Análisis de Riesgos Primeros pasos en UTE Adriana Toscano Fernando Yurisich Diciembre 2005
Agenda Historia. Objetivos. Análisis macro de riesgos. Análisis micro de riesgos. Beneficios.
Historia Hasta el año 2001 elaboramos el Plan Anual a partir de la experiencia acumulada y solo consideramos los riesgos en el momento de escribir el informe. En el 2001 construimos la matriz de riesgos de la Empresa, determinando la exposición (impacto X frecuencia, escalas AMB) a los principales riesgos involucrados en cada actividad de la cadena de valor.
Historia En el año 2002, un tercio de los trabajos incluidos en el Plan Anual tiene por objetivo evaluar la cobertura dada a los riesgos calificados como de exposición alta. En los años 2003 y 2004, se mantiene la proporción pero se analizan los riesgos calificados como de exposición media. En el año 2004, y ante la necesidad de actualizar la matriz de riesgos, decidimos adoptar una nueva metodología de trabajo.
Objetivos Determinar los perfiles e índices de riesgo de los procesos de la Empresa. Elaborar el Plan de Auditoría a Largo Plazo. Identificar los trabajos de auditoría a realizar para evaluar la necesidad y suficiencia de las principales medidas de administración de riesgo vigentes. Elaborar la matriz de riesgos de UTE. Impulsar, dentro de la Empresa, el uso del análisis de riesgos como herramienta de gestión.
Tareas principales Realizar un análisis macro de riesgos que permita ordenar los procesos de la Empresa según su nivel de riesgo. Para cada proceso, realizar un análisis micro de riesgos que permita identificar los principales riesgos y medidas de administración vigentes.
Análisis Macro de Riesgos Basado en un modelo de factores de riesgo ponderados. Realizado en talleres de trabajo con la participación de todos los auditores. Permite ordenar los procesos de la Empresa de acuerdo a su nivel de riesgo.
Factores de riesgo utilizados Nombre Materialidad Liquidez de activos Ambiente de control Descripción Nivel de activos, nivel de costos e impacto sobre los resultados. Exposición a la pérdida, valor de mercado y convertibilidad en dinero. Debilidades de control interno, carencia de documentación, fallas en la supervisión o el monitoreo, tiempo transcurrido desde la última auditoría y grado de implantación de las recomendaciones realizadas. Pond 20% 10% 20%
Factores de riesgo utilizados Nombre Complejidad de las transacciones Calidad del personal Descripción Características, conocimientos requeridos para realizarlas y cambios recientes en la forma de procesarlas o en la cantidad procesada. Competencia (habilidad + conocimiento + experiencia), integridad, compromiso con el control y la administración de riesgos y presiones para lograr objetivos. Pond 20% 10%
Factores de riesgo utilizados Nombre Ambiente de procesamiento de datos Descripción Grado de uso (dependencia), complejidad de los sistemas, cambios recientes, calidad del plan de contingencias, calidad de los controles de seguridad, grado de confianza en la efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y/o confiabilidad de la información. Pond 20%
Factores de riesgo utilizados Nombre Ambiente del negocio Descripción Impacto negativo en la imagen, contingencias políticas y legales, exposición regulatoria, expectativas de los clientes y confianza en proveedores de bienes y servicios. Pond 10% Cada factor se califica (C) de 1 a 5 y el nivel de riesgo (N) se calcula como: N = Σ C f x Pond. f
Análisis micro de riesgos Basado en el estudio de escenarios de riesgo construidos a partir de las amenazas que afectan a los recursos utilizados por los procesos. Realizado en talleres de trabajo con la participación del personal involucrado. Permite ordenar los escenarios por sus niveles de riesgo inherente y residual, así como identificar las medidas de administración vigentes (cuantificando su eficacia y eficiencia).
Actividades a realizar Identificar amenazas. Identificar recursos amenazados. Construir escenarios de riesgo. Calificar escenarios. Construir perfiles de riesgo. Construir matrices de riesgos del proceso. Calcular índices y armar gráficas.
Identificar amenazas A partir de un listado estándar de amenazas, determinar cuales son los eventos que pueden afectar al proceso. Seleccionar las amenazas relevantes: Tamaño relativo Alto Med Bajo 3 6 9 2 4 6 1 2 3 Bajo Med Alto Potencial de daño
Identificar recursos Construir un catálogo de los recursos (total o parcialmente) utilizados por el proceso: Personas. Edificios. Estructura. Equipamiento. Valores y documentos. Información. Procesos.
