Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Presentado por:
Ing. Jorge Eduardo Alzate C.
Coordinador Grupo de Documentos Electrónicos y Preservación Digital
Secretaria Técnica Archivo General de la Nación e ICONTEC
La Gestión del Riesgo en la Gestión Documental
AGENDA 1.
2.
Antecedentes sobre normas de riesgos
La Normalización en la Gestión del Riesgo
3. Introducción al Concepto de Riesgos
4. Normas Técnicas Colombianas relacionadas con la Gestión del Riesgo
5. Los riesgos según la NTC ISO 31000:2009
6. Los riesgos en la Gestión Documental y la Norma ISO/TR 18128-2014.
7. Otras Metodologías para la identificación de riesgos en la gestión de los documentos.
Algunos antecedentes sobre normas de Riesgos
A Nivel Internacional
COSO I. 1992 (Marco Integrado de Control Interno). Committee of Sponsoring Organizations of The Treadway Commission.
Modelo Común de Control Interno. Evaluar los Sistema de Control. Reducción de los Riesgos.
COSO II - ERM – 2004 y COSO III - 2013 (Enterprise Risk Managemennt - Gestión de Riesgos de la Empresa ). Identificar y evaluar los riesgos.
AS/NZS 4360 – 2004 – Risk Management. Estándar Australiano Neozelandés
ISO – IEC Guide 73 – Vocabulario a ser utilizado en estándares de Administración de Riesgos.
ISO 27005:2008. Gestión de riesgos de seguridad de la información
ISO 22301:2012. Sistema de Gestión de la Continuidad del Negocio
18001: 2007. OHSAS. Seguridad y Salud en el Trabajo. (ISO 45001 en proceso)
A Nivel Nacional
MECI (Modelo Estándar de Control Interno). Basado en COSO (Comité de Organizaciones Patrocinadoras de la Comisión Treadway ).
NTC GP 1000:2004 (Norma Técnica de Calidad en la Gestión Pública)
NTC ISO 31000:2011 Gestión de Riesgos
Guía de Administración del Riesgo. DAFP
La Normalización en la Gestión del Riesgo
La Normalización es la actividad que establece, soluciones para aplicaciones repetitivas y comunes, con el objeto de lograr un
grado óptimo de orden en un contexto dado. En particular consiste en la elaboración, la adopción y la publicación de las
normas técnicas. (ICONTEC)
Qué es el riesgo?
Es el “efecto de la incertidumbre sobre los objetivos”
1. NTC ISO 15489 – Gestión de Documentos – Parte 1. Generalidades. 2010 2001 (2016)
2. NTC ISO/TR 15489 – Gestión de Documentos – Parte 2. Guía. 2012 2001
3. NTC-ISO 30301 - Información y documentación. Sistemas de gestión de registros. 2013 2011
Requisitos.
4. NTC ISO 23081 – Procesos para la gestión de registros. Metadatos para los registros. 2016 2009
Parte 2: Elementos de implementación y conceptuales..
5. NTC-ISO/IEC 27001 - Tecnología de la información. Técnicas de seguridad. Sistemas 2013 2013
de Gestión de la Seguridad de la Información -SGSI.
6. GTC-ISO/IEC 27002 - Tecnología de la información. Técnicas de seguridad. código de 2015 2014
práctica para la gestión de la seguridad de la información
7. NTC-ISO/IEC 27005 - Tecnología de la Información. Técnicas de Seguridad. Gestión 2009 2008
del Riesgo en la Seguridad de la Información
8. NTC-ISO 31000 - Gestión del riesgo. Principios y directrices. 2011 2009
9. NTC-IEC 31010. Gestión de Riesgos. Técnicas de Valoración del Riesgo 2013 2009
10. NTC-ISO/TR 18128 - Información y documentación. Evaluación del riesgo en 2016 2014
procesos y sistemas de registros.
11 NTC-5921 - Información y documentación. Requisitos para el almacenamiento de 2012 2003
material documental. (Adopción. Mod. - ISO 11799-2003)
Los Riesgos en la NTC ISO 31000:2009
ISO 31000:2009 Gestión del riesgo: Principios y directrices
Creada por el Comité TC/262. Risk Management, de la ISO, el cual ha publicado otras normas como la IEC 31010:2009 –
Técnicas de Evaluación del Riesgo y la ISO/TR 31004:2013 – Guía para la implementación de la ISO 30300.
Es la norma internacional para la Gestión de Riesgos, la cual ayuda a las empresas y organizaciones en los análisis y
las evaluaciones de riesgos.
Tiene como objetivo ayudar a las organizaciones de todo tipo y tamaño a gestionar cualquier tipo de riesgo en una
manera transparente, sistemática dentro de cualquier alcance o contexto.
Brinda los principios y las directrices genéricas sobre la gestión del riesgo.
Recomienda que las organizaciones desarrollen, implementen y mejoren en forma continua el marco de gestión
del riesgo como un componente del sistema integral de gestión de la organización.
Es un documento práctico que busca ayudar a las organizaciones en el desarrollo de su propia estrategia para
gestionar sus riesgos.
No es un sistema de gestión y no está destinada a fines de certificación. (NTC-ISO 31000 – Definición 2.3.)
La ISO 31000 se complementa con la norma ISO 31010:2009, Risk management. Risk assessment techniques,
que describe una serie de posible técnicas que pueden ser utilizadas en el contexto del proceso de gestión de
riesgos propuestos. (Bustelo, 2013)
Marco de Referencia para la Gestión del Riesgo
Conjunto de componentes que brindan las bases y las disposiciones de la organización para diseñar, implementar, monitorear,
revisar y mejorar continuamente la gestión del riesgo a través de toda la organización.
En resumen:
La introducción del riesgo en una entidad requiere del compromiso fuerte
y sostenido de la alta dirección de la organización, definición de política y
objetivos
Entender el contexto interno y externo
Identificación de propietarios del riesgo quienes rinden cuentas
Definir el tiempo y la estrategia, y aplicar el proceso y la política para la
gestión del riesgo en la organización.
Se debe medir el desempeño y revisar periódicamente tanto el marco de
referencia como la política y el plan para la gestión del riesgo.
Con los resultados obtenidos, tomar decisiones para la mejora del Marco
(Fuente: NTC-ISO 31000 – 4. Marco de Referencia) de Referencia, la política y el plan para la gestión del riesgo.
Procesos para la Gestión del Riesgo
El proceso para la gestión del riesgo debería:
Ser parte integral de la gestión.
Estar incluido en la cultura y las prácticas organizacionales
Estar adaptado a los procesos de negocio de la organización.
En resumen:
Planes de comunicación y consulta, que involucre las partes interesadas que puedan afectarse.
El contexto de la organización articula sus objetivos, define los parámetros externos e internos a
considerar, y establece el alcance y los criterios para evaluar la importancia del riesgo.
La Valoración del riesgo es el proceso total de identificación, análisis y evaluación del riesgo.
La identificación permite generar un listado exhaustivo de riesgos, áreas de impacto, con
sus causas, efectos y consecuencias.
El análisis es el proceso de comprender la naturaleza del riesgo para determinar el nivel de
riesgo, es la base para la evaluación de riesgos y las decisiones sobre las medidas de
reducción del riesgo y preparación para la respuesta. Incluye la estimación del riesgo
La evaluación es el proceso de comparación de los resultados de análisis de riesgos con
criterios de riesgo para determinar si el riesgo y/o su magnitud es aceptable, el cual ayuda
a la decisión sobre las medidas de reducción del riesgo a implementar.
El tratamiento es el proceso para modificar el riesgo e involucra acciones de selección de las
opciones de tratamiento, y la implementación de los planes de tratamiento.
El monitoreo es la verificación, supervisión, observancia critica o determinación continua del
(Fuente: NTC-ISO 31000 – 5. Proceso) proceso con el fin de identificar cambios respecto del nivel de desempeño exigido o esperado
LA NORMA NTC-ISO 31010:2009
Esta norma internacional es una norma de apoyo de la Norma ISO 31000, y proporciona directrices para la
selección y aplicación de técnicas sistemáticas para la valoración del riesgo.
