metodología iso 31010 - · pdf filedefiniciones riesgo: es un evento que si ocurre...
TRANSCRIPT
Análisis de Riesgos
Metodología ISO 31010
20 de Marzo, 2014
¿Qué pierde su Empresa?
• Mercancía • Clientes • Tiempo • Prestigio • Multas
= DINERO
Análisis de Riesgos
Metodología ISO 31010
Definiciones Riesgo:
Es un evento que si ocurre puede tener un efecto positivo (Oportunidad) o negativo (Amenaza) sobre el proyecto. Es el efecto de la incertidumbre sobre los objetivos.
Gestión de Riesgos:
El proceso de ponderación de las distintas opciones en base a los resultados de la valoración de riesgos. Procesos para aumentar la probabilidad e impacto de las oportunidades y reducir la probabilidad e impacto de las amenazas.
Consecuencia
(Impacto) Riesgo
Causa
(Probabilidad)
Causa 1
Causa 2
Consecuencia 1
Consecuencia 2
Identificación
Análisis y Priorización
Establecer Planes de Respuesta
Monitoreo y Control
Definiciones Acciones Mitigadoras:
Antes de que el Riesgo suceda.
Acciones de Contingencia:
Cuando el Riesgo ya sucede.
Riesgos Individuales:
Afectan a los objetivos del Proyecto.
Riesgos Globales:
Afectan de manera global la operación de la compañía.
Reservas:
Provisión de fondos para mitigar riesgos del cronograma y/o costos (Gestión y Contingencias).
Desencadenador
Acciones Mitigadoras Acciones de Contingencia
LECCIÓN APRENDIDA
(?) PROBLEMA RIESGO
CICLO DE VIDA DE UN RIESGO
Ejemplos de Tipo de Riesgo
RIESGO
LABORAL
BIOLÓGICO
FINANCIERO
Falta de Estabilidad o Seguridad en un Trabajo
Posibilidad de contagio por el contacto con materiales que son
potencialmente peligrosos.
Está relacionado a la solvencia monetaria de una persona, una
empresa o un país.
Contaminación de Embarque:
Introducción de mercancías ilegales y/o prohibidas, tales como drogas, precursores químicos, armas de destrucción masiva, armas químicas y biológicas, dentro de embarques legítimos de las empresas que realizan operaciones de comercio.
Introducción
ISO 28000
Sistema de Gestión de Seguridad en la Cadena de Suministros
ISO 31000
Principios y Directrices para la implementación de la Gestión de Riesgos
ISO 31010
Técnicas y Evaluación de Riesgos
Estructura de la Norma
Principios Framework Procesos
Gestión del Riesgo
Comunicación y Consulta
1. Establecer el contexto.
2. Intereses de las partes (entendidos y considerados).
3. Riesgos adecuadamente identificados.
4. Diferentes áreas de especialización.
5. Diferentes puntos de vista en la definición de criterios de riesgo y en la evaluación.
6. Respaldo y apoyo al plan de tratamiento.
7. Adecuada comunicación interna y externa y un plan de consulta.
Creación de un Comité Interno
Análisis y Evaluación de Riesgos
Plan de Tratamiento
Establecimiento del Contexto
1. Define parámetros básicos para la gestión
2. Establece el Alcance y Criterios
3. Definición de Contexto Externo e Interno y de Gestión
Los parámetros básicos, el Alcance y los criterios son los Estándares de Seguridad del Programa NEEC
Establecimiento del Contexto
Contexto Externo:
Entendimiento sobre el ambiente en el que la organización y el sistema opera:
1. Factores Ambientales, culturales, políticos, legales, regulatorios, financieros, económicos (internacional, nacional, regional o local).
2. Factores claves y tendencias que tienen impactos en los objetivos de la organización.
3. Percepciones y valores de las partes interesadas.
Contexto Interno:
Entendimiento de:
1. Capacidades en términos de recursos y conocimientos
2. Partes interesadas (Flujo de Información, Toma de decisiones Responsabilidades)
3. Políticas, Procesos, Normas y Modelos adoptados por la organización
Establecimiento del Contexto
Contexto Proceso de Gestión:
Definir:
• Responsabilidades y actividades
• Relación entre proyectos particulares
• Metodologías de Valoración de riesgos
• Criterios de Riesgo
• Cómo evaluar el desempeño de la Gestión de riesgos
• Decisiones y acciones que deben realizarse
• Alcance, estudios necesarios y recursos requeridos
• Naturaleza y Tipos de Consecuencias a incluirse
• Forma en la que se expresarán las probabilidades
• Cómo se determinará el nivel de riesgo
• Criterios para decidir cuando un riesgo merece tratamiento
• Criterios para decidir si un riesgo es aceptable y/o tolerable
Establecimiento del Contexto
Estándares y Sub estándares NEEC:
Valoración del Riesgo
Es el proceso global de Identificar,
Analizar y Evaluar el Riesgo
Identificación del Riesgo
Método Sugerido:
Integración de Comité Interno formado por expertos de las áreas críticas para
identificar los riesgos (Técnica “Lluvia de Ideas” o “Metodología Delphi”)
Análisis del Riesgo
¿Para qué sirve?
• Tratar de desarrollar un entendimiento global del Riesgo
• Proporcionar elementos para valorar y decidir sobre los riesgos
• Desarrollar estrategias y métodos adecuados para tratar el riesgo
• Determinar consecuencias y probabilidades de eventos riesgosos
Análisis del Riesgo
Valoración de Controles
Análisis de Consecuencias
Estimación de Probabilidad
Análisis del Riesgo
Valoración de Controles
• El nivel de riesgos depende directamente de la adecuación y eficacia de controles existentes
• ¿Cuáles son los controles existentes para el riesgo?
• Estos controles son capaces de tratar adecuadamente el riesgo en un nivel tolerable?
• En la práctica ¿ Están operando los controles en la manera planeada y puede demostrarse que son eficaces cuando se requiera?
• En la mayoría de los casos, un nivel alto de exactitud no se garantiza
• Es de valor registrar mediciones de la eficacia para emitir juicios si el esfuerzo es mejor al asignarle recursos o tratándolo de manera diferente.
Análisis del Riesgo
Análisis de Consecuencias
• Determina la naturaleza y el tipo de impacto si ocurre un evento
• Los impactos pueden ser de consecuencias bajas pero con altas probabilidades, o altas consecuencias y baja probabilidad, o algún resultado intermedio.
• El análisis de consecuencias puede involucrar:
• Tomar en consideración controles existentes para tratar las consecuencias
• Relacionar las consecuencias a los objetivos originales
• Considerar consecuencias inmediatas y futuras (si el alcance lo permite)
• Considerar consecuencias secundarias (impacto a sistemas asociados, actividades, equipo u organizaciones)
Análisis del Riesgo
Estimación de la Probabilidad
Tres enfoques generales se emplean comúnmente para estimar la probabilidad:
• El uso de datos históricos relevantes de eventos que han ocurrido. Si hay una muy baja frecuencia de ocurrencia, cualquier estimación de la probabilidad será muy incierta.
• Pronósticos de probabilidad empleando técnicas predictivas como el árbol de falla y el análisis de árbol de eventos.
• La opinión experta puede utilizarse en un proceso sistemático y estructurado para estimar la probabilidad.
Análisis del Riesgo
Medición del Riesgo (NPR)
Matriz Cruzada:
Pro
bab
ilid
ad
Consecuencia
Frecuente
Moderado
Ocasional
Remoto
Improbable
Insignificante Menor Medio Crítico Muy Crítico Catastrófico
1 - 50 51 – 100 101 – 300 301 – 500 501 – 750 750 - 1000
Evaluación del Riesgo
La evaluación del riesgo involucra comparar niveles de riesgo con criterios definidos cuando el contexto fue establecido.
Es necesario el entendimiento del riesgo obtenido durante el análisis para tomar decisiones de las acciones futuras.
Consideraciones éticas legales, financieras, entre otras, son elementos de entrada para la decisión.
Las decisiones pueden incluir:
• Si un riesgo necesita tratamiento
• Prioridades para el tratamiento
• Si una actividad debería emprenderse
• Cuál de los diferentes caminos debería seguirse
Riesgo Intolerable: El tratamiento es esencial sin importar el costo. Riesgo Intermedio: Se toman en cuenta costos y beneficios contra las consecuencias probables para decidir Riesgo Insignificante: No son necesarias medidas de tratamiento
Un enfoque común es dividirlos en 3:
Tratamiento
Situación Potencial
Evento Consecuencia Estado de
Resultados
Prevención Reducción Transferencia
Documentación
El proceso de valoración del riesgo debe documentarse junto con los resultados de la valoración.
La extensión del informe dependerá de los objetivos y el alcance. Los reportes pueden incluir:
• Objetivos y Alcance
• Descripción de las partes relevantes del sistema y sus funciones
• Resumen del contexto externo e interno
• Criterios de riesgo aplicados y su justificación
• Limitaciones, supuestos y justificación de hipótesis
• Metodología de valoración
• Resultados de la identificación del riesgo
• Datos, supuestos y sus fuentes y su validación
• Resultado del análisis de riesgos y su evaluación
• Análisis de sensibilidad e incertidumbre
• Supuestos críticos y factores a dar seguimiento
• Discusión de resultados
• Conclusiones y Recomendaciones
• Referencias
Seguimiento y Revisión
El contexto y otros factores pueden variar a lo largo del tiempo y podrían cambiar o invalidar la valoración del riesgo.
Debe darse un seguimiento continuo y revisión, para que la valoración del riesgo pueda actualizarse cuando sea necesario.
Las responsabilidades para la creación y revisión de la evidencia y documentación debe definirse y documentarse.
Seguimiento y Revisión Selección de técnicas de valoración de riesgos
La valoración de riesgos puede realizarse en varios grados de profundidad y detalle y utilizando uno o más métodos que varían de simples a complejos.
Las técnicas adecuadas deben mostrar las siguientes características:
• Debe ser justificable y apropiada para la situación u organización
• Debe proporcionar resultados en una forma entendible
• Debe ser capaz de utilizarse en una manera trazable, repetible y verificable
“Un método simple bien hecho, puede proporcionar mejores resultados que un procedimiento más sofisticado pobremente realizado”
Aplicabilidad de las herramientas
Aplicabilidad de las herramientas
Aplicabilidad de las herramientas
Análisis del Modo y Efecto de la Falla (AMEF)
Análisis de Corbata de Lazo
Análisis de Árbol de Fallas (Control de Acceso)
Acceso Hostil
Confianza de Empleado
Conspiración Interna
Ejemplo de un Reporte de Análisis de Riesgo CASCEM
SIMULACROS DE SEGURIDAD
Pruebas a los controles en la cadena logística
4 PREGUNTAS:
