20 de Marzo, 2014 Qu pierde su Empresa? Mercanca Clientes Tiempo Prestigio Multas = DINERO Anlisis de Riesgos Metodologa ISO 31010 Definiciones Riesgo: Es un evento que si ocurre puede tener un efecto positivo (Oportunidad) o negativo (Amenaza) sobre el proyecto. Es el efecto de la incertidumbre sobre los objetivos.
Gestin de Riesgos: El proceso de ponderacin de las distintas opciones en base a los resultados de la valoracin de riesgos. Procesos para aumentar la probabilidad e impacto de las oportunidades y reducir la probabilidad e impacto de las amenazas.
Consecuencia (Impacto) Riesgo Causa (Probabilidad) Causa 1 Causa 2 Consecuencia 1 Consecuencia 2 Identificacin Anlisis y Priorizacin Establecer Planes de Respuesta Monitoreo y Control Definiciones Acciones Mitigadoras: Antes de que el Riesgo suceda.
Acciones de Contingencia: Cuando el Riesgo ya sucede.
Riesgos Individuales: Afectan a los objetivos del Proyecto.
Riesgos Globales: Afectan de manera global la operacin de la compaa.
Reservas: Provisin de fondos para mitigar riesgos del cronograma y/o costos (Gestin y Contingencias). Desencadenador Acciones Mitigadoras Acciones de Contingencia LECCIN APRENDIDA (?) PROBLEMA RIESGO CICLO DE VIDA DE UN RIESGO Ejemplos de Tipo de Riesgo RIESGO LABORAL BIOLGICO FINANCIERO Falta de Estabilidad o Seguridad en un Trabajo Posibilidad de contagio por el contacto con materiales que son potencialmente peligrosos. Est relacionado a la solvencia monetaria de una persona, una empresa o un pas. Contaminacin de Embarque: Introduccin de mercancas ilegales y/o prohibidas, tales como drogas, precursores qumicos, armas de destruccin masiva, armas qumicas y biolgicas, dentro de embarques legtimos de las empresas que realizan operaciones de comercio. Introduccin ISO 28000 Sistema de Gestin de Seguridad en la Cadena de Suministros ISO 31000 Principios y Directrices para la implementacin de la Gestin de Riesgos ISO 31010 Tcnicas y Evaluacin de Riesgos Estructura de la Norma Principios Framework Procesos Gestin del Riesgo Comunicacin y Consulta
1. Establecer el contexto.
2. Intereses de las partes (entendidos y considerados).
3. Riesgos adecuadamente identificados.
4. Diferentes reas de especializacin.
5. Diferentes puntos de vista en la definicin de criterios de riesgo y en la evaluacin.
6. Respaldo y apoyo al plan de tratamiento.
7. Adecuada comunicacin interna y externa y un plan de consulta. Creacin de un Comit Interno Anlisis y Evaluacin de Riesgos Plan de Tratamiento Establecimiento del Contexto
1. Define parmetros bsicos para la gestin 2. Establece el Alcance y Criterios 3. Definicin de Contexto Externo e Interno y de Gestin
Los parmetros bsicos, el Alcance y los criterios son los Estndares de Seguridad del Programa NEEC
Establecimiento del Contexto Contexto Externo: Entendimiento sobre el ambiente en el que la organizacin y el sistema opera: 1. Factores Ambientales, culturales, polticos, legales, regulatorios, financieros, econmicos (internacional, nacional, regional o local). 2. Factores claves y tendencias que tienen impactos en los objetivos de la organizacin. 3. Percepciones y valores de las partes interesadas.
Contexto Interno: Entendimiento de: 1. Capacidades en trminos de recursos y conocimientos 2. Partes interesadas (Flujo de Informacin, Toma de decisiones Responsabilidades) 3. Polticas, Procesos, Normas y Modelos adoptados por la organizacin Establecimiento del Contexto Contexto Proceso de Gestin: Definir: Responsabilidades y actividades Relacin entre proyectos particulares Metodologas de Valoracin de riesgos Criterios de Riesgo Cmo evaluar el desempeo de la Gestin de riesgos Decisiones y acciones que deben realizarse Alcance, estudios necesarios y recursos requeridos
Naturaleza y Tipos de Consecuencias a incluirse Forma en la que se expresarn las probabilidades Cmo se determinar el nivel de riesgo Criterios para decidir cuando un riesgo merece tratamiento Criterios para decidir si un riesgo es aceptable y/o tolerable Establecimiento del Contexto Estndares y Sub estndares NEEC: Valoracin del Riesgo Es el proceso global de Identificar, Analizar y Evaluar el Riesgo Identificacin del Riesgo Mtodo Sugerido: Integracin de Comit Interno formado por expertos de las reas crticas para identificar los riesgos (Tcnica Lluvia de Ideas o Metodologa Delphi) Anlisis del Riesgo Para qu sirve? Tratar de desarrollar un entendimiento global del Riesgo Proporcionar elementos para valorar y decidir sobre los riesgos Desarrollar estrategias y mtodos adecuados para tratar el riesgo Determinar consecuencias y probabilidades de eventos riesgosos Anlisis del Riesgo Valoracin de Controles
Anlisis de Consecuencias
Estimacin de Probabilidad Anlisis del Riesgo Valoracin de Controles
El nivel de riesgos depende directamente de la adecuacin y eficacia de controles existentes
Cules son los controles existentes para el riesgo? Estos controles son capaces de tratar adecuadamente el riesgo en un nivel tolerable? En la prctica Estn operando los controles en la manera planeada y puede demostrarse que son eficaces cuando se requiera? En la mayora de los casos, un nivel alto de exactitud no se garantiza
Es de valor registrar mediciones de la eficacia para emitir juicios si el esfuerzo es mejor al asignarle recursos o tratndolo de manera diferente.
Anlisis del Riesgo Anlisis de Consecuencias
Determina la naturaleza y el tipo de impacto si ocurre un evento
Los impactos pueden ser de consecuencias bajas pero con altas probabilidades, o altas consecuencias y baja probabilidad, o algn resultado intermedio.
El anlisis de consecuencias puede involucrar:
Tomar en consideracin controles existentes para tratar las consecuencias Relacionar las consecuencias a los objetivos originales Considerar consecuencias inmediatas y futuras (si el alcance lo permite) Considerar consecuencias secundarias (impacto a sistemas asociados, actividades, equipo u organizaciones) Anlisis del Riesgo Estimacin de la Probabilidad
Tres enfoques generales se emplean comnmente para estimar la probabilidad:
El uso de datos histricos relevantes de eventos que han ocurrido. Si hay una muy baja frecuencia de ocurrencia, cualquier estimacin de la probabilidad ser muy incierta.
Pronsticos de probabilidad empleando tcnicas predictivas como el rbol de falla y el anlisis de rbol de eventos.
La opinin experta puede utilizarse en un proceso sistemtico y estructurado para estimar la probabilidad. Anlisis del Riesgo Medicin del Riesgo (NPR)
Matriz Cruzada: P r o b a b i l i d a d
Consecuencia Frecuente
Moderado
Ocasional
Remoto
Improbable Insignificante Menor Medio Crtico Muy Crtico Catastrfico 1 - 50 51 100 101 300 301 500 501 750 750 - 1000 Evaluacin del Riesgo La evaluacin del riesgo involucra comparar niveles de riesgo con criterios definidos cuando el contexto fue establecido.
Es necesario el entendimiento del riesgo obtenido durante el anlisis para tomar decisiones de las acciones futuras.
Consideraciones ticas legales, financieras, entre otras, son elementos de entrada para la decisin.
Las decisiones pueden incluir:
Si un riesgo necesita tratamiento Prioridades para el tratamiento Si una actividad debera emprenderse Cul de los diferentes caminos debera seguirse Riesgo Intolerable: El tratamiento es esencial sin importar el costo.
Riesgo Intermedio: Se toman en cuenta costos y beneficios contra las consecuencias probables para decidir
Riesgo Insignificante: No son necesarias medidas de tratamiento Un enfoque comn es dividirlos en 3: Tratamiento Situacin Potencial Evento Consecuencia Estado de Resultados Prevencin Reduccin Transferencia Documentacin El proceso de valoracin del riesgo debe documentarse junto con los resultados de la valoracin.
La extensin del informe depender de los objetivos y el alcance. Los reportes pueden incluir:
Objetivos y Alcance Descripcin de las partes relevantes del sistema y sus funciones Resumen del contexto externo e interno Criterios de riesgo aplicados y su justificacin Limitaciones, supuestos y justificacin de hiptesis Metodologa de valoracin Resultados de la identificacin del riesgo Datos, supuestos y sus fuentes y su validacin Resultado del anlisis de riesgos y su evaluacin Anlisis de sensibilidad e incertidumbre Supuestos crticos y factores a dar seguimiento Discusin de resultados Conclusiones y Recomendaciones Referencias Seguimiento y Revisin El contexto y otros factores pueden variar a lo largo del tiempo y podran cambiar o invalidar la valoracin del riesgo.
Debe darse un seguimiento continuo y revisin, para que la valoracin del riesgo pueda actualizarse cuando sea necesario.
Las responsabilidades para la creacin y revisin de la evidencia y documentacin debe definirse y documentarse. Seguimiento y Revisin Seleccin de tcnicas de valoracin de riesgos
La valoracin de riesgos puede realizarse en varios grados de profundidad y detalle y utilizando uno o ms mtodos que varan de simples a complejos.
Las tcnicas adecuadas deben mostrar las siguientes caractersticas:
Debe ser justificable y apropiada para la situacin u organizacin Debe proporcionar resultados en una forma entendible Debe ser capaz de utilizarse en una manera trazable, repetible y verificable
Un mtodo simple bien hecho, puede proporcionar mejores resultados que un procedimiento ms sofisticado pobremente realizado
Aplicabilidad de las herramientas Aplicabilidad de las herramientas Aplicabilidad de las herramientas Anlisis del Modo y Efecto de la Falla (AMEF) Anlisis de Corbata de Lazo Anlisis de rbol de Fallas (Control de Acceso) Acceso Hostil Confianza de Empleado Conspiracin Interna Ejemplo de un Reporte de Anlisis de Riesgo CASCEM SIMULACROS DE SEGURIDAD
Pruebas a los controles en la cadena logstica 4 PREGUNTAS: