CODIGO CAUSA DESCRIPCION CALIFICACION

HU

RT

O/F

RA

UD

E

CR0001 M

X X

Infección por virus de computador. A

X X X

CR0003 M

X X X

CR0004 A

X

CR0005 Incendios y daños causados por fuego A

X

CR0006 Inundaciones y daños causados por agua. M

X

DA

ÑO

D

ES

TR

UC

CIO

N

AC

TIV

OS

DE

SV

EN

TA

JA

C

OM

PE

TIT

SA

NC

ION

ES

L

EG

AL

ES

PE

RD

IDA

N

EG

OC

IO

EX

CE

SO

E

GR

ES

OS

DE

CIS

ION

ES

E

RR

ON

EA

S

Interrupción del sistema por falta o fallas del fluido eléctrico.

La suspensión del fluido eléctrico puede ocasionar una parálisis de las operaciones de negocio soportadas en los sistemas de información automatizados.Esto afecta la eficiencia, eficacia y disponibilidad de los recursos de tecnología de información. Se presenta por causas accidentales?

CR0002

Puede ocasionar daños irreversibles (pérdida de información). Generalmente es ocasionada por el intercambio de información entre usuarios haciendo uso de medios magnéticos o a través de la red. También puede presentarse intencionalmente mediante archivos que ingresan a través del correo electrónico. Afecta a la disponibilidad de la información

Malfuncionamiento de los equipos de cómputo

Ocurre debido a la carencia de planeación del mantenimiento preventivo y correctivo de los equipos de computo. Estos van perdiendo las condiciones iniciales de funcionamiento debido a su uso diario y a la acumulación de polvo en los componentes internos de hardware. Fallas continuas en el sistema sin que exista un adecuado plan de contingencia, manejo inadecuado de los recursos

Terremotos, tornados y huracanes

Desastre natural e impredecible, que puede provocar pérdidas de datos, hardware, software, comunicaciones y gente experimentada. Su probabilidad de ocurrencia es baja, pero las pérdidas como consecuencia del siniestro son altas. Condiciones de orden social del país

El incendio en los centros de procesamiento, expondría a la organización a perder sus capacidades de computación, e interrumpir el desarrollo normal de las operaciones de negocio, en forma definitiva o transitoria.

La fuga o escape de agua en conductos hídricos, puede provocar el deterioro de los recursos de cómputo , y por consiguiente, la interrupción de todas las operaciones de negocio soportadas en la Tecnología de Información.

CR0007 A

X X X X

CR0008 A

X X

CR0009 M

X X

CR0010 A

X X X X X

CR0011 A

X X X X X

CR0012 A

X X

CR0013 A

X X X X

Imposibilidad de restaurar copias de respaldo (backups).

La información grabada en un medio magnético se expone a que no pueda recuperarse o leerse. Puede ocasionarse por el deterioro que resulta del excesivo uso de una misma cinta o medio de almacenamiento secundario o por carencia de tecnología, generalmente obsoleta, para poderla leer y recuperar. También por errores en el uso de la herramienta para generar copias de respaldo. Ausencia o deficiencia de los planes de contingencia, imposibilitando la continuidad de la operación

Malfuncionamiento de las redes eléctricas

Debido a fallas o a inadecuada instalación de las redes eléctricas o del polo a tierra, se pueden presentar cortos circuitos en el cableado eléctrico que alimenta a los equipos de computo. Esto puede ocasionar daños graves en la infraestructura de tecnología de información.

Instalación inadecuada de redes lógicas

El cableado lógico no se encuentra adecuadamente protegido por canaletas plásticas (aislantes). El cableado lógico se encuentra en la misma tubería o canaleta junto con el cableado eléctrico, provocando posibles fallas en la transmisión de datos a través de la red. Cableado expuesto al paso de personal (funcionarios)

Procesar / Actualizar el sistema con información incompleta (parcial)

Ingresar al sistema información parcial con respecto a el universo de información requerida a nivel de la empresa. Los reportes y resultados para la organización también serán inconsistentes, lo cuál disminuye la integridad y confiabilidad del sistema de información. No registro de la antigüedad en la seguridad social. No se llena la agenda de primera vez quedando espacios libres. Información adulterada, omitida o inexacta

Cargar a la base de datos información inexacta

Cargar a la base de datos, información que no corresponde con la realidad. Esto sucede generalmente en los procesos de conversión o de migración de información, al implementar un nuevo sistema.

Manejo inapropiado de maquinas, hardware y del software

El usuario sin tener el conocimiento opera indebidamente los equipos asignados, asi como el hardware y su software de configuración, tratando de solucionar un problema en su estación de trabajo o terminal. El resultado final es un atraso en las labores del usuario y del área funcional de la empresa a la cual pertenece. Esto va en detrimento de la eficiencia de las operaciones. Acceso por personal no autorizado o no calificado.

Procesar información con software ejecutable no autorizado

El procesamiento de información con versiones del software que no está autorizado, permite la ocurrencia de errores e irregularidades. Por consiguiente la confiabilidad de la información generada por el sistema será baja. Incumplimiento de normas legales.

CR0014 Disturbios civiles y vandalismo. M

X X X

CR0015 A

X X X X

CR0016 Actos terroristas A

X X

CR0017 Robo de equipos y partes de computador A

X X X

CR0018 A

X X

CR0019 A

X X X

CR0020 AX X

CR0021 A

X X X X

CR0022 A

X

Actos malintencionados provocados por el hombre, podrían ocasionar daños en las instalaciones y recursos de cómputo, y causar interrupciones de la continuidad de las operaciones normales de la organización. Ocasiona pérdida de negocios y credibilidad pública. Delincuencia común, armas de fuego.

Incluir rutinas de código mal intencionadas en los programas de computador

Las rutinas malintencionadas, a la sombra de otras rutinas autorizadas, podrían generar irregularidades, tales como los fraudes conocidos como Caballos de Troya, Bombas Lógicas, Superzaping y Salami, entre otros. Los responsables del desarrollo del software y de solucionar los requerimientos funcionales de los usuarios, aprovechan esta oportunidad para incluir rutinas malintencionadas en el software con el fín de buscar el beneficio propio o de terceros. Modificaciones no autorizadas de las bases de datos, de liquidaciones y de historicos

Son actos malintencionados producidos por grupos al margen de la ley con el propósito de producir daños y terror en la sociedad. Directa o indirectamente, estos actos podrían afectar las instalaciones de la empresa, causando destrucción, daños y atemorizando a sus funcionarios y accionistas.

Ocurre cuando componentes de hardware o software de la empresa son robados, por parte de terceros o de los empleados. Por ejemplo, : tarjetas de red, tarjetas de video, discos duros, drivers, etc.

Sabotaje no violento por parte de los empleados y de terceros.

Consiste en causar interrupciones en el funcionamiento normal de la operaciones y servicios automatizados, mediante bloqueos o daños en los componentes de los sistemas de información. Generan traumatismos al interior de la organización y en los clientes externos.

Daños causados por terceras partes que prestan servicios de TI

Se refiere los daños accidentales o malintencionales que se pueden presentar en los recursos de cómputo, causados por terceros que prestan servicos de tecnología a la organización. Incumplimiento de contratos, manejo deficiente de los mismos

Violentar cerraduras de cajas fuertes y bóvedas de seguridad.

Acceso indebido con claves o en forma violenta a las cajas fuertes y bovedas que cotiene títulos valores, cheques y documentos confidenciales de la empresa.

Suministro de especificaciones técnicas inapropiadas .

Al área de sistemas o al proveedor de servicios o productos informáticos no se le suministran de manera exacta y concreta las especificaciones técnicas del software o hardware que se necesita. El resultado es la entrega final de un producto o servicio que no satisface las expectativas del área usuaria.

