1

GESTIÓN DE AMENAZAS Y RIESGOS UNIDAD I

Amenazas y Riesgos

2

Introducción

El concepto de riesgo se adapta cualquier actividad dependiendo del foco

en el cual se centre, por ejemplo para un científico el riesgo estará fundamentado

en el cálculo de probabilidades, en el caso de un corredor de seguros el riesgo

conlleva implícitamente la idea de cobertura, o puede ser que un inversionista lo

aplique bajo la premisa de la incertidumbre financiera, con el objeto de evaluar el

resultado de un negocio que genere pérdidas o ganancias. En el caso de la

seguridad privada, el foco debe centrarse el el trabajo práctico de determinar los

niveles de amenazas y riesgos que constituyen el análisis fundamental para el

resguardo de los bienes de una organización.

Para introducirnos en el campo de la gestión de amenazas y riesgos,

debemos conocer de antemano algunos conceptos fundamentales, que todo

profesional de la seguridad debe conocer y comprender en todo su contexto.

Estos conceptos los trataremos al inicio de esta Unidad, pero nos serán útiles

para manejar un lenguaje técnico que nos acompañará durante todo el

desarrollo de la asignatura, por ende es indispensable que el alumno lo maneje.

En esta primera semana, nos introduciremos en la implantación de los

principios y guía de la norma ISO 31000 relacionada con la gestión de riesgos,

con la cual se puede mejorar la eficiencia operativa, dirección y confianza de

las partes interesadas, minimizando a la vez cualquier posible pérdida. Esta

norma internacional ayuda a fomentar el desempeño de las áreas del Safety y

el Security, estableciendo una base sólida para la toma de decisiones y

formantando una gestión proactiva en el cuidado patrimonial de una

organización.

¿Ha pensado usted porqué las empresas mantienen sistemas

de seguridad diferentes?

Recuerde que toda profesión maneja una serie de conceptos y

terminología propia, en el área de ingeniería el conocerlos y aplicarlos en

la comunicación verbal y escrita, le permitirá interactuar con otros

profesionales bajo argumentos técnicos que le entregarán solidez a su

mensaje.

3

Desarrollo 1. Definición Amenazas y Riesgos

1.1 Generalidades:

La Gestión de las Amenazas y de los Riesgos, es una poderosa herramienta de apoyo en la administración de la seguridad, que tiende a entregar un justo equilibrio entre recursos, costos y beneficios.

Gestionar las amenazas y riesgos significa obtener una mayor eficiencia y eficacia en las actividades y funciones de la seguridad, ya que por intermedio de este proceso se logra conocer y comprender de mejor forma la necesidad de protección que requiere una instalación, utilizando para ello un proceso profundo de identificación de cada amenaza, determinar el riesgo, cuantificarlo (nivel de riesgo), calcular el impacto que podría tener sobre la organización (personas y bienes)y establecer las posibles consecuencias de sus costos.

Comprender cuales son las amenazas, la determinación de cuales efectivamente pueden llegar a manifestarse (riesgos), los efectos perjudiciales que causarán y la previción de su manifestación o al menos la minimización de su impacto, es parte importante de la Gestión de Amenazas y Riesgos.

Para gestionarlos adecuadamente, es necesario que se elavore previamentre un documento donde se haga un análisis de la situación actual de seguridad en la organización, dirigida fundamentalmente a los aspectos de personal, información, imagen corporativa y bienes, lo que se consigue a través de los Estudios de Seguridad.

Un Sistema de Seguridad se establece cuando se conoce plenamente la organización, sus normas, procedimientos y medios, los cuales bajo un concepto de integración total permiten la materialización de la ausencia de riesgos en una instalación. El Sistema de Seguridad deberá establecerse entonces con metas y objetivos formulados en concordancia con las Políticas de Seguridad de la empresa.

No se puede establecer un Sistema de Seguridad o proponer

soluciones, si previamente no se conoce la naturaleza de la organización,

su entorno, el comportamiento del mercado, lo que en conjunto determina

sus fortalezas y vulnerabilidades. De otra manera solo lograremos

administrar la seguridad por contingencias.

