Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Construir perfiles de riesgo

Anuncio 
Análisis de Riesgos
Primeros pasos en UTE
Adriana Toscano
Fernando Yurisich
Diciembre 2005
Agenda
z
z
z
z
z
Historia.
Objetivos.
Análisis macro de riesgos.
Análisis micro de riesgos.
Beneficios.
Historia
z
z
Hasta el año 2001 elaboramos el Plan Anual a
partir de la experiencia acumulada y solo
consideramos los riesgos en el momento de
escribir el informe.
En el 2001 construimos la matriz de riesgos
de la Empresa, determinando la exposición
(impacto X frecuencia, escalas AMB) a los
principales riesgos involucrados en cada
actividad de la cadena de valor.
Historia
z
z
z
En el año 2002, un tercio de los trabajos
incluidos en el Plan Anual tiene por objetivo
evaluar la cobertura dada a los riesgos
calificados como de exposición alta.
En los años 2003 y 2004, se mantiene la
proporción pero se analizan los riesgos
calificados como de exposición media.
En el año 2004, y ante la necesidad de
actualizar la matriz de riesgos, decidimos
adoptar una nueva metodología de trabajo.
Objetivos
z
z
z
z
z
Determinar los perfiles e índices de riesgo de
los procesos de la Empresa.
Elaborar el Plan de Auditoría a Largo Plazo.
Identificar los trabajos de auditoría a realizar
para evaluar la necesidad y suficiencia de las
principales medidas de administración de
riesgo vigentes.
Elaborar la matriz de riesgos de UTE.
Impulsar, dentro de la Empresa, el uso del
análisis de riesgos como herramienta de
gestión.
Tareas principales
z
z
Realizar un análisis macro de riesgos que
permita ordenar los procesos de la Empresa
según su nivel de riesgo.
Para cada proceso, realizar un análisis micro
de riesgos que permita identificar los
principales
riesgos
y
medidas
de
administración vigentes.
Análisis Macro de Riesgos
z
z
z
Basado en un modelo de factores de riesgo
ponderados.
Realizado en talleres de trabajo con la
participación de todos los auditores.
Permite ordenar los procesos de la Empresa
de acuerdo a su nivel de riesgo.
Factores de riesgo utilizados
Nombre
Descripción
Pond
Materialidad Nivel de activos, nivel de costos 20%
e impacto sobre los resultados.
Liquidez de Exposición a la pérdida, valor de 10%
activos
mercado y convertibilidad en
dinero.
Ambiente de Debilidades de control interno, 20%
control
carencia
de
documentación,
fallas en la supervisión o el
monitoreo, tiempo transcurrido
desde la última auditoría y grado
de
implantación
de
las
recomendaciones realizadas.
Factores de riesgo utilizados
Nombre
Descripción
Pond
Complejidad Características, conocimientos 20%
de las
requeridos para realizarlas y
transacciones cambios recientes en la forma
de procesarlas o en la cantidad
procesada.
Calidad del
Competencia
(habilidad
+ 10%
personal
conocimiento + experiencia),
integridad, compromiso con el
control y la administración de
riesgos y presiones para lograr
objetivos.
Factores de riesgo utilizados
Nombre
Descripción
Pond
Ambiente de
Grado de uso (dependencia), 20%
procesamiento complejidad de los sistemas,
de datos
cambios recientes, calidad del
plan de contingencias, calidad
de los controles de seguridad,
grado de confianza en la
efectividad,
eficiencia,
confidencialidad,
integridad,
disponibilidad,
cumplimiento
y/o
confiabilidad
de
la
información.
Factores de riesgo utilizados
Nombre
Descripción
Pond
Ambiente del
negocio
Impacto negativo en la imagen, 10%
contingencias
políticas
y
legales, exposición regulatoria,
expectativas de los clientes y
confianza en proveedores de
bienes y servicios.
Cada factor se califica (C) de 1 a 5 y el nivel
de riesgo (N) se calcula como:
N = Σ Cf x Pond.f
Análisis micro de riesgos
z
z
z
Basado en el estudio de escenarios de riesgo
construidos a partir de las amenazas que
afectan a los recursos utilizados por los
procesos.
Realizado en talleres de trabajo con la
participación del personal involucrado.
Permite ordenar los escenarios por sus
niveles de riesgo inherente y residual, así
como identificar las medidas de administración
vigentes (cuantificando su eficacia y
eficiencia).
Actividades a realizar
z
z
z
z
z
z
z
Identificar amenazas.
Identificar recursos amenazados.
Construir escenarios de riesgo.
