documentado en el
Organización control de cambios.
4. No contar con un adecuado plan de tratamiento o acciones de
mitigación requeridas para riesgos identificados en la Organización.
Limitando que la Compañía cuente con una adecuada gestión de riesgos y

controles que soporte el desarrollo de la estrategia y sus objetivos.
Inadecuado monitoreo a la Gestión de Riesgos, debido a:

1. No reportar información relevante a las instancias organizacionales
adecuadas para la supervisión del sistema.
SIR&CO E.2.1. Monitorear y hacer seguimiento a los resultados de la gestión de riesgos de ODC, de acuerdo al ciclo de gestión de riesgos (la identificación, 2B-Menor-
Gerencia de Aseguramiento E.2.1.2. 2. Falta de seguimiento a los riesgos relevantes para Cenit N/A 5 Extremo N/A 5 Extremo D: Probable 5D Extremo- Posible 5 C Intermedio E.2.1.1.3 X X X X X X X N/A 2-Menor N/A 2-Menor B:Improbable 2B - Bajo
Evaluación de Riesgos valoración, tratamiento y monitoreo) definido por la Compañía. ( cuando y según aplique). Improbable
Generando falta de alineación, retroalimentación y/o direccionamiento
respecto a la Gestión de Riesgos.
Falta de alineación entre la estrategia de Tecnología de la Información y la 1. Aprobar el plan estratégico para tecnología de la información y sus modificaciones , que esté alineado con las estrategias generales de la
de la Compañía, debido a no realizar un análisis de integración cuidadoso y entidad. Los objetivos del plan de TI incluyen la entrega de ambientes seguros y confiables para la preparación de informes financieros para uso
aplicable a las actividades del plan, información incompleta e inoportuna o externo de alta calidad y se consideran las necesidades de todas las áreas de la Compañía.
Información y Comunicación S 8.1.1 irregular, conflictos de interés o independencia (posible colusión), que N/A 4 Mayor N/A 3 Moderado C: Posible 4 Mayor C: Posible 4 C Intermedio S.8.1.1.1 X X X X N/A 4-Mayor N/A 3-Moderado B-Improbable 4B-Improbale 4B-MEDIO
General
puede ocasionar incumplimiento de los objetivos de negocio y de gobierno 1.a. El Plan estratégico es almacenado en Share Point de ODC y se divulga a los interesados vía correo electrónico.
de la compañía, pérdidas económicas y afectación de la percepción
interna frente a la gestión de TI. 2. Realizar seguimiento a la ejecución del Plan Estratégico en la reunión trimestral de la dirección de talento humano y administración.
Modificaciones y/o accesos no autorizados a las hojas de cálculo utilizadas
en el proceso de reporte financiero u hojas de cálculo sensibles para los
procesos de negocio, presentación o carga de información incorrecta en
1.Aprobar la guía de aseguramiento de Hojas de Cálculo y sus modificaciones que es almacenada en Share Point de ODC y se divulga a los
los sistemas de información, por desconocimiento de los lineamientos de
interesados.
aseguramiento de hojas de cálculo, errores en la aplicación de la Guía de
aseguramiento de hojas de cálculo, fallas en el control de acceso a las
2. Verificar que las hojas de cálculo cumplan con lo definido en la Guía de Aseguramiento de Hojas de Cálculo. En señal de revisión, el
Secretaría General de ODC/ Gerencia hojas de cálculo, almacenamiento en recursos compartidos sin o con faltas
Información y Comunicación S.8.1.2 N/A 5 Extremo N/A 5 Extremo C: Posible 5 Extremo C: Posible 5 C Intermedio S.8.1.1.2 Propietario del activo envía al área de Tecnología de la Información una certificación indicando que las hojas de cálculo cumplen con los X X X X X X X N/A 5-Catastrófico N/A 5-Catastrófico A:Raro 5A-Catastrófico-Raro 5A- INTERMEDIO
General de control de acceso, lectura y/o modificación, manipulación de las hojas
parámetros establecidos en la Guía.
de cálculo (producción, alteración o supresión deliberada de registros) y
falta de controles de modificación de las hojas de cálculo, que puede
Nota: El control es semestral siempre y cuando el inventario de hojas de cálculo no se ajuste. En caso de cambios y novedades, se reportará al
generar afectación a la razonabilidad de los Estados Financieros, pérdida o
área de TI.
mal uso de la información, inadecuada toma de decisiones, sanciones,
multas o pérdidas económicas.
Accesos no autorizados a la información y/o servicios tecnológicos, debido

1. Los dueños de proceso y/o administradores de contrato verifican que los accesos de los usuarios están asignados en los sistemas de
a inadecuado monitoreo de accesos, falta de procedimientos relacionados
información bajo alcance SOX de acuerdo con sus funciones. Indicar su aprobación o solicitud de ajustes de los accesos revisados. La verificación
Secretaría General de ODC/ Gerencia con revisión y depuración de cuentas en los sistemas de aplicación, falla en 6 Catastrófico D:
Información y Comunicación S.8.1.3 N/A 6 Catastrófico N/A 6 Catastrófico D: Probable 6 D Alto S.8.1.3.1 es realizada con el reporte de usuarios generado por un miembro del área de Tecnología de la información. X X N/A 5-Catastrófico N/A 5-Catastrófico A:Raro 5A-Catastrófico-Raro 5A- INTERMEDIO
General la gestión de conflictos de segregación de funciones, que puede generar Probable
fraude, pérdidas económicas, de confidencialidad e indisponibilidad de la
2. A partir de la verificación, realizar el plan de acción de las observaciones identificadas por los dueños del proceso.
información.

a inadecuado monitoreo de accesos, falta de procedimientos relacionados
1. El dueño de proceso o responsable de la administración del contrato realiza la notificación de retiro/licencias/vacaciones de los funcionarios
Secretaría General de ODC/ Gerencia con revisión y depuración de cuentas en los sistemas de aplicación, falla en 6 Catastrófico D:
Información y Comunicación S.8.1.3 N/A 6 Catastrófico N/A 6 Catastrófico D: Probable 6 D Alto S.8.1.3.2 de la compañía a todas las áreas afectadas para realizar las acciones correspondientes. X X N/A 5-Catastrófico N/A 5-Catastrófico A:Raro 5A-Catastrófico-Raro 5A- INTERMEDIO
General la gestión de conflictos de segregación de funciones, que puede generar Probable
fraude, pérdidas económicas, de confidencialidad e indisponibilidad de la
información.
1. Aprobar la Matriz de segregación de funciones de los roles y responsabilidades y sus modificaciones.
2. Revisar si existen conflictos de segregación funcional de acuerdo con las reglas de segregación estándar para SAP, considerando la posible
Inadecuada concentración de funciones en los sistemas de información y/o existencia de:
servicios tecnológicos debido a falla en la gestión de conflictos de
Secretaría General de ODC/ Gerencia 6 Catastrófico D: 5B-Catastrófico-
Información y Comunicación S.8.1.4 segregación de funciones, que podrían generar fraude y/o perdida N/A 6 Catastrófico N/A 5 Extremo D: Probable 6 D Alto S.8.1.4.4 - Conflictos de segregación de funciones a nivel de roles. X X N/A 5-Catastrófico N/A 5-Catastrófico B-Improbable 5B- INTERMEDIO
General Probable Improbable
económica. - Conflictos de segregación de funciones a nivel de usuarios.
3. En los casos de conflictos identificados en la revisión, se realiza la identificación y validación de controles compensatorios existentes y
definición de las acciones a seguir para su corrección
Aprobar la Política de Seguridad de la Información y sus modificaciones. Esta debe incluir:
-Responsabilidades por la seguridad de la información ,

-Declaración general de la importancia de la seguridad para la Compañía,
Pérdida de confidencialidad, integridad o disponibilidad de la información,
-Referencia a políticas, guías y procedimientos relacionados
ausencia de su divulgación y/o manejo inadecuado de la misma debido a la
-Responsabilidades de gestión de seguridad de la información de los empleados y contratistas
implementación de controles no acordes a la clasificación de los datos y los
sistemas de información que estén bajo la administración de CENIT o de un
Secretaría General de ODC/ Gerencia En caso de presentarse modificaciones a la Política de Seguridad de la Información el área de TI con apoyo del área de Comunicación divulgará 4B-Mayor-
Información y Comunicación S.8.1.5 tercero, falta de lineamientos para la selección y administración de la N/A 5 Extremo N/A 5 Extremo D: Probable 5 Extremo D: Probable 5 D Alto S.8.1.5.6 X X N/A 4-Mayor N/A 3-Moderado- B-Improbable 4B-MEDIO
General dichos cambios. Improbable
información, falla en la divulgación de dichos lineamientos y fallas en el
monitoreo de información clave, generando posible uso indebido de
La manifestación de cumplimiento de la política de seguridad por parte de empleados y contratistas se encuentra en el control S8611
información, generación de información fraudulenta y/o pérdida de valor
de la Compañía.

ausencia de su divulgación y/o manejo inadecuado de la misma debido a la Aprobar la guía del ciclo de vida de la información que establece los lineamientos para el manejo de la información en la Compañía y las
implementación de controles no acordes a la clasificación de los datos y los modificaciones que se le realicen.
Secretaría General de ODC/ Gerencia 4B-Mayor-
Información y Comunicación S.8.1.5 tercero, falta de lineamientos para la selección y administración de la N/A 5 Extremo N/A 5 Extremo D: Probable 5 Extremo D: Probable 5 D Alto S.8.1.5.7 En caso de presentarse modificaciones a la guía del ciclo de vida de la información el área de TI con apoyo del área de Comunicación divulgará X X N/A 4-Mayor N/A 3-Moderado- B-Improbable 4B-MEDIO
General Improbable
información, falla en la divulgación de dichos lineamientos y fallas en el dichos cambios.
monitoreo de información clave, generando posible uso indebido de
información, generación de información fraudulenta y/o pérdida de valor
de la Compañía.
Cambios no autorizados de los sistemas de información, alteración no

1. Generar una solicitud de cambio con la información suministrada por el usuario solicitante y según lo establecido en las políticas o
autorizada de datos, pérdida de integridad y confiabilidad de la
procedimientos de la compañía. Dicha solicitud de control de cambios define el plan de implementación y plan de rollback, donde se tiene que
información o inestabilidad en el sistema, incorporación de código
especificar en qué consiste el cambio y el plan para volver a atrás en caso de no ser exitoso el cambio.
maliciosos, intervención no autorizadas a las bases de datos, CiberCrimen
y Vulnerabilidad de los sistemas debido a inexistencia o incumplimiento de
2. Aprobación de cambio: La aprobación de cambios se realiza según lo categorizado y por los funcionarios designados en las políticas y
un procedimiento formal de control de cambios que incluya la solicitud,
procedimientos de la compañía.
GR&C S.2.1. Controles generales de Secretaría General de ODC/ Gerencia aprobación, pruebas y paso producción de los mismos, inexistencia o 5C: Catastrófico-
S.8.2.1 N/A 6 Catastrófico N/A 6 Catastrófico C: Posible 6 Catastrófico C: Posible 6 C Alto S.8.2.1.1 X X N/A 5-Catastrófico N/A 5-Catastrófico C: Posible 5C -ALTO
TI General incumplimiento de un plan de implementación y de rollback para los Posible
3. Pruebas: Las pruebas son realizadas en un ambiente de calidad, donde el usuario debe dar su aprobación según lo establecido en las políticas
cambios implementados en los sistemas, inexistencia o incumplimiento de
y procedimientos de control de cambios de la compañía.
un procedimiento formal de control de cambios de emergencia o ausencia
de ambientes segregados y revisión de los accesos otorgados a los
4. Paso a producción: La autorización del paso a producción es dada por el dueño de la información o proceso, luego de ser aprobadas las
desarrolladores en cada ambiente, que puede ocasionar falta de
pruebas por parte del usuario final. Lo anterior según lo establecido en las políticas y procedimientos de la compañía para el control de cambios.
disponibilidad, intermitencia, degradación de los servicios prestados por
TI, perdida de información, sanciones o multas.
Cambios no autorizados de los sistemas de información, alteración no

autorizada de datos, pérdida de integridad y confiabilidad de la
información o inestabilidad en el sistema, incorporación de código
maliciosos, intervención no autorizadas a las bases de datos, CiberCrimen
y Vulnerabilidad de los sistemas debido a inexistencia o incumplimiento de
un procedimiento formal de control de cambios que incluya la solicitud,
El jefe o representante del área solicitante aprueba los cambios de emergencia solicitados a través de correo electrónico o de la herramienta
GR&C S.2.1. Controles generales de Secretaría General de ODC/ Gerencia aprobación, pruebas y paso producción de los mismos, inexistencia o 5B-Catastrófico-
S.8.2.1 N/A 6 Catastrófico N/A 6 Catastrófico C: Posible 6 Catastrófico C: Posible 6 C Alto S.8.2.1.4 de gestión. Adicionalmente, el área de TI da el visto bueno a dicha solicitud. X X N/A 5-Catastrófico N/A 5-Catastrófico B-Improbable 5B-INTERMEDIO
TI General incumplimiento de un plan de implementación y de rollback para los Improbable
un procedimiento formal de control de cambios de emergencia o ausencia
desarrolladores en cada ambiente, que puede ocasionar falta de
disponibilidad, intermitencia, degradación de los servicios prestados por
El ERP cuenta con 3 ambientes de procesamiento:

- Desarrollo.
Cambios no autorizados de los sistemas de información, alteración no - Calidad.
autorizada de datos, pérdida de integridad y confiabilidad de la - Productivo.
información o inestabilidad en el sistema, incorporación de código En los que es revisado la segregación de ambientes y roles de acuerdo con los siguientes lineamientos para los usuarios desarrolladores (ABAP):
maliciosos, intervención no autorizadas a las bases de datos, CiberCrimen - Desarrollo : Acceso ilimitado con programación,
y Vulnerabilidad de los sistemas debido a inexistencia o incumplimiento de - Calidad: Acceso limitado sin programación.
un procedimiento formal de control de cambios que incluya la solicitud, - Producción: No tienen acceso.
GR&C S.2.1. Controles generales de Secretaría General de ODC/ Gerencia aprobación, pruebas y paso producción de los mismos, inexistencia o 5B-Catastrófico-
S.8.2.1 N/A 6 Catastrófico N/A 6 Catastrófico C: Posible 6 Catastrófico C: Posible 6 C Alto S.8.2.1.5 X X N/A 5-Catastrófico N/A 5-Catastrófico B-Improbable 5B-INTERMEDIO
TI General incumplimiento de un plan de implementación y de rollback para los Identificar las desviaciones, justificar las desviaciones, definir e implementar el plan de acción producto de la revisión. Improbable
un procedimiento formal de control de cambios de emergencia o ausencia Para otros sistemas SOX se cuenta con un ambiente de desarrollo/pruebas de base de datos física y lógicamente separados, así:
desarrolladores en cada ambiente, que puede ocasionar falta de • Desarrollo/Pruebas
disponibilidad, intermitencia, degradación de los servicios prestados por • Producción
Para infraestructura no se tiene ambiente de pruebas. Las pruebas son realizadas en ventanas horarias que no afectan la operación de la
compañía.

a falta de políticas y/o procedimientos relacionados con la asignación de
cuentas de usuario y de perfiles, falta de procedimientos relacionados con Autorizar la creación y/o modificación de usuarios de forma individual o masiva en los sistemas y recursos de TI por parte del responsable
GR&C S.2.1. Controles generales de Secretaría General de ODC/ Gerencia depuración de cuentas en los sistemas de aplicación, falta de 6 Catastrófico D: establecido en el procedimiento de administración de usuarios de la compañía. 5B-Catastrófico-
S.8.6.1 N/A 6 Catastrófico N/A 6 Catastrófico D: Probable 6 D Alto S.8.6.1.1 X X X X X X N/A 5-Catastrófico N/A 5-Catastrófico B-Improbable 5B-INTERMEDIO
TI General procedimientos relacionados con la revisión de usuarios con privilegios Probable Improbable
administradores en los sistemas de aplicación, bases de datos y red de la
compañía, cambios o modificaciones temporales de privilegios de usuarios
y administradores de los sistemas, incumplimiento a las políticas y/o
cuentas de usuario y de perfiles, falta de procedimientos relacionados con
depuración de cuentas en los sistemas de aplicación, falta de
GR&C S.2.1. Controles generales de Secretaría General de ODC/ Gerencia procedimientos relacionados con la revisión de usuarios con privilegios 6 Catastrófico D: Realizar una evaluación de segregación de funciones al momento de asignar permisos adicionales o nuevos a un usuario nuevo o ya existente en 5B-Catastrófico-
TI General administradores en los sistemas de aplicación, bases de datos y red de la Probable el ERP de SAP. Improbable
procedimientos de administración de usuarios finales y usuarios
administradores, inadecuado monitoreo de accesos y no identificación de
procedimientos relacionados con la revisión de usuarios con privilegios
GR&C S.2.1. Controles generales de Secretaría General de ODC/ Gerencia administradores en los sistemas de aplicación, bases de datos y red de la 6 Catastrófico D: Ejecutar las acciones pertinentes para desactivar/eliminar los usuarios en las plataformas correspondientes cada vez que los administradores de 5B-Catastrófico-
TI General compañía, cambios o modificaciones temporales de privilegios de usuarios Probable contrato (según sea el caso), notifica el retiro, licencias o vacaciones de personal al área de TI, de acuerdo con los procedimientos definidos. Improbable
roles y usuarios con conflictos de segregación de funciones, que puede
llegar a generar fraude, pérdida económica, de confidencialidad e
depuración de cuentas en los sistemas de aplicación, falta de Bloquear de los sistemas de información de la compañía los usuarios con 15 días de inactividad, de acuerdo con el procedimiento establecido de
procedimientos relacionados con la revisión de usuarios con privilegios administración de usuarios de la compañía.
GR&C S.2.1. Controles generales de Secretaría General de ODC/ Gerencia administradores en los sistemas de aplicación, bases de datos y red de la 6 Catastrófico D: 5B-Catastrófico-
TI General compañía, cambios o modificaciones temporales de privilegios de usuarios Probable Nota: Este control solo aplica para SAP Improbable
cuentas de usuario y de perfiles, falta de procedimientos relacionados con Revisar los usuarios con privilegios administradores en los sistemas de información de la compañía:
procedimientos relacionados con la revisión de usuarios con privilegios Semestralmente se genera un reporte de usuarios con privilegios de administración que están configurados en los sistemas de información de la
administradores en los sistemas de aplicación, bases de datos y red de la compañía de alcance SOX (Aplicación, BD y Sistema Operativo). Este reporte es enviado por el gestor de plataforma al responsable de
GR&C S.2.1. Controles generales de Secretaría General de ODC/ Gerencia compañía, cambios o modificaciones temporales de privilegios de usuarios 6 Catastrófico D: tecnología de acuerdo con el procedimiento de administración de usuarios con privilegios amplios de la compañía. 5B-Catastrófico-
S.8.6.1 N/A 6 Catastrófico N/A 6 Catastrófico D: Probable 6 D Alto S.8.6.1.2 X X X X N/A 5-Catastrófico N/A 5-Catastrófico B-Improbable 5B-INTERMEDIO
TI General y administradores de los sistemas, incumplimiento a las políticas y/o Probable Improbable
procedimientos de administración de usuarios finales y usuarios En señal de revisión del responsable de Tecnología de Información indica si los usuarios encontrados son lo autorizados para tener estos
administradores, inadecuado monitoreo de accesos y no identificación de privilegios.
indisponibilidad de la información.

GR&C S.2.1. Controles generales de Secretaría General de ODC/ Gerencia procedimientos relacionados con la revisión de usuarios con privilegios 6 Catastrófico D: Obtener la aprobación establecida en los procedimientos de la compañía para otorgar cuentas de usuario con privilegios de administración, 5B-Catastrófico-
S.8.2.6 N/A 6 Catastrófico N/A 6 Catastrófico D: Probable 6 D Alto S.8.2.6.6 X X X X N/A 5-Catastrófico N/A 5-Catastrófico B-Improbable 5B-INTERMEDIO
TI General administradores en los sistemas de aplicación, bases de datos y red de la Probable cuando esta se requiera en alguno de los sistemas de información de la compañía con alcance SOX. Improbable
1. Revisar el análisis de vulnerabilidades a nivel de infraestructura de tecnología de información que soporte aplicaciones de alcance SOX.
Ataques cibernéticos sobre la infraestructura tecnológica debido a
2. Definir las acciones correctivas para las vulnerabilidades catalogadas como Altas y Medias de acuerdo con el reporte generado por las
inadecuada identificación, clasificación y gestión de los riesgos y
GR&C S.2.1. Controles generales de Secretaría General de ODC/ Gerencia 6 Catastrófico D: herramientas de análisis de seguridad. Así mismo, debe realizarse seguimiento al plan de acciones. El procedimiento se realiza de la siguiente 5B-Catastrófico-
S.8.6.1 vulnerabilidades, falta de monitoreo, configuración no adecuada, que N/A 6 Catastrófico N/A 6 Catastrófico D: Probable 6 D Alto S.8.6.1.3 X X X X X X N/A 5-Catastrófico N/A 5-Catastrófico B-Improbable 5B-INTERMEDIO
TI General Probable forma: Improbable
puede llegar a generar perdida de confidencialidad e integridad de la
información, indisponibilidad de los servicios prestados por TI.
Se realiza análisis de vulnerabilidades al menos una vez al año por cada plataforma de infraestructura.
Se genera el plan de remediación para las vulnerabilidades identificadas y se realiza el seguimiento al plan de remediación trimestralmente.
Acceso no autorizado/inapropiado a los equipos en el data center, evasión

de los controles de acceso lógico, indisponibilidad de los sistemas de
El responsable establecido de TI autoriza todos los accesos de funcionarios de Cenit o de ODC según el procedimiento de control de acceso al
información, actividades no autorizadas sobre los sistemas de información,
GR&C S.2.1. Controles generales de Secretaría General de ODC/ Gerencia centro de cómputo de la compañía y/o prestador de servicios
S.8.8.2 debido a falta de controles de acceso lógicos, ausencia de controles físicos, N/A 4 Mayor N/A 3 Moderado B: Raro 4 Mayor B: Raro 4 B Medio S.8.8.2.2 X X N/A 2-Menor N/A 1- Leve B-Improbable 2B-Leve- Improbable 2B - Bajo
TI General
que puede causar inadecuado uso de la información, indisponibilidad, fuga
de información, perdida de la integridad y confidencialidad de la
información.
Verificar los controles automáticos del sistema a través de los cuales:

Errores o manipulación del proceso en el proceso de emisión de facturas 1. El sistema está parametrizado para generar facturas, solo cuando se tenga el documento de venta. El valor de la factura se calcula
debido a: inadecuada parametrización del sistema, aprobaciones por automáticamente, una vez se carguen las cantidades y los precios en el sistema
personal no autorizado, inadecuada segregación de funciones, 2. El sistema SAP no permite generar dos documentos de venta asociados al mismo número de pedido externo SAP
GR&C N.1.1. Prestador de servicio (Gerencia de 4 Mayor A:
N.1.1.1 inadecuados niveles de autorización, registro inadecuado de cantidades a N/A 5 Extremo N/A 2 Menor C: Posible 5 Extremo C: Posible 5 C Intermedio N.1.1.1.1 3. Para las facturas ya emitidas, los campos de la factura son bloqueados por el sistema SAP (campos correspondientes a cantidades y precios) X X X X N/A 4 Mayor N/A 2 Menor A: Improbable 4 A Bajo
Facturación Desarrollo Comercial) Improbable
facturar lo cual puede generar pérdida y/o fraude sobre la calidad y 4. Para las tarifas parametrizadas, el sistema SAP no permite generar facturas para fechas de precio en que las tarifas no estén vigentes
exactitud de la información contable, pérdidas económicas, afectación de Anualmente el Profesional de Gestión de Ingresos y Reportes verifica esta configuración haciendo prueba y dejando como evidencia la pantalla
relaciones comerciales e imagen de la Compañía. de ésta
Nota: La periodicidad de éste control es anual siempre y cuando no se hayan presentado cambios en la configuración solicitados por el área
Errores o manipulación del proceso en el proceso de emisión de facturas

debido a: inadecuada parametrización del sistema, aprobaciones por
Validar que las solicitudes y/ o ajustes de facturación presenten la aprobación de la Gerencia General de ODC, validando que el correo
personal no autorizado, inadecuada segregación de funciones,
GR&C N.1.1. Prestador de servicio (Gerencia de electrónico o solicitud física enviada sea por parte de la Gerencia General de ODC. 4 Mayor A:
N.1.1.1 inadecuados niveles de autorización, registro inadecuado de cantidades a N/A 5 Extremo N/A 2 Menor C: Posible 5 Extremo C: Posible 5 C Intermedio N.1.1.1.2 X X X X N/A 4 Mayor N/A 2 Menor A: Improbable 4 A Bajo
Facturación Desarrollo Comercial) Improbable
facturar lo cual puede generar pérdida y/o fraude sobre la calidad y
Nota: La facturación de Impuesto de Transporte lo solicitará el Profesional Gestión de Ingresos y Reportes
exactitud de la información contable, pérdidas económicas, afectación de
relaciones comerciales e imagen de la Compañía.
Errores o manipulación del proceso en el proceso de emisión de facturas

debido a: inadecuada parametrización del sistema, aprobaciones por
personal no autorizado, inadecuada segregación de funciones,
GR&C N.1.1. Prestador de servicio (Gerencia de Aprobar la conciliación de solicitudes de facturación verificando que las solicitudes atendidas según el registro en el sistema SAP coincidan con 4 Mayor A:
N.1.1.1 inadecuados niveles de autorización, registro inadecuado de cantidades a N/A 5 Extremo N/A 2 Menor C: Posible 5 Extremo C: Posible 5 C Intermedio N.1.1.1.3 X X X X N/A 4 Mayor N/A 2 Menor A: Improbable 4 A Bajo
Facturación Desarrollo Comercial) las facturas emitidas. Las diferencias son identificadas y resueltas de forma oportuna. Improbable
facturar lo cual puede generar pérdida y/o fraude sobre la calidad y
exactitud de la información contable, pérdidas económicas, afectación de
relaciones comerciales e imagen de la Compañía.
Revisar por parte del Prestador de Servicios (Especialista en Soporte en la Operación) el monto a registrar por ingresos de operación portuaria
para TLU1 y TLU3 ya sea por provisión o legalización de la provisión, de acuerdo con el archivo en Excel enviado por el Profesional de Gestión y
Finanzas.
Para el caso de la provisión el Profesional de Gestión y Finanzas, realiza el cálculo tomando como base los archivos de servicios portuarios de
programación enviados por el área de operaciones del Prestador de Servicios (CENIT) y la tasa representativa de mercado publicada por el
Banco de La Republica de la fecha de la liquidación. En caso tal que la provisión presente una variación porcentual superior al 50% con relación
al mes anterior debe solicitar aprobación del Jefe Soporte de la Operación del Prestador de Servicios.
Sub o sobre estimación de ingresos involuntaria o fraudulenta debido a
Para el caso de la legalización de provisiones, el Profesional de Gestión y Finanzas, revisa la legalización de los ingresos de provisión, a través de
falta de oportunidad de la información, estimación inadecuada y falta de
GR&C N.1.1. Prestador de servicio (Gerencia de los documentos físicos enviados por Ecopetrol vs los archivos de servicios portuarios emitidos por programación y utilizadas para el registro de la
N.1.1.2 revisión de los servicios a facturar, generando registros contables erróneos N/A 3 Moderado N/A 2 Menor D: Probable 3 Moderado D: Probable 3 D Intermedio N.1.1.2.1 X X N/A 2 Menor N/A 2 Menor B: Raro 2 Menor B: Raro 2 B Bajo
Facturación Desarrollo Comercial) provisión; se validan las desviaciones (en caso de aplicar) y se envía correo electrónico a Ecopetrol con los valores ajustar, los cuales se reversan
y pérdida de la calidad y exactitud de la información contable.
en la legalización del mes posterior si estos no superan el 20%, si son montos superiores al porcentaje establecido, debe solicitar aprobación por
parte del Especialista en Soporte en la Operación y Jefe Soporte de la Operación.
El Especialista envía aprobación de la provisión y/o legalización por correo electrónico al Profesional de Gestión y Finanzas quién informa al área
contable el valor de la provisión, posteriormente el Profesional de Gestión y Finanzas evidencia que el registro contable ha sido realizado en la
contabilidad (pantalla de SAP con el registro de la provisión).
Revisar los valores pendientes por facturar al cierre del mes (calendario cierre contable) producto de las solicitudes de facturación no
atendidas, para consolidar las estimaciones por estos conceptos, que se reportan al área contable. El Coordinador de Gestión de Ingresos revisa
Sub o sobre estimación de ingresos involuntaria o fraudulenta debido a las estimaciones y en señal de aprobación, reenvía el correo electrónico al área de Contabilidad.
falta de oportunidad de la información, estimación inadecuada y falta de
GR&C N.1.1. Prestador de servicio (Gerencia de
N.1.1.2 revisión de los servicios a facturar, generando registros contables erróneos N/A 3 Moderado N/A 2 Menor D: Probable 3 Moderado D: Probable 3 D Intermedio N.1.1.2.2 En caso de aplicar ajustes a los valores a estimar, el Coordinador de Gestión de Ingresos notifica por medio de correo electrónico al Profesional X X N/A 2 Menor N/A 2 Menor B: Raro 2 Menor B: Raro 2 B Bajo
Facturación Desarrollo Comercial)
y pérdida de la calidad y exactitud de la información contable. de Gestión de Ingresos y Reportes, quién genera las modificaciones y/o ajustes para envío de la estimación al Coordinador de Gestión de
Ingresos.
Validar que las creaciones, bajas y traslados solicitados se registren correctamente en el sistema SAP, incluyendo los mantenimientos
capitalizables que han sido creados como activos en el módulo AM de SAP.
Inadecuada gestión de activos fijos debido a errores en el registro de la
El Prestador de Servicios (profesional de Data Maestra de Activos), envía correo electrónico al Prestador de Servicios (Coordinador de Activos
información en SAP en el momento de la creación, errores en la
Fijos), con el reporte mensual de datos maestros que es tomado del Sistema SAP, anexando los papeles de trabajo correspondientes a cada una
actualización de las novedades y capitalización de activos, información
de las novedades que contiene las verificaciones. El Prestador de Servicios (Coordinador de Activos Fijos), en señal de revisión envía correo
GR&C N.2.1. Prestador de Servicios (Gerencia desactualizada, alteración o falsedad en la información, falta de revisión y
N.2.1.1. N/A 4 Mayor N/A 3 Moderado E: Muy Probable 4 Mayor E: Muy Probable 4 E Alto N.2.1.1.1 electrónico al Prestador de Servicios (profesional de Data Maestra de Activos.) X X N/A 3 Moderado N/A 2 Menor C: Posible 3 Moderado C: Posible 3 C Medio
Gestión y Capitalización de Activos Finanzas) aprobación por el nivel requerido, fallas en el monitoreo de activos, lo cual
puede generar errores en los saldos de cuenta, pérdida o apropiación
De presentarse diferencias se envía correo electrónico al solicitante para su ajuste y comentarios por parte del profesional de data maestra de
inadecuada de activos y en la razonabilidad de los estados financieros.
activos con copia al Prestador de Servicios (Coordinador de Activos Fijos).