Malfuncionamiento de dispositivos de control de acceso físico.

Funcionamiento inapropiado por daños mecánicos o electrónicos, que permiten acceso físico no autorizado a las bovedas, cajas fuertes o sitios cerrados electrónicamente y a los materiales que allí se guarden .

CR0023 A

X X X

CR0024 AX X

CR0025 AX X X X

CR0026 Divulgación de información confidencial AX X

CR0027 A

X

CR0028 AX

CR0029 A

X

CR0030 A

X X X X

CR0031 A

X X X X

CR0032 A

X

CR0033 A

X

Robo de información confidencial de la Empresa

Obtención y sustracción de documentos o información confidencial que es de vital importancia para la supervivencia de la empresa. Puede ocasionar desfalcos o comprometer el nombre de la compañía en situaciones dificiles, utilizando la papelería sustraida. Manejo inadecuado de activos y recursos

Suplantación física de clientes o de usuarios del sistema

Falsificación de documentos de identificación de los titulares para fines delictivos, incluyendo falsificación de firmas. Creación de proveedores ficticios, o suplantación de clientes para tramitar inscripciones.Permitir que existan funcionarios

indispensables en la empresa. Crea dependencia de la entidad hacia un funcionario, creando el ambiente propicio para que una sola persona que ejecute varias actividades a su cargo, encubra situaciones fraudulentas en beneficio propio o de terceros. Entregar o dar a conocer a terceros interesados, información vital de la organización, para que estos puedan utilizarla para fines delictivos, espionaje industrial, actos terroristas o de sabotaje.

Robo de títulos valores y documentos negociables sin diligenciar

Sustracción de documentos que una vez diligenciados en forma no autorizada y fraudulenta, pueden representar pérdidas de mucho dinero para la entidad. Debilidades en la custodia de págares

Malfuncionamiento de sistemas de alarmas en instalaciones de TI

Fallos en los sistemas de alarma, que no funcionan de la debida forma ante la presencia de un evento indeseado. Por ejemplo: malfuncionamiento de los detectores de humo.

Inapropiada seguridad del sitio de almacenaje de documentos fuentes negociables

Los documentos y titulos valores no se encuentran en un lugar seguro por exceso de confianza por parte de los responsables de su custodia (por ejemplo, chequera en el cajón del escritorio). Instalaciones no seguras para almacenar valores o para prestar servicios.

Reportes de la aplicación con información errada e incompleta.

Errores en los reportes generados por el sistema, que producen baja confiabilidad en el sistema de información, sobre todo si se toman decisiones con base en ellos. Imposibilidad para recuperar históricos de bases de datos

Alteración de los datos almacenados en archivos de computador

Los datos almacenados en los medios de almacenamiento primario son alterados intencionalmente al lograr un acceso no autorizado a traves del sistema operativo o utilitarios (por ejemplo: con la técnica del Superzapping).

Complicidad entre funcionarios de la empresa y clientes

Se asocian funcionarios y otros tales como: Clientes, proveedores, contratistas, competencia, o entre funcionarios, para desfalcar a la empresa, bien sea con pérdida o sustracción de equipos, documentos e información. Esto se puede presentar en los procesos de selección de proveedores y de negociación de contratos con ellos, o en la presentación de resultados para tramitar aprobaciones, entre otros.

Inadecuada evaluación del desempeño de los empleados.

Cuando la evaluación del desempeño es inapropiada, causa desestímulo en los empleados. Además, el objetivo de mejoramiento continuo y compromiso con los objetivos de la empresa, no se consigue. Ese desestimulo podría reflejarse en la omisión deliberada de procesos.

CR0034 A

X X

CR0035 A

X X

CR0036 AX X

CR0037 A

X X

CR0038 Alteración de datos en documentos fuente A X X X XCR0039 A

X X X X

CR0040 A

X X X

CR0041 A

X

Remuneración inequitativa de los funcionarios

Ocasiona en el empleado la pérdida del sentido de pertenencia hacia la entidad. El empleado siente la falta de valoración por los servicios prestados lo que lo vuelve vulnerable al soborno o al aprovechamiento de sus funciones para el beneficio económico propio y/o el de terceros (la competencia); esta pérdida también se origina cuando el proceso de selección es deficiente, al encontrar un candidato que no cumple el perfil mínimo requerido.

Daño o destrucción de archivos de respaldo (backup)

Por falta de seguridad y organización de copias de respaldo de los datos almacenados en los medios de almacenamiento secundarios, que puede generarse esta causa de riesgo. Esto pone en peligro la disponibilidad de la información hoy y en el futuro. También se presenta cuando los procesos automáticos que generan estos archivos no se realizan eficientemente.

Passwords con derechos de acceso ilimitado a personas que no los necesitan

Puede ocasionar el mal uso de los datos y del software,. Por ejemplo, hacer cambios no autorizados al software y a los datos. También, tener acceso a información confidencial.

Suplantación electrónica de usuarios con derechos de acceso al sistema.

Ocurre cuando el password y User ID de una persona son conocidos por otros, quienes ingresan al sistema suplantándolo. Como consecuencia pueden materializarse todos los riesgos derivados del acceso no autorizado a los recursos de tecnología de información (Manejo de claves, acceso a información sensible, ingrso de información ficticia).

Adulteración o cambio intencional de los datos en documentos fuente que contienen datos de entrada al sistema.

Suplantación / Falsificación de documentos fuente

Reemplazo ilícito o falsificación de documentos fuentes que contienen datos de entrada al sistema. Esto va en perjuicio de la integridad del la información contenidad en los archivos de computador.

Aplicación errónea de transacciones a cuentas que no corresponden

Por errores o en forma deliberada, las transacciones como: Consignaciones (A usuarios ó proveedores) y registros contables, pueden aplicarse a cuentas o centros de costo que no corresponden. Por ejemplo, el pago del subsidio famliar, podría aplicarse a cuenta que no corresponde.

Uso de un mismo password y User-Id por parte de varias personas.

Permitir el uso de un mismo password y User-ID, por parte de varias personas de un mismo departamento, puede generar riesgos innecesarios. Tanto el user ID como el password deben estar a asociados a cada individuo. Los passwords son como los cepillos de dientes: "No se prestan a nadie y deben cambiarse frecuentemente". Los user - ID no se cambian con la misma frecuencia que los passwords (son fijos) y sirven para establecer responsabilidades por las acciones que se ejecuten en el sistema; cuando un mismo User ID es utilizado por varias personas, no se pueden establecer individualmente tales responsabilidades.

CR0042 A

X X X

CR0043 Obsolencia tecnológica A

X X X

CR0044 A

X X X

CR0045 A

X X X X

CR0046 A

X X

CR0047 AX X X

CR0048 A

X X X

CR0049 A

X X

CR0050 A

X X X

Errores en cálculos efectuados por el software aplicativo

Errores en las operaciones aritméticas o computaciones que efectúa el software aplicativo. Pueden presentarse en el precierre o cierre de subsidio, o en las tasas de interés base para liquidación, entre otros.

El uso de tecnología obsoleta genera problemas de eficiencia, principalmente, puesto que su mantenimiento es costoso y, a veces, no es fácil conseguir repuestos para mantenerla funcionando. Bajo estas condiciones las instalaciones o equipos no son apropiadas ni seguras para la prestacion de los servicios.También genera desventaja competitiva.

Envío de información (output) a destinatarios que no corresponden

Envío de salidas generadas por las aplicaciones, en listados y medios magnéticos, a destinatarios que no corresponden. Tales envíos pueden contener información inexacta o parcial y tramitarse con retraso. Puede ocurrir en forma accidental o intencional.

Falta de entrenamiento de funcionarios para ejecutar procesos

La falta de entrenamiento y capacitación es causa para que se cometan errores y omisiones, las cuales a su vez pueden causar uno o mas riesgos. Esta deficiencia afecta la competencia del funcionario, y la calificacion del contratista en la ejecución de un contrato.

Omitir obtención de copias de respaldo de archivos vitales.

La omisión de generación de backups de datos o del software aplicativo en producción (programas fuente y ejecutables), puede ocasionar daños irreparables y riesgos diversos que pueden llegar hasta el cierre definitivo del negocio.

Procesamiento extemporáneo (inoportuno) de operaciones o trámites.

La omisión deliberada del procesamiento de trámites internos y respuestas a requerimientos en la fecha debida, puede obedecer a acciones irregulares de las personas que los manejan.

Divulgación accidental o intencional de información que constituya reserva

La divulgación de información sensible o confidencial, sin autorización del propietario de ésta y que afecte al cliente o funcionario, podría ocasionar sanciones legales a la empresa. Por ejemplo, entregar información de los afiliados o de los funcionarios sin su autorización expresa, atenta contra los derechos a la privacidad e intimidad de las personas.

Falta de cuidado y diligencia en atención a los clientes

La prestación de servicios de mala calidad a los clientes, la deficiente atencion traducida en actitudes negativas o agresión, y la alta rotación de funcionarios clave en dicha ateción, pueden ocasionar pérdida de negocios, pérdida de credibilidad pública, desventaja ante la competencia y otros riesgos.

Datos o cifras inexactas o inconsistentes en reportes enviados a entidades gubernamentales

La inexactitud en los datos o las cifras de reportes enviados a entidades gubernamentales (Tales como validaciones del FOSYGA), pueden ocasionar sanciones legales y problemas derivados de las sanciones, como por ejemplo, cierre o suspensión temporal del negocio.

CR0051 A

X

CR0052 AX X X

CR0053 A

X X X

CR0054 A

X X X X X

CR0055 AX X

CR0056 A

X

CR0057 A

X

CR0058 A

X X X X

CR0059 A

X X X

CR0060 A X X

Envío extemporáneo (inoportuno) de reportes exigidos por entidades reguladoras o de respuestas a requerimientos de ley.

Envío inoportuno de estos reportes puede generar sanciones legales (multas y suspensiones, por ejemplo). Estas deficiencias pueden ocurrir por demora en los procesos internos, y/o por la necesidad de contar con la participación del área de sistemas para la preparación de estos.

Debilidades o huecos de seguridad en sistemas operacionales

Los hackers, crackers y aún los funcionarios, podrían utilizar estas debilidades para causar problemas operacionales en las redes y daños a la información de las empresas.

Divulgar información privada de los clientes sin su autorización

La divulgación de datos de los clientes sin su autorización, puede generar sanciones legales y problemas jurídicos a la organización. Por ejemplo, remitir información a las centrales o bancos de información comercial, sin la autorización de los clientes.

Pérdida de documentos fuente o medios magnéticos durante transporte físico

Los documentos fuente, listados, archivos en medios magnéticos pueden perderse o sufrir daños durante su traslado físico. Si no se dipone de copias de respaldo, en estos casos, la empresa podría exponerse a diferentes riesgos.

Rechazo injustificado de transacciones o documentos fuente

Este tipo de rechazos podría obedecer a situaciones irregulares para favorecer la ocurrencia de ilícitos. Además podría generar otros riesgos, derivados de la Ineficiencia operacional.

Terminales abiertas permanecen inactivas por tiempo indefinido

Se refiere permitir que las terminales abiertas permanezcan inactivas por tiempo ilimitado. Esto crea el ambiente propicio para que sea suplantado el propietario del password que tiene abierta la terminal.

Modificación no autorizada al software aplicativo

Se refiere a cambios que se efectúen al software de la aplicación tales como: Alteraciones en bases de datos e interfases, en controles ó procesos de liquidación, sin que se obtengan las aprobaciones necesarias, o cuya modificación sea efectuada por personal no autorizado.

Alteración de campos calculados por el sistema, por caminos irregulares,

Cambios al contenido, o eliminación, de campos, registros o archivos que contienen información calculada por el sistema, tal como facturas, saldos, registros contables e historias clínicas, por procedimientos diferentes a los caminos ofrecidos por la aplicación. Por ejemplo con un utility o con programas no autorizados.

Aprobar procesamiento de transaccciones sin soportes.

Aprobación del procesamiento de transacciones (Abonos, giros a terceros,etc.) que no tienen los soportes o la totalidad de la documentación exigida, o que por un manejo inadecuado, éstos hayan sido extraviados o alterados.

Doble o múltiple procesamiento de la misma transacción.

Se refiere a la posibilidad de que una misma transacción se procese y aplique a la base de datos más de una vez

CR0061 A

X

CR0062 AX X X

CR0063 AX X

CR0064 AX

CR0065 Omisión de procesamiento de transacciones A

X X X X X

CR0066 AX

CR0067 A

X X X

CR0068 A

X X X

CR0069 Errores en transmisión de datos A X X X XCR0070 A

X X X

CR0071 A X X X

Pérdida o extravío de documentos fuente procesados

Los documentos ya procesados se pierden o extravían, ocasionando la falta de soportes o de pistas de las transacciones. Podría ser causa de irregularidades y cambios en el sistema.

Procesar documentos fuente con enmendados o con espacios en blanco sin anular

Aceptar como válidos los documentos fuente con tachones y enmendaduras y espacios en blanco sin anular o documentos mal diligenciados.

Aceptar deficiencias en firmas, sellos y huellas dactilares de documentos fuente

La aceptación de documentos con estas deficiencias, podrían originar el procesamiento de transacciones no autorizadas y la inexactitud de la información producida por la aplicación.

Permitir excesivo tiempo sin cambiar claves (passwords ) de acceso.

Esta situación crea ambiente favorable para que terceras personas conozcan los passwords y suplanten la autoridad otorgada al propietrio del password

Se refiere a el no procesamiento de las transacciones en la fecha que corresponda, por causas accidentales o intencionales acarreando el no cobro de servicios, incumplimientos y prestación de servicios.

Permitir permanencia de varias sesiones abiertas en el mismo terminal

Crea el ambiente propicio para que, en caso de suplantación del propietario del password, se realicen cambios no autorizados a los datos y al software de la aplicación.

Errores e incumplimiento de las condiciones contractuales pactadas con terceros.

Se refiere al efecto que tendría para la empresa, el no cumplimiento de las condiciones pactadas en la compra de bienes o servicios, por parte del proveedor o la ausencia de los mismos en el contrato, ó condiciones de negociación desventajosas para el contratante lo cual genera mal servicio o inconformidades.

Errores y omisiones en el ingreso de transacciones batch y on line

Por razones accidentales o intencionales, se omite la digitación de transacciones o que sin realizar validaciones se permitan inscripciones ficticias o suplantaciones. Esto podría ser indicio de posibles malos manejos e irregularidades.

Se refiere a la posible pérdida de transacciones a causa de problemas en las líneas de comunicación.

Alteración o fuga de de datos durante transmisión electrónica

La interceptación activa de las lineas de comuniación, permitiría modificar o alterar de manera ilícita los datos que se están transmitiendo. La interceptación pasiva, permitiría copiar y por consiguiente obtener de manera ilícita los datos que se están transmitiendo..

Pérdida de transacciones (mensajes) durante su transmisión electrónica

Por malfuncionamiento de las liíeas de comunicación, se podrían perder o alterar los mensajes transmitidos.

CR0072 A

X X X

CR0073 A

X X X

CR0074 B XCR0076 A

X X

CR0078 A

X

CR0079 A XCR0080 Utilizar passwords fáciles de adivinar M

X X

CR0081 A XCR0082 M XCR0083 A X X XCR0084 A

X X X X

CR0085 A

X X

CR0086 A

X X

Omitir validación de reglas de negocio en el software aplicativo

La validez de muchas reglas del negocio se automatizan. La omisión de estas reglas en el software aplicativo, podría generar problemas de integridad a la información que produce la aplicación y permitir la utilización de servicios a criterio de los funcionarios de manera irregular mediante procesos manuales, activaciones en periodos que no corresponden, cálculos manuales y errados.

Truncamiento de cifras en reportes utilizados para tomar decisiones.

El truncamiento de los dígitos más significativos, origina inexactitudes en la información de los reportes que producen las aplicaciones para soportar actividades de control y tomar decisiones.

Omitir el uso de reportes generados por el sistema o aplicación.

No utilizar los reportes generados para tomar decisiones, afecta la eficiencia y calidad del soporte suministrado por los sistemas

Procesamiento con archivos o programas de versión que no corresponde.

Se refiere a cuando por errores o intencionalmente, se procesan transacciones para actualizar archivos equivocados (por ejemplo, son de fecha diferente a la requerida)

Eliminar (dar de baja) registros de información con saldos diferentes de cero o con datos de consulta

Los sistemas de aplicación no deberían permitir que se marquen para retiro o se eliminen fisicamente registros de cuentas con saldo diferente de cero o de consulta. Esto ocasionaría problemas de integridad de la información. Por ejemplo, eliminar un registro de inventarios que tiene saldo o registros con incumplimientos que acarrean sanciones.

Presentación deficiente de los datos en informes generados por la aplicación.

Cuando los listados o informes se producen sin títulos, fecha de emisión, sin encabezados de columnas y sin páginas,

Facilitan la adivinación de los passwords y por consiguiente, el uso no autorizado o irregular del sistema por parte de las personas que adivinen las claves de acceso

Procesar datos que no pertenecen a la empresa, como si lo fueran.

Procesar información no perteneciente a la empresa, sucursal o agencia. Procesar datos para fuentes o destinatarios

que no corresponden. Por error o deliberadamente, aplicar datos a fuentes o destinatarios que no corresponden..

Daño físico de medios magnéticos con contenido de datos importantes

El daño de estos medios hace irrecuperable la información contenida en el medio. Origina diferentes riesgos.

Error en la digitación (ingreso ) de datos por parte de los usuarios

Los operadores de terminal o grabadores de datos, pueden cometer errores en el ingreso de los datos al sistema, los cuales deberían ser identificados, cuantificados y medidos por el sistema.

Tasas (tarifas) de servicios o de descuento que no corresponden a las vigentes o superiores al mercado

El uso de tasas o tarifas desactualizadas, la aplicación incorrecta para favorecer a terceros, o la ausencia de ellas podría originar diferentes riesgos. Por ejemplo, cobros en exceso o cobrar menor valor en el servicio prestado.

Cobertura de servicios inferior a la que ofrecen los competidores

No ofrecer al menos la misma cobertura geográfica o de portafolio de servicos, red que los competidores, tiene como consecuencia la materialización de riesgos tales como desventaja competitiva y pérdida de ingresos

CR0087 A

X

CR0088 A

X X X X

CR0089 A

X

CR0090 Exceso de confianza en los controles A

X X X X

CR0091 A

x x x

CR0094 A

x x x

CR0095 A

x X

CR0097 M

X x X x

CR0098 A

x X X

Omisión o insuficienca de pistas para la administración y la auditoría

Ocurre cuando la aplicación no deja rastros de las transacciones y los accesos que se realizan en el sistema (documentos fuente, listados de computador, medios magnéticos), para permitir el seguimiento hacia atrás y hacia delante (esto se denomina visibilidad, trazabilidad o auditabilidad) e investigación por parte de la administración y la auditoría.

Desconocimiento de políticas y normas reguladoras del servicio / negocio

Desconocimiento de políticas y normatividad legal Cuando no se está suficientemente familiarizado con las políticas, normas y procedimientos que rigen las operaciones, se pueden cometer

Inexistencia de pólizas de seguros o deficiente cubrimiento

No se tienen pólizas de seguros vigentes o el cubrimiento de las existentes es insuficiente para prortejer contra la pérdida de los activos de la Caja o su imagen corporativa (por ejemplo, contra la destrucción total del centro de cómputo principal, incendio, inversiones).

Modificar los datos por procedimientos distintos de los normales, ignorando todos los controles y procedimientos establecidos. Por ejemplo, llegar a creer excesivamente en los controles establecidos, hasta abandonar las actividades de monitoreo continuo que debe efectuarse sobre el funcionamiento de los controles.

Rotación, Traslado o Pérdida de personal clave

El retiro o la no disponibilidad de las personas que tienen el conocimiento y la experiencia (Know-how) en el manejo de las operaciones o de los sistemas, ocasiona problemas en el desarrollo normal de las operaciones y genera costos en la capacitación y entrenamiento del nuevo funcionario.

Interpretación equivocada o no ejecución de los requerimientos efectuados por los usuarios

Mala interpretación de los requerimientos de los usuarios, tales como solicitudes de cambios al software aplicativo para generar información que ellos necesitan, puede ocasionar pérdidas de tiempo, eficiencia y mal servicio a los clientes, entre otros problemas.

Deficientes pruebas a los cambios efectuados al software de aplicación

Las pruebas deficientes a los cambios efectuados al software de la aplicación es una fuente de múltiples problemas operacionales, como consecuencia de los errores que pueden presentarse en la información generada por el sistema.

Omisión ó insuficiencia de supervisión de los controles automatizados

La falta de supervisión de los controles ejercidos por el software de aplicación, permite que no se advierta a tiempo cuando los controles dejan de funcionar, por ejemplo, por efecto de un cambio efectuado al software de la aplicación. Los usuarios pueden ser excesivamente creyentes en lo que hace el sistema. Esto favorece la ocurrencia de ilícitos.

Omisión / deficiente capacitación en funciones o sobre nuevas versiones de la aplicación

La capacitación deficiente para la operación de las nuevas versiones de la aplicación, o la falta de información de los cambios efectuados, ocasiona problemas de eficiencia, seguridad y efectividad en el uso del sistema.

CR0099 A

X X x

CR0101 A

x X

CR0102 A

x X

CR0103 A

x X X X

CR0104 Tiempo de Respuesta excesivamente alto. AX X

CR0105 AX

CR0106 AX x

CR0107 A

x x X

CR0108 AX

CR0109 Transacciones nunca registradas A X x x xCR0110 A

X X

CR0111 AX

CR0112 AX

Uso de versiones no autorizadas del software aplicativo (sistema sombra)

El procesamiento de las transacciones podría efectuarse utilizando versiones no autorizadas de software, en lugar de hacerlo con las versiones autorizadas y aprobadas por la administración. A las versiones no autorizadas se les denomina "Sistemas Sombra".

Interrupción por conflictos laborales con el personal de sistemas.

Cuando el personal de sistemas está sindicalizado y participa activamente en paros u otras actividades que implican la suspensión temporal de los servicios para presionar reivindicaciones, la seguridad de los sistemas y de la empresa están en peligro muy serios.

Documentación inexistente o desactualizada de los sistemas

La falta de documentación actualizada y completa de los sistemas que soportan el desarrollo de las operaciones automatizadas, ocasiona problemas de efectividad, eficiencia, seguridad y confiabilidad.

Pérdida o daño de información almacenada en los computadores

La disponibilidad de la información que está almacenada en los discos duros de los computadores puede perderse por diferentes circunstancias. Por ejemplo, como consecuencia de desastres naturales o provocados por el hombre.

En los sistemas en línea, principalmente, el funcionamiento deficiente del sistema podría generar tiempos de respuesta demasiado lentos y por consiguiente, mal servicio a los clientes.

