Elementos para administración de Riesgos


La administración de riesgos implica:

1. Un sistema formal para:

- Identificar y/o anticipar, medir y controlar riesgos

- Registrar información

- Monitorear resultados


2. Administración económica: Adoptar medidas cuyo costo sea inferior a sus beneficios por medio de la reducción del costo de las pérdidas o la evitación de pérdidas catastróficas.

3. Establecer responsabilidades para la administración de los riesgos para proveer una defensa contra su eventual materialización.

IDENTIFICACIÓN Y MEDICIÓN DE RIESGOS

Son varias las razones para emprender la medición de riesgos:

a) PARA TOMA DE DECISIONES DE ASUMIR RIESGOS:

- Es el riesgo muy grande en relación con su probable beneficio?

- Involucra demasiada incertidumbre como para aceptar su manejo?

b) PARA TOMA DE DECISIONES DE CONTROL DE PÉRDIDAS:

- Cómo puede ser controlado el riesgo?

- Cuánto puede costar su control?

- De qué manera puede afectar la actividad de control de pérdidas el costo probable de una pérdida?

c) PARA TOMA DE DECISIONES FINANCIERAS:

- Cuánto puede costar una pérdida determinada?

- Cuál es la mejor manera de asumir el costo financiero de una pérdida?

- Para aquellos riesgos asegurables, como se compara el costo del seguro con el costo estimado de la pérdida?

- Cuanta cobertura de seguros necesito?

1. DEFINICIONES Y GLOSARIO DE TÉRMINOS

Para dar inicio a un proceso formal de identificación y cuantificación de riesgos debe procederse de una manera ordenada y sistemática, preparando el esquema general del trabajo. La primera necesidad es la de definir un conjunto de términos, los cuales van a ser utilizados en el transcurso de la labor y cuyo significado deberá ser comprendido y aceptado de manera unánime por las personas que participen en el trabajo. A continuación se presentan algunos de los términos de más común utilización en los procesos de cuantificación de riesgos.

AMENAZA: Es la percepción que se tiene de un peligro. Se trata de un proceso mental de cada individuo y su grado de percepción dependerá exclusivamente de la cantidad de información de que disponga la persona que la percibe. Sobre las amenazas es imposible desarrollar algún tipo de trabajo de administración corporativa.

RIESGO: Se definió anteriormente como la posibilidad de que las expectativas positivas esperadas para un sistema ordenado no se realicen. Para efectos de medición, diremos que riesgo es una amenaza cuantificada.

FRECUENCIA: Es la probabilidad de ocurrencia de un evento. La probabilidad es la variable más difícil de medir. La posible cantidad de veces en que un evento se puede materializar no se puede medir en términos absolutos, ni se puede aventurar una notación estadística confiable. Todo lo que puede hacerse es calcular la probabilidad de futuras ocurrencias sobre la base de la información disponible acerca de pasado. La probabilidad determinada de esta manera no puede ser vista mas que como un simple estimativo; pero, en función de la operación de la Ley de los grandes números, mientras mayor sea el número de datos sobre el pasado de la organización, mayor será el grado de confiabilidad de la frecuencia estimada. De esta definición se desprenden dos importantes conclusiones:

Mientras mejores sean los registros que se tengan acerca de pasadas materializaciones de eventos de características similares, mejor será la medición de la probabilidad de recurrencia;

Debido a su escasa ocurrencia en comparación con pequeños incidentes, la información disponible acerca de eventos catastróficos es muy limitada, por lo que la medición de la probabilidad de dichos eventos, los cuales deben ser la principal preocupación del administrador de riesgos, siempre tiende a ser la menos exacta.

Cuando se dispone de una base estadística confiable, la frecuencia se expresará en términos probabilísticos, asignándole un número de 0.0 para aquellos eventos de imposible ocurrencia y de 1.0 para los de segura materialización. Si no se dispone de dicha base estadística, deberá entonces asignarse menos importancia a la frecuencia como parámetro y se le asignará una mayor incidencia a la severidad. Para efectos de la construcción de las matrices de riesgos, se clasificará la frecuencia en una escala ascendente de 1 a 4, así:

1. REMOTO

2. POSIBLE

3. FRECUENTE

4. RECURRENTE

Aún si la probabilidad o frecuencia es matemáticamente correcta, no puede de ninguna manera tomarse como un infalible predictor de eventos individuales. La probabilidad de un evento puede sugerir que debe esperarse que ocurra una vez cada cien años, pero no debe darse por sentado que existirá un intervalo exacto de un siglo entre dos de ellos. Es posible que se presenten dos veces en un mismo mes, sin que ello invalide los cálculos sobre su probabilidad.

Las probabilidades pueden entonces ser usadas para fijar prioridades de acción acerca de un riesgo determinado, pero el administrador deberá ser cuidadoso en usarlas para decidir no tomar acción alguna.

SEVERIDAD: Es el grado de afectación de un evento sobre los recursos de una organización. El principal propósito al medir un riesgo es el poder fabricar una escala de los posibles efectos adversos. A partir de ello resulta posible determinar prioridades de acción.

Ver primera parte

Al igual que con la frecuencia, es posible dividir la severidad en cuatro tipos, según su efecto:

1. Insignificante o trivial: Aquellos cuyo efecto puede ser afrontado por la organización como parte de sus actividades normales.

2. Leve o menor: Aquel cuyos efectos pueden ser absorbidos en un solo período contable, si su frecuencia no es muy alta.

3. Grave o mayor: Sus efectos son demasiado grandes como para ser difuminados en un solo período contable; pero pueden serlo en varios períodos sucesivos sin mayores traumas.

4. Catastrófico: Aquellos cuyos efectos pueden amenazar la supervivencia de la organización.

Cuando se refiere al recurso financiero, las divisiones entre estas categorías deberán ser expresadas en términos monetarios. Para evitar su desactualización, se recomienda la utilización de unidades constantes diferentes de la moneda nacional (upacs, salarios mínimos, dólares).

RELACIÓN ENTRE FRECUENCIA Y SEVERIDAD: Existe una clara relación entre estos dos conceptos.

Cuando la probabilidad aumenta, la severidad tiende a disminuir y viceversa. Si bien no se trata de una regla estrictamente invariable, su comportamiento es tan predecible que cuando se tiene la medida de uno de ellos se puede hacer un estimativo de la magnitud del otro.

La medición de la frecuencia no puede divorciarse de la de la severidad, debido en parte a que la información más útil para el administrador de riesgos no debe ser simplemente la probabilidad estadística de que un evento ocurra, sino también la probabilidad de que éste produzca efectos que afecten seriamente a la organización. Por más precisa que sea la determinación de la probabilidad de ocurrencia de un incendio, de nada vale si el modelo no sirve además para comparar entre un pequeño fuego en un depósito de desperdicios y un fuego que destruya toda la planta. Para intentar utilizar la información estadística existente sobre hechos ocurridos en el pasado, para hacer predicciones de probabilidad hacia el futuro, es esencial agrupar la información disponible de acuerdo a los efectos que haya generado. Sería conveniente organizar dichos grupos en términos de sus efectos económicos, estableciendo si las pérdidas generadas para la organización en su actual estado financiero pueden ser consideradas insignificantes, leves, graves o catastróficas. Estas clasificaciones ayudarán a decidir la prioridad de atención de cada riesgo analizado.







Resulta conveniente también dar inicio a la configuración de una base de datos confiable sobre accidentes o incidentes que hayan afectado a la organización. Deberá establecerse un sistema completo de reportes que permita aprender de las experiencias pasadas y servir de ayuda para predecir las probabilidades futuras. Para lograr lo anterior deberá hacerse uso de cualesquiera de los métodos estadísticos de cuantificación.

Como ya se mencionó, existe una tendencia inversa entre la frecuencia y la severidad, de tal modo que la mayoría de los riesgos de alta frecuencia se calificarán como insignificantes o leves, mientras que la probabilidad de materialización de grandes riesgos tiende a ser muy pequeña.

EMPRESA: Sistema ordenado para la utilización de recursos de manera coordinada, orientado a la obtención de un objetivo definido.

RECURSO: Conjunto de elementos o personas de las cuales se dispone para el logro de un objetivo. Los recursos de una empresa suelen ser: Humano, financiero (planta y equipo), información, imagen corporativa y medio ambiente.

ADMINISTRACIÓN INTEGRAL DE RIESGOS: Conjunto de actividades de identificación, evaluación y manejo de riesgos, que permite planificar los recursos organizacionales, logísticos, técnicos y financieros necesarios para implementar estrategias de prevención, protección, control, atención y transferencia de riesgos, con el fin de minimizar su probabilidad de ocurrencia, disminuir la severidad de sus consecuencias y emprender acciones que permitan recuperar el equilibrio operativo y financiero ante la eventual materialización de los mismos.

2. DETERMINACIÓN DE LAS PÉRDIDAS MÁXIMAS ESTIMADAS

Las estimaciones de severidad de un riesgo para efectos de su administración deben estar claramente diferenciadas de las mediciones y cálculos de sumas aseguradas para efectos de contratación de pólizas de seguro, las cuales se realizan en el contexto de las coberturas existentes, las exclusiones, los deducibles pactados y todas las condiciones particulares aplicables a dichos contratos.

Para tratar de estimar adecuadamente la potencial severidad de la materialización de un riesgo, todas sus consecuencias, tanto directas como indirectas, deberán ser tomadas en consideración. Más aún, ciertos daños a la propiedad pueden causar también la interrupción de los negocios o la generación de responsabilidad ante terceros, de modo que calcular la total severidad posible de un riesgo deberá considerar también estos aspectos. Las dos principales preguntas que deben ser respondidas son:

1. Cuál es el máximo valor agregado de pérdidas que pueden derivarse de un evento o de una serie de eventos relacionados?


2. Cuál es el mínimo de recursos que la organización necesitará inmediatamente después de materializado un riesgo, para poder continuar con el cumplimiento de sus objetivos?

El cálculo de pérdidas potenciales normalmente requiere de la asistencia de expertos en varias áreas, como contadores, ingenieros, auditores, arquitectos, avaluadores, abogados y expertos en seguros, entre otros. No se trata de una labor que pueda ser llevada a cabo por un administrador de riesgos, sin ayuda externa.

Ver primera parte

Ver segunda parte

MEDICIÓN DE PÉRDIDAS POTENCIALES: En general, el acercamiento a la medición de pérdidas, desde el punto de vista de los seguros, se basa en la determinación del costo de reposición o remplazo de la propiedad dañada o perdida; pero el administrador de riesgos estará mas interesado en determinar el costo de recuperar la normalidad en la organización y el normal flujo de ingresos que permita cumplir con los objetivos de la corporación. Visto de esta manera, el remplazo o reposición de activos dañados o perdidos no es necesariamente el mejor (o el único) curso de acción. Por ejemplo. Una empresa generadora de electricidad estará mas interesada en adquirir energía para cumplir con sus compromisos de entrega inmediatamente después de un siniestro, que en recuperar la capacidad de generación.

El reemplazo normalmente será la forma mas efectiva de manejar pérdidas de materias primas, productos en proceso o productos terminados; y su valor para propósitos de administración de riesgos será el costo de remplazarlos por otros iguales, mas los costos incurridos en las demoras de recuperación. Aquellos bienes imposibles de remplazar o reponer deberán ser valorados por el valor presente de los futuros ingresos que ellos representan; aunque es mas aconsejable eliminar esta condición de irremplazables, duplicando dichos bienes, manteniendo adecuadas reservas o cambiando las prácticas de producción.

Determinar el valor para bienes de capital resulta ser un poco mas complicado. El costo que tiene para la organización el ser privada de dichos bienes puede variar en gran medida. Para poder proponer un adecuado sistema de administración de riesgos, es preciso considerar qué tipo de acciones deberán ser tomadas en el evento de su materialización; en otras palabras, para cada caso deben desarrollarse adecuados planes de contingencia. Uno de los mas importantes beneficios de la administración de riesgos por medio de la medición de severidad es el descubrimiento de aquellas áreas en las cuales es necesario contar con un plan de acción en caso de desastres.

Como cada curso de acción tiene diferente costo para la empresa, el cual deberá estar acorde con la gravedad de la situación que se presente.

Las amenazas a operaciones o bienes específicos de la organización no deben ser consideradas de manera aislada. Siempre deberá pensarse qué mas puede resultar dañado o perdido al mismo tiempo; y cuando una probable combinación de pequeños incidentes puede degenerar en una gran interrupción de las operaciones de una empresa, o en serias responsabilidades legales.

Los potenciales riesgos de responsabilidad son particularmente difíciles de cuantificar. Cuando el daño afecta a la propiedad, la magnitud del problema normalmente se encuentra limitado por:

- Límites claros de responsabilidad definidos por ley, costumbre de negocios o marcos contractuales;

- La posibilidad de determinar de manera ajustada el valor total de la propiedad de otros susceptible de ser afectada por eventos generados en nuestras instalaciones;

- El estimativo del valor de las propiedades de terceros en las cuales realicemos algún tipo de actividad.

Cuando se presentan lesiones personales, ya sea a empleados, visitantes o a terceras personas, el problema es mucho mayor, dado que cada caso es considerado como único y estará determinado por las cortes. En teoría, el límite será el total de los bienes de la organización.