actualización de las novedades y capitalización de activos, información Revisar y aprobar las actividades de cierre contable asociadas al módulo de activos fijos (registro de altas, bajas, traslados) por medio de la
GR&C N.2.1. Prestador de Servicios (Gerencia
N.2.1.1. desactualizada, alteración o falsedad en la información, falta de revisión y N/A 4 Mayor N/A 3 Moderado E: Muy Probable 4 Mayor E: Muy Probable 4 E Alto N.2.1.1.2 validación del cierre de las actividades del checklist de activos fijos. X X N/A 3 Moderado N/A 2 Menor C: Posible 3 Moderado C: Posible 3 C Medio
Gestión y Capitalización de Activos Finanzas)
aprobación por el nivel requerido, fallas en el monitoreo de activos, lo cual

Revisar la conciliación de la toma física y los registros contables de acuerdo a la información suministrada por el tercero (avaluador) .
GR&C N.2.1. Prestador de Servicios (Gerencia El Prestador de Servicios (Coordinador de Activos fijos) realiza una verificación aleatoria de los activos por placas y descripción acorde con las
N.2.1.1. desactualizada, alteración o falsedad en la información, falta de revisión y N/A 4 Mayor N/A 3 Moderado E: Muy Probable 4 Mayor E: Muy Probable 4 E Alto N.2.1.1.3 X X N/A 3 Moderado N/A 2 Menor C: Posible 3 Moderado C: Posible 3 C Medio
Gestión y Capitalización de Activos Finanzas) especificaciones técnicas, dejando un papel de trabajo en señal de validación.
De encontrarse diferencias se toman las acciones necesarias con relación a la novedad.

Aprobar los formatos de bajas y traslados solicitados por el operador (Ecopetrol - contrato de Operación y Mantenimiento ) que contiene la
GR&C N.2.1. Prestador de Servicios (Gerencia novedad de los activos de la compañía, verificando que el formato se encuentre firmado por el responsable de la solicitud y que la información
N.2.1.1. desactualizada, alteración o falsedad en la información, falta de revisión y N/A 4 Mayor N/A 3 Moderado E: Muy Probable 4 Mayor E: Muy Probable 4 E Alto N.2.1.1.4 X X N/A 3 Moderado N/A 2 Menor C: Posible 3 Moderado C: Posible 3 C Medio
Gestión y Capitalización de Activos Finanzas) coincida con el reporte adjunto enviado por el área de Activos Fijos. En señal de su revisión firma el formato de la novedad solicitada.
Validar el cumplimiento de la normatividad vigente en cuanto al reconocimiento del valor actual y vidas útiles de los activos fijos mediante la
contratación de un avaluador técnico especializado.
Para el caso del avalúo técnico, este se efectúa para información de seguros, cada 3 años.
Inadecuado reconocimiento de los activos debido a desconocimiento de la
norma, aplicación tardía del análisis de avalúos en activos, omisión y/o
Para el caso de las vidas útiles, se revisan las premisas de las vidas útiles aplicables a los activos de la compañía y se señalan los cambios en los
GR&C N.2.1. Prestador de Servicios (Gerencia registro contable equivoco y reconocimiento de gastos/costos como
N.2.1.2. N/A 3 Moderado N/A 2 Menor D: Probable 3 Moderado D: Probable 3 D Intermedio N.2.1.2.1 mismos si da lugar, y en señal de revisión por parte del El Prestador de Servicio (Coordinador de Activos Fijos) emite un memorando de análisis. X X N/A 2 Menor N/A 1 Leve B: Raro 2 Menor B: Raro 1 B Bajo
Gestión y Capitalización de Activos Finanzas) activos lo cual puede generar incumplimiento de la normatividad legal,
sobre o subvaloración de la utilidad y poca fiabilidad en los estados
Si se presentan cambios en las premisas de las vidas útiles, estos son enviados al área contable, quien a su vez realiza las actualizaciones a que
financieros.
hubiere lugar. Posteriormente se realiza el ajuste contable correspondiente (si aplica).
El Prestador de Servicio (Jefe de Contabilidad) aprueba la carga correspondiente.
Sub o sobrevaloración de la provisión de costos de abandono, debido a

falta de integridad u omisión en la información reportada por las áreas
involucradas y del total de los activos de la compañía, errores en las
Verificar la información base del cálculo de costos de abandono de cada uno de los sistemas por medio de la revisión y ejecución de las
GR&C N.2.1. Gerencia de Aseguramiento e actividades de los procedimientos del cálculo de costos de
N.2.1.3 N/A 4 Mayor N/A 3 Moderado E: Muy Probable 4 Mayor E: Muy Probable 4 E Alto N.2.1.3.1 actividades descritas en la " Lista de chequeo de aspectos críticos de la estimación de costos de abandono". X X N/A 3 Moderado N/A 2 Menor C: Posible 3 Moderado C: Posible 3 C Medio
Gestión y Capitalización de Activos ingeniería ( Prestador de servicios) desincorporación, error del cálculo de los valores razonables para el
registro de la provisión, falta de revisión por el nivel requerido, errores en
el registro del comprobante manual lo que puede generar inconsistencias
en las cifras de los Estados financieros.

involucradas y del total de los activos de la compañía, errores en las
GR&C N.2.1. Prestador de Servicios (Gerencia actividades de los procedimientos del cálculo de costos de Validar el cálculo de la provisión costos de abandono ejecutado por la Coordinación de activos fijos verificando que los inputs incluidos en el
N.2.1.3 N/A 4 Mayor N/A 3 Moderado E: Muy Probable 4 Mayor E: Muy Probable 4 E Alto N.2.1.3.2 X X N/A 3 Moderado N/A 2 Menor C: Posible 3 Moderado C: Posible 3 C Medio
Gestión y Capitalización de Activos Finanzas) desincorporación, error del cálculo de los valores razonables para el modelo corresponda a la información recibida.
Revisar y aprobar la razonabilidad del cálculo de la provisión de abandono, sus respectivos inputs y su cumplimiento frente al requerimiento
Sub o sobrevaloración de la provisión de costos de abandono, debido a de la norma contable por medio una sesión de trabajo en donde participe el Gerente General de ODC / Gerente Senior de Finanzas/ Gerente
falta de integridad u omisión en la información reportada por las áreas de Operaciones Financieras /Experto en Gestión de Activos
involucradas y del total de los activos de la compañía, errores en las del prestador de servicios.
GR&C N.2.1. Prestador de Servicios (Gerencia actividades de los procedimientos del cálculo de costos de
Gestión y Capitalización de Activos Finanzas) desincorporación, error del cálculo de los valores razonables para el
registro de la provisión, falta de revisión por el nivel requerido, errores en En caso de identificar inconsistencias se realizarán los ajustes y se programará una nueva sesión de trabajo.

involucradas y del total de los activos de la compañía, errores en las Revisar y aprobar el registro contable de la provisión de abandono al cierre de los estados financieros, reportado por el Jefe de Contabilidad en
GR&C N.2.1. Prestador de Servicios (Gerencia actividades de los procedimientos del cálculo de costos de el que se valide el Comprobante Contable.
Gestión y Capitalización de Activos Finanzas) desincorporación, error del cálculo de los valores razonables para el
Sobre o subestimación del deterioro de activos debido a falta de

Validar el análisis cualitativo para la identificación de indicios de deterioro ( internos y externos) , mediante verificación de la existencia de
integridad u omisión en la información reportada por los responsables ,
respuestas a todas las preguntas del test cualitativo para el sistema . De acuerdo a la respuesta se procede a lo establecido en el procedimiento
GR&C N.2.1. Prestador de Servicios (Gerencia errores en las actividades de los procedimientos del cálculo, error en el
N.2.1.3 N/A 4 Mayor N/A 3 Moderado E: Muy Probable 4 Mayor E: Muy Probable 4 E Alto N.2.1.3.1 " Determinar el deterioro de los activos" del prestador de servicios. X X N/A 3 Moderado N/A 2 Menor C: Posible 3 Moderado C: Posible 3 C Medio
Gestión y Capitalización de Activos Finanzas) modelo matemático del cálculo de los valores razonables para el registro
de la provisión y/o falta de revisión por el nivel requerido lo que puede
generar inconsistencias en los Estados financieros.

Verificar y revisar que los inputs entregados por los responsables ( tasa de descuento, impuesto de renta, Tasa de cambio, vidas útiles, tarifas,
GR&C N.2.1. Prestador de Servicios (Gerencia errores en las actividades de los procedimientos del cálculo, error en el
N.2.1.3 N/A 4 Mayor N/A 3 Moderado E: Muy Probable 4 Mayor E: Muy Probable 4 E Alto N.2.1.3.2 costos, inversiones, volúmenes, valor de la propiedad planta y equipo ( incluyendo ARO) y valor de salvamento estén correctamente ingresados X X N/A 3 Moderado N/A 2 Menor C: Posible 3 Moderado C: Posible 3 C Medio
a la hoja de calculo, comparando la información entregada frente al modelo.
Sobre o subestimación del deterioro de activos debido a falta de Revisar la razonabilidad y aprobar el cálculo cuantitativo del deterioro de los activos, por medio de una mesa de trabajo en donde participen el
integridad u omisión en la información reportada por los responsables , Gerente General de ODC, Gerente de Planeación y Control de Gestión y el Gerente de Operaciones Financieras, con el fin de asegurar el
GR&C N.2.1. Prestador de Servicios (Gerencia errores en las actividades de los procedimientos del cálculo, error en el cumplimiento de la normativa IFRS.
de la provisión y/o falta de revisión por el nivel requerido lo que puede En caso de identificar inconsistencias se realizarán los ajustes y se programará una nueva sesión de trabajo.

GR&C N.2.1. Prestador de Servicios (Gerencia errores en las actividades de los procedimientos del cálculo, error en el Revisar y aprobar el registro contable de deterioro en los estados financieros, reportado por el Jefe de Contabilidad en el que se validé el
Gestión y Capitalización de Activos Finanzas) modelo matemático del cálculo de los valores razonables para el registro Comprobante Contable y su correcta aplicabilidad con la NIC 36.
Revisar y aprobar el reporte de las órdenes de trabajo correspondientes a mantenimientos a capitalizar en el mes y a transferir a activos en
Asignación errada de costos de órdenes de trabajo de mantenimiento,
curso de acuerdo a los criterios definidos bajo IFRS, el cual es enviado por el área de planeación de mantenimiento.
debido a:
Gerente Planeación y - Inadecuada clasificación de las actividades de mantenimiento
GR&C N.2.1. En caso de identificar diferencias, se remite nuevamente al área de planeación de mantenimiento para su justificación. 4B-,mayor-
Programación de N.2.1.4 (capitalizable o no capitalizable), conflicto de segregación de funciones, N/A 5-Catastrófico N/A 5-Catastrófico C: Posible 5C: Catastrófico- Posible 5C -ALTO N.2.1.4.1 x N/A 4-Mayor N/A 2-Menor B-Improbable 4B Medio
Gestión y Capitalización de Activos Improbable
Mantenimiento generando afectación a la confiabilidad, clasificación y razonabilidad en los
Posteriormente se envía a la Coordinación de Activos Fijos para su registro.
estados financieros de la compañía
Inadecuada aplicación de la normatividad contable, debido a inexistencia

de políticas contables, no contar con monitoreos periódicos de los posibles
GR&C S.1.1.Cierre Contable, Aprobar y divulgar las políticas contables aplicar en la Compañía para la preparación reporte y emisión de estados financieros.
Prestador de Servicios (Gerencia cambios normativos, falta de divulgación al personal responsable, 3 Moderado A:
Preparación y Revelación de Estados S.1.1.1 N/A 3 Moderado N/A 4 Mayor B: Raro 4 Mayor B: Raro 4 B Medio S.1.1.1.1 En la definición se incluye mecanismos y entes de control que ejercerán el monitoreo así como los niveles de aprobación para realizar X X X X N/A 2 Menor N/A 3 Moderado A: Improbable 3 A Bajo
Finanzas) incumplimiento de las políticas y/o procedimientos definidas, lo cual Improbable
Financieros actualizaciones y cambios correspondientes.
puede ocasionar errores o fraude en los estados financieros y llevar a toma
de decisiones inadecuadas y/o sanciones a la Compañía.
Controles automáticos del Sistema SAP en el módulo FI a través de los cuales:

Inexactitud, falta de integridad o fraude de la información financiera 1. Limita la creación de cuentas contables con un mismo número.
tanto para su registro, presentación y/o revelación debido a 2. Bloquea la cuenta, que no tenga saldos vigentes para contabilización, en este caso, el sistema automáticamente impide contabilizar en la
modificaciones de la información, errores en el registro del comprobante, cuenta bloqueada.
errores manuales, apertura de periodos reportados, inadecuada 3. Valida que los campos obligatorios para la creación de cuentas (Número de cuenta, denominación, plan de cuentas operativo y alternativo,
segregación de funciones, débil proceso de revisión, falta de controles en sociedad, etc.) sean registrados. En el caso de asociación de atributos el sistema arroja un mensaje de error el cual informa que los atributos no
asignación de usuarios e incorrecta parametrización del sistema, están completos.
manipulación dolosa de estados financieros (producción, alteración o 4. Las cuentas contables configuradas en el sistema SAP responden a los grupos y rangos de numeración, de acuerdo con las definiciones de la
supresión deliberada de registros, creación de transacciones con organización.
proveedores o acreedores falsos, manipulación de saldos de cuentas del 5. No permite realizar ningún registro contable en periodos cerrados.
GR&C S.1.1.Cierre Contable,
Prestador de Servicios (Gerencia activo y pasivo, traslado periódico de obligaciones reales o ficticias (de un 6. El sistema requiere que cada vez que se registra un documento contable, este quede asociado a una clase de documento donde solicita el 2 Menor A:
Preparación y Revelación de Estados S.1.1.2 N/A 3 Moderado N/A 4 Mayor C: Posible 4 Mayor C: Posible 4 C Intermedio S.1.1.2.1 X X X N/A 2 Menor N/A 2 Menor A: Improbable 2 A Bajo
Finanzas) acreedor o deudor a otro, real o ficticio), lo cual puede generar incorrecta campo "Moneda de origen". De no presentarse la actualización diaria de la tasa de cambio el sistema genera un error y no permite su registro. Improbable
Financieros
clasificación o presentación de los Estados Financieros, información 7. En el sistema SAP, existen tipos de documentos específicos, asociados a cada módulo para el registro de la información financiero
fraudulenta (por sobrevaloración/subvaloración de activos, registro de 8. El sistema SAP genera automáticamente un registro de las modificaciones aplicadas (log) sobre el archivo maestro de cuentas.
activos ficticios, registro de ingresos o pagos ficticios, incorrecta Una vez por semestre desde el último log ejecutado el Prestador de Servicios (Jefe de Contabilidad) verifica mediante la revisión de los logs
clasificación del grado de liquidez de inversiones, incorrecta clasificación generados del sistema SAP que las modificaciones realizadas al maestro correspondan a modificaciones autorizadas mediante correo
de activos/pasivos entre corto y largo plazo, no reconocimiento de electrónico a Data Maestra.
obligaciones financieras, inexactitud en las revelaciones de eventos
significativos/materiales o de transacciones con partes relacionadas, entre En caso de encontrar irregularidades, el Jefe de Contabilidad debe enviar un correo al Jefe de TI para revisar y corregir la situación
otros), fallas en la toma de decisiones, sanciones, multas y calificación de
la opinión del revisor fiscal. El Jefe de Contabilidad revisa las pruebas realizadas por Data Maestra y en señal de validación de la configuración envía correo electrónico.
Nota: La periodicidad de este control es anual siempre y cuando no se hayan presentado cambios en la configuración.
Inexactitud, falta de integridad o fraude de la información financiera

tanto para su registro, presentación y/o revelación debido a
modificaciones de la información, errores en el registro del comprobante,
errores manuales, apertura de periodos reportados, inadecuada
segregación de funciones, débil proceso de revisión, falta de controles en
asignación de usuarios e incorrecta parametrización del sistema,
manipulación dolosa de estados financieros (producción, alteración o
supresión deliberada de registros, creación de transacciones con Revisar el listado de comprobantes manuales generado por el sistema SAP.
proveedores o acreedores falsos, manipulación de saldos de cuentas del Posteriormente el Prestador de Servicio (Jefe de Contabilidad) valida la información de los comprobantes manuales.
Prestador de Servicios (Gerencia activo y pasivo, traslado periódico de obligaciones reales o ficticias (de un 2 Menor A:
Preparación y Revelación de Estados S.1.1.2 N/A 3 Moderado N/A 4 Mayor C: Posible 4 Mayor C: Posible 4 C Intermedio S.1.1.2.2 X X X N/A 2 Menor N/A 2 Menor A: Improbable 2 A Bajo
Finanzas) acreedor o deudor a otro, real o ficticio), lo cual puede generar incorrecta En caso de encontrarse inconsistencias por parte del Prestador de Servicios (Jefe de Contabilidad), éste envía correo electrónico al Outsourcing Improbable
Financieros
clasificación o presentación de los Estados Financieros, información contable con las diferencias para su resolución.
fraudulenta (por sobrevaloración/subvaloración de activos, registro de
activos ficticios, registro de ingresos o pagos ficticios, incorrecta
clasificación del grado de liquidez de inversiones, incorrecta clasificación
de activos/pasivos entre corto y largo plazo, no reconocimiento de
obligaciones financieras, inexactitud en las revelaciones de eventos
significativos/materiales o de transacciones con partes relacionadas, entre
otros), fallas en la toma de decisiones, sanciones, multas y calificación de
la opinión del revisor fiscal.
Inadecuado cálculo y registro de provisiones así como sobre o

Verificar el registro de la información de acuerdo con el reporte enviado por el abogado de ODC sobre el estado, cuantía y probabilidad de
subestimación fraudulenta de las mismas debido a la falta de revisión de la
GR&C S.1.1.Cierre Contable, pérdida de los procesos judiciales y contingencias que la Compañía presenta en contra, con base en las cuales el prestador de servicios registra
Prestador de Servicios (Gerencia integridad de la información entre los estimados contables y el registro en
Preparación y Revelación de Estados S.1.1.4 N/A 3 Moderado N/A 4 Mayor C: Posible 4 Mayor C: Posible 4 C Intermedio S.1.1.4.1. la provisión o se revela en las notas de los Estados Financieros. X X N/A 2 Menor N/A 3 Moderado B: Raro 3 Moderado B: Raro 3 B Medio
Finanzas) el modulo F.I y las fuentes externas como el área legal entre otros, lo cual
Financieros
puede generar información incorrecta y/o fraudulenta en los estados
financieros y las revelaciones.
Errores y/o información fraudulenta en la información financiera Revisar las variaciones de saldos de los reportes financieros (mensuales(1) y anual con corte a diciembre(2)), con el fin de identificar hechos
reportada y revelaciones, debido a una inadecuada revisión y análisis de económicos que no hayan quedado adecuadamente registrados.
Prestador de Servicios (Gerencia las cifras contables, incumplimiento de las políticas y/o procedimientos y la Si aplica, el Prestador de Servicios (Jefe de Contabilidad), solicita explicaciones a las áreas por las variaciones inusuales que se presentan dentro
Preparación y Revelación de Estados S.1.1.5 N/A 3 Moderado N/A 4 Mayor C: Posible 4 Mayor B: Raro 4 B Medio S.1.1.5.1. X X N/A 2 Menor N/A 3 Moderado B: Raro 3 Moderado B Raro 3 B Medio
Finanzas) normativa aplicable y supeditaje gerencial, lo cual puede afectar la toma de los rubros de las cuentas, de ser necesario entre las partes construyen el análisis de las variaciones y/o se realizan los ajustes necesarios.
Financieros
de decisiones de los usuarios de la información y el correcto análisis de la
situación económica de la compañía
Errores y/o información fraudulenta en la información financiera

reportada y revelaciones, debido a una inadecuada revisión y análisis de Validar que la información incluida en los formatos de reporte a las entidades de control y demás Entidades Gubernamentales, sea consistente
Prestador de Servicios (Gerencia las cifras contables, incumplimiento de las políticas y/o procedimientos y la con la información registrada en el sistema de información SAP.
Preparación y Revelación de Estados S.1.1.5 N/A 3 Moderado N/A 4 Mayor C: Posible 4 Mayor C: Probable 4 C Intermedio S.1.1.5.2. X X N/A 2 Menor N/A 3 Moderado B: Raro 3 Moderado B Raro 3 B Medio
Finanzas) normativa aplicable y supeditaje gerencial, lo cual puede afectar la toma
Financieros
de decisiones de los usuarios de la información y el correcto análisis de la En caso de encontrar inconsistencias en la información, se envía correo electrónico al Outsourcing para realizar los ajustes correspondientes.

Presentar ante la Junta Directiva para su análisis y revisión, los reportes y/o Estados Financieros.
reportada y revelaciones, debido a una inadecuada revisión y análisis de
Prestador de Servicios (Gerencia las cifras contables, incumplimiento de las políticas y/o procedimientos y la
Preparación y Revelación de Estados S.1.1.5 N/A 3 Moderado N/A 4 Mayor C: Posible 4 Mayor C: Probable 4 C Intermedio S.1.1.5.3. En caso de que aplique, Prestador de Servicio (el Outsourcing) se asegura la inclusión de las recomendaciones realizadas por parte de la Junta X X N/A 2 Menor N/A 3 Moderado B: Raro 3 Moderado B Raro 3 B Medio
Financieros Directiva revisando el acta, y envía correo electrónico al Prestador de Servicio (Jefe de Contabilidad) con la confirmación de los cambios y
posteriormente se envía al Prestador de Servicio (Gerente Senior de Finanzas y Director Estratégico y de Finanzas), para su aprobación
Revisión de los estados financieros y revelaciones por el Prestador de Servicios (Gerente Senior de Finanzas) y Gerente General ODC, quienes
GR&C S.1.1.Cierre Contable, analizan las cifras, detecta posibles errores, modificaciones o ajustes (en el caso de aplicar) y solicita explicación detallada de los saldos de las
Preparación y Revelación de Estados S.1.1.5 N/A 3 Moderado N/A 4 Mayor C: Posible 4 Mayor C: Probable 4 C Intermedio S.1.1.5.4. cuentas al prestador de servicio; posteriormente el Gerente General de ODC envía al Prestador de Servicios correo electrónico en señal de X X N/A 2 Menor N/A 3 Moderado B: Raro 3 Moderado B Raro 3 B Medio
Financieros aprobación.

