67

Módulo II

Planificación de Seguridad para Supervisores Análisis y Evaluación de Riesgos

68

I. GESTIÓN DE RIESGOS

Definiciones Podríamos comenzar el tema definiendo la gestión de riesgos y para ello podríamos mencionar las siguientes definiciones: “Es el proceso mediante el cual realizamos el estudio, la valoración y ponderación de los factores de riesgo (amenazas, vulnerabilidades e impacto)”. Podríamos emplear también una definición más descriptiva del proceso: “Es el proceso de identificación de los factores de riesgo sobre el sistema de seguridad, analizando la probabilidad de ocurrencia, el impacto resultante y determinando las medidas de prevención y protección que contribuirán a su mitigación” De esta forma un sistema de gestión de riesgos podría definirse como: “Método lógico y sistemático para determinar un contexto, identificar, clasificar,

analizar, evaluar, tratar, mitigar, monitorear y comunicar los riesgos asociados con una determinada actividad, función o proceso, de tal forma que permita a las organizaciones minimizar amenazas y debilidades y maximizar fortalezas y oportunidades”. Finalmente podríamos definir el riesgo: “Es la contingencia de que un bien pueda sufrir un daño” Bien: “Es toda persona, animal o cosa que posee o se le atribuye una o varias cualidades benéficas, en virtud de las cuales resulta objeto de valoración”.

Daño: “Es el detrimento, perjuicio o menoscabo causado en el patrimonio o en un ser viviente”.

Análisis del Riesgo Una de las primeras tareas de un Supervisor en un objetivo será identificar y analizar permanentemente los riesgos a que puede estar expuesto. El grado de riesgo al que se está expuesto cuando sobreviene un evento que genera pérdidas depende de la combinación de dos factores: la amenaza y la vulnerabilidad.

Por lo tanto, para definir el riesgo, se requiere diagnosticar las amenazas así como las vulnerabilidades.

69

I. Amenazas Una Amenaza es la posibilidad de ocurrencia de cualquier tipo de evento o acción que puede producir un daño (material o inmaterial) sobre personas, activos o medio ambiente.

Tipos de Amenazas Podemos clasificarlas por su origen: externas e internas

Amenazas externas

Son los riesgos relacionados con el delito, los actos de la naturaleza y los riesgos biológicos y ambientales.

Consideramos al delito como aquellas acciones humanas que violan la ley y que están penadas por esta.

Los actos de la naturaleza son incendio, terremoto, huracán, tornado, inundaciones, aludes, rayos, etc.

Los riesgos biológicos están relacionados con amenazas de epidemias o pandemias provocadas por distintos agentes: virus (gripe A (H1N1), gripe aviar (H5N1), ébola, etc.)

Los riesgos ambientales están relacionados con emanaciones vertidos o derrames tóxicos al medio ambiente (aire, agua o tierra). Amenazas internas Las podríamos dividir en: Acciones intencionales: aquellas acciones del personal, proveedores, contratistas, visitas o público que tienen la intencionalidad de delinquir Acciones culposas: las acciones negligentes del propio personal o proveedores, contratistas, visitas o público. Incluye las acciones con impericia, imprudencia o incumplimientos a los deberes del cargo, que producen o potencialmente pueden producir pérdidas y accidentes. Son las amenazas menos predecibles porque están directamente relacionado con el comportamiento humano. Otra clasificación de las amenazas está referida hacia qué o hacia quienes se dirigen:

personas o activos

70

1. Amenaza a las personas

1.1. Por acción humana

Es el caso de amenazas a la integridad de las personas como consecuencia de una intrusión, robo, asalto, ataques a la integridad física y moral de personas, violencia laboral, etc.

1.2. Por accidentes 1.2.1. Naturales

Lesiones o muerte por incendio, terremoto, huracán, tornado, inundaciones, aludes, rayos, emanaciones, vertidos o derrames tóxicos, desastres ambientales, etc. 1.2.2. Humanos Lesiones o muerte con dolo (intencionales) o por negligencia, impericia, imprudencia, incumplimiento de deberes, mala praxis, emanaciones, vertidos o derrames tóxicos, desastres ambientales etc. 2. Amenaza a los activos 2.1. Por acción humana 2.1.1. Activos físicos Robo, hurto, fraude, vandalismo, sabotaje y otros ataques.

2.1.2. Activos intangibles Pérdida, robo, hurto o fraude de información, pérdida de imagen, reputación, credibilidad, confianza, ataques a la marca, etc.

2.2. Por accidentes

2.2.1. Naturales Incendio, terremoto, huracán, tornado, inundaciones, aludes, rayos, etc.

2.2.2. Humanos Accidentes ocasionados por negligencia, impericia, imprudencia, incumplimiento de

deberes, mala praxis, desastres ambientales, etc.

II. Vulnerabilidades La vulnerabilidades de seguridad son las incapacidades de detectar, demorar o responder que tiene un sistema de seguridad frente a una amenaza y también la

71

incapacidad para recuperarse y restaurar las operaciones después de que se ha materializado un riesgo. Por tanto es un punto o aspecto del sistema de seguridad que es susceptible de ser vulnerado ya sea porque sea violado o eludido. Las vulnerabilidades están en relación directa con las amenazas porque si no existe una amenaza, tampoco existe una vulnerabilidad o no tiene importancia, porque no puede ocasionar un daño.

Tipos de Vulnerabilidades Podemos clasificar las vulnerabilidades en 4 tipos, de acuerdo al agente causal que la provoca. 1. Vulnerabilidad Humana El personal que opera el sistema de seguridad representa la mayor vulnerabilidad del sistema. Los usuarios del sistema (empleados, proveedores, contratistas, visitas y público) también suponen un gran riesgo al mismo. Ellos son los que interactúan con los distintos componentes de un sistema de seguridad y pueden llegar a incumplirlo o vulnerarlo. Existen estudios que demuestran que un elevado porcentaje de los problemas de

seguridad detectados son debidos a los usuarios. Esta vulnerabilidad también se refiere a la falta de respuesta humana cuando un incidente ocurre. 2. Vulnerabilidad Física Es la vulnerabilidad del lugar a proteger por falta o insuficiencia de barreras físicas que sirvan para disuadir o demorar la concreción de un ilícito. Se relaciona con la posibilidad de entrar o acceder físicamente para robar, atacar a personas o modificar o destruir el sistema de seguridad. 3. Vulnerabilidad Natural Se refiere al grado en que las personas o activos pueden verse afectados por desastres naturales o ambientales que pueden producir daños como el fuego, inundaciones,

rayos, terremotos, fallas eléctricas o picos de potencia.

72

4. Vulnerabilidad Tecnológica Es la vulnerabilidad del lugar a proteger por la falta o insuficiencia de medidas de seguridad electrónica que permitan detectar una intrusión (sensores y cámaras con detección de movimiento, sensores de corte de alambrado perimetral, de rotura de vidrio, de apertura de puerta, sísmicos, etc.) o responder técnicamente a ella en forma automática (activación de sirenas, iluminación por reflectores, megafonía, etc.) o mecánicamente (rociadores, descargas de extinción, etc.)

Se relaciona con la posibilidad de entrar o acceder físicamente para robar, atacar a personas, modificar o destruir el sistema de seguridad (riesgos de security) o de ser vulnerables a ciertos riesgos de safety (por ejemplo: el fuego) sin ser detectado y consecuentemente sin poder responder a efectos de minimizar las consecuencias del riesgo. 5. Vulnerabilidad en el diseño La falta de un diseño adecuado de seguridad puede provocar una vulnerabilidad cuando los recursos humanos, físicos y tecnológicos propios y contratados no se encuentran desarrollados con un criterio de prevención y protección. Cuando los diseños de seguridad no tienen en cuenta la protección en profundidad, es decir, distintos anillos concéntricos que prevean la detección, demora y respuesta, y que a su vez dispongan de interoperabilidad, coordinación y sincronización, de nada valdrá la vigilancia humana, física y electrónica dispuesta en un objetivo, sin un diseño adecuado para contrarrestar las amenazas y vulnerabilidades.