Generación de reportes no amigables para la Gerencia y el área operativa

Cuando los reportes no se presentan de manera apropiada para facilitar su uso por parte de los destinatarios. No los entienden, son ambiguos, sin títulos, etc.

Deficiente selección de inscritos y proveedores de bienes y servicios.

Cuando no se seleccionan apropiadamente los inscritos y los proveedores de bienes y servicios, cualquier riesgo puede materializarse.

Impreparación para enfrentar contingencias en el la prestación de los servicios o de los sistemas de información

Se presenta cuando la empresa o el sistema carecen de plan de contingencias operativo o de sistemas para garantizar la continuidad del servicio. La continuidad del servicio en el evento de fallas graves o desastres, no está garantizada.

Insatisfacción de las necesidades de información del usuario.

El sistema no genera la información que necesita el usuario para el manejo de las operaciones, a niveles operativos, tácticos y estratégico.

Realizar operaciones que no se registran en el sistema y por consiguiente, tampoco en la contabilidad de la empresa. Malfuncionamiento de las líneas de

comunicación de datos El mal funcionamiento de los canales de comunicación de datos, puede generar interrupciones o deficiencia en el servicio a los clientes.

Omisión o errores en retención de impuestos y aportes parafiscales

El software de las aplicaciones podría presentar errores y omisiones en el cálculo y recaudo de las obligaciones fiscales (impuestos) y parafiscales a los que está obligada la empresa.

Divulgación de información de la Empresa que constituye ventaja competitiva

En forma accidental o intencional, se puede divulgar la información de la empresa que constituye ventaje competitiva. Por ejemplo, listados de clientes, información de mercadeo, etc.

CR0113 A x XCR0114 A xCR0115 M

x x

CR0116 Ax

CR0117 A

x x

CR0118 AX

CR0119 AX X

CR0120 AX X X X

CR0121 A

X X X x X

CR0122 AX

CR0123 A X X XCR0124 A

x x X

CR0128 A

X X

CR0129 Acceso no autorizado a instalacionesX X

Errores en cálculo de ingresos o egresos calculados por la aplicación

Errores en los algoritmos y fórmulas utilizados por la aplicación para calcular y recaudar ingresos de la empresa.

Malfuncionamiento de equipos de captura electrónica de datos (POS, por ejemplo)

Fallas en los sensores o dispositivos de captura electrónica de datos. Malfuncionamiento de equipos de seguridad

ambiental Fallas en los equipos de aire acondicionado, extinción automática de incendios, sensores de temperatura y humedad, etc. Desconocimiento de las políticas de

seguridad en procesamiento de datos La falta o el desconocimiento o la omisión de las políticas y normas de seguridad establecidas para las actividades de sistemas de información.

Omisión / falta de Reportes con información de control y desempeño del sistema

La aplicación no produce información para monitorear el funcionamiento y desempeño del sistema. Por ejemplo: estadísticas diarias y mensuales con cifras que permitan medir el cumplimiento de metas.

Redundancia excesiva de información en la Bases de Datos

Por la falta de un modelo de datos normalizado, se producen problemas de integridad causados por la redundancia innecesaria y excesiva de información en la Bases de Datos.

Actualización incompleta de datos en tablas físicas de la Base de Datos

Podría presentarse a causa de malfuncionamiento de las actualizaciones concurrentes de un mismo dato o de fallas en el software de aplicación.

Diseño inadecuado de la base de datos o de las estructuras de los programas o interfases

El sistema presenta fallas estructurales que no permiten su funcionalidad para satisfacer los objetivos previstos o esperados de la automatización.

Enfoque obsoleto / deficiente del sistema de control interno.

El enfoque del sistema de control interno está desactualizado con respecto a la tecnología y la cultura de la sociedad y de la organización. Por ejemplo, cuando el enfoque es reactivo en lugar de proactivo..

Falta de pulcritud y orden en las operaciones de procesamiento de datos

El desorden y la falta de pulcritud en las actividades y operaciones de procesamiento de datos son signos de peligro para la seguridad.

Omisión o falta de estándares de control de calidad de la información de la BD

No existe un plan para garantizar la calidad de la información o es deficiente.

Falta de idoneidad en el personal de desarrollo / mantenimiento de sistemas

Falta de capacitación o de formación profesional de los analistas y programadores encargados del mantenimento / desarrollo del sistema. Falta de especialización en las herramientas de desarrollo de software.

Pobre comunicación entre personal de sistemas y los usuarios

Cuando no hay una buena comunicación entre el personal de sistemas y los usuarios, muchos problemas y riesgos pueden presentarse. La comunicación abre o cierra puertas de entendimiento.

Entrada de usuarios, proveedores, y funcionarios propios de la empresa, a lugares de circulación restringida sin acompañamiento de funcionarios de seguridad o del área visitada.

CR0130 Accidentes de trabajoX x

CR0131

X x

CR0132X X

CR0133 Afiliación por selección adversa.

X X

CR0134X x

CR0135

X X

CR0136 Competencia desleal

X X

CR0137

X x X

CR0138

x X

Todo suceso repentino que sobrevenga por causa o con ocasión del trabajo y que produzca en el trabajador una lesión orgánica, una perturbación funcional, una invalidez o la muerte.

Accidentes ocurridos durante la ejecución de programas ofrecidos por la Caja

Suceso repentino que origina una lesión orgánica o perturbación funcional, y que pueda ocasionar invalidez o muerte, en el desarrollo de un programa, actividad o plan ofrecido por la entidad dentro o fuera de sus instalaciones.

Actitud negativa para la prestación del servicio por parte

Todo comportamiento voluntario de funcionarios, inscritos, contratistas que ocasione confusión y deterioro en la actividad, la prestación del servicio e ingresos de la organización.

La selección adversa puede dificultar el mantenimiento del SGSS. Las personas con enfermedades de alto riesgo tienen propensión a asegurarse más que los otros: hay pues una selección que se hace, y ésta es defavorable.

Cambios en la legislacion, normatividad y politicas administrativas

Los continuos cambios en la normatividad y la premura de acondicionar los sistemas y procedimientos sin una planeación, acondicionamiento y pruebas adecuadas

Cobro de vacunas del esquema de la Secretaria de salud

Cobro indebido de insumos entregados por laboratorios o entidades oficiales. Estos deben ser entregados gratuitamente a los afiliados.

La utilización o difusión de indicaciones incorrectas o falsas, la omisión de las verdaderas y cualquier otro tipo de práctica que sea susceptible de inducir a error a la organización o a las personas que las dirigen sobre la naturaleza del servicio, características, aptitud en el empleo, calidad y cantidad del servicio en general. La oferta de cualquier clase de ventaja o prima para el caso de que se contrate la prestación del servicio cuando induzca o pueda inducir al afiliado o potencial al error acerca del nivel de precios de servicios, o cuando dificulte gravemente la apreciación del valor efectivo de la oferta o su comparación con otras alternativas. La entrega de obsequios con fines publicitarios y prácticas comerciales cuando, por las circunstancias en que se realicen, comprometan a contratar la prestación principal.

Condiciones inadecuadas de instalaciones para prestacion del servicio

Los espacios donde se presta el servicio, no son optimos o no se encuentran adecuados de manera que el servicio tenga la calidad requerida, causando incomodidad, lesiones, daños, inseguridad y accidentes.

Condiciones inadecuadas para desarrollar las funciones

El área fisica donde el funcionario realiza su labor se encuentra bajo condiciones no aptas para el desarrollo de su función (espacios reducidos, alta temperatura, escritorios incomodos, alta afluencia de público)

CR0139

x x

CR0140 Debilidades en los procesos de cierre de caja

x

CR0141 Desafiliación de empresas x x

CR0142 Dificultad para acceder a los servicios

x x

CR0143

X X X

CR0144

X X

CR0145

X X X

CR0146

X X X X

CR0147

X X X

CR0148 Escasez de medicamentos e insumos

X X

Congestión y exceso de actividades en la ejecución de procesos

No existen una adecuada segregación de funciones dentro de los procesos, lo que hace que se concentren las funciones en una misma persona. Tambien puede ocasionarse por la exagerada función de revisión de la misma actividad en varias personas

Los procedimientos de registro y cierre facilitan al cajero conocer y mantener control sobre los registros que realiza, de tal forma que manualmente puede saber el total de lo recaudado antes que se le realice el cierre de caja

Disminución de las empresas superavitarias debido a fluctuaciones del mercado que generen su traslado hacia otras cajas

No se facilita el acceso de los usuarios a los servicios por diversos aspectos tales como: Trabas o tramitología, preferencia hacia determinado grupo de usuarios o empresas, red insuficiente o alejada, exceso de requisitos y inoportunidad en la prestación del servicio, horarios inadecuados. Tambien se presenta cuando se da un trato preferencial a cierto grupo de empresas o usuarios.

Error en la información o comunicaciones interna

Errores en la información generada por el sistema o por medios de comunicación, que producen baja confiabilidad, sobre todo si se toman decisiones con base en ellos o si es entregada a entes de control .

Errores administrativos en manejo de personal

Las labores de administración de personal se realizan de manera inadecuada solicitando personal no necesario o no calificado para la labor, errores en liquidación de horas trabajadas o exceso de responsabilidades, falta de capacitación, demoras o inconsistencias en pago de salarios, incumplimiento de los horarios máximos permitidos por la ley

Errores en diseño, planeación, alcance y construcción de infraestructura

El diseño de planos deficiente y de bajas especificaciones , procedimientos de construcción obsoletos o inadecuados, uso de materiales de baja calidad o defectuosos, demoras en el cumplimiento de cronogramas, participación de personal no calificado.

Errores en liquidaciones o presentacion de informacion manual

Se presentan por errores en los cálculos o fórmulas usadas para obtener valores a cancelar o a pagar, ya sea en créditos, transacciones financieras o pagos a proveedores, Informes hechos de manera manual con la posibilidad de errores

Errores involuntarios en los resultados de los exámenes, o en las entregas

Dado que los exámenes son confidenciales y son base para diagnósticos, cualquier error en su presentación, entrega inadecuada o a persona no autorizada, ocasiona consecuencias graves para el paciente

No hay un manejo adecuado el stock generando escases o ausencia de insumos básicos para la prestación del servicio lo que hace necesario recurrir en ocasiones de un servicio a otro para cubrir necesidades.

CR0149 Estudios de mercado y planeación deficientes

X X

CR0150 Exceso de compras

X X

CR0151 Exceso de personal a termino fijo en el área

X x X

CR0152 Exhibición inadecuada de productosX

CR0153 Existencia de cuentas de dificil seguimiento

X X

CR0154 Pago de incapacidades sin derecho X X

CR0155X X

CR0156 Extravío de niños o adultos con incapacidadX X

CR0157X X X

CR0158

X X

CR0159X X X

CR0160

X X

Ocurre por deficiencia en la planeación concentrando enfoques y esfuerzos en programas que no van a ser utiles para la organización y deja de lado programas que si lo van a hacer ocasionando errores en selección de población objetivo de cada servicio.

Se presenta por la compra desproporcionada de insumos propios del servicio, elementos de consumo, etc., sin que la misma obedezca a una necesidad del servicio o a un proceso planeado de compras.

El existir un número elevado y significativo de personal temporal en un área o proceso puede causar una disminución en la aplicación de controles debidas a falta de motivación, compromiso o perdida de importancia en las actividades que se realizan.

Los alimentos no son exhibidos de una forma tal que cause una impresiòn adecuada en cuanto a higiene, presentación, color, olor y en los recipientes adecuados para cada tipo de alimento.

Creación de cuentas contables que no obedecen a una dinámica contable coherente y en la cual se realizan transacciones sin análisis y sin identificación lo que impide conciliar, validar y establecer las partidas que la componen

Ocurre cuando se autoriza el pago de incapacidades sin la validación de requisitos omitiendo la normatividad o políticas de la Caja.

Expedición de incapacidades sin tener derecho

Falta de criterio profesional al momento de expedir una incapacidad ocasionando el pago de incapacidades cuando no existe diagnostico que amerite incapacidad.

Los niños y adultos especiales que se encuentren bajo la responsabilidad de Compensar buscan salirse de las instalaciones sin que se controlen

Falsificación o utilización indebida de documentos

Reemplazo ilícito o falsificación de documentos fuentes que contienen datos que dan derecho a recibir beneficios o a utilizar servicios de la Caja. Esto va en perjuicio de la organización.

Falta de mantenimiento a equipos, software e instalaciones

Ocurre debido a la carencia de planeación del mantenimiento preventivo y correctivo de los equipos e instalaciones. Estos van perdiendo las condiciones iniciales de funcionamiento debido a su uso diario y a la acumulación de polvo.

Falta de oportunidad en correspondencia o trámites internos

Demora en entrega de correspondencia, en tramites que dan respuesta a una solicitud, contrato, orden de giro causando traumatismo en el servicio.

Inadecuada coordinación de actividades internas o entre areas

Conflictos, propuestas de servicios sin contar con las áreas que intervienen en el proceso, convenios con empresas afiliadas sin la divulgación a toda la organización. Debido a la falta de claridad o desconocimiento de los compromisos pactados, y ante la ausencia de consenso predomina la variedad de criterios.

CR0161X x

CR0162 Incumplimiento de normatividad XCR0163

X X

CR0164 Intoxicación por alimentos

X X

CR0165X x

CR0166 Rotación y traslado del personalX X

CR0167 Sobrecostos XCR0168

X X

CR0169

CR0170 Daños en propiedad de expositores o afiliadosX

CR0171X X

CR0172

Ausencia de acciones de mejoramiento (OyS)X X

CR0173

Levedad de las sanciones aplicadas X

CR0174

X

Incumplimiento de los acuerdos pactados con los clientes

Ofrecer servicios con unas determinadas carácterísticas que a la postre no se cumplen totalmente o en forma parcial cambiando las características iniciales con las que el cliente las adquirió

Los incumplimientos de las normas legales pueden acarrear sanciones a la organización.

Deficiencias en la elaboración y divulgacion de políticas y procedimientos

No existen medios adecuados de elaboración, documentación, divulgación de las directrices de la administración causando que los funcionarios no puedan cumplir las normas por simple desconocimiento

Generada por usar alimentos en mal estado, mal preparados, vencidos no almacenados adecuadamente y que ya no son aptos para consumo humano, pudiendo generar problemas de salud y demandas a la organización

Omisión de controles, procedimientos y politicas

No se tuvo en cuenta los procedimientos y políticas establecidos por la administración por desconocimiento, negligencia o actos de mala fe, que van en contra de la organización y su operación

Cambio de personal clave para la prestación de un servicio sin que se tenga un reemplazo capacitado que pueda asumir las funciones en forma inmediata.

Uso de recursos adicionales a los planeados inicialmente para la ejecución de un servicio

Utilización indebida de activos o servicios por parte de funcionarios

Desperdicio, destrucción, apropiacion de elementos, materiales, aumentando los costos en compras de insumos. Utilización de servicios valiendose de su condicion de funcionario

Incumplimiento por parte de las empresas de los compromisos de pago

Las empresas no cumplen con los compromisos de pago adquiridos con Cartera y Tesorería, por lo general ( servicios a crédito, convenios de pago).

Daño o perdida que se ocasione a las obras artísticas exhibidas en las instalaciones de la Empresa o propiedades dadas en custodia a la Caja.

Inapropiada seguridad en el sitio de prestación del servicio

Deficiencia de seguridades fisicas, en areas de alta ciculación, rondas de vigilancia, mala ubicación de camaras de seguridad o inexistencia de las mismas, activación continua de alarmas, etc.

La no respuesta a las inquietudes del usuario, o la respuesta tardía y el no tener en cuenta las observaciones manifestadas para realizar acciones de mejoramiento

Aplicaciòn de sanciones leves ante un hecho grave. El ejemplo hacia otros miembros de la organización puede ser contraproducente

Manipulación y/o deficiente parametrización de los indicadores

Los indicadores de eficiencia, efectivad y eficacia no se han construido bajo un esquema sólido que garantice que lo que midan permitan tomar acciones inmediatas sobre las desviaciones. Igualmente cuando se quieren mostrar resultados que no corresponden a la realidad de la situación

CR0175

X

CR0176

X X

CR0177

x

CR0178

X xCR0179

x X xCR0180

X xCR0181 entrega de medicamentos no POS

X XCR0182

XCR0183

XCR0184

X XCR0185

X X X X

Utilización inadecuada de servicios o equipos por parte de los usuarios

Utilización inadecuada y desmedida de los servicios por parte de los usuarios o clientes, incluye además, el mal uso que se le da a los equipos y elementos, cuando estos hacen parte del servicio.

Deficiente proceso de selección de funcionarios

La falta de validación de antecedentes laborales, académicos, personales o judiciales de los funcionarios que van a ingresar bajo cualquier tipo de contrato, hace que puedan filtrarse elementos indeseados que puedan vulnerar la organización

Interrupción del servicio por falta o fallas del servicio de acueducto

La suspensión del suministro de agua puede ocasionar una parálisis de las operaciones de negocio que tienen su soporte en la manipulación de agua para la prestacion del servicio (Piscinas, fuentes de agua, alimentos, etec.).

Subutilzación de instalaciones, equipos materiales

Tener instalaciones, equipos o materiales sin que se les de una destinación encaminada a generar ingresos, prestar nuevos servicios o apoyar otras labores o servicios.

Insumos no aptos para la prestación de un servicio o elaboración de un producto

Usar insumos diferentes a los que por especificaciones definidas, acuerdos con los clientes, maquinas especializadas, deban usarse para garantizar el optimo producto o servicio

Inadecuada estructura para determinación de de costos de servicios

No contar con adecuado criterio para determinación y asignación de costos a servicios, a gastos compartidos

Ocurre cuando se autoriza la entrega de medicamentos sin la validación de requisitos omitiendo la normatividad o políticas del hospital

formulación de medicamentos no POS por parte de los médicos

Falta de criterio profesional al momento de la formulación de medicamentos que no estan contemplados en el vademecum POS

Falta de autorización de entes de control para funcionar

El iniciar una adecuación de infraestructura o prestar un servico no autorizado por los entes de control.

vencimiento de las licencias de funcionamiento

las licencias de funcionamiento deben ser renovadas periodicamente de acuerdo a los parametros establecidos por el ente regulador

Falta de idoneidad en el personal de salud (odontologos, médicos y profesionales del ramo)

Falta de capacitación e idoneidad en las funciones de los profesionales de la salud, que acarrean daños y lesiones en los pacientes

X

X

X

X

X

X

PE

RD

IDA

IN

GR

ES

O

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

x

X

X

X

X

x

X

x

x

x

x

x

x

x

X

X

X

X

x

X

X

X

X

x

X

OFICINA DE JOEIDENTIFICACIÓN DE PROCESOS

CÓDIGO NOMBRE DESCRIPCIÓN

PR01

PR02

PR03

PR04 Bienestar del Talento Humano

PR05 Desempeño del Talento Humano

PR06 Capacitación del Talento Humano

PR07

Administración de Pensiones

PR08

Control Interno Disciplinario

Programación y Alistamiento de la Gestión del Talento Humano

Elaborar metodologías y herramientas para la gestión del Talento Humano, Administrar contenidos del sistema de información de tablas y recolección de información.

Selección y Vinculación del Talento Humano

Analizar e identificar las necesidades de las áreas,Definir perfiles y requisitos, Elaborar y/o Actualizar Manuales de funciones,Diseñar y construir Banco de Talentos y de pruebas, Convocar y seleccionar talento humano, Vincular el talento humano

Administración Laboral y del Régimen Prestacional

Liquidar salarios, prestaciones sociales, seguridad social, cesantías y demás emolumentos a que haya lugar, Administrar hojas de vida.

Programar actividades deportivas, recreativas, sociales y culturales, Coordinar el Fondo de Ahorro y Vivienda de los funcionarios con derecho adquirido, préstamos de calamidad doméstica y auxilio educativo, Coordinar programas de salud ocupacional, higiene y seguridad industrial, Prestar los servicios en salud

Coordinar la evaluación del desempeño de los funcionarios en la oficina de Joe, Evaluar por méritos a empleados de la oficina, Evaluar Trabajadores de plan de ascenso.

Planear y coordinar actividades de capacitación de los funcionarios de la oficina de Joe, Planear y coordinar la asignación de apoyos económicos para la educación de funcionarios y beneficiarios de éstos.

Tramitar y resolver solicitudes de pensión de jubilación,Controlar el reconocimiento de pensión de vejez a pensionados, Tramitar y resolver solicitudes de bonos pensionales.

Supervisar la función disciplinarias de cada empleado de la oficina de joe, Disciplinar y controlar las actuaciones disciplinarias, Informar las actuaciones a los organismos de control.

PR09

Planeacion

PR10 Organización

PR11 Control de acceso a las oficinas

PR12

Sistema de Vigilancia

PR13 Contabilidad

PR14 Presupuesto

PR15 Tesoreria

PR16 Administración de la red

PR17Administración del software

PR18Gestion Documental

PR19 Soporte técnico y capacitación

Es un proceso racional de toma decisiones por anticipado, que incluye la selección de los cursos de acción que debe seguir la oficina de joe y cada unidad de la misma para conseguir determinados objetivos del modo más eficiente.

Es la función administrativa que trata de influir en las personas de la organización, para que, de forma voluntaria y con interés, contribuyan al logro de su unidad funcional y los objetivos de la empresa.Es la actividad de seguimiento encaminada a corregir las desviaciones que puedan darse al respecto de los objetivos de seguridad de entrada de personal (Empleados, visitantes) y prevencion de personal no autorizado a la oficina. El control se ejerce con referencia al personal que ingrese a la oficina de Joe, mediante la comparación regular de empleados y visitantes autorizados al ingreso de las oficinas de joe. Registro sistematizado del personal que accede a la oficina.Mantenimiento de equipos de vigilancia, custodia ( hurto de dispositivos electronicos de vigilancia), respaldo del sistema de vigilancia de la oficina de joe.

encargado de Alistar la Gestión Contable, Administrar cuentas por pagar,Conciliar la información contable, Generar informes.

proceso sistematico de Asignacion de recursos economicos. Administracion Presupuestal, Realizar modificaciones presupuestales, Generar informes.

Recaudar ingresos por tesorería, Efectuar pagos, Registrar cheques devueltos,

Diseñar, estructurar, usar y mantener la red de datos, administrar el tráfico y la asignación de direcciones IP

Mantenimiento, custodia, actualización y respaldo del software, Elaboraboracion, preparacion y actualizar de documentos que respalden el funcionamiento del software, usuario y técnico.

Radicación y distribución de Comunicaciones Oficiales y otros Envíos, Radicación de documentos normativos y contractuales, Organización y archivo de documentos, Servicio de Información y Consulta.

Solucionar problemas harware , cambio de dispositivos, mantenimiento y prevencion de los equipos de computo.

PR20Inteligencia Corporativa

PR21Organización y Normalización de Procesos

PR22

PR23 Alistamiento para el Control de Gestión

PR24Administración del Riesgos

PR25

Procesos Judiciales

PR26 Administracion Presupuestal

PR27 Gestion Tesorería

PR28

Control de Recaudo y Cartera

PR29Gestión Contable

PR30 Radicar y distribuir comunicaciones oficiales y otros envíos.PR31 Organización y archivo de documentos Organizar y archivar documentos inforntates de la oficina de joe.

Planificar necesidades de información, Buscar información y/o datos, Clasificar y seleccionar información y/o datos, Establecer la intención estratégica, las políticas y objetivos del estado futuro de la entidad.Analizar la situación actual de los procesos y procedimientos de la oficina de joe,Diseñar o actualizar los procesos y procedimientos de la oficina de joe, Elaborar o actualizar Manuales de Calidad, Procesos y Procedimientos, e Instructivos para su implementación.

Resultados de la Gestión de la oficina de Joe

Diseñar, implementar y evaluar modelo de seguimiento institucional basado en Indicadores, Diseñar, implementar y evaluar modelos de evaluación de impacto.

Identificar y gestionar disponibilidad de recursos físicos y humanos, Diseñar, elaborar y/o ajustar metodologías, mecanismos, herramientas, manuales, guías y documentos necesarios para desarrollar el Control de Gestión, Aplicar herramientas para el autocontrol y efectuar seguimiento, Efectuar evaluación y seguimiento a planes de mejoramiento, Rendir informes a entes externos de control.

Es el encargado de Promover la identificación de factores de riesgo, Acompañar y asesorar en el diseño e implementación de mapas de riesgo

Analizar acciones jurídicas, iniciar actuación procesal y seguir con el proceso hasta su culminación, Monitorear los procesos judiciales,Realizar conciliación,

Alistar la Gestión Presupuestal, Realizar modificaciones presupuestales, Realizar ejecución presupuestal, generar informes.

Recaudar ingresos por tesorería, Efectuar pagos, Registrar cheques devueltos,

Recepcionar información de aportantes, Administrar información de aportes parafiscales, Administrar información de cartera del Fondo Nacional de Vivienda de funcionarios y ex funcionarios, Administrar las cuotas partes pensionales de la oficina de joe.

Analizar y registrar la documentación contable, Administrar cuentas por pagar, Conciliar la información contable, Consolidar y cerrar el período, generar informes.

Radicación y distribución de comunicaciones oficiales y otros envíos

PR32 encargado de Prestar el servicio de información y consulta.

PR33

PR34 Comunicaciones LAN, WAN y WEB

PR35 logistica de abastecimiento

PR36Gestión de la infraestructura física

Prestación del servicio de información y consulta

Alistamiento de la informática y las comunicaciones

Definir políticas y estrategias de seguridad de la información y las comunicaciones, Investigar y evaluar mejores prácticas tecnológicas de informática y comunicaciones, Desarrollar planes de manejo de tecnología a nivel de funcionamiento y capacidad.

Administrar los servicios de datos, Administrar los servicios de comunicaciones, control de intrusos informaticos..

Administrar catálogo de elementos de consumo y devolutivos, Administrar registro único de proveedores,

Gestionar los avalúos de los inmuebles de la oficina de joe, supervicion y control de adecuaciones y remodelar las instalaciones de la oficina de joe.

OFICINA DE JOEANÁLISIS DE RIESGOS

IDENTIFICACIÓN ÁREAS FUNCIONALES

CÓDIGO NOMBRE

AF01 Gestion de Talento Humano

AF02

AF03 Juridico

AF04 Gestión Documental

AF05

AF06Recursos Financieros

AF07

AF08Control de gestion

AF09Gestion administrativa

Elaborado por:

Supervizado por:

Seguridad y Aseguramiento de Bienes Muebles, Inmuebles y Personas (empleados , visitantes)

Gestión de la Informática y las Comunicaciones LAN, WAN y WEB.

Planeamiento y direccionamiento corporativo

OFICINA DE JOEANÁLISIS DE RIESGOS

IDENTIFICACIÓN ÁREAS FUNCIONALES

DESCRIPCIÓN

Fecha:

Fecha:

Selección y Vinculación del Talento Humano, Administración Laboral y del Régimen Prestacional, Bienestar del Talento Humano,Gestión del Desempeño del Talento Humano,Capacitación del Talento Humano,Administración de Pensiones,Control Interno Disciplinario.

Encargado del buen funcionamiento y control de entrada y salida del personal (empleados, visitantes) a la oficina de joe, sistema de vigilancia sistematizado en la oficina.

Llevar a Cabo todos los procesos judiciales que se presente en la oficina de joe, realizar todos los procesos disiplinarios

Radicación y distribución de comunicaciones oficiales y otros envíos, Organización y archivo de documentos, Prestación del servicio de información y consulta.

encargado del Alistamiento de la informática (Seguridad informatica) y las comunicaciones, Gestión de las comunicaciones LAN, WAN y WEB, Gestión del mantenimiento y soporte en informática y comunicaciones.

Administración Presupuestal, Gestión de Tesorería, Control de Recaudo y Cartera, Gestión Contable

Inteligencia Corporativa, Organización y Normalización de Procesos, Resultados de la Gestión Institucional

es el encargado del Alistamiento para el Control de Gestión, Administración del Riesgos de la oficina de joe.

Logística de Abastecimiento, Inventarios de Bienes Muebles e Inmuebles, Gestión de la infraestructura física.

JOEANÁLISIS DE RIESGOS

OPERACIÓN DE TAQUILLAS Y CUADRE DE CAJAARÉAS FUNCIONALES VS. PROCESO

Contabilidad Tesorería Usuario Sistemas

Preparar turnos de caja. X X

Distribuir dinero sencillo y papelería X X

Venta de servicios X X X X X

Cierres de Caja. X X X X

Cierre de Caja recaudador X X X X

Administración de BD X X

Administración de la red X

Administración del software X X X X

Documentación X X X X X X

Administración de los equipos X X X X X X

Soporte técnico y capacitación X X X X X X

X X X X X X

ok

Administración GRAL

Administración-Cajero

Tesorería-Cajero recaudador

Proceso de bacht para generación de interfaz

JOEANÁLISIS DE RIESGOS

OPERACIÓN DE TAQUILLAS Y CUADRES DE CAJAARÉAS FUNCIONALES VS.RIESGOS

RIESGO \ AREAS FUNCIONALES Contabilidad Tesorería Usuario Sistemas

Acceso no autorizado X ? ? ? X

Tabla de tarifas no actualizada. X X

Congestión de la red X

X ? ? ? X

Creación de perfiles no autorizados. X X

Credibilidad de los datos X ? ? ? ? X X falta de credibilidad en los datos

Daño de equipos X X X X X X

Daños de la información. X ? X ? X

Daños en el software. X ? ? ? X

Deficiencia en el soporte técnico. X X

X X

Error de digitación. X ? ? ?

X

X

Error en los datos X X ? X ? X

Fraude X X X X X ? X

Inconsistencia en la BD X X

Interrupción de comunicaciones. ? ? ? ? X

Liquidaciones erradas X ninguna area funcional ?

Mal diseño de la interfase X X

Mal uso de los equipos X X X X X X

? ? ? ? X

Perdida del software fuente. X

Perdida o daño de documentos X X X X

X X X ? ? X

Pérdidas de dinero X X X ?

Sanciones Legales X X

falta el aerea funcional administracion -cur ?? = para que reconsideren si hay o no riesgo en esa area funcional

Administración GRAL

Administración-Cajero

Tesorería-Cajero

recaudador

Instalación no autorizadas del software.

Desactualización de las parámetros de validación.

Errores en el diseño y funcionamiento del software.Errores en la asignación de direcciones IP.

Perdida de información en el procesamiento

Perdida o desactualización de los manuales de los aplicativos