Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Manualcontinuidadnegocio 151127200402 Lva1 App6891 PDF
Manualcontinuidadnegocio 151127200402 Lva1 App6891 PDF
Mayo de 2013
Cdigo:
Versin: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Pgina: 2 de 123
Contenido
1 INTRODUCCION 4
2 OBJETIVOS 4
3 ALCANCE 5
4 CONCEPTOS BASICOS 5
5 CAUSAS DE INTERRUPCION 7
6 GOBIERNO DE CONTINUIDAD 8
6.1 LINEAMIENTOS 8
6.4 ELEMENTOS QUE CONFORMAN LA ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO 15
6.5 ENTRENAMIENTO 15
7.2.3 ALCANCE 38
8 ANEXOS 39
117
8.6.2 RESULTADO DE LA ETAPA DE ANALISIS DE IMPACTO DEL NEGOCIO BIA 118
Cdigo:
Versin: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Pgina: 4 de 123
1 INTRODUCCION
El Plan de Continuidad del Negocio es una herramienta que mitiga el riesgo de no disponibilidad
de los recursos necesarios para el normal desarrollo de las operaciones y como tal hace parte
del Sistema de Gestin de Riesgo Operativo, ofreciendo como elementos de control la
prevencin y atencin de emergencias, administracin de la crisis, planes de contingencia y
capacidad de retorno a la operacin normal.
2 OBJETIVOS
Lograr un nivel de preparacin frente a incidentes que permita asegurar que puede proteger la
integridad de las personas y bienes de la entidad en forma adecuada, realizando una buena
administracin de la crisis.
Minimizar las decisiones a tomar en caso de contingencia para evitar cometer errores.
Cdigo:
Versin: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Pgina: 5 de 123
3 ALCANCE
4 CONCEPTOS BASICOS
Plan de Continuidad de Negocio (PCN): Conjunto detallado de acciones que describen los
procedimientos, los sistemas y los recursos necesarios para retornar y continuar la operacin,
en caso de interrupcin1.
Plan de Recuperacin de Desastres (DRP): Es la estrategia que se sigue para restablecer los
servicios de tecnologa (red, servidores, hardware y software) despus de haber sufrido una
afectacin por un incidente o catstrofe de cualquier tipo, el cual atente contra la continuidad del
negocio.
Anlisis de Impacto del Negocio (BIA): Es la etapa que permite identificar la urgencia de
recuperacin de cada rea, determinando el impacto en caso de interrupcin.
Amenaza: Persona, situacin o evento natural del entorno (externo o interno) que es visto como
una fuente de peligro, catstrofe o interrupcin. Ejemplos: inundacin, incendio, robo de datos.
1
Concepto tomado del Captulo XXIII Reglas relativas a la administracin del riesgo operativo de la Circular
Bsica Contable de la Superfinanciera.
2
Concepto tomado del Captulo XII Requerimientos mnimos de seguridad y calidad en el manejo de
informacin a travs de medios y canales de distribucin de productos y servicios- Ttulo I de la Circular Bsica
Jurdica de la Superfinanciera.
Cdigo:
Versin: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Pgina: 7 de 123
Control: Es el proceso, poltica, dispositivo, prctica u otra accin existente que acta para
minimizar el riesgo o potenciar oportunidades positivas.
Riesgo inherente: Es el clculo del dao probable a un activo de encontrarse desprotegido, sin
controles.
5 CAUSAS DE INTERRUPCION
Los planes de contingencia se definen de acuerdo con las causas de las posibles interrupciones
y a partir de ellas se referencian las acciones a seguir en caso que las mismas se presenten.
Estas se pueden unificar en los siguientes escenarios:
No acceso al sitio normal de trabajo: Se presenta cuando por algn evento como desastre
natural, enfermedad contagiosa, actividad terrorista, problemas de transporte, huelgas, entre
otros, el personal no puede acceder a su lugar de trabajo para desarrollar las actividades
propias de su cargo. En este caso y con el nimo de no interrumpir la operacin del proceso
crtico se debe contar con un sitio alterno de trabajo, el cual puede ser:
Cada de los sistemas tecnolgicos: Se presenta cuando el hardware y/o software presenta
falla(s) o cuando haya interrupcin prolongada de las comunicaciones, ocasionados por: datos
corruptos, fallos de componentes, falla de aplicaciones y/o error humano.
No contar con los Proveedores Externos: Se presenta cuando una o varias actividades del
proceso crtico son realizadas por el proveedor y cualquier falla de ste, generara la no
realizacin efectiva del proceso. En este caso se debe garantizar que en el contrato con el
proveedor se especifique la existencia de un Plan de Continuidad del Negocio documentado,
adicional, sea probado en conjunto con los colaboradores de la Entidad y aprobado por el
Icetex.
Cdigo:
Versin: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Pgina: 8 de 123
6 GOBIERNO DE CONTINUIDAD
6.1 LINEAMIENTOS
Los lineamientos se sustentan en un conjunto de principios que han sido formulados basndose
en las necesidades del negocio y en el entendimiento de los riesgos asociados, ellos son:
Las etapas de la Administracin de PCN deben ser ejecutadas por cada una de las reas de
la Entidad, con la gua y coordinacin de la Oficina de Riesgos.
Los Jefes de rea deben designar un Lder de Plan de Continuidad del Negocio, quien es
responsable de apoyar las actividades del Programa de Plan de Continuidad de Negocios
para el rea que representa.
Las diferentes etapas que conforman la fase de Prevencin deben ser ejecutadas con la
siguiente frecuencia:
o El anlisis de impacto del negocio debe actualizarse cada dos (2) aos o cada vez que un
Lder de Proceso lo requiera, teniendo en cuenta los cambios del Instituto y sus
necesidades.
Cdigo:
Versin: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Pgina: 9 de 123
Los procesos crticos deben ser recuperados dentro de los mrgenes de tiempo requeridos en
los Planes de Continuidad del Negocio.
La Entidad ha definido como el nivel mximo de aceptacin del riesgo residual, la clasificacin
de Tolerable.
Los procesos / servicios del Instituto que sean desarrollados por terceros contratados deben
disponer de planes de continuidad, para lo cual el funcionario interventor del contrato debe
solicitar este documento y remitirlo a la Oficina de Riesgos, donde se analizar la cobertura
del mismo. Adicionalmente, se debe verificar que los planes, en lo que corresponden a los
servicios convenidos, funcionen en las condiciones esperadas, donde la Oficina de Riesgos
debe coordinar con el rea responsable del contrato la ejecucin de pruebas a dicho plan.
Circular 041/2007- SARO: Las entidades deben definir, implementar, probar y mantener un
proceso para administrar la continuidad del negocio que incluya la prevencin y atencin de
emergencias, administracin de la crisis, planes de contingencia y capacidad de retorno a la
operacin normal.
Circular 042/2012: Exigir que los terceros contratados dispongan de planes de contingencia y
continuidad debidamente documentados. Las entidades debern verificar que los planes, en
lo que corresponde a los servicios convenidos, funcionen en las condiciones pactadas.
Adems, existen metodologas del Plan de Continuidad del Negocio fundamentado en el uso de
buenas prcticas reconocidas y normas internacionalmente aprobadas basadas en la gestin de
riesgos, entre ellas se encuentran DRI International (Disaster Recovey Institute International) e
ISO 22301, ISO27001, las cuales fueron tenidas en cuenta para la elaboracin de este
documento.
En caso en que el Comit active el plan de continuidad, podr invitar a otros funcionarios
responsables de actividades que impacten la operacin del negocio, caso la Oficina Asesora de
Comunicaciones.
A) ROLES Y RESPONSABILIDADES
Director de Continuidad
El Director de Continuidad es el encargado de dirigir y liderar todas las actividades del plan de
continuidad del negocio. Es responsable de declarar la contingencia ante el escenario de
interrupcin de lugar de trabajo, con base en las decisiones tomadas por el Comit SARO-
SARLAFT o en situaciones donde amerite realizar su activacin inmediata.
Responsabilidades
Delegar de manera expresa en el Comit SARO- SARLAFT, la responsabilidad de
actualizar, mantener y probar el plan de continuidad.
Evaluar y aprobar los recursos requeridos para establecer y mantener la estrategia de
recuperacin y contingencia de la entidad.
Liderar las reuniones del Comit SARO SARLAFT.
Advertir sobre nuevos riesgos que afectan la continuidad de la operacin normal de la
entidad y que ponen al descubierto debilidades del plan de continuidad.
Monitorear los reportes sobre el estado de recuperacin o evaluacin durante una
contingencia.
Velar por la seguridad del personal que acta en el rea del evento.
Establecer los objetivos de recuperacin y activar el plan de continuidad ante el escenario
de interrupcin de lugar teniendo en cuenta el resultado de la evaluacin
Velar por la ejecucin del debido anlisis causa raz del evento que ocasion la
contingencia.
Asumir el rol y cumplir con las responsabilidades de Director de Continuidad cuando ste
no se encuentre disponible.
Cdigo:
Versin: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Pgina: 12 de 123
Lder Administrativo
El Lder Administrativo ayuda a coordinar los aspectos logsticos internos cuando la Entidad
se encuentre operando bajo contingencia. Es quien ayuda a gestionar en cada una de las
instalaciones el suministro de elementos esenciales para asegurar el desarrollo de la
operacin.
Responsabilidades
Coordinar el suministro de elementos esenciales como transporte, recursos de
infraestructura y papelera.
Gestionar la consecucin y adecuacin de los centros alternos de operaciones segn el
plan de operaciones en contingencia.
Mantener informado al Comit SARO-SARLAFT sobre incidentes por falta de suministros.
Responsabilidades
Liderar la recuperacin tecnolgica, basados en las estrategias de continuidad
implementadas.
Identificar los posibles riesgos de aspectos tecnolgicos que afectan la continuidad de la
operacin normal de la Entidad y que ponen al descubierto debilidades del plan de
continuidad.
Mantener comunicacin constante entre Coordinadores de Recuperacin del Negocio
durante el estado de contingencia.
Colaborar en la comunicacin a los proveedores de los temas o servicios de su
competencia, sobre el estado de contingencia en que se encuentra la Entidad, esto previa
decisin y autorizacin del Director de Continuidad, mediante comunicado elaborado en
conjunto con la Oficina Asesora de Comunicaciones.
Entregar los reportes correspondientes al Comit SARO-SARLAFT sobre el estado de la
recuperacin.
Cdigo:
Versin: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Pgina: 13 de 123
Coordinadores de Recuperacin
Responsabilidades
Liderar las reuniones del equipo de recuperacin, para diagnosticar y evaluar las
interrupciones que estn afectando la prestacin del servicio.
Ejecutar los planes de contingencia ante el incidente presentado.
Identificar los posibles riesgos que afectan la continuidad de la operacin normal de la
Entidad y que ponen al descubierto debilidades del plan de continuidad.
Mantener comunicacin constante durante el estado de contingencia.
Colaborar en la comunicacin a los proveedores sobre el estado de contingencia en que se
encuentra la Entidad, esto previa decisin y autorizacin del Director de Continuidad,
mediante comunicado elaborado en conjunto con la Oficina Asesora de Comunicaciones.
Entregar los reportes correspondientes al Comit SARO-SARLAFT sobre el estado de la
recuperacin de sus reas.
Velar por la realizacin de las pruebas del plan de continuidad y revisar los resultados
obtenidos en la misma.
Verificar que las actividades de ajuste sobre el plan, resultado de las pruebas, hayan sido
ejecutadas e implementadas.
Responsabilidades
Realizar las actividades que le sean asignadas durante la declaracin de contingencia.
Advertir sobre riesgos que puedan afectar la continuidad en la prestacin del servicio o la
funcionalidad del plan.
Cdigo:
Versin: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Pgina: 14 de 123
Asesor de Comunicaciones
Responsabilidades
Asesorar al Comit SARO-SARLAFT y especficamente al Director de Continuidad en
temas de comunicacin en momentos de crisis.
B) LINEA DE SUCESION
Se identifica los responsables asignados a los diferentes roles del plan de continuidad y sus
alternos en caso de que estos no puedan asumir las actividades y/o tareas.
Cada rea cuenta con un Lder de PCN, quien tiene las siguientes responsabilidades en la
administracin del plan de continuidad sobre los procesos / procedimientos a cargo:
Actuar como punto focal del rea para todos los asuntos de continuidad del negocio.
Cumplir con las actividades y fechas establecidas del Cronograma de PCN.
Mantener informados a todos los colaboradores de sus respectivas reas, los planes de
contingencia que les compete.
Asegurar la aplicacin correcta de los PCN al interior del rea.
Cdigo:
Versin: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Pgina: 15 de 123
En el Anexo No. 8.6.1 se encuentra la Relacin de los Lderes de PCN y Lderes de Proceso
del Icetex.
La Administracin del Plan de continuidad del Negocio est conformada por los siguientes
elementos:
6.5 ENTRENAMIENTO
deseado. A los Jefes de las reas tambin se les capacita y concientiza, ya que son los
responsables de la correcta ejecucin de los planes.
La Oficina de Riesgos suministra los programas de capacitacin, para que sean ofrecidos a todo
el personal a travs de la Secretaria General Grupo de Talento Humano.
La Administracin del Plan de Continuidad de Negocio la componen dos (2) fases, como son:
En esta fase se conocen las necesidades reales de la Entidad y sobre esta base se desarrollan
los diferentes mecanismos de prevencin ante incidentes o desastres que mitigan su impacto.
Est conformada por las siguientes etapas:
A) CONCEPTO
El Anlisis de Impacto del Negocio (de ahora en adelante se identifica como BIA), es una
etapa que permite identificar la urgencia de recuperacin de cada rea, determinando el
impacto en caso de interrupcin. Esta actividad conlleva a identificar los procedimientos
crticos de la Entidad, los recursos utilizados para soportar las funciones, as como sus
proveedores, tambin determinar los sistemas crticos y estimar el tiempo que la Entidad
puede tolerar en caso de un incidente o desastre.
Cdigo:
Versin: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Pgina: 18 de 123
B) OBJETIVO
C) ALCANCE
Establecimiento del tiempo mximo tolerable permitido de prdida de informacin ante una
interrupcin en los sistemas de informacin (RPO).
Definicin de los recursos necesarios para el buen desarrollo de los procedimientos a nivel
de: Tecnologa, personal, infraestructura y soporte proveedores.
Para desarrollar la etapa de Anlisis de Impacto del Negocio - BIA se ha establecido cumplir
con los siguientes pasos:
i. PLANEACION
Contempla los aspectos para el correcto y completo desarrollo del BIA, como son:
Equipo de Planeacin: Cada rea cuenta con un Lder de PCN, que en conjunto con el
Lder de Proceso evalan bajo la metodologa BIA los procedimientos asignados.
Cdigo:
Versin: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Pgina: 19 de 123
Todos los procedimientos de la Entidad, as como los recursos tecnolgicos en los que se
soportan tales actividades son clasificados de acuerdo con su prioridad de recuperacin.
Para ello se mide el tiempo que puede dejar de realizar tal actividad sin que ello cause
prdidas financieras, quejas de los clientes, y/o penalizaciones legales o contractuales. En
caso de continuidad todo gira alrededor del impacto, buscando sostener la operacin crtica
de la Entidad.
La metodologa establece el diligenciamiento del Documento BIA (ver anexo No. 8.5.1), el
cual es aplicado para cada una de los procedimientos que se realizan en la Entidad,
utilizando el mismo patrn de calificacin. A continuacin se detalla el Documento BIA
diseado en la herramienta Excel:
Permite analizar los impactos que puede causar el no ejecutar un procedimiento por
encontrarse ante un incidente o desastre. Los impactos contemplados son:
El cuestionario estima el tiempo durante el cual un procedimiento puede estar sin operar
antes de sufrir impactos considerables para la Entidad. Con base en ello, se fija un Tiempo
de Recuperacin Objetivo (RTO), que consiste en establecer cunto tiempo puede
permanecer la Entidad sin ejecutar una actividad, el uso de una aplicacin o informacin
relevante; est asociado con el tiempo mximo de inactividad. En consecuencia, la mayora
de las preguntas buscan determinar el tiempo en que se puede impactar la Entidad o los
clientes por dejar de realizar el procedimiento ante una interrupcin.
Calificacin BIA: Indica la sensibilidad en tiempo ante los diferentes impactos analizados
por no ejecutarse el procedimiento. Esto se deriva a travs de la realizacin del
cuestionario BIA.
Tiempo Objetivo de Recuperacin (RTO): El perodo de tiempo despus de una
interrupcin, mediante el cual el Instituto debe activar sus planes de contingencia y
recuperacin de las actividades crticas para evitar un impacto significativo.
Valor del BIA: Indica la criticidad del procedimiento basado en la Calificacin BIA y que
impulsa el establecimiento de prioridades de recuperacin durante una situacin difcil.
La tabla de valoracin establecida es la siguiente:
Esta informacin ser el punto de partida para desarrollar las estrategias de recuperacin.
Cdigo:
Versin: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Pgina: 21 de 123
APROBACION DE LA EVALUACION
Los resultados de la Evaluacin BIA de todos los procedimientos son consolidados por la
Oficina de Riesgos. De esta informacin se producen los siguientes resultados, que deben
ser informados al Comit SARO SARLAFT:
En esta etapa se identifican y analizan las posibles amenazas y/o vulnerabilidades de personas,
sistemas, infraestructura y procesos que podran ocasionar riesgos de continuidad para la
Entidad, con el fin de medir el nivel del riesgo.
A) OBJETIVOS
La gestin de riesgos de continuidad tiene por funcin especial reducir la probabilidad de una
amenaza potencial o vulnerabilidad y reducir el impacto que puede provocar un evento de
desastre o una interrupcin significativa en los servicios.
1. Determinar los procesos crticos del rea a cargo, resultado que se obtuvo en la etapa de
Anlisis de Impacto del Negocio (BIA).
2. Establecer los recursos necesarios para la continuidad de los procedimientos crticos, que
tambin se estimaron en la etapa de Anlisis de Impacto del Negocio (BIA).
3. Describir las posibles amenazas que conlleven a una interrupcin en la operacin. Para
ello, es necesario tomar como gua el anexo No. 8.4.1 denominado Tipos de Amenazas,
donde se detallan posibles fuentes de peligro, las cuales se deben evaluar identificando si
tales situaciones pueden darse en el proceso analizado.
Cdigo:
Versin: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Pgina: 24 de 123
4. Determinar las vulnerabilidades que tiene el proceso para cada amenaza identificada.
Para identificarla es necesario responder esta pregunta: Cmo puede ocurrir una
amenaza? Al responderla se definen las distintas situaciones por las que puede ocurrir la
misma, evaluando si dentro del Instituto puede darse esa circunstancia.
Se recomienda utilizar como gua con el anexo No. 8.4.2 denominado Tabla de
Vulnerabilidades, donde se encuentra una relacin de debilidades que podran llegar a
generar la interrupcin del proceso. Es de aclarar, que esta tabla es solamente una gua
pudiendo incluirse muchas otras situaciones de debilidades.
Personas
Infraestructura fsica
Infraestructura de tecnologa de informacin
Procesos
El riesgo de continuidad se evala con dos (2) variables de medicin, una que expresa el
impacto del riesgo si ocurriera y otra que expresa la frecuencia de que el riesgo ocurra. En
consecuencia, para la evaluacin del riesgo de continuidad se utilizar las tablas de los
numerales 8.4.3 Criterios de Frecuencia y 8.4.4 Criterios de Impacto, las cuales contienen
los criterios que permiten ubicar al Lder del Plan de continuidad del Negocio para efectuar
la evaluacin.
Frecuencia: Se deben estimar la frecuencia para cada vulnerabilidad del riesgo, segn la
siguiente escala de medicin:
Escala de medicin
1 2 3 4 5
Muy baja Baja Moderada Alta Muy alta
Impactos
Regulatorio/ Financiero Servicio al Reputacional Operativo Humano Infraestructura
Legal cliente
Para establecer el resultado del impacto para cada riesgo se toma la calificacin del
cuestionario BIA.
Habiendo valorado tanto el Impacto como la frecuencia del evento de riesgo, los dos
puntajes son multiplicados para dar el puntaje de riesgo Inherente. Dado que tanto la
Frecuencia como el Impacto son calificados de 1 a 5, el puntaje de riesgo total o inherente
mximo es 25 y el mnimo es 1.
Este proceso permite evaluar todos los controles asociados a las vulnerabilidades
identificadas, garantizando a la Entidad que se apliquen los tipos y niveles adecuados de
control para poder dar un adecuado tratamiento al riesgo.
Los criterios de evaluacin del control son: Oficialidad, Aplicacin y Efectividad, a los cuales
se les ha asignado un peso de 20, 30 y 50 puntos respectivamente sobre 100.
Para evaluar la Efectividad del control se tienen en cuenta los siguientes aspectos:
Cdigo:
Versin: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Pgina: 26 de 123
Comprobada la efectividad, donde se debe contar con la evidencia fsica que dada la
aplicabilidad del control se ha prevenido, detectado o mitigado un riesgo. La calificacin es
de 50 puntos.
Percepcin positiva, en la cual no se tiene la evidencia pero la percepcin del experto en
cuanto a la efectividad del control es positiva. La calificacin es de 30 puntos.
Percepcin negativa, donde la percepcin del experto es negativa en cuanto a la
efectividad del control. La calificacin es de 10 puntos.
Comprobada la no efectividad, en donde se tiene la evidencia que el control no es efectivo
para la prevencin y deteccin de riesgos, dndole una calificacin 0 puntos.
La puntuacin obtenida del control genera una calificacin, como se ilustra en la siguiente
tabla:
Controles preventivos: Son aquellos que reducen las vulnerabilidades y la frecuencia con
que ocurren las causas del riesgo.
Controles detectivos: Son aquellos que no evitan que ocurran las causas del riesgo sino
que los detecta luego de ocurridos. Estos no reducen el riesgo a menos que se tomen
acciones sobre tales detecciones.
Controles correctivos: Son mecanismos o acciones definidas para reducir el impacto de los
eventos que ponen en riesgo el logro de los objetivos del proceso.
Cuando una vulnerabilidad tiene varios controles que mitigan el factor de frecuencia, stos se
agrupan y se toma el valor ms alto de las calificaciones obtenidas de los controles. De igual
manera se procede cuando una vulnerabilidad tiene varios controles que mitigan el impacto.
Cdigo:
Versin: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Pgina: 27 de 123
Ubica el valor del control que se obtuvo sobre la variable de frecuencia en la Tabla
Calificacin del Control, estableciendo el efecto de mitigacin que indica la columna
Cuadrantes a disminuir en la frecuencia. Este valor se resta a la frecuencia obtenida en
riesgo inherente.
Cuadrante a
Rango de calificacin Valor Frecuencia
Frecuencia disminuir en la
de controles Residual
Frecuencia
80 puntos 4 2 2
De igual manera se procede con los controles dispuestos para disminuir el impacto del
riesgo, obtenido el valor del control que se obtuvo sobre la variable de impacto en la Tabla
Calificacin del Control, estableciendo el efecto de mitigacin que indica la columna
Cuadrantes a disminuir en el impacto. Este valor se resta al impacto obtenido en riesgo
inherente.
Se multiplica el nuevo valor de frecuencia por el nuevo valor del impacto aplicado los
controles, obteniendo as el Riesgo Residual.
4 3 12 2 2 4
0-3 Aceptable
4-6 Tolerable
7-15 Grave
16-25 Critico
Cdigo:
Versin: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Pgina: 28 de 123
Al presentarse dentro del Mapa Trmico, se ubica el valor del Riesgo Residual, teniendo en
cuenta los nuevos resultados de la frecuencia e impacto aplicados los controles:
3
FRECIUENCIA
0
0 1 2 3 4 5
IMPACTO
Eliminar el riesgo: Cuando se opta por suspender un producto o proceso por una decisin
administrativa.
Mitigar el riesgo: Se consigue mediante la optimizacin de los procedimientos y la
implementacin de controles tendientes a disminuir la frecuencia de ocurrencia y/o
minimizar la severidad de su impacto.
Dispersar o atomizar el riesgo: Se logra mediante la distribucin o localizacin del riesgo en
diversos lugares, procesos o personas.
Transferir el riesgo: Actividades y medidas tendientes a transferir a un tercero la
responsabilidad por el manejo del riesgo y/o la obligacin por las consecuencias
financieras del riesgo, en caso de ocurrencia. Esta tcnica no reduce la frecuencia ni el
impacto, involucra a otro en la responsabilidad. P. e. Plizas de Seguros,
Subcontrataciones.
Cdigo:
Versin: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Pgina: 29 de 123
Asumir el riesgo: Aceptacin del riesgo en razn a que los retornos potenciales son
atractivos en relacin con los riesgos involucrados.
Para los riesgos que en su calificacin residual se clasifiquen como graves o crticos, el Lder
de Proceso debe establecer planes de accin que busquen reducir la exposicin de la Entidad
a travs de la creacin de nuevos controles o la implementacin de modificaciones a los
controles existentes. A dichos planes se les har seguimiento de forma trimestral, y se
reportar su avance al Comit SARO-SARLAFT, con el fin de tomar las decisiones
respectivas para su tratamiento y mitigacin.
Los riesgos clasificados como aceptables y tolerables deben ser evaluados continuamente por
los Lderes de Riesgo, garantizando la eficacia de los controles. Si se percibe un incremento
en el nivel del riesgo debe ser informado inmediatamente a la Oficina de Riesgos, con el fin de
realizar la respectiva reclasificacin y acordar acciones.
Se realiza seguimiento a los riesgos y la efectividad de los controles y planes de accin para
determinar el nivel de exposicin frente al aspecto de disponibilidad de los elementos que se
requieren para la continuidad del negocio.
Dentro del monitoreo, la Oficina de Riesgos debe proponer al Comit SARO-SARLAFT las
medidas relativas al perfil de riesgo residual, teniendo en cuenta el nivel de tolerancia al
riesgo fijado por la Entidad.
Los incidentes que afecten la continuidad de la operacin deben ser reportados por los
Lderes de PCN a la Oficina de Riesgos, a travs del formato Reportes de Incidentes de
Contingencia (Ver numeral 8.5.2), dentro de los tres (3) das hbiles siguientes a la
ocurrencia del hecho.
Cdigo:
Versin: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Pgina: 30 de 123
A) CONCEPTO
Corresponden a las acciones que se deben tomar con el objetivo de restablecer las
operaciones del negocio, en el plazo determinado, una vez que ocurra alguna interrupcin o
falla en los procesos o funciones crticas.
B) OBJETIVOS
C) ALCANCE
La seleccin de los mtodos alternativos de operacin que deben ser utilizados ante una
interrupcin para mantener o reanudar las actividades de la Entidad y sus dependencias.
Cdigo:
Versin: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Pgina: 31 de 123
Las diferentes situaciones para las cuales se deben definir estrategias de recuperacin son:
Ausencia de personal
Sitio alterno
Fallas tecnolgicas
Se presenta cuando el colaborador que ejecuta los procesos no puede asistir a trabajar para
desarrollar las actividades propias de su cargo. Se debe establecer la siguiente cadena de
comunicacin:
El Jefe inmediato comunica el evento al Jefe del Area y activa la contingencia por
Ausencia de Personal. Distribuye procesos claves o asigna funciones al colaborador Back
- up. De ser necesario, solicita al Oficial de Seguridad Tecnolgica la reasignacin de
perfiles, a travs del formato F121 Formato asignacin de accesos a sistemas de
informacin.
El Jefe inmediato confirma al Jefe del Area la continuidad exitosa de los procesos.
Proveedores: Para comunicarse con los proveedores en un sitio alterno donde se carece de la
informacin de contacto.
Cada rea cuenta con la informacin de Cascada Telefnica, la cual est conformada por:
Cascada: Contiene los datos bsicos de los colaboradores: nombres, cargo, nmero de
telfono personal y s fue definido como personal crtico para operar la contingencia o no.
Se encuentran descritos en el orden que sern llamados ante un evento.
Cdigo:
Versin: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Pgina: 32 de 123
Personal mnimo: En este se relaciona las personas crticas sobre las cuales depende la
ejecucin de la actividad. Se encuentran relacionados los colaboradores que participarn
en la contingencia por cada procedimiento.
Contacto Externo: Relaciona los datos bsicos de los proveedores: nombre del proveedor,
nombre del procedimiento/proceso de la Entidad en el cual participa, nombre del contacto
personal, telfono de la oficina y mvil y correo electrnico.
El numeral 8.3.1 Procedimiento de Estrategia de Sitio Alterno, aporta las actividades que se
deben seguir para recuperar el servicio utilizando recursos de un centro de operaciones
alterno.
F) ESTRATEGIA TECNOLOGICA
APLICATIVOS INFRAESTRUCTURA
Switches
Centro cableado
RED LAN HUB
Red Firewall
C&CTEX
RED WAN
Apoteosys Routers
Telecomunicaciones
Mercurio Enlaces
Cobol Aire acondicionado
Bizagi Sistema de incendio
Sevimpro Centro ETB
Computo Sistema elctrico
Correo UPS
Electrnico
Base de datos
Servidor Sistema operativo Software base de datos
Servidor
Hardware
Este cuadro presenta las partes de infraestructura tecnolgica que se les realiza estrategia de
contingencia, con el fin de asegurar la continuidad de cada uno de los servicios (aplicativos),
como son: Red, Centro de Cmputo y Servidores desglosado por los temas que la componen.
El detalle de estas estrategias tecnolgicas se encuentra en el numeral 8.1, de este
documento.
Ante una falla tecnolgica se debe ejecutar el Procedimiento de Manejo de Incidentes por
problemas en los sistemas, descrito en el numeral 8.3.2.
Alterno a este plan, es importante considerar la posibilidad de carecer del sistema para
operar, teniendo como eleccin realizar la actividad de forma manual. Por esta razn, se
estructuran estrategias de contingencia manual, para aquellos calificados como crticos y que
permitan operar sin un sistema base.
Los Lderes de PCN y de Procesos y la Oficina de Riesgos han desarrollado las estrategias
manuales que se disponen en el numeral 8.2 de este documento.
Cdigo:
Versin: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Pgina: 34 de 123
A) CONCEPTO
B) OBJETIVOS
Las pruebas deben ejecutarse durante un tiempo en el que las afectaciones a la operacin
normal sean mnimas y deben comprender los elementos crticos y simular condiciones de
proceso, aunque se realicen fuera del horario laboral de la Entidad. Las pruebas deben incluir
las siguientes tareas:
Durante esta etapa se debe establecer un programa de pruebas con escenarios simulados,
planeados en el tiempo, teniendo en cuenta los requerimientos de cada prueba y con una
revisin exhaustiva de los resultados de las mismas, para generar mejoras a los planes.
Cdigo:
Versin: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Pgina: 35 de 123
D) TIPO DE PTUEBAS
En la siguiente grafica se ilustra la metodologa que se debe utilizar para la realizacin de las
pruebas del plan de continuidad de negocio del Icetex:
E) PLAN DE PRUEBAS
del tiempo de la prueba. Adicional, se deben mencionar los aspectos adicionales que son
necesarios para la adecuada realizacin de la prueba. Al igual que en el anterior tem, este
informe debe ser adelantado previo a la ejecucin de la prueba por el Lder de PCN
responsable del proceso a probar con la gua del funcionario encargado en la Oficina de
Riesgos.
Paso a paso de la ejecucin: Este documento contiene las actividades realizadas en el
desarrollo de la prueba, que deben ser semejantes a las planeadas a menos que se
presenten algn incidente dentro de la prueba. Adicionalmente, se describen los recursos
mnimos necesarios, los responsables y los tiempos de ejecucin de las actividades. Este
informe es elaborado en el momento de la prueba por el Lder de PCN responsable del
proceso a probar con la gua del funcionario encargado en la Oficina de Riesgos.
Paso a paso del retorno: En este reporte se relacionan las actividades que se ejecutan
para retornar a la operacin normal, caso devolucin a los puestos de trabajo, captura de
las operaciones que no se procesaron en un aplicativo, entre otras.
Encuesta de satisfaccin: Este informe lo realizan diferentes integrantes de la prueba,
donde se busca determinar el grado de satisfaccin de la prueba. La conforman aspectos
como: duracin de la prueba, preparacin de la prueba y la comunicacin de la misma, y
dificultades que se identificaron.
Acta de reunin: En este documento se establecen los objetivos, conclusiones de la
prueba, las actividades sobresalientes resultantes y/o pendientes a considerar, los logros
obtenidos en la ejecucin de la prueba y los riesgos asociados identificados en la ejecucin
de la prueba, as como las acciones mitigantes que mejorarn la estrategia de continuidad
del proceso revisado. Este informe debe ser firmado por cada uno de los integrantes a la
prueba.
Luego de cada prueba el Jefe de Riesgos debe enviarse copia del documento Acta de
reunin dirigido a los participantes y al jefe responsable de proceso.
Cdigo:
Versin: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Pgina: 37 de 123
A) CONCEPTO
B) OBJETIVOS
Detalles de todos los cambios de estrategias del PCN con el historial de control de
versiones.
C) FACTORES DE ACTUALIZACION
Pueden ocurrir ciertos eventos no programados al interior del Icetex o fuera de ste, que
afectan el PCN. A continuacin se relaciona una lista de eventos que pueden generar una
revisin al PCN:
Requerimientos legales.
Nuevos productos.
Nuevo hardware, plataformas, aplicativos u otros cambios de tecnologa (Sistemas
Operativos, Bases de Datos).
Cambios en las telecomunicaciones (voz o datos).
Quiebra y/o cambio de un proveedor crtico.
Cambio de instalaciones.
Cambios en el personal o reubicacin del mismo.
Transferencia de funciones entre sitios existentes.
Consolidacin o tercerizacin de funciones.
Cambios en proveedores externos crticos.
Resultados de las pruebas del Plan de Continuidad del Negocio.
Cambios en el Sistema de Gestin de Calidad y Procesos.
Cdigo:
Versin: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Pgina: 38 de 123
7.2.1 CONCEPTO
7.2.2 OBJETIVOS
Integrar los procedimientos de continuidad del negocio con los procedimientos de respuesta.
Identificar tipos de emergencias y las respuestas necesarias.
7.2.3 ALCANCE
Este plan de administracin de crisis se ejecuta teniendo como premisa las decisiones del
Comit SARO- SARLAFT. Todas las comunicaciones sern dirigidas por el responsable de
comunicaciones del Instituto y se apoyarn en el Manual de gestin de la comunicacin en
situaciones de crisis.
Los documentos indicados en los numerales 8.3.1 y 8.3.2 Escenario de contingencia a sitio
alterno y Manejo de incidentes por problemas en los sistemas, sintetizan esta fase, la cual est
conformada por las siguientes etapas:
Etapa de Retorno a la Normalidad: Consiste en definir la forma y/o procedimientos a utilizar para
restaurar la operacin a la normalidad, una vez superada la contingencia y recuperados los
servicios de la entidad.
Cdigo:
Versin: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Pgina: 39 de 123
8 ANEXOS
1. OBJETIVO
Recuperar un servidor de base de datos por dao en el sistema manejador de la base de datos que se
encuentra en el centro de cmputo ICETEX.
2. ALCANCE
Daos o fallas en algn servidor que afecte servicios dentro de los cuales esta soportado por una
base de datos.
Falla a nivel de Software de Base de datos.
3. CONDICIONES GENERALES
Para llevar a cabo el siguiente procedimiento es necesario tener los siguientes recursos disponibles:
4. DESCRIPCIN
DIAGRAMA DE FLUJO
Cdigo:
Versin: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Pgina: 41 de 123
ACTIVIDADES
ACTIVIDADES O TAREAS
Recursos
No. Descripcin de la
Observaciones Responsable requeridos y
Act Actividad
ubicacin
Identificar la falla y
Administrador de la
1 realizar un
base de datos
diagnstico interno
Llamar a las lneas: Las que se
Llamar al
encuentren en el documento de
CONTRATISTA Administrador de la
2 contacto del CONTRATISTA ubicada en Contrato
responsable del base de datos
carpetas compartidas de la Direccin de
mantenimiento
Tecnologa (Continuidad_de_negocio)
Administrador de la
Diagnstico de la Se efecta un diagnstico del estado de
3 base de datos y/o
situacin. la base de datos.
contratista
De acuerdo al diagnstico se decide
Se puede
sobre el mejor procedimiento para Administrador de la
recuperar el servicio
4 restablecer el servicio. En caso base de datos y/o
en la misma
afirmativo pasa al punto 5 de lo contratista
mquina?
contrario al punto 6.
5 Proceder a Se restablece el servicio en el mismo Administrador de la
Cdigo:
Versin: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Pgina: 42 de 123
5. SEGUIMIENTO Y CONTROL
1. OBJETIVO
2. ALCANCE
Daos o fallas en algn enlace que afecte servicios dentro de los cuales esta soportado por la red
WAN.
3. DEFINICIONES
N/A
4. CONDICIONES GENERALES
Para llevar a cabo el siguiente procedimiento es necesario tener los siguientes recursos disponibles:
Contrato vigente de soporte y Carta de Servicio proveedor de servicio de la red (Ver Anexo)
5. DESCRIPCIN
DIAGRAMA DE FLUJO
Cdigo:
Versin: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Pgina: 44 de 123
ACTIVIDADES
ACTIVIDADES TAREAS
Recursos
No. Descripcin de
Act la Actividad
Observaciones Responsable requeridos y
ubicacin
Identificar la
falla y realizar Profesional Direccin de
1 un diagnstico tecnologa y Proveedor de
interno servicios de la red
restablecimiento
del servicio
Coordinador de
Reporte de El Coordinador de infraestructura o el
infraestructura, Administrador
10 servicio Director de tecnologa, informan que
de la red o el
restablecido la contingencia ha sido superada.
Director de tecnologa
6. SEGUIMIENTO Y CONTROL
1. OBJETIVO
2. ALCANCE
3. CONDICIONES GENERALES
Para llevar a cabo el siguiente procedimiento es necesario tener los siguientes recursos disponibles:
4. DESCRIPCIN
DIAGRAMA DE FLUJO
Cdigo:
Versin: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Pgina: 47 de 123
ACTIVIDADES
ACTIVIDADES O TAREAS
Recursos
No. requeridos
Act
Descripcin de la Actividad Observaciones Responsable
y
ubicacin
Identificar la falla y realizar un
1 diagnstico interno Administrador de la Red
5. SEGUIMIENTO Y CONTROL
1. OBJETIVO
2. ALCANCE
Daos o fallas en algn servidor que afecte servicios dentro de los cuales esta soportado por un
servidor web o servidor de aplicaciones.
Falla a nivel de Software Base del servidor.
3. CONDICIONES GENERALES
Para llevar a cabo el siguiente procedimiento es necesario tener los siguientes recursos disponibles:
4. DESCRIPCIN
ACTIVIDADES
ACTIVIDADES TAREAS
Recursos
No. Descripcin de la requeridos
Observaciones Responsable
Act Actividad y
ubicacin
Identificar la falla y realizar
Administrador
1 un diagnostico interno
servidores
Llamar a las lneas:
- Las que se encuentren en el
Llamar al CONTRATISTA
documento de contacto del Administrador de Contrato
2 responsable del
CONTRATISTA ubicada en carpetas servidores
mantenimiento o
compartidas
continuidad_de_negocio contactos
Diagnstico de la situacin
por parte del administrador Se efecta un diagnstico del estado del Administrador del
3
del servidor o del software base. servidor
contratista
Se puede recuperar el De acuerdo al diagnstico se decide Administrador del
4 servicio en la misma sobre el mejor procedimiento para servidor y/o
mquina restablecer el servicio contratista
Cdigo:
Versin: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Pgina: 50 de 123
5. SEGUIMIENTO Y CONTROL
Los Lderes de PCN y de Procesos y la Oficina de Riesgos han desarrollado las siguientes
estrategias manuales ante una contingencia cuyo escenario es falla de los sistemas con los que
ejecutan la operacin:
1. OBJETIVO
2. ALCANCE
Este procedimiento se utiliza ante la activacin de Contingencia dada por la Oficina de Riesgos,
caso en el que la Vicepresidencia de Fondos en Administracin determinar los Giros urgentes a
emitir en el da, de acuerdo con los compromisos contrados con los Constituyentes y sobre esta
decisin informar al personal encargado para que procedan a aplicar la contingencia.
3. CONDICIONES GENERALES
Los giros propuestos a gestionar debern haber cumplido con las siguientes condiciones para
iniciar el proceso de giro:
4. DESCRIPCION
4.1.7 Elaborar por cada orden de giro, el Formato Resolucin Giro Contingencia C&CETEX con
los datos indicados en el formato 135.
4.1.8 Revisar el Formato Resolucin Giro Contingencia C&CETEX contra el formato F135
Formato de Autorizacin de Giros Vicepresidencia de Fondos en Administracin,
verificando que los datos que componen la orden de resolucin coincida la informacin que
reposa en el reporte de faltantes.
4.1.9 Las ordenes de resolucin cuya informacin es igual, sern firmadas por el Tcnico
Administrativo, en el campo de Elaboro.
4.1.10 Aquellas resoluciones que difiere la informacin debe corresponder a equivocacin en la
emisin de la orden de resolucin, por cuanto es necesario corregir las rdenes y volver a
imprimir y firmar.
4.1.11 Entregar al Encargado del Fondo las resoluciones y documentacin soporte al Encargado del
Fondo.
4.1.19 Sobre el Reporte de Pendientes, seleccionar aquellos que tienen diligenciado el campo
Fecha de resolucin y proceder a generar un archivo independiente con las resoluciones de
desembolso que se requieran cargar. Para ello debe crear el archivo con la estructura
requerida por el sistema Apoteosys, informacin que reposa en el Reporte de Pendientes de
Fondos.
4.1.20 Entregar las rdenes de Resolucin y el formato F135 Formato de Autorizacin de Giros
Vicepresidencia de Fondos en Administracin al Grupo de Presupuesto de la Vicepresidencia
Financiera, para su cumplimiento.
4.2.1 Efectuar el cargue del archivo Excel en el aplicativo Apoteosys, de acuerdo con las
instrucciones dadas por la Direccin de Tecnologa.
Oficina de Riesgos
4.3.3 Avisar a la Vicepresidencia de Fondos en Administracin el restablecimiento del sistema
C&CETEX y el Vicepresidente informe al personal del rea y puedan ingresar a dicho
aplicativo.
Cdigo:
Versin: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Pgina: 56 de 123
1. OBJETIVO
2. ALCANCE
Este procedimiento se utiliza ante la activacin de contingencia dada por la Oficina de Riesgos,
caso donde el Coordinador del Grupo de Presupuesto de la Vicepresidencia Financiera
determina los Certificados de Disponibilidad Presupuestal a emitir en el da, de acuerdo con las
necesidades de las diferentes reas de la Entidad y sobre esta decisin informa al personal del
Grupo de Presupuesto para que procedan a aplicar esta contingencia.
3. CONDICIONES GENERALES
Para el desarrollo de esta contingencia se requiere contar con los reportes de Excel de
Ejecucin Presupuestal y Base de Datos de los CDPs (Control dual), debidamente
actualizados y armonizados a la fecha, las cuales reposan en la carpeta compartida del Grupo
de Presupuesto de la Vicepresidencia de Financiera y/o carpeta del Coordinador denominada
Reportes Consulta, documentos a conservar debidamente protegidos para que no permitir
su manipulacin por ninguna persona ajena al rea.
4. DESCRIPCIN
Ordenador del gasto
Cdigo:
Versin: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Pgina: 57 de 123
4.2 Recibir memorando y verificar que se encuentre la siguiente informacin: Descripcin del gasto,
vigencia del mismo y se halle firmada por el Ordenador del Gasto. De faltar alguna de estas
condiciones no se recibe la solicitud; de encontrarse en orden, se entrega la solicitud al Coordinador de
Presupuesto.
4.3 Revisar rubro presupuestal y saldo vigente en el Informe Base de Datos de los CDPs (Control dual);
para lo cual procede as:
4.3.1 Si existe rubro presupuestal y vigencia: Entregar al Funcionario Encargado para continuar el proceso.
4.3.2 Si el gasto no est contemplado para la vigencia en curso: Informar al Ordenador del Gasto de la no
existencia del mismo a travs de correo electrnico y en consecuencia se devuelve.
4.3.3 En caso de no existir apropiacin vigente no afectada: Revisar al interior del rubro mayor la posibilidad
de realizar ajuste:
De ser posible la modificacin del rubro mayor: Efectuar novedad en el Reporte de Informe de
Ejecucin Presupuestal, guardando el equilibrio al interior del rubro mayor. Los documentos
soportes son entregados al Funcionario Encargado.
En caso de no ser posible la modificacin al rubro mayor y existir disponibilidad en otro rubro,
seguir el procedimiento de Modificacin al Presupuesto.
4.4 Ingresar en el reporte Base de Datos de los CDPs (Control dual), la informacin relacionada con el
objeto asociado de la solicitud y el valor requerido.
4.5 Emitir CDP manualmente, con la informacin del objeto, valor y rubros presupuestales afectados.
4.6 Revisar el CDP en fsico y verificar que su contenido sea el mismo de la solicitud realizada.
Cdigo:
Versin: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Pgina: 58 de 123
4.7 Si la informacin es correcta, firmar el CDP; en caso contrario, solicitar su correccin al Funcionario
Encargado.
4.8 Entregar al Ordenador del Gasto solicitante el CDP original mediante comunicacin firmada por el
Coordinador del Grupo de Presupuesto. Debe mantenerse una copia del CDP en el Grupo de
Presupuesto de la Vicepresidencia Financiera, con el sello de recibido del rea ordenante.
5. RETORNO A LA NORMALIDAD
Este procedimiento de contingencia podr retornar a la normalidad una vez confirme la Oficina
de Riesgos la solucin del aplicativo Apoteosys, siendo necesario efectuar la actualizacin
manual en dicho aplicativo de las actividades que se realizaron en contingencia:
5.1 Registrar la informacin del CDP emitido, afectando el rubro presupuestal con el que se
emiti el documento.
5.2 Modificar el rubro presupuestal en caso que se hayan realizado ajustes.
1. OBJETIVO
2. ALCANCE
Este procedimiento se utiliza ante la activacin de Contingencia dada por la Oficina de Riesgos,
caso en el que el Coordinador Grupo de Presupuesto de la Vicepresidencia Financiera determina
las solicitudes de suscripcin de compromisos a emitir en el da, de acuerdo con las necesidades
urgentes de las diferentes reas de la Entidad y sobre esta decisin informa al Grupo de
Presupuesto para que procedan a aplicar esta contingencia. Es de aclarar, que en situacin de
contingencia se presta el servicio teniendo en cuenta el volumen de operaciones del da,
atendiendo en orden de prioridad.
3. CONDICIONES GENERALES
Para el desarrollo de esta contingencia se requiere contar con la Base de datos para Control
Presupuestal de Compromisos y Obligaciones (Pagos) y la Base de datos de los CDPs
(Control Dual), debidamente actualizados y armonizados a la fecha, las cuales reposan en la
Carpeta Compartida del Grupo de Presupuesto de la Vicepresidencia de Financiera y/o carpeta
del Coordinador denominada Reportes Consulta, documentos a conservar debidamente
protegidos para que no permitir su manipulacin por ninguna persona ajena al rea.
No se puede generar ningn compromiso presupuestal sin contar con el respectivo CDP
(Certificado de Disponibilidad Presupuestal).
4. DESCRIPCIN
Cdigo:
Versin: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Pgina: 60 de 123
4.1 Enviar documento soporte del compromiso al Coordinador del Grupo de Presupuesto para su registro
presupuestal, adjuntando los siguientes documentos: Certificado de Disponibilidad Presupuestal,
documentacin soporte del compromiso (contrato, convenio, ordenes, etc.) y autorizacin de las
vigencias futuras si las hay.
Sean correctos y que los valores en ellos consignados sean los mismos.
Sean congruentes el objeto del contrato contra el CDP.
Contenga la imputacin presupuestal y la vigencia.
Se encuentre firmado por los funcionarios autorizados.
4.3 Verificar en la Base de datos para control presupuestal de Compromisos y Obligaciones (Pagos) y la
Base de datos de los CDPs (Control Dual), si existe saldo a comprometer del CDP en el respectivo
rubro, donde se ubica el compromiso suscrito, procediendo as:
As mismo, estampar el sello de Presupuesto registrado en cada folio del compromiso registrado.
Cdigo:
Versin: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Pgina: 61 de 123
4.3.2 Si no existe saldo por comprometer en el CDP, elaborar memorando rechazando el procedimiento, el
cual se entrega al Coordinador del Grupo de Presupuesto.
4.4 Las suscripciones de compromisos donde existe suficiente saldo del CDP, revisar el registro
presupuestal, firmar y remitir comunicacin al Grupo de Contratacin; de encontrar alguna
inconsistencia, solicitar correccin al Funcionario Encargado.
4.5 En caso de no existir el saldo en el CDP, revisar y firmar la comunicacin de devolucin al Ordenador
del Gasto.
4.6 Recibir y continuar con el procedimiento Legalizacin de contrato u orden de compra o servicio (A4-2-
01).
5. RETORNO A LA NORMALIDAD
1. OBJETIVO
2. ALCANCE
Este procedimiento se utiliza ante la activacin de Contingencia dada por la Oficina de Riesgos,
caso en el que el Coordinador Grupo de Presupuesto de la Vicepresidencia Financiera
determina las rdenes de pago a atender en el da, de acuerdo con las necesidades urgentes
de las diferentes reas de la Entidad y sobre esta decisin informa al Grupo de Presupuesto
para que procedan a aplicar esta contingencia. Es de aclarar, que en situacin de contingencia
se presta el servicio teniendo en cuenta el volumen de operaciones del da, atendiendo en
orden de prioridad.
3. CONDICIONES GENERALES
Para el desarrollo de esta contingencia se requiere contar con la Base de datos para Control
Presupuestal de Compromisos y Obligaciones (Pagos), debidamente actualizado y
armonizado a la fecha, la cual reposa en la Carpeta Compartida del Grupo de Presupuesto de
la Vicepresidencia de Financiera y/o carpeta del Coordinador denominada Reportes
Consulta, documento a conservar debidamente protegido para que no permitir su
manipulacin por ninguna persona ajena al rea.
Este procedimiento se rige por el Acuerdo 001 del 16 de junio del 2006, por el cual se aprueba
el Estatuto de Presupuesto del ICETEX, en especial lo relacionado en el captulo V, artculo
37.
4. DESCRIPCIN
4.1 Realizar y revisar la Orden de Pago F50 manual. De acuerdo con la naturaleza del compromiso
realiza la orden de pago acompaada de los soportes necesarios (factura, resumen de nmina,
caja menor, fondos, resoluciones de giro, crdito TAE, Access, Fiduciaria, giros).
4.3 Revisar la Orden de Pago F-50 manual y los respectivos soportes, de conformidad con el
contrato y/o normas establecidas y que los valores en ellos consignados sean los correctos,
procediendo as:
4.3.1 Si no tiene los respectivos soportes completos, devolver la Orden de Pago F-50 manual sin tramitar,
dndose como no recibida al Ordenador del Gasto o Ejecutor del Presupuesto.
4.3.2 De presentarse los documentos soportes completos y correctos, revisar en la Base de datos para Control
Presupuestal de Compromisos y Obligaciones (Pagos):
4.3.2.1 Existencia de compromiso por cumplir, es decir que haya la disponibilidad de recursos para efectuar ese
pago de acuerdo con el compromiso adquirido.
4.4 Si en la revisin determina que carece de compromiso por cumplir, proceder a emitir comunicacin al
Ordenador del Gasto, devolviendo la orden e indicando el motivo.
4.5 Las rdenes de recursos propios se registran en la Base de datos para Control Presupuestal de
Compromisos y Obligaciones (Pagos), donde se actualiza automticamente el saldo con la obligacin
que se est tramitando.
4.6 Colocar sello de registro de obligacin a la orden de pago, conteniendo la fecha de registro de
obligacin, e indica que los documentos ya fueron tramitados por el Grupo de Presupuesto.
4.7 Aquellas rdenes a devolver, verificar el motivo de la devolucin junto con los documentos
soportes, si es correcto, firmar comunicacin al Ordenador del Gasto. En caso de encontrar
inconsistencias en la devolucin, informar al Funcionario Encargado para su correccin.
4.8 Las ordenes que cumplen con las condiciones de existencia de compromiso por cumplir,
revisar en la Base de datos para Control Presupuestal de Compromisos y Obligaciones (Pagos)
su correcto registro; de estar en orden firmar la orden de pago F-50 manual en el campo
denominado Presupuesto.
4.9 SI se requiere causar sigue el procedimiento Anlisis contable de causaciones y cuentas por pagar
(A2-3-10).
Si hubo causacin ingresa al aplicativo de Apoteosys y cancela las cuentas por pagar.
5. RETORNO A LA NORMALIDAD
Este procedimiento de contingencia podr retornar a la normalidad una vez confirme la Oficina
de Riesgos la solucin del aplicativo Apoteosys, siendo necesario efectuar la actualizacin
manual en este sistema con las actividades que se realizaron en contingencia:
5.2 Verificar que la Direccin de Contabilidad y la Direccin de Tesorera se haya causado la obligacin y
realizado el pago respectivamente, de tal manera que si se realiz el giro, haya descontado del saldo
de la obligacin el valor correspondiente y en caso de rechazo mantenga su saldo.
1. OBJETIVO
2. ALCANCE
3. CONDICIONES GENERALES
Los soportes de la cuenta de cobro o facturas deben ser entregados el mismo da en que
se genera la cuenta de cobro, previa revisin del Interventor que corresponda.
4. DESCRIPCIN
Coordinador de Tecnologa / Direccin de Tecnologa
Aplicar el procedimiento PCTI BD2, descrito en el Manual de Plan de Continuidad de Negocios del Icetex.
Recibir documentos del Grupo de Presupuesto y analizar los soportes recibidos validando la existencia del
contrato y que los soportes incluyan los valores relacionados en las clusulas del contrato u rdenes de
compra o servicios que corresponda.
Si los documentos no estn completos o hay extemporalidad en la entrega, solicitar la reversin de transaccin
de registro presupuestal al Grupo de Presupuesto a travs de correo electrnico.
Obtener el Informe de Saldos y movimiento contables, clasificado por cuenta contable y tercero, situacin que se
puede obtener a partir de la extraccin directa de la base de datos del backup de la informacin con
apoyo de la Direccin de Tecnologa o como segunda forma de generarlo a travs del Reporteador
BIABLE.
Establecer la razonabilidad contable del movimiento, analizando a partir del estado de cuenta de los Fondos en
Administracin, si el movimiento corresponde al registrado por el rea de Fondos, datos que puede
observar en el Informe de Saldos y movimiento contables.
Efectuar liquidacin de impuestos de conformidad con la norma contable y la reglamentacin que para tal efecto
se encuentra establecida en el plan de cuentas financiero y el estatuto tributario y registrar la resolucin
de giro que ampara la cuenta por pagar dentro del Informe de Saldos y movimiento contables.
Consultar manualmente el Auxiliar contable por tercero dentro del Informe de Saldos y movimiento contables.
Cdigo:
Versin: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Pgina: 67 de 123
Establecer el valor y oportunidad de liquidacin de impuestos, haciendo verificacin del clausulado contractual y
el pago de parafiscales. Verificar el registro del proveedor con sus obligaciones tributarias diligenciadas
dentro de la factura de proveedor, de acuerdo con el rgimen tributario al cual pertenece,
estableciendo la razonabilidad contable del movimiento, analizando si el movimiento corresponde a una
provisin, gasto, anticipo o es un pago de impuestos.
Realizar la liquidacin del pago de impuestos manualmente de conformidad con el anlisis realizado y registrar el
movimiento de cuentas dentro del Informe de Saldos y movimiento contables.
Estampar el sello de Contabilizado en la Orden de Resolucin u Orden de Pago, firmar y colocar la fecha de
procesado en la Direccin de Contabilidad.
Analizar el impacto del movimiento contable en los estados financieros y en los estados de cuentas de los fondos
en administracin.
Entregar la Orden de Resolucin u Orden de Pago y los documentos soportes a la Direccin de Tesorera para
que realice el giro.
Una vez realizado el desembolso de acuerdo con el procedimiento de Giro en la Direccin de Tesorera,
consolidar la informacin en el Informe de Saldos y movimiento contables.
5. RETORNO A LA NORMALIDAD
Tcnico Administrativo / Direccin de Contabilidad
5.1 Una vez confirme la Oficina de Riesgos la solucin del aplicativo Apoteosys, obtener los
nuevos saldos de las cuentas contables en el Informe de Saldos de movimientos contables.
5.2 Extraer los movimientos contables que se realizaron durante la contingencia, generando un
archivo plano y subirlo en el aplicativo Apoteosys por la opcin de Interfaces.
5.4 Comparar los saldos contables generados en el sistema Apoteosys con los producidos en el
Saldos de movimientos contables, debiendo existir consistencia en la informacin. En caso de
existir diferencia es necesario establecer la diferencia y corregir.
1. OBJETIVO
2. ALCANCE
Este procedimiento se utiliza ante la activacin de Contingencia dada por la Oficina de Riesgos,
situacin donde el Director de Tesorera de la Vicepresidencia Financiera determina las
Resoluciones de Giro y Orden de Pago a emitir en el da, de acuerdo con las necesidades
urgentes de las diferentes reas de la Entidad y sobre esta decisin informa al Grupo de
Pagadura para que procedan a aplicar esta contingencia. Es de aclarar, que en situacin de
contingencia se presta el servicio teniendo en cuenta el volumen de operaciones del da,
atendiendo en orden de prioridad.
3. CONDICIONES GENERALES
3.1 Para el desarrollo del giro a travs de Transferencia Electrnica o Tarjeta Recargable, es
necesario contar con el formato del archivo plano de Archivo de Transferencias de los Portales
Bancarios donde el Icetex tiene Cuentas Corrientes / Ahorros.
4. DESCRIPCIN
Para cada uno de los casos relacionar en el archivo de Excel Control de Ingreso, los campos: Fecha y hora de
recepcin, nmero de resolucin Orden de Pago, Preparador asignado, oficina ordenadora del pago,
moneda en que se pagar y programa que afecta el pago.
Si se presenta alguna inconsistencia en la revisin y registro, se hace devolucin a la Oficina Ordenadora del
Gasto para los respectivos ajustes copiando al Grupo de Presupuesto y Direccin de Contabilidad y
registrando la novedad en el archivo de Control de Ingreso.
4.2 Entregar los documentos al Preparador de Pagos asignado, segn la tipologa del pago, el recurso a
pagar y el tipo de moneda del pago.
4.4 Verificar que los documentos estn firmados y los que se requieran estn causados y contengan los
soportes necesarios para realizar el pago. As mismo, verifica que los valores de las rdenes de pago
y/o resoluciones de giro concuerden con los valores de los soportes anexados:
Si la informacin requerida para los giros est incorrecta o incompleta, debe devolverse a la Oficina
Ordenadora del Gasto para los ajustes respectivos copiando al Grupo de Presupuesto y Direccin de
Contabilidad.
Si la informacin es correcta, efectuar actividad 4.5.
4.5 Verificar los terceros a girar en el reporte en Excel Atencin de Embargos, donde se encuentra la
relacin de embargos requeridos por los Entes Judiciales:
4.6 Clasificar el recurso a pagar: Propios, TAE, Fondos y verificar que la cuenta a debitar posea los recursos
disponibles.
5.1 Llenar de forma manual el archivo plano de pagos denominado Archivo de Transferencias,
segn la estructura tcnica de cada Banco, que se encuentra definido en el Grupo de Pagadura.
5.2 Ingresar al Portal Bancario, identificndose con su usuario y dispositivo de seguridad asignado y
cargar el archivo plano Archivo de Transferencias.
5.3 Imprimir directamente del Portal Bancario el proceso de pagos definitivo, impresin que debe
contener la siguiente informacin:
5.4 Verificar y asignar el punteo del proceso de pagos definitivo a un funcionario diferente al que
Preparador de Pagos que lo elabor, el cual verifica el Archivo de Transferencias cargado en el
Portal Bancario contra los soportes fsicos de cada pago.
5.5 Revisar los datos impresos del Portal Bancario frente a los soportes fsicos de cada giro
(Resolucin de giro, Orden de Pago u otro documento soporte de la ordenacin del giro),
validando que coincida:
5.6 Si se encuentra todo correcto, procede a firmar en seal de revisado, indicando fecha y nmero
de registros verificados y novedades encontradas.
5.7 Asignar nmero de proceso mediante numerador y registrar en la Planilla de Control Planilla
Pagos.xls", la siguiente informacin: Consecutivo, tema, fecha pago, Fecha reproceso, No. de
registros, Valor, Usuario preparador, Recurso, Novedades, Banco a debitar, Respuesta y
Funcionario que puntea.
5.8 Ingresar al Portal Bancario a verificar que la cuenta seleccionada para el dbito de los recursos
est correcta, la informacin generada se encuentre acorde con los soportes ya verificados y
punteados y realiza la aprobacin del giro.
5.9 Ingresar al Portal Bancario correspondiente al pago preparado y verificar que los soportes
recibidos tengan las firmas de quien realiz la preparacin en el portal, la verificacin de los
registros y la firma del primer aprobador, valida el valor del lote en el portal contra el fsico,
cantidad de registros y nombre del lote. De encontrar todo en orden, procede con la autorizacin
final del proceso.
5.10 Confirmar en el Portal Bancario que las aprobaciones hayan sido efectivas y el proceso no se
encuentra rechazado o declinado.
5.11 Generar y remitir va correo electrnico al funcionario encargado de digitacin, archivo de Excel
denominado Formulacin, con los datos necesarios de los Giros realizados por la Entidad para
desarrollar el Proceso de Digitacin, para publicar en la Pgina Web del Icetex.
5.13 Tres das hbiles despus de realizada la aprobacin de la transferencia, procede a ingresar al
Portal Bancario por donde se realiz el pago y genera el archivo de respuestas que confirma las
operaciones aprobadas y las rechazadas con su respectiva causal de no pago.
Cdigo:
Versin: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Pgina: 72 de 123
6. RETORNO A LA NORMALIDAD
Este procedimiento de contingencia podr retornar a la normalidad una vez confirme la Oficina
de Riesgos la solucin del aplicativo Apoteosys, siendo necesario efectuar la actualizacin
manual en dicho aplicativo de las actividades que se realizaron en contingencia, como son:
Procedimiento de Giro
6.1 Rechazar en el sistema las rdenes de Pago y/o Resoluciones de Giros que se encuentran
incorrectas o incompletas y fueron devueltas al Ordenador del Gasto.
6.2 Si el pago a realizar corresponde a una Resolucin ACCES, ingresa al aplicativo financiero y
confirma/ rechaza / aplaza las resoluciones de giro mediante la opcin CONT152P6 Confirmar
Resoluciones con detalles por categora en Tesorera.
6.3 Si se trata de una Resolucin diferente a ACCES, ingresar al aplicativo financiero y confirma/
rechaza / aplaza las Resoluciones mediante la opcin CONT152P2 Confirmacin Resoluciones
en Tesorera.
6.4 Si se trata de una Orden de Pago, ingresar al aplicativo financiero y autorizar mediante la opcin
TES015P2 Autorizacin Financiera de Pagos, luego mediante la opcin TES017P1 Egresos,
se confirma el proceso de pago y genera el Comprobante de Egreso.
6.5 De ser necesario realizar anulacin de alguna Orden de Pago se ingresa a la opcin TES024P3
Anular documentos de pago.
6.6 Confirmar las Resoluciones por la opcin Confirmacin de Desembolsos de Resoluciones y las
deja en estado de giro confirmado.
6.7 Cargar Archivo de Respuestas en Apoteosys, aplicando los abonos confirmados y los rechazos,
debe validar el soporte bancario antes de efectuar la aplicacin en Apoteosys con la causal
respectiva.
1. OBJETIVO
2. ALCANCE
3. EVENTOS DE CONTINGENCIA
A continuacin se describen las acciones a seguir en los diferentes escenarios que pueden
causar interrupcin de la operacin:
Se presenta cuando el funcionario que ejecuta los procesos no puede asistir a trabajar para
desarrollar las actividades propias de su cargo. Se debe establecer la siguiente cadena de
comunicacin:
3.1.1 El funcionario ausente activa la Cascada Telefnica y se comunica con el Coordinador del Grupo
de Correspondencia de Secretaria General (Ver Planilla de Contactos Grupo de
Correspondencia Secretaria General).
Cdigo:
Versin: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Pgina: 75 de 123
3.1.2 El Coordinador del Grupo de Correspondencia activa la contingencia por Ausencia de personal
y de ser necesario comunica el evento al Jefe de Area. Distribuye procesos claves o asigna
funciones al colaborador Back - up. De igual manera, si la labor lo requiere, solicita al Oficial de
Seguridad Tecnolgica la reasignacin de perfiles, a travs del formato F121 Formato
asignacin de accesos a sistemas de informacin.
3.1.3 El Coordinador del Grupo de Correspondencia verifica la continuidad exitosa de los procesos.
3.2.1 El Jefe de Riesgos activa la cascada telefnica y comunica el evento de incidente mayor al
Contacto de Departamento Primario Secretaria General, quien a su vez informa al funcionario
de nivel 3 Coordinador del Grupo de Correspondencia del incidente ocurrido y las instrucciones
de activacin de la contingencia de lugar.
3.2.3 El Coordinador del Grupo de Correspondencia informa al Jefe de Riesgos o su suplente que
ocupar los puestos de trabajo en el lugar alterno de trabajo.
3.2.4 En el lugar alterno de trabajo, el Coordinador del Grupo de Correspondencia solicita el kit de
contingencia (recursos de escritorio) y al personal crtico que inicie la conectividad a los
programas requeridos.
3.2.6 El Jefe de Riesgos informa la disponibilidad y funcionabilidad del sitio normal de trabajo.
3.2.7 El Coordinador del Grupo de Correspondencia devuelve el kit de contingencia para su custodia
nuevamente.
La contingencia se presenta cuando el hardware y/o software presenta fallas, o cuando haya
interrupcin prolongada de telecomunicaciones.
3.3.1.3 El Coordinador de Infraestructura emite respuesta sobre la gravedad del evento y tiempo de
recuperacin al Jefe de la Oficina de Riesgos y al Director de Tecnologa.
CONDICIONES GENERALES
Atencin Nacional (CAN), el incidente e indica las instrucciones para operar con el
procedimiento de contingencia y mecanismo de comunicacin a utilizar.
En la siguiente tabla se ilustra las posibles situaciones de incidente del sistema y las
contingencias estimadas:
Nota: Las comunicaciones que se gestionen dentro de los Centros de Atencin Nacional
(CAN) tambin deben remitir los datos de la misma.
3.3.2.1.2Recibir y verificar que el oficio contenga los documentos soportes (cuando aplique) y los datos
bsicos que se requieren para radicacin.
3.3.2.1.3Estampar sello de recepcin del Icetex, colocar fecha, hora y firma de quien recibe el oficio.
3.3.2.1.4Escanear el (los) oficio(s) y documentos soportes (cuando aplique), si la falla es del sistema
mercurio.
3.3.2.1.8Guardar las imgenes de los oficios que se obtuvieron en el computador a su cargo, donde se
mantendrn todas las comunicaciones dentro de la contingencia, otorgando como nombre el
nmero de radicacin.
3.3.2.1.9Leer y analizar la comunicacin con el fin de identificar la ruta de destino del Oficio y distribuir
as:
Preparacin y Envo de Tulas (se usa cuando el documento se traslada entre ciudades).
Como evidencia de la entrega diligenciar y firma el formato de Excel denominado
Correspondencia entregada.
rea Destino
3.3.2.1.10 Recibir oficio, estampar sello como acuse de recibo y tramitar la solicitud respectiva.
3.3.2.2.2Sobre los oficios que se obtengan en original o escaneados se verifica que los documentos
contengan los documentos indicados en el oficio y que se hallen los datos bsicos a requerir
para radicacin.
Funcionario emisor
3.3.2.3.2Generar archivo en Excel con la informacin y estructura definida para envo masivo.
3.3.3.3.1Una vez la Oficina de Riesgos informa la solucin del sistema mercurio, el funcionario
responsable del Grupo de Correspondencia procede a identificar el ltimo nmero de
radicacin asignado en contingencia.
3.3.3.3.2Informar a los usuarios de las reas y Centros de Atencin Nacional para que reanuden la
operativa en este sistema, indicndoles el nmero de radicacin a iniciar en el sistema
mercurio, que ser el prximo al asignado en contingencia.
1. OBJETIVO
2. EVENTOS DE CONTINGENCIA
A continuacin se describen las acciones a seguir en los diferentes escenarios que pueden
causar interrupcin de la operacin:
Se presenta cuando el funcionario que ejecuta los procesos no puede asistir a trabajar para
desarrollar las actividades propias de su cargo. Se debe establecer la siguiente cadena de
comunicacin:
2.1.1 El funcionario ausente activa la Cascada Telefnica y se comunica con el Coordinador del Grupo
de Archivo de Secretaria General (Ver Planilla de Contactos Grupo de Archivo Secretaria
General).
2.1.2 El Coordinador del Grupo de Archivo activa la contingencia por Ausencia de personal y de ser
necesario comunica el evento al Jefe de Area. Distribuye procesos claves o asigna funciones al
colaborador Back - up. De igual manera, si la labor lo requiere, solicita al Oficial de Seguridad
Tecnolgica la reasignacin de perfiles, a travs del formato F121 Formato asignacin de
accesos a sistemas de informacin.
2.1.3 El Coordinador del Grupo de Archivo confirma al Jefe del Area la continuidad exitosa de los
procesos.
2.2.1 El Jefe de Riesgos activa la cascada telefnica y comunica el evento de incidente mayor al
Contacto de Departamento Primario Secretaria General, quien a su vez informa al funcionario
de nivel 3 Coordinador del Grupo de Archivo del incidente ocurrido y las instrucciones de
activacin de la contingencia de lugar.
2.2.2 El Coordinador del Grupo de Archivo contacta al equipo de recuperacin e informa el incidente
ocurrido, solicitando el desplazamiento al Lugar alterno de trabajo.
2.2.3 El Coordinador del Grupo de Archivo informa al Jefe de Riesgos o su suplente que ocupar los
puestos de trabajo en el Lugar alterno de trabajo.
2.2.4 En el Lugar alterno de trabajo, el Coordinador del Grupo de Archivo solicita el kit de contingencia
(recursos de escritorio) y al personal clave que inicie la conectividad a los programas requeridos.
2.2.5 El Coordinador del Grupo de Archivo confirma al Jefe de Riesgos la correcta continuidad de los
procesos.
2.2.6 El Jefe de Riesgos confirma la disponibilidad y funcionabilidad del sitio normal de trabajo.
2.2.7 El Coordinador del Grupo de Archivo devuelve el kit de contingencia para su custodia
nuevamente.
La contingencia se presenta cuando el hardware y/o software presenta fallas, o cuando haya
interrupcin prolongada de telecomunicaciones.
CONDICIONES GENERALES
La Direccin de Tecnologa evala e informa a la Oficina de Riesgos, las fallas tecnolgicas que
se presentan sobre los aplicativos mercurio y/o correo electrnico. Es de anotar que estos dos
(2) sistemas se encuentran en servidores diferentes como estrategia tecnolgica al considerar el
correo electrnico contingencia de comunicacin del sistema mercurio.
En la siguiente tabla se ilustra las posibles situaciones de incidente del sistema y las
contingencias estimadas:
La Oficina de Riesgos activa la contingencia cuando la recuperacin del (os) sistema(s) supera
el Tiempo Objetivo de Recuperacin (RTO) del procedimiento de Consulta de Archivo. El
Coordinador del Grupo de Archivo de Secretaria General informa a todas las reas y Centros de
Atencin Nacional (CAN) el incidente e indica las instrucciones para operar con el procedimiento
de contingencia y mecanismo de comunicacin a utilizar de acuerdo con la anterior tabla.
2.3.2.1.1 Ante la necesidad de una copia de una imagen, el funcionario del rea solicitante utiliza el
medio de comunicacin indicado por el Coordinador del Grupo de Archivo Secretaria
General, las cuales son:
Los documentos que actualmente se encuentran digitalizados son ttulos valores y carpetas
de beneficiarios, en caso de requerirse un documento diferente a esta tipologa, es necesario
validarse previamente con el Coordinador del Grupo de Archivo.
Outsourcing de Archivo
Solicitud efectuada por correo electrnico: Enviar al correo electrnico del solicitante.
Solicitud realizada por Telfono: Informar por telfono al funcionario solicitante acercarse
a la Oficina del Outsourcing de Archivo a recoger copia de la imagen; en caso que el
requerimiento sea de un Centro de Atencin Nacional, se remite por correo interno la
copia de la imagen.
Funcionarios reas
2.3.2.2.1 Solicitar la ubicacin del mismo segn las instrucciones suministradas por el Coordinador del
Grupo de Archivo, de acuerdo con la situacin presentada, pudiendo ser:
Outsourcing de Archivo
2.3.2.2.2 Recibir la solicitud de ubicacin del documento y proceder a buscarlo en la base de datos
del sistema de consulta de archivo, efectuando radicacin en la Planilla de Prstamos.
2.3.2.2.3 Dar respuesta de los documentos encontrados por la misma va que se solicit:
Funcionarios de reas
2.3.2.2.5 Recibir respuesta con los datos de la ubicacin del documento solicitado.
2.3.2.2.6 Diligenciar el formato Autorizacin de consulta al archivo (F228) y entregar dicho formato al
Outsourcing de Archivo.
Outsourcing de Archivo
Cdigo:
Versin: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Pgina: 87 de 123
2.3.2.2.7 Recibir formato Autorizacin de consulta al archivo (F228) y ubicar documento en la base
de datos del sistema de consulta de archivo.
2.3.2.2.10 Actualizar Base de Datos Prstamos Icetex, cambiando el estado del documento a Listo
entrega.
Funcionarios reas
Outsourcing de Archivo
2.3.2.3.1 Una vez confirmado que la Oficina de Riesgos informa la solucin del incidente en los
aplicativos de mercurio y/o correo electrnico, el Coordinador del Grupo de Archivo
Cdigo:
Versin: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Pgina: 88 de 123
informar a los usuarios de las reas y Centro de Atencin Nacional para que reanuden la
operativa en este sistema.
Outsourcing de Archivo
2.3.2.3.2 Actualizar el sistema mercurio con los prstamos de documentos fsicos, tomando como
referencia la base de datos de Prstamos Icetex.
1. OBJETIVO
2. ALCANCE
3. EVENTOS DE CONTINGENCIA
A continuacin se describen las acciones a seguir en los diferentes escenarios que pueden
causar interrupcin de la operacin:
Se presenta cuando el funcionario que ejecuta los procesos no puede asistir a trabajar para
desarrollar las actividades propias de su cargo. Se debe establecer la siguiente cadena de
comunicacin:
3.1.1 El funcionario ausente activa la Cascada Telefnica y se comunica con el Coordinador del Grupo
de Administracin de Recursos Fsicos de Secretaria General (Ver Planilla de Contactos Grupo
de Recursos Fsicos Secretaria General).
3.1.2 El Coordinador del Grupo de Administracin de Recursos Fsicos activa la contingencia por
Ausencia de personal y de ser necesario comunica el evento al Jefe de Area. Distribuye
procesos claves o asigna funciones al colaborador Back - up. De igual manera, si la labor lo
requiere, solicita al Oficial de Seguridad Tecnolgica la reasignacin de perfiles, a travs del
formato F121 Formato asignacin de accesos a sistemas de informacin.
Cdigo:
Versin: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Pgina: 90 de 123
3.1.3 El Coordinador del Grupo de Administracin de Recursos Fsicos verifica la continuidad exitosa
de los procesos.
3.2.1 El Jefe de Riesgos activa la cascada telefnica y comunica el evento de incidente mayor al
Contacto de Departamento Primario Secretaria General, quien a su vez informa al funcionario
de nivel 3 Coordinador del Grupo de Administracin de Recursos Fsicos del incidente ocurrido
y las instrucciones de activacin de la contingencia de lugar.
3.2.2 El Coordinador del Grupo de Administracin de Recursos Fsicos contacta al personal crtico
(equipo de recuperacin), e informa el incidente ocurrido, solicitando el desplazamiento al Lugar
alterno de trabajo.
3.2.3 El Coordinador del Grupo de Administracin de Recursos Fsicos informa al Jefe de Riesgos o
su suplente que ocupar los puestos de trabajo en el lugar alterno de trabajo.
3.2.4 En el lugar alterno de trabajo, el Coordinador del Grupo de Administracin de Recursos Fsicos
solicita el kit de contingencia (recursos de escritorio) y al personal crtico que inicie la
conectividad a los programas requeridos.
3.2.5 El Coordinador del Grupo de Administracin de Recursos Fsicos confirma al Jefe de Riesgos la
correcta continuidad de los procesos.
3.2.6 El Jefe de Riesgos informa la disponibilidad y funcionabilidad del sitio normal de trabajo.
3.2.8 El Coordinador del Grupo de Administracin de Recursos Fsicos comunica al personal crtico el
Retorno a la normalidad y coordina el desplazamiento al Sitio base de trabajo.
La contingencia se presenta cuando el hardware y/o software presenta fallas, o cuando haya
interrupcin prolongada de telecomunicaciones.
Cdigo:
Versin: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Pgina: 91 de 123
3.3.1.7 El Coordinador de Infraestructura emite respuesta sobre la gravedad del evento y tiempo de
recuperacin al Jefe de la Oficina de Riesgos y al Director de Tecnologa.
CONDICIONES GENERALES
3.3.2.1 Recibir facturas de pago de servicios pblicos y administradores de bienes inmuebles y verificar
que las mismas estn correctas. Si se llegara a presentar alguna inconsistencia se subsana
comunicndose con la empresa prestadora del servicio.
3.3.2.3 Firmar la Orden de Pago en seal de elaborado y presentarla para su revisin y aprobacin al
Aprobador y Ordenador del Gasto.
3.3.2.4 Registrar en el libro control de rdenes de pago de la Secretaria General, cada una de las rdenes de
pago que se entregan al Grupo de Presupuesto de la Vicepresidencia Financiera.
Continuar con las actividades de los procedimientos de Registro presupuestal de Obligaciones, Anlisis contable
de causaciones y cuentas por pagar y Giro.
Jefe de Riesgos
3. La Secretaria General con apoyo del Comit SARO-SARLAFT, contacta a los proveedores
de las alternativas seleccionadas, definen el sitio alterno en el cual se mantendr la
operacin de la Entidad en momento de contingencia.
4. Acuerda con el proveedor la utilizacin de sus instalaciones por el perodo de tiempo que
dure la contingencia, segn las necesidades del Icetex descritas por el Coordinador de
Negocio y el Comit SARO-SARLAFT en ese momento.
7. Una vez instalados en el centro de operaciones alterno, realiza un chequeo del personal
mnimo que se encuentra en el sitio, en caso de ser necesario llamar al personal suplente
requerido.
10.Realiza una evaluacin del sitio alterno, para validar que los recursos requeridos se
encuentren disponibles en el sitio.
11. Solicita a los diferentes Coordinadores de Recuperacin un estado del evento y como ha
transcurrido la operacin en contingencia, se debe de usar el formato de Activacin y
Seguimiento de la Activacin (detallado en el numeral 8.5.5).
12. El Comit SARO SARLAFT analiza los resultados del estado de la contingencia y,
procede a decidir:
OBJETIVOS
1. Detalla en forma precisa el evento o incidente que se presenta e informa al Lder de PCN
de la dependencia.
3. Una vez tenga claridad sobre el evento que se est presentando y los colaboradores
involucrados, debe clasificarlo teniendo en cuenta las siguientes definiciones para
determinar si es un incidente o un problema:
4. Ingresa en el aplicativo de reporte de incidencias del Instituto. Esto con el fin que la
Direccin de Tecnologa pueda dejar reportado el evento en el Control de Incidentes.
9. Desarrolla la estrategia manual (Ver anexo 8.2, que contiene las contingencias manuales
estimadas).
10. Una vez solucionado el incidente o problema por parte de la Direccin de Tecnologa,
informa al Director de Continuidad Alterno (Jefe de Riesgos) y al Lder PCN del rea
afectada para que se levante la contingencia.
13. Una vez se haya solucionado el incidente, diligencia el formato Reporte de incidente PCN
(ver numeral 8.5.2), lo entrega al Jefe de la Oficina de Riesgos, con copia al Lder del
Proceso responsable del rea afectada.
Cdigo:
Versin: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Pgina: 98 de 123
INFRAESTRUCTURA FISICA
resistencia y control de impactos de afectacin fsica.
Falla en la administracin de proveedores de servicios profesioales Carencia de control de accesos en reas crticas restringidas.
PERSONAS
Falta o inadecuados procesos definidos e implementados para el Dependencia y falta de control de proveedores
soporte del servicio /administracin de incidentes, administracin
de cambios, administracin de configuracin, administracin de
Falta o inadecuados procesos definidos e implementados para la Falla en suministrar claridad en roles y responsabilidades
entrega del servicio (administracin de capacidad y desempeo, relacionadas con las operaciones crticas
administracin de continuidad de tecnologa, administracin de
acuerdos de niveles de servicios).
Falla en el Inventario (stock) de componentes o partes crticas. Falta o fallas en acuerdos de servicios medibles y confiables
con proveedores
Ausencia de sitios alternos de procesamiento. Falta o fallas enla medicin de tiempos y cantidad de
recursos crticos
Inadecuada capacidad de enlaces de trasmisin y redundancia. No se cuenta con jormadas de evacuacin del edificio
Falta de pruebas de recuperacin y retorno, restauracin de cintas
de respaldo.
Falta de respaldos de datos (tipo, frecuencia, SW, poltica de
respaldo de datos, rotulado y rotacin de cintas, ubicacin de
cintotecas.
Falta o falla de centros de custodias (distancia, frecuencia de
recoleccin, convenios).
Falla en Requerimiento a proveedores (contingencias, sitios
alternos).
Otros
Cdigo:
Versin: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Pgina: 100 de 123
Moderado Durante una interrupcin de las Suspende la El problema es Durante una interrupcin de las operaciones El tiempo mximo en que el procedimiento Herida que requiere Acceso
operaciones normales cuya operacin o genera de normales del procedimiento mayor a 24 horas debe ser recuperado sin causar un impacto tratamiento de restringido a las
duracin es mayor a 24 horas reprocesos mayores conocimiento hasta 48 horas, las sanciones por el significativo al Instituto o al Servicio al hospital a ms de un instalaciones
hasta 48 horas, el Instituto podra a 4 horas y hasta 1 de un nmero incumplimiento podran superar los $170,000,000 Cliente Externo mayores a 24 horas hasta 48 miembro del fsicas (60%)
3 perder una ganancia o dejara de dia. considerado de y/o el periodo de tiempo dentro del cual el horas o el nmero de clientes externos personal.
percibir ingresos a travs de clientes. resultado de incumplimiento dara lugar a afectados diariamente es mayor a 500 hasta Reduccin del
prstamos o productos que Penalizaciones, sanciones, multas y/o 1000. personal a nivel
superan ms de $170,000,000. Investigacin contra del Instituto es mayor a 24 local.
horas hasta 48 horas.
Importante Durante una interrupcin de las Suspende la A nivel sectorial Durante una interrupcin de las operaciones El tiempo mximo en que el procedimiento Heridas Imposibilidad
operaciones normales cuya operacin o genera / Entes de normales del procedimiento mayor a 4 horas debe ser recuperado sin causar un impacto significativas.muert de acceso a
duracin es mayor a 4 horas hasta reprocesos mayores control. hasta 24 horas, las sanciones por el significativo al Instituto o al Servicio al e potencial. instalaciones
24 horas, el Instituto podra perder a un da hasta 2 das. incumplimiento podran superar los $170,000,000 Cliente Externo mayores a 4 horas hasta 24 Reduccin fsicas
4 una ganancia o dejara de percibir y/o el periodo de tiempo dentro del cual el horas o el nmero de clientes externos significativa de
ingresos a travs de prstamos o resultado de incumplimiento dara lugar a afectados diariamente es mayor a 1000 personal.
productos que superan ms de Penalizaciones, sanciones, multas y/o hasta 5000.
$170,000,000. Investigacin contra del Instituto es mayor a 4
horas hasta 24 horas.
Masivo Durante una interrupcin de las Suspende la Medios de Durante una interrupcin de las operaciones El tiempo mximo en que el procedimiento Muertes y/o Destruccin
operaciones normales entre 0 y 4 operacin o genera comunicacin. normales del procedimiento mayor a 0 horas debe ser recuperado sin causar un impacto afectacin total total de
horas, el Instituto podra perder reprocesos mayores hasta 4 horas, las sanciones por el significativo al Instituto o al Servicio al sobre las vidas del instalaciones
una ganancia o dejara de percibir a 2 das. incumplimiento podran superar los $170,000,000 Cliente Externo es de 0 a 4 horas o el personal. Reduccin fsicas
5 ingresos a travs de prstamos o y/o el periodo de tiempo dentro del cual el nmero de clientes externos afectados amplia del personal.
productos que superan ms de resultado de incumplimiento dara lugar a diariamente es mayor a 5000.
$170,000,000. Penalizaciones, sanciones, multas y/o
Investigacin contra del Instituto es mayor a 0
horas hasta 4 horas.
NOTA: Contiene las variables de impacto aplicadas en el Anlisis de Impacto del Negocio: Financiero, Proceso, Reputacional, Legal y de Servicio al Cliente
Las variables de impacto de: Proceso y Reputacional, son las mismas que se definieron para la Administracin del Riesgo Operativo - SARO
Las variables de : Impacto humano e Infraestructura fsica deben ser contempladas por el tema de continuidad
El valor asociado y la calificacin son las mismas utilizadas para la administracin del riesgo operativo - SARO, iniciando desde la calificacin 1.
Cdigo:
Versin: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Pgina: 102 de 123
Cargo Cargo
Procedimiento 1
Procedimiento 2
Procedimiento 3
Procedimiento 4
Procedimiento 5
Procedimiento 6
Procedimiento 7
Procedimiento 8
Procedimiento 9
Procedimiento 10
Ir a Seccin Ir a Instrucciones
Ir a Parmetros ir a Cuestionario Requerimientos Cuestionario
Cdigo:
Versin: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Pgina: 103 de 123
Cuestionario BIA
Regulatorio/Legal
Durante una interrupcin de las operaciones normales del procedimiento,
1 describa el plazo en el cual las sanciones por el incumplimiento podra
superar los $170,000,000.
Describa el periodo de tiempo dentro del cual el resultado de incumplimiento
2 dara lugar a Penalizaciones, sanciones, multas y/o Investigacin contra del
Instituto.
Impactos para ser analizados por el rea de Negocio/Apoyo
Financiero
El Instituto podra perder una ganancia de
3 Durante una interrupcin de las ms de $170,000,000.
operaciones normales del
El Instituto dejara de percibir ingresos, a
procedimiento, describir el
4 travs de prstamos o productos que
perodo en el que:
superan los $170,000,000.
Servicio a Cliente Externo
Cul es el tiempo mximo en que el procedimiento debe ser recuperado sin
5
causar un impacto significativo al Instituto o al Servicio al Cliente Externo?
6 Nmero de clientes externos afectados diariamente
Reputacional
Evalue el efecto del impacto reputacional en cuanto a las opiniones de los
7
clientes, sectores educativo y financiero y/o el publico en general.
Procedimientos
8 Cul sera el impacto en otros procedimientos o reas?
Proveedores
Describa la importancia de las actividades de sus proveedores externos en
9
sus procedimientos.
Proveedores Crticos
Nombre del
Procedimiento
Nmero de funcionarios
tiempo completo para
ejecutar el procedimiento
Nmero de funcionarios
necesarios durante la
recuperacin
Aplicacin Critica - 1
Aplicacin Critica - 2
Aplicacin Critica - 3
Aplicacin Critica - 4
Aplicacin Critica - 5
Telfono Interior
Impresora
Scanner
La informacin contenida en este documento es exclusivamente de <<AREA>>. Para llegar al nivel adecuado de
preparacin de la continuidad, la <<AREA>> ha respondido al Analisis de Impacto del Negocio e informacin para
justificar el apoyo en cada una de las respuestas seleccionadas en el cuestionario BIA, as como la informacin de la
Tecnologa " Requisitos durante el desastre y la informacin sobre "Proveedores Crticos" de los procedimientos. Esta
informacin ser utilizada en toda la documentacin de continuidad del negocio en el futuro.
Conclusiones
El BIA constituye un aporte fundamental para obtener la Estrategia para la Continuidad del Negocio. En funcin de la
criticidad, una amplia gama de estrategias de Continuidad de Negocios se pueden implementar. Estas estrategias
sern acordadas entre las reas de Negocio/Apoyo y el equipo de Plan de Continuidad de Negocio (PCN).
De acuerdo con lo anterior, los procedimientos que se priorizan en la primera fase de revisin de las disposiciones del
Plan de Continuidad de Negocios (PCN), sern los valores que aparecen en el BIA con valor <<Misin Critica>> y
<<Masivo>> en el cuadro anterior.
Firmas
Detalles Nombre Firma
Jefe rea
Lder BCP
Cdigo:
Versin: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Pgina: 106 de 123
Informacin de Identificacin
Fecha del incidente Hora de ocurrencia
Duracin del incidente Proceso afectado
Nombre del rea Lugar donde se
present el incidente
Lecciones aprendidas
PERSONAL
CRITICO
Tel Correo CONTACTO EQUIPO
Rol Nombre Cargo Celular Casa BRIGADISTA ( R eenviad o s a
Interno Electrnico PRINCIPAL RECUPERACION un sit io alt erno
d e co nt ing encia
d e co rt o
t iemp o )
Contacto de
Emergencia
Primario para
todas las reas
de negocio
Contacto de
Departamento
Primario
Cascada Nivel 1
Cascada Nivel 2 -
Contactarn a los
Coordinadores
de su rea
Cascada Nivel 3 -
Contactarn al
personal de sus
propios grupo de
cascada.
Personal
Personal
Personal
Personal
Personal
Proveedor
Descripcin Proveedor
Direccin
Procedimiento
Correo Correo
Proveedor
Descripcin Proveedor
Direccin
Procedimiento
Correo Correo
Proveedor
Descripcin Proveedor
Direccin
Procedimiento
Correo Correo
Cdigo:
Versin: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Pgina: 109 de 123
OBJETIVOS
OBJETIVO GENERAL (Definir claramente lo que se quiere lograr con el desarrollo de la prueba)
1
OBJETIVOS ESPECFICOS (Enunciar las acciones y/o actividades a desarrollar para lograr el objetivo general de la prueba)
ALCANCE
Establecer los elementos que hacen parte del proceso o servicio objeto de la prueba.
2
ESCENARIO DE INTERRUPCIN
Describir las circunstancias y/o los eventos de interrupcin a considerar durante el desarrollo de la prueba con el fin de ambientar la situacin bajo la cual el plan de contingencia podra ser activado para
3 el proceso objeto de la prueba.
RESULTADOS ESPERADOS
4 Describir los productos (output) que se esperan obtener al finalizar la ejecucin de la prueba.
Riesgos
Identificar y describir los riesgos asociados a la ejecucin de la prueba. En la identificacin se deben tener en cuenta aspectos como: la afectacin del servicio, la imagen, las capacidades tcnicas,
entre otros.
7
Riesgo y/o Dificultades Impacto Accin Responsable
Completamente Completamente
satisfactorio satisfactorio
Cdigo:
Versin: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Pgina: 110 de 123
2.
Cdigo:
Versin: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Pgina: 111 de 123
1 No aplica (N/A)
2.
n
Cdigo:
Versin: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Pgina: 112 de 123
dd mm aa
Informacin general
Cargo Fecha
Escritorio Ejecutor
Tipo de Prueba Tipo de Integrante
Por componentes Observador
(Seale con una X) (Seale con una X)
Integrada Evaluador
Planeacin
Ejecucin
Fase en la que particip FIRMA
Retorno
Evaluacin
En la realizacin de las pruebas son muy importantes sus comentarios y recomendaciones. Estos ayudan a mejorar y actualizar el programa de continuidad de negocio. Por
favor escoja la respuesta adecuada y suministre cualquier comentario adicional.
S
Identific oportunidades de mejora en cuanto al tiempo empleado en la ejecucin de la prueba?
No
Si su respuesta anterior fue S, por favor describa las oportunidades de mejora y/o los aspectos a tener en cuenta para fortalecer la administracin del tiempo durante la ejecucin de la prueba.
Cmo fueron las instrucciones que recibi para ejecutar la prueba? (Marque con una X)
S
Identific oportunidades de mejora en cuanto a la forma como fueron comunicadas las instrucciones para participar en la prueba?
No
Si su respuesta anterior fue S, por favor describa las oportunidades de mejora y/o los aspectos a tener en cuenta para fortalecer la definicin de las instrucciones y la forma como deben ser
comunicadas a los participantes.
Fue suficientemente realista la prueba para validar la efectividad del plan y/o procedimientos contingentes? (Marque con una X)
Identific oportunidades de mejora en cuanto al escenario definido para el desarrollo de la prueba y en cuanto a los recursos mnimos S
utilizados en la misma? No
Si su respuesta anterior fue S, por favor describa las oportunidades de mejora y/o los aspectos a tener en cuenta para fortalecer y mejorar el escenario definido para el desarrollo y los recursos
mnimos utilizados en el desarrollo de la misma.
3
Cuntos problemas y/o debilidades y/o aspectos por mejorar identific durante el desarrollo de la prueba? (Marque con una X)
De 1 a 2 De 5 a 6 Ninguno
De 3 a 4 Ms de 6
Por favor mencione los problemas y/o debilidades y/o aspectos por mejorar que identific:
4 Si identific problemas y/o debilidades y/o aspectos por mejorar por favor enuncie algunas recomendaciones para fortalecer dichos aspectos.
Si su respuesta anterior fue No o Parcialm ente, por favor describa las razones por las cuales ud. cree que no se alcanzaron satisfactoriamente los objetivos trazados para esta prueba.
Satisfactoria Efectiva
S
Identific oportunidades de mejora en cuanto a la efectividad de la prueba?
No
Si su respuesta anterior fue S, por favor describa las oportunidades de mejora y/o los aspectos a tener en cuenta para fortalecer este tema.
Califique la efectividad de los procedimientos (Paso a Paso) establecidos en cada una de las etapas para llevar a cabo la prueba (Marque
con una X)
Medianamente Medianamente
Efectivos Efectivos Efectivos
Satisfactorios Satisfactorios
Satisfactorios
Identific oportunidades de mejora en cuanto a la efectividad de los procedimientos (Paso a Paso) definidos para llevar a cabo la S
7 prueba?
No
Si su respuesta anterior fue S, por favor describa las oportunidades de mejora y/o los aspectos a tener en cuenta para fortalecer este tema.
Cal es su calificacin general del desarrollo de la prueba respecto a los resultados obtenidos? (Marque con una X)
Vicepresidencia de Fondos en
Diana Patricia Olaya Campo Elias Vaca Perilla
Administracin
Oficina de Relaciones Internacionales Diana Carolina Gmez William Barreto
Oficina Comercial y Mercadeo Luyfer Osorio Andres Felipe Murillo
Oficina Asesora Jurdica Ricardo Corts Pardo Campo Elias Vaca Perilla
Direccin de Tecnologa Victor Raul Bautista Galindo Francisco Pulido Fajardo
Oficina Asesora de Comunicaciones Andres Mauricio Rivera Snchez Amanda Ramrez
Secretaria General Coordinadora Grupo de Contratos Ingrid Marcela Garavito Mara Eugenia Mndez Munar
Coordinadora Grupo Correspondencia Luz Marielly Morales
Coordinador Grupo de Archivo Gerardo Alonso Rodrguez Pineda
Coordinadora Grupo Talento Humano Miryam Cardona Giraldo
Coordinador Grupo Recursos Fsicos Gloria Nancy Mndez Ibaez
Oficina de Riesgos Claudia Stella Corts Albornoz Jaime Eduardo Galvez Marquez
Oficial de Cumplimiento Claudia Stella Corts Albornoz Jaime Eduardo Galvez Marquez
Oficina Asesora de Planeacin Edgar Fabio Daz Ramrez Rodrgo Fernando Acosta Trujillo
Oficina de Control Interno Carlos Eduardo Cruz Luz Alba Snchez Snchez
Cdigo:
Versin: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Pgina: 118 de 123
El Grupo de Trabajo de PCN analiz la totalidad de los procesos con los que cuenta la Entidad,
revisando 134 procedimientos. Tal evaluacin fue validada y aprobada por los Lideres del
Proceso y en constancia firmaron el Acta resumen correspondiente.
Estos procedimientos fueron calificados como se ilustra en el siguiente cuadro, los cuales estn
agrupados por tipo de proceso:
VALOR BIA: Nivel 1AAA Nivel 1AA Nivel 1A Nivel 2 Nivel 3 Nivel 4 Nivel 5 Nivel 6
TIPO PROCESO
RTO: 4 horas 8 horas 24 horas 48 horas 7 das 14 das 30 das >30 das
NO. PROCESOS
CALIFICACION BIA: Misin Crtica Misin Crtica Masivo Masivo Medio Medio Bajo Insignificante
MISIONAL 14 38 1 1 4 14 7 7 4
APOYO 19 68 1 11 9 17 10 11 9
ESTRATEGICOS 7 24 2 2 8 6 6
EVALUACION 1 4 1 2 1
TOTAL 41 134 1 1 15 15 31 25 26 20
Los resultados indican que los procedimientos calificados en: Nivel 1AAA, Nivel 1AA, Nivel 1 y
Nivel 2, cuyo tiempo objetivo de recuperacin (RTO) oscila entre 4 y 48 horas son considerados
como crticos prioritarios para la Entidad, suman 32 procedimientos y es de vital importancia
establecer la estrategia de continuidad para cada uno de estos procedimientos. Los restantes
102 procedimientos fueron calificados entre los niveles 3 al 6, lo que indica que permiten un
tiempo mayor de recuperacin.
N - 1AAA
4 horas Atencin al cliente Otorgamiento de becas colombianos en el exterior
Misin crtica
N - 1AA
Otorgamiento de becas posgrados para extranjeros en
8 horas Cumplimiento de operaciones de inversin
Colombia
Misin crtica
Gestin de legalizacin y renovacin para
Cierre de cartera
aprobacin del desembolso
Facturacin poca de estudios, perodo de gracia y
Actualizacin de contenidos en la pgina Web
amortizacin
Custodia de Garantas Nivel 2 Base de datos
Suscripcin y legalizacin de contrato, convenio, 48 horas
Soporte a Infraestructura
ordenes de servicio y/o compra Masivo
Gestin de correspondencia externa Atencin acciones de tutela
NIVEL 1A Registro presupuestal de compromisos Consulta de archivo
24 horas Registro presupuestal de obligaciones Apoyo logstico
Masivo Causaciones y cuentas por pagar Liquidacin de nmina
Generacin de informacin exgena, elaboracin y
Expedicin del certificado de disponibilidad presupuestal
transmisin de informacin
Presentacin y pago de impuestos Anlisis contable con sus contrapartidas crticas
Giro Cierre contable mensual
Servicio a la deuda Aplicacin del modelo de referencia de cartera comercial
Gestin de incidentes de seguridad Medicin, transmisin y seguimiento del VaR
Gestin de vulnerabilidades
Requerimientos Entes de Control
1
Gestion de legalizacin y C&CETEX
8 8 3 SI SI <=24 Horas
aprobacin del desembolso Cobol
2 Internet
Actualizacin de contenidos en
1 1 1 SI <= 24 horas Office
Pgina Web
Correo electrnico
3 Registro presupuestal de
2 1 1 SI <= 8 horas Apoteosys
compromisos
4 Registro presupuestal de
0 SI <= 24 horas Apoteosys
obligaciones
5
Causaciones y cuentas por pagar 1 1 <= 24 horas Apoteosys
6
Presentacin y pago de impuestos 1 <= 24 horas Apoteosys
7 Generacin de informacin
exgena, elaboracin y 1 <= 24 horas Apoteosys
transmisin de informacin
8
Apoteosys
Giro 2 1 1 SI SI <= 4 Horas Office
Internet
9
Office
Servicio a la deuda 1 1 SI SI <= 4 Horas
Internet
10 Gestion de correspondencia
2 1 1 SI SI <= 4 Horas Mercurio
externa
11 Mercurio
Custodia de garantias 1 3 1 1 SI <= 8 horas SGD V2.0 -MTI
Pgina Web
12 Suscripcin y legalizacin de
Correo electrnico
contrato, convenio, ordenes de 2 2 SI <= 4 Horas
Office
servicio y/o compra
13 Correo
Gestin de incidentes de seguridad 1 1 1 SI <= 24 horas
electrnico
14 Gestor de
Gestion de vulnerabilidades 1 1 SI <= 24 horas Vulnerabilidades
MacAFFE
15 C&CETEX
Requerimientos Entes de Control 2 2 1 SI SI <= 24 horas Apoteosys
Cobol
Total Requerimientos 26 3 21 10
Con esta calificacin fueron evaluados quince (15) procedimientos, los cuales se detallan a
continuacin con los recursos necesarios para operar:
Cdigo:
Versin: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Pgina: 121 de 123
PRINCIPALES
RECURSO HUMANO BIENES MUEBLES
No. PROCEDIMIENTO RPO APLICATIVOS
RECURSO REQUERIDOS
RECURSO
HUMANO COMPUTADOR TELEFONO IMPRESORA ESCANER
HUMANO
OUTSOURCING
Bizagi
Otorgamiento de becas
1 2 2 1 SI <= 4 Horas C&CETEX
colombianos en el exterior Fox-Pro
Otorgamiento de becas Bizagi
2 posgrados para extranjeros 1 1 1 > 30 das Apoteosys
en Colombia Correo electrnico
C&CETEX
3 Cierre de cartera 1 2 1 <= 24 horas Apoteosys
Correo electrnico
Facturacin epoca de C&CETEX
4 estudios, perodo de gracia y 1 1 <= 24 horas Correo electrnico
amortizacin Office
Mercurio
5 Atencin acciones de tutela 3 3 1 SI SI <= 24 horas C&CETEX
Correo electrnico
Apoteosys
Expedicin del certificado de
6 0 0 0 SI <= 8 horas Correo electrnico
disponibilidad presupuestal Office
Apoteosys
8 Cierre contable mensual 1 1 1 SI <= 24 horas C&CETEX
Correo electrnico
Mercurio
9 Consulta de archivo 1 3 1 1 SI <= 8 horas SGD V2.0 -MTI
Correo electrnico
Queryx SRH
10 Liquidacin de nmina 2 2 1 SI > 30 das Correo electrnico
Office
Office
11 Apoyo logstico 2 2 1 SI <= 48 horas Apotesoys
Correo electrnico
Oracle
12 Base de datos 1 1 <= 24 horas
TOAD
Dado que se encuentra clasificado por niveles de prioridad de los procedimientos para
continuidad, es posible tomar distintas decisiones del alcance del PCN. De acuerdo con el
propsito de tener estrategia de continuidad bajo el escenario de Interrupcin de Lugar para los
32 procedimientos calificados como crticos (cuyo tiempo objetivo de recuperacin comprende de
4 a 48 horas), es necesario operar con:
El cuestionario BIA midi el tiempo tolerable en que la Entidad est dispuesta a perder de
informacin ante una interrupcin en la tecnologa de informacin por fallas. Los resultados
arrojados son los siguientes:
Cdigo:
Versin: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Pgina: 123 de 123
Actualmente el Icetex realiza backups de la informacin a los aplicativos con una frecuencia de
cada 24 horas. Como se aprecia en el cuadro, el Grupo de Trabajo de PCN en un 50%
considera adecuado la proteccin de datos cada 24 horas y en un 25% hasta puede superar la
periodicidad de proteccin de ese tiempo; la diferencia del 25% requiere backup con frecuencia
inferior al da.
Esta informacin es significativa para la Entidad para el establecimiento de estrategias y
polticas de backup de la informacin.
APLICATIVOS CRITICOS