RIESGOS TECNOLOGICOS EN EMPRESAS DE PRODUCCION 1.

Introducccion Hoy resulta difcil pensar en los riesgos operacionales sin relacionarlos con los riesgos tecnolgicos. La actual proliferacin de aplicaciones basadas en flujos de trabajo, notificaciones activadas por el sistema y bases de datos con pginas web hace que sea imposible distinguir un proceso operacional del sistema en que se ejecuta. Toda falla en el proceso de creacin de un evento de prdida conducir, casi sin excepcin, a la identificacin de un control tecnolgico que no fue diseado correctamente o no funcion. Por ejemplo, se produjo una serie de incidentes que tuvieron amplia difusin, se comprob que uno de los principales factores que causaron esos hechos era el acceso inadecuado a los sistemas. Esta expansin de los riesgos atribuibles a la tecnologa ha afectado considerablemente el trabajo del gestor de riesgos tecnolgicos, que ya no solo tiene la responsabilidad de garantizar la seguridad de la informacin y la proteccin de los datos, sino que adems es "invitado" a participar en innumerables discusiones relacionadas con los procesos de negocios, a fin de analizar los controles de acceso, la segregacin de funciones, las jerarquas de aprobacin, las notificaciones y el envo automtico de comunicaciones a clientes, proveedores y personal con derechos de acceso a informacin reservada. En consecuencia, el riesgo tecnolgico ha cobrado tal relevancia como fuente de riesgo que muchas veces se le destinan departamentos especiales y presupuestos superiores, incluso, al que se invierte en la funcin central de riesgo operacional. Todas las actuaciones relacionadas con la tecnologa de una organizacin deben planificarse a lo largo del tiempo. En momentos cruciales toman la forma de un Plan Tecnolgico, lo que implica la identificacin y secuenciamiento de las actividades, la asignacin de recursos humanos, el empleo de recursos materiales, las necesarias

asignaciones econmicas y los mtodos de control del progreso de las actividades. La planificacin se realiza suponiendo que todo va a suceder de acuerdo con lo que ha pensado y valorado. No obstante, durante la puesta en marcha de cualquier actuacin relacionada con la tecnologa pueden surgir acontecimientos indeseables en la planificacin inicial de actividades. En el momento actual, con un fuerte gradiente de evolucin de la tecnologa, nicamente en proyectos con una duracin temporal inferior a un ao puede suponerse que el entorno tecnolgico es conocido y estable. Para proyectos con duracin superior es necesario considerar que la tecnologa puede modificarse sustancialmente durante su desarrollo y, por tanto, pueden existir consecuencias no previstas inicialmente que alteren sustancialmente el desarrollo del proyecto. Los casos de las tecnologas de la informacin y las comunicaciones o la biotecnologa son ejemplos en los que el gradiente de cambio tecnolgico es suficientemente elevado como para no poder considerar estable el entorno tecnolgico en periodos muy cortos de tiempo. Por su parte, el xito puede estar condicionado por multitud de elementos de riesgo cuyo control debe abordarse de forma integrada con el resto de las actividades. De hecho, la mayor parte de los proyectos de ingeniera complejos dependen de una correcta identificacin e incorporacin de las tecnologas apropiadas para su desarrollo que debern gestionar como parte del mismo. Estas tecnologas no siempre son suficientemente conocidas o maduras, por lo que su utilizacin no siempre genera los beneficios esperados. Desde este punto de vista, las actividades tecnolgicas de una organizacin se planifican con una serie de suposiciones que pueden verse alteradas por acontecimientos indeseables (riesgos) cuya aparicin real modifican o impiden el xito del proyecto de gestin tecnolgica. Cualquier modificacin de las previsiones efectuadas afecta fuertemente a la planificacin (plazo y coste de las tareas identificadas) y la

obtencin de los resultados deseados con el nivel de calidad exigido. Las modificaciones de la planificacin inicial son siempre complicadas: requieren tiempo y dinero y obligan a dedicar recursos humanos cualificados para ello. Conscientes de ello, la direccin de la gestin de la tecnologa de la empresa debe tener previstas actuaciones en el caso de que los riesgos que se hayan identificado se presenten realmente. El simple conocimiento de los riesgos de una actividad ya supone una ventaja al facilitar un estado de alerta sobre los mismos que disminuye sus consecuencias indeseables en caso de producirse. 2. Concepto de riesgo. Como el riesgo constituye una falta de conocimiento sobre futuros acontecimientos se puede definir como el efecto acumulativo que estos acontecimientos adversos podran tener sobre los objetivos de la actividad planificada. Tambin puede hablarse de riesgo cuando la consecuencia sea positiva para la marcha de la organizacin. Entre las principales definiciones de riesgo se pueden resaltar las del Project Management Institute (Duncan, 1996):

La gestin de riesgos es el proceso por el que los factores de riesgo se identifican sistemticamente y se evalan sus propiedades.

La gestin de riesgos es una metodologa sistemtica y formal que se concentra en identificar y controlar reas de eventos que tienen la capacidad de provocar un cambio no deseado.

La gestin de riesgos, en el contexto de un proyecto, es el arte y ciencia de identificar, analizar y responder a los factores de riesgo a lo largo de la vida del proyecto y en el mejor cumplimiento de sus objetivos.

De acuerdo con estas definiciones, un riesgo tecnolgico se concepta como la posibilidad de que existan consecuencias indeseables o

inconvenientes de un acontecimiento relacionado con el acceso o uso de la tecnologa y cuya aparicin no se puede determinar a priori. Para que un riesgo pueda considerarse gestionable y, por tanto, susceptible de considerarse dentro de los procesos de gestin de la tecnologa en una organizacin, es necesaria la existencia simultnea de los siguientes tres componentes:

Prdidas asociadas con el riesgo identificado . Se refiere a la existencia de efectos negativos resultantes de que el riesgo se concrete durante el desarrollo de la actuacin contemplada. Generalmente estas prdidas se pueden hacer corresponder con una valoracin econmica, aunque hay casos en los que eso no se produce as, como es el caso de prdidas de vidas humanas o de desastres medioambientales (en nuestro caso derivado del uso incorrecto o desproporcionado de la tecnologa).

Incertidumbre asociada. Es la probabilidad, pero no certidumbre, de que el riesgo identificado ocurra efectivamente y el momento temporal en el que eso pueda suceder. Hay que tener en cuenta que esta condicin implica que al riesgo debe poder asocirsele una probabilidad de ocurrencia a lo largo del tiempo.

Eleccin entre alternativas. Posibles actuaciones que mitiguen los efectos del acontecimiento indeseable. Si no existe eleccin por parte del gestor no existe riesgo, aunque s puedan existir prdidas. Estas alternativas permiten al gestor actuar para reducir su aparicin, las prdidas ocasionadas o ambas.

No todos los riesgos que ocasionan fuertes prdidas son gestionables en el sentido indicado. Es, precisamente, la conjuncin simultnea de los tres componentes mencionados lo que permite su gestin. 3. Orgenes de los riesgos de carcter tecnolgico y la adopcin de decisiones en su presencia. Los riesgos asociados a la tecnologa desde su concepcin, desarrollo y utilizacin no slo afectan a las organizaciones que la conciben durante

el tiempo de su desarrollo. Los riesgos en un proyecto pueden tener orgenes diversos y entre las fuentes ms tpicas se encuentran las siguientes:

Derivadas del propio proceso de adquisicin o transferencia de tecnologa. Son causas internas derivadas de una planificacin defectuosa o de la inadaptacin de los recursos humanos implicados.

Derivadas de dificultades en la organizacin receptora. Son causas derivadas de la organizacin en la que la tecnologa se va a utilizar y que afectan a su desarrollo o implantacin.