PÉRDIDAS POR INTERRUPCIÓN DE NEGOCIOS: Cualquier interrupción en las operaciones de una organización implica un costo, pero una empresa que cuente con adecuados planes de contingencia y que además conozca los pasos adecuados para minimizar el efecto y la duración de una interrupción estará mejor preparada para determinar el verdadero costo de dicha interrupción; ya sea causada por eventos ocurridos en el interior de la misma o por la imposibilidad de los proveedores para entregar suministros o la incapacidad de los clientes para recibir los productos elaborados.

Este costo estará conformado por:

1. La pérdida de utilidades derivada de la disminución de ingresos Durante la parálisis;

2. El costo adicional incurrido para mantener las operaciones;

3. Los costos adicionales para reducir el período de anormalidad.

El monto de los costos adicionales en los que se tenga que incurrir dependerá del tipo de organización, la naturaleza y competitividad del mercado y la exclusividad de su producto. Los cálculos normales de costo/beneficio pueden aplicarse a este ejercicio; pero cuando la ausencia temporal del mercado puede traducirse en una pérdida permanente de posición o cuando el objeto de la organización es el de proveer un importante servicio público, puede resultar obligatorio incurrir en costos que resulten antieconómicos en el corto plazo.

Fuente: http://www.auditool.org/index.php?option=com_content&view=article&id=712:elementos-para-administracion-de-riesgos&catid=39:trip-deals&Itemid=56

Comentarios

Publicar un comentario

siempre es bueno, leer tus comentarios

Entradas populares de este blog

¿Como atacar Kerberos?

Introducción En este artículo de Kerberos, se mostraran algunos ataques contra el protocolo. En caso de necesitar refrescar los conceptos en que se basan estos ataques, se recomienda leer primero la primera parte sobre teoría de Kerberos . El post se divide en una sección por ataque: Kerberos brute-force ASREPRoast Kerberoasting Pass the key Pass the ticket Silver ticket Golden ticket Los ataques están ordenados por el nivel de privilegios necesarios para realizarlos, de manera ascendiente. De este modo, para llevar a cabo los primeros ataques solo hace falta tener conectividad con el DC (Domain Controller), que en el caso de AD (Active Directory) es también el KDC (Key Distribution Center). Sin embargo, el último de los ataques requiere que se posean privilegios de Domain Administrator o similares. Como añadido, cada ataque se mostrará desde la perspectiva de 2 escenarios comunes: Máquina Linux : Desde un ordenador externo al dominio, controlado por el audito
Leer más

El Modelado de Amenazas de Seguridad

Imagen
El Modelado de Amenazas de Seguridad es un proceso para la evaluación y documentación de los riesgos de seguridad de un sistema. El Modelado permite comprender el perfil de amenazas a las que está expuesto un sistema, mediante una evaluación a través de los ojos de sus potenciales enemigos. Con técnicas tales como la identificación de puntos de entrada, fronteras de privilegios y árboles de amenazas, se pueden identificar estrategias para mitigar las posibles amenazas del sistema. El Modelado de Amenazas también permitirá la justificación de la implementación de las características de seguridad dentro de su sistema, o las prácticas de seguridad para utilizarlo, para la protección de los activos de la empresa. En el mundo de componentes distribuidos el compartir datos sensibles a través de las redes a significado un aumento de la exposición a los atacantes hambrientos por sus datos. Necesita crear un modelo de seguridad firme para beneficiarse de la visión de .NET de una informática tot
Leer más

MPLS vs. Ethernet: ¿Qué opción de conectividad WAN es mejor?

Nota editorial: La comparativa entre MPLS vs. Tecnología Ethernet ayuda a los ingenieros IT a evaluar las ventajas e inconvenientes de MPLS y Ethernet en cuanto a conectividad WAN. Las dos opciones más populares de conexión en área ancha (WAN) son MPLS y Carrier Ethernet. Los servicios MPLS se refieren a la Capa 3 de los servicios MPLS de VPN, mientras que los servicios de Carrier Ethernet incluyen los servicios de LAN virtual privada (VPLS) Gigabit y metro Ethernet. Dependiendo de dónde (o con qué) quiera conectarse su empresa, ya sea una sucursal alejada de su sede o un sitio de copia de seguridad, algunos servicios WAN ofrecen opciones más beneficiosas que otras. En este artículo consideramos las ventajas de usar conectividad Ethernet sobre WAN. Para ayudar a las empresas a analizar las diferencias entre estas opciones, la siguiente tabla comparativa de MPLS y Ethernet ofrece un resumen de las ventajas e inconvenientes de cada conectividad WAN: MPLS y Ethernet para WAN Cost
Leer más