33

CAPÍTULO III

EFICIENCIA : PLANIFICACIÓN

PLANIFICACIÓN TÁCTICA Parte 1

34

PLANIFICACIÓN TÁCTICA Los planes tácticos desarrollan 4 aspectos:

1) qué es lo que debe hacerse (análisis de riesgo y mitigación, acciones e iniciativas,

empleo de criterios, indicadores y controles) 2) quién lo debe hacer (asignación de roles y responsabilidades para su concreción) 3) cuándo debe completarse (metas) 4) cuántos recursos serán necesarios (presupuesto anual)

El plan táctico traduce las acciones estratégicas de largo plazo en un plan de implementación anual. Por ello el Plan Táctico debe estar alineado a las estrategias del negocio. Un Plan Táctico bien desarrollado vincula el Plan Estratégico con el Plan Operativo. El plan Táctico deberá definir metas que expresan los resultados específicos a lograrse

en relación a los objetivos estratégicos. Éstas, a diferencia de los objetivos estratégicos, deben ser cuantificables y delimitadas en cuanto al tiempo de consecución (generalmente anuales)

1. PLANIFICACIÓN ESTRATÉGICA

Alta Dirección

2. PLANIFICACIÓN TÁCTICA

Gerencia

Misión

Visión

Valores

Políticas

FODA y Objetivos Estratégicos

Estrategias

Estructura Organizacional y Presupuesto

PLAN DE ACCIÓN Y PLANES DE CONTINGENCIA

Análisis y evaluación de riesgo Iniciativas, métodos, criterios y medidas de mitigación Indicadores, y controles

Funciones, Autoridad y Responsabilidades Fijación de Metas Presupuesto Anual

35

Dentro de la planificación táctica hay dos tipos de planes:

Plan de Acción Es el plan que está orientado a la prevención de riesgos hacia personas y bienes. Prioriza las iniciativas y acciones más importantes para cumplir con ciertos objetivos y metas. El Plan de Acción (Action Plan) está relacionado con temas de Prevención y Mitigación de Riesgos de delitos y pérdidas. Por eso uno de los aspectos más importantes de estos planes tácticos es el Análisis y la Evaluación de Riesgos. El principal plan de Acción es el Plan de Prevención de Riesgos

Planes de Contingencias Son los planes que se activan cuando fallan los planes de acción y entonces se aplican los planes de Emergencias y Crisis y de Continuidad del Negocio, ayudando a controlar una situación y a minimizar sus consecuencias negativas. Estos planes proponen una serie de procedimientos alternativos al funcionamiento normal de una organización cuando alguna de sus funciones usuales se ve perjudicada por una contingencia interna o externa. También contienen medidas técnicas, humanas y organizativas necesarias para garantizar la continuidad del negocio y las operaciones de una compañía. Los principales planes de contingencia son: Plan de Emergencia y Crisis y el Plan de Continuidad del Negocio

Plan de Acción y de Contingencias

Uno de los principales temas que abordan estos planes es la gestión de riesgos (análisis y evaluación de riesgos y el desarrollo de las medidas de mitigación).

I. GESTIÓN DE RIESGOS Definiciones Podríamos comenzar el tema definiendo la gestión de riesgos y para ello podríamos mencionar las siguientes definiciones:

36

“Es el proceso mediante el cual realizamos el estudio, la valoración y ponderación de los factores de riesgo (amenazas, vulnerabilidades e impacto)”. Podríamos emplear también una definición más descriptiva del proceso: “Es el proceso de identificación de los factores de riesgo sobre el sistema de seguridad, analizando la probabilidad de ocurrencia, el impacto resultante y determinando las medidas de prevención y protección que contribuirán a su mitigación”

De esta forma un sistema de gestión de riesgos podría definirse como: “Método lógico y sistemático para determinar un contexto, identificar, clasificar, analizar, evaluar, tratar, mitigar, monitorear y comunicar los riesgos asociados con una determinada actividad, función o proceso, de tal forma que permita a las organizaciones minimizar amenazas y debilidades y maximizar fortalezas y oportunidades”. Finalmente podríamos definir el riesgo: “Es la contingencia de que un bien pueda sufrir un daño” Bien: “Es toda persona, animal o cosa que posee o se le atribuye una o varias cualidades benéficas, en virtud de las cuales resulta objeto de valoración”. Daño: “Es el detrimento, perjuicio o menoscabo causado en el patrimonio o en un ser viviente”.

Introducción

Existen 2 tipos de riesgos: Económicos y de seguridad a) económicos: conocido también como “Riesgo Dinámico” Son aquellos riesgos inherentes a la actividad de la empresa y que esta asume y busca deliberadamente, pues a cambio de ello espera obtener un beneficio (inversiones, ampliaciones, nuevo producto, etc.) b) de seguridad: conocido como “Riesgo Puro”

Son aquellos riesgos no deseados por la empresa y que esta debe soportar contra su voluntad, pues de ello solo puede obtener un perjuicio (incendio, robo, fraude, hurto, etc.)

También debemos considerar otros dos tipos de riesgos que se deben gestionar: los propios de la operación (riesgos operativos) y los contingentes. En el primer caso nos referimos a la prevención y protección contra delitos y pérdidas y en el segundo a los riesgos contingentes como son las emergencias y crisis que pueden provocar determinados riesgos de seguridad.

37

Por tal motivo durante el desarrollo de la gestión de riesgos deberán tenerse en cuenta estos riesgos y sobre todo aquellos que tengan un impacto grave y severo sobre el negocio.

La Norma ISO 31000/2009 de Gestión de Riesgos Estos riesgos han sido abordados por la Norma ISO 31.000/2009 sobre Gestión de Riesgos (Risk Management – Principles and Guidelines), equivalente a la IRAM 17550. Se puede aplicar a cualquier tipo de riesgos, no importa su naturaleza, causa u origen y ya sea que sus consecuencias puedan ser positivas o negativas para la organización. Es muy importante que la norma haya estandarizado los requerimientos mínimos para gestionar el riesgo dentro de las organizaciones con efectividad. Todas las organizaciones, grandes y pequeñas, enfrentan factores de riesgo interno y externos, dinámicos y puros, que le restan certeza a la consecución de sus objetivos.

Esta falta de certeza es lo que denominamos riesgo y es inherente a todas las actividades. Esta norma recomienda que las organizaciones desarrollen, implementen y mejoren continuamente la gestión de sus riesgos, con el objetivo de integrar dicho proceso en el gobierno corporativo y en la planificación, estrategia, gestión, procesos de información, políticas, valores y cultura de la organización. La Norma ISO 31000 no es una norma específica para alguna industria, actividad o sector en particular, por lo tanto puede ser utilizada por cualquier entidad pública o privada, ONGs, asociaciones, grupos o individuos. Asimismo puede ser aplicada a todas las actividades, incluidas las estrategias y la toma de decisión, las operaciones, procesos, funciones, proyectos, productos, servicios y activos tangibles e intangibles.

En este sentido cabe formularse algunas preguntas que se encuentran contenidas

dentro del Turnbull, que se resumen en el siguiente cuestionario:

¿Es su empresa plenamente consciente de los riesgos de la organización y éstos se

valoran, comunican y entienden claramente?

¿Tiene su empresa una estructura organizativa que propicie una gestión eficaz y una

mitigación de los riesgos?

¿Es el sistema de valoración de riesgos de su empresa transparente de modo que

permita a los accionistas estimar el riesgo?

¿Se considera que la valoración de riesgos es una tarea independiente o está incluida

en la actividad de su empresa?

Si las respuestas son afirmativas es porque se documentan los procesos seguidos, las acciones definidas y la comunicación a cada uno de los responsables operativos y administrativos de los riesgos, con la finalidad de:

Procurar la toma de conciencia acerca de la administración de riesgos

Comunicación y diálogo en toda la organización acerca de la administración de

riesgos y la política de la organización

38

Adquirir pericias en administración de riesgos y desarrollar destrezas en el personal a través de la capacitación

Asegurar niveles apropiados de reconocimiento, recompensas y sanciones

Establecer procesos de medición del desempeño Es importante desarrollar un plan de comunicación para los interesados internos y externos en la etapa más temprana del proceso. Este plan debería encarar aspectos

relativos al riesgo en sí mismo y al proceso para administrarlo. La comunicación, sumada a la consulta significa instalar un diálogo entre el Área de Seguridad y el resto de la organización. Esta comunicación es importante para asegurar que aquellos responsables de instrumentar la administración de riesgos, y aquellos con intereses creados, comprenden la base sobre la cual se toman las decisiones y por qué se requieren ciertas acciones en particular. La norma ISO 31000 comprende 3 elementos para la efectiva gestión del riesgo:

1. Los principios de gestión del riesgo 2. El marco de trabajo (framework) para la gestión del riesgo 3. El proceso de gestión del riesgo

La relación entre los principios de gestión, el marco de referencia y el proceso de gestión del riesgo, desarrollado en la norma, se resume en las siguientes figuras: Principios de Gestión Marco de Trabajo

(Framework)

Proceso de Gestión del Riesgo

39

Beneficios de la Norma ISO 31000 La Norma está diseñada para ayudar a las organizaciones a:

1. alinear estratégicamente sus procesos a los objetivos del negocio, haciéndolos

más seguros y, en consecuencia, más rentables 2. mejorar la gobernabilidad

3. mejorar la confianza de los grupos de interés (stakeholders) 4. fomentar una gestión proactiva 5. conocer mejor sus procesos 6. aumentar la probabilidad de alcanzar los objetivos 7. ser concientes de la necesidad de identificar, analizar y tratar el riesgo 8. mejorar la identificación de amenazas, debilidades y oportunidades 9. establecer una base confiable para la toma de decisiones y la planificación 10. mejorar los controles 11. asignar y emplear los recursos con eficiencia y eficacia al momento de tratar los

riesgos 12. mejorar la información financiera 13. mejorar la eficiencia, eficacia y efectividad operacional 14. mejorar la seguridad (security & safety) dentro de las organizaciones 15. mejorar la prevención de pérdidas, así como la gestión de incidentes 16. minimizar las pérdidas 17. mejorar la capacidad de restauración y recuperación de las operaciones y la

continuidad del negocio 18. mejorar el aprendizaje organizacional sobre la materia

40

Como se advertirá, la norma ISO 31000 nos abre la oportunidad, como hombres de seguridad, a especializarnos en esta disciplina. Pensemos que no faltará mucho para que la norma sea certificable, con lo cual las empresas de seguridad deberían certificarse por propia convicción o por exigencia del cliente, que querrá tener cubierto el aspecto de los riesgos puros con un prestador que maneje el estándar de gestión de riesgos de la norma. Como las normas en general la Nº 31000 establece principios y guías, dejando librado a

cada empresa el manejo de metodologías y criterios para profundizar en cada uno de los procesos requeridos. De esta formar en materia de seguridad (security) se recomienda el Método Mosler por ser una metodología muy adecuada y por haberse constituido en un estándar a nivel mundial. Manual del Sistema de Gestión de Prevención de Riesgos

Para planificar un sistema de Gestión de Prevención de Riesgos es necesario redactar un Manual cuyo objetivo será proporcionar una guía para los procesos de implementación del Sistema, basada en la Política de Seguridad Corporativa de la compañía

En este sentido la Política de Gestión de Riesgos debiera establecer el firme compromiso de la Dirección para:

Apoyar de modo visible la política de gestión de riesgos.

Apoyar el sistema de gestión de prevención de riesgos.

Una efectiva integración de la prevención de riesgos en toda la estructura de la organización

Establecer las responsabilidades directivas y gerenciales en materia de

prevención.

Asignar un presupuesto económico.

Formar y entrenar a todos los empleados en prevención de riesgos.

La aplicación correcta de los procedimientos que conforman el Plan de Prevención de Riesgos y su revisión periódica.

Establecer procesos de medición del desempeño en materia de prevención de riesgos para desarrollar niveles apropiados de reconocimiento, recompensas y sanciones.

Que las Direcciones y las Gerencias tomen la iniciativa en las acciones de prevención de riesgos y que controlen y exijan el cumplimiento de las normas por parte del personal a su cargo.

Participar activamente en la investigación de los incidentes y en el seguimiento de las recomendaciones.

Difundir la política de prevención de riesgos que debe ser conocida, compartida,

comprendida y compartida por todos los niveles de la compañía

Asimismo una política corporativa para la Gestión de Prevención de Riesgos tendrá como objetivos esenciales los siguientes:

41

Establecer los lineamientos generales para identificar, analizar, evaluar, tratar y monitorear estratégicamente los riesgos de seguridad a que está expuesto la empresa.

Proporcionar el ordenamiento adecuado para desarrollar un Plan de Mitigación de Riesgos con acciones estratégicas que permitan detectar, reducir o enfrentar los riesgos a que se encuentra expuesta la empresa.

Cumplimiento de los estándares de Seguridad y de las mejores practicas en materia de prevención de riesgos.

Alineamiento de los procesos de seguridad a los objetivos del negocio, haciéndolos

más eficaces y, en consecuencia, más rentables. Una mejor focalización de los esfuerzos de mitigación respecto de los riesgos más

importantes, logrando así una mayor eficiencia en los costos asignados a los controles.

La minimización de las oportunidades de pérdidas porque se identifican eficientemente las exposiciones a riesgos no aceptables, brindando respuestas más eficaces.

La adquisición de pericias en administración de riesgos y el desarrollo de destrezas en el personal a través de la capacitación.

Niveles apropiados de reconocimiento, recompensas y sanciones. El establecimiento de procesos de medición del desempeño. El cumplimiento del marco regulatorio. Generar una cultura institucional participativa para la gestión de riesgos en la

empresa. Identificar el papel que le corresponde a cada involucrado en la gestión de los

riesgos a los que está expuesto la empresa. La implementación y sostenimiento de las Políticas de Gestión de Riesgos en las

operaciones de la empresa.

El éxito, dirección, administración y mejora continua de los programas de Prevención de Riesgos de la compañía.

Alcance El Sistema de Gestión de Prevención de Riesgos cubre todos los procesos de Seguridad que se desarrollan en una empresa. Involucra tanto a personas (empleados, contratistas, proveedores, clientes y visitas) como a bienes y servicios propios de la operación. Con este alcance el Sistema cubre:

Activos humanos, como el de personal, proveedores, contratistas, publico y

visitas

Activos patrimoniales, como tecnologías, edificios, equipamiento, mercaderías y recursos monetarios

Activos ambientales relacionados con el medio social donde la empresa

desempeña sus actividades

Otros activos intangibles como reputación en el mercado, imagen de la marca, información, cumplimiento legal y regulatorio

42

Matriz de Riesgos Una matriz de riesgo es una herramienta de gestión y control, para identificar las actividades (procesos y operaciones) más importantes de una empresa y la enumeración de todos los posibles factores de riesgo para las operaciones de una empresa. Dicha matriz nos permitirá el análisis y evaluación de:

los factores de riesgo o riesgos inherentes

las consecuencias de materialización

causas e impacto potencial

el tipo y nivel de riesgos inherentes a estas actividades

los factores internos y externos relacionados con estos riesgos

los controles existentes

el nivel de exposición real, gravedad y severidad

cuantificación del riesgo residual

decisión documentada sobre el riesgo residual

indicadores para el monitoreo de la gestión A través de la matriz buscaremos visualizar distintos escenarios a los que pueda estar expuesta una empresa en el desarrollo de su core business, para que nos permita instrumentar oportunamente acciones preventivas y correctivas que minimicen los riesgos detectados.

En este sentido la matriz de riesgo de un proceso, nos permitirá realizar una descripción relevante y detallada de las actividades de la empresa, de sus amenazas y vulnerabilidades y de sus controles, que permitirá identificar, clasificar, evaluar y mitigar los mismos como una herramienta de soporte específico para el responsable de ese proceso y de una manera genérica para la gestión integral de los riesgos.

Así se deberá elaborar una matriz de riesgo que resulte una herramienta flexible, que

forme parte de la documentación de procesos y que evalúe el riesgo de seguridad de la empresa. Se pretende una herramienta sencilla que permita realizar un diagnóstico objetivo de la situación global de riesgo de la empresa y que permita una participación más activa de las unidades de negocios, operativas y funcionales en la definición de la estrategia corporativa de riesgo de la empresa.

Con la matriz buscaremos optimizar la gestión de riesgos, a través de una adecuada gestión de mitigación y control, para que la eventualidad del riesgo no impida cumplir con los objetivos estratégicos propuestos por la empresa. Este desarrollo exige la participación activa de distintas áreas en la definición de la estrategia de riesgo de la empresa. De esta forma la matriz de riesgo nos permitirá realizar un diagnóstico objetivo de la situación del riesgo de seguridad en la empresa.

Consideraremos a la matriz como un documento vivo, es decir que su elaboración no significa el final de una tarea, sino tan solo el comienzo de la misma. La Matriz deberá ser ajustada para recoger experiencias externas e internas y hacerla consistente con las

43

“mejores prácticas”, las tendencias de la actividad y sector y la situación particular de la empresa. Asimismo será necesario completarla con datos estadísticos (pasados si los hubiera) y con los eventos que vayan sucediendo diariamente. Este proceso de ajuste será continuo, por lo que deberá ser llevado a cabo por la propia empresa o en el caso de los riesgos puros podrán tercerizarse en un consultor o empresa de seguridad que ofrezca este tipo de servicios.

De esta forma pretendemos que la Matriz de Riesgo sea adecuadamente diseñada y efectivamente implementada y se convierte en el soporte de un efectivo Sistema Integral de Administración de Riesgo.

Para un adecuado diseño de la matriz vamos a relevar, analizar y evaluar datos significativos que le otorguen confiabilidad y eficacia y para ello habrá que tener en cuenta:

El diseño y flujo de los procesos y el análisis de criticidad de los mismos (en este sentido la matriz forma parte de la documentación de procesos, con el objetivo de brindar un conocimiento especifico sobre sus amenazas, vulnerabilidades e impacto y sobre su mitigación).

El relevamiento de los objetivos y metas en cada proceso La asignación de responsabilidades en cada proceso La preparación y capacitación del personal involucrado Desarrollar un método que permita identificarlos, clasificarlos y valorarlos Nivel de amenaza de los riesgos Grado de vulnerabilidad de los procesos Analizar los controles existentes y diseñar nuevos controles Culturización en riesgos y controles internos

Dinámica del Riesgo Los riesgos tienen una dinámica que permiten ser distinguidos de acuerdo a la forma como amenazan o impactan. Veamos el concepto a través de este primer esquema

44

Observamos un entorno con una amenaza concreta y un bien que puede estar en riesgo. Vemos que la amenaza está más allá de un límite que denominamos umbral de peligro y que el bien cuenta con un sistema de prevención y protección. Veamos ahora como se manifiesta la dinámica del riesgo a medida que la amenaza avanza por sobre el umbral de peligro, vulnera el sistema de protección, se acerca a bien o impacta en él bien y luego se retira.

La secuencia es la siguiente

Método Mosler El método Mosler es una de las metodologías de mayor difusión, en la cual se aplican métodos combinados de estadística y probabilidad, mediante los cuales, a través de un esquema de matrices, se analizan y evalúan las amenazas, las vulnerabilidades, la gravedad y la severidad de un riesgo.

1a. Fase: Definición del riesgo: identificación y clasificación 2a. Fase: Análisis del riesgo: cálculo de los criterios (1 a 5)

3a. Fase: Evaluación del Riesgo: cuantificación: clase de riesgo (entre 2 y 1250) 4a. Fase: Mitigación del riesgo: determinación e implementación

45

Cabe observar que este criterio empleado por el Método Mosler, con mucha anterioridad, coincide con el que define la Norma ISO 31000. Condiciones para gestionar los riesgos Antes de ingresar en el tratamiento de los riesgos hay que realizar una determinación

previa. Para que un riesgo pueda considerarse gestionable es necesaria la existencia simultánea de tres componentes: - Que pueda haber pérdidas Que el riesgo traiga aparejado efectos negativos. En general las pérdidas se pueden corresponder con una valoración económica, pero hay casos en los que eso no es tan simple, como es el caso de pérdidas de vidas humanas o de desastres medioambientales - Que haya incertidumbre. Es la probabilidad, pero no certidumbre, de que el riesgo identificado ocurra y el momento temporal en el que eso pueda suceder. Esta condición implica que al riesgo debe poder asociársele la probabilidad de ocurrencia a lo largo del tiempo. - Que pueda mitigarse Que puedan seleccionarse medidas que mitiguen el efecto del acontecimiento

indeseado. Si no hay elección por parte del gestor, no hay riesgo, aunque sí puedan existir pérdidas.

1ra. Fase: Identificación del Riesgo La Identificación de los Riesgos es un proceso iterativo que emplearemos para reconocer los peligros y que a la vez permite definir sus causas y características y si pueden o no afectar a la empresa. Podríamos definirlo como: “El proceso por el cual se trata de descubrir eventos no deseados, que pueden conducir a la materialización de un peligro, determinando qué, dónde, cuándo, por qué y cómo pueden producirse”

En muchas ocasiones las empresas identifican de forma intuitiva las áreas críticas al

riesgo, al sopesar únicamente el valor de su pérdida potencial y no consideran de forma conjunta los criterios de amenaza y vulnerabilidad. Por ello, en algunos casos, las áreas que las empresas consideran como su foco de atención, son las que presentan mayores debilidades y, por lo tanto, no están suficientemente controladas.

En esta etapa es necesario identificar productos, servicios y operaciones críticas, como es el caso de productos, servicios, instalaciones y equipamiento indispensable para la

46

operación, suministro eléctrico, gas, agua, telecomunicaciones, cloacas, transporte, personas y equipos vitales para la continuidad operativa, productos y servicios provistos por proveedores exclusivos, etc.

Este proceso de identificación es crítico ya que requiere de una visión amplia, ya que los riesgos potenciales que no se identifican en esta etapa, en general permanecen excluidos de un análisis posterior. Por eso la identificación debería incluir todos los riesgos, estén o no bajo control de la organización. El fin es generar una lista amplia de eventos que podrían afectar a la organización.

Veamos ahora, cuales son algunos de los criterios para identificar los riesgos: a) Relevamiento situación actual

Revisar planes internos y políticas (ej. planes de evacuación, de incendio, ambientales, procedimientos de seguridad, seguros, política de cierre de planta, materiales peligrosos, plan de administración de riesgo, ayuda mutua, políticas corporativas, etc.)

Identificar códigos y regulaciones: Seguridad e Higiene, regulaciones

ambientales, sísmicas, incendio, transporte, zonales, etc.

