noviembre 19, 2024
Bogotá D.C
Seguridad

¿Cómo actuar ante los riesgos?

Claro propone una guía para la valoración económica de riesgos de interrupción operacional, tecnológica y del negocio

Por: German Vargas Pedroza, Oficial de Riesgos Corporativos de Claro Colombia

¿Cómo actuar ante los riesgos? Existe la imperativa necesidad de determinar y conocer las pérdidas ocasionadas por siniestros originados por situaciones de desastres naturales o ciberataques como el ransomware. También, por efectos de acciones o parálisis de un tercero, caídas de energía eléctrica y hasta alguna acción terrorista o falla humana, entre muchas otras. Todas ellas pueden generar una interrupción de las operaciones, de la tecnología o del negocio.

Poder estimar y valorar con antelación riesgos corporativos que signifiquen imposibilidad de operar o caídas de los servicios tecnológicos. Así como identificar pérdidas reales que efectivamente paralicen las operaciones y el core del negocio.

Por: German Vargas Pedroza, Oficial de Riesgos Corporativos de Claro Colombia

¿Cómo actuar ante los riesgos?

En la actualidad, una interrupción de este tipo es muy impactante en la productividad de las compañías. En la medida que cada vez más los procesos están soportados por Tecnologías de la Información (TI) y de la Operación (TO). Más aún por la transformación tecnológica que están desarrollando las organizaciones.

Las factibles o reales cifras de pérdidas económicas, según el caso, son factores claves en la planificación financiera. También, para la toma de decisiones estratégicas relacionadas con reservas para la atención de imprevistos. Igualmente, en la planificación sobre en dónde o en qué priorizar los esfuerzos e inversiones en tecnología o en gestionar riesgos, seguridad y ciberseguridad.

Asimismo, para determinaciones sobre pólizas de seguros y su cobertura, e incluso, decisiones en la definición o realización de proyectos. Y, desde luego, en decisiones de inversión en alta disponibilidad, continuidad de negocio y resiliencia organizacional.

El costo de no tomar medidas a tiempo y la falta de debida diligencia pueden ser definitivas para la supervivencia. Pero esto, en sí mismo, debería ser un gran motivo para evaluar y valorar las pérdidas económicas de una falta de acción oportuna. O de que mantener la inercia empresarial sin ninguna previsión.
¿Cómo actuar ante los riesgos? Lea : Ciberseguridad aplicada a empresas industriales con un enfoque resiliente

Variables fundamentales que considerar en la valoración económica

  • Pérdida de ingresos: Quizás la más conocida y aplicada. Es relativamente fácil de valorar, se tienen en cuenta los ingresos que se dejan de percibir por unidad de tiempo, para cada uno de los servicios afectados. Para su estimación se usan datos históricos. También las cifras de los resultados de los estados financieros, que se aplican proporcionalmente por el tiempo estimado de la interrupción o el tiempo real.
    Estas cifras es importante anexar otras como las generadas por pérdidas de clientes y cancelación de contratos (basado en el indicador “churn”). Además de los costos de recuperar los clientes en abandono, o de generar otros nuevos en igual número a los perdidos.
    Otra variable dentro de este grupo se relaciona con la pérdida potencial de nuevos clientes y los ingresos factibles que podrían derivarse de ellos. Aquí podrían incluirse variaciones negativas en el promedio de ingresos por usuario, conocido como ARPU, ocasionadas por la interrupción.
  • Pérdidas de ventas: Se pueden calcular las nuevas ventas y oportunidades comerciales dejadas de realizar. Este cálculo se realiza en función de cifras históricas en promedio de ventas efectuadas en temporadas y períodos similares. La ecuación debe repetirse en cada servicio o tipo de producto afectados, por unidad de tiempo, multiplicado esto por el tiempo de la interrupción.
  • Pérdida de productividad: Un grupo de variables que deben tenerse en cuenta son las relacionadas con la Afectación de productividad personal. Por ejemplo, el número de empleados por cada servicio afectado por el salario promedio por unidad de tiempo. Otras variables pueden ser el porcentaje de la operación afectada, por el tiempo de la interrupción. También, la Afectación de productividad operacional, que son las pérdidas de la productividad operacional de la infraestructura. De igual modo, las tecnologías en servicio de la información, las comunicaciones y de la operación, planta y equipos comprometidos.
    Para obtener el valor, se debe notar el número de transacciones promedio por unidad de tiempo, por el beneficio promedio de producción, por el porcentaje de la producción afectada, por el tiempo de la interrupción.
    Debe tenerse el debido cuidado de no contabilizar y afectar doblemente el rubro de personas y recursos ociosos fuera de servicio.
  • Multas y sanciones del regulador: Es importante determinar costos originados en sanciones por incumplimientos regulatorios, que son, dependiendo del sector, de la organización. Igualmente, los requisitos legales que se dejan de atender por los servicios afectados que se encuentran regulados.
  • Reclamaciones y sanciones por afectación de cumplimiento de contratos: Se incluyen cifras económicas derivadas de notas de crédito por parte de los clientes afectados por los servicios comprometidos. También, las compensaciones por reclamaciones de los acuerdos de niveles de servicio incumplidos. Otra variable para incluir en este rubro es el costo incremental de atención de reclamaciones y PQRs.
  • Costos de Recuperación: Se incluyen los costos inmediatos para restablecer las operaciones y ponerlas en normal funcionamiento. De igual modo, los costos a mediano y largo plazo asociados con la recuperación como actualizaciones de infraestructura, inversiones en nuevas soluciones tecnológicas. También, la mitigación de riesgos, los costos de recuperación de datos, capacitación y entrenamiento de personal y la atención de vulnerabilidades para prevenir futuras interrupciones.
  • Pérdida económica en bolsa de valores: Si la compañía transa acciones en bolsa, se puede presentar una factible pérdida del valor de las acciones. Este costo podría ser importante, incluso para la continuidad, supervivencia y la resiliencia organizacional.
  • Otros costos inducidos por la interrupción: Como contratación de juicio de expertos para identificar las causas de su ocurrencia y actuar en respuesta a la situación presentada. Así mismo, los gastos para atender la defensa legal en casos de litigios y demandas. También la reparación de sedes, planta y equipos dañados, costos de desplazamientos, retención y nuevos procesos de selección de personal, contratación de servicios de atención de la emergencia. Adicionalmente, los costos por compras de suministros, costos en atención de comunicaciones, protección de imagen y gestión de crisis. Finalmente, los pagos en horas extras a los empleados o alquiler equipos y/o software para la atención de respuesta.

¿Cómo actuar ante los riesgos? Ver la prevención como una inversión.

Las interrupciones erosionan la confianza de los clientes, los inversionistas y otras partes interesadas. De paso, afectan la reputación y deterioran la marca y, más aún, pueden llevar a poner en riesgo la supervivencia misma de las organizaciones.

Múltiples afectaciones en cascada pueden impactar económicamente a las empresas y debieran ser contempladas. Aquí señalamos un buen número de variables a ser tenidas en cuenta para la cuantificación de posibles pérdidas, no es una lista exhaustiva. No todas necesariamente aplican a una interrupción particular que puedan tener las organizaciones. Es decir, es una guía que facilita la valorización de impactos, la formulación de modelos de cuantificación y debe aplicarse según el contexto de la interrupción y en proporción para la producción afectada.
¿Cómo actuar ante los riesgos? Esto le puede interesar: Nuevas amenazas financieras reveladas por Kaspersky