Академический Документы
Профессиональный Документы
Культура Документы
Adriana Toscano
Fernando Yurisich
Diciembre 2005
Agenda
z Historia.
z Objetivos.
z Anlisis macro de riesgos.
z Anlisis micro de riesgos.
z Beneficios.
Historia
z Hasta el ao 2001 elaboramos el Plan Anual a
partir de la experiencia acumulada y solo
consideramos los riesgos en el momento de
escribir el informe.
z En el 2001 construimos la matriz de riesgos
de la Empresa, determinando la exposicin
(impacto X frecuencia, escalas AMB) a los
principales riesgos involucrados en cada
actividad de la cadena de valor.
Historia
z En el ao 2002, un tercio de los trabajos
incluidos en el Plan Anual tiene por objetivo
evaluar la cobertura dada a los riesgos
calificados como de exposicin alta.
z En los aos 2003 y 2004, se mantiene la
proporcin pero se analizan los riesgos
calificados como de exposicin media.
z En el ao 2004, y ante la necesidad de
actualizar la matriz de riesgos, decidimos
adoptar una nueva metodologa de trabajo.
Objetivos
z Determinar los perfiles e ndices de riesgo de
los procesos de la Empresa.
z Elaborar el Plan de Auditora a Largo Plazo.
z Identificar los trabajos de auditora a realizar
para evaluar la necesidad y suficiencia de las
principales medidas de administracin de
riesgo vigentes.
z Elaborar la matriz de riesgos de UTE.
z Impulsar, dentro de la Empresa, el uso del
anlisis de riesgos como herramienta de
gestin.
Tareas principales
z Realizar un anlisis macro de riesgos que
permita ordenar los procesos de la Empresa
segn su nivel de riesgo.
z Para cada proceso, realizar un anlisis micro
de riesgos que permita identificar los
principales riesgos y medidas de
administracin vigentes.
Anlisis Macro de Riesgos
z Basado en un modelo de factores de riesgo
ponderados.
z Realizado en talleres de trabajo con la
participacin de todos los auditores.
z Permite ordenar los procesos de la Empresa
de acuerdo a su nivel de riesgo.
Factores de riesgo utilizados
Nombre Descripcin Pond
Materialidad Nivel de activos, nivel de costos 20%
e impacto sobre los resultados.
Liquidez de Exposicin a la prdida, valor de 10%
activos mercado y convertibilidad en
dinero.
Ambiente de Debilidades de control interno, 20%
control carencia de documentacin,
fallas en la supervisin o el
monitoreo, tiempo transcurrido
desde la ltima auditora y grado
de implantacin de las
recomendaciones realizadas.
Factores de riesgo utilizados
Nombre Descripcin Pond
Complejidad Caractersticas, conocimientos 20%
de las requeridos para realizarlas y
transacciones cambios recientes en la forma
de procesarlas o en la cantidad
procesada.
Calidad del Competencia (habilidad + 10%
personal conocimiento + experiencia),
integridad, compromiso con el
control y la administracin de
riesgos y presiones para lograr
objetivos.
Factores de riesgo utilizados
Nombre Descripcin Pond
Ambiente de Grado de uso (dependencia), 20%
procesamiento complejidad de los sistemas,
de datos cambios recientes, calidad del
plan de contingencias, calidad
de los controles de seguridad,
grado de confianza en la
efectividad, eficiencia,
confidencialidad, integridad,
disponibilidad, cumplimiento
y/o confiabilidad de la
informacin.
Factores de riesgo utilizados
Nombre Descripcin Pond
Ambiente del Impacto negativo en la imagen, 10%
negocio contingencias polticas y
legales, exposicin regulatoria,
expectativas de los clientes y
confianza en proveedores de
bienes y servicios.
Alto 3 6 9
Med 2 4 6
Bajo 1 2 3
Bajo Med Alto
Potencial de dao
Identificar recursos
z Construir un catlogo de los recursos (total o
parcialmente) utilizados por el proceso:
Personas.
Edificios.
Estructura.
Equipamiento.
Valores y documentos.
Informacin.
Procesos.
Construir escenarios
Amenaza A B C D
Recurso Inundacin Rayo Plaga Incendio
Recurso n D-n
Amenaza E F G H
Recurso Falla Accidente Hurto Restriccin
50 Catastrfico Ms de 6 horas
Nivel 1000 MW 50 MW 15 MW
Insignificante <= 9 seg. <= 3 min. <= 10 min.
Marginal <= 3 min. <= 1:00 hs. <= 3:20 hs
Grave <= 1 h. <= 20 hs. <= 66:40 hs
Crtico <= 3 hs. <= 60 hs. <= 200 hs.
Desastroso <= 6 hs. <=120 hs. <= 400 hs.
Catastrfico > 6 hs. > 120 hs. > 400 hs.
