Análisis de Riesgos Primeros pasos en UTE

Diciembre 2005

Adriana Toscano

Fernando Yurisich

Análisis de Riesgos

Primeros pasos en UTE

Agenda

z Historia.

z Objetivos.

z _{Análisis macro de riesgos.} z Análisis micro de riesgos.

Historia

z Hasta el año 2001 elaboramos el Plan Anual a partir de la experiencia acumulada y solo consideramos los riesgos en el momento de escribir el informe.

z En el 2001 construimos la matriz de riesgos de la Empresa, determinando la exposición (impacto X frecuencia, escalas AMB) a los principales riesgos involucrados en cada actividad de la cadena de valor.

Historia

z En el año 2002, un tercio de los trabajos incluidos en el Plan Anual tiene por objetivo evaluar la cobertura dada a los riesgos calificados como de exposición alta.

z En los años 2003 y 2004, se mantiene la proporción pero se analizan los riesgos calificados como de exposición media.

z En el año 2004, y ante la necesidad de actualizar la matriz de riesgos, decidimos adoptar una nueva metodología de trabajo.

Objetivos

z Determinar los perfiles e índices de riesgo de los procesos de la Empresa.

z Elaborar el Plan de Auditoría a Largo Plazo.

z Identificar los trabajos de auditoría a realizar para evaluar la necesidad y suficiencia de las principales medidas de administración de riesgo vigentes.

z Elaborar la matriz de riesgos de UTE.

z Impulsar, dentro de la Empresa, el uso del análisis de riesgos como herramienta de gestión.

Tareas principales

z Realizar un análisis macro de riesgos que permita ordenar los procesos de la Empresa según su nivel de riesgo.

z Para cada proceso, realizar un análisis micro de riesgos que permita identificar los principales riesgos y medidas de administración vigentes.

Análisis Macro de Riesgos

z Basado en un modelo de factores de riesgo ponderados.

z Realizado en talleres de trabajo con la participación de todos los auditores.

z Permite ordenar los procesos de la Empresa de acuerdo a su nivel de riesgo.

Factores de riesgo utilizados

20% Debilidades de control interno,

carencia de documentación, fallas en la supervisión o el monitoreo, tiempo transcurrido desde la última auditoría y grado

de implantación de las recomendaciones realizadas.

Ambiente de control

10% Exposición a la pérdida, valor de

mercado y convertibilidad en dinero.

Liquidez de activos

20% Nivel de activos, nivel de costos

e impacto sobre los resultados. Materialidad

Pond Descripción

Factores de riesgo utilizados

10% Competencia (habilidad + conocimiento + experiencia), integridad, compromiso con el control y la administración de riesgos y presiones para lograr objetivos.

Calidad del personal

20% Características, conocimientos

requeridos para realizarlas y cambios recientes en la forma de procesarlas o en la cantidad procesada. Complejidad de las transacciones Pond Descripción Nombre

Factores de riesgo utilizados

20% Grado de uso (dependencia),

complejidad de los sistemas, cambios recientes, calidad del plan de contingencias, calidad de los controles de seguridad, grado de confianza en la efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y/o confiabilidad de la información. Ambiente de procesamiento de datos Pond Descripción Nombre

Factores de riesgo utilizados

10% Impacto negativo en la imagen,

contingencias políticas y legales, exposición regulatoria,

expectativas de los clientes y confianza en proveedores de bienes y servicios. Ambiente del negocio Pond Descripción Nombre

Cada factor se califica (C) de 1 a 5 y el nivel de riesgo (N) se calcula como:

z Basado en el estudio de escenarios de riesgo construidos a partir de las amenazas que afectan a los recursos utilizados por los procesos.

z Realizado en talleres de trabajo con la participación del personal involucrado.

z Permite ordenar los escenarios por sus niveles de riesgo inherente y residual, así como identificar las medidas de administración vigentes (cuantificando su eficacia y eficiencia).

z Identificar amenazas.

z Identificar recursos amenazados.

z _{Construir escenarios de riesgo.} z Calificar escenarios.

z Construir perfiles de riesgo.

z Construir matrices de riesgos del proceso.

z Calcular índices y armar gráficas.

Identificar amenazas

z A partir de un listado estándar de amenazas, determinar cuales son los eventos que pueden afectar al proceso.

z Seleccionar las amenazas relevantes:

Potencial de daño T a m a ño r e la ti v o Alto Med Bajo 3 2 1 Bajo 6 4 2 Med 9 6 3 Alto

Identificar recursos

z Construir un catálogo de los recursos (total o parcialmente) utilizados por el proceso:

– Personas. – Edificios. – Estructura. – Equipamiento. – Valores y documentos. – Información. – Procesos.

D - 2 B - 2 2 Líneas D - n Recurso n D - 4 C - 4 B - 4 4 RRHH D - 3 C - 3 B - 3 A - 3 3 Eq. Inform. D - 1 C - 1 B - 1 A - 1 1 SSEE D Incendio C Plaga B Rayo A Inundación Amenaza Recurso

Construir escenarios

Construir escenarios

Ej. Proceso Operación de Trasmisión

H -2 G - 2 F - 2 E - 2 2 Líneas H - n Recurso n H - 4 F - 4 4 RRHH H -3 G - 3 F - 3 E - 3 3 Eq. Inform. H - 1 G - 1 F - 1 E - 1 1 SSEE H Restricción G Hurto F Accidente E Falla Amenaza Recurso E - n

Calificar escenarios

z Designar el grupo de evaluación y establecer métodos a utilizar (consenso, Delphi, etc.).

z Determinar la frecuencia con que pueden ocurrir.

z Determinar el impacto que puede sufrir la Empresa.

z Calcular el índice de riesgo (f x i) y la vulnerabilidad relativa (nivel / 400) de cada escenario para cada factor de vulnerabilidad.

Valoración de frecuencia

Alta / Entre 1 y 12 Habitual 7 Muy alta / Más de 12 Constante 8 Significativa / Entre 0.2 y 1 Frecuente 6 Mediana / Entre 0.05 y 0.2 Moderado 5 Limitada / Entre 0.02 y 0.05 Ocasional 4 Baja / Entre 0.01 y 0.02 Esporádico 3

Muy baja / Entre 0.005 y 0.01 Remoto

2

Difícil / Menos de 0.005 Improbable

1

Probabilidad / Casos al año Nivel

Total permanente / Gran magnitud Catastrófico

50

Parcial permanente / Considerable Desastroso

20

Total temporal / Significativa Crítico

10

Parcial temporal / Moderada Grave 5 No significativa / Pequeña Marginal 2 No afecta / Mínima Insignificante 1 Criterio general Nivel Valor

Impactos a valorar

z Impacto: grado en que un sistema se ve afectado por las consecuencias del siniestro.

z Impacto inherente: impacto en caso de no existir estrategias de intervención.

z Impacto residual: impacto cuando se han implementado estrategias de intervención.

z Permiten medir la eficacia y la eficiencia de las estrategias de intervención:

Eficacia = Inherente - Residual Eficiencia = Eficacia / Costo

Factores de vulnerabilidad

z Para facilitar la valoración, se analizarán por separado los siguientes componentes:

– Personas. – Ambiente. – Finanzas. – Operación. – Imagen. – Mercado. – Información.

Varias muertes Catastrófico

50

Varios graves o una muerte Desastroso

20

Una víctima grave hospitalizada Crítico

10

Lesiones leves incapacitantes Grave

5

Lesiones leves sin incapacidad Marginal

2

Víctimas sin lesiones Insignificante

1

Consecuencias Nivel

Valor

Refleja la ética y la política de la Empresa, no mide el riesgo real.

Grave no recuperable Catastrófico

50

Grave recuperable a largo plazo Desastroso

20

Grave recuperable a mediano plazo Crítico

10

Leve no recuperable Grave

5

Daño leve recuperable Marginal

2

Sin daño ambiental Insignificante 1 Consecuencias Nivel Valor

Factor “Ambiente”

Más de 300 millones (15 a 25%) Catastrófico 50 Entre 100 y 300 millones Desastroso 20 Entre 10 y 100 millones Crítico 10 Entre 1 y 10 millones Grave 5 Entre 200 y 1 millón Marginal 2

Menor a 200 mil (1 a 3 por %00) Insignificante

1

Consecuencias (en U$S) Nivel

Valor

Refleja la afectación del patrimonio neto y la disposición a perder dinero.

Más de 6 horas Catastrófico 50 Entre 3 y 6 horas Desastroso 20 Entre 1 y 3 horas Crítico 10 Entre 3 m y 1 hora Grave 5

Entre 9 segundos y 3 minutos Marginal 2 Menor a 9 segundos Insignificante 1 Consecuencias Nivel Valor

Se mide el tiempo de interrupción de la potencia media total del sistema (1000 MW).

Factor “Operación”

Catastrófico Desastroso Crítico Grave Marginal Insignificante Nivel > 400 hs. > 120 hs. > 6 hs. <= 400 hs. <=120 hs. <= 6 hs. <= 200 hs. <= 60 hs. <= 3 hs. <= 66:40 hs <= 20 hs. <= 1 h. <= 3:20 hs <= 1:00 hs. <= 3 min. <= 10 min. <= 3 min. <= 9 seg. 15 MW 50 MW 1000 MW

Ejemplos de aplicación en diferentes escenarios.

Conocido a nivel internacional Catastrófico

50

Conocido a nivel regional Desastroso

20

Conocido a nivel nacional Crítico

10

Conocido a nivel local Grave

5

Conocido sólo en la empresa Marginal

2

Conocido sólo en la instalación Insignificante 1 Consecuencias Nivel Valor

Factor “Imagen”

Mayor al 10% Catastrófico 50 Entre 5 y 10% Desastroso 20 Entre 2 y 5% Crítico 10 Entre 0.5 y 2.0% Grave 5 Entre 0.1 y 0.5% Marginal 2 Pérdida menor a 0.1% Insignificante 1 Consecuencias Nivel Valor

Factor “Mercado”

Más del 30% de información crítica Catastrófico

50

Entre 10 y 30% de información crítica Desastroso

20

Hasta 10% de información crítica Crítico

10

Más del 30% de información no crítica Grave

5

Entre 10 y 30% de información no crítica Marginal

2

Hasta 10% de información no crítica Insignificante 1 Consecuencias Nivel Valor

Factor “Información”

Construir perfiles de riesgo

z Para cada factor de vulnerabilidad evaluado se creará un perfil de riesgo inherente y otro residual ubicando los resultados de la evaluación sobre la “Matriz de Aceptabilidad”.

z Criterios de aceptabilidad: > al 15% Inadmisible > al 4% y <= 15% Inaceptable > al 2% y <= 4% Tolerable <= al 2% Aceptable

Si su vulnerabilidad relativa es: Un escenario es:

Matriz de aceptabilidad

50 20 10 5 2 1 Catastr. Desastr. Crítico Grave Marginal Insignif. 12.5% 5% 2.5% 1.25% .5 % .25 % Improbable 1 25% 10% 5% 2.5 % 1 % .5 % Remoto 2 37.5% 15% 7.5% 3.75% 1.5 % .75% Esporádico 3 50% 20% 10 % 5 % 2 % 1 % Ocasional 4 62.5% 25% 12.5% 6.25% 2.5 % 1.25% Moderado 5 75% 30% 15 % 7.5 % 3 % 1.5 % Frecuente 6 87.5% 35% 17.5% 8.75% 3.5 % 1.75% Habitual 7 100% 40% 20 % 10 % 4 % 2 % Constante 8 Frecuencia Impacto Inadmisible Inaceptable Tolerable Aceptable Nivel de riesgo:

