Notas de riesgos.

incertidumbre de la perdida financiera a la

indiferencia entre resultados actuales y resultados
esperados. o a la probabilidad de que ocurra o
ocurrira.
no confundir riesgos con riesgos medioambientales,
que son la causa de riesgos y son como por
ejemplo, incendios, iniundaciones y terremotos.
generalmente se clasifican como
riesgo especulativa, la diferencia entre perdidas o
ganancias, ejemplo apostar.
riesgo puro: una situación de perdida o no perdida
que se aplica generalmente al seguro.
tres categorias comunes del riesgo
1. personal ( pertenecientes a bienes que son
personas)
2. propiedad (pertenecientes a bienes materiales)
3. responsabilidad ( responsabilidades legales que
pueden afectar a cada una de las anteriores
descritas.
QUE ES EL ANALISIS DEL RIESGO? El análisis del
riesgo es una herramienta de gestión cuyos patrones
para medir están determinados por lo que la
Gerencia estima aceptable con respeto a pérdidas
actuales. Para proceder de forma lógica y realizar un
análisis del riesgo, es necesario llevar a cabo de
antemano algunas tareas básicas:  Identificar los
bienes que necesitan protección (dinero, productos
manufacturados y procesos industriales, por nombrar
unos pocos) 
Identificar los tipos de riesgos que pueden afectar
los bienes involucrados (secuestro, extorsión robo
interno, robo externo, incendio o terremoto). 
Determinar la probabilidad de ocurrencia del riesgo.
Recuerde esta regla: Nada es 100% seguro. 
Determinar el impacto o el efecto si el incidente
ocurre en dólares de ser posible. Discutiré estos temas
con más detalle más adelante en este capítulo en la
sección titulada “Evaluación de la Exposición al
Riesgo”.
Algunos eventos o clases de riesgos con los que los
negocios y la industria están más comúnmente
interesados son los siguientes:  Catástrofes naturales
(tornados, huracanes, terremoto, erupción volcánica,
actividad sísmica, inundación). 
Desastre industrial (explosión, derrame químico,
colapso estructural, y fuego). 
Desorden Civil (sabotaje, violencia laboral y amenaza
de bomba). 
Terrorismo doméstico e internacional.  Criminalidad
(robo, hurto, desfalco, malversación, fraude, espionaje
industrial, hurto interno y secuestro). 
Conflicto de interés (sobornos, información
privilegiada y prácticas de negocio no éticos).  Ataque
nuclear o accidente (Three Mile Island) El autor
reconoce que algunos de los hechos (riesgos) son
improbables que ocurran. También, algunos son
menos críticos para una empresa o comunidad que
para otras si ocurren (fuego contra hurto). Sin
embargo, todos son posibles y son así merecedores
de consideración.
QUE ES ANALISIS DE LA EVALUACIÓN DEL RIESGO? El
análisis de la evaluación del riesgo es una técnica
racional, ordenada y una solución comprensiva de la
identificación del problema y de la determinación de
la probabilidad. También es un método para estimar
las pérdidas anticipadas o esperadas como resultado
de la ocurrencia de un evento adverso. La palabra
clave aquí es estimación porque el análisis del riesgo
nunca será una ciencia exacta, estamos discutiendo
probabilidades. No obstante, la respuesta a la
mayoría, sino a todas, las preguntas sobre las
debilidades en la seguridad de cualquiera pueden
lograrse por medio de un análisis detallado de la
evaluación del riesgo.
¿QUE PUEDE HACER EL ANALISIS DEL RIESGO PARA LA
GERENCIA? El análisis del riesgo provee a la gerencia
información sobre la cual se basan las decisiones, tal
como: ¿Es siempre mejor prevenir la ocurrencia de
una situación?, ¿Es esto siempre posible? La
política: ¿debería la política de la empresa incluir el
efecto que pudiera tener una situación peligrosa? ¿Es
suficientemente simple reconocer que existe una
potencial adverso y de momento no hacer nada más
que ser consciente del peligro? ( la analogía está
siendo asegurada en sí misma). El objetivo final del
análisis del riesgo es lograr el equilibrio económico
entre el impacto de riesgo sobre el negocio y el
costo de las medidas de protección y prevención. Un
análisis del riesgo llevado a cabo correctamente tiene
muchos beneficios, unos pocos de los cuales son:  El
análisis mostrará la postura de la seguridad actual
(perfil) de la organización.  Destacará aquellas áreas
donde se necesita más (o menos) seguridad.
 Ayudará a reunir algunos de los hechos necesarios
para desarrollar y justificar contramedidas
(preventivas) costo-efectivas.  Servirá para
incrementar la conciencia de seguridad para
confirmar y reportar, las fortalezas y debilidades en
todos los niveles de la organización desde la Gerencia
hasta operaciones. El análisis el riesgo no es una
tarea que se haga de una vez para siempre. Debe
ser repetido periódicamente para mantenerse al día
en los cambios en la misión, instalaciones y equipo.
Además, ya que las medidas de seguridad diseñadas
en la concepción de un sistema son generalmente
más eficaces que las que se imponen posteriormente,
al análisis del riesgo debe estar en el lugar del
diseño o en las fases del edificio de cada nueva
facilidad. Desafortunadamente, rara vez esto es así.
Uno de los mayores recursos que se requiere para
hacer un análisis del riesgo es el personal entrenado.
Por esta razón, el primer análisis debe ser el más
costoso debido a que los análisis subsecuentes
pueden apoyarse en parte sobre el trabajo anterior:
el tiempo para hacer un estudio será menor debido a
la experiencia y el conocimiento empírico adquirido. El
tiempo disponible para llevar a cabo el análisis del
riesgo debe ser compatible con sus objetivos. Las
instalaciones grandes que tienen operaciones
complejas, con muchos turnos y muchos archivos de
datos, va a requerir más tiempo que otras con un
turno y una producción limitada. Resultados
significantes deben esperarse, la Gerencia debería
estar dispuesta a comprometer los recursos
necesarios para cumplir con esta tarea. Es mejor
demorar o aun abandonar el proyecto a menos que
o hasta que los recursos necesarios estén disponibles
para completarlo apropiadamente. EL
PAPEL GERENCIAL EN EL ANALISIS DEL RIESGO El éxito
de realizar cualquier análisis del riesgo dependerá
fuertemente del papel jugado en el proyecto por la
Gerencia. La Gerencia debe apoyar el proyecto y
expresar este apoyo a todos los niveles de la
organización. La Gerencia debe delinear el propósito
y el alcance del análisis del riesgo. Debería
seleccionar un equipo calificado y delegar
formalmente la autoridad. Finalmente la Gerencia
debe revisar los resultados del equipo y decidir cuales
recomendaciones debe implementar y establecer el
orden de prioridades para esta implementación. El
personal que no está implicado directamente en el
proceso del análisis debe estar dispuesto a proveer
información y ayuda a los que llevan a cabo el
análisis y además, obrar en su actividad de acuerdo
a cualquier procedimiento y limitación que pudiera
resultar de la actividad del estudio. La Gerencia no
debe dejar ninguna duda de que es su intención
confiar en el producto final y que basará sus
decisiones sobre seguridad en los resultados del
equipo del análisis del riesgo. Hay que definir el
alcance del proyecto y la declaración del alcance
debería específicamente explicar en detalle los
parámetros, limitaciones y profundidad del análisis.
Muchas veces es igualmente importante especificar lo
que no debe cubrir el análisis. Esto servirá para
eliminar cualquier malentendido al principio en el
inicio del ejercicio. Un ejemplo puede ser la
exclusión del estudio de seguridad, la parte de
seguridad industrial y evaluación de procedimientos
en un hospital.
En este momento quizá sería conveniente definir y
explicar dos otros términos que a veces se
intercambian con el de riesgo. Estos son: amenazas
- cualquier cosa que podría afectar negativamente al
negocio o a los bienes, y vulnerabilidad - debilidades,
fallas, como son los agujeros en las mallas o
eventualmente cualquier cosa que puede ser
concebida para aprovecharlo como una amenaza.
Las amenazas son mas fáciles de identificar y
organizar al localizarlas en una de tres clasificaciones
o categorías: Peligros naturales (como son las
inundaciones), accidentes (derrames químicos) o actos
intencionales (terrorismo doméstico o internacional).
Las vulnerabilidades son mas fácilmente identificadas
al entrevistar empleados que trabajan desde hace
tiempo en la instalación, supervisores y gerentes en
la facilidad, por medio observación y inspección en
situ, por revisión de documentos y, en el caso de
hardware o electrónica, por medio de llevar a cabo
pruebas que han sido diseñadas para destacar la
vulnerabilidad y descubrir debilidades o fallos en el
diseño o en el sistema. Ejemplos serían como un
sistema de llaves no actualizado, la introducción de un
virus de computador Los ratas de índices de
ocurrencia y probabilidades son mejor desarrollados,
por medio de los reportes de ocurrencia o reportes
de incidentes, en caso de que existan datos
históricos. Cuando la información no existe, podría
ser necesario reconstruirlos. Esto puede ser cumplido
por medio de entrevistas con personas que conozcan
o basado en la proyección de datos basados en
predicción, soportados por estudios en industrias y
facilidades parecidas.
VALORACIÓN DE LA EXPOSICIÓN AL RIESGO Antes que
se pueda considerar cualquier acción correctiva, es
necesario hacer una valoración exhaustiva de la
exposición al riesgo. Para lograrlo es esencial que
tres factores sean identificados y evaluados en
términos cuantitativos. El primero es determinar los
tipos de pérdida o riesgo (perfiles) que pueden
afectar los activos involucrados. Ejemplos de eso
pueden ser el fuego, inundación, hurto, robo o
secuestro. Si uno de estos ocurriera (por ahora
consideraremos que ocurren uno a la vez, no al
mismo tiempo o múltiples ocurrencias) ¿Qué efecto
tendría el cese de operaciones sobre la compañía?.
Por ejemplo, si documentos vitales fueran destruidos
por fuego o inundación ¿Cuál sería el efecto sobre la
capacidad de la compañía para continuar en
operación?. Hay un dicho común de los profesionales
de protección “Uno puede sobrevivir un hurto, pero
un buen fuego podría sacarlo del negocio para
siempre”. Si el Oficial Ejecutivo en Jefe, en un viaje
al extranjero, fuera secuestrado por un grupo
terrorista (o sufrir un ataque al corazón serio), ¿Quién
tomaría las decisiones día a día en su ausencia? ¿Y
acerca de la revelación no autorizada de secretos
comerciales y otros datos de propiedad?. Después de
que todo (o como sea posible) las potenciales
exposiciones al riesgo sean identificadas, uno debe
proceder a evaluar aquellas amenazas, que podrían
ocurrir, podrían producir pérdidas en términos
cuantitativos - fuego, cortes de luz, inundación,
terremoto, y empleados deshonestos o no éticos -
por nombrar unos pocos factores que valen la pena
considerar. Para hacer esto procederemos con el
segundo factor: estimar la probabilidad de ocurrencia.
¿Cuáles son las probabilidades de que los riesgos
identificados puedan llegar a ser realidad?. Para
algunos riesgos, estimar las probabilidades puede ser
relativamente sencillo. Esto es especialmente cierto
cuando tenemos datos históricos documentados sobre
problemas identificados. Por ejemplo, ¿Cuántos casos
de hurtos internos y externos han sido investigados
en el último año?. Otros riesgos son más