Evaluar incidentes y contingencias (estadísticas)

Evaluaciones de las investigaciones de incidentes

Auditorías de normas, procedimientos, esquemas de seguridad y equipos existentes

Identificar Productos, Servicios y Operaciones Críticas

Identificar recursos y capacidades internas

Identificar recursos externos

Listar potenciales emergencias: en las instalaciones y en la comunidad (ver antecedentes históricos).

b) Clasificación de Riesgos Los riesgos pueden tener multiplicidad de clasificaciones. Sin embargo las más usuales son: 1. En función del agente causal 2. En función del bien 3. En función del nivel 4. En función del daño

47

1. En función del agente causal

• Riesgos de la naturaleza (Inundaciones, rayos, terremotos, tornados, etc.)

• Riesgos biológicos ( Ej. en alimentos: virus, bacterias, bacilos, etc.)

• Riesgos humanos ( pobre entrenamiento, mantenimiento, mala conducta, abuso de drogas, fatiga, etc.)

a) Tecnológicos

1) Químicos (fuego, sustancias tóxicas, drogas, explosión química, etc.) 2) Físicos (eléctrico, mecánico, acústico, óptico, vibraciones, etc.) 3) Nucleares (radiaciones ionizantes, explosión nuclear, etc.) 4) Técnicos (diseño, fabricación, montaje, instalación, mantenimiento, etc.)

b) Derivados de actividades sociales

1) En el trabajo

2) En el ocio

3) En la circulación y transporte

4) En el hogar

c) Derivados de actividades antisociales (robo, hurto, fraude, sabotaje,

vandalismo, secuestro, espionaje, manipulación de datos, etc.) d) Derivados de su culpabilidad El obrar contra derecho se divide de acuerdo al nivel de voluntad participante en un hecho en: 1) Dolosos: quiere hacer el hecho típicamente antijurídico, es querer violar la ley (conoce la criminalidad del hecho). No se presume. 2) Culpables: no hay una dirección del querer hacia la concreción del hecho típico pero ofende bienes jurídicos de terceros, actuando al margen de ciertas normas. Es la inobservancia del deber de cuidado en el desenvolvimiento de la propia conducta para evitar daños a terceros. Es la falta de previsión de un resultado típicamente

antijurídico, que pudo y debió haberse previsto al obrar.

48

- Negligencia: violación del deber de cuidado que se concreta por medio de la omisión de la diligencia exigida por aquél para no colocar en situación de peligro al bien jurídico de que se trate. - Imprudencia: violación del deber de cuidado que se concreta por medio de un desarrollo de la actividad que excede los límites del riesgo permitido.

- Impericia: aquel actuar negligente o imprudente que se produce en el ejercicio de un arte o profesión, propio del agente y que es violatorio del deber de cuidado según éste surge de la “lex artis”. Es el no haber obrado con la idoneidad exigida a la persona de que se trate, referida a su función, profesión, etc.

- Inobservancia de reglamentos, ordenanzas o deberes del cargo: se da en aquellos casos en los que el deber de cuidado que el autor viola se encuentra predeterminado en una

reglamentación expresa o implícita. 2. En Función del Bien:

personales patrimoniales de información medio mabiente imagen y reputación.

3. En función del Nivel a) Alto riesgo b) Riesgo Medio c) Bajo riesgo

4. En Función del daño: a) Para objetos: - Riesgo de destrucción total - Riesgo de destrucción parcial - Riesgo de pérdidas

49

b) Para personas: - Riesgo de muerte - Riesgo de lesiones (graves y leves) - Riesgo de enfermedad (física y psíquica) Factores de Riesgo o Riesgos Inherentes

Una vez identificados y clasificados los riesgos se debe determinar las fuentes o factores que intervienen en su manifestación y a esto llamamos “factores de riesgo o riesgos inherentes”. El riesgo inherente es aquel riesgo intrínseco a la actividad específica de cada empresa.

2ª y 3ª Fase: Análisis y Evaluación del Riesgo Consiste en el análisis sobre la posible ocurrencia de riesgos. Esta segunda fase debe responder a las siguientes preguntas: 1. Qué puede ocurrir? (Probabilidad del riesgo) 2. Si ocurre qué tan serio puede ser? (impacto del riesgo) 3. Con qué frecuencia puede ocurrir? (frecuencia del riesgo) Análisis y Evaluación de Riesgos

Lo que debemos realizar en esta fase es analizar distintos aspectos referidos al impacto y a la probabilidad de ocurrencia de los riesgos, para concluir con la evaluación de los mismos. En la probabilidad analizaremos los riesgos desde sus causas, es decir que posibilidad existe para que un determinado riesgo se produzca. En cambio en el impacto analizaremos las consecuencias de un riesgo probable o posible que pueda materializarse. En el caso de la probabilidad de ocurrencia de los riesgos analizaremos las amenazas y las vulnerabilidades, que constituyen la base de los estudios de seguridad. a) Análisis de Probabilidad La Probabilidad es una cualidad o posibilidad verosímil y fundada de que algo pueda suceder.

Este análisis está referido a las causas por las cuales se producen los riesgos. En este caso no importa el impacto del riesgo sino su probabilidad de ocurrencia.

50

En materia de seguridad la probabilidad de ocurrencia de un hecho delictivo es la resultante de una amenaza y una o más vulnerabilidades. Veamos ambos indicadores: Indicador de Amenaza (A) Amenaza es un fenómeno, sustancia, actividad humana o condición peligrosa que puede ocasionar la muerte, lesiones u otros impactos a la salud, al igual que daños a la

propiedad, la pérdida de medios de sustento y de servicios, trastornos sociales y económicos, o daños ambientales. Mas sencillamente podríamos definirla como el hecho o acción que puede producir un daño. Evaluamos entonces la probabilidad de que el riesgo se manifieste por existir una amenaza. Una amenaza puede incrementar la probabilidad de ocurrencia en función de si la misma es más incontrolable e imprevisible y de esta forma el negocio y las personas resultan más expuestas. Puede ocurrir que mitiguemos una amenaza a un nivel tal que la misma desaparezca. Por ejemplo, la amenaza de terremoto a que puede encontrarse expuesta una planta en zona montañosa y de terremotos, desaparece si la trasladamos a la llanura. En este caso estamos eliminando una amenaza de la naturaleza: el riesgo de terremoto.

Sin embargo no es tan fácil de eliminar una amenaza humana. Puede ocurrir que al bancarizar los pagos de sueldos haya desaparecido la amenaza de asalto los días en que se pagaba al personal en dinero efectivo (cash). Sin embargo esta eliminación de la amenazas opera para la empresa, que, sin embargo, ahora ha transferido el riesgo al personal, que deberá asumir el riesgo de asalto al retirar su sueldo de los ATM. Tratar las amenazas implica una tarea de prevención para tratar de reducirlas, y distribuirlas. Algo más difícil es eliminarlas. En algunos casos simplemente se aceptan. Pero lo que hay que tener muy claro es que casi siempre vamos a estar generando una transferencia del riesgo. Y no nos referimos a la transferencia a una compañía de seguros para que se haga cargo de protegernos del impacto de ciertos riesgos, manteniendo indemne nuestro patrimonio. Nos estamos refiriendo a que las amenazas casi nunca son eliminadas, sino que solo son transferidas a objetivos con menor umbral de prevención y protección. Mucho se ha hablado del exitoso programa de seguridad aplicado por Rudolph Giuliani en Nueva York. Sin embargo alguien debiera preguntarse, hacia donde migraron las amenazas que se previnieron en la gran manzana. Lo que fue bueno para Manhattan y el Bronx, seguramente no fue bueno para Queens, Brooklyn o Staten Island. ¿Alguien

habrá comparado, en esas ciudades, las estadísticas de la demografía criminal antes y después de la aplicación del programa de “tolerancia cero”?.

51

Las amenazas humanas y sobre todo las delictivas son muy difíciles de eliminar, solo se las puede transferir, haciéndolas migrar hacia otros lugares u objetivos más inseguros. Este es un tema muy difícil desde el terreno ético y moral, ya que finalmente la tendencia no es combatir el delito y reducirlo en forma integral, sino tan solo transferirlo hacia zonas menos seguras y generalmente más pobres. Por eso existen crueles estadísticas donde se observa que los pobres delinquen y victimizan a los pobres o las capas empobrecidas de una sociedad. Peor aún en EEUU hay estadísticas que demuestran que muchos delincuentes de raza negra no delinquen contra su “enemigo

blanco”, sino contra los de su misma raza, que se encuentran en situación de indefensión, en barrios donde no impera la ley, ni el orden, ni la justicia. Las amenazas tienen además una dinámica de cambio muy interesante. No solo se transfieren y migran sino que también mutan, desarrollando nuevas e innovativas contramedidas para vulnerar las medidas de prevención y protección existentes y conocidas. En los estudios de seguridad se analizan muy bien las amenazas a través del estudio de la localización del objetivo a proteger, de la naturaleza de las actividades desarrolladas en ese objetivo y por supuesto la demografía criminal. En base a esto se puede lograr un análisis de previsibilidad delictiva, con distintos niveles de acuerdo al grado de exposición a esas amenazas. Las amenazas así concebidas deben disponer de un puntaje asociado a distintos niveles que van del 1 (amenaza “muy baja”, controlable y previsible) al 5 (amenaza “muy elevada”, incontrolable e imprevisible).

Veamos la siguiente planilla guía Nº 3:

Para analizar con mayor profundidad la amenaza podría determinarse en función de la previsibilidad, la intensidad y la frecuencia y en tal sentido estos factores podrían a su vez tener una graduación de 1 a 5, donde 5 es la amenaza más alta y 1 la más baja. Previsibilidad: Se refiere a si una amenaza puede ser conocida con antelación por cierta información, señales o indicios y entra dentro de las previsiones normales y que la hace mas o menos controlable. Es una determinación ex ante. Intensidad: Grado de fuerza, vigor, energía y direccionamiento con que se manifiesta

una amenaza. Una amenaza de asalto puede variar en intensidad dependiendo de si se perpetra por un delincuente, una banda o un grupo comando. En tal caso sostenemos

52

que nunca debe dejar de evaluarse un riesgo por el peor escenario posible (WCS: Worst case Scenario). De igual forma en el impacto también debería evaluarse la consecuencia más gravosa. Frecuencia: número de veces que se repite un suceso determinado en un intervalo de tiempo. (ex post) Indicador de vulnerabilidad (V)

Es la debilidad de un sistema de seguridad que aumenta el peligro al impacto de amenazas. Mide y analiza que tan vulnerable se encuentran el negocio y las personas por falta de medidas de seguridad implementadas o por falta de mantenimiento a las mismas. En este sentido la posibilidad que un riesgo se concrete es mayor cuando somos más vulnerables por no haber instrumentado medidas de mitigación al riesgo bajo análisis. El nivel de vulnerabilidad estará dado a partir del diseño de prevención del delito de un objetivo (CPTED, por sus siglas en inglés de Crime Prevention Through Environmental Design) y por las barreras físicas, las medidas de vigilancia humana y electrónica, y por la seguridad organizacional y operacional que se disponga. No corresponde abordar estos temas acá, sino cuando tratemos las medidas de mitigación de los riesgos. Sin embargo, podemos afirmar que a los diferentes niveles de vulnerabilidad (que corresponde para cada riesgo), se le puede asignar un puntaje que también va del 1 (vulnerabilidad “Muy Baja”) al 5 (vulnerabilidad “Muy Alta”). Veamos como se refleja

esto en la siguiente Planilla de Evaluación Nº 4:

Por último, la consistencia y coherencia de las Planillas Nº 3 y 4, pueden contrastarse con esta Planilla de Verificación de Probabilidad que se exhibe:

53

Un modelo más complejo de análisis nos llevaría a profundizar el concepto de vulnerabilidad. En tal sentido podría sostenerse que la vulnerabilidad podría analizarse a través de la siguiente fórmula: EXPOSICIÓN x SUSCEPTIBILIDAD VULNERABILIDAD = ------------------------------------------ RESILIENCIA

Exposición sería la condición de desventaja debido a la ubicación, posición o localización de un sujeto, objeto o sistema expuesto al riesgo y podría graduarse de 1 a 5. Susceptibilidad es el grado de fragilidad interna de una persona, objeto o sistema para enfrentar una amenaza y recibir un posible impacto debido a la ocurrencia de un evento adverso. Podría puntuarse de 1 a 5. Resiliencia es la capacidad de un sistema, comunidad o sociedad expuestos a una amenaza para resistir, absorber, adaptarse y recuperarse de sus efectos de manera oportuna y eficaz, lo que incluye la preservación y la restauración de sus estructuras y funciones básicas. También podría graduarse de 1 a 5 En cambio el análisis del impacto es mucho más difícil de determinar por el hombre de seguridad ya que desconoce aspectos internos y generalmente reservados dentro de las

empresas, sobre el nivel de impacto de riesgos operacionales por posibles amenazas de robo, hurto, fraude, vandalismo, sabotaje, inteligencia competitiva, etc. Es por ello que el análisis de impacto no es habitual verlo en los estudios de seguridad. Sin embargo para cumplir con la Norma ISO 31000 va a ser necesario abordar este aspecto mancomunadamente con la empresa. Otro aspecto a tener en cuenta al momento del análisis de riesgo es si vamos a estar evaluando los riesgos de la corporación o de una instalación en particular. No es lo mismo un incendio o un robo de una sucursal bancaria que el colapso del sistema de información del banco que afecta a todas las sucursales. Si estamos analizando los riesgos desde la corporación, el incendio o robo de una sucursal bancaria solo podría generar perturbación en algún proceso u operación crítica de esa sucursal, pero no perturbaría los procesos críticos de todo el banco. Por el contrario un colapso en el sistema de información del banco perturbaría procesos críticos de todo el banco. En este caso el riesgo de un colapso en el sistema de información por un tiempo prolongado sería considerado un riesgo de gravedad para

toda la organización. En cambio el robo o incendio no es grave si lo analizamos desde el impacto que produce en toda la organización.

54

Es muy importante entonces determinar si el análisis de riesgos que debemos realizar se refiere a riesgos con impacto en toda la corporación (ya sea a nivel nacional o internacional) o se refiere a riesgos puntuales para algunas instalaciones. b) Análisis de Impacto Podríamos definir el impacto como:

“Consecuencias de un hecho o acción que altera o afecta la vida, los activos físicos e intangibles, la imagen y la reputación de una persona, marca u organización” El análisis de impacto abordará la cuestión a través de 4 indicadores que deberemos observar detenidamente. A su vez estos se dividen en indicadores de gravedad y de severidad. Indicadores de Gravedad Los indicadores de gravedad son aquellos que determinan los riesgos de mayor magnitud para una empresa, y que siempre están relacionados con la interrupción de la activad productiva u operativa provocada por procesos críticos que dejan de funcionar en forma prolongada. Entonces, debemos tener en claro que lo más grave que le puede ocurrir a una empresa es interrumpir el negocio en cualquiera de sus formas, ya sea por factores internos o

externos, humanos, naturales, etc. En este sentido un conflicto sindical que escala hacia una huelga es siempre grave para cualquier empresa, ya que interrumpe el negocio. Un bloqueo al ingreso de insumos y egreso de mercaderías también sería un riesgo grave. Estos son entonces los riesgos que hay que analizar primero, porque son los que le importan a la alta dirección. Veamos estos 2 indicadores: Indicador de Función (F) Este indicador mide el nivel de una consecuencia negativa o daño que pueda alterar o afectar la actividad. Esto implica determinar el nivel de perturbación y facilidad de recuperación frente a la ocurrencia de un riesgo. Esta perturbación puede estar referida a riesgos que impacten en los procesos críticos e interrumpan la continuidad del negocio en forma prolongada (en cuyo caso el riesgo será de una gravedad crítica) o simplemente son riesgos que solo afectan operaciones secundarias (en tal caso el riesgo será de una gravedad muy baja).

55

Estos riesgos con distintas consecuencias de gravedad pueden ser causados por impacto en las personas, patrimonio, información, etc.. Por ejemplo el riesgo de que el presidente de una compañía sea secuestrado o muera en un asalto, o de un incendio que afecte una línea de producción u operación o de un colapso en el sistema de información por un virus, pueden implicar distintos impactos en los procesos críticos y tener distinta duración y pueden tener distintas posibilidades de recuperación.

Estas consecuencias tendrán entonces un puntaje asociado a distintos niveles de gravedad y que van del 1 (gravedad “muy baja”) al 5 (gravedad “crítica”). Indicador de Sustitución (S) Mide con qué facilidad pueden reponerse los bienes o sustituirse las personas o la información, en caso que se produzcan algunos de los riesgos mencionados en el indicador anterior. Por tanto será más grave un riesgo que impacte de forma tal que impida la recuperación por no tener posibilidad de sustitución en el corto plazo. En este caso estaremos en el nivel 5 (por ser “muy difícil” la sustitución). En cambio si estamos frente a una interrupción en el negocio que puede ser muy rápidamente restaurada por que se pueden sustituir personas, productos, insumos, equipos u operaciones no críticas, entonces estaremos en niveles más bajo de gravedad. El puntaje 1 representará el riesgo que implique una “fácil” sustitución. A continuación podrán apreciar una planilla Nº 1 para las evaluaciones de Gravedad.

56

Indicadores de Severidad En este caso los indicadores de severidad están referidos a riesgos que implican distintos niveles de extensión y profundidad de los daños, que impactan en lo económico, social, comunitario, imagen y reputación de la empresa.

No tendrán la misma profundidad y extensión de impacto los daños materiales que una muerte. Tampoco será del mismo nivel si la consecuencia es una muerte o muertes múltiples. Veamos estos 2 indicadores: Indicador de Profundidad (P) Mide la profundidad del impacto en lo económico, social, comunitario y la imagen y reputación de la empresa. Siguiendo con los ejemplos dados, la severidad de un riesgo de incendio de una sucursal será baja si consideramos el impacto en todo el banco, pero la severidad será muy alta si la consideramos desde el punto de vista de esa sucursal. Sin embargo puede ocurrir que un incendio o un asalto en una sucursal bancaria produzca muertes múltiples, en cuyo caso el impacto se extiende a todo el banco y puede ser muy severo en términos de imagen y reputación.

Estas consecuencias tendrán entonces un puntaje asociado a distintos niveles de severidad y que van del 1 (severidad de la profundidad “muy baja”) al 5 (severidad de la profundidad “fatal”). Indicador de extensión (E) Evalúa el alcance y extensión de los daños medidos en términos económicos. Siguiendo el ejemplo citado en el anterior indicador diríamos que este indicador mide el costo económico de los daños, como por ejemplo por el pago de indemnizaciones por la muerte o muertes múltiples y de los costos por reclamos sindicales o de grupos activistas, etc.. Estas consecuencias tendrán entonces un puntaje asociado a distintos niveles de severidad y van del 1 (severidad de la extensión “muy baja”) al 5 (severidad de la extensión “fatal”).

La siguiente planilla Nº 2 es una guía para la evaluación de los indicadores de severidad:

57

Un aspecto importante a destacar es que un riesgo puede ocasionar distintas consecuencias. Por ejemplo un asalto puede implicar una pérdida económica, pero también lesiones o incluso la muerte. ¿Cuál es entonces la consecuencia que debe adoptarse para medir ese riesgo? Se pueden tomar varias consecuencias, las cuales medirán distinto, porque el impacto de muerte en un asalto es menor que el de la pérdida de bienes. Lo aconsejable es tomar el mayor puntaje del riesgo para ser exhibido en la matriz de riesgos. Pero también se puede tomar el mayor puntaje producto de sumar todas las consecuencias probables.

Las consecuencias pueden referirse a aspectos inherentes al riesgo, por ejemplo en el asalto tenemos la pérdida económica, pero también podemos considerar efectos colaterales en la víctima como las lesiones o la muerte. Estos efectos colaterales también pueden impactar en la empresa, como es el caso de alguna inhabilitación o multa, nuevas y gravosas regulaciones del estado o el tratamiento negativo del hecho por parte de los medios de comunicación. Obsérvese como el efecto colateral de los medios puede impactar en la imagen y reputación de una compañía. Esta es la razón por la cual a un banco no le preocupa tanto que le roben (el dinero suele estar asegurado), como que se produzca un tiroteo en su interior y como consecuencia del mismos muera un cliente o un menor. Este efecto colateral tiene un impacto muchas veces mayor que el del robo. Como es fácil de advertir estos indicadores de impacto no son fáciles de evaluar por los hombres de seguridad, que deberán trabajar mancomunadamente con distintas áreas de la empresa, para comprender los impactos de los riesgos, tal como lo exige la Norma ISO 310000.

58

A su vez los mandos medios y altos de las organizaciones muchas veces desconocen o no quieren reconocer que existen muchos riesgos de la operación que son transferidos a la seguridad. El trabajar juntos en el análisis de riesgo permitirá sinergizar los conocimientos propios del negocio, con los propios de la seguridad y la resultante será un análisis de riesgo más profesional y racional. Cálculo del Riesgo – Evaluación Cuantitativa del Riesgo

A partir del conocimiento adquirido de como analizar la probabilidad y el impacto de los riesgos, ahora debemos volcar los puntajes en una planilla de cálculo, cuyo diseño es propio del método Mosler y que pasamos a graficar:

Una vez familiarizado con el criterio de cálculo del riesgo de la planilla, pasamos a analizar algún riesgo en particular y los valores los volcaremos en los respectivos rectángulos grises de la planilla siguiente:

59

Una vez que se haya comprendido como se calcula y como se comportan las evaluaciones de riesgo en esta planilla, estaremos en condiciones de comenzar a emplear otra planilla de análisis y evaluación de riesgos totales, en la que asentaremos todos los riesgos de interés. Veamos el diseño de esta planilla en el siguiente gráfico:

Para proceder al llenado de esta planilla colocamos una clasificación de riesgo por su agente causal, un tipo de evento, un detalle de la amenaza y de sus consecuencias. Luego analizamos la probabilidad de su ocurrencia, conforme las Planillas de Evaluación Nº 3 y 4.

