A diario una gran cantidad de empresas y personas resuelven invertir dinero en diferentes productos y/o servicios para su seguridad y la de sus organizaciones; ahora bien ¿estas inversiones se apoyan en un adecuado Análisis de Riesgo como parte de un Programa de Gerenciamiento? Al cabo de un tiempo se han adquirido o contratado diferentes productos y/o servicios (Guardias de Seguridad, Sistemas de Intrusión, Control de Accesos, CCTV, AVL GPS); generando una sensación de seguridad en la organización y las personas. La realidad de los hechos demuestra que la sumatoria de medidas de seguridad no siempre dan como resultado un efectivo sistema de proteccion; ya sea por sus vulnerabilidades o por su sobredimensionamiento frente a los riesgos existentes. El Gerenciamiento del Riesgo es una función y/o actividad que durante mucho tiempo, incluso en la actualidad, es asociada de manera casi exclusiva al mercado de los Seguros; lo cual es correcto cuando lo abordamos desde aquella óptica. El objeto de este artículo es desarrollar las funciones del Gerenciamiento del Riesgo desde la óptica de la Protección de Activos (conceptos doctrinarios de ASIS INTERNATIONAL), donde el Seguro o la acción de asegurarse es una de las opciones para administrar los riesgos. No pretendemos desarrollar un compendio de definiciones, las que no dejan de ser importantes, solo expondremos aquellas necesarias para una mejor comprensión del tema en cuestión.
El riesgo y su gerenciamiento
«El riesgo es una situación real y concreta en la que existe una probabilidad de desviación adversa con respecto al objetivo deseado”. Real, por tratarse de una situación tangible y verdadera. Probable, ya que tiene una probabilidad de ocurrencia que varía entre cero (0) y uno (1), es decir, ni imposible ni cierta. El evento indeseable no representa el siniestro o la pérdida, sino una desviación adversa frente a la esperanza de un resultado deseado o esperado.
La determinación, evaluación, gestión, administración y gerenciamiento de riesgos pueden ser definidas como “un método para identificar con precisión los riesgos y todos los efectos probables que esos riesgos significarán o producirán en la(s) persona(s) y/o en la organización a proteger, con la finalidad de minimizar ese riesgo a un nivel aceptable, como así también la implementación correcta de medidas para luchar con los elementos relacionados con ese riesgo”.
El riesgo no puede ser eliminado pero puede ser administrado, puede ser reducido a un nivel aceptable mediante un adecuado análisis de riesgo y la evaluación de la información resultante, a través de la adopción de medidas destinadas a EVITAR, REDUCIR o ELIMINAR los elementos (factores) asociados con ese riesgo.
Buenas políticas de seguridad y procedimientos de administración de riesgos son el resultado de un preciso análisis del riesgo percibido. Uno necesita saber exactamente a qué se está enfrentando. No se puede saber qué hacer o qué políticas y procedimientos son necesarios implementar hasta que se ha evaluado correctamente el riesgo.
Para ejecutar una correcta evaluación de riesgos se debe recolectar tanta información como sea posible. Esta información debe ser correctamente analizada, calificada y evaluada para asegurarse que es correcta, necesaria y válida.
Una vez evaluada la información se separa en subcategorías para establecer patrones de enlace entre ellas. Estos patrones de enlace serán los que habilitarán el establecimiento del problema o el riesgo relacionado con él. Desde este punto se puede comenzar el proceso del análisis de riesgos.
Proceso de Análisis de Riesgo
El proceso se inicia con una profunda compenetración sobre aquellos factores que se consideran más importantes y resaltan las posibilidades de que un riesgo se manifieste. Estos factores son previsibilidad, probabilidad y conveniencia.
Previsibilidad: Es el porcentaje de posibilidades de que uno pueda prevenir aquellos eventos futuros que probablemente ocasionarán riesgo a la seguridad de las personas o la organización.
Probabilidad: Es el reflejo estadístico de los hechos que forman parte de la historia de la organización y de las personas que la integran. Toman en cuenta la probabilidad de que un incidente ocurra teniendo en cuenta el número de veces que estos (uno en particular) tuvieron lugar en el pasado. La probabilidad es considerada un mayor indicador de ocurrencia de eventos que la previsibilidad cuando se analiza la seguridad basada en hechos reales.
Probabilidad y previsibilidad son elementos muy útiles en seguridad; uno provee información donde otro carece de ella. Cuando no hay hechos para avalar la probabilidad, la seguridad detallada puede objetivamente basarse en la previsibilidad de que un hecho ocurra a través de un adecuado juicio guiado por pautas o rasgos de comportamiento habituales. Cuando hay ausencia de información para mostrar alguna historia de incidentes, la probabilidad es baja y la previsibilidad toma su lugar en la evaluación de eventos o incidentes. De esta manera, la evaluación de riesgos está en relación con el método empleado para identificar todos los riesgos relacionados, a través de la determinación de la probabilidad y posibilidad de que un incidente de riesgo tenga lugar, y la gestión o administración del riesgo está en relación con nuestra habilidad de implementar y mantener un plan de seguridad efectivo basado en nuestra evaluación. El objetivo es manipular los distintos factores analizados y relacionados con la evaluación de riesgos para eliminar, evitar o controlar el riesgo reduciendo aquellos factores que están relacionados con el mismo. La implementación de medidas de seguridad o estrategias diseñadas para reducir los factores de riesgo está cumplida sólo después de la ejecución de un trabajo de investigación, reconocimiento, vigilancia y análisis de cada uno de los datos obtenidos.
Siempre espere lo inesperado. No crea que determinadas cuestiones le ocurrirán sólo a otros. Solamente porque algo aún no haya ocurrido, no significa o justifica que no se tengan planes previstos y medidas proactivas previstas.
Conveniencia: Deben tenerse en cuenta aspectos tales como el riesgo del máximo de pérdidas, debido a la interrupción de la empresa o la afectación de individuos que están en estrecha relación con la organización. Con frecuencia los responsables de finanzas de las compañías critican la actitud de “gastar un peso para no ahorrar ni un centavo”. Es siempre más prudente prepararse para un desastre y no necesitar esa preparación, que necesitarla y no tenerla.
La implementación de medidas debe tender a proveer la seguridad necesaria, no debe incomodar a las personas o a la organización en un grado tal que sea inaceptable poder desarrollar las actividades en forma normal. Implementar un adecuado programa de evaluación y manejo de riesgos posee un costo. No tener un programa posee otro costo, que evolucionando en el tiempo es infinitamente superior debido a las amenazas usuales a las que cualquier persona u organización se ve expuesta en el mundo actual.
Diez pasos para el Análisis de Riesgo
- El proceso que permite el análisis del riesgo y facilita su manejo o administración presenta una muy definida secuencia de 10 pasos:
- Definir el problema.
- Definir los objetivos.
- Evaluar las medidas actuales y los resultados logrados.
- Identificar los riesgos.
- Evaluar el riesgo.
- Seleccionar medidas para la reducción del riesgo.
- Desarrollar las medidas seleccionas para la reducción del riesgo.
- Implementar las medidas para la reducción del riesgo.
- Evaluar las medidas implementadas.
- Redefinir los riesgos y reiniciar el proceso de análisis.
Si observamos estos diez pasos para realizar un adecuado análisis de riesgo y recordamos el interrogante que nos planteamos al momento de realizar inversiones en seguridad; podemos reconocer a prima facie todos los pasos que hemos omitido.
Metodologías para el Tratamiento de los Riesgos
Durante el proceso de análisis de riesgo y una vez identificados los mismos, debemos seleccionar las medidas que adoptaremos para su tratamiento. Desde la óptica de la Protección de Activos (seguridad) existen cinco metodologías para el tratamiento de los riesgos:
• Evitar los Riesgos: A veces el evitar el riesgo es casi imposible, más cuando el mismo está directamente relacionado con el negocio. Por ejemplo si un Operador Logístico quisiera evitar el riesgo de robo de las mercaderías transportadas, la única manera de hacerlo sería dejar de transportarlas.
• Prevenir el Riego: En determinadas ocasiones y de acuerdo al tipo de riesgo se pueden prevenir. Por ejemplo para prevenir que un empleado se dañe los ojos al manipular determinada herramienta utiliza gafas de protección, o para protegerse los oídos utiliza sordinas. Aquí claramente el riesgo se puede prevenir.
• Reducir el Riesgo: La reducción del riesgo implica claramente que el mismo no puede ser prevenido, por lo tanto las medidas a adoptar tienen por finalidad reducir el impacto que puede generar el riesgo o evitar aquellas situaciones que produzcan mayores probabilidades de riesgo. Por ejemplo, si estadísticamente la mayor parte de los robos de mercaderías en tránsito se producen entre las 06:00 y las 14:00 horas, una manera de reducir el riesgo es evitar esa banda horaria o reforzar las medidas de seguridad.
• Difundir el Riesgo: En este caso la metodología para tratar el riesgo es evitar la concentración, porque en el caso de que el riesgo aparezca pondrá en peligro a todo el conjunto de activos. Podemos citar como ejemplo la actividad agropecuaria (pooles de siembra) donde si se deben sembrar X cantidad de hectáreas no se siembran en la misma zona, se reparte esa cantidad X en distintas regiones; para que en el caso de que una región se vea afectada por el granizo, sequía o exceso de agua el impacto de la pérdida no sea total.
• Transferir el Riesgo: La transferencia del riesgo es trasladar el mismo a un tercero, este es el servicio/producto que brindan las Compañías de Seguros. Volviendo al principio de nuestro artículo, si hemos decidido transferir el riesgo a un tercero esto no significa que hemos perdido la capacidad de Gerenciamiento de los mismos; solo hemos adoptado una metodología para su tratamiento.
Gerenciamiento del Riesgo y Supply Chain
Como ya lo hemos expuesto, la actividad de Gerenciar los Riesgos no es exclusiva del mercado asegurador; aun cuando hubiéramos seleccionado Transferir el Riesgo como metodología para su tratamiento. Tomemos como caso hipotético una situación a la que a diario están expuestas nuestras operaciones logísticas. Es una madrugada como tantas, los docks de carga están abarrotados de productos a la espera de que comience el proceso de expedición; en la Oficina de Tráfico comienza el movimiento, hojas de ruta, remitos, celulares y teléfonos empiezan a despertarse; como aditivo estamos en esas semanas de cierre donde no nos alcanzan las unidades para poder cumplir con todas las entregas. Las mercaderías ya fueron cargadas y despachadas, ahora el partido comienza a jugarse en la calle. Tenemos unos minutos de calma, un mate un café, para seguir luego con nuestra actividad del día y alcanzar el objetivo, desde la Oficina de Tráfico comienzan los controles para seguir el avance de la operación de cerca.
De pronto una alarma generada por el sistema AVL GPS de una unidad, sumado a ello no nos podemos comunicar con el chofer para verificar la situación y el equipo ha dejado de reportar no actualizando su posición; sin perder tiempo ponemos en práctica nuestros protocolos de emergencia. La respuesta operativa ya está lanzada, la incertidumbre reina y los minutos se transforman en horas. Pasado un tiempo y dentro de los llamados telefónicos que van y vienen escuchamos la voz del Chofer “Me robaron, me dejaron en Puente La Noria”.
El hecho ha sido consumado, el riesgo se transformó en pérdida, pero como la mercadería estaba asegurada esa pérdida fue transferida a un tercero El Asegurador; siempre que las medidas de seguridad exigidas se hayan cumplido. ¿Pero alguien se ha preguntado a quién le transferimos el impacto que genera en nuestra organización un hecho de esta naturaleza?
Por solo enumerar algunas de las situaciones que tendremos que atravesar:
• Proceso de liquidación del siniestro, informes escritos, entrevistas.
• Una unidad secuestrada, quién sabe por cuánto tiempo.
• Un chofer que va y viene de una Dependencia Policial a otra.
• Incumplimiento de las entregas programadas.
• Clientes no satisfechos.
• Relaciones comerciales que se tensan, ya sea con nuestros clientes o proveedores.
• Apoderados / Abogados que corren para acelerar los trámites burocráticos habituales.
• Reinstalación del equipamiento AVL GPS de la unidad siniestrada, cuando sea liberada.
• La mercadería robada pasa a convertirse en un competidor único, mismo producto a un mejor precio.
• Si la mercadería siniestrada es del tipo “Medicamentos” las denuncias que se deben efectuar a la autoridad de control.
• Sacarle el polvo a la póliza de seguros y leer bien las exigencias de seguridad, para quedarnos tranquilos de que cumplimos con todo… ¿cumplimos con todo?
Podríamos seguir mencionando situaciones de este tipo, pero éstas son solo un mero ejemplo del impacto que tiene un RIESGO devenido en PERDIDA, donde solo hemos evaluado el tratamiento del RIESGO desde la óptica del Seguro.
Este artículo no pretendió ser una Guía de Gerenciamiento de Riesgo, lo que sería poco profesional de mi parte hacia los lectores, teniendo en cuenta que cada Empresa y cada Operación posee singularidades únicas; asumiendo también el concepto que el Gerenciamiento del Riesgo no es un COMMODITY.
El objetivo es que podamos realizar un análisis reflexivo del enfoque o tratamiento que actualmente le damos a los RIESGOS, de cómo podemos tratarlos de aquí en adelante y finalmente comprender que la actividad de Gerenciamiento del Riesgo es responsabilidad de cada una de las Empresas.