Rv secuencia de analisis de riesgos v3

CERTIFICACION INTERNACIONAL EN GESTION DE RIESGOS Y SEGURIDAD

Roberto A. Varas CevallosCPP, CPO, CSSO

ANÁLISIS DE RIESGO

DEFINICION DE RIESGO:

1. Posible ocurrencia de un suceso no deseado.

2. Incertidumbre financiera.

3. Posibilidad de pérdida.

PELIGRO

La manifestación del Riesgo desde su origen hasta su ocurrencia, considerando el máximo impacto posible del mismo (Ej.: Veneno / Peligro:

Muerte ; Choque eléctrico / peligro: Muerte)

El riesgo una vez suscitado ocasiona un daño o pérdida, que puede ser parcial o total.


TIPOS DE RIESGOS

DINAMICOS:

Pueden producir utilidad o pérdida

RIESGO PURO: UNICO DE INTERES EN PROTECCION

SIEMPRE ocasionará daño o pérdida en caso de ocurrencia /materialización.


CATEGORÍAS DEL RIESGO

PERSONAL

Integridad personas

PROPIEDAD

Bienes materiales, edificios einstalaciones

RESPONSABILIDAD ACTITUD

Negligencias, errores u omisiones


CLASIFICACION DE LAS AMENAZAS

1. PELIGROS NATURALES

2. ACCIDENTES

3. ACTOS INTENCIONALES.


AMENAZAS Y VULNERABILIDADES

AMENAZA:

EVENTO O ACCION QUE TIENE EL POTENCIAL DE AFECTARNEGATIVAMENTE AL NEGOCIO Y A LOS BIENES CAUSANDO DAÑO OPERDIDA.

PUEDEN SER:

ACIDENTES, ACTOS O EVENTOS QUE AFECTAN EN MAYOR O EN MENORGRADO, DEPENDIENDO DE LA VULNERABILIDAD DEL SITIO DEL SUCESO


AMENAZAS Y VULNERABILIDADES

VULNERABILIDAD:

DEBILIDADES, DEFICIENCIAS, INEFICIENCIAS, FALLOS UOTROS QUE PERMITEN O PUEDEN SER EXPLOTADAS PORUNA AMENAZA

“LA AMENAZA SIEMPRE SE APROVECHA DE LAVULNERABILIDAD PARA LA MATERIALIZACION DELRIESGO”


¿ QUE ES EL ANALISIS DE RIESGO ?

“Es una herramienta de gestión cuyos patrones para medir están determinados

por lo que la dirección estima aceptable con respecto a pérdidas

incurridas”


TAREAS DEL ANALISIS DEL RIESGO

Identificar los bienes que necesitan protección (dinero,productos, procesos, personas).

Identificar los tipos de riesgo, que pueden afectar losbienes (robo, incendio, hurto.)

Determinar la probabilidad de incidencia “arte deproyectar la probabilidad”

Determinar el Impacto ($).

Análisis de Evaluación del Riesgo

“TECNICA RACIONAL Y ORDENADA Y UNA SOLUCION COMPRENSIVA A LA IDENTIFICACION DEL PROBLEMA Y LA DETERMINACION DE LA PROBABILIDAD


OBJETIVO Y BENEFICIOS

OBJETIVO:

Lograr el equilibrio económico entre el impacto del riesgosobre el negocio y el costo de las medidas de protección.

BENEFICIOS:

1. Determina Perfil actual de Seguridad de laOrganización.

2. Destacar las áreas donde se necesita más protección.

3. Ayuda a reunir hechos para desarrollar contramedidas(prevención).

4. Sirve para incrementar la necesidad de Seguridad, a travésde valorar puntos fuertes y débiles desde la Dirección hastalo Operacional.


EL PAPEL DE LA DIRECCION

“El mayor recurso para el A.R. es la mano de obra, por esto laDirección debe estar dispuesta a comprometer los recursosnecesarios si se requiere resultados significativos”

1. APOYAR EL PROYECTO

2. DELINEAR EL PROPOSITO Y EL ALCANCE

3. SELECCIONAR EL EQUIPO CALIFICADO

4. DELEGAR AUTORIDAD

5. REVISAR RESULTADOS EN EQUIPO.


EVALUACION DE EXPOSICION DE RIESGO

Antes de cualquier acción correctiva es necesario hacer una evaluación exhaustiva de la exposición al riesgo.

Tres factores deben ser identificados y evaluados cuantitativamente:

1. DETERMINAR TIPOS DE PERDIDA (RIESGOS). (Loss Event Profile)

2. ESTIMAR LA PROBABILIDAD. (Loss Event Probability)

LOS INDICES DE FRECUENCIA / PROBABILIDAD, SE DESARROLLAN MEJORPOR MEDIO DE LOS INFORMES DE OCURRENCIAS O RECONSTRUYENDOMEDIANTE ENTREVISTAS CON PERSONAS ENTENDIDAS

3. CUANTIFICAR EL POTENCIAL DE LA PERDIDA (IMPACTO O SEVERIDAD DELRIESGO).(Loss Event Criticality)


IDENTIFICACION DEL RIESGO

Se debe desarrollar respuestas a las siguientes consideraciones:

Activos. ¿ Qué posee, opera, presta, controla, produce, fabrica, mantiene, la empresa?

2. Exposición.¿ A qué esta expuesta la compañía, qué puede causar o contribuira dañar, a robar, o a pérdida de propiedad u otros activos de la compañía,o que puedan causar o contribuir a daños físicos de los empleados de laempresa u otros?

