MANUAL DE PROCESOS DE EVALUACION

MPE-01-F-03-1

CONTROL, EVALUACION Y MEJORA DEL SISTEMA DE GESTION

FECHA
8/28/2009

ADMINISTRACIN DEL RIESGO

VERSIN
2

Pgina 1 de 1

CONTEXTO ESTRATEGICO
PROCESO:

ADMINISTRACION DE SISTEMAS DE INFORMACION

FACTORES EXTERNOS

FACTORES INTERNOS

Polticas y programas nacionales (Agenda de conectividad y Gobierno en Lnea).

Baja aplicabilidad de la cultura informtica.

Probabilidad de siniestros.

Desconocimiento y baja aplicabilidad en las polticas y reglamento de uso de las herramientas informaticas.

Celeridad de avances tecnolgicos

Baja aplicabilidad de mecanismos de seguridad informtica.

Terrorismo en el Departamento Norte de Santander.

Baja motivacin y sensibilizacin del talento humano para el manejo de la informacin.

Fallas elctricas en el Departamento Norte de Santander.

Capacitacin continuada en herramientas informticas

Posibles fallas en equipos de cmputo y de conectividad de la red LAN
Asignacin de recursos econmicos insuficientes para el fortalecimiento de la infraestructura tecnolgica.
Copias de seguridad inexistentes o mal realizadas por los funcionarios.

MANUAL DE PROCESOS DE EVALUACION

MPE-01-F-03-2

CONTROL, EVALUACION Y MEJORA DEL SISTEMA DE GESTION

FECHA

VERSIN

2/24/2010

ADMINISTRACIN DEL RIESGO

MATRIZ ADMINISTRACION DEL RIESGO
FECHA DE ACTUALIZACIN:

12/14/2011
IDENTIFICACION DEL RIESGO

(1) TIPO DE PROCESO

(2) PROCESO

(3) OBJETIVO

(4) PROCEDIMIENTO

ANALISIS DE CALIFICACION Y
(6) FACTOR DEL
RIESGO

(5) ACTIVIDADES

(9) FRECUENCIA

(10) IMPACTO

Falta de competencia del equipo humano Subutilizacin del SIA por equivocadas
que realiza la evaluacin del requerimiento respuestas a requerimientos

No organizacin e ingreso oportuno de la

Informacin desorganizada y no disponible
informacin al sistema

Tecnolgico

Obsolescencia o falla de la herramienta Informacin desactualizada, errneamente

informtica
procesada y editada o no disponible

Operacional

Desconocimiento
de
la
informacin
existente o informacin existente no Inventario desactualizado de la informacin
inventariada

6. DILIGENCIAMIENTO DE SOLICITUD DE
Financiero
FACTURA Y VERIFICACION DE PAGO

Desconocimiento de la actividad
genera ingresos para la corporacin

ENTREGA DE INFORMACION AL USUARIO

Corrupcin

Uso indebido de la informacin solicitada

Plagio de la informacin
por parte del usuario

Operacional

No generacin de copias de seguridad por

Perdida de Informacin
parte del usuario

Tecnolgico

Falla de dispositivo

Perdida de Informacin

Financiero

No existen recursos financieros

adquisicin de medios para Backus

Perdida de Informacin

4. ENTREGA DE COPIAS DE RESPALDO EN

Operacional
SITIO EXTERNO DE LA SEDE

Sitio con las condiciones no optimas para

Perdida de Informacin
salvaguardar las copias de respaldo

1. RECEPCION Y CATALOGACION DE LA
SOLICITUD, 2. REALIZACION DE PRUEBAS,
3.
INDUCCION
AL
USUARIO,
4. Tecnolgico
DIAGNOSTICO
DE
HARDWARE,
6.
DIAGNOSTICO DE SOFTWARE

Obsolescencia de equipos de computo

Afectacin de las actividades misionales de

la corporacin

5. ATENCION DE FALLAS DE HARDWARE Y 7.

Financiero
GESTION DE SOPORTE EXTERNO

Falta de recursos para adquisicin de

Afectacin de las actividades misionales de
repuestos requeridos y para renovacin de
la corporacin
soporte tcnico externo