Construir escenarios Amenaza A B C D Recurso Inundación Rayo Plaga Incendio 1 SSEE A - 1 B - 1 C - 1 D - 1 2 Líneas B - 2 D - 2 3 Eq. Inform. A - 3 B - 3 C - 3 D - 3 4 RRHH B - 4 C - 4 D - 4 Recurso n D - n Ej. Proceso Operación de Trasmisión
Construir escenarios Amenaza E F G H Recurso Falla Accidente Hurto Restricción 1 SSEE E - 1 F - 1 G - 1 H - 1 2 Líneas E - 2 F - 2 G - 2 H -2 3 Eq. Inform. E - 3 F - 3 G - 3 H -3 4 RRHH F - 4 H - 4 Recurso n E - n H - n Ej. Proceso Operación de Trasmisión
Calificar escenarios Designar el grupo de evaluación y establecer métodos a utilizar (consenso, Delphi, etc.). Determinar la frecuencia con que pueden ocurrir. Determinar el impacto que puede sufrir la Empresa. Calcular el índice de riesgo (f x i) y la vulnerabilidad relativa (nivel / 400) de cada escenario para cada factor de vulnerabilidad.
Valoración de frecuencia Valor 1 2 3 4 5 6 7 8 Nivel Improbable Remoto Esporádico Ocasional Moderado Frecuente Habitual Constante Probabilidad / Casos al año Difícil / Menos de 0.005 Muy baja / Entre 0.005 y 0.01 Baja / Entre 0.01 y 0.02 Limitada / Entre 0.02 y 0.05 Mediana / Entre 0.05 y 0.2 Significativa / Entre 0.2 y 1 Alta / Entre 1 y 12 Muy alta / Más de 12
Valoración del impacto Valor 1 2 5 10 20 50 Nivel Insignificante Marginal Grave Crítico Desastroso Catastrófico Criterio general No afecta / Mínima No significativa / Pequeña Parcial temporal / Moderada Total temporal / Significativa Parcial permanente / Considerable Total permanente / Gran magnitud
Impactos a valorar Impacto: grado en que un sistema se ve afectado por las consecuencias del siniestro. Impacto inherente: impacto en caso de no existir estrategias de intervención. Impacto residual: impacto cuando se han implementado estrategias de intervención. Permiten medir la eficacia y la eficiencia de las estrategias de intervención: Eficacia = Inherente - Residual Eficiencia = Eficacia / Costo
Factores de vulnerabilidad Para facilitar la valoración, se analizarán por separado los siguientes componentes: Personas. Ambiente. Finanzas. Operación. Imagen. Mercado. Información.
Factor Personas Valor 1 2 5 10 20 50 Nivel Insignificante Marginal Grave Crítico Desastroso Catastrófico Consecuencias Víctimas sin lesiones Lesiones leves sin incapacidad Lesiones leves incapacitantes Una víctima grave hospitalizada Varios graves o una muerte Varias muertes Refleja la ética y la política de la Empresa, no mide el riesgo real.
Factor Ambiente Valor 1 2 5 10 20 50 Nivel Insignificante Marginal Grave Crítico Desastroso Catastrófico Consecuencias Sin daño ambiental Daño leve recuperable Leve no recuperable Grave recuperable a mediano plazo Grave recuperable a largo plazo Grave no recuperable
Factor Finanzas Valor 1 2 5 10 20 50 Nivel Insignificante Marginal Grave Crítico Desastroso Catastrófico Consecuencias (en U$S) Menor a 200 mil (1 a 3 por %00) Entre 200 y 1 millón Entre 1 y 10 millones Entre 10 y 100 millones Entre 100 y 300 millones Más de 300 millones (15 a 25%) Refleja la afectación del patrimonio neto y la disposición a perder dinero.
Factor Operación Valor 1 2 5 10 20 50 Nivel Insignificante Marginal Grave Crítico Desastroso Catastrófico Consecuencias Menor a 9 segundos Entre 9 segundos y 3 minutos Entre 3 m y 1 hora Entre 1 y 3 horas Entre 3 y 6 horas Más de 6 horas Se mide el tiempo de interrupción de la potencia media total del sistema (1000 MW).
Factor Operación Nivel 1000 MW 50 MW 15 MW Insignificante <= 9 seg. <= 3 min. <= 10 min. Marginal <= 3 min. <= 1:00 hs. <= 3:20 hs Grave <= 1 h. <= 20 hs. <= 66:40 hs Crítico <= 3 hs. <= 60 hs. <= 200 hs. Desastroso <= 6 hs. <=120 hs. <= 400 hs. Catastrófico > 6 hs. > 120 hs. > 400 hs. Ejemplos de aplicación en diferentes escenarios.
Factor Imagen Valor 1 2 5 10 20 50 Nivel Insignificante Marginal Grave Crítico Desastroso Catastrófico Consecuencias Conocido sólo en la instalación Conocido sólo en la empresa Conocido a nivel local Conocido a nivel nacional Conocido a nivel regional Conocido a nivel internacional
Factor Mercado Valor 1 2 5 10 20 50 Nivel Insignificante Marginal Grave Crítico Desastroso Catastrófico Consecuencias Pérdida menor a 0.1% Entre 0.1 y 0.5% Entre 0.5 y 2.0% Entre 2 y 5% Entre 5 y 10% Mayor al 10% Se mide la cantidad de clientes perdidos.
Factor Información Valor 1 2 5 10 20 50 Nivel Insignificante Marginal Grave Crítico Desastroso Catastrófico Consecuencias Hasta 10% de información no crítica Entre 10 y 30% de información no crítica Más del 30% de información no crítica Hasta 10% de información crítica Entre 10 y 30% de información crítica Más del 30% de información crítica
Construir perfiles de riesgo Para cada factor de vulnerabilidad evaluado se creará un perfil de riesgo inherente y otro residual ubicando los resultados de la evaluación sobre la Matriz de Aceptabilidad. Criterios de aceptabilidad: Un escenario es: Aceptable Tolerable Inaceptable Inadmisible Si su vulnerabilidad relativa es: <= al 2% > al 2% y <= 4% > al 4% y <= 15% > al 15%
Matriz de aceptabilidad 8 Constante 2 % 4 % 10 % 20 % 40% 100% 7 Habitual 1.75% 3.5 % 8.75% 17.5% 35% 87.5% 6 Frecuente 1.5 % 3 % 7.5 % 15 % 30% 75% 5 Moderado 1.25% 2.5 % 6.25% 12.5% 25% 62.5% 4 Ocasional 1 % 2 % 5 % 10 % 20% 50% 3 Esporádico.75% 1.5 % 3.75% 7.5% 15% 37.5% 2 Remoto.5 % 1 % 2.5 % 5% 10% 25% 1 Improbable.25 %.5 % 1.25% 2.5% 5% 12.5% Frecuencia Insignif. Marginal Grave Crítico Desastr. Catastr. Impacto 1 2 5 10 20 50 Nivel de riesgo: Aceptable Tolerable Inaceptable Inadmisible
Ejemplo de calificación Factor de Amenaza: Inundación Recurso: SSEE xxx Impacto inherente en factor Operación: Grave 5 Frecuencia: Esporádico 3 Impacto x Frecuencia: 15 Índice de riesgo: 15/400= 0.0375 Perfil de riesgo: Tolerable Escenario A-1
Ejemplo de calificación Factor de amenaza: Rayo Recurso: Línea Aérea m sin cable de guardia operativo (protección contra rayos) Impacto inherente en f. Operación: Crítico 10 Frecuencia : Moderada 5 Impacto x Frecuencia: 50 Índice de riesgo: 50/400= 0.125 Perfil de riesgo: Inaceptable Escenario B-2.1
Ejemplo de calificación Factor de amenaza: Rayo Recurso: Línea Aérea m con cable de guardia operativo Impacto residual en f. Operación: Insignific. 1 Frecuencia : Moderada 5 Impacto x Frecuencia: 5 Índice de riesgo: 5/400= 0.0125 Perfil de riesgo: Aceptable Escenario B-2.1 con medida de intervención
Ejemplo de calificación Factor de Amenaza: Falla, ocasionada por cometas en las líneas. Recurso: Línea Aérea o Impacto inherente en factor Operación: Grave 5 Frecuencia: Habitual 7 Impacto x Frecuencia: 35 Índice de riesgo: 35/400= 0.875 Perfil de riesgo: Inaceptable Escenario E-2
Ejemplo de calificación Factor de Amenaza: Falla, ocasionada por cometas en las líneas. Recurso: Línea Aérea o, recorridas periódicas y educación por medio de la factura. Impacto residual en factor Operación: Grave 5 Frecuencia: Ocasional 4 Impacto x Frecuencia: 20 Índice de riesgo: 20/400= 0.5 Perfil de riesgo: Inaceptable Escenario E-2 con medidas de intervención
Perfil de riesgo operacional (ejemplos) 8 Constante 7 Habitual E-2 6 Frecuente 5 Moderado B-2.1 4 Ocasional 3 Esporádico A-1 2 Remoto 1 Improbable Frecuencia Insignif. Marginal Grave Crítico Desastr. Catastr. Impacto 1 2 5 10 20 50 Nivel de riesgo: Aceptable Tolerable Inaceptable Inadmisible
Matrices de riesgos del proceso Son las matrices resultantes de acumular los perfiles de riesgo inherente y residual por factor de vulnerabilidad. El índice de riesgo de un escenario se calcula como (f x Σ i f ) y la vulnerabilidad relativa como (nivel / 2800). Las matrices se obtienen al ubicar estos valores sobre la matriz de aceptabilidad.
Calcular índices y armar gráficas Criticidad: permite determinar los riesgos que necesitan intervención en forma prioritaria. Potencial de daño: permite conocer el volumen de riesgo que afecta al sistema. Distribución de escenarios.
Índice de criticidad Para cada escenario se calcula: IC e = VMA e / VMMA s x 100 donde: VMAe = Vulnerabilidad marginal acumulada del escenario = suma de las vulnerabilidades marginales de cada factor VMMAs = Vulnerab. marginal máxima acumulada en el sistema = (100 2) x 7 = 686
Criticidad del escenario X-n (ejemplo) Vuln. Relativa Máxima 100% Vulnerabilidad Marginal 70 IC = 199/686*100 = 29 55 40 30 13 3 1 Aceptable 2% Personas Ambiente Finanzas Operación Imagen Mercado Información
500 450 400 350 300 250 200 150 100 50 0 Ambiente Información Mercado Imagen Finanzas Operación Personas Fraude Agresión Falta de pago Agresión Falta de pago Paro Paro Fraude Sabotaje Índice de criticidad Sismo Rayo Inundación Inc. Estructural Acción Fauna Explosión Inc. Líquidos Falla Est. Falla Equipos Hurto Atentado Sismo Inundación Rayo Acción de la Fauna Inc. Estructural Incendio de Líquidos Explosión Falla de equipos Falla estructural Atentado Hurto Sabotaje
Índice potencial de daño Para cada factor de vulnerabilidad se calcula: IPD f = Σ VM e donde VM e = Vulnerabilidad marginal de cada escenario Para el proceso se calcula: IPD P = Σ IPD f
Potencial de daño ambiental (ejemplo) Vuln. Relativa Máxima 100% Vulnerabilidad Marginal 85 IPD = 59+36+83+52+1 = 231 61 54 38 X-1 X-2 x-3 X-4 X-5 X-6 3 1 Aceptable 2%
Índice potencial de daño (ejemplo) 600 585 500 400 300 200 100 88 195 278 170 188 74 Personas Operación Finanzas Imagen Mercado Informacion Ambiente 0
Índice potencial de daño (ejemplo) 11% 18% 12% 5% 12% 6% 36% Personas Operación Finanzas Imagen Mercado Información Ambiente
Índice distribución de escenarios Para cada nivel de riesgo se calcula: IDEn = En / Es x 100 donde En = Cantidad de escenarios en el nivel n Es = Cantidad de escenarios en el sistema Nivel de riesgo: Aceptable Tolerable Inaceptable Inadmisible
Distribución de escenarios (ejemplo) Nivel de riesgo Cant. IDE Estándar Inadmisible 1 2% 1 0% Inaceptable 14 28% 14 15% Tolerable 10 20% 10 25% Aceptable 25 50% 25 60% La distribución estándar refleja la tolerancia de la Empresa al riesgo.
Distribución de escenarios (ejemplo) 20% Aceptable Tolerable Inaceptable Inadmisible 28% 50% 2%
Distribución de escenarios (ejemplo) IDE ESTÁNDAR 0 15 25 60 Inadmisible Inaceptable Tolerable Aceptable IDE ACTUAL 2 20 28 50 0 20 40 60 80 100
Distribución de escenarios (ejemplo) 100 90 80 70 60 50 40 30 20 10 0 IDE ACTUAL IDE ESTÁNDAR Aceptable Tolerable Inaceptable Inadmisible
Beneficios Detectar los riesgos sin cobertura suficiente. Utilizando el principio de Pareto, nos permite identificar los escenarios cuyo potencial de daño acumulado alcanza el 80% del total. El auditor puede definir, sobre bases confiables, los objetivos particulares de los trabajos a realizar.
Beneficios El responsable del proceso puede planificar e implementar las estrategias de intervención más eficaces y eficientes para alinear el índice de distribución de escenarios al estándar. Aplicaciones periódicas permiten detectar cambios en las debilidades y estrategias de intervención. Además, permiten verificar si se han logrado los resultados esperados y, en caso negativo, identificar las causas.
Beneficios La metodología y los detalles de amenazas, debilidades, recursos, escenarios de riesgo y estrategias de intervención pueden ser utilizados para realizar análisis de riesgos localizados. Para ello alcanza con seleccionar como sistema un área geográfica, unidad, proceso, instalación o equipo particular, ajustar las tablas de valoración del impacto y seleccionar los factores de vulnerabilidad involucrados.
Beneficios Los análisis de riesgos localizados pueden ser utilizados, por ejemplo, para: Elaborar planes de mantenimiento de equipos e instalaciones. Diseñar planes de contingencia. Estudiar los perfiles de riesgo de equipos, instalaciones o procesos, antes de su adquisición o implementación. En ningún caso sustituyen al general (donde el sistema es UTE) ya que sus resultados no son comparables ni se pueden extrapolar
Muchas gracias!!! Adriana Toscano Fernando Yurisich Diciembre 2005