Revisar la razonabilidad de los Estados Financieros (anuales) de ODC, analizando los saldos de cuenta presentados, variaciones y revelaciones
GR&C S.1.1.Cierre Contable, detectando posibles inconsistencias (en caso de aplicar), ajustes, y/o modificaciones, las cuales son informadas a la Gerencia General de ODC y
Preparación y Revelación de Estados S.1.1.5 N/A 3 Moderado N/A 4 Mayor C: Posible 4 Mayor C: Probable 4 C Intermedio S.1.1.5.5. Prestador de Servicios (Gerente Senior de Finanzas) quienes se encargan de aplicar los resultados de la revisión (en caso de aplicar) a los estados X X N/A 2 Menor N/A 3 Moderado B: Raro 3 Moderado B Raro 3 B Medio
Financieros financieros; lo anterior se consigna en el acta del Comité Financiero y de Auditoría.
Revisar y aprobar la solicitud del ajuste/correcciones/errores posteriores al cierre, a fin de realizar los registros en el sistema SAP. Las
reaperturas realizadas después de haber reportado a Casa Matriz deben contar con la autorización del Prestador de Servicio (Gerente Senior
Finanzas) y Gerente General de ODC y son realizadas por el Prestador de Servicio (Jefe de Contabilidad).
Hecho el ajuste por el Prestador de Servicio( Outsourcing Contable), el Prestador de Servicio (Jefe de Contabilidad) valida en el sistema SAP, que
lo solicitado, haya sido realizado, tenga su soporte de registro y sea consistente con el análisis.
Registrar información no autorizada después de haber realizado el cierre
Posteriormente, el Prestador de Servicio (Gerente Senior Finanzas) y Gerente General verifica que los ajustes realizados correspondan a los
GR&C S.1.1.Cierre Contable, del módulo contable (FI) debido a falta de autorización del Gerente
Prestador de Servicios (Gerencia autorizados y envía por medio de correo electrónico su verificación al Prestador de Servicio (Jefe de Contabilidad).
Preparación y Revelación de Estados S.1.1.6 General, errores en el análisis, falta de soportes contables, lo cual puede N/A 3 Moderado N/A 4 Mayor C: Posible 4 Mayor C: Posible 4 C Intermedio S.1.1.6.1. X X N/A 2 Menor N/A 3 Moderado B: Raro 3 Moderado B: Raro 3 B Medio
Finanzas)
Financieros generar afectación al corte, presentación, razonabilidad y confiabilidad de
En caso de encontrar inconsistencias y/o diferencias, el Jefe de Contabilidad y/o el Gerente Senior de Finanzas envía correo electrónico
los Estados Financieros de la Compañía.
solicitando justificaciones o ajustes (si aplica).
Nota: El perfil del usuario del Jefe Contabilidad es el único que tiene la posibilidad abrir periodos cerrados y SAP no permite el registro de
transacciones en periodos cerrados.
Revisar y aprobar conciliaciones mensuales del balance, incluyendo las operaciones reciprocas, de acuerdo a la información enviada por el
prestador de servicios(outsourcing) donde se realiza el cruce de los saldos.
Falta de integridad, valuación, validez y razonabilidad de la información
GR&C S.1.1.Cierre Contable, Todas las partidas conciliatorias se identifican en el mes siguiente, se investigan y aclaran oportunamente y de ser necesario, se realizan
Prestador de Servicios (Gerencia financiera debido errores en registros contables manuales, errores en las
Preparación y Revelación de Estados S.1.1.7 N/A 3 Moderado N/A 2 Menor C: Posible 3 Moderado C: Posible 3 C Medio S.1.1.7.1. registros contables correspondientes. X X N/A 2 Menor N/A 2 Menor B: Raro 2 Menor B: Raro 2B Bajo
Finanzas) interfaces registradas, lo cual puede ocasionar errores en los Estados
Financieros
Financieros y/o información fraudulenta.
Validar que los totales del patrimonio incluida la utilidad del ejercicio cargada en hyperion correspondan al cierre contable del periodo de
acuerdo a la información cargada por el prestador de servicios(outsourcing) , por medio de la pantalla de reporte de Hyperion que valida los
saldos contra el balance.
Errores y/o información fraudulenta en la información financiera En caso de ajustes o diferencias se envía correo electrónico al Outsourcing para ajustar o corregir o justificar.
reportada y revelaciones, debido a una inadecuada revisión y análisis de Para los cambios posteriores al cierre contable, el Prestador de Servicios (Jefe de Contabilidad) envía correo electrónico a Casa Matriz con los
Prestador de Servicios (Gerencia las cifras contables, incumplimiento de las políticas y/o procedimientos y la ajustes para efectos de consolidación y cargue en Hyperión.
Preparación y Revelación de Estados S.1.1.5 N/A 3 Moderado N/A 4 Mayor C: Posible 4 Mayor B: Raro 4 B Medio S.1.1.5.6. X X N/A 2 Menor N/A 3 Moderado B: Raro 3 Moderado B Raro 3 B Medio
Financieros
de decisiones de los usuarios de la información y el correcto análisis de la 2. Revisión de la conciliación de las cifras SAP frente al reporte de Hyperion ( día 15 posterior al cierre) o cuando ocurra ajuste posterior al
situación económica de la compañía cierre . En caso de encontrar diferencias, el Prestador de Servicios (Jefe de Contabilidad) envía correo electrónico a Casa Matriz para su gestión
y respuesta. ( si aplica ajustes posteriores al cierre).
Nota: Una vez cargadas las cifras de los EEFF en Hyperion no se permite realizar ajuste en la aplicación por parte de Cenit.
Analizar el patrimonio fiscal base para el cálculo del impuesto a la riqueza, por medio de los anexos de la declaración de renta con el que se
Inoportuna e inadecuada presentación de las declaraciones tributarias elabora la hoja de trabajo para su respectivo cálculo.
incluyendo fraude en la información declarada debido a falta de revisión y
GR&C S.1.3 Determinación de aplicación de los cambios tributarios, falta de revisión y aprobación de las El Prestador de Servicios (Jefe Tributario) aprueba el cálculo del impuesto a la riqueza para su posterior registro en el sistema SAP.
Prestador de Servicios (Gerencia
Impuestos Nacionales y Municipales S.1.3.1. declaraciones por el nivel requerido, supeditaje gerencial, pago tardío y/o N/A 3 Moderado N/A 4 Mayor D: Probable 4 Mayor D: Probable 4 D Intermedio S.1.3.1.1 X X X N/A 2 Menor N/A 2 Menor C: Posible 2 Menor C: Posible 2 C Medio
Finanzas)
inadecuada planeación de los plazos establecidos de presentación y pago En caso de encontrar inconsistencias o errores en la depuración y cálculo del impuesto a la riqueza, se realiza el respectivo ajuste.
lo cual puede generar sanciones y/o intereses por mora y afectación
reputacional.
Aprobar las declaraciones tributarias, mediante la revisión de las hojas de trabajo (archivos en Excel), análisis de variaciones, anexos de cada
una de las declaraciones físicos o magnéticos, así:
Mensual: Retención en la Fuente, Autorretención y retención de ICA (en los municipios que aplique)
Inoportuna e inadecuada presentación de las declaraciones tributarias
Bimestral: Declaración de IVA, Autorretención y retención de ICA (en los municipios que aplique), Declaración de ICA y Retenciones de ICA en
incluyendo fraude en la información declarada debido a falta de revisión y
Bogotá.
GR&C S.1.3 Determinación de aplicación de los cambios tributarios, falta de revisión y aprobación de las
Prestador de Servicios (Gerencia Anual: Declaración de Renta, declaración de ICA anuales, declaración de activos en el exterior, declaración de precios de transferencia e
Finanzas) Impuesto a la riqueza.
inadecuada planeación de los plazos establecidos de presentación y pago
En caso de encontrar inconsistencias, el Prestador de Servicio(Jefe Tributario/Especialista Tributario y Aduanero) envía correo electrónico al
reputacional.
Prestador de Servicio (outsourcing), solicitando ajuste o modificación.
Posteriormente, son firmadas por el Gerente General de ODC en señal de aprobación de las declaraciones tributarias.
Inoportuna e inadecuada presentación de las declaraciones tributarias

incluyendo fraude en la información declarada debido a falta de revisión y Verificar como mínimo el 20% de los proveedores creados en el semestre con el fin de validar los indicadores de retención asignados por el
GR&C S.1.3 Determinación de aplicación de los cambios tributarios, falta de revisión y aprobación de las prestador de servicios.
Prestador de Servicios (Gerencia
Finanzas)
inadecuada planeación de los plazos establecidos de presentación y pago En caso de que se identifique alguna inconsistencia se solicitará explicación y/o ajuste .
reputacional.
Aprobar el cálculo del Impuesto diferido y verificación del registro en el sistema SAP, por medio de la validación de la tasa proyectada, en
periodos intermedios que es realizada de manera trimestral y aplicable mensualmente a la utilidad del periodo.
Inadecuado cálculo del impuesto diferido y renta, debido a: Información La hoja de trabajo del cálculo de la tasa proyectada, contiene las proyecciones de Estados Financieros entregada a través de correo electrónico
base para el cálculo del impuesto diferido sea errónea o fraudulenta, enviado por el Prestador de Servicios (Gerente de Planeación y Control de Gestión) para periodos trimestrales y las depreciaciones proyectadas
GR&C S.1.3 Determinación de
Prestador de Servicios (Gerencia errores en el cálculo de la provisión de renta e impuesto diferido, entregada por el Outsourcing a través de correo electrónico.
Impuestos Nacionales y Municipales S.1.3.2. N/A 3 Moderado N/A 2 Menor D: Probable 3 Moderado D: Probable 3 D Intermedio S.1.3.2.1. X X N/A 2 Menor N/A 2 Menor C: Posible 2 Menor C: Posible 2 C Medio
Finanzas) supeditaje gerencial lo que puede generar afectación reputacional y/o
sanciones, estados financieros y revelaciones erróneos, sobrestimación o En caso de ajustes o modificaciones al cálculo del impuesto diferido, el Prestador de Servicios (Jefe de Impuestos/Especialista Tributario y
subestimación de la utilidad a distribuir. Aduanero) envía correo electrónico con la solicitud de cambios (si aplica).
Para el cierre anual o cierre de propósitos específicos, el cálculo del impuestos diferido se realiza sobre las diferencias temporarias reales entre
libro contable y fiscal generado del sistema SAP.
Aprobar el cálculo del impuesto de Renta para su posterior registro en el sistema SAP, por medio de la validación de la tasa proyectada en
periodos intermedios, que es realizada por el Prestador de Servicios (Outsourcing) de manera trimestral y que es aplicable mensualmente a la
utilidad del periodo.
La hoja de trabajo Excel del cálculo de la tasa efectiva de tributación enviada por medio de correo electrónico contiene las proyecciones de
Estados Financieros entregada por el Prestador de Servicios (Gerente de Planeación y Control de Gestión) para periodos trimestrales y las
Inadecuado cálculo del impuesto diferido y renta, debido a: Información
depreciaciones proyectadas entregada por el Prestador de Servicios(Outsourcing) a través de correo electrónico.
base para el cálculo del impuesto diferido sea errónea o fraudulenta,
GR&C S.1.3 Determinación de
Prestador de Servicios (Gerencia errores en el cálculo de la provisión de renta e impuesto diferido,
Impuestos Nacionales y Municipales S.1.3.2. N/A 3 Moderado N/A 2 Menor D: Probable 3 Moderado D: Probable 3 D Intermedio S.1.3.2.2. El cálculo contiene el análisis de las cuentas de ingresos, costos y gastos con el fin de determinar los conceptos de ingresos gravados y no X N/A 2 Menor N/A 2 Menor C: Posible 2 Menor C: Posible 2 C Medio
Finanzas) supeditaje gerencial lo que puede generar afectación reputacional y/o
gravados, los costos y gastos deducibles o no deducibles en el impuesto sobre la renta.
sanciones, estados financieros y revelaciones erróneos, sobrestimación o
subestimación de la utilidad a distribuir.
En caso de ajustes o modificaciones al cálculo de los impuestos, el Prestador de Servicios (Jefe de Impuestos/Especialista Tributario y Aduanero)
envía correo electrónico al outsourcing con la solicitud de cambios.
Para el cierre anual o cierre de propósitos específicos, el cálculo del impuestos se realiza sobre bases reales, esto es, ingresos, costos y gastos
arrojados del sistema SAP. Posteriormente, se realiza la depuración de ingresos gravados y no gravados y de costos/gastos deducibles y no
deducibles dejando la captura de pantalla de SAP del registro en la hoja de trabajo Excel.
El sistema SAP cuenta con una configuración para que cada vez que la entidad adquiera un activo, este se asocie a una cuenta en el GL (General
Líder/ Libro Mayor) para su posterior depreciación de manera automática, teniendo en cuenta los parámetros establecidos para la
depreciación de activos definidos por la organización.
Errores en la clasificación de las cuentas de depreciación y amortización
debido a inadecuada asociación de los activos a las cuentas Anualmente, el prestador de servicios ( data maestra) valida esta configuración haciendo prueba dejando como evidencia las pantallas de esta.
GR&C S.1.4. Cálculo DD&A Prestador de Servicios (Gerencia
S.1.4.1. parametrizadas en el sistema SAP para el cálculo y fallas o alteraciones al N/A 3 Moderado N/A 4 Mayor C: Posible 4 Mayor C: Posible 4 C Intermedio S.1.4.1.1. Posteriormente envía correo al prestador de servicios (Jefe de contabilidad) con la información para su visto bueno. X N/A 2 Menor N/A 2 Menor B: Raro 2 Menor B: Raro 2B Bajo
Finanzas)
ejecutar el proceso de liquidación, lo que puede generar reprocesos y/o
información contable incorrecta. Nota: La periodicidad de este control es anual siempre y cuando no se hayan presentado cambios en la configuración.
En caso de encontrar irregularidades en la configuración, el Prestador de Servicios (Jefe de Contabilidad) debe enviar un correo al Prestador de
Servicio (Jefe de TI) informando la situación.
Revisar la prueba del cálculo de la depreciación de los activos de Oleoducto de Colombia S.A., mediante la validación de los datos de la
depreciación del mes frente a los valores registrados en la contabilidad de acuerdo a la prueba del cálculo realizada por el Outsourcing Contable
Errores en el cálculo de la depreciación y amortización debido a
Analista y que es enviada por correo electrónico al Outsourcing Contable Supervisor.
desconocimiento de la política de depreciación por el responsable errores
manuales, manipulación y/o alteración de la información y falta de
En señal de revisión de la prueba del cálculo, el Prestador de Servicios (Outsourcing - Supervisor de Activos Fijos) envía correo electrónico al
GR&C S.1.4. Cálculo DD&A Prestador de Servicios (Gerencia revisión del cálculo depreciación y amortización generando inconsistencias
S.1.4.2. N/A 3 Moderado N/A 4 Mayor C: Posible 4 Mayor C: Posible 4 C Intermedio S.1.4.2.1. Prestador de Servicios (analista de activos fijos); X N/A 2 Menor N/A 2 Menor B: Raro 2 Menor B: Raro 2B Bajo
Finanzas) en los saldos contables y por ende en los estados financieros y reportes
emitidos por la Compañía.
En caso de encontrar inconsistencias y diferencias en las pruebas del cálculo de la depreciación de los activos, el Prestador de Servicios
(Supervisor de Activos Fijos) envía correo electrónico al Outsourcing Contable Analista para su ajuste. (si aplica)
Posteriormente se ejecuta el proceso de depreciación del mes.

Verificar que el registro en el sistema SAP del cálculo de depreciación y amortización (DD&A) haya quedado en los libros :fiscal e IFRS, por
medio de la revisión de los pantallazos capturados de cada uno de los libros.
S.1.4.2. N/A 3 Moderado N/A 4 Mayor C: Posible 4 Mayor C: Posible 4 C Intermedio S.1.4.2.2. X N/A 2 Menor N/A 2 Menor B: Raro 2 Menor B: Raro 2B Bajo
En caso de encontrar irregularidades en la configuración, el Outsourcing Contable (Analista con copia al Supervisor) debe enviar un correo al
Prestador de Servicio (Jefe de TI) informando la situación. Correo almacenado en Share Point.

Revisar las variaciones de la depreciación y amortización (DD&A), mediante análisis de variación de la cuenta respecto al mes anterior de
acuerdo con el soporte de variaciones enviado por el Outsourcing Contable Supervisor el cual es tomado del sistema SAP. Las variaciones
S.1.4.2. N/A 3 Moderado N/A 4 Mayor C: Posible 4 Mayor C: Posible 4 C Intermedio S.1.4.2.3. superiores al 10% son indagadas, justificadas y de ser requerido se realizan los ajustes correspondientes. X N/A 3 Menor N/A 2 Menor B: Raro 2 Menor B: Raro 2B Bajo
Posteriormente, Prestador de Servicios (Jefe de Contabilidad) envía correo electrónico al Outsourcing Contable Supervisor en señal de
aprobación.
Controles automáticos del Sistema a través de los cuales:

1. El sistema SAP está configurado para asegurar que solamente se aplique depósitos a terceros previamente creados.
2. El sistema SAP no permite que un recaudo de las cuenta por cobrar pueda ser aplicado más de una vez.
3. El sistema SAP no permite borrar los deudores que presentan movimiento en los saldos contables.
Inadecuada gestión de las cuentas por cobrar, reconocimiento incorrecto 4. El sistema SAP no permite la creación de un deudor sin diligenciar los campos obligatorios parametrizados.
de los recaudos y registro de pagos ficticios debido a gestión de cobro 5. El sistema SAP calcula automáticamente los intereses de mora de acuerdo con las facturas de clientes que presentan vencimiento.
inoportuno, errores manuales, manipulación y/o alteración de la
GR&C S.1.5 Cuentas por Cobrar Prestador de Servicios (Gerencia información, cobros por montos superiores, autorización de ajustes Anualmente el Prestador de Servicios (Jefe de Tesorería y Data Maestra ) valida esta configuración haciendo prueba, dejando como evidencia
S.1.5.1. N/A 4 Mayor N/A 4 Mayor D: Probable 4 Mayor D: Probable 4 D Intermedio S.1.5.1.1 X X N/A 2 Menor N/A 2 Menor B: Raro 2 Menor B: Raro 2B Bajo
Finanzas) incorrectos en la verificación de los intereses por mora y/o aplicación las pantallas de esta.
errónea de los recaudos y/o a clientes incorrectos de forma deliberada
generando pérdidas económicas, fraude, reportes de cartera alterados En caso de reportar inconsistencias, se hace la solicitud a IT, como respuesta a la corrección de la solicitud, la jefatura procede a verificar y
y/o afectación a los Estados Financieros de la Compañía. realizar las pruebas sobre cambios.
Nota: La periodicidad de este control es anual, siempre y cuando no se hayan presentado cambios solicitados por el área de cartera en la
configuración".
Revisar el proceso de gestión de cobranza y provisión de cartera (si aplica) para todos los clientes que presentan cartera vencida por medio del
seguimiento (llamada telefónica o correo electrónico) consignado en la hoja de cálculo; El Prestador de Servicios (Especialista de Liquidez,
Inadecuada gestión de las cuentas por cobrar, reconocimiento incorrecto
Deuda y Seguros) calcula la provisión de cartera de acuerdo a la guía de provisión de cartera del Prestador de Servicios. El cálculo es revisado
de los recaudos y registro de pagos ficticios debido a gestión de cobro
por el Prestador de Servicios (Jefe de Tesorería)
inoportuno, errores manuales, manipulación y/o alteración de la
GR&C S.1.5 Cuentas por Cobrar Prestador de Servicios (Gerencia información, cobros por montos superiores, autorización de ajustes
S.1.5.1. N/A 4 Mayor N/A 4 Mayor D: Probable 4 Mayor D: Probable 4 D Intermedio S.1.5.1.2. En el caso que aplique la provisión, el Prestador de Servicios (Jefe de Tesorería) envía correo electrónico al Prestador de Servicios (Jefe de X X N/A 2 Menor N/A 2 Menor B: Raro 2 Menor B: Raro 2B Bajo
Finanzas) incorrectos en la verificación de los intereses por mora y/o aplicación
Contabilidad) para el registro y posteriormente confirma el valor de la provisión al Prestador de Servicios (Jefe de Tesorería) por medio de
errónea de los recaudos y/o a clientes incorrectos de forma deliberada
correo electrónico; posteriormente el Prestador de Servicios (Gerente senior de Finanzas) solicita autorización al Gerente General ODC por
generando pérdidas económicas, fraude, reportes de cartera alterados
correo electrónico.
y/o afectación a los Estados Financieros de la Compañía.
Aprobación de la creación de usuarios para preparador, aprobador 1 y aprobador 2 en los portales de los bancos por medio de la solicitud al
Realizar pagos errados, fraudulentos (robo) o no autorizados debido a que
Gerente General de la creación del nuevo aprobador quién por medio de correo electrónico aprueba la solicitud.
son ejecutados por personal no autorizado, inadecuada segregación de
GR&C S.1.2. Prestador de Servicios (Gerencia funciones o cargue de gastos que no estén autorizados, fraccionamiento
S.1.2.1. N/A 4 Mayor N/A 3 Moderado E: Muy Probable 4 Mayor E: Muy Probable 4 E Alto S.1.2.1.1. Posteriormente y cada vez que se requiera la creación, modificación o eliminación de perfiles en el canal de pago, el control será ejecutado por X X X X X X X N/A 2 Menor N/A 2 Menor B: Raro 2 Menor B: Raro 2 B Bajo
Manejo de Caja y Bancos Finanzas) de pagos, ausencia en la verificación de los ajustes realizados y solicitados
el súper usuario (prestador de servicios) con aprobación del Prestador de Servicios (Gerente Financiero) mediante correo electrónico otorgando
por el autorizador y generando pérdidas económicas y afectación al
la aprobación de creación y/o modificación.
cumplimiento de las obligaciones.

GR&C S.1.2. Prestador de Servicios (Gerencia funciones o cargue de gastos que no estén autorizados, fraccionamiento Verificar las validaciones de la configuración de los perfiles y los usuarios relacionados al sistema de pagos en línea realizada por el súper usuario
S.1.2.1. N/A 4 Mayor N/A 3 Moderado E: Muy Probable 4 Mayor E: Muy Probable 4 E Alto S.1.2.1.2. X X X X X X X N/A 2 Menor N/A 2 Menor B: Raro 2 Menor B: Raro 2 B Bajo
Manejo de Caja y Bancos Finanzas) de pagos, ausencia en la verificación de los ajustes realizados y solicitados y Gerente General ODC.

Revisar y aprobar los pagos manuales realizados a través de cartas u otros mecanismos, dejando evidencia en los documentos aprobados.
GR&C S.1.2. Prestador de Servicios (Gerencia funciones o cargue de gastos que no estén autorizados, fraccionamiento
Manejo de Caja y Bancos Finanzas) de pagos, ausencia en la verificación de los ajustes realizados y solicitados
Los documentos son ingresados al SIMAD (Sistema Integrado de Administración Documental) que genera el consecutivo.

GR&C S.1.2. Prestador de Servicios (Gerencia funciones o cargue de gastos que no estén autorizados, fraccionamiento Verificar, aprobar y autorizar la propuesta de pago por la transacción ZFI_SWIFT / niveles de aprobación ZFI029 en el sistema SAP, a través
Manejo de Caja y Bancos Finanzas) de pagos, ausencia en la verificación de los ajustes realizados y solicitados del workflow que recibe cada nivel de aprobador autorizado que son: Aprobador 1, Aprobador 2 y Aprobador 3.
Registrar inadecuadamente en SAP los movimientos bancarios generados

por aquellos bancos que no cuentan con proceso automático, debido a
errores de digitación (tercero, cuenta y valor) e información incompleta o Revisar las partidas conciliatorias por medio de la conciliación realizada por el Prestador de servicio (contabilidad) vs las aplicaciones en
GR&C S.1.2. Prestador de Servicios (Gerencia 2 Menor A:
S.1.2.2. transacciones ficticias, generando impacto en la toma de decisiones, la N/A 4 Mayor N/A 4 Mayor E: Muy Probable 4 Mayor E: Muy Probable 4 E Alto S.1.2.2.1. carteras y las liberaciones de pagos; en caso de aplicar, las partidas no identificadas, se enviará correo el electrónico como gestión de la X X X X N/A 2 Menor N/A 2 Menor A: Improbable 2 A Bajo
Manejo de Caja y Bancos Finanzas) Improbable
cual se realiza sobre la base de reportes con cifras que no se ajustan a la identificación.
realidad (fraude) y reproceso en las actividades de cargue de información
a SAP.
Registrar inadecuadamente en SAP los movimientos bancarios generados

por aquellos bancos que no cuentan con proceso automático, debido a
Verificar que los movimientos de caja coincida con los saldos de banco, por medio de la revisión del flujo de caja al cierre de mes.
errores de digitación (tercero, cuenta y valor) e información incompleta o
GR&C S.1.2. Prestador de Servicios (Gerencia 2 Menor A:
S.1.2.2. transacciones ficticias, generando impacto en la toma de decisiones, la N/A 4 Mayor N/A 4 Mayor E: Muy Probable 4 Mayor E: Muy Probable 4 E Alto S.1.2.2.2. X X X X N/A 2 Menor N/A 2 Menor A: Improbable 2 A Bajo
Manejo de Caja y Bancos Finanzas) De encontrarse diferencias en los reportes se envía correo electrónico al Prestador de Servicios (Analista de Tesorería) para corrección y ajuste. Improbable
cual se realiza sobre la base de reportes con cifras que no se ajustan a la
realidad (fraude) y reproceso en las actividades de cargue de información
a SAP.
Inadecuados registros de cuentas por pagar debido a solicitudes
incorrectas o no autorizadas, fallas en el proceso de revisión, registrar
Aprobar la contabilización del pago manual, una vez se verifique que el formato para pago manual adjunte los documentos soportes solicitados
inadecuadamente anticipos de proveedores, legalizaciones de gastos
Cuentas por Pagar Gerencia Operaciones S 7.5.1 N/A 5-Catastrófico N/A 5-Catastrófico D: Probable 5D-Catastrófico-Probable 5D-ALTO S.7.5.1.1. y que el formato esté diligenciado por el responsable de la solicitud y aprobado por el responsable del área. X X N/A 3-Moderado N/A 3-Moderado- C: Posible 3C-Moderado-Posible 3C-MEDIO
inconsistentes y/o por fraude interno, lo cual puede generar pérdida
económica reprocesos y no razonabilidad en los estados financieros.
S.7.5.2.3 Verificar que el sistema SAP esté configurado para que al registrar facturas se exija el ingreso de los siguientes campos obligatorios:
- Fecha de la factura
- Código de proveedor o NIT
- Número de factura recibida (referencia)
Incumplimiento de los requisitos establecidos en el Estatuto Tributario o - Valor
por la Compañía debido a la recepción de facturas que no cumplan con - Texto cabecera (usuario que desbloquea la factura para que se pueda generar el pago.)
Cuentas por Pagar Gerencia Operaciones S 7.5.2 N/A 5-Catastrófico N/A 5-Catastrófico D: Probable 5D-Catastrófico-Probable 5D-ALTO S.7.5.2.3. X N/A 3-Moderado N/A 4-Mayor C: Posible 4C:Mayor-Posible 4C-INTERMEDIO
dichos requisitos, generando reprocesos y correcciones en las - Cuenta contable (e indicador de IVA si la cuenta es relevante para impuestos)
declaraciones tributarias. - Objeto de costos (PEP, grafo, orden de costos)
Anualmente, el Jefe de Contabilidad valida esta configuración de acuerdo a la revisión efectuada por el Outsourcing que es enviada por correo
electrónico donde se evidencian las pantallas de verificación.
Verificar las hojas de entrada de servicio sin match en el sistema (registros de recepción de los cuales no se ha recibido factura por parte del
proveedor), con el fin de provisionar todos los bienes y servicios recibidos y no facturados por el proveedor.
Subvalorar o sobrevalorar los pasivos de la Compañía debido al registro
El registro de la provisión se realiza a través de un proceso automático del sistema. Se envía correo al Jefe de Contabilidad y a los
Cuentas por Pagar Gerencia Operaciones S 7.5.3 inadecuado o inoportuno de hechos económicos,, afectando la N/A 5-Catastrófico N/A 5-Catastrófico D: Probable 5D-Catastrófico-Probable 5D-ALTO S.7.5.3.4 X X N/A 3-Moderado N/A 4-Mayor C: Posible 4C:Mayor-Posible 4C-INTERMEDIO
administradores de contrato con los comentarios respectivos.
razonabilidad del saldo de la cuenta en los estados financieros.
S.7.5.1.5 Controles automáticos del Sistema a través de los cuales:
1. El sistema SAP realiza el proceso de validación de "Three Way Match" (coincidencia en factura, pedido y recibo). La relación establecida
entre estos documentos garantiza la trazabilidad de la solicitud y la correcta aprobación en cada etapa para las compras realizadas.
incorrectas o no autorizadas, fallas en el proceso de revisión, registrar 2. El sistema SAP no permite registrar dos veces el mismo número de factura para el mismo proveedor, evitando así la duplicidad de pagos.
Cuentas por Pagar Gerencia Operaciones S 7.5.1 N/A 5-Catastrófico N/A 5-Catastrófico D: Probable 5D-Catastrófico-Probable 5D-ALTO S.7.5.1.5 X X N/A 3-Moderado N/A 3-Moderado- C: Posible 3C-Moderado-Posible 3C-MEDIO
inconsistentes y/o por fraude interno, lo cual puede generar pérdida 3. El sistema SAP cuenta con un recordatorio de los anticipos pendientes de aplicar al proveedor.
Anualmente, el Jefe de Contabilidad valida el funcionamiento de los controles automáticos en referencia de acuerdo a la información facilitada
por el Outsourcing y envía correo electrónico con el visto bueno.
En caso de encontrar inconsistencias, el Jefe de Contabilidad envía correo electrónico al área de TI informando irregularidades en el
funcionamiento de dicha parametrización.
Validar la adecuada aplicación de anticipos y garantías por medio la revisión de formato para autorización de pago a proveedores frente al
registro en el sistema SAP.
Cuentas por Pagar Gerencia Operaciones S 7.5.1 N/A 5-Catastrófico N/A 5-Catastrófico D: Probable 5D-Catastrófico-Probable 5D-ALTO S.7.5.1.6 En caso de diferencias en la aplicación de anticipos se envía correo electrónico al administrador de contrato o gestor para su revisión. X X N/A 3-Moderado N/A 3-Moderado- C: Posible 3C-Moderado-Posible 3C-MEDIO
inconsistentes y/o por fraude interno, lo cual puede generar pérdida

inadecuadamente anticipos de proveedores, legalizaciones de gastos Validar que los saldos registrados en la cuenta por pagar de proveedores sea correcto y consistente a través de conciliaciones mensuales del
Cuentas por Pagar Gerencia Operaciones S 7.5.1 N/A 5-Catastrófico N/A 5-Catastrófico D: Probable 5D-Catastrófico-Probable 5D-ALTO S.7.5.1.7 X X N/A 3-Moderado N/A 3-Moderado- C: Posible 3C-Moderado-Posible 3C-MEDIO
inconsistentes y/o por fraude interno, lo cual puede generar pérdida saldo de la cuenta. Posteriormente se envía al Jefe de Contabilidad para su aprobación.
Verificar que el presupuesto cargado en el sistema SAP corresponda con la versión final aprobada por la Junta Directiva.
Inadecuada planeación financiera debido a: falta de definición de
lineamientos para la elaboración del presupuesto de la Compañía, falta de En caso de requerir algún ajuste, estos son aprobados de acuerdo al Manual Delegación de Autoridad (ODC) y posteriormente son cargados por
Gerente de Planeación y Control de
definición de un calendario de actividades, errores por parte de las áreas el prestador de Servicios ( Experto en Proyecciones Financieras) , quién envía correo electrónico con el ajuste o modificación y se verifica
Gestión Presupuestal Gestión D.1.3.1 N/A 5-Catastrófico N/A N/A C: Posible 5C-Catastrófico-Posible 5C-ALTO D.1.3.1.3 X X N/A 1-Leve N/A N/A B: Improbable 1B-Leve-Improbable 1B - BAJO
en las planillas presupuestales, lo cual puede generar toma de decisiones nuevamente el cargue del presupuesto en el sistema SAP.
inadecuada, desalineación de los objetivos de la compañía, pérdidas
económicas.
Incumplimiento al presupuesto programado, debido a falta de ejecución Monitorear las variaciones del presupuesto ejecutado vs lo planeado a fin de identificar variaciones significativas que impacten el desempeño
Gerente de Planeación y Control de presupuestal o exceso de ejecución presupuestal, generando pérdidas de financiero futuro de la Compañía
Gestión Presupuestal Gestión D.1.3.3 recursos y excesos frente a lo presupuestado. N/A 5-Catastrófico N/A N/A C: Posible 5C-Catastrófico-Posible 5C-ALTO D.1.3.1.4 X X N/A 1-Leve N/A N/A B: Improbable 1B-Leve-Improbable 1B - BAJO
En caso de identificar desviaciones o alertas, se generarán los planes de acción correspondientes para su seguimiento
Controles automáticos atraves de los cuales:
a. El sistema SAP No permite efectuar entradas de mercancía por cantidades superiores a las pactadas en cada posición del pedido de
Eventos de fraude, corrupción, lavado de dinero y financiación del
compras. (Esto no impide el ingreso parcial de cantidades inferiores a las pactadas en el pedido).
terrorismo en el proceso de gestión logística, debido a: * recibir o
autorizar pagos de bienes y/o servicios que no cumplan con las condiciones
b. SAP no permite efectuar una entrada de mercancía si no se cuenta con una orden de pedido liberada, a excepción de los ingresos por ajuste
pactadas o que no se hubieren recibido, * fallas en la parametrización del
Gestionar Logística Gerente Compras e Inventarios S.AB.050.020.8: N/A 6- Catastrófico N/A 4- Mayor E: Muy Probable 4E- Mayor Muy Probable 9 Alto S.AB.050.020.2.28 de inventario. X X X X X X N/A N/A N/A 2- Menor B: Raro 2B - Menor Raro 30 Bajo
sistema, *pérdida o hurto de materiales, activos o residuos, * sub o
sobrevaloración de los inventarios de materiales; lo cual puede ocasionar
c. Al momento de registrar la entrada de mercancía SAP genera automáticamente el pasivo estimado.
afectación a la reputación, inclusión en listas restrictivas o de control,
vinculación en procesos legales, pérdidas económicas y de competitividad.
d. El sistema no permite una salida de materiales si no existe una reserva liberada a excepción de las salidas por ajuste de inventario.
Anualmente, el Prestador de Servicios) área de inventarios valida esta configuración donde se evidencian las pantallas de verificación.
Monitorear el adecuado cumplimiento del proceso de registro de ingresos y salidas de materiales realizados por el operador logístico, mediante
Sobre o subestimación de inventarios de la compañía, debido a: *
las visitas mensuales a las bodegas de acuerdo al cronograma de visitas del año.
inadecuado o inoportuno registro de los movimientos de inventario
(entradas, salidas y traslados), * inadecuado proceso de revisión y conteo
La revisión se realiza por medio de una muestra aleatoria en el que se valida el material recibido (cuando se encuentra aún en bodega),
de materiales una vez se genera una entrada y salida de los mismos, * no
6E- Catastrófico Muy chequeo del material (cuando se encuentra aun en bodega), orden de compra, remisión del proveedor, etc., frente a las fechas registradas en
Gestionar Logística Gerente Compras e Inventarios S.AB.050.020.9 contar con las aprobaciones adecuadas para realizar dichos movimientos, N/A 6- Catastrófico N/A N/A E: Muy Probable 9 Alto S.AB.050.020.3.29 X X N/A 3- Moderado N/A N/A B: Raro 3B - Moderado Raro 25 Medio
Probable el sistema SAP. En señal de verificación, se deja un acta con los temas de la visita.
* no contar con los soportes adecuados sobre los movimientos, *
movimientos ficticios registrados y * movimientos pendientes de registrar
En caso de encontrar desviaciones se generaran planes de acción para cerrar las brechas y se realiza el respectivo seguimiento.
con antigüedad; generando: interrupciones en la operación, pérdidas
económicas, reprocesos y daños reputacionales para la Organización.
Realizar tomas físicas mensuales de inventario considerando la metodología ABC. Para ello se selecciona una muestra aleatoria de materiales,
teniendo en cuenta aquellos materiales de mayor valor y que cuenten con alto índice de rotación y se verifica que las existencias registradas en
el sistema de información corresponda con las existencias físicas en la bodega y con base en el cronograma de viajes a las bodegas.
Sobre o subestimación del valor de inventarios, debido a la inadecuada o
Al finalizar el año, debe haberse cubierto la totalidad del inventario existente del total de las bodegas
inoportuna realización de conteos periódicos y anuales, inadecuada o no
6C Catastrófico 2A - Menor
Gestionar Logística Gerente Compras e Inventarios S.AB.050.020.9 autorizada o fraudulenta realización de ajustes de inventarios generando N/A 6- Catastrófico N/A N/A C: Posible 6 Alto S.AB.050.030.3.30 X X N/A 2- Menor N/A N/A A: Improbable 34 Bajo
Moderado - Posible Las diferencias físicas son revisadas y ajustadas. El ajuste es aprobado por el nivel correspondiente de acuerdo con el MAD. Improbable
información contable errada, interrupciones en la operación, pérdidas
económicas, sobrecostos y daños reputacionales para la Organización.
El operador logístico debe soportar la diferencia. Cuando no hay soporte:
1. Se genera una reposición o
2. Se genera un menor valor de la factura a pagar al OL.
Cenit realiza el ajuste en el sistema (Logística realiza el ajuste en el sistema SAP).
Realizar la toma física anual de inventario al 100% de los materiales registrados en el sistema de información. Verificando que las existencias
registradas en el sistema de información correspondan a las existencias físicas en la bodega.
La información sobre los inventarios y las diferencias identificadas quedan registradas en el sistema de información SAP.
Sobre o subestimación del valor de inventarios, debido a la inadecuada o
Las diferencias físicas son revisadas y ajustadas por el nivel adecuado de acuerdo con el MAD.
inoportuna realización de conteos periódicos y anuales, inadecuada o no
6C Catastrófico 2A - Menor
Gestionar Logística Gerente Compras e Inventarios S.AB.050.020.9 autorizada o fraudulenta realización de ajustes de inventarios generando N/A 6- Catastrófico N/A N/A C: Posible 6 Alto S.AB.050.030.3.31 X X N/A 2- Menor N/A N/A A: Improbable 34 Bajo
Moderado - Posible El operador logístico debe soportar la diferencia. Cuando no hay soporte: Improbable
información contable errada, interrupciones en la operación, pérdidas
1. Se genera una reposición o
económicas, sobrecostos y daños reputacionales para la Organización.
2. Se genera un menor valor de la factura
Cenit realiza el ajuste en el sistema (Logística realiza el ajuste en el sistema SAP).
Adicionalmente, un tercero independiente al Operador Logístico y Cenit ejecuta el inventario anual para garantizar la independencia y
cumplimiento del proceso de toma física.
Revisar y aprobar el calculo del valor de la provisión de deterioro de los inventarios de materiales de gastos y proyectos, revisando que las cifras
y los cálculos estén adecuadamente soportados y acorde a los índices de rotación, saldo o existencias en bodegas.
Incorrecta o fraudulenta valoración de la provisión de deterioro de
El cálculo incluye un análisis de la rotación de inventarios mediante el cual se identifican los inventarios de lento o nulo movimiento.
inventarios, debido a errores en la base de información usada para su
6C Catastrófico 3A - Moderado
Gestionar Logística Gerente Compras e Inventarios S.AB.050.020.10 calculo, inexistencia o incumplimiento de la políticas y procedimientos N/A 6- Catastrófico N/A N/A C: Posible 6 Alto S.AB.050.040.4.32 X N/A 3- Moderado N/A N/A A: Improbable 32 Bajo
Moderado - Posible Posteriormente esta información es enviada por el área Logística e Inventarios a la Gerencia de Mantenimiento y Gerencia de Proyectos para Improbable
definidos y fallas en la revisión del cálculo que genere errores en el reporte
su revisión técnica.
financiero y afectación a la utilidad reportada.
Una vez el área técnica da su concepto sobre cuales son los materiales a ser provisionados, Logística e Inventarios realiza los cálculos
pertinentes y comunica al área contable para su verificación y registro.
Inadecuado cumplimiento de los requisitos del proceso de compras y

contratación (fraude / corrupción), debido a: falta de lineamientos
autorizados sobre el proceso, incumplimiento de las disposiciones y niveles
de atribución definidos en el Manual de Delegación de Autoridad de la
Compañía; inadecuada segregación de funciones en el proceso;
inadecuada parametrización del sistema; fraccionamiento de las
Revisar la minuta del contrato de acuerdo con las plantillas autorizadas por el área legal, durante la etapa precontractual.
solicitudes de compra para evitar los controles estipulados por la
Gte. Compras e Inventarios compañía en relación con montos de aprobación; falta de la 6F - Catastrófico Con
Compras y Contratación S.2.1.1. N/A 6- Catastrófico N/A 6- Catastrófico F: Con Certeza 1 Muy Alto S.2.1.1.1 En caso de presentarse ajustes en la minuta estándar, se envía correo electrónico al Gerente Legal Operativo para su revisión y aprobación. X X X X N/A 6- Catastrófico N/A 6- Catastrófico B: Raro 6B - Catastrófico Raro 11 Intermedio
documentación relacionada con los límites de atribución; incumplimiento certeza
sobre los trámites definidos; incorrecta creación de proveedores;
Las modificaciones propuestas son revisadas y se ajustan en el modelo del área.
desconocimiento de los contratos y fraude interno, direccionamiento de
proveedores, supeditaje gerencial, creación de necesidades ficticias,
manipulación de precios y cotizaciones, conflictos de interés y/o
independencia. Lo cual puede generar compras innecesarias, uso y/o
apropiación indebida de activos, afectación a la reputación de la
Compañía y pérdidas económicas.
Inadecuado cumplimiento de los requisitos del proceso de compras y

contratación (fraude / corrupción), debido a: falta de lineamientos
autorizados sobre el proceso, incumplimiento de las disposiciones y niveles El sistema SAP automáticamente no permite:
de atribución definidos en el Manual de Delegación de Autoridad de la 1. Crear contratos (Bienes o Servicios) para proveedores que no se encuentren registrados en la maestro de acreedores y clientes.
Compañía; inadecuada segregación de funciones en el proceso; 2. Crear contratos (Bienes o Servicios) por montos mayores a los de las SOLPED.
inadecuada parametrización del sistema; fraccionamiento de las 3. Liberar SOLPED y contratos que no se ajusten a los niveles de autorización definidos en el MAD.
solicitudes de compra para evitar los controles estipulados por la 4. Liberar SOLPED que no cuente con un presupuesto disponible
Gte. Compras e Inventarios compañía en relación con montos de aprobación; falta de la 6F - Catastrófico Con 5. Anular SOLPED ni Ordenes de Compra / Ordenes de Trabajo ya aprobadas en SAP.
Compras y Contratación S.2.1.1. N/A 6- Catastrófico N/A 6- Catastrófico F: Con Certeza 1 Muy Alto S.2.1.1.2 X X X X N/A 6- Catastrófico N/A 6- Catastrófico B: Raro 6B - Catastrófico Raro 11 Intermedio
documentación relacionada con los límites de atribución; incumplimiento certeza 6. Los permisos de SAP para liberar SOLPED y contratos no generan conflictos o inadecuada segregación funcional.
sobre los trámites definidos; incorrecta creación de proveedores; 7. Asignar el mismo número de identificación (NIT/Cédula de Ciudadanía/Consecutivo) a más de un proveedor.
desconocimiento de los contratos y fraude interno, direccionamiento de
proveedores, supeditaje gerencial, creación de necesidades ficticias, Anualmente el Gerente de Compras e inventarios valida esta configuración de acuerdo a la información enviada por el Especialista de Mejora
manipulación de precios y cotizaciones, conflictos de interés y/o de procesos y en señal de revisión envía correo electrónico con el visto bueno. En caso de encontrar alguna irregularidad, el Gerente de
independencia. Lo cual puede generar compras innecesarias, uso y/o Compras e inventarios envía correo electrónico al área de TI para su resolución.
apropiación indebida de activos, afectación a la reputación de la
Compañía y pérdidas económicas.
Inadecuado cumplimiento de los requisitos del proceso de compras

y contratación (fraude / corrupción), debido a: falta de
lineamientos autorizados sobre el proceso, incumplimiento de las
disposiciones y niveles de atribución definidos en el Manual de
Delegación de Autoridad de la Compañía; inadecuada segregación
de funciones en el proceso; inadecuada parametrización del
sistema; fraccionamiento de las solicitudes de compra para evitar
los controles estipulados por la compañía en relación con montos Analizar las especificaciones técnicas que soportan la solicitud de contratación. En caso de tener claridad de la necesidad de contratación se da
Gte. Compras e Inventarios 6F - Catastrófico Con
Compras y Contratación S.2.1.1. de aprobación; falta de la documentación relacionada con los N/A 6- Catastrófico N/A 6- Catastrófico F: Con Certeza 1 Muy Alto S.2.1.1.3 inicio al proceso de contratación emitiendo la invitación a cotizar. En caso contrario, se interactúa con el área usuaria con el fin de entender la X X X X N/A 6- Catastrófico N/A 6- Catastrófico B: Raro 6B - Catastrófico Raro 11 Intermedio
certeza
límites de atribución; incumplimiento sobre los trámites definidos; necesidad.
incorrecta creación de proveedores; desconocimiento de los
contratos y fraude interno, direccionamiento de proveedores,
supeditaje gerencial, creación de necesidades ficticias,
independencia. Lo cual puede generar compras innecesarias, uso
y/o apropiación indebida de activos, afectación a la reputación de
la Compañía y pérdidas económicas.

los controles estipulados por la compañía en relación con montos
Gte. Compras e Inventarios 6F - Catastrófico Con Revisa y liberar el contrato tanto en el sistema SAP como en el documento físico de acuerdo con los términos de la negociación, el cual cumple
Compras y Contratación S.2.1.1. de aprobación; falta de la documentación relacionada con los N/A 6- Catastrófico N/A 6- Catastrófico F: Con Certeza 1 Muy Alto S.2.1.1.4 X X X N/A 6- Catastrófico N/A 6- Catastrófico B: Raro 6B - Catastrófico Raro 11 Intermedio
certeza las condiciones para ser formalizado.
límites de atribución; incumplimiento sobre los trámites definidos;

Gte. Compras e Inventarios 6F - Catastrófico Con Verificar que las pólizas entregadas por el contratista amparen adecuadamente a la Compañía según las condiciones establecidas en el
Compras y Contratación S.2.1.1. de aprobación; falta de la documentación relacionada con los N/A 6- Catastrófico N/A 6- Catastrófico F: Con Certeza 1 Muy Alto S.2.1.1.5 X X X N/A 6- Catastrófico N/A 6- Catastrófico B: Raro 6B - Catastrófico Raro 11 Intermedio
certeza contrato.
Inadecuada administración de contratos incluyendo el favorecimiento al
contratista durante su ejecución debido a: ausencia de lineamientos para
la administración de contratos, demoras en el inicio de la ejecución del
contrato, fallas en el seguimiento de las obligaciones del contratista, Verificar que la información del contrato firmado sea consistente con los datos que se encuentran en el sistema SAP (Fechas, firmas, anexos
Compras y Contratación Gerente de Gestión de Contratos S.2.1.2. N/A 6-Catastrófico N/A 4-Mayor C: Posible 6C -Catastrófico Posible 6 Alto S.2.1.2.6 X N/A 3 -Moderado N/A 3 -Moderado B: Raro 3B 25 Medio
colusión entre el administrador o el supervisor técnico y el contratista y pólizas aprobadas, modificaciones contractuales).
errores en la liquidación del contrato que ocasionen sobrecostos,
interrupciones en las operaciones de la compañía, reclamos y afectación
reputacional.

contrato, fallas en el seguimiento de las obligaciones del contratista,
Compras y Contratación Gerente de Gestión de Contratos S.2.1.2. N/A 6-Catastrófico N/A 4-Mayor C: Posible 6C -Catastrófico Posible 6 Alto S.2.1.2.7 Revisar y aprobar los planes de carácter administrativo establecidos en el contrato u orden de compra. X N/A 3 -Moderado N/A 3 -Moderado B: Raro 3B 25 Medio
colusión entre el administrador o el supervisor técnico y el contratista y
reputacional.

Compras y Contratación Gerente de Gestión de Contratos S.2.1.2. N/A 6-Catastrófico N/A 4-Mayor C: Posible 6C -Catastrófico Posible 6 Alto S.2.1.2.8 Revisar, consolidar y aprobar los planes de carácter técnico establecidos en el contrato (HSE, seguridad física, RSE, PDT, y demás que apliquen). X N/A 3 -Moderado N/A 3 -Moderado B: Raro 3B 25 Medio
reputacional.

contrato, fallas en el seguimiento de las obligaciones del contratista, Evaluar el desempeño del proveedor y/o contratista con base en los criterios de evaluación definidos en el la "Guía de Evaluación de
Compras y Contratación Gerente de Gestión de Contratos S.2.1.2. N/A 6-Catastrófico N/A 4-Mayor C: Posible 6C -Catastrófico Posible 6 Alto S.2.1.2.9 X X N/A 3 -Moderado N/A 3 -Moderado B: Raro 3B 25 Medio
colusión entre el administrador o el supervisor técnico y el contratista y Desempeño " o documento equivalente que aplique para el respectivo contrato con el fin de registrar los resultados de desempeño.
reputacional.

contrato, fallas en el seguimiento de las obligaciones del contratista, Monitorear la ejecución del contrato relacionada con el seguimiento técnico y administrativo del mismo, identificando cumplimiento de fechas,
Compras y Contratación Gerente de Gestión de Contratos S.2.1.2. N/A 6-Catastrófico N/A 4-Mayor C: Posible 6C -Catastrófico Posible 6 Alto S.2.1.2.10 X X N/A 3 -Moderado N/A 3 -Moderado B: Raro 3B 25 Medio
colusión entre el administrador o el supervisor técnico y el contratista y entregables, planeación y presupuesto.
reputacional.

Aprobar la modificaciones contractuales previamente analizadas y sustentadas por el Administrador y el Supervisor Técnico del contrato.
Compras y Contratación Gerente de Gestión de Contratos S.2.1.2. N/A 6-Catastrófico N/A 4-Mayor C: Posible 6C -Catastrófico Posible 6 Alto S.2.1.2.11 El Administrador presenta al área de planeación la necesidad para su aprobación. X X N/A 3 -Moderado N/A 3 -Moderado B: Raro 3B 25 Medio
Nota: si se niega la solicitud se inicia una nueva solicitud para un nuevo contrato.
reputacional.

contrato, fallas en el seguimiento de las obligaciones del contratista, Verificar el cumplimiento de las actividades de cierre y/o liquidación de contratos, mediante la elaboración y aprobación del Acta de Liquidación
Compras y Contratación Gerente de Gestión de Contratos S.2.1.2. N/A 6-Catastrófico N/A 4-Mayor C: Posible 6C -Catastrófico Posible 6 Alto S.2.1.2.12 X X X X N/A 3 -Moderado N/A 3 -Moderado B: Raro 3B 25 Medio
colusión entre el administrador o el supervisor técnico y el contratista y del Contrato, así como los documentos soporte que apliquen (soportes y anexos del acta) según el tipo de contrato.
reputacional.
Recibir bienes y/o servicios ficticios, no autorizados o que no correspondan

con lo acordado (orden de compra y/o solicitud de servicio pactado en el
contrato) durante la ejecución del contrato en cuanto a valores, Revisar que el pedido está de acuerdo con las condiciones definidas en el contrato y liberarlo en el sistema SAP.
Compras y Contratación Gerente de Gestión de Contratos S.2.1.3. cantidades, tiempos, calidad, entre otros, debido a un inadecuado N/A 6-Catastrófico N/A 4-Mayor C: Posible 6C -Catastrófico Posible 6 Alto S.2.1.2.13 X X X X X X X N/A 3 -Moderado N/A 3 -Moderado A: Improbable 3A 32 Bajo
seguimiento a la ejecución del contrato, que puedan generar posibles En caso de requerir ajustes, se envía la notificación al administrador del contrato.
conflictos de segregación funcional y/o colusión con el contratista que
generan afectación económica, reputacional, sobrecostos y reprocesos.
Recibir bienes y/o servicios ficticios, no autorizados o que no correspondan

Verificar el cumplimiento de las obligaciones contractuales pactadas, realizando seguimiento a los plazos de entrega, ejecución de las obras y/o
con lo acordado (orden de compra y/o solicitud de servicio pactado en el
cantidad y calidad de los bienes o servicios (según el caso) haciendo uso de las Actas de Recibo de Cantidades firmadas por el Supervisor Técnico
contrato) durante la ejecución del contrato en cuanto a valores,
S.2.1.2.14 y el Contratista, como insumo para registro de las entradas de servicios en SAP y la liberación de la hoja de entrada correspondiente.
Compras y Contratación Gerente de Gestión de Contratos S.2.1.3. cantidades, tiempos, calidad, entre otros, debido a un inadecuado N/A 6-Catastrófico N/A 4-Mayor C: Posible 6C -Catastrófico Posible 6 Alto X X X X N/A 3 -Moderado N/A 3 -Moderado A: Improbable 3A 32 Bajo
seguimiento a la ejecución del contrato, que puedan generar posibles
En caso de identificar variables inconsistentes de avance, desviaciones y/o alertas que se presente durante la ejecución del contrato, se debe
conflictos de segregación funcional y/o colusión con el contratista que
tomar las acciones correspondientes para asegurar el cierre, corrección y/o ajuste de desviaciones.
generan afectación económica, reputacional, sobrecostos y reprocesos.

disposiciones y niveles de atribución definidos en el Manual de 1. Verificar que los proponentes que participan en el proceso de selección cumplen con los requisitos financieros, técnicos y reputacionales
Delegación de Autoridad de la Compañía; inadecuada segregación (revisión listas restrictivas) para la ejecución del contrato a través de los siguientes documentos:
- Reporte del análisis y viabilidad financiera del proveedor para los contratos cuyo monto sea superior al autorizado por el Comité de Compras y
Contratación.
Compras y Contratación S.2.1.1. de aprobación; falta de la documentación relacionada con los N/A 6- Catastrófico N/A 6- Catastrófico F: Con Certeza 1 Muy Alto S.2.1.1.15 X X X X X X X N/A 6- Catastrófico N/A 6- Catastrófico B: Raro 6B - Catastrófico Raro 11 Intermedio
certeza - Reporte del análisis del LA/FT (Listas restrictivas)
incorrecta creación de proveedores; desconocimiento de los 2. Antes de la firma del contrato se verificará nuevamente en listas restrictivas (OFAC y Contraloría) de acuerdo a los establecido en el manual
contratos y fraude interno, direccionamiento de proveedores, de cumplimiento.
manipulación de precios y cotizaciones, conflictos de interés y/o 3. Para proveedores activos con contratos en ejecución se realiza una validación al inicio del contrato y al menos una vez cada año.

los controles estipulados por la compañía en relación con montos Validar que el formato de creación de proveedores y sus documentos anexos enviados por el área de Compras e Inventarios estén de acuerdo
Compras y Contratación S.2.1.1. de aprobación; falta de la documentación relacionada con los N/A 6- Catastrófico N/A 6- Catastrófico F: Con Certeza 1 Muy Alto S.2.1.1.16 con el procedimiento de creación de proveedores establecido por la Compañía y tenga las firmas de autorización así como el visto bueno de las X X X X X X X N/A 6- Catastrófico N/A 6- Catastrófico B: Raro 6B - Catastrófico Raro 11 Intermedio
certeza
límites de atribución; incumplimiento sobre los trámites definidos; listas restrictivas; adicionalmente se firma el check list de revisión de documentos.
Fraude y/o corrupción durante el proceso de adquisición de
procesos inmobiliarios, debido: Falta de Lineamientos para la Revisión de los cumplimientos técnicos, económicos y jurídicos de los acuerdos de indemnización para que cuente con toda la documentación
negociación, pagos excesivos, incidencia en el concepto de peritos, 1 4 soporte de la adquisición del derecho y sean consistentes con las metodologías de indemnización de daños y servidumbres. 2 4
Inmobiliaria Gestión Inmobiliaria S.6.2.1 N/A N/A D: Probable 4D-Mayor-Probable 4D-ALTO S.6.2.1.1 X X X X N/A N/A C: Posible 4C-Mayor- Posible 4C-INTERMEDIO
dádivas ilegales, uso de información privilegiada, errores Leve Mayor Menor Mayor
intencionales en la aplicación de la metodología, lo cual generaría, En caso de encontrar inconsistencias se envía correo electrónico a los gestores para su análisis y ajuste por parte del área Inmobiliaria.
afectación reputacional y pérdidas económicas.
Involucrarse en actividades asociadas al lavado de activos y/o