Calificar escenarios.
Construir perfiles de riesgo.
Construir matrices de riesgos del proceso.
Calcular índices y armar gráficas.
Identificar amenazas
z
A partir de un listado estándar de amenazas,
determinar cuales son los eventos que
pueden afectar al proceso.
Seleccionar las amenazas relevantes:
Tamaño relativo
z
Alto
Med
Bajo
3
6
9
2
4
6
1
2
3
Bajo Med Alto
Potencial de daño
Identificar recursos
z
Construir un catálogo de los recursos (total o
parcialmente) utilizados por el proceso:
–
–
–
–
–
–
–
Personas.
Edificios.
Estructura.
Equipamiento.
Valores y documentos.
Información.
Procesos.
Construir escenarios
Amenaza
Recurso
A
Inundación
B
Rayo
C
Plaga
D
Incendio
1 SSEE
A-1
B-1
C-1
D-1
2 Líneas
3 Eq. Inform.
4 RRHH
D-2
B-2
A-3
B-3
C-3
D-3
B-4
C-4
D-4
Recurso n
Ej. Proceso Operación de Trasmisión
D-n
Construir escenarios
Amenaza
Recurso
E
Falla
F
Accidente
G
Hurto
1 SSEE
E-1
F-1
G-1
H-1
2 Líneas
E-2
F-2
G-2
H -2
3 Eq. Inform.
E-3
F-3
G-3
H -3
4 RRHH
Recurso n
F-4
E-n
Ej. Proceso Operación de Trasmisión
H
Restricción
H-4
H-n
Calificar escenarios
z
z
z
z
Designar el grupo de evaluación y establecer
métodos a utilizar (consenso, Delphi, etc.).
Determinar la frecuencia con que pueden
ocurrir.
Determinar el impacto que puede sufrir la
Empresa.
Calcular el índice de riesgo (f x i) y la
vulnerabilidad relativa (nivel / 400) de cada
escenario para cada factor de vulnerabilidad.
Valoración de frecuencia
Valor
Nivel
Probabilidad / Casos al año
1
Improbable
Difícil / Menos de 0.005
2
Remoto
Muy baja / Entre 0.005 y 0.01
3
Esporádico
Baja / Entre 0.01 y 0.02
4
Ocasional
Limitada / Entre 0.02 y 0.05
5
Moderado
Mediana / Entre 0.05 y 0.2
6
Frecuente
Significativa / Entre 0.2 y 1
7
Habitual
Alta / Entre 1 y 12
8
Constante
Muy alta / Más de 12
Valoración del impacto
Valor
Nivel
Criterio general
1
Insignificante
No afecta / Mínima
2
Marginal
No significativa / Pequeña
5
Grave
Parcial temporal / Moderada
10
Crítico
Total temporal / Significativa
20
Desastroso
Parcial permanente / Considerable
50
Catastrófico
Total permanente / Gran magnitud
Impactos a valorar
z
z
z
z
Impacto: grado en que un sistema se ve
afectado por las consecuencias del siniestro.
Impacto inherente: impacto en caso de no
existir estrategias de intervención.
Impacto residual: impacto cuando se han
implementado estrategias de intervención.
Permiten medir la eficacia y la eficiencia de las
estrategias de intervención:
Eficacia = Inherente - Residual
Eficiencia = Eficacia / Costo
Factores de vulnerabilidad
z
Para facilitar la valoración, se analizarán por
separado los siguientes componentes:
–
–
–
–
–
–
–
Personas.
Ambiente.
Finanzas.
Operación.
Imagen.
Mercado.
Información.
Factor “Personas”
Valor
Nivel
Consecuencias
1
Insignificante
Víctimas sin lesiones
2
Marginal
Lesiones leves sin incapacidad
5
Grave
Lesiones leves incapacitantes
10
Crítico
Una víctima grave hospitalizada
20
Desastroso
Varios graves o una muerte
50
Catastrófico
Varias muertes
Refleja la ética y la política de la
Empresa, no mide el riesgo real.
Factor “Ambiente”
Valor
Nivel
Consecuencias
1
Insignificante
Sin daño ambiental
2
Marginal
Daño leve recuperable
5
Grave
Leve no recuperable
10
Crítico
Grave recuperable a mediano plazo
20
Desastroso
Grave recuperable a largo plazo
50
Catastrófico
Grave no recuperable
Factor “Finanzas”
Valor
Nivel
Consecuencias (en U$S)
1
Insignificante
Menor a 200 mil (1 a 3 por %00)
2
Marginal
Entre 200 y 1 millón
5
Grave
Entre 1 y 10 millones
10
Crítico
Entre 10 y 100 millones
20
Desastroso
Entre 100 y 300 millones
50
Catastrófico
Más de 300 millones (15 a 25%)
Refleja la afectación del patrimonio
neto y la disposición a perder dinero.
Factor “Operación”
Valor
Nivel
Consecuencias
1
Insignificante
Menor a 9 segundos
2
Marginal
Entre 9 segundos y 3 minutos
5
Grave
Entre 3 m y 1 hora
10
Crítico
Entre 1 y 3 horas
20
Desastroso
Entre 3 y 6 horas
50
Catastrófico
Más de 6 horas
Se mide el tiempo de interrupción de la potencia
media total del sistema (1000 MW).
Factor “Operación”
Nivel
1000 MW
50 MW
15 MW
Insignificante
<= 9 seg.
<= 3 min.
<= 10 min.
Marginal
<= 3 min.
<= 1:00 hs.
<= 3:20 hs
Grave
<= 1 h.
<= 20 hs.
<= 66:40 hs
Crítico
<= 3 hs.
<= 60 hs.
<= 200 hs.
Desastroso
<= 6 hs.
<=120 hs.
<= 400 hs.
Catastrófico
> 6 hs.
> 120 hs.
> 400 hs.
Ejemplos de aplicación en diferentes
escenarios.
Factor “Imagen”
Valor
Nivel
Consecuencias
1
Insignificante
Conocido sólo en la instalación
2
Marginal
Conocido sólo en la empresa
5
Grave
Conocido a nivel local
10
Crítico
Conocido a nivel nacional
20
Desastroso
Conocido a nivel regional
50
Catastrófico
Conocido a nivel internacional
Factor “Mercado”
Valor
Nivel
Consecuencias
1
Insignificante
Pérdida menor a 0.1%
2
Marginal
Entre 0.1 y 0.5%
5
Grave
Entre 0.5 y 2.0%
10
Crítico
Entre 2 y 5%
20
Desastroso
Entre 5 y 10%
50
Catastrófico
Mayor al 10%
Se mide la cantidad de clientes perdidos.
Factor “Información”
Valor
Nivel
Consecuencias
1
Insignificante
Hasta 10% de información no crítica
2
Marginal
Entre 10 y 30% de información no crítica
5
Grave
Más del 30% de información no crítica
10
Crítico
Hasta 10% de información crítica
20
Desastroso
Entre 10 y 30% de información crítica
50
Catastrófico
Más del 30% de información crítica
Construir perfiles de riesgo
z
z
Para cada factor de vulnerabilidad evaluado
se creará un perfil de riesgo inherente y otro
residual ubicando los resultados de la
evaluación sobre la “Matriz de Aceptabilidad”.
Criterios de aceptabilidad:
Un escenario es: Si su vulnerabilidad relativa es:
Aceptable
<= al 2%
Tolerable
> al 2% y <= 4%
Inaceptable
> al 4% y <= 15%
Inadmisible
> al 15%
Matriz de aceptabilidad
8
7
Constante
2%
4%
10 %
20 %
40%
100%
Habitual
1.75%
3.5 %
8.75%
17.5%
35%
87.5%
6
5
4
3
Frecuente
1.5 %
3%
7.5 %
15 %
30%
75%
Moderado
1.25%
2.5 %
6.25%
12.5%
25%
62.5%
Ocasional
1%
2%
5%
10 %
20%
50%
Esporádico
.75%
1.5 %
3.75%
7.5%
15%
37.5%
Remoto
.5 %
1%
2.5 %
5%
10%
25%
Improbable
.25 %
.5 %
1.25%
2.5%
5%
12.5%
Insignif.
Marginal
Grave
Crítico
Desastr.
Catastr.
1
2
5
10
20
50
2
1
Frecuencia
Impacto
Nivel de riesgo:
Aceptable
Tolerable
Inaceptable
Inadmisible
Ejemplo de calificación
z
z
z
z
z
z
z
Factor de Amenaza: Inundación
Recurso: SSEE “xxx”
Impacto inherente en factor Operación: Grave 5
Frecuencia: Esporádico 3
Impacto x Frecuencia: 15
Índice de riesgo: 15/400= 0.0375
Perfil de riesgo: Tolerable
Escenario A-1
Ejemplo de calificación
z
z
z
z
z
z
z
Factor de amenaza: Rayo
Recurso: Línea Aérea “m” sin cable de guardia
operativo (protección contra rayos)
Impacto inherente en f. Operación: Crítico 10
Frecuencia : Moderada 5
Impacto x Frecuencia: 50
Índice de riesgo: 50/400= 0.125
Perfil de riesgo: Inaceptable
Escenario B-2.1
Ejemplo de calificación
z
z
z
z
z
z
z
Factor de amenaza: Rayo
Recurso: Línea Aérea “m” con cable de guardia
operativo
Impacto residual en f. Operación: Insignific. 1
Frecuencia : Moderada 5
Impacto x Frecuencia: 5
Índice de riesgo: 5/400= 0.0125
Perfil de riesgo: Aceptable
Escenario B-2.1
con medida de intervención
Ejemplo de calificación
z
z
z
z
z
z
z
Factor de Amenaza: Falla, ocasionada por
cometas en las líneas.
Recurso: Línea Aérea “o”
Impacto inherente en factor Operación: Grave 5
Frecuencia: Habitual 7
Impacto x Frecuencia: 35
Índice de riesgo: 35/400= 0.875
Perfil de riesgo: Inaceptable
Escenario E-2
Ejemplo de calificación
z
z
z
z
z
z
z
Factor de Amenaza: Falla, ocasionada por
cometas en las líneas.
Recurso: Línea Aérea “o”, recorridas periódicas y
educación por medio de la factura.
Impacto residual en factor Operación: Grave 5
Frecuencia: Ocasional 4
Impacto x Frecuencia: 20
Índice de riesgo: 20/400= 0.5
Perfil de riesgo: Inaceptable
Escenario E-2
con medidas de intervención
Perfil de riesgo operacional (ejemplos)
8
7
Constante
6
5
4
3
Frecuente
2
1
E-2
Habitual
B-2.1
Moderado
Ocasional
A-1
Esporádico
Remoto
Improbable
Frecuencia
Impacto
Insignif.
Marginal
Grave
Crítico
Desastr.
Catastr.
1
2
5
10
20
50
Nivel de riesgo:
Aceptable
Tolerable
Inaceptable
Inadmisible
Matrices de riesgos del proceso
z
z
z
Son las matrices resultantes de “acumular” los
perfiles de riesgo inherente y residual por
factor de vulnerabilidad.
El índice de riesgo de un escenario se calcula
como (f x Σ if) y la vulnerabilidad relativa como
(nivel / 2800).
Las matrices se obtienen al ubicar estos
valores sobre la matriz de aceptabilidad.
Calcular índices y armar gráficas
z
z
z
Criticidad: permite determinar los riesgos que
necesitan intervención en forma prioritaria.
Potencial de daño: permite conocer el
volumen de riesgo que afecta al sistema.
Distribución de escenarios.
Índice de criticidad
z
Para cada escenario se calcula:
ICe = VMAe / VMMAs x 100
donde:
VMAe = Vulnerabilidad marginal acumulada del escenario
= suma de las vulnerabilidades marginales de cada factor
VMMAs = Vulnerab. marginal máxima acumulada en el sistema
= (100 – 2) x 7 = 686
Criticidad del escenario X-n (ejemplo)
Vuln. Relativa
Vulnerabilidad Marginal
Máxima 100%
70
IC = 199/686*100 = 29
55
40
30
13
3
Personas Ambiente
Finanzas Operación Imagen
Aceptable 2%
1
Mercado Información
o
a
nd
ci
n
ón
un
Fa
au
Fr
350
300
si
re
ón
l
Fa
ta
de
g
pa
e pa
go
400
o
ad
450
Ag
de
Agr
esió
n
500
Falt
ro
e
Fra
ude
Pa
Par
o
j
ta
bo
aje
Sa
Sab
ot
Hur
to
to
ur
H
do
ta
en
At
t.
Es
lla
s
Fa
po
ui
Eq
lla
Fa
n
ió
os
pl
Ex
os
id
qu
Lí
al
c.
ur
In
ct
ru
st
.E
a
c
In
Ac
o
ay
Acc
Fau ión de
na
la
Inc.
Est
ruc
tura
l
Ince
Líq ndio d
ui d
os e
Exp
losi
ón
Fall
a
equ de
i po
s
Fall
a es
truc
tura
l
Ate
nt a
do
R
ció
Ray
o
u
In
nda
ción
sm
I nu
Si
Sis
mo
Índice de criticidad
Ambiente
Información
Mercado
Imagen
Finanzas
Operación
Personas
250
200
150
100
50
0
Índice potencial de daño
z
Para cada factor de vulnerabilidad se calcula:
IPDf = Σ VMe
donde
VMe = Vulnerabilidad marginal de cada escenario
z
Para el proceso se calcula:
IPDP = Σ IPDf
Potencial de daño ambiental (ejemplo)
Vuln. Relativa
Vulnerabilidad Marginal
Máxima 100%
85
61
IPD = 59+36+83+52+1 = 231
54
38
Aceptable 2%
3
X-1
X-2
x-3
X-4
X-5
1
X-6
Índice potencial de daño (ejemplo)
600
585
500
400
278
300
195
200
100
0
88
170
188
74
Personas
Operación
Finanzas
Imagen
Mercado
Informacion
Ambiente
Índice potencial de daño (ejemplo)
12%
5%
36%
11%
18%
12%
6%
Personas
Operación
Finanzas
Imagen
Mercado
Información
Ambiente
Índice distribución de escenarios
z
Para cada nivel de riesgo se calcula:
IDEn = En / Es x 100
donde
En = Cantidad de escenarios en el nivel n
Es = Cantidad de escenarios en el sistema
Nivel de riesgo:
Aceptable
Tolerable
Inaceptable
Inadmisible
Distribución de escenarios (ejemplo)
Nivel de
riesgo
Inadmisible
Inaceptable
Tolerable
Aceptable
z
Cant. IDE
1
14
10
25
2%
28%
20%
50%
Estándar
1
14
10
25
0%
15%
25%
60%
La distribución estándar refleja la tolerancia de
la Empresa al riesgo.
Distribución de escenarios (ejemplo)
Aceptable
Tolerable
Inaceptable
Inadmisible
20%
28%
50%
2%
Distribución de escenarios (ejemplo)
0
Inadmisible
Inaceptable
Tolerable
Aceptable
15
IDE ESTÁNDAR
25
60
2
28
IDE ACTUAL
20
50
0
20
40
60
80
100
Distribución de escenarios (ejemplo)
100
90
80
70
60
50
40
30
20
10
0
IDE ACTUAL
IDE ESTÁNDAR
Aceptable
Tolerable
Inaceptable
Inadmisible
Beneficios
z
z
z
Detectar los riesgos sin cobertura suficiente.
Utilizando el principio de Pareto, nos permite
identificar los escenarios cuyo potencial de
daño acumulado alcanza el 80% del total.
El auditor puede definir, sobre bases
confiables, los objetivos particulares de los
trabajos a realizar.
Beneficios
z
z
z
El responsable del proceso puede planificar e
implementar las estrategias de intervención
más eficaces y eficientes para alinear el índice
de distribución de escenarios al estándar.
Aplicaciones periódicas permiten detectar
cambios en las debilidades y estrategias de
intervención.
Además, permiten verificar si se han logrado
los resultados esperados y, en caso negativo,
identificar las causas.
Beneficios
z
z
La metodología y los detalles de amenazas,
debilidades, recursos, escenarios de riesgo y
estrategias de intervención pueden ser
utilizados para realizar análisis de riesgos
localizados.
Para ello alcanza con seleccionar como
sistema un área geográfica, unidad, proceso,
instalación o equipo particular, ajustar las
tablas de valoración del impacto y seleccionar
los factores de vulnerabilidad involucrados.
Beneficios
z
Los análisis de riesgos localizados pueden ser
utilizados, por ejemplo, para:
–
–
–
z
Elaborar planes de mantenimiento de equipos e
instalaciones.
Diseñar planes de contingencia.
Estudiar los perfiles de riesgo de equipos,
instalaciones o procesos, antes de su adquisición o
implementación.
En ningún caso sustituyen al general (donde
el sistema es UTE) ya que sus resultados no
son comparables ni se pueden extrapolar
Muchas gracias !!!
Adriana Toscano
Fernando Yurisich
Diciembre 2005
Documentos relacionados
LA EMPRESA. PRODUCCIÌN, COSTES Y BENEFICIOS
LA EMPRESA. PRODUCCIÌN, COSTES Y BENEFICIOS
Trabajo Práctico Nº 6 Costos
Trabajo Práctico Nº 6 Costos
Utilidad Total y Marginal
Utilidad Total y Marginal
2L-APP-MR019
2L-APP-MR019
1.5.1 utilidad total marginal
1.5.1 utilidad total marginal
1. EL TRABAJO INACEPTABLE DE NIÑOS Y ADOLESCENTES EN
1. EL TRABAJO INACEPTABLE DE NIÑOS Y ADOLESCENTES EN
Uned
Uned
aceptable tolerable moderado importante inaceptable si no
aceptable tolerable moderado importante inaceptable si no
Descargar
Anuncio
Anuncio