4

1.2 Amenazas:

En seguridad privada se entiende por amenzas a la posibilidad de sufrir daño, pérdida o deterioro. Corresponde a un evento futuro e incierto, que siempre estará presente debido a que existen situaciones, objetos, fenómenos y personas que pueden ocasionarla. Una amenaza lleva implicita la capacidad o intención de realizar acciones o eventos derivados de factores externos y/o internos, que de ocurrir pueden provocar efectos sobre la organización con resultados no deseados y adversos.

La amenza es entonces un constructo descriptivo y cualitativo que nos entrega la causa básica de una posible perdida potencial (total o parcial), a la que se encuentra expuesta la organización.

Una correcta determinación de las amenzas, permitirá la identificación de los riesgos específicos que pueden afectar a la organización. La identificación de las amenazas requiere de experiencia y de sensibilidad para dimensionarla, para ello es necesario analizar los antecedentes disponibles de los factores Económicos, Políticos, Sociales, Tecnológicos y Medioambientales, además de la determinación de otros factores que pueden provenir desde el interior de la organización.

Las amenazas pueden clasificarse según su origen en directas o indirectas. Son directas cuando ella está orientada a la organización con el propósito final de causar un perjuicio, es indirecta cuando ella a pesar de no actuar sobre la organización, colateralmente la afecta ya sea por acciones, omisiones o situaciones que dañen a las personas o al patrimonio.

Toda amenaza se puede identificar a través de la experiencia, los conocimientos en materias de seguridad y mediante el análisis de las fuentes de información disponibles, tales como:

Conocimiento del área de operaciones

Conocimiento de la organización y su cultura organizacional

A través del análisis de la información de los medios de comunicación social.

Por intermedio de revistas especializadas.

Por antecedentes y registros de siniestros o situaciones internas, a lo largo de la historia

Por antecedentes provenientes de análisis delictual de parte de las policías o el Ministerio del Interior.

Por antecedentes que aportan las empresas ubicadas en el entorno más inmediato.

Por intermedio de otros antecedentes sensibles tales como tipo de producción, ventas, análisis del mercado, trabajadores, etc.

5

Las amenazas se pueden clasificar además según su causa

CAUSA EJEMPLO

Naturales Terremotos, movimiento telúricos, tempestades, tormentas, inundaciones, huracanes, maremotos, aluviones, derrumbes, etc.

Accidentales Explosiones, derrumbes, incendios, accidentes laborales, etc.

Agresiones externas Incendios intencionales, amenazas de bombas, daños en las instalaciones, productos o materia prima, intrusiones, etc.

Patrimonio Fraudes, estafas, robos, hurtos, espionaje industrial, extorsiones, falsificación, piratería, etc.

Acciones internas Sabotaje industrial, paralizaciones, hurto hormiga, incendios, fraudes, etc.

Acciones contra personas

Secuestros, asaltos, amenazas, violencia intrafamiliar, chantaje, etc.

Problemas de personal Alcoholismo, drogadicción, adiccciones, falta de motivación, ausentismo laboral, desafección, etc.

Figura 1: Amenazas

6

1.3 Riesgos:

El riesgo es la probabilidad de sufrir un deterioro, daño o pérdida. Es un evento real que probablemente ocurrirá causando efectos no deseados sobre personas o en el patrimonio de la organización. El riesgo a diferencia de las amenazas se puede medir, pero ciertamente nace de la credibilidad de la amenaza, cuantificando su magnitud y conociendo el impacto de su manifestación.

2. Tipos de Riesgos:

Los riesgos se clasifican para su estudio en Seguridad Privada, en dos categorías fundamentales: Riesgos puros y riesgos especulativos.

Riesgos puros: Su manifestación siempre producirá pérdidas, que conllevan a la reducción de las utilidades del negocio o actividad. Estos riesgos los trataremos en un numeral especial de esta semana.

Riesgos especulativos: Tienen una acción dinámica debido a su capacidad de generar utilidades o pérdidas; la preocupación y administración está entregada a las unidades especializadas dentro de una organización tales como.

Recuerde que siempre existe un nivel de riesgo al

determinarse una amenaza como válida

7

Marketing, Finanzas, Economistas, etc. Este tipo de riesgo por regla general no es administrado por el Área de Seguridad, sin embargo, debemos conocer algunos de ellos.

2.1 Riesgos Financieros:

El riesgo financiero se genera a través de la incertidumbre de poder cubrir los costos financieros de la organización, relacionando la dinámica de cambios con las posibles pérdidas en los mercados financieros. Se refieren específicamente a los eventos que pueden alterar los beneficios o resultados de la organización. Por ejemplo, el aumento de costos fijos supone tener que enfrentar en forma periódica los pagos de intereses, lo cual aumenta el riesgo de insolvencia por no pago, además de conducir a variaciones en los beneficios que espera la organización.

2.2 Riesgos Operacionales:

Se entiende por riesgo operacional todo aquel derivado de errores humanos, fallos en los sistemas, políticas, control de los procesos en forma inadecuada y eventos externos que pueden derivar en pérdidas directas o indirectas. Incluye en la definición en forma explícita lo referente a riesgos legales y a los marcos regulatorios pertinentes al desarrollo de la organización.

Se suele categorizar los riesgos operacionales en cuatro grupos:

Personas: Comprende los riesgos asociados al comportamiento humano y el desempeño de los trabajadores en cuanto a su gestión, también referentes a la gestión de conocimiento y lo relativo a los fraudes internos y externos.

Políticas y procesos: Agrupa a todos los riesgos operacionales asociados a la violación de las políticas laborales y prácticas comerciales inapropiadas, incluyendo la entrega y gestión de los procesos organizacionales relacionados.

Sistemas: Referencia a todos los riesgos asociados a las fallas de los sistemas de la organización e interrupciones no planificadas del negocio.

Externos: agrupa a todos los riesgos que no se categorizan en ninguno de los conceptos anteriormente nombrados.

2.3 Riesgos Estratégicos:

Se define como el impacto actual y futuro de los ingresos y el capital que podría emerger de las malas decisiones de negocios, su aplicación incorrecta o la falta de capacidad de respuesta a los cambios en la organización.

8

El riesgo estratégico está ligado en función de su compatibilidad a los

objetivos estratégicos de la organización y las estrategias utilizadas para alcanzarlos.

Todos los recursos para llevar a ejecución las estrategias son valorizados

en relación con el impacto ocasionado respecto de cuatro áreas específicas:

Económicos

Tecnológicos

Competitivos

Regulatorios

Cabe destacar que una de las herramientas utilizadas para gestionar el riesgo estratégico es el plan de negocios anual de la emprea, será la carta de navegación para la toma de decisiones referente a los cuatro ítems nombrados anteriormente.

2.4 Riesgos Puros:

Acorde a la definición que entrega el Instituto de Seguridad Laboral (ISL), este riesgo es “aquel que cuando se manifiesta en un evento solo puede generar pérdidas. Estos riesgos se pueden categorizar en riesgos inherentes y riesgos incorporados”.

Los riesgos puros son los que gestionamos en el ámbito de la

administración de Seguridad en una organización, siendo aquellos sobre los cuales efectuamos los análisis y evaluaciones para tratar de determinar el nivel de impacto que tendrán al manifestarse y de esta manera determinar de qué manera se deberán enfrentar para contrarrestar sus consecuencias.

Algunas situaciones donde se pueden manifestar riesgos puros son:

Carga pesada

Manipulación de máquinas y herramientas peligrosas

Gases, vapores, líquidos y polvos

Zonas peligrosas con alta delincuencia

Manipulación de cargas

Transporte de valores

Cadena de distribución logística

Ausencia de sistema de vigilancia física o electrónica, etc.

3. Sistema de Gestión de Riesgos ISO 31000:2009

Las normas ISO (International Organization for Standardization) son documentos que especifican requerimientos, que pueden ser empleados en

9

organizaciones para garantizar que sus productos y/o servicios, cumplen con los objetivos y a la vez alcanzan la calidad deseada. En el caso de la Gestión de Riesgos, la norma ISO 31000:2009, nos entrega directrices para implementar un Sistema de Gestión de Riesgos (SGR).

Esta norma define al riesgo como “la incertidumbre en los objetivos”, por lo cual deben desarrollarse un conjunto de actividades coordinadas para dirigir y controlar estos eventos.

3.1 Objetivos y alcances de su aplicación

Como las otras normas ISO (9001, 140001 Y 18001), esta norma puede ser utilizada por cualquier tipo de empresa o razón social, sean estas de carácter público o privadas, en atención a que no especifica un sector productivo determinado.

Es un documento cuya aplicabilidad y transversalidad puede implementarse a todo tipo de riesgo, cualquiera sea su naturaleza u origen. La norma ISO 31000, no entrega directrices ni orientaciones genéricas, tampoco tiene como finalidad promover ni incentivar la uniformidad en la gestión de riesgos. Su objetivo en ser utilizada para armonizar los procesos de gestión de riesgos y aportar un lenguaje común en apoyo a las normas que abordan los riesgos en sectores específicos, sin tener un carácter sustitutivo de ellas.

3.2 Principios

Esta norma se basa en 11 principios fundamentales para su correcta gestión:

La gestión de riesgos crea y protege valor para ayudar a alcanzar los objetivos y el desempeño de las organizaciones.

Debe estar integrada en los procesos de una organización, donde la responsabilidad del riesgo sea también de cada gerencia o departamento de la organización.

La gestión de riesgos ayuda y apoya a la toma de decisiones, por lo tanto debe ser parte de ella, evaluando la información y aportando distintas alternativas para aminorar o mejorar el riesgo, dependiendo si es un riesgo favorable o no.

Se debe tratar de forma explícita la incertidumbrede aquellos aspectos de la toma de decisiones que no son reales, su naturaleza y las posibles soluciones aplicables a cada caso.

Es sistemática, estructurada y oportuna, contribuye a la obtención de resultados fiables en forma eficiente.

Los insumos del proceso de gestión de los riesgos, están basados

10

en fuentes de información fiables. Es por ello que para tomar las mejores decisiones y medidas disponibles, la gestión de mejoras debe basarse en la mejor y mayor información disponible.

El Sistema debe estar alineado con el contexto y el perfil de la organización, en atención a que ninguna posee los mismos riesgos.

Siempre debe tener en cuenta el factor humano y cultural, las capacidades y percepciones humanas pueden facilitar o dificultar el logro de los objetivos propuestos por la organización.

Debe ser transparente e inclusiva, asegurando que la gestión de riesgos sea visible y accesible, involucrando a todas las partes interesadas y responsables de las distintas áreas de la organización.

Debe ser dinámica, interactiva y sensible a los cambios de la organización y de su entorno.

Debe ser agente facilitador de la mejora continua en las organizaciones. Estas deberían desarrollar e implementar estrategias para mejorar continuamente el o los enfoques de la gestión de riesgos en la compañía.

3.3. Marco de Trabajo

El éxito de la gestión de riesgos depende de cómo se ejecute el marco de trabajo de gestión, debe proporcionar las bases y las disposiciones que permitan la integración a todos los niveles de la organización. Su desarrollo facilita una gestión eficaz del riesgo, mediante la aplicación del proceso de gestión a difrentes niveles y contextos específicos.

La finalidad del marco de trabajo asegura que la información sobre el riesgo se comunica y utiliza para tomar las decisionesde forma adecuada y obliga a la organización a rendir cuentas en todos los niveles de la organización.

11

Fuente: Norma Nch-ISO 31000-2012, http://www.inn.cl/nch-iso310002012

3.4 Mandato y compromiso

La gestión de riesgos y el aseguramiento de la eficacia continua requieren un compromiso fuerte y sostenido de la dirección de la organización, lo cual debe estar acompañado del establecimiento de una planificación estratégica rigurosa para lograr el compromiso a todos los niverles. La gestión debe:

Definir y aprobar la política de gestión de riesgos

Asegurar que la cultura de la organización y la política de gestión del riesgo estén alineadas

Asegurar el cumplimiento legal y reglamentario

Asignar las obligaciones de rendir cuentas y las responsabilidades apropiadas a los diferentes niveles de la organización

Asegurar que la gestión de riesgos tiene asignados los recursos necesarios.

12

Comunicar los beneficios de la gestión del riesgo a todas las partes interesadas

Asegurar que el marco de trabajo para gestionar el riesgo continúa siendo apropiado.

3.5 Diseño

En el diseño y la implementación del marco de trabajo de la gestión del riesgo es importante evaluar y entender los contextos externos e internos de las organizaciones, dado que ambos influyen en forma significativa en el diseño del marco de trabajo.