Financiación del terrorismo durante el proceso de adquisición de
derechos inmobiliarios debido a la suscripción de acuerdos de
indemnización en predios y con terceros vinculados con temas de 1 4 Revisar los terceros en la lista restrictiva en el proceso de adquisición de derechos inmobiliarios, tomando un pantallazo de la consulta. 2 5 5B-Catastrófico-
Inmobiliaria Gestión Inmobiliaria S.6.2.3 N/A N/A D: Probable 4D-Mayor-Probable 4D-ALTO S.6.2.3.3 X X X X N/A N/A B: Improbable 5B-INTERMEDIO
LA/FA, ausencia de verificación en listas restrictivas de las Leve Mayor Menor Catastrófico Improbable
contrapartes y estudios jurídicos de los bienes a adquirir y los
titulares del derecho, lo que puede generar pérdidas económicas y
afectación reputacional para Compañía.
Inadecuada constitución de los derechos inmobiliarios, debido a,

errores catastrales, falta y/o errores en el estudio de títulos,
mutación de los predios, lo cual puede derivar en demandas,
1 4 Revisión de los cumplimientos técnicos y jurídicos de los acuerdos de indemnización por servidumbres para que cuente con toda la 2 5 5B-Catastrófico-
Inmobiliaria Gestión Inmobiliaria S.6.2.4 imposibilidad de uso de los derechos inmobiliarios para la N/A N/A D: Probable 4D-Mayor-Probable 4D-ALTO S.6.2.4.4 X X X X X N/A N/A B: Improbable 5B-INTERMEDIO
Leve Mayor documentación soporte de la adquisición del derecho. Menor Catastrófico Improbable
operación de la Compañía.
PLANES DE ACCIÓN
Responsable del
Responsable
Proceso Dirección Gerencia Tipo de Deficiencia Código de control Control GAP Acción (es) de Mejora Fechas Plan de Acción Seguimiento Seguimiento Observaciones
(Cargo)
(Dueño del proceso)
1. Adhesión:
1.1. Código de Ética de Casa Matriz, que contiene un conjunto de declaraciones explícitas de comportamientos y disyuntivas éticas, además de los
lineamientos de regalos, cortesías, atenciones y suscripción de patrocinios. Falta de un procedimiento para la gestión de denuncias o la aprobación de la adherencia al documento definido Aprobar por parte de la Junta Directiva la adherencia a los siguientes documentos normativos:
1.2.El procedimiento de gestión de denuncias de la Casa Matriz, especificando las excepciones en las actividades a realizar para los casos que no aplique por por la Casa Matriz para el tratamiento de los casos éticos.
la estructura organizacional de ODC. 1.El procedimiento de gestión de denuncias de la Casa Matriz, especificando las excepciones en las actividades
1.3. El Manual de Cumplimiento del Prestador de Servicios administrativos, que establece las directrices y lineamientos generales para garantizar el Falta de directrices formales para la gestión del programa de cumplimiento de ODC o la aprobación de la a realizar para los casos que no aplique por la estructura organizacional de ODC.
cumplimiento de los mecanismos de identificación, prevención, detección, reporte, monitoreo y respuesta ante actos de corrupción, fraude, lavado de adherencia al Manual de Cumplimiento del prestador de servicio o casa matriz. 2. El Manual de Cumplimiento del Prestador de Servicios , especificando las excepciones en las actividades a
SIR&CO E.1.1. Gobierno de Control Secretaría General de ODC/ Gerencia General Control - Alto E.1.1.2.1 activos y/o financiación del terrorismo, que puedan presentarse en ODC, especificando las excepciones en las actividades a realizar en los casos que no realizar en los casos que no aplique por la estructura organizacional de ODC. Gerencia General ODC 01/08/2017 31/12/2017
General
aplique por la estructura organizacional de ODC. Falta de un documento normativo (Código de Buen Gobierno o en su lugar Reglamento de Junta Directiva) en
donde se establezcan las responsabilidades de supervisión del sistema de control interno por parte de la Junta Diseñar y someter aprobación un reglamento de la Junta Directiva en donde se definan las responsabilidades
2.Aprobación políticas de ODC: Directiva o sus comités, así como los lineamientos para la designación de miembros competentes e de supervisión en relación con el sistema de control interno de ODC, así como los lineamientos para la
2.1. el Manual para la Prevención del Lavado de Activos y la Financiación del Terrorismo y sus modificaciones que establece directrices y lineamientos independientes y las actividades diseñadas para evaluar la gestión de supervisión por parte de la Junta designación de miembros competentes e independientes y las actividades diseñadas para evaluar la gestión de
generales para la prevención del lavado de activos y la financiación del terrorismo LA/FT, aplicables a cada una de las contrapartes con las cuales Oleoducto Directiva. supervisión por parte de la Junta Directiva.
de Colombia S.A, tiene vínculos de negocios, contractuales o jurídicos que involucren un factor de riesgo de LA/FT. El Manual para la Prevención del Lavado
de Activos y la Financiación del Terrorismo es administrado (mantenido, divulgado) por el Oficial de Ética y Cumplimiento de ODC.
Aprobar y monitorear el cumplimiento al plan/programa de capacitación para los miembros de Junta Directiva, empleados y contratistas en temas
relacionados con:
1. Código de Ética que indica los lineamientos en materia de regalos y atenciones, suscripción de patrocinios, entre otros.
Secretaría General de ODC/ Gerencia El control relacionado con el programa de capacitación de temas éticos a los empleados, miembros de Junta Diseñar el programa de capacitación de temas éticos a los empleados, miembros de Junta Directiva y
SIR&CO E.1.1. Gobierno de Control Secretaría General de ODC/ Gerencia General Control - Alto E.1.1.2.4 2. Línea ética Gerencia General ODC 01/08/2017 31/12/2017
General Directiva y contratistas se encuentra pendiente de diseño e implementación. contratistas y someterlo aprobación para su ejecución.
3. Manual de Cumplimiento del Prestador de Servicios administrativos.
Socializar los canales diseñados por la Compañía para recibir denuncias confidenciales de empleados, miembros de Junta Directiva y terceros de acuerdo
con el dicho plan/programa de capacitación
Secretaría General de ODC/ Gerencia Gerencia General ODC /

SIR&CO E.1.1. Gobierno de Control Secretaría General de ODC/ Gerencia General Control - Alto Aplica para riesgos Todos los controles de Gobierno de Control. La valoración de los riesgos está en proceso de revisión Valorar los riesgos residuales del proceso de Gobierno de control 31/12/2017
General Cenit
El reglamento del Comité Financiero y de Auditoría se encuentra desactualizado dado que no incluye la Actualizar el reglamento del Comité Financiero y de Auditoría con las funciones definidas en el acta No.13 del
2. Aprobar el Manual de Auditoría y el Estatuto de Auditoría Interna que establece los lineamientos para la ejecución de la función de la auditoría Interna,
totalidad de funciones definidas en el acta No.13 del 14 de abril de 2016 de esté órgano. 14 de abril de 2016 de este órgano.
SIR&CO E.3.1. el cual incluye las normas sobre la independencia y objetividad, actitud y cuidado profesional atendiendo la definición de competencias del equipo de
Auditoría Interna Auditoría Interna Control - Alto E.3.1.1.1 Líder de Auditoría Interna 31/12/2017
Monitoreo auditoría y plan de capacitación así como las normas de desempeño para la ejecución de trabajos de auditoría interna y la supervisión de actividades.
Adicionalmente la función definida en dicha acta relacionada con "apoyar y asesorar a la administración en Modificar la función definida en dicha acta "apoyar y asesorar a la administración en identificación de riesgos "
identificación de riesgos " no cubre la totalidad del proceso de gestión de riesgos y controles. por Supervisar el proceso de gestión de riesgos y controles.
3.Declarar anualmente al Comité Financiero y Auditoría, la independencia de la función de Auditoria Interna. Esta declaración queda debidamente
documentada en las actas del comité.
01/07/2017 1. 30/11/2017
2. 30/11/2017
1.El Manual de Auditoría Interna se encuentra desactualizado o no considera:
1.Actualizar el manual de auditoría interna en cuanto a:
-Incluye funciones que no son ejecutadas por la Función de Auditoría como: Gestión de riesgos, cumplimiento,
legal, seguridad, ética y auditoría externa medio ambiente. 1.1.Incluir todos los aspectos indicados en las normas de auditoría y desincorporar aquellos que afectan su
cumplimiento; asegurar su aprobación por parte del Comité de Auditoría y la socialización a las partes
-No establece procedimientos de supervisión del trabajo en sus diferentes etapas. interesadas.
1.2.Diseñar y aplicar mecanismos de supervisión a trabajos de auditorías contratadas.
2. No se cuenta con un código de ética de la función. 1.3.Crear el Estatuto de Auditoría Interna en documento independiente del Manual de Auditoría Interna.
2. Aprobar el Manual de Auditoría y el Estatuto de Auditoría Interna que establece los lineamientos para la ejecución de la función de la auditoría Interna,
3. Auditoría Interna es liderada por un auditor en misión contratado a través de una empresa temporal, no 2.Implementar el código de ética e incluirlo en el Estatuto de Auditoría Interna.
SIR&CO E.3.1. el cual incluye las normas sobre la independencia y objetividad, actitud y cuidado profesional atendiendo la definición de competencias del equipo de
Auditoría Interna Auditoría Interna Control - Alto E.3.1.1.1 cuenta con experiencia como director ejecutivo de auditoría y posee poca experiencia en riesgos de fraude y Aprobar el Estatuto y de la modificación del Manual por Comité de Auditoría y Junta Directiva. Líder de Auditoría Interna
Monitoreo auditoría y plan de capacitación así como las normas de desempeño para la ejecución de trabajos de auditoría interna y la supervisión de actividades.
tecnología de la información. Implementar el formato de declaración de independencia de auditores.
3.Declarar anualmente al Comité Financiero y Auditoría, la independencia de la función de Auditoria Interna. Esta declaración queda debidamente
4.No se contó con un plan de desarrollo y capacitación para el 2016 ni se tiene programada capacitación para 3. y 4. Diseñar y ejecutar un plan de capacitación que permita a los miembros de la función fortalecer sus
documentada en las actas del comité.
2017. conocimientos y competencias de acuerdo las necesidades identificadas.
5.El auditor interno no ha ratificado ante el Comité de Auditoría la independencia de la actividad de la 5.Efectuar anualmente ratificación de independencia de la actividad ante el Comité de Auditoría.
auditoría interna.
6.Implementar formato de declaración de independencia de auditores y asegurar su diligenciamiento previo al
6.No se firma una confirmación o declaración de independencia de los miembros del equipo para los trabajos inicio de los trabajos de aseguramiento y consultoría.
individuales.
1. 01/10/2017 1. Permanente
1. Aprobar el Plan General de Auditoría (PGA) presentado por la Auditoría interna basado en el Manual de Auditoría Interna.
1.La metodología para la construcción del PGA (Plan General de Auditoría) requiere ser fortalecida 2. 01/07/2017 2. Permanente
2.Monitorear la efectividad del sistema de control interno por medio de la presentación trimestral de la Auditoría Interna y el prestador de servicios documentalmente, soportando de forma mas detallada el universo de auditoría, TBGs y presupuestos de capex
(Gerencia de Aseguramiento) al Comité Financiero y de Auditoría y Junta Directiva de ODC que incluye: y opex asociados a cada proceso, resultado de auditorías anteriores, rotación de énfasis y resultados de trabajo 3. 01/12/2017 3. 31/12/Cada año
1. El avance en el cumplimiento del PGA aprobado de ética y cumplimiento.
1.Implementar la metodología ECP para construcción del PGA 2018 y años posteriores.
2. Los hallazgos de las auditorías considerados con riesgo o criticidad alta
2.Presentar para autorización por parte del Comité de Auditoría las modificaciones que se realicen al PGA. 4. 31/12/Cada año
3. Seguimiento a la implementación de planes de acción de los hallazgos críticos (Cuando aplique). 2.Modificaciones del PGA no autorizadas por el Comité de Auditoría: Inclusión de auditoría DRA y combustible y 4. 01/10/2017
SIR&CO E.3.1. Para el PGA 2018 y años posteriores se presentarán para aprobación del Comité de Auditoría los recursos
Auditoría Interna Auditoría Interna Control - Alto E.3.1.1.2 4.Seguimiento al proceso de gestión de riesgos y controles, presentando los riesgos críticos y eventos significativos que se materialicen (si aplica) Exclusión auditoría a Fundación Oleoductos de Colombia. Líder de Auditoría Interna
Monitoreo requeridos para su ejecución.
3.Aprobación del PGA por Comité de Auditoría.
3.No se sometió a aprobación del Comité de Auditoría, los recursos a ser utilizados para desarrollar el PGA
4.Construcción del PGA 2018 y años posteriores durante el último trimestre de cada año.
En caso de recomendaciones y/o ajustes por parte del Comité de Auditoría PGA la auditoría interna generará los cambios y presentará en el comité el 2016.
seguimiento de los mismos. Inoportunidad en la construcción del PGA 2017.
4.Inoportunidad en la construcción del PGA 2017.
Gerencia General ODC

La política de gestión de riesgos de ODC se encuentra desactualizada. Actualizar la política de gestión de riesgos de acuerdo a la realidad operativa y según los responsables y
Aprobar la política y herramienta de gestión riesgos (Matriz RAM) que establece las directrices para la administración de los riesgos y los controles de ODC, Prestador de Servicio
actividades definidas en el contrato de prestación de servicios.
SIR&CO E.2.1. Prestador del Servicio (Dirección de Asuntos así como la adhesión a la Guía de Gestión de Riesgos del prestador de Servicios. (Gerencia de
Gerencia de Aseguramiento Control - Alto E.2.1.1.1 Falta de un procedimiento o guía que defina el proceso de gestión de riesgos o en su lugar la aprobación de la 14/09/2017
Evaluación de Riesgos Corporativos y Sostenibilidad) Posteriormente se realiza la divulgación por parte del Gerente General de ODC por medio de correo electrónico a los funcionarios internos (empleados) y Aseguramiento).
adhesión de la guía de gestión de riesgos del prestador de servicios. Aprobar por parte de la Junta Directiva la adhesión de la guía de gestión de riesgos del prestador de servicios y
prestadores de servicios.
especificar las excepciones que den lugar de acuerdo con la estructura organizacional de ODC.
Junta Directiva de ODC.
Revisar y aprobar el reporte de las órdenes de trabajo correspondientes a mantenimientos a capitalizar en el mes y a transferir a activos en curso de
acuerdo a los criterios definidos bajo IFRS, el cual es enviado por el área de planeación de mantenimiento.
Gerente de Planeación y
De acuerdo al seguimiento realizado en diciembre, se
En caso de identificar diferencias, se remite nuevamente al área de planeación de mantenimiento para su justificación. Asegurar que las órdenes de trabajo ya ejecutadas queden clasificadas como capitalizables o no de acuerdo a Programación de
SIR&CO S.7.10 Gestión y Capitalización de Activos Dirección General de Operaciones Dirección Técnica de Activos Control - Alto S.7.10.5.10 El proceso de mantenimiento está en estabilización y formalización 30/09/2017 N/A N/A N/A identificó que este control no aplica para ODC porque
la norma IFRS Mantenimiento ( Prestador
el servicio es prestado por ECOPETROL.
Posteriormente se envía a la Coordinación de Activos Fijos para su registro. de Servicios)
En caso de identificar diferencias, se remite nuevamente al área de planeación de mantenimiento para su justificación. Definir el umbral de revisión por parte del a Gerencia de planeación y programación de mantenimiento para la Programación de
SIR&CO S.7.10 Gestión y Capitalización de Activos Dirección General de Operaciones Dirección Técnica de Activos Control - Alto S.7.10.5.10 El proceso de mantenimiento está en estabilización y formalización 30/09/2017 N/A N/A identificó que este control no aplica para ODC porque
revisión de las órdenes de trabajo capitalizables y no capitalizable. Mantenimiento ( Prestador
En caso de identificar diferencias, se remite nuevamente al área de planeación de mantenimiento para su justificación. c. Inclusión de un control de Monitoreo aleatorio de las OT no capitalizables y revisar su nivel de error en la Programación de
SIR&CO S.7.10 Gestión y Capitalización de Activos Dirección General de Operaciones Dirección Técnica de Activos Control - Alto S.7.10.5.10 El proceso de mantenimiento está en estabilización y formalización 30/09/2017 N/A N/A identificó que este control no aplica para ODC porque
clasificación de acuerdo a la información enviada por el área de Planeación de Mantenimiento. Mantenimiento ( Prestador
Validar que los totales del patrimonio incluida la utilidad del ejercicio cargada en hyperion correspondan al cierre contable del periodo de acuerdo a la
información cargada por el prestador de servicios(outsourcing) , por medio de la pantalla de reporte de Hyperion que valida los saldos contra el balance.
En caso de ajustes o diferencias se envía correo electrónico al Outsourcing para ajustar o corregir o justificar.
Para los cambios posteriores al cierre contable, el Prestador de Servicios (Jefe de Contabilidad) envía correo electrónico a Casa Matriz con los ajustes para
efectos de consolidación y cargue en Hyperión.
GR&C S.1.1.Cierre Contable, Preparación y Prestador de Servicios (Gerencia Prestador de Servicios (Jefe
Dirección Estrategia y Finanzas Control - Alto S.1.1.5.6. La conciliación de las cifras de SAP frente al reporte de Hyperion está en proceso de formalización para ODC. Ejecutar la conciliación de las cifras de SAP y hyperion posterior la cierre. 30/10/2017 15/11/2017
Revelación de Estados Financieros Finanzas) de Contabilidad)
2. Revisión de la conciliación de las cifras SAP frente al reporte de Hyperion ( día 15 posterior al cierre) o cuando ocurra ajuste posterior al cierre . En caso
de encontrar diferencias, el Prestador de Servicios (Jefe de Contabilidad) envía correo electrónico a Casa Matriz para su gestión y respuesta. ( si aplica
ajustes posteriores al cierre).
Revisar la prueba del cálculo de la depreciación de los activos de Oleoducto de Colombia S.A., mediante la validación de los datos de la depreciación del
mes frente a los valores registrados en la contabilidad de acuerdo a la prueba del cálculo realizada por el Outsourcing Contable Analista y que es enviada
por correo electrónico al Outsourcing Contable Supervisor.
En señal de revisión de la prueba del cálculo, el Prestador de Servicios (Outsourcing - Supervisor de Activos Fijos) envía correo electrónico al Prestador de
GR&C S.1.4. Cálculo DD&A Prestador de Servicios (Gerencia El papel de trabajo que contiene el test de depreciación generado de SAP con la pantalla del valor calculado Asegurar el papel de trabajo que contiene el test de depreciación generado SAP con la pantalla del valor Prestador de Servicios (Jefe
Dirección Estrategia y Finanzas Diseño -Medio S.1.4.2.1. Servicios (analista de activos fijos); 30/10/2017 15/11/2017
Finanzas) está en proceso de formalización calculado y la fecha por el sistema, además de la hoja de validación del cálculo adicionada por el Supervisor. de Contabilidad)
En caso de encontrar inconsistencias y diferencias en las pruebas del cálculo de la depreciación de los activos, el Prestador de Servicios (Supervisor de
Activos Fijos) envía correo electrónico al Outsourcing Contable Analista para su ajuste. (si aplica)
Posteriormente se ejecuta el proceso de depreciación del mes.
inmobiliaria Gestión Inmobiliaria Gerente de Entorno Diseño -Medio S.6.2.5.6 Revisar la razonabilidad y el correcto cálculo de las provisión de gestión inmobiliaria a fin reportar antes de cierre al área contable para su registro. Está pendiente de formalización y definición del ejecutor del control de acuerdo a la realidad operativa. Actualizar el responsable del control de acuerdo a la realidad operativa Responsable 30/10/2017 30/10/2017
Gerencia de Proyectos y
Gestión de Proyectos Dirección Técnica de Activos Diseño -Medio N/A N/A La actualización de riesgos y controles del proceso de Gestión de proyectos está en revisión Actualizar los riesgos y controles de Gestión de Proyectos 15/11/2017
Mantenimientos Mayores
S.8.2.1.5 El ERP cuenta con 3 ambientes de procesamiento:

- Desarrollo.
- Calidad.
- Productivo.
En los que es revisado la segregación de ambientes y roles de acuerdo con los siguientes lineamientos para los usuarios desarrolladores (ABAP):
- Desarrollo : Acceso ilimitado con programación,
- Calidad: Acceso limitado sin programación.
La unica aplicación SOX actualmente es Sap para la
- Producción: No tienen acceso. El control es inefectivo ya que la evidencia obtenida solo indica la segregación de ambientes para SAP. El
Actualizar el inventario de aplicaciones con los líderes fncionales para determinar cuales otras aplicaciones cual se esta cumpliendo el control, se tiene un plan
Proceso Soporte Diseño -Medio control indica otros sistemas SOX, sin evidenciar a la fecha de nuestra evaluación cuales son los otros sistemas Especialista TI 30/06/2017
quedan en el alcance SOX. para implementar el próximo año los controles a la
Identificar las desviaciones, justificar las desviaciones, definir e implementar el plan de acción producto de la revisión. SOX y sin que se observe evidencia de esta validación para otros sistemas aparte de SAP.
aplicación Enruta
Para otros sistemas SOX se cuenta con un ambiente de desarrollo/pruebas de base de datos física y lógicamente separados, así:
• Desarrollo/Pruebas
• Producción
Para infraestructura no se tiene ambiente de pruebas. Las pruebas son realizadas en ventanas horarias que no afectan la operación de la compañía.
Anualmente, se define y aplica el cronograma de mantenimiento preventivo de hardware de Infraestructura de TI que soporta los sistemas SOX. El contrato iba con el proveedor hasta septiembre, por lo tanto la carta de certificación estaba solo hasta el fin
El control menciona aplicativos de alcance SOX. Se observa que únicamente se realizó la verificación para AIX
Proceso Soporte Diseño -Medio S.8.2.14.2 de la vigencia. A la fecha ya se firmó el otro sí con Indra hasta el año 2018 y se va a solicitar una certificación Especialista TI 30/11/2017
SAP, y según la certificación el contrato iba hasta septiembre 30 de 2017
Nota: Para las plataformas que se encuentren en garantía se siguen las recomendaciones emitidas por el proveedor. con la nueva vigencia.
CONTROL DE CAMBIOS
Riesgo Control Quién Realizó el
Versión del Fecha Cambio:
Proceso Causa del cambio Número de Cambio:
Documento Descripción cambio Número de Riesgo Resultado del cambio Descripción cambio Resultado del cambio dd/mm/aaaa
Control
Se estandarizo con el objetivo de control de Cenit:
Verificar que las autoridades y responsabilidades asignadas a ODC para tomar decisiones y/o supervisar estén formalizadas, actualizadas y divulgadas
Evidencia anterior:
'1. Estatutos de Oleoducto de Colombia S.A. (ODC), conservados por la Secretaría General y publicados en la Página Web.
Anterior 2. Manual de Autoridad y Delegación (MAD) vigente y correo electrónico enviado por la Secretaría General ODC al Administrador del Contrato de CENIT / Ecopetrol, para que lo divulguen a las personas
E.1.1.1. Fallas en el proceso de toma de decisiones ( Intencionales o involuntarios) involucradas de los prestadores de servicios, y a funcionarios de ODC con el documento vigente.
debido a; inadecuada asignación y desconocimiento de los niveles de autoridad y
sus responsabilidades, lo que puede generar pérdida de valor y afectación de la Nota: En caso de ajustes modificaciones y/o actualizaciones, se realiza el proceso de aprobación de acuerdo con lo definido y es informado por medio de correo electrónico a los administradores de contrato de los
Ajuste en el Riesgo asegurando imagen. Ajuste en la descripción prestadores de servicios y a funcionarios ODC por parte de la Secretaría General de ODC.
Gobierno temas de fraude y corrupción y de la actividad del
V2 Actualización Matrices SOX 2017 E.1.1.1. E.1.1.1.1 17/06/2017 Deloitte
Corporativo estandarizando a los riesgos de Riesgo estandarizado al de CENIT. control y en la El MAD se encuentra almacenado en el Centro de Administración
CENIT. E.1.1.1. Errores o direccionamiento en el proceso de toma de decisiones y/o de evidencia Evidencia actual:
aprobaciones en nombre de la Compañía, por debilidades en la asignación de '1. Estatutos de Oleoducto de Colombia S.A. (ODC), conservados por la Secretaría General y publicados en la Página Web.
autoridad, inadecuada segregación de funciones, definición y aprobación de la 2. Actas de asamblea de accionistas y Junta Directiva de ODC en caso de aprobar modificaciones de los estatutos o Manual de delegación de autoridad.
estructura de gobierno, generando pérdidas de valor (contingencias) y/o afectación 1. Manual de delegación de autoridad (MAD) vigente publicado en el Share Point de ODC y correo electrónico a los prestadores de servicios en los casos que se generen modificaciones.
reputacional. IPE: Actas de asamblea y Junta Directiva de ODC.
Se unifica el control: E.1.1.2.2 y E.1.1.2.4. Adicionalmente se adiciona la adherencia al procedimiento de Gestión de Denuncias y el Manual de Cumplimiento de la prestación del servicios.
1. Adhesión:
1.1. Código de Ética de Casa Matriz, que contiene un conjunto de declaraciones explícitas de comportamientos y disyuntivas éticas, además de los lineamientos de regalos, cortesías, atenciones y suscripción de patrocinios.
1.2.El procedimiento de gestión de denuncias de la Casa Matriz, especificando las excepciones en las actividades a realizar para los casos que no aplique por la estructura organizacional de ODC.
1.3. El Manual de Cumplimiento del Prestador de Servicios administrativos, que establece las directrices y lineamientos generales para garantizar el cumplimiento de los mecanismos de identificación, prevención, detección, reporte, monitoreo y
respuesta ante actos de corrupción, fraude, lavado de activos y/o financiación del terrorismo, que puedan presentarse en ODC, especificando las excepciones en las actividades a realizar en los casos que no aplique por la estructura organizacional
de ODC.
2.Aprobación políticas de ODC:

2.1. el Manual para la Prevención del Lavado de Activos y la Financiación del Terrorismo y sus modificaciones que establece directrices y lineamientos generales para la prevención del lavado de activos y la financiación del terrorismo LA/FT,
aplicables a cada una de las contrapartes con las cuales Oleoducto de Colombia S.A, tiene vínculos de negocios, contractuales o jurídicos que involucren un factor de riesgo de LA/FT. El Manual para la Prevención del Lavado de Activos y la
Gobierno Financiación del Terrorismo es administrado (mantenido, divulgado) por el Oficial de Ética y Cumplimiento de ODC.
E.1.1.2.1. 17/06/2017 Deloitte
Corporativo
Evidencia:
1. Actas de Junta Directiva en donde se apruebe los siguientes documentos:
1.1. Código de Ética vigente adherido, aprobado y publicado en el Share Point de ODC.
1.2. Procedimiento de Gestión de Denuncias Éticas adherio de la Casa Matriz vigente y aprobado
1.3. Manual de Cumplimiento del prestador de servicios administrativos, adherido por ODC (Antifraude, Anticorrupción, Lavado de Activos y Financiación del terrorismo) vigente, aprobado y publicado en la pagina web de ODC.
1.5.Manual para la Prevención del Lavado de Activos y la Financiación del Terrorismo aprobado por la Junta Directiva y su publicación en la página web.
2. Correos el electrónicos a los empleados y prestadores de servicios divulgando las modificaciones a los manuales, códigos y procedimientos cuando haya lugar.
El acta se encuentra en custodia de la Secretaria General.
IPE: Control de cambio de los manuales, códigos, políticas y procedimientos y actas de Junta Directiva
Se unifica el riesgo E.1.1.2, E.1.1.3 y E.1.1.4 y se estandariza con el de Cenit:

Faltas éticas en ODC de los empleados y/o miembros de Junta Directiva o
El control E.1.1.2.2 se fusiono en el control E.1.1.2.1 y el control E.1.1.2.4 quedo en este control:
1. La inadecuada definición, aprobación y divulgación de las políticas, manuales y
Gobierno 1. Aprobar el nombramiento de los miembros de la Junta Directiva de ODC así como sus compensaciones.
procedimientos en materia de: Delegación de autoridad, Ética, Denuncias éticas, E.1.1.2.2. 17/06/2017 Deloitte
Corporativo 2. Designar miembros del Comité Financiero y Auditoría de ODC de acuerdo a lo establecido en el Reglamento.
Cumplimiento y Buen Gobierno.
3. Analizar los resultados de las auto-evaluación de los miembros principales de la Junta Directiva de ODC y de sus comités.
Ajuste en el Riesgo asegurando 2. No promover actuaciones basadas en la integridad y los valores éticos. Ajuste en la descripción
temas de fraude y corrupción y 3. Falta de capacitación en relación a los temas de ética, cumplimiento, conflictos de la actividad del
V2 Actualización Matrices SOX 2017 E.1.1.2.
estandarizando a los riesgos de de interés y mecanismos para realizar denuncias éticas. control y en la
CENIT. 4. Manejo inadecuado de las denuncias, consultas y dilemas de los interpuestos evidencia
por los grupos de interés.
5. Conflictos de interés en los miembros de Junta Directiva.
Lo cual puede ocasionar, materialización de actos indebidos, incumplimiento o
desconocimiento de los Estatutos y definiciones de la normativa interna,
afectando el clima organizacional y la reputación y eventualmente generando la
El control E.1.2.5 quedo en el E.1.2.3 así:
pérdida de valor de la Compañía, entre otros.
Obtener manifestaciones anuales de cumplimiento de los siguientes lineamientos:
1. Código de Ética por parte de los empleados y Junta Directiva de la compañía, manifestando su adherencia.
Gobierno
E.1.1.2.3 2. Pacto de Transparencia de los empleados de la compañía y miembros de Junta Directiva. 17/06/2017 Deloitte
Corporativo
3.Declaración de conflictos de interés por parte de los empleados y Junta Directiva, en los casos que se presenten.
Las manifestaciones de los empleados quedan archivadas en la carpeta de hoja de vida para los empleados y la de los miembros de la Junta Directiva en la carpeta de esté órgano conservada por la Secretaría
General de ODC.
Control nuevo:
Aprobar y monitorear el cumplimiento al plan/programa de capacitación para los miembros de Junta Directiva, empleados y contratistas en temas relacionados con:
Gobierno 1. Código de Ética que indica los lineamientos en materia de regalos y atenciones, suscripción de patrocinios, entre otros.
E.1.1.2.4 17/06/2017 Deloitte
Corporativo 2. Línea ética
3. Manual de Cumplimiento del Prestador de Servicios administrativos.
Socializar los canales diseñados por la Compañía para recibir denuncias confidenciales de empleados, miembros de Junta Directiva y terceros de acuerdo con el dicho plan/programa de capacitación
El control E.1.1.2.5 era el control 1.1.3.3 el cual se estádarizo de acuerdo al riesgo y control del prestador del servicio así:
1. Monitorear el avance y resolución de las denuncias éticas que los empleados y terceras partes realizan por medio del canal confidencial de la Casa Matriz relacionadas con Oleoducto de Colombia S.A. (ODC). El
Oficial de Ética y Cumplimiento gestiona las denuncias de acuerdo al procedimiento de gestión de denuncias adherido y reporta el estado de los casos y dilemas éticos relevantes para conocimiento del Comité
Gobierno
E.1.1.2.5 Financiero y de Auditoría y Junta Directiva de ODC para que se tomen las recomendaciones y decisiones cuando haya lugar. 17/06/2017 Deloitte
Corporativo
Cuando el caso involucre al Oficial de Ética y Cumplimiento, la denuncia será direccionada por la Gerencia General.
Incumplimiento en la gestión contractual de los contratistas de operación y

mantenimiento y prestación de servicios administrativos debido a: errores en los
Ajuste en el Riesgo asegurando
diseños de los controles de supervisión de contratos, no operatividad del control,
temas de fraude y corrupción y
V2 Monitoreo Actualización Matrices SOX 2017 E.3.1.3. celebración de transacciones sin la debida autorización, incumplimiento, errores N/A N/A N/A 05/07/2017 Deloitte
estandarizando a los riesgos de
del dueño del proceso, falta de seguimiento y monitoreo lo que generaría
CENIT.
materialización de riesgos operativos, de reporte , de cumplimiento y pérdidas
económicas.
Aprobar la política y herramienta de gestión riesgos (Matriz RAM) que establece las directrices para la administración de los riesgos y los controles de ODC, así como la adhesión a la Guía de Gestión de Riesgos del
Gestión de riesgos E.2.1.1.1 prestador de Servicios. 05/07/2017 Deloitte
Posteriormente se realiza la divulgación por parte del Gerente General de ODC por medio de correo electrónico a los funcionarios internos (empleados) y prestadores de servicios.
Fallas en la estructuración y despliegue del Sistema de Gestión de Riesgos, debido

a:
1. Debilidades en la definición de políticas, metodologías y/o herramientas para la

identificación, valoración, tratamiento, monitoreo y comunicación de riesgos.
Ajuste en el Riesgo asegurando Ajuste en la descripción
2. Inadecuada divulgación de los lineamientos y políticas sobre la gestión de
temas de fraude y corrupción y de la actividad del
V2 Actualización Matrices SOX 2017 E.2.1.1. riesgos en la organización
estandarizando a los riesgos de control y en la
3. No contar con una matriz de valoración de riesgos apropiada a la Organización
CENIT. evidencia
4. No contar con un adecuado plan de tratamiento o acciones de mitigación
requeridas para riesgos identificados en la Organización.
Limitando que la Compañía cuente con un adecuado sistema de gestión que

soporte el desarrollo de la estrategia y sus objetivos.
Monitorear y mantener actualizado el sistema de gestión de riesgos de ODC por parte del prestador de servicio compuesto por:
Fallas en la estructuración y despliegue del Sistema de Gestión de Riesgos, debido 1. Identificación de riesgos estratégicos,
a: 2.Revisión de la matriz de valoración RAM
3. Establecimiento y seguimiento de planes de tratamiento, donde sea requerido para corrección de controles y/o materialización de riesgos.
Gestión de riesgos 1. Debilidades en la definición de políticas, metodologías y/o herramientas para la E.2.1.1.2 4. Matrices de riesgo y control, a través de la identificación, análisis, evaluación y actualización del mapa de riesgos corporativos, ajustando en las matrices modificaciones y generando la versión final la cual es 05/07/2017 Deloitte
identificación, valoración, tratamiento, monitoreo y comunicación de riesgos. compartido a los dueños de procesos.
2. Inadecuada divulgación de los lineamientos y políticas sobre la gestión de En caso tal que se presenten acciones a mejorar, los dueños del proceso implementan los planes respectivos y el Prestador de Servicio (Gerencia de Aseguramiento) realizan el seguimiento correspondiente.
V2 Actualización Matrices SOX 2017 E.2.1.1. riesgos en la organización
3. No contar con una matriz de valoración de riesgos apropiada a la Organización
CENIT. evidencia
4. No contar con un adecuado plan de tratamiento o acciones de mitigación
requeridas para riesgos identificados en la Organización.
Limitando que la Compañía cuente con un adecuado sistema de gestión que

soporte el desarrollo de la estrategia y sus objetivos.
Monitorear el proceso de gestión de riesgos ejecutado por el Prestador de Servicio a través de la reunión trimestral de seguimiento en donde el contratista (Gerencia de Aseguramiento) presenta los aspectos
claves definidos en el contrato que incluyen entre otro los siguientes asuntos:
1. Las certificaciones emitidas por los terceros (prestadores de servicios) en relación con los riesgos y controles SOX así como el análisis de la información descrita en la misma.
Gestión de riesgos E.2.1.1.3 05/07/2017 Deloitte
2.Listado de riesgos estratégicos y matriz RAM
3.En caso de encontrar desviaciones (controles con calificación inefectivo / oportunidades de mejora) y alertas temprana (planes de acción no ejecutados o con modificación de fecha) definen planes de acción y se
monitorea su cumplimiento.
4.Reporte de nuevos planes de acción y ejecución de los definidos.
Fallas en el monitoreo independiente al sistema de control interno, debido a:
1. No contar con lineamientos y directrices claras del rol y función del Comité de
Auditoría (CA)
2. Inadecuada asignación de roles, responsabilidades y línea de reporte de la
Auditoría Interna.(A.I)
Ajuste en el Riesgo asegurando Ajuste en la descripción 2. Aprobar el Manual de Auditoría y el Estatuto de Auditoría Interna que establece los lineamientos para la ejecución de la función de la auditoría Interna, el cual incluye las normas sobre la independencia y
3. No contar con un plan general de auditoria (PGA) aprobado por el CA, basado en
temas de fraude y corrupción y de la actividad del objetividad, actitud y cuidado profesional atendiendo la definición de competencias del equipo de auditoría y plan de capacitación así como las normas de desempeño para la ejecución de trabajos de auditoría
V2 Gestión de riesgos Actualización Matrices SOX 2017 E.3.1.1. riesgos que agregue valor al negocio o esté alineado con la estrategia de la E.3.1.1.1 05/07/2017 Deloitte
estandarizando a los riesgos de control y en la interna y la supervisión de actividades.
Compañía.
CENIT. evidencia
4. Inadecuado o inoportuno seguimiento a la ejecución del plan anual de auditoria
3.Declarar anualmente al Comité Financiero y Auditoría, la independencia de la función de Auditoria Interna basado en estructura organizacional (depende del comité) y la confirmación de independencia de los
interna.
miembros del equipo para los trabajos individuales. Esta declaración queda debidamente documentada en las actas del comité.
5. Conflictos de interés o independencia, supeditaje gerencial o colusión del
equipo de AI.
Lo que genera incumplimiento al estándar de monitoreo del Grupo Empresarial.
Falta de alineación entre la estrategia de Tecnología de la Información y la de la 1. Aprobar el plan estratégico para tecnología de la información y sus modificaciones , que esté alineado con las estrategias generales de la entidad. Los objetivos del plan de TI incluyen la entrega de ambientes
Ajuste en el Número y redacción
Compañía, debido a no realizar un análisis de integración cuidadoso y aplicable a seguros y confiables para la preparación de informes financieros para uso externo de alta calidad y se consideran las necesidades de todas las áreas de la Compañía.
GR&C S.2.1. del Riesgo asegurando, sobre Ajuste en la descripción
las actividades del plan, información incompleta e inoportuna o irregular,
V2 Controles generales Actualización Matrices SOX 2017 temas de fraude y corrupción y S 8.1.1 de la actividad del S.8.1.1.1 05/07/2017 Deloitte
conflictos de interés o independencia (posible colusión), que puede ocasionar 1.a. El Plan estratégico es almacenado en Share Point de ODC y se divulga a los interesados vía correo electrónico.
de TI estandarizando a los riesgos de control.
incumplimiento de los objetivos de negocio y de gobierno de la compañía,
CENIT.
pérdidas económicas y afectación de la percepción interna frente a la gestión de TI. 2. Realizar seguimiento a la ejecución del Plan Estratégico en la reunión trimestral de la dirección de talento humano y administración.
Modificaciones y/o accesos no autorizados a las hojas de cálculo utilizadas en el

proceso de reporte financiero u hojas de cálculo sensibles para los procesos de
negocio, presentación o carga de información incorrecta en los sistemas de
información, por desconocimiento de los lineamientos de aseguramiento de hojas 1.Aprobar la guía de aseguramiento de Hojas de Cálculo y sus modificaciones que es almacenada en Share Point de ODC y se divulga a los interesados.
de cálculo, errores en la aplicación de la Guía de aseguramiento de hojas de
cálculo, fallas en el control de acceso a las hojas de cálculo, almacenamiento en 2. Verificar que las hojas de cálculo cumplan con lo definido en la Guía de Aseguramiento de Hojas de Cálculo. En señal de revisión, el Propietario del activo envía al área de Tecnología de la Información una
V3 Controles generales Actualización Matrices SOX 2017 temas de fraude y corrupción y S.8.1.2 de la actividad del S.8.1.1.2 05/07/2017 Deloitte
recursos compartidos sin o con faltas de control de acceso, lectura y/o certificación indicando que las hojas de cálculo cumplen con los parámetros establecidos en la Guía.
modificación, manipulación de las hojas de cálculo (producción, alteración o
CENIT.
supresión deliberada de registros) y falta de controles de modificación de las hojas Nota: El control es semestral siempre y cuando el inventario de hojas de cálculo no se ajuste. En caso de cambios y novedades, se reportará al área de TI.
de cálculo, que puede generar afectación a la razonabilidad de los Estados
Financieros, pérdida o mal uso de la información, inadecuada toma de decisiones,
sanciones, multas o pérdidas económicas.
Ajuste en el Número y redacción Accesos no autorizados a la información y/o servicios tecnológicos, debido a
1. Los dueños de proceso y/o administradores de contrato verifican que los accesos de los usuarios están asignados en los sistemas de información bajo alcance SOX de acuerdo con sus funciones. Indicar su
GR&C S.2.1. del Riesgo asegurando, sobre inadecuado monitoreo de accesos, falta de procedimientos relacionados con Ajuste en la descripción
aprobación o solicitud de ajustes de los accesos revisados. La verificación es realizada con el reporte de usuarios generado por un miembro del área de Tecnología de la información.
V3 Controles generales Actualización Matrices SOX 2017 temas de fraude y corrupción y S.8.1.3 revisión y depuración de cuentas en los sistemas de aplicación, falla en la gestión de la actividad del S.8.1.3.1 05/07/2017 Deloitte
de TI estandarizando a los riesgos de de conflictos de segregación de funciones, que puede generar fraude, pérdidas control.
2. A partir de la verificación, realizar el plan de acción de las observaciones identificadas por los dueños del proceso.
CENIT. económicas, de confidencialidad e indisponibilidad de la información.
1. Aprobar la Matriz de segregación de funciones de los roles y responsabilidades y sus modificaciones.
Ajuste en el Número y redacción 2. Revisar si existen conflictos de segregación funcional de acuerdo con las reglas de segregación estándar para SAP, considerando la posible existencia de:
Inadecuada concentración de funciones en los sistemas de información y/o
servicios tecnológicos debido a falla en la gestión de conflictos de segregación de
V3 Controles generales Actualización Matrices SOX 2017 temas de fraude y corrupción y S.8.1.4 de la actividad del S.8.1.4.4 - Conflictos de segregación de funciones a nivel de roles. 05/07/2017 Deloitte
funciones, que podrían generar fraude y/o perdida económica.
de TI estandarizando a los riesgos de control. - Conflictos de segregación de funciones a nivel de usuarios.
CENIT.
3. En los casos de conflictos identificados en la revisión, se realiza la identificación y validación de controles compensatorios existentes y definición de las acciones a seguir para su corrección

ausencia de su divulgación y/o manejo inadecuado de la misma debido a la
Ajuste en el Número y redacción Aprobar la guía del ciclo de vida de la información que establece los lineamientos para el manejo de la información en la Compañía y las modificaciones que se le realicen.
implementación de controles no acordes a la clasificación de los datos y los
V3 Controles generales Actualización Matrices SOX 2017 temas de fraude y corrupción y S.8.1.5 de la actividad del S.8.1.5.7 En caso de presentarse modificaciones a la guía del ciclo de vida de la información el área de TI con apoyo del área de Comunicación divulgará dichos cambios. 05/07/2017 Deloitte
tercero, falta de lineamientos para la selección y administración de la información,
falla en la divulgación de dichos lineamientos y fallas en el monitoreo de
CENIT.
información clave, generando posible uso indebido de información, generación de
información fraudulenta y/o pérdida de valor de la Compañía.
Cambios no autorizados de los sistemas de información, alteración no autorizada
de datos, pérdida de integridad y confiabilidad de la información o inestabilidad
en el sistema, incorporación de código maliciosos, intervención no autorizadas a
las bases de datos, CiberCrimen y Vulnerabilidad de los sistemas debido a
Ajuste en el Número y redacción inexistencia o incumplimiento de un procedimiento formal de control de cambios
GR&C S.2.1. del Riesgo asegurando, sobre que incluya la solicitud, aprobación, pruebas y paso producción de los mismos, Ajuste en la descripción El jefe o representante del área solicitante aprueba los cambios de emergencia solicitados a través de correo electrónico o de la herramienta de gestión. Adicionalmente, el área de TI da el visto bueno a dicha
V3 Controles generales Actualización Matrices SOX 2017 temas de fraude y corrupción y S.8.2.1 inexistencia o incumplimiento de un plan de implementación y de rollback para los de la actividad del S.8.2.1.4 solicitud. 05/07/2017 Deloitte
de TI estandarizando a los riesgos de cambios implementados en los sistemas, inexistencia o incumplimiento de un control.
CENIT. procedimiento formal de control de cambios de emergencia o ausencia de
ambientes segregados y revisión de los accesos otorgados a los desarrolladores en
cada ambiente, que puede ocasionar falta de disponibilidad, intermitencia,
degradación de los servicios prestados por TI, perdida de información, sanciones o
multas.
El ERP cuenta con 3 ambientes de procesamiento:

- Desarrollo.
- Calidad.
- Productivo.
En los que es revisado la segregación de ambientes y roles de acuerdo con los siguientes lineamientos para los usuarios desarrolladores (ABAP):
- Desarrollo : Acceso ilimitado con programación,
- Calidad: Acceso limitado sin programación.
- Producción: No tienen acceso.
S.8.2.1.5 05/07/2017 Deloitte
Identificar las desviaciones, justificar las desviaciones, definir e implementar el plan de acción producto de la revisión.
Para otros sistemas SOX se cuenta con un ambiente de desarrollo/pruebas de base de datos física y lógicamente separados, así:
• Desarrollo/Pruebas
• Producción
Para infraestructura no se tiene ambiente de pruebas. Las pruebas son realizadas en ventanas horarias que no afectan la operación de la compañía.
Cambios o inversiones no autorizadas sobre la infraestructura o software que

soportan los procesos y/o operaciones, debido a inexistencia o incumplimiento de
procedimientos de adquisición de software o infraestructura tecnológica menor, o Evaluar y aprobar los requerimientos iniciales de adquisiciones tecnológicas por parte de TI.
procedimientos de gestión de la demanda, donde sea evaluada la adquisición en
referencia a las iniciativas estratégicas de la organización. Inexistencia o La necesidad inicial entra por el proceso de abastecimiento en el que el área solicitante diligencia el formato de justificación de la adquisición tecnológica donde se indica el objeto, el alcance, tipo de proceso
incumplimiento de una metodología de proyecto donde se incluya la evaluación de (contratación directa o concurso), presupuesto y plazo de ejecución.
la adquisición de infraestructura tecnológica o software enmarcados en un
CENIT.
proyecto o mejora, que podría generar pérdidas económicas, afectación de la El área de abastecimiento asegura que todos los requerimientos que incluyan adquisiciones de TI están firmados por el Jefe de Tecnología de la Información y el Líder de área solicitante.
imagen o incumplimiento de los objetivos de negocio.
1. Revisar y aprobar que la adquisición de software o infraestructura haga parte de un proyecto, aplicando el procedimiento de "Gestión de iniciativas".
S.8.3.1.2 2. Verificar que el formato de registro de iniciativas es firmado por el usuario solicitante, el Dueño de información o proceso y Tecnología de la Información. 05/07/2017 Deloitte
3. Evaluar, priorizar y aprobar la adquisición en la reunión con la Gerencia de ODC.
Implementar las acciones de mejora, preventivas y correctivas, sobre los incidentes de seguridad, contemplando las siguientes acciones:
Inadecuada gestión de los incidentes de seguridad de la información, debido a
inexistencia o incumplimiento de un procedimiento formal de gestión de
Ajuste en el Número y redacción - Análisis de la situación presentada y diagnóstico
Incidentes que incluya el registro, priorización, valoración y cierre del incidente,
GR&C S.2.1. del Riesgo asegurando, sobre Ajuste en la descripción - Análisis de posibles causas
falta de detección o detección inoportuna de incidentes o problemas en la
V3 Controles generales Actualización Matrices SOX 2017 temas de fraude y corrupción y S.8.6.3 de la actividad del S.8.6.3.5 - Acciones correctivas y/o mitigantes 05/07/2017 Deloitte
plataforma tecnológica, inadecuados mecanismos para reportar el incidente,
inadecuados métodos de seguimiento a la definición y cierre de los incidentes de
CENIT. Los incidentes de seguridad han sido definidos en el Procedimiento de manejo de incidentes de seguridad.
acuerdo a su criticidad, que puede impactar la confiabilidad, integridad y
disponibilidad de la información.
Los incidentes de seguridad asociados a las plataformas criticas y con impacto al negocio son analizados por parte de los administradores de plataforma para identificar acciones preventivas y correctivas.
Incumplimiento y/o indisponibilidad deliberada o involuntaria en la prestación de

Ajuste en el Número y redacción 1. Monitorear y evaluar el desempeño de los servicios de TI.
los servicios ofrecidos en el portafolio de TI, debido a falta de oportunidad o
insuficiencia en el monitoreo de los procesos y servicios ofrecidos por TI, ausencia
V3 Controles generales Actualización Matrices SOX 2017 temas de fraude y corrupción y S.8.5.1 de la actividad del S.8.5.1.1 El área de TI ha definido formalmente los Acuerdos de Nivel de Servicio con ODC. 05/07/2017 Deloitte
de métricas de rendimiento o indicadores de gestión del área de TI. Lo anterior
podría generar la pérdida de efectividad del servicio de TI, el incumplimiento de los
CENIT. La evaluación del cumplimiento de los ANSs establecidos de cara a los usuarios internos es realizada trimestralmente en reunión con el Director del área.
objetivos del negocio, pérdidas financieras, legales y daños en la reputación.
Accesos no autorizados a la información y/o servicios tecnológicos, debido a falta

de políticas y/o procedimientos relacionados con la asignación de cuentas de
usuario y de perfiles, falta de procedimientos relacionados con depuración de
cuentas en los sistemas de aplicación, falta de procedimientos relacionados con la
Ajuste en el Número y redacción revisión de usuarios con privilegios administradores en los sistemas de aplicación,
Autorizar la creación y/o modificación de usuarios de forma individual o masiva en los sistemas y recursos de TI por parte del responsable establecido en el procedimiento de administración de usuarios de la
GR&C S.2.1. del Riesgo asegurando, sobre bases de datos y red de la compañía, cambios o modificaciones temporales de Ajuste en la descripción
compañía.
V3 Controles generales Actualización Matrices SOX 2017 temas de fraude y corrupción y S.8.6.1 privilegios de usuarios y administradores de los sistemas, incumplimiento a las de la actividad del S.8.6.1.1 05/07/2017 Deloitte
de TI estandarizando a los riesgos de políticas y/o procedimientos de administración de usuarios finales y usuarios control.
CENIT. administradores, inadecuado monitoreo de accesos y no identificación de roles y
usuarios con conflictos de segregación de funciones, que puede llegar a generar
fraude, pérdida económica, de confidencialidad e indisponibilidad de la
información.

GR&C S.2.1.
del Riesgo asegurando, sobre
V3 Controles generales Actualización Matrices SOX 2017 S.8.2.6.2 Realizar una evaluación de segregación de funciones al momento de asignar permisos adicionales o nuevos a un usuario nuevo o ya existente en el ERP de SAP. 05/07/2017 Deloitte
de TI
GR&C S.2.1.
del Riesgo asegurando, sobre Ejecutar las acciones pertinentes para desactivar/eliminar los usuarios en las plataformas correspondientes cada vez que los administradores de contrato (según sea el caso), notifica el retiro, licencias o vacaciones
V3 Controles generales Actualización Matrices SOX 2017 S.8.2.6.3 05/07/2017 Deloitte
temas de fraude y corrupción y de personal al área de TI, de acuerdo con los procedimientos definidos.
de TI
Ajuste en el Número y redacción Bloquear de los sistemas de información de la compañía los usuarios con 15 días de inactividad, de acuerdo con el procedimiento establecido de administración de usuarios de la compañía.
GR&C S.2.1.
del Riesgo asegurando, sobre
V3 Controles generales Actualización Matrices SOX 2017 S.8.1.3.3 05/07/2017 Deloitte
temas de fraude y corrupción y Nota: Este control solo aplica para SAP
de TI
Revisar los usuarios con privilegios administradores en los sistemas de información de la compañía:
Semestralmente se genera un reporte de usuarios con privilegios de administración que están configurados en los sistemas de información de la compañía de alcance SOX (Aplicación, BD y Sistema Operativo). Este
GR&C S.2.1. del Riesgo asegurando, sobre
reporte es enviado por el gestor de plataforma al responsable de tecnología de acuerdo con el procedimiento de administración de usuarios con privilegios amplios de la compañía.
V3 Controles generales Actualización Matrices SOX 2017 temas de fraude y corrupción y S.8.6.1.2 05/07/2017 Deloitte
de TI estandarizando a los riesgos de
En señal de revisión del responsable de Tecnología de Información indica si los usuarios encontrados son lo autorizados para tener estos privilegios.
CENIT.
Obtener la aprobación establecida en los procedimientos de la compañía para otorgar cuentas de usuario con privilegios de administración, cuando esta se requiera en alguno de los sistemas de información de la
compañía con alcance SOX.
CENIT.
1. Revisar el análisis de vulnerabilidades a nivel de infraestructura de tecnología de información que soporte aplicaciones de alcance SOX.
Ajuste en el Número y redacción Ataques cibernéticos sobre la infraestructura tecnológica debido a inadecuada
GR&C S.2.1. del Riesgo asegurando, sobre identificación, clasificación y gestión de los riesgos y vulnerabilidades, falta de Ajuste en la descripción 2. Definir las acciones correctivas para las vulnerabilidades catalogadas como Altas y Medias de acuerdo con el reporte generado por las herramientas de análisis de seguridad. Así mismo, debe realizarse
V3 Controles generales Actualización Matrices SOX 2017 temas de fraude y corrupción y S.8.6.1 monitoreo, configuración no adecuada, que puede llegar a generar perdida de de la actividad del S.8.6.1.3 seguimiento al plan de acciones. El procedimiento se realiza de la siguiente forma: 05/07/2017 Deloitte
de TI estandarizando a los riesgos de confidencialidad e integridad de la información, indisponibilidad de los servicios control.
CENIT. prestados por TI. Se realiza análisis de vulnerabilidades al menos una vez al año por cada plataforma de infraestructura.
Se genera el plan de remediación para las vulnerabilidades identificadas y se realiza el seguimiento al plan de remediación trimestralmente.
1. Establecer y mantener actualizado un repositorio de configuración:
Se tiene un repositorio de información donde está contenida la siguiente información de la configuración del software y hardware del sistema SAP, BD y Red:
- Versión de SAP, BD y Sistema Operativo

- Configuración de contraseña (Red, BD y SAP)
- Configuración de logs de auditoria a nivel de SAP
Incumplimiento de los acuerdos de servicios establecidos con proveedores de
- Usuarios por defecto (SAP, BD y Red) y estado.
Ajuste en el Número y redacción servicio, debido a falta de monitoreo y control periódico del cumplimiento de los
- Configuración de las características técnicas del servidor
GR&C S.2.1. del Riesgo asegurando, sobre servicios pactados con el proveedor, falta de políticas, procedimientos y estándares Ajuste en la descripción
- Esquema de componentes y detalle de la Red.
V3 Controles generales Actualización Matrices SOX 2017 temas de fraude y corrupción y S.8.6.2 establecidos por la compañía, ausencia de acuerdos de niveles de servicio en los de la actividad del S.8.6.2.4 05/07/2017 Deloitte
- Configuración de política de Backup
de TI estandarizando a los riesgos de contratos. Lo anterior puede llegar a generar pérdidas financieras, perdidas legales control.
CENIT. y daños en la reputación por la interrupción de los servicios de TI y de la
Esta información es actualizada según las modificaciones que sean requeridas y aprobadas por control de cambios en la configuración de los ítems. Esta documentación cuenta con una hoja de control de cambios,
operación de la organización.
donde se registra el cambio, la fecha y el usuario que realizó el cambio.
2. Revisar anualmente que la configuración de la aplicación SAP, su base de datos, sistema operativo y Red de la compañía corresponda a lo definido en el repositorio de configuración del software y hardware del
sistema SAP, BD y Red.
Mediante un informe se registra la verificación de la configuración. Se analiza si existe justificación para las desviaciones que sean identificadas. Dependiendo del resultado del análisis se ejecutan acciones tales
como: ajustar el repositorio o restablecer la configuración del sistema. Las conclusiones del análisis y las acciones tomadas se registran en el informe.
1. Generar una notificación indicando las acciones a tomar cuando se genera una falla en la toma de backup.
2. Consolidar y revisar la cantidad de backups ejecutados por el proveedor y su estado de finalización.
3. Realizar seguimiento a la ejecución de back ups y fallas generadas en reunión realizada con el proveedor de servicios.
CENIT.

1. Obtener y revisar el informe o el documento equivalente a la evaluación independiente del funcionamiento de los controles generales de TI para los sistemas de Información que impactan SOX que no son
administrados por la compañía.
En caso de existir observaciones se realiza seguimiento al plan de acción definido con el proveedor del sistema de información.
CENIT.
Restauraciones de back ups fallidas, pérdida de información, datos no

actualizados, debido a falta de procedimientos para la restauración de copias de
Ajuste en el Número y redacción 2. Restaurar las copia de respaldo de sistemas SOX, por medio de una muestra aleatoria, tomada en el periodo (Anual).
respaldo, no ejecución de pruebas de restauración, inadecuados controles
ambientales y físicos en el centro de cómputo donde se encuentran los servidores
V3 Controles generales Actualización Matrices SOX 2017 temas de fraude y corrupción y S.8.7.2 de la actividad del S.8.7.2.2 En caso de presentarse fallas en el proceso de restauración, se realizan las acciones correspondientes. 05/07/2017 Deloitte
que soportan la operación de la compañía. Lo anterior podría generar pérdida de
información, pérdidas económicas, indisponibilidad de información, falta de
CENIT. Lo anterior se documenta adjuntando las evidencias de la correcta restauración o de las fallas presentadas y las acciones a tomar.
continuidad de la operación.
Revisión anual de los controles ambientales, físicos y de control de acceso que tiene el centro de cómputo donde se encuentran los servidores.
Se verifica que solo personal autorizado puede ingresar al lugar donde se encuentran los servidores de la compañía.
S.8.8.1.1 05/07/2017 Deloitte
Adicionalmente, revisa el cronograma de mantenimiento de los dispositivos de seguridad ambiental contra los soportes de su ejecución.
De la revisión se genera un informe de la visita y de los hallazgos encontrados.
Acceso no autorizado/inapropiado a los equipos en el data center, evasión de los

controles de acceso lógico, indisponibilidad de los sistemas de información,
GR&C S.2.1. del Riesgo asegurando, sobre Ajuste en la descripción El responsable establecido de TI autoriza todos los accesos de funcionarios de Cenit o de ODC según el procedimiento de control de acceso al centro de cómputo de la compañía y/o prestador de servicios
actividades no autorizadas sobre los sistemas de información, debido a falta de
controles de acceso lógicos, ausencia de controles físicos, que puede causar
inadecuado uso de la información, indisponibilidad, fuga de información, perdida
CENIT.
de la integridad y confidencialidad de la información.
1. Identificar, documentar y monitorear los procesos de fondo que se realizan en SAP.

Procesamiento inexacto, incompleto o no autorizado de datos de los sistemas de
Ajuste en el Número y redacción En caso de encontrar fallas en la ejecución del proceso de fondo programado, el Basis procede de acuerdo con lo definido en el procedimiento para corregir la falla. En caso de ser requerido se notifica al
información, debido a falta de normalización de los procedimientos relacionados
GR&C S.2.1. del Riesgo asegurando, sobre Ajuste en la descripción representante de TI.
con la secuencia y programación de los trabajos y tareas. Lo anterior podría
generar pérdidas económicas, multas, sanciones, impacto a la imagen y reputación
de TI estandarizando a los riesgos de control. 2. En la reunión mensual es revisado el Reporte de Gestión entregado por el proveedor, donde se indican:
de la compañía, procesamiento incorrecto de información, perdida de la integridad
CENIT. - Reporte general del monitoreo de los Jobs (Fallas y novedades)
y confidencialidad de la información.
De la reunión realizada deja un acta aprobada por los participantes.
Cambios o inversiones no autorizadas sobre la infraestructura o software que

soportan los procesos y/o operaciones, debido a inexistencia o incumplimiento de
procedimientos de adquisición de software o infraestructura tecnológica menor, o
procedimientos de gestión de la demanda, donde sea evaluada la adquisición en
referencia a las iniciativas estratégicas de la organización. Inexistencia o
V3 Controles generales Actualización Matrices SOX 2017 temas de fraude y corrupción y S.8.10.1 de la actividad del 05/07/2017 Deloitte
incumplimiento de una metodología de proyecto donde se incluya la evaluación de
la adquisición de infraestructura tecnológica o software enmarcados en un
CENIT.
proyecto o mejora, que podría generar pérdidas económicas, afectación de la
imagen o incumplimiento de los objetivos de negocio.
1. Aprobar el inicio de cada fase del proyecto mediante un acta.
En el caso de proyectos o requerimientos pequeños o de bajo impacto en los que no se requiera hacer el Project charter, en el acta de inicio se definen los entregables que aplicaran.
Aprobar el cierre de cada fase del proyecto mediante un acta.

No obtención de beneficios y Servicios relacionados con las TI, entrega de
En esta acta se registra la aceptación de los entregables que se definieron en el Project Charter para la respectiva fase.
programas que no proporcionen beneficios a tiempo, dentro del presupuesto y no
Ajuste en el Número y redacción satisfacen los requisitos y normas de calidad debido a inversiones de tecnología
2. Aprobar el informe de cierre de proyecto por los responsables definidos en el Project Charter. Dentro de este documento se incluye:
GR&C S.2.1. del Riesgo asegurando, sobre que no están acorde con las necesidades de la organización y que podría generar Ajuste en la descripción
V3 Controles generales Actualización Matrices SOX 2017 temas de fraude y corrupción y S.8.10.2 falta de alineamiento de TI y la estrategia de negocio, incumplimiento de la de la actividad del S.8.10.2.4 05/07/2017 Deloitte
- Resultados obtenidos del proyecto
de TI estandarizando a los riesgos de estrategia y metas de negocio. control.
- Entregables del proyecto
CENIT.
- Resumen del cronograma y costos del proyecto
- Relación de documentos manejados en el proyecto
- Aprobaciones del documento
El PMO de Proyecto revisa que se encuentre publicada en repositorio de información de la compañía toda la documentación relacionada con el proyecto y lo especifica en el informe de cierre del proyecto
Incumplimiento y/o indisponibilidad en la prestación de los servicios ofrecidos en

el portafolio de TI, debido a falta de oportunidad o insuficiencia en el monitoreo
de los procesos y servicios ofrecidos por TI, ausencia de métricas de rendimiento o Aprobar el procedimiento "Monitoreo de Desempeño de Servicios de TI" y sus actualizaciones, que reglamenta la metodología de revisión y los planes de acción en caso de desviaciones.
indicadores de gestión del área de TI, que podría generar pérdida de efectividad Definir y actualizar periódicamente los ANSs con el negocio para la prestación de los servicios de T.I. Estos ANS son propuestos por el Jefe de T.I. y aceptados los dueños de los procesos.
del servicio de TI, perdidas económicas, incumplimiento de los objetivos del
CENIT.
negocio y daños en la reputación.
Revisar el cumplimiento y medidas correctivas, mediante reunión donde se presenta un informe de los servicios prestados por los terceros.
De esta reunión se genera un acta en la que:

- Se formaliza la aceptación del servicio cuando es prestado de acuerdo a los ANSs definidos.
- Se registra el seguimiento y/o cumplimiento de los compromisos adquiridos en la anterior reunión.
S.8.11.1.2 05/07/2017 Deloitte
En caso de identificarse desviaciones u oportunidades de mejora, se documentan los compromisos establecidos.
- Análisis integral respecto a los tiempos de respuesta y el tipo de falla sin solucionar, lo anterior con el fin de identificar irregularidades no solucionadas a tiempo y que hayan desatado o permitido un evento de
fraude.
Para la revisión de cumplimiento del área de TI, se tiene definido el control S.8.2.5.1
Perdida de la continuidad de la tecnología que soporta procesos críticos del

negocio de alcance SOX, en caso de generarse un escenario de contingencia, debido
Ajuste en el Número y redacción a falta de pruebas de recuperación sobre los elementos de la plataforma
GR&C S.2.1. del Riesgo asegurando, sobre tecnológica, no ejecución de planes de mejora como resultado de las pruebas Ajuste en la descripción
V3 Controles generales Actualización Matrices SOX 2017 temas de fraude y corrupción y S.8.2.16 realizadas, falta de actualización de los planes de recuperación tecnológica de de la actividad del 05/07/2017 Deloitte
de TI estandarizando a los riesgos de acuerdo con los cambios presentados en los sistemas de información donde se control.
CENIT. soporta la operación y procesos críticos de la organización. Lo anterior podría
generar pérdida de disponibilidad e integridad de la información, incumplimiento
de los objetivos del negocio, pérdidas financieras, legales y daños en la reputación.
Verificar los controles automáticos del sistema a través de los cuales:

1. El sistema está parametrizado para generar facturas, solo cuando se tenga el documento de venta. El valor de la factura se calcula automáticamente, una vez se carguen las cantidades y los precios en el sistema
2. El sistema SAP no permite generar dos documentos de venta asociados al mismo número de pedido externo SAP
N.1.1.1.1 3. Para las facturas ya emitidas, los campos de la factura son bloqueados por el sistema SAP (campos correspondientes a cantidades y precios) 05/07/2017 Deloitte
4. Para las tarifas parametrizadas, el sistema SAP no permite generar facturas para fechas de precio en que las tarifas no estén vigentes
Errores o manipulación del proceso en el proceso de emisión de facturas debido a: Anualmente el Profesional de Gestión de Ingresos y Reportes verifica esta configuración haciendo prueba y dejando como evidencia la pantalla de ésta
inadecuada parametrización del sistema, aprobaciones por personal no Nota: La periodicidad de éste control es anual siempre y cuando no se hayan presentado cambios en la configuración solicitados por el área
autorizado, inadecuada segregación de funciones, inadecuados niveles de
V2 Facturación Actualización Matrices SOX 2017 N.1.1.1 autorización, registro inadecuado de cantidades a facturar lo cual puede generar
pérdida y/o fraude sobre la calidad y exactitud de la información contable,
CENIT. evidencia
pérdidas económicas, afectación de relaciones comerciales e imagen de la
Compañía.
Aprobar la conciliación de solicitudes de facturación verificando que las solicitudes atendidas según el registro en el sistema SAP coincidan con las facturas emitidas. Las diferencias son investigadas, identificadas y
N.1.1.1.3 05/07/2017 Deloitte
resueltas de forma oportuna.
Revisar por parte del Prestador de Servicios (Especialista en Soporte en la Operación) el monto a registrar por ingresos de operación portuaria para TLU1 y TLU3 ya sea por provisión o legalización de la provisión,
de acuerdo con el archivo en Excel enviado por el Profesional de Gestión y Finanzas.
Para el caso de la provisión el Profesional de Gestión y Finanzas, realiza el cálculo tomando como base los archivos de servicios portuarios de programación enviados por el área de operaciones del Prestador de
Servicios (CENIT) y la tasa representativa de mercado publicada por el Banco de La Republica de la fecha de la liquidación. En caso tal que la provisión presente una variación porcentual superior al 50% con
relación al mes anterior debe solicitar aprobación del Jefe Soporte de la Operación del Prestador de Servicios.
Sub o sobre estimación de ingresos involuntaria o fraudulenta debido a falta de
Ajuste en el Riesgo asegurando Ajuste en la descripción Para el caso de la legalización de provisiones, el Profesional de Gestión y Finanzas, revisa la legalización de los ingresos de provisión, a través de los documentos físicos enviados por Ecopetrol vs los archivos de
oportunidad de la información, estimación inadecuada y falta de revisión de los
temas de fraude y corrupción y de la actividad del servicios portuarios emitidos por programación y utilizadas para el registro de la provisión; se validan las desviaciones (en caso de aplicar) y se envía correo electrónico a Ecopetrol con los valores ajustar, los cuales
V2 Facturación Actualización Matrices SOX 2017 N.1.1.2 servicios a facturar, generando registros contables erróneos y pérdida de la calidad N.1.1.2.1 05/07/2017 Deloitte
estandarizando a los riesgos de control y en la se reversan en la legalización del mes posterior si estos no superan el 20%, si son montos superiores al porcentaje establecido, debe solicitar aprobación por parte del Especialista en Soporte en la Operación y Jefe
y exactitud de la información contable.
CENIT. evidencia Soporte de la Operación.
El Especialista envía aprobación de la provisión y/o legalización por correo electrónico al Profesional de Gestión y Finanzas quién informa al área contable el valor de la provisión, posteriormente el Profesional de
Gestión y Finanzas evidencia que el registro contable ha sido realizado en la contabilidad (pantalla de SAP con el registro de la provisión).
Validar que las creaciones, bajas y traslados solicitados se registren correctamente en el sistema SAP, incluyendo los mantenimientos capitalizables que han sido creados como activos en el módulo AM de SAP.
El Prestador de Servicios (profesional de Data Maestra de Activos), envía correo electrónico al Coordinador de Activos Fijos, con el reporte mensual de datos maestros que es tomado del Sistema SAP, anexando los
papeles de trabajo correspondientes a cada una de las novedades que contiene las verificaciones. El Coordinador de Activos Fijos, en señal de revisión envía correo electrónico al profesional de Data Maestra de
Ajuste en la descripción
Activos.
de la actividad del N.2.1.1.1 05/07/2017 Deloitte
Inadecuada gestión de activos fijos debido a errores en el registro de la control.
De presentarse diferencias se envía correo electrónico al solicitante para su ajuste y comentarios por parte del profesional de data maestra de activos con copia al Coordinador de Activos Fijos.
información en SAP en el momento de la creación, errores en la actualización de
las novedades y capitalización de activos, información desactualizada, alteración o
falsedad en la información, falta de revisión y aprobación por el nivel requerido,
N.2.1.1.
fallas en el monitoreo de activos, lo cual puede generar errores en los saldos de
cuenta, pérdida o apropiación inadecuada de activos y en la razonabilidad de los Revisar la conciliación de la toma física y los registros contables de acuerdo a la información suministrada por el tercero (avaluador) .
estados financieros. Ajuste en la descripción
de la actividad del N.2.1.1.3 El Prestador de Servicios (Coordinador de Activos fijos) realiza una verificación aleatoria de los activos por placas y descripción acorde con las especificaciones técnicas, dejando un papel de trabajo en señal de 05/07/2017 Deloitte
control. validación.
información en SAP en el momento de la creación, errores en la actualización de
las novedades y capitalización de activos, información desactualizada, alteración o
falsedad en la información, falta de revisión y aprobación por el nivel requerido,
N.2.1.1.
fallas en el monitoreo de activos, lo cual puede generar errores en los saldos de
cuenta, pérdida o apropiación inadecuada de activos y en la razonabilidad de los
estados financieros.
Verificar que los mantenimientos mayores registrados en el módulo de PM de SAP estén asociados a los Activos Fijos de acuerdo a la información reportada por el operador.
Ajuste en la descripción En señal de revisión se envía el archivo al Prestador de Servicios (Jefatura de Contabilidad) por medio de correo electrónico.
de la actividad del N.2.1.1.4 05/07/2017 Deloitte
control.
Inadecuado reconocimiento de los activos debido a desconocimiento de la norma, Validar el cumplimiento de la normatividad vigente en cuanto al reconocimiento del valor actual y vidas útiles de los activos fijos mediante la contratación de un avaluador técnico especializado, que revisa las vidas
aplicación tardía del análisis de avalúos en activos, omisión y/o registro contable Ajuste en la descripción útiles aplicables de los activos de la compañía y el cual posteriormente es enviado al área contable, quien a su vez realiza las actualizaciones a que hubiere lugar.
N.2.1.2. equivoco y reconocimiento de gastos/costos como activos lo cual puede generar de la actividad del N.2.1.2.1 05/07/2017 Deloitte
incumplimiento de la normatividad legal, sobre o subvaloración de la utilidad y control. El Prestador de Servicio (Jefe de Contabilidad) aprueba la carga correspondiente.
poca fiabilidad en los estados financieros.

Gestión y
temas de fraude y corrupción y 1. Validar y revisar los costos de abandono de acuerdo con lo establecido en la Guía de desincorporación de activos de Cenit, para efectos del cálculo de la provisión de abandono bajo la norma IFRS en conjunto
V2 Capitalización de Actualización Matrices SOX 2017 Inadecuado cálculo de deterioro y de la provisión de abandono debido a falta de
estandarizando a los riesgos de con los involucrados por medio de una mesa de trabajo.
Activos integridad, manipulación u omisión en la información reportada por las áreas
CENIT. Ajuste en la descripción
involucradas, errores en las actividades de los procedimientos del cálculo de costos
N.2.1.3 de la actividad del N.2.1.3.1 2. Revisar la provisión de costos de abandono validando las variables del cálculo, de acuerdo a la información enviada por el Prestador de Servicio (Coordinador de Activos fijos) al área contable con el cálculo 05/07/2017 Deloitte
de desincorporación y del deterioro, error del cálculo de los valores razonables
control. respectivo.
para el registro de la provisión y falta de revisión por el nivel requerido lo que
puede generar inconsistencias en las cifras de los Estados financieros.
En caso de encontrar diferencias, el Prestador de Servicio (área contable) enviará correo electrónico al Prestador de Servicio (Coordinador de Activos fijos) con los comentarios y/o ajustes a realizar.
1.Revisar las premisas cualitativas del deterioro indicadas en la normatividad IFRS de acuerdo a la información suministrada por la Gerencia de Planeación y Control de Gestión (prestador de Servicios) por medio de
correo electrónico que contiene el checklist del análisis y los soportes respectivos. En señal de revisión, el Gerente Senior de Finanzas (prestador de Servicios) envía correo electrónico con su visto bueno.
Inadecuado cálculo de deterioro y de la provisión de abandono debido a falta de
2. Si aplica, se procede al cálculo cuantitativo de deterioro, validando por parte del Gerente Senior de Finanzas (prestador de Servicios)que el valor de los activos, tarifas, inversiones, costos reportados para el
integridad, manipulación u omisión en la información reportada por las áreas
Ajuste en la descripción sistema coincida con la información recibida por las áreas y de acuerdo al procedimiento de deterioro de los activos emitido por Casa Matriz y en señal de revisión envía correo electrónico al Gerente de
involucradas, errores en las actividades de los procedimientos del cálculo de costos Coordinador de
N.2.1.3 de la actividad del N.2.1.3.2 Planeación y Control de Gestión.(prestador de Servicios) 31/08/2017
de desincorporación y del deterioro, error del cálculo de los valores razonables Aseguramiento
control.
para el registro de la provisión y falta de revisión por el nivel requerido lo que
Posteriormente, El Gerente de Planeación y Control de Gestión (prestador de Servicios) envía correo electrónico al Jefe de Contabilidad (prestador de Servicios)con el archivo con del cálculo del deterioro para su
puede generar inconsistencias en las cifras de los Estados financieros.
registro con la validación de la integridad de las cifras y posteriormente el Jefe de contabilidad envía correo electrónico confirmando el registro.
Revisar y aprobar el reporte de las órdenes de trabajo correspondientes a mantenimientos a capitalizar en el mes y a transferir a activos en curso de acuerdo a los criterios definidos bajo IFRS, el cual es enviado
Asignación errada de costos de órdenes de trabajo de mantenimiento, debido a: por el área de planeación de mantenimiento.
- Inadecuada clasificación de las actividades de mantenimiento (capitalizable o no
capitalizable), conflicto de segregación de funciones, generando afectación a la En caso de identificar diferencias, se remite nuevamente al área de planeación de mantenimiento para su justificación.
N.2.1.4 de la actividad del S.7.10.5.10 05/07/2017 Deloitte
confiabilidad, clasificación y razonabilidad en los estados financieros de la
control.
compañía Posteriormente se envía a la Coordinación de Activos Fijos para su registro.
N.2.1.1.4
N/A
Gestión y Verificar que los mantenimientos mayores registrados en el módulo de PM de SAP estén asociados a los Activos Fijos de acuerdo a la información reportada por el operador.
Coordinador de
V3 Capitalización de Eliminación de control. N/A N/A Eliminación del control N.2.1.1.4 En señal de revisión se envía el archivo al Prestador de Servicios (Jefatura de Contabilidad) por medio de correo electrónico. 03/10/2017
El riesgo es existe en la matriz. Hay controles identificados en la compañía que Aseguramiento ( Cenit)
Activos
mitigan el riesgo.
Inadecuada aplicación de la normatividad contable, debido a inexistencia de

políticas contables, no contar con monitoreos periódicos de los posibles cambios
normativos, falta de divulgación al personal responsable, incumplimiento de las
S.1.1.1 N/A N/A N/A 05/07/2017 Deloitte
políticas y/o procedimientos definidas, lo cual puede ocasionar errores o fraude
en los estados financieros y llevar a toma de decisiones inadecuadas y/o sanciones
a la Compañía.
Inexactitud, falta de integridad o fraude de la información financiera tanto para su

registro, presentación y/o revelación debido a modificaciones de la información,
errores en el registro del comprobante, errores manuales, apertura de periodos
reportados, inadecuada segregación de funciones, débil proceso de revisión, falta
de controles en asignación de usuarios e incorrecta parametrización del sistema,
manipulación dolosa de estados financieros (producción, alteración o supresión
deliberada de registros, creación de transacciones con proveedores o acreedores Revisar el listado de comprobantes manuales generado por el sistema SAP.
falsos, manipulación de saldos de cuentas del activo y pasivo, traslado periódico de Posteriormente el Prestador de Servicio (Jefe de Contabilidad) valida la información de los comprobantes manuales.
S.1.1.2 obligaciones reales o ficticias (de un acreedor o deudor a otro, real o Ajuste
ficticio),
enlola descripción de la actividad del S.1.1.2.2
control. 05/07/2017 Deloitte
cual puede generar incorrecta clasificación o presentación de los Estados En caso de encontrarse inconsistencias por parte del Prestador de Servicios (Jefe de Contabilidad), éste envía correo electrónico al Outsourcing contable con las diferencias para su resolución.
Financieros, información fraudulenta (por sobrevaloración/subvaloración de
activos, registro de activos ficticios, registro de ingresos o pagos ficticios, incorrecta
clasificación del grado de liquidez de inversiones, incorrecta clasificación de
activos/pasivos entre corto y largo plazo, no reconocimiento de obligaciones
financieras, inexactitud en las revelaciones de eventos significativos/materiales o
de transacciones con partes relacionadas, entre otros), fallas en la toma de
decisiones, sanciones, multas y calificación de la opinión del revisor fiscal.
Inadecuado cálculo y registro de provisiones así como sobre o subestimación

Validar que los totales del patrimonio incluida la utilidad del ejercicio cargada en hyperion correspondan al cierre contable del periodo de acuerdo a la información cargada por el prestador de
fraudulenta de las mismas debido a la falta de revisión de la integridad de la
servicios(outsourcing) , por medio de la pantalla de reporte de Hyperion que valida los saldos contra el balance.
S.1.1.4 información entre los estimados contables y el registro en el moduloAjuste
F.I y en
las la descripción de la actividad del S.1.1.5.6.
fuentes externas como el área legal entre otros, lo cual puede generar información
En caso de ajustes o diferencias se envía correo electrónico al prestador de servicios(outsourcing) para ajustar o corregir o justificar
incorrecta y/o fraudulenta en los estados financieros y las revelaciones.
Validar que la información incluida en los formatos de reporte a las entidades de control y demás Entidades Gubernamentales, sea consistente con la información registrada en el sistema de información SAP.
GR&C S.1.1.Cierre Ajuste en la descripción de la actividad del S.1.1.5.2.
Contable, En caso de encontrar inconsistencias en la información, se envía correo electrónico al Outsourcing para realizar los ajustes correspondientes.
V2 Preparación y Actualización Matrices SOX 2017
Revelación de
CENIT.
Estados Financieros
Errores y/o información fraudulenta en la información financiera reportada y Presentar ante la Junta Directiva para su análisis y revisión, los reportes y/o Estados Financieros.
revelaciones, debido a una inadecuada revisión y análisis de las cifras contables, Ajuste en la descripción
S.1.1.5 incumplimiento de las políticas y/o procedimientos y la normativa aplicable y de la actividad del S.1.1.5.3. 05/07/2017 Deloitte
En caso de que aplique, Prestador de Servicio (el Outsourcing) se asegura la inclusión de las recomendaciones realizadas por parte de la Junta Directiva revisando el acta, y envía correo electrónico al Prestador de
supeditaje gerencial, lo cual puede afectar la toma de decisiones de los usuarios control.
Servicio (Jefe de Contabilidad) con la confirmación de los cambios y posteriormente se envía al Prestador de Servicio (Gerente Senior de Finanzas y Director Estratégico y de Finanzas), para su aprobación
de la información y el correcto análisis de la situación económica de la compañía
de la actividad del S.1.1.5.6. 05/07/2017 Deloitte
control.
En caso de ajustes o diferencias se envía correo electrónico al prestador de servicios(outsourcing) para ajustar o corregir o justificar
Falta de integridad, valuación, validez y razonabilidad de la información financiera Revisar y aprobar conciliaciones mensuales del balance, incluyendo las operaciones reciprocas, de acuerdo a la información enviada por el prestador de servicios(outsourcing) donde se realiza el cruce de los saldos.
Ajuste en la descripción Todas las partidas conciliatorias se identifican en el mes siguiente, se investigan y aclaran oportunamente y de ser necesario, se realizan registros contables correspondientes.
debido errores en registros contables manuales, errores en las interfaces
S.1.1.7 de la actividad del S.1.1.7.1. 05/07/2017 Deloitte
registradas, lo cual puede ocasionar errores en los Estados Financieros y/o
control.
información fraudulenta.
Validar por parte del Prestador de Servicio(Jefe de Contabilidad) que las actividades definidas para el cierre de estados financieros se cumplan en su totalidad de acuerdo a la comunicación enviada por Casa Matriz,
mediante la verificación de las actividades presentadas en el calendario de cierre contable por parte del Prestador de Servicio( Outsourcing contable), el cual es divulgado de acuerdo a las fechas establecidas.
N/A N/A de la actividad del S.1.1.3.1 05/07/2017 Deloitte
control.
En caso de incumplimiento de alguna de las actividades se contacta al responsable para validar las causas que lo impide o su gestión oportuna.
Revisar y aprobar la solicitud del ajuste/correcciones/errores posteriores al cierre, a fin de realizar los registros en el sistema SAP. Las reaperturas realizadas después de haber reportado a Casa Matriz deben contar
con la autorización del Prestador de Servicio (Gerente Senior Finanzas) y Gerente General de ODC y son realizadas por el Prestador de Servicio (Jefe de Contabilidad).
Hecho el ajuste por el Prestador de Servicio( Outsourcing Contable), el Prestador de Servicio (Jefe de Contabilidad) valida en el sistema SAP, que lo solicitado, haya sido realizado, tenga su soporte de registro y sea
consistente con el análisis.
Posteriormente, el Prestador de Servicio (Gerente Senior Finanzas) y Gerente General verifica que los ajustes realizados correspondan a los autorizados y envía por medio de correo electrónico su verificación al
N/A N/A de la actividad del S.1.1.6.1. 05/07/2017 Deloitte
Prestador de Servicio (Jefe de Contabilidad).
control.
En caso de encontrar inconsistencias y/o diferencias, el Jefe de Contabilidad y/o el Gerente Senior de Finanzas envía correo electrónico solicitando justificaciones o ajustes (si aplica).
Nota: El perfil del usuario del Jefe Contabilidad es el único que tiene la posibilidad abrir periodos cerrados y SAP no permite el registro de transacciones en periodos cerrados.
GR&C S.1.1.Cierre En caso de ajustes o diferencias se envía correo electrónico al Outsourcing para ajustar o corregir o justificar.
Contable, Ajuste en la descripción Para los cambios posteriores al cierre contable, el Prestador de Servicios (Jefe de Contabilidad) envía correo electrónico a Casa Matriz con los ajustes para efectos de consolidación y cargue en Hyperión.
Coordinador de
V3 Preparación y Ajuste de control N/A N/A N/A de la actividad del S.1.1.5.6. 23/10/2017
Aseguramiento
Revelación de control. 2. Revisión de la conciliación de las cifras SAP frente al reporte de Hyperion ( día 15 posterior al cierre) o cuando ocurra ajuste posterior al cierre . En caso de encontrar diferencias, el Prestador de Servicios (Jefe de
Estados Financieros Contabilidad) envía correo electrónico a Casa Matriz para su gestión y respuesta. ( si aplica ajustes posteriores al cierre).
Analizar el patrimonio fiscal base para el cálculo del impuesto a la riqueza, por medio de los anexos de la declaración de renta con el que se elabora la hoja de trabajo para su respectivo cálculo.
El Prestador de Servicios (Jefe Tributario) aprueba el cálculo del impuesto a la riqueza para su posterior registro en el sistema SAP.
de la actividad del S.1.3.1.1 05/07/2017 Deloitte
En caso de encontrar inconsistencias o errores en la depuración y cálculo del impuesto a la riqueza, se realiza el respectivo ajuste.
control.
Inoportuna e inadecuada presentación de las declaraciones tributarias incluyendo
fraude en la información declarada debido a falta de revisión y aplicación de los
cambios tributarios, falta de revisión y aprobación de las declaraciones por el nivel
S.1.3.1.
requerido, supeditaje gerencial, pago tardío y/o inadecuada planeación de los
plazos establecidos de presentación y pago lo cual puede generar sanciones y/o
intereses por mora y afectación reputacional.
Revisar que la base de datos de los Acuerdos de Rentas Municipales de los municipios en donde ODC es contribuyente declarante del impuesto de industria y comercio se encuentre actualizada, así como los
formularios de las declaraciones, mediante la verificación de las comunicaciones recibidas a los municipios y las páginas Web de los municipios frente a la base.
Control eliminado S.1.3.1.6 05/07/2017 Deloitte
Aprobar las declaraciones tributarias, mediante la revisión de las hojas de trabajo (archivos en Excel), análisis de variaciones, anexos de cada una de las declaraciones físicos o magnéticos, así:
Mensual: Retención en la Fuente, Autorretención y retención de ICA (en los municipios que aplique)
Bimestral: Declaración de IVA, Autorretención y retención de ICA (en los municipios que aplique), Declaración de ICA y Retenciones de ICA en Bogotá.
Anual: Declaración de Renta, declaración de ICA anuales, declaración de activos en el exterior, declaración de precios de transferencia e Impuesto a la riqueza.
S.1.3.1.2 05/07/2017 Deloitte
En caso de encontrar inconsistencias, el Prestador de Servicio(Jefe Tributario/Especialista Tributario y Aduanero) envía correo electrónico al Prestador de Servicio (outsourcing), solicitando ajuste o modificación.
Posteriormente, son firmadas por el Gerente General de ODC en señal de aprobación de las declaraciones tributarias.
GR&C S.1.3 Se elimino:

Determinación de Ajuste en el Riesgo asegurando Sobreestimar o subestimar las utilidades a distribuir, debido que la información
Impuestos temas de fraude y corrupción y base para el cálculo del impuesto diferido sea errónea, que la extracción de la
Actualización Matrices SOX 2017 información base sea incompleta, errores en el cálculo de la provisión de renta, lo
Nacionales y estandarizando a los riesgos de
Municipales CENIT. que puede generar falta de integridad en la información financiera.
S.1.3.2. de la actividad del Aprobar el cálculo del impuesto de Renta para su posterior registro en el sistema SAP, por medio de la validación de la tasa proyectada en periodos intermedios, que es realizada por el Prestador de Servicios
Se dejo: (Outsourcing) de manera trimestral y que es aplicable mensualmente a la utilidad del periodo.
control.
Inadecuado cálculo del impuesto diferido y renta, debido a: Información base para
el cálculo del impuesto diferido sea errónea o fraudulenta, errores en el cálculo de La hoja de trabajo Excel del cálculo de la tasa efectiva de tributación enviada por medio de correo electrónico contiene las proyecciones de Estados Financieros entregada por el Prestador de Servicios (Gerente de
la provisión de renta e impuesto diferido, supeditaje gerencial lo que puede Planeación y Control de Gestión) para periodos trimestrales y las depreciaciones proyectadas entregada por el Prestador de Servicios(Outsourcing) a través de correo electrónico.
generar afectación reputacional y/o sanciones, estados financieros y revelaciones
erróneos, sobrestimación o subestimación de la utilidad a distribuir. S.1.3.2.2. El cálculo contiene el análisis de las cuentas de ingresos, costos y gastos con el fin de determinar los conceptos de ingresos gravados y no gravados, los costos y gastos deducibles o no deducibles en el impuesto 05/07/2017 Deloitte
sobre la renta.
En caso de ajustes o modificaciones al cálculo de los impuestos, el Prestador de Servicios (Jefe de Impuestos/Especialista Tributario y Aduanero) envía correo electrónico al outsourcing con la solicitud de cambios.
Para el cierre anual o cierre de propósitos específicos, el cálculo del impuestos se realiza sobre bases reales, esto es, ingresos, costos y gastos arrojados del sistema SAP. Posteriormente, se realiza la depuración de
ingresos gravados y no gravados y de costos/gastos deducibles y no deducibles dejando la captura de pantalla de SAP del registro en la hoja de trabajo Excel.
Informar al área de cuentas por pagar y tesorería el valor a pagar de las declaraciones tributarias (DIAN, municipales) y la fecha límite de pago, así como solicitar los soportes del pago de cada una de estas y
verificar que el mismo se haya realizado oportunamente.
N/A N/A Control eliminado S.1.3.3.9 05/07/2017 Deloitte
De generarse un saldo a favor no se emite comunicado al área de cuentas por pagar y tesorería.
1.Realizar seguimiento a las fechas de vencimiento de las solicitudes de información enviadas por los entes de control.
N/A N/A Control eliminado S.1.3.3.10 05/07/2017 Deloitte
2. Aprobar (a)las respuestas emitidas por el Prestador de Servicios (área de impuestos) (b), hacía los requerimientos ordinarios y especiales de los entes de control.
Errores en la clasificación de las cuentas de depreciación y amortización debido a

inadecuada asociación de los activos a las cuentas parametrizadas en el sistema
S.1.4.1. N/A N/A N/A 05/07/2017 Deloitte
SAP para el cálculo y fallas o alteraciones al ejecutar el proceso de liquidación, lo
que puede generar reprocesos y/o información contable incorrecta.
GR&C S.1.4. Cálculo
V2 DD&A Actualización Matrices SOX 2017
CENIT.
GR&C S.1.4. Cálculo
temas de fraude y corrupción y Errores en el cálculo de la depreciación y amortización debido a desconocimiento
V2 DD&A Actualización Matrices SOX 2017
estandarizando a los riesgos de de la política de depreciación por el responsable errores manuales, manipulación
CENIT. y/o alteración de la información y falta de revisión del cálculo depreciación y
S.1.4.2. amortización generando inconsistencias en los saldos contables y por ende en los N/A N/A N/A 05/07/2017 Deloitte
estados financieros y reportes emitidos por la Compañía.
Correo electrónico por parte del Prestador de Servicios (Supervisor de Activos Fijos) al analista de activos fijos con el visto bueno para el registro de la depreciación.
Si aplica,
Correo electrónico por parte del Prestador de Servicio (Supervisor de Activos Fijos) al analista con las diferencias e inconsistencias para ajustes.
La evidencia se guarda en la red del Prestador de Servicios

GR&C S.1.4. Cálculo Ajuste de la evidencia Coordinador de
v3 Ampliación de la evidencia del control N/A N/A N/A S.1.4.2.1. El papel de trabajo contiene el test de depreciación generado SAP con la pantalla del valor calculado y la fecha por el sistema, además de la hoja de validación del cálculo adicionada por el Supervisor. 23/10/2017
DD&A del control Aseguramiento
Nota: La prueba de la depreciación únicamente se puede realizar en el mes vigente. El sistema no permite generar "ejecución en test" para meses anteriores y posterior.
2. Correo electrónico por parte del Outsourcing Contable Analista al Supervisor al analista de activos fijos con el visto bueno para el registro de la depreciación.
Si aplica,
Correo electrónico por parte del Outsourcing Contable Supervisor al Analista del Outsourcing con las diferencias e inconsistencias para ajustes.
Se elimina el riesgo relacionado con la distribución de costos dado que ODC por
tener un solo ducto no requiere de una distribución d costos. Se deja el riesgo
Se elimina el control de distribución de costos dado que ODC por tener un solo ducto no requiere de una distribución de costos, adicionalmente la actividad de verificación que las cuentas 7 se traslada alas
relacionado con operación y mantenimiento.
cuentas 6 se incluyó en el check list.
Sobrestimación o Subestimación ( involuntaria/ intencional) de los costos directos Ajuste en la descripción
temas de fraude y corrupción y Control ajustado:
V2 Costos Actualización Matrices SOX 2017 S.1.6.1 e indirectos debido a: errada causación frente a la estructura contable de costos, de la actividad del S.1.6.1.1. 05/07/2017 Deloitte
estandarizando a los riesgos de Aprobar la revisión del registro en el sistema SAP por concepto de costos de operación y mantenimiento con base en el correo electrónico elaborado por el Profesional de Finanzas. El Profesional de Finanzas
desviaciones importantes en el establecimiento de presupuestos y en su control.
CENIT. verifica lo presupuestado vs lo ejecutado, detalle que se extrae del sistema SAP, comparando las cifras y solicitando explicación al encargado de la operación y mantenimiento (Ecopetrol) para diferencias que
coherencia con la ejecución del contrato y falta de análisis de los responsables del
superen un porcentaje mayor a 10%. En el caso de que la justificación no corresponda a la realidad del servicio se debe solicitar el ajuste / reclasificación correspondiente.
procesos, lo cual genera errores en la valuación del costeo, inconsistencias en las
distribuciones de costos y Estados Financieros no acordes con la realidad del
negocio.
Realizar pagos errados, fraudulentos (robo) o no autorizados debido a que son

GR&C S.1.2. ejecutados por personal no autorizado, inadecuada segregación de funciones o Ajuste en la descripción
temas de fraude y corrupción y Verificar, aprobar y autorizar la propuesta de pago por la transacción ZFI_SWIFT / niveles de aprobación ZFI029 en el sistema SAP, a través del workflow que recibe cada nivel de aprobador autorizado que son:
V2 Manejo de Caja y Actualización Matrices SOX 2017 S.1.2.1. cargue de gastos que no estén autorizados, fraccionamiento de pagos, ausencia en de la actividad del S.1.2.1.4. 05/07/2017 Deloitte
estandarizando a los riesgos de Aprobador 1, Aprobador 2 y Aprobador 3.
Bancos la verificación de los ajustes realizados y solicitados por el autorizador y generando control.
CENIT.
pérdidas económicas y afectación al cumplimiento de las obligaciones.
Realización de pagos que no cumplan con la política de caja menor debido a la

Realizar los arqueos al menos una vez al año. Cada año se debe realizar un arqueo en el mes de diciembre y otro en una fecha aleatoria por medio de una visita física que realiza el prestador de servicios
GR&C S.1.2. ausencia de facturas o documentos que soporten la generación del gasto o a la
(Coordinador de Tesorería) con la persona responsable de custodiar la caja menor previo citación a través de una llamada telefónica.
V2 Manejo de Caja y Actualización Matrices SOX 2017 Riesgo eliminado S.1.2.3 existencia de gastos o ingresos que no tengan su respectivo gasto-soporte en SAP y Control eliminado S.1.2.3.6. 05/07/2017 Deloitte
Bancos viceversa. Lo anterior podría generar la perdida de recursos necesarios para el
En caso de encontrar diferencias se deja un acta con las inconsistencias firmada por el Prestador de Servicios (Jefe de Tesorería/ Gerente Senior de Finanzas) y Gerente General de ODC
desarrollo de la actividad de la compañía.
Confirmar saldos, firmas autorizadas y entidad financiera, relacionadas con las cuentas bancarias, fiducias y cualquier otro tipo de producto financiero a través de circularizaciones sobre las cuales se solicita el
siguiente detalle:
1. Número y tipo de cuenta

GR&C S.1.2. Movimientos bancarios realizado por personas no autorizadas, debido a:
2. Nombres y números de cédulas de los funcionarios
V2 Manejo de Caja y Actualización Matrices SOX 2017 Riesgo eliminado S.1.2.4 actualización no oportuna de los funcionarios autorizados, errores en Control eliminado S.1.2.2.8. 05/07/2017 Deloitte
Bancos comunicaciones al banco generando perdidas económicas para la Compañía.
La Coordinación de Tesorería realiza seguimiento a la oportuna respuesta por medio de correos electrónicos y llamadas telefónicas.
Modificación involuntaria o intencional a la información crítica en SAP de los

Validar que la información de clientes creada en el sistema SAP, tenga como mínimo; la sociedad, organización de ventas, tipo de servicio, zona de transporte, cuenta bancaria, condición de pago, el grupo de
GR&C S.1.2. contratos por funcionarios no autorizados, debido a inadecuada segregación de
clientes al que pertenecen y único NIT registrado, de acuerdo con el formato de creación de clientes nacionales.
V2 Manejo de Caja y Actualización Matrices SOX 2017 Riesgo eliminado S.1.5.2 funciones, desconocimiento del personal responsable, débiles procesos de Control eliminado S.1.5.1.2. 05/07/2017 Deloitte
Bancos revisión, lo cual puede generar inexactitud en la información financiera o pérdidas
Posterior data maestra envía correo electrónico al área solicitante con el registro de creación SAP de los clientes nacionales o del exterior.
económicas.
Verificar el cálculo de intereses de mora de acuerdo con las facturas de clientes que presentan vencimiento y el recalculo en Excel enviado por el Analista de Cartera- Outsourcing por medio de correo electrónico.
Cuentas por Cobrar Control eliminado S.1.5.1.2. 05/07/2017 Deloitte
Nota: Los intereses de mora son calculados por el sistema SAP
Controles automáticos del Sistema a través de los cuales:

1. El sistema SAP está configurado para asegurar que solamente se aplique depósitos a terceros previamente creados.
2. El sistema SAP no permite que un recaudo de las cuenta por cobrar pueda ser aplicado más de una vez.
3. El sistema SAP no permite borrar los deudores que presentan movimiento en los saldos contables.
4. El sistema SAP no permite la creación de un deudor sin diligenciar los campos obligatorios parametrizados.
Ajuste en la descripción 5. El sistema SAP calcula automáticamente los intereses de mora de acuerdo con las facturas de clientes que presentan vencimiento.
Cuentas por Cobrar Inadecuada gestión de las cuentas por cobrar, reconocimiento incorrecto de los de la actividad del S.1.5.1.1 05/07/2017 Deloitte
recaudos y registro de pagos ficticios debido a gestión de cobro inoportuno, control. Anualmente el Prestador de Servicios (Jefe de Tesorería y Data Maestra ) valida esta configuración haciendo prueba, dejando como evidencia las pantallas de esta.
errores manuales, manipulación y/o alteración de la información, cobros por
V2 Actualización Matrices SOX 2017 S.1.5.1. montos superiores, autorización de ajustes incorrectos en la verificación de los En caso de reportar inconsistencias, se hace la solicitud a IT, como respuesta a la corrección de la solicitud, la jefatura procede a verificar y realizar las pruebas sobre cambios.
intereses por mora y/o aplicación errónea de los recaudos y/o a clientes Nota: La periodicidad de este control es anual, siempre y cuando no se hayan presentado cambios solicitados por el área de cartera en la configuración".
CENIT.
incorrectos de forma deliberada generando pérdidas económicas, fraude, reportes
de cartera alterados y/o afectación a los Estados Financieros de la Compañía.
errores manuales, manipulación y/o alteración de la información, cobros por
V2 Actualización Matrices SOX 2017 S.1.5.1. montos superiores, autorización de ajustes incorrectos en la verificación de los
intereses por mora y/o aplicación errónea de los recaudos y/o a clientes
CENIT.
incorrectos de forma deliberada generando pérdidas económicas, fraude, reportes
de cartera alterados y/o afectación a los Estados Financieros de la Compañía.
Revisar el proceso de gestión de cobranza y provisión de cartera (si aplica) para todos los clientes que presentan cartera vencida por medio del seguimiento (llamada telefónica o correo electrónico) consignado en
la hoja de cálculo; El Prestador de Servicios (Especialista de Liquidez, Deuda y Seguros) calcula la provisión de cartera de acuerdo a la guía de provisión de cartera del Prestador de Servicios. El cálculo es revisado
por el Prestador de Servicios (Jefe de Tesorería)
Cuentas por Cobrar de la actividad del S.1.5.1.2. En el caso que aplique la provisión, el Prestador de Servicios (Jefe de Tesorería) envía correo electrónico al Prestador de Servicios (Jefe de Contabilidad) para el registro y posteriormente confirma el valor de la 05/07/2017 Deloitte
control. provisión al Prestador de Servicios (Jefe de Tesorería) por medio de correo electrónico; posteriormente el Prestador de Servicios (Gerente senior de Finanzas) solicita autorización al Gerente General ODC por correo
electrónico.
Actualización del proceso de acuerdo a

Gestión Actualización de valoración del Ajuste en el Coordinador de
V3 la estructuración del prestador de Todos Todos D.1.3.1.1 Experto en Proyecciones Financieras (Prestador de Servicios ) 30/0972017
Presupuestal riesgos de acuerdo a la RAM 2017 responsable aseguramiento
Servicios
Revisar el presupuesto de ingresos costos y gastos en conjunto con la Gerencia General de ODC para posterior presentación a la Junta Directiva
Actualización del proceso de acuerdo a Ajuste en la descripción
Gestión Actualización de valoración del En caso de identificar ajustes en el presupuesto, estos son realizados por DC y entregados nuevamente para revisión Coordinador de
V3 la estructuración del prestador de Todos Todos de la actividad del D.1.3.3.2 30/0972017
Presupuestal riesgos de acuerdo a la RAM 2017 aseguramiento
Servicios control.
Responsable: Gerente General de ODC/ Cenit
(Prestador de Servicios )
Verificar que el presupuesto cargado en el sistema SAP corresponda con la versión final aprobada por la Junta Directiva.
Actualización del proceso de acuerdo a Ajuste en la descripción En caso de requerir algún ajuste, estos son aprobados de acuerdo al Manual Delegación de Autoridad (ODC) y posteriormente son cargados por el prestador de Servicios ( Experto en Proyecciones Financieras) ,
Gestión Actualización de valoración del Coordinador de
V3 la estructuración del prestador de Todos Todos de la actividad del D.1.3.3.2 quién envía correo electrónico con el ajuste o modificación y se verifica nuevamente el cargue del presupuesto en el sistema SAP. 30/0972017
Presupuestal riesgos de acuerdo a la RAM 2017 aseguramiento
Servicios control.
Monitorear las variaciones del presupuesto ejecutado vs lo planeado a fin de identificar variaciones significativas que impacten el desempeño financiero futuro de la Compañía
Gestión Actualización de valoración del Inclusión de control Coordinador de
V3 la estructuración del prestador de Todos Todos D.1.3.1.4 30/0972017
Presupuestal riesgos de acuerdo a la RAM 2017 nuevo En caso de identificar desviaciones o alertas, se generarán los planes de acción correspondientes para su seguimiento aseguramiento
Servicios
Riesgos y controles nuevos de acuerdo

Coordinador de
V1 Logística a las actividades ejecutadas por el Riesgos nuevos Todos Todos Controles nuevos Todos Todos 30/10/2017
aseguramiento
prestador de Servicios
Actualización de acuerdo a la nueva Coordinador de

v3 Transporte Todos Todos Todos Todos Todos Todos 15/10/2017
estructura, riesgos y responsables aseguramiento
Inclusión de controles,
Compras y ajustes en la Coordinador de
V3 la estructuración del prestador de Todos Todos Todos Todos Todos 15/10/2017
Contratación descripción de las aseguramiento
Servicios
actividades, etc.
Restauraciones de back ups fallidas, pérdida de información, datos no

actualizados, debido a falta de procedimientos para la restauración de copias de
Restaurar las copia de respaldo de sistemas SOX, seleccionando el backup de las copias disponibles de acuerdo a las políticas de retención de backups.
respaldo, no ejecución de pruebas de restauración, inadecuados controles
Se ajustaron los criterios para selección
Controles generales Ajuste de acuerdo a observación ambientales y físicos en el centro de cómputo donde se encuentran los servidores Ajuste de acuerdo a
V3 del backup sobre el cual se realiza el S.8.8.1 S.8.7.2.2 2. En caso de presentarse fallas en el proceso de restauración, se realizan las acciones correspondientes. 21/11/2017 Deloitte
de TI de ECP que soportan la operación de la compañía. Lo anterior podría generar pérdida de observación de ECP
control.
información, pérdidas económicas, indisponibilidad de información, falta de
Lo anterior se documenta adjuntando las evidencias de la correcta restauración o de las fallas presentadas y las acciones a tomar.
continuidad de la operación.
Gestión y
Coordinador de
V4 Capitalización de Controles nuevos de ARO e Impairment 20/12/2017
aseguramiento
Activos

1. La inadecuada definición, aprobación y divulgación de las políticas, manuales y

procedimientos en materia de: Delegación de autoridad, Ética, Denuncias éticas,
Cumplimiento y Buen Gobierno
Valoración de riesgos de Gobierno 3. Falta de capacitación en relación a los temas de ética, cumplimiento, conflictos
Ajuste en la frecuecia
Gobierno Corporativo y cambios en la clase del de interés y mecanismos para realizar denuncias éticas. Coordinador de
V5 Se ajusta una causa del riesgo E.1.1.2 del control de acuerdo S.6.2.5.6 Eventual 27/12/2017
Corporativo control y ajuste en la frecuencia del 4. Manejo inadecuado de las denuncias, consultas y dilemas de los interpuestos aseguramiento
a la realidad operativa
control de inmobiliaria por los grupos de interés.
5. Conflictos de interés en los miembros de Junta Directiva que no hayan sido
avalados por asamblea de accionistas
Lo cual puede ocasionar, materialización de actos indebidos, incumplimiento o

desconocimiento de los Estatutos y definiciones de la normativa interna,
afectando el clima organizacional y la reputación y eventualmente generando la
pérdida de valor de la Compañía, entre otros.

Matriz-De-Riego-Y-Controles-De-Cumplimiento Ejemplo para Trabajar PDF

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Matriz-De-Riego-Y-Controles-De-Cumplimiento Ejemplo para Trabajar PDF

Hochgeladen von

Copyright:

Verfügbare Formate

MATRIZ CONSOLIDADA RIESGOS & CONTROLES SOX OLEODUCTO DE COLOMBIA S.

Tipo de Impacto Tipo de Impacto

Faltas éticas en ODC, de los empleados y/o miembros de Junta Directiva o

1. La inadecuada definición, aprobación y divulgación de las políticas,

Lo cual puede ocasionar, materialización de actos indebidos,

Faltas éticas en ODC, de los empleados y/o miembros de Junta Directiva o

1. La inadecuada definición, aprobación y divulgación de las políticas,

Lo cual puede ocasionar, materialización de actos indebidos,

Faltas éticas en ODC, de los empleados y/o miembros de Junta Directiva o

1. La inadecuada definición, aprobación y divulgación de las políticas,

Faltas éticas en ODC, de los empleados y/o miembros de Junta Directiva o

1. La inadecuada definición, aprobación y divulgación de las políticas,

1. La inadecuada definición, aprobación y divulgación de las políticas,

Lo cual puede ocasionar, materialización de actos indebidos,

Fallas en el monitoreo independiente al sistema de control interno, debido

1. No contar con lineamientos y directrices claras del rol y función del

Lo que genera incumplimiento al estándar de monitoreo del Grupo

Fallas en el monitoreo independiente al sistema de control interno, debido

1. No contar con lineamientos y directrices claras del rol y función del

Lo que genera incumplimiento al estándar de monitoreo del Grupo

Inefectividad de los controles de reporte financiero debido a: errores en el

Incumplimiento en la gestión contractual de los contratistas de

Fallas en la estructuración y despliegue de la Gestión de Riesgos y

1. Debilidades en la definición de políticas, metodologías y/o

Limitando que la Compañía cuente con una adecuada gestión de riesgos y

Fallas en la estructuración y despliegue de la Gestión de Riesgos y

1. Debilidades en la definición de políticas, metodologías y/o

Limitando que la Compañía cuente con una adecuada gestión de riesgos y

Inadecuado monitoreo a la Gestión de Riesgos, debido a:

Accesos no autorizados a la información y/o servicios tecnológicos, debido

Accesos no autorizados a la información y/o servicios tecnológicos, debido

1. Aprobar la Matriz de segregación de funciones de los roles y responsabilidades y sus modificaciones.

Aprobar la Política de Seguridad de la Información y sus modificaciones. Esta debe incluir:

-Responsabilidades por la seguridad de la información ,

Pérdida de confidencialidad, integridad o disponibilidad de la información,

Cambios no autorizados de los sistemas de información, alteración no

Cambios no autorizados de los sistemas de información, alteración no

El ERP cuenta con 3 ambientes de procesamiento:

Accesos no autorizados a la información y/o servicios tecnológicos, debido

Accesos no autorizados a la información y/o servicios tecnológicos, debido

Acceso no autorizado/inapropiado a los equipos en el data center, evasión

Verificar los controles automáticos del sistema a través de los cuales:

Errores o manipulación del proceso en el proceso de emisión de facturas

Errores o manipulación del proceso en el proceso de emisión de facturas

Inadecuada gestión de activos fijos debido a errores en el registro de la

Inadecuada gestión de activos fijos debido a errores en el registro de la

Inadecuada gestión de activos fijos debido a errores en el registro de la

El Prestador de Servicio (Jefe de Contabilidad) aprueba la carga correspondiente.

Sub o sobrevaloración de la provisión de costos de abandono, debido a

Sub o sobrevaloración de la provisión de costos de abandono, debido a

Sub o sobrevaloración de la provisión de costos de abandono, debido a

Sobre o subestimación del deterioro de activos debido a falta de

Sobre o subestimación del deterioro de activos debido a falta de

Sobre o subestimación del deterioro de activos debido a falta de

Inadecuada aplicación de la normatividad contable, debido a inexistencia

Controles automáticos del Sistema SAP en el módulo FI a través de los cuales:

Inexactitud, falta de integridad o fraude de la información financiera

Inadecuado cálculo y registro de provisiones así como sobre o

Errores y/o información fraudulenta en la información financiera

Errores y/o información fraudulenta en la información financiera

Errores y/o información fraudulenta en la información financiera

Inoportuna e inadecuada presentación de las declaraciones tributarias

Errores en el cálculo de la depreciación y amortización debido a