Sujeto y objeto de las vulnerabilidades Las vulnerabilidades pueden referirse también al sujeto u objeto vulnerable. 1. Personas: Las personas pueden ser sujeto de vulnerabilidades por no ser honestas, honradas e íntegras. Las connivencias del personal, proveedores, contratistas, visitas o público con delincuentes significan siempre un elevado nivel de vulnerabilidad. La falta de capacitación y motivación del personal de seguridad también es una vulnerabilidad que puede ser aprovechada.

2. Instalaciones y activos: 2.1. Intrusión física

73

Las instalaciones y los activos pueden ser vulnerables a la intrusión física de personas con la finalidad de robar, hurtar, defraudar, efectuar vandalismos, sabotajes y otros ataques, se materialice o no el delito. 2.2. Ataques físicos o de la naturaleza La vulnerabilidad puede manifestarse como una debilidad del sistema de seguridad a los

ataques físicos o de la naturaleza a los siguienes activos: a) A propiedades, instalaciones, equipamiento, sistemas, equipos de seguridad e infraestructura de información (ej. computadoras, programas, dispositivos de comunicaciones, cables, dispositivos de control, etc.), etc. b) A los componentes que contienen o soportan los sistemas de seguridad y la infraestructura de información (ej. edificios, sistemas eléctricos, aire acondicionado, grupo electrógeno, etc.) c) A personas que operan los sistemas de seguridad o elementos de la infraestructura de información.

3. A la Información En medio de la sociedad del conocimiento o de la era de la información, el paradigma

de seguridad enfocado a la protección de personas y activos físicos se ha modificado. Hoy en día es más importante proteger a un activo intangible como lo es la información que a un activo físico.

Analicemos algunas de las amenazas que se ciernen sobre este tipo de activos intangibles.

3.1. Interceptación

Cuando una persona, programa o proceso permite acceder a una parte del sistema de información para lo cual no está autorizado para interceptar información. Ejemplos:

• Escuchas ilegales y filmaciones encubiertas

• Intrusión en sistema informático Son las más difíciles de detectar pues en la mayoría de los casos pueden no alteran la información o el sistema.

74

3.2. Modificación Se trata no sólo de acceder a una parte del sistema de información al que no se tiene autorización, sino cambiar en todo o en parte su contenido o modo de funcionamiento. Ejemplos:

• Cambiar el contenido de una base de datos.

• Cambiar datos en una transferencia bancaria 3.3. Interrupción Interrumpir mediante algún método el funcionamiento del sistema. Puede ser intencionada o accidental

Ejemplos: • Saturar la memoria o el máximo de procesos en el sistema operativo

• Destruir algún dispositivo hardware 3.4. Generación Se refiere a la posibilidad de añadir información o programas no autorizados en el sistema.

Ejemplos:

• Añadir campos y registros en una base de datos.

• Añadir código en un programa (virus).

• Introducir mensajes no autorizados en una línea de datos.

Riesgo Aceptable

Una vez identificado y analizado el riesgo y teniendo en cuenta que no es posible reducirlo a cero, es necesario definir un nivel de "riesgo aceptable", o sea un valor admisible de probabilidad de ocurrencia y de consecuencias probables. De acuerdo a este riesgo aceptable, se establecen los lineamientos y diseño de las medidas de seguridad a implementar. Es así que existen diversos niveles de protección que se deben considerar: la protección a la vida, a los activos tangibles e intangibles y a la imagen y reputación de una

empresa. Ellos deben plasmarse en un plan táctico de seguridad.

75

II. PLANIFICACIÓN TÁCTICA

La planificación más asociada a los Supervisores es la Táctica y la Operativa.

Los Supervisores deben muchas veces implementar planes de seguridad en los

objetivos, ya que muchas empresas cuentan con normas y procedimientos propios, que ponen a disposición de las empresas de seguridad. Esto en cuanto a la planificación operativa. Si no fuera así siempre es una buena práctica que el Supervisor redacte un

plan táctico básico y procedimientos operativos para consensuar con el cliente. Para los Jefes Corporativos de seguridad, siempre es recomendable que ellos

desarrollen un plan táctico básico y procedimientos operativos de acuerdo a sus políticas, planes estratégicos y necesidades de seguridad. Es preferible que estos sean escritos por los Jefes Corporativos y no depender que una empresa de seguridad los

escriba por ellos. Así lograrán una mejor sintonía y alineamiento con las operaciones y el negocio. El plan táctico traduce las acciones estratégicas de largo plazo en un plan de implementación anual. Por ello el Plan Táctico debe estar alineado a las estrategias del negocio y para ello los Supervisores y Jefes Corporativos deben tener en cuenta esta orientación. Puede ocurrir sin embargo que la empresa que contrata un servicio de seguridad privado no disponga de un plan estratégico donde se determinen las políticas de seguridad de la compañía, sus objetivos y estrategias en materia de seguridad y la estructura necesaria para desplegar las actividades de seguridad. Esto constituye una falencia grave en empresas que sin embargo aplican planes estratégicos para sus negocios. Los Jefes Corporativos deberían concientizar a sus superiores en el área de seguridad y éstos a los directivos que reporten, sobre la necesidad de desarrollar este planeamiento estratégico. Sin él es como si no existiera una Constitución Nacional y las leyes no tuvieran una guía u orientación de cómo legislar.

La falta de esta planificación estratégica deja librado al hombre de seguridad interpretar y definir las necesidades y alineamientos de la seguridad corporativa con el negocio. Creemos que esta planificación debiera surgir desde los niveles estratégicos

del negocio y de la seguridad y consensuarse debidamente. Para los Jefes Corporativos que no cuentan con una planificación estratégica se les hace

muy difícil interpretar algunas normativas de seguridad cuando no existen bases donde orientarse. Ocurre por ejemplo que en materia de investigaciones internas, seguridad de la información, secuestros extorsivos de ejecutivos, selección de personal, entre

otras, les resulta complejo a los Jefes Operativos comprender como pueden ser interpretadas iniciativas que surgen desde un nivel táctico y que no cuentan con el debido fundamento estratégico.

76

El Plan Táctico Un Plan Táctico bien desarrollado vincula el Plan Estratégico con el Plan Operativo. El plan Táctico deberá definir metas que expresan los resultados específicos a lograrse en relación a los objetivos estratégicos. Éstas, a diferencia de los objetivos estratégicos, deben ser cuantificables y delimitadas en cuanto al tiempo de consecución (generalmente anuales) Plan Integral de Seguridad

Una planificación integral de seguridad táctica incluye dos tipos de planes: Plan de Acción Es el plan que está orientado a la prevención de riesgos hacia personas y bienes. Prioriza las iniciativas y acciones más importantes para cumplir con ciertos objetivos y metas. El Plan de Acción (Action Plan) está relacionado con temas de prevención y mitigación de riesgos de delitos y pérdidas. Por eso uno de los aspectos más importantes de estos planes tácticos es el Análisis y la Evaluación de Riesgos. Por ello podríamos afirmar que el plan de Acción es un Plan de Prevención de Riesgos. Plan de Contingencias Es el plan que se activan cuando falla la prevención del plan de acción y entonces se aplica un plan de Emergencias y Crisis y de Continuidad del Negocio, para dar respuestas a un evento o incidente de gravedad tendientes a minimizar sus consecuencias negativas. Este plan propone una serie de procedimientos alternativos al funcionamiento normal de una organización cuando alguna de sus funciones usuales se ve perjudicada por una

contingencia interna o externa. También contiene medidas técnicas, humanas y organizativas necesarias para garantizar la continuidad del negocio y las operaciones de una compañía. El principal plan de contingencia es el Plan de Emergencia y Crisis y de Continuidad del Negocio.

