Hace unas semanas, durante el desarrollo de auditorías operacionales detectamos situaciones que podrían ser inconvenientes para la seguridad de dichas organizaciones. La historia se presenta al preguntar sobre el éxito de la seguridad en la organización y la respuesta fue éxito completo; al indagar como da ese resultado, los encargados manifiestan que es producto de la NO materialización de riesgos en la organización y podría considerarse una respuesta lógica, por lo que entramos a revisar su gestión a los riesgos de la organización que tenían documentada en una matriz de identificación de riesgos y peligros, sin embargo llamo la atención que no había sido actualizada desde hace 5 años, la razón era que no se presentaban cambios que afectara la organización, entrando a revisar la identificación y cambios de contexto detectando el desconocimiento y aplicación de la metodología escogida por la empresa para esta actividad por parte de los responsables, razón por la cual no se actualiza hace más de 5 años.
Indagamos sobre la eficacia de los controles, la respuesta fue la misma no se han materializado riegos, pero como saber si realmente los controles cumplen con el objetivo propuesto se convierte en un interrogante ante la falta de una métrica efectiva. También se detectó que no hay claridad en los tipos de eventos en que se pueda presentar una materialización de un riesgo como son las novedades, incidentes, eventos no deseados, siniestros y desastres. El cálculo del impacto se presenta únicamente en el daño económico que se tenga.
Buscando una causa a esta situación, durante la entrevista con el máximo órgano de gobierno se detecta que el pensamiento que se tiene del riesgo se basa en la percepción histórica (pero no en datos reales), y que los controles son suficientes al no materializarse un riesgo, los recursos solo se brindan para los riesgos extremos ya que no se retorna la inversión que se da.
Con este preámbulo, quisimos ahondar en cual es la posible causa de la ausencia de conciencia de la importancia de la gestión de los riesgos que nos lleve a trabajar la seguridad, también cual era la causa de creer que la ausencia mental del desconocimiento de elementos que nos llevan a la incertidumbre nos deja como resultado estar seguros.
Ante esta situación revisaremos el sesgo de supervivencia, buscando respuestas, encontrando: La definición de supervivencia entendida como la posibilidad de sobrevivir, seguir existiendo, en medio de situaciones adversas.
Conocido como sesgo de supervivencia, es un error lógico que distorsiona la forma de ver el mundo. Se da al momento de asumir que el éxito ha sido producto de toda la tarea, sin haber considerado adecuadamente los fracasos que formaron parte de esta en esa historia de la tarea.
Nos surge un cuestionamiento como es el ¿sesgo de Supervivencia es inconveniente para la gestión del riesgo y la seguridad?, revisemos el tema para seguir buscando una respuesta. Cuando nos preguntamos a que se deben los sesgos de supervivencia, se han considerado como un prejuicio cognitivo ocasionado por un malentendido entre la relación causa y efecto, en términos estadísticos se conoce como causalidad los casos en que una acción causa un resultado, mientras que existe la correlación que se refiere solo a una relación, siendo el sesgo de supervivencia selectiva es el que las personas crean que la correlación es causal, siendo este el malentendido de causa y efecto, permitiendo que se dé este efecto de la falacia.
Entendiendo mejor este concepto Wikipedia nos indica que la causalidad es la “relación necesaria existente entre causa y efecto; se puede hablar de esa relación entre acontecimientos, procesos, regularidad de los fenómenos y la producción de algo”.
No existe una única definición comúnmente aceptada del término “causa”. En su acepción más amplia, se dice que algo es causa de un efecto, cuando el último depende del primero tanto lógicamente, como cronológicamente; o, en otras palabras, la causa es aquello que hace que el efecto sea lo que es.
Esto se puede dar de muchos modos diversos y, por ello, no es extraño que a un efecto correspondan multitud de causas. Dos condiciones necesarias, pero no suficientes para que A sea causa de B son:
- Que A preceda a B en el tiempo.
- Que A y B estén relativamente próximos en el espacio y en el tiempo.
Si lo llevamos a gestión de riesgos, podríamos tener un ejemplo como es: en un área considera como crítica (se tiene los racks de los sistemas de información de la organización) y lo que impide que un agente generador de amenaza ingrese a dicho lugar es una puerta y lo que aparentemente garantiza que el control funcione es que esté cerrada y esto se debe a que tiene una cerradura, pero al preguntar por las llaves de dicha cerradura se desconocen su paradero, sin embargo, al revisar las existentes nos damos cuenta qué son duplicados.
Ante la usencia de un inventario, una auditoria y una medición del control sea eficaz, la incertidumbre es alta en la materialización de un evento que afecte la seguridad, sin embargo, en la realidad al no haberse presentado dicha materialización de un riesgo, con las consecuencias reales, podemos creer que todo está bien y se debe al éxito del control.
Sesgo de Supervivencia
Debemos recordar que el sesgo de supervivencia se viene estudiando hace décadas, y recordando la historia durante la Segunda Guerra Mundial, Estados Unidos quiso incorporar blindaje de refuerzo a ciertas partes específicas de sus aviones, los analistas se ocuparon de trazar los agujeros de bala y daños recibidos en los bombardeos que regresaron y pensaron que las alas, cola y cuerpo requerían mayor refuerzo. Es hasta que un matemático húngaro y experto en estadística Abraham Wald indicó que aquello podía ser un error. Trazar únicamente los datos de los aviones que lograban regresar, faltaban sistemáticamente datos de un subconjunto informativo y crítico: los aviones que recibieron daños y no consiguieron regresar.
Por un lado, se encontraban los aviones visibles que recibieron daños y conseguían volver y del otro, los aviones no vistos cuyos daños les impedía volver. Por lo que Wald concluyó que era preferible añadir armaduras a las partes ilesas, ya que donde los supervivientes lograban salir ilesos era más vulnerables. Los militares finalmente reforzaron las zonas más vulnerables, aumentando la seguridad de sus tripulantes gracias a que Wald había identificado el sesgo de supervivencia en los aviones.
Esto puede tener una consecuencia, ya que este tipo de sesgo de confirmación causa una limitación en la cual los observadores ignoran completamente la existencia de todos esos elementos, que en algunas oportunidades pueden ser la mayoría o disponer de elementos de interés que se terminan de perder.
La Alta Gerencia, los hombres de seguridad y gestores de riesgos especialmente, deben entender la importancia que tiene la información que nos arrojan las auditorías internas, de segunda y tercera parte, sin embargo, no son suficientes, se debe formalizar las investigaciones en las organizaciones de dos tipos, cuyo uno de sus objetivos debe ser entregarnos las causas y los efectos como resultado de posible o materialización de ese riesgo a través de la investigación de eventos materializados y la investigación preventiva de riesgos.
Investigación de Eventos Materializados
Novedades, incidentes, eventos no deseados, siniestros y desastres. Cada vez que se materializa un evento, bien sea una novedad, un incidente, un evento no deseado, un siniestro o un desastre, nos vemos sometidos en muchas ocasiones a un manejo reactivo, por lo general aplicando planes de contingencia, enfocados en garantizar la continuidad de la operación, los planes de emergencia que nos lleven a la minimización de los impactos, que pueden llegar a ser efectivos, pero en ocasiones la situación se puede convertir en experiencia inesperadas e incontrolables que afecta de manera intensa la sensación de seguridad y autoconfianza del individuo, provocando intensas reacciones de vulnerabilidad, pero sobre todo temor hacia el entorno. Aquí es donde entra a ser relevante la investigación, pero también inicia la confusión de la víctima o interesado en cómo desarrollar una investigación distinta a la judicial. Es vital establecer las causas para entrar a evaluar su tratamiento.
Investigación Preventiva de Riesgos
A factores y eventos del contexto interno y externo que afecten a la organización. Su objetivo es comprender el riesgo. Normalmente las organizaciones practican una identificación de contexto externo e interno anualmente, pero en muchas ocasiones se queda en eso identificación, pero la realidad no se tiene información confiable y exacta del cómo podría llegar a afectar a las organizaciones. La investigación de todos los riesgos nos permite conocer situaciones de riesgo real o potencial, como insumo fundamental para la correcta Gestión de el mismo que permita implementar medidas de carácter preventivas, detectives e incluso correctivas, ayudándonos a mejorar las condiciones de seguridad y aumentando la competitividad de las empresas. Metodológicamente podemos desarrollarlas teniendo en cuenta tres ejes de investigación de la siguiente manera:
- Estimación de las Amenazas Múltiples, contemplando a su vez en cuenta las líneas de investigación aplicada a la identificación de las amenazas antrópicas, amenazas naturales, amenazas sociales, especialización de la exposición a multiamenazas y por último la innovación para la especialización de las amenazas.
- Estimación de la Vulnerabilidad, contemplando a su vez las líneas de investigación aplicadas a la identificación de los factores socio económicos determinantes en el riesgo, gestión inclusiva del riesgo, relación humana-riesgos, vulnerabilidad física interperimetral-externa, y por último vulnerabilidad elementos esenciales.
- Estimación de las Capacidades para la Gestión del Riesgo, contemplando a su vez las líneas de investigación aplicadas a la comprensión de las capacidades locales, capacidades institucionales y saberes y prácticas de la gestión de riesgos.
La Alta Dirección debe garantizar la adecuada gestión del riesgo
Definitivamente es vital la Conciencia en Seguridad por parte del máximo órgano de gobierno, la alta dirección especialmente, pero en general a todos los integrantes de la organización con el fin de recaudar la mayor cantidad de información procesada sobre los riesgos en la organización, promover los programas de auditorías internas y externas, revisión por la alta dirección y seguimiento al cumplimiento de los objetivos estratégicos por parte del máximo órgano de gobierno, que no se quede en un simple informe que por falta de competencia en el manejo de los riesgos por parte de estos órganos se queda en un simple cumplimiento de un requisito.
Es importante que las organizaciones contemplen su memoria histórica, especialmente en su gestión de la prevención del riesgo y establecimiento de causas ante eventos materializados. Garantizar la continuidad del negocio hace parte de la responsabilidad del alto gobierno y dirección, se debe entender que no podemos continuar apostándole a las acciones temerarias o del azahar, en la medida que la conciencia de gestionar los riesgos sea más fuerte, los inconvenientes del sesgo de supervivencia no deben afectar la gestión del riesgo y la seguridad en las organizaciones.
Fuente: Risk and Blog, Por Carlos Bochell – CB Consultores Profesionales