1. EVALUACION DEL REQUERIMIENTO

Operacional

2. RECEPCIN, REVISIN Y ORGANIZACIN

Operacional
DE INFORMACIN

MPA-05-P-01 ADMINISTRACIN
DEL SISTEMA DE INFORMACIN 3. PROCESAMIENTO Y EDICION DE
INFORMACION
AMBIENTAL
4. CONSULTA DE INFORMACIN
VIABILIDAD DE SOLICITUD

MPA-05-P-06 ADMINISTRACION
DE BACKUPS

APOYO

ADMINISTRACION DE
SISTEMAS DE
INFORMACION

Suministrar herramientas
tecnolgicas y servicios
que faciliten el
cumplimiento de la misin
de la Corporacin.

LA

PARA

(7) CAUSA

(8) RIESGO

que No generar ingresos por los servicios

atendidos

1. REALIZACION COPIA DE INFORMACION DE

COMPUTADORES PERSONALES, WEB, BASE
DE DATOS

MPA-05-P-08 SOPORTE Y
ASISTENCIA EN LA OPERACIN
O IMPLEMENTACION DE
HERRAMIENTAS INFORMATICAS

Pgina 2 de 272790136.xls

para

APOYO

ADMINISTRACION DE
SISTEMAS DE
INFORMACION

Suministrar herramientas
tecnolgicas y servicios
que faciliten el
cumplimiento de la misin
de la Corporacin.

MANUAL DE PROCESOS DE EVALUACION

MPE-01-F-03-2

CONTROL, EVALUACION Y MEJORA DEL SISTEMA DE GESTION

FECHA

VERSIN

2/24/2010

ADMINISTRACIN DEL RIESGO

MATRIZ ADMINISTRACION DEL RIESGO
FECHA DE ACTUALIZACIN:

12/14/2011
IDENTIFICACION DEL RIESGO

(1) TIPO DE PROCESO

(2) PROCESO

(3) OBJETIVO

ANALISIS DE CALIFICACION Y
(6) FACTOR DEL
RIESGO

(4) PROCEDIMIENTO
(5) ACTIVIDADES
MPA-05-P-08 SOPORTE Y
ASISTENCIA EN LA OPERACIN
O IMPLEMENTACION DE
NUEVA
HERRAMIENTAS INFORMATICAS 9 PUESTA EN OPERACIN DE
HERRAMIENTA.
10
EVALUAR
CONVENIENCIA
DEL
DESARROLLO DE LA APLICACIN
11 DETERMINAR LA MODALIDAD PARA EL Operacional
DESARROLLO DEL APLICATIVO
12
DESARROLLA
APLICATIVO
CON
PERSONAL VINCULADO
13 DESARROLLA MEDIANTE CONTRATACION

(9) FRECUENCIA

(10) IMPACTO

Herramienta computacional no funciona Afectacin de las actividades misionales de

adecuadamente o requiere mejoras
la corporacin

14 PUBLICACION DE INFORMACION PORTAL

Operacional
WEB

Cadas del servidor de hosting del portal

Informacin no disponible
corporativo

1.
MONITOREO
TECNOLGICA,
3.
REQUERIMIENTOS

Obsolescencia
tecnolgica

infraestructura Afectacin de las actividades misionales de

la corporacin

No realizacin de los mantenimientos Afectacin negativa de los activos de la

programados
Corporacin

No poseer cubrimiento de reposicin de Afectacin de las actividades misionales de

partes y soporte especializado
la corporacin

Alteracin de la informacin de los sistemas

de informacin

INFRAESTRUCTURA
ATENCION
DE Tecnolgico

2. MANTENIMIENTO DE INFRAESTRUCTURA
Financiero
TECNOLOGICA
MPA-05-P-09 ADMINISTRACIN
DE INFRAESTRUCTURA
4. ATENCION DE INCONVENIENTES
Operacional
TECNOLOGICA