10 Crtico Entre 2 y 5%
Impacto 1 2 5 10 20 50
Nivel de riesgo: Aceptable Tolerable Inaceptable Inadmisible
Ejemplo de calificacin
z Factor de Amenaza: Inundacin
z Recurso: SSEE xxx
z Impacto inherente en factor Operacin: Grave 5
z Frecuencia: Espordico 3
z Impacto x Frecuencia: 15
z ndice de riesgo: 15/400= 0.0375
z Perfil de riesgo: Tolerable
Escenario A-1
Ejemplo de calificacin
z Factor de amenaza: Rayo
z Recurso: Lnea Area m sin cable de guardia
operativo (proteccin contra rayos)
z Impacto inherente en f. Operacin: Crtico 10
z Frecuencia : Moderada 5
z Impacto x Frecuencia: 50
z ndice de riesgo: 50/400= 0.125
z Perfil de riesgo: Inaceptable
Escenario B-2.1
Ejemplo de calificacin
z Factor de amenaza: Rayo
z Recurso: Lnea Area m con cable de guardia
operativo
z Impacto residual en f. Operacin: Insignific. 1
z Frecuencia : Moderada 5
z Impacto x Frecuencia: 5
z ndice de riesgo: 5/400= 0.0125
z Perfil de riesgo: Aceptable
Escenario B-2.1
con medida de intervencin
Ejemplo de calificacin
z Factor de Amenaza: Falla, ocasionada por
cometas en las lneas.
z Recurso: Lnea Area o
z Impacto inherente en factor Operacin: Grave 5
z Frecuencia: Habitual 7
z Impacto x Frecuencia: 35
z ndice de riesgo: 35/400= 0.875
z Perfil de riesgo: Inaceptable
Escenario E-2
Ejemplo de calificacin
z Factor de Amenaza: Falla, ocasionada por
cometas en las lneas.
z Recurso: Lnea Area o, recorridas peridicas y
educacin por medio de la factura.
z Impacto residual en factor Operacin: Grave 5
z Frecuencia: Ocasional 4
z Impacto x Frecuencia: 20
z ndice de riesgo: 20/400= 0.5
z Perfil de riesgo: Inaceptable
Escenario E-2
con medidas de intervencin
Perfil de riesgo operacional (ejemplos)
8 Constante
7 Habitual E-2
6 Frecuente
5 Moderado B-2.1
4 Ocasional
3 Espordico A-1
2 Remoto
1 Improbable
Frecuencia Insignif. Marginal Grave Crtico Desastr. Catastr.
Impacto 1 2 5 10 20 50
Nivel de riesgo: Aceptable Tolerable Inaceptable Inadmisible
Matrices de riesgos del proceso
z Son las matrices resultantes de acumular los
perfiles de riesgo inherente y residual por
factor de vulnerabilidad.
z El ndice de riesgo de un escenario se calcula
como (f x if) y la vulnerabilidad relativa como
(nivel / 2800).
z Las matrices se obtienen al ubicar estos
valores sobre la matriz de aceptabilidad.
Calcular ndices y armar grficas
z Criticidad: permite determinar los riesgos que
necesitan intervencin en forma prioritaria.
z Potencial de dao: permite conocer el
volumen de riesgo que afecta al sistema.
z Distribucin de escenarios.
ndice de criticidad
z Para cada escenario se calcula:
donde:
70
IC = 199/686*100 = 29
55 40
30
13
Aceptable 2%
3
1
Personas Ambiente Finanzas Operacin Imagen Mercado Informacin
0
50
100
150
200
250
300
350
400
450
500
Sis
mo
Si
sm
I nu o
nda
cin In
nd u
a
Ray
o
ci
n R
Acc ay
o
Fau in de
na la Ac
Inc. ci
Est n
ruc
Fa tura
un l a
In
c
Ince .E
Lq ndio d st
ui d ru
In os e ct
ur
c. al
Exp L
qu
losi
Ex n id
os
Fall
pl
a
os
i
equ de n
i po
Fall
Fa
lla
s
a es Eq
truc
ndice de criticidad
tura ui
l
Fa po
lla s
Ate Es
nt a t.
At do
en
ta
do
Hur
H
ur to
to
Sab
ot aje Sa
bo
ta
e Par j
o Pa
ro
Fra
ude
Fr
au
Agr de
esi
n Ag
re
Falt si
ad n
e pa
go Fa
l
ta
Imagen
de
Mercado
Finanzas
pa
Personas
Ambiente
g
Operacin
o
Informacin
ndice potencial de dao
z Para cada factor de vulnerabilidad se calcula:
IPDf = VMe
donde
VMe = Vulnerabilidad marginal de cada escenario
IPDP = IPDf
Potencial de dao ambiental (ejemplo)
Vuln. Relativa
Mxima 100%
Vulnerabilidad Marginal
61
54
38
Aceptable 2%
3
1
X-1 X-2 x-3 X-4 X-5 X-6
ndice potencial de dao (ejemplo)
585
600
500
Personas
400 Operacin
Finanzas
278 Imagen
300
195 Mercado
188
200 170 Informacion
88 Ambiente
100 74
0
ndice potencial de dao (ejemplo)
5%
12%
Personas
36%
11%
Operacin
Finanzas
Imagen
Mercado
Informacin
Ambiente
18%
6%
12%
ndice distribucin de escenarios
z Para cada nivel de riesgo se calcula:
IDEn = En / Es x 100
donde
En = Cantidad de escenarios en el nivel n
Es = Cantidad de escenarios en el sistema
Aceptable
20% Tolerable
Inaceptable
Inadmisible
28%
50%
2%
Distribucin de escenarios (ejemplo)
0 Inadmisible
15 Inaceptable
IDE ESTNDAR Tolerable
25
60 Aceptable
2
28
IDE ACTUAL
20
50
0 20 40 60 80 100
Distribucin de escenarios (ejemplo)
Adriana Toscano
Fernando Yurisich
Diciembre 2005