77

Hay empresas que al plan en dos planes: uno de Emergencias y Crisis y otro de Continuidad del Negocio, siguiendo una corriente que tiende a la especialización en cada etapa de la emergencia. Se dice entonces que una cosa es responder ante un incidente grave y otra cosa muy distinta es restaurar y recuperar las operaciones para darle continuidad al negocio. Son facetas tan diferenciadas y con objetivos tan distintos que suelen verse desarrollados por separado. Uno de los principales temas que abordan tanto el Plan de Acción o de Prevención de Riesgos y el Plan de Contingencia es la gestión de riesgos (análisis y evaluación de

riesgos y el desarrollo de las medidas de mitigación).

III. ANÁLISIS Y EVALUACIÓN DE RIESGOS

Existen 2 tipos de riesgos que hay que considerar: los denominados Dinámicos o

Económicos y los Puros o de Seguridad a) Dinámicos: Son aquellos riesgos inherentes a la actividad de la empresa y que esta asume y busca deliberadamente, pues a cambio de ello espera obtener un beneficio (inversiones, ampliaciones, nuevo producto, etc.) b) de seguridad: conocido como “Riesgo Puro”

Son aquellos riesgos no deseados por la empresa y que esta debe soportar contra su

voluntad, pues de ello solo puede obtener un perjuicio (incendio, robo, fraude, hurto, etc.)

También debemos considerar otros dos tipos de riesgos que se deben gestionar: los propios de la operación (riesgos operativos) y los contingentes. En el primer caso nos referimos a la prevención y protección contra delitos y pérdidas y en el segundo a los

riesgos contingentes como son las emergencias y crisis que pueden provocar determinados riesgos de seguridad.

Por tal motivo durante el desarrollo de la gestión de riesgos deberán tenerse en cuenta estos riesgos y sobre todo aquellos que tengan un impacto grave y severo sobre el negocio.

La Norma ISO 31000/2009 de Gestión de Riesgos Estos riesgos han sido abordados por la Norma ISO 31.000/2009 sobre Gestión de Riesgos

(Risk Management – Principles and Guidelines), equivalente a la IRAM 17550. Se puede aplicar a cualquier tipo de riesgos, no importa su naturaleza, causa u origen y ya sea que sus consecuencias puedan ser positivas o negativas para la organización. Es muy

78

importante que la norma haya estandarizado los requerimientos mínimos para gestionar el riesgo dentro de las organizaciones con efectividad. Todas las organizaciones, grandes y pequeñas, enfrentan factores de riesgo interno y externos, dinámicos y puros, que le restan certeza a la consecución de sus objetivos. Esta falta de certeza es lo que denominamos riesgo y es inherente a todas las actividades. Esta norma recomienda que las organizaciones desarrollen, implementen y mejoren

continuamente la gestión de sus riesgos, con el objetivo de integrar dicho proceso en el gobierno corporativo y en la planificación, estrategia, gestión, procesos de información, políticas, valores y cultura de la organización. La Norma ISO 31000 no es una norma específica para alguna industria, actividad o sector en particular, por lo tanto puede ser utilizada por cualquier entidad pública o privada, ONGs, asociaciones, grupos o individuos. Asimismo puede ser aplicada a todas las actividades, incluidas las estrategias y la toma de decisión, las operaciones, procesos, funciones, proyectos, productos, servicios y activos tangibles e intangibles.

En este sentido cabe formularse algunas preguntas que se encuentran contenidas

dentro del Turnbull, que se resumen en el siguiente cuestionario:

¿Es su empresa plenamente consciente de los riesgos de la organización y éstos se

valoran, comunican y entienden claramente?

¿Tiene su empresa una estructura organizativa que propicie una gestión eficaz y una

mitigación de los riesgos?

¿Es el sistema de valoración de riesgos de su empresa transparente de modo que

permita a los accionistas estimar el riesgo?

¿Se considera que la valoración de riesgos es una tarea independiente o está incluida

en la actividad de su empresa?

Si las respuestas son afirmativas es porque se documentan los procesos seguidos, las acciones definidas y la comunicación a cada uno de los responsables operativos y administrativos de los riesgos, con la finalidad de:

Procurar la toma de conciencia acerca de la administración de riesgos

Comunicación y diálogo en toda la organización acerca de la administración de riesgos y la política de la organización

Adquirir pericias en administración de riesgos y desarrollar destrezas en el

personal a través de la capacitación

Asegurar niveles apropiados de reconocimiento, recompensas y sanciones

Establecer procesos de medición del desempeño

79

Es importante desarrollar un plan de comunicación para los interesados internos y externos en la etapa más temprana del proceso. Este plan debería encarar aspectos relativos al riesgo en sí mismo y al proceso para administrarlo. La comunicación, sumada a la consulta significa instalar un diálogo entre el Área de Seguridad y el resto de la organización. Esta comunicación es importante para asegurar que aquellos responsables de instrumentar la administración de riesgos, y aquellos con intereses creados, comprenden la base sobre la cual se toman las decisiones y por qué se requieren ciertas acciones en particular.

La norma ISO 31000 comprende 3 elementos para la efectiva gestión del riesgo:

1. Los principios de gestión del riesgo

2. El marco de trabajo (framework) para la gestión del riesgo

3. El proceso de gestión del riesgo

La relación entre los principios de gestión, el marco de referencia y el proceso de gestión del riesgo, desarrollado en la norma, se resume en las siguientes figuras: Principios de Gestión Marco de Trabajo (Framework)

80

Proceso de Gestión del Riesgo

Beneficios de la Norma ISO 31000 La Norma está diseñada para ayudar a las organizaciones a:

1. alinear estratégicamente sus procesos a los objetivos del negocio, haciéndolos

más seguros y, en consecuencia, más rentables

2. mejorar la gobernabilidad 3. mejorar la confianza de los grupos de interés (stakeholders) 4. fomentar una gestión proactiva 5. conocer mejor sus procesos 6. aumentar la probabilidad de alcanzar los objetivos 7. ser concientes de la necesidad de identificar, analizar y tratar el riesgo 8. mejorar la identificación de amenazas, debilidades y oportunidades 9. establecer una base confiable para la toma de decisiones y la planificación 10. mejorar los controles 11. asignar y emplear los recursos con eficiencia y eficacia al momento de tratar los

riesgos 12. mejorar la información financiera 13. mejorar la eficiencia, eficacia y efectividad operacional 14. mejorar la seguridad (security & safety) dentro de las organizaciones 15. mejorar la prevención de pérdidas, así como la gestión de incidentes 16. minimizar las pérdidas 17. mejorar la capacidad de restauración y recuperación de las operaciones y la

continuidad del negocio

81

18. mejorar el aprendizaje organizacional sobre la materia Como se advertirá, la norma ISO 31000 nos abre la oportunidad, como hombres de seguridad, a especializarnos en esta disciplina. Pensemos que no faltará mucho para que la norma sea certificable, con lo cual las empresas de seguridad deberían certificarse por propia convicción o por exigencia del cliente, que querrá tener cubierto el aspecto de los riesgos puros con un prestador que maneje el estándar de gestión de riesgos de la norma.

Como las normas en general la Nº 31000 establece principios y guías, dejando librado a cada empresa el manejo de metodologías y criterios para profundizar en cada uno de los procesos requeridos. De esta formar en materia de seguridad (security) se recomienda el Método Mosler por ser una metodología muy adecuada y por haberse constituido en un estándar a nivel mundial.

