Gestión de Tecnologías de la Información

Guía operacional para la Gestión de Riesgos de TI

Código: GTI-GO-003

Versión: 01

Junio de 2020

Sistema Institucional de Gestión y Autocontrol

Tabla de contenido
Introducción 1
Objetivo 1
Alcance 1
Responsable 1
Definiciones 1
Marco normativo 3
Generalidades 4
Contenido 4
1. Políticas 4
2. Gestiones relacionadas 5
3. Metodología de la Gestión de Riesgos 6
3.1. Fase I: Identificación y Registro del Riesgo 7
3.2. Fase II: Valoración de los Riesgos 8
3.3. Fase III: Medidas de Control 12
3.4. Valoración de los Controles y medición de efectividad 15
4. Diagrama de flujo 18
4.1. Gestión de Riesgos Operativa 18
4.2. Gestión de Riesgos Funcional 20
5. Actividades 21
5.1. Gestión de Riesgos Operativa 21
5.2. Gestión de Riesgos Operativa 29
6. Entradas 31
7. Salidas 32
8. Indicadores 32
9. Informes periódicos 33
10. Roles y responsabilidades 34
11. Matriz RACI 35
Anexos 38
Referencias bibliográficas 38

Código: GTI-GO-003
Código: GTI-GO-003
Introducción

La Gestión de Riesgos se encarga de brindar acompañamiento para realizar el tratamiento de los riesgos
que se puedan presentar a nivel de Tecnologías de Información, asegurando todo el flujo desde su
identificación hasta su aceptación, cierre y pasando por la respectiva valoración y planteamiento de
acciones de mitigación para aquellos riesgos que así lo requieran. Se encarga también de realizar el
seguimiento al cumplimiento y la efectividad en la ejecución de las acciones planteadas como tratamiento
de mitigación.

Objetivo

Identificar, registrar y valorar los riesgos de servicios/Gestiones ITIL y evaluar sus planes de mitigación,
dependiendo del resultado del riesgo inherente; con base en los diferentes factores de riesgos de TI del
contrato Suscrito entre SENA y el operador de servicios TIC.

Mitigar y controlar los riesgos identificados aplicando la metodología de gestión de riesgos descrita en este
documento.

Colaborar con el SENA en la ejecución de la Guía Operacional de gestión de riesgos y construcción del BCP,
desde la perspectiva de los servicios TIC.

Alcance

Este documento pertenece al proceso de Gestión de Tecnologías de la Información. Aplica para todos los
riesgos identificados y registrados en GTI-F-049 Matriz Gestión Riesgos por los servicios y/o procesos
enmarcados dentro del contrato suscrito entre SENA y el operador de servicios TIC, alineados a la ISO
31000 y metodología de riesgos del SENA.

Responsable

Gestor de Riesgos del Operador de Servicios TIC, con el apoyo de la mesa de trabajo establecida para la
Gestión

Definiciones

 Análisis del Impacto y Riesgo al Negocio: Al realizar el análisis de impacto y riesgo se cuantifica la
probabilidad y el impacto de la pérdida de los servicios para el SENA, con el objetivo de determinar
la probabilidad de una amenaza o la vulnerabilidad ante la misma. El resultado de este proceso es
el Registro de Riesgos, una lista de riesgos que deben atenderse según el resultado de valoración.

1
GTI-GO-003 V01
 AR: Sigla de Análisis de Riesgos
 BCP: Sigla de Plan de Continuidad de Negocio
 Evaluación del Riesgo: La evaluación de riesgo sirve para identificar eventos que podrían afectar
negativamente a su organización. Eso incluye los daños potenciales que podrían causar tales
eventos, la cantidad de tiempo necesaria para recuperar o restaurar las operaciones y las medidas
preventivas o controles que deben mitigar las probabilidades de que esos eventos ocurran. La
evaluación de riesgo también permite determinar qué pasos se deben implementan
adecuadamente para poder reducir la gravedad de un evento.
 Gestión del Riesgo: Se encarga de apoyar en la identificación, valoración evaluación, definición de
controles de mitigación y seguimiento de los riesgos de TI asociados a los servicios enmarcados en
el contrato suscrito.
 Gestor de Riesgos: Se encarga de registrar la situación contexto reportada en la matriz de riesgos
operativos, verificar que la situación contexto corresponde a un riesgo, se encarga de realizar el
seguimiento en todas las etapas del proceso y hacer seguimiento al plan de acción ejecutado por el
responsable.
o Apoyar en la Identificación de los riesgos asociados a los servicios TIC, causas, consecuencias y
atribución, en conjunto con el líder del servicio asociado.
o Divulgar y capacitar la metodología de evaluación de riesgos que se defina en la Mesa de
Trabajo.
o Determina el tipo de tratamiento o sugerir los planes de acción, en conjunto con el Líder del
servicio o Servicio asociado al riesgo.
o Solicitar a los líderes de los servicios o servicios, los planes de acción para el tratamiento de los
riesgos.
o Realizar seguimiento a los planes de acción formulados y monitorear los riesgos registrados en
la matriz de riesgos.
 Identificación del Riesgo: En esta etapa del ciclo de la gestión del riesgo se registran todas las
posibles situaciones de riesgo que pueden dar origen a un nuevo vector de riesgo potencial a
materializarse; estos posibles riesgos se pueden reportar por Operador de servicios TIC o el SENA,
durante la ejecución del contrato Suscrito. De acuerdo con el estándar ISO31000 se utilizará los
siguientes parámetros para identificar los riesgos:
 Impacto del Riesgo: Se evalúa el impacto del riesgo tomando los criterios definidos en l
metodología de evaluación de riesgos. Si el responsable del riesgo considera que se deben evaluar
criterios adicionales, estos se pueden agregar complementariamente, a los sugeridos en este
procedimiento. Los criterios se deben registrar en la matriz de riesgos.
 Matriz de Gestión de Riesgos: Documento donde se consolidan los Riesgos identificados en
servicios/procesos que pueden llegar a afectar la operación de los servicios TIC referente al
contrato Suscrito, se registrarán y se llevará el seguimiento en la matriz de Gestión de Riesgos,
aprobada por la mesa de Gestión de Riesgos, GTI-F-049 Matriz_Gestión_Riesgos.
 Mesa de trabajo: Conformada por Operador de servicios TIC, Sena e Interventoría; encargada de
revisar, planear y decidir sobre los aspectos relevantes a la Guía Operacional de gestión de riesgos

2
GTI-GO-003 V01
 para el SENA, realiza seguimiento a los reportes entregados por el gestor de riesgos de Operador de
servicios TIC en cuanto al registro y clasificación del riesgo, el seguimiento a la creación de planes
de acción y a su ejecución. El Gestor de Riesgos del operador de servicios TIC ejecutará el proceso
de Gestión de Riesgos en el proyecto con el apoyo de los Gestores de Riesgos de SENA e
Interventoría. Se validan los riesgos registrados en la matriz de Gestión de Riesgos y se analiza si
estos afectan la operación de los servicios TIC.
 Prioridad del Riesgo: Se realiza la ponderación entre el la probabilidad y el impacto, para obtener
como resultado la prioridad del riesgo.
 Probabilidad del Riesgo: Se evalúa la probabilidad de ocurrencia de acuerdo con los criterios
establecidos en la metodología, para la evaluación de riesgos. Se deben tener en consideración la
información suministrada por el responsable del riesgo, adicionalmente se deben considerar
criterios adicionales de acuerdo con la experiencia y madurez del proceso y/o servicios donde se
identifica el riesgo. Los criterios se deben registrar en la matriz de riesgos.
 Responsable de Gestionar el Riesgo: Ejecuta el plan de acción definido para mitigar, transferir,
eliminar, compartir o evitar el riesgo.
 Responsable del Riesgo: Identificar la situación contexto y reportarla al Gestor de Riesgos.
Confirmar al responsable asignado de gestionar el riesgo, la ejecución del plan de acción.
 Riesgo es una función de la probabilidad que una fuente de amenaza dada explote una
vulnerabilidad potencial particular, y que el impacto resultante sea un evento adverso para la
entidad. Riesgo es la probabilidad de ocurrencia de un evento que impactará la consecución de los
objetivos de la entidad. El riesgo es medido en términos de impacto y probabilidad”
 Riesgo Inherente: Es el riesgo principal, resultado del análisis inicial.
 Riesgo Residual: Es un riesgo secundario que puede surgir, cuando ya se ha mitigado el riesgo
principal, esto depende de la medición de la efectividad de los controles.
 Situación Contexto: Es la situación observada por los roles que reportan el riesgo, la cual podría
estar generando un riesgo de operación para el servicio.
 ITIL: Sigla del inglés (Information Technology Infrastructure Library) cuyo significado es Biblioteca
de Infraestructura de Tecnologías de la Información.

Marco normativo

 El documento está sujeto a los lineamientos normativos establecidos en el “Normograma Proceso

GTI”, el cual se encuentra ubicado el sistema integrado de gestión y autocontrol (SIGA) en la ruta:
http://compromiso.sena.edu.co/documentos/doc_referencia/
Normograma_Proceso_Gestión_Tecnologías_de_Información.xlsx

 El contrato vigente del SENA con el Operador de Servicios TIC

Generalidades

3
GTI-GO-003 V01
Este documento es para uso global de la entidad en lo referente a las Tecnologías de la Información.

Contenido

1. Políticas

 El Plan de acción creado para mitigar o evitar los riesgos, se debe desarrollar según las necesidades
para todos los servicios y/o procesos enmarcados dentro del contrato suscrito entre el SENA y el
operador de servicios TIC, el seguimiento al plan de acción se realiza con acompañamiento del
responsable del riesgo.
 La Gestión de Riesgos debe plantear estrategias teniendo en cuenta las necesidades actuales y
futuras del SENA y siguiendo como marco de referencia el contrato suscrito.
 Con el fin de identificar los riesgos continuamente, las diferentes mesas de trabajo deberán dedicar
un espacio en cada mesa, mínimo una vez al mes, con el fin de identificar posibles riesgos que
pueden afectar el servicio y/o la operación, estas sesiones deberán quedar registradas en las
correspondientes actas, las cuales serán enviadas y/o informadas al Gestor de Riesgos para
validación en la respectiva mesa de Gestión de Riesgo.
 Los riesgos se validarán en las mesas de trabajo de los servicios y/o procesos, los cuales deben
tener un soporte de revisión, para posterior validación y registro en la mesa de la Gestión de
Riesgos; conformada por el SENA, Interventoría y el Gestor de Riesgos de Operador de servicios TIC.
 Los riesgos enviados a la Gestión de Riesgos después del día 10 calendario de cada mes, durante el
trascurso del contrato, serán registrados y codificados en la matriz de Gestión de Riesgos “GTI-F-
049 Matriz_Gestión_Riesgos” en el siguiente mes.
 Se tomará como referencia para la Gestión de Riesgos la tolerancia al riesgo definida por el cliente
(SENA), la cual será incluida en la metodología de la Gestión de Riesgos, por lo cual los riesgos
valorados como Menores y Bajos no serán tenidos en cuenta para la definición de planes de
mitigación por parte de los responsables de los riesgos.
 El análisis de riegos en los planes de recuperación de desastres (DRP), se realizarán con base en el
alcance de la actividad y/o escenario definido para realizar la prueba; los riesgos identificados serán
registrados, evaluados y se les definirán medidas de control de acuerdo con la metodología de
riesgos descrita en este documento.
 El riesgo que pueda presentarse al realizar un cambio lo analizará el Coordinador del Cambio junto
con la Mesa de Trabajo del Servicio, el cual será registrado en el módulo de gestión de cambios en
la herramienta de Gestión, en la fase de “Análisis de riesgo e impacto”, este análisis es evaluado
por el Comité de Cambios (CAB). En los casos que el Gestor de Cambios considere que el análisis de
riesgos del cambio no está analizando todas las variables que impactarían los servicios, o la
planeación del cambio no es suficiente para mitigar el impacto/probabilidad de que se materialice
el riesgo, convocará al Gestor de Riesgos al Pre-CAB, con el fin de que se amplié el análisis de

4
GTI-GO-003 V01
 riesgos y se defina un plan de mitigación; estos riesgos serán gestionados a través de la matriz de
riesgos.
 Los riesgos que se presenten derivados de la ejecución de un Cambio, los cuales puedan impactar
de manera importante o significativa el funcionamiento normal de la operación por la magnitud de
las actividades a ejecutar durante la ventana, deben ser registrados en la Matriz de Riesgos y
evaluados por la Mesa de Trabajo donde se realizarán las observaciones relativas al caso.
 Cuando se identifique riesgos en los incidentes mayores y en la correlación de eventos serán
informados por el Servicio a la Gestión de Riesgos a través del acta de la Mesa de Trabajo donde
analizaron este tipo de riesgos.
 Los riesgos cuya valoración inicial resulta MENOR o BAJA, los cuales son tolerables para el SENA y
no requieren medidas de mitigación, deben ser puestos en seguimiento y monitoreo durante un
período de un año antes de darlos por aceptados y cerrados. El monitoreo de los mismos se
realizará una vez cada seis meses. Si al finalizar este monitoreo se evidencia que el riesgo no se ha
materializado y no ha cambiado su valoración inicial, se procede a cerrar el riesgo.
 La información relacionada con riesgos y evidencias será almacenada en un único repositorio
definido en conjunto con el SENA con el fin de evitar duplicidad en la información. De esta manera,
cada responsable del riesgo podrá consultar las evidencias respectivas en el momento que lo
requiera; estas evidencias de la ejecución de planes de mitigación no se deben anexar en los
informes, sino relacionar su ubicación. Se deberán asegurar los permisos de acceso para cada
interesado de acuerdo con el rol que desempeña.
 La única fuente de información oficial de los riesgos es la Matriz_Gestión_Riesgos, actualizada por
el Gestor de Riesgos de acuerdo con el seguimiento realizado y con la información suministrada por
los responsables de los riesgos.

2. Gestiones relacionadas

 Guía operacional Gestión de la Demanda

 Guía operacional Gestión del Portafolio de Servicios
 Guía operacional Gestión de Relaciones con el Negocio
 Guía operacional Gestión Financiera
 Guía operacional Gestión de la Capacidad
 Guía operacional Gestión del Catálogo de Servicios
 Guía operacional Gestión de la Disponibilidad
 Guía operacional Gestión de la Seguridad
 Guía operacional Gestión de la Continuidad
 Guía operacional Gestión de Niveles Servicio
 Guía operacional Gestión de Proveedores
 Guía operacional Gestión de Cambios
 Guía operacional Gestión de Configuraciones
5
GTI-GO-003 V01
  Guía operacional Gestión del Conocimiento
 Guía operacional Gestión de Entregas y despliegues
 Guía operacional Gestión de Planificación y Soporte de la Transición
 Guía operacional Gestión de Validación y pruebas
 GTI-GO-001 Guía operacional Gestión de Problemas
 GTI-GO-002 Guía operacional Gestión de Eventos
 Guía operacional Gestión de Incidentes
 Guía operacional Gestión de Solicitudes de servicio
 Guía operacional Gestión de Accesos
 Guía operacional Gestión de Mejora Continua
 Guía operacional Gestión de Riesgos
 Guía operacional Gestión de Procesos
 Guía operacional Gestión Ambiental
 Guía operacional Gestión de Siniestros
 Guía operacional Gestión de QRSF
 Guía operacional Gestión de Licenciamiento
 Guía operacional Gestión de Cambio Organizacional
 Guía operacional Gestión de Activos de servicio de Tecnología
 Guía operacional Gestión de Arquitecturas
 Guía operacional Gestión de Eficiencia Energética
 Guía operacional Gestión de Estaciones de trabajo
 Guía operacional Gestión de Herramientas de Apoyo
 Guía operacional Gestión de Identidad
 Guía operacional Gestión de Seguridad y Sistemas de la Información
 Guía operacional Gestión TIC de Sedes y Locaciones

3. Metodología de la Gestión de Riesgos

En el desarrollo de la metodología de la Gestión de Riesgos se da a conocer las fases y/o etapas para llevar
a cabo una adecuada gestión del riesgo de acuerdo con el gráfico inferior:

6
GTI-GO-003 V01
 Figura 1 Fases de la Gestión de Riesgos

3.1. Fase I:
Identificación y Registro del Riesgo

Fase en la que se identifican los riesgos junto con sus causas, consecuencias e impactos que puedan llegar a
tener desde cualquier línea de servicio correspondiente al proyecto del Operador de servicios TIC
enmarcado dentro de los servicios y/o procesos de Infraestructura Centralizada, Operación en Sede, y
Gestión de Servicios TIC. Esta identificación se realiza teniendo como base el documento “GTI-F-049
Matriz_Gestión_Riesgos”. En la siguiente tabla se detallan los campos requeridos, para el diligenciamiento
de la fase de Identificación y Registro del Riesgo.

CAMPO DESCRIPCIÓN

ID Consecutivo entregado por la Gestión de Riesgos

Fecha de Registro Fecha de registro del riesgo, de acuerdo con las políticas definidas en la mesa de trabajo.
Responsable del Persona encargada de gestionar las actividades de identificación, valoración e implementación
Riesgo de las actividades de mitigación del riesgo.
Etapa del Proyecto De acuerdo con la metodología PMI se establecen unas etapas en los proyectos (Inicio,
Planificación, Ejecución, Seguimiento y Control, y Cierre)
Proceso de Negocio De acuerdo con el contrato Suscrito el proceso de negocio impactado sobre la prestación de
que Interviene los servicios TIC es: Gestión de las Tecnologías de la Información.
Servicio TIC Son los servicios TIC, prestados por el Operador de servicios TIC y enmarcados en el contrato
1122512 de 2019

7
GTI-GO-003 V01
 CAMPO DESCRIPCIÓN

Objetivo del servicio Es el objetivo de la actividad de los procesos y/o servicios, el cual puede verse impactado en
Posiblemente caso de materializarse dicho riesgo.
Afectado
Tipo de Riesgo Se establecieron varios tipos de riesgos dentro de los cuales se encuentran los riesgos,
operativos, financieros, legales, de cumplimiento, etc., la definición del tipo de riesgos se
encuentra en la hoja con nombre “DATOS” de la Matriz_Gestión_Riesgos.
Descripción del Se refiere al resultado de afectación de los objetivos de negocio.
Riesgo La redacción responde fácilmente a la pregunta si ocurre el riesgo: ¿Qué pérdida es generada?
Es decir, permite identificar la pérdida potencial: fraude, multa-indisponibilidad, demanda,
reproceso, robo, sanción, etc.
Cuando se identifica el riesgo, se describe lo que no se quiere que suceda.
En la matriz de riesgos se debe describir el riesgo de acuerdo con la redacción definida:
Descripción del Riesgo + Causa + Consecuencias.
Causas (Resultado Se deben identificar las causas (Resultado de Análisis Causa Raíz) que pueden llegar a
del análisis de causa materializar el riesgo, teniendo en cuenta:
raíz) 1. Tecnología: Herramientas, equipos, infraestructura, etc.
2. Procedimientos: La forma de hacer las cosas.
3. Personas: Errores humanos
4. Suministro: Insumos, entregables, entradas
5. Entorno: Condiciones externas y/o internas.
Consecuencias Las consecuencias se pueden dar en temas financieros, imagen, personas, Tiempo, Clientes,
Potenciales Alcance del proyecto entre otros.
Observaciones Mesa Se realiza la validación del riesgo en la mesa de trabajo y se dará el respectivo feedback de la
de Gestión de actividad a los responsables de los riesgos
Riesgos Se registran los ajustes y/o aclaraciones que en la Mesa de Gestión de Riesgos se definan,
adicionalmente se relaciona el número del acta en donde se aprobó el riesgo.
Riesgo Materializado Sí el riesgo ya presenta afectación en los servicios TIC y /o procesos, se cataloga como
materializado.
Nota: Se mantiene el campo en la matriz de riesgos (Fase I), sin embargo, a partir del inicio del
contrato suscrito esta columna no se registrará, ya que si un posible riesgo se materializa
antes de su evaluación (Fase II y III), el servicio y/o proceso deberá realizar una acción
correctiva y/o una oportunidad de Mejora.
¿El Riesgo Afecta la (SI), puede llegar a afectar la operación normal de los servicios TIC.
Operación?

3.2. Fase II: Valoración de los Riesgos

Fase en la que se procede a valorar los riesgos identificados, bajo los criterios de probabilidad e impacto del
riesgo de acuerdo con las tablas de ayuda respectivas descritas en la matriz “Matriz_Gestión_Riesgos” (Hoja
DATOS)

Probabilidad del Riesgo: Para determinar la probabilidad de ocurrencia del riesgo se puede hacer de
manera cualitativa o cuantitativa de acuerdo con las escalas definidas en la tabla de valoración de la
probabilidad descritas en la matriz “Matriz_Gestión_Riesgos” (Hoja DATOS).
8
GTI-GO-003 V01
 TABLA DE VALORACIÓN DE LA PROBABILIDAD

% DE VALORACIÓN CUANTITATIVA
DESCRIPCIÓN NOTACIÓN VALORACIÓN CUALITATIVA
PROBABILIDAD (TASA DE OCURRENCIA)

Probabilidad de ocurrencia muy

Muy Alta A+ 100%
alta
> 3 (tres), Incidentes Materializados por año

Alta A 75% Probabilidad de ocurrencia alta Entre 2 y 3, Incidentes Materializados por año

Probabilidad de ocurrencia = 1 (Uno) incidente materializado durante el

Mediana M 50%
media contrato

Baja B 25% Probabilidad baja = 0 (Cero) incidentes en el contrato SENA

Probabilidad de ocurrencia muy = 0 (Cero) incidentes en proyectos

Remoto B+ 10%
baja relacionados

Tabla: Valoración de la probabilidad

NOTA:
El resultado de la probabilidad está sujeta a la escala más alta, esto quiere decir que si un riesgo esta
categorizado con una valoración cualitativa y cuantitativa, y la valoración cuantitativa es más alta que la
cualitativa esa será la valoración del riesgo, como lo describe el siguiente ejemplo:

Se realizó la valoración de la probabilidad del riesgo y el resultado fue Cualitativa = “Mediana”, y una
valoración Cuantitativa = “Baja”; el resultado de la valoración de la probabilidad es Mediana.

Impacto del Riesgo: Para determinar el impacto de un riesgo se debe considerar las siguientes categorías:
• Impacto hacia las personas
• Impacto económico
• Impacto a la imagen y/o Reputación
• Impacto hacia el Cliente
• Impacto hacia el tiempo del proyecto (Servicio TIC)
• Impacto hacia el Alcance de los servicios TIC del proyecto
• Impacto hacia la calidad de los servicios TIC contratados por el SENA.

Para poder determinar la severidad del impacto de los riesgos se debe tener en cuenta la matriz de
valoración que se describe a continuación y se encuentra en la hoja con nombre “Datos” en la matriz de
Gestión de Riesgos “Matriz_Gestión_Riesgos (Hoja DATOS).

9
GTI-GO-003 V01
 RECURSOS
No. PERSONAS REPUTACIÓN CLIENTES TIEMPO ALCANCE DEL PROYECTO CALIDAD
ECONÓMICOS
1. Incidente Se veta al
mostrado por Operador de 1. Atraso
medios de prensa servicios TIC significativo no
nacionales y/o como controlable en el
1. El producto
internacionales proveedor cumplimiento de 1. El producto final del
1. Afectación final del
2. Daño Afectación en los objetivos proyecto no cumple en su
económica proyecto es
ALTO 5 Una (1) fatalidad irreparable a la todas las sedes contractuales del totalidad con los
mayor a $ 50 totalmente
marca SENA y del SENA proyecto. contractuales del contrato.
millones inutilizable
Operador de Afectación de 2. Reproceso en (servicios TIC)
(Servicios TIC)
servicios TIC todos los más de un 40%
3. Pérdida del servicios TIC de las
contrato 1122512 prestados a actividades.
de 2019. SENA
1. Incidente puede
llegar a medios de
prensa nacionales
1. Incapacidad
2. Afectación a la
permanente
marca SENA y
2. Afectan el Afectación de
Operador de 1. La
rendimiento 1. Afectación más de 10 .
servicios TIC, 1. El producto final del reducción de
laboral por largo económica sedes del SENA 1. Reproceso
reparable a largo proyecto no cumple con la calidad es
MAYOR 4 tiempo entre $ 50 Afectación de entre un 30% y
plazo varios entregables del totalmente
3. Daños millones y $ 30 más de tres 40% de las
3. Posibilidad de contrato. (servicios TIC) inaceptable
irreversibles en la millones servicios TIC actividades
pérdida del para el cliente
salud con prestados a
contrato 1122512
inhabilitación seria SENA
de 2019.
sin pérdida de vida
4. Posible pérdida
de clientes
estratégicos
- Incapacidad
temporal
2. Lesiones que
producen pérdida
de tiempo
1. Incidente puede
3. Afectan el
llegar a medios de Afectación
rendimiento 1. El producto final del 1. La
1. Afectación prensa regionales entre 6 y 10 .
laboral proyecto no cumple con reducción de
económica 2. Afectación a la sedes del SENA 1. Reproceso
4. Efectos varios entregables del la calidad
3 entre $ 30 marca SENA y Afectación de entre un 15% y
MODERADO menores en la contrato, y es costoso el requiere
millones y $10 Operador de uno o dos 30% de las
salud que son cumplimiento del alcance. aprobación
millones servicios TIC, servicios TIC actividades
reversibles (servicios TIC) del cliente.
reparable en el prestados a
5. Limitación a
mediano plazo SENA
ciertas actividades
o requiere unos
días para
recuperarse
completamente
- Lesión menor sin 1. Atraso que se
incapacidad 1. Incidente puede puede controlar
- Primeros auxilios llegar a medios de en el 1. Solo
Afectación
1. Afectación prensa locales cumplimiento de 1. El producto final del algunos
entre 2 y 5
- Tratamiento económica 2. Afectación a la los objetivos proyecto no cumple en varios servicios
sedes del SENA
MENOR 2 médico entre $ 10 marca SENA y contractuales del entregables del contrato y se exigentes son
Afectación de
- Enfermedades millones y $ 5 Operador de proyecto. puede trabajar para cumplir afectados en
un servicio TIC
ocupacionales millones servicios TIC, 2. Reproceso el alcance. (servicios TIC) temas de
prestado a
- No afecta el reparable a corto entre un 5% y calidad.
SENA
rendimiento plazo 15% de las
laboral actividades.

10
GTI-GO-003 V01
 RECURSOS
No. PERSONAS REPUTACIÓN CLIENTES TIEMPO ALCANCE DEL PROYECTO CALIDAD
ECONÓMICOS

Afectación en 1. Atraso
una sede del insignificante en
1. Afectación a la
- Lesión leve SENA el cumplimiento
marca SENA y 1. El producto final del
- Atención en 1. 'Afectación Afectación de de los objetivos 1. Disminución
Operador de proyecto no cumple en un
lugar de trabajo económica un componente contractuales del de la calidad
BAJO 1 servicios TIC, entregable del contrato y se
- No afecta el menor a $ 1 de servicio TIC, proyecto. apenas
reparable en el puede trabajar para cumplir
rendimiento millón que hace parte 2. Reproceso en apreciable.
mismo instante de el alcance. (servicios TIC)
laboral de todo un menos de un 5%
la afectación.
servicio de las
prestados a actividades.
SENA
Tabla: Valoración del Impacto

NOTA:
El resultado del impacto está sujeto a la escala más alta, esto quiere decir que si un riesgo esta categorizado
con una valoración “MAYOR” en una escala; y en otra escala el resultado fue “ALTO” Se tomará la
valoración más alta; es decir el resultado del impacto es “ALTO”.

