Análisis y Evaluación de Riesgos - ASIS ECUADOR
Análisis y Evaluación de Riesgos - ASIS ECUADOR
Análisis y Evaluación de Riesgos - ASIS ECUADOR
MODULO I
Seguridad de Personal
Programa de
Emergencia y Crisis Investigacions
Retardar
Intervención 8. Seguimiento y
Indicadores de Gestión
Operacional Mejoramiento Continuo
Técnica y Profesional
9. Educación
10. Sub Proceso de Entrenamiento y
Manejo de Información Capacitación
Conciencia y Cultura
Criticalidad del evento de pérdida
Matriz de decisión
Frecuencia de pérdida
Severidad de Alta Media Baja
Pérdida
REDISEÑO
Perfil del evento
• Barreras
de pérdida Retardo • Control del Acceso
Riesgo
• Personal
• Propiedad
• Responsabilidad
CONCEPTUALIZACION
Probabilidad
Vulnerabilidad
Amenaza
Riesgo
• Personal
• Propiedad
• Responsabilidad
CONCEPTUALIZACION
Riesgo Puro
TAREA DE LA ADMON DE RIESGOS O DEL PROFESIONAL DE
SEGURIDAD.
CONCEPTUALIZACION
Probabilidad
Vulnerabilidad
Amenaza
VULNERABILIDAD
PREVENCIÓN DE
PÉRDIDAS
ANALISIS Y ADMINISTRACION DE LOS RIESGOS
Ningún plan o programa puede ser efectivo a menos que esté basado
en un claro entendimiento de los riesgos que está destinado a
controlar.
1. Las clases de amenazas o riesgos que afectan los activos o Perfil del
evento de Pérdida (Loss Event Profile)
VULNERABILIDAD
PREVENCIÓN DE
PÉRDIDAS
Análisis de Riesgos
Riesgo Puro
TAREA DE LA ADMON DE RIESGOS O DEL PROFESIONAL DE
SEG.
Secuestro
Kidnap
Bomba/amenaza Bom
Bomb Threat/Attack Terrorismo Actividades Hostiles
Terrorist Obreros
Labor
Hostile Union Activity
Sabortaje Attack
Biochemical Huelgas-Paros
Strike
Extorsión
Extortion
Actos intensionales
Malicious Acts by Disgruntled Employees
Protesta de Consumidores
Consumer Lobby Drug/Substance Abuse
Tráfico de Drogas
Interestcon
Grupos Groups
intereses
Animal Rights Activists Empleados Theft
Hurto of de
Sensitive Information
información sensible
Activistas de Derechos de Animales Employee
Raude
Fraud
Hurto
Theft interno
Prácticas
Corrupt de corrupción
Practise
Secuestro
Kidnap
Major Extortion
Extorsión
Bomba/amenaza
Bomb Threat/Attack Bom Medios
Media Negative Publicity
Publicidad National/Local
Negativa local eLevel
internacional
ActosViolent
de violencia contra
Acts Against empleados
People
Theft
Hurto
Atraco
Armed Robbery Criminal
Crimen(External)
(Externo) Mapa de
THREAT MAP
Local
Property
Destrucción deDestruction
instalaciones Regional
Economic Environment
Incendio provocado Arson Amenazas7/3/2003 - v16
Ambiente Económico
National
Contaminación
Product de Productos
Contamination/Tampering International
Money de
Lavado Laundering
Modneda
Narcotraficantes
Narcotrafficers
Intereses
Private Privados
Interests/Agendas
Violence
Violencia Fire
Fuego
PresionesMade/Not
Decisions No hacer Political
Hacer/ Made Políticos
Inundaciones
Flood
Outcome Presidential
Elecciones Elections
Presidenciales
Ambientales
Environmental Caídas de
Lightning rayos
Strike
Terremotos
Storms
Epidemias
Epidemic
Legal
Polución
Pollution
Theft ofde
Hurto Information
información
Campañas
Negative de información
Information Negativa
Campaign/Press Leaks Major Market Competitors
Competidores Regulatory
Regulaciones
Poaching
Caza Senior Employees
de Ejecutivos CEO
PERFIL DEL EVENTO DE PERDIDA
Riesgo Puro
P=
__f f = Número de resultados favorables a la ocurrencia
n n = Número total de resultados posibles
Factores de Probabilidad
Una base de datos en tal sentido debería tener como mínimo los
siguientes registros:
• Lugar, Fecha y Hora del incidente tan precisos como sea posible
• Naturaleza del evento: accidente o crimen
• Descripción detallada del evento: incendio, robo, ataque, etc.
