4. NUESTRA GESTIÓN
4.1 Avances y Logros del Sistema Integrado de Gestión
El Sistema Integrado de Gestión – SIG, es una de las herramientas de gestión de Fiduprevisora S.A, que sirve para dirigir, evaluar y mejorar el desempeño de la entidad, a través de su modelo de gestión por procesos alineado a los referentes normativos relacionados. Tiene como propósito mejorar continuamente los servicios fiduciarios, dar cumplimiento a los propósitos organizacionales establecidos en el Direccionamiento Estratégico y aumentar la satisfacción de las necesidades, intereses y expectativas de los clientes y demás partes interesadas.
Fiduprevisora S.A. se encuentra fielmente comprometida con el SIG el cual incluye cuatro sistemas de gestión: Calidad, Ambiental, Seguridad de la Información y Seguridad y Salud en el Trabajo. Este último recientemente vinculado al SIG.
Figura No. 22. Sistema Integrado de Gestión.
Estos sistemas se encuentran relacionados y son interdependientes, es decir, que lo que afecta a uno positiva o negativamente, impacta al otro, pues se fundamentan en el propósito permanente que tiene la fiduciaria por:
Mejorar continuamente la eficacia, eficiencia y efectividad del SIG.
El uso racional de los recursos naturales y la prevención de los impactos ambientales y la contaminación generada por nuestras actividades.
Dar cumplimiento a la legislación y otros requisitos de partes interesadas aplicables a nuestras actividades, productos y servicios.
Preservar la información orientando sus esfuerzos a garantizar la confidencialidad, integridad y disponibilidad, contando para ello con la identificación adecuada de sus activos y el tratamiento de riesgos.
Asegurar la continuidad de las operaciones críticas del negocio.
Garantizar la salud y seguridad de nuestros trabajadores previniendo los riesgos psicosociales y ergonómicos.
El SIG es evaluado anualmente, entre otros mecanismos, a través de auditorías de primera parte realizadas directamente por o en nombre de Fiduprevisora y de tercera parte por el Ente Certificador ICONTEC. Para este año 2017 los resultados a nivel general son los siguientes:
Auditoria Externa – Realizada en el Mes de Mayo.
SGC
SGSI
SGA
SG SST
SIG SISTEMA NORMA LOGROS NC
SGC Sistema de Gestión de la Calidad
NTC GP 1000
Renovación del certificado por tres (3) años, hasta 2020. Actualización del Sistema a la
nueva versión 2015 2 ISO 9001
SGA Sistema de Gestión
Ambiental ISO 14000
Permanencia del Certificado Actualización del Sistema a la
nueva versión 2015
SGSI
Sistema de Gestión de Seguridad de la
Información
ISO 27001 Permanencia del certificado 2
*NC: No Conformidad
Tabla No. 30. Resultado Auditoría Externa Mayo de 2017.
Auditoria Interna – Realizada los meses de mayo, agosto, septiembre y octubre.
SIG SISTEMA NORMA NC
SGC Sistema de Gestión de la Calidad NTC GP 1000 29 ISO 9001
SGA Sistema de Gestión Ambiental ISO 14000 6*
SGSI Sistema de Gestión de Seguridad
de la Información ISO 27001 3
* De las 6 NC, 5 corresponden a NC compartidas con el SGC.
Tabla No. 31. Resultado Auditoría Interna Mayo, Agosto, Septiembre y Octubre de 2017.
Lo anterior, evidencia que el SIG de la Fiduciaria satisface los requisitos de la organización y de las normas ISO 9001:2015, NTCGP 1000:2009, ISO 14001:2015 - ISO/IEC 27001:2013, y que éste se mantiene y mejora continuamente.
En paralelo con el seguimiento y medición que se realiza permanentemente al Sistema Integrado de Gestión a través de las auditorías internas e indicadores de gestión, sigue siendo de gran importancia para Fiduprevisora conocer el nivel de madurez del sistema logrado frente a la meta establecida por la Alta Dirección.
En consecuencia, Fiduprevisora ha realizado medición anual al Nivel de Madurez de los sistemas de gestión de calidad, ambiental y seguridad de la información. De acuerdo con los resultados obtenidos, se establecieron Planes de Mejoramiento que han permitido fortalecer los aspectos y requisitos del SIG.
