Anlisis de Riesgos

Metodologa ISO 31010

20 de Marzo, 2014
Qu pierde su Empresa?
Mercanca
Clientes
Tiempo
Prestigio
Multas
= DINERO
Anlisis de Riesgos
Metodologa ISO 31010
Definiciones
Riesgo:
Es un evento que si ocurre puede tener un efecto
positivo (Oportunidad) o negativo (Amenaza) sobre
el proyecto. Es el efecto de la incertidumbre sobre
los objetivos.







Gestin de Riesgos:
El proceso de ponderacin de las distintas opciones
en base a los resultados de la valoracin de riesgos.
Procesos para aumentar la probabilidad e impacto
de las oportunidades y reducir la probabilidad e
impacto de las amenazas.

Consecuencia
(Impacto)
Riesgo
Causa
(Probabilidad)
Causa 1
Causa 2
Consecuencia 1
Consecuencia 2
Identificacin
Anlisis y
Priorizacin
Establecer
Planes de
Respuesta
Monitoreo y
Control
Definiciones
Acciones Mitigadoras:
Antes de que el Riesgo suceda.

Acciones de Contingencia:
Cuando el Riesgo ya sucede.

Riesgos Individuales:
Afectan a los objetivos del Proyecto.

Riesgos Globales:
Afectan de manera global la operacin
de la compaa.

Reservas:
Provisin de fondos para mitigar
riesgos del cronograma y/o costos
(Gestin y Contingencias).
Desencadenador
Acciones Mitigadoras
Acciones de Contingencia
LECCIN
APRENDIDA
(?)
PROBLEMA RIESGO
CICLO DE VIDA DE UN RIESGO
Ejemplos de Tipo de Riesgo
RIESGO
LABORAL
BIOLGICO
FINANCIERO
Falta de Estabilidad o
Seguridad en un Trabajo
Posibilidad de contagio por el
contacto con materiales que son
potencialmente peligrosos.
Est relacionado a la solvencia
monetaria de una persona, una
empresa o un pas.
Contaminacin de Embarque:
Introduccin de mercancas ilegales y/o prohibidas, tales como drogas, precursores qumicos,
armas de destruccin masiva, armas qumicas y biolgicas, dentro de embarques legtimos de las
empresas que realizan operaciones de comercio.
Introduccin
ISO 28000
Sistema de Gestin
de Seguridad en la
Cadena de
Suministros
ISO 31000
Principios y
Directrices para la
implementacin de
la Gestin de
Riesgos
ISO 31010
Tcnicas y
Evaluacin de
Riesgos
Estructura de la Norma
Principios Framework Procesos
Gestin del Riesgo
Comunicacin y Consulta

1. Establecer el contexto.

2. Intereses de las partes (entendidos y
considerados).

3. Riesgos adecuadamente identificados.

4. Diferentes reas de especializacin.

5. Diferentes puntos de vista en la definicin de
criterios de riesgo y en la evaluacin.

6. Respaldo y apoyo al plan de tratamiento.

7. Adecuada comunicacin interna y externa y un
plan de consulta.
Creacin de un Comit
Interno
Anlisis y Evaluacin
de Riesgos
Plan de Tratamiento
Establecimiento del Contexto

1. Define parmetros bsicos para la gestin
2. Establece el Alcance y Criterios
3. Definicin de Contexto Externo e Interno y de
Gestin


Los parmetros bsicos, el Alcance y los criterios
son los Estndares de Seguridad del Programa
NEEC

Establecimiento del Contexto
Contexto Externo:
Entendimiento sobre el ambiente en el que la organizacin y el sistema opera:
1. Factores Ambientales, culturales, polticos, legales, regulatorios,
financieros, econmicos (internacional, nacional, regional o local).
2. Factores claves y tendencias que tienen impactos en los objetivos de la
organizacin.
3. Percepciones y valores de las partes interesadas.

Contexto Interno:
Entendimiento de:
1. Capacidades en trminos de recursos y conocimientos
2. Partes interesadas (Flujo de Informacin, Toma de decisiones
Responsabilidades)
3. Polticas, Procesos, Normas y Modelos adoptados por la organizacin
Establecimiento del Contexto
Contexto Proceso de Gestin:
Definir:
Responsabilidades y actividades
Relacin entre proyectos particulares
Metodologas de Valoracin de riesgos
Criterios de Riesgo
Cmo evaluar el desempeo de la Gestin de riesgos
Decisiones y acciones que deben realizarse
Alcance, estudios necesarios y recursos requeridos

Naturaleza y Tipos de Consecuencias a incluirse
Forma en la que se expresarn las probabilidades
Cmo se determinar el nivel de riesgo
Criterios para decidir cuando un riesgo merece tratamiento
Criterios para decidir si un riesgo es aceptable y/o tolerable
Establecimiento del Contexto
Estndares y Sub estndares NEEC:
Valoracin del Riesgo
Es el proceso global
de Identificar,
Analizar y Evaluar el
Riesgo
Identificacin del Riesgo
Mtodo Sugerido:
Integracin de Comit Interno formado
por expertos de las reas crticas para
identificar los riesgos (Tcnica Lluvia de
Ideas o Metodologa Delphi)
Anlisis del Riesgo
Para qu sirve?
Tratar de desarrollar un entendimiento global del Riesgo
Proporcionar elementos para valorar y decidir sobre los riesgos
Desarrollar estrategias y mtodos adecuados para tratar el riesgo
Determinar consecuencias y probabilidades de eventos riesgosos
Anlisis del Riesgo
Valoracin de Controles


Anlisis de Consecuencias


Estimacin de Probabilidad
Anlisis del Riesgo
Valoracin de Controles

El nivel de riesgos depende directamente de la
adecuacin y eficacia de controles existentes

Cules son los controles existentes para el riesgo?
Estos controles son capaces de tratar adecuadamente el
riesgo en un nivel tolerable?
En la prctica Estn operando los controles en la manera
planeada y puede demostrarse que son eficaces cuando se
requiera?
En la mayora de los casos, un nivel alto de exactitud no
se garantiza

Es de valor registrar mediciones de la eficacia para emitir
juicios si el esfuerzo es mejor al asignarle recursos o
tratndolo de manera diferente.

Anlisis del Riesgo
Anlisis de Consecuencias

Determina la naturaleza y el tipo de impacto si ocurre un
evento

Los impactos pueden ser de consecuencias bajas pero con
altas probabilidades, o altas consecuencias y baja
probabilidad, o algn resultado intermedio.

El anlisis de consecuencias puede involucrar:

Tomar en consideracin controles existentes para tratar las
consecuencias
Relacionar las consecuencias a los objetivos originales
Considerar consecuencias inmediatas y futuras (si el alcance
lo permite)
Considerar consecuencias secundarias (impacto a sistemas
asociados, actividades, equipo u organizaciones)
Anlisis del Riesgo
Estimacin de la Probabilidad

Tres enfoques generales se emplean comnmente para estimar la
probabilidad:


El uso de datos histricos relevantes de eventos que han
ocurrido. Si hay una muy baja frecuencia de ocurrencia,
cualquier estimacin de la probabilidad ser muy incierta.

Pronsticos de probabilidad empleando tcnicas predictivas
como el rbol de falla y el anlisis de rbol de eventos.

La opinin experta puede utilizarse en un proceso sistemtico y
estructurado para estimar la probabilidad.
Anlisis del Riesgo
Medicin del Riesgo (NPR)

Matriz Cruzada:
P
r
o
b
a
b
i
l
i
d
a
d

Consecuencia
Frecuente

Moderado

Ocasional

Remoto

Improbable
Insignificante Menor Medio Crtico Muy Crtico Catastrfico
1 - 50 51 100 101 300 301 500 501 750 750 - 1000
Evaluacin del Riesgo
La evaluacin del riesgo involucra comparar niveles de riesgo con criterios definidos
cuando el contexto fue establecido.

Es necesario el entendimiento del riesgo obtenido durante el anlisis para tomar
decisiones de las acciones futuras.

Consideraciones ticas legales, financieras, entre otras, son elementos de entrada para la
decisin.

Las decisiones pueden incluir:

Si un riesgo necesita tratamiento
Prioridades para el tratamiento
Si una actividad debera emprenderse
Cul de los diferentes caminos debera seguirse
Riesgo Intolerable: El tratamiento es
esencial sin importar el costo.

Riesgo Intermedio: Se toman en cuenta
costos y beneficios contra las consecuencias
probables para decidir

Riesgo Insignificante: No son necesarias
medidas de tratamiento
Un enfoque comn es dividirlos en 3:
Tratamiento
Situacin
Potencial
Evento
Consecuencia
Estado de
Resultados
Prevencin Reduccin
Transferencia
Documentacin
El proceso de valoracin del riesgo debe documentarse junto con los resultados de la valoracin.

La extensin del informe depender de los objetivos y el alcance. Los reportes pueden incluir:

Objetivos y Alcance
Descripcin de las partes relevantes del sistema y sus funciones
Resumen del contexto externo e interno
Criterios de riesgo aplicados y su justificacin
Limitaciones, supuestos y justificacin de hiptesis
Metodologa de valoracin
Resultados de la identificacin del riesgo
Datos, supuestos y sus fuentes y su validacin
Resultado del anlisis de riesgos y su evaluacin
Anlisis de sensibilidad e incertidumbre
Supuestos crticos y factores a dar seguimiento
Discusin de resultados
Conclusiones y Recomendaciones
Referencias
Seguimiento y Revisin
El contexto y otros factores pueden variar a lo largo del tiempo y podran cambiar o
invalidar la valoracin del riesgo.

Debe darse un seguimiento continuo y revisin, para que la valoracin del riesgo pueda
actualizarse cuando sea necesario.

Las responsabilidades para la creacin y revisin de la evidencia y documentacin debe
definirse y documentarse.
Seguimiento y Revisin
Seleccin de tcnicas de valoracin de riesgos

La valoracin de riesgos puede realizarse en varios grados de profundidad y detalle y
utilizando uno o ms mtodos que varan de simples a complejos.

Las tcnicas adecuadas deben mostrar las siguientes caractersticas:

Debe ser justificable y apropiada para la situacin u organizacin
Debe proporcionar resultados en una forma entendible
Debe ser capaz de utilizarse en una manera trazable, repetible y verificable



Un mtodo simple bien hecho, puede proporcionar mejores resultados que un
procedimiento ms sofisticado pobremente realizado


Aplicabilidad de las herramientas
Aplicabilidad de las herramientas
Aplicabilidad de las herramientas
Anlisis del Modo y Efecto de la Falla (AMEF)
Anlisis de Corbata de Lazo
Anlisis de rbol de Fallas
(Control de Acceso)
Acceso Hostil
Confianza de
Empleado
Conspiracin Interna
Ejemplo de un Reporte de Anlisis de Riesgo CASCEM
SIMULACROS DE SEGURIDAD

Pruebas a los controles en la cadena logstica
4 PREGUNTAS:

COMCE Noreste, A.C.
+52 (81) 8130 5360
01 800 01 COMCE
mail@comcenoreste.org.mx