Manual Continuidad Negocio PDF

Código:
Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE

Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Página: 1 de 123
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DE NEGOCIOS
INSTITUTO COLOMBIANO DE CRÉDITO EDUCATIVO Y ESTUDIOS TÉCNICOS EN EL

EXTERIOR - ICETEX
Mayo de 2013
Código:
Página: 2 de 123
Contenido
1 INTRODUCCION 4
2 OBJETIVOS 4
2.1 OBJETIVO GENERAL 4
2.2 OBJETIVOS ESPECIFICOS 4
3 ALCANCE 5
4 CONCEPTOS BASICOS 5
5 CAUSAS DE INTERRUPCION 7
6 GOBIERNO DE CONTINUIDAD 8
6.1 LINEAMIENTOS 8
6.2 NORMAS EXTERNAS 9
6.3 ESTRUCTURA DE LA GESTION DE LA CONTINUIDAD DEL NEGOCIO 10

6.3.1 COMITE SARO - SARLAFT 10
6.3.2 LIDERES PCN 14
6.3.3 OFICINA DE RIESGOS 15
6.4 ELEMENTOS QUE CONFORMAN LA ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO 15
6.5 ENTRENAMIENTO 15
7 FASES DE LA ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO 17
7.1 FASE DE PREVENCION 17

7.1.1 ETAPA DE ANALISIS DE IMPACTO DEL NEGOCIO - BIA 17
7.1.2 ETAPA DE ANALISIS DE RIESGOS 23
7.1.3 ETAPA DE ESTRATEGIA 30
7.1.4 ETAPA DE PRUEBAS 34
7.1.5 ETAPA DE MANTENIMIENTO 37
7.2 FASE DE ADMINISTRACION DE CRISIS 38

7.2.1 CONCEPTO 38
7.2.2 OBJETIVOS 38
Código:
Página: 3 de 123
7.2.3 ALCANCE 38
8 ANEXOS 39
8.1 ANEXOS DE ESTRATEGIA TECNOLOGICA 39
8.2 ANEXOS DE ESTRATEGIA DE CONTINGENCIA MANUAL 51
8.3 ANEXOS DE PROCEDIMIENTOS 93

8.3.1 ESCENARIO DE CONTINGENCIA A SITIO ALTERNO 93
8.3.2 MANEJO DE INCIDENTES POR PROBLEMAS EN LOS SISTEMAS 95
8.4 ANEXOS DE TABLAS 98

8.4.1 TIPOS DE AMENAZA 98
8.4.2 TIPOS DE VULNERABILIDADES 99
8.4.3 CRITERIOS DE FRECUENCIA 100
8.4.4 CRITERIOS DE IMPACTO 101
8.5 ANEXOS FORMATOS 102

8.5.1 FORMATO DE ANALISIS DE IMPACTO DEL NEGOCIO - BIA 102
8.5.2 FORMATO DE INCIDENTES DE CONTINGENCIA 106
8.5.3 CASCADA TELEFONICA 107
8.5.4 FORMATO GUION DE PRUEBAS Y SUS REGISTROS 109
8.5.5 FORMATO DE ACTIVACION Y SEGUIMIENTO DE LA ACTIVACION 116
8.6 ANEXOS RESULTADOS 117

8.6.1 EQUIPO DE TRABAJO DEL PCN 117
117
8.6.2 RESULTADO DE LA ETAPA DE ANALISIS DE IMPACTO DEL NEGOCIO – BIA 118
Código:
Página: 4 de 123
1 INTRODUCCION
El Icetex reconoce que existen amenazas significativas ante la posibilidad de la ocurrencia de un

incidente o desastre que afecte la operación, como también la necesidad de recuperarse en el
menor tiempo posible, garantizando la continuidad del instituto.
La Administración del Plan de Continuidad de Negocios es la política que el Icetex implementa,

para responder organizadamente a eventos que interrumpen la normal operación de sus
procesos y que pueden generar impactos sensibles en el logro de los objetivos.
El Plan de Continuidad del Negocio es una herramienta que mitiga el riesgo de no disponibilidad
de los recursos necesarios para el normal desarrollo de las operaciones y como tal hace parte
del Sistema de Gestión de Riesgo Operativo, ofreciendo como elementos de control la
prevención y atención de emergencias, administración de la crisis, planes de contingencia y
capacidad de retorno a la operación normal.
2 OBJETIVOS
2.1 OBJETIVO GENERAL

Asegurar que el Icetex esté preparado para responder a emergencias, recuperarse de ellas y
mitigar los impactos ocasionados, permitiendo la continuidad de los servicios críticos para la
atención de clientes y la operación.
2.2 OBJETIVOS ESPECIFICOS
 Lograr un nivel de preparación frente a incidentes que permita asegurar que puede proteger la
integridad de las personas y bienes de la entidad en forma adecuada, realizando una buena
administración de la crisis.
 Minimizar la frecuencia de interrupciones de la operación de los procesos del negocio.
 Asegurar una pronta restauración de las operaciones afectadas por el evento.
 Minimizar las decisiones a tomar en caso de contingencia para evitar cometer errores.
Código:
Página: 5 de 123
 Cumplimiento de los requerimientos de normas emitidas por la Superintendencia Financiera

de Colombia.
3 ALCANCE
La Administración del Plan de Continuidad de Negocios es una disciplina que prepara a la

organización para poder continuar operando durante un incidente o desastre, a través de la
implementación de un plan de continuidad, el cual contempla los lineamientos de administración
de la continuidad del Instituto, el desarrollo de fases que componen el plan de continuidad y las
metodologías definidas por el Icetex para su ejecución, como también el desarrollo de los planes
de contingencia, que se realizan de acuerdo con las prioridades establecidas por la Entidad.
De la misma manera, el desarrollo de los planes de continuidad se apoya en las capacidades

con las que cuenta el Icetex para enfrentar situaciones que amenacen o afecten la integridad
física de sus colaboradores e instalaciones, tales como el Plan de Manejo de Emergencias, los
mecanismos de protección y seguridad, Manual de gestión de la comunicación en situaciones de
crisis y los demás sistemas de gestión.
4 CONCEPTOS BASICOS
Administración del Plan de Continuidad de Negocios: Es un sistema administrativo integrado,

transversal a toda la organización, que permite mantener alineados y vigentes todas las
iniciativas, estrategias, planes de respuesta y demás componentes y actores de la continuidad
del negocio.
Busca mantener la viabilidad antes, durante y después de una interrupción de cualquier tipo.
Abarca las personas, procesos de negocios, tecnología e infraestructura.
Incidente de Trabajo: Es un evento que no es parte de la operación estándar de un servicio y el

cual puede causar interrupción o reducción en la calidad del servicio y en la productividad.
Problema de Continuidad de Negocio: Es un evento interno o externo que interrumpe uno o

más de los procesos de negocio. El tiempo de la interrupción determina que una situación sea un
incidente o un desastre.
Planes de contingencia: Conjunto de acciones y recursos para responder a las fallas e

interrupciones específicas de un sistema o proceso.
Código:
Página: 6 de 123
Plan de Continuidad de Negocio (PCN): Conjunto detallado de acciones que describen los
procedimientos, los sistemas y los recursos necesarios para retornar y continuar la operación,
en caso de interrupción1.
Plan de Recuperación de Desastres (DRP): Es la estrategia que se sigue para restablecer los
servicios de tecnología (red, servidores, hardware y software) después de haber sufrido una
afectación por un incidente o catástrofe de cualquier tipo, el cual atente contra la continuidad del
negocio.
Análisis de Impacto del Negocio (BIA): Es la etapa que permite identificar la urgencia de
recuperación de cada área, determinando el impacto en caso de interrupción.
Disponibilidad: La información debe estar en el momento y en el formato que se requiera ahora

y en el futuro, igual que los recursos necesarios para su uso2.
Amenaza: Persona, situación o evento natural del entorno (externo o interno) que es visto como
una fuente de peligro, catástrofe o interrupción. Ejemplos: inundación, incendio, robo de datos.
Vulnerabilidad: Es una debilidad que se ejecuta accidental o intencionalmente y puede ser

causada por la falta de controles, llegando a permitir que la amenaza ocurra y afecte los
intereses de la Institución. Ejemplos: Deficiente control de accesos, poco control de versiones de
software, entre otros.
Riesgo: Es la probabilidad de materialización de una amenaza por la existencia de una o varias

vulnerabilidades con impactos adversos resultantes para la Entidad.
Frecuencia: Estimación de ocurrencia de un evento en un período de tiempo determinado. Los

factores a tener en cuenta para su estimación son la fuente de la amenaza y su capacidad y la
naturaleza de la vulnerabilidad.
Impacto: Es el efecto que causa la ocurrencia de un incidente o siniestro. La implicación del

riesgo se mide en aspectos económicos, imagen reputacional, disminución de capacidad de
respuesta y competitividad, interrupción de las operaciones, consecuencias legales y afectación
1
Concepto tomado del Capítulo XXIII – Reglas relativas a la administración del riesgo operativo – de la Circular
Básica Contable de la Superfinanciera.
2
Concepto tomado del Capítulo XII – Requerimientos mínimos de seguridad y calidad en el manejo de
información a través de medios y canales de distribución de productos y servicios- Título I de la Circular Básica
Jurídica de la Superfinanciera.
Código:
Página: 7 de 123
física a personas. Mide el nivel de degradación de uno de los siguientes elementos de

continuidad: Confiabilidad, disponibilidad y recuperabilidad.
Control: Es el proceso, política, dispositivo, práctica u otra acción existente que actúa para
minimizar el riesgo o potenciar oportunidades positivas.
Riesgo inherente: Es el cálculo del daño probable a un activo de encontrarse desprotegido, sin
controles.
Riesgo residual: Riesgo remanente tras la aplicación de controles.
5 CAUSAS DE INTERRUPCION
Los planes de contingencia se definen de acuerdo con las causas de las posibles interrupciones
y a partir de ellas se referencian las acciones a seguir en caso que las mismas se presenten.
Estas se pueden unificar en los siguientes escenarios:
 Ausencia de Personal: Se presenta cuando el funcionario o contratista que ejecuta el

proceso no puede asistir a trabajar para desarrollar las actividades propias de su cargo.
 No acceso al sitio normal de trabajo: Se presenta cuando por algún evento como desastre
natural, enfermedad contagiosa, actividad terrorista, problemas de transporte, huelgas, entre
otros, el personal no puede acceder a su lugar de trabajo para desarrollar las actividades
propias de su cargo. En este caso y con el ánimo de no interrumpir la operación del proceso
crítico se debe contar con un sitio alterno de trabajo, el cual puede ser:
• Suministrado por la Entidad, Ejemplo: Otra sede.

• Suministrado por un proveedor, contratista o aliado estratégico.
 Caída de los sistemas tecnológicos: Se presenta cuando el hardware y/o software presenta
falla(s) o cuando haya interrupción prolongada de las comunicaciones, ocasionados por: datos
corruptos, fallos de componentes, falla de aplicaciones y/o error humano.
 No contar con los Proveedores Externos: Se presenta cuando una o varias actividades del
proceso crítico son realizadas por el proveedor y cualquier falla de éste, generaría la no
realización efectiva del proceso. En este caso se debe garantizar que en el contrato con el
proveedor se especifique la existencia de un Plan de Continuidad del Negocio documentado,
adicional, sea probado en conjunto con los colaboradores de la Entidad y aprobado por el
Icetex.
Código:
Página: 8 de 123
6 GOBIERNO DE CONTINUIDAD
6.1 LINEAMIENTOS
El objetivo de la administración de continuidad del negocio es planificar las acciones necesarias

para responder de forma adecuada ante un incidente de trabajo, desde el momento en que se
declare la contingencia hasta la vuelta a la normalidad, de forma que se reduzca al mínimo su
impacto sobre el negocio.
Los lineamientos se sustentan en un conjunto de principios que han sido formulados basándose
en las necesidades del negocio y en el entendimiento de los riesgos asociados, ellos son:
 El plan de continuidad de negocio está orientado a la protección de las personas, así como al
restablecimiento oportuno de los procesos, servicios críticos e infraestructura, frente a eventos
de interrupción o desastre.
 Todo el personal de la Entidad debe estar entrenado y capacitado en los procedimientos

definidos y conocer claramente los roles y responsabilidades que le competen en el marco de
la continuidad del negocio, mediante labores periódicas de formación, divulgación y prueba de
los Planes de Contingencia del Negocio.
 En caso de presentarse un incidente significativo se deben aplicar los mecanismos de

comunicación apropiados, tanto internos como externos, de acuerdo con el manual de
Comunicación en Situaciones de Crisis.
 Las etapas de la Administración de PCN deben ser ejecutadas por cada una de las áreas de
la Entidad, con la guía y coordinación de la Oficina de Riesgos.
 Los Jefes de área deben designar un Líder de Plan de Continuidad del Negocio, quien es
responsable de apoyar las actividades del Programa de Plan de Continuidad de Negocios
para el área que representa.
 Las diferentes etapas que conforman la fase de Prevención deben ser ejecutadas con la
siguiente frecuencia:
o El análisis de impacto del negocio debe actualizarse cada dos (2) años o cada vez que un
Líder de Proceso lo requiera, teniendo en cuenta los cambios del Instituto y sus
necesidades.
Código:
Página: 9 de 123
o El monitoreo a los riesgos de continuidad se efectuará de manera semestral.

o Pruebas anuales deben realizarse a todas las estrategias de contingencia definidas.
o Las estrategias se revisarán cada vez que el Líder del Proceso lo considere o como
resultado del análisis de riesgos se determine el ajuste o implementación de estrategias de
contingencia.
 Los procesos críticos deben ser recuperados dentro de los márgenes de tiempo requeridos en
los Planes de Continuidad del Negocio.
 La Entidad ha definido como el nivel máximo de aceptación del riesgo residual, la clasificación
de Tolerable.
 Los procesos / servicios del Instituto que sean desarrollados por terceros contratados deben
disponer de planes de continuidad, para lo cual el funcionario interventor del contrato debe
solicitar este documento y remitirlo a la Oficina de Riesgos, donde se analizará la cobertura
del mismo. Adicionalmente, se debe verificar que los planes, en lo que corresponden a los
servicios convenidos, funcionen en las condiciones esperadas, donde la Oficina de Riesgos
debe coordinar con el área responsable del contrato la ejecución de pruebas a dicho plan.
 Los planes de contingencia deben mantenerse actualizados, para lo cual se deben

desarrollar, probar y de ser necesario mejorar de forma periódica o ante cambios significativos
en políticas, personas, proceso, tecnología; siendo necesario que en dicha revisión participen
las áreas involucradas.
6.2 NORMAS EXTERNAS
La Superintendencia Financiera de Colombia ha emitido las siguientes circulares donde se

normatiza la necesidad de que las Entidades vigiladas por este Ente de Control obtengan un
Plan de Continuidad de Negocios, que cumplan con los siguientes elementos:
 Circular 041/2007- SARO: Las entidades deben definir, implementar, probar y mantener un
proceso para administrar la continuidad del negocio que incluya la prevención y atención de
emergencias, administración de la crisis, planes de contingencia y capacidad de retorno a la
operación normal.
 Circular 038/2009 – Sistema de Control Interno: Implementar, probar y mantener un

proceso para administrar la continuidad de la operación de la entidad para responder a las
fallas e interrupciones específicas de un sistema o proceso y capacidad de retorno a la
normalidad.
Código:
Página: 10 de 123
 Circular 042/2012: Exigir que los terceros contratados dispongan de planes de contingencia y
continuidad debidamente documentados. Las entidades deberán verificar que los planes, en
lo que corresponde a los servicios convenidos, funcionen en las condiciones pactadas.
Además, existen metodologías del Plan de Continuidad del Negocio fundamentado en el uso de
buenas prácticas reconocidas y normas internacionalmente aprobadas basadas en la gestión de
riesgos, entre ellas se encuentran DRI International (Disaster Recovey Institute International) e
ISO 22301, ISO27001, las cuales fueron tenidas en cuenta para la elaboración de este
documento.
6.3 ESTRUCTURA DE LA GESTION DE LA CONTINUIDAD DEL NEGOCIO
Para asegurar una adecuada administración de la continuidad del negocio se estableció un

estructura, que incluye la definición de los roles y responsabilidades, tanto de los Líderes de
Proceso, como de la Alta Gerencia. Esa administración está conformada por:
6.3.1 COMITE SARO - SARLAFT

La gestión de la continuidad de negocio requiere de una estructura organizacional, encargada de
promover el desarrollo de los lineamientos definidos en este capítulo. Dado que el Comité SARO
– SARLAFT realiza el monitoreo a la gestión del Sistema de Riesgo Operativo, también es
responsable de administrar la continuidad de la operación del Instituto. A continuación se
mencionan los integrantes del comité, su rol y responsabilidad frente a este item:
COMITÉ SARO – SARLAFT ROLES DE CONTINGENCIA

Presidente del Icetex o su delegado, quien presidirá el Comité Director de Continuidad
Jefe de Riesgos Director Alterno de Continuidad
Secretaria General Líder de Administración /Recuperación
Infraestructura Física
Director de Tecnología Líder de Recuperación Tecnológica
Vicepresidente Financiero Coordinadores de Recuperación
Vicepresidente de Crédito y Cobranza
Vicepresidente de Fondos en Administración
Jefe de Control Interno Tareas de apoyo, control y
cumplimiento
Jefe Oficina Asesora Jurídica
Oficial de Cumplimiento
Coordinador de Riesgos de Crédito y Operativo
Jefe oficina Asesora de Comunicaciones (Su participación Asesor de Comunicaciones
será por solicitud del Comité SARO-SARLAFT)
Roles de Miembros de Comité SARO - SARLAFT
Código:
Página: 11 de 123
En caso en que el Comité active el plan de continuidad, podrá invitar a otros funcionarios
responsables de actividades que impacten la operación del negocio, caso la Oficina Asesora de
Comunicaciones.
A) ROLES Y RESPONSABILIDADES
A continuación se describen los roles y responsabilidades de los integrantes del Comité en lo

respectivo al plan de continuidad; vale aclarar las personas nombradas como principales y sus
suplentes (alternos) tienen las mismas responsabilidades.
Director de Continuidad
El Director de Continuidad es el encargado de dirigir y liderar todas las actividades del plan de
continuidad del negocio. Es responsable de declarar la contingencia ante el escenario de
interrupción de lugar de trabajo, con base en las decisiones tomadas por el Comité SARO-
SARLAFT o en situaciones donde amerite realizar su activación inmediata.
Responsabilidades
 Delegar de manera expresa en el Comité SARO- SARLAFT, la responsabilidad de
actualizar, mantener y probar el plan de continuidad.
 Evaluar y aprobar los recursos requeridos para establecer y mantener la estrategia de
recuperación y contingencia de la entidad.
 Liderar las reuniones del Comité SARO – SARLAFT.
 Advertir sobre nuevos riesgos que afectan la continuidad de la operación normal de la
entidad y que ponen al descubierto debilidades del plan de continuidad.
 Monitorear los reportes sobre el estado de recuperación o evaluación durante una
contingencia.
 Velar por la seguridad del personal que actúa en el área del evento.
 Establecer los objetivos de recuperación y activar el plan de continuidad ante el escenario
de interrupción de lugar teniendo en cuenta el resultado de la evaluación
 Velar por la ejecución del debido análisis causa – raíz del evento que ocasionó la
contingencia.
Director Alterno de Continuidad
 Asumir el rol y cumplir con las responsabilidades de Director de Continuidad cuando éste
no se encuentre disponible.
Código:
Página: 12 de 123
 Es responsable de declarar la contingencia ante un incidente tecnológico de algún

aplicativo (contingencia específica), con base en el análisis realizado por la Dirección de
Tecnología.
 Realizar las actividades que le sean asignadas por el Director de Continuidad.
Líder Administrativo
El Líder Administrativo ayuda a coordinar los aspectos logísticos internos cuando la Entidad
se encuentre operando bajo contingencia. Es quien ayuda a gestionar en cada una de las
instalaciones el suministro de elementos esenciales para asegurar el desarrollo de la
operación.
Responsabilidades
 Coordinar el suministro de elementos esenciales como transporte, recursos de
infraestructura y papelería.
 Gestionar la consecución y adecuación de los centros alternos de operaciones según el
plan de operaciones en contingencia.
 Mantener informado al Comité SARO-SARLAFT sobre incidentes por falta de suministros.
Líder de Recuperación Tecnológica
Es la persona encargada de liderar la recuperación tecnológica, basados en las estrategias de

continuidad implementadas. Es el contacto directo entre la Dirección de Tecnología y el
Comité SARO - SARLAFT; además, apoya las decisiones tomadas por el Director de
Continuidad durante la declaración y activación de la contingencia.
Responsabilidades
 Liderar la recuperación tecnológica, basados en las estrategias de continuidad
implementadas.
 Identificar los posibles riesgos de aspectos tecnológicos que afectan la continuidad de la
operación normal de la Entidad y que ponen al descubierto debilidades del plan de
continuidad.
 Mantener comunicación constante entre Coordinadores de Recuperación del Negocio
durante el estado de contingencia.
 Colaborar en la comunicación a los proveedores de los temas o servicios de su
competencia, sobre el estado de contingencia en que se encuentra la Entidad, esto previa
decisión y autorización del Director de Continuidad, mediante comunicado elaborado en
conjunto con la Oficina Asesora de Comunicaciones.
 Entregar los reportes correspondientes al Comité SARO-SARLAFT sobre el estado de la
recuperación.
Código:
Página: 13 de 123
 Velar por la actualización de la Estrategia Tecnológica en los casos que se presenten

situaciones como: cambios en los aplicativos, cambio en la infraestructura, roles y
responsabilidades, disponibilidad de los recursos, entre otros.
 Velar por la realización de las pruebas del plan de continuidad y revisar los resultados
obtenidos en las mismas.
 Verificar que las actividades de ajuste sobre el plan, resultado de las pruebas, hayan sido
ejecutadas e implementadas.
Coordinadores de Recuperación
Los Coordinadores de Recuperación son personas encargadas de liderar la recuperación de

procesos de negocio críticos, basados en las estrategias de contingencia. Son el contacto
directo entre los procesos de negocio y el Comité SARO-SARLAFT; además, colaboran con
las decisiones tomadas por el Director de Continuidad y el Comité SARO-SARLFT durante la
declaración y activación de la contingencia.
Responsabilidades
 Liderar las reuniones del equipo de recuperación, para diagnosticar y evaluar las
interrupciones que están afectando la prestación del servicio.
 Ejecutar los planes de contingencia ante el incidente presentado.
 Identificar los posibles riesgos que afectan la continuidad de la operación normal de la
Entidad y que ponen al descubierto debilidades del plan de continuidad.
 Mantener comunicación constante durante el estado de contingencia.
 Colaborar en la comunicación a los proveedores sobre el estado de contingencia en que se
encuentra la Entidad, esto previa decisión y autorización del Director de Continuidad,
mediante comunicado elaborado en conjunto con la Oficina Asesora de Comunicaciones.
 Entregar los reportes correspondientes al Comité SARO-SARLAFT sobre el estado de la
recuperación de sus áreas.
 Velar por la realización de las pruebas del plan de continuidad y revisar los resultados
obtenidos en la misma.
 Verificar que las actividades de ajuste sobre el plan, resultado de las pruebas, hayan sido
ejecutadas e implementadas.
Responsable de tareas de apoyo, control y cumplimiento
Responsabilidades
 Realizar las actividades que le sean asignadas durante la declaración de contingencia.
 Advertir sobre riesgos que puedan afectar la continuidad en la prestación del servicio o la
funcionalidad del plan.
Código:
Página: 14 de 123
Asesor de Comunicaciones
El funcionario de la Oficina Asesora de Comunicaciones tiene la responsabilidad de asesorar

en la comunicación del evento de interrupción a nivel interno (colaboradores) y a nivel externo
(clientes, proveedores, alianzas, organismos de control, entre otros) de acuerdo con el Manual
de gestión de la comunicación en situaciones de crisis.
Responsabilidades
 Asesorar al Comité SARO-SARLAFT y específicamente al Director de Continuidad en
temas de comunicación en momentos de crisis.
B) LINEA DE SUCESION
Se identifica los responsables asignados a los diferentes roles del plan de continuidad y sus
alternos en caso de que estos no puedan asumir las actividades y/o tareas.
CARGO PRINCIPAL CARGO ALTERNO

Presidente del Icetex o su delegado, quien Jefe de Riesgos
presidirá el Comité
Jefe de Riesgos Director de Tecnología
Secretaria General Asesor Técnico de Secretaria General
Director de Tecnología Coordinador de Infraestructura
Vicepresidente Financiero Director de Contabilidad
Vicepresidente de Crédito y Cobranza Director de Cobranzas
Vicepresidente de Fondos en Administración Analista de Vicepresidente de Fondos en
Administración
Jefe de Control Interno Coordinador de la Oficina de Control Interno
Jefe Oficina Asesora Jurídica Analista de Oficina Asesora Jurídica
Oficial de Cumplimiento Coordinador de Riesgos de Crédito y Operativo
Coordinador de Riesgos de Crédito y Analista de Plan de Continuidad de Negocios
Operativo
Línea de sucesión
6.3.2 LIDERES PCN
Cada área cuenta con un Líder de PCN, quien tiene las siguientes responsabilidades en la
administración del plan de continuidad sobre los procesos / procedimientos a cargo:
 Actuar como punto focal del área para todos los asuntos de continuidad del negocio.
 Cumplir con las actividades y fechas establecidas del Cronograma de PCN.
 Mantener informados a todos los colaboradores de sus respectivas áreas, los planes de
contingencia que les compete.
 Asegurar la aplicación correcta de los PCN al interior del área.
Código:
Página: 15 de 123
 Revisar el impacto en el área durante el incidente.

 Mantener actualizados los documentos de PCN del área (BIA, Estrategia de Recuperación,
Cascada telefónica, Análisis de Riesgos. etc).
En el Anexo No. 8.6.1 se encuentra la Relación de los Líderes de PCN y Líderes de Proceso
del Icetex.
6.3.3 OFICINA DE RIESGOS
La Oficina de Riesgos tiene a cargo las siguientes funciones en el plan de continuidad:
 Definir e implementar los instrumentos, metodologías y procedimientos tendientes a

gestionar efectivamente el PCN.
 Suministrar los programas de capacitación de PCN.
 Coordinar, apoyar y hacer seguimiento a la gestión de PCN en cada área.
 Guiar en el desarrollo de las diferentes etapas del PCN.
6.4 ELEMENTOS QUE CONFORMAN LA ADMINISTRACION DEL PLAN DE

CONTINUIDAD DEL NEGOCIO
La Administración del Plan de continuidad del Negocio está conformada por los siguientes
elementos:
 Planes de Contingencia de Proceso, abarcando los escenarios de falta de personal, no

disponibilidad del sitio normal de trabajo y no contar con los proveedores críticos del negocio.
 Planes de Recuperación de Desastres – DRP, el cual contempla las diferentes estrategias
definidas para la recuperación de los sistemas.
 Plan de Continuidad del Negocio: Procedimientos y estrategias definidos para asegurar la
reanudación oportuna y ordenada de los procesos del negocio
6.5 ENTRENAMIENTO
En el éxito del Plan de Continuidad es fundamental contar con la participación y el compromiso

del personal involucrado en el mismo. La administración de continuidad debe asegurar que todos
los funcionarios involucrados reciban entrenamiento sobre los procedimientos a seguir en caso
de incidentes o desastres, lo cual permite tomar conciencia de la importancia del plan, ya que
serán los encargados de ponerlos en funcionamiento en caso de presentarse un evento no
Código:
Página: 16 de 123
deseado. A los Jefes de las áreas también se les capacita y concientiza, ya que son los
responsables de la correcta ejecución de los planes.
La Oficina de Riesgos suministra los programas de capacitación, para que sean ofrecidos a todo
el personal a través de la Secretaria General Grupo de Talento Humano.
Dentro de la política de capacitación se contempla suministrar a todos los funcionarios

capacitación anual de Plan de Continuidad de Negocios a través de la herramienta e-Learning,
así como en el proceso de inducción.
Código:
Página: 17 de 123
7 FASES DE LA ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL

NEGOCIO
La Administración del Plan de Continuidad de Negocio la componen dos (2) fases, como son:
7.1 FASE DE PREVENCION
En esta fase se conocen las necesidades reales de la Entidad y sobre esta base se desarrollan
los diferentes mecanismos de prevención ante incidentes o desastres que mitigan su impacto.
Está conformada por las siguientes etapas:
7.1.1 ETAPA DE ANALISIS DE IMPACTO DEL NEGOCIO - BIA
A) CONCEPTO
El Análisis de Impacto del Negocio (de ahora en adelante se identifica como BIA), es una
etapa que permite identificar la urgencia de recuperación de cada área, determinando el
impacto en caso de interrupción. Esta actividad conlleva a identificar los procedimientos
críticos de la Entidad, los recursos utilizados para soportar las funciones, así como sus
proveedores, también determinar los sistemas críticos y estimar el tiempo que la Entidad
puede tolerar en caso de un incidente o desastre.
Código:
Página: 18 de 123
B) OBJETIVO
El BIA se constituye en el pilar sobre el que se va a construir el Plan de Recuperación de

Negocios, es la guía que determina qué necesita ser recuperado y el tiempo requerido para
recuperación.
C) ALCANCE
A través del desarrollo del BIA se obtiene la siguiente información:
 Evaluación de los procedimientos, donde se establece cuáles son primordiales para la

continuidad de la Entidad.
 Determinación de los impactos de una interrupción y cuando empiezan.
 Priorización y establecimiento del período de tiempo en el que los sistemas, aplicaciones y

funciones deben ser recuperados después de una interrupción (RTO).
 Determinación del orden de recuperación.
 Establecimiento del tiempo máximo tolerable permitido de pérdida de información ante una
interrupción en los sistemas de información (RPO).
 Definición de los recursos necesarios para el buen desarrollo de los procedimientos a nivel
de: Tecnología, personal, infraestructura y soporte proveedores.
D) FASES DEL BIA
Para desarrollar la etapa de Análisis de Impacto del Negocio - BIA se ha establecido cumplir
con los siguientes pasos:
i. PLANEACION
Contempla los aspectos para el correcto y completo desarrollo del BIA, como son:
Identificación Procesos y Procedimientos: Obtener la relación de los procesos y

procedimientos para realizar la Evaluación BIA.
Equipo de Planeación: Cada área cuenta con un Líder de PCN, que en conjunto con el
Líder de Proceso evalúan bajo la metodología BIA los procedimientos asignados.
Código:
Página: 19 de 123
ii. METODOLOGIA BIA
Todos los procedimientos de la Entidad, así como los recursos tecnológicos en los que se
soportan tales actividades son clasificados de acuerdo con su prioridad de recuperación.
Para ello se mide el tiempo que puede dejar de realizar tal actividad sin que ello cause
pérdidas financieras, quejas de los clientes, y/o penalizaciones legales o contractuales. En
caso de continuidad todo gira alrededor del impacto, buscando sostener la operación crítica
de la Entidad.
La metodología establece el diligenciamiento del “Documento BIA” (ver anexo No. 8.5.1), el
cual es aplicado para cada una de los procedimientos que se realizan en la Entidad,
utilizando el mismo patrón de calificación. A continuación se detalla el “Documento BIA”
diseñado en la herramienta Excel:
CUESTIONARIO DE EVALUACION BIA
Permite analizar los impactos que puede causar el no ejecutar un procedimiento por
encontrarse ante un incidente o desastre. Los impactos contemplados son:
 Regulatorio/ Legal: Incluye pérdidas por no presentar reportes financieros o de

impuestos en las fechas indicadas, demandas o penalizaciones al incumplir
requerimientos obligatorios en las actividades de la Entidad.
 Financiero: Incluye pérdida de ingresos, pérdida de intereses, costos de pedir dinero
prestado para hacer caja, pérdida de ingresos por préstamos no realizados,
penalizaciones por no cumplir compromisos contractuales o niveles de servicio y
pérdidas de oportunidades durante el tiempo inoperante.
 Reputacional: Incluye la pérdida de confianza por parte de los clientes, del mercado y de
los Entes de Control, reclamaciones de responsabilidad, clientes insatisfechos por el
servicio, apariciones en las noticias por quejas de los clientes y pérdida de reputación.
 Servicio al cliente: Incluye el deterioro del servicio al cliente que impide la adecuada y
oportuna atención a las necesidades de los usuarios.
 Operativo: Incluye la suspensión de la operación y los reprocesos que ello puede
ocasionar.
Para responder las preguntas se debe tener en cuenta la tabla del numeral 8.4.4 de este
documento denominada “Criterios del Impacto”. La escala de valoración del impacto es la
siguiente:
Legal Económico Servicio al Cliente Reputacional Procesos

20 20 40 15 5
Código:
Página: 20 de 123
Escala de Valoración del Impacto
El cuestionario estima el tiempo durante el cual un procedimiento puede estar sin operar
antes de sufrir impactos considerables para la Entidad. Con base en ello, se fija un Tiempo
de Recuperación Objetivo (RTO), que consiste en establecer cuánto tiempo puede
permanecer la Entidad sin ejecutar una actividad, el uso de una aplicación o información
relevante; está asociado con el tiempo máximo de inactividad. En consecuencia, la mayoría
de las preguntas buscan determinar el tiempo en que se puede impactar la Entidad o los
clientes por dejar de realizar el procedimiento ante una interrupción.
Adicional, existe la pregunta referente a sí el procedimiento analizado proporciona

información crítica para cualquier otro procedimiento, con el fin de determinar
interdependencias.
Como resultado de la evaluación se genera las siguientes valoraciones:
 Calificación BIA: Indica la sensibilidad en tiempo ante los diferentes impactos analizados
por no ejecutarse el procedimiento. Esto se deriva a través de la realización del
cuestionario BIA.
 Tiempo Objetivo de Recuperación (RTO): El período de tiempo después de una
interrupción, mediante el cual el Instituto debe activar sus planes de contingencia y
recuperación de las actividades críticas para evitar un impacto significativo.
 Valor del BIA: Indica la criticidad del procedimiento basado en la Calificación BIA y que
impulsa el establecimiento de prioridades de recuperación durante una situación difícil.
La tabla de valoración establecida es la siguiente:
Tabla Valoración del BIA

Tiempo Objetivo de
Calificación BIA Valor del BIA
Recuperación (RTO)
N - 1AAA 4 Horas Misión Critica
N - 1AA 8 Horas Misión Critica
N - 1A 24 Horas Masivo
Nivel 2 48 Horas Masivo
Nivel 3 7 días Medio
Nivel 4 14 días Medio
Nivel 5 30 días Bajo
Nivel 6 > 30 días Insignificante
Tabla de valoración del BIA
Esta información será el punto de partida para desarrollar las estrategias de recuperación.
Código:
Página: 21 de 123
Determinación del Punto de Recuperación Objetivo de la información – RPO: El

parámetro de Punto de Recuperación Objetivo de la Información determina la periodicidad
con la que deben salvaguardarse los datos de los procesos del negocio; cuánto más
pequeño sea el RPO más sólido debe ser el mecanismo de protección de datos (backup,
replicación online, etc).
El cuestionario de Evaluación BIA contiene la pregunta dirigida a establecer el Punto

Objetivo de Recuperación (RPO) por procedimiento, la cual permite establecer el apetito de
riesgo de pérdida de información ante un incidente tecnológico.
Los parámetros de RTO y RPO influyen en la infraestructura de soporte y respaldo que

utilice la Entidad.
Requerimientos Infraestructura: El análisis de los procedimientos está acompañado de

la identificación de los requerimientos de personal, recursos y facilidades necesarias para
su operación ante un evento de contingencia.
Para ello, se tiene dispuesto la hoja de Cálculo “Requerimientos Tecnológicos” del

documento BIA, donde el Líder de PCN diligencia la información referente a:
 Número de colaboradores de tiempo completo para ejecutar el proceso.

 Recurso humano requerido en contingencia.
 Aplicativos tecnológicos utilizados en el procedimiento. Con esta información se
determina la criticidad de los aplicativos del Icetex.
 Elementos logísticos como son: teléfono, impresora, escáner etc.
 Otros elementos necesarios en el funcionamiento, como por ejemplo: Carpeta
compartida del área.
Código:
Página: 22 de 123
Información de Proveedores Externos: El BIA identifica la relación del procedimiento con

proveedores externos y en la hoja de cálculo denominada “Información Proveedores” del
“Documento BIA” se mencionan los proveedores críticos.
APROBACION DE LA EVALUACION
Cada procedimiento evaluado por la metodología BIA es revisado, analizado y aprobado

por el Líder del Proceso y como evidencia se genera el documento “Resultados del Análisis
de Impacto de Negocio (BIA)”, el cual es firmado por el Líder de Proceso y Líder de PCN
del área.
iii. RECOPILACION DE DATOS Y DOCUMENTACION DE HALLAZGOS
Los resultados de la Evaluación BIA de todos los procedimientos son consolidados por la
Oficina de Riesgos. De esta información se producen los siguientes resultados, que deben
ser informados al Comité SARO – SARLAFT:
 Número de procesos y procedimientos evaluados.

 Clasificación de los procedimientos por calificación BIA.
 Establecimiento de los procedimientos críticos de la Entidad, de acuerdo con la
calificación BIA.
 Cantidad de recursos humanos requeridos en contingencia: Número de personas que
apoyan la contingencia ante una interrupción de las operaciones.
 Recursos de Bienes Muebles clasificado por calificación BIA: Se establecen los bienes
muebles necesarios en la contingencia, como son: Computadores, teléfonos, escáneres,
impresoras y otros elementos necesarios en contingencia.
 Dependencia de los proveedores externos en los procesos prioritarios: Definir los
proveedores críticos con el fin de involucrarlos en la estrategia de PCN.
 Recursos Tecnológicos: Es necesario suministrar la información de:
 Detalle de los aplicativos requeridos para el desarrollo adecuado y completo de cada

procedimiento, con el fin de contar con la información necesaria para el alistamiento
de los computadores que se disponen como contingencia en el escenario de
Interrupción de Lugar. Adicionalmente, esta es la fuente para establecer el orden de
criticidad de los aplicativos.
 El punto objetivo de recuperación (RPO): Con el fin de establecer las estrategias de
backup adecuadas para garantizar que en caso de caída y daño de los data files en
una base de datos, se restaure la información con el mínimo de pérdida.
En el Anexo No.8.6.2 describe el resultado de la última Evaluación del BIA.

Código:
Página: 23 de 123
7.1.2 ETAPA DE ANALISIS DE RIESGOS
En esta etapa se identifican y analizan las posibles amenazas y/o vulnerabilidades de personas,
sistemas, infraestructura y procesos que podrían ocasionar riesgos de continuidad para la
Entidad, con el fin de medir el nivel del riesgo.
A) OBJETIVOS
La gestión de riesgos de continuidad tiene por función especial reducir la probabilidad de una
amenaza potencial o vulnerabilidad y reducir el impacto que puede provocar un evento de
desastre o una interrupción significativa en los servicios.
B) METODOLOGIA DE ANALISIS DE RIESGO
A continuación se detalla la Metodología de Análisis de Riesgos, la cual cubre los aspectos

relacionados a continuación:
 Identificación de riesgos de continuidad

 Cálculo del riesgo inherente
 Evaluación de controles
 Cálculo del riesgo residual
 Tratamiento del riesgo residual
IDENTIFICACION DEL RIESGO
El Líder de PCN de cada Área en conjunto con el Analista encargado de la Oficina de

Riesgos procede de la siguiente manera:
1. Determinar los procesos críticos del área a cargo, resultado que se obtuvo en la etapa de
Análisis de Impacto del Negocio (BIA).
2. Establecer los recursos necesarios para la continuidad de los procedimientos críticos, que
también se estimaron en la etapa de Análisis de Impacto del Negocio (BIA).
3. Describir las posibles amenazas que conlleven a una interrupción en la operación. Para
ello, es necesario tomar como guía el anexo No. 8.4.1 denominado “Tipos de Amenazas”,
donde se detallan posibles fuentes de peligro, las cuales se deben evaluar identificando si
tales situaciones pueden darse en el proceso analizado.
Código:
Página: 24 de 123
4. Determinar las vulnerabilidades que tiene el proceso para cada amenaza identificada.
Para identificarla es necesario responder esta pregunta: ¿Cómo puede ocurrir una
amenaza? Al responderla se definen las distintas situaciones por las que puede ocurrir la
misma, evaluando si dentro del Instituto puede darse esa circunstancia.
Se recomienda utilizar como guía con el anexo No. 8.4.2 denominado “Tabla de
Vulnerabilidades”, donde se encuentra una relación de debilidades que podrían llegar a
generar la interrupción del proceso. Es de aclarar, que esta tabla es solamente una guía
pudiendo incluirse muchas otras situaciones de debilidades.
5. Describir el riesgo contemplando las variables de amenaza y vulnerabilidad.
6. Enmarcar estas vulnerabilidades en los siguientes factores de la continuidad, de acuerdo

con la tabla 8.4.2:
 Personas
 Infraestructura física
 Infraestructura de tecnología de información
 Procesos
CALCULO DEL RIESGO INHERENTE
El riesgo de continuidad se evalúa con dos (2) variables de medición, una que expresa el
impacto del riesgo si ocurriera y otra que expresa la frecuencia de que el riesgo ocurra. En
consecuencia, para la evaluación del riesgo de continuidad se utilizar las tablas de los
numerales 8.4.3 “Criterios de Frecuencia” y 8.4.4 “Criterios de Impacto”, las cuales contienen
los criterios que permiten ubicar al Líder del Plan de continuidad del Negocio para efectuar
la evaluación.
 Frecuencia: Se deben estimar la frecuencia para cada vulnerabilidad del riesgo, según la
siguiente escala de medición:
Escala de medición
1 2 3 4 5
Muy baja Baja Moderada Alta Muy alta
Para establecer el resultado de la frecuencia, se promedia las calificaciones asignadas en

las diferentes vulnerabilidades que conforman el riesgo.
 Impacto: El impacto se mide por riesgo y es analizado teniendo en cuenta el nivel de

afectación sobre los siguientes factores de influencia:
Código:
Página: 25 de 123
Impactos
Regulatorio/ Financiero Servicio al Reputacional Operativo Humano Infraestructura
Legal cliente
Para establecer el resultado del impacto para cada riesgo se toma la calificación del
cuestionario BIA.
Habiendo valorado tanto el Impacto como la frecuencia del evento de riesgo, los dos
puntajes son multiplicados para dar el puntaje de riesgo Inherente. Dado que tanto la
Frecuencia como el Impacto son calificados de 1 a 5, el puntaje de riesgo total o inherente
máximo es 25 y el mínimo es 1.
EVALUACION DE LOS CONTROLES
Este proceso permite evaluar todos los controles asociados a las vulnerabilidades
identificadas, garantizando a la Entidad que se apliquen los tipos y niveles adecuados de
control para poder dar un adecuado tratamiento al riesgo.
Los criterios de evaluación del control son: Oficialidad, Aplicación y Efectividad, a los cuales
se les ha asignado un peso de 20, 30 y 50 puntos respectivamente sobre 100.
El criterio de Oficialidad es calificado teniendo en cuenta cuatro (4) variables:
 Control no documentado, no aporta valor al total del criterio.

 Control documentado, aporta al total del criterio una calificación de 8 puntos.
 Control aprobado, aporta al total del criterio una calificación de 8 puntos.
 Control divulgado, aporta al total del criterio una calificación de 4 puntos, para un total de
20 puntos.
El segundo criterio es la Aplicación, el cual aporta un total de 30 puntos, siendo necesario

seleccionar una de las tres (3) opciones, así:
 El control nunca se aplica, no aporta valor al total del criterio.

 Se aplica a discreción, arroja una calificación de 10.
 Se aplica siempre, tiene una calificación de 30.
Para evaluar la Efectividad del control se tienen en cuenta los siguientes aspectos:
Código:
Página: 26 de 123
 Comprobada la efectividad, donde se debe contar con la evidencia física que dada la
aplicabilidad del control se ha prevenido, detectado o mitigado un riesgo. La calificación es
de 50 puntos.
 Percepción positiva, en la cual no se tiene la evidencia pero la percepción del experto en
cuanto a la efectividad del control es positiva. La calificación es de 30 puntos.
 Percepción negativa, donde la percepción del experto es negativa en cuanto a la
efectividad del control. La calificación es de 10 puntos.
 Comprobada la no efectividad, en donde se tiene la evidencia que el control no es efectivo
para la prevención y detección de riesgos, dándole una calificación 0 puntos.
La puntuación obtenida del control genera una calificación, como se ilustra en la siguiente
tabla:
DEPENDIENDO SI EL CONTROL AFECTA FRECUENCIA O

RANGO DE IMPACTO DESPLAZA EN LA MATRIZ DE CALIFICACION,
CALIFICACION DE EVALUACION Y RESPUESTA A LOS RIESGOS
LOS CONTROLES CUADRANTES A DISMINUIR EN CUADRANTES A DISMINUIR EN
LA FRECUENCIA EL IMPACTO
Entre 0 - 50 0 0
Entre 51 - 75 1 1
Entre 76 - 100 2 2
Calificación del Control
Los controles se clasifican en:
 Controles preventivos: Son aquellos que reducen las vulnerabilidades y la frecuencia con
que ocurren las causas del riesgo.
 Controles detectivos: Son aquellos que no evitan que ocurran las causas del riesgo sino
que los detecta luego de ocurridos. Estos no reducen el riesgo a menos que se tomen
acciones sobre tales detecciones.
 Controles correctivos: Son mecanismos o acciones definidas para reducir el impacto de los
eventos que ponen en riesgo el logro de los objetivos del proceso.
Cuando una vulnerabilidad tiene varios controles que mitigan el factor de frecuencia, éstos se
agrupan y se toma el valor más alto de las calificaciones obtenidas de los controles. De igual
manera se procede cuando una vulnerabilidad tiene varios controles que mitigan el impacto.
Código:
Página: 27 de 123
CALCULO DEL RIESGO RESIDUAL
Luego de la valoración de los controles se identifica el efecto de mitigación en frecuencia e

impacto del riesgo, para lo cual la Matriz de Riesgo de Continuidad determina el riesgo
residual, así:
 Ubica el valor del control que se obtuvo sobre la variable de frecuencia en la Tabla
“Calificación del Control”, estableciendo el efecto de mitigación que indica la columna
“Cuadrantes a disminuir en la frecuencia”. Este valor se resta a la frecuencia obtenida en
riesgo inherente.
Cuadrante a
Rango de calificación Valor Frecuencia
Frecuencia disminuir en la
de controles Residual
Frecuencia
80 puntos 4 2 2
 De igual manera se procede con los controles dispuestos para disminuir el impacto del
riesgo, obtenido el valor del control que se obtuvo sobre la variable de impacto en la Tabla
“Calificación del Control”, estableciendo el efecto de mitigación que indica la columna
“Cuadrantes a disminuir en el impacto”. Este valor se resta al impacto obtenido en riesgo
inherente.
Calificación control Valor Impacto

Impacto Efecto mitigación
sobre Impacto Residual
60 puntos 3 1 2
 Se multiplica el nuevo valor de frecuencia por el nuevo valor del impacto aplicado los
controles, obteniendo así el Riesgo Residual.
Frecuencia Impacto Riesgo Inherente Frecuencia Impacto Riesgo Residual
4 3 12 2 2 4
 El Riesgo Residual se ubica en la siguiente Escala de Clasificación del Riesgo:

NIVEL CLASIFICACIÓN
0-3 Aceptable
4-6 Tolerable
7-15 Grave
16-25 Critico
Código:
Página: 28 de 123
 Al presentarse dentro del Mapa Térmico, se ubica el valor del Riesgo Residual, teniendo en
cuenta los nuevos resultados de la frecuencia e impacto aplicados los controles:
3
FRECIUENCIA
0
0 1 2 3 4 5
IMPACTO
TRATAMIENTO DEL RIESGO RESIDUAL
A partir de la evaluación y análisis de los riesgos, se priorizan de mayor a menor “criticidad”, a

fin de tomar decisiones de cómo actuar sobre los mismos. Esta metodología pretende actuar
sobre los riesgos que estén fuera del rango de aceptabilidad. El tratamiento del riesgo residual
debe ir orientado a cualquiera de las siguientes opciones:
 Eliminar el riesgo: Cuando se opta por suspender un producto o proceso por una decisión
administrativa.
 Mitigar el riesgo: Se consigue mediante la optimización de los procedimientos y la
implementación de controles tendientes a disminuir la frecuencia de ocurrencia y/o
minimizar la severidad de su impacto.
 Dispersar o atomizar el riesgo: Se logra mediante la distribución o localización del riesgo en
diversos lugares, procesos o personas.
 Transferir el riesgo: Actividades y medidas tendientes a transferir a un tercero la
responsabilidad por el manejo del riesgo y/o la obligación por las consecuencias
financieras del riesgo, en caso de ocurrencia. Esta técnica no reduce la frecuencia ni el
impacto, involucra a otro en la responsabilidad. P. e. Pólizas de Seguros,
Subcontrataciones.
Código:
Página: 29 de 123
 Asumir el riesgo: Aceptación del riesgo en razón a que los retornos potenciales son
atractivos en relación con los riesgos involucrados.
Para los riesgos que en su calificación residual se clasifiquen como graves o críticos, el Líder
de Proceso debe establecer planes de acción que busquen reducir la exposición de la Entidad
a través de la creación de nuevos controles o la implementación de modificaciones a los
controles existentes. A dichos planes se les hará seguimiento de forma trimestral, y se
reportará su avance al Comité SARO-SARLAFT, con el fin de tomar las decisiones
respectivas para su tratamiento y mitigación.
Los riesgos clasificados como aceptables y tolerables deben ser evaluados continuamente por
los Líderes de Riesgo, garantizando la eficacia de los controles. Si se percibe un incremento
en el nivel del riesgo debe ser informado inmediatamente a la Oficina de Riesgos, con el fin de
realizar la respectiva reclasificación y acordar acciones.
C) MONITOREO AL MAPA DE RIESGOS DE CONTINUIDAD
Se realiza seguimiento a los riesgos y la efectividad de los controles y planes de acción para
determinar el nivel de exposición frente al aspecto de disponibilidad de los elementos que se
requieren para la continuidad del negocio.
El Líder de PCN efectúa seguimiento permanente sobre la implementación de los planes de

acción y la verificación de la efectividad de los controles y a la vez identificando nuevos
riesgos. Adicionalmente, se realiza monitoreo con frecuencia semestral por parte del Líder de
PCN de cada una de las áreas con apoyo del Funcionario Responsable en la Oficina de
Riesgos y éste es aprobado por el Líder del Proceso. Este monitoreo se realiza en la Matriz
de Riesgo de PCN.
Dentro del monitoreo, la Oficina de Riesgos debe proponer al Comité SARO-SARLAFT las
medidas relativas al perfil de riesgo residual, teniendo en cuenta el nivel de tolerancia al
riesgo fijado por la Entidad.
D) REPORTE DE INCIDENTES DE CONTINUIDAD
Los incidentes que afecten la continuidad de la operación deben ser reportados por los
Líderes de PCN a la Oficina de Riesgos, a través del formato “Reportes de Incidentes de
Contingencia” (Ver numeral 8.5.2), dentro de los tres (3) días hábiles siguientes a la
ocurrencia del hecho.
Código:
Página: 30 de 123
7.1.3 ETAPA DE ESTRATEGIA
A) CONCEPTO
Corresponden a las acciones que se deben tomar con el objetivo de restablecer las
operaciones del negocio, en el plazo determinado, una vez que ocurra alguna interrupción o
falla en los procesos o funciones críticas.
Es necesario identificar las diferentes estrategias de continuidad y seleccionar las más

adecuada para la institución, para lo cual el Líder de PCN de cada área junto con el
Profesional del tema en la oficina de Riesgos analizarán las variables de:
 La criticidad del proceso a proteger

 El costo de la estrategia
 El tiempo de recuperación objetivo (RTO)
B) OBJETIVOS
 Permitir a la Entidad trascender ante la crisis y recomponerse en el menor tiempo posible,

con un aceptable nivel de servicio.
 Garantizar que los Empleados:

 Estén protegidos
 Comprenden su papel
 Saben a dónde ir
 Saben qué hacer
 Saben qué recursos necesitan
 Entienden la secuencia de las tareas críticas
 Ayudar a planificar la recuperación y reanudación de las operaciones.
 Validar asuntos de recuperación de la Entidad, como:
 Necesidades de telecomunicaciones durante y después del desastre.

 Lugar alterno para continuidad/recuperación y reanudación.
C) ALCANCE
La selección de los métodos alternativos de operación que deben ser utilizados ante una
interrupción para mantener o reanudar las actividades de la Entidad y sus dependencias.
Código:
Página: 31 de 123
Las diferentes situaciones para las cuales se deben definir estrategias de recuperación son:
 Ausencia de personal
 Sitio alterno
 Fallas tecnológicas
D) ESTRATEGIAS POR AUSENCIA DE PERSONAL
Se presenta cuando el colaborador que ejecuta los procesos no puede asistir a trabajar para
desarrollar las actividades propias de su cargo. Se debe establecer la siguiente cadena de
comunicación:
 El colaborador ausente activa la Cascada Telefónica y se comunica con el Jefe inmediato.
 El Jefe inmediato comunica el evento al Jefe del Area y activa la contingencia por
“Ausencia de Personal”. Distribuye procesos claves o asigna funciones al colaborador Back
- up. De ser necesario, solicita al Oficial de Seguridad Tecnológica la reasignación de
perfiles, a través del formato F121 “Formato asignación de accesos a sistemas de
información.
 El Jefe inmediato confirma al Jefe del Area la continuidad exitosa de los procesos.
El documento denominado Cascada Telefónica cuenta con la información básica de los

colaboradores y proveedores con el ánimo de utilizarlos en un evento de contingencia, como
es:
Funcionarios: Mantener la información de los colaboradores permite comunicarse con ellos en

el evento que se encuentren fuera de las instalaciones.
Proveedores: Para comunicarse con los proveedores en un sitio alterno donde se carece de la
información de contacto.
Cada área cuenta con la información de “Cascada Telefónica”, la cual está conformada por:
 Cascada: Contiene los datos básicos de los colaboradores: nombres, cargo, número de
teléfono personal y sí fue definido como personal crítico para operar la contingencia o no.
Se encuentran descritos en el orden que serán llamados ante un evento.
Código:
Página: 32 de 123
 Personal mínimo: En este se relaciona las personas críticas sobre las cuales depende la
ejecución de la actividad. Se encuentran relacionados los colaboradores que participarán
en la contingencia por cada procedimiento.
 Contacto Externo: Relaciona los datos básicos de los proveedores: nombre del proveedor,
nombre del procedimiento/proceso de la Entidad en el cual participa, nombre del contacto
personal, teléfono de la oficina y móvil y correo electrónico.
En el numeral 8.5.3 se encuentra el formato de Cascada Telefónica. La información de

Cascada Telefónica de cada área la conserva el Líder de PCN y la consolidación de la misma
reposa en la Oficina de Riesgos.
E) ESTRATEGIA DE SITIO ALTERNO
La alternativa de traslado del personal se presenta en el evento que los funcionarios no

puedan acceder a las instalaciones del Icetex y de esta manera se afronta un evento de
contingencia permitiendo la continuidad de las operaciones de los procesos críticos del Icetex
desde un sitio alterno de operación.
Las alternativas podrán ser usadas simultáneamente dependiendo de la disponibilidad del

proveedor en el momento de la interrupción del Icetex, además depende de la activación y
numero de procesos que se activen según el evento y el día en que se presente.
El numeral 8.3.1 “Procedimiento de Estrategia de Sitio Alterno”, aporta las actividades que se
deben seguir para recuperar el servicio utilizando recursos de un centro de operaciones
alterno.
F) ESTRATEGIA TECNOLOGICA
La contingencia se presenta cuando el hardware y/o software presenta fallas, o por

interrupción prolongada de telecomunicaciones.
La Dirección de Tecnología tiene estructurado el siguiente Plan de Continuidad para los

aplicativos e infraestructura de la Entidad:
Código:
Página: 33 de 123
APLICATIVOS INFRAESTRUCTURA
 Switches
 Centro cableado
 RED LAN  HUB
Red  Firewall
 C&CTEX
 RED WAN
 Apoteosys  Routers
Telecomunicaciones
 Mercurio  Enlaces
 Cobol  Aire acondicionado
 Bizagi  Sistema de incendio
 Sevimpro Centro  ETB
Computo  Sistema eléctrico
 Correo  UPS
Electrónico
 Base de datos
Servidor  Sistema operativo – Software base de datos
 Servidor
 Hardware
Este cuadro presenta las partes de infraestructura tecnológica que se les realiza estrategia de
contingencia, con el fin de asegurar la continuidad de cada uno de los servicios (aplicativos),
como son: Red, Centro de Cómputo y Servidores desglosado por los temas que la componen.
El detalle de estas estrategias tecnológicas se encuentra en el numeral 8.1, de este
documento.
Ante una falla tecnológica se debe ejecutar el Procedimiento de Manejo de Incidentes por
problemas en los sistemas, descrito en el numeral 8.3.2.
G) ESTRATEGIA CONTINGENCIA MANUAL
Alterno a este plan, es importante considerar la posibilidad de carecer del sistema para
operar, teniendo como elección realizar la actividad de forma manual. Por esta razón, se
estructuran estrategias de contingencia manual, para aquellos calificados como críticos y que
permitan operar sin un sistema base.
Los Líderes de PCN y de Procesos y la Oficina de Riesgos han desarrollado las estrategias
manuales que se disponen en el numeral 8.2 de este documento.
Código:
Página: 34 de 123
7.1.4 ETAPA DE PRUEBAS
A) CONCEPTO
Consiste en probar la efectividad de las estrategias diseñadas y permitir el continuo

mejoramiento del PCN de la Entidad. Esta etapa le da a la Institución la oportunidad de
identificar y prevenir problemas y fallas con su plan de continuidad de manera que puedan ser
atendidas, preparando el negocio para la emergencia real.
B) OBJETIVOS
 Practicar los procedimientos ante un incidente o desastre.

 Identificar áreas que necesitan mejora.
 Permitir al PCN permanecer activo, actualizado, entendible y usable.
 Demostrar la habilidad de recuperación.
C) ALCANCE DE LAS PRUEBAS
Las pruebas deben ejecutarse durante un tiempo en el que las afectaciones a la operación
normal sean mínimas y deben comprender los elementos críticos y simular condiciones de
proceso, aunque se realicen fuera del horario laboral de la Entidad. Las pruebas deben incluir
las siguientes tareas:
 Verificar la totalidad y precisión del Plan.

 Evaluar el desempeño del personal involucrado.
 Evaluar la coordinación entre los miembros del grupo de contingencia, proveedores y otros
terceros.
 Identificar la capacidad de recuperar registros e información vital.
 Medir el desempeño de los sistemas operativos y computacionales.
Durante esta etapa se debe establecer un programa de pruebas con escenarios simulados,
planeados en el tiempo, teniendo en cuenta los requerimientos de cada prueba y con una
revisión exhaustiva de los resultados de las mismas, para generar mejoras a los planes.
Código:
Página: 35 de 123
D) TIPO DE PTUEBAS
En la siguiente grafica se ilustra la metodología que se debe utilizar para la realización de las
pruebas del plan de continuidad de negocio del Icetex:
TIPO DE TECNICA OPERACIÓN

PRUEBA UTILIZADA
Integrada  Creación de un Prueba integrada con todos los
Prueba elementos que hacen parte del
escenario
Integrada
 Seguimiento en plan de contingencia.
vivo de todas las
Pruebas estrategias re
Componentes recuperación
 Con previo aviso.
 Apoyo de los
proveedores de
recuperación
Pruebas de Componentes  Creación de un Se ejecutan las estrategias y
Escritorio escenario procedimientos de recuperación
 Seguimiento de de cada uno de los componentes
las estrategias de de la infraestructura tecnológica.
recuperación
 Con previo aviso.
Escritorio  Con previo aviso. Se realiza un ejercicio de papel
 Creación de un de un escenario de desastre que
escenario. toma lugar en un salón de
conferencia.
E) PLAN DE PRUEBAS
Para la realización de una Prueba de Estrategia de Continuidad es necesario diligenciar el

documento “Plan de Pruebas” (ver anexo No. 8.5.4), conformado por los siguientes pasos:
 Guion de pruebas: Es el documento mediante el cual se plasma la intención de efectuar la
revisión de la estrategia de continuidad estimada para el proceso o servicio determinado,
donde se relacionan aspectos de: Objetivo y alcance de la misma, el escenario de
interrupción, los resultados esperados, los integrantes de las pruebas y los riesgos
asociados a la ejecución de la prueba. Este documento debe desarrollarlo previo a la
ejecución de la prueba el Líder de PCN responsable del proceso a probar con la guía del
funcionario encargado en la Oficina de Riesgos.
 Paso a paso de la planeación: Este documento relaciona las actividades a efectuar durante
la prueba, indicando además los responsables de realizar tales actividades así como los
recursos mínimos necesarios y los tiempos de su realización, para la estimación completa
Código:
Página: 36 de 123
del tiempo de la prueba. Adicional, se deben mencionar los aspectos adicionales que son
necesarios para la adecuada realización de la prueba. Al igual que en el anterior ítem, este
informe debe ser adelantado previo a la ejecución de la prueba por el Líder de PCN
responsable del proceso a probar con la guía del funcionario encargado en la Oficina de
Riesgos.
 Paso a paso de la ejecución: Este documento contiene las actividades realizadas en el
desarrollo de la prueba, que deben ser semejantes a las planeadas a menos que se
presenten algún incidente dentro de la prueba. Adicionalmente, se describen los recursos
mínimos necesarios, los responsables y los tiempos de ejecución de las actividades. Este
informe es elaborado en el momento de la prueba por el Líder de PCN responsable del
proceso a probar con la guía del funcionario encargado en la Oficina de Riesgos.
 Paso a paso del retorno: En este reporte se relacionan las actividades que se ejecutan
para retornar a la operación normal, caso devolución a los puestos de trabajo, captura de
las operaciones que no se procesaron en un aplicativo, entre otras.
 Encuesta de satisfacción: Este informe lo realizan diferentes integrantes de la prueba,
donde se busca determinar el grado de satisfacción de la prueba. La conforman aspectos
como: duración de la prueba, preparación de la prueba y la comunicación de la misma, y
dificultades que se identificaron.
 Acta de reunión: En este documento se establecen los objetivos, conclusiones de la
prueba, las actividades sobresalientes resultantes y/o pendientes a considerar, los logros
obtenidos en la ejecución de la prueba y los riesgos asociados identificados en la ejecución
de la prueba, así como las acciones mitigantes que mejorarán la estrategia de continuidad
del proceso revisado. Este informe debe ser firmado por cada uno de los integrantes a la
prueba.
Luego de cada prueba el Jefe de Riesgos debe enviarse copia del documento “Acta de
reunión” dirigido a los participantes y al jefe responsable de proceso.
Código:
Página: 37 de 123
7.1.5 ETAPA DE MANTENIMIENTO
A) CONCEPTO
Es la revisión periódica de lineamientos, estrategias, técnicas y planes, capacitación a

personal para que el PCN permanezca actualizado con el objetivo de ser capaz de lograr la
recuperación de actividades de misión crítica dentro de los objetivos de tiempo de
recuperación asegurando una continuidad de sus servicios y productos.
B) OBJETIVOS
 Verificación y validación de lineamientos, estrategias y planes de PCN.
 Detalles de todos los cambios de estrategias del PCN con el historial de control de
versiones.
C) FACTORES DE ACTUALIZACION
Pueden ocurrir ciertos eventos no programados al interior del Icetex o fuera de éste, que
afectan el PCN. A continuación se relaciona una lista de eventos que pueden generar una
revisión al PCN:
 Requerimientos legales.
 Nuevos productos.
 Nuevo hardware, plataformas, aplicativos u otros cambios de tecnología (Sistemas
Operativos, Bases de Datos).
 Cambios en las telecomunicaciones (voz o datos).
 Quiebra y/o cambio de un proveedor crítico.
 Cambio de instalaciones.
 Cambios en el personal o reubicación del mismo.
 Transferencia de funciones entre sitios existentes.
 Consolidación o tercerización de funciones.
 Cambios en proveedores externos críticos.
 Resultados de las pruebas del Plan de Continuidad del Negocio.
 Cambios en el Sistema de Gestión de Calidad y Procesos.
Código:
Página: 38 de 123
7.2 FASE DE ADMINISTRACION DE CRISIS
7.2.1 CONCEPTO
En esta fase se gestiona efectivamente el manejo de la crisis, durante y después de la misma; un

buen manejo de la crisis minimiza los impactos de una interrupción.
7.2.2 OBJETIVOS
 Integrar los procedimientos de continuidad del negocio con los procedimientos de respuesta.
 Identificar tipos de emergencias y las respuestas necesarias.
7.2.3 ALCANCE
Este plan de administración de crisis se ejecuta teniendo como premisa las decisiones del
Comité SARO- SARLAFT. Todas las comunicaciones serán dirigidas por el responsable de
comunicaciones del Instituto y se apoyarán en el Manual de gestión de la comunicación en
situaciones de crisis.
Los documentos indicados en los numerales 8.3.1 y 8.3.2 “Escenario de contingencia a sitio
alterno” y “Manejo de incidentes por problemas en los sistemas”, sintetizan esta fase, la cual está
conformada por las siguientes etapas:
Etapa de Evaluación: La evaluación constituye la etapa de valoración preliminar de un evento de

interrupción que afecta de forma considerable la Entidad. La evaluación se hace en sitio,
teniendo en cuenta los perfiles y competencias necesarios para determinar: causa de la
interrupción, población de usuarios afectada, apreciación de la magnitud, valoración del daño,
escenario de soluciones, recursos involucrados y tiempo estimado de la solución.
Etapa de Activación: Se describen las actividades requeridas para declarar y comunicar el

desastre de forma tal que se active la contingencia y se comunique la interrupción a los equipos
responsables de recuperar el servicio.
Etapa de Retorno a la Normalidad: Consiste en definir la forma y/o procedimientos a utilizar para
restaurar la operación a la normalidad, una vez superada la contingencia y recuperados los
servicios de la entidad.
Código:
Página: 39 de 123
8 ANEXOS
8.1 ANEXOS DE ESTRATEGIA TECNOLOGICA
 Estrategia PCTI – Base de Datos

 Estrategia Red WAN
 Estrategia Red LAN – Switches
 Estrategia – Sistema Operativo – Software de Base de Datos
Código:
Página: 40 de 123
ESTRATEGIA TECNOLÓGICA DE BASE DE DATOS
1. OBJETIVO
Recuperar un servidor de base de datos por daño en el sistema manejador de la base de datos que se
encuentra en el centro de cómputo ICETEX.
2. ALCANCE
El procedimiento aplica para los siguientes escenarios:
 Daños o fallas en algún servidor que afecte servicios dentro de los cuales esta soportado por una
base de datos.
 Falla a nivel de Software de Base de datos.
3. CONDICIONES GENERALES
Para llevar a cabo el siguiente procedimiento es necesario tener los siguientes recursos disponibles:
 Contrato vigente de soporte y Carta de Servicio ORACLE o MS SQL Server
4. DESCRIPCIÓN
DIAGRAMA DE FLUJO
Código:
Página: 41 de 123
ACTIVIDADES
ACTIVIDADES O TAREAS
Recursos
No. Descripción de la
Observaciones Responsable requeridos y
Act Actividad
ubicación
Identificar la falla y
Administrador de la
1 realizar un
base de datos
diagnóstico interno
Llamar a las líneas: Las que se
Llamar al
encuentren en el documento de
CONTRATISTA Administrador de la
2 contacto del CONTRATISTA ubicada en Contrato
responsable del base de datos
carpetas compartidas de la Dirección de
mantenimiento
Tecnología (Continuidad_de_negocio)
Administrador de la
Diagnóstico de la Se efectúa un diagnóstico del estado de
3 base de datos y/o
situación. la base de datos.
contratista
De acuerdo al diagnóstico se decide
¿Se puede
sobre el mejor procedimiento para Administrador de la
recuperar el servicio
4 restablecer el servicio. En caso base de datos y/o
en la misma
afirmativo pasa al punto 5 de lo contratista
máquina?
contrario al punto 6.
5 Proceder a Se restablece el servicio en el mismo Administrador de la
Código:
Página: 42 de 123
restablecer el servidor y se pasa al paso 10 base de datos y/o

servicio contratista
Administrador de la
Recuperar la hoja de La extraerá del repositorio base de datos,
6 vida de la base de Continuidad_de_negocio de plantillas de Coordinador de
datos hojas de vida de las bases de datos. infraestructura, o el
Director de tecnología
Toma la hoja de vida y con los
Crear la base de comandos de la consola de
Administrador de la
7 datos en el servidor administración crea la base de datos
base de datos.
de contingencia. con los parámetros descritos en la hoja
de vida.
Tomar ultima copia de seguridad
Recuperar ultima
disponible de la base de datos y Administrador de la
8 copia de la base de
proceder a su restauración en la base base de datos.
datos.
de datos creada recientemente.
Tomar de la hoja de vida los usuarios
Definir los usuarios
requeridos para su correcto Administrador de la
9 del sistema en el
funcionamiento y definirlos asignándoles base de datos.
nuevo servidor.
los perfiles requeridos
Verificar que la base
Si los resultados son satisfactorios se Administrador de la
10 de datos opera
sigue al paso 11, sino vuelve al paso 4. base de datos
adecuadamente.
Se informa al
Coordinador de
Infraestructura o al
Reporte de funcionamiento y se Administrador de la
11 Director de
documenta el proceso efectuado. base de datos.
Tecnología del
restablecimiento del
servicio
Coordinador de
El Coordinador de Infraestructura o el Infraestructura,
Reporte de servicio
12 Director de Tecnología, informan que la Administrador de la
restablecido.
contingencia ha sido superada. Red o el Director de
Tecnología
5. SEGUIMIENTO Y CONTROL
ACTIVIDAD A COMO EJERCER EVIDENCIA DEL

RESPONSABLE
CONTROLAR EL CONTROL CONTROL
6. HISTORIA DEL DOCUMENTO
VERSIÓN FECHA OBSERVACIÓN

V1 10/12/2012 Creación del documento.
Código:
Página: 43 de 123
ESTRATEGIA TECNOLÓGICA DE RED WAN
1. OBJETIVO
Recuperar un enlace de comunicación entre una sede regional y el nodo central
2. ALCANCE
 Daños o fallas en algún enlace que afecte servicios dentro de los cuales esta soportado por la red
WAN.
3. DEFINICIONES
N/A
 Contrato vigente de soporte y Carta de Servicio proveedor de servicio de la red (Ver Anexo)
5. DESCRIPCIÓN
DIAGRAMA DE FLUJO
Código:
Página: 44 de 123
ACTIVIDADES
ACTIVIDADES Ó TAREAS
Recursos
No. Descripción de
Act la Actividad
Observaciones Responsable requeridos y
ubicación
Identificar la
falla y realizar Profesional Dirección de
1 un diagnóstico tecnología y Proveedor de
interno servicios de la red
Llamar a las líneas:

- Las que se encuentren en el
documento de contacto del Coordinador de Infraestructura
Llamar al Contrato
2 CONTRATISTA ubicada en o Profesional de Dirección de
CONTRATISTA (Anexo 1)
carpetas compartidas tecnología
continuidad_de_negocio
contactos
Diagnóstico de
la situación por
Coordinador de Infraestructura
parte del Se efectúa un diagnóstico del estado
3 o Profesional de Dirección de
administrador del enlace de comunicaciones.
tecnología o contratista
de la red o del
contratista
Se puede
recuperar el
De acuerdo al diagnóstico se decide Coordinador de Infraestructura
servicio
4 sobre el mejor procedimiento para o Profesional de Dirección de
empleando el
restablecer el servicio tecnología o contratista
canal de
contingencia
Proceder a Coordinador de Infraestructura
Se restablece el servicio y se pasa al
5 restablecer el o Profesional de Dirección de
paso 7
servicio tecnología o contratista
Establecer canal
de Enviar equipo de trabajo, revisar el
6 Contratista
comunicación enrutador, el enlace, canal
alterno
Validar la Establecer QoS, parámetros de
7 Contratista
configuración configuración, enrutamiento, etc
Verificar que el Si los resultados son satisfactorios Coordinador de Infraestructura
8 enlace opera se sigue al siguiente paso sino o Profesional de Dirección de
adecuadamente vuelve al paso No 5 y verifica tecnología o contratista
Se informa al
Coordinador de Coordinador de Infraestructura
Reporte de funcionamiento y se
9 infraestructura o o Profesional de Dirección de
documenta el proceso efectuado
al Director de tecnología
tecnología, del
Código:
Página: 45 de 123
restablecimiento
del servicio
Coordinador de
Reporte de El Coordinador de infraestructura o el
infraestructura, Administrador
10 servicio Director de tecnología, informan que
de la red o el
restablecido la contingencia ha sido superada.
Director de tecnología

RESPONSABLE

Código:
Página: 46 de 123
ESTRATEGIA TECNOLÓGICA DE LAN - SWITCHES
1. OBJETIVO
Recuperar un Switch que se encuentra en la red de ICETEX.
2. ALCANCE
 Daños o fallas en alguno de los Switches.

 Falla a nivel de Hardware o Software.
 Contrato vigente de soporte y Carta de Servicio DSSP (Ver Anexo)
4. DESCRIPCIÓN
DIAGRAMA DE FLUJO
Código:
Página: 47 de 123
ACTIVIDADES
ACTIVIDADES O TAREAS
Recursos
No. requeridos
Act
Descripción de la Actividad Observaciones Responsable
y
ubicación
Identificar la falla y realizar un
1 diagnóstico interno Administrador de la Red

- Las que se encuentren
en el documento de
Llamar al CONTRATISTA
contacto del Contrato y
responsable del mantenimiento o
CONTRATISTA ubicada carta de
2 tomar uno de los switch del stock Administrador de la Red
en carpetas compartidas solicitud
disponible para asignar un
de la Dirección de (Anexo 1)
recambio
tecnología
Continuidad_de_negoci
o contactos
3 Tomar el Swicth de recambio Administrador de la Red
La suministrará el
Coordinador de
Infraestructura de Tecnología Coordinador de
o el Director de tecnología, y infraestructura,
Recuperar la plantilla de
4 este la ubicará en el Administrador de la red o
configuración
repositorio el
Continuidad_de_negocio Director de tecnología
plantillas de configuración de
los swicthes
Toma la plantilla y con los
Resetear el swicth, y aplicar la comandos ::: proceder a
5 Administrador de la Red
plantilla de configuración cargarla en el Swicth de
reposición
Se conecta el switch y se
Verificar que el swicth opera
6 efectúan las pruebas de Administrador de la red
adecuadamente
enrutamiento necesarias.
Si los resultados son
satisfactorios se sigue al
7 El swicth opera adecuadamente Administrador de la red
siguiente paso sino vuelve al
paso No 5 y verifica
Se informa al Coordinador de
Reporte de funcionamiento y
infraestructura o al Director de
8 se documenta el proceso Administrador de la Red
tecnología, del restablecimiento
efectuado
del servicio
9 Reporte de servicio restablecido El Coordinador de Coordinador de
Código:
Página: 48 de 123
infraestructura o el Director infraestructura,

de tecnología, informan que Administrador de la red o
la contingencia ha sido el
superada. Director de tecnología

RESPONSABLE
V2 17/08/2010 Ajustar procedimiento a formato.
V3 05/12/2012 Ajustar el procedimiento de acuerdo al análisis de impacto de

negocio desarrollado y la nueva estrategia de outsourcing del centro
de datos.
Código:
Página: 49 de 123
ESTRATEGIA TECNOLÓGICA DE SISTEMA OPERATIVO – SOFTWARE DE BASE DE DATOS
1. OBJETIVO
Recuperar un servidor de base de aplicaciones por daño en el sistema.
2. ALCANCE
 Daños o fallas en algún servidor que afecte servicios dentro de los cuales esta soportado por un
servidor web o servidor de aplicaciones.
 Falla a nivel de Software Base del servidor.
 Contrato vigente de soporte servidores
4. DESCRIPCIÓN
ACTIVIDADES
ACTIVIDADES Ó TAREAS
Recursos
No. Descripción de la requeridos
Observaciones Responsable
Act Actividad y
ubicación
Identificar la falla y realizar
Administrador
1 un diagnostico interno
servidores
- Las que se encuentren en el
Llamar al CONTRATISTA
documento de contacto del Administrador de Contrato
2 responsable del
CONTRATISTA ubicada en carpetas servidores
mantenimiento o
compartidas
continuidad_de_negocio contactos
Diagnóstico de la situación
por parte del administrador Se efectúa un diagnóstico del estado del Administrador del
3
del servidor o del software base. servidor
contratista
Se puede recuperar el De acuerdo al diagnóstico se decide Administrador del
4 servicio en la misma sobre el mejor procedimiento para servidor y/o
máquina restablecer el servicio contratista
Código:
Página: 50 de 123
Proceder a restablecer el Se restablece el servicio en el mismo Administrador del

5
servicio servidor y se pasa al paso 9 servidor
Coordinador de
infraestructura,
Recuperar la hoja de vida La extraerá del repositorio de plantillas Administrador del
6
del servidor de hojas de vida de los servidores servidor o el
Director de
tecnología
Toma la hoja de vida y con los
Actualizar la configuración comandos de la consola de
Administrador del
7 en el servidor de administración instala, configura los
servidor
contingencia servicios con los parámetros descritos
en la hoja de vida.
Tomar de la hoja de vida los usuarios
Definir los usuarios del
requeridos para su correcto Administrador del
8 sistema en el nuevo
funcionamiento y definirlos asignándoles servidor
servidor
los perfiles requeridos
Verificar que el servidor la
Si los resultados son satisfactorios se
aplicación, el servidor web Administrador del
9 sigue al siguiente paso sino vuelve al
o servidor de aplicaciones servidor
paso No 5 y verifica
opera adecuadamente
Se informa al Coordinador
de infraestructura o al
Reporte de funcionamiento y se Administrador del
10 Director de tecnología, del
documenta el proceso efectuado servidor
restablecimiento del
servicio
Coordinador de
infraestructura,
El Coordinador de infraestructura o el
Reporte de servicio Administrador de la
11 Director de tecnología, informan que la
restablecido red o el
contingencia ha sido superada.
Director de
tecnología

RESPONSABLE

Código:
Página: 51 de 123
8.2 ANEXOS DE ESTRATEGIA DE CONTINGENCIA MANUAL
Los Líderes de PCN y de Procesos y la Oficina de Riesgos han desarrollado las siguientes
estrategias manuales ante una contingencia cuyo escenario es falla de los sistemas con los que
ejecutan la operación:
No. Contingencia manual a procedimientos Area
1. Resoluciones de giro por fallas del sistema C&CETEX Vicepresidencia de

Fondos
2. Expedición del certificado de disponibilidad presupuestal ante Vicepresidencia
la imposibilidad de operar en el sistema Apoteosys Financiera
3. Registro presupuestal de compromisos ante la imposibilidad Vicepresidencia
de operar en el sistema Apoteosys. Financiera
4. Registro presupuestal de obligaciones ante la imposibilidad de Vicepresidencia
operar en el sistema Apoteosys Financiera
5. Análisis contable de causaciones y cuentas por pagar ante Vicepresidencia
imposibilidad de operar en el sistema Apoteosys Financiera
6. Giro por falla en el sistema Apoteosys Vicepresidencia
Financiera
7. Generación de correspondencia externa ante imposibilidad de Secretaria General
operar en el sistema mercurio
8. Consulta de archivo Secretaria General
9. Pago de servicios públicos y administraciones ante la Secretaria General
imposibilidad de operar en el sistema Apoteosys
Código:
Página: 52 de 123
CONTINGENCIA MANUAL PARA EL PROCEDIMIENTO DE RESOLUCIONES DE GIRO POR

FALLAS DEL SISTEMA C&CETEX
Macro proceso: Otorgamiento de Productos

Proceso: Gestión de legalización y renovación para aprobación del desembolso
1. OBJETIVO
Obtener un plan de contingencia para el procedimiento crítico de Resoluciones de Giro en la

Vicepresidencia de Fondos por fallas del sistema C&CETEX.
2. ALCANCE
Este procedimiento se utiliza ante la activación de Contingencia dada por la Oficina de Riesgos,
caso en el que la Vicepresidencia de Fondos en Administración determinará los Giros urgentes a
emitir en el día, de acuerdo con los compromisos contraídos con los Constituyentes y sobre esta
decisión informará al personal encargado para que procedan a aplicar la contingencia.
 Para el desarrollo de esta contingencia se requiere contar con el reporte de “Faltantes de

Giro” de la Vicepresidencia de Fondos en Administración, actualizado a fecha del día anterior,
para lo cual es necesario que el funcionario designado genere al final del día este reporte y lo
guarde en la Carpeta Compartida de la Vicepresidencia de Fondos, debidamente protegido
para que no sea posible su manipulación por ninguna persona.
 Los giros propuestos a gestionar deberán haber cumplido con las siguientes condiciones para
iniciar el proceso de giro:
o Hallarse la documentación soporte en la Entidad,

o Encontrarse en el sistema C&CETEX con los estados de: “Autorizado”, “Concepto jurídico
viable” o “Renovado IES”.
4. DESCRIPCION
4.1 ACTIVACION DE LA CONTINGENCIA - GENERACION DEL GIRO
Encargado del Fondo / Vicepresidencia de Fondos en Administración
4.1.1 Cumplido el Procedimiento de Legalización de Crédito Educativo, se recepciona por parte

del Constituyente la autorización con la relación de los Beneficiarios autorizados para que se
les desembolse, documento debidamente firmado por el funcionario autorizado en el Fondo.
Código:
Página: 53 de 123
4.1.2 Ingresar a la dirección de “Carpeta Compartida de Fondos” y seleccionar el reporte “Faltantes

de Giro”, que contiene la información de los Beneficiarios que se encuentran en las
condiciones indicadas en el numeral 3. Proceder a filtrar la información con la información de
los Beneficiarios a gestionar el giro de acuerdo al rubro a pagar.
4.1.3 Revisar que los datos del Beneficiario autorizado en el documento de Autorización de
Beneficiarios contenga la misma información que se encuentra en el Reporte de Faltantes de
Giro: nombre del beneficiario, universidad, programa, valor aprobado para el giro.
4.1.4 Si la revisión es coincidente proceder a diligenciar el formato F135 “Formato de Autorización
de Giros – Vicepresidencia de Fondos en Administración. Esta planilla debe firmarla en
constancia de elaboración.
4.1.5 En caso que se presente diferencia en la información, es necesario solicitar aclaración con el
Constituyente a través de correo electrónico.
4.1.6 Entregar al Técnico Administrativo los siguientes documentos: Formato F135 “Formato de
Autorización de Giros – Vicepresidencia de Fondos en Administración” y documento de
Autorización de Beneficiarios por parte de Constituyente.
Técnico Administrativo / Vicepresidencia de Fondos en Administración
4.1.7 Elaborar por cada orden de giro, el Formato “Resolución Giro Contingencia C&CETEX” con
los datos indicados en el formato 135.
4.1.8 Revisar el Formato “Resolución Giro Contingencia C&CETEX” contra el formato F135
“Formato de Autorización de Giros – Vicepresidencia de Fondos en Administración,
verificando que los datos que componen la orden de resolución coincida la información que
reposa en el reporte de faltantes.
4.1.9 Las ordenes de resolución cuya información es igual, serán firmadas por el Técnico
Administrativo, en el campo de “Elaboro”.
4.1.10 Aquellas resoluciones que difiere la información debe corresponder a equivocación en la
emisión de la orden de resolución, por cuanto es necesario corregir las órdenes y volver a
imprimir y firmar.
4.1.11 Entregar al Encargado del Fondo las resoluciones y documentación soporte al Encargado del
Fondo.
Encargado del Fondo / Vicepresidencia de Fondos en Administración
4.1.12 Revisar la ordenes de resoluciones de giro garantizando su correcta emisión, en constancia

firma en el campo “Reviso” de dicho documento.
4.1.13 Entregar al Encargado del Fondo las resoluciones y documentación soporte al Coordinador.
Coordinador / Vicepresidencia de Fondos en Administración

Código:
Página: 54 de 123
4.1.14 Revisar el formato F135 “Formato de Autorización de Giros – Vicepresidencia de Fondos en

Administración”, la orden de resolución de giro, el Formato “Resolución Giro Contingencia
C&CETEX” y la Autorización del Fondo con la relación de los beneficiarios contra el Reporte
de Faltantes de Giro, verificando la consistencia en la información.
4.1.15 De encontrarla correcta, proceder a firmar la Planilla 135 “Formato de Autorización de Giros –
Vicepresidencia de Fondos en Administración” y la “Resolución Giro Contingencia C&CETEX”.
4.1.16 De encontrar algún tipo de inconsistencia, debe rechazar la orden de resolución y solicitar
aclaración al Funcionario encargado del Fondo.
4.1.17 Entregar la documentación correspondiente a las Órdenes de Resolución de giro autorizadas
al Vicepresidente de Fondos en Administración, quien realiza una última verificación de la
información y firma como Ordenador del Gasto. Estos documentos son devueltos al
Coordinador responsable del Fondo.
4.1.18 Actualizar los giros ordenados en el Reporte de Pendientes, diligenciando los siguientes
campos:
 Fecha orden de resolución: Años, mes y día (AAAA/MM/DD) de la solicitud de emisión de
la orden de giro.
 Elaborado: Nombre y apellido del Funcionario encargado del Fondo que está solicitando la
orden de resolución de giro.
4.1.19 Sobre el Reporte de Pendientes, seleccionar aquellos que tienen diligenciado el campo
“Fecha de resolución” y proceder a generar un archivo independiente con las resoluciones de
desembolso que se requieran cargar. Para ello debe crear el archivo con la estructura
requerida por el sistema Apoteosys, información que reposa en el Reporte de Pendientes de
Fondos.
4.1.20 Entregar las Órdenes de Resolución y el formato F135 “Formato de Autorización de Giros –
Vicepresidencia de Fondos en Administración” al Grupo de Presupuesto de la Vicepresidencia
Financiera, para su cumplimiento.
4.2 CARGE DEL ARCHIVO EXCEL CON INFORMACION DE LAS RESOLUCIONES DE

DESEMBOLSO AL MAESTRO DE RESOLUCIONES DE APOTEOSYS
4.2.1 Efectuar el cargue del archivo Excel en el aplicativo Apoteosys, de acuerdo con las
instrucciones dadas por la Dirección de Tecnología.
4.3 RETORNO A LA NORMALIDAD – SISTEMA C&CETEX

Dirección de Tecnología
Código:
Página: 55 de 123
4.3.1 Una vez restablecida la incidencia presentada en el aplicativo C&CETEX, la Dirección de

Tecnología efectuará la actualización de las ordenes de resoluciones emitidas que ya han
sido cargadas en el sistema Apoteosys.
4.3.2 Informar a la Oficina de Riesgos la actualización del aplicativo C&CETEX y su
restablecimiento.
Oficina de Riesgos
4.3.3 Avisar a la Vicepresidencia de Fondos en Administración el restablecimiento del sistema
C&CETEX y el Vicepresidente informe al personal del área y puedan ingresar a dicho
aplicativo.
Código:
Página: 56 de 123
CONTINGENCIA MANUAL PARA EL PROCEDIMIENTO DE EXPEDICION DEL CERTIFICADO DE

DISPONIBILIDAD PRESUPUESTAL ANTE LA IMPOSIBILIDAD DE OPERAR EN EL SISTEMA
APOTEOSYS
Macro proceso: Gestión Financiera
Proceso: Gestión Presupuestal
1. OBJETIVO
Obtener un plan de contingencia ante la imposibilidad de operar en el sistema Apoteosys para

desarrollar el procedimiento de Expedición del Certificado de Disponibilidad Presupuestal (CDP),
donde se emite el documento que garantiza la existencia de apropiación presupuestal disponible,
para la asunción de compromisos o traslados con cargo al presupuesto de la respectiva vigencia
fiscal.
2. ALCANCE
Este procedimiento se utiliza ante la activación de contingencia dada por la Oficina de Riesgos,
caso donde el Coordinador del Grupo de Presupuesto de la Vicepresidencia Financiera
determina los Certificados de Disponibilidad Presupuestal a emitir en el día, de acuerdo con las
necesidades de las diferentes áreas de la Entidad y sobre esta decisión informa al personal del
Grupo de Presupuesto para que procedan a aplicar esta contingencia.
 Para el desarrollo de esta contingencia se requiere contar con los reportes de Excel de
Ejecución Presupuestal y Base de Datos de los CDP’s (Control dual), debidamente
actualizados y armonizados a la fecha, las cuales reposan en la carpeta compartida del Grupo
de Presupuesto de la Vicepresidencia de Financiera y/o carpeta del Coordinador denominada
“Reportes Consulta”, documentos a conservar debidamente protegidos para que no permitir
su manipulación por ninguna persona ajena al área.
4. DESCRIPCIÓN
Ordenador del gasto
Código:
Página: 57 de 123
4.1 Realizar solicitud de CDP (Certificado de Disponibilidad Presupuestal) dirigido al Coordinador de

Presupuesto por medio de memorando, el cual es firmado directamente por el Ordenador del Gasto.
Funcionario Encargado / Grupo de Presupuesto
4.2 Recibir memorando y verificar que se encuentre la siguiente información: Descripción del gasto,
vigencia del mismo y se halle firmada por el Ordenador del Gasto. De faltar alguna de estas
condiciones no se recibe la solicitud; de encontrarse en orden, se entrega la solicitud al Coordinador de
Presupuesto.
Coordinador / Grupo de Presupuesto
4.3 Revisar rubro presupuestal y saldo vigente en el Informe Base de Datos de los CDP’s (Control dual)”;
para lo cual procede así:
4.3.1 Si existe rubro presupuestal y vigencia: Entregar al Funcionario Encargado para continuar el proceso.
4.3.2 Si el gasto no está contemplado para la vigencia en curso: Informar al Ordenador del Gasto de la no
existencia del mismo a través de correo electrónico y en consecuencia se devuelve.
4.3.3 En caso de no existir apropiación vigente no afectada: Revisar al interior del rubro mayor la posibilidad
de realizar ajuste:
 De ser posible la modificación del rubro mayor: Efectuar novedad en el Reporte de Informe de
Ejecución Presupuestal, guardando el equilibrio al interior del rubro mayor. Los documentos
soportes son entregados al Funcionario Encargado.
 En caso de no ser posible la modificación al rubro mayor y existir disponibilidad en otro rubro,
seguir el procedimiento de “Modificación al Presupuesto”.
4.4 Ingresar en el reporte “Base de Datos de los CDP’s” (Control dual)”, la información relacionada con el
objeto asociado de la solicitud y el valor requerido.
4.5 Emitir CDP manualmente, con la información del objeto, valor y rubros presupuestales afectados.
Coordinador / Grupo de Presupuesto
4.6 Revisar el CDP en físico y verificar que su contenido sea el mismo de la solicitud realizada.
Código:
Página: 58 de 123
4.7 Si la información es correcta, firmar el CDP; en caso contrario, solicitar su corrección al Funcionario
Encargado.
4.8 Entregar al Ordenador del Gasto solicitante el CDP original mediante comunicación firmada por el
Coordinador del Grupo de Presupuesto. Debe mantenerse una copia del CDP en el Grupo de
Presupuesto de la Vicepresidencia Financiera, con el sello de recibido del área ordenante.
5. RETORNO A LA NORMALIDAD
Este procedimiento de contingencia podrá retornar a la normalidad una vez confirme la Oficina
de Riesgos la solución del aplicativo Apoteosys, siendo necesario efectuar la actualización
manual en dicho aplicativo de las actividades que se realizaron en contingencia:
5.1 Registrar la información del CDP emitido, afectando el rubro presupuestal con el que se
emitió el documento.
5.2 Modificar el rubro presupuestal en caso que se hayan realizado ajustes.

1 15/11/2012 Documento inicial

Código:
Página: 59 de 123
CONTINGENCIA MANUAL PARA EL PROCEDIMIENTO DE REGISTRO PRESUPUESTAL DE

COMPROMISOS ANTE LA IMPOSIBILIDAD DE OPERAR EN EL SISTEMA APOTEOSYS
1. OBJETIVO

desarrollar el procedimiento de Registro Presupuestal de Compromisos, documento mediante el
cual se afecta de forma definitiva la apropiación presupuestal.
2. ALCANCE
caso en el que el Coordinador Grupo de Presupuesto de la Vicepresidencia Financiera determina
las solicitudes de suscripción de compromisos a emitir en el día, de acuerdo con las necesidades
urgentes de las diferentes áreas de la Entidad y sobre esta decisión informa al Grupo de
Presupuesto para que procedan a aplicar esta contingencia. Es de aclarar, que en situación de
contingencia se presta el servicio teniendo en cuenta el volumen de operaciones del día,
atendiendo en orden de prioridad.
 Para el desarrollo de esta contingencia se requiere contar con la Base de datos para Control
Presupuestal de Compromisos y Obligaciones (Pagos) y la Base de datos de los CDP’s
(Control Dual), debidamente actualizados y armonizados a la fecha, las cuales reposan en la
Carpeta Compartida del Grupo de Presupuesto de la Vicepresidencia de Financiera y/o carpeta
del Coordinador denominada “Reportes Consulta”, documentos a conservar debidamente
protegidos para que no permitir su manipulación por ninguna persona ajena al área.
 No se puede generar ningún compromiso presupuestal sin contar con el respectivo CDP
(Certificado de Disponibilidad Presupuestal).
4. DESCRIPCIÓN
Código:
Página: 60 de 123
Ordenador del Gasto
4.1 Enviar documento soporte del compromiso al Coordinador del Grupo de Presupuesto para su registro
presupuestal, adjuntando los siguientes documentos: Certificado de Disponibilidad Presupuestal,
documentación soporte del compromiso (contrato, convenio, ordenes, etc.) y autorización de las
vigencias futuras si las hay.
Coordinador de grupo / Grupo de Presupuesto
4.2 Recibir y verificar que los documentos:
 Sean correctos y que los valores en ellos consignados sean los mismos.
 Sean congruentes el objeto del contrato contra el CDP.
 Contenga la imputación presupuestal y la vigencia.
 Se encuentre firmado por los funcionarios autorizados.
De encontrar correcta la información entrega al Funcionario Encargado; sí contiene inconsistencias

devuelve al Ordenador del Gasto.
4.3 Verificar en la Base de datos para control presupuestal de Compromisos y Obligaciones (Pagos) y la
Base de datos de los CDP’s (Control Dual), si existe saldo a comprometer del CDP en el respectivo
rubro, donde se ubica el compromiso suscrito, procediendo así:
4.3.1 Si existe saldo a comprometer en el CDP:
 Calcular el valor a descontar del saldo.

 Registrar la información del compromiso en la Base de datos para control presupuestal de Compromisos
y Obligaciones (Pagos).
 Sellar el registro presupuestal del compromiso, el sello contiene los siguientes datos:
o CDP: Corresponde al número de CDP (Certificado de disponibilidad presupuestal), que respalda

el compromiso.
o RP: El número de Registro Presupuestal se coloca de forma manual y lo conforma la fecha
(AAAAMMDD) y un consecutivo diario.
o Rubro: Indica el nombre del rubro presupuestal afectado por el gasto.
o Código: Indica el código del rubro presupuestal afectado por el gasto.
o Fecha: Indica la fecha en la cual se hizo el registro presupuestal del compromiso.
o Registrada por: Corresponde a la firma del Coordinador del Grupo de Presupuesto.
Así mismo, estampar el sello de “Presupuesto registrado” en cada folio del compromiso registrado.
Código:
Página: 61 de 123
 Emitir comunicación al Grupo de Contratación sobre la emisión de registro presupuestal

de compromisos y anexar los documentos soporte al registro presupuestal y entregar al
Coordinador de Presupuesto.
4.3.2 Si no existe saldo por comprometer en el CDP, elaborar memorando rechazando el procedimiento, el
cual se entrega al Coordinador del Grupo de Presupuesto.
Coordinador de Grupo / Grupo de Presupuesto
4.4 Las suscripciones de compromisos donde existe suficiente saldo del CDP, revisar el registro
presupuestal, firmar y remitir comunicación al Grupo de Contratación; de encontrar alguna
inconsistencia, solicitar corrección al Funcionario Encargado.
4.5 En caso de no existir el saldo en el CDP, revisar y firmar la comunicación de devolución al Ordenador
del Gasto.
Funcionario Encargado / Grupo de Contratación
4.6 Recibir y continuar con el procedimiento “Legalización de contrato u orden de compra o servicio” (A4-2-
01).
Este procedimiento de contingencia podrá retornar a la normalidad una vez confirme la

Oficina de Riesgos la solución del aplicativo Apoteosys, siendo necesario efectuar la
actualización manual en dicho aplicativo de las actividades que se realizaron en contingencia:
5.1 Registrar la información del compromiso.

Código:
Página: 62 de 123
CONTINGENCIA MANUAL PARA EL PROCEDIMIENTO DE REGISTRO PRESUPUESTAL DE

OBLIGACIONES ANTE LA IMPOSIBILIDAD DE OPERAR EN EL SISTEMA APOTEOSYS
1. OBJETIVO
Obtener un plan de contingencia ante la imposibilidad de operar en el sistema apoteosys para

desarrollar el procedimiento de registro presupuestal de obligaciones, documento donde se
autoriza el pago del compromiso adquirido, garantizando que este solo se comprometerá para
este fin.
2. ALCANCE
caso en el que el Coordinador Grupo de Presupuesto de la Vicepresidencia Financiera
determina las órdenes de pago a atender en el día, de acuerdo con las necesidades urgentes
de las diferentes áreas de la Entidad y sobre esta decisión informa al Grupo de Presupuesto
para que procedan a aplicar esta contingencia. Es de aclarar, que en situación de contingencia
se presta el servicio teniendo en cuenta el volumen de operaciones del día, atendiendo en
orden de prioridad.
 Para el desarrollo de esta contingencia se requiere contar con la Base de datos para Control
Presupuestal de Compromisos y Obligaciones (Pagos), debidamente actualizado y
armonizado a la fecha, la cual reposa en la Carpeta Compartida del Grupo de Presupuesto de
la Vicepresidencia de Financiera y/o carpeta del Coordinador denominada “Reportes
Consulta”, documento a conservar debidamente protegido para que no permitir su
manipulación por ninguna persona ajena al área.
 Este procedimiento se rige por el Acuerdo 001 del 16 de junio del 2006, por el cual se aprueba
el Estatuto de Presupuesto del ICETEX, en especial lo relacionado en el capítulo V, artículo
37.
4. DESCRIPCIÓN
Ordenador del Gasto

Código:
Página: 63 de 123
Si la obligación corresponde a fondos, seguir el procedimiento “Registro Presupuestal de

Obligaciones de Fondos” (A2-1-09).
Si la obligación no corresponde a fondos, seguir el procedimiento “Legalización de contrato u

orden de compra o servicio.” (A4-2-01).
Ordenador del Gasto - Ejecutor del Presupuesto
4.1 Realizar y revisar la Orden de Pago F50 manual. De acuerdo con la naturaleza del compromiso
realiza la orden de pago acompañada de los soportes necesarios (factura, resumen de nómina,
caja menor, fondos, resoluciones de giro, crédito TAE, Access, Fiduciaria, giros).
4.2 Recibir la Orden de Pago F-50 manual y los respectivos soportes.
4.3 Revisar la Orden de Pago F-50 manual y los respectivos soportes, de conformidad con el
contrato y/o normas establecidas y que los valores en ellos consignados sean los correctos,
procediendo así:
4.3.1 Si no tiene los respectivos soportes completos, devolver la Orden de Pago F-50 manual sin tramitar,
dándose como no recibida al Ordenador del Gasto o Ejecutor del Presupuesto.
4.3.2 De presentarse los documentos soportes completos y correctos, revisar en la Base de datos para Control
Presupuestal de Compromisos y Obligaciones (Pagos):
4.3.2.1 Existencia de compromiso por cumplir, es decir que haya la disponibilidad de recursos para efectuar ese
pago de acuerdo con el compromiso adquirido.
4.3.2.2 Disponibilidad del saldo.
4.4 Si en la revisión determina que carece de compromiso por cumplir, proceder a emitir comunicación al
Ordenador del Gasto, devolviendo la orden e indicando el motivo.
4.5 Las órdenes de recursos propios se registran en la Base de datos para Control Presupuestal de
Compromisos y Obligaciones (Pagos), donde se actualiza automáticamente el saldo con la obligación
que se está tramitando.
4.6 Colocar sello de registro de obligación a la orden de pago, conteniendo la fecha de registro de
obligación, e indica que los documentos ya fueron tramitados por el Grupo de Presupuesto.
Coordinador de Grupo / Grupo de Presupuesto

Código:
Página: 64 de 123
4.7 Aquellas órdenes a devolver, verificar el motivo de la devolución junto con los documentos
soportes, si es correcto, firmar comunicación al Ordenador del Gasto. En caso de encontrar
inconsistencias en la devolución, informar al Funcionario Encargado para su corrección.
4.8 Las ordenes que cumplen con las condiciones de existencia de compromiso por cumplir,
revisar en la Base de datos para Control Presupuestal de Compromisos y Obligaciones (Pagos)
su correcto registro; de estar en orden firmar la orden de pago F-50 manual en el campo
denominado “Presupuesto”.
Analista 3 / Dirección de Contabilidad
4.9 SI se requiere causar sigue el procedimiento “Análisis contable de causaciones y cuentas por pagar”
(A2-3-10).
Profesional Universitario 1 Analista 3/ Dirección de Tesorería
Seguir procedimiento “Giro” (A2-2-04).
Analista 3 / Dirección de Contabilidad
Si hubo causación ingresa al aplicativo de Apoteosys y cancela las cuentas por pagar.
manual en este sistema con las actividades que se realizaron en contingencia:
5.1 Ingresar los registros de las obligaciones realizadas.
5.2 Verificar que la Dirección de Contabilidad y la Dirección de Tesorería se haya causado la obligación y
realizado el pago respectivamente, de tal manera que si se realizó el giro, haya descontado del saldo
de la obligación el valor correspondiente y en caso de rechazo mantenga su saldo.


Código:
Página: 65 de 123
CONTINGENCIA MANUAL PARA EL PROCEDIMIENTO DE ANALISIS CONTABLE DE

CAUSACIONES Y CUENTAS POR PAGAR ANTE IMPOSIBILIDAD DE OPERAR EN EL SISTEMA
APOTEOSYS

Proceso: Gestión Contable y Tributaria
1. OBJETIVO
Obtener un plan de contingencia para el procedimiento crítico de Análisis contable de

causaciones y cuentas por pagar ante imposibilidad de operar en el sistema Apoteosys,
garantizando el correcto registro contable y la razonabilidad de los movimientos generados a
partir de las cuentas por pagar con sus respectivos impuestos, teniendo en cuenta la
normativa contable vigente.
2. ALCANCE
Este procedimiento se utiliza ante la activación de Contingencia dada por la Oficina de

Riesgos, caso en el cual se procederá así:
 El Director de Tecnología definirá las medidas para apoyar la contingencia, así como
aquellas actividades necesarias para solucionar la situación generada en el aplicativo
Apoteosys.
 El Director de Contabilidad de la Vicepresidencia Financiera determinará los registros

contables a efectuar en el día, de acuerdo con las necesidades de las diferentes áreas de
la Entidad y sobre esta decisión informará al personal encargado para que procedan a
aplicar esta contingencia.
 Obtener el Informe de Saldos y movimiento contables, clasificado por cuenta y tercero, el

cual puede ser generado a partir del último backup del sistema o por la herramienta Biable.
Para ello, se contará con el apoyo de la Dirección de Tecnología, donde ejecutarán el
Procedimiento PCTI – BD2, descrito en el Manual de Plan de Continuidad de Negocios del
Icetex.
 La documentación soporte de la cuenta por pagar definida en los entregables establecidos

en el contrato u orden de servicio, debe estar completa y pre-validada por el Interventor que
le corresponda.
Código:
Página: 66 de 123
 La información del proveedor o contratista debe haber sido previamente verificada en

SARLAFT, dentro del proceso precontractual.
 Los soportes de la cuenta de cobro o facturas deben ser entregados el mismo día en que
se genera la cuenta de cobro, previa revisión del Interventor que corresponda.
4. DESCRIPCIÓN
Coordinador de Tecnología / Dirección de Tecnología
Aplicar el procedimiento PCTI – BD2, descrito en el Manual de Plan de Continuidad de Negocios del Icetex.
Técnico Administrativo / Dirección de Contabilidad
Recibir documentos del Grupo de Presupuesto y analizar los soportes recibidos validando la existencia del
contrato y que los soportes incluyan los valores relacionados en las cláusulas del contrato u órdenes de
compra o servicios que corresponda.
Si los documentos no están completos o hay extemporalidad en la entrega, solicitar la reversión de transacción
de registro presupuestal al Grupo de Presupuesto a través de correo electrónico.
Obtener el Informe de Saldos y movimiento contables, clasificado por cuenta contable y tercero, situación que se
puede obtener a partir de la extracción directa de la base de datos del backup de la información con
apoyo de la Dirección de Tecnología o como segunda forma de generarlo a través del Reporteador
BIABLE.
Validar el origen de la cuenta:
Si el origen de la cuenta por pagar es un Fondo
Establecer la razonabilidad contable del movimiento, analizando a partir del estado de cuenta de los Fondos en
Administración, si el movimiento corresponde al registrado por el área de Fondos, datos que puede
observar en el Informe de Saldos y movimiento contables.
Efectuar liquidación de impuestos de conformidad con la norma contable y la reglamentación que para tal efecto
se encuentra establecida en el plan de cuentas financiero y el estatuto tributario y registrar la resolución
de giro que ampara la cuenta por pagar dentro del Informe de Saldos y movimiento contables.
Otras cuenta por pagar:
Consultar manualmente el “Auxiliar contable por tercero” dentro del Informe de Saldos y movimiento contables.
Código:
Página: 67 de 123
Establecer el valor y oportunidad de liquidación de impuestos, haciendo verificación del clausulado contractual y
el pago de parafiscales. Verificar el registro del proveedor con sus obligaciones tributarias diligenciadas
dentro de la factura de proveedor, de acuerdo con el régimen tributario al cual pertenece,
estableciendo la razonabilidad contable del movimiento, analizando si el movimiento corresponde a una
provisión, gasto, anticipo o es un pago de impuestos.
Realizar la liquidación del pago de impuestos manualmente de conformidad con el análisis realizado y registrar el
movimiento de cuentas dentro del Informe de Saldos y movimiento contables.
Estampar el sello de “Contabilizado” en la Orden de Resolución u Orden de Pago, firmar y colocar la fecha de
procesado en la Dirección de Contabilidad.
Analizar el impacto del movimiento contable en los estados financieros y en los estados de cuentas de los fondos
en administración.
Entregar la Orden de Resolución u Orden de Pago y los documentos soportes a la Dirección de Tesorería para
que realice el giro.
Una vez realizado el desembolso de acuerdo con el procedimiento de “Giro” en la Dirección de Tesorería,
consolidar la información en el Informe de Saldos y movimiento contables.
Técnico Administrativo / Dirección de Contabilidad
5.1 Una vez confirme la Oficina de Riesgos la solución del aplicativo Apoteosys, obtener los
nuevos saldos de las cuentas contables en el Informe de Saldos de movimientos contables.
5.2 Extraer los movimientos contables que se realizaron durante la contingencia, generando un
archivo plano y subirlo en el aplicativo Apoteosys por la opción de Interfaces.
5.4 Comparar los saldos contables generados en el sistema Apoteosys con los producidos en el
Saldos de movimientos contables, debiendo existir consistencia en la información. En caso de
existir diferencia es necesario establecer la diferencia y corregir.
6. 6. HISTORIA DEL DOCUMENTO

CONTINGENCIA MANUAL PARA EL PROCEDIMIENTO DE GIRO ANTE LA IMPOSIBILIDAD DE

OPERAR EN EL SISTEMA APOTEOSYS
Código:
Página: 68 de 123
1. OBJETIVO

desarrollar el procedimiento de Giro, documento que integra las actividades a realizar para la
emisión de los diferentes pagos para cumplir con las obligaciones del Icetex.
2. ALCANCE
situación donde el Director de Tesorería de la Vicepresidencia Financiera determina las
Resoluciones de Giro y Orden de Pago a emitir en el día, de acuerdo con las necesidades
urgentes de las diferentes áreas de la Entidad y sobre esta decisión informa al Grupo de
Pagaduría para que procedan a aplicar esta contingencia. Es de aclarar, que en situación de
contingencia se presta el servicio teniendo en cuenta el volumen de operaciones del día,
atendiendo en orden de prioridad.
3.1 Para el desarrollo del giro a través de Transferencia Electrónica o Tarjeta Recargable, es
necesario contar con el formato del archivo plano de Archivo de Transferencias de los Portales
Bancarios donde el Icetex tiene Cuentas Corrientes / Ahorros.
4. DESCRIPCIÓN
Coordinador Grupo de Presupuesto / Vicepresidencia Financiera
 Sigue el procedimiento de Registro Presupuestal de Obligaciones.

 Cuando es una resolución de giro de crédito pasa directamente a la actividad 4.1.
Director de Contabilidad / Vicepresidencia Financiera

Código:
Página: 69 de 123
Si es un giro de gastos al fondo o de funcionamiento sigue el procedimiento de Análisis contable de causaciones

y cuentas por pagar.
Técnico Administrativo / Grupo de Pagaduría / Dirección de Tesorería
4.1 Registrar hora y fecha de recepción de documentos de giro según corresponda:
En la hoja de ruta si se trata de Resolución de Giro.

En la “Relación de Órdenes de Pago” si se trata de órdenes de pago, donde adicionalmente se revisa que estén
como anexos los soportes requeridos, tales como: Cuentas de cobro, informe de actividades, facturas,
planillas, actas de recibo de satisfacción, certificaciones bancarias, etc.
Para cada uno de los casos relacionar en el archivo de Excel “Control de Ingreso”, los campos: Fecha y hora de
recepción, número de resolución Orden de Pago, Preparador asignado, oficina ordenadora del pago,
moneda en que se pagará y programa que afecta el pago.
Si se presenta alguna inconsistencia en la revisión y registro, se hace devolución a la Oficina Ordenadora del
Gasto para los respectivos ajustes copiando al Grupo de Presupuesto y Dirección de Contabilidad y
registrando la novedad en el archivo de “Control de Ingreso”.
4.2 Entregar los documentos al Preparador de Pagos asignado, según la tipología del pago, el recurso a
pagar y el tipo de moneda del pago.
Preparador de Pagos / Grupo de Pagaduría / Dirección de Tesorería
4.3 Recibir las Ordenes de Pago y/ Resoluciones de Giro.
4.4 Verificar que los documentos estén firmados y los que se requieran estén causados y contengan los
soportes necesarios para realizar el pago. Así mismo, verifica que los valores de las órdenes de pago
y/o resoluciones de giro concuerden con los valores de los soportes anexados:
 Si la información requerida para los giros está incorrecta o incompleta, debe devolverse a la Oficina
Ordenadora del Gasto para los ajustes respectivos copiando al Grupo de Presupuesto y Dirección de
Contabilidad.
 Si la información es correcta, efectuar actividad 4.5.
4.5 Verificar los terceros a girar en el reporte en Excel “Atención de Embargos”, donde se encuentra la
relación de embargos requeridos por los Entes Judiciales:
 Presenta embargos: Proceder de acuerdo a la Guía de Embargos publicada y su correspondiente

formato.
 No presenta embargos, continua con la actividad 4.6.
Código:
Página: 70 de 123
4.6 Clasificar el recurso a pagar: Propios, TAE, Fondos y verificar que la cuenta a debitar posea los recursos
disponibles.
4.7 Aplicar la guía correspondiente, de acuerdo con la tipología del pago:
 Cheques de Gerencia: Proceder de igual manera con lo descrito en la Guía G59.

 Transferencia Electrónica: Proceder de acuerdo con lo descrito en el numeral 5 de este
documento.
 G61 Guía con Nota Débito
 G63 Guía Tarjetas Recargables
5. GUIA DE PAGO DE TRANSFERENCIA ELECTRONICA
5.1 Llenar de forma manual el archivo plano de pagos denominado “Archivo de Transferencias”,
según la estructura técnica de cada Banco, que se encuentra definido en el Grupo de Pagaduría.
5.2 Ingresar al Portal Bancario, identificándose con su usuario y dispositivo de seguridad asignado y
cargar el archivo plano “Archivo de Transferencias”.
5.3 Imprimir directamente del Portal Bancario el proceso de pagos definitivo, impresión que debe
contener la siguiente información:
 Cuenta a debitar Icetex

 Nombre del destinatario de cada giro
 Identificación del destinatario de cada giro
 Banco destino
 Número de cuenta destino
 Tipo de cuenta
 Valor a transferir
Coordinador de Pagaduría / Grupo de Pagaduría / Dirección de Tesorería
5.4 Verificar y asignar el punteo del proceso de pagos definitivo a un funcionario diferente al que
Preparador de Pagos que lo elaboró, el cual verifica el Archivo de Transferencias cargado en el
Portal Bancario contra los soportes físicos de cada pago.
Funcionario asignado de punteo / Grupo de Pagaduría / Dirección de Tesorería

Código:
Página: 71 de 123
5.5 Revisar los datos impresos del Portal Bancario frente a los soportes físicos de cada giro
(Resolución de giro, Orden de Pago u otro documento soporte de la ordenación del giro),
validando que coincida:
 El número de identificación del beneficiario

 Número y tipo de cuenta bancaria destino
 Entidad bancaria destino
 Valor del giro
5.6 Si se encuentra todo correcto, procede a firmar en señal de revisado, indicando fecha y número
de registros verificados y novedades encontradas.
Coordinador de Pagaduría / Grupo de Pagaduría / Dirección de Tesorería
5.7 Asignar número de proceso mediante numerador y registrar en la Planilla de Control “Planilla
Pagos.xls", la siguiente información: Consecutivo, tema, fecha pago, Fecha reproceso, No. de
registros, Valor, Usuario preparador, Recurso, Novedades, Banco a debitar, Respuesta y
Funcionario que puntea.
5.8 Ingresar al Portal Bancario a verificar que la cuenta seleccionada para el débito de los recursos
esté correcta, la información generada se encuentre acorde con los soportes ya verificados y
punteados y realiza la aprobación del giro.
Director de Tesorería / Dirección de Tesorería
5.9 Ingresar al Portal Bancario correspondiente al pago preparado y verificar que los soportes
recibidos tengan las firmas de quien realizó la preparación en el portal, la verificación de los
registros y la firma del primer aprobador, valida el valor del lote en el portal contra el físico,
cantidad de registros y nombre del lote. De encontrar todo en orden, procede con la autorización
final del proceso.
5.10 Confirmar en el Portal Bancario que las aprobaciones hayan sido efectivas y el proceso no se
encuentra rechazado o declinado.
5.11 Generar y remitir vía correo electrónico al funcionario encargado de digitación, archivo de Excel
denominado “Formulación”, con los datos necesarios de los Giros realizados por la Entidad para
desarrollar el Proceso de Digitación, para publicar en la Página Web del Icetex.
5.12. Continuar Procedimiento “Boletín de Tesorería”.
5.13 Tres días hábiles después de realizada la aprobación de la transferencia, procede a ingresar al
Portal Bancario por donde se realizó el pago y genera el archivo de respuestas que confirma las
operaciones aprobadas y las rechazadas con su respectiva causal de no pago.
Código:
Página: 72 de 123
manual en dicho aplicativo de las actividades que se realizaron en contingencia, como son:
Procedimiento de Giro
6.1 Rechazar en el sistema las Órdenes de Pago y/o Resoluciones de Giros que se encuentran
incorrectas o incompletas y fueron devueltas al Ordenador del Gasto.
6.2 Si el pago a realizar corresponde a una Resolución ACCES, ingresa al aplicativo financiero y
confirma/ rechaza / aplaza las resoluciones de giro mediante la opción CONT152P6 – Confirmar
Resoluciones con detalles por categoría en Tesorería.
6.3 Si se trata de una Resolución diferente a ACCES, ingresar al aplicativo financiero y confirma/
rechaza / aplaza las Resoluciones mediante la opción CONT152P2 – Confirmación Resoluciones
en Tesorería.
6.4 Si se trata de una Orden de Pago, ingresar al aplicativo financiero y autorizar mediante la opción
TES015P2 –Autorización Financiera de Pagos, luego mediante la opción TES017P1 – Egresos,
se confirma el proceso de pago y genera el Comprobante de Egreso.
6.5 De ser necesario realizar anulación de alguna Orden de Pago se ingresa a la opción TES024P3
– Anular documentos de pago.
Guía de Transferencias Electrónicas

Código:
Página: 73 de 123
6.6 Confirmar las Resoluciones por la opción “Confirmación de Desembolsos de Resoluciones” y las
deja en estado de giro confirmado.
6.7 Cargar Archivo de Respuestas en Apoteosys, aplicando los abonos confirmados y los rechazos,
debe validar el soporte bancario antes de efectuar la aplicación en Apoteosys con la causal
respectiva.

Código:
Página: 74 de 123
CONTINGENCIA DEL PROCEDIMENTO DE CORRESPONDENCIA EXTERNA –

SECRETARIA GENERAL
Macroproceso: Gestión Documental
Proceso: Gestión de Correspondencia
1. OBJETIVO
Describir la contingencia del procedimiento de Correspondencia Externa, considerando los

escenarios de causas de interrupción, los contactos de personal y los recursos mínimos
necesarios.
2. ALCANCE
El documento cubre la contingencia de correspondencia externa, así:
 Correspondencia recibida: Va desde su recepción en el punto de Correspondencia del Icetex

en Bogotá o en los Centros de Atención Nacional (CAN) hasta su entrega al área destino para
su atención.
 Correspondencia enviada: Su alcance inicia con la emisión del oficio en las áreas del Icetex y
culmina en la entrega del mismo al Operador de Servicio Postal.
3. EVENTOS DE CONTINGENCIA
A continuación se describen las acciones a seguir en los diferentes escenarios que pueden
causar interrupción de la operación:
3.1 CONTINGENCIA POR AUSENCIA DE PERSONAL
Se presenta cuando el funcionario que ejecuta los procesos no puede asistir a trabajar para
comunicación:
3.1.1 El funcionario ausente activa la Cascada Telefónica y se comunica con el Coordinador del Grupo
de Correspondencia de Secretaria General (Ver Planilla de Contactos Grupo de
Correspondencia – Secretaria General).
Código:
Página: 75 de 123
3.1.2 El Coordinador del Grupo de Correspondencia activa la contingencia por “Ausencia de personal”
y de ser necesario comunica el evento al Jefe de Area. Distribuye procesos claves o asigna
funciones al colaborador Back - up. De igual manera, si la labor lo requiere, solicita al Oficial de
Seguridad Tecnológica la reasignación de perfiles, a través del formato F121 “Formato
asignación de accesos a sistemas de información.
3.1.3 El Coordinador del Grupo de Correspondencia verifica la continuidad exitosa de los procesos.
3.2 CONTINGENCIA DE LUGAR
3.2.1 El Jefe de Riesgos activa la cascada telefónica y comunica el evento de incidente mayor al
Contacto de Departamento Primario – Secretaria General, quien a su vez informa al funcionario
de nivel 3 – Coordinador del Grupo de Correspondencia del incidente ocurrido y las instrucciones
de activación de la contingencia de lugar.
3.2.2 El Coordinador del Grupo de Correspondencia contacta al personal crítico (equipo de

recuperación), e informa el incidente ocurrido, solicitando el desplazamiento al “Lugar alterno de
trabajo”.
3.2.3 El Coordinador del Grupo de Correspondencia informa al Jefe de Riesgos o su suplente que
ocupará los puestos de trabajo en el lugar alterno de trabajo.
3.2.4 En el lugar alterno de trabajo, el Coordinador del Grupo de Correspondencia solicita el kit de
contingencia (recursos de escritorio) y al personal crítico que inicie la conectividad a los
programas requeridos.
3.2.5 El Coordinador del Grupo de Correspondencia confirma al Jefe de Riesgos la correcta

continuidad de los procesos.
3.2.6 El Jefe de Riesgos informa la disponibilidad y funcionabilidad del sitio normal de trabajo.
3.2.7 El Coordinador del Grupo de Correspondencia devuelve el “kit de contingencia” para su custodia
nuevamente.
3.2.8 El Coordinador del Grupo de Correspondencia comunica al personal crítico el “Retorno a la

normalidad” y coordina el desplazamiento al “Sitio base de trabajo”.
Código:
Página: 76 de 123
3.3 CONTINGENCIA POR FALLAS TECNOLOGICAS
La contingencia se presenta cuando el hardware y/o software presenta fallas, o cuando haya
3.3.1 Contingencia por fallas de software, hardware o telecomunicaciones
El procedimiento de Correspondencia Externa utiliza los siguientes aplicativos para el

desarrollo de las actividades: Mercurio y Correo Electrónico. Ante fallas tecnológicas se
procede de la siguiente manera:
3.3.1.1 El usuario comunica el evento al Coordinador del Grupo de Correspondencia.
3.3.1.2 El Coordinador del Grupo de Correspondencia informa la situación presentada al Coordinador

de Infraestructura de la Dirección de Tecnología.
3.3.1.3 El Coordinador de Infraestructura emite respuesta sobre la gravedad del evento y tiempo de
recuperación al Jefe de la Oficina de Riesgos y al Director de Tecnología.
3.3.1.4 Si el daño es importante, el Director de Tecnología activa el plan de contingencia de

tecnología (servidores backup, sistemas de recuperación de información, enlaces de
comunicación), de ser necesario se da inicio a la contingencia manual por parte del Jefe de la
Oficina de Riesgos, relacionada a continuación:
3.3.2 Contingencia manual para el procedimiento de Correspondencia Externa ante

fallas tecnológicas
La Dirección de Tecnología evalúa e informa a la Oficina de Riesgos, las fallas tecnológicas

que se presentan sobre los aplicativos mercurio y/o correo electrónico. Es de anotar que
estos dos (2) sistemas se encuentran en servidores diferentes como estrategia tecnológica al
considerar el correo electrónico como contingencia de comunicación del sistema mercurio.
A continuación se describen los procedimientos a seguir en contingencia manual:
CONDICIONES GENERALES
La Oficina de Riesgos activa la contingencia cuando la recuperación del (os) sistema(s)

mercurio y/o correo electrónico supera el tiempo objetivo de recuperación (RTO) del
procedimiento de Correspondencia Externa. El Coordinador del Grupo de Correspondencia de
Secretaria General procede a informar a los usuarios de todas las áreas y Centros de
Código:
Página: 77 de 123
Atención Nacional (CAN), el incidente e indica las instrucciones para operar con el
procedimiento de contingencia y mecanismo de comunicación a utilizar.
En la siguiente tabla se ilustra las posibles situaciones de incidente del sistema y las
contingencias estimadas:
Contingencia Correspondencia externa recibida Correspondencia externa

enviada
Bogotá CAN Bogotá CAN
Falla del Centralizada y Enviar escaneado el Entregar oficio al Informar por
sistema recibida por el oficio recibido y Grupo de correo
mercurio Grupo de remitirlo al correo Correspondencia electrónico
Correspondencia electrónico para envío a su los datos
gdocumental2@icetex.gov.co destino básicos del
y lmorales@icetex.gov.co
oficio para
otorgar No.
radicación
Falla del Suministrar por Suministrar
sistema teléfono datos del por teléfono
mercurio y oficio para otorgar datos del
correo No. Radicación oficio para
electrónico otorgar No.
radicación
Tabla No. 1 – Contingencia del Procedimiento de Correspondencia Externa
Nota: Las comunicaciones que se gestionen dentro de los Centros de Atención Nacional
(CAN) también deben remitir los datos de la misma.
De esta manera se asegura la adecuada gestión de la correspondencia externa, como lo

exige el Acuerdo 060 del 2001 del Archivo General de la Nación.
DESCRIPCION DEL PROCESO
3.3.2.1 CORRESPONDENCIA EXTERNA RECIBIDA
Beneficiarios, proveedores, entidades y operadores de servicios postales
3.3.2.1.1Entregar documentación al punto de Correspondencia del Icetex en Bogotá o en los Centros

de Atención Nacional (CAN).
Código:
Página: 78 de 123
Técnico Administrativo de Secretaría General – Grupo de Correspondencia / Outsourcing de

Atención al Cliente en Centro de Atención Nacional (CAN)
3.3.2.1.2Recibir y verificar que el oficio contenga los documentos soportes (cuando aplique) y los datos
básicos que se requieren para radicación.
3.3.2.1.3Estampar sello de recepción del Icetex, colocar fecha, hora y firma de quien recibe el oficio.
3.3.2.1.4Escanear el (los) oficio(s) y documentos soportes (cuando aplique), si la falla es del sistema
mercurio.
3.3.2.1.5Si el oficio es recibido en un Centro de Atención Nacional (CAN), el Outsourcing de Atención

al Cliente informa del recibo del oficio al Grupo de Correspondencia – Secretaria General a
través de correo electrónico, adjuntando la imagen escaneada. En caso de fallas en los dos
sistemas se informa por teléfono la recepción del respectivo oficio con los datos básicos al
Grupo de Correspondencia.
Funcionario Responsable de Secretaria General – Grupo de Correspondencia
3.3.2.1.6Con el fin de determinar el número de radicación a iniciar en contingencia, el funcionario

responsable del Grupo de Correspondencia – Secretaria General establece el último número
de radicación que otorgó el sistema mercurio emitido por esa área y a éste le suma 30
números consecutivos, en consideración a que pudieron generarse nuevas radicaciones en
otras áreas o Centros de Atención Nacional (CAN) posteriores a la asignada por el Grupo de
Correspondencia, previo a la falla del sistema.
3.3.2.1.7Recibir oficio y diligenciar Ficha de Radicación en el documento en Excel denominado

