indiferencia entre resultados actuales y resultados esperados. o a la probabilidad de que ocurra o ocurrira. no confundir riesgos con riesgos medioambientales, que son la causa de riesgos y son como por ejemplo, incendios, iniundaciones y terremotos. generalmente se clasifican como riesgo especulativa, la diferencia entre perdidas o ganancias, ejemplo apostar. riesgo puro: una situación de perdida o no perdida que se aplica generalmente al seguro. tres categorias comunes del riesgo 1. personal ( pertenecientes a bienes que son personas) 2. propiedad (pertenecientes a bienes materiales) 3. responsabilidad ( responsabilidades legales que pueden afectar a cada una de las anteriores descritas. QUE ES EL ANALISIS DEL RIESGO? El análisis del riesgo es una herramienta de gestión cuyos patrones para medir están determinados por lo que la Gerencia estima aceptable con respeto a pérdidas actuales. Para proceder de forma lógica y realizar un análisis del riesgo, es necesario llevar a cabo de antemano algunas tareas básicas: Identificar los bienes que necesitan protección (dinero, productos manufacturados y procesos industriales, por nombrar unos pocos) Identificar los tipos de riesgos que pueden afectar los bienes involucrados (secuestro, extorsión robo interno, robo externo, incendio o terremoto). Determinar la probabilidad de ocurrencia del riesgo. Recuerde esta regla: Nada es 100% seguro. Determinar el impacto o el efecto si el incidente ocurre en dólares de ser posible. Discutiré estos temas con más detalle más adelante en este capítulo en la sección titulada “Evaluación de la Exposición al Riesgo”. Algunos eventos o clases de riesgos con los que los negocios y la industria están más comúnmente interesados son los siguientes: Catástrofes naturales (tornados, huracanes, terremoto, erupción volcánica, actividad sísmica, inundación). Desastre industrial (explosión, derrame químico, colapso estructural, y fuego). Desorden Civil (sabotaje, violencia laboral y amenaza de bomba). Terrorismo doméstico e internacional. Criminalidad (robo, hurto, desfalco, malversación, fraude, espionaje industrial, hurto interno y secuestro). Conflicto de interés (sobornos, información privilegiada y prácticas de negocio no éticos). Ataque nuclear o accidente (Three Mile Island) El autor reconoce que algunos de los hechos (riesgos) son improbables que ocurran. También, algunos son menos críticos para una empresa o comunidad que para otras si ocurren (fuego contra hurto). Sin embargo, todos son posibles y son así merecedores de consideración. QUE ES ANALISIS DE LA EVALUACIÓN DEL RIESGO? El análisis de la evaluación del riesgo es una técnica racional, ordenada y una solución comprensiva de la identificación del problema y de la determinación de la probabilidad. También es un método para estimar las pérdidas anticipadas o esperadas como resultado de la ocurrencia de un evento adverso. La palabra clave aquí es estimación porque el análisis del riesgo nunca será una ciencia exacta, estamos discutiendo probabilidades. No obstante, la respuesta a la mayoría, sino a todas, las preguntas sobre las debilidades en la seguridad de cualquiera pueden lograrse por medio de un análisis detallado de la evaluación del riesgo. ¿QUE PUEDE HACER EL ANALISIS DEL RIESGO PARA LA GERENCIA? El análisis del riesgo provee a la gerencia información sobre la cual se basan las decisiones, tal como: ¿Es siempre mejor prevenir la ocurrencia de una situación?, ¿Es esto siempre posible? La política: ¿debería la política de la empresa incluir el efecto que pudiera tener una situación peligrosa? ¿Es suficientemente simple reconocer que existe una potencial adverso y de momento no hacer nada más que ser consciente del peligro? ( la analogía está siendo asegurada en sí misma). El objetivo final del análisis del riesgo es lograr el equilibrio económico entre el impacto de riesgo sobre el negocio y el costo de las medidas de protección y prevención. Un análisis del riesgo llevado a cabo correctamente tiene muchos beneficios, unos pocos de los cuales son: El análisis mostrará la postura de la seguridad actual (perfil) de la organización. Destacará aquellas áreas donde se necesita más (o menos) seguridad. Ayudará a reunir algunos de los hechos necesarios para desarrollar y justificar contramedidas (preventivas) costo-efectivas. Servirá para incrementar la conciencia de seguridad para confirmar y reportar, las fortalezas y debilidades en todos los niveles de la organización desde la Gerencia hasta operaciones. El análisis el riesgo no es una tarea que se haga de una vez para siempre. Debe ser repetido periódicamente para mantenerse al día en los cambios en la misión, instalaciones y equipo. Además, ya que las medidas de seguridad diseñadas en la concepción de un sistema son generalmente más eficaces que las que se imponen posteriormente, al análisis del riesgo debe estar en el lugar del diseño o en las fases del edificio de cada nueva facilidad. Desafortunadamente, rara vez esto es así. Uno de los mayores recursos que se requiere para hacer un análisis del riesgo es el personal entrenado. Por esta razón, el primer análisis debe ser el más costoso debido a que los análisis subsecuentes pueden apoyarse en parte sobre el trabajo anterior: el tiempo para hacer un estudio será menor debido a la experiencia y el conocimiento empírico adquirido. El tiempo disponible para llevar a cabo el análisis del riesgo debe ser compatible con sus objetivos. Las instalaciones grandes que tienen operaciones complejas, con muchos turnos y muchos archivos de datos, va a requerir más tiempo que otras con un