Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Mayo de 2013
Código:
Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Página: 2 de 123
Contenido
1 INTRODUCCION 4
2 OBJETIVOS 4
3 ALCANCE 5
4 CONCEPTOS BASICOS 5
5 CAUSAS DE INTERRUPCION 7
6 GOBIERNO DE CONTINUIDAD 8
6.1 LINEAMIENTOS 8
6.4 ELEMENTOS QUE CONFORMAN LA ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO 15
6.5 ENTRENAMIENTO 15
7.2.3 ALCANCE 38
8 ANEXOS 39
117
8.6.2 RESULTADO DE LA ETAPA DE ANALISIS DE IMPACTO DEL NEGOCIO – BIA 118
Código:
Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Página: 4 de 123
1 INTRODUCCION
El Plan de Continuidad del Negocio es una herramienta que mitiga el riesgo de no disponibilidad
de los recursos necesarios para el normal desarrollo de las operaciones y como tal hace parte
del Sistema de Gestión de Riesgo Operativo, ofreciendo como elementos de control la
prevención y atención de emergencias, administración de la crisis, planes de contingencia y
capacidad de retorno a la operación normal.
2 OBJETIVOS
Lograr un nivel de preparación frente a incidentes que permita asegurar que puede proteger la
integridad de las personas y bienes de la entidad en forma adecuada, realizando una buena
administración de la crisis.
Minimizar las decisiones a tomar en caso de contingencia para evitar cometer errores.
Código:
Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Página: 5 de 123
3 ALCANCE
4 CONCEPTOS BASICOS
Plan de Continuidad de Negocio (PCN): Conjunto detallado de acciones que describen los
procedimientos, los sistemas y los recursos necesarios para retornar y continuar la operación,
en caso de interrupción1.
Plan de Recuperación de Desastres (DRP): Es la estrategia que se sigue para restablecer los
servicios de tecnología (red, servidores, hardware y software) después de haber sufrido una
afectación por un incidente o catástrofe de cualquier tipo, el cual atente contra la continuidad del
negocio.
Análisis de Impacto del Negocio (BIA): Es la etapa que permite identificar la urgencia de
recuperación de cada área, determinando el impacto en caso de interrupción.
Amenaza: Persona, situación o evento natural del entorno (externo o interno) que es visto como
una fuente de peligro, catástrofe o interrupción. Ejemplos: inundación, incendio, robo de datos.
1
Concepto tomado del Capítulo XXIII – Reglas relativas a la administración del riesgo operativo – de la Circular
Básica Contable de la Superfinanciera.
2
Concepto tomado del Capítulo XII – Requerimientos mínimos de seguridad y calidad en el manejo de
información a través de medios y canales de distribución de productos y servicios- Título I de la Circular Básica
Jurídica de la Superfinanciera.
Código:
Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Página: 7 de 123
Control: Es el proceso, política, dispositivo, práctica u otra acción existente que actúa para
minimizar el riesgo o potenciar oportunidades positivas.
Riesgo inherente: Es el cálculo del daño probable a un activo de encontrarse desprotegido, sin
controles.
5 CAUSAS DE INTERRUPCION
Los planes de contingencia se definen de acuerdo con las causas de las posibles interrupciones
y a partir de ellas se referencian las acciones a seguir en caso que las mismas se presenten.
Estas se pueden unificar en los siguientes escenarios:
No acceso al sitio normal de trabajo: Se presenta cuando por algún evento como desastre
natural, enfermedad contagiosa, actividad terrorista, problemas de transporte, huelgas, entre
otros, el personal no puede acceder a su lugar de trabajo para desarrollar las actividades
propias de su cargo. En este caso y con el ánimo de no interrumpir la operación del proceso
crítico se debe contar con un sitio alterno de trabajo, el cual puede ser:
Caída de los sistemas tecnológicos: Se presenta cuando el hardware y/o software presenta
falla(s) o cuando haya interrupción prolongada de las comunicaciones, ocasionados por: datos
corruptos, fallos de componentes, falla de aplicaciones y/o error humano.
No contar con los Proveedores Externos: Se presenta cuando una o varias actividades del
proceso crítico son realizadas por el proveedor y cualquier falla de éste, generaría la no
realización efectiva del proceso. En este caso se debe garantizar que en el contrato con el
proveedor se especifique la existencia de un Plan de Continuidad del Negocio documentado,
adicional, sea probado en conjunto con los colaboradores de la Entidad y aprobado por el
Icetex.
Código:
Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Página: 8 de 123
6 GOBIERNO DE CONTINUIDAD
6.1 LINEAMIENTOS
Los lineamientos se sustentan en un conjunto de principios que han sido formulados basándose
en las necesidades del negocio y en el entendimiento de los riesgos asociados, ellos son:
El plan de continuidad de negocio está orientado a la protección de las personas, así como al
restablecimiento oportuno de los procesos, servicios críticos e infraestructura, frente a eventos
de interrupción o desastre.
Las etapas de la Administración de PCN deben ser ejecutadas por cada una de las áreas de
la Entidad, con la guía y coordinación de la Oficina de Riesgos.
Los Jefes de área deben designar un Líder de Plan de Continuidad del Negocio, quien es
responsable de apoyar las actividades del Programa de Plan de Continuidad de Negocios
para el área que representa.
Las diferentes etapas que conforman la fase de Prevención deben ser ejecutadas con la
siguiente frecuencia:
o El análisis de impacto del negocio debe actualizarse cada dos (2) años o cada vez que un
Líder de Proceso lo requiera, teniendo en cuenta los cambios del Instituto y sus
necesidades.
Código:
Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Página: 9 de 123
Los procesos críticos deben ser recuperados dentro de los márgenes de tiempo requeridos en
los Planes de Continuidad del Negocio.
La Entidad ha definido como el nivel máximo de aceptación del riesgo residual, la clasificación
de Tolerable.
Los procesos / servicios del Instituto que sean desarrollados por terceros contratados deben
disponer de planes de continuidad, para lo cual el funcionario interventor del contrato debe
solicitar este documento y remitirlo a la Oficina de Riesgos, donde se analizará la cobertura
del mismo. Adicionalmente, se debe verificar que los planes, en lo que corresponden a los
servicios convenidos, funcionen en las condiciones esperadas, donde la Oficina de Riesgos
debe coordinar con el área responsable del contrato la ejecución de pruebas a dicho plan.
Circular 041/2007- SARO: Las entidades deben definir, implementar, probar y mantener un
proceso para administrar la continuidad del negocio que incluya la prevención y atención de
emergencias, administración de la crisis, planes de contingencia y capacidad de retorno a la
operación normal.
Circular 042/2012: Exigir que los terceros contratados dispongan de planes de contingencia y
continuidad debidamente documentados. Las entidades deberán verificar que los planes, en
lo que corresponde a los servicios convenidos, funcionen en las condiciones pactadas.
Además, existen metodologías del Plan de Continuidad del Negocio fundamentado en el uso de
buenas prácticas reconocidas y normas internacionalmente aprobadas basadas en la gestión de
riesgos, entre ellas se encuentran DRI International (Disaster Recovey Institute International) e
ISO 22301, ISO27001, las cuales fueron tenidas en cuenta para la elaboración de este
documento.
En caso en que el Comité active el plan de continuidad, podrá invitar a otros funcionarios
responsables de actividades que impacten la operación del negocio, caso la Oficina Asesora de
Comunicaciones.
A) ROLES Y RESPONSABILIDADES
Director de Continuidad
El Director de Continuidad es el encargado de dirigir y liderar todas las actividades del plan de
continuidad del negocio. Es responsable de declarar la contingencia ante el escenario de
interrupción de lugar de trabajo, con base en las decisiones tomadas por el Comité SARO-
SARLAFT o en situaciones donde amerite realizar su activación inmediata.
Responsabilidades
Delegar de manera expresa en el Comité SARO- SARLAFT, la responsabilidad de
actualizar, mantener y probar el plan de continuidad.
Evaluar y aprobar los recursos requeridos para establecer y mantener la estrategia de
recuperación y contingencia de la entidad.
Liderar las reuniones del Comité SARO – SARLAFT.
Advertir sobre nuevos riesgos que afectan la continuidad de la operación normal de la
entidad y que ponen al descubierto debilidades del plan de continuidad.
Monitorear los reportes sobre el estado de recuperación o evaluación durante una
contingencia.
Velar por la seguridad del personal que actúa en el área del evento.
Establecer los objetivos de recuperación y activar el plan de continuidad ante el escenario
de interrupción de lugar teniendo en cuenta el resultado de la evaluación
Velar por la ejecución del debido análisis causa – raíz del evento que ocasionó la
contingencia.
Asumir el rol y cumplir con las responsabilidades de Director de Continuidad cuando éste
no se encuentre disponible.
Código:
Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Página: 12 de 123
Líder Administrativo
El Líder Administrativo ayuda a coordinar los aspectos logísticos internos cuando la Entidad
se encuentre operando bajo contingencia. Es quien ayuda a gestionar en cada una de las
instalaciones el suministro de elementos esenciales para asegurar el desarrollo de la
operación.
Responsabilidades
Coordinar el suministro de elementos esenciales como transporte, recursos de
infraestructura y papelería.
Gestionar la consecución y adecuación de los centros alternos de operaciones según el
plan de operaciones en contingencia.
Mantener informado al Comité SARO-SARLAFT sobre incidentes por falta de suministros.
Responsabilidades
Liderar la recuperación tecnológica, basados en las estrategias de continuidad
implementadas.
Identificar los posibles riesgos de aspectos tecnológicos que afectan la continuidad de la
operación normal de la Entidad y que ponen al descubierto debilidades del plan de
continuidad.
Mantener comunicación constante entre Coordinadores de Recuperación del Negocio
durante el estado de contingencia.
Colaborar en la comunicación a los proveedores de los temas o servicios de su
competencia, sobre el estado de contingencia en que se encuentra la Entidad, esto previa
decisión y autorización del Director de Continuidad, mediante comunicado elaborado en
conjunto con la Oficina Asesora de Comunicaciones.
Entregar los reportes correspondientes al Comité SARO-SARLAFT sobre el estado de la
recuperación.
Código:
Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Página: 13 de 123
Coordinadores de Recuperación
Responsabilidades
Liderar las reuniones del equipo de recuperación, para diagnosticar y evaluar las
interrupciones que están afectando la prestación del servicio.
Ejecutar los planes de contingencia ante el incidente presentado.
Identificar los posibles riesgos que afectan la continuidad de la operación normal de la
Entidad y que ponen al descubierto debilidades del plan de continuidad.
Mantener comunicación constante durante el estado de contingencia.
Colaborar en la comunicación a los proveedores sobre el estado de contingencia en que se
encuentra la Entidad, esto previa decisión y autorización del Director de Continuidad,
mediante comunicado elaborado en conjunto con la Oficina Asesora de Comunicaciones.
Entregar los reportes correspondientes al Comité SARO-SARLAFT sobre el estado de la
recuperación de sus áreas.
Velar por la realización de las pruebas del plan de continuidad y revisar los resultados
obtenidos en la misma.
Verificar que las actividades de ajuste sobre el plan, resultado de las pruebas, hayan sido
ejecutadas e implementadas.
Responsabilidades
Realizar las actividades que le sean asignadas durante la declaración de contingencia.
Advertir sobre riesgos que puedan afectar la continuidad en la prestación del servicio o la
funcionalidad del plan.
Código:
Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Página: 14 de 123
Asesor de Comunicaciones
Responsabilidades
Asesorar al Comité SARO-SARLAFT y específicamente al Director de Continuidad en
temas de comunicación en momentos de crisis.
B) LINEA DE SUCESION
Se identifica los responsables asignados a los diferentes roles del plan de continuidad y sus
alternos en caso de que estos no puedan asumir las actividades y/o tareas.
Cada área cuenta con un Líder de PCN, quien tiene las siguientes responsabilidades en la
administración del plan de continuidad sobre los procesos / procedimientos a cargo:
Actuar como punto focal del área para todos los asuntos de continuidad del negocio.
Cumplir con las actividades y fechas establecidas del Cronograma de PCN.
Mantener informados a todos los colaboradores de sus respectivas áreas, los planes de
contingencia que les compete.
Asegurar la aplicación correcta de los PCN al interior del área.
Código:
Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Página: 15 de 123
En el Anexo No. 8.6.1 se encuentra la Relación de los Líderes de PCN y Líderes de Proceso
del Icetex.
La Administración del Plan de continuidad del Negocio está conformada por los siguientes
elementos:
6.5 ENTRENAMIENTO
deseado. A los Jefes de las áreas también se les capacita y concientiza, ya que son los
responsables de la correcta ejecución de los planes.
La Oficina de Riesgos suministra los programas de capacitación, para que sean ofrecidos a todo
el personal a través de la Secretaria General Grupo de Talento Humano.
La Administración del Plan de Continuidad de Negocio la componen dos (2) fases, como son:
En esta fase se conocen las necesidades reales de la Entidad y sobre esta base se desarrollan
los diferentes mecanismos de prevención ante incidentes o desastres que mitigan su impacto.