• Método de operación o modo de ocurrencia
• Número del evento por tipo o por localización
• Valor de los bienes o costo de la pérdida
Aplicación de los factores de probabilidad
R = PA*[1 – (PI)]*C PD = PS * PT * PA
Probabilidad del evento de pérdida
(Frecuencia)
Factor probabilístico
• Virtualmente Cierto (A) 0,85 x K del evento
• Altamente Probable (B) 0,65 x K del evento
• Moderadamente Probable (C) 0,50 x K del evento
• Improbable (D) 0,20 x K del evento
• Probabilidad desconocida (E)
Probabilidad del evento de pérdida
• Virtualmente Cierto: que dado ningún cambio en los
factores el evento ocurrirá.
• Altamente Probable: la probabilidad de la ocurrencia
es mucho más grande que la no ocurrencia.
• Moderadamente Probable: Es más probable que el
evento ocurra a que no ocurra.
• Improbable: Es menos probable que el evento
ocurra a que no ocurra. No implica imposibilidad,
sólo improbabilidad.
• Probabilidad desconocida: Los datos disponibles son
insuficientes para hacer una evaluación.
Probabilidad del evento de pérdida
Una práctica aceptada en seguridad, dentro de la
evaluación de la probabilidad, es que ante la ausencia
de datos, entre dos (2) calificaciones posibles, se asigne
la más alta.
La Probabilidad desconocida debe tomarse como una
clasificación temporal mientras se desarrollan y se
obtienen más datos.
Desde el punto de vista probabilístico SEGURIDAD es
definida como un paquete de procedimietos y
procesos que tomados como un todo, que tienen
el efecto de alterar la razón de eventos
indeseables en el total de eventos.
ANALISIS DE RIESGOS
• Fatal (1)
• Muy Serio (2)
• Moderadamente Serio (3)
• Relativamente sin importancia (4)
• Severidad desconocida (5)
Criticalidad del evento de pérdida
Costos de las pérdidas
COSTOS DIRECTOS COSTOS INDIRECTOS
• Moneda • Reputación
• Instrumentos • Goodwill
negociables
• Pérdida de empleados
• Propiedades
• Moral de empleados
• Maquinaria
• Información
• Propiedad Intelectual
• Materia Prima
• Producto terminado
Criticalidad del evento de pérdida
Costos de las pérdidas
COSTOS COSTOS
DIRECTOS INDIRECTOS
COSTOS
REALES
PERDIDA DE PERDIDA DE
ACTIVOS INGRESOS
Criticalidad del evento de pérdida
REEMPLAZO COSTOS
PERMANENTE RELATIVOS
SUSTITUCION INGRESOS
TEMPORAL PERDIDOS
Criticalidad del evento de pérdida
K = (Cp + Ct + Cr + Ci) – (I – a)
K = Criticalidad o costo total de pérdidas
Cp = Costo del reemplazo permanente
Ct = Costo del reemplazo temporal
Cr = Costo relativo
Ci = Costo ingresos perdidos
I = Indemnización por seguros
a = Monto de la prima de seguro
Criticalidad del evento de pérdida
K = (Cp + Ct + Cr + Ci) – (I – a)
K = (Cp + Ct + Cr + Ci) – (I – a)
Ct = El Costo de la sustitución temporal se compone de:
1. Costo de alquiler
2. Trabajo extra para compensar la producción perdida.
K = (Cp + Ct + Cr + Ci) – (I – a)
Cr = El Costo relativo o consecuente se
asimila al lucro cesante generado por la
pérdida.
K = (Cp + Ct + Cr + Ci) – (I – a)
Ci = El Costo de ingresos perdidos, es el ingreso que
pudiera haber sido obtenido de haber invertido el dinero
que se ha gastado en las sustituciones permanentes y/o
temporales.
Ci = i Pxt
365
i = Tasa de interés efectivo anual
P = Monto disponible para la inversión P= Cp + Ct
t = Tiempo en días durante el cual P está disponible
para la inversión
Criticalidad del evento de pérdida
K = (Cp + Ct + Cr + Ci) – (I – a)
EJERCICIO:
Calcular el Costo de ingresos perdios (Ci) y el costo
total de la pérdida (K) de un computador servidor
que ha sido robado de la oficina financiera, dados
los siguientes valores:
Cp = U$ 5.000 Ct = U$ 2.000 Cr = U$ 2.000
K = (Cp + Ct + Cr + Ci) – (I – a)
La indemnización de pérdidas, vía seguro, no debe
ser considerada como el único factor de protección
contra pérdidas porque la cobertura es limitada. La
mejor aproximación a un manejo integrado del
riesgo es la Administración de Riesgos (RM).
Administración de Riesgos (Risk Management) es
un concepto aplicado a las funciones combinadas
de:
1. Prevención de pérdidas.
2. Control de pérdidas
3. Indemnización de pérdidas
Criticalidad del evento de pérdida
El siguiente paso en la evaluación de la vulnerabilidad es
poner los riesgos en una secuencia de prioridad para
aplicar contramedidas. Cuando los riesgos ya han sido
“rankeados” mediante una combinación de probabilidad y
severidad. Ejemplo: A1, B3, C5 y D4, la tarea formal de la
evaluación de vulnerabilidad ha sido completada. La
siguiente etapa es la preparación de la solución.
Probabilidad Criticalidad
• Virtualmente Cierto (A) • Fatal (1)
(f + i - 3)
ALE = 10
3
Probabilidad del evento de pérdida
(Frecuencia)
EXPECTATIVA ANUAL DE PERDIDA
ALE = 10 (f + i - 3)
3
Si la valoración del costo Si la frecuencia de ocurrencia
(impacto) del suceso es: estimada es:
$10, haga i = 1 Una vez en 300 años, haga f = 1
$100, haga i = 2 Una vez en 30 años, haga f = 2
$1.000, haga i = 3 Una vez en 3 años haga f = 3
$10.000, haga i = 4 Una vez en 100 días haga f = 4
$100.000, haga i = 5 Una vez en 10 días haga f = 5
$1.000.000, haga i = 6 Una vez por día haga f = 6
$10.000.000, haga i = 7 10 veces por día haga f = 7
$100.000.000, haga i = 8 100 veces por día haga f = 8
EXPECTATIVA ANUAL DE PERDIDA ALE = 10 (f + i - 3)
3
Valores de f
Valores 1 2 3 4 5 6 7 8
de i
PUERTA LOGICA
A B
Vence la
Vence V. área Vence A Puerta
primera entre segunda Vehicular
Puerta puertas Puerta
VEH
1-1 1-2 1-3
Planeación de la solución
Analisis de la Amenaza
El análisis de la amenaza indicará que aunque varios
riesgos estén separadamente identificados es posible que
una simple contramedida pueda neutralizarlos a todos o
detectar que un número de riesgos dependen de una
misma causa común o condición precedente.
Principio de Apalancamiento
(Leverage)
Principio de Apalancamiento
(Leverage)
Diseño de Red
Diseño de Red
ROBO DE ROBO DE
ACTIVO ACTIVO
Vence la Vence la Vuela Túnel debajo Vence la Vence la Vence la Vuela Túnel debajo Vence la
Puerta Puerta sobre el del límite malla Puerta Puerta sobre el del límite malla
Peatonal Vehicular límite Peatonal Vehicular límite
SALT SALT
E- VEH Vue Tún
O E- VEH Vue Tún
O
AND lo el AND lo el
A A
1-1 1- 1- 1-1 1- 1-
2 3 2 3
ANALISIS DE RIESGOS
Los costos del programa deben ser menores que los costos de
las pérdidas que ocurrirían sin el programa.
ECUACION ROE
AL + R
= ROE
CSP
Algunos de estos eventos o condiciones deben existir
simultáneamente, algunos pueden existir en secuencia lineal, algunos
pueden existir individualmente y algunos pueden existir
individualmente pero no en presencia de la línea de secuencia de otros.
2. Activos recuperados
1. Los costos de las pérdidas que ocurren a pesar del programa y que
no serán indemnizadas vía seguro.
2. Los costos del programa de prevención al lado de los costos de los
seguros y
3. Los costos de las primas de seguro y la administración de
reclamos.
Si tomados juntos, los tres tipos de costos son menores que los
costos de las pérdidas que probablemente hubieran ocurrido sin el
programa de prevención, los esfuerzos de administración de
riesgos son exitosos.
AL + R AL = Pérdidas Evitadas
ROE = ------------- R = Recuperaciones hechas
CSP CSP = Costo del Programa de Seguridad
ROE = Retorno de Gastos
Para representar los costos del programa de Seguridad (CSP) es
necesario incluir:
1. Gastos de personal
2. Todos los gastos generales administrativos
3. Costos de capital aplicado
Administracion de Riesgos
Discusión y preguntas
Presentado por: