3. PERCEPCIÓN DE RIESGO: AMENAZA
Significa instalar sistemas de control que minimicen
tanto la probabilidad de que ocurran sucesos
negativos así como su impacto.
Es un enfoque de naturaleza defensiva.
Su propósito es asignar recursos para reducir la
probabilidad de sufrir impactos negativos.
4. PERCEPCIÓN DE RIESGO: OPORTUNIDAD
Significa utilizar técnicas que maximicen los
resultados, limitando los posibles perjuicios o
costes.
El enfoque es de naturaleza ofensiva
5. PERCEPCIÓN DE RIESGO: INCERTIDUMBRE
Se dirige a minimizar la desviación entre los
resultados que el emprendedor desea obtener y los
que realmente obtiene.
6. EN EL ÁMBITO DE TI, ¿QUÉ ES UN RIESGO?
El riesgo es la probabilidad de que una amenaza
se convierta en un desastre.
La vulnerabilidad o las amenazas, por separado, no
representan un peligro. Pero si se juntan, se
convierten en un riesgo, o sea, en la probabilidad
de que ocurra un desastre.
7. FUENTES PARA IDENTIFICAR RIESGOS
Fuentes de riesgo son todos aquellos ámbitos de la
empresa, internos o externos, que pueden generar
amenazas de pérdidas o impedimentos para
alcanzar los objetivos.
Un procedimiento que facilita la identificación de los
riesgos es el preguntarse, para cada una de las
fuentes, si existen debilidades o amenazas en cada
una de las fuentes:
Los clientes(Internos y externos)
Las nuevas tecnologías
Los cambios tecnológicos realizados o no realizados
ƒ
Leyes y regulaciones
Operaciones de negocio
8. PROCEDIMIENTO DE IDENTIFICACIÓN DE
RIESGOS
Identificación
de riesgos
Análisis de
procesos
Brainstorming
(lluvia de ideas)
Entrevistas
Comparación
contra otras
organizaciones
Cuestionarios
9. IDENTIFICACIÓN DE RIESGOS
Para llevar a cabo la identificación de peligros hay
que preguntarse tres cosas:
¿Existe una fuente de daño?
¿Quién (o qué) puede ser dañado?
¿Cómo puede ocurrir el daño?
Se estima el riesgo, valorando conjuntamente la
probabilidad y las consecuencias de que se
materialice el peligro.
10. CLASIFICACIÓN DE RIESGOS
El objetivo de la clasificación de riesgos significa
mostrar los riegos identificados de una forma
estructurada, por ejemplo en función de su
procedencia.
Riesgo
Financieros
Proveedores de
servicios
Clientes internos
Cambios
tecnológicos
Procesos y
procedimientos
Funcionamiento
de la tecnología
Obsolescencia
11. ¿QUÉ ES EL ANÁLISIS DE RIESGO?
Habiendo ya identificado y
clasificados los riesgos, pasamos
a realizar el análisis de los
mismos, es decir, se estudian la
posibilidad y las consecuencias
de cada factor de riesgo con el fin
de establecer el nivel de riesgo
que la organización tiene.
El análisis de los riesgos
determinará cuáles son los
factores de riesgo que
potencialmente tendrían un mayor
efecto la organización y, por lo
tanto, deben ser gestionados con
especial atención.
12. ANÁLISIS DE RIESGOS
El análisis de riesgo (también conocido como
evaluación de riesgo o PHA por sus siglas en
inglés: Process Hazards Analysis) es el estudio de
las causas de las posibles amenazas, y los daños y
consecuencias que éstas puedan producir.
13. AMENAZA VRS. RIESGO
Amenaza
• Es cualquier cosa
que pueda causar
daño, tales como,
químicos,
eléctricos,
trabajos en
alturas, etc. Riesgo
• Es la
PROBABILIDAD,
alta o baja de que
alguien pueda ser
dañado a través
de este ú otros
peligros, junto con
una indicación de
cuan serio este
daño puede ser.
14. DEFINICIONES VARIAS IMPORTANTES
Peligro: Es una fuente o situación con potencial de daño en términos de lesión o enfermedad, daño a la
propiedad, al ambiente de trabajo o una combinación de éstos.
Identificación del Peligro: Proceso para reconocer si existe un peligro y definir sus características.