2. MANTENIMIENTO DE INFRAESTRUCTURA
Corrupcin
TECNOLOGICA

Pgina 3 de 272790136.xls

(7) CAUSA

de

(8) RIESGO

Uso indebido de la informacin

ANALISIS DE CALIFICACION Y VALORACION

ADMINISTRACION DEL RIESGO

(11) ALCANCE

(12) CALIFICACION
(9+10+11)

(13) ZONA DE
RIESGO

2.3

MEDIO

2.8

ALTO

2.6

ALTO

2.3

MEDIO

1.8

BAJO

2.1

MEDIO

(17) VALORACION
DEL CONTROL

(18) RIESGO Vs.

CONTROL

(19) VALORACION DEL

RIESGO

2.3

ACEPTABLE

Profesional de la Subdireccin de
Ficha de metadatos y mapa asociado. Reportes de
Verificacin de informacin actualizada en la
Planeacin y Fronteras, Tcnicos
aplicativo de Gestin del trmite , shape generado
herramienta.
SIA
a partir de la informacin registrada.
Auditorias realizadas al proceso.
Profesional de Control Interno
Informe de Auditoria.
asociado al proceso,

2.8

ACEPTABLE

Actualizacin
peridica
informticas
Mantenimiento peridico

(14) ACCIONES DE CONTROL

(15) EVIDENCIA DEL CONTROL

(16) RESPONSABLES

Se evalan las competencias del personal antes

Hoja de vida. Requisitos estudio previo. Registros Subdirector
de ser vinculado a la corporacin , Capacitacin
de capacitacin (control de asistencia - acta)
Fronteras
continuada de las herramientas relacionadas.

de

de

Planeacin

herramientas

2.6

ACEPTABLE

Inventario
actualizado
con
la
informacin
Actualizacin del inventario en la medida que se
recepcionada y ubicada en un equipo (servidor) del Tcnicos SIA
recepciona informacin
SIA como destino final.

2.3

ACEPTABLE

Coordinacin entre los procedimientos que Formato de solicitud de facturacin

estn involucrados en el cobro de servicios
Copia del pago realizado

Tcnico SIA

1.8

ACEPTABLE

Uso restringido a la base de datos nica de Control de acceso mediante usuario y contrasea a
Corponor.
los funcionarios autorizados.
Autorizacin previa para la entrega de la Diligenciamiento formato MPA-05-F-01-2 Solicitud
informacin.
de informacin ambiental

Profesional de Sistemas
Tcnico SIA
Subdirector
Planeacin
Fronteras

2.1

ACEPTABLE

Profesional del proceso de

Planeacin
Corporativa
Profesionales de Planeacin de
sistemas

INACEPTABLE

de

2.6

ACEPTABLE

Herramienta informtica actualizada y licenciada.

Profesionales de la Subdireccin

ALTO

Aplicacin de los Planes de Actividades de cada

proceso o proyecto, donde se detalla la
existencia de la actividad de entrega de las
copias de respaldo al rea de sistemas de forma
peridica.
Existencia de la Planeacin de copias de
respaldo de base de datos y pagina web
corporativa.

2.6

ALTO

Se verifica la copia generada y se evala el Archivos de copias generadas en equipo de

Profesional
tamao del archivo. Se realiza peridicamente sistemas y Copia restablecida en base de datos de
sistemas
prueba de calidad de la copia de respaldo
prueba en fecha programada

2.6

ALTO

Se presupuesta para la vigencia el costo de los Apropiacin por rubro materiales y suministros, Subdirector
medios externos para copias de seguridad
para compra de medios.
Fronteras

de

Planeacin

2.6

ACEPTABLE

2.6

ALTO

Se mantiene en un sitio no hmedo y bajo Sitio ubicado en la Oficina de Control y Vigilancia Subdirector
condiciones de acceso restringido
de Los Patios.
Fronteras

de

Planeacin

5.2

MODERADO

2.3

MEDIO

Se realiza renovacin peridica de los equipos

de computo e impresoras de acuerdo a la Procesos de Compra de equipos realizados
disponibilidad de recursos

de

Planeacin

2.3

ACEPTABLE

2.1

MEDIO

Se apropian recursos para adquisicin partes de

computador que puedan llegar a fallar y para
poseer vigentes servicios de soporte tcnico y
actualizacin de sistemas de informacin y
herramientas informticas.

de

Planeacin

2.1

ACEPTABLE

Seguimiento a Planes de Actividades de cada

proceso o proyecto.
Ejecucin de la Planeacin de las copias de
respaldo de base de datos y pagina web
corporativa.
Copia de seguridad realizada y enviada a lugar
externo.

Subdirector
Fronteras

Apropiacin de dineros por rubros indicados para

compra de repuestos y contratos vigentes para Subdirector
servicios de soporte tcnico y de actualizacin de Fronteras
sistemas y herramientas informticas.

Pgina 4 de 272790136.xls

Universitario

ANALISIS DE CALIFICACION Y VALORACION

ADMINISTRACION DEL RIESGO

(11) ALCANCE

(12) CALIFICACION
(9+10+11)

(13) ZONA DE
RIESGO

(17) VALORACION
DEL CONTROL

(18) RIESGO Vs.

CONTROL

(19) VALORACION DEL

RIESGO

2.1

MEDIO

Actas de Reunin, memorandos o correo

Se concerta sobre el requerimiento y alcance
Profesionales Universitarios de
electrnico con la informacin relacionada sobre
de la herramienta con los usuarios involucrados
sistemas
solicitudes y acciones de mejoras de los sistemas.

2.1

ACEPTABLE

2.6

ALTO

Se monitorea el estado del portal web, en caso

Registro de novedades y comunicaciones con Profesionales Universitarios de
de cada se reporta al soporte tcnico y se
proveedor de servicio en caso de falla
sistemas
realiza seguimiento.

2.6

ACEPTABLE

2.1

MEDIO

Se realiza renovacin peridica de la

Subdirector
infraestructura tecnolgica de acuerdo a la Procesos de adquisicin de tecnologa realizados .
Fronteras
disponibilidad de recursos

2.1

ACEPTABLE

2.1

MEDIO

Se realiza plan de mantenimientos preventivos

2.1

ACEPTABLE

2.6

ACEPTABLE

2.6

ACEPTABLE

(14) ACCIONES DE CONTROL

(15) EVIDENCIA DEL CONTROL

(16) RESPONSABLES

de

Planeacin

Profesional
Universitario
de
Plan de mantenimientos preventivos ejecutado de
sistemas y Tcnico Administrativo
acuerdo a la programacin
de sistemas

2.6

ALTO

Se apropian recursos para poseer vigentes

Contratos vigentes de soporte especializado y de Subdirector
contratos de soporte especializado y servicio de
reposicin de partes
Fronteras
reposicin de partes

2.6

ALTO

Acceso restringido a los sistemas

informacin.
Aplicacin del reglamento y polticas
sistemas

de
de

de

Planeacin

Profesional Area de Sistemas

Control de acceso mediante usuario y contrasea a
Jefe de Oficina
los funcionarios autorizados por sus respectivo jefe.
Subdirector de Planeacin
Reglamento socializado
Fronteras

Pgina 5 de 272790136.xls

CRITERIOS DE CALIFICACION Y VALORACION DEL RIESGO

FRECUENCIA
No.

Rango

Formula

3
2
1

Alta
Media
Bajo

> 0,5
Entre <= 0,5 y >0,2
<=0,2

IMPACTO
No.