Los anexos de la norma listan y describen una gama de herramientas y técnicas que se pueden utilizar para
realizar una valoración del riesgo o para ayudar en el proceso de valoración de riesgos.
Algunas veces puede ser necesario emplear mas de un método de valoración.
Puede ser usado por los profesionales de registros o las personas con responsabilidad por los registros de sus organizaciones, o los
auditores o gerentes que tengan responsabilidad por los programas de gestión del riesgo en sus organizaciones.
Este documento puede ser usado por cualquier organización, independientemente de su tamaño, naturaleza de sus actividades o
complejidad de sus funciones y estructura.
Niveles de Aplicación: (Bustelo, 2014)
1. La gestión de los riesgos de un proyecto de implantación de un Sistema de gestión para los documentos (SGD) o de una aplicación
para los documentos electrónicos
2. La identificación de riesgos de negocio que puede tratarse y mitigarse con la creación de los documentos necesarios y con su
adecuada gestión.
3. La gestión de los riesgos en el nivel operativo de procesos y sistemas de gestión documental (el alcance de este informe)
La norma NTC - ISO/TR 18128 - 2014. Evaluación del riesgo en procesos y sistemas de registros
La metodología de la norma se orienta hacia los requisitos que deben cumplir los documentos para identificar los riesgos que
podrían afectarles y en este sentido, la identificación de los riesgos relacionados con los procesos y sistema de gestión
documental, es fundamental para detectar que pasaría si los documentos deja de ser auténticos y fiables y si estos no se
mantienen íntegros, usables y accesibles por el tiempo que sea necesario, ya que esto puede afectar la capacidad de los
documentos para satisfacer las necesidades de la organización. (Casadesús, 2015)
1. la identificación de riesgos
2. el análisis del riesgos
3. y la evaluación de riesgos
1. LA IDENTIFICACIÓN DE RIESGOS
Proporciona una lista detallada de las áreas de incertidumbre relacionadas con los procesos y sistemas de gestión
documental que sirve como una guía para la identificación del riesgo.
El proceso de identificación del riesgo incluye la detección de las causas y el origen del riesgo, las acciones, situaciones o
circunstancias que podrían tener un impacto material sobre los objetivos de la organización, así como la naturaleza de ese
impacto.
El Anexo B, es un ejemplo de lista de verificación basada en la estructura del Capítulo 5, que se puede usar en una
organización para la identificación sistemática de los riesgos relacionados con los procesos y sistemas de gestión documental.
SISTEMAS: Sistemas de Gestión de Registros (SGD). Relación con la ISO 27001 en seguridad.
Riesgo relacionado con los sistemas que crean o controlan documentos (SGD), se debería tener en cuenta tanto el diseño de los
sistemas de gestión documental, como los problemas de mantenimiento, sostenibilidad, continuidad, interoperabilidad y
seguridad.
Los sistemas de gestión documental que usa la organización cambian a lo largo del tiempo. en consonancia con las circunstancias
económicas, cambios en las actividades y el personal y cambios de tamaño y estructura.
Se deberá tener en cuenta la aplicación de la Norma ISO/IEC 27001 sobre los sistemas de información de la organización en la
identificación de los riesgos desde la óptica de la seguridad de la información.
En el Anexo C de la norma se relaciona áreas de incertidumbre de SGD con los controles de la norma ISO/IEC 27001.
Apreciación del riesgo en los SGD haciendo uso de la Norma ISO/IEC 27005
Áreas de Incertidumbre:
Diseño del sistema
Mantenimiento
sostenibilidad y continuidad
Interoperabilidad
Seguridad
La norma NTC - ISO/TR 18128 - 2014.
PROCESOS DOCUMENTALES
La identificación de riesgos se centra en la creación de los documentos (o algunos de sus elementos), en los procesos de
control para gestionarlos y en los sistemas de gestión documental.
Aplicación de las Normas ISO 15489, Partes 1 y 2, e ISO 23081, Partes 1, 2 y 3.
Áreas de Incertidumbre:
Diseño de los documentos
Creación de documentos e implementación de sistemas de gestión documental
Metadatos
uso de los documentos y de los sistemas de gestión de documental
Mantenimiento de la usabilidad
disposición de documentos
La norma NTC - ISO/TR 18128 - 2014.
2. EL ANÁLISIS DE LOS RIESGOS IDENTIFICADOS
Proporciona directrices para determinar las consecuencias potenciales de los riesgos identificados y las probabilidades de
que el riesgo se haga realidad, teniendo en cuenta la presencia (o no) y la efectividad de cualquier control existente.
Cada riesgo tiene que ser evaluado con respecto a la combinación de la probabilidad de que algo ocurra y las consecuencias
que alcanzarían si realmente ocurriera.
Análisis de posibilidad y estimación de probabilidad
Puntaje de Interpretación
probabilidad
1 Probabilidad inusual; ocurre una vez cada 10 años o menos
(Casadesús, 2015)
Metodologías para la Identificación de Riesgos en la Gestión de los Documentos
Amenazas relacionadas con el SGD de Incluyen los riesgos asociados con los procesos de
la organización. Se incluyen dentro gestión documental: clasificación, disposición y
de esta categoría las áreas de retención, y almacenamiento de los documentos.
Gobernanza de la Información, Gestión Es la categoría más operacional de las que propone
del Cambio y Gestión de Emergencias. ARMA en su cuadrante de riesgos
Creada en 1963
Dic 31-16
¿Quiénes somos?
Dic 31-16
¿Quiénes somos?
14,291 certificados
(Sistema, Producto y Desarrollo Sostenible)
Dic 31-16
Nuestra presencia en Colombia
Nuestra presencia en América
Nuestro portafolio de productos y servicios...
Normalización Evaluación de Laboratorios
Educación
(Colombia) la Conformidad (Colombia)
Presencial y virtual
Certificación de Sistemas, Dimensional
NTC Producto y Servicios
Maestrías y Presión
Especializaciones en Temperatura
Asesor del Gobierno Inspección
convenio con
Universidades Masas y Balanzas
Desarrollo Sostenible Volumetría
Normas (fichas técnicas)
para empresas Acreditación en Salud Biomédica
Cursos abiertos y
empresariales
Cooperación
Para mas información de nuestros servicios
Comuníquese
Con nuestros
Asesores Comerciales
Nuestra presencia en Colombia
CENTRO Y SUR ORIENTE
CIUDAD DIRECCION SEDE TELEFONO ASESOR EMAIL
neiva@icontec.org
Neiva Carrera 5 No 10- 49 Centro Comercial Plaza Real Oficina -107 Neiva - Huila (8) 871 79 98 - 313 887 20 06 Gloria Eugenia Morales
gmorales@la.icontec.org
ibague@icontec.org
Ibagué Carrera 3 No. 3-47 Local 1 - Hotel Internacional Casa Morales (8) 261 34 62 - (8)263 15 28 - 313-8872004 Jeinny Giselle Rojas
jrojas@la.icontec.org
villavicencio@icontec.org
Villavicencio Carrera 48 No. 12B – 30 Piso 1 .Barrio La Esperanza. Etapa 1 (8) 6633428 - 313 887 20 03 Clara Inés Orjuela
corjuela@la.icontec.org
ORIENTE
CIUDAD DIRECCION SEDE TELEFONO ASESOR EMAIL
Bucaramanga Calle 42 No. 28 - 19 (7) 634 33 22 - (7) 645 20 98 - 310 851 89 60 Henry Paredes hperedes@icontec.org
