Beruflich Dokumente
Kultur Dokumente
A (ODC)
1. Aprobar los Estatutos de Oleoducto de Colombia S.A. (ODC) y sus modificaciones, por parte de la Asamblea de Accionistas, en los que se
documentan los órganos de gobierno de la Compañía (Asamblea General de Accionistas, Junta Directiva y Gerencia General de ODC ), con sus
Errores o direccionamiento en el proceso de toma de decisiones y/o de funciones, atribuciones y responsabilidades.
aprobaciones en nombre de la Compañía, por debilidades en la asignación 2a. Aprobar por la Junta Directiva posterior a la revisión y validación por parte del Gerente General de ODC el "Manual de Autoridad y
Secretaría General de ODC/ Gerencia
GR&C E.1.1. Gobierno de Control E.1.1.1. de autoridad, inadecuada segregación de funciones, definición y N/A 5 Extremo N/A 4 Mayor D: Probable 5 Extremo D: Probable 5 D Alto E.1.1.1.1 Delegación-MAD" de Oleoducto de Colombia S.A. (ODC) que establece los niveles de aprobación y las delegaciones, para el desarrollo de sus x x x x x x x N/A 5 Extremo N/A 4 Mayor B: Raro 5B- Extremo- Raro 5-B- Intermedio.
General
aprobación de la estructura de gobierno, generando pérdidas de valor actividades.
(contingencias) y/o afectación reputacional. 2b.El MAD es divulgado a las Direcciones de los prestadores de servicios administrativos y operativos (CENIT / ECOPETROL) por correo
electrónico por parte de Secretaria General. En caso de requerir modificaciones la solicitud se eleva a la Secretaria General y la misma debe
ser aprobada por el nivel requerido.
Aprobar por la Junta directiva la adhesión a las siguientes políticas de la Casa Matriz y políticas corporativas de ODC:
Faltas éticas en ODC, de los empleados y/o miembros de Junta Directiva o
inadecuada toma decisiones, debido a:
1. Adhesión:
1.1. Código de Ética de Casa Matriz, que contiene un conjunto de declaraciones explícitas de comportamientos y disyuntivas éticas, además de
1. La inadecuada definición, aprobación y divulgación de las políticas,
los lineamientos de regalos, cortesías, atenciones y suscripción de patrocinios.
manuales y procedimientos en materia de: Delegación de autoridad,
1.2.El procedimiento de gestión de denuncias de la Casa Matriz, especificando las excepciones en las actividades a realizar para los casos que
Ética, Denuncias éticas, Cumplimiento y Buen Gobierno
no aplique por la estructura organizacional de ODC.
2. No promover actuaciones basadas en la integridad y los valores éticos.
1.3. El Manual de Cumplimiento del Prestador de Servicios administrativos, que establece las directrices y lineamientos generales para
3. Falta de capacitación en relación a los temas de ética, cumplimiento,
garantizar el cumplimiento de los mecanismos de identificación, prevención, detección, reporte, monitoreo y respuesta ante actos de
conflictos de interés y mecanismos para realizar denuncias éticas.
Secretaría General de ODC/ Gerencia corrupción, fraude, lavado de activos y/o financiación del terrorismo, que puedan presentarse en ODC, especificando las excepciones en las
GR&C E.1.1. Gobierno de Control E.1.1.2 4. Manejo inadecuado de las denuncias, consultas y dilemas de los N/A 5 Extremo N/A 5 Extremo D: Probable 5 Extremo D: Probable 5 D Alto E.1.1.2.1 x x x x x x x N/A 5 Extremo N/A 5 Extremo B:Raro 5B- Extremo- Raro 5-B- Intermedio.
General actividades a realizar en los casos que no aplique por la estructura organizacional de ODC.
interpuestos por los grupos de interés.
5. Conflictos de interés en los miembros de Junta Directiva que no hayan
2.Aprobación políticas de ODC:
sido avalados por asamblea de accionistas
2.1. el Manual para la Prevención del Lavado de Activos y la Financiación del Terrorismo y sus modificaciones que establece directrices y
lineamientos generales para la prevención del lavado de activos y la financiación del terrorismo LA/FT, aplicables a cada una de las contrapartes
Lo cual puede ocasionar, materialización de actos indebidos,
con las cuales Oleoducto de Colombia S.A, tiene vínculos de negocios, contractuales o jurídicos que involucren un factor de riesgo de LA/FT. El
incumplimiento o desconocimiento de los Estatutos y definiciones de la
Manual para la Prevención del Lavado de Activos y la Financiación del Terrorismo es administrado (mantenido, divulgado) por el Oficial de Ética
normativa interna, afectando el clima organizacional y la reputación y
y Cumplimiento de ODC.
eventualmente generando la pérdida de valor de la Compañía, entre
otros.
Divulgar los cambios en las políticas adheridas y propias de ODC a los empleados y prestadores de servicios por correo electrónico.
Falta de alineación entre la estrategia de Tecnología de la Información y la 1. Aprobar el plan estratégico para tecnología de la información y sus modificaciones , que esté alineado con las estrategias generales de la
de la Compañía, debido a no realizar un análisis de integración cuidadoso y entidad. Los objetivos del plan de TI incluyen la entrega de ambientes seguros y confiables para la preparación de informes financieros para uso
aplicable a las actividades del plan, información incompleta e inoportuna o externo de alta calidad y se consideran las necesidades de todas las áreas de la Compañía.
Secretaría General de ODC/ Gerencia
Información y Comunicación S 8.1.1 irregular, conflictos de interés o independencia (posible colusión), que N/A 4 Mayor N/A 3 Moderado C: Posible 4 Mayor C: Posible 4 C Intermedio S.8.1.1.1 X X X X N/A 4-Mayor N/A 3-Moderado B-Improbable 4B-Improbale 4B-MEDIO
General
puede ocasionar incumplimiento de los objetivos de negocio y de gobierno 1.a. El Plan estratégico es almacenado en Share Point de ODC y se divulga a los interesados vía correo electrónico.
de la compañía, pérdidas económicas y afectación de la percepción
interna frente a la gestión de TI. 2. Realizar seguimiento a la ejecución del Plan Estratégico en la reunión trimestral de la dirección de talento humano y administración.
Modificaciones y/o accesos no autorizados a las hojas de cálculo utilizadas
en el proceso de reporte financiero u hojas de cálculo sensibles para los
procesos de negocio, presentación o carga de información incorrecta en
1.Aprobar la guía de aseguramiento de Hojas de Cálculo y sus modificaciones que es almacenada en Share Point de ODC y se divulga a los
los sistemas de información, por desconocimiento de los lineamientos de
interesados.
aseguramiento de hojas de cálculo, errores en la aplicación de la Guía de
aseguramiento de hojas de cálculo, fallas en el control de acceso a las
2. Verificar que las hojas de cálculo cumplan con lo definido en la Guía de Aseguramiento de Hojas de Cálculo. En señal de revisión, el
Secretaría General de ODC/ Gerencia hojas de cálculo, almacenamiento en recursos compartidos sin o con faltas
Información y Comunicación S.8.1.2 N/A 5 Extremo N/A 5 Extremo C: Posible 5 Extremo C: Posible 5 C Intermedio S.8.1.1.2 Propietario del activo envía al área de Tecnología de la Información una certificación indicando que las hojas de cálculo cumplen con los X X X X X X X N/A 5-Catastrófico N/A 5-Catastrófico A:Raro 5A-Catastrófico-Raro 5A- INTERMEDIO
General de control de acceso, lectura y/o modificación, manipulación de las hojas
parámetros establecidos en la Guía.
de cálculo (producción, alteración o supresión deliberada de registros) y
falta de controles de modificación de las hojas de cálculo, que puede
Nota: El control es semestral siempre y cuando el inventario de hojas de cálculo no se ajuste. En caso de cambios y novedades, se reportará al
generar afectación a la razonabilidad de los Estados Financieros, pérdida o
área de TI.
mal uso de la información, inadecuada toma de decisiones, sanciones,
multas o pérdidas económicas.
2. Revisar si existen conflictos de segregación funcional de acuerdo con las reglas de segregación estándar para SAP, considerando la posible
Inadecuada concentración de funciones en los sistemas de información y/o existencia de:
servicios tecnológicos debido a falla en la gestión de conflictos de
Secretaría General de ODC/ Gerencia 6 Catastrófico D: 5B-Catastrófico-
Información y Comunicación S.8.1.4 segregación de funciones, que podrían generar fraude y/o perdida N/A 6 Catastrófico N/A 5 Extremo D: Probable 6 D Alto S.8.1.4.4 - Conflictos de segregación de funciones a nivel de roles. X X N/A 5-Catastrófico N/A 5-Catastrófico B-Improbable 5B- INTERMEDIO
General Probable Improbable
económica. - Conflictos de segregación de funciones a nivel de usuarios.
3. En los casos de conflictos identificados en la revisión, se realiza la identificación y validación de controles compensatorios existentes y
definición de las acciones a seguir para su corrección
1. Revisar el análisis de vulnerabilidades a nivel de infraestructura de tecnología de información que soporte aplicaciones de alcance SOX.
Ataques cibernéticos sobre la infraestructura tecnológica debido a
2. Definir las acciones correctivas para las vulnerabilidades catalogadas como Altas y Medias de acuerdo con el reporte generado por las
inadecuada identificación, clasificación y gestión de los riesgos y
GR&C S.2.1. Controles generales de Secretaría General de ODC/ Gerencia 6 Catastrófico D: herramientas de análisis de seguridad. Así mismo, debe realizarse seguimiento al plan de acciones. El procedimiento se realiza de la siguiente 5B-Catastrófico-
S.8.6.1 vulnerabilidades, falta de monitoreo, configuración no adecuada, que N/A 6 Catastrófico N/A 6 Catastrófico D: Probable 6 D Alto S.8.6.1.3 X X X X X X N/A 5-Catastrófico N/A 5-Catastrófico B-Improbable 5B-INTERMEDIO
TI General Probable forma: Improbable
puede llegar a generar perdida de confidencialidad e integridad de la
información, indisponibilidad de los servicios prestados por TI.
Se realiza análisis de vulnerabilidades al menos una vez al año por cada plataforma de infraestructura.
Se genera el plan de remediación para las vulnerabilidades identificadas y se realiza el seguimiento al plan de remediación trimestralmente.
Revisar por parte del Prestador de Servicios (Especialista en Soporte en la Operación) el monto a registrar por ingresos de operación portuaria
para TLU1 y TLU3 ya sea por provisión o legalización de la provisión, de acuerdo con el archivo en Excel enviado por el Profesional de Gestión y
Finanzas.
Para el caso de la provisión el Profesional de Gestión y Finanzas, realiza el cálculo tomando como base los archivos de servicios portuarios de
programación enviados por el área de operaciones del Prestador de Servicios (CENIT) y la tasa representativa de mercado publicada por el
Banco de La Republica de la fecha de la liquidación. En caso tal que la provisión presente una variación porcentual superior al 50% con relación
al mes anterior debe solicitar aprobación del Jefe Soporte de la Operación del Prestador de Servicios.
Sub o sobre estimación de ingresos involuntaria o fraudulenta debido a
Para el caso de la legalización de provisiones, el Profesional de Gestión y Finanzas, revisa la legalización de los ingresos de provisión, a través de
falta de oportunidad de la información, estimación inadecuada y falta de
GR&C N.1.1. Prestador de servicio (Gerencia de los documentos físicos enviados por Ecopetrol vs los archivos de servicios portuarios emitidos por programación y utilizadas para el registro de la
N.1.1.2 revisión de los servicios a facturar, generando registros contables erróneos N/A 3 Moderado N/A 2 Menor D: Probable 3 Moderado D: Probable 3 D Intermedio N.1.1.2.1 X X N/A 2 Menor N/A 2 Menor B: Raro 2 Menor B: Raro 2 B Bajo
Facturación Desarrollo Comercial) provisión; se validan las desviaciones (en caso de aplicar) y se envía correo electrónico a Ecopetrol con los valores ajustar, los cuales se reversan
y pérdida de la calidad y exactitud de la información contable.
en la legalización del mes posterior si estos no superan el 20%, si son montos superiores al porcentaje establecido, debe solicitar aprobación por
parte del Especialista en Soporte en la Operación y Jefe Soporte de la Operación.
El Especialista envía aprobación de la provisión y/o legalización por correo electrónico al Profesional de Gestión y Finanzas quién informa al área
contable el valor de la provisión, posteriormente el Profesional de Gestión y Finanzas evidencia que el registro contable ha sido realizado en la
contabilidad (pantalla de SAP con el registro de la provisión).
Revisar los valores pendientes por facturar al cierre del mes (calendario cierre contable) producto de las solicitudes de facturación no
atendidas, para consolidar las estimaciones por estos conceptos, que se reportan al área contable. El Coordinador de Gestión de Ingresos revisa
Sub o sobre estimación de ingresos involuntaria o fraudulenta debido a las estimaciones y en señal de aprobación, reenvía el correo electrónico al área de Contabilidad.
falta de oportunidad de la información, estimación inadecuada y falta de
GR&C N.1.1. Prestador de servicio (Gerencia de
N.1.1.2 revisión de los servicios a facturar, generando registros contables erróneos N/A 3 Moderado N/A 2 Menor D: Probable 3 Moderado D: Probable 3 D Intermedio N.1.1.2.2 En caso de aplicar ajustes a los valores a estimar, el Coordinador de Gestión de Ingresos notifica por medio de correo electrónico al Profesional X X N/A 2 Menor N/A 2 Menor B: Raro 2 Menor B: Raro 2 B Bajo
Facturación Desarrollo Comercial)
y pérdida de la calidad y exactitud de la información contable. de Gestión de Ingresos y Reportes, quién genera las modificaciones y/o ajustes para envío de la estimación al Coordinador de Gestión de
Ingresos.
Validar que las creaciones, bajas y traslados solicitados se registren correctamente en el sistema SAP, incluyendo los mantenimientos
capitalizables que han sido creados como activos en el módulo AM de SAP.
