Analisis de Riesgo

Anlisis de Riesgos
Primeros pasos en UTE
Adriana Toscano
Fernando Yurisich
Diciembre 2005
Agenda
z Historia.
z Objetivos.
z Anlisis macro de riesgos.
z Anlisis micro de riesgos.
z Beneficios.
Historia
z Hasta el ao 2001 elaboramos el Plan Anual a
partir de la experiencia acumulada y solo
consideramos los riesgos en el momento de
escribir el informe.
z En el 2001 construimos la matriz de riesgos
de la Empresa, determinando la exposicin
(impacto X frecuencia, escalas AMB) a los
principales riesgos involucrados en cada
actividad de la cadena de valor.
Historia
z En el ao 2002, un tercio de los trabajos
incluidos en el Plan Anual tiene por objetivo
evaluar la cobertura dada a los riesgos
calificados como de exposicin alta.
z En los aos 2003 y 2004, se mantiene la
proporcin pero se analizan los riesgos
calificados como de exposicin media.
z En el ao 2004, y ante la necesidad de
actualizar la matriz de riesgos, decidimos
adoptar una nueva metodologa de trabajo.
Objetivos
z Determinar los perfiles e ndices de riesgo de
los procesos de la Empresa.
z Elaborar el Plan de Auditora a Largo Plazo.
z Identificar los trabajos de auditora a realizar
para evaluar la necesidad y suficiencia de las
principales medidas de administracin de
riesgo vigentes.
z Elaborar la matriz de riesgos de UTE.
z Impulsar, dentro de la Empresa, el uso del
anlisis de riesgos como herramienta de
gestin.
Tareas principales
z Realizar un anlisis macro de riesgos que
permita ordenar los procesos de la Empresa
segn su nivel de riesgo.
z Para cada proceso, realizar un anlisis micro
de riesgos que permita identificar los
principales riesgos y medidas de
administracin vigentes.
Anlisis Macro de Riesgos
z Basado en un modelo de factores de riesgo
ponderados.
z Realizado en talleres de trabajo con la
participacin de todos los auditores.
z Permite ordenar los procesos de la Empresa
de acuerdo a su nivel de riesgo.
Factores de riesgo utilizados
Nombre Descripcin Pond
Materialidad Nivel de activos, nivel de costos 20%
e impacto sobre los resultados.
Liquidez de Exposicin a la prdida, valor de 10%
activos mercado y convertibilidad en
dinero.
Ambiente de Debilidades de control interno, 20%
control carencia de documentacin,
fallas en la supervisin o el
monitoreo, tiempo transcurrido
desde la ltima auditora y grado
de implantacin de las
recomendaciones realizadas.
Complejidad Caractersticas, conocimientos 20%
de las requeridos para realizarlas y
transacciones cambios recientes en la forma
de procesarlas o en la cantidad
procesada.
Calidad del Competencia (habilidad + 10%
personal conocimiento + experiencia),
integridad, compromiso con el
control y la administracin de
riesgos y presiones para lograr
objetivos.
Ambiente de Grado de uso (dependencia), 20%
procesamiento complejidad de los sistemas,
de datos cambios recientes, calidad del
plan de contingencias, calidad
de los controles de seguridad,
grado de confianza en la
efectividad, eficiencia,
confidencialidad, integridad,
disponibilidad, cumplimiento
y/o confiabilidad de la
informacin.
Ambiente del Impacto negativo en la imagen, 10%
negocio contingencias polticas y
legales, exposicin regulatoria,
expectativas de los clientes y
confianza en proveedores de
bienes y servicios.
Cada factor se califica (C) de 1 a 5 y el nivel

de riesgo (N) se calcula como:
N = Cf x Pond.f
Anlisis micro de riesgos
z Basado en el estudio de escenarios de riesgo
construidos a partir de las amenazas que
afectan a los recursos utilizados por los
procesos.
z Realizado en talleres de trabajo con la
participacin del personal involucrado.
z Permite ordenar los escenarios por sus
niveles de riesgo inherente y residual, as
como identificar las medidas de administracin
vigentes (cuantificando su eficacia y
eficiencia).
Actividades a realizar
z Identificar amenazas.
z Identificar recursos amenazados.
z Construir escenarios de riesgo.
z Calificar escenarios.
z Construir perfiles de riesgo.
z Construir matrices de riesgos del proceso.
z Calcular ndices y armar grficas.
Identificar amenazas
z A partir de un listado estndar de amenazas,
determinar cuales son los eventos que
pueden afectar al proceso.
z Seleccionar las amenazas relevantes:
Tamao relativo
Alto 3 6 9
Med 2 4 6
Bajo 1 2 3
Bajo Med Alto
Potencial de dao
Identificar recursos
z Construir un catlogo de los recursos (total o
parcialmente) utilizados por el proceso:
Personas.
Edificios.
Estructura.
Equipamiento.
Valores y documentos.
Informacin.
Procesos.
Construir escenarios
Amenaza A B C D
Recurso Inundacin Rayo Plaga Incendio
1 SSEE A-1 B-1 C-1 D-1
2 Lneas B-2 D-2
3 Eq. Inform. A-3 B-3 C-3 D-3
4 RRHH B-4 C-4 D-4
Recurso n D-n
Ej. Proceso Operacin de Trasmisin

Construir escenarios
Amenaza E F G H
Recurso Falla Accidente Hurto Restriccin
1 SSEE E-1 F-1 G-1 H-1
2 Lneas E-2 F-2 G-2 H -2
3 Eq. Inform. E-3 F-3 G-3 H -3
4 RRHH F-4 H-4
Recurso n E-n H-n
Ej. Proceso Operacin de Trasmisin

Calificar escenarios
z Designar el grupo de evaluacin y establecer
mtodos a utilizar (consenso, Delphi, etc.).
z Determinar la frecuencia con que pueden
ocurrir.
z Determinar el impacto que puede sufrir la
Empresa.
z Calcular el ndice de riesgo (f x i) y la
vulnerabilidad relativa (nivel / 400) de cada
escenario para cada factor de vulnerabilidad.
Valoracin de frecuencia
Valor Nivel Probabilidad / Casos al ao

1 Improbable Difcil / Menos de 0.005
2 Remoto Muy baja / Entre 0.005 y 0.01
3 Espordico Baja / Entre 0.01 y 0.02
4 Ocasional Limitada / Entre 0.02 y 0.05
5 Moderado Mediana / Entre 0.05 y 0.2
6 Frecuente Significativa / Entre 0.2 y 1
7 Habitual Alta / Entre 1 y 12
8 Constante Muy alta / Ms de 12

Valoracin del impacto
Valor Nivel Criterio general

1 Insignificante No afecta / Mnima
2 Marginal No significativa / Pequea
5 Grave Parcial temporal / Moderada
10 Crtico Total temporal / Significativa
20 Desastroso Parcial permanente / Considerable
50 Catastrfico Total permanente / Gran magnitud

Impactos a valorar
z Impacto: grado en que un sistema se ve
afectado por las consecuencias del siniestro.
z Impacto inherente: impacto en caso de no
existir estrategias de intervencin.
z Impacto residual: impacto cuando se han
implementado estrategias de intervencin.
z Permiten medir la eficacia y la eficiencia de las
estrategias de intervencin:
Eficacia = Inherente - Residual
Eficiencia = Eficacia / Costo
Factores de vulnerabilidad
z Para facilitar la valoracin, se analizarn por
separado los siguientes componentes:
Personas.
Ambiente.
Finanzas.
Operacin.
Imagen.
Mercado.
Informacin.
Factor Personas
Valor Nivel Consecuencias

1 Insignificante Vctimas sin lesiones
2 Marginal Lesiones leves sin incapacidad
5 Grave Lesiones leves incapacitantes
10 Crtico Una vctima grave hospitalizada
20 Desastroso Varios graves o una muerte
50 Catastrfico Varias muertes
Refleja la tica y la poltica de la

Empresa, no mide el riesgo real.
Factor Ambiente

1 Insignificante Sin dao ambiental
2 Marginal Dao leve recuperable
5 Grave Leve no recuperable
10 Crtico Grave recuperable a mediano plazo
20 Desastroso Grave recuperable a largo plazo
50 Catastrfico Grave no recuperable

Factor Finanzas
Valor Nivel Consecuencias (en U$S)

1 Insignificante Menor a 200 mil (1 a 3 por %00)
2 Marginal Entre 200 y 1 milln
5 Grave Entre 1 y 10 millones
10 Crtico Entre 10 y 100 millones
20 Desastroso Entre 100 y 300 millones
50 Catastrfico Ms de 300 millones (15 a 25%)
Refleja la afectacin del patrimonio

neto y la disposicin a perder dinero.
Factor Operacin

1 Insignificante Menor a 9 segundos
2 Marginal Entre 9 segundos y 3 minutos
5 Grave Entre 3 m y 1 hora
10 Crtico Entre 1 y 3 horas
20 Desastroso Entre 3 y 6 horas
50 Catastrfico Ms de 6 horas
Se mide el tiempo de interrupcin de la potencia

media total del sistema (1000 MW).
Factor Operacin
Nivel 1000 MW 50 MW 15 MW
Insignificante <= 9 seg. <= 3 min. <= 10 min.
Marginal <= 3 min. <= 1:00 hs. <= 3:20 hs
Grave <= 1 h. <= 20 hs. <= 66:40 hs
Crtico <= 3 hs. <= 60 hs. <= 200 hs.
Desastroso <= 6 hs. <=120 hs. <= 400 hs.
Catastrfico > 6 hs. > 120 hs. > 400 hs.
Ejemplos de aplicacin en diferentes

escenarios.
Factor Imagen

1 Insignificante Conocido slo en la instalacin
2 Marginal Conocido slo en la empresa
5 Grave Conocido a nivel local
10 Crtico Conocido a nivel nacional
20 Desastroso Conocido a nivel regional
50 Catastrfico Conocido a nivel internacional

Factor Mercado

1 Insignificante Prdida menor a 0.1%
2 Marginal Entre 0.1 y 0.5%
5 Grave Entre 0.5 y 2.0%
10 Crtico Entre 2 y 5%
20 Desastroso Entre 5 y 10%
50 Catastrfico Mayor al 10%
Se mide la cantidad de clientes perdidos.

Factor Informacin

1 Insignificante Hasta 10% de informacin no crtica
2 Marginal Entre 10 y 30% de informacin no crtica
5 Grave Ms del 30% de informacin no crtica
10 Crtico Hasta 10% de informacin crtica
20 Desastroso Entre 10 y 30% de informacin crtica
50 Catastrfico Ms del 30% de informacin crtica

Construir perfiles de riesgo
z Para cada factor de vulnerabilidad evaluado
se crear un perfil de riesgo inherente y otro
residual ubicando los resultados de la
evaluacin sobre la Matriz de Aceptabilidad.
z Criterios de aceptabilidad:
Un escenario es: Si su vulnerabilidad relativa es:
Aceptable <= al 2%
Tolerable > al 2% y <= 4%
Inaceptable > al 4% y <= 15%
Inadmisible > al 15%
Matriz de aceptabilidad
8 Constante 2% 4% 10 % 20 % 40% 100%
7 Habitual 1.75% 3.5 % 8.75% 17.5% 35% 87.5%
6 Frecuente 1.5 % 3% 7.5 % 15 % 30% 75%
5 Moderado 1.25% 2.5 % 6.25% 12.5% 25% 62.5%
4 Ocasional 1% 2% 5% 10 % 20% 50%
3 Espordico .75% 1.5 % 3.75% 7.5% 15% 37.5%
2 Remoto .5 % 1% 2.5 % 5% 10% 25%
1 Improbable .25 % .5 % 1.25% 2.5% 5% 12.5%

Frecuencia Insignif. Marginal Grave Crtico Desastr. Catastr.
Impacto 1 2 5 10 20 50
Nivel de riesgo: Aceptable Tolerable Inaceptable Inadmisible
Ejemplo de calificacin
z Factor de Amenaza: Inundacin
z Recurso: SSEE xxx
z Impacto inherente en factor Operacin: Grave 5
z Frecuencia: Espordico 3
z Impacto x Frecuencia: 15
z ndice de riesgo: 15/400= 0.0375
z Perfil de riesgo: Tolerable
Escenario A-1
z Factor de amenaza: Rayo
z Recurso: Lnea Area m sin cable de guardia
operativo (proteccin contra rayos)
z Impacto inherente en f. Operacin: Crtico 10
z Frecuencia : Moderada 5
z Perfil de riesgo: Inaceptable
Escenario B-2.1
z Factor de amenaza: Rayo
z Recurso: Lnea Area m con cable de guardia
operativo
z Impacto residual en f. Operacin: Insignific. 1
z Frecuencia : Moderada 5
z Perfil de riesgo: Aceptable
Escenario B-2.1
con medida de intervencin
z Factor de Amenaza: Falla, ocasionada por
cometas en las lneas.
z Recurso: Lnea Area o
z Impacto inherente en factor Operacin: Grave 5
z Frecuencia: Habitual 7
Escenario E-2
z Factor de Amenaza: Falla, ocasionada por
cometas en las lneas.
z Recurso: Lnea Area o, recorridas peridicas y
educacin por medio de la factura.
z Impacto residual en factor Operacin: Grave 5
z Frecuencia: Ocasional 4
Escenario E-2
con medidas de intervencin
Perfil de riesgo operacional (ejemplos)
8 Constante
7 Habitual E-2
6 Frecuente
5 Moderado B-2.1
4 Ocasional
3 Espordico A-1
2 Remoto
1 Improbable
Frecuencia Insignif. Marginal Grave Crtico Desastr. Catastr.
Impacto 1 2 5 10 20 50
Matrices de riesgos del proceso
z Son las matrices resultantes de acumular los
perfiles de riesgo inherente y residual por
factor de vulnerabilidad.
z El ndice de riesgo de un escenario se calcula
como (f x if) y la vulnerabilidad relativa como
(nivel / 2800).
z Las matrices se obtienen al ubicar estos
valores sobre la matriz de aceptabilidad.
Calcular ndices y armar grficas
z Criticidad: permite determinar los riesgos que
necesitan intervencin en forma prioritaria.
z Potencial de dao: permite conocer el
volumen de riesgo que afecta al sistema.
z Distribucin de escenarios.
ndice de criticidad
z Para cada escenario se calcula:
ICe = VMAe / VMMAs x 100
donde:
VMAe = Vulnerabilidad marginal acumulada del escenario