Dinámica del Riesgo Los riesgos tienen una dinámica que permiten ser distinguidos de acuerdo a la forma como amenazan o impactan. Veamos el concepto a través de este primer esquema

Observamos un entorno con una amenaza concreta y un bien que puede estar en riesgo. Vemos que la amenaza está más allá de un límite que denominamos umbral de peligro y que el bien cuenta con un sistema de prevención y protección. Veamos ahora como se manifiesta la dinámica del riesgo a medida que la amenaza avanza por sobre el umbral de peligro, vulnera el sistema de protección, se acerca a bien o impacta en él bien y luego se retira. La secuencia es la siguiente:

82

Método Mosler El Método Mosler Es una de las metodologías de mayor difusión en materia de seguridad, en la cual se aplican métodos combinados de estadística y probabilidad, mediante los cuales, a través de un esquema de matrices, se analizan y evalúan las amenazas, las vulnerabilidades, la gravedad y la severidad de un riesgo. Si bien ésta, como cualquier otra metodología, tiene una fuerte base de subjetividad en el cálculo numérico del riesgo, la misma se encuentra muy acotada gracias al detalle que cuenta cada evento y su relación con el puntaje que se le asigne. Asimismo esto permite ver a los riesgos desde distintas apreciaciones y esto lo torna una metodología racional. La contratara de emplear una metodología de análisis y evaluación de riesgos es expresar verbalmente las apreciaciones sobre el riesgo, sin ningún cálculo escrito, sin un enfoque omnicomprensivo de la probabilidad y el impacto y ello no deja de ser poco

profesional cuando el hombre de seguridad debe enfrentar a un ejecutivo del negocio, que solo está acostumbrado a dirigir a su empresa en base a parámetros racionales y metodologías de análisis. Sobre esta base podrá analizar y comparar proyectos de inversión que le propongan las áreas del negocio y el área de seguridad o una empresa de seguridad. La primera hoja de un proyecto de inversión en materia de seguridad es precisamente un análisis FODA y un análisis y evaluación de riesgos en base a una metodología aceptada y reconocida. Las fases del método Mosler son:

1a. Fase: Definición del riesgo: identificación y clasificación 2a. Fase: Análisis del riesgo: cálculo de los criterios (1 a 5)

83

3a. Fase: Evaluación del Riesgo: cuantificación: clase de riesgo (entre 2 y 1250) 4a. Fase: Mitigación del riesgo: determinación e implementación Cabe observar que este criterio empleado por el Método Mosler, con mucha anterioridad, coincide con el que define la Norma ISO 31000. Condiciones para gestionar los riesgos Antes de ingresar en el tratamiento de los riesgos hay que realizar una determinación previa. Para que un riesgo pueda considerarse gestionable es necesaria la existencia simultánea de tres componentes: - Que pueda haber pérdidas Que el riesgo traiga aparejado efectos negativos. En general las pérdidas se pueden corresponder con una valoración económica, pero hay casos en los que eso no es tan simple, como es el caso de pérdidas de vidas humanas o de desastres medioambientales

- Que haya incertidumbre. Es la probabilidad, pero no certidumbre, de que el riesgo identificado ocurra y el momento temporal en el que eso pueda suceder. Esta condición implica que al riesgo debe poder asociársele la probabilidad de ocurrencia a lo largo del tiempo. - Que pueda mitigarse Que puedan seleccionarse medidas que mitiguen el efecto del acontecimiento indeseado. Si no hay elección por parte del gestor, no hay riesgo, aunque sí puedan existir pérdidas.

1ra. Fase: Identificación del Riesgo La Identificación de los Riesgos es un proceso iterativo que emplearemos para reconocer los peligros y que a la vez permite definir sus causas y características y si

pueden o no afectar a la empresa. Podríamos definirlo como: “El proceso por el cual se trata de descubrir eventos no deseados, que pueden conducir a la materialización de un peligro, determinando qué, dónde, cuándo, por qué y cómo pueden producirse”

84

En muchas ocasiones las empresas identifican de forma intuitiva las áreas críticas al riesgo, al sopesar únicamente el valor de su pérdida potencial y no consideran de forma conjunta los criterios de amenaza y vulnerabilidad. Por ello, en algunos casos, las áreas que las empresas consideran como su foco de atención, son las que presentan mayores debilidades y, por lo tanto, no están suficientemente controladas.

En esta etapa es necesario identificar productos, servicios y operaciones críticas, como es el caso de productos, servicios, instalaciones y equipamiento indispensable para la operación, suministro eléctrico, gas, agua, telecomunicaciones, cloacas, transporte,

personas y equipos vitales para la continuidad operativa, productos y servicios provistos por proveedores exclusivos, etc.

Este proceso de identificación es crítico ya que requiere de una visión amplia, ya que los riesgos potenciales que no se identifican en esta etapa, en general permanecen excluidos de un análisis posterior. Por eso la identificación debería incluir todos los riesgos, estén o no bajo control de la organización. El fin es generar una lista amplia de eventos que podrían afectar a la organización.

Veamos ahora, cuales son algunos de los criterios para identificar los riesgos: a) Relevamiento situación actual

Revisar planes internos y políticas (ej. planes de evacuación, de incendio,

ambientales, procedimientos de seguridad, seguros, política de cierre de planta, materiales peligrosos, plan de administración de riesgo, ayuda mutua, políticas corporativas, etc.)

Identificar códigos y regulaciones: Seguridad e Higiene, regulaciones

ambientales, sísmicas, incendio, transporte, zonales, etc.

Evaluar incidentes y contingencias (estadísticas)

Evaluaciones de las investigaciones de incidentes

Auditorías de normas, procedimientos, esquemas de seguridad y equipos existentes

Identificar Productos, Servicios y Operaciones Críticas

Identificar recursos y capacidades internas

Identificar recursos externos

Listar potenciales emergencias: en las instalaciones y en la comunidad (ver

antecedentes históricos).

85

b) Clasificación de Riesgos Los riesgos pueden tener multiplicidad de clasificaciones. Sin embargo las más usuales son: 1. En función del agente causal 2. En función del bien 3. En función del nivel 4. En función del daño

1. En función del agente causal

• Riesgos de la naturaleza (Inundaciones, rayos, terremotos, tornados, etc.)

• Riesgos biológicos ( Ej. en alimentos: virus, bacterias, bacilos, etc.)

• Riesgos humanos ( pobre entrenamiento, mantenimiento, mala conducta, abuso de drogas, fatiga, etc.)

a) Tecnológicos

1) Químicos (fuego, sustancias tóxicas, drogas, explosión química, etc.) 2) Físicos (eléctrico, mecánico, acústico, óptico, vibraciones, etc.) 3) Nucleares (radiaciones ionizantes, explosión nuclear, etc.) 4) Técnicos (diseño, fabricación, montaje, instalación, mantenimiento, etc.)

b) Derivados de actividades sociales

1) En el trabajo

2) En el ocio

3) En la circulación y transporte

4) En el hogar

c) Derivados de actividades antisociales (robo, hurto, fraude, sabotaje, vandalismo, secuestro, espionaje, manipulación de datos, etc.)

d) Derivados de su culpabilidad El obrar contra derecho se divide de acuerdo al nivel de voluntad participante en un hecho en:

1) Dolosos: quiere hacer el hecho típicamente antijurídico, es querer violar

86

la ley (conoce la criminalidad del hecho). No se presume. 2) Culpables: no hay una dirección del querer hacia la concreción del hecho típico pero ofende bienes jurídicos de terceros, actuando al margen de ciertas normas. Es la inobservancia del deber de cuidado en el desenvolvimiento de la propia conducta para evitar daños a terceros. Es la falta de previsión de un resultado típicamente antijurídico, que pudo y debió haberse previsto al obrar.

- Negligencia: violación del deber de cuidado que se concreta por medio de la omisión de la diligencia exigida por aquél para no colocar en situación de peligro al bien jurídico de que se trate. - Imprudencia: violación del deber de cuidado que se concreta por medio de un desarrollo de la actividad que excede los límites del riesgo permitido. - Impericia: aquel actuar negligente o imprudente que se produce en el ejercicio de un arte o profesión, propio del agente y que es violatorio del deber de cuidado según éste surge de la “lex artis”. Es el no haber obrado con la idoneidad exigida a la persona de que se trate, referida a su función, profesión, etc.

- Inobservancia de reglamentos, ordenanzas o deberes del cargo:

se da en aquellos casos en los que el deber de cuidado que el autor viola se encuentra predeterminado en una

reglamentación expresa o implícita. 2. En Función del Bien:

personales patrimoniales de información medio mabiente imagen y reputación.

3. En función del Nivel a) Alto riesgo b) Riesgo Medio c) Bajo riesgo

87

4. En Función del daño: a) Para objetos: - Riesgo de destrucción total - Riesgo de destrucción parcial - Riesgo de pérdidas

b) Para personas: - Riesgo de muerte - Riesgo de lesiones (graves y leves) - Riesgo de enfermedad (física y psíquica) Factores de Riesgo o Riesgos Inherentes Una vez identificados y clasificados los riesgos se debe determinar las fuentes o factores que intervienen en su manifestación y a esto llamamos “factores de riesgo o riesgos inherentes”. El riesgo inherente es aquel riesgo intrínseco a la actividad específica de cada empresa.

2ª Fase: Análisis del Riesgo

Consiste en el análisis sobre la posible ocurrencia de riesgos.

Esta segunda fase debe responder a las siguientes preguntas:

1. Qué puede ocurrir? ( Probabilidad del riesgo) 2. Si ocurre qué tan serio puede ser? ( Impacto del riesgo)

3. Con qué frecuencia puede ocurrir? ( Frecuencia del riesgo) Podríamos definir estos conceptos de la siguiente forma: Probabilidad “En materia de seguridad la probabilidad de ocurrencia de un hecho delictivo es la resultante de una amenaza y una o mas vulnerabilidades” Amenaza: hecho o acción que puede producir un daño Vulnerabilidad: Debilidad de un sistema de seguridad que aumenta el peligro al impacto de amenazas.

88

Como la probabilidad está relacionada con la prevención que tiene por finalidad reducir la posibilidad de que un riesgo se materializa, vamos a definir también el concepto de prevención: Prevención: “Es cualquier método utilizado para aumentar la probabilidad de controlar los riesgos de delitos y pérdidas”. Delito: “Acción típica, antijurídica y culpable, real o potencialmente lesiva de un bien o interés protegido por la ley” Pérdida: “Privación de lo que se poseía o disminución de su valor”

Impacto “Consecuencias de un hecho o acción que altera o afecta la vida, los activos físicos e

intangibles, la imagen y la reputación de una persona u organización” Como el impacto está relacionado con la protección en cuanto esta reduce las consecuencias de un riesgo que no se ha podido prevenir, vamos a definir también la protección:

Protección:

“Es cualquier método utilizado para minimizar el impacto de un riesgo, al reducir sus consecuencias dañosas”

Frecuencia

Número de veces que aparece, sucede o se realiza una cosa durante un período o un espacio determinados. Riesgo Gestionable Para que un riesgo pueda considerarse gestionable es necesaria la existencia simultánea de tres componentes: 1. Que pueda haber pérdidas Que el riesgo traiga aparejado efectos negativos. En general las pérdidas se pueden corresponder con una valoración económica, pero hay casos en los que eso no es tan simple, como es el caso de pérdidas de vidas humanas o de desastres medioambientales.

89

- Que haya incertidumbre Es la probabilidad, pero no certidumbre, de que el riesgo identificado ocurra y el momento temporal en el que eso pueda suceder. Esta condición implica que al riesgo debe poder asociársele la probabilidad de ocurrencia a lo largo del tiempo. - Que pueda mitigarse Que puedan seleccionarse medidas que mitiguen el efecto del acontecimiento

indeseado. Si no hay elección por parte del gestor, no hay riesgo, aunque sí puedan existir pérdidas. Lo que debemos realizar en esta fase es analizar distintos aspectos referidos al impacto y a la probabilidad de ocurrencia de los riesgos, para concluir con la evaluación de los mismos. En la probabilidad analizaremos los riesgos desde sus causas, es decir que posibilidad existe para que un determinado riesgo se produzca. En cambio en el impacto analizaremos las consecuencias de un riesgo probable o posible que pueda materializarse. En el caso de la probabilidad de ocurrencia de los riesgos analizaremos las amenazas y las vulnerabilidades, que constituyen la base de los estudios de seguridad. a) Análisis de Probabilidad

La Probabilidad es una cualidad o posibilidad verosímil y fundada de que algo pueda suceder. Este análisis está referido a las causas por las cuales se producen los riesgos. En este caso no importa el impacto del riesgo sino su probabilidad de ocurrencia. En materia de seguridad la probabilidad de ocurrencia de un hecho delictivo es la resultante de una amenaza y una o más vulnerabilidades. Veamos ambos indicadores: Indicador de Amenaza (A) Una de las primeras tareas de un Supervisor en un objetivo será identificar y analizar permanentemente los riesgos a que puede estar expuesto. Como ya había sido tratado, el grado de riesgo al que se está expuesto cuando sobreviene un evento que genera pérdidas depende de la combinación de dos factores:

la amenaza y la vulnerabilidad. Por lo tanto, para definir el riesgo, se requiere diagnosticar las amenazas así como las vulnerabilidades.

90

La amenaza es un fenómeno, sustancia, actividad humana o condición peligrosa que puede ocasionar la muerte, lesiones u otros impactos a la salud, al igual que daños a la propiedad, la pérdida de medios de sustento y de servicios, trastornos sociales y económicos, o daños ambientales. También podríamos definirla como la posibilidad de ocurrencia de cualquier tipo de evento o acción que puede producir un daño (material o inmaterial) sobre personas, activos o medio ambiente.

Más sencillamente podríamos definirla como el hecho o acción que puede producir un daño. Evaluamos entonces la probabilidad de que el riesgo se manifieste por existir una amenaza. Una amenaza puede incrementar la probabilidad de ocurrencia en función de si la misma es más incontrolable e imprevisible y de esta forma el negocio y las personas resultan más expuestas. Puede ocurrir que mitiguemos una amenaza a un nivel tal que la misma desaparezca. Por ejemplo, la amenaza de terremoto a que puede encontrarse expuesta una planta en zona montañosa y de terremotos, desaparece si la trasladamos a la llanura. En este caso estamos eliminando una amenaza de la naturaleza: el riesgo de terremoto. Sin embargo no es tan fácil de eliminar una amenaza humana. Puede ocurrir que al bancarizar los pagos de sueldos haya desaparecido la amenaza de asalto los días en que

se pagaba al personal en dinero efectivo (cash). Sin embargo esta eliminación de la amenazas opera para la empresa, que, sin embargo, ahora ha transferido el riesgo al personal, que deberá asumir el riesgo de asalto al retirar su sueldo de los ATM. Tratar las amenazas implica una tarea de prevención para tratar de reducirlas, y distribuirlas. Algo más difícil es eliminarlas. En algunos casos simplemente se aceptan. Pero lo que hay que tener muy claro es que casi siempre vamos a estar generando una transferencia del riesgo. Y no nos referimos a la transferencia a una compañía de seguros para que se haga cargo de protegernos del impacto de ciertos riesgos, manteniendo indemne nuestro patrimonio. Nos estamos refiriendo a que las amenazas casi nunca son eliminadas, sino que solo son transferidas a objetivos con menor umbral de prevención y protección. Mucho se ha hablado del exitoso programa de seguridad aplicado por Rudolph Giuliani en Nueva York. Sin embargo alguien debiera preguntarse, hacia donde migraron las amenazas que se previnieron en la gran manzana. Lo que fue bueno para Manhattan y el Bronx, seguramente no fue bueno para Queens, Brooklyn o Staten Island. ¿Alguien habrá comparado, en esas ciudades, las estadísticas de la demografía criminal antes y después de la aplicación del programa de “tolerancia cero”?.

Las amenazas humanas y sobre todo las delictivas son muy difíciles de eliminar, solo se las puede transferir, haciéndolas migrar hacia otros lugares u objetivos más inseguros.

91

Este es un tema muy difícil desde el terreno ético y moral, ya que finalmente la tendencia no es combatir el delito y reducirlo en forma integral, sino tan solo transferirlo hacia zonas menos seguras y generalmente más pobres. Por eso existen crueles estadísticas donde se observa que los pobres delinquen y victimizan a los pobres o las capas empobrecidas de una sociedad. Peor aún en EEUU hay estadísticas que demuestran que muchos delincuentes de raza negra no delinquen contra su “enemigo blanco”, sino contra los de su misma raza, que se encuentran en situación de indefensión, en barrios donde no impera la ley, ni el orden, ni la justicia.

Las amenazas tienen además una dinámica de cambio muy interesante. No solo se transfieren y migran sino que también mutan, desarrollando nuevas e innovativas contramedidas para vulnerar las medidas de prevención y protección existentes y conocidas. En los estudios de seguridad se analizan muy bien las amenazas a través del estudio de la localización del objetivo a proteger, de la naturaleza de las actividades desarrolladas en ese objetivo y por supuesto la demografía criminal. En base a esto se puede lograr un análisis de previsibilidad delictiva, con distintos niveles de acuerdo al grado de exposición a esas amenazas. Las amenazas así identificadas y analizadas deben disponer de un puntaje asociado a distintos niveles que van del 1 (amenaza “muy baja”, controlable y previsible) al 5 (amenaza “muy elevada”, incontrolable e imprevisible). Veamos la siguiente planilla guía Nº 3:

Para analizar con mayor profundidad la amenaza podría determinarse en función de la previsibilidad, la intensidad y la frecuencia y en tal sentido estos factores podrían a su vez tener una graduación de 1 a 5, donde 5 es la amenaza más alta y 1 la más baja. Previsibilidad: Se refiere a si una amenaza puede ser conocida con antelación por

cierta información, señales o indicios y entra dentro de las previsiones normales y que la hace mas o menos controlable. Es una determinación ex ante. Intensidad: Grado de fuerza, vigor, energía y direccionamiento con que se manifiesta una amenaza. Una amenaza de asalto puede variar en intensidad dependiendo de si se perpetra por un delincuente, una banda o un grupo comando. En tal caso sostenemos que nunca debe dejar de evaluarse un riesgo por el peor escenario posible (WCS: Worst case Scenario). De igual forma en el impacto también debería evaluarse la consecuencia más gravosa.

92

Frecuencia: número de veces que se repite un suceso determinado en un intervalo de tiempo. (ex post) Indicador de vulnerabilidad (V) Es la debilidad de un sistema de seguridad que aumenta el peligro al impacto de amenazas.

Este análisis de vulnerabilidad mide y calcula que tan vulnerable se encuentran el negocio y las personas por falta de medidas de seguridad implementadas o por falta de mantenimiento a las mismas. En este sentido la posibilidad que un riesgo se concrete es mayor cuando somos más vulnerables por no haber instrumentado medidas de mitigación al riesgo bajo análisis. El nivel de vulnerabilidad estará dado a partir del diseño de prevención del delito de un objetivo (CPTED, por sus siglas en inglés de Crime Prevention Through Environmental Design) y por las barreras físicas, las medidas de vigilancia humana y electrónica, y por la seguridad organizacional y operacional que se disponga. No corresponde abordar estos temas acá, sino cuando tratemos las medidas de mitigación de los riesgos. Sin embargo, podemos afirmar que a los diferentes niveles de vulnerabilidad (que corresponde para cada riesgo), se le puede asignar un puntaje que también va del 1 (vulnerabilidad “Muy Baja”) al 5 (vulnerabilidad “Muy Alta”). Veamos como se refleja esto en la siguiente Planilla de Evaluación Nº 4:

Por último, la consistencia y coherencia de las Planillas Nº 3 y 4, pueden contrastarse con esta Planilla de Verificación de Probabilidad que se exhibe:

93

b) Análisis de Impacto Podríamos definir el impacto como: “Consecuencias de un hecho o acción que altera o afecta la vida, los activos físicos e intangibles, la imagen y la reputación de una persona, marca u organización” El análisis de impacto abordará la cuestión a través de 4 indicadores que deberemos observar detenidamente. A su vez estos se dividen en indicadores de gravedad y de

severidad. Indicadores de Gravedad Los indicadores de gravedad son aquellos que determinan los riesgos de mayor magnitud para una empresa, y que siempre están relacionados con la interrupción de la activad productiva u operativa provocada por procesos críticos que dejan de funcionar en forma prolongada. Entonces, debemos tener en claro que lo más grave que le puede ocurrir a una empresa es interrumpir el negocio en cualquiera de sus formas, ya sea por factores internos o externos, humanos, naturales, etc. En este sentido un conflicto sindical que escala hacia una huelga es siempre grave para cualquier empresa, ya que interrumpe el negocio. Un bloqueo al ingreso de insumos y egreso de mercaderías también sería un riesgo grave.

Estos son entonces los riesgos que hay que analizar primero, porque son los que le importan a la alta dirección. Veamos estos 2 indicadores: Indicador de Función (F) Este indicador mide el nivel de una consecuencia negativa o daño que pueda alterar o afectar la actividad. Esto implica determinar el nivel de perturbación y facilidad de recuperación frente a la ocurrencia de un riesgo. Esta perturbación puede estar referida a riesgos que impacten en los procesos críticos e interrumpan la continuidad del negocio en forma prolongada (en cuyo caso el riesgo será de una gravedad crítica) o simplemente son riesgos que solo afectan operaciones secundarias (en tal caso el riesgo será de una gravedad muy baja).

Estos riesgos con distintas consecuencias de gravedad pueden ser causados por impacto en las personas, patrimonio, información, etc.. Por ejemplo el riesgo de que el presidente de una compañía sea secuestrado o muera en un asalto, o de un incendio que afecte una línea de producción u operación o de un colapso en el sistema de información por un virus, pueden implicar distintos impactos en los procesos críticos y tener distinta duración y pueden tener distintas posibilidades de recuperación.

94

Estas consecuencias tendrán entonces un puntaje asociado a distintos niveles de gravedad y que van del 1 (gravedad “muy baja”) al 5 (gravedad “crítica”). Indicador de Sustitución (S) Mide con qué facilidad pueden reponerse los bienes o sustituirse las personas o la información, en caso que se produzcan algunos de los riesgos mencionados en el indicador anterior. Por tanto será más grave un riesgo que impacte de forma tal que impida la

recuperación por no tener posibilidad de sustitución en el corto plazo. En este caso estaremos en el nivel 5 (por ser “muy difícil” la sustitución). En cambio si estamos frente a una interrupción en el negocio que puede ser muy rápidamente restaurada por que se pueden sustituir personas, productos, insumos, equipos u operaciones no críticas, entonces estaremos en niveles más bajo de gravedad. El puntaje 1 representará el riesgo que implique una “fácil” sustitución. A continuación podrán apreciar una planilla Nº 1 para las evaluaciones de Gravedad.

Indicadores de Severidad En este caso los indicadores de severidad están referidos a riesgos que implican distintos niveles de extensión y profundidad de los daños, que impactan en lo económico, social, comunitario, imagen y reputación de la empresa. No tendrán la misma profundidad y extensión de impacto los daños materiales que una

muerte. Tampoco será del mismo nivel si la consecuencia es una muerte o muertes múltiples. Veamos estos 2 indicadores:

95

Indicador de Profundidad (P) Mide la profundidad del impacto en lo económico, social, comunitario y la imagen y reputación de la empresa. Siguiendo con los ejemplos dados, la severidad de un riesgo de incendio de una sucursal será baja si consideramos el impacto en todo el banco, pero la severidad será muy alta si la consideramos desde el punto de vista de esa sucursal. Sin embargo puede ocurrir que un incendio o un asalto en una sucursal bancaria produzca muertes múltiples, en

cuyo caso el impacto se extiende a todo el banco y puede ser muy severo en términos de imagen y reputación. Estas consecuencias tendrán entonces un puntaje asociado a distintos niveles de severidad y que van del 1 (severidad de la profundidad “muy baja”) al 5 (severidad de la profundidad “fatal”). Indicador de extensión (E) Evalúa el alcance y extensión de los daños medidos en términos económicos. Siguiendo el ejemplo citado en el anterior indicador diríamos que este indicador mide el costo económico de los daños, como por ejemplo por el pago de indemnizaciones por la muerte o muertes múltiples y de los costos por reclamos sindicales o de grupos activistas, etc.. Estas consecuencias tendrán entonces un puntaje asociado a distintos niveles de severidad y van del 1 (severidad de la extensión “muy baja”) al 5 (severidad de la

extensión “fatal”). La siguiente planilla Nº 2 es una guía para la evaluación de los indicadores de severidad:

96

Un aspecto importante a destacar es que un riesgo puede ocasionar distintas consecuencias. Por ejemplo un asalto puede implicar una pérdida económica, pero también lesiones o incluso la muerte. ¿Cuál es entonces la consecuencia que debe adoptarse para medir ese riesgo? Se pueden tomar varias consecuencias, las cuales medirán distinto, porque el impacto de muerte en un asalto es menor que el de la pérdida de bienes.