z Factor de Amenaza: Inundación

z Recurso: SSEE “xxx”

z _{Impacto inherente en factor Operación: Grave 5} z Frecuencia: Esporádico 3

z Impacto x Frecuencia: 15

z Índice de riesgo: 15/400= 0.0375

z Perfil de riesgo: Tolerable

Ejemplo de calificación

z Factor de amenaza: Rayo

z Recurso: Línea Aérea “m” sin cable de guardia operativo (protección contra rayos)

z Impacto inherente en f. Operación: Crítico 10

z _{Frecuencia : Moderada 5} z Impacto x Frecuencia: 50

z Índice de riesgo: 50/400= 0.125

z Perfil de riesgo: Inaceptable

Ejemplo de calificación

z Factor de amenaza: Rayo

z Recurso: Línea Aérea “m” con cable de guardia operativo

z Impacto residual en f. Operación: Insignific. 1

z _{Frecuencia : Moderada 5} z Impacto x Frecuencia: 5

z Índice de riesgo: 5/400= 0.0125

z Perfil de riesgo: Aceptable

Ejemplo de calificación

Escenario B-2.1

z Factor de Amenaza: Falla, ocasionada por cometas en las líneas.

z Recurso: Línea Aérea “o”

z Impacto inherente en factor Operación: Grave 5

z Frecuencia: Habitual 7

z _{Impacto x Frecuencia: 35}

z Índice de riesgo: 35/400= 0.875

z Perfil de riesgo: Inaceptable

Ejemplo de calificación

z Factor de Amenaza: Falla, ocasionada por cometas en las líneas.

z Recurso: Línea Aérea “o”, recorridas periódicas y educación por medio de la factura.

z Impacto residual en factor Operación: Grave 5

z _{Frecuencia: Ocasional 4} z Impacto x Frecuencia: 20

z Índice de riesgo: 20/400= 0.5

z Perfil de riesgo: Inaceptable

Ejemplo de calificación

Escenario E-2

Perfil de riesgo operacional

(ejemplos) 50 20 10 5 2 1 Catastr. Desastr. Crítico Grave Marginal Insignif. Improbable 1 Remoto 2 Esporádico 3 Ocasional 4 Moderado 5 Frecuente 6 Habitual 7 Constante 8 Frecuencia Inadmisible Inaceptable Tolerable Aceptable A-1 B-2.1 E-2 Impacto Nivel de riesgo:

Matrices de riesgos del proceso

z Son las matrices resultantes de “acumular” los perfiles de riesgo inherente y residual por factor de vulnerabilidad.

z El índice de riesgo de un escenario se calcula como (f x Σ i_f) y la vulnerabilidad relativa como (nivel / 2800).

z Las matrices se obtienen al ubicar estos valores sobre la matriz de aceptabilidad.

Calcular índices y armar gráficas

z Criticidad: permite determinar los riesgos que necesitan intervención en forma prioritaria.

z Potencial de daño: permite conocer el volumen de riesgo que afecta al sistema.

Índice de criticidad

z Para cada escenario se calcula:

donde:

VMAe = Vulnerabilidad marginal acumulada del escenario

= suma de las vulnerabilidades marginales de cada factor VMMAs = Vulnerab. marginal máxima acumulada en el sistema

= (100 – 2) x 7 = 686

Criticidad del escenario X-n

(ejemplo) Aceptable 2% 55 13 70 3 30 40 1 V u ln e ra b il id a d M a rg in a l Máxima 100% Vuln. Relativa

Personas Ambiente Finanzas Operación Imagen Mercado Información

0 50 100 150 200 250 300 350 400 450 500 S is m o Inun dac ión R ay o A cci ón F auna In c. _Est ru ct ur al In c. Lí qu ido s Exp los ión Fal la E qui po s Fa lla E st . At en tad o H ur to S abo ta_je P ar o Fraud e A gr esi_ón Fa lta de pago Ambiente Información Mercado Imagen Finanzas Operación Personas

Índice de criticidad

Inc . E str uc tura l Inc en dio de Líq uid os Ex plo sió n Fa lla de eq uip os Fa lla es tru ctu ral Ate nta do Hu rto Sa bo taje Sis mo Inu nd ac ión Ra yo Ac ció n d e l a Fa un a Pa ro Fra ud e Ag res ión Fa lta de pa go

Índice potencial de daño

IPD_f = Σ VM_e

donde

VM_e = Vulnerabilidad marginal de cada escenario

z Para cada factor de vulnerabilidad se calcula:

z Para el proceso se calcula:

Potencial de daño ambiental

(ejemplo) IPD = 59+36+83+52+1 = 231 Aceptable 2% 61 38 85 3 54 1 V u ln e ra b il id a d M a rg in a l Máxima 100% Vuln. Relativa X-1 X-2 x-3 X-4 X-5 X-6

Índice potencial de daño

(ejemplo) 585 88 195 278 170 188 74 0 100 200 300 400 500 600 Personas Operación Finanzas Imagen Mercado Informacion Ambiente

Índice potencial de daño

(ejemplo) 36% 6% 12% 18% 11% 12% 5% Personas Operación Finanzas Imagen Mercado Información Ambiente

Índice distribución de escenarios

IDEn = En / Es x 100

donde

En = Cantidad de escenarios en el nivel n

Es = Cantidad de escenarios en el sistema

z Para cada nivel de riesgo se calcula:

Inadmisible Inaceptable

Tolerable Aceptable

Distribución de escenarios

(ejemplo) Cant. IDE 10 20% 25 50% 14 28% 1 2% 25 10 14 1 Tolerable Aceptable Inaceptable Inadmisible Nivel de riesgo 25% 60% 15% 0% Estándar

z La distribución estándar refleja la tolerancia de la Empresa al riesgo.

50% 20% 28% 2% Aceptable Tolerable Inaceptable Inadmisible

50 60 20 25 28 15 2 0 0 20 40 60 80 100 IDE ACTUAL IDE ESTÁNDAR Inadmisible Inaceptable Tolerable Aceptable

0 10 20 30 40 50 60 70 80 90 100

Aceptable Tolerable Inaceptable Inadmisible IDE ACTUAL IDE ESTÁNDAR

Beneficios

z Detectar los riesgos sin cobertura suficiente.

z Utilizando el principio de Pareto, nos permite identificar los escenarios cuyo potencial de daño acumulado alcanza el 80% del total.

z El auditor puede definir, sobre bases confiables, los objetivos particulares de los trabajos a realizar.

Beneficios

z El responsable del proceso puede planificar e implementar las estrategias de intervención más eficaces y eficientes para alinear el índice de distribución de escenarios al estándar.

z Aplicaciones periódicas permiten detectar cambios en las debilidades y estrategias de intervención.

z Además, permiten verificar si se han logrado los resultados esperados y, en caso negativo, identificar las causas.

Beneficios

z La metodología y los detalles de amenazas, debilidades, recursos, escenarios de riesgo y estrategias de intervención pueden ser utilizados para realizar análisis de riesgos localizados.

z Para ello alcanza con seleccionar como sistema un área geográfica, unidad, proceso, instalación o equipo particular, ajustar las tablas de valoración del impacto y seleccionar los factores de vulnerabilidad involucrados.

Beneficios

z Los análisis de riesgos localizados pueden ser utilizados, por ejemplo, para:

– Elaborar planes de mantenimiento de equipos e

instalaciones.

– Diseñar planes de contingencia.

– Estudiar los perfiles de riesgo de equipos,

instalaciones o procesos, antes de su adquisición o implementación.

z En ningún caso sustituyen al general (donde el sistema es UTE) ya que sus resultados no son comparables ni se pueden extrapolar

Diciembre 2005

Adriana Toscano

Fernando Yurisich