60

El puntaje de probabilidad de ocurrencia de un riesgo se obtiene multiplicando la amenaza y la vulnerabilidad. Luego calculamos el impacto del suceso en el negocio, conforme las Planillas de Evaluación Nº 1 y 2. El puntaje del impacto en el negocio se obtiene multiplicando los valores de de Función y Sustitución en la Gravedad y de Profundidad y Extensión en la Severidad. Ambos

resultados se suman. El puntaje resultante de la probabilidad se multiplica con el puntaje resultante del impacto y así obtenemos el puntaje final, que colocamos en la columna de Riesgo (Puntaje). Así, sucesivamente, analizaremos todos los riesgos potenciales, de los cuales seleccionaremos los riesgos más críticos para volcarlos a la Matriz de Riesgo En el ejemplo empleado se ha seleccionado un riesgo con altísimo potencial de crisis dentro de las empresas fabricantes de bienes de consumo masivo. Efectivamente, un bloqueo que produzca un colapso logístico, generará desabastecimiento, tanto de insumos para la planta como de mercaderías para el mercado. Suponiendo que este riesgo de bloqueo se concretara (supongamos como análisis para una negociación dentro de un conflicto sindical) y se prolongara en el tiempo, las consecuencias de desabastecimiento resultarían altamente probables, como así también el impacto en las operaciones y por supuesto en el negocio.

El área de seguridad se verá impactada también bajo este escenario, ante posibles hechos de violencia, riesgos de sabotaje, vandalismo, agresiones físicas, robo de mercadería, etc. Obsérvese que en este caso no se está analizando la probabilidad de ocurrencia de un bloqueo, que seguramente es mucho menor, pero como son factores que dependen de la habilidad, destreza y concesiones en un equipo de relaciones laborales, es muy difícil de evaluar como se negociará y que resultados se obtendrán. Por ello resulta más atractivo y un indicador a tener en cuenta, si analizamos el impacto como si el bloqueo se hubiera producido. Estos análisis se pueden realizarse también sobre distintos riesgos de distintas instalaciones u objetivos. En tal sentido hay una gran variedad de gráficos que pueden desarrollarse para exhibir la situación global de los riesgos en una corporación o holding. Como ejemplo incorporamos la siguiente planilla:

61

Modelo de Matriz de Riesgos Para visualizar de una forma más fácil y rápida las diferentes evaluaciones de riesgo es recomendable elaborar una Matriz de Riesgos, de doble entrada: Probabilidad (en el eje vertical) e Impacto (en el eje horizontal), tal cual ilustra el modelo siguiente:

Se trata de una matriz de doble entrada: probabilidad e impacto. La probabilidad de refiere a la posibilidad de que un hecho perjudicial ocurra y el impacto se refiere a las consecuencias dañosas para el negocio de ese hecho una vez que se materializa. Como se advertirá la matriz tiene una forma rectangular ya que el riesgo del impacto en el Método Mosler se calcula en valores que van de 2 a 50 (eje horizontal), tal cual lo hemos visto en las tres planillas anteriores. En cambio la probabilidad (eje vertical) se calcula en base a valores que van de 1 a 25.

62

Cada valor de riesgo se obtiene de la intersección de un valor de impacto con otro de probabilidad y de la multiplicación de ambos valores. En tal sentido observamos que el nivel de riesgo en el Método Mosler tiene como rango 2 y 1250. Desarrollamos esta matriz con todo el cálculo de riesgos al solo efecto de comprender las coordenadas de cada riesgo y que se reflejará en una matriz sin este detalle numérico. Los distintos colores sombreados en la matriz representan distintos niveles de riesgo,

como veremos a continuación.

De acuerdo con estándares internacionales se han colocado 5 niveles de riesgo para el impacto como para la probabilidad, con la finalidad de facilitar la comprensión y asociar rápidamente el rango de riesgos al cual nos referimos. En tal sentido se han adoptado los siguientes niveles para el impacto:

o Insignificante o Bajo o Moderado o Serio o Terminal

Y los siguientes para la probabilidad

1. Rara 2. Improbable 3. Moderada 4. Probable 5. Muy probable

En esta Matriz se volcarán los riesgos calculados, de acuerdo al concepto de peor escenario (Worst Case Scenario) y se exhibirán en el cuadrante exacto correspondiente al puntaje obtenido en las planillas.

63

De esta forma en la Planilla se podrán visualizar convenientemente el nivel de los riesgos y en el caso de mitigarse se deberá indicar con una flecha el nuevo nivel a alcanzar estimativamente con la aplicación de las medidas de seguridad recomendadas. Otra forma de visualizar los riesgos es empleando la denominada Matriz Polar o Radial. Veamos como se ven los mismos riesgos:

64

Tengamos siempre presente que la evaluación del riesgo debe ser una guía para orientar la mitigación de los riesgos identificados, fijando un orden de prioridades y un cálculo costos-beneficio. Valoración del Riesgo Para la valoración del riesgo se pueden aplicar 3 criterios complementarios:

un valor cuantitativo utiliza valores numéricos en lugar de las escalas descriptivas y para ello utiliza datos de distintas fuentes. La calidad del análisis dependerá de la precisión e integridad de los valores numéricos utilizados. Puede expresarse en términos de criterios monetarios, técnicos, humanos u otros. En algunos casos requeriremos más de un valor numérico para especificar las consecuencias para las distintas circunstancias o situaciones de un determinado riesgo. Es el valor que surge de la aplicación del método Mosler (2 a 1250), en el cual a los distintos riesgos se les asignan valores. El objetivo es

producir un ordenamiento de prioridades mas detallado que el que se logra con el análisis cualitativo.

un valor cualitativo utiliza palabras o escalas descriptivas para describir la magnitud de las consecuencias potenciales y la probabilidad de que esas consecuencias ocurran. En tal sentido adoptamos la guía que define la Unión Europea (Guía UNE 81905:1997), ponderando el riesgo en trivial, tolerable, moderado, sustancial e intolerable. Este tipo de valoración se utiliza como un tamiz para identificar aquellos riesgos que requieran un estudio mas detallado o cuando el nivel de riesgo no justifica el tiempo y esfuerzo requerido para un análisis más detallado o cuando los datos numéricos son inadecuados o difíciles de obtener.

una combinación de los 2 anteriores, que es precisamente la metodología que se emplea con Mosler.

65

Evaluación de Pérdidas A efectos de dimensionar la magnitud del riesgo, conceder prioridades a la mitigación y poder evaluar el costo beneficio de las medidas de mitigación del riesgo, es imperioso realizar un cálculo de la pérdida antes de que ésta se produzca (Pérdida Posible y Probable), y también la medición de la pérdida directa e indirecta luego de producido un incidente (Pérdida Efectiva).

II. Iniciativas, Métodos, Criterios y Medidas de Seguridad

Luego analizar este aspecto medular del Plan Táctico, como es el análisis y evaluación de riesgos, analizaremos otros contenidos del plan.

El Análisis y Evaluación de riesgo es la base para desarrollar una estrategia de mitigación de esos riesgos.

En tal sentido el análisis y evaluación de riesgo permite dar prioridades y precisión a las iniciativas, métodos y criterios de las medidas de seguridad, que estarán contenidas en metas, las cuales serán distribuidas de acuerdo a las funciones, autoridad y

responsabilidad asignadas a cada integrante encargado de la mitigación y deberá disponerse del correspondiente presupuesto económico para sustentar todo el tratamiento del riesgo.

El tratamiento o mitigación de riesgos lo veremos en la cuarta fase del método Mosler.

Las iniciativas, métodos y criterios de seguridad deben alinearse con la estrategia, los objetivos, los valores y las políticas de seguridad planteadas en el Plan Estratégico, para poder cumplir con la misión y visión de la empresa.

Dentro de las estrategias de seguridad habrá iniciativas, métodos y criterios que aplicar.

Iniciativa:

Es lo que da principio a la decisión de adoptar una determinada medida de seguridad. Se trata del primer paso de un proyecto o del punto de partida de alguna acción para culminar en la implementación de una medida de seguridad. La iniciativa también es la cualidad personal que tiende a generar proyectos o propuestas. En este sentido un profesional de seguridad con iniciativa es aquel que promueve emprendimientos, comparte ideas para su realización, presenta enfoques distintos para realizar cambios, etc. En definitiva puede decirse que una persona con iniciativas, que se adelanta a otros en el obrar o al expresar sus opiniones y que de ello se deduce una mejora en las prácticas actuales de seguridad, es también una persona asertiva.

66

Método:

Es el procedimiento utilizado para llegar a la meta propuesta, en base a la recopilación de datos de distintos análisis.

En materia de seguridad y puntualmente en el tratamiento de riesgos puros deberemos aplicar los principios de distintos métodos.

El método científico considerado como los distintos pasos para obtener conocimiento de las mejores prácticas de seguridad. Gracias al respeto por un método científico, un

profesional de seguridad logra apartar su subjetividad y obtiene resultados más cercanos a la objetividad o a lo empírico.

Las distintas etapas del método científico en materia de seguridad son:

• la observación (que permite analizar un riesgo con sus componentes de

amenaza, vulnerabilidades e impacto)

• la inducción (para distinguir los principios particulares de cada una de las

situaciones de riesgo observadas)

• la hipótesis (planteada a partir de la observación y de acuerdo a ciertos criterios de mitigación de riesgos que luego analizaremos)

• la prueba de la hipótesis mediante la experimentación acerca de la mitigación de riesgos concretos

• la demostración o refutación de la hipótesis en función de la eficacia de las

medidas de mitigación adoptadas

• y el establecimiento de la tesis o teoría científica sobre la prevención y protección de riesgos (las conclusiones).

El profesional de seguridad también deberá aplicar un método racional de análisis de riesgos para obtener conocimiento sobre los riesgos, que no son susceptibles de

comprobación experimental. Es decir que no hay que esperar a que un riesgo se materialice para obtener conocimientos sobre como prevenirlo o mitigarlo. El análisis de riesgos nos obliga a aplicar un método racional en su descubrimiento y en su análisis.

También deberá aplicarse un método experimental para comprobar el impacto y la dinámica de los riesgos, que permita revisar y corregir las medidas de mitigación.

Por último, es muy importante la aplicación de un método estadístico para recopilar datos numéricos, para su interpretación y elaborar relaciones e interdependencias entre determinados grupos de riesgos, para determinar tendencias o generalidades y para aplicar medidas de mitigación que permitan cumplir con el método 80/20 de Pareto: con el 20% del esfuerzo mitigo el 80% de los riesgos.

67

Criterio: Es un principio o regla que permite tomar decisiones sobre la mitigación de riesgos y también es un requisito que debe ser respetado para alcanzar una meta de seguridad o satisfacer una necesidad. Un criterio puede ser la decisión de complementación entre vigilancia, barreras físicas y seguridad electrónica.

Otro criterio será prohibir fumar dentro de una planta de producción para prevenir el incendio o controlar las adicciones (alcohol y drogas) para minimizar los accidentes y la improductividad, etc. Medidas de Seguridad

Las medidas de seguridad son medios para minimizar delitos, pérdidas y daños a personas y a activos de una organización o persona física. Las medidas de seguridad pueden tener una doble visión: una hacia el pasado porque presupone un riesgo materializado que deberá tratarse adecuadamente y otra hacia el futuro que consiste en la aplicación de una acción de prevención o protección.

Las medidas de seguridad tienen determinadas características: Coercitivas: ya que implican una presión que se ejerce sobre las personas para modelar una conducta u obtener un dado comportamiento de honestidad. Generales: se deben aplicar a todas las personas que integran una organización sin importar rangos o jerarquías. Sin embargo puede haber medidas específicas para determinados grupos de personas dentro de una organización (ejemplo: contratistas, proveedores, vistas, público, etc.)

Restrictivas: En general las medidas de seguridad restringen el normal desenvolvimiento de procesos u operaciones, por efecto de controles, razón por lo cual muchas veces generan demoras e incomodidad. Es el eterno dilema entre la velocidad de las operaciones y el control.

Las medidas de seguridad pueden clasificarse de prevención y protección. Este será un

tema que veremos cuando analicemos la mitigación de riesgos.

III. Indicadores y Controles

El tema de indicadores y métricas será abordado en el capítulo que trata sobre la

Gestión y su Control

68

IV. Funciones, Autoridad y Responsabilidades Las funciones y la autoridad y responsabilidades derivadas fueron analizadas al ver la Estructura Organizacional, cuando nos referimos a la Planificación Estratégica. Esa estructura organizacional estratégica debe ahora adaptarse a los aspectos tácticos y operativos, con asignaciones específicas y detalladas para cada miembro encargado de la mitigación de los riesgos. Estas definiciones implican una tarea que comienza con una visión estratégica de la estructura organizacional (organigrama), luego baja al nivel táctico para definir posiciones y roles y luego se completa con las descripciones detalladas de las tareas de cada cargo o posición y la definición de los perfiles necesarios para cubrirlos. Este último aspecto lo veremos en la Planificación Operativa.

V. Metas de Seguridad

Una vez determinados los tres puntos anteriores, es el momento de establecer las metas. La meta es un pequeño objetivo que permite alcanzar el objetivo. Por tanto todo objetivo está compuesto por una serie de metas, que unidas y alcanzadas

conforman el objetivo. En este sentido el objetivo es la sumatoria de todas las metas. La meta se puede entender como la representación de un objetivo pero expuesto en

términos cuantitativos y cualitativos y con un límite de tiempo definido. Las metas son como los procesos que se deben cumplir para poder llegar al objetivo.

Por ejemplo: un objetivo es reducir el hurto en general dentro de la empresa. Ese objetivo estratégico se dividirá en tantas metas como riesgos críticos se identifiquen. Para ello el análisis y evaluación de riesgos determinará cual de los activos de la

compañía son más sensibles al hurto para comenzar las mitigación por dicho riesgo. Si se definiera que el hurto más sensible fuera el de las notebooks de los directivos (no solo por el valor del equipo sino por la información que contienen) entonces una de

esas metas serán tratar puntualmente el hurtode notebooks dentro de una empresa. A su vez esa meta se subdividirá en otras metas mas cortas que serían:

• ubicar e invitar a cotizar a un proveedor de anclajes de seguridad (para fijar una notebook al escritorio y que solo el usuario de ese equipo pueda liberarlo de esa fijación a través de un código o llave).

• Seleccionar al proveedor mas adecuado y suscribir un contrato de provisión del sistema

• Instalar los anclajes en las notebooks que se hayan definido proteger

• Concientizar e informar sobre el uso y procedimiento de los anclajes a sus usuarios

• Implementar el servicio

Todo ello debiera dar como resultado que el hurto de notebooks se reduzca considerablemente.

69

El objetivo implicará alcanzar los resultados previstos en un plan de acción, a través de las medidas de seguridad adecuadas, que a su vez están conformadas por distintas

metas de implementación. VI. Presupuesto Anual Una vez que disponemos de un plan, hemos analizado y evaluado los riesgos y las medidas de mitigación, determinado las funciones, autoridad y responsabilidades para llevarla adelante y fijado las metas, es la oportunidad de desarrollar un presupuesto para sostener lo planificado. El presupuesto como concepto estratégico de apoyo y soporte para el cumplimiento de los objetivos de una organización, deberá abrirse en distintos rubros por área de actividad. En nuestro caso será necesario un presupuesto anual para el área de seguridad. En el caso de seguridad corporativa este presupuesto deberá cubrir el pago de los profesionales del área, de las empresas contratadas para la prestación de distintos servicios de vigilancia (humana, física, electrónica, consultoría, etc.), de los abonos y mantenimientos (de seguridad física y electrónica) y de los proyectos de inversión que fueran aprobados o se proyecten aprobar (condicionalmente).