Análisis y Administración de los Riesgos

Introducción

Ningún programa puede ser efectivo a menos que esté basado en un claro entendimiento de
los riesgos actuales que está destinado a controlar.
El valor de un programa de seguridad depende no solo de la excelencia de los recursos
aplicados sino también de su relevancia.
La definición del programa viene primero, luego vendrá el diseño de las contramedidas,
porque hasta que no estén claramente evaluadas las amenazas actuales contra los activos, las
precauciones o las medidas no pueden ser escogidas excepto por adivinación o “sentido
común”.
El tema es básico para comprender la Administración de Riesgos, la prevención de pérdidas y
el estudio o encuesta de seguridad.

Algunas Generalidades sobre el Riesgo

Riesgo puede ser la incertidumbre de pérdida financiera, la diferencia entre los resultados
esperados y los reales en cualquier actividad o la probabilidad de que una pérdida ha ocurrido
u ocurrirá. También puede decirse que los riesgos son personales, de la propiedad y de
responsabilidad.

La evaluación del riesgo es una herramienta de gestión cuyos patrones para medir están
1
definidos por lo que la alta gerencia estima aceptable con respecto a una pérdida probable.

Terminología

Medios

Cualquier propiedad o persona tangible o intangible que un individuo o compañía posee y a la

cual se le puede asignar un valor monetario. Las propiedades intangibles incluyen elementos
como el good will, información de propiedad y otras propiedades. Para el propósito de esta
guía las personas son consideradas medios.

Consecuencia

Un resultado secundario derivado de una acción o decisión. De un seguro o punto de

seguridad, costos pérdidas o daños más allá del valor en el mercado del medio perdido o
dañado incluyendo otros costos indirectos.

Análisis del Costo Beneficio

Un proceso de planeación relacionado con las decisiones que comprometen fondos o medios.
Este es un sistemático intento de medir o actualizar el valor que proviene de un gasto
particular. Usualmente este proceso involucra tres pasos:

• Identificación de las consecuencias directas e indirectas del gasto

• Asignación de un valor monetario a todos los costos y beneficios resultantes del gasto

Diplomado ALTA GERENCIA DE SEGURIDAD

 • Descuento esperado de futuros costos y ganancias provenientes del gasto para
expresar aquellos costos y ganancias de valores en moneda corriente

Criticalidad

Es el impacto de un evento de pérdida típicamente calculado como la red de costo de ese

evento. El impacto puede ser desde fatal, resultando en una total recapitalización abandono o
discontinuidad a largo plazo de la empresa, hasta sin importancia.

Eventos

Acontecimiento importante. En el contexto de seguridad estos representan usualmente una

ocurrencia como un incidente de seguridad, alarma, emergencia médica, o un episodio o
experiencia relacionada.

Good will

El valor de un negocio que ha sido construido a través de la reputación de un producto del

negocio y de sus dueños.

Evento de pérdida

Ocurrencia que produce una pérdida financiera o un impacto negativo sobre los medios, por
ejemplo incidentes de seguridad, crímenes, guerra, amenazas naturales, o desastres.
2
Desastres naturales

Evento o calamidad que ocurre naturalmente trayendo gran daño, pérdida o destrucción.

Probabilidad

La posibilidad en algunos casos, la certeza matemática de que un evento dado ocurrirá, la rata
de número de sucesos en un exhaustivo cuadro de sucesos igualmente probables que
producen un evento dado de un número total de sucesos posibles.

Cualitativo

Relativo a una característica de algo que hace que sea lo que es.

Cuantitativo

Relativo, concerniente o basado en la cantidad o número de algo capaz de ser medido o

expresado en términos numéricos.

Riesgo

La posibilidad de pérdida resultante de una amenaza incidente de seguridad o evento

Diplomado ALTA GERENCIA DE SEGURIDAD

Análisis de riesgo

Un detallado examen que incluye la evaluación del riesgo y las alternativas de manejo del
riesgo desarrollado para entender la naturaleza de las consecuencias negativas e indeseadas
para la vida humana, la salud, la propiedad o el ambiente, un proceso analítico para proveer
información relacionada con eventos indeseables, el proceso de cuantificación de las
probabilidades y consecuencias esperadas de un riesgo identificado.

Evaluación del riesgo

El proceso de evaluar riesgos relacionados a la seguridad, provenientes de amenazas internas y

externas a una entidad, sus medios o personal

Incidente de seguridad

Una ocurrencia o acción relativa a la seguridad que puede llevar a la muerte, heridas o
pérdidas monetarias. Un atraco contra un empleado, cliente o proveedor dentro de la
compañía es un incidente de seguridad.