3.6 Implementación

En esta etapa se desarrollan en primera línea el saber, el contexto de la organización y todos los factores preponderantes dentro de ella. Para lograrlo la norma determina ciertas aristas que dan los pasos de importancia para determinar dicho contexto, aunque no especifica que se deba limitar a ellos, tal como lo muestra la gráfica de los elementros a considerar:

Marco de trabajo de la gestión de riesgos es el conjunto de elementos

que proporcionan los fundamentos y las disposiciones de la organización para

el diseño, la implementación,el monitoreo, la revisión y la mejora continua del

riesgo en toda la organización

13

Fuente: Norma Nch-ISO 31000-2012, http://www.inn.cl/nch-iso310002012

Política de gestión de riesgos:

Determinado el contexto de la organización, para continuar con la implementación se debe desarrollar la política de gestión de riesgos. Debe indicar en forma clara los objetivos y el compromiso de la organización en todo lo referente a esta gestión considerando para lacreación de la política varios factores, tales como el nivel de la empresa, su área productiva, los riesgos asociados a su respectiva área y todos los factores que puedan afectar el normal desarrollo de las actividades de la organziación, siempre y cuando estén bajo el control de la organización los factores que los generan. La organización por sobretodo debe tener claridad absoluta sobre cuál es la primera causa que la empresa desee gestionar los riesgos.

Otra parte esencial de la política de la gestión del riesgo es el enlazamiento con los objetivos y las diferentes políticas de la organización. De esta forma debe alinearse la estrategia con la gestión de los riesgos. Además, dentro de la política debe quedar establecido la obligación de rendir cuentas y

14

las responsabilidades en materia de gestión del riesgo. Lo más usual es declarar al dueño del riesgo en la política, este concepto apunta a la persona o entidad que debe rendir cuentas y autoridad para gestionar el riesgo.

Otro ítem importante dentro de la política de la gestión de riesgos es declarar la forma en que se tratarán los intereses que puedan entrar en conflicto, de medir dentro de la organización y el compromiso de revisar y mejorar la política de gestión de riesgos y el marco de trabajo, en forma periódica y como respuesta ante cualquier evento que signifique un cambio en las circunstancias de la empresa.

Obligación de rendir cuentas:

Establecida la política de gestión de riesgos y su marco de trabajo, el paso siguiente es la definición de la obligación de rendir cuentas, además de la autoridad y las competencias apropiadas para gestionar el riesgo, donde se deben incluir la implementación y mantención del proceso del riesgo, asegurando la idoneidad, eficacia y eficiencia de todos los controles.

La gestión debería estar integrada en todas las prácticas y procesos de la organización, formando parte de los procesos y no ser independiente de ellos. Por tanto, debe existir un plan de gestión que abarque a toda la organización para asegurar que se implemente en la política de gestión y que se integre a otros planes, como el estratégico.

Para que la gestión de riesgos sea posible se debe tener en consideración a las personas, las habilidades y sus competencias, los recursos necesarios para cada etapa del proceso de gestión, los procesos de la organización, los métodos, las herramientas a utlizar para gestionar los riesgos, y ciertamente los recursos del programa de entrenamiento.

Establecimiento de los mecanismos internos de comunicación

de reporte:

A través de la implementación del sistema de gestión de riesgos es deber de la organización generar y establecer los mecanismos de comunicación internos y de reportes para apoyar y fomentar la obligación de rendir cuentas y propiedad del riesgo, los mecanismos creados deben generar una comunicación adecuada de los componentes claves del marco de trabajo, incluyendo las modificaciones posteriores. Además, debe asegurar la existencia de informes adecuados sobre el marco de trabajo, destacando los niveles de eficacia y sus resultados.

Política de gestión de riesgos es una declaración de las intenciones

globales de una compañía en relación a la forma de enfrentar los riesgos.

15

Dentro de los mecanismos internos se debe velar por la disponibilidad de la información pertinente obtenida de la aplicación de la gestión del riesgo en los niveles y tiempos apropiados y de procesos para realizar las consultas con las partes interesadas internas. Los mecanismos deben incluir procesos para la consolidación de datos sobre el riesgo procedentes de fuentes diferentes, considerando la sensibilidad de la informacion, entendida como aquella que pueda poner en compromiso o peligro la seguridad de lo que se protege.