= suma de las vulnerabilidades marginales de cada factor
VMMAs = Vulnerab. marginal mxima acumulada en el sistema
= (100 2) x 7 = 686
Criticidad del escenario X-n (ejemplo)
Vuln. Relativa
Mxima 100%
Vulnerabilidad Marginal
70
IC = 199/686*100 = 29
55 40
30
13
Aceptable 2%
3
1
Personas Ambiente Finanzas Operacin Imagen Mercado Informacin
0
50
100
150
200
250
300
350
400
450
500
Sis
mo
Si
sm
I nu o
nda
cin In
nd u
a
Ray
o
ci
n R
Acc ay
o
Fau in de
na la Ac
Inc. ci
Est n
ruc
Fa tura
un l a
In
c
Ince .E
Lq ndio d st
ui d ru
In os e ct
ur
c. al
Exp L
qu
losi
Ex n id
os
Fall
pl
a
os
i
equ de n
i po
Fall
Fa
lla
s
a es Eq
truc
ndice de criticidad
tura ui
l
Fa po
lla s
Ate Es
nt a t.
At do
en
ta
do
Hur
H
ur to
to
Sab
ot aje Sa
bo
ta
e Par j
o Pa
ro
Fra
ude
Fr
au
Agr de
esi
n Ag
re
Falt si
ad n
e pa
go Fa
l
ta
Imagen
de
Mercado
Finanzas
pa
Personas
Ambiente
g
Operacin
o
Informacin
ndice potencial de dao
z Para cada factor de vulnerabilidad se calcula:
IPDf = VMe
donde
VMe = Vulnerabilidad marginal de cada escenario
z Para el proceso se calcula:
IPDP = IPDf
Potencial de dao ambiental (ejemplo)
Vuln. Relativa
Mxima 100%
Vulnerabilidad Marginal
85 IPD = 59+36+83+52+1 = 231
61
54
38
Aceptable 2%
3
1
X-1 X-2 x-3 X-4 X-5 X-6
ndice potencial de dao (ejemplo)
585
600
500
Personas
400 Operacin
Finanzas
278 Imagen
300
195 Mercado
188
200 170 Informacion
88 Ambiente
100 74
0
ndice potencial de dao (ejemplo)
5%
12%
Personas
36%
11%
Operacin
Finanzas
Imagen
Mercado
Informacin
Ambiente
18%
6%
12%
ndice distribucin de escenarios
z Para cada nivel de riesgo se calcula:
IDEn = En / Es x 100
donde
En = Cantidad de escenarios en el nivel n
Es = Cantidad de escenarios en el sistema

Distribucin de escenarios (ejemplo)
Nivel de
Cant. IDE Estndar
riesgo
Inadmisible 1 2% 1 0%
Inaceptable 14 28% 14 15%
Tolerable 10 20% 10 25%
Aceptable 25 50% 25 60%
z La distribucin estndar refleja la tolerancia de

la Empresa al riesgo.
Aceptable
20% Tolerable
Inaceptable
Inadmisible
28%
50%
2%
0 Inadmisible
15 Inaceptable
IDE ESTNDAR Tolerable
25
60 Aceptable
2
28
IDE ACTUAL
20
50
0 20 40 60 80 100
100 IDE ACTUAL

