Charla Virtual

La Gestión del Riesgo en la

Gestión Documental

Presentado por:
Ing. Jorge Eduardo Alzate C.
Coordinador Grupo de Documentos Electrónicos y Preservación Digital
Secretaria Técnica Archivo General de la Nación e ICONTEC
 La Gestión del Riesgo en la Gestión Documental

AGENDA 1.
2.
Antecedentes sobre normas de riesgos
La Normalización en la Gestión del Riesgo
3. Introducción al Concepto de Riesgos
4. Normas Técnicas Colombianas relacionadas con la Gestión del Riesgo
5. Los riesgos según la NTC ISO 31000:2009
6. Los riesgos en la Gestión Documental y la Norma ISO/TR 18128-2014.
7. Otras Metodologías para la identificación de riesgos en la gestión de los documentos.
 Algunos antecedentes sobre normas de Riesgos
A Nivel Internacional
 COSO I. 1992 (Marco Integrado de Control Interno). Committee of Sponsoring Organizations of The Treadway Commission.
Modelo Común de Control Interno. Evaluar los Sistema de Control. Reducción de los Riesgos.
 COSO II - ERM – 2004 y COSO III - 2013 (Enterprise Risk Managemennt - Gestión de Riesgos de la Empresa ). Identificar y evaluar los riesgos.
 AS/NZS 4360 – 2004 – Risk Management. Estándar Australiano Neozelandés
 ISO – IEC Guide 73 – Vocabulario a ser utilizado en estándares de Administración de Riesgos.
 ISO 27005:2008. Gestión de riesgos de seguridad de la información
 ISO 22301:2012. Sistema de Gestión de la Continuidad del Negocio
 18001: 2007. OHSAS. Seguridad y Salud en el Trabajo. (ISO 45001 en proceso)

A Nivel Nacional
 MECI (Modelo Estándar de Control Interno). Basado en COSO (Comité de Organizaciones Patrocinadoras de la Comisión Treadway ).
 NTC GP 1000:2004 (Norma Técnica de Calidad en la Gestión Pública)
 NTC ISO 31000:2011 Gestión de Riesgos
 Guía de Administración del Riesgo. DAFP
 La Normalización en la Gestión del Riesgo
La Normalización es la actividad que establece, soluciones para aplicaciones repetitivas y comunes, con el objeto de lograr un
grado óptimo de orden en un contexto dado. En particular consiste en la elaboración, la adopción y la publicación de las
normas técnicas. (ICONTEC)

La Familia ISO 31000 para la Gestión del Riesgo

ISO 31000:2009 Principios y Directrices sobre la aplicación
 Esta norma internacional proporciona los principios y las directrices genéricas sobre la gestión del riesgo.
 Puede utilizarse por cualquier empresa pública, privada o social, asociación, grupo o individuo. Por tanto, no es específica de una
industria o sector concreto.
 Esta Norma no es certificable
ISO/IEC 31010:2009. Técnicas de Evaluación de Riesgos.
 Norma de soporte para NTC-ISO 31000 y suministra directrices sobre la selección y la aplicación de técnicas sistemáticas para la
valoración del riesgo.
 Diseñadas para facilitar la aplicación de la norma ISO 31000 en los procesos de identificación y evaluación del riesgo.
Guía ISO 73:2009. Vocabulario
 “…proporciona el vocabulario básico para desarrollar una comprensión de los conceptos y términos que se utilizan en la gestión del
riesgo que son comunes a diferentes organizaciones y funciones,...”
 Introducción al Concepto de Riesgos

Qué es el riesgo?
Es el “efecto de la incertidumbre sobre los objetivos”

1. El efecto puede generar una desviación positiva o negativa frente a lo esperado.

2. Los objetivos pueden hacer referencia a diferentes aspectos como financieros, salud,
seguridad, medio ambientales,
3. Puede aplicar a diferentes niveles ( Estratégico, en toda la organización, en proyectos,
productos y procesos).
4. Referencia a los eventos potenciales y las consecuencias.
5. Se expresa en términos de una combinación de las consecuencias de un evento y de la
probabilidad de su ocurrencia.
6. Ese efecto es sobre los objetivos fijados.
7. La incertidumbre es el estado de deficiencia de información relacionada con la
comprensión o el conocimiento de un suceso o evento, de sus consecuencias o de su
probabilidad.