RESULTADOS 2016 RESULTADOS 2017
SISTEMA CALIFICACIÓN VALOR DEL
INDICADOR CALIFICACIÓN VALOR DEL INDICADOR SGC 3,7 2,59 3,8 2,29 SGA 4,1 0,62 4,1 0,82 SGSI 3,8 0,57 4,0 0,80 SIG 3,9 3,80 3,97 3,91 Meta 3.90 Meta 3,90
Tabla No. 32. Nivel de Madurez SIG 2016-2017.
De acuerdo con este resultado, la fiduciaria estableció un plan de mejoramiento que le permite fortalecer los requerimientos que exige la normatividad aplicable a cada sistema de gestión y contribuir de esta manera con el cumplimiento de los objetivos estratégicos, como se describe a continuación:
Sistema de Gestión de la Calidad
Objetivo: Aumentar la calidad del servicio que presta la fiduciaria y la satisfacción de las
necesidades de los clientes y demás partes interesadas, mediante la mejora continua de sus procesos, la medición de los resultados y la gestión y evaluación del desempeño, enmarcado en el Direccionamiento Estratégico.
Logros:
Cumplimiento de la meta en la evaluación realizada en el primer trimestre 2017, lo que refleja el aumento del Nivel de Madurez del SIG y su contribución al cumplimiento de los objetivos estratégicos.
Renovación del certificado por tres (3) años, hasta 2020. Actualización del Sistema a la nueva versión 2015.
Concienciación institucional de la importancia de la gestión adecuada y oportuna de los planes de acción para el mejoramiento de los procesos, lograda a través de asesoría, acompañamiento y seguimiento por parte de la Dirección Sistemas de Gestión.
El continuo mejoramiento y optimización de Procesos y Procedimientos de la entidad, logrando a la fecha una actualización del 22% de documentos del SIG:
TIPO DE DOCUMENTO DOCUMENTOS ACTUALIZADOS TOTAL DE DOCUMENTOS SIG Formato 82 426 Instructivo 19 106 Manual de Políticas 21 49 Manual de Procedimientos 48 224 Manual Operativo 5 8 TOTAL 175 813
Tabla No. 33. Actualización de Documentos. Nota: El alcance no incluyó Manuales de Funciones y Competencias Laborales
Igualmente, en lo corrido de la vigencia 2017, se ejecutaron con la participación de los responsables de los procesos, los siguientes proyectos:
Protección de Datos
Gerencia de Proyectos de TI Contratación de Empresa
Optimización del proceso de Pagos de la Vicepresidencia de Administración Fiduciaria, incluidas las Oficinas Regionales.
Ejecución integral del proceso de auditoría interna a los tres Sistemas de Gestión: calidad, ambiental y seguridad de la información; con alcance a todos los procesos de la entidad, Oficina Principal y a las Oficinas Regionales (Barranquilla, Cartagena y Manizales).
Articulación de la metodología en la gestión de los planes de mejoramiento institucional.
Entrenamiento teórico-práctico al equipo Auditor y profesionales de la Dirección Sistemas de Gestión, sobre los cambios en las nuevas versiones de las normas SGC ISO 9001:2015, SGA ISO 14001:2015 y SGSI ISO 27001:2013.
Formación en acciones correctivas y preventivas efectivas, en la cual participaron 21 funcionarios de la entidad: Miembros del Equipo de Mejoramiento, auditores Internos y Profesionales de la Dirección Sistemas de Gestión.
Sistema de Gestión Ambiental
Objetivo: Prevenir, mitigar, corregir y controlar los impactos ambientales que genera
Fiduprevisora S.A., por el desarrollo de su objeto social, mediante la promoción del uso eficiente de recursos naturales (agua, energía y papel) y el manejo adecuado de los residuos peligrosos y no peligrosos.
Logros:
Ampliación de la vigencia de los Convenios con Fundaciones SANAR y María José, para la donación de tapas plásticas. Esta relación comercial contribuye con el reciclaje de residuos y la ayuda de niños con cáncer.
Actualización de la documentación del SGA, mediante la revisión cuidadosa de la normatividad ambiental vigente. Se han realizado modificaciones de: Matriz de Identificación de Aspectos, Valoración y Control de Impactos Ambientales, Matriz de Requisitos Legales en Seguridad y Salud en el Trabajo, Medio Ambiente y Otros Requisitos, Matriz de Criterios Ambientales para la Adquisición de Bienes y Servicios, Manual de Políticas Ambientales y Manual de Gestión Integral de Residuos.
Donación de 5,8 toneladas de residuos reciclables (papel, cartón, vidrio y plástico) a la Asociación de Recicladores de Bogotá, con corte a septiembre de 2017.
Mesas de trabajo con diversas áreas de Fiduprevisora para fortalecer el control ambiental de proveedores.
Participación en el Programa de Gestión Ambiental Empresarial – GAE de la Secretaría Distrital de Ambiente.
Ejecución de actividades lúdicas para fortalecer el grado de conciencia ambiental de los funcionarios de Fiduprevisora, a través de: obras de teatro, capacitación práctica con personal de la Asociación de Recicladores de Bogotá, inspecciones, premiación de áreas con mejor desempeño ambiental y caminatas ecológicas.
Sistema de Gestión de Seguridad y Salud en el Trabajo
Objetivo: Contamos con un Sistema de Gestión de Seguridad y Salud Ocupacional cuyo
objetivo es proveer a nuestros funcionarios un ambiente laboral sano y seguro; en consonancia con nuestros esfuerzos por atraer y retener el mejor talento de la región y ser cada día un mejor lugar de trabajo.
Logros:
Integración paulatina del Sistema de Gestión de la Seguridad y Salud en el trabajo, al Sistema Integrado de Gestión.
Alcance del sistema a todas las sedes y regionales en el país.
Capacitación de los 40 funcionarios que conforman la Brigada, para prevención y respuesta a emergencias
Seguimiento y cierre de casos, recomendaciones médicos ocupacionales. Ejecución de la campaña de salud preventiva.
Ejecución de la Semana de la Salud, cubrimiento de sedes, realización de exámenes médicos ocupacionales periódicos.
Conformación y funcionamiento de los Comités de Comité de Convivencia Laboral, Comité Paritario de Seguridad y Salud en el Trabajo.
Ejecución de las ferias de salud: servicios médicos como tamizaje cardiovascular, perfil lipídico, toma puestos de trabajo (pausas activas lúdicas).
Implementación de programas de ergonomía (Inspecciones ergonómicas en puestos de trabajo, a nivel nacional).
Investigación de incidentes medidas preventivas y correctivas para prevenir accidentes y enfermedades.
Capacitación con el personal de servicios generales, mantenimiento y remodelaciones sobre aspectos de Salud y Seguridad (puestos de trabajo).
Planeación y ejecución de simulacros de emergencias en todas las oficinas y sucursales.
Estudio y medición de Iluminación, en la Calle 72, Davivienda y Fomag.
Adquisición de elementos ergonómicos para los puestos de trabajo, soportes para monitor, pad mouse, descansa pies.
Sistema de Gestión de Seguridad de la Información
Seguridad de la Información se encuentra alineado a los objetivos definidos en la Planeación Estratégica, para este fin se fortalecieron los mecanismos para el cumplimiento de los requerimientos mínimos de seguridad y calidad de la información que se maneja a través de canales e instrumentos para la realización de operaciones.
Seguridad de la Información
Para dar cumplimiento a los controles de las CE 042/2012, se realizaron mesas de trabajo con GAD y GTI para fortalecer los procesos, procedimientos y controles diseñados para proteger la información de la entidad. Fortalecimiento del cumplimiento CE 042/2012.
Se fortaleció el equipo de trabajo con el ingreso de un profesional y un practicante en seguridad de la información como apoyo a todos los temas de Seguridad de la Información y Continuidad del Negocio.
Se fortaleció la seguridad en el manejo de los Portales Web de FOMAG y FIC con las recomendaciones de buenas prácticas para nuestros clientes previniendo modalidades de robo o fraude electrónico.
Preparación auditorías (interna y externa).
Actualización del manual Gestión Riesgos de Seguridad de la Información (Nov 2016 y julio 2017).
Gestión de Incidentes de Seguridad de la Información.
Fortalecimiento del uso de carnet como control de acceso a las instalaciones de la Entidad.
Implementación de Label de acceso de control a las instalaciones de Fiduprevisora. Se fortaleció el monitoreo de herramientas tecnológicas de seguridad de la información (PowerPlay, LEM, Grabación de Video).
Renovación del Certificado del Sistema de Gestión de Seguridad de la Información ISO 27001:2005/2013.
Implementación de la herramienta KeePass para la administración y almacenamiento seguro de usuarios y contraseñas para GTI, Contabilidad, FIC y Cumplimiento.
Actualización de la metodología y mapa de riesgos de seguridad de la información para los procesos de inversiones y riesgos de inversión con ampliación al proceso de Gestión Tecnológica.
Registro de la entidad en el grupo de CSRIT (Policía Nacional), para la prevención, atención e investigación de los eventos e incidentes de seguridad informática. Divulgación Tips de seguridad de la información por correo electrónico. Capacitación Auditores Internos en seguridad de la información.
Gestión de Incidentes de Seguridad de la Información
Ejecución de análisis de vulnerabilidades a la plataforma informática.
Continuidad de Negocio
Simulacro programado sin previo aviso el 7 de septiembre de 2016 donde participo Inversiones, Pagos, GAD, Tesorería, Soporte Jurídico, cumplimiento, ejecución presupuestal contabilidad.
Se ejecutaron dos (2) pruebas de los canales de comunicación, cinco (5) pruebas funcionales y una (1) prueba integral.
Actualización Manual del Plan de Continuidad del Negocio (noviembre 2016). Actualización del Plan Alterno de Operaciones – PAGOS (mayo 2017).
Se realizó actualización del listado del personal crítico del PCN.
Generación del cronograma de pruebas del año 2017 aprobadas por el comité de riesgo operativo.
Actualización del árbol de llamadas del PCN.
Capacitación al personal crítico del plan de continuidad de negocio.
Cumplimiento de los planes de acción relacionados con los hallazgos de las auditorías realizadas por las firmas auditoras Deloitte y KPMG Consorcio FONPET.
Protección de Datos Personales
Contratación del oficial de privacidad en junio del 2017.
Implementación Ley 1581 de 2012 Protección de Datos Personales, el cual contempla las siguientes fases:
Fase I – Aspectos Preliminares:
Reunión kickoff / Arranque del proyecto
Habilitación de usuarios y demás aspectos logísticos Análisis documental preliminar
Coordinación de reuniones
Presentación plan de trabajo detallado
Fase II - Entendimiento y diagnostico (agosto a septiembre 2016)
Entendimiento del ciclo de la información Comunicaciones a terceros encargados y responsables del tratamiento de información.
Requerimiento confirmación sedes regionales Informe diagnóstico
Elaboración diagramas ciclo información
Inventario de bases de datos corporativo integrado Documentación de resultados jurídicos
Documentación de resultados seguridad
Fase IV - Validación y Socialización (octubre a noviembre 2016)
Realización de mesas de trabajo para validación de diagramas del ciclo de la información
Ajustes de entregables con base en resultados de validación Presentación de resultados
Fase V - Capacitación y acompañamiento (noviembre 2016 a enero 2017)
Acompañamiento realización del Registro Nacional de Bases de Datos Realización de sesiones de capacitación
Resolución de dudas o inquietudes del equipo de trabajo
Principales actividades
90 – Reuniones y 59 puntos de captura de datos Política de Tratamiento de datos personales Manual de políticas y procedimientos internos. Avisos de privacidad y/o solicitudes de autorización. Lineamientos para el relacionamiento con terceros. Lineamientos para la supervisión de terceros.
Modelo de cláusulas o anexo contractual con encargados de tratamiento. Modelo de declaración cumplimiento de responsable del tratamiento
Modelo de cláusulas contrato laboral en material de protección de datos personales
Inventario y registro de bases de datos personales ante el RNBD Diagramas de ciclo de vida del dato de cada área de la Compañía. Metodologías de gestión del riesgo
Catálogo de amenazas y vulnerabilidades Matriz de riesgos y controles
Directrices de requisitos mínimos de seguridad sobre datos personales.
Identificación de la mesa técnica y jurídica en relación a la incorporación del análisis de impacto de privacidad.
Inicio de la incorporación de los ciclos de información dentro del software oncesolutions.
Oportunidades De Mejora Continua SGSI
Como mejora continua del SGSI se ha venido trabajando en el fortalecimiento la cultura de las buenas prácticas de seguridad de la información mediante campañas corporativas, capacitaciones e inducciones al personal, la ampliación del alcance del SGSI gestionando los
riegos de Seguridad de la Información de todos los procesos y la revisión del inventario de activos de información que permita actualizar la matriz de riesgos.