Este artículo será publicado en la Revista Estrategas Número 191.
Seguridad es un término que tiene múltiples acepciones, y que se usa en cuestiones empresarias, sociales políticas, etc. En el contexto de la gestión de riesgos, cuando hablamos de seguridad, y siendo uno de los temas más relevantes, nos referimos al impacto de eventuales accidentes o maniobras dolosas sobre las personas o los activos relacionados con la organización. Por lo tanto, el capítulo de riesgos de seguridad no puede faltar en ningún mapa de riesgo de cualquier organización.
Para poder realizar una adecuada gestión de estos riesgos, es importante que sepamos identificar bien las causas (accidentes y/o acciones delictivas) y los efectos en las personas o en los activos.
Las Causas
El evento que causa un problema de seguridad puede ser relacionado con un accidente o con una maniobra dolosa. En primer lugar, puede ser debido a un hecho fortuito, o causado por una conducta negligente de alguna persona, que puede ser de la organización o externa a ella. Y en segundo lugar, puede suceder por un acto delictivo que tenga el objetivo de causar un daño económico, material, o en la integridad de las personas. Esta distinción es importante ya que, tanto los determinantes de los riesgos como sus estrategias de mitigación, son muy diferentes dependiendo de la causa del evento.
También es importante considerar que los eventos que causan un problema de seguridad pueden ocurrir en la sede de la empresa, o fuera de la misma, en ámbitos relacionados con su operación, como por ejemplo, camino al trabajo, o en ámbitos completamente ajenos. En cada uno de estos casos el impacto es diferente, pero en ninguno es nulo. Lo importante de considerar todas estas posibilidades es que la gestión de estos riesgos difiere notablemente en cada una de las distintas situaciones dado que los determinantes son diferentes, siendo su identificación más o menos compleja, y obviamente, los mitigantes también serán distintos.
Es muy importante ver las posibles implicaciones de eventos que parecen estar fuera de la órbita del mapa de riesgo de la empresa, sobre todo cuando estos la impactan de manera importante. A modo de ejemplo, vale considerar el caso de un accidente de un gerente de la empresa durante sus vacaciones en el exterior. A priori alguien podría pensar que éste no es un tema para el mapa de riesgo de la empresa, sin embargo, la falta temporal o permanente de la persona y sus conocimientos, puede ser un problema importante en la organización por lo que es un evento que no se puede dejar de considerar en el mapa de riesgo.
Los Efectos
Es importante diferenciar los efectos que puede tener un evento de seguridad para poder gestionarlo de manera adecuada. Un primer nivel de análisis diferencia impactos graves respecto de impactos leves. Por otro lado, es fundamental diferenciar el impacto comprendiendo bien donde se manifiesta. Comenzaremos por analizar el impacto en las personas, en el que debemos diferenciar efectos sobre empleados respecto de personas ajenas a la organización, ya que el nivel de posible control, gestión y responsabilidad es diferente.
El otro gran capítulo es el de los efectos en los activos de la empresa, que pueden clasificarse en físicos e intangibles. Estos últimos, normalmente datos, pueden ser de la empresa o de terceros. Los activos físicos se pueden, a su vez, clasificar en bienes de uso o bienes de cambio (o mercaderías). El evento de seguridad, además, puede ocurrir tanto dentro de la empresa como fuera de la misma.
Cada uno de estos posibles casos presenta una problemática diferente que deberemos tener en cuenta en la gestión de los riesgos de seguridad de activos y personas, y cuyo abordaje también dependerá de su propia naturaleza.
Un último tema a considerar es el de qué aspecto de la empresa se va a ver afectado por el riesgo. En algunos casos afecta el flujo de fondos con su consiguiente potencial impacto en el valor de la empresa, en otros casos afectará la capacidad de operar de la organización, en otros el impacto se verá reflejado en la reputación, con el consiguiente deterioro de la relación con algunos de los stakeholders, etc. Para poder diseñar políticas de mitigación adecuadas, es crucial saber diferenciar que aspecto de la organización queremos proteger.
Determinantes y Mitigantes
Diferentes tipos de riesgo de seguridad pueden tener distintos determinantes. Claramente el riesgo de accidentes en la operación de maquinaria tiene determinantes como: (i) la capacitación del personal, (ii) las horas de trabajo acumuladas en la jornada, (iii) el descontento de los operarios que los hace trabajar a desgano, (iv) el mantenimiento de la maquinaria, (v) la antigüedad de las máquinas, (vi) las políticas (o la falta de ellas) de seguridad, (vii) el layout de la planta, etc. Estos determinantes nos marcan claramente las políticas de mitigación: (i) capacitación a los operadores de maquinarias, (ii) límite de horas trabajadas sin descanso, (iii) mejores políticas de recursos humanos, (iv) mejor mantenimiento de la maquinaria, (v) política de amortización y reemplazo de los equipos, (vi) desarrollo de normas de seguridad, o (vii) cambios en los layout de planta que ayuden a minimizar la probabilidad de accidentes. Ahora bien, este análisis es correcto para eventos de accidentes en maquinarias, pero completamente irrelevante para eventos de seguridad relacionados con robos o atentados. Cada uno de los eventos de riesgo de seguridad es un capítulo aparte, que incluso, suele o puede ser manejado por diferentes grupos de personas en la organización. Un ejemplo de esto es el riesgo de seguridad de datos y activos intangibles, el llamado “cyber risk”, que suele depender de IT y es completamente diferente de los riesgos mencionados en los párrafos anteriores.
Para poder abarcar un temario tan extenso y diverso, preparamos la Tabla 1, que presentamos a continuación, que es un intento de esquematizar en una única herramienta todos los temas debatidos en el análisis de los riesgos de seguridad de una organización. Como todo esquema es una simplificación, pero nos permite ver en un pantallazo, todas las aristas del riesgo de seguridad para hacer un rápido chequeo, y corroborar que no estamos olvidándonos de considerar algún aspecto importante.
Tabla 1. Resumen Esquemático de Seguridad en Personas y Activos
Cada casillero de la tabla presenta un capítulo entero de los riesgos de seguridad de una organización, y como tal, debería tener su propio manual de definiciones de riesgos, sus determinantes y su medición, además de un set de políticas y procedimientos para su gestión y mitigación.
Lo expuesto en este breve artículo, como la mayoría de los temas relacionados con la correcta gestión de los riesgos en una organización, se resume en una adecuada anticipación de los eventuales problemas a considerar. Creemos que es fundamental poner este tema en la mesa y empezar a trabajarlo antes de tener que lamentar no haberlo hecho a tiempo.