Proceso de Gestión del Riesgo: Aplicación sistemática de políticas de gestión, procedimientos y prácticas, a
las tareas de establecimiento del contexto, identificación, análisis, evaluación, tratamiento, monitoreo y
comunicación del riesgo.
Tratamiento del Riesgo: selección e implementación de las opciones apropiadas para ocuparse del riesgo .
Análisis de Riesgo: Uso sistemático de la información disponible, para determinar la frecuencia con la que
pueden ocurrir eventos especificados y la magnitud de sus consecuencias.
Evaluación del Riesgo: Proceso general de estimar la magnitud de un riesgo y decidir si éste es tolerable o no.
Combinación de la probabilidad y la(s) consecuencia(s) que ocurra un evento peligroso específico.
Probabilidad: posibilidad de que ocurra un evento o resultado específico, medida por la relación entre los
eventos o resultados específicos y el número total de eventos o resultados posibles
Consecuencia: Resultado de un evento expresado cualitativa o cuantitativamente, como por ejemplo una
pérdida, lesión, desventaja o ganancia. Puede haber una serie de resultados posibles asociados con un evento.
Riesgo aceptable: Posibles consecuencias sociales, económicas y ambientales que, implícita o explícitamente,
una sociedad o un segmento de la misma asume o tolera por considerar innecesario, inoportuno o imposible una
intervención para su reducción. Es el nivel de probabilidad de una consecuencia dentro de un período de tiempo,
que se considera admisible para determinar las mínimas exigencias o requisitos de seguridad, con fines de
protección y planificación ante posibles fenómenos peligrosos.
•Riesgo tolerable: Riesgo que se ha reducido a un nivel que la organización puede soportar respecto a sus
obligaciones legales y su propia política
15. PASOS BÁSICOS DEL ANÁLISIS DE RIESGOS
1. Identificar los peligros.
2. Decidir quien puede ser
dañado y como.
3. Evaluar los riesgos y decidir
las precauciones.
4. Registrar sus hallazgos e
implementarlos.
5. Revisar su análisis y poner al
día si es necesario.
16. MODELO DE RIESGOS
¿Para qué se desarrolla un Modelo de Riesgos?
Para la medición de la probabilidad de ocurrencia del
riesgo y el impacto que el mismo tendría en la
organización.
Un modelo de riesgos nos permitirá realizar un control y
seguimiento sobre el mismo, comparando el valor en
riesgo de las variables con el valor real incurrido
finalmente en el periodo sujeto a análisis.
17. MÉTODOS PARA EL ANÁLISIS DE RIESGOS
Cualitativos
• Se apoyan en su juicio, experiencia e intuición para la toma de decisiones.
• Se pueden utilizar cuando el nivel de riesgo sea bajo y no justifica el tiempo
y los recursos necesarios para hacer un análisis completo.
• Los métodos cualitativos incluyen: Brainstorming, Cuestionario y entrevistas
estructuradas, Evaluación para grupos multidisciplinarios, Juicio de
especialistas y expertos.
Semi-cualitativos
• Se utilizan clasificaciones de palabra como alto, medio o bajo, o
descripciones más detalladas de la probabilidad y la consecuencia.
• Estas clasificaciones se demuestran en relación con una escala apropiada
para calcular el nivel de riesgo. Se debe poner atención en la escala
utilizada a fin de evitar malos entendidos o malas interpretaciones de los
resultados del cálculo.
Cuantitativos
• Se consideran métodos cuantitativos a aquellos que permiten asignar
valores de ocurrencia a los diferentes riesgos identificados, es decir,
calcular el nivel de riesgo.
• Los métodos cuantitativos incluyen: Análisis de probabilidad, Análisis de
consecuencias, Simulación computacional.
18. MÉTODOS CUALITATIVOS
El análisis cualitativo emplea formas o escalas
descriptivas para describir la magnitud de las
consecuencias potenciales y la posibilidad de que
estas consecuencias ocurran.
Su objetivo es IDENTIFICAR: Efectos y Causas
Se emplea:
Como una actividad inicial de preselección, para
identificar los riesgos que necesitan un análisis más
detallado.
Cuando el nivel del riesgo no justifica el tiempo y
esfuerzo requeridos para un análisis más completo.
Cuando los datos numéricos disponibles son
inadecuados para un análisis cuantitativo.
19. MÉTODOS SEMI-CUALITATIVOS
En análisis semi-cuantitativos, a las escalas
cualitativas le son asignados valores.
Emplean índices globales de potencial de riesgo
estimado a partir de las estadísticas semejantes o
de disposición general.
Estos métodos son útiles para concluir
comparaciones entre:
Distintas empresas existentes.
En una misma empresas, antes y después de
modificaciones.
Entre procesos diferentes ligados a un mismo fin
Entre alternativas de diseño.
20. MÉTODOS CUANTITATIVOS
El análisis cuantitativo emplea valores numéricos.
Tanto para las consecuencias como para la
probabilidad se emplean datos de una variedad de
distintas fuentes.
Su objeto es expresar en términos probabilísticos.
Incluye un análisis crítico con cálculos y estructuras
para establecer la probabilidad de sucesos
complejos.
21. VALORACIÓN DE RIESGOS
Valoración del riesgo: Con el valor del riesgo obtenido,
y comparándolo con el valor del riesgo tolerable, se
emite un juicio sobre la tolerabilidad del riesgo en
cuestión.
Si de la Evaluación del riesgo se deduce que el riesgo
es no tolerable, hay que Controlar el Riesgo.
Al proceso conjunto de Evaluación del Riesgo y
Control del Riesgo se le suele denominar Gestión del
Riesgo.
Para cada peligro detectado debe estimarse el riesgo,
determinando la potencial severidad del daño
(consecuencias) y la probabilidad de que ocurra el
hecho.
22. RIESGOS Y TIPOS DE RIESGOS
Tipo de riesgo Descripción
Tecnología La base de datos que se utiliza en el sistema no puede procesar muchas
transacciones por segundo como se esperaba. Los componentes de
software a reutilizarse contienen defectos que limitan la funcionalidad
Personas Es imposible reclutar personal con las habilidades necesarias
requeridas para el proyecto. El personal clave esta enfermo y no
disponible en momentos críticos. La capacitación solicitada para el
personal no esta disponible.
Organizacional La organización se reestructura de tal forma que una administración
diferente se responsabiliza del proyecto. Los problemas financieros de
la organización fuerzan a reducciones en el presupuesto del proyecto.
Herramientas Es ineficiente el código generado por las herramientas CASE. Las
herramientas CASE no se pueden integrar.
Requerimientos Se proporcionan cambios en los requerimientos que requieren rehace el
diseño. Los clientes no comprenden el impacto de los cambios en los
requerimientos.
Estimación El tiempo requerido para desarrollar el software es subestimado. La tasa
de reparación de defectos es subestimada. El tamaño del software es
subestimado.
Gestión
del
Riesgo
23. ANÁLISIS DE LOS RIESGOS…
Riesgo Probabilidad Efectos
Los problemas financieros de la organización
fuerzan a reducir el presupuesto del proyecto
Baja Catastrófico
Es importante reclutar personal con las
habilidades requeridas para el proyecto
Alta Catastrófico
El personal clave esta enfermo y no
disponible en momentos críticos
Moderada Serio
Los componentes de software a utilizarse
contienen defectos que limitan su
funcionalidad
Moderada Serio
Se proponen cambios en los requerimientos
que requieren rehacer el diseño
Moderada Serio
La organización se reestructura de tal forma
que una administración diferente se
responsabiliza del proyecto
Alta Serio
La base de datos que se utiliza en el sistema
no puede procesar muchas transacciones por
segundo como se esperaba
Moderada Serio
Gestión
del
Riesgo
24. …ANÁLISIS DE LOS RIESGOS
Riesgo Probabilidad Efectos
El tiempo requerido para desarrollar el
software esta subestimado
Alta Serio
Las herramientas CASE no se pueden
integrar
Alta Tolerable
Los clientes no comprenden el impacto de
los cambios en los requerimientos
Moderada Tolerable
La capacitación solicitada para el personal
no esta disponible
Moderada Tolerable
La tasa de reparación de defectos es
subestimada
Moderada Tolerable
El tamaño del software es subestimado Alta Tolerable
Es ineficiente el código generado por las
herramientas CASE
Moderada Insignificante
Gestión
del
Riesgo
25. ESTRATEGIAS DE MANEJO DE RIESGOS
Riesgo Estrategia
Problemas financieros de la
organización
Preparar un documento breve para el administrador principal
que muestre que el proyecto hace contribuciones muy
importantes a las metas del negocio
Problemas de reclutamiento Alerta al cliente de las dificultades potenciales y las
posibilidades de retraso, investigar los componentes
comprados
Enfermedades del personal Reorganizar el equipo de tal forma que haya traslape en el
trabajo y las personas comprenden el de los demás
Componentes defectuosos Reemplazar los componentes defectuosos con los comprados
de fiabilidad conocida
Cambios en los
requerimientos
Rastrear la información para valorar el impacto de los
requerimientos, maximizar la información oculta en ellos
Reestructuración
organizacional
Preparar un documento breve para el administrador principal
que muestre que el proyecto hace contribuciones muy
importantes a las metas del negocio
Desempeño de la base de
datos
Investigar la posibilidad de comprar una base de datos con alto
desempeño
Tiempo de desarrollo
subestimado
Investigar los componentes comprados y la utilización de un
generador de programas.
