Después de realizar un análisis de riesgos todos somos conscientes de que existen 4 estrategias posibles para gestionar esos riesgos: eliminarlos, transferirlos, reducirlos o asumirlos. Lo que ocurre es que normalmente sólo nos acordamos de las dos últimas opciones, obviando las posibilidades que nos ofrecen las dos primeras.
El parámetro principal para ayudarnos a decidir cómo se gestionan los riesgos debería ser la relación coste/beneficio. Y ojo, que coste no es lo mismo que precio, aunque al final podamos llegar a traducirlo de esa forma. ¿Por qué digo esto? Porque ese es el factor clave para la eliminación de riesgos. ¿Qué beneficio aporta a mi organización el comercio electrónico? ¿Cuántos ingresos nos supone? ¿Qué futuro espero de ese canal de vantas? ¿Ese beneficio (tanto presente como futuro) compensa los riesgos que supone esa infraestructura? Ese es el análisis que hay que hacer para poder llegar a la conclusión de que podemos eliminar todos los riesgos asociados a las ventas por internet, eliminando dicho canal.
La otra opción que normalmente se suele quedar en el tintero es la de transferir los riesgos. Y aquí hay que tener cuidado, porque no es una opción sencilla, y no todos los riesgos se pueden transferir. ¿Transifero el riesgo derivado de la ejecución de un proceso por el mero hecho de subcontratarlo en modo BPO? Pongamos el caso de un banco que subcontrata por completo la gestión de ventas por Internet. Como mínimo está transfiriendo el riesgo operativo asociado a estas actividades. ¿Está transfiriendo completamente el riesgo? En absoluto. ¿Acaso no es la subcontratación en sí misma la asunción de un cierto tipo de riesgo? ¿Qué consecuencias tendría en la imagen de ese banco un incidente de seguridad en la empresa subcontratada? Es obvio que el riesgo no se puede transferir por completo. Lo que sí se puede transferir es una parte del riesgo, y esta transferencia también puede servir para transformar un tipo de riesgo en otro (en el ejemplo, un riesgo operativo lo convertimos en un riesgo contractual).
Y en este punto es donde aparecen los seguros. Su trabajo consiste precisamente capitalizar los riesgos que les transfieren sus clientes. Y los riesgos de seguridad de la información también se pueden transferir de este modo. Quizás no estemos muy acostumbrados a ellos, pero estoy seguro de que es una tendencia que va a ir al alza. ¿Cuál es el coste de adoptar una determinada medida de seguridad para reducir un determinado riesgo? ¿Y cuál puede ser el coste de adquirir un seguro que cubra ese posible incidente de seguridad? Las empresas que trabajan con "seguros cibernéticos" piensan de este modo. Al fin y al cabo, si me sale más "barato" (en términos de coste global, no sólo en términos directamente económicos) "apechugar" con el incidente y usar el dinero del seguro que reducir el riesgo asociado a él estamos ante una mejor opción en términos de coste/beneficio. ¿Por qué no hacer uso de ella?
Por supuesto, antes de terminar con el post tengo que recordar que los seguros no son la panacea. Por poner un ejemplo, podemos pensar que el perjuicio en imagen derivado del incidente vamos a poder recuperarlo invirtiendo parte del dinero del seguro en una campaña de marketing. Ahora bien... ¿Cuándo vamos a disponer de ese dinero en efectivo? ¿Podremos ejecutar la campaña en el momento en el que es necesario? ¿Existirán costes adicionales derivados de tener que litigar con el seguro porque no nos ha dado el dinero que esperábamos? En resumidas cuentas: ¿Estamos gestionando adecuadamente el riesgo de contratar ese seguro?
Suscribirse a:
Enviar comentarios (Atom)
2 comentarios:
Muy bueno el post y muy oportuno puesto que en plena crisis económica una de las grandes empresas afectadas es la principal aseguradora AIG. Por mi desconocimiento del tema económico siempre me ha llamado la atención el negocio de las aseguradoras y su capacidad para capitalizar los riesgos (basado seguro en estadísticas), pero ¿Qué pasa con una empresa que transfiere un riesgo y luego descubre que la empresa aseguradora es la que le deja con el culo al aire?
Aunque siempre que hablamos de la gestión del riesgo comentamos que aparecen cuatro opciones, ¿es realmente la transferencia del riesgo una manera de gestionarlo? ¿No debe basarse en algún tipo de garantía para que realmente no nos llevemos sorpresas?
Por lo que he trabajado con aseguradoras, efectivamente tiran de estadísticas e históricos. La clave es tener una "muestra" de clientes lo suficientemente grande y "bien seleccionada" como para que sean un reflejo acertado de ese universo, y que las estadísticas tengan validez...
Precisamente sobre lo que quería llamar la atención en el post es sobre el riesgo que supone en sí mismo el hecho de transferir un riesgo. Lo mismo que las aseguradoras nos hacen encuestas exhaustivas antes de concedernos un seguro de vida, por ejemplo, las empresas deberían hacer lo mismo a la hora de transferir sus riesgos. Y esto no sólo es aplicable a las aseguradoras. ¿Cuántas empresas contratan un servicio de mantenimiento tan especializado que si esa subcontrata quiebra se quedan sin alternativas? Los riesgos derivados de subcontratar a una gran empresa son claramente distintos a los que aparecen cuando se subcontrata a un autónomo. Símplemente por las características de la propia empresa.
El otro día escuché en la radio un comentario acerca de lo que ha sucedido con esta aseguradora que me parece perfecto. Símplemente decían que lo que había pasado es que "habían desestimado los riesgos de probabilidad de ocurrencia extremadamente baja, pero que precisamente ese riesgo era el que se había materializado". La clave vuelve a ser qué riesgos estamos dispuestos a asumir incluso a la hora de contratar un seguro o pedir un crédito. Y tener claro que incluso las entidades de mayor prestigio no nos garantizan el 100% de "su" seguridad...
Publicar un comentario