30

Gerenciadores de Sguridad - … · tratamiento del riesgo es a través de la siguiente matriz, que parte de valores calculados de acuerdo al Método Mosler: Mitigar: Se

  • Upload
    tranque

  • View
    216

  • Download
    0

Embed Size (px)

Citation preview

Page 1: Gerenciadores de Sguridad - … · tratamiento del riesgo es a través de la siguiente matriz, que parte de valores calculados de acuerdo al Método Mosler: Mitigar: Se
Page 2: Gerenciadores de Sguridad - … · tratamiento del riesgo es a través de la siguiente matriz, que parte de valores calculados de acuerdo al Método Mosler: Mitigar: Se

68

CAPÍTULO III

EFICIENCIA : PLANIFICACIÓN

PLANIFICACIÓN TÁCTICA Parte II

Page 3: Gerenciadores de Sguridad - … · tratamiento del riesgo es a través de la siguiente matriz, que parte de valores calculados de acuerdo al Método Mosler: Mitigar: Se

69

4a. Fase: Tratamiento o Mitigación de Riesgos Todo el análisis y evaluación de riesgos no tendría sentido si no concluyera con una estrategia de mitigación de esos riesgos. Si tuviéramos que definir a la mitigación de riesgos diríamos que son las: “Medidas de Prevención y Protección, tendientes a impedir la ocurrencia de riesgos, eliminarlos o minimizarlos” Las preguntas que identifican al proceso de mitigación de riesgos son las siguientes: 4. Qué podemos hacer? (mitigación del riesgo) 5. Cuánto nos costará? (presupuesto de mitigación) 6. Cuál será el costo-beneficio? (costo del riesgo)

I. Matríz de Mitigación La mitigación debe pre-programarse de acuerdo a algún criterio planificado, para evitar tener que requerir autorizaciones e inversiones, sobre todo en los riesgos intolerables y sustanciales, de acuerdo con la clasificación de los riesgos a ser mitigados, que hace la Unión Europea (Guía UNE 81905:1997) y que pasamos a graficar:

En tal sentido la planilla siguiente determina el grado de mitigación necesaria en cada caso.

Page 4: Gerenciadores de Sguridad - … · tratamiento del riesgo es a través de la siguiente matriz, que parte de valores calculados de acuerdo al Método Mosler: Mitigar: Se

70

De esta forma se puede desarrollar una modelización de la respuesta en base a la siguiente matriz:

Otro criterio de mitigación programada teniendo en cuenta prioridades en el tratamiento del riesgo es a través de la siguiente matriz, que parte de valores calculados de acuerdo al Método Mosler:

Mitigar: Se deben implementar medidas para mitigar el riesgo Considerar: Se deben analizar medidas para mitigar o aceptar el riesgo Documentar: Se deben documentar para próximas revisiones o considerarse su

instrumentación si son de bajo costo o lesivos como el caso de eventos de alta frecuencia.

Nivel aceptable de Riesgo y Riesgo Residual

A esta altura del proceso de análisis de riesgos determinaremos entonces cual es el nivel de riesgo que debe ser mitigado y aquel que resulte aceptado o tolerado, por considerar inconveniente una intervención para su reducción. Para ello compararemos el valor de exposición real y el valor definido como nivel aceptable de riesgo (tipo de riesgo a partir del cual la empresa invertirá esfuerzos y recursos para adoptar acciones de prevención o de protección, para minimizar ese riesgo).

Page 5: Gerenciadores de Sguridad - … · tratamiento del riesgo es a través de la siguiente matriz, que parte de valores calculados de acuerdo al Método Mosler: Mitigar: Se

71

Ese nivel de aceptabilidad del riesgo debiera ser definido en cada caso por la alta dirección, que siempre estará en mejores condiciones de analizar en forma estratégica e integral el riesgo y su grado de impacto en las operaciones y la reputación de la compañía.

En cada caso la alta dirección deberá definir a la Dirección de Seguridad si, por ejemplo, un riesgo trivial o tolerable es aceptable, de acuerdo con la clasificación descripta anteriormente y detallada en el Anexo IX.

Los riesgos bajos o aceptables deben ser documentados y controlados periódicamente para asegurar que se mantienen en ese nivel. Hay que tener en cuenta que el riesgo cero es una utopía, ya que la inversión para llegar ese umbral por lo general resulta inconveniente teniendo en cuenta una ecuación costo-beneficio.

Por ello si el valor del riesgo es mayor al aceptable recomendaremos una medida de

mitigación distinta de la actual.

Finalmente calculamos el “riesgo neto o residual”, que resulta de la relación entre el grado de manifestación de los riesgos inherentes y la gestión de mitigación de riesgos establecida por la administración. A partir del análisis y determinación del riesgo residual los administradores pueden tomar decisiones como la de continuar o abandonar la actividad dependiendo del nivel de riesgos; fortalecer controles o implantar nuevos controles; o finalmente, podrían tomar posiciones de cobertura, contratando pólizas de

seguro. Esta decisión está delimitada a un análisis de costo beneficio y riesgo.

II. Métodos principales en la Gestión de Prevención de Riesgos Como metodología de trabajo para la mitigación aplicaremos los conocidos cinco métodos de la gestión de riesgos: a. Eliminación del riesgo Significa abandonar, evitar o eliminar la actividad o remover el blanco por excesivamente riesgoso. Requiere la anulación de la fuente de peligro o de los activos

que intervienen en la actividad. Tengamos en cuenta que evitar inadecuadamente algunos riesgos puede aumentar la significación de otros (por ejemplo, delegar las actividades criticas a terceros mediante la tercerización o seleccionar una opción porque representa un riesgo potencial mas bajo pero no se tiene en cuenta la eficacia y eficiencia de esa opción. Esta opción de eliminación se aplica si el riesgo es insoportable para la empresa, pero como contrapartida puede conducir a la pérdida de oportunidades para obtener beneficios.

Page 6: Gerenciadores de Sguridad - … · tratamiento del riesgo es a través de la siguiente matriz, que parte de valores calculados de acuerdo al Método Mosler: Mitigar: Se

72

No siempre la empresa puede evitar riesgos, sobre todo aquellos inherentes a su propia actividad. Un típico ejemplo de eliminación del riesgo de asalto para la empresa, que ocurría en los días de pago de salarios, se puede eliminar bancarizando estos pagos.

b. Reducción del riesgo Minimizar las amenazas y vulnerabilidades a través de fortalecer controles o implantar

nuevos controles. Podemos actuar sobre la reducción de la probabilidad de ocurrencia de los riesgos y/o sobre la minimización del impacto del riesgo. Esto significa que podemos reducir las causas y reducir los efectos del riesgo. Para ello se actúa sobre las causas que originan el riesgo, de forma tal que no se produzcan los efectos adversos del mismo y también se puede actuar en minimizar los efectos de un riesgo. Esta opción de tratamiento de riesgos se abre en dos opciones:

• Cambiar la probabilidad de ocurrencia para mejorar la probabilidad de resultados beneficiosos y reducir la probabilidad de pérdidas. Actuamos sobre amenazas y vulnerabilidades.

• Cambiar las consecuencias para aumentar los beneficios y reducir la magnitud de las pérdidas. Actuamos sobre el impacto de los riesgos.

Reducir la probabilidad de la ocurrencia En este caso actuaremos sobre las fuentes de peligro, los activos y el medio, con medidas preventivas puras. Las acciones pueden consistir en alguna de las siguientes: 1. Programas de auditoria y cumplimiento; 2. Revisiones de requerimientos, especificaciones, diseño, ingeniería y operaciones,

incorporando la prevención en el rediseño;

3. Inspecciones y controles de procesos; 4. Administración de proyectos 5. Mantenimiento preventivo; 6. Sistemas de calidad, administración y estándares; 7. Investigación y desarrollo tecnológico; 8. Capacitación estructurada y otros programas; 9. Supervisión y comprobación; 10. Acuerdos organizacionales; 11. Controles técnicos; 12. Diversificación de suministros; 13. Diversificación de elementos vitales. Las medidas de seguridad pueden actuar sobre los medios materiales (medidas frente al entorno, constructivas, distribución de espacios e instalaciones, equipos de

Page 7: Gerenciadores de Sguridad - … · tratamiento del riesgo es a través de la siguiente matriz, que parte de valores calculados de acuerdo al Método Mosler: Mitigar: Se

73

seguridad), humanos y acciones operativas técnicas como son la formación, inspección, planes de emergencia, etc. Es importante resaltar la influencia recíproca del tratamiento de reducción de riesgos con los de retención y transferencia que hace indispensable una gestión única o estrechamente coordinada de ambas líneas de tratamiento, con el objetivo de encontrar un punto de equilibrio entre ambas.

Reducir las consecuencias Para minimizar la intensidad actuaremos sobre los activos dañados y el medio, se adoptarán medidas asistenciales y reparadoras. Los elementos que podemos utilizar para reducir o controlar las consecuencias pueden incluir: a. Planes de contingencia; b. Planes de recuperación de desastres; c. Barreras de ingeniería y estructurales; d. Planeamiento de control de fraudes; e. Minimizar la exposición a fuentes de riesgo; f. Separación o reubicación de una actividad y recursos; g. Planes de comunicación externa; c. Distribución del riesgo Significa esparcir el riesgo sobre un área lo más extensa posible.

De esta manera obtenemos la distribución espacial del riesgo, es decir, determinamos zonas o superficies con distintos grados de peligrosidad, perfectamente localizadas en el espacio. La distribución del riesgo a lo largo del tiempo establece una clasificación de las distintas épocas de peligro a lo largo del año. De igual manera, podemos distribuir este peligro a lo largo del día, diferenciando entre horas más o menos susceptibles de presentar riesgos. Una forma muy común de distribuir el riesgo está referida al riesgo de incendio. Es una forma de obtener la distribución espacial del riesgo de incendios, es decir, determinamos zonas o superficies con distintos grados de peligrosidad, perfectamente localizadas en el espacio. Hay que evitar que un riesgo se encuentre concentrado, por las consecuencias que un incidente o emergencia pueden producir. Ejemplo: Una forma de distribuir el riesgo fue bancarizar el pago de los salarios a través de una cuenta bancaria que dispone el empleado en un banco.

La empresa ha mitigado así el riesgo de juntar efectivo para pagar sueldos, lo cual generaba una amenaza de asalto sobre los primeros días del mes.

Page 8: Gerenciadores de Sguridad - … · tratamiento del riesgo es a través de la siguiente matriz, que parte de valores calculados de acuerdo al Método Mosler: Mitigar: Se

74

Esta distribución también genera una transferencia de riesgo, en el sentido que ahora son los empleados los que deben ir a cobrar a un banco o cajero, asumiendo el riesgo de sufrir una salidera bancaria. d. Transferencia del riesgo Significa traspasar total o parcialmente el riesgo a otra parte, a un tercero para que soporte o comparta parte del riesgo. Sin embargo la transferencia de un riesgo a otras

partes, o la transferencia física a otros lugares, reducirían el riesgo para una instalación o propiedad, pero puede no disminuir el nivel general del riesgo para una corporación. Los mecanismos de transferencia de riesgos incluyen el uso de contratos comerciales, acuerdos de seguros y estructuras organizacionales (sociedades y joint ventures). Algunos tipos de situaciones pueden ser solucionados mediante la transferencia:

• Cuando el riesgo es demasiado grande para que la organización pueda retenerlo y conservar energía para alcanzar sus objetivos (ej. seguros o transferencia del riesgo a empleados que cobran en el cajero)

• Cuando hay obligación de transferir (ej. política de seguros)

• Cuando la transferencia es la técnica más eficiente para enfrentarse al riesgo, aunque la retención sea posible y no exista obligación de transferir (ej. robo automotor, tercerización, joint venture).

La transferencia de riesgos, puede realizarse mediante estrategias internas o externas.

a) Las estrategias internas (o de protección natural) son aquellas que la empresa

puede poner en práctica a partir de sus propias operaciones. Su principal ventaja radica precisamente en que al ser diseñadas por la propia empresa, permiten una cobertura exacta al riesgo asumido.

b) Las estrategias externas son las que contemplan la transferencia operativa de

cierta parte del riesgo. Por ejemplo la tercerización de la logística o del servicio de vigilancia, son claros ejemplos de transferir a un tercero el manejo de esos riesgos, pero la responsabilidad por los resultados seguirá siendo del contratante. En este caso la contratante ha adquirido un nuevo riesgo y que significa que la subcontratada no pueda administrarlo efectivamente.

En estos casos de transferencia, debemos tener en cuenta la responsabilidad solidaria de la empresa contratante en caso de insolvencia o incumplimientos legales de las empresas subcontratadas. Siempre resultará recomendable exigir a los terceros constancias sobre el cumplimiento legal, fiscal y laboral y los correspondientes seguros

de responsabilidad civil por montos suficientes. La transferencia económica del riesgo se refiere a la reposición de las pérdidas a cargo de una compañía de seguros o a través de productos financieros alternativos.

Page 9: Gerenciadores de Sguridad - … · tratamiento del riesgo es a través de la siguiente matriz, que parte de valores calculados de acuerdo al Método Mosler: Mitigar: Se

75

La diferencia entre una pérdida y un siniestro es que en una pérdida no hay cobertura de un seguro y en cambio si lo hay en un siniestro. Por eso podríamos definir al siniestro como: “Todo aquel suceso o evento dañoso, que ocurre de manera fortuita, súbita e imprevista y que se encuentra cubierto por un contrato de seguro” En este sentido hay que tener en cuenta que al costo de la póliza de seguro habrá que

considerar los costos adicionales de las franquicias que se hubieran definido, si ocurriera un siniestro. Sobre este tema se deben tener presentes las siguientes recomendaciones: I. Definir una política de seguros que se consideren convenientes contratar. De la matriz de riesgos surgirán las prioridades de mitigación y cuales riesgos requieren ser asegurados y en que condiciones particulares de valoración de capitales y combinación con fórmulas de retención, que resultará del diseño de un programa de seguros corporativos. II. Si no existiese se deberá confeccionar un registro de activos, pólizas y siniestros. Deberá estar siempre actualizado y ser apto para cálculos estadísticos de los activos, valores, coste de las pólizas e indemnizaciones y datos de los siniestros ocurridos. III. Se deberá prestar especial atención a la letra chica de las pólizas de forma tal que los responsables de la seguridad cumplan y hagan cumplir los requisitos exigidos por las mismas para garantizarse el pago del siniestro. No existe nada más devastador que el

impago de una póliza por no haberse cumplido requisitos de protección, vigilancia o control exigidos. Por última nos parece interesante abordar la problemática de la transferencia de riesgos operacionales hacia el área de seguridad. En este sentido podríamos definir al riesgo operacional como: “Aquel riesgo que puede dejar a la organización expuesta a pérdidas humanas y patrimoniales inesperadas, a su imagen o reputación y a la marca, por una falla en las operaciones propias del negocio” Es posible que dentro de una organización haya áreas que transfieren riesgos a otras. En tal sentido nos interesa abordar la transferencia de riesgos desde áreas operativas del negocio hacia la seguridad. Los casos son innumerables sin embargo y por razones de brevedad mencionaremos uno de ellos.

Cuando el área de Recursos Humanos, en el proceso de selección de personal, solo tiene en cuenta aspectos de los postulantes vinculados con su formación, conocimientos sobre la tarea y su experiencia y no considera la honestidad e integridad como un

Page 10: Gerenciadores de Sguridad - … · tratamiento del riesgo es a través de la siguiente matriz, que parte de valores calculados de acuerdo al Método Mosler: Mitigar: Se

76

requerimiento indispensable para poder incorporarlos, está colocando en riesgos de pérdidas a la empresa (como lo demuestran estudios y estadísticas en tal sentido) y será el área de seguridad el que deba responder por estos riesgos que han sido transferidos por una falta de prevención en un proceso del área de RRHH. e. Aceptación del riesgo Significa que el riesgo es simplemente aceptado. Esta aceptación puede ser de 2 tipos:

Activa: Cuando la empresa asume el riesgo conscientemente, después de un análisis previo. Pasiva: Cuando la empresa no es consciente de lo que se está reteniendo. Esto sucede si un riesgo no ha sido identificado en la etapa inicial. Luego de que los riesgos hayan sido eliminados, reducidos, distribuidos o transferidos, habrá riesgos residuales que podrán ser retenidos o aceptados. A veces esta aceptación no es potestativa, sino que viene impuesta por la imposibilidad de transferir los mismos. Se deberán proponer planes para administrar las consecuencias de esos riesgos si los mismos ocurrieran, incluyendo identificar el alcance y consecuencias de financiar los mismos con cargo al presupuesto. Los riesgos también pueden ser aceptados involuntariamente cuando se dan errores en identificar o transferir apropiadamente o tratar de otra manera los riesgos.

III. Diseñar las Medidas de Mitigación Una vez determinadas las medidas de prevención y protección, las mismas deberán cumplir algunos requisitos para que sean eficaces. Nos ocuparemos primero de las medidas de prevención y luego de las de protección.

Medidas de prevención “Es cualquier método utilizado para aumentar la probabilidad de controlar los riesgos de delitos y pérdidas”.

Las medidas preventivas y disuasivas deben perseguir minimizar la probabilidad de que un riesgo se materialice. Para ello agruparemos a las principales medidas de acuerdo al propósito perseguido: 1. Reducir o evitar las oportunidades que pueden llevar a un delincuente a cometer un

delito.

Page 11: Gerenciadores de Sguridad - … · tratamiento del riesgo es a través de la siguiente matriz, que parte de valores calculados de acuerdo al Método Mosler: Mitigar: Se

77

2. Incrementar el esfuerzo que el delincuente debe llevar a cabo para poder cometer un delito y el tiempo de perpetración

3. Incrementar el riesgo que el delincuente debe enfrentar para cometer un delito. 4. Reducir los beneficios o recompensas que el delincuente aspira obtener al cometer

un delito. 5. Limitar las excusas que el delincuente puede emplear para “racionalizar” o

justificar sus acciones.

Medidas de protección “Es cualquier método utilizado para minimizar el impacto de un riesgo, al reducir sus consecuencias dañosas”

Las medidas de protección buscan minimizar el impacto una vez que un riesgo no ha podido ser prevenido. Para ello agruparemos a las principales medidas de acuerdo al propósito perseguido: 1. Aumentan el tiempo de perpetración - Dificulta la perpetración de un delito (anillos de protección) 2. Disminuyen el tiempo de detección - Detección temprana (seguridad electrónica) 3. Disminuyen el tiempo de reporte - Reportes más rápidos (mejor observación por un mayor número de personas)

4. Disminuyen el tiempo de respuesta - Respuesta suficiente y oportuna, automática y/o pre-programada)

Técnicas en diseño de las medidas de Prevención y Protección Las medidas de prevención y protección persiguen 4 propósitos técnicos :

1 Disuadir

2 Detectar

3 Demorar

4 Responder

Page 12: Gerenciadores de Sguridad - … · tratamiento del riesgo es a través de la siguiente matriz, que parte de valores calculados de acuerdo al Método Mosler: Mitigar: Se

78

1. Disuadir De los cuatro propósitos enumerados la disuasión es el único relacionado con la prevención, ya que los otros tres operan cuando la disuasión ha fallado, es decir tienen una finalidad protectiva (minimizar el impacto de un riesgo materializado). Preventivamente lo que debemos lograr es que el sistema de seguridad disuada al delincuente de cometer un delito y se transfiera ese riesgo a objetivos que el delincuente advierta como de menor umbral de seguridad.

En este sentido disuadir significa inducir, mover a alguien con razones a mudar de dictamen o a desistir de un propósito” (Diccionario Real Academia Española).

En un sentido connotativo se utiliza con el significado de desalentar a alguien a que cometa un delito en nuestra contra (prevención) y también a impedírselo (protección).

El objetivo es disuadir a “alguien” para que deje de hacer “algo”

Por tanto disuadir implica inducir al delincuente a buscar objetivos menos riesgosos. Rapidamente advertiremos que las medidas de seguridad privada no tienen por objetivo eliminar el delito, sino transferirlo a otros objetivos menos protegidos. Este es un tema a tener muy en cuenta en el análisis y evaluación de riesgos, ya que la dinámica de las amenazas nos obligan a prestar atención no solo a lo que nosotros hagamos en materia de seguridad, sino a la transferencia de riesgos que terceros nos hagan a nosotros. Es decir que si una empresa o casa vecina, adopta niveles de protección más disuasivos que los nuestros, nos estará transfiriendo mayores riesgos de ser vicitmizados. Lo que Rudolph Giuliani consiguió como mayor seguridad en Nueva York, seguramente habrá impactado como una mayor criminalidad en las áreas adyacentes como Brooklyn, Queens, Newark o Jersey City. Si un country construye un muro perimetral de 2,50 metros, coronando la parte superior con dos metros de alambre energizado, el riesgo de robo, a través de la intrusión por el perímetro, habrá sido transferido al country o countries próximos, que no dispongan de ese tipo de protección disuasiva. Típicos casos de disuasión son barreras físicas o perímetros que luzcan inexpugnables o que dispongan de poderosos sistemas de detección. O también puede ser tan sencillo y efectivo como un cartel que anuncia que una vivienda dispone de un sistema de alarma monitoreada Esto nos enseña dos cosas: 1) que no solo tenemos que analizar nuestros propios riesgos, sino también los que nos transfieren terceros y 2) que las medidas de seguridad que implementemos deben ser, en primer lugar, suficientemente disuasivas como para prevenir el delito.

Page 13: Gerenciadores de Sguridad - … · tratamiento del riesgo es a través de la siguiente matriz, que parte de valores calculados de acuerdo al Método Mosler: Mitigar: Se

79

2. Detectar El primer paso de un diseño de protección es lograr que una intrusión, ingreso no autorizado, hurto, robo, incendio, etc., sea descubierto en su fase inicial, a efectos de desbaratar la comisión de un delito o minimizar el impacto negativo de un dado riesgo. Muchas veces, en la etapa inicial y perimetral de un delito, la simple detección de una

intrusión a través del encendido de un reflector o el disparo de una sirena, hace que el intruso aborte el intento, ya que pierde el factor sorpresa, el cual se le revierte en su contra, ya que ahora puede ser sorprendido in fraganti delicti. Por ello, si en una instalación a proteger no se ha diseñado con un sistema de detección, no habrá forma de descubrir la materialización de un riesgo, en su instancia inicial, de forma tal que impedirá responder adecuadamente para abortarlo o interrumpirlo. La técnica de detección indica que cuanto más alejada o temprana sea la detección (anillo de protección exterior), antes se podrá disponer de un dispositivo de respuesta a ese riesgo. Pero si la detección es además audible y/o visualizable por el intruso, esta será también una alternativa de respuesta, ya que es una forma de advertirle al intruso sobre la detección. Las medidas típicas de detección van desde la vigilancia humana, hasta la seguridad electrónica. Millones de sensores y barreras de detección de movimiento, contactos magnéticos, detectores de rotura de vidrio, arcos detectores de etiquetas antihurto,

cámaras de CCTV asociadas con detección de movimiento, reflectores de seguridad pulsadores de emergencia, sistemas AVL que detectan el desvío de rutas o las detenciones no autorizadas de vehículos, etc. se encuentran hoy instalados en empresas, instituciones, organismos púbicos, comercios, domicilios y vehículos. Para hacer más efectiva la detección estos dispositivos periféricos reportan a las centrales de alarmas que, a su vez, son monitoreados remotamente online y en tiempo real, desde una Central de Monitoreo o reportan localmente a un Bunker propio. La idea de una detección temprana es poder responder en tiempo y forma, en la fase inicial de un riesgo de delito o de pérdida. Ello dará mayores posibilidades de desbaratar el delito o enfrentar efectivamente el hecho dañoso. 3. Demorar El segundo paso de todo diseño de protección deberá ocasionar demoras en la perpetración y consumación de un hecho, incidente o delito. Los típicos ejemplos de demoras son las barreras físicas: alambrados o muros perimetrales, barreras vehiculares, persianas, rejas, puertas blindadas, cerraduras de seguridad, cajas fuertes, etc., pero también puede serlo el patrullaje o recorridas de los vigiladores. Estos dispositivos pueden encontrarse en el primer, segundo o tercer anillo de protección. Si las demoras se colocasen en los 3 anillos (exterior, medio e

Page 14: Gerenciadores de Sguridad - … · tratamiento del riesgo es a través de la siguiente matriz, que parte de valores calculados de acuerdo al Método Mosler: Mitigar: Se

80

interior), existiría la posibilidad de escalonar y multiplicar el efecto de las demoras, tornando el diseño de protección más efectivo y el objetivo más inexpugnable. Como técnica de protección se recomienda que la demora debe venir inmediatamente después de la detección, ya que de nada sirve colocar barreras físicas para dificultar la comisión de un delito, si el delincuente puede disponer de todo el tiempo necesario para llevarlo a cabo, por no ser pasible de ser detectado. Un alambrado perimetral sin un elemento de detección (cable sensor o cable enterrado

o sistema de CCTV, iluminación y audio o garitas de vigilancia), no debiera ser considerado una barrera de demora eficaz. En estos casos el delincuente al saber que no hay forma de detectarse el corte del cerco, dispone del factor tiempo, del factor sorpresa y oportunidad de su lado, con lo cual un alambrado sin detección no es un elemento de demora en la teoría de la protección. 4. Responder Finalmente un sistema de protección que no disponga de un dispositivo de respuesta no podría abortar o interrupir un delito o un hecho dañoso. De nada sirve un sistema de detección de incendio, si una vez activada un alarma de fuego, no se dispone de una brigada de lucha contra el fuego. De la misma forma un sistema de detección de intrusión sin un sistema de respuesta no tiene mucho sentido ya que el delincuente sabe que nadie impedirá su ilícito accionar. En general se asocia la respuesta con la intervención humana. Sin lugar a dudas esta siempre será importante, pero es muy costosa y muchas veces poco eficiente y eficaz. Un vigilador apostado las 24 hora, los 365 días del año, puede llegar a tener un costo anual que ronda los U$S 60.000 a U$S 80.000 dólares. Si es la respuesta diseñada para responder a pie en un perímetro de 6.000 metros, comprenderemos la ineficiencia e ineficacia de este diseño de respuesta. Rapidamente se advierte la necesidad de diseñar e instrumentar sistemas automáticos de respuesta más económicos y efectivos. Sistemas automáticos de respuesta buscan que el intruso sepa que ha sido detectado y ha perdido el factor sorpresa, aspecto fundamental en todo ilícito. Si la detección se produce en el perímetro, seguramente abortará en su intento. Si en cambio la detección se produce cuando ya se encuentra dentro de la propiedad o instalación, esta situación es muy riesgosa ya que el delincuente puede sentirse acorralado y proceder violentamente para no ser identificado o atrapado. La respuesta puede tener dos finalidades: hacer huir al delincuente o tratar de detenerlo. En el primer caso los sistemas de respuesta automática deberán colocarse en el primer anillo de protección (el anillo exterior) y los mas recomendables son iluminar con reflectores el área de intrusión, disparar una sirena o activar un sistema de megafonía donde el operador del bunker le dará la voz de alerta para que desista de su cometido y que, para ello, ya se ha dado aviso a la policía y al servicio de vigilancia interno. También sería muy importante poder contar con un sistema de CCTV para que la respuesta no sea ciega, sino que pueda observarse el accionar del intruso.

Page 15: Gerenciadores de Sguridad - … · tratamiento del riesgo es a través de la siguiente matriz, que parte de valores calculados de acuerdo al Método Mosler: Mitigar: Se

81

Si la finalidad fuera, en cambio, detener al que está perpretando un ilícito en forma in fraganti, para ello será necesaria una respuesta humana, policial o aún de los vigiladores, que disponen, como cualquier ciudadano, del derecho de detener a un delincuente en situación de in fraganti delicti. Lo expuesto nos permite concluir que la detección debe configurarse en el primer anillo y que la demora y la respuesta interna pueden integrarse en los 3 anillos (exterior, medio e interior). La respuesta externa puede coordinarse con la policía, cuerpo de bomberos, servicios de asistencia médica, defensa civil, brigadistas de rescate, etc.

Solo por razones de restricciones presupuestarias se debería concentrar e integrar la detección, la demora y la respuesta en el tercer anillo (interior), a sabiendas que este no es el mejor diseño de prevención y protección. En este caso, el tercer anillo podría tener una mínima seguridad en profundidad. Por ejemplo en una vivienda que esté construída sobre la línea de edificación y tenga construcciones en ambos lados, la seguridad en profundidad del tercer anillo estaría dada por la detección a través de contactos magnéticos en ventanas y puertas y por detectores de rotura de vidrios y la demora con rejas, persianas y ventanas con trabas de seguridad. En el interior de la vivienda podrá haber una segunda línea de detección en profundidad con pasivos infrarrojos (PIR) y finalmente una demora con una caja de seguridad y/o un cuarto protegico a prueba de intrusión (puertas blindadas y paredes, techo y piso, con similares especificaciones que las bóvedas bancarias de atesoramiento). Y por último, la detección debe alertar en forma externa el evento, para que una Central de Monitoreo despache la respuesta adecuada. Las líneas de demoras deberán resistir el tiempo necesario para darle oportunidad a la respuesta para abortar o interrumpir el hecho ilícito. Como advertirán, el diseño de un sistema de protección, es un arte, pero también es una técnica, basada en esta Teoría de la Prevención y Protección. El triángulo del robo (Dr. Donald R. Cressey) El Dr. Cressey ha desarrollado una explicación de cuales son los móviles para que un robo/hurto se produzca. Su estudio es interesante ya que permite conocer qué es lo que motiva a una persona al robo o hurto (interno o externo). Cabe mencionar aquí que existe una gran diferencia entre la persona que hurta y roba. En el primer caso, no se ejerce fuerza, presión o violencia en las personas o cosas, en cambio en el robo si. Este componente del uso de la fuerza, presión o violencia es crucial ya que abre un abismo entre un comportamiento de hurto y uno de robo.

Page 16: Gerenciadores de Sguridad - … · tratamiento del riesgo es a través de la siguiente matriz, que parte de valores calculados de acuerdo al Método Mosler: Mitigar: Se

82

Estamos mucho más expuestos al hurto que al robo y como agravantes del primero tenemos que quien lo comete puede ser un empleado infiel y al no ejercer violencia en las personas o cosas, los bienes que se sustraen, por lo general, no pueden ser asegurados y entonces no puede mantenerse indemne el patrimonio de la empresa. Una acción de robo en cambio casi siempre ocurre con personas ajenas a la compañía, aunque no hay que descartar la connivencia de un empleado infiel, a nivel de facilitador, pero difícilmente como autor material del hecho. El que hurta es un oportunista, alguien que abusa de la confianza de otros, que ve la ocasión y la aprovecha tomando lo ajeno. Por lo general se sustraen bienes pequeños, aunque lo graves es que a veces perjudica a compañeros de trabajo o a niveles gerenciales y de alta dirección o el valor no se encuentra en el bien sino en sus contenidos (el caso del hurto de notebooks o discos de PC o sus copias) donde radica su principal y más estratégico valor. Otras veces la victimización es importante por la frecuencia con que se comenten los hurtos, por lo general sobre bienes de poco valor (que se denominan hurto hormiga). En cambio el que roba tiene motivaciones mucho más complejas que simplemente aprovechar una oportunidad. El que roba no es sencillamente un oportunista o un descuidista, sino una persona con motivaciones y justificaciones diferentes. El Dr. Cressey expone en su teoría que el robo/hurto tiene un triple componente, tal cual surge del gráfico siguiente:

Según este autor estos delitos son producto de un factor oportunidad, producto de vulnerabilidades, de un deseo o motivación y de una justificación o racionalización. La oportunidad está presente en el hurto y también en el robo y básicamente aprovecha una vulnerabilidad y el factor sorpresa. En el caso del que hurta la oportunidad está solo referida a un descuido o falta de atención, basada en la confianza de un lugar o de las personas. Sobre el factor oportunidad es en el que fundamentalmente puede actuar el responsable de seguridad. Su función será evitar que esas oportunidades se produzcan por vulnerabilidades, distracción y desatención. Las medidas que en tal sentido se adopten prevendrán al robo interno y externo.