Lo aconsejable es tomar el mayor puntaje del riesgo para ser exhibido en la matriz de riesgos. Pero también se puede tomar el mayor puntaje producto de sumar todas las consecuencias probables. Las consecuencias pueden referirse a aspectos inherentes al riesgo, por ejemplo en el asalto tenemos la pérdida económica, pero también podemos considerar efectos colaterales en la víctima como las lesiones o la muerte. Estos efectos colaterales también pueden impactar en la empresa, como es el caso de alguna inhabilitación o multa, nuevas y gravosas regulaciones del estado o el tratamiento negativo del hecho por parte de los medios de comunicación. Obsérvese como el efecto colateral de los medios puede impactar en la imagen y reputación de una compañía. Esta es la razón por la cual a un banco no le preocupa tanto que le roben (el dinero suele estar asegurado), como que se produzca un tiroteo en su interior y como consecuencia del mismos muera un cliente o un menor. Este efecto colateral tiene un impacto muchas veces mayor que el del robo. Como es fácil de advertir estos indicadores de impacto no son fáciles de evaluar por los

hombres de seguridad, que deberán trabajar mancomunadamente con distintas áreas de la empresa, para comprender los impactos de los riesgos, tal como lo exige la Norma ISO 310000. A su vez los mandos medios y altos de las organizaciones muchas veces desconocen o no quieren reconocer que existen muchos riesgos de la operación que son transferidos a la seguridad. El trabajar juntos en el análisis de riesgo permitirá sinergizar los conocimientos propios del negocio, con los propios de la seguridad y la resultante será un análisis de riesgo más profesional y racional. 3ª. Fase – Evaluación del Riesgo Cálculo del Riesgo – Evaluación Cuantitativa del Riesgo A partir del conocimiento adquirido de como analizar la probabilidad y el impacto de los riesgos, ahora debemos volcar los puntajes en una planilla de cálculo, cuyo diseño es propio del método Mosler y que pasamos a graficar:

97

Una vez familiarizado con el criterio de cálculo del riesgo de la planilla, pasamos a analizar algún riesgo en particular y los valores los volcaremos en los respectivos rectángulos grises de la planilla siguiente:

98

Una vez que se haya comprendido como se calcula y como se comportan las evaluaciones de riesgo en esta planilla, estaremos en condiciones de comenzar a emplear otra planilla de análisis y evaluación de riesgos totales, en la que asentaremos todos los riesgos de interés. Veamos el diseño de esta planilla en el siguiente gráfico:

Para proceder al llenado de esta planilla colocamos una clasificación de riesgo por su agente causal, un tipo de evento, un detalle de la amenaza y de sus consecuencias. Luego analizamos la probabilidad de su ocurrencia, conforme las Planillas de Evaluación Nº 3 y 4. El puntaje de probabilidad de ocurrencia de un riesgo se obtiene multiplicando la amenaza y la vulnerabilidad. Luego calculamos el impacto del suceso en el negocio, conforme las Planillas de Evaluación Nº 1 y 2. El puntaje del impacto en el negocio se obtiene multiplicando los valores de de Función y Sustitución en la Gravedad y de Profundidad y Extensión en la Severidad. Ambos resultados se suman. El puntaje resultante de la probabilidad se multiplica con el puntaje resultante del impacto y así obtenemos el puntaje final, que colocamos en la columna de Riesgo

(Puntaje). Así, sucesivamente, analizaremos todos los riesgos potenciales, de los cuales seleccionaremos los riesgos más críticos para volcarlos a la Matriz de Riesgo En el ejemplo empleado se ha seleccionado un riesgo con altísimo potencial de crisis dentro de las empresas fabricantes de bienes de consumo masivo. Efectivamente, un bloqueo que produzca un colapso logístico, generará desabastecimiento, tanto de insumos para la planta como de mercaderías para el mercado.

99

Suponiendo que este riesgo de bloqueo se concretara (supongamos como análisis para una negociación dentro de un conflicto sindical) y se prolongara en el tiempo, las consecuencias de desabastecimiento resultarían altamente probables, como así también el impacto en las operaciones y por supuesto en el negocio. El área de seguridad se verá impactada también bajo este escenario, ante posibles hechos de violencia, riesgos de sabotaje, vandalismo, agresiones físicas, robo de mercadería, etc.

Obsérvese que en este caso no se está analizando la probabilidad de ocurrencia de un bloqueo, que seguramente es mucho menor, pero como son factores que dependen de la habilidad, destreza y concesiones en un equipo de relaciones laborales, es muy difícil de evaluar como se negociará y que resultados se obtendrán. Por ello resulta más atractivo y un indicador a tener en cuenta, si analizamos el impacto como si el bloqueo se hubiera producido. Estos análisis se pueden realizarse también sobre distintos riesgos de distintas instalaciones u objetivos. En tal sentido hay una gran variedad de gráficos que pueden desarrollarse para exhibir la situación global de los riesgos en una corporación o holding. Como ejemplo incorporamos la siguiente planilla:

Matriz de Riesgos Una matriz de riesgo es una herramienta de gestión y control, para identificar las actividades (procesos y operaciones) más importantes de una empresa y la enumeración de todos los posibles factores de riesgo para las operaciones de una empresa.

100

Dicha matriz nos permitirá el análisis y evaluación de:

los factores de riesgo o riesgos inherentes

las consecuencias de materialización

causas e impacto potencial

el tipo y nivel de riesgos inherentes a estas actividades

los factores internos y externos relacionados con estos riesgos

los controles existentes

el nivel de exposición real, gravedad y severidad

cuantificación del riesgo residual

decisión documentada sobre el riesgo residual

indicadores para el monitoreo de la gestión A través de la matriz buscaremos visualizar distintos escenarios a los que pueda estar expuesta una empresa en el desarrollo de su core business, para que nos permita instrumentar oportunamente acciones preventivas y correctivas que minimicen los riesgos detectados.

En este sentido la matriz de riesgo de un proceso, nos permitirá realizar una

descripción relevante y detallada de las actividades de la empresa, de sus amenazas y vulnerabilidades y de sus controles, que permitirá identificar, clasificar, evaluar y mitigar los mismos como una herramienta de soporte específico para el responsable de ese proceso y de una manera genérica para la gestión integral de los riesgos.

Así se deberá elaborar una matriz de riesgo que resulte una herramienta flexible, que forme parte de la documentación de procesos y que evalúe el riesgo de seguridad de la empresa. Se pretende una herramienta sencilla que permita realizar un diagnóstico objetivo de la situación global de riesgo de la empresa y que permita una participación más activa de las unidades de negocios, operativas y funcionales en la definición de la estrategia corporativa de riesgo de la empresa.

Con la matriz buscaremos optimizar la gestión de riesgos, a través de una adecuada gestión de mitigación y control, para que la eventualidad del riesgo no impida cumplir con los objetivos estratégicos propuestos por la empresa. Este desarrollo exige la participación activa de distintas áreas en la definición de la estrategia de riesgo de la empresa. De esta forma la matriz de riesgo nos permitirá realizar un diagnóstico objetivo de la situación del riesgo de seguridad en la empresa.

Consideraremos a la matriz como un documento vivo, es decir que su elaboración no

significa el final de una tarea, sino tan solo el comienzo de la misma. La Matriz deberá ser ajustada para recoger experiencias externas e internas y hacerla consistente con las “mejores prácticas”, las tendencias de la actividad y sector y la situación particular de la empresa. Asimismo será necesario completarla con datos estadísticos (pasados si los hubiera) y con los eventos que vayan sucediendo diariamente. Este proceso de ajuste será continuo, por lo que deberá ser llevado a cabo por la propia empresa o en el caso

101

de los riesgos puros podrán tercerizarse en un consultor o empresa de seguridad que ofrezca este tipo de servicios.

De esta forma pretendemos que la Matriz de Riesgo sea adecuadamente diseñada y

efectivamente implementada y se convierte en el soporte de un efectivo Sistema Integral de Administración de Riesgo.

Para un adecuado diseño de la matriz vamos a relevar, analizar y evaluar datos significativos que le otorguen confiabilidad y eficacia y para ello habrá que tener en

cuenta:

El diseño y flujo de los procesos y el análisis de criticidad de los mismos (en este sentido la matriz forma parte de la documentación de procesos, con el objetivo de brindar un conocimiento especifico sobre sus amenazas, vulnerabilidades e impacto y sobre su mitigación).

El relevamiento de los objetivos y metas en cada proceso

La asignación de responsabilidades en cada proceso

La preparación y capacitación del personal involucrado

Desarrollar un método que permita identificarlos, clasificarlos y valorarlos

Nivel de amenaza de los riesgos

Grado de vulnerabilidad de los procesos

Analizar los controles existentes y diseñar nuevos controles

Culturización en riesgos y controles internos

Para visualizar de una forma más fácil y rápida las diferentes evaluaciones de riesgo es recomendable entonces elaborar una Matriz de Riesgos, de doble entrada: Probabilidad (en el eje vertical) e Impacto (en el eje horizontal), tal cual ilustra el modelo siguiente:

La probabilidad de refiere a la posibilidad de que un hecho perjudicial ocurra y el impacto se refiere a las consecuencias dañosas para el negocio de ese hecho una vez que se materializa.

102

Como se advertirá la matriz tiene una forma rectangular ya que el riesgo del impacto en el Método Mosler se calcula en valores que van de 2 a 50 (eje horizontal), tal cual lo hemos visto en las tres planillas anteriores. En cambio la probabilidad (eje vertical) se calcula en base a valores que van de 1 a 25. Cada valor de riesgo se obtiene de la intersección de un valor de impacto con otro de probabilidad y de la multiplicación de ambos valores. En tal sentido observamos que el nivel de riesgo en el Método Mosler tiene como rango 2 y 1250.

Desarrollamos esta matriz con todo el cálculo de riesgos al solo efecto de comprender las coordenadas de cada riesgo y que se reflejará en una matriz sin este detalle numérico. Los distintos colores sombreados en la matriz representan distintos niveles de riesgo, como veremos a continuación.

De acuerdo con estándares internacionales se han colocado 5 niveles de riesgo para el impacto como para la probabilidad, con la finalidad de facilitar la comprensión y asociar rápidamente el rango de riesgos al cual nos referimos. En tal sentido se han adoptado los siguientes niveles para el impacto:

o Insignificante o Bajo o Moderado o Serio o Terminal

Y los siguientes para la probabilidad

1. Rara 2. Improbable 3. Moderada 4. Probable 5. Muy probable

103

En esta Matriz se volcarán los riesgos calculados, de acuerdo al concepto de peor escenario (Worst Case Scenario) y se exhibirán en el cuadrante exacto correspondiente al puntaje obtenido en las planillas.

De esta forma en la Planilla se podrán visualizar convenientemente el nivel de los riesgos y en el caso de mitigarse se deberá indicar con una flecha el nuevo nivel a alcanzar estimativamente con la aplicación de las medidas de seguridad recomendadas. Otra forma de visualizar los riesgos es empleando la denominada Matriz Polar o Radial. Veamos como se ven los mismos riesgos:

104

Tengamos siempre presente que la evaluación del riesgo debe ser una guía para orientar la mitigación de los riesgos identificados, fijando un orden de prioridades y un cálculo costos-beneficio. Valoración del Riesgo Para la valoración del riesgo se pueden aplicar 3 criterios complementarios:

un valor cuantitativo utiliza valores numéricos en lugar de las escalas descriptivas y para ello utiliza datos de distintas fuentes. La calidad del análisis dependerá de la precisión e integridad de los valores numéricos utilizados. Puede expresarse en términos de criterios monetarios, técnicos, humanos u otros. En algunos casos requeriremos más de un valor numérico para especificar las consecuencias para las distintas circunstancias o situaciones de un determinado riesgo. Es el valor que surge de la aplicación del método Mosler (2 a 1250), en el cual a los distintos riesgos se les asignan valores. El objetivo es

producir un ordenamiento de prioridades mas detallado que el que se logra con el análisis cualitativo.

un valor cualitativo utiliza palabras o escalas descriptivas para describir la magnitud de las consecuencias potenciales y la probabilidad de que esas consecuencias ocurran. En tal sentido adoptamos la guía que define la Unión Europea (Guía UNE 81905:1997), ponderando el riesgo en trivial, tolerable, moderado, sustancial e intolerable. Este tipo de valoración se utiliza como un tamiz para identificar aquellos riesgos que requieran un estudio mas detallado o cuando el nivel de riesgo no justifica el tiempo y esfuerzo requerido para un análisis más detallado o cuando los datos numéricos son inadecuados o difíciles de obtener.

una combinación de los 2 anteriores, que es precisamente la metodología que se emplea con Mosler.

105

Evaluación de Pérdidas A efectos de dimensionar la magnitud del riesgo, conceder prioridades a la mitigación y poder evaluar el costo beneficio de las medidas de mitigación del riesgo, es imperioso realizar un cálculo de la pérdida antes de que ésta se produzca (Pérdida Posible y Probable), y también la medición de la pérdida directa e indirecta luego de producido un incidente (Pérdida Efectiva).

Conclusiones Una vez identificado y analizado el riesgo y teniendo en cuenta que no es posible reducirlo a cero, es necesario definir un nivel de "riesgo aceptable", o sea un valor admisible de probabilidad de ocurrencia y de consecuencias probables. De acuerdo a este riesgo aceptable, se establecen los lineamientos y diseño de las medidas de seguridad a implementar. Es así que existen diversos niveles de protección que se deben considerar: la protección a la vida, a los activos tangibles e intangibles y a la imagen y reputación de una empresa.

Ellos deben plasmarse en el plan táctico de seguridad Metas de Seguridad Un aspecto también importante del plan táctico será saber traducir los objetivos estratégicos en metas cuantificables y de alcance anual. Una meta es un pequeño objetivo que permite alcanzar el objetivo. Por tanto todo objetivo está compuesto por una serie de metas, que unidas y alcanzadas conforman el objetivo. En este sentido el objetivo es la sumatoria de todas las metas.

La meta se puede entender como la representación de un objetivo pero expuesto en términos cuantitativos y cualitativos y con un límite de tiempo definido.

Si estratégicamente se define como objetivo la reducción de delitos internos o de mercadería en tránsito, la meta debiera determinar si esto puede bajarse en un 5% o 10%, por ejemplo, es decir debiera cuantificar el umbral posible y en un dado tiempo

que puede ser progresiovo durante el año. Sin embargo habrá que tener en cuenta que esta cuantificación de la meta también

estará sujeta al nivel de presupuesto económico que se pueda obtener para alcanzar estas metas.

106

Presupuesto Anual Corporativo El presupuesto anual Corporativo debiera incluir las necesidades económicas del área de seguridad. Podriamos afirmar que los items más importantes de un presupuesto de seguridad son los siguientes:

1. Costo de la contratación del servicio de seguridad privada

2. Salarios del personal de seguridad corporativo 3. Abonos por servicios contratados (monitoreo de alarmas) 4. Abonos por mantenimiento preventivo y correctivo 5. Inversiones anuales en proyectos de seguridad

Observamos que en el punto 5 se menciona a las inversiones en proyectos de seguridad. Estof quiere decir que el dato del presupuesto disponible es fundamental para determinar el alcance de la metas a fijarse.