Inadecuada gestión de activos fijos debido a errores en el registro de la
El Prestador de Servicios (profesional de Data Maestra de Activos), envía correo electrónico al Prestador de Servicios (Coordinador de Activos
información en SAP en el momento de la creación, errores en la
Fijos), con el reporte mensual de datos maestros que es tomado del Sistema SAP, anexando los papeles de trabajo correspondientes a cada una
actualización de las novedades y capitalización de activos, información
de las novedades que contiene las verificaciones. El Prestador de Servicios (Coordinador de Activos Fijos), en señal de revisión envía correo
GR&C N.2.1. Prestador de Servicios (Gerencia desactualizada, alteración o falsedad en la información, falta de revisión y
N.2.1.1. N/A 4 Mayor N/A 3 Moderado E: Muy Probable 4 Mayor E: Muy Probable 4 E Alto N.2.1.1.1 electrónico al Prestador de Servicios (profesional de Data Maestra de Activos.) X X N/A 3 Moderado N/A 2 Menor C: Posible 3 Moderado C: Posible 3 C Medio
Gestión y Capitalización de Activos Finanzas) aprobación por el nivel requerido, fallas en el monitoreo de activos, lo cual
puede generar errores en los saldos de cuenta, pérdida o apropiación
De presentarse diferencias se envía correo electrónico al solicitante para su ajuste y comentarios por parte del profesional de data maestra de
inadecuada de activos y en la razonabilidad de los estados financieros.
activos con copia al Prestador de Servicios (Coordinador de Activos Fijos).
Validar el cumplimiento de la normatividad vigente en cuanto al reconocimiento del valor actual y vidas útiles de los activos fijos mediante la
contratación de un avaluador técnico especializado.
Para el caso del avalúo técnico, este se efectúa para información de seguros, cada 3 años.
Inadecuado reconocimiento de los activos debido a desconocimiento de la
norma, aplicación tardía del análisis de avalúos en activos, omisión y/o
Para el caso de las vidas útiles, se revisan las premisas de las vidas útiles aplicables a los activos de la compañía y se señalan los cambios en los
GR&C N.2.1. Prestador de Servicios (Gerencia registro contable equivoco y reconocimiento de gastos/costos como
N.2.1.2. N/A 3 Moderado N/A 2 Menor D: Probable 3 Moderado D: Probable 3 D Intermedio N.2.1.2.1 mismos si da lugar, y en señal de revisión por parte del El Prestador de Servicio (Coordinador de Activos Fijos) emite un memorando de análisis. X X N/A 2 Menor N/A 1 Leve B: Raro 2 Menor B: Raro 1 B Bajo
Gestión y Capitalización de Activos Finanzas) activos lo cual puede generar incumplimiento de la normatividad legal,
sobre o subvaloración de la utilidad y poca fiabilidad en los estados
Si se presentan cambios en las premisas de las vidas útiles, estos son enviados al área contable, quien a su vez realiza las actualizaciones a que
financieros.
hubiere lugar. Posteriormente se realiza el ajuste contable correspondiente (si aplica).
Revisar y aprobar la razonabilidad del cálculo de la provisión de abandono, sus respectivos inputs y su cumplimiento frente al requerimiento
Sub o sobrevaloración de la provisión de costos de abandono, debido a de la norma contable por medio una sesión de trabajo en donde participe el Gerente General de ODC / Gerente Senior de Finanzas/ Gerente
falta de integridad u omisión en la información reportada por las áreas de Operaciones Financieras /Experto en Gestión de Activos
involucradas y del total de los activos de la compañía, errores en las del prestador de servicios.
GR&C N.2.1. Prestador de Servicios (Gerencia actividades de los procedimientos del cálculo de costos de
N.2.1.3 N/A 4 Mayor N/A 3 Moderado E: Muy Probable 4 Mayor E: Muy Probable 4 E Alto N.2.1.3.3 X X N/A 3 Moderado N/A 2 Menor C: Posible 3 Moderado C: Posible 3 C Medio
Gestión y Capitalización de Activos Finanzas) desincorporación, error del cálculo de los valores razonables para el
registro de la provisión, falta de revisión por el nivel requerido, errores en En caso de identificar inconsistencias se realizarán los ajustes y se programará una nueva sesión de trabajo.
el registro del comprobante manual lo que puede generar inconsistencias
en las cifras de los Estados financieros.
Revisar y aprobar el reporte de las órdenes de trabajo correspondientes a mantenimientos a capitalizar en el mes y a transferir a activos en
Asignación errada de costos de órdenes de trabajo de mantenimiento,
curso de acuerdo a los criterios definidos bajo IFRS, el cual es enviado por el área de planeación de mantenimiento.
debido a:
Gerente Planeación y - Inadecuada clasificación de las actividades de mantenimiento
GR&C N.2.1. En caso de identificar diferencias, se remite nuevamente al área de planeación de mantenimiento para su justificación. 4B-,mayor-
Programación de N.2.1.4 (capitalizable o no capitalizable), conflicto de segregación de funciones, N/A 5-Catastrófico N/A 5-Catastrófico C: Posible 5C: Catastrófico- Posible 5C -ALTO N.2.1.4.1 x N/A 4-Mayor N/A 2-Menor B-Improbable 4B Medio
Gestión y Capitalización de Activos Improbable
Mantenimiento generando afectación a la confiabilidad, clasificación y razonabilidad en los
Posteriormente se envía a la Coordinación de Activos Fijos para su registro.
estados financieros de la compañía
Errores y/o información fraudulenta en la información financiera Revisar las variaciones de saldos de los reportes financieros (mensuales(1) y anual con corte a diciembre(2)), con el fin de identificar hechos
reportada y revelaciones, debido a una inadecuada revisión y análisis de económicos que no hayan quedado adecuadamente registrados.
GR&C S.1.1.Cierre Contable,
Prestador de Servicios (Gerencia las cifras contables, incumplimiento de las políticas y/o procedimientos y la Si aplica, el Prestador de Servicios (Jefe de Contabilidad), solicita explicaciones a las áreas por las variaciones inusuales que se presentan dentro
Preparación y Revelación de Estados S.1.1.5 N/A 3 Moderado N/A 4 Mayor C: Posible 4 Mayor B: Raro 4 B Medio S.1.1.5.1. X X N/A 2 Menor N/A 3 Moderado B: Raro 3 Moderado B Raro 3 B Medio
Finanzas) normativa aplicable y supeditaje gerencial, lo cual puede afectar la toma de los rubros de las cuentas, de ser necesario entre las partes construyen el análisis de las variaciones y/o se realizan los ajustes necesarios.
Financieros
de decisiones de los usuarios de la información y el correcto análisis de la
situación económica de la compañía
Revisar y aprobar la solicitud del ajuste/correcciones/errores posteriores al cierre, a fin de realizar los registros en el sistema SAP. Las
reaperturas realizadas después de haber reportado a Casa Matriz deben contar con la autorización del Prestador de Servicio (Gerente Senior
Finanzas) y Gerente General de ODC y son realizadas por el Prestador de Servicio (Jefe de Contabilidad).
Hecho el ajuste por el Prestador de Servicio( Outsourcing Contable), el Prestador de Servicio (Jefe de Contabilidad) valida en el sistema SAP, que
lo solicitado, haya sido realizado, tenga su soporte de registro y sea consistente con el análisis.
Registrar información no autorizada después de haber realizado el cierre
Posteriormente, el Prestador de Servicio (Gerente Senior Finanzas) y Gerente General verifica que los ajustes realizados correspondan a los
GR&C S.1.1.Cierre Contable, del módulo contable (FI) debido a falta de autorización del Gerente
Prestador de Servicios (Gerencia autorizados y envía por medio de correo electrónico su verificación al Prestador de Servicio (Jefe de Contabilidad).
Preparación y Revelación de Estados S.1.1.6 General, errores en el análisis, falta de soportes contables, lo cual puede N/A 3 Moderado N/A 4 Mayor C: Posible 4 Mayor C: Posible 4 C Intermedio S.1.1.6.1. X X N/A 2 Menor N/A 3 Moderado B: Raro 3 Moderado B: Raro 3 B Medio
Finanzas)
Financieros generar afectación al corte, presentación, razonabilidad y confiabilidad de
En caso de encontrar inconsistencias y/o diferencias, el Jefe de Contabilidad y/o el Gerente Senior de Finanzas envía correo electrónico
los Estados Financieros de la Compañía.
solicitando justificaciones o ajustes (si aplica).
Nota: El perfil del usuario del Jefe Contabilidad es el único que tiene la posibilidad abrir periodos cerrados y SAP no permite el registro de
transacciones en periodos cerrados.
Revisar y aprobar conciliaciones mensuales del balance, incluyendo las operaciones reciprocas, de acuerdo a la información enviada por el
prestador de servicios(outsourcing) donde se realiza el cruce de los saldos.
Falta de integridad, valuación, validez y razonabilidad de la información
GR&C S.1.1.Cierre Contable, Todas las partidas conciliatorias se identifican en el mes siguiente, se investigan y aclaran oportunamente y de ser necesario, se realizan
Prestador de Servicios (Gerencia financiera debido errores en registros contables manuales, errores en las
Preparación y Revelación de Estados S.1.1.7 N/A 3 Moderado N/A 2 Menor C: Posible 3 Moderado C: Posible 3 C Medio S.1.1.7.1. registros contables correspondientes. X X N/A 2 Menor N/A 2 Menor B: Raro 2 Menor B: Raro 2B Bajo
Finanzas) interfaces registradas, lo cual puede ocasionar errores en los Estados
Financieros
Financieros y/o información fraudulenta.
Validar que los totales del patrimonio incluida la utilidad del ejercicio cargada en hyperion correspondan al cierre contable del periodo de
acuerdo a la información cargada por el prestador de servicios(outsourcing) , por medio de la pantalla de reporte de Hyperion que valida los
saldos contra el balance.
Errores y/o información fraudulenta en la información financiera En caso de ajustes o diferencias se envía correo electrónico al Outsourcing para ajustar o corregir o justificar.
reportada y revelaciones, debido a una inadecuada revisión y análisis de Para los cambios posteriores al cierre contable, el Prestador de Servicios (Jefe de Contabilidad) envía correo electrónico a Casa Matriz con los
GR&C S.1.1.Cierre Contable,
Prestador de Servicios (Gerencia las cifras contables, incumplimiento de las políticas y/o procedimientos y la ajustes para efectos de consolidación y cargue en Hyperión.
Preparación y Revelación de Estados S.1.1.5 N/A 3 Moderado N/A 4 Mayor C: Posible 4 Mayor B: Raro 4 B Medio S.1.1.5.6. X X N/A 2 Menor N/A 3 Moderado B: Raro 3 Moderado B Raro 3 B Medio
Finanzas) normativa aplicable y supeditaje gerencial, lo cual puede afectar la toma
Financieros
de decisiones de los usuarios de la información y el correcto análisis de la 2. Revisión de la conciliación de las cifras SAP frente al reporte de Hyperion ( día 15 posterior al cierre) o cuando ocurra ajuste posterior al
situación económica de la compañía cierre . En caso de encontrar diferencias, el Prestador de Servicios (Jefe de Contabilidad) envía correo electrónico a Casa Matriz para su gestión
y respuesta. ( si aplica ajustes posteriores al cierre).
Nota: Una vez cargadas las cifras de los EEFF en Hyperion no se permite realizar ajuste en la aplicación por parte de Cenit.
Analizar el patrimonio fiscal base para el cálculo del impuesto a la riqueza, por medio de los anexos de la declaración de renta con el que se
Inoportuna e inadecuada presentación de las declaraciones tributarias elabora la hoja de trabajo para su respectivo cálculo.
incluyendo fraude en la información declarada debido a falta de revisión y
GR&C S.1.3 Determinación de aplicación de los cambios tributarios, falta de revisión y aprobación de las El Prestador de Servicios (Jefe Tributario) aprueba el cálculo del impuesto a la riqueza para su posterior registro en el sistema SAP.
Prestador de Servicios (Gerencia
Impuestos Nacionales y Municipales S.1.3.1. declaraciones por el nivel requerido, supeditaje gerencial, pago tardío y/o N/A 3 Moderado N/A 4 Mayor D: Probable 4 Mayor D: Probable 4 D Intermedio S.1.3.1.1 X X X N/A 2 Menor N/A 2 Menor C: Posible 2 Menor C: Posible 2 C Medio
Finanzas)
inadecuada planeación de los plazos establecidos de presentación y pago En caso de encontrar inconsistencias o errores en la depuración y cálculo del impuesto a la riqueza, se realiza el respectivo ajuste.
lo cual puede generar sanciones y/o intereses por mora y afectación
reputacional.
Aprobar las declaraciones tributarias, mediante la revisión de las hojas de trabajo (archivos en Excel), análisis de variaciones, anexos de cada
una de las declaraciones físicos o magnéticos, así:
Mensual: Retención en la Fuente, Autorretención y retención de ICA (en los municipios que aplique)
Inoportuna e inadecuada presentación de las declaraciones tributarias
Bimestral: Declaración de IVA, Autorretención y retención de ICA (en los municipios que aplique), Declaración de ICA y Retenciones de ICA en
incluyendo fraude en la información declarada debido a falta de revisión y
Bogotá.
GR&C S.1.3 Determinación de aplicación de los cambios tributarios, falta de revisión y aprobación de las
Prestador de Servicios (Gerencia Anual: Declaración de Renta, declaración de ICA anuales, declaración de activos en el exterior, declaración de precios de transferencia e
Impuestos Nacionales y Municipales S.1.3.1. declaraciones por el nivel requerido, supeditaje gerencial, pago tardío y/o N/A 3 Moderado N/A 4 Mayor D: Probable 4 Mayor D: Probable 4 D Intermedio S.1.3.1.2 X X X N/A 2 Menor N/A 2 Menor C: Posible 2 Menor C: Posible 2 C Medio
Finanzas) Impuesto a la riqueza.
inadecuada planeación de los plazos establecidos de presentación y pago
lo cual puede generar sanciones y/o intereses por mora y afectación
En caso de encontrar inconsistencias, el Prestador de Servicio(Jefe Tributario/Especialista Tributario y Aduanero) envía correo electrónico al
reputacional.
Prestador de Servicio (outsourcing), solicitando ajuste o modificación.
Posteriormente, son firmadas por el Gerente General de ODC en señal de aprobación de las declaraciones tributarias.
Aprobar el cálculo del Impuesto diferido y verificación del registro en el sistema SAP, por medio de la validación de la tasa proyectada, en
periodos intermedios que es realizada de manera trimestral y aplicable mensualmente a la utilidad del periodo.
Inadecuado cálculo del impuesto diferido y renta, debido a: Información La hoja de trabajo del cálculo de la tasa proyectada, contiene las proyecciones de Estados Financieros entregada a través de correo electrónico
base para el cálculo del impuesto diferido sea errónea o fraudulenta, enviado por el Prestador de Servicios (Gerente de Planeación y Control de Gestión) para periodos trimestrales y las depreciaciones proyectadas
GR&C S.1.3 Determinación de
Prestador de Servicios (Gerencia errores en el cálculo de la provisión de renta e impuesto diferido, entregada por el Outsourcing a través de correo electrónico.