“Radicador Correspondencia Externa”, el cual contiene los datos básicos de la
correspondencia.
3.3.2.1.8Guardar las imágenes de los oficios que se obtuvieron en el computador a su cargo, donde se
mantendrán todas las comunicaciones dentro de la contingencia, otorgando como nombre el
número de radicación.
3.3.2.1.9Leer y analizar la comunicación con el fin de identificar la ruta de destino del Oficio y distribuir
así:
 Oficio a tramitar en los Centros de Atención Nacional: Informar el número de radicación a

través de correo electrónico y/o teléfono.
 Oficio a tramitar en Bogotá: Distribuir el oficio de manera física al Técnico Administrativo
del Área responsable de acuerdo con la guía de Distribución de Correspondencia y
Código:
Página: 79 de 123
Preparación y Envío de Tulas (se usa cuando el documento se traslada entre ciudades).
Como evidencia de la entrega diligenciar y firma el formato de Excel denominado
“Correspondencia entregada”.
Área Destino
3.3.2.1.10 Recibir oficio, estampar sello como acuse de recibo y tramitar la solicitud respectiva.
3.3.2.1.11 Continuar con el procedimiento Administración Archivos de Gestión.
3.3.2.2 CORRESPONDENCIA EXTERNA ENVIADA
Funcionario responsable en cada área / Centros de Atención Nacional /Outsourcing de Atención

al Cliente
3.3.2.2.1De encontrarse en contingencia el sistema mercurio, escanear oficio(s) a enviar como

correspondencia externa, el cual debe haber cumplido con el proceso de revisión, aprobación
y firma del Jefe o funcionario encargado y proceder a informar al funcionario responsable del
Grupo de Correspondencia – Secretaria General, indicando el envío del (los) oficio(s) para
radicación y adjuntando el (los) soporte(s) (cuando aplique), como lo indica la Tabla No. 1
“Contingencia del Procedimiento de Correspondencia Externa”
Funcionario responsable de Secretaria General – Grupo de Correspondencia
3.3.2.2.2Sobre los oficios que se obtengan en original o escaneados se verifica que los documentos
contengan los documentos indicados en el oficio y que se hallen los datos básicos a requerir
para radicación.
3.3.2.2.3Diligenciar Ficha de Radicación en el documento de Excel “Radicador Correspondencia

Externa”, el cual contiene los datos básicos del oficio.
3.3.2.2.4Guardar imagen de los oficios obtenidos en el computador, asignando como nombre el

número de radicación.
3.3.2.2.5Generar documentos y/o planillas para el Operador de Servicio Postal.
3.3.2.2.6Realizar guía de Alistamiento de Correspondencia y entrega al Operador de Servicios

Código:
Página: 80 de 123
3.3.2.3 CORRESPONDENCIA ENVIADA MASIVA
Funcionario emisor
3.3.2.3.1Elaborar texto en Word, el cual es el mismo para todos los destinatarios de la

correspondencia masiva.
3.3.2.3.2Generar archivo en Excel con la información y estructura definida para envío masivo.
3.3.2.3.3Solicitar al Grupo de Correspondencia – Secretaria General la entrega de comunicaciones

masivas, adjuntando los archivos del texto modelo en Word y el listado de remitentes en
Excel.
3.3.2.3.4Proceder de igual manera a los descritos en los numerales 3.3.2.2.3 al 3.3.2.2.6 de

Correspondencia Externa Enviada. Recibir y verificar que los documentos contengan los
documentos indicados en la comunicación y que se hallen los datos básicos que se requieren
para radicación.
El Operador de Servicios Postales realiza la actividad de impresión de correspondencia

masiva. Es de aclarar, que el área solicitante debe enviar la firma autorizada digitalizada.
3.3.3.3 RETORNO A LA NORMALIDAD
3.3.3.3.1Una vez la Oficina de Riesgos informa la solución del sistema mercurio, el funcionario
responsable del Grupo de Correspondencia procede a identificar el último número de
radicación asignado en contingencia.
Coordinador de Grupo de Correspondencia- Secretaria General
3.3.3.3.2Informar a los usuarios de las áreas y Centros de Atención Nacional para que reanuden la
operativa en este sistema, indicándoles el número de radicación a iniciar en el sistema
mercurio, que será el próximo al asignado en contingencia.

Código:
Página: 81 de 123
3.3.3.3.3Adjuntar en el sistema mercurio, el archivo de Excel “Radicador de Correspondencia externa”,

el cual contiene las comunicaciones externas enviadas y recibidas durante la interrupción.
3.3.3.3.4Verificar que exista coincidencia entre el número de radicación otorgado en contingencia y el

asignado en el sistema mercurio.
3.3.3.3.5Dado que la numeración de radicación en contingencia se inició desde un número que se

desconocía si era certero, verificar si hubo números que no fueron utilizados en el sistema; de
ser así, emitir Acta de No Utilización de Números de Radicación, explicando que obedeció a
un proceso de contingencia por interrupción del sistema mercurio.
3.3.3.3.6Firmar Acta como funcionario responsable y entregar al Coordinador del Grupo de

Correspondencia – Secretaria General.
Coordinador de Grupo de Correspondencia – Secretaría General
3.3.3.3.7Revisar numeración de radicación no utilizada en el sistema mercurio y verificar que esta

misma se encuentre relacionada en el Acta de No Utilización de Números de Radicación; si
esta todo en orden, firmar el documento en señal de aceptación.
4.HISTORIA DEL DOCUMENTO

Código:
Página: 82 de 123
CONTINGENCIA DEL PROCEDIMENTO DE CONSULTA DE ARCHIVO – SECRETARIA

GENERAL
Macroproceso: Gestión Documental
Proceso: Gestión de Archivo
1. OBJETIVO
Describir la contingencia del procedimiento de Consulta de Archivo, considerando los escenarios

de causas de interrupción, los contactos de personal y proveedores.
comunicación:
de Archivo de Secretaria General (Ver Planilla de Contactos Grupo de Archivo – Secretaria
General).
2.1.2 El Coordinador del Grupo de Archivo activa la contingencia por “Ausencia de personal” y de ser
necesario comunica el evento al Jefe de Area. Distribuye procesos claves o asigna funciones al
colaborador Back - up. De igual manera, si la labor lo requiere, solicita al Oficial de Seguridad
Tecnológica la reasignación de perfiles, a través del formato F121 “Formato asignación de
accesos a sistemas de información.
2.1.3 El Coordinador del Grupo de Archivo confirma al Jefe del Area la continuidad exitosa de los
procesos.

Código:
Página: 83 de 123
de nivel 3 – Coordinador del Grupo de Archivo del incidente ocurrido y las instrucciones de
activación de la contingencia de lugar.
2.2.2 El Coordinador del Grupo de Archivo contacta al equipo de recuperación e informa el incidente
ocurrido, solicitando el desplazamiento al “Lugar alterno de trabajo”.
2.2.3 El Coordinador del Grupo de Archivo informa al Jefe de Riesgos o su suplente que ocupará los
puestos de trabajo en el Lugar alterno de trabajo.
2.2.4 En el Lugar alterno de trabajo, el Coordinador del Grupo de Archivo solicita el kit de contingencia
(recursos de escritorio) y al personal clave que inicie la conectividad a los programas requeridos.
2.2.5 El Coordinador del Grupo de Archivo confirma al Jefe de Riesgos la correcta continuidad de los
procesos.
2.2.6 El Jefe de Riesgos confirma la disponibilidad y funcionabilidad del sitio normal de trabajo.
2.2.7 El Coordinador del Grupo de Archivo devuelve el “kit de contingencia” para su custodia
nuevamente.
2.2.8 El Coordinador del Grupo de Archivo comunica al personal el “Retorno a la normalidad” y

coordina el desplazamiento al “Sitio base de trabajo”.
El procedimiento de Consulta de Archivo para el desarrollo de las actividades utiliza los

aplicativos de mercurio y correo electrónico. Ante fallas tecnológicas se procede de la siguiente
manera:
2.3.1.1 El usuario comunica el evento al Coordinador del Grupo de Archivo.
2.3.1.2 El Coordinador del Grupo de Archivo informa la situación presentada al Coordinador de

Infraestructura de la Dirección de Tecnología.
Código:
Página: 84 de 123
2.3.1.3 El Coordinador de Infraestructura da respuesta sobre la gravedad del evento y tiempo de

2.3.1.4 Si el daño es importante, el Director de Tecnología activa el plan de contingencia de tecnología

(servidores backup, sistemas de recuperación de información, enlaces de comunicación), de
ser necesario se da inicio a la contingencia manual relacionada a continuación:
2.3.2 Contingencia manual para el procedimiento de Consulta de Archivo ante fallas

tecnológicas
La Dirección de Tecnología evalúa e informa a la Oficina de Riesgos, las fallas tecnológicas que
se presentan sobre los aplicativos mercurio y/o correo electrónico. Es de anotar que estos dos
(2) sistemas se encuentran en servidores diferentes como estrategia tecnológica al considerar el
correo electrónico contingencia de comunicación del sistema mercurio.
En la siguiente tabla se ilustra las posibles situaciones de incidente del sistema y las
contingencias estimadas:
Falla en aplicativo de Contingencia Solicitar a: Respuesta por:

estimada
Mercurio Correo electrónico Correo electrónico Correo electrónico
archivo@icetex.gov.co del solicitante
Mercurio y correo Teléfono Outsourcing de Bogotá: Presencial
electrónico Archivo Territoriales:
Correspondencia
Tabla No. 1 – Contingencia de Procedimiento de Consulta de Archivo
La Oficina de Riesgos activa la contingencia cuando la recuperación del (os) sistema(s) supera
el Tiempo Objetivo de Recuperación (RTO) del procedimiento de Consulta de Archivo. El
Coordinador del Grupo de Archivo de Secretaria General informa a todas las áreas y Centros de
Atención Nacional (CAN) el incidente e indica las instrucciones para operar con el procedimiento
de contingencia y mecanismo de comunicación a utilizar de acuerdo con la anterior tabla.
A continuación se describen los procedimientos a seguir en contingencia manual:
2.3.2.1 CONSULTA DE IMÁGENES

Código:
Página: 85 de 123
Funcionario autorizado del área
2.3.2.1.1 Ante la necesidad de una copia de una imagen, el funcionario del área solicitante utiliza el
medio de comunicación indicado por el Coordinador del Grupo de Archivo – Secretaria
General, las cuales son:
 Fallas en el sistema mercurio: Realice solicitud por correo electrónico al correo

archivo@icetex.gov.co
 Fallas en los sistemas mercurio y correo electrónico: Realice solicitud por teléfono al
Outsourcing de Archivo.
Los documentos que actualmente se encuentran digitalizados son títulos valores y carpetas
de beneficiarios, en caso de requerirse un documento diferente a esta tipología, es necesario
validarse previamente con el Coordinador del Grupo de Archivo.
2.3.2.1.2 La solicitud debe contemplar los siguientes datos:
 Tipo de documento a requerir

 Nombre y apellido del titular del documento
 No. de identificación del titular del documento
Outsourcing de Archivo
2.3.2.1.3 Recibir solicitud de copia de imágenes de documento (correo electrónico o vía telefónica).
2.3.2.1.4 Registrar información en el formato “Solicitud de Imágenes en Contingencia”.
2.3.2.1.5 Buscar documento en la base de datos de consulta de archivo.
2.3.2.1.6 Enviar copia de la imagen al funcionario solicitante a través de:
 Solicitud efectuada por correo electrónico: Enviar al correo electrónico del solicitante.
 Solicitud realizada por Teléfono: Informar por teléfono al funcionario solicitante acercarse
a la Oficina del Outsourcing de Archivo a recoger copia de la imagen; en caso que el
requerimiento sea de un Centro de Atención Nacional, se remite por correo interno la
copia de la imagen.
Funcionario autorizado del área
2.3.2.1.7 Recibir y visualizar copia de los documentos y resolver la consulta.

Código:
Página: 86 de 123
2.3.2.2 PRESTAMO DE UN DOCUMENTO FISICO
Funcionarios áreas
2.3.2.2.1 Solicitar la ubicación del mismo según las instrucciones suministradas por el Coordinador del
Grupo de Archivo, de acuerdo con la situación presentada, pudiendo ser:
 Fallas en la aplicación de mercurio: Emitir mensaje de solicitud de ubicación del

documento, dirigido al correo electrónico: archivo@icetex.gov.co.
 Fallas en los aplicativos de mercurio y correo electrónico: Consultar de forma personal.
2.3.2.2.2 Recibir la solicitud de ubicación del documento y proceder a buscarlo en la base de datos
del sistema de consulta de archivo, efectuando radicación en la Planilla de Préstamos.
2.3.2.2.3 Dar respuesta de los documentos encontrados por la misma vía que se solicitó:
 Fallas en la aplicación de mercurio: Emitir mensaje de respuesta de ubicación del

documento, dirigido al correo electrónico del funcionario solicitante.
 Fallas en los aplicativos de mercurio y correo electrónico: Responde de forma personal
o por teléfono al funcionario solicitante.
2.3.2.2.4 De no encontrarse la ubicación del documento, emitir certificación de no ubicación del

documento y dirigirla al Coordinador del Grupo de Archivo de Secretaria General, quien
procede a contestar por comunicación al área solicitante.
Funcionarios de Áreas
2.3.2.2.5 Recibir respuesta con los datos de la ubicación del documento solicitado.
2.3.2.2.6 Diligenciar el formato Autorización de consulta al archivo (F228) y entregar dicho formato al
Outsourcing de Archivo.
Código:
Página: 87 de 123
2.3.2.2.7 Recibir formato Autorización de consulta al archivo (F228) y ubicar documento en la base
de datos del sistema de consulta de archivo.
2.3.2.2.8 Notificar por vía telefónica al funcionario solicitante de la ubicación del documento.
2.3.2.2.9 Diligenciar el formato “Control de préstamos de unidades documentales o expedientes”

(F146).
2.3.2.2.10 Actualizar Base de Datos “Préstamos Icetex”, cambiando el estado del documento a “Listo
entrega”.
Funcionarios Áreas
2.3.2.2.11 Al recibir notificación, acercarse al Outsourcing de Archivo a recoger documento y firmar

como “Recibido” en el formato “Control de préstamos de unidades documentales o
expedientes” (F146).
2.3.2.2.12 Utilizar el documento y resolver la consulta.
2.3.2.2.13 Devolver documento al Area de Prestamos de Archivo.
2.3.2.2.14 Recibir el documento y actualizar el estado a “Devuelto” en la Base de Datos “Préstamos

Icetex”.
2.3.2.2.15 Enviar el documento a custodia.
2.3.2.2.16 Recibir unidades de conservación documental y archivar nuevamente.
2.3.2.2.17 Actualizar estado a “Disponible” en la Base de Datos “Préstamos Icetex”.
2.3.2.3. RETORNO A LA NORMALIDAD
Coordinador Grupo de Archivo de Secretaria General
2.3.2.3.1 Una vez confirmado que la Oficina de Riesgos informa la solución del incidente en los
aplicativos de mercurio y/o correo electrónico, el Coordinador del Grupo de Archivo
Código:
Página: 88 de 123
informará a los usuarios de las áreas y Centro de Atención Nacional para que reanuden la
operativa en este sistema.
2.3.2.3.2 Actualizar el sistema mercurio con los préstamos de documentos físicos, tomando como
referencia la base de datos de Préstamos Icetex.

Código:
Página: 89 de 123
CONTINGENCIA DE LA GUIA DE PAGO DE SERVICIOS PUBLICOS Y

ADMINISTRACIONES – SECRETARIA GENERAL
Macro proceso: Gestión Administrativa y Apoyo Logístico
Proceso: Servicios Generales y Apoyo Logístico
1. OBJETIVO
Describir la contingencia del procedimiento de Pago de Servicios Públicos y Administraciones,

considerando los escenarios que causan de interrupción, los contactos de personal y los
recursos mínimos necesarios.
2. ALCANCE
El documento cubre la contingencia de pago de servicios públicos y administraciones urgentes

de tramitar en un evento de interrupción de la operación.
comunicación:
de Administración de Recursos Físicos de Secretaria General (Ver Planilla de Contactos Grupo
de Recursos Físicos – Secretaria General).
3.1.2 El Coordinador del Grupo de Administración de Recursos Físicos activa la contingencia por
“Ausencia de personal” y de ser necesario comunica el evento al Jefe de Area. Distribuye
procesos claves o asigna funciones al colaborador Back - up. De igual manera, si la labor lo
requiere, solicita al Oficial de Seguridad Tecnológica la reasignación de perfiles, a través del
formato F121 “Formato asignación de accesos a sistemas de información.
Código:
Página: 90 de 123
3.1.3 El Coordinador del Grupo de Administración de Recursos Físicos verifica la continuidad exitosa
de los procesos.
de nivel 3 – Coordinador del Grupo de Administración de Recursos Físicos del incidente ocurrido
y las instrucciones de activación de la contingencia de lugar.
3.2.2 El Coordinador del Grupo de Administración de Recursos Físicos contacta al personal crítico
(equipo de recuperación), e informa el incidente ocurrido, solicitando el desplazamiento al “Lugar
alterno de trabajo”.
3.2.3 El Coordinador del Grupo de Administración de Recursos Físicos informa al Jefe de Riesgos o
su suplente que ocupará los puestos de trabajo en el lugar alterno de trabajo.
3.2.4 En el lugar alterno de trabajo, el Coordinador del Grupo de Administración de Recursos Físicos
solicita el kit de contingencia (recursos de escritorio) y al personal crítico que inicie la
conectividad a los programas requeridos.
3.2.5 El Coordinador del Grupo de Administración de Recursos Físicos confirma al Jefe de Riesgos la
correcta continuidad de los procesos.
3.2.6 El Jefe de Riesgos informa la disponibilidad y funcionabilidad del sitio normal de trabajo.
3.2.7 El Coordinador del Grupo de Administración de Recursos Físicos devuelve el “kit de

contingencia” para su custodia nuevamente.
3.2.8 El Coordinador del Grupo de Administración de Recursos Físicos comunica al personal crítico el
“Retorno a la normalidad” y coordina el desplazamiento al “Sitio base de trabajo”.
Código:
Página: 91 de 123
El procedimiento de Pago de Servicios Públicos y Administraciones utiliza el aplicativo

Apoteosys para el desarrollo de las actividades. Ante fallas tecnológicas se procede de la
siguiente manera:
3.3.1.5 El usuario comunica el evento al Coordinador del Grupo de Administración de Recursos

Físicos.
3.3.1.6 El Coordinador del Grupo de Administración de Recursos Físicos informa la situación

presentada al Coordinador de Infraestructura de la Dirección de Tecnología.
3.3.1.7 El Coordinador de Infraestructura emite respuesta sobre la gravedad del evento y tiempo de
3.3.1.8 Si el daño es importante, el Director de Tecnología activa el plan de contingencia de

tecnología (servidores backup, sistemas de recuperación de información, enlaces de
comunicación), de ser necesario se da inicio a la contingencia manual por parte del Jefe de la
Oficina de Riesgos, relacionada a continuación:
3.3.2 Contingencia manual para el procedimiento de pago de servicios públicos y

administraciones ante fallas tecnológicas
La Oficina de Riesgos activa la contingencia cuando la recuperación del sistema Apoteosys

supera el tiempo objetivo de recuperación (RTO) del procedimiento de Pago de Servicios
Públicos y de Administraciones. El Coordinador del Grupo de Administración de Recursos
Físicos de Secretaria General procede a informar a su Grupo de Trabajo el incidente y dar
instrucciones para operar con el procedimiento de contingencia.
Para el desarrollo de este procedimiento se requiere el formato manual de Orden de Pago.
DESCRIPCIÓN DEL PROCESO
Técnico / Secretaria General Grupo de Correspondencia / Líder Outsourcing / Puntos de

Atención Nacional
Código:
Página: 92 de 123
 Para la recepción de facturas de pago de servicios públicos y administraciones de bienes inmuebles de

la ciudad de Bogotá, se realizan las actividades del procedimiento “Correspondencia Externa”.
 Para la recepción de las facturas de pago de servicios públicos y de administraciones de bienes

inmuebles fuera de Bogotá, se realizan las actividades de la Guía “Preparación y Envío de Tulas”.
Técnico / Secretaria General – Grupo de Administración de Recursos Físicos
3.3.2.1 Recibir facturas de pago de servicios públicos y administradores de bienes inmuebles y verificar
que las mismas estén correctas. Si se llegara a presentar alguna inconsistencia se subsana
comunicándose con la empresa prestadora del servicio.
3.3.2.2 Generar de forma manual la Orden de Pago de cada factura.
3.3.2.3 Firmar la Orden de Pago en señal de elaborado y presentarla para su revisión y aprobación al
Aprobador y Ordenador del Gasto.
3.3.2.4 Registrar en el libro control de órdenes de pago de la Secretaria General, cada una de las órdenes de
pago que se entregan al Grupo de Presupuesto de la Vicepresidencia Financiera.
Continuar con las actividades de los procedimientos de Registro presupuestal de Obligaciones, Análisis contable
de causaciones y cuentas por pagar y Giro.

Código:
Página: 93 de 123
8.3 ANEXOS DE PROCEDIMIENTOS
8.3.1 ESCENARIO DE CONTINGENCIA A SITIO ALTERNO
Director de Continuidad o Director de Continuidad Alterno
1. Activa la contingencia a sitio alterno.
Jefe de Riesgos
2. Activa la cascada telefónica y comunica el evento de incidente mayor al Vicepresidente,

Director o Jefe de cada área, quien a su vez informa al colaborador de siguiente jerarquía
de su área acerca del incidente ocurrido y las instrucciones de activación de la
contingencia de lugar.
Secretaria General (Líder Administración Recuperación Infraestructura Física)
3. La Secretaria General con apoyo del Comité SARO-SARLAFT, contacta a los proveedores
de las alternativas seleccionadas, definen el sitio alterno en el cual se mantendrá la
operación de la Entidad en momento de contingencia.
4. Acuerda con el proveedor la utilización de sus instalaciones por el período de tiempo que
dure la contingencia, según las necesidades del Icetex descritas por el Coordinador de
Negocio y el Comité SARO-SARLAFT en ese momento.
5. Coordina el traslado del personal al centro de operaciones establecido para operar en

contingencia.
Coordinadores de recuperación del negocio
6. Convoca al personal identificado como personal crítico (equipo de recuperación), e informa

el incidente ocurrido, solicitando el desplazamiento al “Lugar alterno de trabajo”. El equipo
de recuperación se encuentra detallado en el documento “Cascada Telefónica”, que posee
el Líder de PCN de cada área.
Código:
Página: 94 de 123
7. Una vez instalados en el centro de operaciones alterno, realiza un chequeo del personal
mínimo que se encuentra en el sitio, en caso de ser necesario llamará al personal suplente
requerido.
8. Solicita el kit de contingencia (recursos de escritorio) y al personal crítico que inicie la

conectividad a los programas requeridos.
9. Confirma al Director de Continuidad Alterno o su suplente la correcta continuidad de los

procesos.
Secretaria General (Líder Administración Recuperación Infraestructura Física)
10.Realiza una evaluación del sitio alterno, para validar que los recursos requeridos se
encuentren disponibles en el sitio.
Director de Continuidad o Director de Continuidad Alterno
11. Solicita a los diferentes Coordinadores de Recuperación un estado del evento y como ha
transcurrido la operación en contingencia, se debe de usar el formato de Activación y
Seguimiento de la Activación (detallado en el numeral 8.5.5).
12. El Comité SARO – SARLAFT analiza los resultados del estado de la contingencia y,
procede a decidir:
 “NO” terminar la contingencia: Los equipos de recuperación deben seguir ejecutando

la operación en contingencia.
 “SI” terminar la contingencia: Basado en la información suministrada por los

Coordinadores y el análisis realizado por los miembros del Comité, el Director de
Continuidad decide terminar la contingencia, da la orden de activar el proceso de
retorno, confirma la disponibilidad y funcionabilidad del sitio normal de trabajo y se
informa a los diferentes equipos la decisión.
Coordinadores de recuperación del negocio

13. Devuelve el “kit de contingencia” para su custodia nuevamente.
14. Comunicar al personal que participó en la contingencia, el “Retorno a la normalidad” y

coordina el desplazamiento al “Sitio base de trabajo”.
Código:
Página: 95 de 123
8.3.2 MANEJO DE INCIDENTES POR PROBLEMAS EN LOS SISTEMAS
OBJETIVOS
 Definir un procedimiento para la atención de los incidentes o problemas presentados en los

sistemas o aplicativos que manejan las áreas usuarias.
 Definir responsabilidades en cuanto a la declaración de contingencias por incidentes o
problemas presentados.
A continuación se detalla el procedimiento para el manejo de incidentes por problemas de

sistemas:
Colaborador del área
1. Detalla en forma precisa el evento o incidente que se presenta e informa al Líder de PCN
de la dependencia.
Líder PCN de área
2. Verifica si el mismo evento se le está presentando a otros colaboradores de la misma área

y si sus tareas afectan a otras dependencias, se debe validar con las mismas si el
problema es general.
3. Una vez tenga claridad sobre el evento que se está presentando y los colaboradores
involucrados, debe clasificarlo teniendo en cuenta las siguientes definiciones para
determinar si es un incidente o un problema:
 Incidente: Afecta puntualmente a una persona o grupo de personas.

 Problema: Afecta de manera general a todo el Icetex o a los clientes.
4. Ingresa en el aplicativo de reporte de incidencias del Instituto. Esto con el fin que la
Dirección de Tecnología pueda dejar reportado el evento en el Control de Incidentes.
5. Envía al correo electrónico al Jefe de Riesgos y Coordinador de Infraestructura de la

Dirección de Tecnología e informa el incidente de PCN.
Coordinador de Infraestructura – Dirección de Tecnología

Código:
Página: 96 de 123
6. Define la solución al incidente (tiempo y estrategia de recuperación) y da respuesta sobre

la gravedad del evento y tiempo de recuperación. Si el daño es importante, el Director de
Tecnología decide la activación del plan de contingencia de tecnología afectado (servidores
backup, sistemas de recuperación de información, enlaces de comunicación), e informa al
Director de Continuidad Alterno (Jefe de Riesgos).
Director de Continuidad Alterno (Jefe de Riesgos)
7. Informa la situación al Líder de PCN del área afectada.
8. Si el tiempo de recuperación es menor al Tiempo Objetivo de Recuperación (RTO) del

proceso afectado deberá esperar, de lo contrario declara la contingencia manual (cuando
se cuente con ésta), mientras se soluciona definitivamente el incidente o problema
presentado.
Líder de PCN área afectada
9. Desarrolla la estrategia manual (Ver anexo 8.2, que contiene las contingencias manuales
estimadas).
Coordinador de Infraestructura – Dirección de Tecnología
10. Una vez solucionado el incidente o problema por parte de la Dirección de Tecnología,
informa al Director de Continuidad Alterno (Jefe de Riesgos) y al Líder PCN del área
afectada para que se levante la contingencia.
Director de Continuidad Alterno (Jefe de Riesgos)
11. Solicita levantar la contingencia del incidente presentado y retorno a la normalidad.
Líder PCN de área
12. Asegura el retorno a la normalidad de las operaciones de acuerdo con el numeral de

“Retorno a la normalidad” de la estrategia manual establecida, ejecuta las acciones que
permitan que los clientes no se vean afectados en los procesos del área, así como los
reportes a entes reguladores.
Código:
Página: 97 de 123
13. Una vez se haya solucionado el incidente, diligencia el formato “Reporte de incidente PCN”
(ver numeral 8.5.2), lo entrega al Jefe de la Oficina de Riesgos, con copia al Líder del
Proceso responsable del área afectada.
Código:
Página: 98 de 123
8.4 ANEXOS DE TABLAS

8.4.1 TIPOS DE AMENAZA
NATURALES INSTALACIONES SOCIAL TECNOLOGICAS OPERACIONALES

Inundaciones Fuego Huelgas Virus Crisis financiera
Desastre natural Explosión Epidemias Hacking Pérdida de suplidores
Tornados Caída e energía Materiales peligrosos Pérdida de datos Fallas en equipos
Huracanes Daño de agua Problemas de transporte Fallas de hardware Aspectos regulatorios
Sismos Pérdida de acceso Pérdida de personal clave Fallas de software Mala publicidad
Tormentas Falla mecánica Motines Fallas en la red
Incendios Protestas Fallas en las líneas
telefónicas
Sabotaje
Vandalismo
Bombas
Violencia laboral
Terrorismo
Código:
Página: 99 de 123
8.4.2 TIPOS DE VULNERABILIDADES
FACTOR VULNERABILIDAD FACTOR VULNERABILIDAD

Falta de administración del conocimiento Carencia de planes de emergencia y administración de crisis
Carencia de capacitación y entrenamiento Exposición a incendios e inundaciones

Insuficiencia capacidad de personas Fallas de potencia electrica
Inadecuada preparación ante desastres Construcción inadecuada de edificios y centros de cómputo
Falta de seguridad laboral y salud ocupacional Falta de controles medio ambientales
Falta de pertenencia a la entidad y cultura en continuidad Ubicación del edificio
Falta de segregación de funciones Fallas en construcción de edificaciones bajo normas de sismo
INFRAESTRUCTURA FISICA
resistencia y control de impactos de afectación física.
Falla en la administración de proveedores de servicios profesioales Carencia de control de accesos en áreas críticas restringidas.
PERSONAS
Falta de políticas de comunicación formal Carencia de definición de planes de atención y evacuación

ante conatos de incendio, amenazas de terrorismo,
terremoto, o situaciones similares que ponen en riesgo las
vidas humanas
Falta de políticas de retención de personal Controles predictivos, preventivos o correctivos de fallas
relacionadas con aire acondicionado, suministro de energía y
potencia eléctrica requerida por equipos electrónicos o
mecánicos.
Otros Control proactivo de suministro de elementos críticos como
agua, indispensables para mantener condiciones higiénicas
dentro de las edificaciones, además de equipos de control
de temperatura y ambiente.
Otros
Carencia de procesos de administración de servicios de IT de Falta de administración
información
Falta de estrategias de disponibilidad Falta de controles medioambientales
Inadecuadas estrategias de recuperación Falta de procedimientos alternos
Falta de acuerdos de servicio conproveedores Dependencia entre procesos
Puntos únicos de falla en la infraestructura de IT Falla en la gestión de calidad (disciplina de registro,
comunicación, documentación, integración, evaluación)
Alta dependencia de proveedores Limitaciones de capacidad
Inadecuado control, gestión y mantenimiento de servidores, bases Falta de definición de acuerdos de nivel de servicio
PROCESOS
de datos, redes, almacenamiento, aplicaciones y sistemas de

información, información, archivos u operación de usuarios.
INFRAESTRUCTURA TECNOLOGICA
Falta o inadecuados procesos definidos e implementados para el Dependencia y falta de control de proveedores
soporte del servicio /administración de incidentes, administración
de cambios, administración de configuración, administración de
Falta o inadecuados procesos definidos e implementados para la Falla en suministrar claridad en roles y responsabilidades
entrega del servicio (administración de capacidad y desempeño, relacionadas con las operaciones críticas
administración de continuidad de tecnología, administración de
acuerdos de niveles de servicios).
Falla en el Inventario (stock) de componentes o partes críticas. Falta o fallas en acuerdos de servicios medibles y confiables
con proveedores
Ausencia de sitios alternos de procesamiento. Falta o fallas enla medición de tiempos y cantidad de
recursos críticos
Inadecuada capacidad de enlaces de trasmisión y redundancia. No se cuenta con jormadas de evacuación del edificio
Falta de pruebas de recuperación y retorno, restauración de cintas
de respaldo.
Falta de respaldos de datos (tipo, frecuencia, SW, política de
respaldo de datos, rotulado y rotación de cintas, ubicación de
cintotecas.
Falta o falla de centros de custodias (distancia, frecuencia de
recolección, convenios).
Falla en Requerimiento a proveedores (contingencias, sitios
alternos).
Otros
Código:
Página: 100 de 123
8.4.3 CRITERIOS DE FRECUENCIA
FRECUENCIA DEFINICION CASOS /AÑO VALOR

MUY BAJA Baja probabilidad de ocurrencia; ha sucedido o se Entre 0.00 y 0.05 1
espera que suceda menos de una vez en 20 años
BAJA Limitada probabilidad de ocurrencia; sucede en forma Entre 0.05 y 0.2 2
esporádica, una vez entre los 5 y los 20 años.
MODERADA Mediana probabilidad de ocurrencia; sucede algunas Entre 0.2 y 1.0 3
veces, una vez entre 1 y los 5 años.
ALTA Significativa probabilidad de ocurrencia; sucede en Entre 1.0 y 10 4
forma reiterada, entre 1 vez y 10 veces al año
MUY ALTA Alta probabilidad de ocurrencia; ocurre en forma Más de 10 5
seguida, mas de 10 veces al año.
Código:
Página: 101 de 123
8.4.4 CRITERIOS DE IMPACTO
CRITERIO DE IMPACTO RIESGO PLAN DE CONTINUIDAD DEL NEGOCIO

VL.
INFRAESTRUCT
ASOCIA CALIFICACION FINANCIERO PROCESO REPUTACIONAL LEGAL SERVICIO AL CLIENTE IMPACTO HUMANO
URA FISICA
DO
Insignificante Durante una interrupción de las Suspende la al interior del Durante una interrupción de las operaciones El tiempo máximo en que el procedimiento No se presenta No afecta las
operaciones normales cuya operación o genera proceso. normales del procedimiento mayor a 7 días, las debe ser recuperado sin causar un impacto problemas de instalaciones
duración es mayor a 7 días, el reprocesos de hasta sanciones por el incumplimiento podrían superar significativo al Instituto o al Servicio al seguridad y salud físicas
Instituto podría perder una 1 hora. los $170,000,000 y/o el periodo de tiempo dentro Cliente Externo es mayor a 7 días o el para los empleados
1
ganancia o dejaría de percibir del cual el resultado de incumplimiento daría número de clientes externos afectados
ingresos a través de préstamos o lugar a Penalizaciones, sanciones, multas y/o diariamente es igual o menor a 50.
productos que superan más de Investigación contra del Instituto es mayor a 7
$170,000,000. días.
Menor Durante una interrupción de las Suspende la A nivel de la Durante una interrupción de las operaciones El tiempo máximo en que el procedimiento Potencial por herida Acceso
operaciones normales cuya operación o genera entidad y normales del procedimiento mayor a 48 horas debe ser recuperado sin causar un impacto leve restringido a las
duración es mayor a 48 horas reprocesos mayor a conocimiento hasta 7 días, las sanciones por el incumplimiento significativo al Instituto o al Servicio al instalaciones
hasta 7 días, el Instituto podría 1 horas hasta 4 limitado de podrían superar los $170,000,000 y/o el periodo Cliente Externo mayores a 48 horas hasta 7 físicas (80%)
2 perder una ganancia o dejaría de horas. clientes. de tiempo dentro del cual el resultado de días o el número de clientes externos
percibir ingresos a través de incumplimiento daría lugar a Penalizaciones, afectados diariamente es mayor a 50 hasta
préstamos o productos que sanciones, multas y/o Investigación contra del 500.
superan más de $170,000,000. Instituto es mayor a 48 horas hasta 7 días.
Moderado Durante una interrupción de las Suspende la El problema es Durante una interrupción de las operaciones El tiempo máximo en que el procedimiento Herida que requiere Acceso
operaciones normales cuya operación o genera de normales del procedimiento mayor a 24 horas debe ser recuperado sin causar un impacto tratamiento de restringido a las
duración es mayor a 24 horas reprocesos mayores conocimiento hasta 48 horas, las sanciones por el significativo al Instituto o al Servicio al hospital a más de un instalaciones
hasta 48 horas, el Instituto podría a 4 horas y hasta 1 de un número incumplimiento podrían superar los $170,000,000 Cliente Externo mayores a 24 horas hasta 48 miembro del físicas (60%)
3 perder una ganancia o dejaría de dia. considerado de y/o el periodo de tiempo dentro del cual el horas o el número de clientes externos personal.
percibir ingresos a través de clientes. resultado de incumplimiento daría lugar a afectados diariamente es mayor a 500 hasta Reducción del
préstamos o productos que Penalizaciones, sanciones, multas y/o 1000. personal a nivel
superan más de $170,000,000. Investigación contra del Instituto es mayor a 24 local.
horas hasta 48 horas.
Importante Durante una interrupción de las Suspende la A nivel sectorial Durante una interrupción de las operaciones El tiempo máximo en que el procedimiento Heridas Imposibilidad
operaciones normales cuya operación o genera / Entes de normales del procedimiento mayor a 4 horas debe ser recuperado sin causar un impacto significativas.muert de acceso a
duración es mayor a 4 horas hasta reprocesos mayores control. hasta 24 horas, las sanciones por el significativo al Instituto o al Servicio al e potencial. instalaciones
24 horas, el Instituto podría perder a un día hasta 2 días. incumplimiento podrían superar los $170,000,000 Cliente Externo mayores a 4 horas hasta 24 Reducción físicas
4 una ganancia o dejaría de percibir y/o el periodo de tiempo dentro del cual el horas o el número de clientes externos significativa de
ingresos a través de préstamos o resultado de incumplimiento daría lugar a afectados diariamente es mayor a 1000 personal.
productos que superan más de Penalizaciones, sanciones, multas y/o hasta 5000.
$170,000,000. Investigación contra del Instituto es mayor a 4
Masivo Durante una interrupción de las Suspende la Medios de Durante una interrupción de las operaciones El tiempo máximo en que el procedimiento Muertes y/o Destrucción
operaciones normales entre 0 y 4 operación o genera comunicación. normales del procedimiento mayor a 0 horas debe ser recuperado sin causar un impacto afectación total total de
horas, el Instituto podría perder reprocesos mayores hasta 4 horas, las sanciones por el significativo al Instituto o al Servicio al sobre las vidas del instalaciones
una ganancia o dejaría de percibir a 2 días. incumplimiento podrían superar los $170,000,000 Cliente Externo es de 0 a 4 horas o el personal. Reducción físicas
5 ingresos a través de préstamos o y/o el periodo de tiempo dentro del cual el número de clientes externos afectados amplia del personal.
productos que superan más de resultado de incumplimiento daría lugar a diariamente es mayor a 5000.
$170,000,000. Penalizaciones, sanciones, multas y/o
Investigación contra del Instituto es mayor a 0
NOTA: Contiene las variables de impacto aplicadas en el Análisis de Impacto del Negocio: Financiero, Proceso, Reputacional, Legal y de Servicio al Cliente
Las variables de impacto de: Proceso y Reputacional, son las mismas que se definieron para la Administración del Riesgo Operativo - SARO
Las variables de : Impacto humano e Infraestructura física deben ser contempladas por el tema de continuidad
El valor asociado y la calificación son las mismas utilizadas para la administración del riesgo operativo - SARO, iniciando desde la calificación 1.
Código:
Página: 102 de 123
8.5 ANEXOS FORMATOS

8.5.1 FORMATO DE ANALISIS DE IMPACTO DEL NEGOCIO - BIA
ANALISIS DE IMPACTO DEL NEGOCIO ( BIA)

Fecha:
Nombre Dependencia Nombre Area
Gerente Dependencia Jefe Area
Cargo Cargo
Valoración del BIA

Procedimiento No. Nombre del Procedimiento
Tiempo Objetivo de
Calificación BIA Valor del BIA
Recuperación (RTO)
Procedimiento 1
Procedimiento 2
Procedimiento 3
Procedimiento 4
Procedimiento 5
Procedimiento 6
Procedimiento 7
Procedimiento 8
Procedimiento 9
Procedimiento 10
Líder PCN OBSERVACIONES
Cargo Líder PCN
Ir a Sección Ir a Instrucciones
Ir a Parámetros ir a Cuestionario Requerimientos Cuestionario
Código:
Página: 103 de 123
Cuestionario BIA
Nombre del procedimiento (Llenado Autmático)
¿Este procedimiento proporciona información crítica para cualquier otro

Compruebe Dependencia -
Para ser llenado por PCN
procedimiento (Por favor, indique "Sí" o "No")
Por favor indique el nombre del procedimiento si la respuesta anterior es Sí
Proporcione la calificación BIA de acuerdo al procedimiento mencionado

anteriormente. (Arriba)
Regulatorio/Legal
Durante una interrupción de las operaciones normales del procedimiento,
1 describa el plazo en el cual las sanciones por el incumplimiento podría
superar los $170,000,000.
Describa el periodo de tiempo dentro del cual el resultado de incumplimiento
2 daría lugar a Penalizaciones, sanciones, multas y/o Investigación contra del
Instituto.
Impactos para ser analizados por el Área de Negocio/Apoyo
Financiero
El Instituto podría perder una ganancia de
3 Durante una interrupción de las más de $170,000,000.
operaciones normales del
El Instituto dejaría de percibir ingresos, a
procedimiento, describir el
4 través de préstamos o productos que
período en el que:
superan los $170,000,000.
Servicio a Cliente Externo
¿Cuál es el tiempo máximo en que el procedimiento debe ser recuperado sin
5
causar un impacto significativo al Instituto o al Servicio al Cliente Externo?
6 Número de clientes externos afectados diariamente
Reputacional
Evalue el efecto del impacto reputacional en cuanto a las opiniones de los
7
clientes, sectores educativo y financiero y/o el publico en general.
Procedimientos
8 ¿Cuál sería el impacto en otros procedimientos o áreas?
Proveedores
Describa la importancia de las actividades de sus proveedores externos en
9
sus procedimientos.
Proveedores Críticos
10 El procedimiento tiene proveedores críticos.
Clasificación Final Derivada BIA
Tiempo Objetivo de Recuperación (RTO)
Valor del BIA
Describa el tiempo máximo tolerable que está dispuesto a perder de información de

su procedimiento ante una interrupción en los sistemas de información.
Código:
Página: 104 de 123
Nombre del
Procedimiento
Número de funcionarios
tiempo completo para
ejecutar el procedimiento
Número de funcionarios
necesarios durante la
recuperación
Aplicación Critica - 1
Teléfono Interior
Impresora
Scanner
Nombre del Procedimiento
Dependencia del Proveedor Critico?
Nombre del Proveedor Critico - 1 (si lo hay)
Nombre del Proveedor NO Critico - 1 (si lo hay)

Código:
Página: 105 de 123
Resultados del Análisis de Impacto de Negocio (BIA)

<<AREA>>
FECHA
La información contenida en este documento es exclusivamente de <<AREA>>. Para llegar al nivel adecuado de
preparación de la continuidad, la <<AREA>> ha respondido al Analisis de Impacto del Negocio e información para
justificar el apoyo en cada una de las respuestas seleccionadas en el cuestionario BIA, así como la información de la
Tecnología " Requisitos durante el desastre y la información sobre "Proveedores Críticos" de los procedimientos. Esta
información será utilizada en toda la documentación de continuidad del negocio en el futuro.
El área analizada <<No.>> procedimientos, se obtuvieron los siguientes resultados:

Valoración del BIA
Tiempo
Proce dim ie nto
No.
Nombre del Procedimiento Calificación Objetivo de
Valor del BIA
BIA Recuperación
(RTO)
Proce dim ie nto 1
Proce dim ie nto 2
Proce dim ie nto 3
Proce dim ie nto 4
Proce dim ie nto 5
Proce dim ie nto 6
Proce dim ie nto 7
Proce dim ie nto 8
Proce dim ie nto 9
Proce dim ie nto 10
El resultado obtenido para cada uno de los procedimientos determina lo siguiente:

* Calificación BIA: Indica la sensibilidad de tiempo entre los niveles Misión Crítica a insignificante. Esto se deriva a
través de la realización del cuestionario BIA.
• Periodo máximo tolerable de interrupción: El período de tiempo después de una interrupción, en el que el
Instituto debe activar sus planes de contingencia y recuperación de las actividades críticas para evitar un impacto
significativo.
• Valor del BIA: Indica la criticidad del procedimiento basado en la Calificación BIA y que impulsa el establecimiento
de prioridades de recuperación durante una situación difícil.
Conclusiones
El BIA constituye un aporte fundamental para obtener la Estrategia para la Continuidad del Negocio. En función de la
criticidad, una amplia gama de estrategias de Continuidad de Negocios se pueden implementar. Estas estrategias
serán acordadas entre las Áreas de Negocio/Apoyo y el equipo de Plan de Continuidad de Negocio (PCN).
De acuerdo con lo anterior, los procedimientos que se priorizan en la primera fase de revisión de las disposiciones del
Plan de Continuidad de Negocios (PCN), serán los valores que aparecen en el BIA con valor <<Misión Critica>> y
<<Masivo>> en el cuadro anterior.
Firmas
Detalles Nombre Firma
Jefe Área
Líder BCP
Código:
Página: 106 de 123
8.5.2 FORMATO DE INCIDENTES DE CONTINGENCIA

REPORTE DE INCIDENTES DE CONTINGENCIA
Información de Identificación
Fecha del incidente Hora de ocurrencia
Duración del incidente Proceso afectado
Nombre del área Lugar donde se
presentó el incidente
Descripción del Riesgo
Descripción del Incidente (Problema ocasionado)
Causas del Incidente
Medidas contingentes adoptadas

Acción Participantes
Nombre Cargo
Efectos en el Funcionamiento del Icetex
Retorno a la Operación normal
Lecciones aprendidas
Elaborado por: Revisado por:

Nombre Nombre
Firma Firma
Código:
Página: 107 de 123
8.5.3 CASCADA TELEFONICA
CASCADA TELEFONICA PCN

CONTACTOS PERSONAL DEL AREA
AREA: DEPENDENCIA: FECHA ACTUALIZACION:
PERSONAL
CRITICO
Tel Correo CONTACTO EQUIPO
Rol Nombre Cargo Celular Casa BRIGADISTA ( R eenviad o s a
Interno Electrónico PRINCIPAL RECUPERACION un sit io alt erno
d e co nt ing encia
d e co rt o
t iemp o )
Contacto de
Emergencia
Primario para
todas las áreas
de negocio
Contacto de
Departamento
Primario
Cascada Nivel 1
Cascada Nivel 2 -
Contactarán a los
Coordinadores
de su área
Cascada Nivel 3 -
Contactarán al
personal de sus
propios grupo de
cascada.
Personal
Personal
Personal
Personal
Personal
LISTA DE PERSONAL MINIMO POR PROCEDIMIENTO
PROCEDIMIENTO No. PERSONAS NOMBRES TELEFONO CASA TELEFONO CELULAR

Código:
Página: 108 de 123
LISTA DE CONTACTOS EXTERNOS
AREA FECHA ACTUALIZACION
Proveedor
Descripción Proveedor
Dirección
Procedimiento
Contacto Principal Contacto Alterno
Teléfono Oficina Teléfono Oficina
Teléfono Movil Teléfono Movil
Correo Correo
Proveedor
Dirección
Procedimiento
Correo Correo
Proveedor
Dirección
Procedimiento
Correo Correo
Código:
Página: 109 de 123
8.5.4 FORMATO GUION DE PRUEBAS Y SUS REGISTROS
Plan de pruebas del BCP de KPMG

ABCD ABCD
GUIÓN DE PRUEBA
Proceso/Producto/Servicio Código de Referencia de la prueba

CONTROL DE PRUEBAS
Duración Estimada Fecha Programada (dd/mm/aa)
Duración Real Fecha de Ejecución (dd/mm/aa)
Lugar de Ejecución Tipo de prueba ESCRITORIO
Procedimientos involucrados Responsables
OBJETIVOS
OBJETIVO GENERAL (Definir claramente lo que se quiere lograr con el desarrollo de la prueba)
1
OBJETIVOS ESPECÍFICOS (Enunciar las acciones y/o actividades a desarrollar para lograr el objetivo general de la prueba)
ALCANCE
Establecer los elementos que hacen parte del proceso o servicio objeto de la prueba.
2
ESCENARIO DE INTERRUPCIÓN
Describir las circunstancias y/o los eventos de interrupción a considerar durante el desarrollo de la prueba con el fin de ambientar la situación bajo la cual el plan de contingencia podría ser activado para
3 el proceso objeto de la prueba.
RESULTADOS ESPERADOS
4 Describir los productos (output) que se esperan obtener al finalizar la ejecución de la prueba.
MÉTODO A USAR EN LA EJECUCIÓN DE LA PRUEBA

5 Se describe de manera general el procedimiento a llevar a cabo para el eficaz desarrollo de la prueba. (Orden del día)
Integrantes de las Pruebas (Nombres)

Ejecutores
6 Observadores Evaluadores
Comité de crisis lideres de operación
Riesgos
Identificar y describir los riesgos asociados a la ejecución de la prueba. En la identificación se deben tener en cuenta aspectos como: la afectación del servicio, la imagen, las capacidades técnicas,
entre otros.
7
Riesgo y/o Dificultades Impacto Acción Responsable
Completamente Completamente
satisfactorio satisfactorio
Código:
Página: 110 de 123
ABCD Plan de pruebas del plan de Continuidad de Negocio ABCD

Paso a Paso de la PLANEACIÓN
Fecha y/o hora Fecha y/o hora
Tiempo
Ítem Descripción de la Actividad Responsables Recursos mínimos necesarios inicio finalización
Estimada / Real Estimada / Real días
Fecha finalización y tiempo estimado 16/07/2010 8
Observaciones de la Fase de Planeación de la Prueba

´1. ABCD Plan de pruebas del plan de continuidad de negocio ABCD
2. Paso a Paso de la EJECUCIÓN
3. Fecha y/o hora Fecha y/o hora
Tiempo
Ítem Descripción de la Actividad Responsables Recursos mínimos inicio finalización
Días / Horas / Minutos minutos
Fecha finalización y tiempo estimado
Observaciones de la Fase de Ejecución de la Prueba

1.
2.
Código:
Página: 111 de 123
ABCD Plan de pruebas del plan de continuidad de negocio ABCD

Paso a Paso del RETORNO
Fecha y/o hora Fecha y/o hora
Tiempo
Ítem Descripción de la Actividad Responsables Recursos mínimos inicio finalización
Días / Horas / Minutos
1 No aplica (N/A)
Fecha finalización y tiempo estimado 0
Observaciones de la Fase de Retorno a la Operación Normal

1.
2.
n
Código:
Página: 112 de 123
Plan de pruebas del plan de Continuidad de Negocio

ABCD ABCD
ENCUESTA DE SATISFACCIÓN
Proceso/Producto/Servicio Prueba No.
Nombres y Apellidos Institución
dd mm aa
Información general
Cargo Fecha
Duración de la prueba Lugar de la prueba
Escritorio Ejecutor
Tipo de Prueba Tipo de Integrante
Por componentes Observador
(Señale con una X) (Señale con una X)
Integrada Evaluador
Planeación
Ejecución
Fase en la que participó FIRMA
Retorno
Evaluación
En la realización de las pruebas son muy importantes sus comentarios y recomendaciones. Estos ayudan a mejorar y actualizar el programa de continuidad de negocio. Por
favor escoja la respuesta adecuada y suministre cualquier comentario adicional.
La duración de la prueba fue: (Marque con una X)
Excesivamente larga Por debajo del tiempo estimado Adecuada
Excesivamente corta Sobrepasó el tiempo estimado
Sí
¿Identificó oportunidades de mejora en cuanto al tiempo empleado en la ejecución de la prueba?
No
Si su respuesta anterior fue Sí, por favor describa las oportunidades de mejora y/o los aspectos a tener en cuenta para fortalecer la administración del tiempo durante la ejecución de la prueba.
Comentarios y/o Recomendaciones

Código:
Página: 113 de 123
¿Cómo fueron las instrucciones que recibió para ejecutar la prueba? (Marque con una X)
Muy básicas Apropiadas y fáciles de entender Adecuadas
Muy complejas Inapropiadas e insuficientes
Sí
Identificó oportunidades de mejora en cuanto a la forma como fueron comunicadas las instrucciones para participar en la prueba?
No
Si su respuesta anterior fue Sí, por favor describa las oportunidades de mejora y/o los aspectos a tener en cuenta para fortalecer la definición de las instrucciones y la forma como deben ser
comunicadas a los participantes.
¿Fue suficientemente realista la prueba para validar la efectividad del plan y/o procedimientos contingentes? (Marque con una X)
Completamente en desacuerdo De acuerdo
Completamente deacuerdo En desacuerdo
¿Identificó oportunidades de mejora en cuanto al escenario definido para el desarrollo de la prueba y en cuanto a los recursos mínimos Sí
utilizados en la misma? No
Si su respuesta anterior fue Sí, por favor describa las oportunidades de mejora y/o los aspectos a tener en cuenta para fortalecer y mejorar el escenario definido para el desarrollo y los recursos
mínimos utilizados en el desarrollo de la misma.
3

Código:
Página: 114 de 123
¿Cuántos problemas y/o debilidades y/o aspectos por mejorar identificó durante el desarrollo de la prueba? (Marque con una X)
De 1 a 2 De 5 a 6 Ninguno
De 3 a 4 Más de 6
Por favor mencione los problemas y/o debilidades y/o aspectos por mejorar que identificó:
4 Si identificó problemas y/o debilidades y/o aspectos por mejorar por favor enuncie algunas recomendaciones para fortalecer dichos aspectos.
Comentarios y/o observaciones
¿Se alcanzaron los objetivos de la prueba? (Marque con una X)
Sí No Parcialmente Sin información
Si su respuesta anterior fue No o Parcialm ente, por favor describa las razones por las cuales ud. cree que no se alcanzaron satisfactoriamente los objetivos trazados para esta prueba.
¿Que tan efectiva fue la prueba? (Marque con una X)
Poco efectiva Medianamente efectiva Muy Efectiva
Satisfactoria Efectiva
Sí
Identificó oportunidades de mejora en cuanto a la efectividad de la prueba?
No
Si su respuesta anterior fue Sí, por favor describa las oportunidades de mejora y/o los aspectos a tener en cuenta para fortalecer este tema.