Vulnerabilidad

Una capacidad explotable, una debilidad o deficiencia de la seguridad que puede ser explotada
en una instalación, entidad o persona. 3
Sitio

Una locación espacial que puede ser designada por latitud y longitud.

Estado del arte

El más avanzado nivel de conocimiento y tecnología actualmente alcanzado en cualquier

campo en un tiempo dado.

Estadística

Una rama de las matemáticas relativa a la colección, análisis, interpretación y presentación de

grupos de datos numéricos. En seguridad esto podría representar una colección de datos
cuantitativos tales como incidentes, reportes de crímenes e información relacionada que junto
con otra información similar sirve como estadísticas de seguridad usada para un número de
paliaciones incluyendo evaluaciones de riesgo y vulnerabilidades.

Amenaza

Un intento de daño o herida. Una indicación de algo que podría ocurrir.

Recursos de información para determinar los Eventos de Riesgo de Pérdidas

1. Estadísticas locales y nacionales de la policía, sobre crimen.

2. Reportes e investigaciones especiales o datos similares

Diplomado ALTA GERENCIA DE SEGURIDAD

 3. Documentos y reportes internos sobre incidentes.

4. Reclamos, informaciones y quejas anteriores de empleados, contratistas, visitantes,

etc.

5. Reclamaciones civiles anteriores por seguridad inadecuada.

6. Inteligencia de agencias locales, regionales o nacionales, de seguridad, acerca de

atentados o riesgos potenciales.

7. Información relativa de la industria acerca de tendencia de los riesgos.

8. Información sobre tendencias económicas generales del área.

9. Presencia de generadores de crimen: proximidad a clubes nocturnos, presencia de

vagos, propiedades abandonadas, etc.

1. Definición del problema:

Requiere reconocer y evaluar en términos cuantitativos tres factores:

a) Las clases de amenazas o riesgos que afectan los activos o Perfil del evento de Pérdida
(loss event profile).

b) Las probabilidades de que estas amenazas se conviertan en pérdidas o Probabilidad

4
del evento de pérdida (loss event probability) también llamado frecuencia.

c) El impacto o efecto sobre los activos en caso que la pérdida ocurra o Criticalidad del
evento de pérdida (loss event criticality) también llamada severidad o gravedad.

Perfil del evento de pérdida

Reconocer individualmente la posibilidad de ocurrencia de eventos de pérdida es el primer

paso en la evaluación de la vulnerabilidad. Esto requiere tener claridad sobre las condiciones,
circunstancias, objetos, actividades y relaciones que pueden ocasionar el evento de pérdida. Si
el evento se puede medir en cuanto a la cantidad de la pérdida y si tal pérdida no es
especulativa, en el sentido de que su no ocurrencia es una ganancia, entonces se pueden
aplicar contramedidas.

Los eventos de pérdidas convencionales de la administración, no son del interés del gerente de
seguridad, estos son riesgos especulativos. Pero si el evento solo puede producir una pérdida,
entonces es una tarea de prevención de pérdidas y de protección de los bienes.

Los riesgos puros más comunes son: la guerra, los desastres naturales, los desastres
industriales, los disturbios civiles o protestas violentas, el crimen en general, los conflictos de
intereses, la violencia en el sitio de trabajo, el terrorismo y otros especiales como locos,
piratería y accidentes de tráfico.

2. Preparación de la solución

Diplomado ALTA GERENCIA DE SEGURIDAD

 a) Análisis de la Amenaza. Árbol de Amenaza Lógica (threat logic tree).

b) Identificación y examen de alternativas (network design).

3. Resolución del problema

Interacción entre las tres funciones de la Administración de riesgos:

(1) La prevención de pérdidas

(2) El control de pérdidas y

(3) La indemnización de pérdidas

4. Estudio de Seguridad

Probabilidad o frecuencia del riesgo

La probabilidad de que estas amenazas se conviertan en pérdidas o probabilidad de Evento de

Pérdida (loss event probability) también llamada frecuencia y es el segundo paso en la
evaluación de la vulnerabilidad.

La probabilidad o frecuencia es el número de formas en las cuales un evento en particular

puede resultar de cierta actividad por el número total de eventos que podría ocurrir en esa
actividad.
5
P= f/n P= probabilidad de un evento dado ocurra

F= número de resultados favorables a la ocurrencia

N= número total de resultados posibles

Ejercicio: Si lanzamos dos monedas al tiempo hay 4 posibles resultados (n=4) tres resultados
podrían producir al menos una cara (f=3). La posibilidad de obtener una cara en el lanzamiento
es (p=3/4) o sea 75, entonces ¿cuales sería los 4 posibles resultados de ese lanzamiento?

Los eventos de pérdidas no se pueden predecir usando una fórmula probable standard.
Básicamente entre más formas haya que un evento probable pueda ocurrir en unas
circunstancias dadas, mayor será la “probabilidad” de que este ocurra. A mayor frecuencia,
mayor probabilidad. Dada la cantidad de variables que pueden permitir u ocasionar un evento
de pérdida, como un robo, por ejemplo, generalmente no es posible hacer cálculos
matemáticos de la probabilidad, por otra parte, cuando un evento se presenta, lo normal es
que las circunstancias de almacenamiento, control y prevención sean modificadas, luego las
circunstancias de almacenamiento, control y prevención sean modificadas, luego las
circunstancias para un próximo evento serán diferentes. En realidad, el gerente de seguridad
debe tener la claridad profesional para reconocer las circunstancias y variables que pueden
producir el evento de pérdida.

Factores de probabilidad

Diplomado ALTA GERENCIA DE SEGURIDAD

Los factores de probabilidad son las condiciones o grupos de condiciones que incrementarán la
exposición de los activos al riesgo de pérdida, estas categorías son:

(1) Medio ambiente físico

Composición: material, masa, peso, volumen, densidad.

Clima: temperatura, humedad, lluvia, nieve, tormentas y estaciones.

Geografía: latitud, longitud y elevación.

Ubicación: exposiciones del vecindario, ambiente abierto o cerrado, controlado o no.

Condiciones de uso: horas, procesos y procedimientos.

(2) Medio ambiente social

Identidad étnica: variedad de población y distribución.

Grupos por edad: niños, adolescentes, ancianos, etc.

Niveles de ingreso: pobres, desempleados, cuello blanco, ricos.

Vecindario: porcentaje residencial,

desarrollado, deteriorado.
industrial, negocios, institucional, recreacional,
6
Historia social: pacífico, incidentes locales, disturbios, cronología de eventos importantes.

Planeación: reconstrucción, rehabilitación, extensión, etc.

Crimen: altos índices, bajos, tipos de crímenes, relaciones con policías, frecuencia y cantidad
de patrullas y control.

(3) Medio ambiente político

Unidad de gobierno: ciudad, pueblo, etc.

Generalidades políticas: conservadores, liberales, partidos tradicionales, minoritarios,

mezclados, apolíticos.

Actitudes: fuertemente organizadas, pobremente organizadas, organizaciones competitivas,

grupos dominantes.

Área política: modos de elecciones, nivel local, regional, nacional, federal, etc.

Experiencia histórica

Es una forma de apreciar las probabilidades de ocurrencia de eventos, aunque generalmente

las empresas no tienen registros de sus experiencias que permitan hacer pronósticos con
cierta precisión. Dos problemas: o no existe el registro de la información o está registrada de
manera que no es posible haces mediciones estadísticas, sea porque son incompletas, porque

Diplomado ALTA GERENCIA DE SEGURIDAD

poseen demasiados datos no útiles o porque los datos no son relevantes para la tarea. Esto,
cuando simplemente no hay registros de ningún tipo sobre los incidentes. Las empresas
deberían mantener records precisos sobre la ocurrencia de eventos de pérdida que permitan
hacer predicciones de alguna precisión sobre tales eventos. Sabemos que la frecuencia es un
indicio de probabilidad.

Las computadoras personales permiten, hoy en día, llevar datos precisos sobre información de
ocurrencia de eventos de pérdida. Una base de datos en tal sentido debería tener como
mínimo los siguientes registros:

- Lugar, fecha y hora del incidente tan precisos como sea posible.

- Naturaleza de evento: accidente o crimen.

- Descripción detallada del evento: incendio, robo, ataque, etc.

- Método de operación o modo de ocurrencia.

- Número del evento por tipo o por localización.

- Valor de los bienes o costo de la pérdida.

Aplicación de los factores de probabilidad

7
Los factores de probabilidad se aplican al conocimiento general que el gerente de seguridad
debe tener acerca de la naturaleza, de la empresa, del medio ambiente y del negocio en
general. Estos factores, tal como está descrito en este documento, pueden ser muy generales
para tratar de aplicarlos al análisis de las vulnerabilidades de una empresa en particular, por
eso, el gerente debe recontextualizarlos a su empresa y reducir al nivel y al detalle que su
experiencia le indiquen para realizar el análisis.

El principal pronóstico de tener una clasificación de la probabilidad (ratings) es permitir más

adelante priorizar la selección de contramedidas. Los ratings son:

(a) Virtualmente cierto 0.85 x k del evento dado

(b) Altamente probable 0.65 x k del evento dado

(c) Moderadamente probable 0.50 x k del evento dado

(d) Improbable 0.20 x k del evento

(e) Probabilidad desconocida

• La clasificación (a) Virtualmente Cierto significa que: dado ningún cambio en los
factores de probabilidad, el evento ocurrirá.

• La clasificación (b) Altamente probable significa que: la probabilidad de ocurrencia es

mucho más grande que la ocurrencia.

Diplomado ALTA GERENCIA DE SEGURIDAD

 • La clasificación (c) Moderadamente probable significa que: es más probable que el
evento ocurra a que no ocurra.

• La clasificación (d) Improbable significa que: es menos probable que el evento ocurra a
que no ocurra. Esto no implica imposibilidad, solo improbabilidad.

• La clasificación (e) Probabilidad desconocida significa que: los datos disponibles son
insuficientes para hacer una evaluación. Una práctica aceptada de seguridad es que
ante la ausencia de datos, ente dos clasificaciones posibles, se asigne la más alta.

La probabilidad desconocida debe tomarse como una calificación temporal mientras se

desarrollan y obtienen datos relevantes.

Criticalidad del evento de pérdida

Evaluar el impacto o efecto sobre los activos en caso de que la pérdida ocurra o Criticalidad del
Evento de Pérdida (loss event criticality) también llamado severidad, es el tercer paso en la
evaluación de vulnerabilidad. El impacto debe ser medido en dinero porque este es el común
denominador de todos los negocios, sin embargo, cualquier empresa podría medir alguna
pérdida en moral, impacto social o ambiental, etc. Debe tenerse claro, también, que hay
elementos como la vida humana, obras de arte, monumentos nacionales y otros que no tienen
valor monetario y por la tanto sus pérdidas pueden ser incalculables.
8
Una de las razones por la cual las altas gerencias no aceptan o aprueban los programas de
seguridad, es por la falta de una adecuada calificación de los costos de una pérdida probable
que debe ser prevenida con un sistema o programa de seguridad.

Los costos de las pérdidas son: directos e indirectos. Y estos se agrupan en los llamados costos
reales que representan la pérdida de activos y pérdida de ingresos.

Los costos reales de la pérdida son:

(1) Costo del reemplazo permanente

Incluyendo precio de compra o manufactura, fletes y costos de transporte, alistamiento y

preparación, instalación o adaptación.

(2) Costo de la sustitución temporal

En ocasiones, deben rentarse o adquirirse temporalmente servicios, maquinarias o

herramientas para reemplazar la pérdida, mientras esta es sustituida permanentemente,
además, pagar horas extras de trabajo, turnos, producción pérdida, etc. Una sustitución
temporal puede ser necesaria para mantener activa la estructura de la empresa mientras llega
el reemplazo permanente porque minimiza las pérdidas de ingresos y ventas, evitando
también las multas por incumplimiento de contratos. Cuando el costo de la sustitución
permanente de los activos excede el costo de cerrar el negocio, probablemente es aconsejable
gastar en la sustitución temporal de activos.

Diplomado ALTA GERENCIA DE SEGURIDAD

(3) Costos relativos o consecuentes

El costo total relativo o consecuente, se asimila al lucro cesante generado por la pérdida.

(4) Costo de ingresos perdidos

El costo de ingresos perdidos, es el ingreso que pudiera haber sido obtenido de haber invertido
el dinero que se ha gastado en las sustituciones permanentes y/o temporales.

El cálculo se hace con la siguiente fórmula:

Ci= _ i_(Pxt) i= tasa de interés

365 p= monto disponible para inversión

T= tiempo (en días) durante el cual P está disponible para inversión

Para obtener P se suman el costo del reemplazo permanente (Cp) y el costo del reemplazo
temporal (Ct).

