¿Cómo calcula CERO?

¿Pero cómo se hace ésto? ¿Cómo CERO usa y asigna escalas cuantitativas a distintos niveles cualitativos? ¿ Porqué la Severidad tiene color verde, amarillo, rojo? Aquí le explicamos para que usted lleve CERO en su máximo potencial!

 

Cálculos inherentes

Para identificar la relevancia de cada riesgo (criticidad o severidad), el sistema le asigna una escala porcentual, derivada de la multiplicación del impacto y la frecuencia (ambos porcentuales también).

Además el sistema permite calificar los riesgos en unas escalas de impacto y frecuencia, cada escala con rangos porcentuales. Para un ejemplo de esto véase la ilustración adjunta:

 

 

Nótese que cada escala de impacto y frecuencia tiene sus límites porcentuales (por ejemplo improbable va de 0% a 5% y Frecuente va de 50% a 100%)

Nótese además que existen unas zonas de colorimetría que en la herramienta se denominan estrategias que indican lo que se debe hacer con cada riesgo.

Estas estrategias son entonces grupos de zonas de la matriz en términos porcentuales. Por ejemplo, la estrategia "Importante" tiene 2 zonas:

Una que se limita por impacto entre 50% y 100% y por frecuencia entre 25% y 100%; y otra zona que se limita por impacto entre 25% y 50% y por frecuencia entre 50% y 100%. Es de notar que los límites de las zonas de una estrategia o colorimetría NO tienen que coincidir necesariamente con los límites de las escalas de impacto y frecuencia.

Cada riesgo tendrá entonces una calificación de impacto y frecuencia inherente en términos de una escala y un equivalente porcentual, por ejemplo, digamos que el riesgo R1 tiene una escala de impacto "Significativo" y una frecuencia "Probable" con equivalente para impacto de 75% y de frecuencia de 50% (los límites superiores de las escalas).

La estrategia o colorimetría para R1 será "Importante" por el nivel de impacto y frecuencia asignados.

Además cada riesgo tendrá una relevancia inherente (criticidad o severidad) que se dará por la multiplicación del impacto por la frecuencia. Para el ejemplo del R1 será: 75% * 50% = 37.5% este porcentaje equivale al área que tiene el riesgo porcentualmente en la matriz así:

 

 

En resumen entonces, cada riesgo tiene un nivel porcentual de impacto inherente y otro de frecuencia inherente dados por los límites superiores de las escalas de impacto y frecuencia asignadas. Además, cada riesgo tiene una severidad inherente calculada por impacto * frecuencia. Finalmente cada riesgo tiene una estrategia inherente dada por la zona en la que caiga.

 

¿Cómo calcula CERO? (Parte 2: los cálculos residuales)

CERO le permite asignar controles para mitigar la probabilidad y los impactos de cada riesgo. Pero, ¿cómo funciona esto? ¿Cómo calcula CERO los riesgos residuales? ¿Cómo calcula CERO los riesgos luego de aplicarles distintos controles? A diferencia de otras herramientas del mercado, CERO le ofrece 3 formas de calcular estos impactos y estas probabilidades: la Básica, la Avanzada y la forma Por Causas . Aquí le explicamos la Avanzada, para que usted lleve CERO en su máximo potencial!

Parte 2: Cálculos residuales

Para los cálculos residuales se tiene en cuenta la calificación de los controles asociados a un riesgo:

Calificación de controles

En cero se califican los controles con 2 medidas: su diseño y su efectividad.

Para calificar el diseño, el sistema permite al administrador incluir una serie de objetivos de control, cada uno con un peso ponderado y unas opciones, cada opción con un peso ponderado también.

Ejemplo:

 

% peso obj	Objetivo	% Opción	Opción
30	Tipo	100	Automático
		50	Semiautomático
		20	Manual
30	Documentado	100	Documentado
		10	No Documentado
20	Evidencia	100	Deja evidencia conservada
		30	Deja evidencia no conservada
		0	No deja evidencia
20	Adecuadas actividades	100	Son adecuadas las actividades del control
		- 100	No son adecuadas las actividades del control
0	Tipo	0	Preventivo
		0	Detectivo

 

La calificación del diseño del control será dada entonces por las opciones que se seleccionen.

Ejemplo: supóngase que para el control C1 y usando las objetivos y las opciones previamente explicadas, se seleccionan las siguientes opciones:

Tipo: semiautomático = 30 * 50 = 15
Documentado: documentado = 30*100 = 30
Evidencia: deja evidencia conservada = 20*100 = 20
Actividades adecuadas: son adecuadas = 20*100= 20
Tipo: preventivo: 0*0 = 0
Total diseño: 15+ 30 +20 +20+0 = 85%

La efectividad se selecciona de un listado de porcentajes y para el ejemplo se asumirá 80%

La calificación del control (QC) será entonces 85% por 80% = 68%

 

Asociación de controles a riesgos

Cada riesgo puede tener asignados controles, y al momento de asociar los controles a un riesgo, se debe asignar cuánto mitiga el control el riesgo, identificando individualmente cuánto mitiga el impacto y cuánto mitiga la frecuencia.

Así:

 

 

Como se ve, el riesgo R1 tiene 2 controles que lo mitigan: C1 y C2.

Nótese que un control puede mitigar diferente a 2 o más riesgos.

Si se continúa con el ejemplo del subtema anterior, C1 tiene un 68% de calificación y se asumirá que C2 tiene un 80% de calificación.

Entonces la frecuencia e impacto residuales de R1 serán en realidad:

Frecuencia residual de R1 = Frecuencia inherente de R1 – (suma de las mitigaciones a la frecuencia por los controles teniendo en cuenta la calificación de los controles)

Para el ejemplo:

 

Riesgo	Frecuencia inherente	lo que mitiga C1	Calificación C1	Lo que mitiga C2	Calificación C2	Frecuencia Residual
R1	50%	30%	68%	50%	80%	50%-(50%*((30%*68%)+(50%*80%))) = 19.8%
Riesgo	Impacto inherente	lo que mitiga C1	Calificación C1	Lo que mitiga C2	Calificación C2	Impacto Residual
R1	75%	20%	68%	10%	80%	75%-(75%*((20%*68%)+(10%*80%))) = 53.4%

 

 

Escrito de otra manera:

Sea FI= Frecuencia inherente de Rj
Sea II= Impacto inherente de Rj
Sea MICiRj = mitigación del impacto por el control i al riesgo j
Sea MFCiRj = mitigación de la frecuencia por el control i al riesgo j
Sea QCi = calificación del control i
Frecuencia residual de Ri = FI – Sumatoria de i de (MFCiRj*QCi)
Impacto residual de Ri = FI – Sumatoria de i de (MICiRj *QCi)

La escala de impacto residual para el ejemplo es significativo pues 53.4% está en los límites de la escala (50.1% y 75%)

La escala de frecuencia residual para el ejemplo es ocasional pues 19.8% está en los límites de la escala (10.1% y 25%)

La severidad residual será entonces el resultado de multiplicar la Frecuencia por el Impacto residual = 53.4% * 19.8% = 10.6%

La estrategia o colorimetría residual para R1 será "Moderado" por el nivel de impacto y frecuencia residuales.