Código:
Página: 115 de 123
Califique la efectividad de los procedimientos (Paso a Paso) establecidos en cada una de las etapas para llevar a cabo la prueba (Marque
con una X)
Fase de planeación Fase de Ejecución Fase de Retorno

Poco efectivos Poco Efectivos Poco
Efectivos
Medianamente Medianamente
Efectivos Efectivos Efectivos
Satisfactorios Satisfactorios
Satisfactorios
Efectivos Efectivos Efectivos
¿Identificó oportunidades de mejora en cuanto a la efectividad de los procedimientos (Paso a Paso) definidos para llevar a cabo la Sí
7 prueba?
No
Si su respuesta anterior fue Sí, por favor describa las oportunidades de mejora y/o los aspectos a tener en cuenta para fortalecer este tema.
¿Cúal es su calificación general del desarrollo de la prueba respecto a los resultados obtenidos? (Marque con una X)
Completamente satisfactorio Adecuado Insatisfactorio

8
Código:
Página: 116 de 123
8.5.5 FORMATO DE ACTIVACION Y SEGUIMIENTO DE LA ACTIVACION
FORMATO DE ACTIVACIÓN Y SEGUIMIENTO DE LA ACTIVACIÓN
Activación Hora DD/MM/AA
Retorno Hora DD/MM/AA
Finalización Hora DD/MM/AA
Activación de los planes de:
COMUNICACIÓN DE LA ACTIVACIÓN DEL PLAN

No No
Cargo Informado Secretaria General Informado informado
informado
El Presidente del
Secretaria General
Icetex
Vicepresidente Vicepresidente de Crédito
Financiero y Cobranza
Vicepresidente de
Fondos en Director de Tecnología
Administración
Jefe de la Oficina
Oficial de Cumplimiento
Jurídica
Jefe Oficina de Jefe de la Oficina de
Riesgos Control Interno
Jefe Oficina de
Comunicaciones
FORMATO DE ACTIVACIÓN Y SEGUIMIENTO DE LA ACTIVACIÓN

Observación (describa la hora vs las actividades y/o decisiones tomadas
Hora Actividad
Código:
Página: 117 de 123
8.6 ANEXOS RESULTADOS
8.6.1 EQUIPO DE TRABAJO DEL PCN
Dependencia Area Líder PCN Líder Proceso
Vicepresidencia de Crédito y Cobranza Natalia Caycedo Edith Cecilia Urrego Herrera

Grupo de Crédito María Victoria Camargo
Grupo de Cartera Ofrey Marin Saenz
Vicepresidencia de Fondos en
Diana Patricia Olaya Campo Elias Vaca Perilla
Administración
Oficina de Relaciones Internacionales Diana Carolina Gómez William Barreto
Oficina Comercial y Mercadeo Luyfer Osorio Andres Felipe Murillo
Wilson Eduardo Pineda

Vicepresidencia Financiera Grupo de Presupuesto Jorge Nelson Gaitan Leon
Jorge Nelson Gaitan Leon
Dirección de Contabilidad Jorge Enrique Molina Ramírez Wilson Eduardo Pineda
Wilson Eduardo Pineda

Catalina Peña
Dirección de Tesorería Ana Cecilia Arboleda Marín
José Gómez
Oficina Asesora Jurídica Ricardo Cortés Pardo Campo Elias Vaca Perilla
Dirección de Tecnología Victor Raul Bautista Galindo Francisco Pulido Fajardo
Oficina Asesora de Comunicaciones Andres Mauricio Rivera Sánchez Amanda Ramírez
Secretaria General Coordinadora Grupo de Contratos Ingrid Marcela Garavito María Eugenia Méndez Munar
Coordinadora Grupo Correspondencia Luz Marielly Morales
Coordinador Grupo de Archivo Gerardo Alonso Rodríguez Pineda
Coordinadora Grupo Talento Humano Miryam Cardona Giraldo
Coordinador Grupo Recursos Físicos Gloria Nancy Méndez Ibañez
Oficina de Riesgos Claudia Stella Cortés Albornoz Jaime Eduardo Galvez Marquez
Oficial de Cumplimiento Claudia Stella Cortés Albornoz Jaime Eduardo Galvez Marquez
Oficina Asesora de Planeación Edgar Fabio Díaz Ramírez Rodrígo Fernando Acosta Trujillo
Oficina de Control Interno Carlos Eduardo Cruz Luz Alba Sánchez Sánchez
Código:
Página: 118 de 123
8.6.2 RESULTADO DE LA ETAPA DE ANALISIS DE IMPACTO DEL NEGOCIO – BIA
Se adelantó la Evaluación BIA, aplicando la metodología establecida en el Icetex, se llevó a

cabo con la participación de la Oficina de Riesgos, los Líderes de PCN y de Proceso. Este
análisis contiene:
PROCESOS Y PROCEDIMIENTOS ANALIZADOS
El Grupo de Trabajo de PCN analizó la totalidad de los procesos con los que cuenta la Entidad,
revisando 134 procedimientos. Tal evaluación fue validada y aprobada por los Lideres del
Proceso y en constancia firmaron el Acta resumen correspondiente.
Estos procedimientos fueron calificados como se ilustra en el siguiente cuadro, los cuales están
agrupados por tipo de proceso:
NIVEL DE CALIFICACION BIA POR PROCEDIMIENTO
VALOR BIA: Nivel 1AAA Nivel 1AA Nivel 1A Nivel 2 Nivel 3 Nivel 4 Nivel 5 Nivel 6
TIPO PROCESO
RTO: 4 horas 8 horas 24 horas 48 horas 7 días 14 días 30 días >30 días
NO. PROCESOS
CALIFICACION BIA: Misión Crítica Misión Crítica Masivo Masivo Medio Medio Bajo Insignificante
MISIONAL 14 38 1 1 4 14 7 7 4
APOYO 19 68 1 11 9 17 10 11 9
ESTRATEGICOS 7 24 2 2 8 6 6
EVALUACION 1 4 1 2 1
TOTAL 41 134 1 1 15 15 31 25 26 20
Los resultados indican que los procedimientos calificados en: Nivel 1AAA, Nivel 1AA, Nivel 1ª y
Nivel 2, cuyo tiempo objetivo de recuperación (RTO) oscila entre 4 y 48 horas son considerados
como críticos – prioritarios para la Entidad, suman 32 procedimientos y es de vital importancia
establecer la estrategia de continuidad para cada uno de estos procedimientos. Los restantes
102 procedimientos fueron calificados entre los niveles 3 al 6, lo que indica que permiten un
tiempo mayor de recuperación.
Los procedimientos calificados como críticos son:

Código:
Página: 119 de 123
NIVEL PROCEDIMIENTO NIVEL PROCEDIMIENTO
N - 1AAA
4 horas Atención al cliente Otorgamiento de becas colombianos en el exterior
Misión crítica
N - 1AA
Otorgamiento de becas posgrados para extranjeros en
8 horas Cumplimiento de operaciones de inversión
Colombia
Misión crítica
Gestión de legalización y renovación para
Cierre de cartera
aprobación del desembolso
Facturación época de estudios, período de gracia y
Actualización de contenidos en la página Web
amortización
Custodia de Garantías Nivel 2 Base de datos
Suscripción y legalización de contrato, convenio, 48 horas
Soporte a Infraestructura
ordenes de servicio y/o compra Masivo
Gestión de correspondencia externa Atención acciones de tutela
NIVEL 1A Registro presupuestal de compromisos Consulta de archivo
24 horas Registro presupuestal de obligaciones Apoyo logístico
Masivo Causaciones y cuentas por pagar Liquidación de nómina
Generación de información exógena, elaboración y
Expedición del certificado de disponibilidad presupuestal
transmisión de información
Presentación y pago de impuestos Análisis contable con sus contrapartidas críticas
Giro Cierre contable mensual
Servicio a la deuda Aplicación del modelo de referencia de cartera comercial
Gestión de incidentes de seguridad Medición, transmisión y seguimiento del VaR
Gestión de vulnerabilidades
Requerimientos Entes de Control
TIEMPO OBJETIVO DE RECUPERACION – PROCEDIMIENTOS PRIORITARIOS PARA LA

ENTIDAD
A continuación se detalla los procedimientos críticos y sus necesidades de recursos, de acuerdo

con la calificación BIA obtenida:
NIVEL 1ª MASIVOS – TIEMPO DE RECUPERACION MENOR A 24 HORAS
A continuación se detallan los procedimientos críticos que requieren de un tiempo de

recuperación menor a 24 horas y los recursos que se necesitan para operar:
Código:
Página: 120 de 123
RECURSO HUMANO BIENES MUEBLES

PRINCIPALES
No. PROCEDIMIENTO RECURSO RPO APLICATIVOS
RECURSO
HUMANO COMPUTADOR TELEFONO IMPRESORA ESCANER REQUERIDOS
HUMANO
OUTSOURCING
1
Gestion de legalización y C&CETEX
8 8 3 SI SI <=24 Horas
aprobación del desembolso Cobol
2 Internet
Actualización de contenidos en
1 1 1 SI <= 24 horas Office
Página Web
Correo electrónico
3 Registro presupuestal de
2 1 1 SI <= 8 horas Apoteosys
compromisos
4 Registro presupuestal de
0 SI <= 24 horas Apoteosys
obligaciones
5
Causaciones y cuentas por pagar 1 1 <= 24 horas Apoteosys
6
Presentación y pago de impuestos 1 <= 24 horas Apoteosys
7 Generación de información
exógena, elaboración y 1 <= 24 horas Apoteosys
transmisión de información
8
Apoteosys
Giro 2 1 1 SI SI <= 4 Horas Office
Internet
9
Office
Servicio a la deuda 1 1 SI SI <= 4 Horas
Internet
10 Gestion de correspondencia
2 1 1 SI SI <= 4 Horas Mercurio
externa
11 Mercurio
Custodia de garantias 1 3 1 1 SI <= 8 horas SGD V2.0 -MTI
Página Web
12 Suscripción y legalización de
Correo electrónico
contrato, convenio, ordenes de 2 2 SI <= 4 Horas
Office
servicio y/o compra
13 Correo
Gestión de incidentes de seguridad 1 1 1 SI <= 24 horas
electrónico
14 Gestor de
Gestion de vulnerabilidades 1 1 SI <= 24 horas Vulnerabilidades
MacAFFE
15 C&CETEX
Requerimientos Entes de Control 2 2 1 SI SI <= 24 horas Apoteosys
Cobol
Total Requerimientos 26 3 21 10
NIVEL 2 – MASIVOS – TIEMPO DE RECUPERACION 48 HORAS
Con esta calificación fueron evaluados quince (15) procedimientos, los cuales se detallan a
continuación con los recursos necesarios para operar:
Código:
Página: 121 de 123
PRINCIPALES
RECURSO HUMANO BIENES MUEBLES
No. PROCEDIMIENTO RPO APLICATIVOS
RECURSO REQUERIDOS
RECURSO
HUMANO COMPUTADOR TELEFONO IMPRESORA ESCANER
HUMANO
OUTSOURCING
Bizagi
Otorgamiento de becas
1 2 2 1 SI <= 4 Horas C&CETEX
colombianos en el exterior Fox-Pro
Otorgamiento de becas Bizagi
2 posgrados para extranjeros 1 1 1 > 30 días Apoteosys
en Colombia Correo electrónico
C&CETEX
3 Cierre de cartera 1 2 1 <= 24 horas Apoteosys
Correo electrónico
Facturación epoca de C&CETEX
4 estudios, período de gracia y 1 1 <= 24 horas Correo electrónico
amortización Office
Mercurio
5 Atención acciones de tutela 3 3 1 SI SI <= 24 horas C&CETEX
Correo electrónico
Apoteosys
Expedición del certificado de
6 0 0 0 SI <= 8 horas Correo electrónico
disponibilidad presupuestal Office
Análisis contable con sus Apoteosys

7 1 1 <= 24 horas
contrapartidas críticas Correo electrónico
Apoteosys
8 Cierre contable mensual 1 1 1 SI <= 24 horas C&CETEX
Correo electrónico
Mercurio
9 Consulta de archivo 1 3 1 1 SI <= 8 horas SGD V2.0 -MTI
Correo electrónico
Queryx SRH
10 Liquidación de nómina 2 2 1 SI > 30 días Correo electrónico
Office
Office
11 Apoyo logístico 2 2 1 SI <= 48 horas Apotesoys
Correo electrónico
Oracle
12 Base de datos 1 1 <= 24 horas
TOAD
13 Soporte Infraestructura 1 6 2 1 <= 48 horas Correo electrónico
Aplicación del modelo de

Office
14 referencia de cartera 1 1 <= 24 horas
Correo electrónico
comercial
Internet
Medición, transmisión y
15 1 1 <= 24 horas Sevinpro
seguimiento del VaR IG Metrica
Total Requerimientos 19 11 20 8
RESUMEN DE INFRAESTRUCTURA REQUERIDA
Durante la actividad BIA se identifica la infraestructura requerida para el desarrollo de todos y

cada uno de los procedimientos y especialmente los críticos, lo que permite enfocar los
esfuerzos de prevención y recuperación sobre los elementos críticos de la infraestructura.
Código:
Página: 122 de 123
En la siguiente tabla se desprende la síntesis de los recursos requeridos en contingencia,

clasificados por Calificación BIA, con el fin de dimensionar las necesidades de infraestructura de
acuerdo con el apetito al riesgo para el PCN de estos procesos ante un evento de interrupción
desde un sitio alterno:
RECURSOS POR NIVELES DE CALIFICACION BIA TOTALES POR NIVELES DE CALIFICACION BIA
NIVEL RECURSO HUMANO BIENES MUEBLES RECURSO HUMANO BIENES MUEBLES

RECURSO RECURSO HUMANO RECURSO RECURSO HUMANO
COMPUTADOR TELEFONO IMPRESORA ESCANER COMPUTADOR TELEFONO IMPRESORA ESCANER
HUMANO DE OUTSOURCING HUMANO DE OUTSOURCING
N - 1AAA
4 horas 6 7 6 5 1 1 6 7 6 5 1 1
Misión crítica
N - 1AA
8 horas 2 0 1 1 0 0 8 7 7 6 1 1
Misión crítica
N - 1A
24 horas 24 3 19 12 2 2 32 10 26 18 3 3
Masivo / alto
Nivel 2
48 horas 19 8 21 9 2 0 51 18 47 27 5 3
Masivo / alto
Nivel 3
7 días 20 681 18 7 0 0 71 699 65 34 5 3
Medio
Nivel 4
14 días 10 11 10 4 0 0 81 710 75 38 5 3
Medio
Nivel 5
30 días 12 3 12 2 0 0 93 713 87 40 5 3
Bajo
Nivel 6
> 30 días 14 0 14 3 0 0 107 713 101 43 5 3
Insignificante
107 713 101 43 5 3
Resumen de Infraestructura requerida
Dado que se encuentra clasificado por niveles de prioridad de los procedimientos para
continuidad, es posible tomar distintas decisiones del alcance del PCN. De acuerdo con el
propósito de tener estrategia de continuidad bajo el escenario de Interrupción de Lugar para los
32 procedimientos calificados como críticos (cuyo tiempo objetivo de recuperación comprende de
4 a 48 horas), es necesario operar con:
51 puestos de trabajo para ese mismo número de colaboradores 47 computadores 27 teléfonos

5 impresoras 3 escáneres
PUNTO OBJETIVO DE RECUPERACION – RPO
El cuestionario BIA midió el tiempo tolerable en que la Entidad está dispuesta a perder de
información ante una interrupción en la tecnología de información por fallas. Los resultados
arrojados son los siguientes:
Código:
Página: 123 de 123
26 Procedimientos requieren que el 7 Procedimientos requieren que el 67 Procedimientos requieren que el

RPO <= 4 Horas RPO <= 8 Horas RPO <= 24 Horas
19% 5% 50%
Aplicativos implicados Aplicativos implicados Aplicativos implicados
C&CETEX MERCURIO C&CETEX

APOTEOSYS APOTEOSYS APOTEOSYS
MERCURIO MERCURIO
BIZAGI MAC
PAGINA WEB IG METRICA
SEVINPRO REPORTEADOR
DECEVAL ORACLE
Los restantes 34 procedimientos fueron evaluados para un RPO mayor a 24 horas.
Actualmente el Icetex realiza backups de la información a los aplicativos con una frecuencia de
cada 24 horas. Como se aprecia en el cuadro, el Grupo de Trabajo de PCN en un 50%
considera adecuado la protección de datos cada 24 horas y en un 25% hasta puede superar la
periodicidad de protección de ese tiempo; la diferencia del 25% requiere backup con frecuencia
inferior al día.
Esta información es significativa para la Entidad para el establecimiento de estrategias y
políticas de backup de la información.
APLICATIVOS CRITICOS
Con la información de los Requerimientos Tecnológicos se logró establecer la criticidad de los

aplicativos de acuerdo con el uso en los procedimientos, resultado que permite confirmar la
necesidad de mantener una adecuada política de protección de los datos de los aplicativos y su
contingencia siendo el resultado el siguiente:
UTILIZACION DE LOS APLICATIVOS EN LOS PROCEDIMIENTOS
Aplicativo Procedimientos Observaciones
PAGINA WEB 12 Durante el período 14/05/2012 -

16/07/2012 se realizaron 2.598.956 visitas
a la Página Web del Icetex, efectuada por
1.265.725 usuarios (promedio de 2 visitas
por usuario).
CORREO ELECTRONICO 102
C&CETEX 56
OFFICE 47
APOTEOSYS 32
INTERNET 25
MERCURIO 12
COBOL 9
IG METRICA 6
BIZAGI 5

Manual Continuidad Negocio PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Manual Continuidad Negocio PDF

Cargado por

Copyright:

Formatos disponibles

Código:

Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE

MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DE NEGOCIOS

INSTITUTO COLOMBIANO DE CRÉDITO EDUCATIVO Y ESTUDIOS TÉCNICOS EN EL

2.1 OBJETIVO GENERAL 4

2.2 OBJETIVOS ESPECIFICOS 4

6.2 NORMAS EXTERNAS 9

6.3 ESTRUCTURA DE LA GESTION DE LA CONTINUIDAD DEL NEGOCIO 10

7 FASES DE LA ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO 17

7.1 FASE DE PREVENCION 17

7.2 FASE DE ADMINISTRACION DE CRISIS 38

8.1 ANEXOS DE ESTRATEGIA TECNOLOGICA 39

8.2 ANEXOS DE ESTRATEGIA DE CONTINGENCIA MANUAL 51

8.3 ANEXOS DE PROCEDIMIENTOS 93

8.4 ANEXOS DE TABLAS 98

8.5 ANEXOS FORMATOS 102

8.6 ANEXOS RESULTADOS 117

El Icetex reconoce que existen amenazas significativas ante la posibilidad de la ocurrencia de un

La Administración del Plan de Continuidad de Negocios es la política que el Icetex implementa,

2.1 OBJETIVO GENERAL

2.2 OBJETIVOS ESPECIFICOS

 Minimizar la frecuencia de interrupciones de la operación de los procesos del negocio.

 Asegurar una pronta restauración de las operaciones afectadas por el evento.

 Cumplimiento de los requerimientos de normas emitidas por la Superintendencia Financiera

La Administración del Plan de Continuidad de Negocios es una disciplina que prepara a la

De la misma manera, el desarrollo de los planes de continuidad se apoya en las capacidades

Administración del Plan de Continuidad de Negocios: Es un sistema administrativo integrado,

Incidente de Trabajo: Es un evento que no es parte de la operación estándar de un servicio y el

Problema de Continuidad de Negocio: Es un evento interno o externo que interrumpe uno o

Planes de contingencia: Conjunto de acciones y recursos para responder a las fallas e

Disponibilidad: La información debe estar en el momento y en el formato que se requiera ahora

Vulnerabilidad: Es una debilidad que se ejecuta accidental o intencionalmente y puede ser

Riesgo: Es la probabilidad de materialización de una amenaza por la existencia de una o varias

Frecuencia: Estimación de ocurrencia de un evento en un período de tiempo determinado. Los

Impacto: Es el efecto que causa la ocurrencia de un incidente o siniestro. La implicación del

física a personas. Mide el nivel de degradación de uno de los siguientes elementos de

Riesgo residual: Riesgo remanente tras la aplicación de controles.

 Ausencia de Personal: Se presenta cuando el funcionario o contratista que ejecuta el

• Suministrado por la Entidad, Ejemplo: Otra sede.

El objetivo de la administración de continuidad del negocio es planificar las acciones necesarias

 Todo el personal de la Entidad debe estar entrenado y capacitado en los procedimientos

 En caso de presentarse un incidente significativo se deben aplicar los mecanismos de

o El monitoreo a los riesgos de continuidad se efectuará de manera semestral.

 Los planes de contingencia deben mantenerse actualizados, para lo cual se deben

6.2 NORMAS EXTERNAS

La Superintendencia Financiera de Colombia ha emitido las siguientes circulares donde se

 Circular 038/2009 – Sistema de Control Interno: Implementar, probar y mantener un

6.3 ESTRUCTURA DE LA GESTION DE LA CONTINUIDAD DEL NEGOCIO

Para asegurar una adecuada administración de la continuidad del negocio se estableció un

6.3.1 COMITE SARO - SARLAFT

COMITÉ SARO – SARLAFT ROLES DE CONTINGENCIA

A continuación se describen los roles y responsabilidades de los integrantes del Comité en lo

Director Alterno de Continuidad

 Es responsable de declarar la contingencia ante un incidente tecnológico de algún

Líder de Recuperación Tecnológica

Es la persona encargada de liderar la recuperación tecnológica, basados en las estrategias de

 Velar por la actualización de la Estrategia Tecnológica en los casos que se presenten

Los Coordinadores de Recuperación son personas encargadas de liderar la recuperación de

Responsable de tareas de apoyo, control y cumplimiento

El funcionario de la Oficina Asesora de Comunicaciones tiene la responsabilidad de asesorar

CARGO PRINCIPAL CARGO ALTERNO

6.3.2 LIDERES PCN

 Revisar el impacto en el área durante el incidente.