Riesgos y Controles

RAMOSDULCES&DETALLES

Matriz de Riesgos

Clase de
Proceso Subproceso No. Riesgos del Proceso Causas y/o Fallas
Riesgo

Gestión de la Gestión de la Operativo R1 Adquisición de elementos Ausencia y/o deficiencias en la

Tecnología Infraestructura de infraestructura Planeación para la selección,
Tecnológica técnológica inapropiados o actualización, adquisición e
innecesarios (hardware, implementación de la plataforma
plataformas de seguridad, tecnológica (hardware, plataforma
dispositivos de red y de software, firmware) de la
telecomunicaciones etc.) Entidad - F1

- Ausencia y/o deficiencias en el

proceso de selección y gestión de
los proveedores (hardware,
plataforma de software, firmware)
de la Entidad - F2

- Falta de capacitación y
experiencia del personal adscrito
a la Jefatura de Sistemas - F3

- Limitación del presupuesto de

Tecnología de la Información - F4

Gestión de la Gestión de la Operativo R2 Deficiente desempeño de Ausencia y/o deficiencias en la

Tecnología Infraestructura la Infraestructura Planeación para la selección,
Tecnológica Tecnológica de la Entidad actualización, adquisición e
implementación de la plataforma
tecnológica (hardware, plataforma
de software, firmware) de la
Entidad - F1
 Evaluar Controles

Inventario de Controles Evaluación de Controles

Responsabilidad del Control Tipo de Control Frecuencia del Control Actividades que Observaciones Solidez
Control Naturaleza del Documentación del Diseño del Ejecución del Importancia del Solidez del Conjunto
No. Descripción del Control Asociado a la Causa o Falla componen el frente al diseño Individual del
Clave Control Control Control Control Control de Controles
Asignación Cargo Tipo Funcionalidad Periodicidad Funcionalidad Control del control Control

Cada vez que se requiere, el Jefe de Sistemas realiza un análisis detallado de las
herramientas tecnológicas de la Caja que incluye un estudio de mercados, una invitación a
Jefe de la Oficina de Cuando se
C1 cotizar y una evaluación del impacto de cada adquisición con base en las necesidades Sí Asignado
Sistemas
Preventivo Adecuado Manual
requiera
Adecuado Documentado Adecuadas Muy adecuado No Moderado Moderado Poco Importante Fuerte
relacionadas con la plataforma tecnológica de la Entidad. Queda como evidencia la
documentación que incluye la invitación a cotizar y las propuestas recibidas.

El Subproceso de Compras y Contratación adscrito al Sistema de Gestión Documental y

administrado por la Jefatura de Compras de la Caja, incluye dentro de la Orden de Compra
información del Proveedor tal como: fecha de inicio y fecha de entrega, descripción del
Producto, Valor Unitario y Valor Total. Este subproceso también prevé de manera Jefe de Compras y
permanente, la inscripción de los proveedores, los términos de la contratación, calidad, Suministros
C2 Sí Asignado Detectivo Adecuado Manual Permanente Adecuado Documentado Adecuadas Muy adecuado No Moderado Moderado Poco Importante
garantía y las formas de pago, entre otros aspectos (se hacen de manera manual, no existe Jefe de la Oficina de
un software). Quedan como evidencia los registros físicos y documentales. Toda esta Sistemas
documentación está consignada en un archivo manual a cargo de la Jefe de Compras y
Suministros. La Jefatura de Sistemas se ciñe a los lineamientos y las directrices
establecidas en el subproceso de Compras y Contratación.

No existe un plan
El Jefe de Sistemas lleva a cabo anualmente un análisis de la necesidades de capacitación
de capacitación
del personal de la Jefatura de Sistemas y coordina con la Jefatura de la División Jefe de la Oficina de
C3 No Asignado Preventivo Adecuado Manual Anual Adecuado No documentado Adecuadas Adecuado formal Moderado Moderado Poco Importante
Administrativa, la viabilidad de su ejecución. El soporte de este procedimiento queda en Sistemas
documentado y
poder y custodia de la Jefatura de Sistemas.
divulgado

Anualmente, el Jefe de Sistemas lleva a cabo una alineación de los proyectos e iniciativas Se presentan
de TI con el Plan Estratégico de la Caja. Este Plan se envía para su respectiva aprobación a restricciones
Jefe de la Oficina de
C4 la División Administrativa /Jefe de Presupuesto para su inclusión en el Plan Operativo Anual No Asignado Preventivo Adecuado Manual Anual Adecuado Documentado Adecuadas Muy adecuado importantes en el Moderado Moderado Poco Importante
Sistemas
(POA) .Queda como evidencia el POA y el Plan Estratégico de Tecnología (PETI) en poder presupuesto de TI
del Jefe de Presupuesto y del Jefe de Sistemas. de la Caja.

Cada vez que se requiere, el Jefe de Sistemas realiza un análisis detallado de las
herramientas tecnológicas de la Caja que incluye un estudio de mercados, una invitación a
Jefe de la Oficina de Cuando se
C1 cotizar y una evaluación del impacto de cada adquisición con base en las necesidades Sí Asignado
Sistemas
Preventivo Adecuado Manual
requiera
Adecuado Documentado Adecuadas Muy adecuado No Moderado Moderado Poco Importante Fuerte
relacionadas con la plataforma tecnológica de la Entidad. Queda como evidencia la
documentación que incluye la invitación a cotizar y las propuestas recibidas.
 Proceso: Gestión de la Tecnología
Subroceso: Gestión de la Infraestructura Tecnológica
RAMOSDULCES&DETALLES

Mapa de Riesgos Inherentes

Riesgo
Muy alta Inherente
Extremo

Riesgo
Alta Inherente
Alto

Riesgo
Probabilidad de ocurrencia Moderada Inherente
Moderado

R4 R1 R3
Riesgo
Baja Inherente
Bajo

R2

Muy baja

Inferior Menor Importante Mayor Critico

Impacto

Firma del Dueño de Proceso Firma del Dueño del Subproceso

R1 Adquisición de elementos de infraestructura técnológica inapropiados o innecesarios (hardware, plataformas de seguridad, dispositivos de red y telecomunicacion

R2 Deficiente desempeño de la Infraestructura Tecnológica de la Entidad

R3 Ausencia y/o deficiencias en el mantenimiento de la infraestructura tecnológica de la entidad

R4 Deficiencias y/o ausencia de un ambiente controlado de desarrollo, pruebas y producción de sistemas.

a inapropiados o innecesarios (hardware, plataformas de seguridad, dispositivos de red y telecomunicaciones etc.)
 Proceso: Gestión de la Tecnología
Subroceso: Gestión de la Infraestructura Tecnológica

Mapa de Riesgos Residuales

Riesgo
Muy alta Residual
Extremo

Riesgo
Alta
Residual Alto

Riesgo
Probabilidad de
ocurrencia
Moderada Residual
Moderado

Riesgo
Baja
Residual Bajo

R1 R2 R3 R4

Muy baja

Inferior Menor Importante Mayor Critico

Impacto

Firma del Dueño de Proceso Firma del Dueño de Subproceso

R1 Adquisición de elementos de infraestructura técnológica inapropiados o innecesarios (hardware, plataformas de seguridad, dispositivos de red y telecomunicaciones etc.)
R2 Deficiente desempeño de la Infraestructura Tecnológica de la Entidad
R3 Ausencia y/o deficiencias en el mantenimiento de la infraestructura tecnológica de la entidad
R4 Deficiencias y/o ausencia de un ambiente controlado de desarrollo, pruebas y producción de sistemas.