CONTEXTO ESTRATEGICO MANUAL DE PROCESOS DE EVALUACIONMPE-01-F-03-1CONTROL, EVALUACION Y MEJORA DEL SISTEMA DE GESTIONFECHAVERSIN8/28/092ADMINISTRACIN DEL RIESGOPgina 1 de 1CONTEXTO ESTRATEGICOPROCESO:ADMINISTRACION DE SISTEMAS DE INFORMACIONFACTORES EXTERNOSFACTORES INTERNOSPolticas y programas nacionales (Agenda de conectividad y Gobierno en Lnea).Baja aplicabilidad de la cultura informtica.Probabilidad de siniestros.Desconocimiento y baja aplicabilidad en las polticas y reglamento de uso de las herramientas informaticas.Celeridad de avances tecnolgicosBaja aplicabilidad de mecanismos de seguridad informtica.Terrorismo en el Departamento Norte de Santander.Baja motivacin y sensibilizacin del talento humano para el manejo de la informacin.Fallas elctricas en el Departamento Norte de Santander.Capacitacin continuada en herramientas informticasPosibles fallas en equipos de cmputo y de conectividad de la red LANAsignacin de recursos econmicos insuficientes para el fortalecimiento de la infraestructura tecnolgica.Copias de seguridad inexistentes o mal realizadas por los funcionarios.

MATRIZ RIESGOSMANUAL DE PROCESOS DE EVALUACIONMPE-01-F-03-2CONTROL, EVALUACION Y MEJORA DEL SISTEMA DE GESTIONFECHAVERSIN2/24/103ADMINISTRACIN DEL RIESGOMATRIZ ADMINISTRACION DEL RIESGOFECHA DE ACTUALIZACIN:12/14/11IDENTIFICACION DEL RIESGOANALISIS DE CALIFICACION Y VALORACIONADMINISTRACION DEL RIESGO(1) TIPO DE PROCESO(2) PROCESO(3) OBJETIVO(4) PROCEDIMIENTO(5) ACTIVIDADES(6) FACTOR DEL RIESGO(7) CAUSA(8) RIESGO(9) FRECUENCIA(10) IMPACTO(11) ALCANCE(12) CALIFICACION (9+10+11)(13) ZONA DE RIESGO(14) ACCIONES DE CONTROL(15) EVIDENCIA DEL CONTROL(16) RESPONSABLES(17) VALORACION DEL CONTROL(18) RIESGO Vs. CONTROL(19) VALORACION DEL RIESGOAPOYOADMINISTRACION DE SISTEMAS DE INFORMACIONSuministrar herramientas tecnolgicas y servicios que faciliten el cumplimiento de la misin de la Corporacin.MPA-05-P-01 ADMINISTRACIN DEL SISTEMA DE INFORMACIN AMBIENTAL1. EVALUACION DEL REQUERIMIENTOOperacionalFalta de competencia del equipo humano que realiza la evaluacin del requerimientoSubutilizacin del SIA por equivocadas respuestas a requerimientos2232.3MEDIOSe evalan las competencias del personal antes de ser vinculado a la corporacin , Capacitacin continuada de las herramientas relacionadas.Hoja de vida. Requisitos estudio previo. Registros de capacitacin (control de asistencia - acta)Subdirector de Planeacin y Fronteras12.3ACEPTABLE2. RECEPCIN, REVISIN Y ORGANIZACIN DE INFORMACINOperacionalNo organizacin e ingreso oportuno de la informacin al sistemaInformacin desorganizada y no disponible2332.8ALTOVerificacin de informacin actualizada en la herramienta.Auditorias realizadas al proceso.Ficha de metadatos y mapa asociado. Reportes de aplicativo de Gestin del trmite , shape generado a partir de la informacin registrada.Informe de Auditoria.Profesional de la Subdireccin de Planeacin y Fronteras, Tcnicos SIAProfesional de Control Interno asociado al proceso,12.8ACEPTABLE3. PROCESAMIENTO Y EDICION DE LA INFORMACIONTecnolgicoObsolescencia o falla de la herramienta informticaInformacin desactualizada, errneamente procesada y editada o no disponible1332.6ALTOActualizacin peridica de herramientas informticasMantenimiento peridicoHerramienta informtica actualizada y licenciada.Profesionales de la Subdireccin12.6ACEPTABLE4. CONSULTA DE INFORMACIN PARA VIABILIDAD DE SOLICITUDOperacionalDesconocimiento de la informacin existente o informacin existente no inventariadaInventario desactualizado de la informacin2232.3MEDIOActualizacin del inventario en la medida que se recepciona informacinInventario actualizado con la informacin recepcionada y ubicada en un equipo (servidor) del SIA como destino final.Tcnicos SIA12.3ACEPTABLE6. DILIGENCIAMIENTO DE SOLICITUD DE FACTURA Y VERIFICACION DE PAGOFinancieroDesconocimiento de la actividad que genera ingresos para la corporacinNo generar ingresos por los servicios atendidos1221.8BAJOCoordinacin entre los procedimientos que estn involucrados en el cobro de serviciosFormato de solicitud de facturacinCopia del pago realizadoTcnico SIA11.8ACEPTABLEENTREGA DE INFORMACION AL USUARIOCorrupcinUso indebido de la informacin solicitada por parte del usuarioPlagio de la informacin1232.1MEDIOUso restringido a la base de datos nica de Corponor. Autorizacin previa para la entrega de la informacin.Control de acceso mediante usuario y contrasea a los funcionarios autorizados.Diligenciamiento formato MPA-05-F-01-2 Solicitud de informacin ambientalProfesional de SistemasTcnico SIASubdirector Planeacin y Fronteras12.1ACEPTABLEMPA-05-P-06 ADMINISTRACION DE BACKUPS1. REALIZACION COPIA DE INFORMACION DE COMPUTADORES PERSONALES, WEB, BASE DE DATOSOperacionalNo generacin de copias de seguridad por parte del usuarioPerdida de Informacin3333ALTOAplicacin de los Planes de Actividades de cada proceso o proyecto, donde se detalla la existencia de la actividad de entrega de las copias de respaldo al rea de sistemas de forma peridica.Existencia de la Planeacin de copias de respaldo de base de datos y pagina web corporativa.Seguimiento a Planes de Actividades de cada proceso o proyecto.Ejecucin de la Planeacin de las copias de respaldo de base de datos y pagina web corporativa.Copia de seguridad realizada y enviada a lugar externo.Profesional del proceso de Planeacin Corporativa Profesionales de Planeacin de sistemas26INACEPTABLETecnolgicoFalla de dispositivoPerdida de Informacin1332.6ALTOSe verifica la copia generada y se evala el tamao del archivo. Se realiza peridicamente prueba de calidad de la copia de respaldoArchivos de copias generadas en equipo de sistemas y Copia restablecida en base de datos de prueba en fecha programadaProfesional Universitario de sistemas12.6ACEPTABLEFinancieroNo existen recursos financieros para adquisicin de medios para BackusPerdida de Informacin1332.6ALTOSe presupuesta para la vigencia el costo de los medios externos para copias de seguridadApropiacin por rubro materiales y suministros, para compra de medios.Subdirector de Planeacin y Fronteras12.6ACEPTABLE4. ENTREGA DE COPIAS DE RESPALDO EN SITIO EXTERNO DE LA SEDEOperacionalSitio con las condiciones no optimas para salvaguardar las copias de respaldoPerdida de Informacin1332.6ALTOSe mantiene en un sitio no hmedo y bajo condiciones de acceso restringidoSitio ubicado en la Oficina de Control y Vigilancia de Los Patios.Subdirector de Planeacin y Fronteras25.2MODERADOMPA-05-P-08 SOPORTE Y ASISTENCIA EN LA OPERACIN O IMPLEMENTACION DE HERRAMIENTAS INFORMATICAS1. RECEPCION Y CATALOGACION DE LA SOLICITUD, 2. REALIZACION DE PRUEBAS, 3. INDUCCION AL USUARIO, 4. DIAGNOSTICO DE HARDWARE, 6. DIAGNOSTICO DE SOFTWARETecnolgicoObsolescencia de equipos de computoAfectacin de las actividades misionales de la corporacin2232.3MEDIOSe realiza renovacin peridica de los equipos de computo e impresoras de acuerdo a la disponibilidad de recursosProcesos de Compra de equipos realizadosSubdirector de Planeacin y Fronteras12.3ACEPTABLE5. ATENCION DE FALLAS DE HARDWARE Y 7. GESTION DE SOPORTE EXTERNOFinancieroFalta de recursos para adquisicin de repuestos requeridos y para renovacin de soporte tcnico externoAfectacin de las actividades misionales de la corporacin1232.1MEDIOSe apropian recursos para adquisicin partes de computador que puedan llegar a fallar y para poseer vigentes servicios de soporte tcnico y actualizacin de sistemas de informacin y herramientas informticas.Apropiacin de dineros por rubros indicados para compra de repuestos y contratos vigentes para servicios de soporte tcnico y de actualizacin de sistemas y herramientas informticas.Subdirector de Planeacin y Fronteras12.1ACEPTABLE9 PUESTA EN OPERACIN DE NUEVA HERRAMIENTA. 10 EVALUAR CONVENIENCIA DEL DESARROLLO DE LA APLICACIN11 DETERMINAR LA MODALIDAD PARA EL DESARROLLO DEL APLICATIVO12 DESARROLLA APLICATIVO CON PERSONAL VINCULADO 13 DESARROLLA MEDIANTE CONTRATACIONOperacionalHerramienta computacional no funciona adecuadamente o requiere mejorasAfectacin de las actividades misionales de la corporacin1232.1MEDIOSe concerta sobre el requerimiento y alcance de la herramienta con los usuarios involucradosActas de Reunin, memorandos o correo electrnico con la informacin relacionada sobre solicitudes y acciones de mejoras de los sistemas.Profesionales Universitarios de sistemas12.1ACEPTABLE14 PUBLICACION DE INFORMACION PORTAL WEBOperacionalCadas del servidor de hosting del portal corporativoInformacin no disponible1332.6ALTOSe monitorea el estado del portal web, en caso de cada se reporta al soporte tcnico y se realiza seguimiento.Registro de novedades y comunicaciones con proveedor de servicio en caso de fallaProfesionales Universitarios de sistemas12.6ACEPTABLEMPA-05-P-09 ADMINISTRACIN DE INFRAESTRUCTURA TECNOLOGICA1. MONITOREO INFRAESTRUCTURA TECNOLGICA, 3. ATENCION DE REQUERIMIENTOSTecnolgicoObsolescencia de infraestructura tecnolgicaAfectacin de las actividades misionales de la corporacin1232.1MEDIOSe realiza renovacin peridica de la infraestructura tecnolgica de acuerdo a la disponibilidad de recursosProcesos de adquisicin de tecnologa realizados .Subdirector de Planeacin y Fronteras12.1ACEPTABLE2. MANTENIMIENTO DE INFRAESTRUCTURA TECNOLOGICAFinancieroNo realizacin de los mantenimientos programadosAfectacin negativa de los activos de la Corporacin1232.1MEDIOSe realiza plan de mantenimientos preventivosPlan de mantenimientos preventivos ejecutado de acuerdo a la programacinProfesional Universitario de sistemas y Tcnico Administrativo de sistemas12.1ACEPTABLE4. ATENCION DE INCONVENIENTESOperacionalNo poseer cubrimiento de reposicin de partes y soporte especializadoAfectacin de las actividades misionales de la corporacin1332.6ALTOSe apropian recursos para poseer vigentes contratos de soporte especializado y servicio de reposicin de partesContratos vigentes de soporte especializado y de reposicin de partesSubdirector de Planeacin y Fronteras12.6ACEPTABLE2. MANTENIMIENTO DE INFRAESTRUCTURA TECNOLOGICACorrupcinUso indebido de la informacinAlteracin de la informacin de los sistemas de informacin1332.6ALTOAcceso restringido a los sistemas de informacin.Aplicacin del reglamento y polticas de sistemasControl de acceso mediante usuario y contrasea a los funcionarios autorizados por sus respectivo jefe.Reglamento socializadoProfesional Area de SistemasJefe de OficinaSubdirector de Planeacin y Fronteras12.6ACEPTABLE

Pgina &P de &FCORPONOR:DEFINIR QUE TIPO DE PROCESO ES: GERENCIAL / ESTRATEGICO - OPERATIVO / MISIONAL - APOYO - EVALUACIONCORPONOR:SE ESCRIBE EL PROCESO CORRESPONDIENTE SEGN EL MAPA DE PROCESOSCORPONOR:SE ESCRIBE EL OBJETIVO DEL PROCESO ESTABLECIDO EN LA CARACTERIZACION DEL MISMOCORPONOR:SE ESCRIBEN LOS PROCEDIMIENTOS RELACIONADOS CON EL PROCESOCORPONOR:SE ESCRIBEN LAS ACTIVIDADES CORRESPONDIENTES AL PROCEDIMIENTO EN LAS CUALES SE IDENTICAN FACTORES DE RIESGOCORPONOR:SE DEFINE EL FACTOR DE RIESGO QUE AFECTA LA ACTIVIDAD, EL CUAL PUEDE SER: LEGAL - FINANCIERO - OPERACIONAL - TECNOLOGICOCORPONOR:SON LOS MEDIOS, LAS CIRCUSTANCIAS Y AGENTES GENERADORES DEL RIESGOCORPONOR:POSIBILIDAD DE OCURRENCIA DE UN EVENTO QUE PUEDA ENTORPECER EL NORMAL DESARROLLO DE LAS FUNCIONES DE LA ENTIDAD Y AFECTAR EL LOGRO DE SUS OBJETIVOSCORPONOR:Posibilidad de ocurrencia del riesgo.Se mide con criterios de FRECUENCIA y de FACTIBILIDADCORPONOR:Consecuencias que puede ocasionar la materializacin del riesgoCORPONOR:afectacin en trminos de lmites que puede ocasionar la materializacin del riesgoCORPONOR:(I11*0,2)+(J11*0,5)+(K11*0,3)CORPONOR:Resultado obtenido en la matriz de calificacin, evaluacin y respuesta a los riesgosCORPONOR:Opciones de manejo del riesgo que entrarn a PREVENIR o a REDUCIR el riesgo y harn parte del plan de manejo del riesgoCORPONOR:Registro donde se evidencia la aplicacin del controlCORPONOR:Lder del proceso donde se van a desarrollar acciones propuestas y responsables de la accinCORPONOR:Valoracin del control que la entidad tiene definido para combatir, minimizar o prevenir el riesgo de acuerdo a los criterios definidosCORPONOR:Valoracin del riesgo una vez aplicado el control existente de acuerdo a los criterios definidos

CRITERIOSCRITERIOS DE CALIFICACION Y VALORACION DEL RIESGOFRECUENCIA300 das hbilesNo.RangoFormula3Alta> 0,5# de Veces que ocurre la actividad / # das hbiles trabajados al ao2MediaEntre 0,21Bajo = 2,5ALTOLa zona de riesgo supera los lmites establecidos en cuanto a impacto y alcance afectando las actividades que realiza la entidad para lo cual se deben implementar o establecer controles adicionales> 2,0 a < 2,5MEDIOLa zona de riesgo se encuentra en los limites permisibles en cuanto a impacto y alcance, para lo cual se debe evitar que el riesgo se materialice implementando los controles adecuados< = 2,0BAJOLa zona de riesgo se encuentra dentro de los rangos establecidos por la entidad en cuanto alcance e impacto permitiendo asumir el control del riesgo.VALORACION DEL CONTROLNo.RangoDescripcin3INEFECTIVOEl control no existe, o existe pero no se aplica, o existe y se aplica pero no es efectivo.2ADECUADOEl control existe y est en implementacin pero an no se evidencia su efectividad1EFECTIVOEl control existe y se aplica de manera efectiva, evitando la materializacin del riesgo.VALORACION DEL RIESGONo.RangoDescripcin> = 6INACEPTABLEEl control con el que actualmente se cuenta para la mitigacin del riesgo no asegura que la materializacin del mismo no se presente, por lo cual la entidad debe adelantar las acciones inmediatas con el fin de asegurar la efectividad del control (establecer el control, reevaluarlo, establecer unos nuevos, entre otros).>3 y