(NTC-ISO 31000 – Definición 2.1 Riesgo)

 Las Normas NTC relacionadas con la gestión del Riesgo
Título de la Norma ICONTEC ISO

1. NTC ISO 15489 – Gestión de Documentos – Parte 1. Generalidades. 2010 2001 (2016)
2. NTC ISO/TR 15489 – Gestión de Documentos – Parte 2. Guía. 2012 2001
3. NTC-ISO 30301 - Información y documentación. Sistemas de gestión de registros. 2013 2011
Requisitos.
4. NTC ISO 23081 – Procesos para la gestión de registros. Metadatos para los registros. 2016 2009
Parte 2: Elementos de implementación y conceptuales..
5. NTC-ISO/IEC 27001 - Tecnología de la información. Técnicas de seguridad. Sistemas 2013 2013
de Gestión de la Seguridad de la Información -SGSI.
6. GTC-ISO/IEC 27002 - Tecnología de la información. Técnicas de seguridad. código de 2015 2014
práctica para la gestión de la seguridad de la información
7. NTC-ISO/IEC 27005 - Tecnología de la Información. Técnicas de Seguridad. Gestión 2009 2008
del Riesgo en la Seguridad de la Información
8. NTC-ISO 31000 - Gestión del riesgo. Principios y directrices. 2011 2009
9. NTC-IEC 31010. Gestión de Riesgos. Técnicas de Valoración del Riesgo 2013 2009
10. NTC-ISO/TR 18128 - Información y documentación. Evaluación del riesgo en 2016 2014
procesos y sistemas de registros.
11 NTC-5921 - Información y documentación. Requisitos para el almacenamiento de 2012 2003
material documental. (Adopción. Mod. - ISO 11799-2003)
 Los Riesgos en la NTC ISO 31000:2009
ISO 31000:2009 Gestión del riesgo: Principios y directrices
Creada por el Comité TC/262. Risk Management, de la ISO, el cual ha publicado otras normas como la IEC 31010:2009 –
Técnicas de Evaluación del Riesgo y la ISO/TR 31004:2013 – Guía para la implementación de la ISO 30300.

 Es la norma internacional para la Gestión de Riesgos, la cual ayuda a las empresas y organizaciones en los análisis y
las evaluaciones de riesgos.
 Tiene como objetivo ayudar a las organizaciones de todo tipo y tamaño a gestionar cualquier tipo de riesgo en una
manera transparente, sistemática dentro de cualquier alcance o contexto.
 Brinda los principios y las directrices genéricas sobre la gestión del riesgo.
 Recomienda que las organizaciones desarrollen, implementen y mejoren en forma continua el marco de gestión
del riesgo como un componente del sistema integral de gestión de la organización.
 Es un documento práctico que busca ayudar a las organizaciones en el desarrollo de su propia estrategia para
gestionar sus riesgos.
 No es un sistema de gestión y no está destinada a fines de certificación. (NTC-ISO 31000 – Definición 2.3.)

La ISO 31000 se complementa con la norma ISO 31010:2009, Risk management. Risk assessment techniques,
que describe una serie de posible técnicas que pueden ser utilizadas en el contexto del proceso de gestión de
riesgos propuestos. (Bustelo, 2013)
 Marco de Referencia para la Gestión del Riesgo
Conjunto de componentes que brindan las bases y las disposiciones de la organización para diseñar, implementar, monitorear,
revisar y mejorar continuamente la gestión del riesgo a través de toda la organización.

 Ayuda a la gestión eficaz del riesgo a través de la aplicación del

proceso para la gestión del riesgo en los diversos niveles y contextos
de la organización.
 Tiene como finalidad facilitar a la organización la integración de la
gestión del riesgo en su sistema de gestión global.
 Se deben adaptar los componentes del marco a las necesidades
especificas de la organización.

En resumen:
 La introducción del riesgo en una entidad requiere del compromiso fuerte
y sostenido de la alta dirección de la organización, definición de política y
objetivos
 Entender el contexto interno y externo
 Identificación de propietarios del riesgo quienes rinden cuentas
 Definir el tiempo y la estrategia, y aplicar el proceso y la política para la
gestión del riesgo en la organización.
 Se debe medir el desempeño y revisar periódicamente tanto el marco de
referencia como la política y el plan para la gestión del riesgo.
 Con los resultados obtenidos, tomar decisiones para la mejora del Marco
(Fuente: NTC-ISO 31000 – 4. Marco de Referencia) de Referencia, la política y el plan para la gestión del riesgo.
 Procesos para la Gestión del Riesgo
El proceso para la gestión del riesgo debería:
 Ser parte integral de la gestión.
 Estar incluido en la cultura y las prácticas organizacionales
 Estar adaptado a los procesos de negocio de la organización.

En resumen:
 Planes de comunicación y consulta, que involucre las partes interesadas que puedan afectarse.
 El contexto de la organización articula sus objetivos, define los parámetros externos e internos a
considerar, y establece el alcance y los criterios para evaluar la importancia del riesgo.
 La Valoración del riesgo es el proceso total de identificación, análisis y evaluación del riesgo.
 La identificación permite generar un listado exhaustivo de riesgos, áreas de impacto, con
sus causas, efectos y consecuencias.
 El análisis es el proceso de comprender la naturaleza del riesgo para determinar el nivel de
riesgo, es la base para la evaluación de riesgos y las decisiones sobre las medidas de
reducción del riesgo y preparación para la respuesta. Incluye la estimación del riesgo
 La evaluación es el proceso de comparación de los resultados de análisis de riesgos con
criterios de riesgo para determinar si el riesgo y/o su magnitud es aceptable, el cual ayuda
a la decisión sobre las medidas de reducción del riesgo a implementar.
 El tratamiento es el proceso para modificar el riesgo e involucra acciones de selección de las
opciones de tratamiento, y la implementación de los planes de tratamiento.
 El monitoreo es la verificación, supervisión, observancia critica o determinación continua del
(Fuente: NTC-ISO 31000 – 5. Proceso) proceso con el fin de identificar cambios respecto del nivel de desempeño exigido o esperado
 LA NORMA NTC-ISO 31010:2009
 Esta norma internacional es una norma de apoyo de la Norma ISO 31000, y proporciona directrices para la
selección y aplicación de técnicas sistemáticas para la valoración del riesgo.
 Los anexos de la norma listan y describen una gama de herramientas y técnicas que se pueden utilizar para
realizar una valoración del riesgo o para ayudar en el proceso de valoración de riesgos.
 Algunas veces puede ser necesario emplear mas de un método de valoración.

 La norma NTC-ISO 31010:2009, en su Anexo B,

lista 31 técnicas para la evaluación de Riesgos.

 Proporciona una Guía para la selección y

aplicación de cada una de estas Técnicas en las
etapas de Identificación, Análisis y Evaluación
del riesgo según la propuesta de la norma ISO
31000.

NTC-IEC 31010 – 2013. Anexo A. Informativo

 LOS RIESGOS EN LA GESTION DOCUMENTAL
La norma NTC - ISO/TR 18128 - 2014. Evaluación del riesgo en procesos y sistemas de registros

Alcance de la Norma (TR - Informe Técnico):

a) Establece un método de análisis para identificar los riesgos relacionados con procesos y sistemas de registros,
b) Brinda un método de análisis de los efectos potenciales de los eventos adversos sobre los procesos y los sistemas de registros,
c) Brinda directrices para llevar a cabo una evaluación de riesgos relacionada con procesos y sistemas de registros, y
d) Brinda directrices para documentar los riesgos identificados y evaluados que están en preparación para mitigación.

 Puede ser usado por los profesionales de registros o las personas con responsabilidad por los registros de sus organizaciones, o los
auditores o gerentes que tengan responsabilidad por los programas de gestión del riesgo en sus organizaciones.
 Este documento puede ser usado por cualquier organización, independientemente de su tamaño, naturaleza de sus actividades o
complejidad de sus funciones y estructura.
Niveles de Aplicación: (Bustelo, 2014)
1. La gestión de los riesgos de un proyecto de implantación de un Sistema de gestión para los documentos (SGD) o de una aplicación
para los documentos electrónicos
2. La identificación de riesgos de negocio que puede tratarse y mitigarse con la creación de los documentos necesarios y con su
adecuada gestión.
3. La gestión de los riesgos en el nivel operativo de procesos y sistemas de gestión documental (el alcance de este informe)
 La norma NTC - ISO/TR 18128 - 2014. Evaluación del riesgo en procesos y sistemas de registros
La metodología de la norma se orienta hacia los requisitos que deben cumplir los documentos para identificar los riesgos que
podrían afectarles y en este sentido, la identificación de los riesgos relacionados con los procesos y sistema de gestión
documental, es fundamental para detectar que pasaría si los documentos deja de ser auténticos y fiables y si estos no se
mantienen íntegros, usables y accesibles por el tiempo que sea necesario, ya que esto puede afectar la capacidad de los
documentos para satisfacer las necesidades de la organización. (Casadesús, 2015)

 La norma se centra específicamente en el proceso de valoración del riesgo y sus tres

subprocesos: (Según la ISO 31000)

1. la identificación de riesgos
2. el análisis del riesgos
3. y la evaluación de riesgos

 La norma no se ocupa del tratamiento de riesgos.

 los riesgos evaluados se documentan y comunican a la sección de gestión de riesgos de la
organización.
 La respuesta a los riesgos evaluados se emprende como parte del programa general de
gestión de riesgos de la organización. Proceso de Gestión del Riesgo
(NTC-ISO 31000 – 5. Proceso)
 La norma NTC - ISO/TR 18128 - 2014.

1. LA IDENTIFICACIÓN DE RIESGOS
 Proporciona una lista detallada de las áreas de incertidumbre relacionadas con los procesos y sistemas de gestión
documental que sirve como una guía para la identificación del riesgo.
 El proceso de identificación del riesgo incluye la detección de las causas y el origen del riesgo, las acciones, situaciones o
circunstancias que podrían tener un impacto material sobre los objetivos de la organización, así como la naturaleza de ese
impacto.
 El Anexo B, es un ejemplo de lista de verificación basada en la estructura del Capítulo 5, que se puede usar en una
organización para la identificación sistemática de los riesgos relacionados con los procesos y sistemas de gestión documental.

 Se estructura en las siguientes categorías, involucrados en la creación y control de registros de la

organización:

 CONTEXTO: Factores Externos e Internos.

 SISTEMAS: Sistemas de Gestión de Registros (SGD). Relación con la ISO 27001 en seguridad.

 PROCESOS: Documentales. Creación de los registros - ISO 15489 e ISO 23081

 La norma NTC - ISO/TR 18128 - 2014.

 CONTEXTO: FACTORES EXTERNOS

 Contexto: Factores Externos:

 Se refiere al entorno político, social, macroeconómico y tecnológico, así como al entorno
físico (fenómenos naturales, terrorismo, etc.), espionaje, virus, vulnerabilidades, etc.(27000)
 Son factores fuera del control de la organización con impacto en sus actividades y que se
deberían tener en cuenta a la hora de determinar los requisitos documentales.
 Incluye a las partes interesadas externas que tengan un interés especial en las actividades de
la organización

 Contexto: Factores Internos

 Consiste en aquellos factores internos no controlados por la persona responsable de los
procesos y sistemas de gestión documental.
 Incluye factores como la estructura o las finanzas de la organización, el despliegue de
Múltiples capas de contexto de los documentos
tecnología, la dotación de recursos (personas y presupuestos) y la cultura de la organización, y los procesos de gestión documental de una
 Influyen en las políticas y el modo en que se gestionan los documentos. organización. (NTC-ISO 18128 – 5.1
Generalidades)
 La norma NTC - ISO/TR 18128 - 2014.
 SISTEMAS DE GESTIÓN DOCUMENTAL (NTC-ISO 18128 – 5.4)

 Riesgo relacionado con los sistemas que crean o controlan documentos (SGD), se debería tener en cuenta tanto el diseño de los
sistemas de gestión documental, como los problemas de mantenimiento, sostenibilidad, continuidad, interoperabilidad y
seguridad.
 Los sistemas de gestión documental que usa la organización cambian a lo largo del tiempo. en consonancia con las circunstancias
económicas, cambios en las actividades y el personal y cambios de tamaño y estructura.
 Se deberá tener en cuenta la aplicación de la Norma ISO/IEC 27001 sobre los sistemas de información de la organización en la
identificación de los riesgos desde la óptica de la seguridad de la información.
 En el Anexo C de la norma se relaciona áreas de incertidumbre de SGD con los controles de la norma ISO/IEC 27001.
 Apreciación del riesgo en los SGD haciendo uso de la Norma ISO/IEC 27005
 Áreas de Incertidumbre:
 Diseño del sistema
 Mantenimiento
 sostenibilidad y continuidad
 Interoperabilidad
 Seguridad
 La norma NTC - ISO/TR 18128 - 2014.
 PROCESOS DOCUMENTALES
 La identificación de riesgos se centra en la creación de los documentos (o algunos de sus elementos), en los procesos de
control para gestionarlos y en los sistemas de gestión documental.
 Aplicación de las Normas ISO 15489, Partes 1 y 2, e ISO 23081, Partes 1, 2 y 3.

 Áreas de Incertidumbre:
 Diseño de los documentos
 Creación de documentos e implementación de sistemas de gestión documental
 Metadatos
 uso de los documentos y de los sistemas de gestión de documental
 Mantenimiento de la usabilidad
 disposición de documentos
 La norma NTC - ISO/TR 18128 - 2014.
2. EL ANÁLISIS DE LOS RIESGOS IDENTIFICADOS

 Proporciona directrices para determinar las consecuencias potenciales de los riesgos identificados y las probabilidades de
que el riesgo se haga realidad, teniendo en cuenta la presencia (o no) y la efectividad de cualquier control existente.
 Cada riesgo tiene que ser evaluado con respecto a la combinación de la probabilidad de que algo ocurra y las consecuencias
que alcanzarían si realmente ocurriera.
 Análisis de posibilidad y estimación de probabilidad

Puntaje de Interpretación
probabilidad
1 Probabilidad inusual; ocurre una vez cada 10 años o menos

2 Probabilidad baja; ocurre una vez cada 3 años o menos

3 Probabilidad media, ocurre una vez al año

4 Probabilidad alta; ocurre más de una vez al mes

Tabla 1. Ejemplo de escalado de probabilidad

Fuente: NTC ISO 18128-2014
 La norma NTC - ISO/TR 18128 - 2014.
3. EVALUACIÓN DE LOS RIESGOS
 Proporciona directrices para determinar el nivel y el tipo de riesgos identificados.
 El propósito es ayudar a tomar decisiones con base en los resultados del análisis de riesgos, acerca de qué riesgos necesitan
tratamiento y la prioridad para la implementación de tratamientos.
 Las consecuencias de los eventos de riesgo se identifican como la pérdida o daño de los registros, que por lo tanto ya no se
pueden usar, y ya no son confiables, auténticos o inalterados, y pueden dejar de apoyar los propósitos de la organización.

Menor Moderado Mayor Severo

Violación anómala de Acceso no autorizado a Se debe reportar el Pérdida, acceso no autorizado y
la restricción del registros acceso no autorizado daños generalizados
acceso a registros
Daño en una pequeña Daño en una cantidad Daño en registros Daño en registros esenciales
cantidad de registros significativa de esenciales en las en una mayoría de áreas de
en un área de registros en un área de operaciones, que afecta operaciones
operaciones operaciones varias áreas

Pérdida limitada de Pérdida de datos/daño Pérdida de datos/daño a Pérdida de datos/pérdida de

a la confiabilidad la confiabilidad; daño a la confiabilidad/pérdida de
datos reputación confianza pública
Pérdida recuperable Operaciones no Pérdida admitida; Cierre de las operaciones; labor Tabla 1. Evaluación del
interrumpidas; interrupción en más de de recuperación costosa y Impacto de los eventos
registros recuperables un área de operaciones; dispendiosa; registros no adversos -
con esfuerzo labor de recuperación recuperables Fuente: NTC ISO 18128-2014
costosa
 La norma NTC - ISO/TR 18128 - 2014.
 EVALUACIÓN DEL RIESGO
 La proyección del impacto de los eventos adversos se puede usar conjuntamente con una tabla de probabilidad para ayudar
a identificar los efectos adversos que deberían ser el foco de las medidas de gestión del riesgo, que incluyen desde los
procedimientos de monitoreo hasta la planificación de la preparación ante desastres.
 La evaluación del riesgo se debería hacer sobre los procesos y sistemas de gestión documental en orden de prioridad
EVENTO Probabilidad IMPACTO
Contexto Sistema Proceso Frecuencia Menor Moderado Mayor Severo
Cambios a la ley de Medio Afecta las
protección de restricciones al
privacidad Una vez al año sistema de
personal; flujo a
otras operaciones
Registros Medio Recuperable
identificados con los
erróneamente para Una vez al año procedimientos
destrucción existentes
Interrupción Bajo Afecta todos los
de los sistemas de
servicios de Una vez cada tres registros; se pierden
energía años las transacciones de
durante ocho un día
horas
El fuego destruye la Inusual Pérdida de registros
edificación que importantes;
alberga los Una vez cada diez interrupción en las
sistemas de años operaciones; pérdida
registros de la confianza
pública
Tabla 3. Ejemplo de Evaluación de Riesgos - Fuente: NTC ISO 18128-2014
 Metodologías para la Identificación de Riesgos en la Gestión de los Documentos
Enfoques metodológicos: Hechos y requisitos
 Lemieux, Victoria L. Two Approaches to Managing Information Risk, 2004.
 El enfoque tradicional basado en hechos:
Consiste en la identificación y gestión de riesgos asociados a la
información y los documentos a partir de un hecho, acontecimiento o
amenaza desencadenante.
Un ejemplo de ello serían los desastres naturales, fallos en el sistema
debido a errores humanos, desclasificación no autorizada de
documentos, eliminaciones no autorizadas,…
 El enfoque basado en requisitos:
Consiste en la identificación de riesgos a partir del análisis de los
requisitos aplicables, cuyo incumplimiento puede afectar los
documentos.
Estos requisitos se extraen del marco legal y normativo en el que la
organización desarrolla sus actividades, en donde el riesgo aparece
cuando la organización falla en el cumplimiento de estos requisito
Observaciones
 Rápida identificación de estrategias de prevención o
mitigación de los riesgos ya que se basa en el reconocimiento
directo de un hecho o amenaza desencadenante.
 Es más fácil la implementación de una estrategia para dar
respuesta a una amenaza conocida.
 No es útil para lograr un enfoque estratégico.
Observaciones
 Es mejor a la hora de detectar fallos del sistema o de
procedimiento.
 Realiza análisis de los procesos de negocio y detección fallos
en los flujos de información.
 Vincula la gestión de riesgos a los procesos estratégicos.
 Normas técnicas y legales.
(Casadesús, 2015)
 Metodologías para la Identificación de Riesgos en la Gestión de los Documentos

 ARMA (Association of Records Managers and Administrators)

 La organización ARMA propone un cuadrante (ver Figura 4) en el que incluye cuatro categorías de riesgos de la información y los documentos.
 Pretende ser un marco de referencia para el establecimiento de sistemas para la evaluación de las amenazas que pueden afectar a la gestión del
riesgo, tanto en organizaciones públicas como privadas.
 Incluye una herramienta de evaluación del riesgo, que consiste en un cuestionario estructurado a partir de las cuatro categorías del cuadrante, el
cual a su vez se divide en once áreas de incertidumbre. Al completar el cuestionario se calcula un valor numérico para cada cuadrante. Cuanto
menor sea el valor resultante, menor será el riesgo potencial para la organización.

Amenazas relacionadas con el SGD de Incluyen los riesgos asociados con los procesos de
la organización. Se incluyen dentro gestión documental: clasificación, disposición y
de esta categoría las áreas de retención, y almacenamiento de los documentos.
Gobernanza de la Información, Gestión Es la categoría más operacional de las que propone
del Cambio y Gestión de Emergencias. ARMA en su cuadrante de riesgos

Cumplimiento legal y normativo o reglamentario Dentro de cualquier SGD existen riesgos

en relación a la gestión de información y de asociados con la tecnología, como la seguridad
documentos. Se incluye el cumplimiento legal y de la información, las comunicaciones
normativo, y la pronta respuesta y disponibilidad electrónicas y el control del software
frente a posibles litigios

Cuadrante de riesgos (ARMA, 2009) - http://www.arma.org/

Bibliografía
• Cuartas A. Jose David. Diseño, implementación, seguimiento y mejoramiento del sistema de gestión de riesgos. Universidad Sergio
Arboleda. Seccional Santa Marta. Colombia, Noviembre de 2012.
• Escorial, Ángel. Taller de Gestión de Riesgos. Foro Internacional de la calidad 2014. Riskia, Madrid. 2014.
• Bustelo, R. C. Nuevo informe técnico: ISO 18128. Apreciación del riesgo para procesos y sistemas de gestión documental. Recuperado el 1 de
Julio de 2017, de http://www.carlotabustelo.com/index.php?option=com_content&view=article&id=225%3A2014-05-30-18-03-31&catid=53%3Anoticias-
iso&Itemid=56&lang=es
• Casadesús, A. (2015). Gestión de riesgos aplicada a la gestión de documentos: una metodología para garantizar una rendición de cuentas
confiable. I Xornadas Fundación Olga Gallego, (págs. 119–135.).
• Lemieux, V. (2004). Two Approaches to Managing Information Risk. The Information Management Journal, 56-62.
• Lemieux, V. (Julio de 2010). The records-risk nexus: Exploring the relationship between records and risk. Records Management Journal,
20(Iss 2), 199-216
• ARMA International. (2009). Evaluating and Mitigating Records and Information Risks. An ARMA International Guideline. USA: ARMA
International.
• Bustelo, R. C. (s.f.). Identificación de riesgos en la producción, gestión y mantenimiento de documentos electrónicos. (F. F. Catalunya, Ed.)
Recuperado el 1 de Julio de 2017, de
https://www.exabyteinformatica.com/uoc/Informatica/Analisis_del_contexto_organizativo/Analisis_del_contexto_organizativo_(Modulo_7).pdf
¿Quiénes somos?
 ¿Quiénes somos?
Instituto Colombiano de Normas Técnicas y Certificación

Organización privada sin ánimo de lucro

Creada en 1963

Organismo Nacional de Normalización

 ¿Quiénes somos?
Ingresos por
US$ 24,1 millones

507 empleados de planta y

438 por prestación de servicios

2.596 empresas afiliadas

Dic 31-16
 ¿Quiénes somos?

Coordinamos 251 Comités Técnicos de Normalización

Participamos en 164 Comités ISO y

11 de IEC

6.438 Normas Técnicas Colombianas

Dic 31-16
 ¿Quiénes somos?

14,291 certificados
(Sistema, Producto y Desarrollo Sostenible)

En 2015, 47% del mercado colombiano en certificados

norma ISO 9001

49.000 horas dictadas en los diferentes cursos y 17.000

participantes

Dic 31-16
Nuestra presencia en Colombia
Nuestra presencia en América
 Nuestro portafolio de productos y servicios...
Normalización Evaluación de Laboratorios
Educación
(Colombia) la Conformidad (Colombia)
Presencial y virtual
Certificación de Sistemas, Dimensional
NTC Producto y Servicios
Maestrías y Presión
Especializaciones en Temperatura
Asesor del Gobierno Inspección
convenio con
Universidades Masas y Balanzas
Desarrollo Sostenible Volumetría
Normas (fichas técnicas)
para empresas Acreditación en Salud Biomédica
Cursos abiertos y
empresariales

Cooperación
Para mas información de nuestros servicios
Comuníquese

Con nuestros
Asesores Comerciales
Nuestra presencia en Colombia
 CENTRO Y SUR ORIENTE
CIUDAD DIRECCION SEDE TELEFONO ASESOR EMAIL

Laura Melisa Gomez lgomez@icontec.org

Bogotá Principal. Carrera 37 No. 52-95 - Sede Chicó Carrera 13 # 97-75 607 88 88 ext 1322
Naida Castro ncastro@icontec.org

neiva@icontec.org
Neiva Carrera 5 No 10- 49 Centro Comercial Plaza Real Oficina -107 Neiva - Huila (8) 871 79 98 - 313 887 20 06 Gloria Eugenia Morales
gmorales@la.icontec.org

ibague@icontec.org
Ibagué Carrera 3 No. 3-47 Local 1 - Hotel Internacional Casa Morales (8) 261 34 62 - (8)263 15 28 - 313-8872004 Jeinny Giselle Rojas
jrojas@la.icontec.org

villavicencio@icontec.org
Villavicencio Carrera 48 No. 12B – 30 Piso 1 .Barrio La Esperanza. Etapa 1 (8) 6633428 - 313 887 20 03 Clara Inés Orjuela
corjuela@la.icontec.org

ORIENTE
CIUDAD DIRECCION SEDE TELEFONO ASESOR EMAIL
Bucaramanga Calle 42 No. 28 - 19 (7) 634 33 22 - (7) 645 20 98 - 310 851 89 60 Henry Paredes hperedes@icontec.org

cucuta@icontec.org
Cúcuta Avenida 0 No 13 – 31 local 3. Edificio Faraón (7) 572 09 69 - 313 887 20 36 Sandra Patricia Gutiérrez
sgutierrez@la.icontec.org

barrancabermeja@icontec.org
Barrancabermeja Calle 48 No. 18 A-22 Barrio Colombia de Barrancabermeja (7) 602 11 68 - 320 333 62 10 Claudia Patricia Agudelo
cagudelo@la.icontec.org
 SUR OCCIDENTE
CIUDAD DIRECCION SEDE TELEFONO ASESOR EMAIL
Paula Andrea Lopez mhernandez@icontec.org
Cali Avenida 4 A Norte No 45 - 30 (2) 664 0121 - (2) 664 15 54
Daniela Valencia dvalencia@icontec.org
pasto@icontec.org
Pasto Calle 18 No. 28 – 84 Piso 8 oficina 804 (2) 731 56 43 - (2) 731 05 93 Soraida Ceballos
sceballos@la.icontec.org

CARIBE
CIUDAD DIRECCION SEDE TELEFONO ASESOR EMAIL
Barranquilla Carrera 57 No 70 - 89 (5) 361 54 00 - (5) 361 54 99 Roger de Jesús Caballero rcaballero@icontec.org

Cartagena Bocagrande Carrera 4 No. 5 A - 17 Piso 2 (5) 692 51 15 - 313 887 20 29 Maryory Cano mcano@la.icontec.org
Santa Marta Calle 4B No 21A 15 3615400 ext. 5312 - 313 887 20 32 Balmore Constante bconstante@la.icontec.org
monteria@icontec.org
Montería Carrera 6 Nro. 62-50 Plaza de la castellana local 204 (4)7852097 - 310 216 2537 Liliana Villadiego
lvilladiego@la.icontec.org

ANTIOQUIA, CHOCÓ Y EJE CAFETERO

CIUDAD DIRECCION SEDE TELEFONO ASESOR EMAIL
Deisy Hernandez dhernanez@icontec.org
Medellín Calle 5 A No 39 - 90 (4) 319 80 20 - (4) 314 03 78
Juliana Villa nvilla@icontec.org
manizales@icontec.org
Manizales Calle 20 No. 22-27 Edificio Cumanday Oficina 806 (576) 884 51 72 - 880 82 89 - 313 887 20 26 Yurley Ocampo
yocampo@la.icontec.org

armenia@icontec.org
Armenia Carrera 14 No. 23 – 15 Piso 2 Camara de Comercio (6) 741 14 23 Dora Liliana Gil
dgil@la.icontec.org

pereira@icontec.org
Pereira Cra. 17 No. 5 - 57 Local 2 Edifício Montecanelo (6) 331 7154 Victor Hugo Garcia
vgarcia@la.icontec.org
Nuestra presencia en América
 SEDE DIRECCION TELEFONO RESPONSABLE CORREO

Bolivia Cra 13 No 97 75 Bogotá- Colombia (507) – 6078888 ext 1235 Camilo Rincon crincon@icontec.org

San Rafael de la Escuela de Guachipelin 50 Norte, Condominio Rocafort

Costa Rica Cel. 506-71063806 - ext. 8233 Colombia Alix Moya amoya@la.icontec.org
No. 6, Escazu
chile@icontec.org
Chile Augusto Leguia No. 100, Oficina 306 Piso Las Condes - Santiago de Chile (562) 233 34 24 ext 8135 Colombia Paula Andrea Jara Ramírez
pjara@la.icontec.org

Avenida 6 de Diciembre N 34-360 y Portugal Esquina, Edificio Zyra Piso ecuador@icontec.org

Ecuador ​(593 2) 6014679 Sebastián Ochoa
4 Oficina 406 sochoa@la.icontec.org

Boulevard Sur, Urbanización Santa Elena Edificio Eben Ezer, Antiguo (503) 22895709 / 22891929 Ext.8234 elsalvador@icontec.org
El Salvador Patricia Figueroa
Cuscatlán Colombia pfigueroa@la.icontec.org

Avenida Reforma 7-62 zona 9, Edificio Aristos Reforma, Nivel 6, Oficina Ofc. (502) 2362-9145- (502)- 2331-1919 guatemala@icontec.org
Guatemala Aury Maldonado
609 ext 8236 Colombia amaldonado@la.icontec.org

Centro Corporativo Orion Colonia Lomas del Mayab 1/2 cuadra del Mall honduras@icontec.org
Honduras (504)-22353233 ext 8235 Colombia Sandra Estella de Velásquez
Multiplaza Segundo Nivel No 201 Tegucigalpa - Honduras svelasquez@la.icontec.org

nicaragua@icontec.org
Nicaragua N/A Cel. 506-71063806 - ext. 8233 Colombia Alix Moya
amoya@la.icontec.org
Panamá
Cra 13 No 97 75 Bogotá- Colombia (507) – 6078888 ext 1235 Camilo Rincon crincon@icontec.org
México

(511)634-7900 ext 8133 Colombia peru@icontec.org

Perú Avenida Comandante Espinar 560,piso 6 – MIRAFLORES Nydia Rincón
CELULARES: 990743555 / 995235142 nrincon@la.icontec.org

República crincon@icontec.org
Cra 13 No 97 75 Bogotá- Colombia (507) – 6078888 ext 1235 Camilo Rincon
Dominicana
 Ing. Gersson Fredy Torres B. Profesional de
Normalización ICONTEC
gtorres@icontec.org
el: 6078888 ext. 1422

49
ES-009-001
 Gracias por su atención…

Presentado por:
Ing. Jorge Eduardo Alzate C.
Coordinador Grupo de Documentos Electrónicos y Preservación Digital
Secretaria Técnica Archivo General de la Nación e ICONTEC