cucuta@icontec.org
Cúcuta Avenida 0 No 13 – 31 local 3. Edificio Faraón (7) 572 09 69 - 313 887 20 36 Sandra Patricia Gutiérrez
sgutierrez@la.icontec.org
barrancabermeja@icontec.org
Barrancabermeja Calle 48 No. 18 A-22 Barrio Colombia de Barrancabermeja (7) 602 11 68 - 320 333 62 10 Claudia Patricia Agudelo
cagudelo@la.icontec.org
SUR OCCIDENTE
CIUDAD DIRECCION SEDE TELEFONO ASESOR EMAIL
Paula Andrea Lopez mhernandez@icontec.org
Cali Avenida 4 A Norte No 45 - 30 (2) 664 0121 - (2) 664 15 54
Daniela Valencia dvalencia@icontec.org
pasto@icontec.org
Pasto Calle 18 No. 28 – 84 Piso 8 oficina 804 (2) 731 56 43 - (2) 731 05 93 Soraida Ceballos
sceballos@la.icontec.org
CARIBE
CIUDAD DIRECCION SEDE TELEFONO ASESOR EMAIL
Barranquilla Carrera 57 No 70 - 89 (5) 361 54 00 - (5) 361 54 99 Roger de Jesús Caballero rcaballero@icontec.org
Cartagena Bocagrande Carrera 4 No. 5 A - 17 Piso 2 (5) 692 51 15 - 313 887 20 29 Maryory Cano mcano@la.icontec.org
Santa Marta Calle 4B No 21A 15 3615400 ext. 5312 - 313 887 20 32 Balmore Constante bconstante@la.icontec.org
monteria@icontec.org
Montería Carrera 6 Nro. 62-50 Plaza de la castellana local 204 (4)7852097 - 310 216 2537 Liliana Villadiego
lvilladiego@la.icontec.org
armenia@icontec.org
Armenia Carrera 14 No. 23 – 15 Piso 2 Camara de Comercio (6) 741 14 23 Dora Liliana Gil
dgil@la.icontec.org
pereira@icontec.org
Pereira Cra. 17 No. 5 - 57 Local 2 Edifício Montecanelo (6) 331 7154 Victor Hugo Garcia
vgarcia@la.icontec.org
Nuestra presencia en América
SEDE DIRECCION TELEFONO RESPONSABLE CORREO
Bolivia Cra 13 No 97 75 Bogotá- Colombia (507) – 6078888 ext 1235 Camilo Rincon crincon@icontec.org
Boulevard Sur, Urbanización Santa Elena Edificio Eben Ezer, Antiguo (503) 22895709 / 22891929 Ext.8234 elsalvador@icontec.org
El Salvador Patricia Figueroa
Cuscatlán Colombia pfigueroa@la.icontec.org
Avenida Reforma 7-62 zona 9, Edificio Aristos Reforma, Nivel 6, Oficina Ofc. (502) 2362-9145- (502)- 2331-1919 guatemala@icontec.org
Guatemala Aury Maldonado
609 ext 8236 Colombia amaldonado@la.icontec.org
Centro Corporativo Orion Colonia Lomas del Mayab 1/2 cuadra del Mall honduras@icontec.org
Honduras (504)-22353233 ext 8235 Colombia Sandra Estella de Velásquez
Multiplaza Segundo Nivel No 201 Tegucigalpa - Honduras svelasquez@la.icontec.org
nicaragua@icontec.org
Nicaragua N/A Cel. 506-71063806 - ext. 8233 Colombia Alix Moya
amoya@la.icontec.org
Panamá
Cra 13 No 97 75 Bogotá- Colombia (507) – 6078888 ext 1235 Camilo Rincon crincon@icontec.org
México
República crincon@icontec.org
Cra 13 No 97 75 Bogotá- Colombia (507) – 6078888 ext 1235 Camilo Rincon
Dominicana
Ing. Gersson Fredy Torres B. Profesional de
Normalización ICONTEC
gtorres@icontec.org
el: 6078888 ext. 1422
49
ES-009-001
Gracias por su atención…
Presentado por:
Ing. Jorge Eduardo Alzate C.
Coordinador Grupo de Documentos Electrónicos y Preservación Digital
Secretaria Técnica Archivo General de la Nación e ICONTEC