90
IDE ESTNDAR
80
70
60
50
40
30
20
10
0
Aceptable Tolerable Inaceptable Inadmisible
Beneficios
z Detectar los riesgos sin cobertura suficiente.
z Utilizando el principio de Pareto, nos permite
identificar los escenarios cuyo potencial de
dao acumulado alcanza el 80% del total.
z El auditor puede definir, sobre bases
confiables, los objetivos particulares de los
trabajos a realizar.
Beneficios
z El responsable del proceso puede planificar e
implementar las estrategias de intervencin
ms eficaces y eficientes para alinear el ndice
de distribucin de escenarios al estndar.
z Aplicaciones peridicas permiten detectar
cambios en las debilidades y estrategias de
intervencin.
z Adems, permiten verificar si se han logrado
los resultados esperados y, en caso negativo,
identificar las causas.
Beneficios
z La metodologa y los detalles de amenazas,
debilidades, recursos, escenarios de riesgo y
estrategias de intervencin pueden ser
utilizados para realizar anlisis de riesgos
localizados.
z Para ello alcanza con seleccionar como
sistema un rea geogrfica, unidad, proceso,
instalacin o equipo particular, ajustar las
tablas de valoracin del impacto y seleccionar
los factores de vulnerabilidad involucrados.
Beneficios
z Los anlisis de riesgos localizados pueden ser
utilizados, por ejemplo, para:
Elaborar planes de mantenimiento de equipos e
instalaciones.
Disear planes de contingencia.
Estudiar los perfiles de riesgo de equipos,
instalaciones o procesos, antes de su adquisicin o
implementacin.
z En ningn caso sustituyen al general (donde
el sistema es UTE) ya que sus resultados no
son comparables ni se pueden extrapolar
Muchas gracias !!!
Adriana Toscano
Fernando Yurisich
Diciembre 2005

Analisis de Riesgo

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Analisis de Riesgo

Загружено:

Авторское право:

Доступные форматы

Anlisis de Riesgos

Primeros pasos en UTE

Cada factor se califica (C) de 1 a 5 y el nivel

1 SSEE A-1 B-1 C-1 D-1

2 Lneas B-2 D-2

3 Eq. Inform. A-3 B-3 C-3 D-3

4 RRHH B-4 C-4 D-4

Ej. Proceso Operacin de Trasmisin

1 SSEE E-1 F-1 G-1 H-1

2 Lneas E-2 F-2 G-2 H -2

3 Eq. Inform. E-3 F-3 G-3 H -3

4 RRHH F-4 H-4

Recurso n E-n H-n

Ej. Proceso Operacin de Trasmisin

Valor Nivel Probabilidad / Casos al ao

2 Remoto Muy baja / Entre 0.005 y 0.01

3 Espordico Baja / Entre 0.01 y 0.02

4 Ocasional Limitada / Entre 0.02 y 0.05

5 Moderado Mediana / Entre 0.05 y 0.2

6 Frecuente Significativa / Entre 0.2 y 1

7 Habitual Alta / Entre 1 y 12

8 Constante Muy alta / Ms de 12

Valor Nivel Criterio general

2 Marginal No significativa / Pequea

5 Grave Parcial temporal / Moderada

10 Crtico Total temporal / Significativa

20 Desastroso Parcial permanente / Considerable

50 Catastrfico Total permanente / Gran magnitud

Valor Nivel Consecuencias

2 Marginal Lesiones leves sin incapacidad

5 Grave Lesiones leves incapacitantes

10 Crtico Una vctima grave hospitalizada

20 Desastroso Varios graves o una muerte

50 Catastrfico Varias muertes

Refleja la tica y la poltica de la

Valor Nivel Consecuencias

2 Marginal Dao leve recuperable

5 Grave Leve no recuperable

10 Crtico Grave recuperable a mediano plazo

20 Desastroso Grave recuperable a largo plazo

50 Catastrfico Grave no recuperable

Valor Nivel Consecuencias (en U$S)

2 Marginal Entre 200 y 1 milln

5 Grave Entre 1 y 10 millones

10 Crtico Entre 10 y 100 millones

20 Desastroso Entre 100 y 300 millones

50 Catastrfico Ms de 300 millones (15 a 25%)

Refleja la afectacin del patrimonio

Valor Nivel Consecuencias

2 Marginal Entre 9 segundos y 3 minutos

5 Grave Entre 3 m y 1 hora

10 Crtico Entre 1 y 3 horas

20 Desastroso Entre 3 y 6 horas

Se mide el tiempo de interrupcin de la potencia

Ejemplos de aplicacin en diferentes

Valor Nivel Consecuencias

2 Marginal Conocido slo en la empresa

5 Grave Conocido a nivel local

10 Crtico Conocido a nivel nacional

20 Desastroso Conocido a nivel regional

50 Catastrfico Conocido a nivel internacional

Valor Nivel Consecuencias

2 Marginal Entre 0.1 y 0.5%

5 Grave Entre 0.5 y 2.0%