3. Pérdidas.¿ Con qué conocimiento empírico se dispone para identificar lafrecuencia, magnitud y alcance de pérdidas sufridas en el pasado por esta ypor compañías semejantes.


HERRAMIENTAS PARA LA IDENTIFICACION DEL RIESGO

1. Entrevistas comprensivas

2. Inspecciones y observaciones de campo de las operaciones

3. Habilidad para obtener analizar los registros pertinentes.

OTRAS TECNICAS:

1. Desarrollar datos de activos y expresarlos en términos dedólares.

2. Un historial de exposición a perdida de la Cia. estudiada yotras semejantes.


LISTA DE CONTROL DE SEGURIDAD

“TIENE EL PROPOSITO DE PROVEER UN REGISTRO LOGICO DE INFORMACION Y ASEGURAR QUE

NINGUNA CUESTION IMPORTANTE SE QUEDE SIN RESPUESTA”.


MEDIDA DEL RIESGO Y CUANTIFICACION

1. Valoración del costo de un sucesodesfavorable

2. Frecuencia con que el sucesopuede ocurrir en un periododeterminado.

3. La suma es el costo totalesperado de estos sucesos


ELEMENTOS QUE PUEDEN AFECTAR EL VALOR DE LA FRECUENCIA

(ALE) La esperanza de pérdida anual, es el producto delimpacto y la frecuencia.

Los elementos que pueden afectar la estimación de lafrecuencia son:

1. Acceso

2. Desastres Naturales

3. Riesgos Medio Ambientales

4. Edificios De La Instalación

5. Ambiente De Trabajo

6. Valor


PRINCIPIOS DE LA PROBABILIDAD

1. Riesgo es la posible ocurrencia de unsuceso no deseado.

2. El estudio de probabilidades deocurrencia se conoce comoProbabilidad

1796 el Marqués De La Place en su obra “Teoría analítica de probabilidades”

estableció 10 principios de probabilidad.


PRINCIPIOS DE LA PROBABILIDAD DE LAPLACE

1. LA PROBABILIDAD SE DEFINE COMO LA RAZON ENTRE EL NUMERO FAVORABLE DE CASOS A TODOS LOS CASOS POSIBLES.

2. SI LOS CASOS NO SON IGUALMENTE POSIBLES ENTONCES LA PROBABILIDAD ES LA SUMA DE LA POSIBILIDADES DE CADA CASO FAVORABLE.

3. CUANDO LOS SUCESOS SON INDEPENDIENTES UNO DE OTRO, LA PROBABILIDAD DE SU OCURRENCIA SIMULTANEA ES EL PRODUCTO DE SUS PROBABILIDADES SEPARADAS.

4. SI DOS SUCESOS SON DEPENDIENTES UNO DEL OTRO ENTONCES LA PROBABILIDAD DE SU OCURRENCIA SIMULTANEA ES EL PRODUCTO DE LA PROBABILIDAD DE OCURRENCIA DEL PRIMER SUCESO Y DE LA PROBABILIDAD QUE EL SEGUNDO SUCESO OCURRA DADA LA OCURRENCIA DEL PRIMER SUCESO.


5. SI LA PROBABILIDAD DE LA FASE PRIMERA DE UN SUCESO CONBINADO ESTADETERMINADA Y AQUEL DE LA SEGUNDA FASE ESTA DETERMINADA,ENTONCES LA SEGUNDA PROBABILIDAD DIVIDIDA POR LA PRIMERA ES LAPROBABILIDAD DEL SUCESO ESPERADO SACADA DEL SUCESO OBSERVADO.

6. CUANDO UN SUCESO OBSERVADO ESTA RELACIONADO A UNA CAUSA, LAPROBABILIDAD DE LA EXISTENCIA DE LA CAUSA ES LA LA PROBABILIDAD DEL SUCESORESULTANTE DE LA CAUSA DIVIDIDO POR LA SUMA DE PROBABILIDADES DETODAS LAS CAUSAS.

7. LA PROBABILIDAD DE QUE DE UN SUCESO CAIGA ENTRE LOS LIMITES ES LA SUMA DELAS FRACCIONES QUE CAIGAN DENTRO DE ESTOS LIMITES.



8. LA DEFINICION DE ESPERANZA MATEMATICA ES UN PRODUCTO DE LA GANANCIAPOTENCIAL GANADA Y LA PROBABILIDAD DE OBTENERLA.

9. EN UN CONJUNTO DE SUSCEOS PROBABLES, DE LOS CUALES UNOS PRODUCEN UNBENEFICIO Y LOS OTROS UNA PERDIDA, TENDREMOS LA VENTAJA QUE RESULTEHACIUENDO UNA SUMA DE LOS PRODUCTOS DE LA PROBABILIDAD DE CADA SUCESOFAVORABLE POR EL BENEFICIO QUE PRODUCE, Y SUSTRAYENDOLE LA SUMA DE LOSPRODUCTOS DE LA PROBABILIDAD DE CADA SUCESO DESFAVORABLE POR LAPERDIDA QUE LLEVA CONSIGO. SI LA SEGUNDA SUMA ES MAYOR QUE LA PRIMERA, ELBENEFICIO LLEGA A SER PERDIDA, Y AL ESPERANZA SE CAMBIA A MIEDO.

10. ESPERANZA MORAL SE DEFINE COMO LARELACION ENTRE SU VALOR ABSOLUTODIVIDIDO POR LOS FONDOS TOTALES DE LA ENTIDAD INVOLUCRADA. ESTEPRINCIPIO TRATA DE LA RELACION DE GANANCIA POTENCIAL A PERDIDA POTENCIAL YDESCRIBE LAS BASES POR NO EXPONER TODOS LOS FONDOS AL MISMO RIESGO.



FACTORES DE PROBABILIDAD QUE INCREMENTAN LA EXPOSICION DE ACTIVOS AL RIESGO

MEDIO AMBIENTE SOCIAL.

MEDIO AMBIENTE POLITICO.

EXPERIENCIA HISTORICA.

SITUACION DE CRIMINALIDAD.


EL PROBLEMA DE LA INFORMACION

1. Disponibilidad de la informaciónreferentes a pérdidas pasadas.

2. Organización de la informacióndentro de un formato quepermita el procesamientoestadístico.


FACTOR PROBABILISTICO

Virtualmente Cierto. ( Evento Ocurrirá)

Altamente Probable. (Ocurrencia Probable)

Moderadamente Probable. (Mas Probable)

Improbable. (Menos Probable)

Probabilidad Desconocida. (Datos Disponiblesinsuficientes + Alta Ocurrencia)


COSTOS DE LA PÉRDIDA

1. DIRECTOS ( ACTIVOS )

Dinero, instrumentos negociables, propiedad, información.

2. INDIRECTOS (IMAGEN Y MARKETIN)

Reputación, presencia comercial (good will), pérdida deempleados, moral de empleados.

COSTOS REALES DE LA PERDIDA:

1. Costos de reemplazo permanente.

2. Costos de sustitución temporal.

3. Costos relativos.

4. Costos de ingresos perdidos.


“ K ” SE CALCULA PARA UNA PERDIDA INDIVIDUAL Y UNA BASE ANUAL

K= (Cp +Ct+ Cr+Ci ) – (I -a)

Cp= Precio de compra, fletes de cargos de transporte y envió,costo de instalación y puesta en marcha).

Ct = Costo de alquiler, trabajo extra para compensar laproducción pérdida.

Cr = Lucro cesante.

Ci = Costo perdido si el dinero habría sido invertido.

I = (Indemnización por seguros).

a = (Monto prima del seguro).


COSTO DEL DINERO INVERTIDO

Ci = i/365 {p X t}

i = Tasa de interés

P =(Monto disponible para inversión)

P = Cp + Ct

t= (Tiempo en días)


CLASIFICACION O RATING DE LA CRITICALIDAD (K)

Fatal para el negocio ( recapitalización odiscontinuidad)

Muy serio (impacto en el balance).

Moderadamente serio (impacto en utilidades)

Relativamente sin importancia (reservas)

Severidad desconocida


ADMINISTRACION DEL RIESGO

1.- EVITAR EL RIESGO

2.- REDUCCION DEL RIESGO

3.- DIVERSIFICACION DEL RIESGO

4.- TRANSFERIR EL RIESGO

5.- ASUMIR EL RIESGO


SEGUROS Y MANEJO DE RIESGOS

1. “No debe ser considerado como el único factor deprotección de perdidas, por cuanto la cobertura eslimitada”

2. La mejor aproximación de un manejo adecuado deRiesgos, es un designado a las funciones combinadas de:

Prevención de pérdidas.

Control de pérdidas

Indemnización de pérdidas


TECNICA DE APROXIMACION

PREVENCION

Parar incidentes antes de que comiencen

CONTROL

Impedir que incidentes impacten sobreactivos.

RECUPERACION

Restablece la operación luego de que losactivos hayan sido afectados.


MATRIZ DE DECISION

“Sirve para ayudar a tomar decisiones

sobre el Manejo del riesgo”


FRECUENCIA

SEVERIDAD DE

PERDIDA ALTA

7-10

MEDIA

4-6

BAJA

1-3

ALTA EVITAR PREV. PERD. Y

EVITAR

TRANSFERENCIA

A SEGURO

MEDIA EVITAR Y PREV. PREVENCION Y

TRANSFERENCIA

ASUMIR Y

DIVERSIFICAR

BAJA PREVENCION

PERDIDAS

PREVENC. Y

ASUMIR

ASUMIR

“Considerar: recursos de información disponibles, correlaciones de probabilidades fiables, tiempo y requisitos de recursos mínimos y

disponibilidad, evaluación realista de la eficacia del control, de seguridad existente”.


PREPARACION DE LA SOLUCION

1. Análisis de la Amenaza.- Determinar que los diferentes riesgos provienen deuna causa común.

2. Árbol Lógico de la Amenaza ( Threat Logic Tree).- A cada riesgoidentificado, corresponden ciertos eventos que son necesarias antes deque pueda ocurrir.

3. Apalancamiento (Leverage).- La aplicación de una sola contramedida enun lugar apropiado, puede neutralizar varias amenazas.

4. Diseño de Red (Network Design).- Consiste en organizar la interrelación delas contramedidas.


ANALISIS DE LA AMENAZA

La tarea de identificar un patrón lógico de interrelacionar riesgos se denomina “árbol lógico de la amenaza”

CONSTRUCCION DEL MODELO DE LA AMENAZA

Cada riesgo identificado, corresponde a ciertos eventos o condiciones que son necesarias antes de que pueda ocurrir


APALANCAMIENTO

Consiste en que la aplicación de una simple contramedida en el lugar apropiado puede neutralizar varias amenazas.

DISEÑO DE RED

Consiste en organizar la interrelación de las

contramedidas.


RAZONES PARA QUE OCURRAN PERDIDAS DE SEGURIDAD

Vulnerabilidades no han sido reconocidas.

Contramedidas no son efectivas.

No se ha identificado un cambio.


La Ecuación ROE (Return of Expenditures)

Para obtener el retorno de los gastos hechos en un programa deseguridad se compone de:

AL + R AL = Pérdidas Evitadas

ROE = ------------- R = Recuperaciones hechas

CSP CSP = Costo del Programade Seguridad

ROE = Retorno de Gastos

Para representar los costos del programa de Seguridad (CSP) es necesarioincluir:

(1) Gastos de personal

(2) Todos los gastos generales administrativos

(3) Costos de capital aplicado


RESOLUCION DEL PROBLEMA

Determinar 3 factores para propuestas de contramedidas:

1. Costo.

2. Grado de confiabilidad para alcanzar el objetivo.

3. Tiempo requerido para ponerlo en acción.


DETERMINAR EL COSTO-BENEFICIO DE LAS CONTRAMEDIDAS

1.COSTO

2.FIABILIDAD

3.RETRASO

Ej.: Un punto de guardia de 24 horas requiere de 3 guardias

El costo por guardia o por puesto + equipo + confiabilidad +tiempo de contratación e implementación del software.


INCORPORANDO REDUNDANCIA EN LOS SISTEMAS

Para alcanzar niveles altos defiabilidad en Programas deSeguridad.

Redundancia en sistemas dedetección.

Sistema de alarma propietario.

Es mejor comenzar por lobásico e irse expandiéndose a lomás complicado y costoso.


PLAN DE CONTRAMEDIDAS DE SEGURIDAD

“Prepare un plan de contramedidas de seguridad por etapas, que vayan desde el nivel mínimo de seguridad e ir subiendo, añadiendo el siempre creciente costo al plan de

contramedidas del proyecto”Beneficios:

1. Medir costos.2. Fácil de vender a la dirección.3. Eficiente y efectivo en costo.

La combinación de mano de obra y equipo electrónico(integraciòn-diseño de red)


ESTUDIO DE SEGURIDAD

OBJETIVO DE GESTION DEL RIESGO

“Gestionar efectivamente el riesgo al costo mas bajo posible”

Antes de que cualquier riesgo pueda eliminarse o reducirse debe ser identificado.


DEFINICION DE ESTUDIO

“EXAMEN Y ANÁLISIS CRÍTICO IN SITU” DE UNA INSTALACIÓN PARA DETERMINAR:

EL ESTADO DE LA SITUACIÓN DE SEGURIDAD EXISTENTE,

IDENTIFICAR VULNERABILIDADES,

DETERMINAR LA NECESIDAD DE PROTECCIÒN O EXCESOS,

EMITIR RECOMENDACIONES QUE PERMITAN MITIGAR LOS RIESGOS E INCREMENTAR EL NIVEL DE SEGURIDAD.


QUE SE PUEDE LOGRAR CON UN ESTUDIO DE SEGURIDAD?

Primeramente el profesional en seguridad deberecopilar información sobre perdidas, revisar elplan de seguridad.

Identificar factores críticos que afectan a laseguridad de la instalación o de la operación.

Analizar las vulnerabilidades y recomendar laprotección efectiva en costo.

Asistirá para desarrollar políticas yprocedimientos.


Protegerse del hurto externo e interno.

Desarrollar procedimientos de controlde acceso diseñados para proteger elperímetro de las instalaciones, ademásde las instalaciones informáticas.

Establecer procedimientos de controlde llaves y cerraduras.

Diseñar, supervisar y revisar de lossistemas de detección contra intrusos,alarmas.



Establecer un programa de protección deejecutivos para el personal corporativosaquí y en el extranjero.

Proveer control de movimientos deempleados, clientes y visitantes

Revisar la selección, entrenamiento ydespliegue del personal de seguridadpropio o contratado.



Asistir en la preparación de los planes ydirectrices de emergencia y desastres.

Identifica los recursos internos tanto disponiblescomo necesarios para el establecimiento de unprograma de seguridad efectivo.

Desarrollar y presentar seminarios deinstrucción para la dirección en todas las áreasanteriores



PORQUE LA NECESIDAD DE UN PROFESIONAL DE SEGURIDAD

“LA PREVENCION DEL CRIMEN ES LA ESCENCIA MISMA DE LA EXISTENCIA DEL PROFESIONAL DE SEGURIDAD”.


COMO SE VENDE SEGURIDAD A LA DIRECCION.

1. Establecer un dialogo serio con la Dirección. Historial deperdidas.

2. Recopilar datos de apoyo con fuentes publicadas ymantener una neutralidad objetiva evitando lucha depoderes.

3. Ser profesional y actualizar sus conocimientos.


COMO SE VENDE SEGURIDAD A LA DIRECCION.

1. Mencionar puntos importantes, ser breve y cifras de costos lo más exactas posibles.

2. Busque asesoramiento si es necesario.

3. Contratación de un Consultor externo

4. Aprovechar el momento adecuado.

5. Desarrollar un Programa de Relaciones Públicas.


PROTECCION DE BIENES

DEFINICION :

“ES EL MARCO COMPLETO DE MANEJO DE RIESGOSRELACIONADOS CON LA PROTECCION TOTAL DE UNAEMPRESA”.


CATEGORIAS DEL RIESGO

1.Personales: Causados por empleados, visitantes, clientes o extraños ladrones, saboteadores, espías.

“ Causas de pérdidas por conducta de la gente: deshonestidad, uso de narcóticos, alcohol, juegos, alborotos, sabotaje, espionaje, etc”

2.Impersonales (Naturales): Incendios, terremotos, huracanes, inundaciones, etc.


CONSIDERACIONES

1.Elaborar Plan de Prevención de Pérdidas.

2.La Gerencia debe mantener el programa.

“MANEJO DE CRISIS”

Respuesta a eventos ocurridos.


PROGRAMA DE IMPLEMENTACION

SISTEMA DE APROXIMACION:

Es un método de diseño e implementación efectivo paraun programa de protección, definido como una soluciónefectiva a un problema total.

IMPLEMENTACION:

1. Análisis de la vulnerabilidad

2. Instalación de medidas de prevención

3. Evaluación del programa operativo para asegurar suefectividad.


MEDIDAS DE PREVENCION

1. SOFTWARE (Todas las directivas e instructivos, escrito overbal, para que un programa de protección actúeefectivamente).

2. PERSONAL (Uso de personal efectivo es importante porcuanto la mano de obra es el punto mas costoso de unprograma de protección).

3. HARDWARE (cerraduras, cercas y barras para protegeraberturas, cajas fuertes y dispositivos electrónicos).


EVALUACION DEL SISTEMA

Es el tercer paso, para instalación delprograma, esta debe realizarseperiódicamente.

Técnicas de auditoria de gestión.

Ayuda de auditoria para estudios.


DIFERENCIA ENTRE AUDITORIA E INVESTIGACION

Auditoria: Es analizar los hechos, sacar conclusiones yhacer recomendaciones.

Investigación: Es experiencia y adiestramiento. (Obtenerevidencia, informar objetivamente y evitar escrupulosa-mente sacar conclusiones o hacer recomendaciones.

Hecho: es algo que tiene existencia real.

Conjetura: insuficiente evidencia para considerarse comoun hecho.


EVALUACION DEL PROGRAMA

Auditoria.- Revisión completa, verificación, análisis y valoración de lasdiversas funciones de una organización, como un servicio a la dirección.

Trabajo de campo.- 50 % el otro 50% es planificar el estudio y escribir elinforme final.

Recopilar ordenar y analizar los datos, registros y procedimientos dondequiera que se encuentren que pueda tener un efecto sobre la operación yasí sobre los resultados deseados del estudio.

El trabajo de campo es la medida y evaluación de la efectividad delprograma de seguridad bajo revisión.


ASPECTOS QUE AFECTAN LA MEDICION: LA CALIDAD, FIABILIDAD Y COSTO

Seis formas del trabajo de campo:

“El objetivo de medir es valorar la idoneidad, efectividad yeficiencia de un sistema existente o propuesto”.

Observar.- Mirar, (inteligente y cuidadosamente) gente,cosas y como se relacionan.

Preguntar.- Hacer preguntas orales o escritas.

Analizar.- Examen detallado en una entidad compleja paradeterminar la verdadera naturaleza de sus parteindividuales.


ASPECTOS QUE AFECTAN LA MEDICION: LA CALIDAD, FIABILIDAD Y COSTO

Verificar.- Por confirmación de la verdad, exactitud, autenticidado validez del asunto objeto bajo cuestión.

Investigar.- Pesquisa que tiene como objetivo el descubrir hechosy obtener evidencia para establecer la verdad.

Evaluación.- Estimar el valor por medio de llegar a un juicio, esponderar lo que ha sido analizado y determinar su adecuación,efectividad y eficacia.


ESTUDIO PRELIMINAR

La familiarización de las tareas que han de realizarse, superando a una simple observación.

Habilidad para percibir los verdaderos objetivos de la operación, localizar y evaluar los puntos de control claves.

Preguntas básicas:

Qué es la operación?

Quién o qué hace la operación?

Por qué se hace, dónde y cuándo?

Cómo se logra?


ENTREVISTA INICIAL CONFERENCIA DE APERTURA

Organizacional (preguntas orientadas hacia la gente).

Funcionales (flujo de trabajo).

Operacionales (interesados en equipos, software o procedimientos relacionados en menor grado)

“Debe solicitar la opinión de la dirección con relación a los siguientes temas” que áreas da mayores problemas?, Que espera la dirección del estudio?.

Memorando de la Dirección (documento habilitante para acceder a la información).


OBTENIENDO INFORMACION

Fuentes básicas: (estatutos de la operación, copias dedeclaración de políticas, directivas, funciones,responsabilidades, metas y delegación de autoridad,puestos de trabajo del personal involucrado en laactividad).

Información Financiera.- (Directa o indirectamente).

Instrucciones de Operación: (imagen de flujo y registro dedatos).


AREAS DE PROBLEMAS

1. Problema mencionado por la Dirección.

2. Deficiencias encontradas en estudios preliminares.

3. Procedimientos y controles diseñados para aliviar dificultades y problemas.

4. Asuntos de interés especial. Explorar áreas nuevas, mencionadas por la Dirección.


FUENTES DE INFORMACION

1. Discusión con supervisores y empleados.

2. Discusión con supervisores por abajo y por arriba de la operación bajo revisión.

3. Archivo de correspondencia.

4. Informes de estudios previos , auditorias o inspecciones.

5. Datos de presupuesto.

6. Declaraciones y/o informes.

7. Manuales de procedimientos operacionales

8. Informes agencia de gobierno.


OBSERVACIONES FISICAS

1era vista para familiarizarse (global).

Los empleados se encuentran en su ambiente habitual de trabajo.

Diagrama de flujo.- Forma mas fácil de obtener una comprensión visual de un

sistema o procedimiento.


SINTESIS

“ El trabajo de campo es medir lo que es comparado con lo que debería ser, esto

requiere ambos métodos de medida y la existencia de estándares aceptables,

medir 3 factores calidad fiabilidad y costo, el trabajo de campo se realiza con

técnicas de: observar, preguntar, analizar, verificar, investigar y evaluar. La

parte más grande del trabajo es reunir los datos y evidencia acumulada, los

cuales deben ser analizados y evaluados, antes de que se puedan desarrollar las

recomendaciones”


SINTESIS

“En los estudios preliminares se conoce gente, entiendeopiniones, enfoca objetivos controles y riesgos, así se puederealizar el estudio inicial de una manera efectiva,eficiente e inteligente.”


INFORME DEL ESTUDIO

Informe debe ser:

Claro.

Conciso.

Completo y

Exacto.


INFORME DEL ESTUDIO

1. Propósito.- Razón por la que se hace el estudio.

2. Alcance.- Describe el alcance que motiva el estudio.

a) Personas entrevistadas

b) Instalaciones visitadas

c) Categorías de documentos revisados.


INFORME DEL ESTUDIO

3. Hallazgos .- Incluye hallazgos apropiados al propósito del estudio.

Ej. Seg. Física, Compras, Inventarios , Etc.

A menos que tengan un impacto directo sobre la seguridad.


HALLAZGOS

General.- Descripción breve de las instalaciones, ambiente, operaciones,productos o servicios y calendarios.

Organización.- Descripción breve de la estructura de organización ynumero de Empleados. Detalles en consideración del numero ycategorías de personal que realizan los deberes con relación a laseguridad.

Rasgos de seguridad Física.- Describa controles de cerraduras y llaves,material de cerrojos, puertas de salida/entrada, puertas, vallas y otrasbarreras naturales y estructurales de entrada no autorizada. Describacontrol de acceso, medios de identificación. Seguridad de alumbrado,sistema de vigilancia y alarmas, operaciones de guardia, etc.


HALLAZGOS

Controles Internos.- Describa métodos y procedimientos que gobiernan el

sistema de control de inventario, disminución y ajustes; identificación y

control de fondos de capital; recepción y envío; cuentas por cobrar;

compras y cuentas a pagar; selección de personal; nóminas; control de caja

y protección; ventas a empleados; frecuencia y alcance de las auditorias;

responsabilidades de acciones fiduciarias; conflicto de intereses y políticas,

etc.


HALLAZGOS

Sistemas de Datos y Grabaciones.- Describa los rasgos físicos y

procedimientos para proteger centros de datos, acceso de equipos EDP,

los medios y los datos; tipos de sistema de utilización en uso;

dependencia; medios de apoyo y capacidad del ordenador; capacidad

de auditoria por medio del ordenador. Identificar grabaciones

esenciales y como deben protegerse.


HALLAZGOS

Planificación de Emergencia.- Estado y extensión de planificación ,organización y entrenamiento por desastres naturales, bombas,amenazas de bombas, situaciones de secuestros y rehenes, desordenes omotines. Considerados en tres fases:

1. Preparación para Emergencias.

2. Acciones durante Emergencias.

3. Acciones de recuperación post- emergencias.

Adicional la utilización de recursos internos y externos.


CUATRO CRITERIOS DE UN BUEN INFORME

1. EXACTITUD:

a) Hechos documentados y lógica irrefutableb) Hechos y evidencia concluyente.c) Hablar con autoridad.d) Identificar la fuente de informacióne) Evitar el uso de atribución personalf) Olvidarse de la perspectiva y la relación de actividades


2. CLARIDAD:

Para escribir claramente hay que entender claramente

a) Informes pobremente estructurados no proporcionanclaridad.

b) Progresión ordenada de las ideas.c) Evitar terminología técnica o dar explicación.d) Presentar adecuadamente el escenario.e) Mapas de flujo, calendarios y gráficos pueden dar

mayor claridad.



3. CONCISION :

a) Eliminar todo lo que no sea esencial.b) No significa brevedad o ligereza.c) Se debe eliminar lo superfluo, redundante e innecesario.d) Utilizas frases simples, cortas y fáciles de entender.e) No confundir concisión con falta de datos.f) Debe existir el detalle suficiente, para hacerlo significativo a

todos los niveles de audiencia.



4. OPORTUNIDAD:

a) El informe debe entregarse a tiempo.b) Cuando se realizan hallazgos que amerite informar

inmediatamente a la Dirección, se debe usar el “Informe Interino”. A este respecto uno podría informar oralmente a la dirección y proceder al informe preliminar escrito.

c) Los preliminares deben ser cortos y precisos, refiriéndose máximo a dos temas. El propósito es dar a la Dirección la oportunidad de enfocar la condición informada.



OTROS ASPECTOS IMPORTANTES DEL INFORME

TENDENCIA A TONO:

a) El informe debe ser cortes.

b) Considerarse el efecto sobre el personal de Operaciones.

c) Esforzarse por impersonalidad.

d) Debe identificarse con necesidades, deseos y objetivos de la Dirección.

e) Evitar la mezquindad.



FORMATO:

a) Esta dictado por el tipo de informe, si es formal o informal, final o preliminar, escrito u oral.

b) dependiendo a quienes se dirige: ¿ Que espera la Audiencia? ¿Qué tiempo pueden dedicar al informe?

c) No hay formato universal.



La Carta Adjunta de Transmisión:

a) Sinopsis de hallazgos.

b) Debe evitarse hacer licencia poética y resumir detalles.

c) Debe limitarse a una pagina en beneficio al Ejecutivo ocupado.

d) Evitar ser redundante o invadir el informe adjunto.