Está conformada por las siguientes etapas:
A) CONCEPTO
El Análisis de Impacto del Negocio (de ahora en adelante se identifica como BIA), es una
etapa que permite identificar la urgencia de recuperación de cada área, determinando el
impacto en caso de interrupción. Esta actividad conlleva a identificar los procedimientos
críticos de la Entidad, los recursos utilizados para soportar las funciones, así como sus
proveedores, también determinar los sistemas críticos y estimar el tiempo que la Entidad
puede tolerar en caso de un incidente o desastre.
Código:
Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Página: 18 de 123
B) OBJETIVO
C) ALCANCE
Establecimiento del tiempo máximo tolerable permitido de pérdida de información ante una
interrupción en los sistemas de información (RPO).
Definición de los recursos necesarios para el buen desarrollo de los procedimientos a nivel
de: Tecnología, personal, infraestructura y soporte proveedores.
Para desarrollar la etapa de Análisis de Impacto del Negocio - BIA se ha establecido cumplir
con los siguientes pasos:
i. PLANEACION
Contempla los aspectos para el correcto y completo desarrollo del BIA, como son:
Equipo de Planeación: Cada área cuenta con un Líder de PCN, que en conjunto con el
Líder de Proceso evalúan bajo la metodología BIA los procedimientos asignados.
Código:
Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Página: 19 de 123
Todos los procedimientos de la Entidad, así como los recursos tecnológicos en los que se
soportan tales actividades son clasificados de acuerdo con su prioridad de recuperación.
Para ello se mide el tiempo que puede dejar de realizar tal actividad sin que ello cause
pérdidas financieras, quejas de los clientes, y/o penalizaciones legales o contractuales. En
caso de continuidad todo gira alrededor del impacto, buscando sostener la operación crítica
de la Entidad.
La metodología establece el diligenciamiento del “Documento BIA” (ver anexo No. 8.5.1), el
cual es aplicado para cada una de los procedimientos que se realizan en la Entidad,
utilizando el mismo patrón de calificación. A continuación se detalla el “Documento BIA”
diseñado en la herramienta Excel:
Permite analizar los impactos que puede causar el no ejecutar un procedimiento por
encontrarse ante un incidente o desastre. Los impactos contemplados son:
El cuestionario estima el tiempo durante el cual un procedimiento puede estar sin operar
antes de sufrir impactos considerables para la Entidad. Con base en ello, se fija un Tiempo
de Recuperación Objetivo (RTO), que consiste en establecer cuánto tiempo puede
permanecer la Entidad sin ejecutar una actividad, el uso de una aplicación o información
relevante; está asociado con el tiempo máximo de inactividad. En consecuencia, la mayoría
de las preguntas buscan determinar el tiempo en que se puede impactar la Entidad o los
clientes por dejar de realizar el procedimiento ante una interrupción.
Calificación BIA: Indica la sensibilidad en tiempo ante los diferentes impactos analizados
por no ejecutarse el procedimiento. Esto se deriva a través de la realización del
cuestionario BIA.
Tiempo Objetivo de Recuperación (RTO): El período de tiempo después de una
interrupción, mediante el cual el Instituto debe activar sus planes de contingencia y
recuperación de las actividades críticas para evitar un impacto significativo.
Valor del BIA: Indica la criticidad del procedimiento basado en la Calificación BIA y que
impulsa el establecimiento de prioridades de recuperación durante una situación difícil.
La tabla de valoración establecida es la siguiente:
Esta información será el punto de partida para desarrollar las estrategias de recuperación.
Código:
Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Página: 21 de 123
APROBACION DE LA EVALUACION
Los resultados de la Evaluación BIA de todos los procedimientos son consolidados por la
Oficina de Riesgos. De esta información se producen los siguientes resultados, que deben
ser informados al Comité SARO – SARLAFT:
En esta etapa se identifican y analizan las posibles amenazas y/o vulnerabilidades de personas,
sistemas, infraestructura y procesos que podrían ocasionar riesgos de continuidad para la
Entidad, con el fin de medir el nivel del riesgo.
A) OBJETIVOS
La gestión de riesgos de continuidad tiene por función especial reducir la probabilidad de una
amenaza potencial o vulnerabilidad y reducir el impacto que puede provocar un evento de
desastre o una interrupción significativa en los servicios.
1. Determinar los procesos críticos del área a cargo, resultado que se obtuvo en la etapa de
Análisis de Impacto del Negocio (BIA).
2. Establecer los recursos necesarios para la continuidad de los procedimientos críticos, que
también se estimaron en la etapa de Análisis de Impacto del Negocio (BIA).
3. Describir las posibles amenazas que conlleven a una interrupción en la operación. Para
ello, es necesario tomar como guía el anexo No. 8.4.1 denominado “Tipos de Amenazas”,
donde se detallan posibles fuentes de peligro, las cuales se deben evaluar identificando si
tales situaciones pueden darse en el proceso analizado.
Código:
Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Página: 24 de 123
4. Determinar las vulnerabilidades que tiene el proceso para cada amenaza identificada.
Para identificarla es necesario responder esta pregunta: ¿Cómo puede ocurrir una
amenaza? Al responderla se definen las distintas situaciones por las que puede ocurrir la
misma, evaluando si dentro del Instituto puede darse esa circunstancia.
Se recomienda utilizar como guía con el anexo No. 8.4.2 denominado “Tabla de
Vulnerabilidades”, donde se encuentra una relación de debilidades que podrían llegar a
generar la interrupción del proceso. Es de aclarar, que esta tabla es solamente una guía
pudiendo incluirse muchas otras situaciones de debilidades.
Personas
Infraestructura física
Infraestructura de tecnología de información
Procesos
El riesgo de continuidad se evalúa con dos (2) variables de medición, una que expresa el
impacto del riesgo si ocurriera y otra que expresa la frecuencia de que el riesgo ocurra. En
consecuencia, para la evaluación del riesgo de continuidad se utilizar las tablas de los
numerales 8.4.3 “Criterios de Frecuencia” y 8.4.4 “Criterios de Impacto”, las cuales contienen
los criterios que permiten ubicar al Líder del Plan de continuidad del Negocio para efectuar
la evaluación.
Frecuencia: Se deben estimar la frecuencia para cada vulnerabilidad del riesgo, según la
siguiente escala de medición:
Escala de medición
1 2 3 4 5
Muy baja Baja Moderada Alta Muy alta
Impactos
Regulatorio/ Financiero Servicio al Reputacional Operativo Humano Infraestructura
Legal cliente
Para establecer el resultado del impacto para cada riesgo se toma la calificación del
cuestionario BIA.
Habiendo valorado tanto el Impacto como la frecuencia del evento de riesgo, los dos
puntajes son multiplicados para dar el puntaje de riesgo Inherente. Dado que tanto la
Frecuencia como el Impacto son calificados de 1 a 5, el puntaje de riesgo total o inherente
máximo es 25 y el mínimo es 1.
Este proceso permite evaluar todos los controles asociados a las vulnerabilidades
identificadas, garantizando a la Entidad que se apliquen los tipos y niveles adecuados de
control para poder dar un adecuado tratamiento al riesgo.
Los criterios de evaluación del control son: Oficialidad, Aplicación y Efectividad, a los cuales
se les ha asignado un peso de 20, 30 y 50 puntos respectivamente sobre 100.
Para evaluar la Efectividad del control se tienen en cuenta los siguientes aspectos:
Código:
Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Página: 26 de 123
Comprobada la efectividad, donde se debe contar con la evidencia física que dada la
aplicabilidad del control se ha prevenido, detectado o mitigado un riesgo. La calificación es
de 50 puntos.
Percepción positiva, en la cual no se tiene la evidencia pero la percepción del experto en
cuanto a la efectividad del control es positiva. La calificación es de 30 puntos.
Percepción negativa, donde la percepción del experto es negativa en cuanto a la
efectividad del control. La calificación es de 10 puntos.
Comprobada la no efectividad, en donde se tiene la evidencia que el control no es efectivo
para la prevención y detección de riesgos, dándole una calificación 0 puntos.
La puntuación obtenida del control genera una calificación, como se ilustra en la siguiente
tabla:
Controles preventivos: Son aquellos que reducen las vulnerabilidades y la frecuencia con
que ocurren las causas del riesgo.
Controles detectivos: Son aquellos que no evitan que ocurran las causas del riesgo sino
que los detecta luego de ocurridos. Estos no reducen el riesgo a menos que se tomen
acciones sobre tales detecciones.
Controles correctivos: Son mecanismos o acciones definidas para reducir el impacto de los
eventos que ponen en riesgo el logro de los objetivos del proceso.
Cuando una vulnerabilidad tiene varios controles que mitigan el factor de frecuencia, éstos se
agrupan y se toma el valor más alto de las calificaciones obtenidas de los controles. De igual
manera se procede cuando una vulnerabilidad tiene varios controles que mitigan el impacto.
Código:
Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Página: 27 de 123
Ubica el valor del control que se obtuvo sobre la variable de frecuencia en la Tabla
“Calificación del Control”, estableciendo el efecto de mitigación que indica la columna
“Cuadrantes a disminuir en la frecuencia”. Este valor se resta a la frecuencia obtenida en
riesgo inherente.
Cuadrante a
Rango de calificación Valor Frecuencia
Frecuencia disminuir en la
de controles Residual
Frecuencia
80 puntos 4 2 2
De igual manera se procede con los controles dispuestos para disminuir el impacto del
riesgo, obtenido el valor del control que se obtuvo sobre la variable de impacto en la Tabla
“Calificación del Control”, estableciendo el efecto de mitigación que indica la columna
“Cuadrantes a disminuir en el impacto”. Este valor se resta al impacto obtenido en riesgo
inherente.
Se multiplica el nuevo valor de frecuencia por el nuevo valor del impacto aplicado los
controles, obteniendo así el Riesgo Residual.
4 3 12 2 2 4
0-3 Aceptable
4-6 Tolerable
7-15 Grave
16-25 Critico
Código:
Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Página: 28 de 123
Al presentarse dentro del Mapa Térmico, se ubica el valor del Riesgo Residual, teniendo en
cuenta los nuevos resultados de la frecuencia e impacto aplicados los controles:
3
FRECIUENCIA
0
0 1 2 3 4 5
IMPACTO
Eliminar el riesgo: Cuando se opta por suspender un producto o proceso por una decisión
administrativa.
Mitigar el riesgo: Se consigue mediante la optimización de los procedimientos y la
implementación de controles tendientes a disminuir la frecuencia de ocurrencia y/o
minimizar la severidad de su impacto.
Dispersar o atomizar el riesgo: Se logra mediante la distribución o localización del riesgo en
diversos lugares, procesos o personas.
Transferir el riesgo: Actividades y medidas tendientes a transferir a un tercero la
responsabilidad por el manejo del riesgo y/o la obligación por las consecuencias
financieras del riesgo, en caso de ocurrencia. Esta técnica no reduce la frecuencia ni el
impacto, involucra a otro en la responsabilidad. P. e. Pólizas de Seguros,
Subcontrataciones.
Código:
Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Página: 29 de 123
Asumir el riesgo: Aceptación del riesgo en razón a que los retornos potenciales son
atractivos en relación con los riesgos involucrados.
Para los riesgos que en su calificación residual se clasifiquen como graves o críticos, el Líder
de Proceso debe establecer planes de acción que busquen reducir la exposición de la Entidad
a través de la creación de nuevos controles o la implementación de modificaciones a los
controles existentes. A dichos planes se les hará seguimiento de forma trimestral, y se
reportará su avance al Comité SARO-SARLAFT, con el fin de tomar las decisiones
respectivas para su tratamiento y mitigación.
Los riesgos clasificados como aceptables y tolerables deben ser evaluados continuamente por
los Líderes de Riesgo, garantizando la eficacia de los controles. Si se percibe un incremento
en el nivel del riesgo debe ser informado inmediatamente a la Oficina de Riesgos, con el fin de
realizar la respectiva reclasificación y acordar acciones.
Se realiza seguimiento a los riesgos y la efectividad de los controles y planes de acción para
determinar el nivel de exposición frente al aspecto de disponibilidad de los elementos que se
requieren para la continuidad del negocio.
Dentro del monitoreo, la Oficina de Riesgos debe proponer al Comité SARO-SARLAFT las
medidas relativas al perfil de riesgo residual, teniendo en cuenta el nivel de tolerancia al
riesgo fijado por la Entidad.
Los incidentes que afecten la continuidad de la operación deben ser reportados por los
Líderes de PCN a la Oficina de Riesgos, a través del formato “Reportes de Incidentes de
Contingencia” (Ver numeral 8.5.2), dentro de los tres (3) días hábiles siguientes a la
ocurrencia del hecho.
Código:
Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Página: 30 de 123
A) CONCEPTO
Corresponden a las acciones que se deben tomar con el objetivo de restablecer las
operaciones del negocio, en el plazo determinado, una vez que ocurra alguna interrupción o
falla en los procesos o funciones críticas.
B) OBJETIVOS
C) ALCANCE
La selección de los métodos alternativos de operación que deben ser utilizados ante una
interrupción para mantener o reanudar las actividades de la Entidad y sus dependencias.
Código:
Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Página: 31 de 123
Las diferentes situaciones para las cuales se deben definir estrategias de recuperación son:
Ausencia de personal
Sitio alterno
Fallas tecnológicas
Se presenta cuando el colaborador que ejecuta los procesos no puede asistir a trabajar para
desarrollar las actividades propias de su cargo. Se debe establecer la siguiente cadena de
comunicación:
El Jefe inmediato comunica el evento al Jefe del Area y activa la contingencia por
“Ausencia de Personal”. Distribuye procesos claves o asigna funciones al colaborador Back
- up. De ser necesario, solicita al Oficial de Seguridad Tecnológica la reasignación de
perfiles, a través del formato F121 “Formato asignación de accesos a sistemas de
información.
El Jefe inmediato confirma al Jefe del Area la continuidad exitosa de los procesos.
Proveedores: Para comunicarse con los proveedores en un sitio alterno donde se carece de la
información de contacto.
Cada área cuenta con la información de “Cascada Telefónica”, la cual está conformada por:
Cascada: Contiene los datos básicos de los colaboradores: nombres, cargo, número de
teléfono personal y sí fue definido como personal crítico para operar la contingencia o no.
Se encuentran descritos en el orden que serán llamados ante un evento.
Código:
Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Página: 32 de 123
Personal mínimo: En este se relaciona las personas críticas sobre las cuales depende la
ejecución de la actividad. Se encuentran relacionados los colaboradores que participarán
en la contingencia por cada procedimiento.
Contacto Externo: Relaciona los datos básicos de los proveedores: nombre del proveedor,
nombre del procedimiento/proceso de la Entidad en el cual participa, nombre del contacto
personal, teléfono de la oficina y móvil y correo electrónico.
El numeral 8.3.1 “Procedimiento de Estrategia de Sitio Alterno”, aporta las actividades que se
deben seguir para recuperar el servicio utilizando recursos de un centro de operaciones
alterno.
F) ESTRATEGIA TECNOLOGICA
APLICATIVOS INFRAESTRUCTURA
Switches
Centro cableado
RED LAN HUB
Red Firewall
C&CTEX
RED WAN
Apoteosys Routers
Telecomunicaciones
Mercurio Enlaces
Cobol Aire acondicionado
Bizagi Sistema de incendio
Sevimpro Centro ETB
Computo Sistema eléctrico
Correo UPS
Electrónico
Base de datos
Servidor Sistema operativo – Software base de datos
Servidor
Hardware
Este cuadro presenta las partes de infraestructura tecnológica que se les realiza estrategia de
contingencia, con el fin de asegurar la continuidad de cada uno de los servicios (aplicativos),
como son: Red, Centro de Cómputo y Servidores desglosado por los temas que la componen.
El detalle de estas estrategias tecnológicas se encuentra en el numeral 8.1, de este
documento.
Ante una falla tecnológica se debe ejecutar el Procedimiento de Manejo de Incidentes por
problemas en los sistemas, descrito en el numeral 8.3.2.
Alterno a este plan, es importante considerar la posibilidad de carecer del sistema para
operar, teniendo como elección realizar la actividad de forma manual. Por esta razón, se
estructuran estrategias de contingencia manual, para aquellos calificados como críticos y que
permitan operar sin un sistema base.
Los Líderes de PCN y de Procesos y la Oficina de Riesgos han desarrollado las estrategias
manuales que se disponen en el numeral 8.2 de este documento.
Código:
Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Página: 34 de 123
A) CONCEPTO
B) OBJETIVOS
Las pruebas deben ejecutarse durante un tiempo en el que las afectaciones a la operación
normal sean mínimas y deben comprender los elementos críticos y simular condiciones de
proceso, aunque se realicen fuera del horario laboral de la Entidad. Las pruebas deben incluir
las siguientes tareas:
Durante esta etapa se debe establecer un programa de pruebas con escenarios simulados,
planeados en el tiempo, teniendo en cuenta los requerimientos de cada prueba y con una
revisión exhaustiva de los resultados de las mismas, para generar mejoras a los planes.
Código:
Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Página: 35 de 123
D) TIPO DE PTUEBAS
En la siguiente grafica se ilustra la metodología que se debe utilizar para la realización de las
pruebas del plan de continuidad de negocio del Icetex:
E) PLAN DE PRUEBAS
del tiempo de la prueba. Adicional, se deben mencionar los aspectos adicionales que son
necesarios para la adecuada realización de la prueba. Al igual que en el anterior ítem, este
informe debe ser adelantado previo a la ejecución de la prueba por el Líder de PCN
responsable del proceso a probar con la guía del funcionario encargado en la Oficina de
Riesgos.
Paso a paso de la ejecución: Este documento contiene las actividades realizadas en el
desarrollo de la prueba, que deben ser semejantes a las planeadas a menos que se
presenten algún incidente dentro de la prueba. Adicionalmente, se describen los recursos
mínimos necesarios, los responsables y los tiempos de ejecución de las actividades. Este
informe es elaborado en el momento de la prueba por el Líder de PCN responsable del
proceso a probar con la guía del funcionario encargado en la Oficina de Riesgos.
Paso a paso del retorno: En este reporte se relacionan las actividades que se ejecutan
para retornar a la operación normal, caso devolución a los puestos de trabajo, captura de
las operaciones que no se procesaron en un aplicativo, entre otras.
Encuesta de satisfacción: Este informe lo realizan diferentes integrantes de la prueba,
donde se busca determinar el grado de satisfacción de la prueba. La conforman aspectos
como: duración de la prueba, preparación de la prueba y la comunicación de la misma, y
dificultades que se identificaron.
Acta de reunión: En este documento se establecen los objetivos, conclusiones de la
prueba, las actividades sobresalientes resultantes y/o pendientes a considerar, los logros
obtenidos en la ejecución de la prueba y los riesgos asociados identificados en la ejecución
de la prueba, así como las acciones mitigantes que mejorarán la estrategia de continuidad
del proceso revisado. Este informe debe ser firmado por cada uno de los integrantes a la
prueba.
Luego de cada prueba el Jefe de Riesgos debe enviarse copia del documento “Acta de
reunión” dirigido a los participantes y al jefe responsable de proceso.
Código:
Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Página: 37 de 123
A) CONCEPTO
B) OBJETIVOS
Detalles de todos los cambios de estrategias del PCN con el historial de control de
versiones.
C) FACTORES DE ACTUALIZACION
Pueden ocurrir ciertos eventos no programados al interior del Icetex o fuera de éste, que
afectan el PCN. A continuación se relaciona una lista de eventos que pueden generar una
revisión al PCN:
Requerimientos legales.
Nuevos productos.
Nuevo hardware, plataformas, aplicativos u otros cambios de tecnología (Sistemas
Operativos, Bases de Datos).
Cambios en las telecomunicaciones (voz o datos).
Quiebra y/o cambio de un proveedor crítico.
Cambio de instalaciones.
Cambios en el personal o reubicación del mismo.
Transferencia de funciones entre sitios existentes.
Consolidación o tercerización de funciones.
Cambios en proveedores externos críticos.
Resultados de las pruebas del Plan de Continuidad del Negocio.
Cambios en el Sistema de Gestión de Calidad y Procesos.
Código:
Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Página: 38 de 123
7.2.1 CONCEPTO
7.2.2 OBJETIVOS
Integrar los procedimientos de continuidad del negocio con los procedimientos de respuesta.
Identificar tipos de emergencias y las respuestas necesarias.
7.2.3 ALCANCE
Este plan de administración de crisis se ejecuta teniendo como premisa las decisiones del
Comité SARO- SARLAFT. Todas las comunicaciones serán dirigidas por el responsable de
comunicaciones del Instituto y se apoyarán en el Manual de gestión de la comunicación en
situaciones de crisis.
Los documentos indicados en los numerales 8.3.1 y 8.3.2 “Escenario de contingencia a sitio
alterno” y “Manejo de incidentes por problemas en los sistemas”, sintetizan esta fase, la cual está
conformada por las siguientes etapas:
Etapa de Retorno a la Normalidad: Consiste en definir la forma y/o procedimientos a utilizar para
restaurar la operación a la normalidad, una vez superada la contingencia y recuperados los
servicios de la entidad.
Código:
Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Página: 39 de 123
8 ANEXOS
1. OBJETIVO
Recuperar un servidor de base de datos por daño en el sistema manejador de la base de datos que se
encuentra en el centro de cómputo ICETEX.
2. ALCANCE
Daños o fallas en algún servidor que afecte servicios dentro de los cuales esta soportado por una
base de datos.
Falla a nivel de Software de Base de datos.
3. CONDICIONES GENERALES
Para llevar a cabo el siguiente procedimiento es necesario tener los siguientes recursos disponibles:
4. DESCRIPCIÓN
DIAGRAMA DE FLUJO
Código:
Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Página: 41 de 123
ACTIVIDADES
ACTIVIDADES O TAREAS
Recursos
No. Descripción de la
Observaciones Responsable requeridos y
Act Actividad
ubicación
Identificar la falla y
Administrador de la
1 realizar un
base de datos
diagnóstico interno
Llamar a las líneas: Las que se
Llamar al
encuentren en el documento de
CONTRATISTA Administrador de la
2 contacto del CONTRATISTA ubicada en Contrato
responsable del base de datos
carpetas compartidas de la Dirección de
mantenimiento
Tecnología (Continuidad_de_negocio)
Administrador de la
Diagnóstico de la Se efectúa un diagnóstico del estado de
3 base de datos y/o
situación. la base de datos.
contratista
De acuerdo al diagnóstico se decide
¿Se puede
sobre el mejor procedimiento para Administrador de la
recuperar el servicio
4 restablecer el servicio. En caso base de datos y/o
en la misma
afirmativo pasa al punto 5 de lo contratista
máquina?
contrario al punto 6.
5 Proceder a Se restablece el servicio en el mismo Administrador de la
Código:
Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Página: 42 de 123
5. SEGUIMIENTO Y CONTROL
1. OBJETIVO
2. ALCANCE
Daños o fallas en algún enlace que afecte servicios dentro de los cuales esta soportado por la red
WAN.
3. DEFINICIONES
N/A
4. CONDICIONES GENERALES
Para llevar a cabo el siguiente procedimiento es necesario tener los siguientes recursos disponibles:
Contrato vigente de soporte y Carta de Servicio proveedor de servicio de la red (Ver Anexo)
5. DESCRIPCIÓN
DIAGRAMA DE FLUJO
Código:
Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Página: 44 de 123
ACTIVIDADES
ACTIVIDADES Ó TAREAS
Recursos
No. Descripción de
Act la Actividad
Observaciones Responsable requeridos y
ubicación
Identificar la
falla y realizar Profesional Dirección de
1 un diagnóstico tecnología y Proveedor de
interno servicios de la red
restablecimiento
del servicio
Coordinador de
Reporte de El Coordinador de infraestructura o el
infraestructura, Administrador
10 servicio Director de tecnología, informan que
de la red o el
restablecido la contingencia ha sido superada.
Director de tecnología
6. SEGUIMIENTO Y CONTROL
1. OBJETIVO
2. ALCANCE
3. CONDICIONES GENERALES
Para llevar a cabo el siguiente procedimiento es necesario tener los siguientes recursos disponibles:
4. DESCRIPCIÓN
DIAGRAMA DE FLUJO
Código:
Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Página: 47 de 123
ACTIVIDADES
ACTIVIDADES O TAREAS
Recursos
No. requeridos
Act
Descripción de la Actividad Observaciones Responsable
y
ubicación
Identificar la falla y realizar un
1 diagnóstico interno Administrador de la Red
5. SEGUIMIENTO Y CONTROL
1. OBJETIVO
2. ALCANCE
Daños o fallas en algún servidor que afecte servicios dentro de los cuales esta soportado por un
servidor web o servidor de aplicaciones.
Falla a nivel de Software Base del servidor.
3. CONDICIONES GENERALES
Para llevar a cabo el siguiente procedimiento es necesario tener los siguientes recursos disponibles:
4. DESCRIPCIÓN
ACTIVIDADES
ACTIVIDADES Ó TAREAS
Recursos
No. Descripción de la requeridos
Observaciones Responsable
Act Actividad y
ubicación
Identificar la falla y realizar
Administrador
1 un diagnostico interno
servidores
Llamar a las líneas:
- Las que se encuentren en el
Llamar al CONTRATISTA
documento de contacto del Administrador de Contrato
2 responsable del
CONTRATISTA ubicada en carpetas servidores
mantenimiento o
compartidas
continuidad_de_negocio contactos
Diagnóstico de la situación
por parte del administrador Se efectúa un diagnóstico del estado del Administrador del
3
del servidor o del software base. servidor
contratista
Se puede recuperar el De acuerdo al diagnóstico se decide Administrador del
4 servicio en la misma sobre el mejor procedimiento para servidor y/o
máquina restablecer el servicio contratista
Código:
Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Página: 50 de 123
5. SEGUIMIENTO Y CONTROL
Los Líderes de PCN y de Procesos y la Oficina de Riesgos han desarrollado las siguientes
estrategias manuales ante una contingencia cuyo escenario es falla de los sistemas con los que
ejecutan la operación:
1. OBJETIVO
2. ALCANCE
Este procedimiento se utiliza ante la activación de Contingencia dada por la Oficina de Riesgos,
caso en el que la Vicepresidencia de Fondos en Administración determinará los Giros urgentes a
emitir en el día, de acuerdo con los compromisos contraídos con los Constituyentes y sobre esta
decisión informará al personal encargado para que procedan a aplicar la contingencia.