Matriz de Valoración del Riesgo Probabilidad * Impacto: Se realiza la ubicación del riesgo dentro de la
matriz de calor definida en la Gestión de Riesgos, con el objetivo de determinar la prioridad del riesgo
teniendo en cuenta el siguiente cuadro:

Matriz de Valoración (prioridad) de Riesgos Inherentes

Figura 2 Matriz PROBABILIDAD
de Valoración
Prioridad
Remoto Baja Mediana Alta Muy Alta

0,1 0,2 0,3 0,4 0,5

Bajo 0,1 0,01 0,02 0,03 0,04 0,05

Menor 0,2 0,02 0,04 0,06 0,08 0,1

IMPACTO

Moderado 0,3 0,03 0,06 0,09 0,12 0,15 11

GTI-GO-003 V01
Mayor 0,4 0,04 0,08 0,12 0,16 0,2

Alto 0,5 0,05 0,1 0,15 0,2 0,25

 Fuente: Imagen suministrada por el SENA

La asignación de prioridad se realiza teniendo en cuenta el color del cuadro anterior, la asignación de
colores, niveles de impacto y probabilidad fueron validados en acuerdo con SENA y Operador de servicios
TIC; el responsable del riesgo, mediante las tablas de ayuda, las cuales determinaron el impacto y la
probabilidad de ocurrencia del riesgo.
• Prioridad Alta: Color Rojo.
• Prioridad Mayor: Color Naranja.
• Prioridad Moderada: Color Amarillo.
• Prioridad Menor: Color Verde.
• Prioridad Baja: Color azul.

Las metodologías para el análisis y evaluación de Riesgo se basan de la norma NTC: ISO 31000.

3.3. Fase III: Medidas de Control

En la fase de medidas de control se establecen los controles, las actividades de los controles, el
responsable, las fechas de inicio, fin de los controles, fecha de última actualización del riesgo, la
periodicidad, la valoración de los controles, entre otros aspectos importantes. (Matriz_Gestión_Riesgos).

FECHA
ÚLTIMA DESCRIPCIÓN
REVISIÓN
DEL RIESGO
07/06/2019 Fecha en la cual se realizó la revisión por última vez al riesgo por el
responsable y/o partes interesadas.

Las actividades de seguimiento de los riesgos registrados en la matriz de gestión Matriz_Gestión_Riesgos se

realizarán durante la implementación del control, donde se involucran las actividades que se deben llevar a
12
GTI-GO-003 V01
cabo para la implementación del mismo, descritas en la columna de la Fase III “Listado de Actividades del
control a Realizar”, ubicado en la hoja Fase III.

En casos donde el control es cíclico, después de la implementación y ejecución por primera vez del control,
la Gestión de Riesgos dará el control por implementado, de ahí en adelante el servicio, proceso, área entre
otros; deberá realizar el seguimiento continuo de los controles descritos en la matriz de gestión en sus
respectivas mesas de trabajo.

La Gestión de Riesgos realizará una validación a los controles implementados sobre los riesgos no
tolerables, con el objetivo de validar la efectividad de estos posterior a la implementación de tal manera
que Gestión de Riesgos notificará el resultado del riesgo residual de cada uno de los riesgos documentados
a los responsables de cada uno, con el fin que de determinar qué acciones se ejecutarán en lo sucesivo, ya
sea la implementación de controles adicionales o la aceptación de los riesgos después de la valoración de
riesgo residual.

Estado de los riesgos: En el proceso de la Gestión del riesgo se contemplan las siguientes etapas del estado
del riesgo, la cuales son muy importantes para los responsables de los riesgos y partes interesadas; las
cuales se describen en la siguiente tabla.
ESTADOS DESCRIPCIÓN

Sin Iniciar 0% en las acciones de mitigación del Riesgo

En proceso Presenta algún avance en las actividades de mitigación del riesgo

Los controles están implementados al 100%, pero los controles son cíclicos, monitoreados por el responsable del
En monitoreo riesgo
Los controles están implementados al 100%, pero no son periódicos, tienen una única evidencia de ejecución;
Cerrado y/o ya no se tiene el escenario del riesgo en la operación actual
Aceptado y
cerrado Resultado de la valoración del riesgo tolerable por el SENA, de acuerdo con las tablas de tolerancia SENA

Tolerancia al Riesgo: Para la Gestión de riesgos del contrato suscrito se define el nivel de tolerancia al
riesgo; alineado al nivel de tolerancia definido en la metodología de Gestión de Riesgos del SENA (Código
del documento: DE-G-001), como se indica en la siguiente tabla.

TABLA TOLERANCIA AL RIESGO

RESULTADO DE LA CRÍTERIO DE
VALORACIÓN TOLERANCIA ACTIVIDAD A REALIZAR DESCRIPCIÓN

Definir controles de Mitigación En ninguna circunstancia se deberá dejar los

Alto Inadmisible para reducir probabilidad y/o riesgos con ese potencial de materialización
Impacto que afectaría a los objetivos de negocio

13
GTI-GO-003 V01
 Definir controles de Mitigación Se requiere desarrollar acciones a corto
Mayor Inaceptable para reducir probabilidad y/o plazo, para evitar la materialización del
Impacto riesgo

Definir controles de Mitigación

Estos riesgos no son prioritarios, pero
Moderado Admisible para reducir probabilidad y/o
requieren controles y gestión del riesgo
Impacto a mediano plazo

No requiere acciones Estos riesgos no ameritan inversión, se

Bajo Aceptable
adicionales acepta el riesgo
No requiere acciones Estos riesgos no ameritan inversión, se
Menor Aceptable
adicionales acepta el riesgo
Tabla: Tolerancia al Riesgo

En la siguiente matriz se describen gráficamente el nivel de tolerancia a los riesgos registrados.

Figura 3 Matriz de Valoración Tolerancia

Matriz de Valoración de Riesgos Inherentes
PROBABILIDAD

Remoto Baja Mediana Alta Muy Alta

0,1 0,2 0,3 0,4 0,5

Bajo 0,1

Menor 0,2
IMPACTO

Moderado 0,3

Mayor 0,4

Alto 0,5

Fuente: Imagen suministrada por el SENA

3.4. Valoración de los Controles y medición de efectividad

Para la valoración de los controles implementados se toma como referencia el formato de valoración de
efectividad controles, donde con el apoyo del gestor de riesgos se diligenciará el formato con el nombre del
riesgo, ID y descripción del control, como lo indica la imagen inferior.

FORMATO DE VALIDACIÓN DE EFECTIVIDAD DE CONTROLES VALIDACIÓN_EFECTIVIDAD_CONTROLES

EFECTIVIDAD DEL CONTROL
14
GTI-GO-003 V01
 ID - DESCRIPCIÓN DEL EFECTIVIDAD CONTROL SCORE FINAL PUNTOS EFECTIVIDAD DEL RECOMENDAC
RIESGO CONTROL FINAL % CONTROL CONTROL IÓN
1. Colocar
Se
la
recomienda
descripción
ID-XX 0% 0,00 Muy Débil implementar
del
nuevos
control a
controles
evaluar

En el formato se encuentran diferentes factores de evaluación y los pesos en porcentajes y puntos de cada
factor de evaluación, entre los que se encuentran:

Diseño del Control: El diseño de las actividades de control permiten asegurar el logro del o los objetivos de
control, se valida la existencia, documentación y cumplimiento del o los objetivos del control.

Esquema del Control: Indica si el control está diseñado mediante el uso de herramientas o se realiza de
forma manual.

Operación del Control: Verificación que permite validar que el control está operando tal y como fue
diseñado y si la persona que lo realiza, posee la autoridad y competencia requerida para asegurar la
efectividad en la operación del control.

Frecuencia del Control: Este factor está relacionado con la periodicidad con que se ejecuta la actividad de
control. El nivel de efectividad depende de las características del riesgo que, en ocasiones no requiere que
el control se efectúe frecuentemente. Para evaluar la frecuencia, existen cuatro opciones:
• Óptima: Si el control se realiza cada vez que se ejecuta el proceso, también cuando se realiza una o
más veces por día.
• Moderada: Sí el control se realiza una vez por semana, cada quince días o cada mes.
• Deficiente: Cuando el control requiere de mayor frecuencia y sólo se realizan de forma esporádica
cada trimestre, semestre o año.
• No tiene Frecuencia el control
Madurez del Control: La madurez ilustra la formalidad en la implementación, estado y
desempeño de las actividades de control en el contexto del riesgo. Para evaluar la madurez, se definen
cuatro (4) opciones:
• Poco confiable: El objetivo del control no es claro y se realiza sin ninguna justificación.
• Informal: El control ha sido diseñado e implantado pero no está documentado
adecuadamente. El control depende de la persona que lo ejecuta. No hay una capacitación formal
o comunicación del control.
• Estandarizado: El control ha sido diseñado, implantado y está adecuadamente
documentado. Las desviaciones del control no son detectadas.
• Monitoreado: Control estandarizado que se verifica periódicamente para su correcto diseño y
operativa con reporte al servicio gestión correspondiente. (Puede incluir la automatización y el uso
de herramientas para soportar el control).
15
GTI-GO-003 V01
• Optima: El control es monitoreado en tiempo real por el servicio o gestión para una mejora
continua. El monitoreo debe ser automatizado y soportado con el uso de herramientas y permitir la
realización de cambios rápidos al control si es necesario.
% FACTOR DE
FACTORES DE EVALUACIÓN PUNTOS DEL FACTOR
EVALUACIÓN

Diseño del control

1. ¿El control tiene un objetivo definido?
2. ¿El Control reduce el Nivel de Riesgo?
25% 1,25
3. ¿Está Documentado el Control?
4. ¿Se ha formalizado el Control en la Mesa de Trabajo?
Esquema del control
1. Manual
2. Automático
10% 0,5
3. Mixto
4.Otro
Operación del control
1. Preventivo
2. Detectivo
10% 0,5
3. Correctivo
4.Otro
Frecuencia del control
1. Optima
2. Moderada
10% 0,5
3. Deficiente
4. No tiene Frecuencia el control
Madurez del control
1. Óptimo
2. Monitoreado
3. Estandarizado 25% 1,25
4. Informal
5. Poco Confiable
Resultados de la Auditoría Y/o Verificación del control
1. Se evidencia cumplimiento del objetivo del control
2. Se evidencia disminución de la exposición al riesgo
3. Durante la implementación del control NO se han presentado
desviaciones en su cumplimiento 20% 1
4. Considera usted, que el responsable de ejecutar el control
conoce los riesgos que implica su omisión
5. Se ha realizado seguimiento al control en la mesa de trabajo

16
GTI-GO-003 V01
De acuerdo con el resultado de la Valoración de los controles implementados en los planes de mitigación
de los riesgos registrados, se toma de referencia las siguientes tablas de puntuación, para determinar el
riesgo residual.
NIVEL DE EFECTIVIDAD DEL CONTROL
PORCENTAJE PUNTOS RIESGO RESIDUAL
DESCRIPCIÓN RECOMENDACIÓN EFECTIVIDAD EFECTIVIDAD DEPENDIENDO DE LOS
CONTROL CONTROL CONTROLES
Se recomienda:
Se mueve tres (3)
Casillas en la Matriz
Óptimo > = 86% Entre 4,5 y 5
de Valoración del
No hay recomendaciones
Riesgo.