Impuestos Nacionales y Municipales S.1.3.2. N/A 3 Moderado N/A 2 Menor D: Probable 3 Moderado D: Probable 3 D Intermedio S.1.3.2.1. X X N/A 2 Menor N/A 2 Menor C: Posible 2 Menor C: Posible 2 C Medio
Finanzas) supeditaje gerencial lo que puede generar afectación reputacional y/o
sanciones, estados financieros y revelaciones erróneos, sobrestimación o En caso de ajustes o modificaciones al cálculo del impuesto diferido, el Prestador de Servicios (Jefe de Impuestos/Especialista Tributario y
subestimación de la utilidad a distribuir. Aduanero) envía correo electrónico con la solicitud de cambios (si aplica).
Para el cierre anual o cierre de propósitos específicos, el cálculo del impuestos diferido se realiza sobre las diferencias temporarias reales entre
libro contable y fiscal generado del sistema SAP.
Aprobar el cálculo del impuesto de Renta para su posterior registro en el sistema SAP, por medio de la validación de la tasa proyectada en
periodos intermedios, que es realizada por el Prestador de Servicios (Outsourcing) de manera trimestral y que es aplicable mensualmente a la
utilidad del periodo.
La hoja de trabajo Excel del cálculo de la tasa efectiva de tributación enviada por medio de correo electrónico contiene las proyecciones de
Estados Financieros entregada por el Prestador de Servicios (Gerente de Planeación y Control de Gestión) para periodos trimestrales y las
Inadecuado cálculo del impuesto diferido y renta, debido a: Información
depreciaciones proyectadas entregada por el Prestador de Servicios(Outsourcing) a través de correo electrónico.
base para el cálculo del impuesto diferido sea errónea o fraudulenta,
GR&C S.1.3 Determinación de
Prestador de Servicios (Gerencia errores en el cálculo de la provisión de renta e impuesto diferido,
Impuestos Nacionales y Municipales S.1.3.2. N/A 3 Moderado N/A 2 Menor D: Probable 3 Moderado D: Probable 3 D Intermedio S.1.3.2.2. El cálculo contiene el análisis de las cuentas de ingresos, costos y gastos con el fin de determinar los conceptos de ingresos gravados y no X N/A 2 Menor N/A 2 Menor C: Posible 2 Menor C: Posible 2 C Medio
Finanzas) supeditaje gerencial lo que puede generar afectación reputacional y/o
gravados, los costos y gastos deducibles o no deducibles en el impuesto sobre la renta.
sanciones, estados financieros y revelaciones erróneos, sobrestimación o
subestimación de la utilidad a distribuir.
En caso de ajustes o modificaciones al cálculo de los impuestos, el Prestador de Servicios (Jefe de Impuestos/Especialista Tributario y Aduanero)
envía correo electrónico al outsourcing con la solicitud de cambios.
Para el cierre anual o cierre de propósitos específicos, el cálculo del impuestos se realiza sobre bases reales, esto es, ingresos, costos y gastos
arrojados del sistema SAP. Posteriormente, se realiza la depuración de ingresos gravados y no gravados y de costos/gastos deducibles y no
deducibles dejando la captura de pantalla de SAP del registro en la hoja de trabajo Excel.
El sistema SAP cuenta con una configuración para que cada vez que la entidad adquiera un activo, este se asocie a una cuenta en el GL (General
Líder/ Libro Mayor) para su posterior depreciación de manera automática, teniendo en cuenta los parámetros establecidos para la
depreciación de activos definidos por la organización.
Errores en la clasificación de las cuentas de depreciación y amortización
debido a inadecuada asociación de los activos a las cuentas Anualmente, el prestador de servicios ( data maestra) valida esta configuración haciendo prueba dejando como evidencia las pantallas de esta.
GR&C S.1.4. Cálculo DD&A Prestador de Servicios (Gerencia
S.1.4.1. parametrizadas en el sistema SAP para el cálculo y fallas o alteraciones al N/A 3 Moderado N/A 4 Mayor C: Posible 4 Mayor C: Posible 4 C Intermedio S.1.4.1.1. Posteriormente envía correo al prestador de servicios (Jefe de contabilidad) con la información para su visto bueno. X N/A 2 Menor N/A 2 Menor B: Raro 2 Menor B: Raro 2B Bajo
Finanzas)
ejecutar el proceso de liquidación, lo que puede generar reprocesos y/o
información contable incorrecta. Nota: La periodicidad de este control es anual siempre y cuando no se hayan presentado cambios en la configuración.
En caso de encontrar irregularidades en la configuración, el Prestador de Servicios (Jefe de Contabilidad) debe enviar un correo al Prestador de
Servicio (Jefe de TI) informando la situación.
Revisar la prueba del cálculo de la depreciación de los activos de Oleoducto de Colombia S.A., mediante la validación de los datos de la
depreciación del mes frente a los valores registrados en la contabilidad de acuerdo a la prueba del cálculo realizada por el Outsourcing Contable
Errores en el cálculo de la depreciación y amortización debido a
Analista y que es enviada por correo electrónico al Outsourcing Contable Supervisor.
desconocimiento de la política de depreciación por el responsable errores
manuales, manipulación y/o alteración de la información y falta de
En señal de revisión de la prueba del cálculo, el Prestador de Servicios (Outsourcing - Supervisor de Activos Fijos) envía correo electrónico al
GR&C S.1.4. Cálculo DD&A Prestador de Servicios (Gerencia revisión del cálculo depreciación y amortización generando inconsistencias
S.1.4.2. N/A 3 Moderado N/A 4 Mayor C: Posible 4 Mayor C: Posible 4 C Intermedio S.1.4.2.1. Prestador de Servicios (analista de activos fijos); X N/A 2 Menor N/A 2 Menor B: Raro 2 Menor B: Raro 2B Bajo
Finanzas) en los saldos contables y por ende en los estados financieros y reportes
emitidos por la Compañía.
En caso de encontrar inconsistencias y diferencias en las pruebas del cálculo de la depreciación de los activos, el Prestador de Servicios
(Supervisor de Activos Fijos) envía correo electrónico al Outsourcing Contable Analista para su ajuste. (si aplica)
Posteriormente se ejecuta el proceso de depreciación del mes.
Revisar el proceso de gestión de cobranza y provisión de cartera (si aplica) para todos los clientes que presentan cartera vencida por medio del
seguimiento (llamada telefónica o correo electrónico) consignado en la hoja de cálculo; El Prestador de Servicios (Especialista de Liquidez,
Inadecuada gestión de las cuentas por cobrar, reconocimiento incorrecto
Deuda y Seguros) calcula la provisión de cartera de acuerdo a la guía de provisión de cartera del Prestador de Servicios. El cálculo es revisado
de los recaudos y registro de pagos ficticios debido a gestión de cobro
por el Prestador de Servicios (Jefe de Tesorería)
inoportuno, errores manuales, manipulación y/o alteración de la
GR&C S.1.5 Cuentas por Cobrar Prestador de Servicios (Gerencia información, cobros por montos superiores, autorización de ajustes
S.1.5.1. N/A 4 Mayor N/A 4 Mayor D: Probable 4 Mayor D: Probable 4 D Intermedio S.1.5.1.2. En el caso que aplique la provisión, el Prestador de Servicios (Jefe de Tesorería) envía correo electrónico al Prestador de Servicios (Jefe de X X N/A 2 Menor N/A 2 Menor B: Raro 2 Menor B: Raro 2B Bajo
Finanzas) incorrectos en la verificación de los intereses por mora y/o aplicación
Contabilidad) para el registro y posteriormente confirma el valor de la provisión al Prestador de Servicios (Jefe de Tesorería) por medio de
errónea de los recaudos y/o a clientes incorrectos de forma deliberada
correo electrónico; posteriormente el Prestador de Servicios (Gerente senior de Finanzas) solicita autorización al Gerente General ODC por
generando pérdidas económicas, fraude, reportes de cartera alterados
correo electrónico.
y/o afectación a los Estados Financieros de la Compañía.
Aprobación de la creación de usuarios para preparador, aprobador 1 y aprobador 2 en los portales de los bancos por medio de la solicitud al
Realizar pagos errados, fraudulentos (robo) o no autorizados debido a que
Gerente General de la creación del nuevo aprobador quién por medio de correo electrónico aprueba la solicitud.
son ejecutados por personal no autorizado, inadecuada segregación de
GR&C S.1.2. Prestador de Servicios (Gerencia funciones o cargue de gastos que no estén autorizados, fraccionamiento
S.1.2.1. N/A 4 Mayor N/A 3 Moderado E: Muy Probable 4 Mayor E: Muy Probable 4 E Alto S.1.2.1.1. Posteriormente y cada vez que se requiera la creación, modificación o eliminación de perfiles en el canal de pago, el control será ejecutado por X X X X X X X N/A 2 Menor N/A 2 Menor B: Raro 2 Menor B: Raro 2 B Bajo
Manejo de Caja y Bancos Finanzas) de pagos, ausencia en la verificación de los ajustes realizados y solicitados
el súper usuario (prestador de servicios) con aprobación del Prestador de Servicios (Gerente Financiero) mediante correo electrónico otorgando
por el autorizador y generando pérdidas económicas y afectación al
la aprobación de creación y/o modificación.
cumplimiento de las obligaciones.
S.7.5.2.3 Verificar que el sistema SAP esté configurado para que al registrar facturas se exija el ingreso de los siguientes campos obligatorios:
- Fecha de la factura
- Código de proveedor o NIT
- Número de factura recibida (referencia)
Incumplimiento de los requisitos establecidos en el Estatuto Tributario o - Valor
por la Compañía debido a la recepción de facturas que no cumplan con - Texto cabecera (usuario que desbloquea la factura para que se pueda generar el pago.)
Cuentas por Pagar Gerencia Operaciones S 7.5.2 N/A 5-Catastrófico N/A 5-Catastrófico D: Probable 5D-Catastrófico-Probable 5D-ALTO S.7.5.2.3. X N/A 3-Moderado N/A 4-Mayor C: Posible 4C:Mayor-Posible 4C-INTERMEDIO
dichos requisitos, generando reprocesos y correcciones en las - Cuenta contable (e indicador de IVA si la cuenta es relevante para impuestos)
declaraciones tributarias. - Objeto de costos (PEP, grafo, orden de costos)
Anualmente, el Jefe de Contabilidad valida esta configuración de acuerdo a la revisión efectuada por el Outsourcing que es enviada por correo
electrónico donde se evidencian las pantallas de verificación.
Verificar las hojas de entrada de servicio sin match en el sistema (registros de recepción de los cuales no se ha recibido factura por parte del
proveedor), con el fin de provisionar todos los bienes y servicios recibidos y no facturados por el proveedor.
Subvalorar o sobrevalorar los pasivos de la Compañía debido al registro
El registro de la provisión se realiza a través de un proceso automático del sistema. Se envía correo al Jefe de Contabilidad y a los
Cuentas por Pagar Gerencia Operaciones S 7.5.3 inadecuado o inoportuno de hechos económicos,, afectando la N/A 5-Catastrófico N/A 5-Catastrófico D: Probable 5D-Catastrófico-Probable 5D-ALTO S.7.5.3.4 X X N/A 3-Moderado N/A 4-Mayor C: Posible 4C:Mayor-Posible 4C-INTERMEDIO
administradores de contrato con los comentarios respectivos.
razonabilidad del saldo de la cuenta en los estados financieros.
1. El sistema SAP realiza el proceso de validación de "Three Way Match" (coincidencia en factura, pedido y recibo). La relación establecida
entre estos documentos garantiza la trazabilidad de la solicitud y la correcta aprobación en cada etapa para las compras realizadas.
Inadecuados registros de cuentas por pagar debido a solicitudes
incorrectas o no autorizadas, fallas en el proceso de revisión, registrar 2. El sistema SAP no permite registrar dos veces el mismo número de factura para el mismo proveedor, evitando así la duplicidad de pagos.
inadecuadamente anticipos de proveedores, legalizaciones de gastos
Cuentas por Pagar Gerencia Operaciones S 7.5.1 N/A 5-Catastrófico N/A 5-Catastrófico D: Probable 5D-Catastrófico-Probable 5D-ALTO S.7.5.1.5 X X N/A 3-Moderado N/A 3-Moderado- C: Posible 3C-Moderado-Posible 3C-MEDIO
inconsistentes y/o por fraude interno, lo cual puede generar pérdida 3. El sistema SAP cuenta con un recordatorio de los anticipos pendientes de aplicar al proveedor.
económica reprocesos y no razonabilidad en los estados financieros.
Anualmente, el Jefe de Contabilidad valida el funcionamiento de los controles automáticos en referencia de acuerdo a la información facilitada
por el Outsourcing y envía correo electrónico con el visto bueno.
En caso de encontrar inconsistencias, el Jefe de Contabilidad envía correo electrónico al área de TI informando irregularidades en el
funcionamiento de dicha parametrización.
Validar la adecuada aplicación de anticipos y garantías por medio la revisión de formato para autorización de pago a proveedores frente al
Inadecuados registros de cuentas por pagar debido a solicitudes
registro en el sistema SAP.
incorrectas o no autorizadas, fallas en el proceso de revisión, registrar
inadecuadamente anticipos de proveedores, legalizaciones de gastos
Cuentas por Pagar Gerencia Operaciones S 7.5.1 N/A 5-Catastrófico N/A 5-Catastrófico D: Probable 5D-Catastrófico-Probable 5D-ALTO S.7.5.1.6 En caso de diferencias en la aplicación de anticipos se envía correo electrónico al administrador de contrato o gestor para su revisión. X X N/A 3-Moderado N/A 3-Moderado- C: Posible 3C-Moderado-Posible 3C-MEDIO
inconsistentes y/o por fraude interno, lo cual puede generar pérdida
económica reprocesos y no razonabilidad en los estados financieros.
Verificar que el presupuesto cargado en el sistema SAP corresponda con la versión final aprobada por la Junta Directiva.
Inadecuada planeación financiera debido a: falta de definición de
lineamientos para la elaboración del presupuesto de la Compañía, falta de En caso de requerir algún ajuste, estos son aprobados de acuerdo al Manual Delegación de Autoridad (ODC) y posteriormente son cargados por
Gerente de Planeación y Control de
definición de un calendario de actividades, errores por parte de las áreas el prestador de Servicios ( Experto en Proyecciones Financieras) , quién envía correo electrónico con el ajuste o modificación y se verifica
Gestión Presupuestal Gestión D.1.3.1 N/A 5-Catastrófico N/A N/A C: Posible 5C-Catastrófico-Posible 5C-ALTO D.1.3.1.3 X X N/A 1-Leve N/A N/A B: Improbable 1B-Leve-Improbable 1B - BAJO
en las planillas presupuestales, lo cual puede generar toma de decisiones nuevamente el cargue del presupuesto en el sistema SAP.
inadecuada, desalineación de los objetivos de la compañía, pérdidas
económicas.