3. CONDICIONES GENERALES
Los giros propuestos a gestionar deberán haber cumplido con las siguientes condiciones para
iniciar el proceso de giro:
4. DESCRIPCION
4.1.7 Elaborar por cada orden de giro, el Formato “Resolución Giro Contingencia C&CETEX” con
los datos indicados en el formato 135.
4.1.8 Revisar el Formato “Resolución Giro Contingencia C&CETEX” contra el formato F135
“Formato de Autorización de Giros – Vicepresidencia de Fondos en Administración,
verificando que los datos que componen la orden de resolución coincida la información que
reposa en el reporte de faltantes.
4.1.9 Las ordenes de resolución cuya información es igual, serán firmadas por el Técnico
Administrativo, en el campo de “Elaboro”.
4.1.10 Aquellas resoluciones que difiere la información debe corresponder a equivocación en la
emisión de la orden de resolución, por cuanto es necesario corregir las órdenes y volver a
imprimir y firmar.
4.1.11 Entregar al Encargado del Fondo las resoluciones y documentación soporte al Encargado del
Fondo.
4.1.19 Sobre el Reporte de Pendientes, seleccionar aquellos que tienen diligenciado el campo
“Fecha de resolución” y proceder a generar un archivo independiente con las resoluciones de
desembolso que se requieran cargar. Para ello debe crear el archivo con la estructura
requerida por el sistema Apoteosys, información que reposa en el Reporte de Pendientes de
Fondos.
4.1.20 Entregar las Órdenes de Resolución y el formato F135 “Formato de Autorización de Giros –
Vicepresidencia de Fondos en Administración” al Grupo de Presupuesto de la Vicepresidencia
Financiera, para su cumplimiento.
4.2.1 Efectuar el cargue del archivo Excel en el aplicativo Apoteosys, de acuerdo con las
instrucciones dadas por la Dirección de Tecnología.
Oficina de Riesgos
4.3.3 Avisar a la Vicepresidencia de Fondos en Administración el restablecimiento del sistema
C&CETEX y el Vicepresidente informe al personal del área y puedan ingresar a dicho
aplicativo.
Código:
Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Página: 56 de 123
1. OBJETIVO
2. ALCANCE
Este procedimiento se utiliza ante la activación de contingencia dada por la Oficina de Riesgos,
caso donde el Coordinador del Grupo de Presupuesto de la Vicepresidencia Financiera
determina los Certificados de Disponibilidad Presupuestal a emitir en el día, de acuerdo con las
necesidades de las diferentes áreas de la Entidad y sobre esta decisión informa al personal del
Grupo de Presupuesto para que procedan a aplicar esta contingencia.
3. CONDICIONES GENERALES
Para el desarrollo de esta contingencia se requiere contar con los reportes de Excel de
Ejecución Presupuestal y Base de Datos de los CDP’s (Control dual), debidamente
actualizados y armonizados a la fecha, las cuales reposan en la carpeta compartida del Grupo
de Presupuesto de la Vicepresidencia de Financiera y/o carpeta del Coordinador denominada
“Reportes Consulta”, documentos a conservar debidamente protegidos para que no permitir
su manipulación por ninguna persona ajena al área.
4. DESCRIPCIÓN
Ordenador del gasto
Código:
Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Página: 57 de 123
4.2 Recibir memorando y verificar que se encuentre la siguiente información: Descripción del gasto,
vigencia del mismo y se halle firmada por el Ordenador del Gasto. De faltar alguna de estas
condiciones no se recibe la solicitud; de encontrarse en orden, se entrega la solicitud al Coordinador de
Presupuesto.
4.3 Revisar rubro presupuestal y saldo vigente en el Informe Base de Datos de los CDP’s (Control dual)”;
para lo cual procede así:
4.3.1 Si existe rubro presupuestal y vigencia: Entregar al Funcionario Encargado para continuar el proceso.
4.3.2 Si el gasto no está contemplado para la vigencia en curso: Informar al Ordenador del Gasto de la no
existencia del mismo a través de correo electrónico y en consecuencia se devuelve.
4.3.3 En caso de no existir apropiación vigente no afectada: Revisar al interior del rubro mayor la posibilidad
de realizar ajuste:
De ser posible la modificación del rubro mayor: Efectuar novedad en el Reporte de Informe de
Ejecución Presupuestal, guardando el equilibrio al interior del rubro mayor. Los documentos
soportes son entregados al Funcionario Encargado.
En caso de no ser posible la modificación al rubro mayor y existir disponibilidad en otro rubro,
seguir el procedimiento de “Modificación al Presupuesto”.
4.4 Ingresar en el reporte “Base de Datos de los CDP’s” (Control dual)”, la información relacionada con el
objeto asociado de la solicitud y el valor requerido.
4.5 Emitir CDP manualmente, con la información del objeto, valor y rubros presupuestales afectados.
4.6 Revisar el CDP en físico y verificar que su contenido sea el mismo de la solicitud realizada.
Código:
Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Página: 58 de 123
4.7 Si la información es correcta, firmar el CDP; en caso contrario, solicitar su corrección al Funcionario
Encargado.
4.8 Entregar al Ordenador del Gasto solicitante el CDP original mediante comunicación firmada por el
Coordinador del Grupo de Presupuesto. Debe mantenerse una copia del CDP en el Grupo de
Presupuesto de la Vicepresidencia Financiera, con el sello de recibido del área ordenante.
5. RETORNO A LA NORMALIDAD
Este procedimiento de contingencia podrá retornar a la normalidad una vez confirme la Oficina
de Riesgos la solución del aplicativo Apoteosys, siendo necesario efectuar la actualización
manual en dicho aplicativo de las actividades que se realizaron en contingencia:
5.1 Registrar la información del CDP emitido, afectando el rubro presupuestal con el que se
emitió el documento.
5.2 Modificar el rubro presupuestal en caso que se hayan realizado ajustes.
1. OBJETIVO
2. ALCANCE
Este procedimiento se utiliza ante la activación de Contingencia dada por la Oficina de Riesgos,
caso en el que el Coordinador Grupo de Presupuesto de la Vicepresidencia Financiera determina
las solicitudes de suscripción de compromisos a emitir en el día, de acuerdo con las necesidades
urgentes de las diferentes áreas de la Entidad y sobre esta decisión informa al Grupo de
Presupuesto para que procedan a aplicar esta contingencia. Es de aclarar, que en situación de
contingencia se presta el servicio teniendo en cuenta el volumen de operaciones del día,
atendiendo en orden de prioridad.
3. CONDICIONES GENERALES
Para el desarrollo de esta contingencia se requiere contar con la Base de datos para Control
Presupuestal de Compromisos y Obligaciones (Pagos) y la Base de datos de los CDP’s
(Control Dual), debidamente actualizados y armonizados a la fecha, las cuales reposan en la
Carpeta Compartida del Grupo de Presupuesto de la Vicepresidencia de Financiera y/o carpeta
del Coordinador denominada “Reportes Consulta”, documentos a conservar debidamente
protegidos para que no permitir su manipulación por ninguna persona ajena al área.
No se puede generar ningún compromiso presupuestal sin contar con el respectivo CDP
(Certificado de Disponibilidad Presupuestal).
4. DESCRIPCIÓN
Código:
Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Página: 60 de 123
4.1 Enviar documento soporte del compromiso al Coordinador del Grupo de Presupuesto para su registro
presupuestal, adjuntando los siguientes documentos: Certificado de Disponibilidad Presupuestal,
documentación soporte del compromiso (contrato, convenio, ordenes, etc.) y autorización de las
vigencias futuras si las hay.
Sean correctos y que los valores en ellos consignados sean los mismos.
Sean congruentes el objeto del contrato contra el CDP.
Contenga la imputación presupuestal y la vigencia.
Se encuentre firmado por los funcionarios autorizados.
4.3 Verificar en la Base de datos para control presupuestal de Compromisos y Obligaciones (Pagos) y la
Base de datos de los CDP’s (Control Dual), si existe saldo a comprometer del CDP en el respectivo
rubro, donde se ubica el compromiso suscrito, procediendo así:
Así mismo, estampar el sello de “Presupuesto registrado” en cada folio del compromiso registrado.
Código:
Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Página: 61 de 123
4.3.2 Si no existe saldo por comprometer en el CDP, elaborar memorando rechazando el procedimiento, el
cual se entrega al Coordinador del Grupo de Presupuesto.
4.4 Las suscripciones de compromisos donde existe suficiente saldo del CDP, revisar el registro
presupuestal, firmar y remitir comunicación al Grupo de Contratación; de encontrar alguna
inconsistencia, solicitar corrección al Funcionario Encargado.
4.5 En caso de no existir el saldo en el CDP, revisar y firmar la comunicación de devolución al Ordenador
del Gasto.
4.6 Recibir y continuar con el procedimiento “Legalización de contrato u orden de compra o servicio” (A4-2-
01).
5. RETORNO A LA NORMALIDAD
1. OBJETIVO
2. ALCANCE
Este procedimiento se utiliza ante la activación de Contingencia dada por la Oficina de Riesgos,
caso en el que el Coordinador Grupo de Presupuesto de la Vicepresidencia Financiera
determina las órdenes de pago a atender en el día, de acuerdo con las necesidades urgentes
de las diferentes áreas de la Entidad y sobre esta decisión informa al Grupo de Presupuesto
para que procedan a aplicar esta contingencia. Es de aclarar, que en situación de contingencia
se presta el servicio teniendo en cuenta el volumen de operaciones del día, atendiendo en
orden de prioridad.
3. CONDICIONES GENERALES
Para el desarrollo de esta contingencia se requiere contar con la Base de datos para Control
Presupuestal de Compromisos y Obligaciones (Pagos), debidamente actualizado y
armonizado a la fecha, la cual reposa en la Carpeta Compartida del Grupo de Presupuesto de
la Vicepresidencia de Financiera y/o carpeta del Coordinador denominada “Reportes
Consulta”, documento a conservar debidamente protegido para que no permitir su
manipulación por ninguna persona ajena al área.
Este procedimiento se rige por el Acuerdo 001 del 16 de junio del 2006, por el cual se aprueba
el Estatuto de Presupuesto del ICETEX, en especial lo relacionado en el capítulo V, artículo
37.
4. DESCRIPCIÓN
4.1 Realizar y revisar la Orden de Pago F50 manual. De acuerdo con la naturaleza del compromiso
realiza la orden de pago acompañada de los soportes necesarios (factura, resumen de nómina,
caja menor, fondos, resoluciones de giro, crédito TAE, Access, Fiduciaria, giros).
4.3 Revisar la Orden de Pago F-50 manual y los respectivos soportes, de conformidad con el
contrato y/o normas establecidas y que los valores en ellos consignados sean los correctos,
procediendo así:
4.3.1 Si no tiene los respectivos soportes completos, devolver la Orden de Pago F-50 manual sin tramitar,
dándose como no recibida al Ordenador del Gasto o Ejecutor del Presupuesto.
4.3.2 De presentarse los documentos soportes completos y correctos, revisar en la Base de datos para Control
Presupuestal de Compromisos y Obligaciones (Pagos):
4.3.2.1 Existencia de compromiso por cumplir, es decir que haya la disponibilidad de recursos para efectuar ese
pago de acuerdo con el compromiso adquirido.
4.4 Si en la revisión determina que carece de compromiso por cumplir, proceder a emitir comunicación al
Ordenador del Gasto, devolviendo la orden e indicando el motivo.
4.5 Las órdenes de recursos propios se registran en la Base de datos para Control Presupuestal de
Compromisos y Obligaciones (Pagos), donde se actualiza automáticamente el saldo con la obligación
que se está tramitando.
4.6 Colocar sello de registro de obligación a la orden de pago, conteniendo la fecha de registro de
obligación, e indica que los documentos ya fueron tramitados por el Grupo de Presupuesto.
4.7 Aquellas órdenes a devolver, verificar el motivo de la devolución junto con los documentos
soportes, si es correcto, firmar comunicación al Ordenador del Gasto. En caso de encontrar
inconsistencias en la devolución, informar al Funcionario Encargado para su corrección.
4.8 Las ordenes que cumplen con las condiciones de existencia de compromiso por cumplir,
revisar en la Base de datos para Control Presupuestal de Compromisos y Obligaciones (Pagos)
su correcto registro; de estar en orden firmar la orden de pago F-50 manual en el campo
denominado “Presupuesto”.