Se recomienda:
Se mueve dos (2)
Casillas en la Matriz
Adecuado Se recomienda seguir realizando > 66% < = 85% > 3,35 y <=4,4
de Valoración del
seguimiento a la ejecución del control Riesgo.

Se recomienda: Se mueve una (1)

Casillas en la Matriz
Débil Se recomienda reevaluar las actividades > 50% <= 65% > 2,5 y <= 3,35
de Valoración del
del control Riesgo.
Se recomienda:
Riesgo igual al
Muy Débil Se recomienda reevaluar los controles < =50% Entre 0 y 2,5
inherente
establecidos

Para determinar la posición del riesgo residual en el mapa de calor del riesgo, se debe determinar si los
controles implementados han sido efectivos y si bajan la probabilidad y/o el impacto, para poder realizar el
desplazamiento en el mapa de calor y con ello reducir el nivel de exposición del riesgo, como se indica en el
siguiente ejemplo:

Ejemplo Matriz de valoración de Riesgos

Figura 4 Matriz de Valoración
Riesgo PROBABILIDAD Residual

Remoto Baja Moderada Alta Muy Alta

10% 25% 50% 75% 100%

Bajo 1

Menor 2 R-433 R-433

IMPACTO

Moderado 3

17
Mayor 4 R-Ejemplo
GTI-GO-003 V01

R-Ejemplo
Alto 5
Efec=98%
 Fuente: Imagen suministrada por el SENA

Seguimiento y control planes de remediación: El seguimiento a los planes de mitigación se realiza de

acuerdo con las fechas definidas en los planes; con el objetivo de poder cerrar de manera satisfactoria
todas las actividades propuestas en los planes de acción.

4. Diagrama de flujo

4.1. Gestión de Riesgos Operativa

18
GTI-GO-003 V01
 19
GTI-GO-003 V01
4.2. Gestión de Riesgos Funcional
GESTIÓN DE RIESGOS FUNCIONAL
Entradas Gestor de Riesgos Telefónica Mesa Trabajo Gestión de Riesgos Salidas

1. Proponer
2. Validar los
Guía ajustes a la
ajustes de la
Operacional Inicio planificación de
Gestión de
de Gestión de la Gestión de
Riesgos
Procesos Riesgos
4. Aplicar
observaciones
a la
planificación, SI
eliminación, 3. ¿Hay 5. Iniciar la Flujo de
modificaión, observacion
adición es sobre los
NO ejecución de las Gestión de
actividades Riesgos
ajustes?
operativas Operativa

Guía
7. Realizar 8. Generar los 9. Revisar los reportes Operacional
Flujo de seguimiento a reportes de la y el seguimiento de Gestión de
Gestión de la ejecución de Gestión de reportado a los planes Procesos
Riesgos las actividades Riesgos de acción
Operativa

Todos los
11. Aplicar las 10. ¿Hay servicios TIC
observaciones
SI Observaciones
a los reportes ?

NO

Guía
Operacional
SI 12. ¿Hay
de Gestión de
acciones de
Mejora
mejora?

NO
13. Registrar
las acciones en Fin
Gestión de
Mejora

6. Realizar
capacitaciones

20
GTI-GO-003 V01
5. Actividades

5.1. Gestión de Riesgos Operativa

NO. ACTIVIDAD DESCRIPCIÓN RESPONSABLE REGISTRO

Identificar y reportan Cuando se identifica la Personal de la Oficina GTI-F-049

las situaciones situación contexto se debe de Sistemas SENA, Matriz_Gestión_Riesgos –
contexto: informar al Gestor de Riesgos Fase I
de Operador de servicios TIC, Interventoría y
y suministrar la información
Operador de servicios
necesaria para registrar el
TIC
posible riesgo en la matriz de
riesgos (Fase I).
1
Nota: Se puede presentar
que la identificación contexto
o posible riesgo sea
entregado con el acta de
aprobación de la Mesa de
Trabajo, sin embargo se debe
validar la pertinencia.

¿La información está Validar si la información Gestor de Riesgos de GTI-F-049

completa? suministrada contiene los Operador de servicios Matriz_Gestión_Riesgos –
conceptos básicos para poder TIC Fase I
analizar una situación de
riesgo, adicionalmente
verificar que el riesgo que se
está registrando, no se haya
identificado anteriormente:

2  Si la información está
completa del posible
nuevo riesgo, pasa a la
actividad 5. ¿Es un
Riesgo?,
 Si la información está
incompleta o/y está
identificado en la matriz
de riesgos, pasa a la
actividad 4. Se comunica
con el responsable.
3 Comunicar al Comunicar al Responsable del Gestor de Riesgos de Correo electrónico y/o
Responsable Riesgo que la información Operador de servicios comunicación personal.
dada no satisface las
21
GTI-GO-003 V01
NO. ACTIVIDAD DESCRIPCIÓN RESPONSABLE REGISTRO

condiciones mínimas para ser TIC GTI-F-049

catalogado como un riesgo, o Matriz_Gestión_Riesgos –
validar con el Responsable Fase III
del Riesgo el plan de
mitigación del riesgo que ya
estaba identificado, y que
nuevamente se está
identificando, si es necesario
incluir nuevas acciones de
mitigación.

¿Es un Riesgo? Revisar si la situación Gestor de Riesgos de N.A

contexto reportada, Operador de servicios
corresponde a un riesgo. TIC

 Si es un riesgo, pasa a la
4 actividad 6. Socializar
y/o aprobar el riesgo en
la mesa trabajo del
servicio y/o proceso.
 No es un riesgo pasa a la
actividad 4. Se comunica
al responsable.
Registrar el Riesgo en Registrar el nuevo riesgo en Gestor de Riesgos de GTI-F-049
la Matriz de Riesgos la matriz de riesgos, con Operador de servicios Matriz_Gestión_Riesgos –
(Fase I) todos los datos requeridos y TIC Fase I
entregados por el
Responsable del Riesgo,
5 incluyendo si se materializo el
riesgo, y si existe afectación
en la operación.

Enviar el registro del riesgo al

Líder, responsable del riesgo.

Socializar y aprobar el Los responsables de los Líder, responsable del Acta de la Mesa de Trabajo
riesgo en la mesa del riesgos deberán presentar los riesgo. del Servicio/Proceso
servicio y/o proceso riesgos en las respectivas (Informar al Gestor de
6
mesas de trabajo y dejar Gestión de Riesgos el No.
evidencia de la actividad del acta)
realizada.

7 ¿Riesgo aprobado? El Gestor de Riesgos presenta Mesa de Trabajo de Acta de la Mesa de Gestión
el riesgo a la Mesa de Gestión Gestión de Riesgo de Riesgos.
de Riesgos para que sea
revisado y aprobado: GTI-F-049
Matriz_Gestión_Riesgos –
 Si el riesgo cumple con Fase I

22
GTI-GO-003 V01
NO. ACTIVIDAD DESCRIPCIÓN RESPONSABLE REGISTRO

requisitos de
identificación, continua a
la actividad 10. Asignar ID
del riesgo.
 Si el riesgo no cumple con
requisitos de
identificación, continua a
la actividad 9. Realizar
observaciones y/o
sugerencias.
Realizar La Mesa de Gestión de Mesa de Trabajo de GTI-F-049
observaciones y/o Riesgos Realiza las Gestión de Riesgo Matriz_Gestión_Riesgos –
sugerencias observaciones, que serán Fase I
informadas por el Gestor de
8 Acta de la Mesa de Gestión
Riesgos al Responsable del
Gestor Riesgos de Riesgos
riesgo, con el fin de que sean
aplicadas vía correo
Correo electrónico
electrónico.

Aplicar las El responsable del riesgo Líder, responsable del Acta de la Mesa de Trabajo
observaciones revisará las observaciones, y riesgo. del Servicio o Proceso
si son posibles las aplicará, de informada al Gestor de
lo contrario informará a la Gestión de Riesgos
Mesa de Gestión de Riesgos Operador de servicios TIC.
como proceder.
GTI-F-049-
Cuando se apliquen las Matriz_Gestión_Riesgos –
9
observaciones de al riesgo, Fase I
de nuevo será evaluado y/o
aprobado por Mesa de
trabajo del servicio y/o
proceso. Actividad 7.
Socializar y/o aprobar el
riesgo en la mesa del servicio
y/o proceso.

