Una organización asume riesgos para ganar algo. Un banco acepta el riesgo de dar créditos ya que a través de esa actividad gana dinero. Este tipo de “apuestas” se conocen como riesgos de estrategia y su modelo de análisis es distinto a los riesgos de seguridad con los que estamos familiarizados. En los modelos de riesgos de estrategia el objetivo es identificar el máximo nivel de exposición que podemos asumir evitando que tal riesgo se materialice, en este caso el fin es ganar, mientras que en los riesgos prevenibles se busca minimizar el margen de exposición a amenazas cerrando vulnerabilidades, aquí el propósito es no perder.
Robert Kaplan, en su ensayo, Un nuevo marco para gerenciar riesgos (Harvard Business Review), formuló tres categorías:
Riesgos Prevenibles: Estos son los riesgos internos de una organización, son controlables y debieran ser eliminados o evitados. Ejemplos de estos riesgos son los incidentes producidos por fallas en los sistemas de protección, pero son de especial importancia las acciones ilegales, no éticas, inapropiadas o incorrectas de gerentes y empleados. La mejor forma de manejar estos riesgos es a través de la prevención activa. Es decir, monitoreando y guiando a la gente y sus decisiones hacia las normas deseadas.
Riesgos Externos: algunos riesgos surgen de eventos ajenos a la organización y más allá de su control. Las fuentes de estos riesgos incluyen desastres naturales, cambios políticos o grandes variaciones macroeconómicas. Este tipo de riesgos requieren un modelo distinto de aproximación. Debido a que no son prevenibles, el foco de atención debe ponerse en identificarlos y planificar para reducir la severidad de sus impactos.
Riesgos de Estrategia: es el tipo de riesgos que una organización acepta voluntariamente para sacar el máximo provecho en el camino hacia sus objetivos. Una estrategia de la que se espere altos retornos implica también riesgos significativos, por lo tanto, gerenciar riesgos de estrategia requiere un sistema diseñado para reducir las probabilidades que el riesgo asumido se materialice. La idea no es evitar a través de estos sistemas, que las organizaciones no asuman riesgos, al contrario, se trata de brindarles una red de seguridad para que se arriesguen con algo más de confianza.
La seguridad está directamente asociada a los riesgos prevenibles entendiendo que todo aquello que no se pierde es ganancia. En el juego de ajedrez, los grandes maestros enfocan su juego en evitar errores mientras que los principiantes sólo se concentran en ganar. Son dos visiones opuestas que persiguen el mismo fin. Tendemos a preocuparnos más por ganar que por cuidar lo que ya tenemos. En términos económicos dejar de perder es igual a ganar, pero en la realidad puede significar aún más. Dañar la reputación prestando un mal servicio o vendiendo un producto en mal estado puede resultar significativamente más costoso que recuperarla, por tanto cuidar lo que se ha logrado es un objetivo estratégico principal de la seguridad en toda organización.
En este sentido, los procesos de calidad, prevención y mantenimiento son claves en la agregación de valor, si se entienden como “fondos de ahorro”. Un componente adicional de esta fórmula es el impacto que tiene la minimización de las pérdidas en la cultura de una organización. Una organización que cuida y desarrolla un poderoso sentido de pertenencia por su cultura y sus activos, termina construyendo un círculo virtuoso alrededor de la seguridad como valor preciado.