4.9 SI se requiere causar sigue el procedimiento “Análisis contable de causaciones y cuentas por pagar”
(A2-3-10).
Si hubo causación ingresa al aplicativo de Apoteosys y cancela las cuentas por pagar.
5. RETORNO A LA NORMALIDAD
Este procedimiento de contingencia podrá retornar a la normalidad una vez confirme la Oficina
de Riesgos la solución del aplicativo Apoteosys, siendo necesario efectuar la actualización
manual en este sistema con las actividades que se realizaron en contingencia:
5.2 Verificar que la Dirección de Contabilidad y la Dirección de Tesorería se haya causado la obligación y
realizado el pago respectivamente, de tal manera que si se realizó el giro, haya descontado del saldo
de la obligación el valor correspondiente y en caso de rechazo mantenga su saldo.
1. OBJETIVO
2. ALCANCE
El Director de Tecnología definirá las medidas para apoyar la contingencia, así como
aquellas actividades necesarias para solucionar la situación generada en el aplicativo
Apoteosys.
3. CONDICIONES GENERALES
Los soportes de la cuenta de cobro o facturas deben ser entregados el mismo día en que
se genera la cuenta de cobro, previa revisión del Interventor que corresponda.
4. DESCRIPCIÓN
Coordinador de Tecnología / Dirección de Tecnología
Aplicar el procedimiento PCTI – BD2, descrito en el Manual de Plan de Continuidad de Negocios del Icetex.
Recibir documentos del Grupo de Presupuesto y analizar los soportes recibidos validando la existencia del
contrato y que los soportes incluyan los valores relacionados en las cláusulas del contrato u órdenes de
compra o servicios que corresponda.
Si los documentos no están completos o hay extemporalidad en la entrega, solicitar la reversión de transacción
de registro presupuestal al Grupo de Presupuesto a través de correo electrónico.
Obtener el Informe de Saldos y movimiento contables, clasificado por cuenta contable y tercero, situación que se
puede obtener a partir de la extracción directa de la base de datos del backup de la información con
apoyo de la Dirección de Tecnología o como segunda forma de generarlo a través del Reporteador
BIABLE.
Establecer la razonabilidad contable del movimiento, analizando a partir del estado de cuenta de los Fondos en
Administración, si el movimiento corresponde al registrado por el área de Fondos, datos que puede
observar en el Informe de Saldos y movimiento contables.
Efectuar liquidación de impuestos de conformidad con la norma contable y la reglamentación que para tal efecto
se encuentra establecida en el plan de cuentas financiero y el estatuto tributario y registrar la resolución
de giro que ampara la cuenta por pagar dentro del Informe de Saldos y movimiento contables.
Consultar manualmente el “Auxiliar contable por tercero” dentro del Informe de Saldos y movimiento contables.
Código:
Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Página: 67 de 123
Establecer el valor y oportunidad de liquidación de impuestos, haciendo verificación del clausulado contractual y
el pago de parafiscales. Verificar el registro del proveedor con sus obligaciones tributarias diligenciadas
dentro de la factura de proveedor, de acuerdo con el régimen tributario al cual pertenece,
estableciendo la razonabilidad contable del movimiento, analizando si el movimiento corresponde a una
provisión, gasto, anticipo o es un pago de impuestos.
Realizar la liquidación del pago de impuestos manualmente de conformidad con el análisis realizado y registrar el
movimiento de cuentas dentro del Informe de Saldos y movimiento contables.
Estampar el sello de “Contabilizado” en la Orden de Resolución u Orden de Pago, firmar y colocar la fecha de
procesado en la Dirección de Contabilidad.
Analizar el impacto del movimiento contable en los estados financieros y en los estados de cuentas de los fondos
en administración.
Entregar la Orden de Resolución u Orden de Pago y los documentos soportes a la Dirección de Tesorería para
que realice el giro.
Una vez realizado el desembolso de acuerdo con el procedimiento de “Giro” en la Dirección de Tesorería,
consolidar la información en el Informe de Saldos y movimiento contables.
5. RETORNO A LA NORMALIDAD
Técnico Administrativo / Dirección de Contabilidad
5.1 Una vez confirme la Oficina de Riesgos la solución del aplicativo Apoteosys, obtener los
nuevos saldos de las cuentas contables en el Informe de Saldos de movimientos contables.
5.2 Extraer los movimientos contables que se realizaron durante la contingencia, generando un
archivo plano y subirlo en el aplicativo Apoteosys por la opción de Interfaces.
5.4 Comparar los saldos contables generados en el sistema Apoteosys con los producidos en el
Saldos de movimientos contables, debiendo existir consistencia en la información. En caso de
existir diferencia es necesario establecer la diferencia y corregir.
1. OBJETIVO
2. ALCANCE
Este procedimiento se utiliza ante la activación de Contingencia dada por la Oficina de Riesgos,
situación donde el Director de Tesorería de la Vicepresidencia Financiera determina las
Resoluciones de Giro y Orden de Pago a emitir en el día, de acuerdo con las necesidades
urgentes de las diferentes áreas de la Entidad y sobre esta decisión informa al Grupo de
Pagaduría para que procedan a aplicar esta contingencia. Es de aclarar, que en situación de
contingencia se presta el servicio teniendo en cuenta el volumen de operaciones del día,
atendiendo en orden de prioridad.
3. CONDICIONES GENERALES
3.1 Para el desarrollo del giro a través de Transferencia Electrónica o Tarjeta Recargable, es
necesario contar con el formato del archivo plano de Archivo de Transferencias de los Portales
Bancarios donde el Icetex tiene Cuentas Corrientes / Ahorros.
4. DESCRIPCIÓN
Para cada uno de los casos relacionar en el archivo de Excel “Control de Ingreso”, los campos: Fecha y hora de
recepción, número de resolución Orden de Pago, Preparador asignado, oficina ordenadora del pago,
moneda en que se pagará y programa que afecta el pago.
Si se presenta alguna inconsistencia en la revisión y registro, se hace devolución a la Oficina Ordenadora del
Gasto para los respectivos ajustes copiando al Grupo de Presupuesto y Dirección de Contabilidad y
registrando la novedad en el archivo de “Control de Ingreso”.
4.2 Entregar los documentos al Preparador de Pagos asignado, según la tipología del pago, el recurso a
pagar y el tipo de moneda del pago.
4.4 Verificar que los documentos estén firmados y los que se requieran estén causados y contengan los
soportes necesarios para realizar el pago. Así mismo, verifica que los valores de las órdenes de pago
y/o resoluciones de giro concuerden con los valores de los soportes anexados:
Si la información requerida para los giros está incorrecta o incompleta, debe devolverse a la Oficina
Ordenadora del Gasto para los ajustes respectivos copiando al Grupo de Presupuesto y Dirección de
Contabilidad.
Si la información es correcta, efectuar actividad 4.5.
4.5 Verificar los terceros a girar en el reporte en Excel “Atención de Embargos”, donde se encuentra la
relación de embargos requeridos por los Entes Judiciales:
4.6 Clasificar el recurso a pagar: Propios, TAE, Fondos y verificar que la cuenta a debitar posea los recursos
disponibles.
5.1 Llenar de forma manual el archivo plano de pagos denominado “Archivo de Transferencias”,
según la estructura técnica de cada Banco, que se encuentra definido en el Grupo de Pagaduría.
5.2 Ingresar al Portal Bancario, identificándose con su usuario y dispositivo de seguridad asignado y
cargar el archivo plano “Archivo de Transferencias”.
5.3 Imprimir directamente del Portal Bancario el proceso de pagos definitivo, impresión que debe
contener la siguiente información:
5.4 Verificar y asignar el punteo del proceso de pagos definitivo a un funcionario diferente al que
Preparador de Pagos que lo elaboró, el cual verifica el Archivo de Transferencias cargado en el
Portal Bancario contra los soportes físicos de cada pago.
5.5 Revisar los datos impresos del Portal Bancario frente a los soportes físicos de cada giro
(Resolución de giro, Orden de Pago u otro documento soporte de la ordenación del giro),
validando que coincida:
5.6 Si se encuentra todo correcto, procede a firmar en señal de revisado, indicando fecha y número
de registros verificados y novedades encontradas.
5.7 Asignar número de proceso mediante numerador y registrar en la Planilla de Control “Planilla
Pagos.xls", la siguiente información: Consecutivo, tema, fecha pago, Fecha reproceso, No. de
registros, Valor, Usuario preparador, Recurso, Novedades, Banco a debitar, Respuesta y
Funcionario que puntea.
5.8 Ingresar al Portal Bancario a verificar que la cuenta seleccionada para el débito de los recursos
esté correcta, la información generada se encuentre acorde con los soportes ya verificados y
punteados y realiza la aprobación del giro.
5.9 Ingresar al Portal Bancario correspondiente al pago preparado y verificar que los soportes
recibidos tengan las firmas de quien realizó la preparación en el portal, la verificación de los
registros y la firma del primer aprobador, valida el valor del lote en el portal contra el físico,
cantidad de registros y nombre del lote. De encontrar todo en orden, procede con la autorización
final del proceso.
5.10 Confirmar en el Portal Bancario que las aprobaciones hayan sido efectivas y el proceso no se
encuentra rechazado o declinado.
5.11 Generar y remitir vía correo electrónico al funcionario encargado de digitación, archivo de Excel
denominado “Formulación”, con los datos necesarios de los Giros realizados por la Entidad para
desarrollar el Proceso de Digitación, para publicar en la Página Web del Icetex.
5.13 Tres días hábiles después de realizada la aprobación de la transferencia, procede a ingresar al
Portal Bancario por donde se realizó el pago y genera el archivo de respuestas que confirma las
operaciones aprobadas y las rechazadas con su respectiva causal de no pago.
Código:
Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Página: 72 de 123
6. RETORNO A LA NORMALIDAD
Este procedimiento de contingencia podrá retornar a la normalidad una vez confirme la Oficina
de Riesgos la solución del aplicativo Apoteosys, siendo necesario efectuar la actualización
manual en dicho aplicativo de las actividades que se realizaron en contingencia, como son:
Procedimiento de Giro
6.1 Rechazar en el sistema las Órdenes de Pago y/o Resoluciones de Giros que se encuentran
incorrectas o incompletas y fueron devueltas al Ordenador del Gasto.
6.2 Si el pago a realizar corresponde a una Resolución ACCES, ingresa al aplicativo financiero y
confirma/ rechaza / aplaza las resoluciones de giro mediante la opción CONT152P6 – Confirmar
Resoluciones con detalles por categoría en Tesorería.
6.3 Si se trata de una Resolución diferente a ACCES, ingresar al aplicativo financiero y confirma/
rechaza / aplaza las Resoluciones mediante la opción CONT152P2 – Confirmación Resoluciones
en Tesorería.
6.4 Si se trata de una Orden de Pago, ingresar al aplicativo financiero y autorizar mediante la opción
TES015P2 –Autorización Financiera de Pagos, luego mediante la opción TES017P1 – Egresos,
se confirma el proceso de pago y genera el Comprobante de Egreso.
6.5 De ser necesario realizar anulación de alguna Orden de Pago se ingresa a la opción TES024P3
– Anular documentos de pago.
6.6 Confirmar las Resoluciones por la opción “Confirmación de Desembolsos de Resoluciones” y las
deja en estado de giro confirmado.
6.7 Cargar Archivo de Respuestas en Apoteosys, aplicando los abonos confirmados y los rechazos,
debe validar el soporte bancario antes de efectuar la aplicación en Apoteosys con la causal
respectiva.
1. OBJETIVO
2. ALCANCE
3. EVENTOS DE CONTINGENCIA
A continuación se describen las acciones a seguir en los diferentes escenarios que pueden
causar interrupción de la operación:
Se presenta cuando el funcionario que ejecuta los procesos no puede asistir a trabajar para
desarrollar las actividades propias de su cargo. Se debe establecer la siguiente cadena de
comunicación:
3.1.1 El funcionario ausente activa la Cascada Telefónica y se comunica con el Coordinador del Grupo
de Correspondencia de Secretaria General (Ver Planilla de Contactos Grupo de
Correspondencia – Secretaria General).
Código:
Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Página: 75 de 123
3.1.2 El Coordinador del Grupo de Correspondencia activa la contingencia por “Ausencia de personal”
y de ser necesario comunica el evento al Jefe de Area. Distribuye procesos claves o asigna
funciones al colaborador Back - up. De igual manera, si la labor lo requiere, solicita al Oficial de
Seguridad Tecnológica la reasignación de perfiles, a través del formato F121 “Formato
asignación de accesos a sistemas de información.
3.1.3 El Coordinador del Grupo de Correspondencia verifica la continuidad exitosa de los procesos.
3.2.1 El Jefe de Riesgos activa la cascada telefónica y comunica el evento de incidente mayor al
Contacto de Departamento Primario – Secretaria General, quien a su vez informa al funcionario
de nivel 3 – Coordinador del Grupo de Correspondencia del incidente ocurrido y las instrucciones
de activación de la contingencia de lugar.
3.2.3 El Coordinador del Grupo de Correspondencia informa al Jefe de Riesgos o su suplente que
ocupará los puestos de trabajo en el lugar alterno de trabajo.
3.2.4 En el lugar alterno de trabajo, el Coordinador del Grupo de Correspondencia solicita el kit de
contingencia (recursos de escritorio) y al personal crítico que inicie la conectividad a los
programas requeridos.
3.2.6 El Jefe de Riesgos informa la disponibilidad y funcionabilidad del sitio normal de trabajo.
3.2.7 El Coordinador del Grupo de Correspondencia devuelve el “kit de contingencia” para su custodia
nuevamente.
La contingencia se presenta cuando el hardware y/o software presenta fallas, o cuando haya
interrupción prolongada de telecomunicaciones.
3.3.1.3 El Coordinador de Infraestructura emite respuesta sobre la gravedad del evento y tiempo de
recuperación al Jefe de la Oficina de Riesgos y al Director de Tecnología.
CONDICIONES GENERALES
Atención Nacional (CAN), el incidente e indica las instrucciones para operar con el
procedimiento de contingencia y mecanismo de comunicación a utilizar.
En la siguiente tabla se ilustra las posibles situaciones de incidente del sistema y las
contingencias estimadas:
Nota: Las comunicaciones que se gestionen dentro de los Centros de Atención Nacional
(CAN) también deben remitir los datos de la misma.
3.3.2.1.2Recibir y verificar que el oficio contenga los documentos soportes (cuando aplique) y los datos
básicos que se requieren para radicación.
3.3.2.1.3Estampar sello de recepción del Icetex, colocar fecha, hora y firma de quien recibe el oficio.
3.3.2.1.4Escanear el (los) oficio(s) y documentos soportes (cuando aplique), si la falla es del sistema
mercurio.
3.3.2.1.8Guardar las imágenes de los oficios que se obtuvieron en el computador a su cargo, donde se
mantendrán todas las comunicaciones dentro de la contingencia, otorgando como nombre el
número de radicación.
3.3.2.1.9Leer y analizar la comunicación con el fin de identificar la ruta de destino del Oficio y distribuir
así:
Preparación y Envío de Tulas (se usa cuando el documento se traslada entre ciudades).
Como evidencia de la entrega diligenciar y firma el formato de Excel denominado
“Correspondencia entregada”.
Área Destino
3.3.2.1.10 Recibir oficio, estampar sello como acuse de recibo y tramitar la solicitud respectiva.
3.3.2.2.2Sobre los oficios que se obtengan en original o escaneados se verifica que los documentos
contengan los documentos indicados en el oficio y que se hallen los datos básicos a requerir
para radicación.
Funcionario emisor
3.3.2.3.2Generar archivo en Excel con la información y estructura definida para envío masivo.
3.3.3.3.1Una vez la Oficina de Riesgos informa la solución del sistema mercurio, el funcionario
responsable del Grupo de Correspondencia procede a identificar el último número de
radicación asignado en contingencia.
3.3.3.3.2Informar a los usuarios de las áreas y Centros de Atención Nacional para que reanuden la
operativa en este sistema, indicándoles el número de radicación a iniciar en el sistema
mercurio, que será el próximo al asignado en contingencia.
1. OBJETIVO
2. EVENTOS DE CONTINGENCIA
A continuación se describen las acciones a seguir en los diferentes escenarios que pueden
causar interrupción de la operación:
Se presenta cuando el funcionario que ejecuta los procesos no puede asistir a trabajar para
desarrollar las actividades propias de su cargo. Se debe establecer la siguiente cadena de
comunicación:
2.1.1 El funcionario ausente activa la Cascada Telefónica y se comunica con el Coordinador del Grupo
de Archivo de Secretaria General (Ver Planilla de Contactos Grupo de Archivo – Secretaria
General).
2.1.2 El Coordinador del Grupo de Archivo activa la contingencia por “Ausencia de personal” y de ser
necesario comunica el evento al Jefe de Area. Distribuye procesos claves o asigna funciones al
colaborador Back - up. De igual manera, si la labor lo requiere, solicita al Oficial de Seguridad
Tecnológica la reasignación de perfiles, a través del formato F121 “Formato asignación de
accesos a sistemas de información.
2.1.3 El Coordinador del Grupo de Archivo confirma al Jefe del Area la continuidad exitosa de los
procesos.
2.2.1 El Jefe de Riesgos activa la cascada telefónica y comunica el evento de incidente mayor al
Contacto de Departamento Primario – Secretaria General, quien a su vez informa al funcionario
de nivel 3 – Coordinador del Grupo de Archivo del incidente ocurrido y las instrucciones de
activación de la contingencia de lugar.
2.2.2 El Coordinador del Grupo de Archivo contacta al equipo de recuperación e informa el incidente
ocurrido, solicitando el desplazamiento al “Lugar alterno de trabajo”.
2.2.3 El Coordinador del Grupo de Archivo informa al Jefe de Riesgos o su suplente que ocupará los
puestos de trabajo en el Lugar alterno de trabajo.
2.2.4 En el Lugar alterno de trabajo, el Coordinador del Grupo de Archivo solicita el kit de contingencia
(recursos de escritorio) y al personal clave que inicie la conectividad a los programas requeridos.
2.2.5 El Coordinador del Grupo de Archivo confirma al Jefe de Riesgos la correcta continuidad de los
procesos.
2.2.6 El Jefe de Riesgos confirma la disponibilidad y funcionabilidad del sitio normal de trabajo.
2.2.7 El Coordinador del Grupo de Archivo devuelve el “kit de contingencia” para su custodia
nuevamente.
La contingencia se presenta cuando el hardware y/o software presenta fallas, o cuando haya
interrupción prolongada de telecomunicaciones.
CONDICIONES GENERALES
La Dirección de Tecnología evalúa e informa a la Oficina de Riesgos, las fallas tecnológicas que
se presentan sobre los aplicativos mercurio y/o correo electrónico. Es de anotar que estos dos
(2) sistemas se encuentran en servidores diferentes como estrategia tecnológica al considerar el
correo electrónico contingencia de comunicación del sistema mercurio.
En la siguiente tabla se ilustra las posibles situaciones de incidente del sistema y las
contingencias estimadas:
La Oficina de Riesgos activa la contingencia cuando la recuperación del (os) sistema(s) supera
el Tiempo Objetivo de Recuperación (RTO) del procedimiento de Consulta de Archivo. El
Coordinador del Grupo de Archivo de Secretaria General informa a todas las áreas y Centros de
Atención Nacional (CAN) el incidente e indica las instrucciones para operar con el procedimiento
de contingencia y mecanismo de comunicación a utilizar de acuerdo con la anterior tabla.
2.3.2.1.1 Ante la necesidad de una copia de una imagen, el funcionario del área solicitante utiliza el
medio de comunicación indicado por el Coordinador del Grupo de Archivo – Secretaria
General, las cuales son:
Los documentos que actualmente se encuentran digitalizados son títulos valores y carpetas
de beneficiarios, en caso de requerirse un documento diferente a esta tipología, es necesario
validarse previamente con el Coordinador del Grupo de Archivo.
Outsourcing de Archivo
2.3.2.1.3 Recibir solicitud de copia de imágenes de documento (correo electrónico o vía telefónica).
Solicitud efectuada por correo electrónico: Enviar al correo electrónico del solicitante.
Solicitud realizada por Teléfono: Informar por teléfono al funcionario solicitante acercarse
a la Oficina del Outsourcing de Archivo a recoger copia de la imagen; en caso que el
requerimiento sea de un Centro de Atención Nacional, se remite por correo interno la
copia de la imagen.
Funcionarios áreas
2.3.2.2.1 Solicitar la ubicación del mismo según las instrucciones suministradas por el Coordinador del
Grupo de Archivo, de acuerdo con la situación presentada, pudiendo ser:
Outsourcing de Archivo
2.3.2.2.2 Recibir la solicitud de ubicación del documento y proceder a buscarlo en la base de datos
del sistema de consulta de archivo, efectuando radicación en la Planilla de Préstamos.
2.3.2.2.3 Dar respuesta de los documentos encontrados por la misma vía que se solicitó:
Funcionarios de Áreas
2.3.2.2.5 Recibir respuesta con los datos de la ubicación del documento solicitado.
2.3.2.2.6 Diligenciar el formato Autorización de consulta al archivo (F228) y entregar dicho formato al
Outsourcing de Archivo.
Outsourcing de Archivo
Código:
Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Página: 87 de 123
2.3.2.2.7 Recibir formato Autorización de consulta al archivo (F228) y ubicar documento en la base
de datos del sistema de consulta de archivo.
2.3.2.2.8 Notificar por vía telefónica al funcionario solicitante de la ubicación del documento.
2.3.2.2.10 Actualizar Base de Datos “Préstamos Icetex”, cambiando el estado del documento a “Listo
entrega”.
Funcionarios Áreas
Outsourcing de Archivo
2.3.2.3.1 Una vez confirmado que la Oficina de Riesgos informa la solución del incidente en los
aplicativos de mercurio y/o correo electrónico, el Coordinador del Grupo de Archivo
Código:
Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Página: 88 de 123
informará a los usuarios de las áreas y Centro de Atención Nacional para que reanuden la
operativa en este sistema.
Outsourcing de Archivo
2.3.2.3.2 Actualizar el sistema mercurio con los préstamos de documentos físicos, tomando como
referencia la base de datos de Préstamos Icetex.
1. OBJETIVO
2. ALCANCE
3. EVENTOS DE CONTINGENCIA
A continuación se describen las acciones a seguir en los diferentes escenarios que pueden
causar interrupción de la operación:
Se presenta cuando el funcionario que ejecuta los procesos no puede asistir a trabajar para
desarrollar las actividades propias de su cargo. Se debe establecer la siguiente cadena de
comunicación:
3.1.1 El funcionario ausente activa la Cascada Telefónica y se comunica con el Coordinador del Grupo
de Administración de Recursos Físicos de Secretaria General (Ver Planilla de Contactos Grupo
de Recursos Físicos – Secretaria General).
3.1.2 El Coordinador del Grupo de Administración de Recursos Físicos activa la contingencia por
“Ausencia de personal” y de ser necesario comunica el evento al Jefe de Area. Distribuye
procesos claves o asigna funciones al colaborador Back - up. De igual manera, si la labor lo
requiere, solicita al Oficial de Seguridad Tecnológica la reasignación de perfiles, a través del
formato F121 “Formato asignación de accesos a sistemas de información.
Código:
Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Página: 90 de 123
3.1.3 El Coordinador del Grupo de Administración de Recursos Físicos verifica la continuidad exitosa
de los procesos.
3.2.1 El Jefe de Riesgos activa la cascada telefónica y comunica el evento de incidente mayor al
Contacto de Departamento Primario – Secretaria General, quien a su vez informa al funcionario
de nivel 3 – Coordinador del Grupo de Administración de Recursos Físicos del incidente ocurrido
y las instrucciones de activación de la contingencia de lugar.
3.2.2 El Coordinador del Grupo de Administración de Recursos Físicos contacta al personal crítico
(equipo de recuperación), e informa el incidente ocurrido, solicitando el desplazamiento al “Lugar
alterno de trabajo”.
3.2.3 El Coordinador del Grupo de Administración de Recursos Físicos informa al Jefe de Riesgos o
su suplente que ocupará los puestos de trabajo en el lugar alterno de trabajo.
3.2.4 En el lugar alterno de trabajo, el Coordinador del Grupo de Administración de Recursos Físicos
solicita el kit de contingencia (recursos de escritorio) y al personal crítico que inicie la
conectividad a los programas requeridos.
3.2.5 El Coordinador del Grupo de Administración de Recursos Físicos confirma al Jefe de Riesgos la
correcta continuidad de los procesos.
3.2.6 El Jefe de Riesgos informa la disponibilidad y funcionabilidad del sitio normal de trabajo.
3.2.8 El Coordinador del Grupo de Administración de Recursos Físicos comunica al personal crítico el
“Retorno a la normalidad” y coordina el desplazamiento al “Sitio base de trabajo”.
La contingencia se presenta cuando el hardware y/o software presenta fallas, o cuando haya
interrupción prolongada de telecomunicaciones.
Código:
Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Página: 91 de 123
3.3.1.7 El Coordinador de Infraestructura emite respuesta sobre la gravedad del evento y tiempo de
recuperación al Jefe de la Oficina de Riesgos y al Director de Tecnología.
CONDICIONES GENERALES
3.3.2.1 Recibir facturas de pago de servicios públicos y administradores de bienes inmuebles y verificar
que las mismas estén correctas. Si se llegara a presentar alguna inconsistencia se subsana
comunicándose con la empresa prestadora del servicio.
3.3.2.3 Firmar la Orden de Pago en señal de elaborado y presentarla para su revisión y aprobación al
Aprobador y Ordenador del Gasto.
3.3.2.4 Registrar en el libro control de órdenes de pago de la Secretaria General, cada una de las órdenes de
pago que se entregan al Grupo de Presupuesto de la Vicepresidencia Financiera.
Continuar con las actividades de los procedimientos de Registro presupuestal de Obligaciones, Análisis contable
de causaciones y cuentas por pagar y Giro.
Jefe de Riesgos
3. La Secretaria General con apoyo del Comité SARO-SARLAFT, contacta a los proveedores
de las alternativas seleccionadas, definen el sitio alterno en el cual se mantendrá la
operación de la Entidad en momento de contingencia.
4. Acuerda con el proveedor la utilización de sus instalaciones por el período de tiempo que
dure la contingencia, según las necesidades del Icetex descritas por el Coordinador de
Negocio y el Comité SARO-SARLAFT en ese momento.
7. Una vez instalados en el centro de operaciones alterno, realiza un chequeo del personal
mínimo que se encuentra en el sitio, en caso de ser necesario llamará al personal suplente
requerido.
10.Realiza una evaluación del sitio alterno, para validar que los recursos requeridos se
encuentren disponibles en el sitio.
11. Solicita a los diferentes Coordinadores de Recuperación un estado del evento y como ha
transcurrido la operación en contingencia, se debe de usar el formato de Activación y
Seguimiento de la Activación (detallado en el numeral 8.5.5).
12. El Comité SARO – SARLAFT analiza los resultados del estado de la contingencia y,
procede a decidir:
OBJETIVOS
1. Detalla en forma precisa el evento o incidente que se presenta e informa al Líder de PCN
de la dependencia.
3. Una vez tenga claridad sobre el evento que se está presentando y los colaboradores
involucrados, debe clasificarlo teniendo en cuenta las siguientes definiciones para
determinar si es un incidente o un problema:
4. Ingresa en el aplicativo de reporte de incidencias del Instituto. Esto con el fin que la
Dirección de Tecnología pueda dejar reportado el evento en el Control de Incidentes.
9. Desarrolla la estrategia manual (Ver anexo 8.2, que contiene las contingencias manuales
estimadas).
10. Una vez solucionado el incidente o problema por parte de la Dirección de Tecnología,
informa al Director de Continuidad Alterno (Jefe de Riesgos) y al Líder PCN del área
afectada para que se levante la contingencia.
13. Una vez se haya solucionado el incidente, diligencia el formato “Reporte de incidente PCN”
(ver numeral 8.5.2), lo entrega al Jefe de la Oficina de Riesgos, con copia al Líder del
Proceso responsable del área afectada.
Código:
Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Página: 98 de 123
INFRAESTRUCTURA FISICA
resistencia y control de impactos de afectación física.
Falla en la administración de proveedores de servicios profesioales Carencia de control de accesos en áreas críticas restringidas.
PERSONAS
Falta o inadecuados procesos definidos e implementados para el Dependencia y falta de control de proveedores
soporte del servicio /administración de incidentes, administración
de cambios, administración de configuración, administración de
Falta o inadecuados procesos definidos e implementados para la Falla en suministrar claridad en roles y responsabilidades
entrega del servicio (administración de capacidad y desempeño, relacionadas con las operaciones críticas
administración de continuidad de tecnología, administración de
acuerdos de niveles de servicios).
Falla en el Inventario (stock) de componentes o partes críticas. Falta o fallas en acuerdos de servicios medibles y confiables
con proveedores
Ausencia de sitios alternos de procesamiento. Falta o fallas enla medición de tiempos y cantidad de
recursos críticos
Inadecuada capacidad de enlaces de trasmisión y redundancia. No se cuenta con jormadas de evacuación del edificio
Falta de pruebas de recuperación y retorno, restauración de cintas
de respaldo.
Falta de respaldos de datos (tipo, frecuencia, SW, política de
respaldo de datos, rotulado y rotación de cintas, ubicación de
cintotecas.
Falta o falla de centros de custodias (distancia, frecuencia de
recolección, convenios).
Falla en Requerimiento a proveedores (contingencias, sitios
alternos).
Otros
Código:
Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Página: 100 de 123
Moderado Durante una interrupción de las Suspende la El problema es Durante una interrupción de las operaciones El tiempo máximo en que el procedimiento Herida que requiere Acceso
operaciones normales cuya operación o genera de normales del procedimiento mayor a 24 horas debe ser recuperado sin causar un impacto tratamiento de restringido a las
duración es mayor a 24 horas reprocesos mayores conocimiento hasta 48 horas, las sanciones por el significativo al Instituto o al Servicio al hospital a más de un instalaciones
hasta 48 horas, el Instituto podría a 4 horas y hasta 1 de un número incumplimiento podrían superar los $170,000,000 Cliente Externo mayores a 24 horas hasta 48 miembro del físicas (60%)
3 perder una ganancia o dejaría de dia. considerado de y/o el periodo de tiempo dentro del cual el horas o el número de clientes externos personal.
percibir ingresos a través de clientes. resultado de incumplimiento daría lugar a afectados diariamente es mayor a 500 hasta Reducción del
préstamos o productos que Penalizaciones, sanciones, multas y/o 1000. personal a nivel
superan más de $170,000,000. Investigación contra del Instituto es mayor a 24 local.
horas hasta 48 horas.
Importante Durante una interrupción de las Suspende la A nivel sectorial Durante una interrupción de las operaciones El tiempo máximo en que el procedimiento Heridas Imposibilidad
operaciones normales cuya operación o genera / Entes de normales del procedimiento mayor a 4 horas debe ser recuperado sin causar un impacto significativas.muert de acceso a
duración es mayor a 4 horas hasta reprocesos mayores control. hasta 24 horas, las sanciones por el significativo al Instituto o al Servicio al e potencial. instalaciones
24 horas, el Instituto podría perder a un día hasta 2 días. incumplimiento podrían superar los $170,000,000 Cliente Externo mayores a 4 horas hasta 24 Reducción físicas
4 una ganancia o dejaría de percibir y/o el periodo de tiempo dentro del cual el horas o el número de clientes externos significativa de
ingresos a través de préstamos o resultado de incumplimiento daría lugar a afectados diariamente es mayor a 1000 personal.
productos que superan más de Penalizaciones, sanciones, multas y/o hasta 5000.
$170,000,000. Investigación contra del Instituto es mayor a 4
horas hasta 24 horas.
Masivo Durante una interrupción de las Suspende la Medios de Durante una interrupción de las operaciones El tiempo máximo en que el procedimiento Muertes y/o Destrucción
operaciones normales entre 0 y 4 operación o genera comunicación. normales del procedimiento mayor a 0 horas debe ser recuperado sin causar un impacto afectación total total de
horas, el Instituto podría perder reprocesos mayores hasta 4 horas, las sanciones por el significativo al Instituto o al Servicio al sobre las vidas del instalaciones
una ganancia o dejaría de percibir a 2 días. incumplimiento podrían superar los $170,000,000 Cliente Externo es de 0 a 4 horas o el personal. Reducción físicas
5 ingresos a través de préstamos o y/o el periodo de tiempo dentro del cual el número de clientes externos afectados amplia del personal.
productos que superan más de resultado de incumplimiento daría lugar a diariamente es mayor a 5000.
$170,000,000. Penalizaciones, sanciones, multas y/o
Investigación contra del Instituto es mayor a 0
horas hasta 4 horas.
NOTA: Contiene las variables de impacto aplicadas en el Análisis de Impacto del Negocio: Financiero, Proceso, Reputacional, Legal y de Servicio al Cliente
Las variables de impacto de: Proceso y Reputacional, son las mismas que se definieron para la Administración del Riesgo Operativo - SARO
Las variables de : Impacto humano e Infraestructura física deben ser contempladas por el tema de continuidad
El valor asociado y la calificación son las mismas utilizadas para la administración del riesgo operativo - SARO, iniciando desde la calificación 1.
Código:
Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Página: 102 de 123
Cargo Cargo
Procedimiento 1
Procedimiento 2
Procedimiento 3
Procedimiento 4
Procedimiento 5
Procedimiento 6
Procedimiento 7
Procedimiento 8
Procedimiento 9
Procedimiento 10
Ir a Sección Ir a Instrucciones
Ir a Parámetros ir a Cuestionario Requerimientos Cuestionario
Código:
Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Página: 103 de 123
Cuestionario BIA
Regulatorio/Legal
Durante una interrupción de las operaciones normales del procedimiento,
1 describa el plazo en el cual las sanciones por el incumplimiento podría
superar los $170,000,000.
Describa el periodo de tiempo dentro del cual el resultado de incumplimiento
2 daría lugar a Penalizaciones, sanciones, multas y/o Investigación contra del
Instituto.
Impactos para ser analizados por el Área de Negocio/Apoyo
Financiero
El Instituto podría perder una ganancia de
3 Durante una interrupción de las más de $170,000,000.
operaciones normales del
El Instituto dejaría de percibir ingresos, a
procedimiento, describir el
4 través de préstamos o productos que
período en el que:
superan los $170,000,000.
Servicio a Cliente Externo
¿Cuál es el tiempo máximo en que el procedimiento debe ser recuperado sin
5
causar un impacto significativo al Instituto o al Servicio al Cliente Externo?
6 Número de clientes externos afectados diariamente
Reputacional
Evalue el efecto del impacto reputacional en cuanto a las opiniones de los
7
clientes, sectores educativo y financiero y/o el publico en general.
Procedimientos
8 ¿Cuál sería el impacto en otros procedimientos o áreas?
Proveedores
Describa la importancia de las actividades de sus proveedores externos en
9
sus procedimientos.
Proveedores Críticos
Nombre del
Procedimiento
Número de funcionarios
tiempo completo para
ejecutar el procedimiento
Número de funcionarios
necesarios durante la
recuperación
Aplicación Critica - 1
Aplicación Critica - 2
Aplicación Critica - 3
Aplicación Critica - 4
Aplicación Critica - 5
Teléfono Interior
Impresora
Scanner
La información contenida en este documento es exclusivamente de <<AREA>>. Para llegar al nivel adecuado de
preparación de la continuidad, la <<AREA>> ha respondido al Analisis de Impacto del Negocio e información para
justificar el apoyo en cada una de las respuestas seleccionadas en el cuestionario BIA, así como la información de la
Tecnología " Requisitos durante el desastre y la información sobre "Proveedores Críticos" de los procedimientos. Esta
información será utilizada en toda la documentación de continuidad del negocio en el futuro.
Conclusiones
El BIA constituye un aporte fundamental para obtener la Estrategia para la Continuidad del Negocio. En función de la
criticidad, una amplia gama de estrategias de Continuidad de Negocios se pueden implementar. Estas estrategias
serán acordadas entre las Áreas de Negocio/Apoyo y el equipo de Plan de Continuidad de Negocio (PCN).
De acuerdo con lo anterior, los procedimientos que se priorizan en la primera fase de revisión de las disposiciones del
Plan de Continuidad de Negocios (PCN), serán los valores que aparecen en el BIA con valor <<Misión Critica>> y
<<Masivo>> en el cuadro anterior.
Firmas
Detalles Nombre Firma
Jefe Área
Líder BCP
Código:
Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Página: 106 de 123
Información de Identificación
Fecha del incidente Hora de ocurrencia
Duración del incidente Proceso afectado
Nombre del área Lugar donde se
presentó el incidente
Lecciones aprendidas
PERSONAL
CRITICO
Tel Correo CONTACTO EQUIPO
Rol Nombre Cargo Celular Casa BRIGADISTA ( R eenviad o s a
Interno Electrónico PRINCIPAL RECUPERACION un sit io alt erno
d e co nt ing encia
d e co rt o
t iemp o )
Contacto de
Emergencia
Primario para
todas las áreas
de negocio
Contacto de
Departamento
Primario
Cascada Nivel 1
Cascada Nivel 2 -
Contactarán a los
Coordinadores
de su área
Cascada Nivel 3 -
Contactarán al
personal de sus
propios grupo de
cascada.
Personal
Personal
Personal
Personal
Personal
Proveedor
Descripción Proveedor
Dirección
Procedimiento
Correo Correo
Proveedor
Descripción Proveedor
Dirección
Procedimiento
Correo Correo
Proveedor
Descripción Proveedor
Dirección
Procedimiento
Correo Correo
Código:
Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Página: 109 de 123
OBJETIVOS
OBJETIVO GENERAL (Definir claramente lo que se quiere lograr con el desarrollo de la prueba)
1
OBJETIVOS ESPECÍFICOS (Enunciar las acciones y/o actividades a desarrollar para lograr el objetivo general de la prueba)
ALCANCE
Establecer los elementos que hacen parte del proceso o servicio objeto de la prueba.
2
ESCENARIO DE INTERRUPCIÓN
Describir las circunstancias y/o los eventos de interrupción a considerar durante el desarrollo de la prueba con el fin de ambientar la situación bajo la cual el plan de contingencia podría ser activado para
3 el proceso objeto de la prueba.