Oportunidad

Motivación Racionalización

Page 17: Gerenciadores de Sguridad - … · tratamiento del riesgo es a través de la siguiente matriz, que parte de valores calculados de acuerdo al Método Mosler: Mitigar: Se

83

La motivación en cambio es mucho más compleja de detectar y prevenir. Es muy difícil saber quien puede desarrollar un deseo de robo/hurto, ya sea por necesidad, compulsión, presión, resentimiento, etc.. Solo se podría detectar en el caso de un empleado infiel y siempre que un superior, par o subordinado observe cambios negativos en su comportamiento y con ello se puedan adoptar medidas de prevención más severas que las adoptadas en general con otras personas. Por tanto este tipo de componente es imposible de ser detectado en el robo externo. Por último la racionalización es la justificación que desarrolla el que roba/hurta. En el caso del hurto y robo interno, muchas veces esta racionalización es posible por malas prácticas aprovechadas por empleados infieles, que no generan hacia abajo un ejemplo de integridad a seguir. Por el contrario el comportamiento a seguir es el del jefe infiel. El razonamiento es el siguiente: “si los de arriba roban/hurtan, porque no habré de

hacer lo mismo yo, que bastante poco me pagan”. Es el típico caso del hurto de resmas de papel, cartuchos de impresoras, utensilios de librería, etc. En este caso una cultura de seguridad y de códigos de ética y sanciones disciplinarias que se apliquen, previene la justificación del hurto interno fundamentalmente. En cambio en el caso del robo externo (aún con connivencia de un empleado infiel) la racionalización está más relacionada con aspectos socio-económicos y sentimientos de frustración hostil y resentimiento. La línea de pensamiento sería algo así como: “si todo el mundo roba, los políticos roban, los policías roban, los que más tienen roban, porque yo no voy a robar”.

La violencia que se ejerce en todo robo se justifica cuando estas personas, se sienten víctimas y piensan que la sociedad debe pagar la violencia que desató. Ellos piensan que si la sociedad les sembró violencia, va a cosechar violencia. La sociedad no se debería quejar entonces de la inseguridad. No se sabe bien si el delincuente sale a recuperar lo que él cree que la sociedad no le dio y le debe o directamente sale a vengarse. De cualquier forma, para estas personas, es una manera de equilibrar la balanza.

Todo esto se ve agravado por la falta de políticas de estado en materia de seguridad

pública, la falta de prevención primaria, secundaria y terciaria contra el delito, leyes y procedimientos permisivos o tolerantes, una justicia que por su lentitud e interpretaciones jurídicas siembra la impunidad, un servicio penitenciario que no resocializa al convicto y la falta de controles sobre quienes se benefician de la libertad condicional o del régimen de salidas transitorias o de quienes cumplieron sus condenas, son caldo de cultivo para desarrollar este tercer componente que es la racionalización del robo y del hurto.

IV. Instrumentar las Medidas de Mitigación Todas estas medidas deben plasmarse e instrumentarse en distintos planes: de Prevención de Delitos y Pérdidas, de Emergencia y Crisis y de Continuidad del negocio.

Una vez determinadas y analizadas las medidas de seguridad a adoptar hace falta implementarlas. Para ello serán necesarios:

Page 18: Gerenciadores de Sguridad - … · tratamiento del riesgo es a través de la siguiente matriz, que parte de valores calculados de acuerdo al Método Mosler: Mitigar: Se

84

a) Verificación de funcionalidad

• Resolver el dilema entre seguridad, comodidad y operatividad

• Analizar pros y contras

• Analizar la posible resistencia a las nuevas medidas b) Aprobación de las medidas

• Asignar presupuesto

• Difundir las medidas c) Planificar operativamente las medidas

• Determinar operaciones y procesos sobre los cuales habrán de aplicarse

las medidas

• Integrar las medidas a las operaciones y procesos 1. Debe formar parte de la cultura corporativa 2. Construir conciencia, involucrar a los mandos medios y altos

• Escribir normas y procedimientos

• Determinar roles y responsabilidades • Capacitar para una adecuada aplicación de las medidas y de los

procedimientos

V. PLAN DE PREVENCIÓN DE RIESGOS

Con qué instrumento se mitigan los riesgos? Con un Plan de Prevención de Riesgos. El plan debe ser los más personalizado y específico posible porque los riesgos tienen directa relación con el cargo que ocupa un empleado. Así por ejemplo, un gerente general tiene actividades distintas a los Gerentes, Jefes, supervisores, trabajadores y vigiladores. Incluye una programación de actividades periódicas que cada miembro de la empresa debe realizar con objeto de mostrar su involucramiento o compromiso con el control de los riesgos, con el propósito de brindar un mejor servicio y hacer más rentable el negocio.

Todo plan de Prevención de Pérdida personalizado además de detallar las medidas de prevención y protección descriptas y delinear su implementación, debe contener determinadas actividades de inspección, análisis, control, monitoreo, revisiones, comunicaciones, capacitación, investigación y control de la gestión de riesgos que deben quedar establecidas por escrito:

Page 19: Gerenciadores de Sguridad - … · tratamiento del riesgo es a través de la siguiente matriz, que parte de valores calculados de acuerdo al Método Mosler: Mitigar: Se

85

1.- Reunión mensual de análisis Esta reunión pretende analizar mes a mes la gestión y avance del programa personalizado para corregir, análisis de delitos y/o pérdidas, controlar el cumplimiento de medidas correctivas, necesidades de capacitación, reorientar, reconocer, llamar la atención, etc.. El responsable de la reunión debiera ser el gerente general o quien lo reemplace.

2.- Inspecciones de seguridad Es una actividad operativa que se realiza de modo sistemático y permanente. Debe ser realizada por la supervisión o la Gerencia de Seguridad, con el objeto de detectar, analizar y controlar los riesgos incorporados y transferidos. La Inspección tiene por objeto verificar condiciones subestándares de equipos, sistemas y materiales de seguridad, y malas prácticas, errores, desobediencias, incumplimientos

a los deberes asignados y negligencias por parte de vigiladores, que puedan producir pérdidas y afectar la operación del negocio y comprometer sus resultados.

3.- Control de los Riesgos El control constituye una parte importante del Sistema de Gestión de Prevención de Riesgos y es una parte integrante de las funciones de la dirección, mediante el cual se puede comprobar el estado actual de un sistema, en este caso del sistema de gestión de riesgos. Una vez adoptada una medida de mitigación luego corresponde controlar su efectivo cumplimiento y su eficacia y luego monitorear si los resultados no son los esperados por no ser adecuada la medida de mitigación o se encuentra mal instrumentada o por falta de control o por su inefectividad.

Cabe mencionar que el desarrollo y evolución de los negocios provoca nuevos desafíos a los que las empresas deben enfrentarse si quieren sobrevivir, en mercados cada vez más competitivos y exigentes. Estos cambios también han impactado en los controles

que han debido ir avanzando considerablemente en importancia dentro de las organizaciones, posicionándose con un nivel de dependencia y reporte en el más alto nivel de dirección, donde también debe desarrollarse el control estratégico del riesgo.

Por ello decimos que el control es un elemento inseparable de la Gestión del Riesgo. Por ello es que recomendaremos destacar siempre la importancia y el trabajo coordinado y mancomunado de los controles internos, ya sean estratégicos, gerenciales u operacionales (sobre todo del área de seguridad) y la auditoria interna y externa.

Ahora pasamos a analizar la dinámica, tratamiento y comportamiento de los controles.

Page 20: Gerenciadores de Sguridad - … · tratamiento del riesgo es a través de la siguiente matriz, que parte de valores calculados de acuerdo al Método Mosler: Mitigar: Se

86

En primer lugar, los controles, como las medidas de mitigación, deberán pasar una ecuación costo-beneficio. Inicialmente la dificultad que nos encontramos en este punto es que el costo de implementación de un control es más tangible que el costo de no implementarlo. Con la información de ciertos indicadores como los de cantidad de incidentes, emergencias y crisis, su índice de frecuencia y de impacto estaremos en condiciones de calcular en cada caso la ecuación costo-beneficio de un control. De esta forma, si el control (aplicado o propuesto), sumado a la medida de mitigación, tiene un costo mayor que la reducción del riesgo previsto, es recomendable otra

alternativa de control. Si el control no contribuye a reducir suficientemente el riesgo, es recomendable más control o un control diferente. Si el control contribuye a una adecuada reducción de riesgo y una buena relación costo-beneficio, entonces es recomendable continuar con su aplicación. Si el control, sumado a la medida de mitigación, supera la ecuación costo-beneficio, resta aún evaluar si el control y/o la medida de mitigación se encuentran bien diseñados para cumplir su cometido y si son ejecutados de acuerdo a su diseño.

Determinación de los objetivos de control

Al diseñar los objetivos de control estaremos atentos a lo que cada área, departamento, unidad o sección necesita para evitar que los riesgos se materialicen, respondiendo a la estrategia que la dirección desee seguir para minimizar los riesgos. En este sentido manejaremos distintas alternativas de control como las de detectar, impedir, interactuar, corregir, aislar, considerando siempre la relación costo-beneficio.

Algunos ejemplos de controles a considerar son: autorizaciones, aprobaciones, verificaciones, controles de totalidad, exactitud e integridad, conciliaciones, controles físicos, indicadores de rendimiento, modelos estadísticos, controles informáticos, etc.

Detección del cambio

La detección del cambio implica la identificación de los cambios de los riesgos en el medio donde la empresa despliega su acción. Se preparará a los responsables de la gestión de prevención de riesgos a evitar que medidas de mitigación y el sistema de control puedan dejar de ser efectivos al cambiar las condiciones en las cuales operan. En tal sentido se los instruirá para que sean capaces de captar e informar oportunamente los cambios ocurridos.

El Control y la Gestión de Calidad

La importancia de los controles está relacionada al concepto de que el control se encuentra asociado con el de la calidad, ya que el control no solo está integrado en los programas de calidad, sino que suele ser esencial para que éstos tengan éxito.

Page 21: Gerenciadores de Sguridad - … · tratamiento del riesgo es a través de la siguiente matriz, que parte de valores calculados de acuerdo al Método Mosler: Mitigar: Se

87

La incorporación de controles influye en la capacidad de la empresa de conseguir sus objetivos, además de apoyar la calidad. La búsqueda de la calidad está directamente vinculada con la forma en que se gestionen y controlen los riesgos. En este sentido podemos afirmar que minimizar riesgos es un aporte a la calidad, como sería el caso de la custodia de la mercadería en tránsito, evitando el accionar delictivo de los piratas del asfalto y la entrega en tiempo y forma del producto al cliente. Esto también es calidad. Por eso consideramos importante que el desarrollo de las actividades de control en

materia de seguridad encuentre sustento y sinergia con el sistema de gestión de calidad de la empresa. Cuando la alta dirección incorpora los valores de la calidad en el estilo de conducción empresarial, los controles se convierten en parte de la estructura operativa de la compañía. Tablero de Control Es un conjunto de indicadores de control cuyo monitoreo y evaluación periódica permitirá conocer mejor el nivel de cumplimiento de los resultados proyectados sobre la gestión de riesgos. Para ello los tableros pueden tener distintos alcances y extensión, de acuerdo a las necesidades de control estratégico, directivo, operativo o integral.

Estos tableros permiten realizar análisis de sensibilidad, estudios comparativos

(históricos y actuales entre áreas, regiones y grupo, sobre distintos riesgos), proyectar tendencias, evaluar resultados de un modo que facilita el análisis, la comprensión y la visualización, permitiendo la presentación de reportes gráficos descriptivos e informes de performance.

Estos tableros contribuyen a medir el impacto de la falta de medidas de prevención del riesgo y también de las mejoras implementadas a través de medidas correctivas.

Constituyen también una herramienta muy útil para medir responsabilidades y performance como base de un sistema de premios y castigos. Si los riesgos y las pérdidas disminuyeran y ello permitiría mensurar el nivel de ahorro por la correcta aplicación e instrumentación de medidas de prevención y protección, podría distribuirse, entre los responsables de ese resultado, una parte de los ahorros generados, con lo cual estaríamos generando motivación y compromiso en el seguimiento y cumplimiento de las políticas de prevención de riesgos.

4. Monitoreo de Riesgos

El monitoreo lo consideramos como un proceso de verificación sobre el nivel de los

riesgos en el Sistema de Gestión de Prevención de Riesgos. En este sentido está vinculado a la auditoría y a la revisión de los riesgos.

En este sentido proponemos monitorear los siguientes aspectos:

Page 22: Gerenciadores de Sguridad - … · tratamiento del riesgo es a través de la siguiente matriz, que parte de valores calculados de acuerdo al Método Mosler: Mitigar: Se

88

a) El diseño de la estrategia de gestión de riesgos. Para verificar la exactitud del diagnóstico realizado, constatar la existencia de objetivos claramente definidos y medibles, analizar su correspondencia con la dinámica de las amenazas y examinar la lógica del modelo de mitigación diseñado. b) El proceso de planificación y gestión del programa. Se deberá examinar siempre la forma en que se gestionan y ejecutan las medidas y el sistema de control, esto es su instrumentación. Puede ocurrir que una buena medida de mitigación se vea malograda por una deficiente ejecución o control. Hay que tratar de medir la capacidad de las áreas en relación con el diseño, ejecución, seguimiento y evaluación de las medidas y

de valorar el grado de implicación de los responsables en dichas tareas, su actitud, formación, organización y dotación de recursos para llevarlos a cabo. c) Los resultados de las medidas de mitigación. Para saber si dan el resultado previsto y si la ecuación costo/beneficio de las medidas se comporta de acuerdo a lo proyectado. d) La información adecuada. Para identificar oportunidades de mejora y las modificaciones necesarias y que las circunstancias cambiantes no alteren las prioridades de los riesgos, ya que pocos riesgos permanecen estáticos. Se deberá analizar también si esta información resulta apropiada para realizar una valoración global sobre los resultados de las medidas y sobre su utilidad, con objeto de determinar si estas deben continuar o suspenderse. e) La calidad de la gestión de prevención del riesgo. También debe ser monitoreada y resulta de evaluar el desempeño de la gerencia de prevención de riesgos respecto de los puntos anteriores.

Auditorías al Sistema de Gestión de Riesgos

Las auditorías son un control sistemático interno o tercerizado, con el objeto de verificar que las tareas se están desarrollando según los procedimientos vigentes, lo cual minimiza los riesgos de delitos y pérdidas. Es la mejor forma de saber cómo las personas ejecutan sus tareas, sus competencias funcionales técnicas (aptitud), su motivación y compromiso (actitud) y su nivel de

empowerment (por delegación de tareas). Ello identificará necesidades de capacitación adicional y/o el tratamiento de conductas y/o la revisión de la delegación conferida. Apoyando al monitoreo de los riesgos, es conveniente entonces disponer un programa de auditoría interna y/o externa, como un proceso de control cruzado para asegurar que existen, se entienden y se respetan los procedimientos y controles de las actividades de prevención del riesgo y que se evalúe el estado de cumplimento del sistema con respecto a lo establecido como meta a alcanzar. El área de control de calidad podría colaborar o abordar una auditoría interna sobre la calidad de la gestión de prevención de riesgos. En este sentido le asignamos a la auditoría los siguientes roles:

Page 23: Gerenciadores de Sguridad - … · tratamiento del riesgo es a través de la siguiente matriz, que parte de valores calculados de acuerdo al Método Mosler: Mitigar: Se

89

Enfocar el trabajo sobre los riesgos importantes, identificados por la dirección y revisar los procesos de gestión de riesgos en toda la compañía.

Producir confianza en la gestión de riesgos. Proporcionar un apoyo activo y participar en el proceso de gestión de riesgos

desde su papel de control de eficacia y eficiencia. Facilitar la identificación y valoración de riesgos, así como la formación del

personal de operaciones en la gestión de riesgos y en el control interno. Supervisar los informes de riesgos.

Los informes de auditoría deben finalizar con un informe en el que se identifiquen las no conformidades y proponer un cronograma para solucionar los problemas encontrados en la auditoría. Estas auditorías sobre el Sistema de Gestión de Riesgos deben desarrollarse sobre el área de seguridad y también sobre otras áreas que resultan responsables de cumplir y hacer cumplir normativas de prevención y que muchas veces transfieren riesgos al área de seguridad.

5. Revisiones mensuales al Sistema de Gestión de Riesgos Todos los vigiladores y todos los empleados de la empresa tendrán una retroalimentación sobre su actuación en materia de prevención de riesgos. En esta charla se pueden tratar temas como las políticas de seguridad, noticias, analizar procedimientos de trabajo, reconocer, llamar a la cooperación, realizar seguimiento a las acciones correctivas, etc. El responsable de la charla sería el responsable de seguridad, si no se dispone de un Jefe de Prevención de Riesgos. El monitoreo y la auditoría de riesgos pueden determinar también la necesidad de efectuar revisiones de fondo al sistema de gestión de riesgos, las cuales deben formar parte de un proceso continuo, que además debe reconocer otras causas de revisión, como por ejemplo: Después de cada entrenamiento y ejercicio Después de cada emergencia Cuando cambia el personal o sus responsabilidades Cuando cambian o se actualizan sistemas y equipos Cuando el layout o diseño de las instalaciones cambia Cuando se detectan fallas o actividad delictiva Cuando cambia la transferencia de riesgos por parte de terceros Cuando cambian las políticas, objetivos, operaciones, procesos o Procedimientos

Por ello las revisiones del Sistema de Gestión de Riesgos con la Dirección son un punto esencial del Sistema de Gestión.

Page 24: Gerenciadores de Sguridad - … · tratamiento del riesgo es a través de la siguiente matriz, que parte de valores calculados de acuerdo al Método Mosler: Mitigar: Se

90

Para ello es necesario lo siguiente:

Los riesgos puros deben ser incorporado a las revisiones del negocio.

Los resultados deberán ser utilizados para estudiar revisiones que impliquen

mejoras en el sistema.

Las revisiones pueden determinar cambios, inclusive de objetivos. No Conformidades

Identificar y gestionar las no conformidades es crítico para un Sistema de Gestión, basado en la mejora continua y en el rendimiento de los programas de prevención y protección. Estas no conformidades surgen de monitoreos, inspecciones, controles, auditorías, por lo tanto junto a la planilla de definición de objetivos se deben consignar las desviaciones o no conformidades.

6. Comunicación de los Riesgos y Consultas El Sistema de Gestión de Prevención de Riesgos requiere un procedimiento de “Comunicaciones”, donde se especifique la comunicación de los aspectos del sistema a las Direcciones y Gerencias, a los empleados y a las distintas funciones o áreas involucradas. También es importante efectuar consultas, entendiendo como tal al proceso a través del cual se requiere la opinión de alguien, En el caso de los riesgos puros es mandataria la consulta a los responsables de seguridad y a los dueños de procesos críticos. Sobre todo el proceso de consulta debe referirse a la probabilidad del riesgo (amenazas y vulnerabilidades), pero fundamentalmente también al impacto que ese riesgo puede producir y su capacidad de interrumpir la operaciones y el negocio.

Comunicaciones Internas La Dirección de Seguridad es responsable directa de comunicar oportunamente eventos significativos como:

Los objetivos y metas del Sistema de Gestión de Prevención de Riesgos. Conflictos con la autoridades por violaciones a la legislación local o al amrco

regulatorio de la seguridad privada. Problemas y eventos de alto impacto contra la vida de las personas y/o la

interrupción de los negocios. Medidas preventivas y de protección diseñadas frente a amenazas y

vulnerabilidades denunciadas o detectadas en controles e inspecciones. Para tal efecto se sigue el proceso de reporte conforme al procedimiento de “Comunicaciones”.

De igual forma se mantiene una comunicación directa y abierta por medio de distintas herramientas.

Page 25: Gerenciadores de Sguridad - … · tratamiento del riesgo es a través de la siguiente matriz, que parte de valores calculados de acuerdo al Método Mosler: Mitigar: Se

91

Comunicaciones Externas Dentro del procedimiento de Comunicaciones, deberá tenerse en cuenta el dar respuesta a inquietudes y requerimientos externos sobre aspectos relevantes para la prevención de riesgos, provenientes de partes interesadas como clientes, proveedores, organismos de gobierno, comunidad, vecinos, etc. Mediante este proceso se asegura el dar una respuesta consistente y autorizada por parte de la empresa de modo de no afectar su imagen y reputación.

Se debe llevar un registro para ingresar las inquietudes de las partes interesadas y clientes externos. Reporte de Incidentes y Pérdidas Un procedimiento importante de comunicación es el reporte de incidentes y pérdidas a todos los integrantes de la compañía y a determinados proveedores y contratistas. En este sentido es fundamental un proceso de concientización a nivel de toda la organización sobre la importancia de dar a conocer incidentes como lesiones, agresiones, daños, faltantes, roturas, desperfectos, no conformidades y pérdidas efectivas o potenciales por vencimientos, incumplimientos, comportamientos contrarios a la ética, etc. También será crucial la capacitación y entrenamiento del personal

responsable directa o indirectamente sobre la gestión de prevención de estos riesgos para reconocer, identificar y denunciar incidentes y pérdidas. También resulta esencial contar con un procedimiento de notificación interna que deberán completar y hacer llegar a la Dirección, Gerencia o Jefatura de Seguridad, las personas designadas como responsables de este tipo de reportes. El reporte de Incidentes y Pérdidas establece la necesidad de: 1. Tener y llevar los registros de manera accesible 2. Investigar y hallar las causas del problema. 3. Las investigaciones podrán ser en conjunto con Legales, RRHH, Producción, etc. 4. Crear conciencia de reporte entre los empleados. 5. Se debe asegurar una comunicación efectiva de los puntos anteriores. Es recomendable instituir una línea exclusiva 0800 y un buzón de denuncias y sugerencias, para que en, forma anónima o no, se puedan dar a conocer incidentes y pérdidas.

7. Capacitación y Entrenamiento

Nos queda referirnos ahora a la necesidad de disponer de un programa de capacitación y entrenamiento en materia de prevención de riesgos para todo aquel personal con responsabilidades directas o indirectas sobre el sistema de gestión de prevención de riesgos.

Page 26: Gerenciadores de Sguridad - … · tratamiento del riesgo es a través de la siguiente matriz, que parte de valores calculados de acuerdo al Método Mosler: Mitigar: Se

92

El proceso de capacitación supone el adiestramiento en las mejores prácticas en materia de gestión del riesgo.

8.- Investigación Privada de Incidentes Es una actividad preventiva tendiente a determinar las causas de los delitos y pérdidas. Delito que no se investiga crece!!!

Uno de los aspectos a develar por la investigación es determinar el modus operandi del delincuente a efectos de adoptar las medidas correctivas para que un hecho no vuelva a repetirse de la misma forma en el futuro. Otra finalidad no menos importante es la de descubrir las pruebas del delito y con ello a los autores y a sus cómplices, así como recuperar la mercadería sustraída. Es importante difundir los resultados de la investigación, para permitir al resto del personal a reforzar el control sobre la base de una violación al sistema de seguridad y/o control.

9. Control de Gestión

Mensualmente se deberá confeccionar la estadística de incidentes y pérdidas, comparando lo programado con lo efectivamente ocurrido en el mes. Los objetivos, las iniciativas, las metas y los indicadores le brindan al área de seguridad una importante herramienta para manejar y optimizar sus recursos. La medición sistemática y continua en el tiempo de los resultados obtenidos nos lleva a la evaluación de la Gestión de Riesgos, comparando dichos resultados con aquellos

deseados o planeados, con miras a mejorar los estándares de desempeño. El control de gestión se constituye así en una herramienta para medir el desempeño y evaluar cuantitativamente el progreso hacia el logro de las metas propuestas. Cuando el plan se ha realizado durante meses también se puede comparar la efectividad entre los distintos meses. Además en este estudio es posible observar las acciones o áreas de trabajo que requieren mayor atención o cuales presentan mayor grado de riesgo. También se pueden determinar premios por avances en el control de los riesgos y niveles de ahorro de la compañía.

Page 27: Gerenciadores de Sguridad - … · tratamiento del riesgo es a través de la siguiente matriz, que parte de valores calculados de acuerdo al Método Mosler: Mitigar: Se

93

VI. El costo de la Seguridad El tratamiento que requiere cada riesgo dependerá de sus niveles de impacto, la tolerancia al riesgo de la empresa y la naturaleza del propio riesgo. Asimismo la elección de la o las respuestas a cada riesgo deberá incluir, siempre que sea posible, un análisis de costo – beneficio. Unas ecuaciones muy sencillas sobre el costo-beneficio de una medida de prevención y protección serían las siguientes:

a) Si una medida de seguridad y control tiene un costo mayor que la reducción del

riesgo provisto, se deberá buscar otra alternativa de prevención y protección b) Si la medida de seguridad y control no reduce suficientemente el riesgo, se

deberá buscar más seguridad y control o una diferente medida y control c) Si la medida de seguridad y control provee suficiente reducción de riesgo y a una

buena relación costo-beneficio, entonces debería adoptarse. Siempre habrá que tener en cuenta que el costo de implementación de una medida de seguridad o de control es más tangible que el costo de no implementarla.

Costos del Plan de Prevención y Protección (Sistema de Seguridad)

Cuando analicemos los costos del sistema de seguridad deberemos distinguir las siguientes situaciones:

1. Pérdidas evitadas y recuperación de activos 2. Pérdidas que no pudieron evitarse 3. Costo de Seguro

1. Pérdidas evitadas y recuperación de activos

Existiendo pérdidas que pudieron evitarse y además existe recuperación de activos sustraídos, el cálculo costo-beneficio de la inversión en seguridad sería el siguiente:

PE+VAR = RCS

CSS

Page 28: Gerenciadores de Sguridad - … · tratamiento del riesgo es a través de la siguiente matriz, que parte de valores calculados de acuerdo al Método Mosler: Mitigar: Se

94

PE: Perdidas evitadas VAR: Valor de los activos recuperados CSS: Costo del sistema de seguridad RCS. Retorno de costos del sistema En este sentido el resultado costo-beneficio se calcula de la siguiente forma:

RCS = 1 (el sistema de seguridad se está pagando solo) RCS = Menor que 1 (el sistema de seguridad es deficiente) RCS = Mayor que 1 (el sistema de seguridad agrega valor a la empresa) 2. Pérdidas que no pudieron evitarse (CTP) + Pérdidas evitadas y recuperación de activos En esta situación en la cual hay pérdidas que no pudieron evitarse, pero podría haber otras que si se evitaron o se recuperaron, el cálculo costo-beneficio de la inversión sería el siguiente:

(PE+VAR)-(CTP)* = RCS

CSS

PE: Pérdidas evitadas (si las hubiere) VAR: Valor de los activos recuperados (si los hubiere) CTP: Costo Total de la Pérdida CSS: Costo del sistema de seguridad

RCS. Retorno de costos del sistema El resultado costo-beneficio se calcula de la siguiente forma: RCS = 1 (el sistema de seguridad se está pagando solo) RCS = Menor que 1 (el sistema de seguridad es deficiente) RCS = Mayor que 1 (el sistema de seguridad agrega valor a la empresa) *Fórmula del Costo Total de Pérdida En este caso para el cálculo del CTP se deberán tener en cuenta los siguientes ítems:

K = (Cp + Ct + Cr + Ci) – (I – a) (por sus siglas en inglés)

CTP = (Crp + Cst + Cr + Cpi) – (I-p)

Page 29: Gerenciadores de Sguridad - … · tratamiento del riesgo es a través de la siguiente matriz, que parte de valores calculados de acuerdo al Método Mosler: Mitigar: Se

95

CTP = Costo Total de la Pérdida Crp = Costo del reemplazo permanente: compra del bien, flete, preparación e instalación. Cst = Costo de la sustitución temporal: alquiler, leasing, hs. extras para compensar la merma de producción. Cr = Costos relacionados: costo de personal ocioso por la falta de

la máquina o herramienta, retrasos. Cpi = Costo de pérdida de ingresos que dejan de percibirse (lucro cesante) I = Indemnización del siniestro p = Monto de la prima del seguro

3. Costo de Seguro Cuando a la situación anterior se le incorpora un seguro que cubre parte de la pérdida, el cálculo es el siguiente:

(PE+VAR+S)-(CTP+CSF) = RCS

CSS PE: Pérdidas evitadas VAR: Valor de los activos recuperados S: Monto pagado por el seguro CTP: Costo Total de la Pérdida CSF: Costo del Seguro y Franquicia CSS: Costo del Sistema de Seguridad RCS. Retorno de costos del Sistema El resultado costo-beneficio se calcula de la siguiente forma:

RCS = 1 (el sistema de seguridad se está pagando solo) RCS = Menor que 1 (el sistema de seguridad es deficiente) RCS = Mayor que 1 (el sistema de seguridad agrega valor a la empresa)

Page 30: Gerenciadores de Sguridad - … · tratamiento del riesgo es a través de la siguiente matriz, que parte de valores calculados de acuerdo al Método Mosler: Mitigar: Se

96

VII. Riesgo Residual El riesgo residual es el riesgo latente después de haber mitigado o aceptado el riesgo. Así podemos analizar dos tipos de riesgos residuales: el marginal luego de la mitigación y el que se acepta. a) Riesgo Residual después de la mitigación Aunque hayamos implementado medidas para mitigar el riesgo, siempre queda un

margen de riesgo que puede impactar, si el incidente ocurre con una magnitud superior a lo esperado o de forma distinta para la cual estamos preparados. b) Riesgo Residual después de aceptar el riesgo La segunda situación es cuando aceptamos conscientemente los posibles impactos y sus consecuencias, después de haber realizado la evaluación del riesgo y analizado la definición de las medidas de prevención y protección. Las razones para tomar esta decisión pueden ser varias, sea que evitar las pérdidas no está dentro de nuestra posibilidad y voluntad económica o porque entendemos que no tenemos suficiente poder sobre el entorno. Sea cual fuere la razón, el punto importante es que sabemos sobre la amenaza y decidimos vivir con un riesgo residual y sus posibles consecuencias.