10 Asignar ID del riesgo Cuando es aprobado el riesgo Mesa de Trabajo de Acta de la Mesa de Gestión
en la Mesa de Gestión de Gestión de Riesgo de Riesgos
Riesgos, se procede a
asignarle un ID al riesgo, el GTI-F-049-
cual será informado por el Matriz_Gestión_Riesgos –
Gestor de Riesgo al Fase I
Responsable del Riesgo con el
fin de que se proceda a ser
aprobado por la Mesa de
Trabajo correspondiente, y se
defina la Fase II y Fase III, de

23
GTI-GO-003 V01
NO. ACTIVIDAD DESCRIPCIÓN RESPONSABLE REGISTRO

ser el caso.

Valorar el riesgo (Fase Valorar el riesgo inherente Responsable del riesgo GTI-F-049
II ) identificado en la situación y Gestor de Riesgos Matriz_Gestión_Riesgos –
11 contexto; de acuerdo con la Operador de servicios Fase II
guía operacional de Gestión TIC
de Riesgos.

¿Riesgo Tolerable? Con base en la valoración de Responsable del No aplica

los riesgos y la tabla de riesgo.
tolerancia del riesgo, se
decide si se puede mitigar el
riesgo o si se aceptará el
riesgo de acuerdo al
resultado de la valoración.
12
 Si se tolera el riesgo, pasa
a la actividad 13.
 No se tolera el riesgo, se
pasa a la actividad 14, se
coordina con los líderes de
servicio la elaboración de
plan de mitigación.
¿El riesgo debe ser Si el riesgo es de tolerancia Responsable del riesgo No aplica
monitoreado? menor o bajo, se debe y Gestor de Riesgos
monitorear y continúa con la Operador de servicios
actividad 14. Si no, se valida TIC
que se cumpla el tiempo
establecido para el
13
monitoreo el cual debe ser
realizado cada seis meses y
por un máximo de dos veces
por año. Al finalizar este
período, pasa a la actividad
32.

¿El riesgo cambió el Si el riesgo cambió de grado Responsable del riesgo No Aplica
grado de tolerancia? de tolerancia > a bajo se pasa y Gestor de Riesgos
(< Bajo) a la actividad 15. Operador de servicios
14 TIC
Si el riesgo no cambió el
grado de tolerancia se vuelve
a ejecutar la actividad 13

15 Definir y registrar los Definir los controles y Responsable del riesgo GTI-F-049
controles y actividades de control (Planes y Gestor de Riesgos Matriz_Gestión_Riesgos –
actividades de de mitigación) que mitiguen Operador de servicios Fase III
mitigación. la materialización del riesgo, TIC
y/o reduzcan el impacto que
24
GTI-GO-003 V01
NO. ACTIVIDAD DESCRIPCIÓN RESPONSABLE REGISTRO

(fase III) se pueda tener si se llegarán

a presentar.

Registrar todo la información

de la Fase III en la Matriz de
riesgos.

¿Las actividades de Las actividades de control Responsable del No Aplica

control requieren que pueden entrar en riesgo.
monitoreo? monitoreo, son aquellas que
necesitan de pruebas o
pilotos para confirmar si
realmente la actividad
definida si mitigará el riesgo
identificado. Por lo anterior el
Responsable del Riesgo
definirá lo siguiente:

 Si la (s) actividad de
16
control cumple para
entrar en monitoreo, se
continua a la actividad 17.
Identificar qué actividades
entran en monitoreo y por
cuanto tiempo.
 Si la (s) actividades no
cumple con los requisitos
para entrar en monitorio,
se continúa a la actividad
18. Validar el plan de
mitigación
17 Definir actividades / El Responsable del Riesgo Responsable del GTI-F-049
periodicidad y tiempo deberá identificar qué riesgo. Matriz_Gestión_Riesgos –
actividad (s) del plan de Fase III
mitigación entrarían a
monitoreo, definir la
evidencia, y el periodo que
entraría cada actividad en
monitoreo.

Al finalizar la prueba y/o

piloto, y la confirmación es
positiva, se sugiere
estandarizar (documentar) la
actividad en la operación, con
el fin de cerrar la
implementación de estas

25
GTI-GO-003 V01
NO. ACTIVIDAD DESCRIPCIÓN RESPONSABLE REGISTRO

actividades.

Nota: El seguimiento a las

actividades de monitoreo lo
realizará el Responsable del
Riesgo, e informará
mensualmente al Gestor de
Riesgos los avances, con el fin
de que sea actualizado el
seguimiento en la matriz de
gestión de riesgos,

El Gestor de Riesgos deberá

validar con el Responsable
del Riesgo al final del periodo
de monitoreo, si se continua
monitoreando el riego o se
cierra el plan de mitigación.

Validar actividades y El Gestor de Riesgos presenta Mesa de Trabajo de GTI-F-049

el plan de mitigación. fase II y III del riesgo a la Gestión de Riesgos Matriz_Gestión_Riesgos –
Mesa de Gestión de Riesgos Fase III
para que sea revisado y
aprobado.

La Mesa de Trabajo de
18
Gestión de Riesgos valida la
valoración y el plan de
mitigación propuesto por el
Responsables del Riesgo, y las
actividades que se definieron
para entrar a monitorio si es
el caso.

Realizar Determinar si tienen Mesa de Trabajo de GTI-F-049

observaciones observaciones a los planes de Gestión de Riesgos Matriz_Gestión_Riesgos –
mitigación e informar a los Fase III
19
responsables del riesgo.
Acta de la Mesa de Gestión
de Riesgos

Aplicar las Aplicar las observaciones que Líder, responsable del GTI-F-049
observaciones y la Mesa de Trabajo le realice riesgo. Matriz_Gestión_Riesgos –
ejecutar plan de a los planes de mitigación de Fase III
20
mitigación riesgo.

21 Realizar seguimiento Los avances serán informados Responsable del GTI-F-049

26
GTI-GO-003 V01
NO. ACTIVIDAD DESCRIPCIÓN RESPONSABLE REGISTRO

a los avances en la por el Responsable del Riesgo Riesgo y el Gestor de Matriz_Gestión_Riesgos –

ejecución de los al Gestor de Riesgos. Riesgos Operador de Fase III
planes de mitigación. servicios TIC.
El Gestor de Riesgos realizará Repositorio evidencias de
el seguimiento a las los riesgos.
actividades de control
definidas, validará la
pertinencia de las evidencias,
actualizará el % de avance y
el seguimiento en la Matriz
de Riesgos (columnas R, W y
X de la matriz de riesgos),
adicionalmente guardará las
evidencias en la carpeta
definida en el repositorio de
información a medida que se
realice cada actividad.

Si las condiciones reportadas

cambiaron, con previa
justificación por parte del
Responsable del Riesgo se
podrá reprogramar la fecha
de implementación o cambiar
la actividad de control que se
necesite ajustar.

Validar el Validar los diferentes avances Mesa de Trabajo de Acta de la Mesa de Gestión
seguimiento de los de los planes de mitigación Gestión de Riesgo de Riesgos
planes de mitigación sobre los riesgos
identificados.

22

Si se identifica algún artículo

de conocimiento informarlo
al proceso de Gestión de
Conocimiento.

¿Se materializó el  Si el riesgo se materializó, Líder, responsable del No aplica

riesgo? pasar a la actividad 24. riesgo.
23
 Si el riesgo no se
materializó, pasar la a la
actividad 29.
24 Informar a la Mesa de Informar a la Mesa de Líder, responsable del Correo electrónico
Gestión de Riesgos Gestión de Riesgos el cómo y riesgo.
por qué se materializó el

27
GTI-GO-003 V01
NO. ACTIVIDAD DESCRIPCIÓN RESPONSABLE REGISTRO

riesgo.

Aprobar ejecución de La mesa de Gestión de Mesa de Trabajo de Acta de la Mesa de Gestión

Análisis de Causa Raíz Riesgos debe aprobar la Gestión de Riesgo de Riesgos
25 información de
materialización y la ejecución
del análisis de Causa Raíz.

Ejecutar Análisis Realizar el análisis de Causa- Líder, responsable del GTI-F-052

Causa-Efecto Modelo Efecto, y enviarlo a la Mesa riesgo. Análisis_Causa_Raíz
Ishikawa de Gestión de Riesgos.

26 Informar al proceso de
Mejora Continua el análisis
de Causa-Efecto con el fin de
crear una oportunidad de
mejora.

¿Se debe generar un Validar las acciones definidas Mesa de Trabajo de Acta de la Mesa de Gestión
nuevo riesgo? en el Diagrama Causa-Efecto Gestión de Riesgo de Riesgos
Modelo Ishikawa, y decidir si
se ajusta el plan de
mitigación del riesgo que se
materializó o generar un
27
nuevo riesgo.

 Si se genera un nuevo
riesgo, pasar al “Inicio”.
 Si no se genera un nuevo
riesgo, pasar la a la
actividad 28.
Ajustar el riesgo con Incluir en el riesgo las nuevas Responsable del GTI-F-049
las nuevas acciones actividades de control Riesgo y el Gestor de Matriz_Gestión_Riesgos –
28
definidas. definidas en el Riesgos Operador de Fase III
Análisis_Causa_Raíz servicios TIC.

¿Plan de mitigación  Si el plan de mitigación se Gestor de Riesgos GTI-F-049

implementado? implementó, cambiar el Operador de servicios Matriz_Gestión_Riesgos –
estado del plan de TIC. Fase III
mitigación de “En
29
Proceso” a “Cerrado”, y
pasar a la actividad 30.
 Si el plan de mitigación no
se ha implementado,
pasar a la actividad 20.
30 Realizar Evaluación Evaluar la efectividad de la Gestor de Riesgos de GTI-F-051
de Efectividad implementación de los operador de servicios Efectividad_Controles.
Controles. controles de acuerdo al TIC y Responsable del

28
GTI-GO-003 V01
 NO. ACTIVIDAD DESCRIPCIÓN RESPONSABLE REGISTRO

formato Riesgo GTI-F-049

Efectividad_Controles, el cual Matriz_Gestión_Riesgos –
calcula el riesgo residual Fase III
después de la
implementación de los
controles planeados. Los
resultados serán registrados
en la Matriz de Riesgos.

¿El resultado residual  Si el resultado es menor al Gestor de Riesgos de GTI-F-049

es menor que el evaluado inicialmente, operador de servicios Matriz_Gestión_Riesgos –
evaluado pasar al “Fin”. TIC y Responsable del Fase III
inicialmente? Riesgo
31  Si el resultado no es
menor al evaluado
inicialmente, informar a la
Mesa de Gestión de
Riesgo, y pasar a la
actividad 28.
Proceder con la El proceso termina cuando se Gestor de Riesgos de GTI-F-049
aceptación y cierre da por aceptado y cerrado el operador de servicios Matriz_Gestión_Riesgos
32 TIC
del riesgo en la matriz riesgo, cuyo registro quedará
de Riesgos consignado en la Matriz de
Riesgos. Luego pasa a “Fin”.

5.2. Gestión de Riesgos Funcional

No
ACTIVIDAD
. DESCRIPCIÓN RESPONSABLE REGISTRO
Se propone por parte del Gestor de Riesgos de Operador
de servicios TIC, la planificación de la Gestión de Riesgos,
Proponer Ajustes a donde se describe la forma en que se identificarán,
la registrarán, analizarán y monitorizarán los riesgos, Gestor de Riesgos
1 planificación de la también se define el contenido de la matriz de riesgos, se Operador de No aplica
Gestión de los define la priorización y forma en que se informará a los servicios TIC
Riesgos grupos los planes de acción que resulta de dicho análisis
y los ajustes a la guía operacional de la Gestión de
Riesgos.

Validar la
La Mesa de Trabajo de la gestión de riesgos valida la
planificación Mesa de Trabajo de
2 planificación y ajustes presentados por el Gestor de No aplica
de la gestión de los Gestión de Riesgo
Riesgos Operador de servicios TIC.
riesgos

29
GTI-GO-003 V01
No
ACTIVIDAD
. DESCRIPCIÓN RESPONSABLE REGISTRO

La Mesa de trabajo de la gestión de riesgos define si hay

observaciones a la planificación de la Gestión de Riesgos
y/o guía operacional de la Gestión de Riesgos:
¿Hay observaciones Mesa de Trabajo de
3  Si hay observaciones a la planificación de la Gestión No aplica
sobre los ajustes? Gestión de Riesgo
de Riesgos, pasa a la actividad cuatro (4).
 No hay observaciones a la planificación de la
Gestión de Riesgos, pasa a la actividad cinco (5). Se
inicia la ejecución de las actividades operativas.

El Gestor de Riesgos del Operador de servicios TIC, aplica

Aplicar las las observaciones realizadas a la planificación de la Gestor de Riesgos
GTI-F-049 Matriz de
4 observaciones a la Gestión de Riesgos, luego continúa en la actividad dos Operador de
Riesgos
planificación (2). Se valida la planificación de la gestión de los riesgos servicios TIC
en la mesa de trabajo.
Mesa de Trabajo de
Iniciar la ejecución Se inicia la ejecución de las actividades operativas de la Gestión de Riesgo /
5 de las actividades Gestión de Riesgos, las cuales se describen en el flujo Gestor de Riesgos No aplica
operativas operativo. Operador de
servicios TIC
DE-F-025 Formato
Plantilla
Se inicia la ejecución de las actividades de capacitación Gestor de Riesgos
Realizar Documentos
6 sobre los nuevos cambios a la metodología de Gestión de Operador de
Capacitaciones Sistema Integrado
Riesgos, a todas las partes interesadas del proyecto. servicios TIC
de Gestión y
Autocontrol
Mesa de Trabajo de
Realizar seguimiento
Durante la ejecución de las actividades operativas, se Gestión de Riesgo
a la ejecución de las
7 realiza seguimiento a estas en la mesas de trabajo y con /Gestor de Riesgos No aplica
actividades
los responsables. Operador de
operativas
servicios TIC

Generar los reportes El Gestor de Riesgos de Operador de servicios TIC genera Gestor de Riesgos
Definir acciones de
8 de la Gestión de los reportes para la mejora continua y de la gestión del Operador de
mejora
Riesgos periodo. servicios TIC

La mesa de trabajo de Gestión de Riesgos revisa si los

Revisar los reportes
reportes de gestión del periodo están de acuerdo con lo
y el seguimiento Mesa de Trabajo de
9 solicitado y adicionalmente revisa el seguimiento a los No aplica
reportado a los Gestión de Riesgo
planes de acción propuestos desde el proceso por los
planes de acción
servicios o procesos.

La mesa de trabajo de Gestión de Riesgos determina si

existen observaciones para el reporte generado por el
gestor de riesgos de Operador de servicios TIC:
¿Hay Mesa de Trabajo de
10 .- Si hay observaciones, continúa en la actividad once No aplica
observaciones? Gestión de Riesgo
(11). Aplica las observaciones a los reportes.
.- No hay observaciones, continúa en la actividad doce
(12). ¿Hay acciones de mejora?

30
GTI-GO-003 V01
No
ACTIVIDAD
. DESCRIPCIÓN RESPONSABLE REGISTRO

El gestor de riesgos de Operador de servicios TIC aplica

Aplicar las en los reportes, las observaciones detectadas por la mesa Gestor de Riesgos
Definir acciones de
11 observaciones a los de trabajo del proceso. Operador de
mejora
reportes Se revisan los reportes y el seguimiento reportado a los servicios TIC
planes de acción.

La mesa de trabajo del proceso determina si existen

acciones de mejora:
Si hay acciones de mejora, continúa en la actividad trece
¿Hay acciones de Mesa de Trabajo de
12 (13). Se registran las acciones en la gestión de mejora N/A
mejora? Gestión de Riesgo
continua.

No hay acciones de mejora, finalizar el proceso.

Registrar las
acciones El gestor de riesgos de operador de servicios TIC registra Gestor de Riesgos
Definir acciones de
13 en la gestión de las acciones detectadas por la mesa de trabajo, en la Operador de
mejora
mejora gestión de mejora continua. servicios TIC
continua

6. Entradas

ORIGEN ENTRADA

Todas las gestiones Riesgos Identificados desde las Guía Operacionales de las
gestiones.

Guía Operacional Gestión de Procesos Matriz de adherencia de Procesos

Guía Operacional Gestión de Mejora Continua Revisión del cumplimiento de reportes de planes de
mejora que hayan sido implementados anteriormente

Guía Operacional Gestión de Conocimiento Artículos recientes o nuevos registrados en la base de

datos de conocimiento

Todos los servicios TIC (Conectividad SD-WAN-Internet, Situaciones identificadas como riesgos con sus
Data Center, Telefonía IP, y móvil (ToIP), Video respectivos planes de mitigación y controles ejecutados
Comunicaciones (VC), Conectividad en Sede (LWC),
Energía Eléctrica Regulada (EER), Mesa de Servicios,
Gestión de Servicios TIC, SAS, STS, SSS, IPE

31
GTI-GO-003 V01
7. Salidas

SALIDA DESTINO

Acciones de mejora, acciones correctivas y preventivas

Guía Operacional Gestión de la Mejora Continua
de la gestión de Riesgos.

Matriz de Riesgos Actualizada

Todas las Guías Operacionales de las Gestiones ITIL y
Avance del análisis de riesgos y seguimiento a los
servicios TIC.
planes de tratamientos para los riesgos identificados en
el servicio.

Base de datos de Conocimiento Guía Operacional Gestión de Conocimiento

Guía Operacional Gestión de Riesgos Guía Operacional Gestión de Procesos

Se generan planes de capacitación acerca del proceso Todos los servicios TIC (Conectividad SD-WAN-Internet,
de Gestión de Riesgos. Se generan avances en los Data Center, Telefonía IP, y móvil (ToIP), Video
análisis de riesgos y seguimiento a los planes de Comunicaciones (VC), Conectividad en Sede (LWC),
mitigación para todos los riesgos del servicio Energía Eléctrica Regulada (EER), Mesa de Servicios,
Gestión de Servicios TIC, SAS, STS, SSS, IPE

8. Indicadores

NOMBRE DESCRIPCIÓN / FÓRMULA META PERIODICIDAD

RTPR=(RCT/RRP) *100

Dónde:
Riesgos No Tolerables que
iniciaron tratamiento en el 97% Mensual
RTPR es Riesgos con tratamiento en el
mismo mes de registrados.
período de registro

RCT es Riesgos con tratamiento

RRP es Riesgos registrados en el período

Porcentaje de Efectividad de % ECRNT = Σ %ECR / TR 70% Trimestral

Controles a Riesgos No
Tolerables.
Dónde:

% ECRNT es Porcentaje Efectividad

Controles (Riesgos No Tolerables)
%ECR es Efectividad de controles Riesgos
No tolerables
32
GTI-GO-003 V01
 NOMBRE DESCRIPCIÓN / FÓRMULA META PERIODICIDAD

TR es Número total de Riesgos No

tolerables.