Derivadas de la tecnologa empleada en su desarrollo. Como ejemplo, la inestabilidad de la tecnologa empleada o la aparicin de otras tecnologas alternativas que la hagan intil o prematuramente obsoleta.

Derivadas del contexto externo a la organizacin. Como ejemplo, causas socioeconmicas o polticas que impidan el acceso a la tecnologa o su mantenimiento posterior.

Derivadas del mercado y de la evolucin de ste durante el desarrollo de las actuaciones tecnolgicas consideradas. Como ejemplo, causas econmicas y de penetracin tecnolgica muy diferentes de las previstas por acontecimientos no ligados a la tecnologa en s misma: una crisis econmica global.

Muchas veces estas fuentes de riesgos estn relacionadas entre s, como tambin lo estn los riesgos concretos de un proyecto, por lo que su separacin y anlisis diferenciado ser uno de los problemas y limitaciones a resolver por los gestores. La figura 1 representa esquemticamente la interaccin entre todas las fuentes de riesgos indicadas. Con ello se ha querido representar que la existencia de fuentes de riesgos mltiples no va a permitir un enfoque analtico de separacin de causas. Fig. 1: Fuentes de riesgos

Durante

la

actividad

de

una organizacin (por ejemplo, en la puesta en marcha de un Plan Tecnolgico) se toman decisiones tecnolgicas continuamente, tanto por el responsable como por el resto del equipo en funcin de sus responsabilidades respectivas. La toma de decisiones est, sin embargo, condicionada por la existencia de riesgos cuyos efectos y probabilidades pueden incrementarse por estas mismas decisiones. Cualquier decisin puede realizarse en tres condiciones diferentes:

Con certidumbre. Se dispone de toda la informacin necesaria para predecir el resultado de la decisin. Con incertidumbre. No se dispone de la informacin necesaria para tomar una decisin. nicamente se puede emplear la experiencia previa y la intuicin.

En presencia de riesgos. Slo se dispone de informacin parcial, aunque los efectos de los acontecimientos pueden predecirse y su impacto est acotado.

En el proceso de toma de decisiones relativo a la tecnologa y ante un problema identificado relativo a la aparicin de un riesgo previamente identificado, el gestor considera la situacin actual de la organizacin y, teniendo en cuenta su experiencia en el tratamiento de situaciones parecidas, selecciona una posible alternativa entre las previamente

analizadas y predefinidas. La seleccin de la alternativa ms adecuada no siempre es sencilla de determinar puesto que ello depende de mltiples factores contradictorios que ser necesario priorizar en funcin de la maximizacin de algunos parmetros. El efecto de determinadas opciones puede representarse mediante las denominadas matrices de efectos. La figura 2 describe una estructura genrica de matriz de efectos. Se han representado en filas las posibles opciones en manos del gestor, sus estrategias (S1, S2, S3), y en columnas un conjunto de acontecimientos sobre los que el gestor no tiene control directo pero que influyen decisivamente en los resultados de sus decisiones (N1, N2,..., Nm). La seleccin de una alternativa en el caso de que se produzca uno de esos acontecimientos tiene consecuencias muy diferentes sobre la organizacin. Para construir una matriz de efectos se deben identificar las situaciones sobre las que no se tiene control. Luego, se selecciona el conjunto de estrategias que se desea adoptar. Cada una de las estrategias implica adoptar determinados riesgos que sern diferentes en funcin de las situaciones externas que finalmente se presenten. Las celdas, por tanto, suponen el anlisis concreto de las consecuencias sobre la estrategia correspondiente de la situacin del contexto externo. En el caso de una decisin con certidumbre, independientemente de la situacin que finalmente ocurra, existir una estrategia dominante que producir mayores ganancias (o menores prdidas) que cualquier otra. En este caso, todas las situaciones tienen la misma probabilidad de ocurrencia. No obstante, en la prctica no hay una estrategia dominante para todas las situaciones puesto que la decisin se producir con informacin parcial. Generalmente, los mayores beneficios se producen cuando los riesgos son ms altos y las prdidas ms probables. Normalmente, cada situacin podr producirse con una determinada probabilidad cuya estimacin deber conocerse de la manera ms clara posible, si bien estas estimaciones son difciles de obtener.

Fig. 2: Matriz de efectos

4. Caracterizacin de riesgos tecnolgicos. No todos los riesgos tienen la misma importancia. De entre todos los factores que permitiran caracterizar un riesgo, dos de ellos, el impacto y la probabilidad de ocurrencia, son los que tienen mayor importancia para el gestor. Debido a ello, la gestin de riesgos debe comenzar con la situacin relativa de todos los riesgos identificados en un mapa bidimensional de impactos y probabilidades. Sobre este mapa se pueden tomar decisiones relativas a los riesgos en los que se debe prestar mayor atencin. Obsrvese que la existencia de un riesgo con una probabilidad muy baja puede despreciarse a pesar de que su impacto sea muy alto. En otros casos, la probabilidad muy alta puede verse compensada porque el efecto sea muy pequeo. La importancia relativa depende de la consideracin simultnea de ambos factores. La figura 3 representa una situacin en la que existen cuatro riesgos claramente diferenciados (Ri, Rj, Rk, Rl). Cada uno de los riesgos tiene una determinada probabilidad de ocurrencia y un impacto previsible.

Estos valores pueden ser en la prctica muy diferentes y, en funcin de ello, el gestor puede concentrarse en todos ellos o en un nmero limitado de los mismos. Fig. 3: Relacin entre probabilidades e impactos

En la realidad, conocer exactamente la probabilidad y el impacto de todos los riesgos posibles es muy difcil. Generalmente, slo se dispone de estimaciones para ambas variables cuya precisin es tambin muy diferente en funcin del riesgo considerado. En la figura 2 se puede observar cmo el margen (la nube de incertidumbre) asociada a cada riesgo puede ser mayor o menor. Las opciones posibles del gestor se han representado mediante el establecimiento de dos lmites distintos. Con el lmite 1, el riesgo Rl no sera considerado. Si se decide incrementar el lmite, nicamente el riesgo Rj debera gestionarse. Si se aplica este caso a la matriz de efectos descrita anteriormente y se considera que tanto los efectos como las probabilidades estn en un rango amplio, la decisin que tiene que tomar el gestor se complica y ya no es tan evidente cual sera la estrategia ms adecuada. En gran medida, depender del gestor y de su actitud o tolerancia frente al riesgo.

Si se aplica este caso a la matriz de efectos descrita anteriormente y se considera que tanto los efectos como las probabilidades estn en un rango amplio, la decisin que tiene que tomar el gestor se complica y ya no es tan evidente cual sera la estrategia ms adecuada. En gran medida, depender del gestor y de su actitud o tolerancia frente al riesgo. Siguiendo con el ejemplo de la matriz de efectos, supngase que las previsiones del mercado no son tan claras. Dicho de otro modo, los estados no controlados no permiten calcular adecuadamente probabilidades. Si se recalculan los valores con mximos y mnimos, posiblemente los valores esperados se situaran en mrgenes que se solaparan. La consecuencia es una dificultad mucho mayor para la toma de decisiones. Se considera riesgo de accidente tecnolgico al producto de la probabilidad de que se produzca un accidente en una instalacin [derrames (lquidos), fugas (gases), incendios y/o explosiones], por la magnitud de las posibles consecuencias del mismo, en trminos de afectaciones econmicas, a la salud o vida de los trabajadores y/o al medio ambiente. Los estudios para el anlisis y la evaluacin de los riesgos de accidentes tecnolgicos en instalaciones industriales, tienen como objetivo general la identificacin de los peligros y los riesgos derivados de los mismos presentes en equipos o procesos, su evaluacin, control y prevencin, o sea, la adopcin de las medidas requeridas para evitarlos o disminuir la posibilidad de que se produzca el accidente y/o la magnitud de sus consecuencias. En un mercado en expansin tecnolgica constante no hay prcticamente forma de sobrevivir sin estar al menos al tanto de estos avances, ya la tecnologa se ha transformado en un elemento inexorable de cualquier emprendimiento que se proyecte con cierta ambicin expansionista.

Pero

as

como

es

un

engranaje

imprescindible

del

desarrollo

empresarial, la tecnologa y su uso tambin conllevan ciertos riesgos. Y desde que la tecnologa se transform en factor clave, los riesgos que vienen con sta se han vuelto inevitables. Por riesgo entendemos cualquier posibilidad o de que a acontezca la determinado de los evento objetivos contraproducente adverso consecucin

mercantiles de la empresa, los riesgos tecnolgicos sern esas posibilidades que vienen encerrados en el uso mismo de esta tecnologa, y segn ISACA (Asociacin de Auditora y Control de Sistemas de Informacin), estos riesgos son cinco. 5. El abanico de posibilidades riesgosas que deriva del uso de tecnologas es el siguiente: a. A la probabilidad de que se filtre informacin sensible o privada a entidades que no deberan tener acceso a ella se le denomina riesgo de seguridad y acceso. b. A la posibilidad de que la informacin no sea verdica, confiable, exacta o segura del todo se le denomina riesgo de integridad c. El riesgo de no llegar a obtener la informacin adecuada en tiempo preciso para su aplicacin correcta es conocido como riesgo pertinente d. Se le dice de disponibilidad al riesgo de perder el servicio por fallo tecnolgico. e. Se le conoce como de infraestructura al riesgo de que las necesidades de la empresa, actuales y a posteriores, no puedan verse sostenidas de manera satisfactoria por la infraestructura tecnolgica de la organizacin. Existen otros tipos de riesgos as como una gran variedad de tcnicas para calcular la probabilidad de que dichos eventos indeseados ocurran y una serie de tcticas para combatirlos, pero ese es un tema a desarrollar ms adelante. Anlisis de factores tecnolgicos

La tecnologa se puede clasificar en tres grandes campos: la de uso, la de avance y la estratgica. La primera es aquella necesaria para ser competitivos a corto plazo, redunda en poder ofrecer una relacin costo calidad acorde con las necesidades del mercado y con la que ofrecen nuestros competidores. La segunda, son aquellas que nos pueden suponer, en un momento determinado, una ventaja a corto plazo sobre nuestros competidores. La tercera, aquella que nos puede proporcionar a medio plazo una ventaja competitiva, y que implica un salto cualitativo y cuantitativo importante en los mtodos y procesos de mercado, produccin o gestin. En las dos primeras nos encontramos con empresas que ya compiten en nuestro sector. En la tercera es donde encuentran las nuevas empresas los nichos y oportunidades para entrar. La tecnologa estratgica supone un alto esfuerzo para las empresas que estn dentro del sector no solo desde el punto de vista econmico, sino tambin desde el punto de vista organizativo y adaptativo. La velocidad de introduccin de la tecnologa se encuentra determinada por la rentabilidad, facilidad y ventajas que proporciona al usuario final. La viabilidad tecnolgica a nivel empresa se puede evaluar desde tres pticas: Viabilidad tcnica; Es tcnicamente viable, con los recursos y conocimientos que poseemos, o que son susceptibles de poseer. Viabilidad econmica; Es econmicamente viable desde el punto de vista de la inversin y recuperacin de la misma. Tenemos o podemos disponer de los recursos necesarios para asegurar su buen fin?

Viabilidad de mercado; Supone ventajas de facilidad de uso, rentabilidad y rapidez que sean fcilmente percibidas y valoradas por el usuario final?