Ejercicio: Calcular el costo de ingresos perdidos (Ci) y el costo total de la pérdida (k) de un
computador servidor que ha sido robado de la oficina financiera, dados los siguientes valores:

Cp= US$ 5.000 Ct=US$ 2.000 Cr= US$ 2.000 I= US$ 4.000 9
A= US$ 500 t= 90 días

Respuesta: Ci= US$ 20.790 k= US$ 26.290

Fórmula de costo de pérdida

Los costos directos de la pérdida son:

(1) Dinero

(2) Instrumentos negociables

(3) Propiedad

(4) Información

Los costos indirectos de la pérdida son:

(1) Reputación

(2) Presencia comercial (good will)

(3) Pérdidas de los empleados

(4) Moral de los empleados

Diplomado ALTA GERENCIA DE SEGURIDAD

La fórmula del Costo Total de Pérdidas (k) se calcula para una Pérdida Individual y sobre una
base anual:

K= (Cp + Ct + Cr+ Ci) – (i – a)

K= Criticalidad o costo total de pérdidas

Cp= Costo del reemplazo permanente

Ct= Costo de reemplazo temporal

Cr= Costo total relativo

Ci= Costo de ingresos perdidos

I= Indemnización por seguros

A= Monto de la prima de seguros

La indemnización de pérdidas vía seguro no debe ser considerada como el único factor de
protección contra pérdidas porque la cobertura es limitada. La mejor aproximación a un
manejo integrado de riesgos (risk management) es un diseño aplicado a las funciones
combinadas de:

(1) Prevención de pérdidas

10
(2) Control de pérdidas

(3) Indemnización de pérdidas

El cuarto paso en la evaluación de la vulnerabilidad es poner los riesgos en una secuencia de

prioridad para aplicar contramedidas. Cuando los riesgos ya han sido “rankeados” mediante la
combinación de probabilidad y severidad (ej: A1; B2; C3; D4) la tarea formal de la evaluación
de vulnerabilidad ha sido completada. La siguiente etapa es la preparación de las
contramedidas de solución.

La clasificación o rating de criticalidad es la siguiente:

(1) Fatal: la pérdida implica una recapitalización de la empresa o la discontinuidad del

negocio en el largo plazo

(2) Muy serio: la pérdida requeriría un cambio mayor en la política de inversiones y

tendría un gran impacto en el balance del negocio.

(3) Moderadamente serio: la pérdida tendría un notable impacto en las utilidades y

requeriría la atención de la alta gerencia.

(4) Relativamente sin importancia: la pérdida podría ser cubierta con las reservas
normales previstas para contingencias.

Diplomado ALTA GERENCIA DE SEGURIDAD

 (5) Severidad desconocida: antes de estableces prioridades esta clasificación debe ser
dispuesta en una de las anteriores. No se pueden tomar decisiones si la criticalidad del
evento está en esta clasificación.

Aunque la pérdida puede ser medida con relativa exactitud, son la magnitud de la empresa y la
decisión de la alta gerencia, de donde realmente depende la clasificación de pérdida. Es claro
que una pérdida de US$ 100.000 tiene diferente significado para dos empresas que difieren
sensiblemente en tamaño y activos.

Criticalidad del evento de pérdida

MATRIZ DE DECISIÓN

11

2. Preparación de la solución

El análisis de la amenaza indicará que aunque varios riesgos estén separadamente

identificados es posible que una simple contramedida pueda neutralizarlos a todos o detectar
que un número de riesgos dependen de una causa común o condición precedente.

Estas conexiones producen un patrón de amenaza lógica el cual sugiere no solo la interrelación
entre riesgos sino el punto más apropiado para interponer o aplicar la contramedida. La tarea
de planear ese patrón lógico es lo que se denomina Análisis de Amenaza. La construcción del
modelo de amenaza se materializa en el “árbol lógico de amenaza” (threat logic tree) en el que
a cada riesgo identificado, corresponden ciertos eventos o condiciones que son necesarias
antes de que pueda ocurrir.

Diplomado ALTA GERENCIA DE SEGURIDAD

Algunos de estos eventos o condiciones deben existir simultáneamente, algunos pueden existir
en secuencia lineal, algunos pueden existir individualmente y algunos pueden existir
individualmente pero no en presencia de la línea de secuencia de otros.

Lógicamente estas combinaciones pueden ser representativas en los siguientes términos:

AND Existencia simultánea

AND Pero si x antes de y

OR Si puede existir aisladamente

OR Pero si x no está en y

El principio de apalancamiento (leverage), consiste en que la aplicación de una simple

contramedida en el lugar apropiado puede neutralizar varias amenazas. Cada punto de
apalancamiento indica una posibilidad para una contramedida.

El último paso en esta planeación se denomina Diseño de Red (network design) y consiste en
organizar la interrelación de las contramedidas.

3. Resolución de problemas

En cada punto de apalancamiento se puede establecer una contramedida aunque inicuamente 12

no se sepa exactamente cuál. Para cada contramedida propuesta en el programa de seguridad,
deben tenerse en cuenta cuatro factores:

(1) Validez. Verificar que la medida surte el efecto que se busca y que es la que mejor
produce tal efecto.

(2) El grado de confiabilidad, definida como la consistencia con que la medida es efectiva a
lo largo del tiempo.

(3) El costo aproximado para ponerla en acción

(4) El tiempo requerido para ponerla en acción, comparada con otras contramedidas
posibles.

Técnica de evaluación de sistemas

Sistema es un arreglo regular y ordenado de partes y componentes en un todo

interrelacionado e integrado. Para diseñar un sistema de seguridad deberán diseñarse las
medidas que serán soportadas o soportarán a otras, de modo que cada recurso juegue un
papel único e indispensable en el sistema. Este tipo de diseño permite reducir el número total
de contramedidas, baja los costos y optimiza el desempeño de las medidas y del sistema como
un todo. Una vez diseñado, el sistema debe ser implementado y probado, virtual o
físicamente, dependiendo del sistema, e involucra las acciones y procedimientos de respuesta
por parte de humanos, los cuales también deben ser evaluados por medio de ejercicios y
emergencias simuladas. En el diseño y evaluación de sistemas, deben tenerse en cuenta que

Diplomado ALTA GERENCIA DE SEGURIDAD

en algunos casos, márgenes de error pueden ser permitidos frente a los costos de producir
cero errores, pero en otros, el cero error debe ser un requisito indispensable.

Mantener el sistema en funcionamiento

Hay tres grandes razones para que ocurran las pérdidas en seguridad:

(1) Porque las vulnerabilidades no han sido reconocidas

(2) Porque las contramedidas no son efectivas y/o

(3) Porque no se ha reconocido un cambio

El cambio puede estar en la vulnerabilidad o relevancia de la contramedida. La vulnerabilidad

cambia cuando hay cambios en la probabilidad o en la severidad del impacto o en ambos.

4. Administración de Riegos

La tendencia de hoy es hacia una interacción más cercana entre las tres funciones de la
administración de riesgos:

(1) La prevención de pérdidas -> Antes del evento de pérdida

(2) El control de pérdidas y -> Durante o después 13

(3) La indemnización de pérdidas -> Después del evento de pérdida

Muchas empresas combinan estas funciones bajo un mismo ejecutivo: el Gerente de riesgos.

La justificación económica de un proyecto o programa de seguridad se basa en que los gastos

de seguridad deben ser costo – justificados porque ellos implican desviación de recursos o la
aplicación de activos de la empresa hacia actividades que no pertenecen a la esencia de su
negocio (core business).

El gerente de seguridad debe demostrar cuantitativamente que está retornando la suma

invertida en su programa de contramedidas en la forma de:

(1) Pérdidas evitadas o minimizadas y

(2) Activos recuperados

¿Retornaría la suma invertida en seguridad un valor equivalente al obtenido si fuera colocada

en el mercado de valores a una tasa de interés normal?

Ejercicio: Un director de seguridad propone un programa de seguridad a 5 años con un gasto

anual de US$ 250,000. La gerencia le pide que justifique económicamente el proyecto,
teniendo en cuenta que se invirtiera ese monto a una tasa de interés compuesto del 12%
anual, al final la compañía obtendría US$ 1´778.798.

Preguntas: (1) ¿Cuánto suma el gasto planeado para el proyecto?

Diplomado ALTA GERENCIA DE SEGURIDAD

(2) ¿Cuánto sería el monto de los rendimientos de los recursos de capital solicitado?

(3) ¿Si el programa de seguridad no tuviera éxito, cuánto perdería la compañía?

(4) ¿Qué valor mínimo debería mostrar el Proyecto de Seguridad en términos de pérdidas
evitadas o recuperación de activos?

Respuestas: (1) US$ 1´250.000

(2) US$ 528.798

(3) US$ 1´778,798

(4) US$ 528.798

Los costos del programa deben ser menores que los costos de las pérdidas que ocurrirán sin el
programa.

Los costos totales que son relevantes para la administración de riesgos incluyen:

(1) Los costos de las pérdidas que ocurren a pesar del programa y que no serán
indemnizadas vía seguro.

(2) Los costos del programa de prevención o control de pérdidas al lado de los costos de
los seguros y
14
(3) Los costos de las primas de seguros y la administración de reclamos.

Si tomados juntos, los tres tipos de costos mencionados son menores en un año que los costos
de las pérdidas que probablemente hubieran ocurrido sin el programa de prevención y control
de pérdidas, entonces los esfuerzos de la administración de riesgos son exitosos.