Rango

Descripcin

Severo

Supera o incumple el rango permitido por los requisitos establecidos (Normatividad Le

Acuerdos - Disposiciones establecidas por la entidad o partes interesadas)

Moderado

Se encuentra dentro de los rangos o parmetros establecidos (Normatividad Legal - Acuerd

Disposiciones establecidas por la entidad o partes interesadas)

Leve

Supera las expectativas de los rangos o parmetros establecidos (Normatividad Leg

Acuerdos - Disposiciones establecidas por la entidad)

ALCANCE
No.

Rango

Descripcin

Global

Eventos que Superan los limites del rea donde se ejecutan las actividades propias d
entidad

Local

Eventos que estn dentro de los lmites donde se ejecutan las actividades propias de la ent

Puntual

Eventos que suceden puntualmente y que se pueden tratar dentro de los lmites dond
ejecutan las actividades propias de la entidad

ZONA DEL RIESGO

Descripcin

No.

Rango

> = 2,5

ALTO

La zona de riesgo supera los lmites establecidos en cuanto a impacto y alcance afectand
actividades que realiza la entidad para lo cual se deben implementar o establecer cont
adicionales

> 2,0 a < 2,5

MEDIO

La zona de riesgo se encuentra en los limites permisibles en cuanto a impacto y alcance,

lo cual se debe evitar que el riesgo se materialice implementando los controles adecuados

< = 2,0

BAJO

La zona de riesgo se encuentra dentro de los rangos establecidos por la entidad en cu

alcance e impacto permitiendo asumir el control del riesgo.

VALORACION DEL CONTROL

Descripcin

No.

Rango

INEFECTIVO

El control no existe, o existe pero no se aplica, o existe y se aplica pero no es efectivo.

ADECUADO

El control existe y est en implementacin pero an no se evidencia su efectividad

EFECTIVO

El control existe y se aplica de manera efectiva, evitando la materializacin del riesgo.

VALORACION DEL RIESGO

No.
>=6

>3 y <6

<=3

Rango

Descripcin

El control con el que actualmente se cuenta para la mitigacin del riesgo no asegura qu
materializacin del mismo no se presente, por lo cual la entidad debe adelantar las acci
INACEPTABLE inmediatas con el fin de asegurar la efectividad del control (establecer el control, reevalu
establecer unos nuevos, entre otros).

MODERADO

El Control existente debe evaluarse mediante auditorias o seguimiento permanente con e

de garantizar el resultado satisfactorio del proceso mediante la mitigacin del riesgo.

ACEPTABLE

Ya la entidad evalu el control y se est asegurando el resultado del proceso, el riesgo no s

materializado y mediante la aplicacin de estos controles se puede asegurar que el riesg
aceptable y se controlar a travs de seguimiento de auditorias de gestin y externas por p
de los entes de control.

ACION DEL RIESGO

300 das hbiles
# de Veces que ocurre la actividad / #
das hbiles trabajados al ao

escripcin

or los requisitos establecidos (Normatividad Legal r la entidad o partes interesadas)

metros establecidos (Normatividad Legal - Acuerdos o partes interesadas)

o parmetros establecidos (Normatividad Legal r la entidad)

escripcin

ea donde se ejecutan las actividades propias de la

onde se ejecutan las actividades propias de la entidad

ue se pueden tratar dentro de los lmites donde se

dad

O
escripcin

blecidos en cuanto a impacto y alcance afectando las

o cual se deben implementar o establecer controles

mites permisibles en cuanto a impacto y alcance, para

erialice implementando los controles adecuados

de los rangos establecidos por la entidad en cuanto

ontrol del riesgo.

NTROL
escripcin

plica, o existe y se aplica pero no es efectivo.

pero an no se evidencia su efectividad

ectiva, evitando la materializacin del riesgo.

SGO

escripcin

enta para la mitigacin del riesgo no asegura que la

e, por lo cual la entidad debe adelantar las acciones
ctividad del control (establecer el control, reevaluarlo,

iante auditorias o seguimiento permanente con el fin

proceso mediante la mitigacin del riesgo.

segurando el resultado del proceso, el riesgo no se ha

estos controles se puede asegurar que el riesgo es
uimiento de auditorias de gestin y externas por parte