RESULTADOS ESPERADOS
4 Describir los productos (output) que se esperan obtener al finalizar la ejecución de la prueba.
Riesgos
Identificar y describir los riesgos asociados a la ejecución de la prueba. En la identificación se deben tener en cuenta aspectos como: la afectación del servicio, la imagen, las capacidades técnicas,
entre otros.
7
Riesgo y/o Dificultades Impacto Acción Responsable
Completamente Completamente
satisfactorio satisfactorio
Código:
Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Página: 110 de 123
2.
Código:
Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Página: 111 de 123
1 No aplica (N/A)
2.
n
Código:
Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Página: 112 de 123
dd mm aa
Información general
Cargo Fecha
Escritorio Ejecutor
Tipo de Prueba Tipo de Integrante
Por componentes Observador
(Señale con una X) (Señale con una X)
Integrada Evaluador
Planeación
Ejecución
Fase en la que participó FIRMA
Retorno
Evaluación
En la realización de las pruebas son muy importantes sus comentarios y recomendaciones. Estos ayudan a mejorar y actualizar el programa de continuidad de negocio. Por
favor escoja la respuesta adecuada y suministre cualquier comentario adicional.
Sí
¿Identificó oportunidades de mejora en cuanto al tiempo empleado en la ejecución de la prueba?
No
Si su respuesta anterior fue Sí, por favor describa las oportunidades de mejora y/o los aspectos a tener en cuenta para fortalecer la administración del tiempo durante la ejecución de la prueba.
¿Cómo fueron las instrucciones que recibió para ejecutar la prueba? (Marque con una X)
Sí
Identificó oportunidades de mejora en cuanto a la forma como fueron comunicadas las instrucciones para participar en la prueba?
No
Si su respuesta anterior fue Sí, por favor describa las oportunidades de mejora y/o los aspectos a tener en cuenta para fortalecer la definición de las instrucciones y la forma como deben ser
comunicadas a los participantes.
¿Fue suficientemente realista la prueba para validar la efectividad del plan y/o procedimientos contingentes? (Marque con una X)
¿Identificó oportunidades de mejora en cuanto al escenario definido para el desarrollo de la prueba y en cuanto a los recursos mínimos Sí
utilizados en la misma? No
Si su respuesta anterior fue Sí, por favor describa las oportunidades de mejora y/o los aspectos a tener en cuenta para fortalecer y mejorar el escenario definido para el desarrollo y los recursos
mínimos utilizados en el desarrollo de la misma.
3
¿Cuántos problemas y/o debilidades y/o aspectos por mejorar identificó durante el desarrollo de la prueba? (Marque con una X)
De 1 a 2 De 5 a 6 Ninguno
De 3 a 4 Más de 6
Por favor mencione los problemas y/o debilidades y/o aspectos por mejorar que identificó:
4 Si identificó problemas y/o debilidades y/o aspectos por mejorar por favor enuncie algunas recomendaciones para fortalecer dichos aspectos.
Si su respuesta anterior fue No o Parcialm ente, por favor describa las razones por las cuales ud. cree que no se alcanzaron satisfactoriamente los objetivos trazados para esta prueba.
Satisfactoria Efectiva
Sí
Identificó oportunidades de mejora en cuanto a la efectividad de la prueba?
No
Si su respuesta anterior fue Sí, por favor describa las oportunidades de mejora y/o los aspectos a tener en cuenta para fortalecer este tema.
Califique la efectividad de los procedimientos (Paso a Paso) establecidos en cada una de las etapas para llevar a cabo la prueba (Marque
con una X)
Medianamente Medianamente
Efectivos Efectivos Efectivos
Satisfactorios Satisfactorios
Satisfactorios
¿Identificó oportunidades de mejora en cuanto a la efectividad de los procedimientos (Paso a Paso) definidos para llevar a cabo la Sí
7 prueba?
No
Si su respuesta anterior fue Sí, por favor describa las oportunidades de mejora y/o los aspectos a tener en cuenta para fortalecer este tema.
¿Cúal es su calificación general del desarrollo de la prueba respecto a los resultados obtenidos? (Marque con una X)
Vicepresidencia de Fondos en
Diana Patricia Olaya Campo Elias Vaca Perilla
Administración
Oficina de Relaciones Internacionales Diana Carolina Gómez William Barreto
Oficina Comercial y Mercadeo Luyfer Osorio Andres Felipe Murillo
Oficina Asesora Jurídica Ricardo Cortés Pardo Campo Elias Vaca Perilla
Dirección de Tecnología Victor Raul Bautista Galindo Francisco Pulido Fajardo
Oficina Asesora de Comunicaciones Andres Mauricio Rivera Sánchez Amanda Ramírez
Secretaria General Coordinadora Grupo de Contratos Ingrid Marcela Garavito María Eugenia Méndez Munar
Coordinadora Grupo Correspondencia Luz Marielly Morales
Coordinador Grupo de Archivo Gerardo Alonso Rodríguez Pineda
Coordinadora Grupo Talento Humano Miryam Cardona Giraldo
Coordinador Grupo Recursos Físicos Gloria Nancy Méndez Ibañez
Oficina de Riesgos Claudia Stella Cortés Albornoz Jaime Eduardo Galvez Marquez
Oficial de Cumplimiento Claudia Stella Cortés Albornoz Jaime Eduardo Galvez Marquez
Oficina Asesora de Planeación Edgar Fabio Díaz Ramírez Rodrígo Fernando Acosta Trujillo
Oficina de Control Interno Carlos Eduardo Cruz Luz Alba Sánchez Sánchez
Código:
Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Página: 118 de 123
El Grupo de Trabajo de PCN analizó la totalidad de los procesos con los que cuenta la Entidad,
revisando 134 procedimientos. Tal evaluación fue validada y aprobada por los Lideres del
Proceso y en constancia firmaron el Acta resumen correspondiente.
Estos procedimientos fueron calificados como se ilustra en el siguiente cuadro, los cuales están
agrupados por tipo de proceso:
VALOR BIA: Nivel 1AAA Nivel 1AA Nivel 1A Nivel 2 Nivel 3 Nivel 4 Nivel 5 Nivel 6
TIPO PROCESO
RTO: 4 horas 8 horas 24 horas 48 horas 7 días 14 días 30 días >30 días
NO. PROCESOS
CALIFICACION BIA: Misión Crítica Misión Crítica Masivo Masivo Medio Medio Bajo Insignificante
MISIONAL 14 38 1 1 4 14 7 7 4
APOYO 19 68 1 11 9 17 10 11 9
ESTRATEGICOS 7 24 2 2 8 6 6
EVALUACION 1 4 1 2 1
TOTAL 41 134 1 1 15 15 31 25 26 20
Los resultados indican que los procedimientos calificados en: Nivel 1AAA, Nivel 1AA, Nivel 1ª y
Nivel 2, cuyo tiempo objetivo de recuperación (RTO) oscila entre 4 y 48 horas son considerados
como críticos – prioritarios para la Entidad, suman 32 procedimientos y es de vital importancia
establecer la estrategia de continuidad para cada uno de estos procedimientos. Los restantes
102 procedimientos fueron calificados entre los niveles 3 al 6, lo que indica que permiten un
tiempo mayor de recuperación.
N - 1AAA
4 horas Atención al cliente Otorgamiento de becas colombianos en el exterior
Misión crítica
N - 1AA
Otorgamiento de becas posgrados para extranjeros en
8 horas Cumplimiento de operaciones de inversión
Colombia
Misión crítica
Gestión de legalización y renovación para
Cierre de cartera
aprobación del desembolso
Facturación época de estudios, período de gracia y
Actualización de contenidos en la página Web
amortización
Custodia de Garantías Nivel 2 Base de datos
Suscripción y legalización de contrato, convenio, 48 horas
Soporte a Infraestructura
ordenes de servicio y/o compra Masivo
Gestión de correspondencia externa Atención acciones de tutela
NIVEL 1A Registro presupuestal de compromisos Consulta de archivo
24 horas Registro presupuestal de obligaciones Apoyo logístico
Masivo Causaciones y cuentas por pagar Liquidación de nómina
Generación de información exógena, elaboración y
Expedición del certificado de disponibilidad presupuestal
transmisión de información
Presentación y pago de impuestos Análisis contable con sus contrapartidas críticas
Giro Cierre contable mensual
Servicio a la deuda Aplicación del modelo de referencia de cartera comercial
Gestión de incidentes de seguridad Medición, transmisión y seguimiento del VaR
Gestión de vulnerabilidades
Requerimientos Entes de Control
1
Gestion de legalización y C&CETEX
8 8 3 SI SI <=24 Horas
aprobación del desembolso Cobol
2 Internet
Actualización de contenidos en
1 1 1 SI <= 24 horas Office
Página Web
Correo electrónico
3 Registro presupuestal de
2 1 1 SI <= 8 horas Apoteosys
compromisos
4 Registro presupuestal de
0 SI <= 24 horas Apoteosys
obligaciones
5
Causaciones y cuentas por pagar 1 1 <= 24 horas Apoteosys
6
Presentación y pago de impuestos 1 <= 24 horas Apoteosys
7 Generación de información
exógena, elaboración y 1 <= 24 horas Apoteosys
transmisión de información
8
Apoteosys
Giro 2 1 1 SI SI <= 4 Horas Office
Internet
9
Office
Servicio a la deuda 1 1 SI SI <= 4 Horas
Internet
10 Gestion de correspondencia
2 1 1 SI SI <= 4 Horas Mercurio
externa
11 Mercurio
Custodia de garantias 1 3 1 1 SI <= 8 horas SGD V2.0 -MTI
Página Web
12 Suscripción y legalización de
Correo electrónico
contrato, convenio, ordenes de 2 2 SI <= 4 Horas
Office
servicio y/o compra
13 Correo
Gestión de incidentes de seguridad 1 1 1 SI <= 24 horas
electrónico
14 Gestor de
Gestion de vulnerabilidades 1 1 SI <= 24 horas Vulnerabilidades
MacAFFE
15 C&CETEX
Requerimientos Entes de Control 2 2 1 SI SI <= 24 horas Apoteosys
Cobol
Total Requerimientos 26 3 21 10
Con esta calificación fueron evaluados quince (15) procedimientos, los cuales se detallan a
continuación con los recursos necesarios para operar:
Código:
Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Página: 121 de 123
PRINCIPALES
RECURSO HUMANO BIENES MUEBLES
No. PROCEDIMIENTO RPO APLICATIVOS
RECURSO REQUERIDOS
RECURSO
HUMANO COMPUTADOR TELEFONO IMPRESORA ESCANER
HUMANO
OUTSOURCING
Bizagi
Otorgamiento de becas
1 2 2 1 SI <= 4 Horas C&CETEX
colombianos en el exterior Fox-Pro
Otorgamiento de becas Bizagi
2 posgrados para extranjeros 1 1 1 > 30 días Apoteosys
en Colombia Correo electrónico
C&CETEX
3 Cierre de cartera 1 2 1 <= 24 horas Apoteosys
Correo electrónico
Facturación epoca de C&CETEX
4 estudios, período de gracia y 1 1 <= 24 horas Correo electrónico
amortización Office
Mercurio
5 Atención acciones de tutela 3 3 1 SI SI <= 24 horas C&CETEX
Correo electrónico
Apoteosys
Expedición del certificado de
6 0 0 0 SI <= 8 horas Correo electrónico
disponibilidad presupuestal Office
Apoteosys
8 Cierre contable mensual 1 1 1 SI <= 24 horas C&CETEX
Correo electrónico
Mercurio
9 Consulta de archivo 1 3 1 1 SI <= 8 horas SGD V2.0 -MTI
Correo electrónico
Queryx SRH
10 Liquidación de nómina 2 2 1 SI > 30 días Correo electrónico
Office
Office
11 Apoyo logístico 2 2 1 SI <= 48 horas Apotesoys
Correo electrónico
Oracle
12 Base de datos 1 1 <= 24 horas
TOAD
Dado que se encuentra clasificado por niveles de prioridad de los procedimientos para
continuidad, es posible tomar distintas decisiones del alcance del PCN. De acuerdo con el
propósito de tener estrategia de continuidad bajo el escenario de Interrupción de Lugar para los
32 procedimientos calificados como críticos (cuyo tiempo objetivo de recuperación comprende de
4 a 48 horas), es necesario operar con:
El cuestionario BIA midió el tiempo tolerable en que la Entidad está dispuesta a perder de
información ante una interrupción en la tecnología de información por fallas. Los resultados
arrojados son los siguientes:
Código:
Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE
Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO
Página: 123 de 123
Actualmente el Icetex realiza backups de la información a los aplicativos con una frecuencia de
cada 24 horas. Como se aprecia en el cuadro, el Grupo de Trabajo de PCN en un 50%
considera adecuado la protección de datos cada 24 horas y en un 25% hasta puede superar la
periodicidad de protección de ese tiempo; la diferencia del 25% requiere backup con frecuencia
inferior al día.
Esta información es significativa para la Entidad para el establecimiento de estrategias y
políticas de backup de la información.
APLICATIVOS CRITICOS