El control de pérdidas, la prevención o minimización de las pérdidas, es la función específica de

un programa de seguridad y protección de activos. Y en este campo la mayoría de las empresas
no tienen mucha experiencia.

Cuando las contramedidas son propuestas o implementadas, debe hacerse un segundo

estimado de las pérdidas que ocurrirán no obstante las contramedidas.

El primer elemento en el ejercicio de justificación económica son las pérdidas evitadas, que
son la diferencia entre las pérdidas estimadas sin el programa y las que probablemente
ocurran con el programa. Esta cantidad se usará en la ecuación ROE para justificar el gasto en
seguridad.

Teniendo en cuenta que las pérdidas evitadas son solo una ecuación tendiente a obtener la
aprobación de un presupuesto requerido, si no puede ser predecible un retorno positivo del
gasto propuesto, esa será una buena razón para no aprobarlo.

Diplomado ALTA GERENCIA DE SEGURIDAD

Las tareas de seguridad bien desempeñadas y unas contramedidas se seguridad funcionando
apropiadamente, tendrán consecuencias financieras directas.

Un segundo elemento en el ejercicio de justificación económica es la recuperación de activos.

En este sentido solo deben ser tenidas en cuenta las recuperaciones hechas únicamente como
resultado de la aplicación del programa de seguridad. Este es otro elemento de la Ecuación
ROE.

La Ecuación ROE (Return of Expenditures) para obtener el retorno de los gastos hechos en un
programa de seguridad se compone de:

ROE = AL + R / CSP

AL= Pérdidas evitadas

R= Recuperaciones hechas

CSP= Costo del Programa de Seguridad

ROE= Retorno de Gastos

Para representar los costos del programa de seguridad (CSP) es necesario incluir:

(1) Gastos del personal 15

(2) Todos los gastos generales administrativos

(3) Costos del capital aplicado

Ejercicio: Se estima que las pérdidas de inventario serían de US$ 100.00 sin tomar medidas de
seguridad. Se propone un programa de seguridad a un año que cuesta US$ 150.000 y cuyo
probable efecto será reducir a US$ 10.000 las pérdidas. Si un camión robado es localizado por
la policía y se recuperan las mercancías por US$ 45.000, un guarda de seguridad detiene a un
empleado que intenta sustraer US$ 200 en componente de manufactura; se descubre u
faltante de materia prima de US$ 175.000 y mediante el polígrafo se obtiene la declaración de
un empleado que confiesa haber expedido recibos fraudulentos desde hace seis meses en
complicidad con el proveedor y haber recibido de este último la suma de US$ 5000. La
compañía tiene una póliza de seguro de fidelidad con un deducible de US$ 5000 y un techo de
US$ 10 millones. Se hace una reclamación de US$ 170.000 como resultado de la investigación
de seguridad.

Preguntas: (1) ¿Cuánto es el total de las recuperaciones (R)?

(2) ¿Qué porcentaje retorno obtiene el programa ese primer año?

(3) ¿Cuál es el monto retornado ese primer año?

(4) ¿El programa se justifica económicamente?

Diplomado ALTA GERENCIA DE SEGURIDAD

Respuestas: (1) US$ 170.200

(2) 173%

(3) US$ 259.500

(4) SI

Es importante distinguir los elementos del programa atribuibles a diferentes niveles de la

organización y las evitadas y las recuperaciones atribuibles a esos niveles. La mejor
aproximación es intentar una integración de todos los esfuerzos de seguridad y de los
resultados y una presentación que los cubra a todos.

5. Estudio de Seguridad

Es el método sistemático más aceptado para identificar los riesgos y como tal es la parte del
Análisis de la Vulnerabilidad. El estudio de seguridad (security survey) no es un fin en sí mismo
sino un medio para alcanzar un buen entendimiento del estado actual de un sistema de
seguridad, las deficiencias o excesos, determinar la protección necesaria y las
recomendaciones para mejorar dicho sistema.

El estudio de seguridad debe ser desarrollado por un profesional de seguridad competente,

porque involucra actos de responsabilidad técnica y ética. 16
Tal vez el mayor problema es que muchos gerentes de empresas no saben aún si tienen un
problema de seguridad o tampoco saben bien cómo hacer para encontrarlo si lo tuvieran. Aún
más, pueden no querer saberlo o preferir ignorarlo.

Algunos gerentes de empresas prefieren mantener las cosas como están y ven cualquier
sugerencia de seguridad como una crítica indirecta a su habilidad para manejar su operación
exitosamente.

Las pérdidas por criminalidad contra las empresas exceden de lejos las pérdidas causadas por
incendios y accidentes industriales. Estimando que las pérdidas anuales de las empresas por
criminalidad pueden ser el doble de las pérdidas combinadas de incendios y accidentes.

El proceso de un estudio de seguridad se compone de:

(1) La selección y aplicación de la lista de chequeo adecuada.

(2) El trabajo de campo y la recolección de información de soporte.

(3) El análisis de información y el diseño de recomendaciones

(4) La elaboración del reporte

(5) La elaboración de anexos

(6) La presentación

Diplomado ALTA GERENCIA DE SEGURIDAD

Hay varios modelos de listas de chequeo para realizar el levantamiento de la información en
estudios de seguridad, son ellos:

• Lista para estudio preliminar

• Lista para evaluación cuantitativa

• Lista auto evaluación

• Lista abreviada

• Lista extensa

Dependiendo del tipo de facilidad, las listas de chequeo hacen un mayor énfasis en los datos
más relevantes de cada “metabolismo específico y no es una buena práctica profesional aplicar
un mismo modelo a todos los casos. Por ejemplo, hay listas de chequeo específicas para:

(1) Establecimientos educativos

(2) Bodegas y terminales

(3) Puertos y aeropuertos

(4) Hospitales 17
(5) Hostales

(6) Industrias y oficinas

(7) Residenciales

(8) Instalaciones remotas o abandonadas

(9) Instalaciones especiales como:

• Plantas de energía

• Laboratorios de investigación

• Instalaciones de defensa

• Centros de cómputo

Si la empresa o facilidad que está siendo considerada ya tiene un plan de seguridad,

probablemente el estudio deberá establecer si el plan está actualizado y si funciona
correctamente. En este caso el estudio suele ser presentada como una Auditoría o
interventoría operacional (OA).

Diplomado ALTA GERENCIA DE SEGURIDAD

Si la facilidad no tiene un plan de seguridad entonces el estudio puede establecer la necesidad
de tener uno y desarrollar algunos servicios de seguridad que son comúnmente para ese tipo
de facilidad.

La presentación del reporte es un factor importante porque dice mucho de la competencia

profesional de quien lo hizo y da credibilidad al mismo. Esta debe ser pulcra, sistemática,
breve, coherente, pertinente y práctica. Y debe contener al menos lo siguiente:

(1) Carta de presentación

(2) Ficha técnica

(3) Tabla de contenido

(4) Sumario

(5) Concepto del actual sistema de seguridad

(6) Deficiencias

(7) Recomendaciones de mejoramiento

(8) Anexos

La ficha técnica incluye los datos generales de la facilidad estudiada que permiten
18
individualizar el documento, tales como: fecha del estudio de empresa, localización geográfica,
tipo de negocio o actividad, descripción física de la facilidad, número de empleados, datos de
contacto. Normalmente no es más de media página.

El sumario es un resumen ejecutivo de los hallazgos del estudio, de sus principales

recomendaciones y del contenido del reporte. Normalmente no es más de un párrafo.

El concepto del sistema actual de seguridad si lo hubiera, es un elemento importante porque

permite designar una línea de base para el desarrollo del sistema de seguridad. Normalmente
no excede de una o dos páginas. Es una buena práctica profesional, incluir un anexo sinóptico
o estadístico del estado de la criminalidad actual en el área.

El estudio debe enfocarse en las deficiencias o desviaciones encontradas y a partir de ella,

delinear las posibles recomendaciones. Los hallazgos deben enumerarse y describirse
concretamente en frases cortas que normalmente no exceden un par de renglones.

Las recomendaciones de mejoramiento deben estar relacionadas con las deficiencias

encontradas y no solo deben ser mencionadas sino que debe ser estudiado su costo, el tiempo
de implementación y la pertinencia o prioridad de aplicación.

Es una buena práctica profesional adicionar una hoja de control para hacer seguimiento a la
implementación de las recomendaciones porque motiva la acción ejecutiva del cliente y
permite continuidad al trabajo de seguridad.

Diplomado ALTA GERENCIA DE SEGURIDAD

Es una buena práctica profesional, aplicar el diseño de la red (network design) para dar
sustentación a las recomendaciones y aplicar el principio de apalancamiento (leverage).

Cuando se sugieran proveedores, debe hacerse sobre una base transparente y al menos 3 para
cada recomendación.

Los anexos pueden ser: fotográficos, planos y mapas, diagramas, tablas estadísticas, listas de
contacto, procedimientos, planes, catálogos, etc. Es común que los anexos resulten ser más
extensos que el reporte en si mismo.

19

Diplomado ALTA GERENCIA DE SEGURIDAD