En cuanto a los mecanismos externos de la comunicación, se considera una planificación de la comunicación con las partes interesadas externas. Hay que incluir su participación, considerando que el término apropiado se enfoca en quienes tienen directa relación y puedan verse afectados con cualquier riesgo dentro de los procesos internos de la organzación.

Es prioridad tambien establecer informes externos identificando el cumplimiento de requisitos legales y reglamentarios, teniendo en cuenta que debe existir la disponibilidad de retroalimentación y utilización de las comunicaciones en pos de generar confianza en la organización, como la comunicación con las partes interesadas en caso de crisis o contingencias.

Al igual que con la comunicación interna, cuando corresponsa, se debe buscar la consolidación de la información sobre un riesgo procedente de diferentes fuentes, considerando tambien la sensibilidad de la información.

Implementación del Marco de Trabajo de la gestión y del

proceso de riesgos:

La norma ISO 31000 describe los distintos aspectos de los pasos que se deben seguir para implementar el marco de trabajo de la gestión de riesgos, los cuales deben seguirse para su correcto funcionamiento y corresponden a:

Definir el calendario y la estrategia apropiada para la implementación del marco de trabajo

Aplicar la política y el proceso de gestión de riesgo a los procesos de la organización

Cumplir con los requisitos legales y reglamentarios.

Asegurar la toma de decisiones, incluyendo el desarrollo y establecimiento de objetivos, se alinean los resultados de los procesos de la gestión de riesgo.

Organizar sesiones de información y de entrenamiento

Comunicar y consultar a las partes interesadas para garantizar

16

que su marco de trabajo de la gestión de riesgo continua siendo apropiado.

La gestión del riesgo se debe implementar de manera que se asegure que el proceso se aplique mediante un plan de gestión de riesgos en todos los niveles y funciones pertinentes de la organización, incluyéndolo como parte de sus prácticas y procesos.

17

Conclusiones Durante el transcurso de esta primera semana, nos hemos introducido en

una de las tareas más relevantes de todo profesional de la seguridad privada, como lo son la Gestión de Riesgos y Amenazas. Todo análisis deberá partir adaptándose a las características propias de cada organización, en atención a que los riesgos de cada una de ellas son de características similares, pero en ningún caso iguales.

La Organización Internacional por la Normalización (ISO) define el riesgo

(Guías para la gestión de la seguridad 31000-2009) como: “La probabilidad de que una amenaza se materialice, utilizando vulnerabilidades existentes de un activo o un grupo de activos, generándole pérdidas o daños”. Es por ello que a través de normas nos entrega una orientación sobre la manera de enfrentar la gestión de los riesgos. A pesar de que la norma ISO 31000-2009, a diferencia de otras no es una norma certificable, ni obligatoria, solamente nos entrega las herramientas de referencias para gestionar de manera eficiente y efectiva las amenazas y riesgos propias de cualquier actividad productora de bienes y/o servicios, sean estos de carácter público o privado.

Los riesgos deben ser comunicados. Una vez que el riesgo es entendido,

éste y las estrategias de la administración del riesgo deberían ser claramente comunicadas a la administración en términos sencillos para los gerentes. El riesgo debe ser presentado en base a su probabilidad e impacto

Con una metodología de evaluación del riesgo cuantitativa, las decisiones

para hacer frente al riesgo serán más efectivas y evitarán una gestión reactiva, en las próximas semanas desarrollaremos algunas de las herramientas de análisis recomendadas para llevar a cabo esta evaluación.

18

Referencias

Icasares San José-Marti, Isabel, (2014), Implementación de la gestión integral

de riesgos en el sector asegurador, España; Molinuevo Gráficos S.L.,

De La Calle Agudo Y otros, MIGUEL ANGEL, (2010), Gestión del Riesgo:

responsabilidad ambiental y estrategia empresarial, España, Worters Kluwer.

Alarcón Saavedra, Julio, (2015). Gestión de Riesgos puros y seguridad integral

de instituciones y empresas, España, Ediciones ISBN e Book, ePub: 978-84-

686-51612-0.

Real Academia Española. (2001). Diccionario de la lengua española (22.aed.).

Consultado en http://www.rae.es/rae.html

Instituro Nacional De Normalización, (2017) NCh-ISO31000:2012, Chile.

Consultado en abril 2017, en http://www.inn.cl/nch-iso310002012.

19