9. Informes periódicos

NOMBRE DESCRIPCIÓN PERIODICIDAD CLIENTE

Gestor de Riesgos SENA

Contiene los detalles de la gestión
realizada en el período, AC (acciones
Informe de Gestión Mensual Gestor de Riesgos
correctivas, AP (acciones preventivas) y
Interventoría, Gestión de
planes de acción
Mejora Continua

Todas las Guías

Operacionales de las
Gestiones ITIL
La matriz de riesgos debe estar actualizada
Matriz de Riesgos Mensual Guía Operacional Gestión
en el período
de Mejora Continua

Mesa de Trabajo de la
Gestión

33
GTI-GO-003 V01
10. Roles y responsabilidades

ROLES RESPONSABILIDADES
.- Diseñar y proponer planes de trabajo para mantener y mejorar la Gestión de
Riesgos
.- Mantener actualizada la documentación, herramientas y aplicaciones del proceso
de Gestión de Riesgos
.- Registrar en la matriz, todos los riesgos que se identifiquen por los servicios y
procesos, priorizarlos y realizar seguimiento a que se ejecuten los planes de acción
del caso.
.- Mantener actualizada la matriz de Gestión de Riesgos
.- Revisar la efectividad de los planes de acción y elaborar los informes de Gestión de
Riesgos
.- Capacitar, realizar divulgaciones y sensibilizaciones sobre la metodología de
Gestión de Riesgos
Gestor de Riesgos Operador de servicios TIC
.- Realizar valoración de efectividad de los controles implementados
.- Evaluar el riesgo inherente y residual
.- Coordinar con los líderes de servicio la elaboración de plan de Acción
.- Monitorear los riesgos y planes ejecutados
.- Reportar las evidencias de los planes de acción
.- Realizar seguimiento continuo a los riesgos cíclicos identificados
.- Realizar la medición correspondiente de los KPIs
.- Gestionar las solicitudes realizadas por procesos, servicios, mesa de trabajo en
cuanto a reportes, informes, capacitaciones y acompañamientos
.- Verificar el seguimiento a la efectividad de los planes de acción
.- Proponer acciones de mejora al proceso de Gestión de Riesgos
.- Revisar las políticas del proceso
.- Periódicamente realizar análisis de riegos en las Mesas de trabajo, con el fin de
identificar nuevos riesgos y/o realizar seguimiento a la implementación de los planes
de mitigación
Líder de Servicios TIC .- Identificar y notificar las situaciones de riesgo al gestor de riesgos del servicio
Gestores de Procesos .- Cumplir y/o ejecutar los planes de acción que se requieran para mitigar o evitar los
riesgos identificados
.- Reportar las evidencias de los planes de mitigación
.- Realizar seguimiento continuo a los riesgos que se encuentren en monitoreo

.- Validar el cumplimiento del objeto contractual de la Gestión de Riesgos

.- Verificar y garantizar el cumplimiento de las políticas del proceso
.- Verificar los informes presentados en la mesa de trabajo
.- Verificar el seguimiento a la efectividad de los planes de acción
Interventoría
.- Realizar seguimiento continuo a los riesgos identificados
.- Documentar las actas de las mesas de trabajo
.- Verificar el cumplimiento de los compromisos de las partes
.- Verificar la medición de los indicadores KPI del proceso
.- Revisión y validación de los riesgos presentados en la mesa de trabajo
.- Proponer acciones de mejora al proceso de Gestión de Riesgos

34
GTI-GO-003 V01
 ROLES RESPONSABILIDADES

.- Aprobar la documentación del proceso de Gestión de Riesgos

.- Revisar los informes presentados por el Gestor de Riesgos
SENA .- Tomar decisiones con base en los informes presentados
.- Revisión y validación de los riesgos presentados en la mesa de trabajo
.- Proponer acciones de mejora al proceso de Gestión de Riesgos
.- Facilitar la ejecución del proceso al interior de SENA
.- Revisar el seguimiento a la efectividad de los planes de acción

.- Revisar las políticas de la gestión

Mesa de Trabajo de la gestión .- Verificar y garantizar el cumplimiento de las políticas de la gestión
.- Revisar los informes presentados por el Gestor de Riesgos
- Revisar el seguimiento a la efectividad de los planes de acción
- Realizar seguimiento continuo a los riesgos identificados

11. Matriz RACI

La definición de la matriz de responsabilidades se constituye como una herramienta práctica y útil cuando
se establecen las obligaciones que tiene cada uno de los actores de la guía Operacional de la Gestión de
Riesgos. En consecuencia las cuatro funciones principales a presentar son las siguientes:

Responsible (Ejecutor): La persona o personas responsables por la ejecución de la actividad.

Accountable (Dueño): Este es el rol encargado de aprobar el trabajo realizado y a partir de este momento
es quien responde a las directivas o instancias superiores por el trabajo.
Consulted (Consultado): Son las personas que son consultadas y en quienes se busca una opinión.
Informed (Informado): Son los grupos de personas a quienes se informa sobre el progreso y resultados del
trabajo.

En la siguiente matriz se asignan las responsabilidades de cada rol dentro del proceso de Gestión de
Riesgos:

ROL GESTOR DE LÍDER DE

MESA DE
RIESGOS DEL SERVICIOS DEL INTERVENTORÍA SENA
TRABAJO
ACTIVIDAD OPERADOR OPERADOR

1. Diseñar y proponer planes de

trabajo para mantener y R I I C AC
mejorar la Gestión de Riesgos

2. Mantener actualizada la
documentación, herramientas
y aplicaciones de la Guía R RC I AC CI
Operacional Gestión de
Riesgos
3. Registrar en la matriz, todos
R C I I AC
los riesgos que se identifiquen
35
GTI-GO-003 V01
 ROL GESTOR DE LÍDER DE
MESA DE
RIESGOS DEL SERVICIOS DEL INTERVENTORÍA SENA
TRABAJO
ACTIVIDAD OPERADOR OPERADOR
por los servicios y las
Gestiones, priorizarlos y
realizar seguimiento a que se
ejecuten los planes de acción
del caso.

4. Mantener actualizada la matriz

R CI I I AC
de Gestión de Riesgos

5. Revisar la efectividad de los

planes de acción y elaborar los
R RC I AC CI
informes de Gestión de
Riesgos.
6. Capacitar, realizar
divulgaciones y
sensibilizaciones sobre la R I I I AC
metodología de Gestión de
Riesgos.

7. Realizar valoración de
efectividad de los controles R RC I I AC
implementados.

8. Evaluar el riesgo inherente y

R C I AC I
residual.

9. Coordinar con los líderes de

servicio la elaboración de plan R RC CI AC I
de Acción.

10. Monitorear los riesgos y

R RC I I AC
planes ejecutados

11. Identificar y notificar al gestor

los riesgos de su servicio las CI R I AC I
situaciones de riesgo.

12. Cumplir los planes de acción

que se requieran para mitigar
I RC I I AC
o evitar los riesgos
identificados

13. Reportar las evidencias de los

R RC I I AC
planes de acción.

14. Realizar seguimiento continuo

a los riesgos cíclicos R RC CI I AC
identificados y en monitoreo.

36
GTI-GO-003 V01
 ROL GESTOR DE LÍDER DE
MESA DE
RIESGOS DEL SERVICIOS DEL INTERVENTORÍA SENA
TRABAJO
ACTIVIDAD OPERADOR OPERADOR

15. Realizar la medición

R CI I AC I
correspondiente de los KPIs

16. Gestionar las solicitudes

realizadas por procesos,
servicios, mesa de trabajo en
RC I I CI AC
cuanto a reportes, informes,
capacitaciones y
acompañamientos
17. Validar el cumplimiento del
objeto contractual de la I C R AC I
Gestión de Riesgos

18. Verificar y garantizar el

cumplimiento de las políticas C I R AC R
del proceso.

19. Verificar los informes

presentados en la mesa de I C R AC I
trabajo.

20. Verificar el seguimiento a la

efectividad de los planes de R R R AC CI
acción.

21. Realizar seguimiento continuo

RC RCI RCI AC RI
a los riesgos identificados.

22. Documentar las actas de las

CI I R I AC
mesas de trabajo

23. Verificar el cumplimiento de

I I R AC I
los compromisos de las partes

24. Verificar la medición de los

CI I R AC I
indicadores KPI del proceso.

25. Aprobar la documentación del

I I I RAC CI
proceso de Gestión de Riesgos

26. Tomar decisiones con base en

I I I RAC CI
los informes presentados.

37
GTI-GO-003 V01
 ROL GESTOR DE LÍDER DE
MESA DE
RIESGOS DEL SERVICIOS DEL INTERVENTORÍA SENA
TRABAJO
ACTIVIDAD OPERADOR OPERADOR

27. Revisión y validación de los

riesgos presentados en la mesa I I RI RAC CI
de trabajo.

28. Proponer acciones de mejora

al proceso de Gestión de RC RC RC RAC CI
Riesgos.

29. Facilitar la ejecución del

CI CI CI RAC I
proceso al interior de SENA

30. Revisar las políticas del

RC C RC R RAC
proceso.

31. Revisar los informes

presentados por el Gestor de I I RC RAC RI
Riesgos.

32. Revisar el seguimiento a la

efectividad de los planes de I I RC RAC RI
acción.

Anexos
GTI-F-052-Análisis Causa Raíz
GTI-F-051-Efectividad Controles
GTI-F-049-Matriz Gestión Riesgos
GTI-AN-007-Matriz Gestión Riesgos
GTI-F-050-Formato diligenciamiento de Riesgos

Referencias Bibliográficas

ITIL - Service Offerings & Agreements (SOA) – Axelos

Seguridad de la Información 2.0 Gestión de Riesgos - Gobierno en línea
Norma NTC ISO 31000

38
GTI-GO-003 V01