Charla Virtual La Gestión del Riesgo en la

Gestión Documental

Presentado por:

Ing. Jorge Eduardo Alzate C.

Coordinador Grupo de Documentos Electrónicos y Preservación Digital

Secretaria Técnica Archivo General de la Nación e ICONTEC

La Gestión del Riesgo en la Gestión Documental

AGENDA 1. Antecedentes sobre normas de riesgos

2. La Normalización en la Gestión del Riesgo

3. Introducción al Concepto de Riesgos

4. Normas Técnicas Colombianas relacionadas con la Gestión del Riesgo

5. Los riesgos según la NTC ISO 31000:2009

6. Los riesgos en la Gestión Documental y la Norma ISO/TR 18128-2014.

7. Otras Metodologías para la identificación de riesgos en la gestión de los documentos.

Algunos antecedentes sobre normas de Riesgos

COSO I. 1992 (Marco Integrado de Control Interno). Committee of Sponsoring Organizations of The Treadway Commission.

Modelo Común de Control Interno. Evaluar los Sistema de Control. Reducción de los Riesgos.

COSO II - ERM – 2004 y COSO III - 2013 (Enterprise Risk Managemennt - Gestión de Riesgos de la Empresa ). Identificar y evaluar los riesgos.

AS/NZS 4360 – 2004 – Risk Management. Estándar Australiano Neozelandés

ISO – IEC Guide 73 – Vocabulario a ser utilizado en estándares de Administración de Riesgos.

ISO 27005:2008. Gestión de riesgos de seguridad de la información

ISO 22301:2012. Sistema de Gestión de la Continuidad del Negocio

18001: 2007. OHSAS. Seguridad y Salud en el Trabajo. (ISO 45001 en proceso)

MECI (Modelo Estándar de Control Interno). Basado en COSO (Comité de Organizaciones Patrocinadoras de la Comisión Treadway ).

NTC GP 1000:2004 (Norma Técnica de Calidad en la Gestión Pública)

NTC ISO 31000:2011 Gestión de Riesgos

Guía de Administración del Riesgo. DAFP

A Nivel Internacional

A Nivel Nacional

La Normalización en la Gestión del Riesgo

La Normalización es la actividad que establece, soluciones para aplicaciones repetitivas y comunes, con el objeto de lograr un grado óptimo de orden en un contexto dado. En particular consiste en la elaboración, la adopción y la publicación de las normas técnicas. (ICONTEC)

La Familia ISO 31000 para la Gestión del Riesgo

ISO 31000:2009 Principios y Directrices sobre la aplicación

Esta norma internacional proporciona los principios y las directrices genéricas sobre la gestión del riesgo. Puede utilizarse por cualquier empresa pública, privada o social, asociación, grupo o individuo. Por tanto, no es específica de una

industria o sector concreto. Esta Norma no es certificable

ISO/IEC 31010:2009. Técnicas de Evaluación de Riesgos.

Norma de soporte para NTC-ISO 31000 y suministra directrices sobre la selección y la aplicación de técnicas sistemáticas para la valoración del riesgo.

Diseñadas para facilitar la aplicación de la norma ISO 31000 en los procesos de identificación y evaluación del riesgo.

Guía ISO 73:2009. Vocabulario

“…proporciona el vocabulario básico para desarrollar una comprensión de los conceptos y términos que se utilizan en la gestión del riesgo que son comunes a diferentes organizaciones y funciones,...”

Introducción al Concepto de Riesgos

Qué es el riesgo?

Es el “efecto de la incertidumbre sobre los objetivos”

1. El efecto puede generar una desviación positiva o negativa frente a lo esperado. 2. Los objetivos pueden hacer referencia a diferentes aspectos como financieros, salud,

seguridad, medio ambientales, 3. Puede aplicar a diferentes niveles ( Estratégico, en toda la organización, en proyectos,

productos y procesos). 4. Referencia a los eventos potenciales y las consecuencias. 5. Se expresa en términos de una combinación de las consecuencias de un evento y de la

probabilidad de su ocurrencia. 6. Ese efecto es sobre los objetivos fijados. 7. La incertidumbre es el estado de deficiencia de información relacionada con la

comprensión o el conocimiento de un suceso o evento, de sus consecuencias o de su probabilidad.

(NTC-ISO 31000 – Definición 2.1 Riesgo)

Las Normas NTC relacionadas con la gestión del Riesgo

Título de la Norma ICONTEC ISO

1. NTC ISO 15489 – Gestión de Documentos – Parte 1. Generalidades. 2010 2001 (2016) 2. NTC ISO/TR 15489 – Gestión de Documentos – Parte 2. Guía. 2012 2001

3. NTC-ISO 30301 - Información y documentación. Sistemas de gestión de registros. Requisitos.

2013 2011

4. NTC ISO 23081 – Procesos para la gestión de registros. Metadatos para los registros. Parte 2: Elementos de implementación y conceptuales..

2016 2009

5. NTC-ISO/IEC 27001 - Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información -SGSI.

2013 2013

6. GTC-ISO/IEC 27002 - Tecnología de la información. Técnicas de seguridad. código de práctica para la gestión de la seguridad de la información

2015 2014

7. NTC-ISO/IEC 27005 - Tecnología de la Información. Técnicas de Seguridad. Gestión del Riesgo en la Seguridad de la Información

2009 2008

8. NTC-ISO 31000 - Gestión del riesgo. Principios y directrices. 2011 2009 9. NTC-IEC 31010. Gestión de Riesgos. Técnicas de Valoración del Riesgo 2013 2009

10. NTC-ISO/TR 18128 - Información y documentación. Evaluación del riesgo en procesos y sistemas de registros.

2016 2014

11 NTC-5921 - Información y documentación. Requisitos para el almacenamiento de material documental. (Adopción. Mod. - ISO 11799-2003)

2012 2003

No es un sistema de gestión y no está destinada a fines de certificación.

Los Riesgos en la NTC ISO 31000:2009

(NTC-ISO 31000 – Definición 2.3.)

ISO 31000:2009 Gestión del riesgo: Principios y directrices Creada por el Comité TC/262. Risk Management, de la ISO, el cual ha publicado otras normas como la IEC 31010:2009 – Técnicas de Evaluación del Riesgo y la ISO/TR 31004:2013 – Guía para la implementación de la ISO 30300.

Es la norma internacional para la Gestión de Riesgos, la cual ayuda a las empresas y organizaciones en los análisis y las evaluaciones de riesgos.

Tiene como objetivo ayudar a las organizaciones de todo tipo y tamaño a gestionar cualquier tipo de riesgo en una manera transparente, sistemática dentro de cualquier alcance o contexto.

Brinda los principios y las directrices genéricas sobre la gestión del riesgo. Recomienda que las organizaciones desarrollen, implementen y mejoren en forma continua el marco de gestión

del riesgo como un componente del sistema integral de gestión de la organización. Es un documento práctico que busca ayudar a las organizaciones en el desarrollo de su propia estrategia para

gestionar sus riesgos.

La ISO 31000 se complementa con la norma ISO 31010:2009, Risk management. Risk assessment techniques, que describe una serie de posible técnicas que pueden ser utilizadas en el contexto del proceso de gestión de riesgos propuestos. (Bustelo, 2013)

Marco de Referencia para la Gestión del Riesgo

(Fuente: NTC-ISO 31000 – 4. Marco de Referencia)

La introducción del riesgo en una entidad requiere del compromiso fuerte y sostenido de la alta dirección de la organización, definición de política y objetivos

Entender el contexto interno y externo Identificación de propietarios del riesgo quienes rinden cuentas Definir el tiempo y la estrategia, y aplicar el proceso y la política para la

gestión del riesgo en la organización. Se debe medir el desempeño y revisar periódicamente tanto el marco de

referencia como la política y el plan para la gestión del riesgo. Con los resultados obtenidos, tomar decisiones para la mejora del Marco

de Referencia, la política y el plan para la gestión del riesgo.

Conjunto de componentes que brindan las bases y las disposiciones de la organización para diseñar, implementar, monitorear, revisar y mejorar continuamente la gestión del riesgo a través de toda la organización.

Ayuda a la gestión eficaz del riesgo a través de la aplicación del proceso para la gestión del riesgo en los diversos niveles y contextos de la organización.

Tiene como finalidad facilitar a la organización la integración de la gestión del riesgo en su sistema de gestión global.

Se deben adaptar los componentes del marco a las necesidades especificas de la organización.

En resumen:

(Fuente: NTC-ISO 31000 – 5. Proceso)

Procesos para la Gestión del Riesgo

Planes de comunicación y consulta, que involucre las partes interesadas que puedan afectarse. El contexto de la organización articula sus objetivos, define los parámetros externos e internos a

considerar, y establece el alcance y los criterios para evaluar la importancia del riesgo.

La Valoración del riesgo es el proceso total de identificación, análisis y evaluación del riesgo. La identificación permite generar un listado exhaustivo de riesgos, áreas de impacto, con

sus causas, efectos y consecuencias.

El análisis es el proceso de comprender la naturaleza del riesgo para determinar el nivel de

riesgo, es la base para la evaluación de riesgos y las decisiones sobre las medidas de

reducción del riesgo y preparación para la respuesta. Incluye la estimación del riesgo

La evaluación es el proceso de comparación de los resultados de análisis de riesgos con

criterios de riesgo para determinar si el riesgo y/o su magnitud es aceptable, el cual ayuda

a la decisión sobre las medidas de reducción del riesgo a implementar. El tratamiento es el proceso para modificar el riesgo e involucra acciones de selección de las

opciones de tratamiento, y la implementación de los planes de tratamiento. El monitoreo es la verificación, supervisión, observancia critica o determinación continua del

proceso con el fin de identificar cambios respecto del nivel de desempeño exigido o esperado

El proceso para la gestión del riesgo debería: Ser parte integral de la gestión. Estar incluido en la cultura y las prácticas organizacionales

Estar adaptado a los procesos de negocio de la organización.

En resumen:

LA NORMA NTC-ISO 31010:2009

Esta norma internacional es una norma de apoyo de la Norma ISO 31000, y proporciona directrices para la selección y aplicación de técnicas sistemáticas para la valoración del riesgo.

Los anexos de la norma listan y describen una gama de herramientas y técnicas que se pueden utilizar para realizar una valoración del riesgo o para ayudar en el proceso de valoración de riesgos.

Algunas veces puede ser necesario emplear mas de un método de valoración.

NTC-IEC 31010 – 2013. Anexo A. Informativo

La norma NTC-ISO 31010:2009, en su Anexo B, lista 31 técnicas para la evaluación de Riesgos.

Proporciona una Guía para la selección y

aplicación de cada una de estas Técnicas en las etapas de Identificación, Análisis y Evaluación del riesgo según la propuesta de la norma ISO 31000.

LOS RIESGOS EN LA GESTION DOCUMENTAL

La norma NTC - ISO/TR 18128 - 2014. Evaluación del riesgo en procesos y sistemas de registros

Alcance de la Norma (TR - Informe Técnico):

a) Establece un método de análisis para identificar los riesgos relacionados con procesos y sistemas de registros,

b) Brinda un método de análisis de los efectos potenciales de los eventos adversos sobre los procesos y los sistemas de registros,

c) Brinda directrices para llevar a cabo una evaluación de riesgos relacionada con procesos y sistemas de registros, y

d) Brinda directrices para documentar los riesgos identificados y evaluados que están en preparación para mitigación.

Puede ser usado por los profesionales de registros o las personas con responsabilidad por los registros de sus organizaciones, o los auditores o gerentes que tengan responsabilidad por los programas de gestión del riesgo en sus organizaciones.

Este documento puede ser usado por cualquier organización, independientemente de su tamaño, naturaleza de sus actividades o complejidad de sus funciones y estructura.

Niveles de Aplicación: (Bustelo, 2014)

1. La gestión de los riesgos de un proyecto de implantación de un Sistema de gestión para los documentos (SGD) o de una aplicación para los documentos electrónicos

2. La identificación de riesgos de negocio que puede tratarse y mitigarse con la creación de los documentos necesarios y con su adecuada gestión.

3. La gestión de los riesgos en el nivel operativo de procesos y sistemas de gestión documental (el alcance de este informe)

La norma NTC - ISO/TR 18128 - 2014. Evaluación del riesgo en procesos y sistemas de registros

La metodología de la norma se orienta hacia los requisitos que deben cumplir los documentos para identificar los riesgos que podrían afectarles y en este sentido, la identificación de los riesgos relacionados con los procesos y sistema de gestión documental, es fundamental para detectar que pasaría si los documentos deja de ser auténticos y fiables y si estos no se mantienen íntegros, usables y accesibles por el tiempo que sea necesario, ya que esto puede afectar la capacidad de los documentos para satisfacer las necesidades de la organización. (Casadesús, 2015)

La norma se centra específicamente en el proceso de valoración del riesgo y sus tres subprocesos: (Según la ISO 31000)

La norma no se ocupa del tratamiento de riesgos. los riesgos evaluados se documentan y comunican a la sección de gestión de riesgos de la

organización. La respuesta a los riesgos evaluados se emprende como parte del programa general de

gestión de riesgos de la organización. Proceso de Gestión del Riesgo

(NTC-ISO 31000 – 5. Proceso)

1. la identificación de riesgos

2. el análisis del riesgos

3. y la evaluación de riesgos

La norma NTC - ISO/TR 18128 - 2014.

1. LA IDENTIFICACIÓN DE RIESGOS

Proporciona una lista detallada de las áreas de incertidumbre relacionadas con los procesos y sistemas de gestión documental que sirve como una guía para la identificación del riesgo.

El proceso de identificación del riesgo incluye la detección de las causas y el origen del riesgo, las acciones, situaciones o circunstancias que podrían tener un impacto material sobre los objetivos de la organización, así como la naturaleza de ese impacto.

El Anexo B, es un ejemplo de lista de verificación basada en la estructura del Capítulo 5, que se puede usar en una organización para la identificación sistemática de los riesgos relacionados con los procesos y sistemas de gestión documental.

Se estructura en las siguientes categorías, involucrados en la creación y control de registros de la

organización:

CONTEXTO: Factores Externos e Internos.

SISTEMAS: Sistemas de Gestión de Registros (SGD). Relación con la ISO 27001 en seguridad.

PROCESOS: Documentales. Creación de los registros - ISO 15489 e ISO 23081

La norma NTC - ISO/TR 18128 - 2014.

CONTEXTO: FACTORES EXTERNOS

Contexto: Factores Externos: Se refiere al entorno político, social, macroeconómico y tecnológico, así como al entorno

físico (fenómenos naturales, terrorismo, etc.), espionaje, virus, vulnerabilidades, etc.(27000) Son factores fuera del control de la organización con impacto en sus actividades y que se

deberían tener en cuenta a la hora de determinar los requisitos documentales. Incluye a las partes interesadas externas que tengan un interés especial en las actividades de

la organización

Contexto: Factores Internos Consiste en aquellos factores internos no controlados por la persona responsable de los

procesos y sistemas de gestión documental. Incluye factores como la estructura o las finanzas de la organización, el despliegue de

tecnología, la dotación de recursos (personas y presupuestos) y la cultura de la organización, Influyen en las políticas y el modo en que se gestionan los documentos.

Múltiples capas de contexto de los documentos y los procesos de gestión documental de una organización. (NTC-ISO 18128 – 5.1

Generalidades)

La norma NTC - ISO/TR 18128 - 2014.

Riesgo relacionado con los sistemas que crean o controlan documentos (SGD), se debería tener en cuenta tanto el diseño de los sistemas de gestión documental, como los problemas de mantenimiento, sostenibilidad, continuidad, interoperabilidad y seguridad.

Los sistemas de gestión documental que usa la organización cambian a lo largo del tiempo. en consonancia con las circunstancias económicas, cambios en las actividades y el personal y cambios de tamaño y estructura.

Se deberá tener en cuenta la aplicación de la Norma ISO/IEC 27001 sobre los sistemas de información de la organización en la identificación de los riesgos desde la óptica de la seguridad de la información.

En el Anexo C de la norma se relaciona áreas de incertidumbre de SGD con los controles de la norma ISO/IEC 27001. Apreciación del riesgo en los SGD haciendo uso de la Norma ISO/IEC 27005

Áreas de Incertidumbre:

Diseño del sistema Mantenimiento sostenibilidad y continuidad Interoperabilidad Seguridad

SISTEMAS DE GESTIÓN DOCUMENTAL (NTC-ISO 18128 – 5.4)

La norma NTC - ISO/TR 18128 - 2014.

PROCESOS DOCUMENTALES

La identificación de riesgos se centra en la creación de los documentos (o algunos de sus elementos), en los procesos de control para gestionarlos y en los sistemas de gestión documental.

Aplicación de las Normas ISO 15489, Partes 1 y 2, e ISO 23081, Partes 1, 2 y 3.

Áreas de Incertidumbre:

Diseño de los documentos Creación de documentos e implementación de sistemas de gestión documental Metadatos uso de los documentos y de los sistemas de gestión de documental Mantenimiento de la usabilidad disposición de documentos

La norma NTC - ISO/TR 18128 - 2014.

2. EL ANÁLISIS DE LOS RIESGOS IDENTIFICADOS

Proporciona directrices para determinar las consecuencias potenciales de los riesgos identificados y las probabilidades de

que el riesgo se haga realidad, teniendo en cuenta la presencia (o no) y la efectividad de cualquier control existente. Cada riesgo tiene que ser evaluado con respecto a la combinación de la probabilidad de que algo ocurra y las consecuencias

que alcanzarían si realmente ocurriera. Análisis de posibilidad y estimación de probabilidad

Puntaje de probabilidad

Interpretación

1 Probabilidad inusual; ocurre una vez cada 10 años o menos

2 Probabilidad baja; ocurre una vez cada 3 años o menos

3 Probabilidad media, ocurre una vez al año

4 Probabilidad alta; ocurre más de una vez al mes

Tabla 1. Ejemplo de escalado de probabilidad

Fuente: NTC ISO 18128-2014

La norma NTC - ISO/TR 18128 - 2014.

3. EVALUACIÓN DE LOS RIESGOS

Proporciona directrices para determinar el nivel y el tipo de riesgos identificados. El propósito es ayudar a tomar decisiones con base en los resultados del análisis de riesgos, acerca de qué riesgos necesitan

tratamiento y la prioridad para la implementación de tratamientos. Las consecuencias de los eventos de riesgo se identifican como la pérdida o daño de los registros, que por lo tanto ya no se

pueden usar, y ya no son confiables, auténticos o inalterados, y pueden dejar de apoyar los propósitos de la organización.

Menor Moderado Mayor Severo Violación anómala de la restricción del acceso

Acceso no autorizado a registros

Se debe reportar el acceso no autorizado a registros

Pérdida, acceso no autorizado y daños generalizados

Daño en una pequeña cantidad de registros en un área de operaciones

Daño en una cantidad significativa de registros en un área de operaciones

Daño en registros esenciales en las operaciones, que afecta varias áreas

Daño en registros esenciales en una mayoría de áreas de operaciones

Pérdida limitada de datos

Pérdida de datos/daño a la confiabilidad

Pérdida de datos/daño a la confiabilidad; daño a la reputación

Pérdida de datos/pérdida de confiabilidad/pérdida de confianza pública

Pérdida recuperable Operaciones no interrumpidas; registros recuperables con esfuerzo

Pérdida admitida; interrupción en más de un área de operaciones; labor de recuperación costosa

Cierre de las operaciones; labor de recuperación costosa y dispendiosa; registros no recuperables

Tabla 1. Evaluación del

Impacto de los eventos

adversos -

Fuente: NTC ISO 18128-2014

La norma NTC - ISO/TR 18128 - 2014.

EVALUACIÓN DEL RIESGO La proyección del impacto de los eventos adversos se puede usar conjuntamente con una tabla de probabilidad para ayudar

a identificar los efectos adversos que deberían ser el foco de las medidas de gestión del riesgo, que incluyen desde los procedimientos de monitoreo hasta la planificación de la preparación ante desastres.

La evaluación del riesgo se debería hacer sobre los procesos y sistemas de gestión documental en orden de prioridad

EVENTO Probabilidad IMPACTO Contexto Sistema Proceso Frecuencia Menor Moderado Mayor Severo

Cambios a la ley de protección de privacidad

Medio

Una vez al año

Afecta las restricciones al sistema de personal; flujo a otras operaciones

Registros identificados erróneamente para destrucción

Medio

Una vez al año

Recuperable con los procedimientos existentes

Interrupción de los servicios de energía durante ocho horas

Bajo

Una vez cada tres años

Afecta todos los sistemas de registros; se pierden las transacciones de un día

El fuego destruye la edificación que alberga los sistemas de registros

Inusual

Una vez cada diez años

Pérdida de registros importantes; interrupción en las operaciones; pérdida de la confianza pública

Tabla 3. Ejemplo de Evaluación de Riesgos - Fuente: NTC ISO 18128-2014

Metodologías para la Identificación de Riesgos en la Gestión de los Documentos

Enfoques metodológicos: Hechos y requisitos

Lemieux, Victoria L. Two Approaches to Managing Information Risk, 2004.

(Casadesús, 2015)

El enfoque basado en requisitos: Consiste en la identificación de riesgos a partir del análisis de los requisitos aplicables, cuyo incumplimiento puede afectar los documentos. Estos requisitos se extraen del marco legal y normativo en el que la organización desarrolla sus actividades, en donde el riesgo aparece cuando la organización falla en el cumplimiento de estos requisito

El enfoque tradicional basado en hechos: Consiste en la identificación y gestión de riesgos asociados a la información y los documentos a partir de un hecho, acontecimiento o amenaza desencadenante. Un ejemplo de ello serían los desastres naturales, fallos en el sistema debido a errores humanos, desclasificación no autorizada de documentos, eliminaciones no autorizadas,…

Observaciones Rápida identificación de estrategias de prevención o

mitigación de los riesgos ya que se basa en el reconocimiento directo de un hecho o amenaza desencadenante.

Es más fácil la implementación de una estrategia para dar respuesta a una amenaza conocida.

No es útil para lograr un enfoque estratégico.

Observaciones Es mejor a la hora de detectar fallos del sistema o de

procedimiento. Realiza análisis de los procesos de negocio y detección fallos

en los flujos de información. Vincula la gestión de riesgos a los procesos estratégicos. Normas técnicas y legales.

ARMA (Association of Records Managers and Administrators)

La organización ARMA propone un cuadrante (ver Figura 4) en el que incluye cuatro categorías de riesgos de la información y los documentos. Pretende ser un marco de referencia para el establecimiento de sistemas para la evaluación de las amenazas que pueden afectar a la gestión del

riesgo, tanto en organizaciones públicas como privadas. Incluye una herramienta de evaluación del riesgo, que consiste en un cuestionario estructurado a partir de las cuatro categorías del cuadrante, el

cual a su vez se divide en once áreas de incertidumbre. Al completar el cuestionario se calcula un valor numérico para cada cuadrante. Cuanto menor sea el valor resultante, menor será el riesgo potencial para la organización.

Cuadrante de riesgos (ARMA, 2009) - http://www.arma.org/

Amenazas relacionadas con el SGD de

la organización. Se incluyen dentro

de esta categoría las áreas de

Gobernanza de la Información, Gestión

del Cambio y Gestión de Emergencias.

Incluyen los riesgos asociados con los procesos de

gestión documental: clasificación, disposición y

retención, y almacenamiento de los documentos.

Es la categoría más operacional de las que propone

ARMA en su cuadrante de riesgos

Cumplimiento legal y normativo o reglamentario

en relación a la gestión de información y de

documentos. Se incluye el cumplimiento legal y

normativo, y la pronta respuesta y disponibilidad

frente a posibles litigios

Dentro de cualquier SGD existen riesgos

asociados con la tecnología, como la seguridad

de la información, las comunicaciones

electrónicas y el control del software

Metodologías para la Identificación de Riesgos en la Gestión de los Documentos

Bibliografía

• Cuartas A. Jose David. Diseño, implementación, seguimiento y mejoramiento del sistema de gestión de riesgos. Universidad Sergio Arboleda. Seccional Santa Marta. Colombia, Noviembre de 2012.

• Escorial, Ángel. Taller de Gestión de Riesgos. Foro Internacional de la calidad 2014. Riskia, Madrid. 2014. • Bustelo, R. C. Nuevo informe técnico: ISO 18128. Apreciación del riesgo para procesos y sistemas de gestión documental. Recuperado el 1 de

Julio de 2017, de http://www.carlotabustelo.com/index.php?option=com_content&view=article&id=225%3A2014-05-30-18-03-31&catid=53%3Anoticias- iso&Itemid=56&lang=es

• Casadesús, A. (2015). Gestión de riesgos aplicada a la gestión de documentos: una metodología para garantizar una rendición de cuentas confiable. I Xornadas Fundación Olga Gallego, (págs. 119–135.).

• Lemieux, V. (2004). Two Approaches to Managing Information Risk. The Information Management Journal, 56-62. • Lemieux, V. (Julio de 2010). The records-risk nexus: Exploring the relationship between records and risk. Records Management Journal,

20(Iss 2), 199-216 • ARMA International. (2009). Evaluating and Mitigating Records and Information Risks. An ARMA International Guideline. USA: ARMA

International. • Bustelo, R. C. (s.f.). Identificación de riesgos en la producción, gestión y mantenimiento de documentos electrónicos. (F. F. Catalunya, Ed.)

Recuperado el 1 de Julio de 2017, de https://www.exabyteinformatica.com/uoc/Informatica/Analisis_del_contexto_organizativo/Analisis_del_contexto_organizativo_(Modulo_7).pdf

¿Quiénes somos?

Instituto Colombiano de Normas Técnicas y Certificación

¿Quiénes somos?

Organización privada sin ánimo de lucro

Creada en 1963

Organismo Nacional de Normalización

Ingresos por

US$ 24,1 millones

507 empleados de planta y

438 por prestación de servicios

2.596 empresas afiliadas

Dic 31-16

¿Quiénes somos?

Coordinamos 251 Comités Técnicos de Normalización

Participamos en 164 Comités ISO y

11 de IEC

6.438 Normas Técnicas Colombianas

Dic 31-16

¿Quiénes somos?

14,291 certificados

(Sistema, Producto y Desarrollo Sostenible)

¿Quiénes somos?

En 2015, 47% del mercado colombiano en certificados norma ISO 9001

49.000 horas dictadas en los diferentes cursos y 17.000 participantes

Dic 31-16

Nuestra presencia en Colombia

Nuestra presencia en América

Normalización

(Colombia)

NTC

Asesor del Gobierno

Normas (fichas técnicas) para empresas

Evaluación de

la Conformidad

Certificación de Sistemas, Producto y Servicios

Inspección

Desarrollo Sostenible

Acreditación en Salud

Educación

Presencial y virtual

Maestrías y Especializaciones en

convenio con Universidades

Cursos abiertos y empresariales

Laboratorios

(Colombia)

Dimensional

Presión

Temperatura

Masas y Balanzas

Volumetría

Biomédica

Nuestro portafolio de productos y servicios...

Cooperación

Para mas información de nuestros servicios

Comuníquese

Con nuestros

Asesores Comerciales

Nuestra presencia en Colombia

CENTRO Y SUR ORIENTE

CIUDAD DIRECCION SEDE TELEFONO ASESOR EMAIL

Bogotá Principal. Carrera 37 No. 52-95 - Sede Chicó Carrera 13 # 97-75 607 88 88 ext 1322 Laura Melisa Gomez Naida Castro

lgomez@icontec.org ncastro@icontec.org

Neiva Carrera 5 No 10- 49 Centro Comercial Plaza Real Oficina -107 Neiva - Huila (8) 871 79 98 - 313 887 20 06 Gloria Eugenia Morales neiva@icontec.org

gmorales@la.icontec.org

Ibagué Carrera 3 No. 3-47 Local 1 - Hotel Internacional Casa Morales (8) 261 34 62 - (8)263 15 28 - 313-8872004 Jeinny Giselle Rojas ibague@icontec.org

jrojas@la.icontec.org

Villavicencio Carrera 48 No. 12B – 30 Piso 1 .Barrio La Esperanza. Etapa 1 (8) 6633428 - 313 887 20 03 Clara Inés Orjuela villavicencio@icontec.org corjuela@la.icontec.org

ORIENTE

CIUDAD DIRECCION SEDE TELEFONO ASESOR EMAIL

Bucaramanga Calle 42 No. 28 - 19 (7) 634 33 22 - (7) 645 20 98 - 310 851 89 60 Henry Paredes hperedes@icontec.org

Cúcuta Avenida 0 No 13 – 31 local 3. Edificio Faraón (7) 572 09 69 - 313 887 20 36 Sandra Patricia Gutiérrez cucuta@icontec.org

sgutierrez@la.icontec.org

Barrancabermeja Calle 48 No. 18 A-22 Barrio Colombia de Barrancabermeja (7) 602 11 68 - 320 333 62 10 Claudia Patricia Agudelo barrancabermeja@icontec.org

cagudelo@la.icontec.org

SUR OCCIDENTE

CIUDAD DIRECCION SEDE TELEFONO ASESOR EMAIL

Cali Avenida 4 A Norte No 45 - 30 (2) 664 0121 - (2) 664 15 54 Paula Andrea Lopez mhernandez@icontec.org

Daniela Valencia dvalencia@icontec.org

Pasto Calle 18 No. 28 – 84 Piso 8 oficina 804 (2) 731 56 43 - (2) 731 05 93 Soraida Ceballos pasto@icontec.org

sceballos@la.icontec.org

CARIBE CIUDAD DIRECCION SEDE TELEFONO ASESOR EMAIL

Barranquilla Carrera 57 No 70 - 89 (5) 361 54 00 - (5) 361 54 99 Roger de Jesús Caballero rcaballero@icontec.org

Cartagena Bocagrande Carrera 4 No. 5 A - 17 Piso 2 (5) 692 51 15 - 313 887 20 29 Maryory Cano mcano@la.icontec.org

Santa Marta Calle 4B No 21A 15 3615400 ext. 5312 - 313 887 20 32 Balmore Constante bconstante@la.icontec.org

Montería Carrera 6 Nro. 62-50 Plaza de la castellana local 204 (4)7852097 - 310 216 2537 Liliana Villadiego monteria@icontec.org

lvilladiego@la.icontec.org

ANTIOQUIA, CHOCÓ Y EJE CAFETERO CIUDAD DIRECCION SEDE TELEFONO ASESOR EMAIL

Medellín Calle 5 A No 39 - 90 (4) 319 80 20 - (4) 314 03 78 Deisy Hernandez dhernanez@icontec.org

Juliana Villa nvilla@icontec.org

Manizales Calle 20 No. 22-27 Edificio Cumanday Oficina 806 (576) 884 51 72 - 880 82 89 - 313 887 20 26 Yurley Ocampo manizales@icontec.org

yocampo@la.icontec.org

Armenia Carrera 14 No. 23 – 15 Piso 2 Camara de Comercio (6) 741 14 23 Dora Liliana Gil armenia@icontec.org

dgil@la.icontec.org

Pereira Cra. 17 No. 5 - 57 Local 2 Edifício Montecanelo (6) 331 7154 Victor Hugo Garcia pereira@icontec.org

vgarcia@la.icontec.org

Nuestra presencia en América

SEDE DIRECCION TELEFONO RESPONSABLE CORREO

Bolivia Cra 13 No 97 75 Bogotá- Colombia (507) – 6078888 ext 1235 Camilo Rincon crincon@icontec.org

Costa Rica San Rafael de la Escuela de Guachipelin 50 Norte, Condominio Rocafort No. 6, Escazu

Cel. 506-71063806 - ext. 8233 Colombia Alix Moya amoya@la.icontec.org

Chile Augusto Leguia No. 100, Oficina 306 Piso Las Condes - Santiago de Chile (562) 233 34 24 ext 8135 Colombia Paula Andrea Jara Ramírez chile@icontec.org pjara@la.icontec.org

Ecuador Avenida 6 de Diciembre N 34-360 y Portugal Esquina, Edificio Zyra Piso 4 Oficina 406

(593 2) 6014679 Sebastián Ochoa ecuador@icontec.org sochoa@la.icontec.org

El Salvador Boulevard Sur, Urbanización Santa Elena Edificio Eben Ezer, Antiguo Cuscatlán

(503) 22895709 / 22891929 Ext.8234 Colombia

Patricia Figueroa elsalvador@icontec.org pfigueroa@la.icontec.org

Guatemala Avenida Reforma 7-62 zona 9, Edificio Aristos Reforma, Nivel 6, Oficina 609

Ofc. (502) 2362-9145- (502)- 2331-1919 ext 8236 Colombia

Aury Maldonado guatemala@icontec.org amaldonado@la.icontec.org

Honduras Centro Corporativo Orion Colonia Lomas del Mayab 1/2 cuadra del Mall Multiplaza Segundo Nivel No 201 Tegucigalpa - Honduras

(504)-22353233 ext 8235 Colombia Sandra Estella de Velásquez honduras@icontec.org svelasquez@la.icontec.org

Nicaragua N/A Cel. 506-71063806 - ext. 8233 Colombia Alix Moya nicaragua@icontec.org amoya@la.icontec.org

Panamá México

Cra 13 No 97 75 Bogotá- Colombia (507) – 6078888 ext 1235 Camilo Rincon crincon@icontec.org

Perú Avenida Comandante Espinar 560,piso 6 – MIRAFLORES (511)634-7900 ext 8133 Colombia CELULARES: 990743555 / 995235142

Nydia Rincón peru@icontec.org nrincon@la.icontec.org

República Dominicana

Cra 13 No 97 75 Bogotá- Colombia (507) – 6078888 ext 1235 Camilo Rincon crincon@icontec.org

Ing. Gersson Fredy Torres B. Profesional de Normalización ICONTEC

gtorres@icontec.org el: 6078888 ext. 1422

49 ES-009-001

Gracias por su atención…

Presentado por:

Ing. Jorge Eduardo Alzate C.

Coordinador Grupo de Documentos Electrónicos y Preservación Digital

Secretaria Técnica Archivo General de la Nación e ICONTEC