Cuerpo del Informe:

a) Titulo.- Incluye, nombre, dirección y código postal deentidad que estudia. Debe incluir fechas en que se realiza elestudio. Debe incluir “Estudio(Auditoria) de Seguridad

b) Introducción o Prologo.-Proveer todos los datos, parafamiliarizar al lector con los datos que revisa. Un punto de

información esencial es la autoridad.



c) Propósito.- Descripción breve de los objetivos del estudio. Los hallazgos deben corresponder a la afirmación que indica el propósito.

d) Alcance.- Delineación clara de que áreas se están estudiando y en que extensión se esta examinando.

e) Hallazgos.- Producto del trabajo de campo, hechos producidos por las revistas, reexaminaciones, observaciones, análisis, e investigaciones.



f) Declaración de Opinión ( Conclusiones )

Refleja la opinión profesional y juicio del investigador enrelación a actividades que el ha revisado. Algunosprefieren obviar las conclusiones y pasan directamente a loshallazgos y recomendaciones.

La opinión debe ser sensible al propósito de la revisión.

Debe considerarse que opinar frecuentemente es criticar, porlo tanto uno debe cuidar sus expresiones positivas cuandocumplidos son merecidos.


Roberto A. Varas Cevallos

CPP, CPO, CSSO

Análisis de riesgos

Principal herramienta de la administración de

seguridad en la toma de decisiones para la

ejecución de operaciones y determinar los

requerimientos desde el punto de vista de

seguridad.


CPP, CPO, CSSO

Secuencia

Identificar los bienes Identificar la amenaza Identificar los riesgos Determinar la probabilidad de ocurrencia Determinar el impacto Calcular el riesgo base Aplicar medidas de mitigación Calcular el riesgo residual Reportar y presentar recomendaciones


CPP, CPO, CSSO

Identificar bienes

Obtener la mayor cantidad posible de información de la operación, entre otra:

Tipo de operación

Ubicación

Fecha de inicio

Duración

Personal involucrado

Recursos disponibles

Impacto en el negocio


CPP, CPO, CSSO

Secuencia



CPP, CPO, CSSO

Identificar Amenaza

Conocimiento de grupos delincuenciales del área de operaciones

Base para posteriormente calcular la probabilidad

Bases de datos y estadísticas


CPP, CPO, CSSO

Secuencia



CPP, CPO, CSSO

Identificar Riesgos

En base a los bienes y a la amenaza

Factores que influyen:

Perfil del personal

Historia de la amenaza

Personal local

Transporte

Horas de trabajo


CPP, CPO, CSSO

Identificar Riesgos

Categorización:

Contra las personas

Contra la propiedad

Contra las operaciones

Contra la imagen

Contra la información


CPP, CPO, CSSO

Secuencia



CPP, CPO, CSSO

Determinar la probabilidad de ocurrencia

Operaciones existentes - datos históricos

Casos positivos sobre potenciales, expresado en porcentaje

Medición subjetiva

Experiencia es necesaria


CPP, CPO, CSSO

EJEMPLO DE MATRIZ

CATEGORIA

CRITERIO

BAJA (1) MEDIA (2) ALTA (3) CRÍTICA (4)

CUANTITATIVOP <= 20% 20% < P <=50% 50% < P <=80% P > 80%

CUALITATIVO

Improbable; puede

ocurrir sólo en

circunstancias

excepcionales.

Probable; Ocurrirá

ocasionalmente

Muy probable; Ocurrirá

con frecuencia

Casi Cierto; Se espera

que ocurra

FRECUENCIA

1 ocurrencia en 100

años

1 ocurrencia en 30

años

1 ocurrencia en 10

años

Ocurrencia anual

CATEGORIA CUALITATIVA VALOR CUANTITATIVO

1 BAJA P < = 20%

2 MEDIA 20% < P < = 50%

3 ALTA 50% < P < = 80%

4 CRITICA P > 80%


CPP, CPO, CSSO

EJEMPLO DE MATRIZ 2

CATIDAD DE

INCIDENTES

TIEMPO EN AÑOS RIESGO

1 EN 10 BAJO

10 EN 10 MEDIO

10 EN 1 ALTO

100 EN 1 CRITICO

Categoría Porcentaje

Crítico > 90 %

Alto 90 – 60 %

Medio 60 – 30 %

Bajo 30 – 0 %


CPP, CPO, CSSO

Secuencia



CPP, CPO, CSSO

Determinar el impacto

Se recomienda expresarlo en términos monetarios

Puede usarse una medida cualitativa, especialmente para riesgos contra las personas


CPP, CPO, CSSO

EJEMPLO DE MATRIZ

CLASE PERSONAS (1) PROPIEDAD (2) FINANCIEROS (3) IMAGEN (4)

BajaHeridas menores, podría

requerir primeros auxilios

Equipos, instalaciones no

críticos inutilizables por

más de 1 semana.

Pérdidas de hasta

USD 1K

Puede solventarse con los

recursos presupuestados

para imprevistos

Atención individual de

empleados, clientes o

terceras personas.

Acción regulatoria que

requiera una respuesta

administrativa

Medio

Heridas que requieran

atención médica,

restricción para trabajar y/o

evacuación individual

Equipos, instalaciones,


más de 1 día

Pérdidas de hasta

USD 10K

Notable impacto en los

balances de la empresa

Atención moderada del

cliente y/o comunidades

locales.


derive en multas

Alto

Heridas con Perdida de

tiempo de trabajo de hasta

30 días; múltiples heridas

que requieran atención

médica, evacuación

múltiple.

Equipos, instalaciones


más de 1 semana

Pérdidas de hasta

USD 100K

Gran impacto en los

estados financieros de la

empresa, ajustes mayores

al presupuesto

Atención grave del

cliente y/o de medios a

nivel nacional.


derive en una demanda

legal.

Crítico

Heridas con pérdida de

tiempo de trabajo por más

de 30 días; una o más

muertes, discapacidad

permanente, evacuación

general, secuestro.

Pérdida de equipos,

instalaciones críticos para

la operación.

Pérdidas por más de USD

100K

Necesidad de

recapitalización, cierre de

la empresa

Atención de medios a

nivel internacional.


pueda derivar en

suspensión de las

operaciones


CPP, CPO, CSSO

EJEMPLO DE MATRIZ 2

CATIDAD DE DINERO CATIDAD DE DINERO IMPACTO

MENOR A 100.000 USD BAJO

100.000 USD 500.000 USD MEDIO

500.000 USD 750.000 USD ALTO

>750.000 CRITICO

BAJO: TODA PERDIDA QUE SE PUEDE ABSORVER CON RESERVAS PROPIAS

MEDIO: PERDIDA CON CAPITALES QUE NO NECESITE PRESTAMOS O FINANCIAMIENTOS

ALTO: NECESITA PRESTAMOS O FINANCIAMIENTO EXTERNO

CRITICO: CUANDO SE NECESITA DEL APORTE DE DINERO DE LOS ACCIONISTAS


CPP, CPO, CSSO

EJ TABLA PARA CATALOGAR EL IMPACTO-INFORMACION

PORCENTAJE IMPACTO

N.A BAJO

CONFIDENCIAL MEDIO

RESERVADA ALTO

SECRETA CRITICO

•La empresa maneja programas (bases de datos, software), administrativos,

operativos y de logística que al sufrir un sabotaje o robo

perjudicaría gravemente en la Operación, Imagen etc.


CPP, CPO, CSSO

Secuencia



CPP, CPO, CSSO

Calcular el riesgo base

Es el producto del impacto (I) por la probabilidad (P)

I \ P (4) Crítica (3) Alta (2) Media (1) Baja

(4) Crítico 16 12 8 4

(3) Alto 12 9 6 3

(2) Medio 8 6 4 2

(1) Bajo 4 3 2 1

RIESGO Crítico Alto Medio Bajo


CPP, CPO, CSSO

EJ: RIESGO BASE

NIVEL DE RIESGO DE

SECUESTRO

NIVEL DE RIESGO DE

ASALTO

INCIDENCIA

PROBABILIDACRITICO ALTO MEDIO BAJO

INCIDENCIA

PROBABILID

A

CRITICO ALTO MEDIO BAJO

CRITICO CRITICO

ALTO ALTO

MEDIO MEDIO

BAJO BAJO


CPP, CPO, CSSO

COMO SE ADMINISTRA EL RIESGO

EVITO (NO REALIZO ACTIVIDADES QUE PUEDEN GENERAR RIESGO)

TRANSFERENCIA: ASEGURO

DIVIDIR EL RIESGO: (NO 2 EJECUTIVOS EN MISMO VUELO

PREVENIRLO: PROTECCION PROFESIONAL

ASUMIRLO


CPP, CPO, CSSO

Secuencia



CPP, CPO, CSSO

Aplicar medidas de mitigación

Se pondera la efectividad de los programas, procedimientos y personal de seguridad.

Apoyo de la Fuerza pública Escoltas de Seguridad Medidas de Seguridad Electrónica Empleo de motorizados/protectores/custodias en las vías Análisis de información Planes para respuesta a Emergencias. Etc.


CPP, CPO, CSSO

Secuencia



CPP, CPO, CSSO

Calcular riesgo residual

Riesgo base – medidas de mitigación

Objetivo: alcanzar el nivel mas bajo posible


CPP, CPO, CSSO

EJ: RIESGO RESIDUAL

NIVEL DE RIESGO DE

SECUESTRO

NIVEL DE RIESGO DE

ASALTO

INCIDENCIA


INCIDENCIA


CRITICO CRITICO

ALTO ALTO

MEDIO MEDIO

BAJO BAJO


CPP, CPO, CSSO

Secuencia



CPP, CPO, CSSO

Reportar y hacer recomendaciones

Riesgo base – medidas de mitigación

Objetivo: alcanzar el nivel mas bajo posible


CPP, CPO, CSSO

Riesgo

I/P Críico Alto Medio Bajo

Critico

Alto

Medio

Bajo

R = Riesgo

I = Impacto

P = Probabilidad

Probabilidad %

Categoría Percentaje

Crítico > 90 %

ALto 90 – 60 %

Medio 60 – 30 %

Bajo 30 – 0 %


CPP, CPO, CSSO

Categoría de riesgo

Fecha:

Identificar el riesgo

Impacto Razonamiento del impacto

Probab. Razonamiento de la probabilidad

Nivel de riesgo

Plan de mitigación

Riego Residual

Que puede obstaculizar el cumplimiento de nuestros

objetivos

Que impacto puede tener sobre las operaciones. (Considerar cada impacto por separado)

¿Cual es el razonamiento específico para determinar el impacto de cada riesgo?

Qué probabilidad existe de que

ocurra?

Cuál es el razonamiento específico de este razonamiento

Cuál es el nivel actual de riesgo

Si es que el riesgo es inaceptable, que medidas de

mitigación se adaporían?

Cuál es el nivel de riesgo luego de la aplicación de las

medidas de mitigación?

EJEMPLOS HOJAS DE TRABAJO DE ANALISIS DE RIESGO


CPP, CPO, CSSO


CPP, CPO, CSSO


Documents

Rv secuencia de analisis de riesgos v3