Incumplimiento al presupuesto programado, debido a falta de ejecución Monitorear las variaciones del presupuesto ejecutado vs lo planeado a fin de identificar variaciones significativas que impacten el desempeño
Gerente de Planeación y Control de presupuestal o exceso de ejecución presupuestal, generando pérdidas de financiero futuro de la Compañía
Gestión Presupuestal Gestión D.1.3.3 recursos y excesos frente a lo presupuestado. N/A 5-Catastrófico N/A N/A C: Posible 5C-Catastrófico-Posible 5C-ALTO D.1.3.1.4 X X N/A 1-Leve N/A N/A B: Improbable 1B-Leve-Improbable 1B - BAJO
En caso de identificar desviaciones o alertas, se generarán los planes de acción correspondientes para su seguimiento
a. El sistema SAP No permite efectuar entradas de mercancía por cantidades superiores a las pactadas en cada posición del pedido de
Eventos de fraude, corrupción, lavado de dinero y financiación del
compras. (Esto no impide el ingreso parcial de cantidades inferiores a las pactadas en el pedido).
terrorismo en el proceso de gestión logística, debido a: * recibir o
autorizar pagos de bienes y/o servicios que no cumplan con las condiciones
b. SAP no permite efectuar una entrada de mercancía si no se cuenta con una orden de pedido liberada, a excepción de los ingresos por ajuste
pactadas o que no se hubieren recibido, * fallas en la parametrización del
Gestionar Logística Gerente Compras e Inventarios S.AB.050.020.8: N/A 6- Catastrófico N/A 4- Mayor E: Muy Probable 4E- Mayor Muy Probable 9 Alto S.AB.050.020.2.28 de inventario. X X X X X X N/A N/A N/A 2- Menor B: Raro 2B - Menor Raro 30 Bajo
sistema, *pérdida o hurto de materiales, activos o residuos, * sub o
sobrevaloración de los inventarios de materiales; lo cual puede ocasionar
c. Al momento de registrar la entrada de mercancía SAP genera automáticamente el pasivo estimado.
afectación a la reputación, inclusión en listas restrictivas o de control,
vinculación en procesos legales, pérdidas económicas y de competitividad.
d. El sistema no permite una salida de materiales si no existe una reserva liberada a excepción de las salidas por ajuste de inventario.
Anualmente, el Prestador de Servicios) área de inventarios valida esta configuración donde se evidencian las pantallas de verificación.
Monitorear el adecuado cumplimiento del proceso de registro de ingresos y salidas de materiales realizados por el operador logístico, mediante
Sobre o subestimación de inventarios de la compañía, debido a: *
las visitas mensuales a las bodegas de acuerdo al cronograma de visitas del año.
inadecuado o inoportuno registro de los movimientos de inventario
(entradas, salidas y traslados), * inadecuado proceso de revisión y conteo
La revisión se realiza por medio de una muestra aleatoria en el que se valida el material recibido (cuando se encuentra aún en bodega),
de materiales una vez se genera una entrada y salida de los mismos, * no
6E- Catastrófico Muy chequeo del material (cuando se encuentra aun en bodega), orden de compra, remisión del proveedor, etc., frente a las fechas registradas en
Gestionar Logística Gerente Compras e Inventarios S.AB.050.020.9 contar con las aprobaciones adecuadas para realizar dichos movimientos, N/A 6- Catastrófico N/A N/A E: Muy Probable 9 Alto S.AB.050.020.3.29 X X N/A 3- Moderado N/A N/A B: Raro 3B - Moderado Raro 25 Medio
Probable el sistema SAP. En señal de verificación, se deja un acta con los temas de la visita.
* no contar con los soportes adecuados sobre los movimientos, *
movimientos ficticios registrados y * movimientos pendientes de registrar
En caso de encontrar desviaciones se generaran planes de acción para cerrar las brechas y se realiza el respectivo seguimiento.
con antigüedad; generando: interrupciones en la operación, pérdidas
económicas, reprocesos y daños reputacionales para la Organización.
Realizar tomas físicas mensuales de inventario considerando la metodología ABC. Para ello se selecciona una muestra aleatoria de materiales,
teniendo en cuenta aquellos materiales de mayor valor y que cuenten con alto índice de rotación y se verifica que las existencias registradas en
el sistema de información corresponda con las existencias físicas en la bodega y con base en el cronograma de viajes a las bodegas.
Sobre o subestimación del valor de inventarios, debido a la inadecuada o
Al finalizar el año, debe haberse cubierto la totalidad del inventario existente del total de las bodegas
inoportuna realización de conteos periódicos y anuales, inadecuada o no
6C Catastrófico 2A - Menor
Gestionar Logística Gerente Compras e Inventarios S.AB.050.020.9 autorizada o fraudulenta realización de ajustes de inventarios generando N/A 6- Catastrófico N/A N/A C: Posible 6 Alto S.AB.050.030.3.30 X X N/A 2- Menor N/A N/A A: Improbable 34 Bajo
Moderado - Posible Las diferencias físicas son revisadas y ajustadas. El ajuste es aprobado por el nivel correspondiente de acuerdo con el MAD. Improbable
información contable errada, interrupciones en la operación, pérdidas
económicas, sobrecostos y daños reputacionales para la Organización.
El operador logístico debe soportar la diferencia. Cuando no hay soporte:
1. Se genera una reposición o
2. Se genera un menor valor de la factura a pagar al OL.
Cenit realiza el ajuste en el sistema (Logística realiza el ajuste en el sistema SAP).
Realizar la toma física anual de inventario al 100% de los materiales registrados en el sistema de información. Verificando que las existencias
registradas en el sistema de información correspondan a las existencias físicas en la bodega.
La información sobre los inventarios y las diferencias identificadas quedan registradas en el sistema de información SAP.
Sobre o subestimación del valor de inventarios, debido a la inadecuada o
Las diferencias físicas son revisadas y ajustadas por el nivel adecuado de acuerdo con el MAD.
inoportuna realización de conteos periódicos y anuales, inadecuada o no
6C Catastrófico 2A - Menor
Gestionar Logística Gerente Compras e Inventarios S.AB.050.020.9 autorizada o fraudulenta realización de ajustes de inventarios generando N/A 6- Catastrófico N/A N/A C: Posible 6 Alto S.AB.050.030.3.31 X X N/A 2- Menor N/A N/A A: Improbable 34 Bajo
Moderado - Posible El operador logístico debe soportar la diferencia. Cuando no hay soporte: Improbable
información contable errada, interrupciones en la operación, pérdidas
1. Se genera una reposición o
económicas, sobrecostos y daños reputacionales para la Organización.
2. Se genera un menor valor de la factura
Cenit realiza el ajuste en el sistema (Logística realiza el ajuste en el sistema SAP).
Adicionalmente, un tercero independiente al Operador Logístico y Cenit ejecuta el inventario anual para garantizar la independencia y
cumplimiento del proceso de toma física.
Revisar y aprobar el calculo del valor de la provisión de deterioro de los inventarios de materiales de gastos y proyectos, revisando que las cifras
y los cálculos estén adecuadamente soportados y acorde a los índices de rotación, saldo o existencias en bodegas.
Incorrecta o fraudulenta valoración de la provisión de deterioro de
El cálculo incluye un análisis de la rotación de inventarios mediante el cual se identifican los inventarios de lento o nulo movimiento.
inventarios, debido a errores en la base de información usada para su
6C Catastrófico 3A - Moderado
Gestionar Logística Gerente Compras e Inventarios S.AB.050.020.10 calculo, inexistencia o incumplimiento de la políticas y procedimientos N/A 6- Catastrófico N/A N/A C: Posible 6 Alto S.AB.050.040.4.32 X N/A 3- Moderado N/A N/A A: Improbable 32 Bajo
Moderado - Posible Posteriormente esta información es enviada por el área Logística e Inventarios a la Gerencia de Mantenimiento y Gerencia de Proyectos para Improbable
definidos y fallas en la revisión del cálculo que genere errores en el reporte
su revisión técnica.
financiero y afectación a la utilidad reportada.
Una vez el área técnica da su concepto sobre cuales son los materiales a ser provisionados, Logística e Inventarios realiza los cálculos
pertinentes y comunica al área contable para su verificación y registro.
Responsable del
Responsable
Proceso Dirección Gerencia Tipo de Deficiencia Código de control Control GAP Acción (es) de Mejora Fechas Plan de Acción Seguimiento Seguimiento Observaciones
(Cargo)
(Dueño del proceso)
Aprobar por la Junta directiva la adhesión a las siguientes políticas de la Casa Matriz y políticas corporativas de ODC:
1. Adhesión:
1.1. Código de Ética de Casa Matriz, que contiene un conjunto de declaraciones explícitas de comportamientos y disyuntivas éticas, además de los
lineamientos de regalos, cortesías, atenciones y suscripción de patrocinios. Falta de un procedimiento para la gestión de denuncias o la aprobación de la adherencia al documento definido Aprobar por parte de la Junta Directiva la adherencia a los siguientes documentos normativos:
1.2.El procedimiento de gestión de denuncias de la Casa Matriz, especificando las excepciones en las actividades a realizar para los casos que no aplique por por la Casa Matriz para el tratamiento de los casos éticos.
la estructura organizacional de ODC. 1.El procedimiento de gestión de denuncias de la Casa Matriz, especificando las excepciones en las actividades
1.3. El Manual de Cumplimiento del Prestador de Servicios administrativos, que establece las directrices y lineamientos generales para garantizar el Falta de directrices formales para la gestión del programa de cumplimiento de ODC o la aprobación de la a realizar para los casos que no aplique por la estructura organizacional de ODC.
cumplimiento de los mecanismos de identificación, prevención, detección, reporte, monitoreo y respuesta ante actos de corrupción, fraude, lavado de adherencia al Manual de Cumplimiento del prestador de servicio o casa matriz. 2. El Manual de Cumplimiento del Prestador de Servicios , especificando las excepciones en las actividades a
Secretaría General de ODC/ Gerencia
SIR&CO E.1.1. Gobierno de Control Secretaría General de ODC/ Gerencia General Control - Alto E.1.1.2.1 activos y/o financiación del terrorismo, que puedan presentarse en ODC, especificando las excepciones en las actividades a realizar en los casos que no realizar en los casos que no aplique por la estructura organizacional de ODC. Gerencia General ODC 01/08/2017 31/12/2017
General
aplique por la estructura organizacional de ODC. Falta de un documento normativo (Código de Buen Gobierno o en su lugar Reglamento de Junta Directiva) en
donde se establezcan las responsabilidades de supervisión del sistema de control interno por parte de la Junta Diseñar y someter aprobación un reglamento de la Junta Directiva en donde se definan las responsabilidades
2.Aprobación políticas de ODC: Directiva o sus comités, así como los lineamientos para la designación de miembros competentes e de supervisión en relación con el sistema de control interno de ODC, así como los lineamientos para la
2.1. el Manual para la Prevención del Lavado de Activos y la Financiación del Terrorismo y sus modificaciones que establece directrices y lineamientos independientes y las actividades diseñadas para evaluar la gestión de supervisión por parte de la Junta designación de miembros competentes e independientes y las actividades diseñadas para evaluar la gestión de
generales para la prevención del lavado de activos y la financiación del terrorismo LA/FT, aplicables a cada una de las contrapartes con las cuales Oleoducto Directiva. supervisión por parte de la Junta Directiva.
de Colombia S.A, tiene vínculos de negocios, contractuales o jurídicos que involucren un factor de riesgo de LA/FT. El Manual para la Prevención del Lavado
de Activos y la Financiación del Terrorismo es administrado (mantenido, divulgado) por el Oficial de Ética y Cumplimiento de ODC.
Divulgar los cambios en las políticas adheridas y propias de ODC a los empleados y prestadores de servicios por correo electrónico.
Aprobar y monitorear el cumplimiento al plan/programa de capacitación para los miembros de Junta Directiva, empleados y contratistas en temas
relacionados con:
1. Código de Ética que indica los lineamientos en materia de regalos y atenciones, suscripción de patrocinios, entre otros.
Secretaría General de ODC/ Gerencia El control relacionado con el programa de capacitación de temas éticos a los empleados, miembros de Junta Diseñar el programa de capacitación de temas éticos a los empleados, miembros de Junta Directiva y
SIR&CO E.1.1. Gobierno de Control Secretaría General de ODC/ Gerencia General Control - Alto E.1.1.2.4 2. Línea ética Gerencia General ODC 01/08/2017 31/12/2017
General Directiva y contratistas se encuentra pendiente de diseño e implementación. contratistas y someterlo aprobación para su ejecución.
3. Manual de Cumplimiento del Prestador de Servicios administrativos.
Socializar los canales diseñados por la Compañía para recibir denuncias confidenciales de empleados, miembros de Junta Directiva y terceros de acuerdo
con el dicho plan/programa de capacitación
1. Aprobar el Reglamento de Comité Financiero y de Auditoría como apoyo a la Junta Directiva para supervisar el Sistema de Control Interno.
El reglamento del Comité Financiero y de Auditoría se encuentra desactualizado dado que no incluye la Actualizar el reglamento del Comité Financiero y de Auditoría con las funciones definidas en el acta No.13 del
2. Aprobar el Manual de Auditoría y el Estatuto de Auditoría Interna que establece los lineamientos para la ejecución de la función de la auditoría Interna,
totalidad de funciones definidas en el acta No.13 del 14 de abril de 2016 de esté órgano. 14 de abril de 2016 de este órgano.
SIR&CO E.3.1. el cual incluye las normas sobre la independencia y objetividad, actitud y cuidado profesional atendiendo la definición de competencias del equipo de
Auditoría Interna Auditoría Interna Control - Alto E.3.1.1.1 Líder de Auditoría Interna 31/12/2017
Monitoreo auditoría y plan de capacitación así como las normas de desempeño para la ejecución de trabajos de auditoría interna y la supervisión de actividades.
Adicionalmente la función definida en dicha acta relacionada con "apoyar y asesorar a la administración en Modificar la función definida en dicha acta "apoyar y asesorar a la administración en identificación de riesgos "
identificación de riesgos " no cubre la totalidad del proceso de gestión de riesgos y controles. por Supervisar el proceso de gestión de riesgos y controles.