Gestión
del
Riesgo
26. ¿QUÉ TENEMOS HASTA AHORA?
Identificación
y
clasificación
de riesgos
Análisis y
valoración de
riesgos
Gestión
de
riesgos
29. ALGUNAS PREGUNTAS
¿Qué puede ocurrir en realidad?
¿Cuál puede ser el daño o la consecuencia?
¿Qué puede cambiar o ser diferente?
¿Cuál fue el posible efecto?
¿Qué puede prevenir su aparición?
¿Qué puede salir mal en realidad?
¿Qué debe hacer el personal ?
¿Algún evento o acción puede provocar una situación
¿peor aún?
¿Sabe la gente lo que tiene que hacer?
¿Ha pasado esto antes?
¿Qué se hizo antes para resolverlo?
30. MODELO DE ANÁLISIS DE RIESGOS
Identificación
de
Amenazas
•Identificación de actividades o amenazas que impliquen riesgos durante las fases de construcción,
operación/mantenimiento y cierre/abandono de la Organización.
Estimación
de
Probabilidad
es
•Una vez identificadas las amenazas o posibles aspectos iniciadores de eventos, se debe realizar la
estimación de su probabilidad de ocurrencia del incidente o evento, en función a las características
específicas.
Estimación de
Vulnerabilidade
s
•Estimación de la severidad de las consecuencias sobre los denominados factores de vulnerabilidad que
podrían resultar afectados (personas, medio ambiente, sistemas, procesos, servicios, bienes o recursos, e
imagen empresarial).
Cálculo de
Riesgo
•Se debe realizar el cálculo o asignación del nivel de riesgo. El Riesgo está definido en función de la
amenaza y la vulnerabilidad como el producto entre Probabilidad y Severidad del escenario.
Priorización
de
Escenarios
•Los resultados del análisis de riesgos permiten determinar los escenarios en los que se debe priorizar la
intervención. Lasmatrices de severidad del riesgo y de niveles de planificación requeridos, permiten
desarrollar planes de gestión con prioridades respecto a las diferentes vulnerabilidades.
Plan de
Acción
•Establecer la necesidad de la adopción de medidas de planificación para el control y reducción de riesgos.
Determinar el nivel de planificación requerido para su inclusión en los diferentes Planes de Acción.
33. ANÁLISIS DE LA VULNERABILIDAD
Para cada uno de los aspectos se desarrollan formatos que a través de
preguntas buscan de manera cualitativa y cuantitativa dar un panorama
general que le permita al evaluador calificar como mala, regular o
buena, la vulnerabilidad de las personas, los recursos y los sistemas y
procesos de su organización ante cada una de las amenazas descritas.
Es decir, el análisis de vulnerabilidad completo se realiza a cada
amenaza identificada.
36. ANÁLISIS DE LA VULNERABILIDAD
Una vez calificados todos los aspectos, se realiza
una sumatoria por elemento; por ejemplo, para el
elemento “Sistemas y procesos” se debe sumar la
calificación dada a los aspectos de Servicios,
sistemas alternos, recuperación y así para los
demás elementos.
37. NIVEL DE RIESGO
Una vez identificadas, descritas y analizadas las
amenazas y para cada una, desarrollado el análisis
de vulnerabilidad a personas, recursos y sistemas y
procesos, se procede a determinar el nivel de
riesgo que para esta metodología es la
combinación de la amenaza y las vulnerabilidades
utilizando el diamante de riesgo que se describe a
continuación: