Análisis de Riesgos Primeros pasos en UTE Adriana Toscano Fernando Yurisich Diciembre 2005 Agenda z z z z z Historia. Objetivos. Análisis macro de riesgos. Análisis micro de riesgos. Beneficios. Historia z z Hasta el año 2001 elaboramos el Plan Anual a partir de la experiencia acumulada y solo consideramos los riesgos en el momento de escribir el informe. En el 2001 construimos la matriz de riesgos de la Empresa, determinando la exposición (impacto X frecuencia, escalas AMB) a los principales riesgos involucrados en cada actividad de la cadena de valor. Historia z z z En el año 2002, un tercio de los trabajos incluidos en el Plan Anual tiene por objetivo evaluar la cobertura dada a los riesgos calificados como de exposición alta. En los años 2003 y 2004, se mantiene la proporción pero se analizan los riesgos calificados como de exposición media. En el año 2004, y ante la necesidad de actualizar la matriz de riesgos, decidimos adoptar una nueva metodología de trabajo. Objetivos z z z z z Determinar los perfiles e índices de riesgo de los procesos de la Empresa. Elaborar el Plan de Auditoría a Largo Plazo. Identificar los trabajos de auditoría a realizar para evaluar la necesidad y suficiencia de las principales medidas de administración de riesgo vigentes. Elaborar la matriz de riesgos de UTE. Impulsar, dentro de la Empresa, el uso del análisis de riesgos como herramienta de gestión. Tareas principales z z Realizar un análisis macro de riesgos que permita ordenar los procesos de la Empresa según su nivel de riesgo. Para cada proceso, realizar un análisis micro de riesgos que permita identificar los principales riesgos y medidas de administración vigentes. Análisis Macro de Riesgos z z z Basado en un modelo de factores de riesgo ponderados. Realizado en talleres de trabajo con la participación de todos los auditores. Permite ordenar los procesos de la Empresa de acuerdo a su nivel de riesgo. Factores de riesgo utilizados Nombre Descripción Pond Materialidad Nivel de activos, nivel de costos 20% e impacto sobre los resultados. Liquidez de Exposición a la pérdida, valor de 10% activos mercado y convertibilidad en dinero. Ambiente de Debilidades de control interno, 20% control carencia de documentación, fallas en la supervisión o el monitoreo, tiempo transcurrido desde la última auditoría y grado de implantación de las recomendaciones realizadas. Factores de riesgo utilizados Nombre Descripción Pond Complejidad Características, conocimientos 20% de las requeridos para realizarlas y transacciones cambios recientes en la forma de procesarlas o en la cantidad procesada. Calidad del Competencia (habilidad + 10% personal conocimiento + experiencia), integridad, compromiso con el control y la administración de riesgos y presiones para lograr objetivos. Factores de riesgo utilizados Nombre Descripción Pond Ambiente de Grado de uso (dependencia), 20% procesamiento complejidad de los sistemas, de datos cambios recientes, calidad del plan de contingencias, calidad de los controles de seguridad, grado de confianza en la efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y/o confiabilidad de la información. Factores de riesgo utilizados Nombre Descripción Pond Ambiente del negocio Impacto negativo en la imagen, 10% contingencias políticas y legales, exposición regulatoria, expectativas de los clientes y confianza en proveedores de bienes y servicios. Cada factor se califica (C) de 1 a 5 y el nivel de riesgo (N) se calcula como: N = Σ Cf x Pond.f Análisis micro de riesgos z z z Basado en el estudio de escenarios de riesgo construidos a partir de las amenazas que afectan a los recursos utilizados por los procesos. Realizado en talleres de trabajo con la participación del personal involucrado. Permite ordenar los escenarios por sus niveles de riesgo inherente y residual, así como identificar las medidas de administración vigentes (cuantificando su eficacia y eficiencia). Actividades a realizar z z z z z z z Identificar amenazas. Identificar recursos amenazados. Construir escenarios de riesgo. Calificar escenarios. Construir perfiles de riesgo. Construir matrices de riesgos del proceso. Calcular índices y armar gráficas. Identificar amenazas z A partir de un listado estándar de amenazas, determinar cuales son los eventos que pueden afectar al proceso. Seleccionar las amenazas relevantes: Tamaño relativo z Alto Med Bajo 3 6 9 2 4 6 1 2 3 Bajo Med Alto Potencial de daño Identificar recursos z Construir un catálogo de los recursos (total o parcialmente) utilizados por el proceso: – – – – – – – Personas. Edificios. Estructura. Equipamiento. Valores y documentos. Información. Procesos. Construir escenarios Amenaza Recurso A Inundación B Rayo C Plaga D Incendio 1 SSEE A-1 B-1 C-1 D-1 2 Líneas 3 Eq. Inform. 4 RRHH D-2 B-2 A-3 B-3 C-3 D-3 B-4 C-4 D-4 Recurso n Ej. Proceso Operación de Trasmisión D-n Construir escenarios Amenaza Recurso E Falla F Accidente G Hurto 1 SSEE E-1 F-1 G-1 H-1 2 Líneas E-2 F-2 G-2 H -2 3 Eq. Inform. E-3 F-3 G-3 H -3 4 RRHH Recurso n F-4 E-n Ej. Proceso Operación de Trasmisión H Restricción H-4 H-n Calificar escenarios z z z z Designar el grupo de evaluación y establecer métodos a utilizar (consenso, Delphi, etc.). Determinar la frecuencia con que pueden ocurrir. Determinar el impacto que puede sufrir la Empresa. Calcular el índice de riesgo (f x i) y la vulnerabilidad relativa (nivel / 400) de cada escenario para cada factor de vulnerabilidad. Valoración de frecuencia Valor Nivel Probabilidad / Casos al año 1 Improbable Difícil / Menos de 0.005 2 Remoto Muy baja / Entre 0.005 y 0.01 3 Esporádico Baja / Entre 0.01 y 0.02 4 Ocasional Limitada / Entre 0.02 y 0.05 5 Moderado Mediana / Entre 0.05 y 0.2 6 Frecuente Significativa / Entre 0.2 y 1 7 Habitual Alta / Entre 1 y 12 8 Constante Muy alta / Más de 12 Valoración del impacto Valor Nivel Criterio general 1 Insignificante No afecta / Mínima 2 Marginal No significativa / Pequeña 5 Grave Parcial temporal / Moderada 10 Crítico Total temporal / Significativa 20 Desastroso Parcial permanente / Considerable 50 Catastrófico Total permanente / Gran magnitud Impactos a valorar z z z z Impacto: grado en que un sistema se ve afectado por las consecuencias del siniestro. Impacto inherente: impacto en caso de no existir estrategias de intervención. Impacto residual: impacto cuando se han implementado estrategias de intervención. Permiten medir la eficacia y la eficiencia de las estrategias de intervención: Eficacia = Inherente - Residual Eficiencia = Eficacia / Costo Factores de vulnerabilidad z Para facilitar la valoración, se analizarán por separado los siguientes componentes: – – – – – – – Personas. Ambiente. Finanzas. Operación. Imagen. Mercado. Información. Factor “Personas” Valor Nivel Consecuencias 1 Insignificante Víctimas sin lesiones 2 Marginal Lesiones leves sin incapacidad 5 Grave Lesiones leves incapacitantes 10 Crítico Una víctima grave hospitalizada 20 Desastroso Varios graves o una muerte 50 Catastrófico Varias muertes Refleja la ética y la política de la Empresa, no mide el riesgo real. Factor “Ambiente” Valor Nivel Consecuencias 1 Insignificante Sin daño ambiental 2 Marginal Daño leve recuperable 5 Grave Leve no recuperable 10 Crítico Grave recuperable a mediano plazo 20 Desastroso Grave recuperable a largo plazo 50 Catastrófico Grave no recuperable Factor “Finanzas” Valor Nivel Consecuencias (en U$S) 1 Insignificante Menor a 200 mil (1 a 3 por %00) 2 Marginal Entre 200 y 1 millón 5 Grave Entre 1 y 10 millones 10 Crítico Entre 10 y 100 millones 20 Desastroso Entre 100 y 300 millones 50 Catastrófico Más de 300 millones (15 a 25%) Refleja la afectación del patrimonio neto y la disposición a perder dinero. Factor “Operación” Valor Nivel Consecuencias 1 Insignificante Menor a 9 segundos 2 Marginal Entre 9 segundos y 3 minutos 5 Grave Entre 3 m y 1 hora 10 Crítico Entre 1 y 3 horas 20 Desastroso Entre 3 y 6 horas 50 Catastrófico Más de 6 horas Se mide el tiempo de interrupción de la potencia media total del sistema (1000 MW). Factor “Operación” Nivel 1000 MW 50 MW 15 MW Insignificante <= 9 seg. <= 3 min. <= 10 min. Marginal <= 3 min. <= 1:00 hs. <= 3:20 hs Grave <= 1 h. <= 20 hs. <= 66:40 hs Crítico <= 3 hs. <= 60 hs. <= 200 hs. Desastroso <= 6 hs. <=120 hs. <= 400 hs. Catastrófico > 6 hs. > 120 hs. > 400 hs. Ejemplos de aplicación en diferentes escenarios. Factor “Imagen” Valor Nivel Consecuencias 1 Insignificante Conocido sólo en la instalación 2 Marginal Conocido sólo en la empresa 5 Grave Conocido a nivel local 10 Crítico Conocido a nivel nacional 20 Desastroso Conocido a nivel regional 50 Catastrófico Conocido a nivel internacional Factor “Mercado” Valor Nivel Consecuencias 1 Insignificante Pérdida menor a 0.1% 2 Marginal Entre 0.1 y 0.5% 5 Grave Entre 0.5 y 2.0% 10 Crítico Entre 2 y 5% 20 Desastroso Entre 5 y 10% 50 Catastrófico Mayor al 10% Se mide la cantidad de clientes perdidos. Factor “Información” Valor Nivel Consecuencias 1 Insignificante Hasta 10% de información no crítica 2 Marginal Entre 10 y 30% de información no crítica 5 Grave Más del 30% de información no crítica 10 Crítico Hasta 10% de información crítica 20 Desastroso Entre 10 y 30% de información crítica 50 Catastrófico Más del 30% de información crítica Construir perfiles de riesgo z z Para cada factor de vulnerabilidad evaluado se creará un perfil de riesgo inherente y otro residual ubicando los resultados de la evaluación sobre la “Matriz de Aceptabilidad”. Criterios de aceptabilidad: Un escenario es: Si su vulnerabilidad relativa es: Aceptable <= al 2% Tolerable > al 2% y <= 4% Inaceptable > al 4% y <= 15% Inadmisible > al 15% Matriz de aceptabilidad 8 7 Constante 2% 4% 10 % 20 % 40% 100% Habitual 1.75% 3.5 % 8.75% 17.5% 35% 87.5% 6 5 4 3 Frecuente 1.5 % 3% 7.5 % 15 % 30% 75% Moderado 1.25% 2.5 % 6.25% 12.5% 25% 62.5% Ocasional 1% 2% 5% 10 % 20% 50% Esporádico .75% 1.5 % 3.75% 7.5% 15% 37.5% Remoto .5 % 1% 2.5 % 5% 10% 25% Improbable .25 % .5 % 1.25% 2.5% 5% 12.5% Insignif. Marginal Grave Crítico Desastr. Catastr. 1 2 5 10 20 50 2 1 Frecuencia Impacto Nivel de riesgo: Aceptable Tolerable Inaceptable Inadmisible Ejemplo de calificación z z z z z z z Factor de Amenaza: Inundación Recurso: SSEE “xxx” Impacto inherente en factor Operación: Grave 5 Frecuencia: Esporádico 3 Impacto x Frecuencia: 15 Índice de riesgo: 15/400= 0.0375 Perfil de riesgo: Tolerable Escenario A-1 Ejemplo de calificación z z z z z z z Factor de amenaza: Rayo Recurso: Línea Aérea “m” sin cable de guardia operativo (protección contra rayos) Impacto inherente en f. Operación: Crítico 10 Frecuencia : Moderada 5 Impacto x Frecuencia: 50 Índice de riesgo: 50/400= 0.125 Perfil de riesgo: Inaceptable Escenario B-2.1 Ejemplo de calificación z z z z z z z Factor de amenaza: Rayo Recurso: Línea Aérea “m” con cable de guardia operativo Impacto residual en f. Operación: Insignific. 1 Frecuencia : Moderada 5 Impacto x Frecuencia: 5 Índice de riesgo: 5/400= 0.0125 Perfil de riesgo: Aceptable Escenario B-2.1 con medida de intervención Ejemplo de calificación z z z z z z z Factor de Amenaza: Falla, ocasionada por cometas en las líneas. Recurso: Línea Aérea “o” Impacto inherente en factor Operación: Grave 5 Frecuencia: Habitual 7 Impacto x Frecuencia: 35 Índice de riesgo: 35/400= 0.875 Perfil de riesgo: Inaceptable Escenario E-2 Ejemplo de calificación z z z z z z z Factor de Amenaza: Falla, ocasionada por cometas en las líneas. Recurso: Línea Aérea “o”, recorridas periódicas y educación por medio de la factura. Impacto residual en factor Operación: Grave 5 Frecuencia: Ocasional 4 Impacto x Frecuencia: 20 Índice de riesgo: 20/400= 0.5 Perfil de riesgo: Inaceptable Escenario E-2 con medidas de intervención Perfil de riesgo operacional (ejemplos) 8 7 Constante 6 5 4 3 Frecuente 2 1 E-2 Habitual B-2.1 Moderado Ocasional A-1 Esporádico Remoto Improbable Frecuencia Impacto Insignif. Marginal Grave Crítico Desastr. Catastr. 1 2 5 10 20 50 Nivel de riesgo: Aceptable Tolerable Inaceptable Inadmisible Matrices de riesgos del proceso z z z Son las matrices resultantes de “acumular” los perfiles de riesgo inherente y residual por factor de vulnerabilidad. El índice de riesgo de un escenario se calcula como (f x Σ if) y la vulnerabilidad relativa como (nivel / 2800). Las matrices se obtienen al ubicar estos valores sobre la matriz de aceptabilidad. Calcular índices y armar gráficas z z z Criticidad: permite determinar los riesgos que necesitan intervención en forma prioritaria. Potencial de daño: permite conocer el volumen de riesgo que afecta al sistema. Distribución de escenarios. Índice de criticidad z Para cada escenario se calcula: ICe = VMAe / VMMAs x 100 donde: VMAe = Vulnerabilidad marginal acumulada del escenario = suma de las vulnerabilidades marginales de cada factor VMMAs = Vulnerab. marginal máxima acumulada en el sistema = (100 – 2) x 7 = 686 Criticidad del escenario X-n (ejemplo) Vuln. Relativa Vulnerabilidad Marginal Máxima 100% 70 IC = 199/686*100 = 29 55 40 30 13 3 Personas Ambiente Finanzas Operación Imagen Aceptable 2% 1 Mercado Información o a nd ci n ón un Fa au Fr 350 300 si re ón l Fa ta de g pa e pa go 400 o ad 450 Ag de Agr esió n 500 Falt ro e Fra ude Pa Par o j ta bo aje Sa Sab ot Hur to to ur H do ta en At t. Es lla s Fa po ui Eq lla Fa n ió os pl Ex os id qu Lí al c. ur In ct ru st .E a c In Ac o ay Acc Fau ión de na la Inc. Est ruc tura l Ince Líq ndio d ui d os e Exp losi ón Fall a equ de i po s Fall a es truc tura l Ate nt a do R ció Ray o u In nda ción sm I nu Si Sis mo Índice de criticidad Ambiente Información Mercado Imagen Finanzas Operación Personas 250 200 150 100 50 0 Índice potencial de daño z Para cada factor de vulnerabilidad se calcula: IPDf = Σ VMe donde VMe = Vulnerabilidad marginal de cada escenario z Para el proceso se calcula: IPDP = Σ IPDf Potencial de daño ambiental (ejemplo) Vuln. Relativa Vulnerabilidad Marginal Máxima 100% 85 61 IPD = 59+36+83+52+1 = 231 54 38 Aceptable 2% 3 X-1 X-2 x-3 X-4 X-5 1 X-6 Índice potencial de daño (ejemplo) 600 585 500 400 278 300 195 200 100 0 88 170 188 74 Personas Operación Finanzas Imagen Mercado Informacion Ambiente Índice potencial de daño (ejemplo) 12% 5% 36% 11% 18% 12% 6% Personas Operación Finanzas Imagen Mercado Información Ambiente Índice distribución de escenarios z Para cada nivel de riesgo se calcula: IDEn = En / Es x 100 donde En = Cantidad de escenarios en el nivel n Es = Cantidad de escenarios en el sistema Nivel de riesgo: Aceptable Tolerable Inaceptable Inadmisible Distribución de escenarios (ejemplo) Nivel de riesgo Inadmisible Inaceptable Tolerable Aceptable z Cant. IDE 1 14 10 25 2% 28% 20% 50% Estándar 1 14 10 25 0% 15% 25% 60% La distribución estándar refleja la tolerancia de la Empresa al riesgo. Distribución de escenarios (ejemplo) Aceptable Tolerable Inaceptable Inadmisible 20% 28% 50% 2% Distribución de escenarios (ejemplo) 0 Inadmisible Inaceptable Tolerable Aceptable 15 IDE ESTÁNDAR 25 60 2 28 IDE ACTUAL 20 50 0 20 40 60 80 100 Distribución de escenarios (ejemplo) 100 90 80 70 60 50 40 30 20 10 0 IDE ACTUAL IDE ESTÁNDAR Aceptable Tolerable Inaceptable Inadmisible Beneficios z z z Detectar los riesgos sin cobertura suficiente. Utilizando el principio de Pareto, nos permite identificar los escenarios cuyo potencial de daño acumulado alcanza el 80% del total. El auditor puede definir, sobre bases confiables, los objetivos particulares de los trabajos a realizar. Beneficios z z z El responsable del proceso puede planificar e implementar las estrategias de intervención más eficaces y eficientes para alinear el índice de distribución de escenarios al estándar. Aplicaciones periódicas permiten detectar cambios en las debilidades y estrategias de intervención. Además, permiten verificar si se han logrado los resultados esperados y, en caso negativo, identificar las causas. Beneficios z z La metodología y los detalles de amenazas, debilidades, recursos, escenarios de riesgo y estrategias de intervención pueden ser utilizados para realizar análisis de riesgos localizados. Para ello alcanza con seleccionar como sistema un área geográfica, unidad, proceso, instalación o equipo particular, ajustar las tablas de valoración del impacto y seleccionar los factores de vulnerabilidad involucrados. Beneficios z Los análisis de riesgos localizados pueden ser utilizados, por ejemplo, para: – – – z Elaborar planes de mantenimiento de equipos e instalaciones. Diseñar planes de contingencia. Estudiar los perfiles de riesgo de equipos, instalaciones o procesos, antes de su adquisición o implementación. En ningún caso sustituyen al general (donde el sistema es UTE) ya que sus resultados no son comparables ni se pueden extrapolar Muchas gracias !!! Adriana Toscano Fernando Yurisich Diciembre 2005