3.Declarar anualmente al Comité Financiero y Auditoría, la independencia de la función de Auditoria Interna. Esta declaración queda debidamente
documentada en las actas del comité.
01/07/2017 1. 30/11/2017
2. 30/11/2017
1.El Manual de Auditoría Interna se encuentra desactualizado o no considera:
1.Actualizar el manual de auditoría interna en cuanto a:
-Incluye funciones que no son ejecutadas por la Función de Auditoría como: Gestión de riesgos, cumplimiento,
legal, seguridad, ética y auditoría externa medio ambiente. 1.1.Incluir todos los aspectos indicados en las normas de auditoría y desincorporar aquellos que afectan su
cumplimiento; asegurar su aprobación por parte del Comité de Auditoría y la socialización a las partes
-No establece procedimientos de supervisión del trabajo en sus diferentes etapas. interesadas.
1.2.Diseñar y aplicar mecanismos de supervisión a trabajos de auditorías contratadas.
1. Aprobar el Reglamento de Comité Financiero y de Auditoría como apoyo a la Junta Directiva para supervisar el Sistema de Control Interno.
2. No se cuenta con un código de ética de la función. 1.3.Crear el Estatuto de Auditoría Interna en documento independiente del Manual de Auditoría Interna.
2. Aprobar el Manual de Auditoría y el Estatuto de Auditoría Interna que establece los lineamientos para la ejecución de la función de la auditoría Interna,
3. Auditoría Interna es liderada por un auditor en misión contratado a través de una empresa temporal, no 2.Implementar el código de ética e incluirlo en el Estatuto de Auditoría Interna.
SIR&CO E.3.1. el cual incluye las normas sobre la independencia y objetividad, actitud y cuidado profesional atendiendo la definición de competencias del equipo de
Auditoría Interna Auditoría Interna Control - Alto E.3.1.1.1 cuenta con experiencia como director ejecutivo de auditoría y posee poca experiencia en riesgos de fraude y Aprobar el Estatuto y de la modificación del Manual por Comité de Auditoría y Junta Directiva. Líder de Auditoría Interna
Monitoreo auditoría y plan de capacitación así como las normas de desempeño para la ejecución de trabajos de auditoría interna y la supervisión de actividades.
tecnología de la información. Implementar el formato de declaración de independencia de auditores.
3.Declarar anualmente al Comité Financiero y Auditoría, la independencia de la función de Auditoria Interna. Esta declaración queda debidamente
4.No se contó con un plan de desarrollo y capacitación para el 2016 ni se tiene programada capacitación para 3. y 4. Diseñar y ejecutar un plan de capacitación que permita a los miembros de la función fortalecer sus
documentada en las actas del comité.
2017. conocimientos y competencias de acuerdo las necesidades identificadas.
5.El auditor interno no ha ratificado ante el Comité de Auditoría la independencia de la actividad de la 5.Efectuar anualmente ratificación de independencia de la actividad ante el Comité de Auditoría.
auditoría interna.
6.Implementar formato de declaración de independencia de auditores y asegurar su diligenciamiento previo al
6.No se firma una confirmación o declaración de independencia de los miembros del equipo para los trabajos inicio de los trabajos de aseguramiento y consultoría.
individuales.
1. 01/10/2017 1. Permanente
1. Aprobar el Plan General de Auditoría (PGA) presentado por la Auditoría interna basado en el Manual de Auditoría Interna.
1.La metodología para la construcción del PGA (Plan General de Auditoría) requiere ser fortalecida 2. 01/07/2017 2. Permanente
2.Monitorear la efectividad del sistema de control interno por medio de la presentación trimestral de la Auditoría Interna y el prestador de servicios documentalmente, soportando de forma mas detallada el universo de auditoría, TBGs y presupuestos de capex
(Gerencia de Aseguramiento) al Comité Financiero y de Auditoría y Junta Directiva de ODC que incluye: y opex asociados a cada proceso, resultado de auditorías anteriores, rotación de énfasis y resultados de trabajo 3. 01/12/2017 3. 31/12/Cada año
1. El avance en el cumplimiento del PGA aprobado de ética y cumplimiento.
1.Implementar la metodología ECP para construcción del PGA 2018 y años posteriores.
2. Los hallazgos de las auditorías considerados con riesgo o criticidad alta
2.Presentar para autorización por parte del Comité de Auditoría las modificaciones que se realicen al PGA. 4. 31/12/Cada año
3. Seguimiento a la implementación de planes de acción de los hallazgos críticos (Cuando aplique). 2.Modificaciones del PGA no autorizadas por el Comité de Auditoría: Inclusión de auditoría DRA y combustible y 4. 01/10/2017
SIR&CO E.3.1. Para el PGA 2018 y años posteriores se presentarán para aprobación del Comité de Auditoría los recursos
Auditoría Interna Auditoría Interna Control - Alto E.3.1.1.2 4.Seguimiento al proceso de gestión de riesgos y controles, presentando los riesgos críticos y eventos significativos que se materialicen (si aplica) Exclusión auditoría a Fundación Oleoductos de Colombia. Líder de Auditoría Interna
Monitoreo requeridos para su ejecución.
3.Aprobación del PGA por Comité de Auditoría.
3.No se sometió a aprobación del Comité de Auditoría, los recursos a ser utilizados para desarrollar el PGA
4.Construcción del PGA 2018 y años posteriores durante el último trimestre de cada año.
En caso de recomendaciones y/o ajustes por parte del Comité de Auditoría PGA la auditoría interna generará los cambios y presentará en el comité el 2016.
seguimiento de los mismos. Inoportunidad en la construcción del PGA 2017.
Revisar y aprobar el reporte de las órdenes de trabajo correspondientes a mantenimientos a capitalizar en el mes y a transferir a activos en curso de
acuerdo a los criterios definidos bajo IFRS, el cual es enviado por el área de planeación de mantenimiento.
Gerente de Planeación y
De acuerdo al seguimiento realizado en diciembre, se
En caso de identificar diferencias, se remite nuevamente al área de planeación de mantenimiento para su justificación. Asegurar que las órdenes de trabajo ya ejecutadas queden clasificadas como capitalizables o no de acuerdo a Programación de
SIR&CO S.7.10 Gestión y Capitalización de Activos Dirección General de Operaciones Dirección Técnica de Activos Control - Alto S.7.10.5.10 El proceso de mantenimiento está en estabilización y formalización 30/09/2017 N/A N/A N/A identificó que este control no aplica para ODC porque
la norma IFRS Mantenimiento ( Prestador
el servicio es prestado por ECOPETROL.
Posteriormente se envía a la Coordinación de Activos Fijos para su registro. de Servicios)
Revisar y aprobar el reporte de las órdenes de trabajo correspondientes a mantenimientos a capitalizar en el mes y a transferir a activos en curso de
acuerdo a los criterios definidos bajo IFRS, el cual es enviado por el área de planeación de mantenimiento.
Gerente de Planeación y
De acuerdo al seguimiento realizado en diciembre, se
En caso de identificar diferencias, se remite nuevamente al área de planeación de mantenimiento para su justificación. Definir el umbral de revisión por parte del a Gerencia de planeación y programación de mantenimiento para la Programación de
SIR&CO S.7.10 Gestión y Capitalización de Activos Dirección General de Operaciones Dirección Técnica de Activos Control - Alto S.7.10.5.10 El proceso de mantenimiento está en estabilización y formalización 30/09/2017 N/A N/A identificó que este control no aplica para ODC porque
revisión de las órdenes de trabajo capitalizables y no capitalizable. Mantenimiento ( Prestador
el servicio es prestado por ECOPETROL.
Posteriormente se envía a la Coordinación de Activos Fijos para su registro. de Servicios)
Revisar y aprobar el reporte de las órdenes de trabajo correspondientes a mantenimientos a capitalizar en el mes y a transferir a activos en curso de
acuerdo a los criterios definidos bajo IFRS, el cual es enviado por el área de planeación de mantenimiento.
Gerente de Planeación y
De acuerdo al seguimiento realizado en diciembre, se
En caso de identificar diferencias, se remite nuevamente al área de planeación de mantenimiento para su justificación. c. Inclusión de un control de Monitoreo aleatorio de las OT no capitalizables y revisar su nivel de error en la Programación de
SIR&CO S.7.10 Gestión y Capitalización de Activos Dirección General de Operaciones Dirección Técnica de Activos Control - Alto S.7.10.5.10 El proceso de mantenimiento está en estabilización y formalización 30/09/2017 N/A N/A identificó que este control no aplica para ODC porque
clasificación de acuerdo a la información enviada por el área de Planeación de Mantenimiento. Mantenimiento ( Prestador
el servicio es prestado por ECOPETROL.
Posteriormente se envía a la Coordinación de Activos Fijos para su registro. de Servicios)
Validar que los totales del patrimonio incluida la utilidad del ejercicio cargada en hyperion correspondan al cierre contable del periodo de acuerdo a la
información cargada por el prestador de servicios(outsourcing) , por medio de la pantalla de reporte de Hyperion que valida los saldos contra el balance.
En caso de ajustes o diferencias se envía correo electrónico al Outsourcing para ajustar o corregir o justificar.
Para los cambios posteriores al cierre contable, el Prestador de Servicios (Jefe de Contabilidad) envía correo electrónico a Casa Matriz con los ajustes para
efectos de consolidación y cargue en Hyperión.
GR&C S.1.1.Cierre Contable, Preparación y Prestador de Servicios (Gerencia Prestador de Servicios (Jefe
Dirección Estrategia y Finanzas Control - Alto S.1.1.5.6. La conciliación de las cifras de SAP frente al reporte de Hyperion está en proceso de formalización para ODC. Ejecutar la conciliación de las cifras de SAP y hyperion posterior la cierre. 30/10/2017 15/11/2017
Revelación de Estados Financieros Finanzas) de Contabilidad)
2. Revisión de la conciliación de las cifras SAP frente al reporte de Hyperion ( día 15 posterior al cierre) o cuando ocurra ajuste posterior al cierre . En caso
de encontrar diferencias, el Prestador de Servicios (Jefe de Contabilidad) envía correo electrónico a Casa Matriz para su gestión y respuesta. ( si aplica
ajustes posteriores al cierre).
Nota: Una vez cargadas las cifras de los EEFF en Hyperion no se permite realizar ajuste en la aplicación por parte de Cenit.
Revisar la prueba del cálculo de la depreciación de los activos de Oleoducto de Colombia S.A., mediante la validación de los datos de la depreciación del
mes frente a los valores registrados en la contabilidad de acuerdo a la prueba del cálculo realizada por el Outsourcing Contable Analista y que es enviada
por correo electrónico al Outsourcing Contable Supervisor.
En señal de revisión de la prueba del cálculo, el Prestador de Servicios (Outsourcing - Supervisor de Activos Fijos) envía correo electrónico al Prestador de
GR&C S.1.4. Cálculo DD&A Prestador de Servicios (Gerencia El papel de trabajo que contiene el test de depreciación generado de SAP con la pantalla del valor calculado Asegurar el papel de trabajo que contiene el test de depreciación generado SAP con la pantalla del valor Prestador de Servicios (Jefe
Dirección Estrategia y Finanzas Diseño -Medio S.1.4.2.1. Servicios (analista de activos fijos); 30/10/2017 15/11/2017
Finanzas) está en proceso de formalización calculado y la fecha por el sistema, además de la hoja de validación del cálculo adicionada por el Supervisor. de Contabilidad)
En caso de encontrar inconsistencias y diferencias en las pruebas del cálculo de la depreciación de los activos, el Prestador de Servicios (Supervisor de
Activos Fijos) envía correo electrónico al Outsourcing Contable Analista para su ajuste. (si aplica)
Posteriormente se ejecuta el proceso de depreciación del mes.
inmobiliaria Gestión Inmobiliaria Gerente de Entorno Diseño -Medio S.6.2.5.6 Revisar la razonabilidad y el correcto cálculo de las provisión de gestión inmobiliaria a fin reportar antes de cierre al área contable para su registro. Está pendiente de formalización y definición del ejecutor del control de acuerdo a la realidad operativa. Actualizar el responsable del control de acuerdo a la realidad operativa Responsable 30/10/2017 30/10/2017
Gerencia de Proyectos y
Gestión de Proyectos Dirección Técnica de Activos Diseño -Medio N/A N/A La actualización de riesgos y controles del proceso de Gestión de proyectos está en revisión Actualizar los riesgos y controles de Gestión de Proyectos 15/11/2017
Mantenimientos Mayores
• Desarrollo/Pruebas
• Producción
Para infraestructura no se tiene ambiente de pruebas. Las pruebas son realizadas en ventanas horarias que no afectan la operación de la compañía.
Anualmente, se define y aplica el cronograma de mantenimiento preventivo de hardware de Infraestructura de TI que soporta los sistemas SOX. El contrato iba con el proveedor hasta septiembre, por lo tanto la carta de certificación estaba solo hasta el fin
El control menciona aplicativos de alcance SOX. Se observa que únicamente se realizó la verificación para AIX
Proceso Soporte Diseño -Medio S.8.2.14.2 de la vigencia. A la fecha ya se firmó el otro sí con Indra hasta el año 2018 y se va a solicitar una certificación Especialista TI 30/11/2017
SAP, y según la certificación el contrato iba hasta septiembre 30 de 2017
Nota: Para las plataformas que se encuentren en garantía se siguen las recomendaciones emitidas por el proveedor. con la nueva vigencia.
CONTROL DE CAMBIOS
Riesgo Control Quién Realizó el
Versión del Fecha Cambio:
Proceso Causa del cambio Número de Cambio:
Documento Descripción cambio Número de Riesgo Resultado del cambio Descripción cambio Resultado del cambio dd/mm/aaaa
Control
Se estandarizo con el objetivo de control de Cenit:
Verificar que las autoridades y responsabilidades asignadas a ODC para tomar decisiones y/o supervisar estén formalizadas, actualizadas y divulgadas
Evidencia anterior:
'1. Estatutos de Oleoducto de Colombia S.A. (ODC), conservados por la Secretaría General y publicados en la Página Web.
Anterior 2. Manual de Autoridad y Delegación (MAD) vigente y correo electrónico enviado por la Secretaría General ODC al Administrador del Contrato de CENIT / Ecopetrol, para que lo divulguen a las personas
E.1.1.1. Fallas en el proceso de toma de decisiones ( Intencionales o involuntarios) involucradas de los prestadores de servicios, y a funcionarios de ODC con el documento vigente.
debido a; inadecuada asignación y desconocimiento de los niveles de autoridad y
sus responsabilidades, lo que puede generar pérdida de valor y afectación de la Nota: En caso de ajustes modificaciones y/o actualizaciones, se realiza el proceso de aprobación de acuerdo con lo definido y es informado por medio de correo electrónico a los administradores de contrato de los
Ajuste en el Riesgo asegurando imagen. Ajuste en la descripción prestadores de servicios y a funcionarios ODC por parte de la Secretaría General de ODC.
Gobierno temas de fraude y corrupción y de la actividad del
V2 Actualización Matrices SOX 2017 E.1.1.1. E.1.1.1.1 17/06/2017 Deloitte
Corporativo estandarizando a los riesgos de Riesgo estandarizado al de CENIT. control y en la El MAD se encuentra almacenado en el Centro de Administración
CENIT. E.1.1.1. Errores o direccionamiento en el proceso de toma de decisiones y/o de evidencia Evidencia actual:
aprobaciones en nombre de la Compañía, por debilidades en la asignación de '1. Estatutos de Oleoducto de Colombia S.A. (ODC), conservados por la Secretaría General y publicados en la Página Web.
autoridad, inadecuada segregación de funciones, definición y aprobación de la 2. Actas de asamblea de accionistas y Junta Directiva de ODC en caso de aprobar modificaciones de los estatutos o Manual de delegación de autoridad.
estructura de gobierno, generando pérdidas de valor (contingencias) y/o afectación 1. Manual de delegación de autoridad (MAD) vigente publicado en el Share Point de ODC y correo electrónico a los prestadores de servicios en los casos que se generen modificaciones.
reputacional. IPE: Actas de asamblea y Junta Directiva de ODC.
Se unifica el control: E.1.1.2.2 y E.1.1.2.4. Adicionalmente se adiciona la adherencia al procedimiento de Gestión de Denuncias y el Manual de Cumplimiento de la prestación del servicios.
Aprobar por la Junta directiva la adhesión a las siguientes políticas de la Casa Matriz y políticas corporativas de ODC:
1. Adhesión:
1.1. Código de Ética de Casa Matriz, que contiene un conjunto de declaraciones explícitas de comportamientos y disyuntivas éticas, además de los lineamientos de regalos, cortesías, atenciones y suscripción de patrocinios.
1.2.El procedimiento de gestión de denuncias de la Casa Matriz, especificando las excepciones en las actividades a realizar para los casos que no aplique por la estructura organizacional de ODC.
1.3. El Manual de Cumplimiento del Prestador de Servicios administrativos, que establece las directrices y lineamientos generales para garantizar el cumplimiento de los mecanismos de identificación, prevención, detección, reporte, monitoreo y
respuesta ante actos de corrupción, fraude, lavado de activos y/o financiación del terrorismo, que puedan presentarse en ODC, especificando las excepciones en las actividades a realizar en los casos que no aplique por la estructura organizacional
de ODC.
Evidencia:
1. Actas de Junta Directiva en donde se apruebe los siguientes documentos:
1.1. Código de Ética vigente adherido, aprobado y publicado en el Share Point de ODC.
1.2. Procedimiento de Gestión de Denuncias Éticas adherio de la Casa Matriz vigente y aprobado
1.3. Manual de Cumplimiento del prestador de servicios administrativos, adherido por ODC (Antifraude, Anticorrupción, Lavado de Activos y Financiación del terrorismo) vigente, aprobado y publicado en la pagina web de ODC.
1.5.Manual para la Prevención del Lavado de Activos y la Financiación del Terrorismo aprobado por la Junta Directiva y su publicación en la página web.
2. Correos el electrónicos a los empleados y prestadores de servicios divulgando las modificaciones a los manuales, códigos y procedimientos cuando haya lugar.
El acta se encuentra en custodia de la Secretaria General.
IPE: Control de cambio de los manuales, códigos, políticas y procedimientos y actas de Junta Directiva
1. Código de Ética por parte de los empleados y Junta Directiva de la compañía, manifestando su adherencia.
Gobierno
E.1.1.2.3 2. Pacto de Transparencia de los empleados de la compañía y miembros de Junta Directiva. 17/06/2017 Deloitte
Corporativo
3.Declaración de conflictos de interés por parte de los empleados y Junta Directiva, en los casos que se presenten.
Las manifestaciones de los empleados quedan archivadas en la carpeta de hoja de vida para los empleados y la de los miembros de la Junta Directiva en la carpeta de esté órgano conservada por la Secretaría
General de ODC.
Control nuevo:
Aprobar y monitorear el cumplimiento al plan/programa de capacitación para los miembros de Junta Directiva, empleados y contratistas en temas relacionados con:
Gobierno 1. Código de Ética que indica los lineamientos en materia de regalos y atenciones, suscripción de patrocinios, entre otros.
E.1.1.2.4 17/06/2017 Deloitte
Corporativo 2. Línea ética
3. Manual de Cumplimiento del Prestador de Servicios administrativos.
Socializar los canales diseñados por la Compañía para recibir denuncias confidenciales de empleados, miembros de Junta Directiva y terceros de acuerdo con el dicho plan/programa de capacitación
El control E.1.1.2.5 era el control 1.1.3.3 el cual se estádarizo de acuerdo al riesgo y control del prestador del servicio así:
1. Monitorear el avance y resolución de las denuncias éticas que los empleados y terceras partes realizan por medio del canal confidencial de la Casa Matriz relacionadas con Oleoducto de Colombia S.A. (ODC). El
Oficial de Ética y Cumplimiento gestiona las denuncias de acuerdo al procedimiento de gestión de denuncias adherido y reporta el estado de los casos y dilemas éticos relevantes para conocimiento del Comité
Gobierno
E.1.1.2.5 Financiero y de Auditoría y Junta Directiva de ODC para que se tomen las recomendaciones y decisiones cuando haya lugar. 17/06/2017 Deloitte
Corporativo
Cuando el caso involucre al Oficial de Ética y Cumplimiento, la denuncia será direccionada por la Gerencia General.
Aprobar la política y herramienta de gestión riesgos (Matriz RAM) que establece las directrices para la administración de los riesgos y los controles de ODC, así como la adhesión a la Guía de Gestión de Riesgos del
Gestión de riesgos E.2.1.1.1 prestador de Servicios. 05/07/2017 Deloitte
Posteriormente se realiza la divulgación por parte del Gerente General de ODC por medio de correo electrónico a los funcionarios internos (empleados) y prestadores de servicios.
1. Las certificaciones emitidas por los terceros (prestadores de servicios) en relación con los riesgos y controles SOX así como el análisis de la información descrita en la misma.
Gestión de riesgos E.2.1.1.3 05/07/2017 Deloitte
2.Listado de riesgos estratégicos y matriz RAM
3.En caso de encontrar desviaciones (controles con calificación inefectivo / oportunidades de mejora) y alertas temprana (planes de acción no ejecutados o con modificación de fecha) definen planes de acción y se
monitorea su cumplimiento.
4.Reporte de nuevos planes de acción y ejecución de los definidos.
1. No contar con lineamientos y directrices claras del rol y función del Comité de
Auditoría (CA)
1. Aprobar el Reglamento de Comité Financiero y de Auditoría como apoyo a la Junta Directiva para supervisar el Sistema de Control Interno.
2. Inadecuada asignación de roles, responsabilidades y línea de reporte de la
Auditoría Interna.(A.I)
Ajuste en el Riesgo asegurando Ajuste en la descripción 2. Aprobar el Manual de Auditoría y el Estatuto de Auditoría Interna que establece los lineamientos para la ejecución de la función de la auditoría Interna, el cual incluye las normas sobre la independencia y
3. No contar con un plan general de auditoria (PGA) aprobado por el CA, basado en
temas de fraude y corrupción y de la actividad del objetividad, actitud y cuidado profesional atendiendo la definición de competencias del equipo de auditoría y plan de capacitación así como las normas de desempeño para la ejecución de trabajos de auditoría
V2 Gestión de riesgos Actualización Matrices SOX 2017 E.3.1.1. riesgos que agregue valor al negocio o esté alineado con la estrategia de la E.3.1.1.1 05/07/2017 Deloitte
estandarizando a los riesgos de control y en la interna y la supervisión de actividades.
Compañía.
CENIT. evidencia
4. Inadecuado o inoportuno seguimiento a la ejecución del plan anual de auditoria
3.Declarar anualmente al Comité Financiero y Auditoría, la independencia de la función de Auditoria Interna basado en estructura organizacional (depende del comité) y la confirmación de independencia de los
interna.
miembros del equipo para los trabajos individuales. Esta declaración queda debidamente documentada en las actas del comité.
5. Conflictos de interés o independencia, supeditaje gerencial o colusión del
equipo de AI.
Falta de alineación entre la estrategia de Tecnología de la Información y la de la 1. Aprobar el plan estratégico para tecnología de la información y sus modificaciones , que esté alineado con las estrategias generales de la entidad. Los objetivos del plan de TI incluyen la entrega de ambientes
Ajuste en el Número y redacción
Compañía, debido a no realizar un análisis de integración cuidadoso y aplicable a seguros y confiables para la preparación de informes financieros para uso externo de alta calidad y se consideran las necesidades de todas las áreas de la Compañía.
GR&C S.2.1. del Riesgo asegurando, sobre Ajuste en la descripción
las actividades del plan, información incompleta e inoportuna o irregular,
V2 Controles generales Actualización Matrices SOX 2017 temas de fraude y corrupción y S 8.1.1 de la actividad del S.8.1.1.1 05/07/2017 Deloitte
conflictos de interés o independencia (posible colusión), que puede ocasionar 1.a. El Plan estratégico es almacenado en Share Point de ODC y se divulga a los interesados vía correo electrónico.
de TI estandarizando a los riesgos de control.
incumplimiento de los objetivos de negocio y de gobierno de la compañía,
CENIT.
pérdidas económicas y afectación de la percepción interna frente a la gestión de TI. 2. Realizar seguimiento a la ejecución del Plan Estratégico en la reunión trimestral de la dirección de talento humano y administración.
Ajuste en el Número y redacción Accesos no autorizados a la información y/o servicios tecnológicos, debido a
1. Los dueños de proceso y/o administradores de contrato verifican que los accesos de los usuarios están asignados en los sistemas de información bajo alcance SOX de acuerdo con sus funciones. Indicar su
GR&C S.2.1. del Riesgo asegurando, sobre inadecuado monitoreo de accesos, falta de procedimientos relacionados con Ajuste en la descripción
aprobación o solicitud de ajustes de los accesos revisados. La verificación es realizada con el reporte de usuarios generado por un miembro del área de Tecnología de la información.
V3 Controles generales Actualización Matrices SOX 2017 temas de fraude y corrupción y S.8.1.3 revisión y depuración de cuentas en los sistemas de aplicación, falla en la gestión de la actividad del S.8.1.3.1 05/07/2017 Deloitte
de TI estandarizando a los riesgos de de conflictos de segregación de funciones, que puede generar fraude, pérdidas control.
2. A partir de la verificación, realizar el plan de acción de las observaciones identificadas por los dueños del proceso.
CENIT. económicas, de confidencialidad e indisponibilidad de la información.
Ajuste en el Número y redacción 2. Revisar si existen conflictos de segregación funcional de acuerdo con las reglas de segregación estándar para SAP, considerando la posible existencia de:
Inadecuada concentración de funciones en los sistemas de información y/o
GR&C S.2.1. del Riesgo asegurando, sobre Ajuste en la descripción
servicios tecnológicos debido a falla en la gestión de conflictos de segregación de
V3 Controles generales Actualización Matrices SOX 2017 temas de fraude y corrupción y S.8.1.4 de la actividad del S.8.1.4.4 - Conflictos de segregación de funciones a nivel de roles. 05/07/2017 Deloitte
funciones, que podrían generar fraude y/o perdida económica.
de TI estandarizando a los riesgos de control. - Conflictos de segregación de funciones a nivel de usuarios.
CENIT.
3. En los casos de conflictos identificados en la revisión, se realiza la identificación y validación de controles compensatorios existentes y definición de las acciones a seguir para su corrección
Para otros sistemas SOX se cuenta con un ambiente de desarrollo/pruebas de base de datos física y lógicamente separados, así:
• Desarrollo/Pruebas
• Producción
Para infraestructura no se tiene ambiente de pruebas. Las pruebas son realizadas en ventanas horarias que no afectan la operación de la compañía.
1. Revisar y aprobar que la adquisición de software o infraestructura haga parte de un proyecto, aplicando el procedimiento de "Gestión de iniciativas".
S.8.3.1.2 2. Verificar que el formato de registro de iniciativas es firmado por el usuario solicitante, el Dueño de información o proceso y Tecnología de la Información. 05/07/2017 Deloitte
Implementar las acciones de mejora, preventivas y correctivas, sobre los incidentes de seguridad, contemplando las siguientes acciones:
Inadecuada gestión de los incidentes de seguridad de la información, debido a
inexistencia o incumplimiento de un procedimiento formal de gestión de
Ajuste en el Número y redacción - Análisis de la situación presentada y diagnóstico
Incidentes que incluya el registro, priorización, valoración y cierre del incidente,
GR&C S.2.1. del Riesgo asegurando, sobre Ajuste en la descripción - Análisis de posibles causas
falta de detección o detección inoportuna de incidentes o problemas en la
V3 Controles generales Actualización Matrices SOX 2017 temas de fraude y corrupción y S.8.6.3 de la actividad del S.8.6.3.5 - Acciones correctivas y/o mitigantes 05/07/2017 Deloitte
plataforma tecnológica, inadecuados mecanismos para reportar el incidente,
de TI estandarizando a los riesgos de control.
inadecuados métodos de seguimiento a la definición y cierre de los incidentes de
CENIT. Los incidentes de seguridad han sido definidos en el Procedimiento de manejo de incidentes de seguridad.
acuerdo a su criticidad, que puede impactar la confiabilidad, integridad y
disponibilidad de la información.
Los incidentes de seguridad asociados a las plataformas criticas y con impacto al negocio son analizados por parte de los administradores de plataforma para identificar acciones preventivas y correctivas.
Revisar los usuarios con privilegios administradores en los sistemas de información de la compañía:
Ajuste en el Número y redacción
Semestralmente se genera un reporte de usuarios con privilegios de administración que están configurados en los sistemas de información de la compañía de alcance SOX (Aplicación, BD y Sistema Operativo). Este
GR&C S.2.1. del Riesgo asegurando, sobre
reporte es enviado por el gestor de plataforma al responsable de tecnología de acuerdo con el procedimiento de administración de usuarios con privilegios amplios de la compañía.
V3 Controles generales Actualización Matrices SOX 2017 temas de fraude y corrupción y S.8.6.1.2 05/07/2017 Deloitte
de TI estandarizando a los riesgos de
En señal de revisión del responsable de Tecnología de Información indica si los usuarios encontrados son lo autorizados para tener estos privilegios.
CENIT.
Ajuste en el Número y redacción
GR&C S.2.1. del Riesgo asegurando, sobre
Obtener la aprobación establecida en los procedimientos de la compañía para otorgar cuentas de usuario con privilegios de administración, cuando esta se requiera en alguno de los sistemas de información de la
V3 Controles generales Actualización Matrices SOX 2017 temas de fraude y corrupción y S.8.2.6.6 05/07/2017 Deloitte
compañía con alcance SOX.
de TI estandarizando a los riesgos de
CENIT.
1. Revisar el análisis de vulnerabilidades a nivel de infraestructura de tecnología de información que soporte aplicaciones de alcance SOX.
Ajuste en el Número y redacción Ataques cibernéticos sobre la infraestructura tecnológica debido a inadecuada
GR&C S.2.1. del Riesgo asegurando, sobre identificación, clasificación y gestión de los riesgos y vulnerabilidades, falta de Ajuste en la descripción 2. Definir las acciones correctivas para las vulnerabilidades catalogadas como Altas y Medias de acuerdo con el reporte generado por las herramientas de análisis de seguridad. Así mismo, debe realizarse
V3 Controles generales Actualización Matrices SOX 2017 temas de fraude y corrupción y S.8.6.1 monitoreo, configuración no adecuada, que puede llegar a generar perdida de de la actividad del S.8.6.1.3 seguimiento al plan de acciones. El procedimiento se realiza de la siguiente forma: 05/07/2017 Deloitte
de TI estandarizando a los riesgos de confidencialidad e integridad de la información, indisponibilidad de los servicios control.
CENIT. prestados por TI. Se realiza análisis de vulnerabilidades al menos una vez al año por cada plataforma de infraestructura.
Se genera el plan de remediación para las vulnerabilidades identificadas y se realiza el seguimiento al plan de remediación trimestralmente.
Se tiene un repositorio de información donde está contenida la siguiente información de la configuración del software y hardware del sistema SAP, BD y Red:
2. Revisar anualmente que la configuración de la aplicación SAP, su base de datos, sistema operativo y Red de la compañía corresponda a lo definido en el repositorio de configuración del software y hardware del
sistema SAP, BD y Red.
Mediante un informe se registra la verificación de la configuración. Se analiza si existe justificación para las desviaciones que sean identificadas. Dependiendo del resultado del análisis se ejecutan acciones tales
como: ajustar el repositorio o restablecer la configuración del sistema. Las conclusiones del análisis y las acciones tomadas se registran en el informe.
1. Generar una notificación indicando las acciones a tomar cuando se genera una falla en la toma de backup.
Ajuste en el Número y redacción
GR&C S.2.1. del Riesgo asegurando, sobre
2. Consolidar y revisar la cantidad de backups ejecutados por el proveedor y su estado de finalización.
V3 Controles generales Actualización Matrices SOX 2017 temas de fraude y corrupción y S.8.7.1.1 05/07/2017 Deloitte
de TI estandarizando a los riesgos de
3. Realizar seguimiento a la ejecución de back ups y fallas generadas en reunión realizada con el proveedor de servicios.
CENIT.
Revisión anual de los controles ambientales, físicos y de control de acceso que tiene el centro de cómputo donde se encuentran los servidores.
Se verifica que solo personal autorizado puede ingresar al lugar donde se encuentran los servidores de la compañía.
S.8.8.1.1 05/07/2017 Deloitte
Adicionalmente, revisa el cronograma de mantenimiento de los dispositivos de seguridad ambiental contra los soportes de su ejecución.
El PMO de Proyecto revisa que se encuentre publicada en repositorio de información de la compañía toda la documentación relacionada con el proyecto y lo especifica en el informe de cierre del proyecto
Revisar el cumplimiento y medidas correctivas, mediante reunión donde se presenta un informe de los servicios prestados por los terceros.
Aprobar la conciliación de solicitudes de facturación verificando que las solicitudes atendidas según el registro en el sistema SAP coincidan con las facturas emitidas. Las diferencias son investigadas, identificadas y
N.1.1.1.3 05/07/2017 Deloitte
resueltas de forma oportuna.
Revisar por parte del Prestador de Servicios (Especialista en Soporte en la Operación) el monto a registrar por ingresos de operación portuaria para TLU1 y TLU3 ya sea por provisión o legalización de la provisión,
de acuerdo con el archivo en Excel enviado por el Profesional de Gestión y Finanzas.
Para el caso de la provisión el Profesional de Gestión y Finanzas, realiza el cálculo tomando como base los archivos de servicios portuarios de programación enviados por el área de operaciones del Prestador de
Servicios (CENIT) y la tasa representativa de mercado publicada por el Banco de La Republica de la fecha de la liquidación. En caso tal que la provisión presente una variación porcentual superior al 50% con
relación al mes anterior debe solicitar aprobación del Jefe Soporte de la Operación del Prestador de Servicios.
Sub o sobre estimación de ingresos involuntaria o fraudulenta debido a falta de
Ajuste en el Riesgo asegurando Ajuste en la descripción Para el caso de la legalización de provisiones, el Profesional de Gestión y Finanzas, revisa la legalización de los ingresos de provisión, a través de los documentos físicos enviados por Ecopetrol vs los archivos de
oportunidad de la información, estimación inadecuada y falta de revisión de los
temas de fraude y corrupción y de la actividad del servicios portuarios emitidos por programación y utilizadas para el registro de la provisión; se validan las desviaciones (en caso de aplicar) y se envía correo electrónico a Ecopetrol con los valores ajustar, los cuales
V2 Facturación Actualización Matrices SOX 2017 N.1.1.2 servicios a facturar, generando registros contables erróneos y pérdida de la calidad N.1.1.2.1 05/07/2017 Deloitte
estandarizando a los riesgos de control y en la se reversan en la legalización del mes posterior si estos no superan el 20%, si son montos superiores al porcentaje establecido, debe solicitar aprobación por parte del Especialista en Soporte en la Operación y Jefe
y exactitud de la información contable.
CENIT. evidencia Soporte de la Operación.
El Especialista envía aprobación de la provisión y/o legalización por correo electrónico al Profesional de Gestión y Finanzas quién informa al área contable el valor de la provisión, posteriormente el Profesional de
Gestión y Finanzas evidencia que el registro contable ha sido realizado en la contabilidad (pantalla de SAP con el registro de la provisión).
Validar que las creaciones, bajas y traslados solicitados se registren correctamente en el sistema SAP, incluyendo los mantenimientos capitalizables que han sido creados como activos en el módulo AM de SAP.
El Prestador de Servicios (profesional de Data Maestra de Activos), envía correo electrónico al Coordinador de Activos Fijos, con el reporte mensual de datos maestros que es tomado del Sistema SAP, anexando los
papeles de trabajo correspondientes a cada una de las novedades que contiene las verificaciones. El Coordinador de Activos Fijos, en señal de revisión envía correo electrónico al profesional de Data Maestra de
Ajuste en la descripción
Activos.
de la actividad del N.2.1.1.1 05/07/2017 Deloitte
Inadecuada gestión de activos fijos debido a errores en el registro de la control.
De presentarse diferencias se envía correo electrónico al solicitante para su ajuste y comentarios por parte del profesional de data maestra de activos con copia al Coordinador de Activos Fijos.
información en SAP en el momento de la creación, errores en la actualización de
las novedades y capitalización de activos, información desactualizada, alteración o
falsedad en la información, falta de revisión y aprobación por el nivel requerido,
N.2.1.1.
fallas en el monitoreo de activos, lo cual puede generar errores en los saldos de
cuenta, pérdida o apropiación inadecuada de activos y en la razonabilidad de los Revisar la conciliación de la toma física y los registros contables de acuerdo a la información suministrada por el tercero (avaluador) .
estados financieros. Ajuste en la descripción
de la actividad del N.2.1.1.3 El Prestador de Servicios (Coordinador de Activos fijos) realiza una verificación aleatoria de los activos por placas y descripción acorde con las especificaciones técnicas, dejando un papel de trabajo en señal de 05/07/2017 Deloitte
control. validación.
información en SAP en el momento de la creación, errores en la actualización de
las novedades y capitalización de activos, información desactualizada, alteración o
falsedad en la información, falta de revisión y aprobación por el nivel requerido,
N.2.1.1.
fallas en el monitoreo de activos, lo cual puede generar errores en los saldos de
cuenta, pérdida o apropiación inadecuada de activos y en la razonabilidad de los
estados financieros.
Verificar que los mantenimientos mayores registrados en el módulo de PM de SAP estén asociados a los Activos Fijos de acuerdo a la información reportada por el operador.
Ajuste en la descripción En señal de revisión se envía el archivo al Prestador de Servicios (Jefatura de Contabilidad) por medio de correo electrónico.
de la actividad del N.2.1.1.4 05/07/2017 Deloitte
control.
Inadecuado reconocimiento de los activos debido a desconocimiento de la norma, Validar el cumplimiento de la normatividad vigente en cuanto al reconocimiento del valor actual y vidas útiles de los activos fijos mediante la contratación de un avaluador técnico especializado, que revisa las vidas
aplicación tardía del análisis de avalúos en activos, omisión y/o registro contable Ajuste en la descripción útiles aplicables de los activos de la compañía y el cual posteriormente es enviado al área contable, quien a su vez realiza las actualizaciones a que hubiere lugar.
N.2.1.2. equivoco y reconocimiento de gastos/costos como activos lo cual puede generar de la actividad del N.2.1.2.1 05/07/2017 Deloitte
incumplimiento de la normatividad legal, sobre o subvaloración de la utilidad y control. El Prestador de Servicio (Jefe de Contabilidad) aprueba la carga correspondiente.
poca fiabilidad en los estados financieros.
1.Revisar las premisas cualitativas del deterioro indicadas en la normatividad IFRS de acuerdo a la información suministrada por la Gerencia de Planeación y Control de Gestión (prestador de Servicios) por medio de
correo electrónico que contiene el checklist del análisis y los soportes respectivos. En señal de revisión, el Gerente Senior de Finanzas (prestador de Servicios) envía correo electrónico con su visto bueno.
Inadecuado cálculo de deterioro y de la provisión de abandono debido a falta de
2. Si aplica, se procede al cálculo cuantitativo de deterioro, validando por parte del Gerente Senior de Finanzas (prestador de Servicios)que el valor de los activos, tarifas, inversiones, costos reportados para el
integridad, manipulación u omisión en la información reportada por las áreas
Ajuste en la descripción sistema coincida con la información recibida por las áreas y de acuerdo al procedimiento de deterioro de los activos emitido por Casa Matriz y en señal de revisión envía correo electrónico al Gerente de
involucradas, errores en las actividades de los procedimientos del cálculo de costos Coordinador de
N.2.1.3 de la actividad del N.2.1.3.2 Planeación y Control de Gestión.(prestador de Servicios) 31/08/2017
de desincorporación y del deterioro, error del cálculo de los valores razonables Aseguramiento
control.
para el registro de la provisión y falta de revisión por el nivel requerido lo que
Posteriormente, El Gerente de Planeación y Control de Gestión (prestador de Servicios) envía correo electrónico al Jefe de Contabilidad (prestador de Servicios)con el archivo con del cálculo del deterioro para su
puede generar inconsistencias en las cifras de los Estados financieros.
registro con la validación de la integridad de las cifras y posteriormente el Jefe de contabilidad envía correo electrónico confirmando el registro.
Revisar y aprobar el reporte de las órdenes de trabajo correspondientes a mantenimientos a capitalizar en el mes y a transferir a activos en curso de acuerdo a los criterios definidos bajo IFRS, el cual es enviado
Asignación errada de costos de órdenes de trabajo de mantenimiento, debido a: por el área de planeación de mantenimiento.
- Inadecuada clasificación de las actividades de mantenimiento (capitalizable o no
Ajuste en la descripción
capitalizable), conflicto de segregación de funciones, generando afectación a la En caso de identificar diferencias, se remite nuevamente al área de planeación de mantenimiento para su justificación.
N.2.1.4 de la actividad del S.7.10.5.10 05/07/2017 Deloitte
confiabilidad, clasificación y razonabilidad en los estados financieros de la
control.
compañía Posteriormente se envía a la Coordinación de Activos Fijos para su registro.
N.2.1.1.4
N/A
Gestión y Verificar que los mantenimientos mayores registrados en el módulo de PM de SAP estén asociados a los Activos Fijos de acuerdo a la información reportada por el operador.
Coordinador de
V3 Capitalización de Eliminación de control. N/A N/A Eliminación del control N.2.1.1.4 En señal de revisión se envía el archivo al Prestador de Servicios (Jefatura de Contabilidad) por medio de correo electrónico. 03/10/2017
El riesgo es existe en la matriz. Hay controles identificados en la compañía que Aseguramiento ( Cenit)
Activos
mitigan el riesgo.
Validar que la información incluida en los formatos de reporte a las entidades de control y demás Entidades Gubernamentales, sea consistente con la información registrada en el sistema de información SAP.
GR&C S.1.1.Cierre Ajuste en la descripción de la actividad del S.1.1.5.2.
control. 05/07/2017 Deloitte
Ajuste en el Riesgo asegurando
Contable, En caso de encontrar inconsistencias en la información, se envía correo electrónico al Outsourcing para realizar los ajustes correspondientes.
temas de fraude y corrupción y
V2 Preparación y Actualización Matrices SOX 2017
estandarizando a los riesgos de
Revelación de
CENIT.
Estados Financieros
Errores y/o información fraudulenta en la información financiera reportada y Presentar ante la Junta Directiva para su análisis y revisión, los reportes y/o Estados Financieros.
revelaciones, debido a una inadecuada revisión y análisis de las cifras contables, Ajuste en la descripción
S.1.1.5 incumplimiento de las políticas y/o procedimientos y la normativa aplicable y de la actividad del S.1.1.5.3. 05/07/2017 Deloitte
En caso de que aplique, Prestador de Servicio (el Outsourcing) se asegura la inclusión de las recomendaciones realizadas por parte de la Junta Directiva revisando el acta, y envía correo electrónico al Prestador de
supeditaje gerencial, lo cual puede afectar la toma de decisiones de los usuarios control.
Servicio (Jefe de Contabilidad) con la confirmación de los cambios y posteriormente se envía al Prestador de Servicio (Gerente Senior de Finanzas y Director Estratégico y de Finanzas), para su aprobación
de la información y el correcto análisis de la situación económica de la compañía
Validar que los totales del patrimonio incluida la utilidad del ejercicio cargada en hyperion correspondan al cierre contable del periodo de acuerdo a la información cargada por el prestador de
Ajuste en la descripción
servicios(outsourcing) , por medio de la pantalla de reporte de Hyperion que valida los saldos contra el balance.
de la actividad del S.1.1.5.6. 05/07/2017 Deloitte
control.
En caso de ajustes o diferencias se envía correo electrónico al prestador de servicios(outsourcing) para ajustar o corregir o justificar
Falta de integridad, valuación, validez y razonabilidad de la información financiera Revisar y aprobar conciliaciones mensuales del balance, incluyendo las operaciones reciprocas, de acuerdo a la información enviada por el prestador de servicios(outsourcing) donde se realiza el cruce de los saldos.
Ajuste en la descripción Todas las partidas conciliatorias se identifican en el mes siguiente, se investigan y aclaran oportunamente y de ser necesario, se realizan registros contables correspondientes.
debido errores en registros contables manuales, errores en las interfaces
S.1.1.7 de la actividad del S.1.1.7.1. 05/07/2017 Deloitte
registradas, lo cual puede ocasionar errores en los Estados Financieros y/o
control.
información fraudulenta.
Validar por parte del Prestador de Servicio(Jefe de Contabilidad) que las actividades definidas para el cierre de estados financieros se cumplan en su totalidad de acuerdo a la comunicación enviada por Casa Matriz,
Ajuste en la descripción
mediante la verificación de las actividades presentadas en el calendario de cierre contable por parte del Prestador de Servicio( Outsourcing contable), el cual es divulgado de acuerdo a las fechas establecidas.
N/A N/A de la actividad del S.1.1.3.1 05/07/2017 Deloitte
control.
En caso de incumplimiento de alguna de las actividades se contacta al responsable para validar las causas que lo impide o su gestión oportuna.
Revisar y aprobar la solicitud del ajuste/correcciones/errores posteriores al cierre, a fin de realizar los registros en el sistema SAP. Las reaperturas realizadas después de haber reportado a Casa Matriz deben contar
con la autorización del Prestador de Servicio (Gerente Senior Finanzas) y Gerente General de ODC y son realizadas por el Prestador de Servicio (Jefe de Contabilidad).
Hecho el ajuste por el Prestador de Servicio( Outsourcing Contable), el Prestador de Servicio (Jefe de Contabilidad) valida en el sistema SAP, que lo solicitado, haya sido realizado, tenga su soporte de registro y sea
consistente con el análisis.
Ajuste en la descripción
Posteriormente, el Prestador de Servicio (Gerente Senior Finanzas) y Gerente General verifica que los ajustes realizados correspondan a los autorizados y envía por medio de correo electrónico su verificación al
N/A N/A de la actividad del S.1.1.6.1. 05/07/2017 Deloitte
Prestador de Servicio (Jefe de Contabilidad).
control.
En caso de encontrar inconsistencias y/o diferencias, el Jefe de Contabilidad y/o el Gerente Senior de Finanzas envía correo electrónico solicitando justificaciones o ajustes (si aplica).
Nota: El perfil del usuario del Jefe Contabilidad es el único que tiene la posibilidad abrir periodos cerrados y SAP no permite el registro de transacciones en periodos cerrados.
Validar que los totales del patrimonio incluida la utilidad del ejercicio cargada en hyperion correspondan al cierre contable del periodo de acuerdo a la información cargada por el prestador de
servicios(outsourcing) , por medio de la pantalla de reporte de Hyperion que valida los saldos contra el balance.
GR&C S.1.1.Cierre En caso de ajustes o diferencias se envía correo electrónico al Outsourcing para ajustar o corregir o justificar.
Contable, Ajuste en la descripción Para los cambios posteriores al cierre contable, el Prestador de Servicios (Jefe de Contabilidad) envía correo electrónico a Casa Matriz con los ajustes para efectos de consolidación y cargue en Hyperión.
Coordinador de
V3 Preparación y Ajuste de control N/A N/A N/A de la actividad del S.1.1.5.6. 23/10/2017
Aseguramiento
Revelación de control. 2. Revisión de la conciliación de las cifras SAP frente al reporte de Hyperion ( día 15 posterior al cierre) o cuando ocurra ajuste posterior al cierre . En caso de encontrar diferencias, el Prestador de Servicios (Jefe de
Estados Financieros Contabilidad) envía correo electrónico a Casa Matriz para su gestión y respuesta. ( si aplica ajustes posteriores al cierre).
Nota: Una vez cargadas las cifras de los EEFF en Hyperion no se permite realizar ajuste en la aplicación por parte de Cenit.
Analizar el patrimonio fiscal base para el cálculo del impuesto a la riqueza, por medio de los anexos de la declaración de renta con el que se elabora la hoja de trabajo para su respectivo cálculo.
El Prestador de Servicios (Jefe Tributario) aprueba el cálculo del impuesto a la riqueza para su posterior registro en el sistema SAP.
Ajuste en la descripción
de la actividad del S.1.3.1.1 05/07/2017 Deloitte
En caso de encontrar inconsistencias o errores en la depuración y cálculo del impuesto a la riqueza, se realiza el respectivo ajuste.
control.
Inoportuna e inadecuada presentación de las declaraciones tributarias incluyendo
fraude en la información declarada debido a falta de revisión y aplicación de los
cambios tributarios, falta de revisión y aprobación de las declaraciones por el nivel
S.1.3.1.
requerido, supeditaje gerencial, pago tardío y/o inadecuada planeación de los
plazos establecidos de presentación y pago lo cual puede generar sanciones y/o
intereses por mora y afectación reputacional.
Revisar que la base de datos de los Acuerdos de Rentas Municipales de los municipios en donde ODC es contribuyente declarante del impuesto de industria y comercio se encuentre actualizada, así como los
formularios de las declaraciones, mediante la verificación de las comunicaciones recibidas a los municipios y las páginas Web de los municipios frente a la base.
Control eliminado S.1.3.1.6 05/07/2017 Deloitte
Aprobar las declaraciones tributarias, mediante la revisión de las hojas de trabajo (archivos en Excel), análisis de variaciones, anexos de cada una de las declaraciones físicos o magnéticos, así:
Mensual: Retención en la Fuente, Autorretención y retención de ICA (en los municipios que aplique)
Bimestral: Declaración de IVA, Autorretención y retención de ICA (en los municipios que aplique), Declaración de ICA y Retenciones de ICA en Bogotá.
Anual: Declaración de Renta, declaración de ICA anuales, declaración de activos en el exterior, declaración de precios de transferencia e Impuesto a la riqueza.
S.1.3.1.2 05/07/2017 Deloitte
En caso de encontrar inconsistencias, el Prestador de Servicio(Jefe Tributario/Especialista Tributario y Aduanero) envía correo electrónico al Prestador de Servicio (outsourcing), solicitando ajuste o modificación.
Posteriormente, son firmadas por el Gerente General de ODC en señal de aprobación de las declaraciones tributarias.
En caso de ajustes o modificaciones al cálculo de los impuestos, el Prestador de Servicios (Jefe de Impuestos/Especialista Tributario y Aduanero) envía correo electrónico al outsourcing con la solicitud de cambios.
Para el cierre anual o cierre de propósitos específicos, el cálculo del impuestos se realiza sobre bases reales, esto es, ingresos, costos y gastos arrojados del sistema SAP. Posteriormente, se realiza la depuración de
ingresos gravados y no gravados y de costos/gastos deducibles y no deducibles dejando la captura de pantalla de SAP del registro en la hoja de trabajo Excel.
Informar al área de cuentas por pagar y tesorería el valor a pagar de las declaraciones tributarias (DIAN, municipales) y la fecha límite de pago, así como solicitar los soportes del pago de cada una de estas y
verificar que el mismo se haya realizado oportunamente.
N/A N/A Control eliminado S.1.3.3.9 05/07/2017 Deloitte
De generarse un saldo a favor no se emite comunicado al área de cuentas por pagar y tesorería.
1.Realizar seguimiento a las fechas de vencimiento de las solicitudes de información enviadas por los entes de control.
N/A N/A Control eliminado S.1.3.3.10 05/07/2017 Deloitte
2. Aprobar (a)las respuestas emitidas por el Prestador de Servicios (área de impuestos) (b), hacía los requerimientos ordinarios y especiales de los entes de control.
Correo electrónico por parte del Prestador de Servicios (Supervisor de Activos Fijos) al analista de activos fijos con el visto bueno para el registro de la depreciación.
Si aplica,
Correo electrónico por parte del Prestador de Servicio (Supervisor de Activos Fijos) al analista con las diferencias e inconsistencias para ajustes.
2. Correo electrónico por parte del Outsourcing Contable Analista al Supervisor al analista de activos fijos con el visto bueno para el registro de la depreciación.
Si aplica,
Correo electrónico por parte del Outsourcing Contable Supervisor al Analista del Outsourcing con las diferencias e inconsistencias para ajustes.
Se elimina el riesgo relacionado con la distribución de costos dado que ODC por
tener un solo ducto no requiere de una distribución d costos. Se deja el riesgo
Se elimina el control de distribución de costos dado que ODC por tener un solo ducto no requiere de una distribución de costos, adicionalmente la actividad de verificación que las cuentas 7 se traslada alas
relacionado con operación y mantenimiento.
cuentas 6 se incluyó en el check list.
Ajuste en el Riesgo asegurando
Sobrestimación o Subestimación ( involuntaria/ intencional) de los costos directos Ajuste en la descripción
temas de fraude y corrupción y Control ajustado:
V2 Costos Actualización Matrices SOX 2017 S.1.6.1 e indirectos debido a: errada causación frente a la estructura contable de costos, de la actividad del S.1.6.1.1. 05/07/2017 Deloitte
estandarizando a los riesgos de Aprobar la revisión del registro en el sistema SAP por concepto de costos de operación y mantenimiento con base en el correo electrónico elaborado por el Profesional de Finanzas. El Profesional de Finanzas
desviaciones importantes en el establecimiento de presupuestos y en su control.
CENIT. verifica lo presupuestado vs lo ejecutado, detalle que se extrae del sistema SAP, comparando las cifras y solicitando explicación al encargado de la operación y mantenimiento (Ecopetrol) para diferencias que
coherencia con la ejecución del contrato y falta de análisis de los responsables del
superen un porcentaje mayor a 10%. En el caso de que la justificación no corresponda a la realidad del servicio se debe solicitar el ajuste / reclasificación correspondiente.
procesos, lo cual genera errores en la valuación del costeo, inconsistencias en las
distribuciones de costos y Estados Financieros no acordes con la realidad del
negocio.
Confirmar saldos, firmas autorizadas y entidad financiera, relacionadas con las cuentas bancarias, fiducias y cualquier otro tipo de producto financiero a través de circularizaciones sobre las cuales se solicita el
siguiente detalle:
Verificar el cálculo de intereses de mora de acuerdo con las facturas de clientes que presentan vencimiento y el recalculo en Excel enviado por el Analista de Cartera- Outsourcing por medio de correo electrónico.
Cuentas por Cobrar Control eliminado S.1.5.1.2. 05/07/2017 Deloitte
Nota: Los intereses de mora son calculados por el sistema SAP
Revisar el proceso de gestión de cobranza y provisión de cartera (si aplica) para todos los clientes que presentan cartera vencida por medio del seguimiento (llamada telefónica o correo electrónico) consignado en
la hoja de cálculo; El Prestador de Servicios (Especialista de Liquidez, Deuda y Seguros) calcula la provisión de cartera de acuerdo a la guía de provisión de cartera del Prestador de Servicios. El cálculo es revisado
por el Prestador de Servicios (Jefe de Tesorería)
Ajuste en la descripción
Cuentas por Cobrar de la actividad del S.1.5.1.2. En el caso que aplique la provisión, el Prestador de Servicios (Jefe de Tesorería) envía correo electrónico al Prestador de Servicios (Jefe de Contabilidad) para el registro y posteriormente confirma el valor de la 05/07/2017 Deloitte
control. provisión al Prestador de Servicios (Jefe de Tesorería) por medio de correo electrónico; posteriormente el Prestador de Servicios (Gerente senior de Finanzas) solicita autorización al Gerente General ODC por correo
electrónico.
Revisar el presupuesto de ingresos costos y gastos en conjunto con la Gerencia General de ODC para posterior presentación a la Junta Directiva
Actualización del proceso de acuerdo a Ajuste en la descripción
Gestión Actualización de valoración del En caso de identificar ajustes en el presupuesto, estos son realizados por DC y entregados nuevamente para revisión Coordinador de
V3 la estructuración del prestador de Todos Todos de la actividad del D.1.3.3.2 30/0972017
Presupuestal riesgos de acuerdo a la RAM 2017 aseguramiento
Servicios control.
Responsable: Gerente General de ODC/ Cenit
(Prestador de Servicios )
Verificar que el presupuesto cargado en el sistema SAP corresponda con la versión final aprobada por la Junta Directiva.
Actualización del proceso de acuerdo a Ajuste en la descripción En caso de requerir algún ajuste, estos son aprobados de acuerdo al Manual Delegación de Autoridad (ODC) y posteriormente son cargados por el prestador de Servicios ( Experto en Proyecciones Financieras) ,
Gestión Actualización de valoración del Coordinador de
V3 la estructuración del prestador de Todos Todos de la actividad del D.1.3.3.2 quién envía correo electrónico con el ajuste o modificación y se verifica nuevamente el cargue del presupuesto en el sistema SAP. 30/0972017
Presupuestal riesgos de acuerdo a la RAM 2017 aseguramiento
Servicios control.
Monitorear las variaciones del presupuesto ejecutado vs lo planeado a fin de identificar variaciones significativas que impacten el desempeño financiero futuro de la Compañía
Actualización del proceso de acuerdo a
Gestión Actualización de valoración del Inclusión de control Coordinador de
V3 la estructuración del prestador de Todos Todos D.1.3.1.4 30/0972017
Presupuestal riesgos de acuerdo a la RAM 2017 nuevo En caso de identificar desviaciones o alertas, se generarán los planes de acción correspondientes para su seguimiento aseguramiento
Servicios
Inclusión de controles,
Actualización del proceso de acuerdo a
Compras y ajustes en la Coordinador de
V3 la estructuración del prestador de Todos Todos Todos Todos Todos 15/10/2017
Contratación descripción de las aseguramiento
Servicios
actividades, etc.
Gestión y
Coordinador de
V4 Capitalización de Controles nuevos de ARO e Impairment 20/12/2017
aseguramiento
Activos