Defintivo causas joe cindy hary
-
Upload
libethbarrero -
Category
Technology
-
view
449 -
download
5
Transcript of Defintivo causas joe cindy hary
CODIGO CAUSA DESCRIPCION CALIFICACION
HU
RT
O/F
RA
UD
E
CR0001 M
X X
Infección por virus de computador. A
X X X
CR0003 M
X X X
CR0004 A
X
CR0005 Incendios y daños causados por fuego A
X
CR0006 Inundaciones y daños causados por agua. M
X
DA
ÑO
D
ES
TR
UC
CIO
N
AC
TIV
OS
DE
SV
EN
TA
JA
C
OM
PE
TIT
SA
NC
ION
ES
L
EG
AL
ES
PE
RD
IDA
N
EG
OC
IO
EX
CE
SO
E
GR
ES
OS
DE
CIS
ION
ES
E
RR
ON
EA
S
Interrupción del sistema por falta o fallas del fluido eléctrico.
La suspensión del fluido eléctrico puede ocasionar una parálisis de las operaciones de negocio soportadas en los sistemas de información automatizados.Esto afecta la eficiencia, eficacia y disponibilidad de los recursos de tecnología de información. Se presenta por causas accidentales?
CR0002
Puede ocasionar daños irreversibles (pérdida de información). Generalmente es ocasionada por el intercambio de información entre usuarios haciendo uso de medios magnéticos o a través de la red. También puede presentarse intencionalmente mediante archivos que ingresan a través del correo electrónico. Afecta a la disponibilidad de la información
Malfuncionamiento de los equipos de cómputo
Ocurre debido a la carencia de planeación del mantenimiento preventivo y correctivo de los equipos de computo. Estos van perdiendo las condiciones iniciales de funcionamiento debido a su uso diario y a la acumulación de polvo en los componentes internos de hardware. Fallas continuas en el sistema sin que exista un adecuado plan de contingencia, manejo inadecuado de los recursos
Terremotos, tornados y huracanes
Desastre natural e impredecible, que puede provocar pérdidas de datos, hardware, software, comunicaciones y gente experimentada. Su probabilidad de ocurrencia es baja, pero las pérdidas como consecuencia del siniestro son altas. Condiciones de orden social del país
El incendio en los centros de procesamiento, expondría a la organización a perder sus capacidades de computación, e interrumpir el desarrollo normal de las operaciones de negocio, en forma definitiva o transitoria.
La fuga o escape de agua en conductos hídricos, puede provocar el deterioro de los recursos de cómputo , y por consiguiente, la interrupción de todas las operaciones de negocio soportadas en la Tecnología de Información.
CR0007 A
X X X X
CR0008 A
X X
CR0009 M
X X
CR0010 A
X X X X X
CR0011 A
X X X X X
CR0012 A
X X
CR0013 A
X X X X
Imposibilidad de restaurar copias de respaldo (backups).
La información grabada en un medio magnético se expone a que no pueda recuperarse o leerse. Puede ocasionarse por el deterioro que resulta del excesivo uso de una misma cinta o medio de almacenamiento secundario o por carencia de tecnología, generalmente obsoleta, para poderla leer y recuperar. También por errores en el uso de la herramienta para generar copias de respaldo. Ausencia o deficiencia de los planes de contingencia, imposibilitando la continuidad de la operación
Malfuncionamiento de las redes eléctricas
Debido a fallas o a inadecuada instalación de las redes eléctricas o del polo a tierra, se pueden presentar cortos circuitos en el cableado eléctrico que alimenta a los equipos de computo. Esto puede ocasionar daños graves en la infraestructura de tecnología de información.
Instalación inadecuada de redes lógicas
El cableado lógico no se encuentra adecuadamente protegido por canaletas plásticas (aislantes). El cableado lógico se encuentra en la misma tubería o canaleta junto con el cableado eléctrico, provocando posibles fallas en la transmisión de datos a través de la red. Cableado expuesto al paso de personal (funcionarios)
Procesar / Actualizar el sistema con información incompleta (parcial)
Ingresar al sistema información parcial con respecto a el universo de información requerida a nivel de la empresa. Los reportes y resultados para la organización también serán inconsistentes, lo cuál disminuye la integridad y confiabilidad del sistema de información. No registro de la antigüedad en la seguridad social. No se llena la agenda de primera vez quedando espacios libres. Información adulterada, omitida o inexacta
Cargar a la base de datos información inexacta
Cargar a la base de datos, información que no corresponde con la realidad. Esto sucede generalmente en los procesos de conversión o de migración de información, al implementar un nuevo sistema.
Manejo inapropiado de maquinas, hardware y del software
El usuario sin tener el conocimiento opera indebidamente los equipos asignados, asi como el hardware y su software de configuración, tratando de solucionar un problema en su estación de trabajo o terminal. El resultado final es un atraso en las labores del usuario y del área funcional de la empresa a la cual pertenece. Esto va en detrimento de la eficiencia de las operaciones. Acceso por personal no autorizado o no calificado.
Procesar información con software ejecutable no autorizado
El procesamiento de información con versiones del software que no está autorizado, permite la ocurrencia de errores e irregularidades. Por consiguiente la confiabilidad de la información generada por el sistema será baja. Incumplimiento de normas legales.
CR0014 Disturbios civiles y vandalismo. M
X X X
CR0015 A
X X X X
CR0016 Actos terroristas A
X X
CR0017 Robo de equipos y partes de computador A
X X X
CR0018 A
X X
CR0019 A
X X X
CR0020 AX X
CR0021 A
X X X X
CR0022 A
X
Actos malintencionados provocados por el hombre, podrían ocasionar daños en las instalaciones y recursos de cómputo, y causar interrupciones de la continuidad de las operaciones normales de la organización. Ocasiona pérdida de negocios y credibilidad pública. Delincuencia común, armas de fuego.
Incluir rutinas de código mal intencionadas en los programas de computador
Las rutinas malintencionadas, a la sombra de otras rutinas autorizadas, podrían generar irregularidades, tales como los fraudes conocidos como Caballos de Troya, Bombas Lógicas, Superzaping y Salami, entre otros. Los responsables del desarrollo del software y de solucionar los requerimientos funcionales de los usuarios, aprovechan esta oportunidad para incluir rutinas malintencionadas en el software con el fín de buscar el beneficio propio o de terceros. Modificaciones no autorizadas de las bases de datos, de liquidaciones y de historicos
Son actos malintencionados producidos por grupos al margen de la ley con el propósito de producir daños y terror en la sociedad. Directa o indirectamente, estos actos podrían afectar las instalaciones de la empresa, causando destrucción, daños y atemorizando a sus funcionarios y accionistas.
Ocurre cuando componentes de hardware o software de la empresa son robados, por parte de terceros o de los empleados. Por ejemplo, : tarjetas de red, tarjetas de video, discos duros, drivers, etc.
Sabotaje no violento por parte de los empleados y de terceros.
Consiste en causar interrupciones en el funcionamiento normal de la operaciones y servicios automatizados, mediante bloqueos o daños en los componentes de los sistemas de información. Generan traumatismos al interior de la organización y en los clientes externos.
Daños causados por terceras partes que prestan servicios de TI
Se refiere los daños accidentales o malintencionales que se pueden presentar en los recursos de cómputo, causados por terceros que prestan servicos de tecnología a la organización. Incumplimiento de contratos, manejo deficiente de los mismos
Violentar cerraduras de cajas fuertes y bóvedas de seguridad.
Acceso indebido con claves o en forma violenta a las cajas fuertes y bovedas que cotiene títulos valores, cheques y documentos confidenciales de la empresa.
Suministro de especificaciones técnicas inapropiadas .
Al área de sistemas o al proveedor de servicios o productos informáticos no se le suministran de manera exacta y concreta las especificaciones técnicas del software o hardware que se necesita. El resultado es la entrega final de un producto o servicio que no satisface las expectativas del área usuaria.
Malfuncionamiento de dispositivos de control de acceso físico.
Funcionamiento inapropiado por daños mecánicos o electrónicos, que permiten acceso físico no autorizado a las bovedas, cajas fuertes o sitios cerrados electrónicamente y a los materiales que allí se guarden .
CR0023 A
X X X
CR0024 AX X
CR0025 AX X X X
CR0026 Divulgación de información confidencial AX X
CR0027 A
X
CR0028 AX
CR0029 A
X
CR0030 A
X X X X
CR0031 A
X X X X
CR0032 A
X
CR0033 A
X
Robo de información confidencial de la Empresa
Obtención y sustracción de documentos o información confidencial que es de vital importancia para la supervivencia de la empresa. Puede ocasionar desfalcos o comprometer el nombre de la compañía en situaciones dificiles, utilizando la papelería sustraida. Manejo inadecuado de activos y recursos
Suplantación física de clientes o de usuarios del sistema
Falsificación de documentos de identificación de los titulares para fines delictivos, incluyendo falsificación de firmas. Creación de proveedores ficticios, o suplantación de clientes para tramitar inscripciones.Permitir que existan funcionarios
indispensables en la empresa. Crea dependencia de la entidad hacia un funcionario, creando el ambiente propicio para que una sola persona que ejecute varias actividades a su cargo, encubra situaciones fraudulentas en beneficio propio o de terceros. Entregar o dar a conocer a terceros interesados, información vital de la organización, para que estos puedan utilizarla para fines delictivos, espionaje industrial, actos terroristas o de sabotaje.
Robo de títulos valores y documentos negociables sin diligenciar
Sustracción de documentos que una vez diligenciados en forma no autorizada y fraudulenta, pueden representar pérdidas de mucho dinero para la entidad. Debilidades en la custodia de págares
Malfuncionamiento de sistemas de alarmas en instalaciones de TI
Fallos en los sistemas de alarma, que no funcionan de la debida forma ante la presencia de un evento indeseado. Por ejemplo: malfuncionamiento de los detectores de humo.
Inapropiada seguridad del sitio de almacenaje de documentos fuentes negociables
Los documentos y titulos valores no se encuentran en un lugar seguro por exceso de confianza por parte de los responsables de su custodia (por ejemplo, chequera en el cajón del escritorio). Instalaciones no seguras para almacenar valores o para prestar servicios.
Reportes de la aplicación con información errada e incompleta.
Errores en los reportes generados por el sistema, que producen baja confiabilidad en el sistema de información, sobre todo si se toman decisiones con base en ellos. Imposibilidad para recuperar históricos de bases de datos
Alteración de los datos almacenados en archivos de computador
Los datos almacenados en los medios de almacenamiento primario son alterados intencionalmente al lograr un acceso no autorizado a traves del sistema operativo o utilitarios (por ejemplo: con la técnica del Superzapping).
Complicidad entre funcionarios de la empresa y clientes
Se asocian funcionarios y otros tales como: Clientes, proveedores, contratistas, competencia, o entre funcionarios, para desfalcar a la empresa, bien sea con pérdida o sustracción de equipos, documentos e información. Esto se puede presentar en los procesos de selección de proveedores y de negociación de contratos con ellos, o en la presentación de resultados para tramitar aprobaciones, entre otros.
Inadecuada evaluación del desempeño de los empleados.
Cuando la evaluación del desempeño es inapropiada, causa desestímulo en los empleados. Además, el objetivo de mejoramiento continuo y compromiso con los objetivos de la empresa, no se consigue. Ese desestimulo podría reflejarse en la omisión deliberada de procesos.
CR0034 A
X X
CR0035 A
X X
CR0036 AX X
CR0037 A
X X
CR0038 Alteración de datos en documentos fuente A X X X XCR0039 A
X X X X
CR0040 A
X X X
CR0041 A
X
Remuneración inequitativa de los funcionarios
Ocasiona en el empleado la pérdida del sentido de pertenencia hacia la entidad. El empleado siente la falta de valoración por los servicios prestados lo que lo vuelve vulnerable al soborno o al aprovechamiento de sus funciones para el beneficio económico propio y/o el de terceros (la competencia); esta pérdida también se origina cuando el proceso de selección es deficiente, al encontrar un candidato que no cumple el perfil mínimo requerido.
Daño o destrucción de archivos de respaldo (backup)
Por falta de seguridad y organización de copias de respaldo de los datos almacenados en los medios de almacenamiento secundarios, que puede generarse esta causa de riesgo. Esto pone en peligro la disponibilidad de la información hoy y en el futuro. También se presenta cuando los procesos automáticos que generan estos archivos no se realizan eficientemente.
Passwords con derechos de acceso ilimitado a personas que no los necesitan
Puede ocasionar el mal uso de los datos y del software,. Por ejemplo, hacer cambios no autorizados al software y a los datos. También, tener acceso a información confidencial.
Suplantación electrónica de usuarios con derechos de acceso al sistema.
Ocurre cuando el password y User ID de una persona son conocidos por otros, quienes ingresan al sistema suplantándolo. Como consecuencia pueden materializarse todos los riesgos derivados del acceso no autorizado a los recursos de tecnología de información (Manejo de claves, acceso a información sensible, ingrso de información ficticia).
Adulteración o cambio intencional de los datos en documentos fuente que contienen datos de entrada al sistema.
Suplantación / Falsificación de documentos fuente
Reemplazo ilícito o falsificación de documentos fuentes que contienen datos de entrada al sistema. Esto va en perjuicio de la integridad del la información contenidad en los archivos de computador.
Aplicación errónea de transacciones a cuentas que no corresponden
Por errores o en forma deliberada, las transacciones como: Consignaciones (A usuarios ó proveedores) y registros contables, pueden aplicarse a cuentas o centros de costo que no corresponden. Por ejemplo, el pago del subsidio famliar, podría aplicarse a cuenta que no corresponde.
Uso de un mismo password y User-Id por parte de varias personas.
Permitir el uso de un mismo password y User-ID, por parte de varias personas de un mismo departamento, puede generar riesgos innecesarios. Tanto el user ID como el password deben estar a asociados a cada individuo. Los passwords son como los cepillos de dientes: "No se prestan a nadie y deben cambiarse frecuentemente". Los user - ID no se cambian con la misma frecuencia que los passwords (son fijos) y sirven para establecer responsabilidades por las acciones que se ejecuten en el sistema; cuando un mismo User ID es utilizado por varias personas, no se pueden establecer individualmente tales responsabilidades.
CR0042 A
X X X
CR0043 Obsolencia tecnológica A
X X X
CR0044 A
X X X
CR0045 A
X X X X
CR0046 A
X X
CR0047 AX X X
CR0048 A
X X X
CR0049 A
X X
CR0050 A
X X X
Errores en cálculos efectuados por el software aplicativo
Errores en las operaciones aritméticas o computaciones que efectúa el software aplicativo. Pueden presentarse en el precierre o cierre de subsidio, o en las tasas de interés base para liquidación, entre otros.
El uso de tecnología obsoleta genera problemas de eficiencia, principalmente, puesto que su mantenimiento es costoso y, a veces, no es fácil conseguir repuestos para mantenerla funcionando. Bajo estas condiciones las instalaciones o equipos no son apropiadas ni seguras para la prestacion de los servicios.También genera desventaja competitiva.
Envío de información (output) a destinatarios que no corresponden
Envío de salidas generadas por las aplicaciones, en listados y medios magnéticos, a destinatarios que no corresponden. Tales envíos pueden contener información inexacta o parcial y tramitarse con retraso. Puede ocurrir en forma accidental o intencional.
Falta de entrenamiento de funcionarios para ejecutar procesos
La falta de entrenamiento y capacitación es causa para que se cometan errores y omisiones, las cuales a su vez pueden causar uno o mas riesgos. Esta deficiencia afecta la competencia del funcionario, y la calificacion del contratista en la ejecución de un contrato.
Omitir obtención de copias de respaldo de archivos vitales.
La omisión de generación de backups de datos o del software aplicativo en producción (programas fuente y ejecutables), puede ocasionar daños irreparables y riesgos diversos que pueden llegar hasta el cierre definitivo del negocio.
Procesamiento extemporáneo (inoportuno) de operaciones o trámites.
La omisión deliberada del procesamiento de trámites internos y respuestas a requerimientos en la fecha debida, puede obedecer a acciones irregulares de las personas que los manejan.
Divulgación accidental o intencional de información que constituya reserva
La divulgación de información sensible o confidencial, sin autorización del propietario de ésta y que afecte al cliente o funcionario, podría ocasionar sanciones legales a la empresa. Por ejemplo, entregar información de los afiliados o de los funcionarios sin su autorización expresa, atenta contra los derechos a la privacidad e intimidad de las personas.
Falta de cuidado y diligencia en atención a los clientes
La prestación de servicios de mala calidad a los clientes, la deficiente atencion traducida en actitudes negativas o agresión, y la alta rotación de funcionarios clave en dicha ateción, pueden ocasionar pérdida de negocios, pérdida de credibilidad pública, desventaja ante la competencia y otros riesgos.
Datos o cifras inexactas o inconsistentes en reportes enviados a entidades gubernamentales
La inexactitud en los datos o las cifras de reportes enviados a entidades gubernamentales (Tales como validaciones del FOSYGA), pueden ocasionar sanciones legales y problemas derivados de las sanciones, como por ejemplo, cierre o suspensión temporal del negocio.
CR0051 A
X
CR0052 AX X X
CR0053 A
X X X
CR0054 A
X X X X X
CR0055 AX X
CR0056 A
X
CR0057 A
X
CR0058 A
X X X X
CR0059 A
X X X
CR0060 A X X
Envío extemporáneo (inoportuno) de reportes exigidos por entidades reguladoras o de respuestas a requerimientos de ley.
Envío inoportuno de estos reportes puede generar sanciones legales (multas y suspensiones, por ejemplo). Estas deficiencias pueden ocurrir por demora en los procesos internos, y/o por la necesidad de contar con la participación del área de sistemas para la preparación de estos.
Debilidades o huecos de seguridad en sistemas operacionales
Los hackers, crackers y aún los funcionarios, podrían utilizar estas debilidades para causar problemas operacionales en las redes y daños a la información de las empresas.
Divulgar información privada de los clientes sin su autorización
La divulgación de datos de los clientes sin su autorización, puede generar sanciones legales y problemas jurídicos a la organización. Por ejemplo, remitir información a las centrales o bancos de información comercial, sin la autorización de los clientes.
Pérdida de documentos fuente o medios magnéticos durante transporte físico
Los documentos fuente, listados, archivos en medios magnéticos pueden perderse o sufrir daños durante su traslado físico. Si no se dipone de copias de respaldo, en estos casos, la empresa podría exponerse a diferentes riesgos.
Rechazo injustificado de transacciones o documentos fuente
Este tipo de rechazos podría obedecer a situaciones irregulares para favorecer la ocurrencia de ilícitos. Además podría generar otros riesgos, derivados de la Ineficiencia operacional.
Terminales abiertas permanecen inactivas por tiempo indefinido
Se refiere permitir que las terminales abiertas permanezcan inactivas por tiempo ilimitado. Esto crea el ambiente propicio para que sea suplantado el propietario del password que tiene abierta la terminal.
Modificación no autorizada al software aplicativo
Se refiere a cambios que se efectúen al software de la aplicación tales como: Alteraciones en bases de datos e interfases, en controles ó procesos de liquidación, sin que se obtengan las aprobaciones necesarias, o cuya modificación sea efectuada por personal no autorizado.
Alteración de campos calculados por el sistema, por caminos irregulares,
Cambios al contenido, o eliminación, de campos, registros o archivos que contienen información calculada por el sistema, tal como facturas, saldos, registros contables e historias clínicas, por procedimientos diferentes a los caminos ofrecidos por la aplicación. Por ejemplo con un utility o con programas no autorizados.
Aprobar procesamiento de transaccciones sin soportes.
Aprobación del procesamiento de transacciones (Abonos, giros a terceros,etc.) que no tienen los soportes o la totalidad de la documentación exigida, o que por un manejo inadecuado, éstos hayan sido extraviados o alterados.
Doble o múltiple procesamiento de la misma transacción.
Se refiere a la posibilidad de que una misma transacción se procese y aplique a la base de datos más de una vez
CR0061 A
X
CR0062 AX X X
CR0063 AX X
CR0064 AX
CR0065 Omisión de procesamiento de transacciones A
X X X X X
CR0066 AX
CR0067 A
X X X
CR0068 A
X X X
CR0069 Errores en transmisión de datos A X X X XCR0070 A
X X X
CR0071 A X X X
Pérdida o extravío de documentos fuente procesados
Los documentos ya procesados se pierden o extravían, ocasionando la falta de soportes o de pistas de las transacciones. Podría ser causa de irregularidades y cambios en el sistema.
Procesar documentos fuente con enmendados o con espacios en blanco sin anular
Aceptar como válidos los documentos fuente con tachones y enmendaduras y espacios en blanco sin anular o documentos mal diligenciados.
Aceptar deficiencias en firmas, sellos y huellas dactilares de documentos fuente
La aceptación de documentos con estas deficiencias, podrían originar el procesamiento de transacciones no autorizadas y la inexactitud de la información producida por la aplicación.
Permitir excesivo tiempo sin cambiar claves (passwords ) de acceso.
Esta situación crea ambiente favorable para que terceras personas conozcan los passwords y suplanten la autoridad otorgada al propietrio del password
Se refiere a el no procesamiento de las transacciones en la fecha que corresponda, por causas accidentales o intencionales acarreando el no cobro de servicios, incumplimientos y prestación de servicios.
Permitir permanencia de varias sesiones abiertas en el mismo terminal
Crea el ambiente propicio para que, en caso de suplantación del propietario del password, se realicen cambios no autorizados a los datos y al software de la aplicación.
Errores e incumplimiento de las condiciones contractuales pactadas con terceros.
Se refiere al efecto que tendría para la empresa, el no cumplimiento de las condiciones pactadas en la compra de bienes o servicios, por parte del proveedor o la ausencia de los mismos en el contrato, ó condiciones de negociación desventajosas para el contratante lo cual genera mal servicio o inconformidades.
Errores y omisiones en el ingreso de transacciones batch y on line
Por razones accidentales o intencionales, se omite la digitación de transacciones o que sin realizar validaciones se permitan inscripciones ficticias o suplantaciones. Esto podría ser indicio de posibles malos manejos e irregularidades.
Se refiere a la posible pérdida de transacciones a causa de problemas en las líneas de comunicación.
Alteración o fuga de de datos durante transmisión electrónica
La interceptación activa de las lineas de comuniación, permitiría modificar o alterar de manera ilícita los datos que se están transmitiendo. La interceptación pasiva, permitiría copiar y por consiguiente obtener de manera ilícita los datos que se están transmitiendo..
Pérdida de transacciones (mensajes) durante su transmisión electrónica
Por malfuncionamiento de las liíeas de comunicación, se podrían perder o alterar los mensajes transmitidos.
CR0072 A
X X X
CR0073 A
X X X
CR0074 B XCR0076 A
X X
CR0078 A
X
CR0079 A XCR0080 Utilizar passwords fáciles de adivinar M
X X
CR0081 A XCR0082 M XCR0083 A X X XCR0084 A
X X X X
CR0085 A
X X
CR0086 A
X X
Omitir validación de reglas de negocio en el software aplicativo
La validez de muchas reglas del negocio se automatizan. La omisión de estas reglas en el software aplicativo, podría generar problemas de integridad a la información que produce la aplicación y permitir la utilización de servicios a criterio de los funcionarios de manera irregular mediante procesos manuales, activaciones en periodos que no corresponden, cálculos manuales y errados.
Truncamiento de cifras en reportes utilizados para tomar decisiones.
El truncamiento de los dígitos más significativos, origina inexactitudes en la información de los reportes que producen las aplicaciones para soportar actividades de control y tomar decisiones.
Omitir el uso de reportes generados por el sistema o aplicación.
No utilizar los reportes generados para tomar decisiones, afecta la eficiencia y calidad del soporte suministrado por los sistemas
Procesamiento con archivos o programas de versión que no corresponde.
Se refiere a cuando por errores o intencionalmente, se procesan transacciones para actualizar archivos equivocados (por ejemplo, son de fecha diferente a la requerida)
Eliminar (dar de baja) registros de información con saldos diferentes de cero o con datos de consulta
Los sistemas de aplicación no deberían permitir que se marquen para retiro o se eliminen fisicamente registros de cuentas con saldo diferente de cero o de consulta. Esto ocasionaría problemas de integridad de la información. Por ejemplo, eliminar un registro de inventarios que tiene saldo o registros con incumplimientos que acarrean sanciones.
Presentación deficiente de los datos en informes generados por la aplicación.
Cuando los listados o informes se producen sin títulos, fecha de emisión, sin encabezados de columnas y sin páginas,
Facilitan la adivinación de los passwords y por consiguiente, el uso no autorizado o irregular del sistema por parte de las personas que adivinen las claves de acceso
Procesar datos que no pertenecen a la empresa, como si lo fueran.
Procesar información no perteneciente a la empresa, sucursal o agencia. Procesar datos para fuentes o destinatarios
que no corresponden. Por error o deliberadamente, aplicar datos a fuentes o destinatarios que no corresponden..
Daño físico de medios magnéticos con contenido de datos importantes
El daño de estos medios hace irrecuperable la información contenida en el medio. Origina diferentes riesgos.
Error en la digitación (ingreso ) de datos por parte de los usuarios
Los operadores de terminal o grabadores de datos, pueden cometer errores en el ingreso de los datos al sistema, los cuales deberían ser identificados, cuantificados y medidos por el sistema.
Tasas (tarifas) de servicios o de descuento que no corresponden a las vigentes o superiores al mercado
El uso de tasas o tarifas desactualizadas, la aplicación incorrecta para favorecer a terceros, o la ausencia de ellas podría originar diferentes riesgos. Por ejemplo, cobros en exceso o cobrar menor valor en el servicio prestado.
Cobertura de servicios inferior a la que ofrecen los competidores
No ofrecer al menos la misma cobertura geográfica o de portafolio de servicos, red que los competidores, tiene como consecuencia la materialización de riesgos tales como desventaja competitiva y pérdida de ingresos
CR0087 A
X
CR0088 A
X X X X
CR0089 A
X
CR0090 Exceso de confianza en los controles A
X X X X
CR0091 A
x x x
CR0094 A
x x x
CR0095 A
x X
CR0097 M
X x X x
CR0098 A
x X X
Omisión o insuficienca de pistas para la administración y la auditoría
Ocurre cuando la aplicación no deja rastros de las transacciones y los accesos que se realizan en el sistema (documentos fuente, listados de computador, medios magnéticos), para permitir el seguimiento hacia atrás y hacia delante (esto se denomina visibilidad, trazabilidad o auditabilidad) e investigación por parte de la administración y la auditoría.
Desconocimiento de políticas y normas reguladoras del servicio / negocio
Desconocimiento de políticas y normatividad legal Cuando no se está suficientemente familiarizado con las políticas, normas y procedimientos que rigen las operaciones, se pueden cometer
Inexistencia de pólizas de seguros o deficiente cubrimiento
No se tienen pólizas de seguros vigentes o el cubrimiento de las existentes es insuficiente para prortejer contra la pérdida de los activos de la Caja o su imagen corporativa (por ejemplo, contra la destrucción total del centro de cómputo principal, incendio, inversiones).
Modificar los datos por procedimientos distintos de los normales, ignorando todos los controles y procedimientos establecidos. Por ejemplo, llegar a creer excesivamente en los controles establecidos, hasta abandonar las actividades de monitoreo continuo que debe efectuarse sobre el funcionamiento de los controles.
Rotación, Traslado o Pérdida de personal clave
El retiro o la no disponibilidad de las personas que tienen el conocimiento y la experiencia (Know-how) en el manejo de las operaciones o de los sistemas, ocasiona problemas en el desarrollo normal de las operaciones y genera costos en la capacitación y entrenamiento del nuevo funcionario.
Interpretación equivocada o no ejecución de los requerimientos efectuados por los usuarios
Mala interpretación de los requerimientos de los usuarios, tales como solicitudes de cambios al software aplicativo para generar información que ellos necesitan, puede ocasionar pérdidas de tiempo, eficiencia y mal servicio a los clientes, entre otros problemas.
Deficientes pruebas a los cambios efectuados al software de aplicación
Las pruebas deficientes a los cambios efectuados al software de la aplicación es una fuente de múltiples problemas operacionales, como consecuencia de los errores que pueden presentarse en la información generada por el sistema.
Omisión ó insuficiencia de supervisión de los controles automatizados
La falta de supervisión de los controles ejercidos por el software de aplicación, permite que no se advierta a tiempo cuando los controles dejan de funcionar, por ejemplo, por efecto de un cambio efectuado al software de la aplicación. Los usuarios pueden ser excesivamente creyentes en lo que hace el sistema. Esto favorece la ocurrencia de ilícitos.
Omisión / deficiente capacitación en funciones o sobre nuevas versiones de la aplicación
La capacitación deficiente para la operación de las nuevas versiones de la aplicación, o la falta de información de los cambios efectuados, ocasiona problemas de eficiencia, seguridad y efectividad en el uso del sistema.
CR0099 A
X X x
CR0101 A
x X
CR0102 A
x X
CR0103 A
x X X X
CR0104 Tiempo de Respuesta excesivamente alto. AX X
CR0105 AX
CR0106 AX x
CR0107 A
x x X
CR0108 AX
CR0109 Transacciones nunca registradas A X x x xCR0110 A
X X
CR0111 AX
CR0112 AX
Uso de versiones no autorizadas del software aplicativo (sistema sombra)
El procesamiento de las transacciones podría efectuarse utilizando versiones no autorizadas de software, en lugar de hacerlo con las versiones autorizadas y aprobadas por la administración. A las versiones no autorizadas se les denomina "Sistemas Sombra".
Interrupción por conflictos laborales con el personal de sistemas.
Cuando el personal de sistemas está sindicalizado y participa activamente en paros u otras actividades que implican la suspensión temporal de los servicios para presionar reivindicaciones, la seguridad de los sistemas y de la empresa están en peligro muy serios.
Documentación inexistente o desactualizada de los sistemas
La falta de documentación actualizada y completa de los sistemas que soportan el desarrollo de las operaciones automatizadas, ocasiona problemas de efectividad, eficiencia, seguridad y confiabilidad.
Pérdida o daño de información almacenada en los computadores
La disponibilidad de la información que está almacenada en los discos duros de los computadores puede perderse por diferentes circunstancias. Por ejemplo, como consecuencia de desastres naturales o provocados por el hombre.
En los sistemas en línea, principalmente, el funcionamiento deficiente del sistema podría generar tiempos de respuesta demasiado lentos y por consiguiente, mal servicio a los clientes.
Generación de reportes no amigables para la Gerencia y el área operativa
Cuando los reportes no se presentan de manera apropiada para facilitar su uso por parte de los destinatarios. No los entienden, son ambiguos, sin títulos, etc.
Deficiente selección de inscritos y proveedores de bienes y servicios.
Cuando no se seleccionan apropiadamente los inscritos y los proveedores de bienes y servicios, cualquier riesgo puede materializarse.
Impreparación para enfrentar contingencias en el la prestación de los servicios o de los sistemas de información
Se presenta cuando la empresa o el sistema carecen de plan de contingencias operativo o de sistemas para garantizar la continuidad del servicio. La continuidad del servicio en el evento de fallas graves o desastres, no está garantizada.
Insatisfacción de las necesidades de información del usuario.
El sistema no genera la información que necesita el usuario para el manejo de las operaciones, a niveles operativos, tácticos y estratégico.
Realizar operaciones que no se registran en el sistema y por consiguiente, tampoco en la contabilidad de la empresa. Malfuncionamiento de las líneas de
comunicación de datos El mal funcionamiento de los canales de comunicación de datos, puede generar interrupciones o deficiencia en el servicio a los clientes.
Omisión o errores en retención de impuestos y aportes parafiscales
El software de las aplicaciones podría presentar errores y omisiones en el cálculo y recaudo de las obligaciones fiscales (impuestos) y parafiscales a los que está obligada la empresa.
Divulgación de información de la Empresa que constituye ventaja competitiva
En forma accidental o intencional, se puede divulgar la información de la empresa que constituye ventaje competitiva. Por ejemplo, listados de clientes, información de mercadeo, etc.
CR0113 A x XCR0114 A xCR0115 M
x x
CR0116 Ax
CR0117 A
x x
CR0118 AX
CR0119 AX X
CR0120 AX X X X
CR0121 A
X X X x X
CR0122 AX
CR0123 A X X XCR0124 A
x x X
CR0128 A
X X
CR0129 Acceso no autorizado a instalacionesX X
Errores en cálculo de ingresos o egresos calculados por la aplicación
Errores en los algoritmos y fórmulas utilizados por la aplicación para calcular y recaudar ingresos de la empresa.
Malfuncionamiento de equipos de captura electrónica de datos (POS, por ejemplo)
Fallas en los sensores o dispositivos de captura electrónica de datos. Malfuncionamiento de equipos de seguridad
ambiental Fallas en los equipos de aire acondicionado, extinción automática de incendios, sensores de temperatura y humedad, etc. Desconocimiento de las políticas de
seguridad en procesamiento de datos La falta o el desconocimiento o la omisión de las políticas y normas de seguridad establecidas para las actividades de sistemas de información.
Omisión / falta de Reportes con información de control y desempeño del sistema
La aplicación no produce información para monitorear el funcionamiento y desempeño del sistema. Por ejemplo: estadísticas diarias y mensuales con cifras que permitan medir el cumplimiento de metas.
Redundancia excesiva de información en la Bases de Datos
Por la falta de un modelo de datos normalizado, se producen problemas de integridad causados por la redundancia innecesaria y excesiva de información en la Bases de Datos.
Actualización incompleta de datos en tablas físicas de la Base de Datos
Podría presentarse a causa de malfuncionamiento de las actualizaciones concurrentes de un mismo dato o de fallas en el software de aplicación.
Diseño inadecuado de la base de datos o de las estructuras de los programas o interfases
El sistema presenta fallas estructurales que no permiten su funcionalidad para satisfacer los objetivos previstos o esperados de la automatización.
Enfoque obsoleto / deficiente del sistema de control interno.
El enfoque del sistema de control interno está desactualizado con respecto a la tecnología y la cultura de la sociedad y de la organización. Por ejemplo, cuando el enfoque es reactivo en lugar de proactivo..
Falta de pulcritud y orden en las operaciones de procesamiento de datos
El desorden y la falta de pulcritud en las actividades y operaciones de procesamiento de datos son signos de peligro para la seguridad.
Omisión o falta de estándares de control de calidad de la información de la BD
No existe un plan para garantizar la calidad de la información o es deficiente.
Falta de idoneidad en el personal de desarrollo / mantenimiento de sistemas
Falta de capacitación o de formación profesional de los analistas y programadores encargados del mantenimento / desarrollo del sistema. Falta de especialización en las herramientas de desarrollo de software.
Pobre comunicación entre personal de sistemas y los usuarios
Cuando no hay una buena comunicación entre el personal de sistemas y los usuarios, muchos problemas y riesgos pueden presentarse. La comunicación abre o cierra puertas de entendimiento.
Entrada de usuarios, proveedores, y funcionarios propios de la empresa, a lugares de circulación restringida sin acompañamiento de funcionarios de seguridad o del área visitada.
CR0130 Accidentes de trabajoX x
CR0131
X x
CR0132X X
CR0133 Afiliación por selección adversa.
X X
CR0134X x
CR0135
X X
CR0136 Competencia desleal
X X
CR0137
X x X
CR0138
x X
Todo suceso repentino que sobrevenga por causa o con ocasión del trabajo y que produzca en el trabajador una lesión orgánica, una perturbación funcional, una invalidez o la muerte.
Accidentes ocurridos durante la ejecución de programas ofrecidos por la Caja
Suceso repentino que origina una lesión orgánica o perturbación funcional, y que pueda ocasionar invalidez o muerte, en el desarrollo de un programa, actividad o plan ofrecido por la entidad dentro o fuera de sus instalaciones.
Actitud negativa para la prestación del servicio por parte
Todo comportamiento voluntario de funcionarios, inscritos, contratistas que ocasione confusión y deterioro en la actividad, la prestación del servicio e ingresos de la organización.
La selección adversa puede dificultar el mantenimiento del SGSS. Las personas con enfermedades de alto riesgo tienen propensión a asegurarse más que los otros: hay pues una selección que se hace, y ésta es defavorable.
Cambios en la legislacion, normatividad y politicas administrativas
Los continuos cambios en la normatividad y la premura de acondicionar los sistemas y procedimientos sin una planeación, acondicionamiento y pruebas adecuadas
Cobro de vacunas del esquema de la Secretaria de salud
Cobro indebido de insumos entregados por laboratorios o entidades oficiales. Estos deben ser entregados gratuitamente a los afiliados.
La utilización o difusión de indicaciones incorrectas o falsas, la omisión de las verdaderas y cualquier otro tipo de práctica que sea susceptible de inducir a error a la organización o a las personas que las dirigen sobre la naturaleza del servicio, características, aptitud en el empleo, calidad y cantidad del servicio en general. La oferta de cualquier clase de ventaja o prima para el caso de que se contrate la prestación del servicio cuando induzca o pueda inducir al afiliado o potencial al error acerca del nivel de precios de servicios, o cuando dificulte gravemente la apreciación del valor efectivo de la oferta o su comparación con otras alternativas. La entrega de obsequios con fines publicitarios y prácticas comerciales cuando, por las circunstancias en que se realicen, comprometan a contratar la prestación principal.
Condiciones inadecuadas de instalaciones para prestacion del servicio
Los espacios donde se presta el servicio, no son optimos o no se encuentran adecuados de manera que el servicio tenga la calidad requerida, causando incomodidad, lesiones, daños, inseguridad y accidentes.
Condiciones inadecuadas para desarrollar las funciones
El área fisica donde el funcionario realiza su labor se encuentra bajo condiciones no aptas para el desarrollo de su función (espacios reducidos, alta temperatura, escritorios incomodos, alta afluencia de público)
CR0139
x x
CR0140 Debilidades en los procesos de cierre de caja
x
CR0141 Desafiliación de empresas x x
CR0142 Dificultad para acceder a los servicios
x x
CR0143
X X X
CR0144
X X
CR0145
X X X
CR0146
X X X X
CR0147
X X X
CR0148 Escasez de medicamentos e insumos
X X
Congestión y exceso de actividades en la ejecución de procesos
No existen una adecuada segregación de funciones dentro de los procesos, lo que hace que se concentren las funciones en una misma persona. Tambien puede ocasionarse por la exagerada función de revisión de la misma actividad en varias personas
Los procedimientos de registro y cierre facilitan al cajero conocer y mantener control sobre los registros que realiza, de tal forma que manualmente puede saber el total de lo recaudado antes que se le realice el cierre de caja
Disminución de las empresas superavitarias debido a fluctuaciones del mercado que generen su traslado hacia otras cajas
No se facilita el acceso de los usuarios a los servicios por diversos aspectos tales como: Trabas o tramitología, preferencia hacia determinado grupo de usuarios o empresas, red insuficiente o alejada, exceso de requisitos y inoportunidad en la prestación del servicio, horarios inadecuados. Tambien se presenta cuando se da un trato preferencial a cierto grupo de empresas o usuarios.
Error en la información o comunicaciones interna
Errores en la información generada por el sistema o por medios de comunicación, que producen baja confiabilidad, sobre todo si se toman decisiones con base en ellos o si es entregada a entes de control .
Errores administrativos en manejo de personal
Las labores de administración de personal se realizan de manera inadecuada solicitando personal no necesario o no calificado para la labor, errores en liquidación de horas trabajadas o exceso de responsabilidades, falta de capacitación, demoras o inconsistencias en pago de salarios, incumplimiento de los horarios máximos permitidos por la ley
Errores en diseño, planeación, alcance y construcción de infraestructura
El diseño de planos deficiente y de bajas especificaciones , procedimientos de construcción obsoletos o inadecuados, uso de materiales de baja calidad o defectuosos, demoras en el cumplimiento de cronogramas, participación de personal no calificado.
Errores en liquidaciones o presentacion de informacion manual
Se presentan por errores en los cálculos o fórmulas usadas para obtener valores a cancelar o a pagar, ya sea en créditos, transacciones financieras o pagos a proveedores, Informes hechos de manera manual con la posibilidad de errores
Errores involuntarios en los resultados de los exámenes, o en las entregas
Dado que los exámenes son confidenciales y son base para diagnósticos, cualquier error en su presentación, entrega inadecuada o a persona no autorizada, ocasiona consecuencias graves para el paciente
No hay un manejo adecuado el stock generando escases o ausencia de insumos básicos para la prestación del servicio lo que hace necesario recurrir en ocasiones de un servicio a otro para cubrir necesidades.
CR0149 Estudios de mercado y planeación deficientes
X X
CR0150 Exceso de compras
X X
CR0151 Exceso de personal a termino fijo en el área
X x X
CR0152 Exhibición inadecuada de productosX
CR0153 Existencia de cuentas de dificil seguimiento
X X
CR0154 Pago de incapacidades sin derecho X X
CR0155X X
CR0156 Extravío de niños o adultos con incapacidadX X
CR0157X X X
CR0158
X X
CR0159X X X
CR0160
X X
Ocurre por deficiencia en la planeación concentrando enfoques y esfuerzos en programas que no van a ser utiles para la organización y deja de lado programas que si lo van a hacer ocasionando errores en selección de población objetivo de cada servicio.
Se presenta por la compra desproporcionada de insumos propios del servicio, elementos de consumo, etc., sin que la misma obedezca a una necesidad del servicio o a un proceso planeado de compras.
El existir un número elevado y significativo de personal temporal en un área o proceso puede causar una disminución en la aplicación de controles debidas a falta de motivación, compromiso o perdida de importancia en las actividades que se realizan.
Los alimentos no son exhibidos de una forma tal que cause una impresiòn adecuada en cuanto a higiene, presentación, color, olor y en los recipientes adecuados para cada tipo de alimento.
Creación de cuentas contables que no obedecen a una dinámica contable coherente y en la cual se realizan transacciones sin análisis y sin identificación lo que impide conciliar, validar y establecer las partidas que la componen
Ocurre cuando se autoriza el pago de incapacidades sin la validación de requisitos omitiendo la normatividad o políticas de la Caja.
Expedición de incapacidades sin tener derecho
Falta de criterio profesional al momento de expedir una incapacidad ocasionando el pago de incapacidades cuando no existe diagnostico que amerite incapacidad.
Los niños y adultos especiales que se encuentren bajo la responsabilidad de Compensar buscan salirse de las instalaciones sin que se controlen
Falsificación o utilización indebida de documentos
Reemplazo ilícito o falsificación de documentos fuentes que contienen datos que dan derecho a recibir beneficios o a utilizar servicios de la Caja. Esto va en perjuicio de la organización.
Falta de mantenimiento a equipos, software e instalaciones
Ocurre debido a la carencia de planeación del mantenimiento preventivo y correctivo de los equipos e instalaciones. Estos van perdiendo las condiciones iniciales de funcionamiento debido a su uso diario y a la acumulación de polvo.
Falta de oportunidad en correspondencia o trámites internos
Demora en entrega de correspondencia, en tramites que dan respuesta a una solicitud, contrato, orden de giro causando traumatismo en el servicio.
Inadecuada coordinación de actividades internas o entre areas
Conflictos, propuestas de servicios sin contar con las áreas que intervienen en el proceso, convenios con empresas afiliadas sin la divulgación a toda la organización. Debido a la falta de claridad o desconocimiento de los compromisos pactados, y ante la ausencia de consenso predomina la variedad de criterios.
CR0161X x
CR0162 Incumplimiento de normatividad XCR0163
X X
CR0164 Intoxicación por alimentos
X X
CR0165X x
CR0166 Rotación y traslado del personalX X
CR0167 Sobrecostos XCR0168
X X
CR0169
CR0170 Daños en propiedad de expositores o afiliadosX
CR0171X X
CR0172
Ausencia de acciones de mejoramiento (OyS)X X
CR0173
Levedad de las sanciones aplicadas X
CR0174
X
Incumplimiento de los acuerdos pactados con los clientes
Ofrecer servicios con unas determinadas carácterísticas que a la postre no se cumplen totalmente o en forma parcial cambiando las características iniciales con las que el cliente las adquirió
Los incumplimientos de las normas legales pueden acarrear sanciones a la organización.
Deficiencias en la elaboración y divulgacion de políticas y procedimientos
No existen medios adecuados de elaboración, documentación, divulgación de las directrices de la administración causando que los funcionarios no puedan cumplir las normas por simple desconocimiento
Generada por usar alimentos en mal estado, mal preparados, vencidos no almacenados adecuadamente y que ya no son aptos para consumo humano, pudiendo generar problemas de salud y demandas a la organización
Omisión de controles, procedimientos y politicas
No se tuvo en cuenta los procedimientos y políticas establecidos por la administración por desconocimiento, negligencia o actos de mala fe, que van en contra de la organización y su operación
Cambio de personal clave para la prestación de un servicio sin que se tenga un reemplazo capacitado que pueda asumir las funciones en forma inmediata.
Uso de recursos adicionales a los planeados inicialmente para la ejecución de un servicio
Utilización indebida de activos o servicios por parte de funcionarios
Desperdicio, destrucción, apropiacion de elementos, materiales, aumentando los costos en compras de insumos. Utilización de servicios valiendose de su condicion de funcionario
Incumplimiento por parte de las empresas de los compromisos de pago
Las empresas no cumplen con los compromisos de pago adquiridos con Cartera y Tesorería, por lo general ( servicios a crédito, convenios de pago).
Daño o perdida que se ocasione a las obras artísticas exhibidas en las instalaciones de la Empresa o propiedades dadas en custodia a la Caja.
Inapropiada seguridad en el sitio de prestación del servicio
Deficiencia de seguridades fisicas, en areas de alta ciculación, rondas de vigilancia, mala ubicación de camaras de seguridad o inexistencia de las mismas, activación continua de alarmas, etc.
La no respuesta a las inquietudes del usuario, o la respuesta tardía y el no tener en cuenta las observaciones manifestadas para realizar acciones de mejoramiento
Aplicaciòn de sanciones leves ante un hecho grave. El ejemplo hacia otros miembros de la organización puede ser contraproducente
Manipulación y/o deficiente parametrización de los indicadores
Los indicadores de eficiencia, efectivad y eficacia no se han construido bajo un esquema sólido que garantice que lo que midan permitan tomar acciones inmediatas sobre las desviaciones. Igualmente cuando se quieren mostrar resultados que no corresponden a la realidad de la situación
CR0175
X
CR0176
X X
CR0177
x
CR0178
X xCR0179
x X xCR0180
X xCR0181 entrega de medicamentos no POS
X XCR0182
XCR0183
XCR0184
X XCR0185
X X X X
Utilización inadecuada de servicios o equipos por parte de los usuarios
Utilización inadecuada y desmedida de los servicios por parte de los usuarios o clientes, incluye además, el mal uso que se le da a los equipos y elementos, cuando estos hacen parte del servicio.
Deficiente proceso de selección de funcionarios
La falta de validación de antecedentes laborales, académicos, personales o judiciales de los funcionarios que van a ingresar bajo cualquier tipo de contrato, hace que puedan filtrarse elementos indeseados que puedan vulnerar la organización
Interrupción del servicio por falta o fallas del servicio de acueducto
La suspensión del suministro de agua puede ocasionar una parálisis de las operaciones de negocio que tienen su soporte en la manipulación de agua para la prestacion del servicio (Piscinas, fuentes de agua, alimentos, etec.).
Subutilzación de instalaciones, equipos materiales
Tener instalaciones, equipos o materiales sin que se les de una destinación encaminada a generar ingresos, prestar nuevos servicios o apoyar otras labores o servicios.
Insumos no aptos para la prestación de un servicio o elaboración de un producto
Usar insumos diferentes a los que por especificaciones definidas, acuerdos con los clientes, maquinas especializadas, deban usarse para garantizar el optimo producto o servicio
Inadecuada estructura para determinación de de costos de servicios
No contar con adecuado criterio para determinación y asignación de costos a servicios, a gastos compartidos
Ocurre cuando se autoriza la entrega de medicamentos sin la validación de requisitos omitiendo la normatividad o políticas del hospital
formulación de medicamentos no POS por parte de los médicos
Falta de criterio profesional al momento de la formulación de medicamentos que no estan contemplados en el vademecum POS
Falta de autorización de entes de control para funcionar
El iniciar una adecuación de infraestructura o prestar un servico no autorizado por los entes de control.
vencimiento de las licencias de funcionamiento
las licencias de funcionamiento deben ser renovadas periodicamente de acuerdo a los parametros establecidos por el ente regulador
Falta de idoneidad en el personal de salud (odontologos, médicos y profesionales del ramo)
Falta de capacitación e idoneidad en las funciones de los profesionales de la salud, que acarrean daños y lesiones en los pacientes
X
X
X
X
X
X
PE
RD
IDA
IN
GR
ES
O
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
x
X
X
X
X
x
X
x
x
x
x
x
x
x
X
X
X
X
x
X
X
X
X
x
X
OFICINA DE JOEIDENTIFICACIÓN DE PROCESOS
CÓDIGO NOMBRE DESCRIPCIÓN
PR01
PR02
PR03
PR04 Bienestar del Talento Humano
PR05 Desempeño del Talento Humano
PR06 Capacitación del Talento Humano
PR07
Administración de Pensiones
PR08
Control Interno Disciplinario
Programación y Alistamiento de la Gestión del Talento Humano
Elaborar metodologías y herramientas para la gestión del Talento Humano, Administrar contenidos del sistema de información de tablas y recolección de información.
Selección y Vinculación del Talento Humano
Analizar e identificar las necesidades de las áreas,Definir perfiles y requisitos, Elaborar y/o Actualizar Manuales de funciones,Diseñar y construir Banco de Talentos y de pruebas, Convocar y seleccionar talento humano, Vincular el talento humano
Administración Laboral y del Régimen Prestacional
Liquidar salarios, prestaciones sociales, seguridad social, cesantías y demás emolumentos a que haya lugar, Administrar hojas de vida.
Programar actividades deportivas, recreativas, sociales y culturales, Coordinar el Fondo de Ahorro y Vivienda de los funcionarios con derecho adquirido, préstamos de calamidad doméstica y auxilio educativo, Coordinar programas de salud ocupacional, higiene y seguridad industrial, Prestar los servicios en salud
Coordinar la evaluación del desempeño de los funcionarios en la oficina de Joe, Evaluar por méritos a empleados de la oficina, Evaluar Trabajadores de plan de ascenso.
Planear y coordinar actividades de capacitación de los funcionarios de la oficina de Joe, Planear y coordinar la asignación de apoyos económicos para la educación de funcionarios y beneficiarios de éstos.
Tramitar y resolver solicitudes de pensión de jubilación,Controlar el reconocimiento de pensión de vejez a pensionados, Tramitar y resolver solicitudes de bonos pensionales.
Supervisar la función disciplinarias de cada empleado de la oficina de joe, Disciplinar y controlar las actuaciones disciplinarias, Informar las actuaciones a los organismos de control.
PR09
Planeacion
PR10 Organización
PR11 Control de acceso a las oficinas
PR12
Sistema de Vigilancia
PR13 Contabilidad
PR14 Presupuesto
PR15 Tesoreria
PR16 Administración de la red
PR17Administración del software
PR18Gestion Documental
PR19 Soporte técnico y capacitación
Es un proceso racional de toma decisiones por anticipado, que incluye la selección de los cursos de acción que debe seguir la oficina de joe y cada unidad de la misma para conseguir determinados objetivos del modo más eficiente.
Es la función administrativa que trata de influir en las personas de la organización, para que, de forma voluntaria y con interés, contribuyan al logro de su unidad funcional y los objetivos de la empresa.Es la actividad de seguimiento encaminada a corregir las desviaciones que puedan darse al respecto de los objetivos de seguridad de entrada de personal (Empleados, visitantes) y prevencion de personal no autorizado a la oficina. El control se ejerce con referencia al personal que ingrese a la oficina de Joe, mediante la comparación regular de empleados y visitantes autorizados al ingreso de las oficinas de joe. Registro sistematizado del personal que accede a la oficina.Mantenimiento de equipos de vigilancia, custodia ( hurto de dispositivos electronicos de vigilancia), respaldo del sistema de vigilancia de la oficina de joe.
encargado de Alistar la Gestión Contable, Administrar cuentas por pagar,Conciliar la información contable, Generar informes.
proceso sistematico de Asignacion de recursos economicos. Administracion Presupuestal, Realizar modificaciones presupuestales, Generar informes.
Recaudar ingresos por tesorería, Efectuar pagos, Registrar cheques devueltos,
Diseñar, estructurar, usar y mantener la red de datos, administrar el tráfico y la asignación de direcciones IP
Mantenimiento, custodia, actualización y respaldo del software, Elaboraboracion, preparacion y actualizar de documentos que respalden el funcionamiento del software, usuario y técnico.
Radicación y distribución de Comunicaciones Oficiales y otros Envíos, Radicación de documentos normativos y contractuales, Organización y archivo de documentos, Servicio de Información y Consulta.
Solucionar problemas harware , cambio de dispositivos, mantenimiento y prevencion de los equipos de computo.
PR20Inteligencia Corporativa
PR21Organización y Normalización de Procesos
PR22
PR23 Alistamiento para el Control de Gestión
PR24Administración del Riesgos
PR25
Procesos Judiciales
PR26 Administracion Presupuestal
PR27 Gestion Tesorería
PR28
Control de Recaudo y Cartera
PR29Gestión Contable
PR30 Radicar y distribuir comunicaciones oficiales y otros envíos.PR31 Organización y archivo de documentos Organizar y archivar documentos inforntates de la oficina de joe.
Planificar necesidades de información, Buscar información y/o datos, Clasificar y seleccionar información y/o datos, Establecer la intención estratégica, las políticas y objetivos del estado futuro de la entidad.Analizar la situación actual de los procesos y procedimientos de la oficina de joe,Diseñar o actualizar los procesos y procedimientos de la oficina de joe, Elaborar o actualizar Manuales de Calidad, Procesos y Procedimientos, e Instructivos para su implementación.
Resultados de la Gestión de la oficina de Joe
Diseñar, implementar y evaluar modelo de seguimiento institucional basado en Indicadores, Diseñar, implementar y evaluar modelos de evaluación de impacto.
Identificar y gestionar disponibilidad de recursos físicos y humanos, Diseñar, elaborar y/o ajustar metodologías, mecanismos, herramientas, manuales, guías y documentos necesarios para desarrollar el Control de Gestión, Aplicar herramientas para el autocontrol y efectuar seguimiento, Efectuar evaluación y seguimiento a planes de mejoramiento, Rendir informes a entes externos de control.
Es el encargado de Promover la identificación de factores de riesgo, Acompañar y asesorar en el diseño e implementación de mapas de riesgo
Analizar acciones jurídicas, iniciar actuación procesal y seguir con el proceso hasta su culminación, Monitorear los procesos judiciales,Realizar conciliación,
Alistar la Gestión Presupuestal, Realizar modificaciones presupuestales, Realizar ejecución presupuestal, generar informes.
Recaudar ingresos por tesorería, Efectuar pagos, Registrar cheques devueltos,
Recepcionar información de aportantes, Administrar información de aportes parafiscales, Administrar información de cartera del Fondo Nacional de Vivienda de funcionarios y ex funcionarios, Administrar las cuotas partes pensionales de la oficina de joe.
Analizar y registrar la documentación contable, Administrar cuentas por pagar, Conciliar la información contable, Consolidar y cerrar el período, generar informes.
Radicación y distribución de comunicaciones oficiales y otros envíos
PR32 encargado de Prestar el servicio de información y consulta.
PR33
PR34 Comunicaciones LAN, WAN y WEB
PR35 logistica de abastecimiento
PR36Gestión de la infraestructura física
Prestación del servicio de información y consulta
Alistamiento de la informática y las comunicaciones
Definir políticas y estrategias de seguridad de la información y las comunicaciones, Investigar y evaluar mejores prácticas tecnológicas de informática y comunicaciones, Desarrollar planes de manejo de tecnología a nivel de funcionamiento y capacidad.
Administrar los servicios de datos, Administrar los servicios de comunicaciones, control de intrusos informaticos..
Administrar catálogo de elementos de consumo y devolutivos, Administrar registro único de proveedores,
Gestionar los avalúos de los inmuebles de la oficina de joe, supervicion y control de adecuaciones y remodelar las instalaciones de la oficina de joe.
OFICINA DE JOEANÁLISIS DE RIESGOS
IDENTIFICACIÓN ÁREAS FUNCIONALES
CÓDIGO NOMBRE
AF01 Gestion de Talento Humano
AF02
AF03 Juridico
AF04 Gestión Documental
AF05
AF06Recursos Financieros
AF07
AF08Control de gestion
AF09Gestion administrativa
Elaborado por:
Supervizado por:
Seguridad y Aseguramiento de Bienes Muebles, Inmuebles y Personas (empleados , visitantes)
Gestión de la Informática y las Comunicaciones LAN, WAN y WEB.
Planeamiento y direccionamiento corporativo
OFICINA DE JOEANÁLISIS DE RIESGOS
IDENTIFICACIÓN ÁREAS FUNCIONALES
DESCRIPCIÓN
Fecha:
Fecha:
Selección y Vinculación del Talento Humano, Administración Laboral y del Régimen Prestacional, Bienestar del Talento Humano,Gestión del Desempeño del Talento Humano,Capacitación del Talento Humano,Administración de Pensiones,Control Interno Disciplinario.
Encargado del buen funcionamiento y control de entrada y salida del personal (empleados, visitantes) a la oficina de joe, sistema de vigilancia sistematizado en la oficina.
Llevar a Cabo todos los procesos judiciales que se presente en la oficina de joe, realizar todos los procesos disiplinarios
Radicación y distribución de comunicaciones oficiales y otros envíos, Organización y archivo de documentos, Prestación del servicio de información y consulta.
encargado del Alistamiento de la informática (Seguridad informatica) y las comunicaciones, Gestión de las comunicaciones LAN, WAN y WEB, Gestión del mantenimiento y soporte en informática y comunicaciones.
Administración Presupuestal, Gestión de Tesorería, Control de Recaudo y Cartera, Gestión Contable
Inteligencia Corporativa, Organización y Normalización de Procesos, Resultados de la Gestión Institucional
es el encargado del Alistamiento para el Control de Gestión, Administración del Riesgos de la oficina de joe.
Logística de Abastecimiento, Inventarios de Bienes Muebles e Inmuebles, Gestión de la infraestructura física.
JOEANÁLISIS DE RIESGOS
OPERACIÓN DE TAQUILLAS Y CUADRE DE CAJAARÉAS FUNCIONALES VS. PROCESO
Contabilidad Tesorería Usuario Sistemas
Preparar turnos de caja. X X
Distribuir dinero sencillo y papelería X X
Venta de servicios X X X X X
Cierres de Caja. X X X X
Cierre de Caja recaudador X X X X
Administración de BD X X
Administración de la red X
Administración del software X X X X
Documentación X X X X X X
Administración de los equipos X X X X X X
Soporte técnico y capacitación X X X X X X
X X X X X X
ok
Administración GRAL
Administración-Cajero
Tesorería-Cajero recaudador
Proceso de bacht para generación de interfaz
JOEANÁLISIS DE RIESGOS
OPERACIÓN DE TAQUILLAS Y CUADRES DE CAJAARÉAS FUNCIONALES VS.RIESGOS
RIESGO \ AREAS FUNCIONALES Contabilidad Tesorería Usuario Sistemas
Acceso no autorizado X ? ? ? X
Tabla de tarifas no actualizada. X X
Congestión de la red X
X ? ? ? X
Creación de perfiles no autorizados. X X
Credibilidad de los datos X ? ? ? ? X X falta de credibilidad en los datos
Daño de equipos X X X X X X
Daños de la información. X ? X ? X
Daños en el software. X ? ? ? X
Deficiencia en el soporte técnico. X X
X X
Error de digitación. X ? ? ?
X
X
Error en los datos X X ? X ? X
Fraude X X X X X ? X
Inconsistencia en la BD X X
Interrupción de comunicaciones. ? ? ? ? X
Liquidaciones erradas X ninguna area funcional ?
Mal diseño de la interfase X X
Mal uso de los equipos X X X X X X
? ? ? ? X
Perdida del software fuente. X
Perdida o daño de documentos X X X X
X X X ? ? X
Pérdidas de dinero X X X ?
Sanciones Legales X X
falta el aerea funcional administracion -cur ?? = para que reconsideren si hay o no riesgo en esa area funcional
Administración GRAL
Administración-Cajero
Tesorería-Cajero
recaudador
Instalación no autorizadas del software.
Desactualización de las parámetros de validación.
Errores en el diseño y funcionamiento del software.Errores en la asignación de direcciones IP.
Perdida de información en el procesamiento
Perdida o desactualización de los manuales de los aplicativos