turno y una producción limitada. Resultados significantes deben esperarse, la Gerencia debería estar dispuesta a comprometer los recursos necesarios para cumplir con esta tarea. Es mejor demorar o aun abandonar el proyecto a menos que o hasta que los recursos necesarios estén disponibles para completarlo apropiadamente. EL PAPEL GERENCIAL EN EL ANALISIS DEL RIESGO El éxito de realizar cualquier análisis del riesgo dependerá fuertemente del papel jugado en el proyecto por la Gerencia. La Gerencia debe apoyar el proyecto y expresar este apoyo a todos los niveles de la organización. La Gerencia debe delinear el propósito y el alcance del análisis del riesgo. Debería seleccionar un equipo calificado y delegar formalmente la autoridad. Finalmente la Gerencia debe revisar los resultados del equipo y decidir cuales recomendaciones debe implementar y establecer el orden de prioridades para esta implementación. El personal que no está implicado directamente en el proceso del análisis debe estar dispuesto a proveer información y ayuda a los que llevan a cabo el análisis y además, obrar en su actividad de acuerdo a cualquier procedimiento y limitación que pudiera resultar de la actividad del estudio. La Gerencia no debe dejar ninguna duda de que es su intención confiar en el producto final y que basará sus decisiones sobre seguridad en los resultados del equipo del análisis del riesgo. Hay que definir el alcance del proyecto y la declaración del alcance debería específicamente explicar en detalle los parámetros, limitaciones y profundidad del análisis. Muchas veces es igualmente importante especificar lo que no debe cubrir el análisis. Esto servirá para eliminar cualquier malentendido al principio en el inicio del ejercicio. Un ejemplo puede ser la exclusión del estudio de seguridad, la parte de seguridad industrial y evaluación de procedimientos en un hospital. En este momento quizá sería conveniente definir y explicar dos otros términos que a veces se intercambian con el de riesgo. Estos son: amenazas - cualquier cosa que podría afectar negativamente al negocio o a los bienes, y vulnerabilidad - debilidades, fallas, como son los agujeros en las mallas o eventualmente cualquier cosa que puede ser concebida para aprovecharlo como una amenaza. Las amenazas son mas fáciles de identificar y organizar al localizarlas en una de tres clasificaciones o categorías: Peligros naturales (como son las inundaciones), accidentes (derrames químicos) o actos intencionales (terrorismo doméstico o internacional). Las vulnerabilidades son mas fácilmente identificadas al entrevistar empleados que trabajan desde hace tiempo en la instalación, supervisores y gerentes en la facilidad, por medio observación y inspección en situ, por revisión de documentos y, en el caso de hardware o electrónica, por medio de llevar a cabo pruebas que han sido diseñadas para destacar la vulnerabilidad y descubrir debilidades o fallos en el diseño o en el sistema. Ejemplos serían como un sistema de llaves no actualizado, la introducción de un virus de computador Los ratas de índices de ocurrencia y probabilidades son mejor desarrollados, por medio de los reportes de ocurrencia o reportes de incidentes, en caso de que existan datos históricos. Cuando la información no existe, podría ser necesario reconstruirlos. Esto puede ser cumplido por medio de entrevistas con personas que conozcan o basado en la proyección de datos basados en predicción, soportados por estudios en industrias y facilidades parecidas. VALORACIÓN DE LA EXPOSICIÓN AL RIESGO Antes que se pueda considerar cualquier acción correctiva, es necesario hacer una valoración exhaustiva de la exposición al riesgo. Para lograrlo es esencial que tres factores sean identificados y evaluados en términos cuantitativos. El primero es determinar los tipos de pérdida o riesgo (perfiles) que pueden afectar los activos involucrados. Ejemplos de eso pueden ser el fuego, inundación, hurto, robo o secuestro. Si uno de estos ocurriera (por ahora consideraremos que ocurren uno a la vez, no al mismo tiempo o múltiples ocurrencias) ¿Qué efecto tendría el cese de operaciones sobre la compañía?. Por ejemplo, si documentos vitales fueran destruidos por fuego o inundación ¿Cuál sería el efecto sobre la capacidad de la compañía para continuar en operación?. Hay un dicho común de los profesionales de protección “Uno puede sobrevivir un hurto, pero un buen fuego podría sacarlo del negocio para siempre”. Si el Oficial Ejecutivo en Jefe, en un viaje al extranjero, fuera secuestrado por un grupo terrorista (o sufrir un ataque al corazón serio), ¿Quién tomaría las decisiones día a día en su ausencia? ¿Y acerca de la revelación no autorizada de secretos comerciales y otros datos de propiedad?. Después de que todo (o como sea posible) las potenciales exposiciones al riesgo sean identificadas, uno debe proceder a evaluar aquellas amenazas, que podrían ocurrir, podrían producir pérdidas en términos cuantitativos - fuego, cortes de luz, inundación, terremoto, y empleados deshonestos o no éticos - por nombrar unos pocos factores que valen la pena considerar. Para hacer esto procederemos con el segundo factor: estimar la probabilidad de ocurrencia. ¿Cuáles son las probabilidades de que los riesgos identificados puedan llegar a ser realidad?. Para algunos riesgos, estimar las probabilidades puede ser relativamente sencillo. Esto es especialmente cierto cuando tenemos datos históricos documentados sobre problemas identificados. Por ejemplo, ¿Cuántos casos de hurtos internos y externos han sido investigados en el último año?. Otros riesgos son más