La gestión de riesgos o administración de riesgos es el proceso llevado a cabo por las organizaciones para manejar la incertidumbre de las amenazas de las que es víctima e identificar, analizar, mitigar y monitorear los riesgos externos. Se la considera una buena práctica gerencial y es una de las tareas claves de la Dirección, por su carácter vital en la defensa de los bienes y la seguridad de las personas. La gestión de riesgos correctamente encarada facilita el uso eficiente de los recursos de los que se dispone, minimiza las consecuencias negativas y maximiza el retorno de la inversión en seguridad.
¿Qué son los riesgos y cómo deben tratarse para reducir al máximo posible las amenazas? En esta nota de Tridia compartimos los conceptos vertidos por Ernesto Alcayaga en su artículo “Del riesgo y su gerenciamiento”, que hecha luz sobre las preguntas anteriores.
Una moraleja sobre la gestión de riesgos
En un pasado tan distante que se encuentra antes de los tiempos históricos, Og, uno de nuestros primeros administradores de riesgo, necesitaba ir de caza. Dejaría en su cueva varias pieles de animales, algunos de sus instrumentos de caza y dos rocas que valoraba especialmente: una era muy dura y la otra una piedra que al golpearla con la primera producía chispas que le permitían hacer fuego, prácticamente a voluntad. Con este fuego, cocinaba la carne y sus comidas, espantaba animales salvajes y también se calentaba en la noche y en las estaciones frías de sus años.
Antes de salir, Og tenía varias opciones: primero, podía simplemente dejar todo y confiar en que todo siguiese allí a su retorno; segundo, podía esconder sus bienes en los nooks y crannies de su caverna, y quizás esconder algunos pocos afuera de su caverna, enterrados en sitios ocultos; tercero, podría obstruir la entrada con una o varias piedras. Tenía también al menos una cuarta opción: encontrar un colaborador, alguien que conociese y en el que confiase más que en el resto y permitir a esta pesaron brindar seguridad a su propiedad. A cambio, esa persona recibiría una parte de lo que Og cazase.
No era perfecto, pero, por entonces, Og vivía en tiempos muy diferentes de los nuestros, en los que la supervivencia era complicada y la tecnología del fuego, que Og había llegado a controlar, era deseada por muchos. Esa ansia podía significar que otros le espiasen para ver cómo Og hacía fuego, que le siguiesen y hablasen -a su modo- del tipo de piedras que Og utilizaba, dónde las había encontrado y porqué ésas y no otras servían para hacer fuego.
En términos contemporáneos, Og dominaba una nueva tecnología muy valiosa y tenía una comprensión de ciertos elementos (piedras en este caso) que, cuando eran adecuadamente seleccionados entre muchos otros, podían usarse para hacer fuego, algo en ese entonces de valor superlativo.
Cuando Og revisó la breve lista de las que había determinado como sus opciones de seguridad, estaba, sin expresarlo en esos términos seguramente, haciendo gestión de riesgos. Conocía las amenazas a sus “piedras de fuego” y desde quiénes podían venir. Había identificado las vulnerabilidades y las diferentes opciones de las necesarias contramedidas y debía seleccionar una o una combinación de ellas para prevenir el robo de sus “piedras de fuego”.
En este caso Og consideró tres contramedidas. Primero podría dificultar a cualquiera encontrar y hacerse rápidamente de sus bienes, distribuyéndolos en escondrijos en la cueva. Segundo, decidió obstruir la entrada a la cueva con una roca muy grande. Tercero, y relacionado con lo anterior, hizo un acuerdo con un vecino para ayudarle a proteger sus bienes. Esto era mandatorio, pues se necesitaban dos personas para mover la roca que cerraría la entrada a la caverna. Complementariamente, la presencia del vecino brindaría un cierto grado de disuasión por la existencia de una guardia otorgando seguridad.
Al regreso de su cacería el vecino recibió una parte razonable de lo cazado y, queremos creer, esa noche compartieron una excelente cena con el fuego de Og.
Saltemos ahora algunos miles de años, a la Inglaterra de 1912. Un nuevo buque de la White Star Line está por comenzar su viaje de bautismo. Transportará más de 2.000 pasajeros, agregados a los varios cientos que conforman su tripulación. Además, lleva toda clase de bienes de alto valor, desde la vajilla de plata hasta obras de arte y valores en bonos y efectivo, sumados a la valiosa carga de todo tipo en sus bodegas.
La White Star Line es totalmente consciente de los peligros que acechan a un buque en la mar, tales como tormenta y, según la época y derrota elegida, algún ocasional iceberg. Pero el diseño de este buque es único, representa el cenit de la arquitectura naval, del cual se ha dicho “ni aún Dios podría hundirlo”.
En razón de su diseño y construcción únicos, sólo se incluyeron el mínimo de botes salvavidas que por entonces requerían las regulaciones para la protección de la vida en el mar, lo que resultaba absolutamente insuficiente para la cantidad de personas a bordo. El buque además contaba con lo último de la tecnología, un dispositivo de Marconi que permitía comunicarse inalámbricamente con otros buques y estaciones costeras. Más aún, tampoco era necesario contratar masivos seguros, después de todo nada puede ocurrirle al Titanic. Todos sabemos lo que ocurrió.
¿No es momento de preguntarnos por qué a nuestro imaginado y casi neandertal Og le fue mejor que a una de las más importantes compañías navieras del mundo contemporáneo?
La respuesta no es necesariamente complicada: Og valorizó correctamente sus bienes, tenía una idea bastante precisa de las amenazas a esos bienes e implementó medidas de protección adecuadas que le resultaban aptas, factibles y aceptables.
En la tragedia del Titanic, en cambio, se partió de un supuesto que demostró ser absolutamente falso: la invulnerabilidad del buque. Se conocían las amenazas, se tenía idea muy clara del valor de los bienes involucrados, tanto tangibles como intangibles y del impacto que sobre vida, propiedades y prestigio de la compañía su pérdida podría tener; no obstante, apreciaron que nada de eso estaba en riesgo, por consiguiente ¿para qué invertir en resguardos innecesarios? Esto nos lleva a la consideración de ¿qué es “riesgo” y de qué factores depende? A continuación analizamos esta pregunta.
Del riesgo y cómo gerenciarlo
En términos profesionalmente precisos, se puede definir riesgo como la probabilidad de pérdida, completa o parcial, permanente o temporaria, de los beneficios que se derivan del usufructo de un bien y la apreciación del daño emergente.
Ni bien se reflexiona sobre esta definición vemos que se aplica tanto en el orden individual, como organizacional de cualquier tipo (empresarial, estatal, social, etc.). A los bienes les otorgamos valor, no por el objeto en sí mismo, sino por el beneficio que de él se deriva, sea la felicidad por estar junto a la pareja amada, por las ventajas del desarrollo tecnológico, por la tranquilidad de transcurrir la vida en un ambiente seguro o por cualquier motivo que deseen concebir. No importa que ese beneficio sea tangible o no, no importa tampoco que el objeto al que se valoriza sea real o ideal. Lo cierto es que, desde esta óptica, la ponderación del riesgo está expresando el daño emergente de una falla en su prevención.
Establecido entonces el concepto de riesgo ¿qué factores lo determinan?
El riesgo surge de la superposición de tres factores:
- Impacto
- Amenaza
- Vulnerabilidad
¿Qué es cada uno de ellos?
El impacto expresa el daño que se deriva de la pérdida del bien, por su propia naturaleza, en cuanto es función directa del valor que la persona u organización interesada le atribuyen.
La amenaza es la capacidad de otra parte, que también le adjudica valor al mismo bien, para privar al dueño de su disponibilidad, ya sea para explotarlo en su beneficio o simplemente producirle un perjuicio. En el ámbito privado el esfuerzo se centra habitualmente en la determinación y evaluación de las amenazas contra un determinado bien.
Finalmente, la vulnerabilidad es la medida de la mayor o menor facilidad que otra parte tiene para concretar la amenaza.
Gráficamente, el riesgo queda representado por la intersección de sus tres factores: amenaza, impacto y vulnerabilidad. Al reducirse cualquiera de esos tres factores se reduce el riesgo en la misma medida. Por ejemplo, en el caso del Titanic citado anteriormente, al considerarlo inhundible se redujo la vulnerabilidad a cero, y el riesgo se nulificó.
Habida cuenta que no todos los bienes tienen el mismo impacto, ni están sujetos a las mismas amenazas, un verdadero gerenciamiento del riesgo debiera considerar las medidas de mitigación del riesgo, “contramedidas”, adecuadas a cada caso.
La gestión de riesgos correctamente realizada debe consistir en una metodología en que se considere:
- La identificación de bienes en necesidad de protección
- La determinación de las vulnerabilidades específicas, relacionadas a un tipo particular de amenaza
- La estimación de niveles de riesgos relativos a un evento específico
- El análisis de la relación costo-beneficio de las diferentes contramedidas y su efecto de mitigación sobre diferentes amenazas
- Presentar claramente los resultados del análisis de riesgo y las opciones de contramedidas o recomendaciones para tomar la mejor decisión
En definitiva, la gestión de riesgos correctamente encarada facilita un uso eficiente de los recursos afectados a la contención de amenazas.
En concordancia con las recomendaciones y buenas prácticas vertidas en este artículo, Tridia trabaja siguiendo una probada metodología de trabajo orientada a analizar y evaluar el ambiente de seguridad del cliente, identificar los riesgos críticos y planificar la estructura, procedimientos y sistemas de gestión óptimos para mitigar las amenazas.
Autor: Ernesto Alcayaga, “Del riesgo y su gerenciamiento”