¿Cuál es el costo total del riesgo (TCOR)? Si no lo sabe, necesita conectarse mejor con los administradores de riesgos de su empresa, quienes miden los riesgos de lo que puede ser asegurado y cuánto cuesta hacerlo. Aunque la medición de los riesgos operacionales es todavía un rompecabezas para los CSO, los gerentes de riesgo están acostumbrados pues han lidiado con el TCOR por años.
En la era digital y de cumplimiento, los CSO están mejor integrados en los procesos de administración y medición de riesgos, de acuerdo con David Bradford, el hombre que encabeza la encuesta que establece una métrica clave en los seguros de riesgos: la RIMS Benchmark Survey, de la Sociedad de Administración de Seguros y Riesgos (Risk and Insurance Management Society, RIMS). Bradford es presidente de la división de investigación y redacción de Advisen, compañía que realiza la encuesta anual en nombre de RIMS. Los administradores de riesgos utilizan este benchmark como punto de referencia para ver si está pagando demasiado por su seguro.
Pero a medida que evoluciona la disciplina de administración de riesgos, también el cálculo del TCOR. La métrica se está expandiendo para incluir costos menos tangibles, como la pérdida de productividad. Bradford habló con CSO sobre este cambiante paisaje.
CSO: ¿Cómo evalúa el costo total de riesgo de una empresa?
Bradford: El concepto de “costo total del riesgo” puede ser un poco engañoso. En realidad los gerentes de riesgo son responsables por el costo total de las cosas. La idea ha estado presente desde la década de 1940 o 50. La forma en que tradicionalmente se define, para efectos de la encuesta RIMS Benchmark, es:
• El costo del seguro
• Más el costo de las pérdidas retenidas en lugar de o como parte de su organización –por ejemplo, riesgos no cubiertos por la póliza, o el deducible de una empresa
• Y los gastos administrativos del departamento de gestión de riesgos
Esta definición sigue siendo útil. Pero ahora hay que pensar en el riesgo estratégico, riesgo operacional, y su riesgo de seguridad de la información –puede llegar a ser un costo muy elevado. Y usted tiene que encontrar la manera de compararse contra otras organizaciones.
¿Cuál fue el resultado más destacable este año?
El costo total del riesgo relativo a las operaciones aseguradas, después de bajar durante unos años de manera continua, volvió a subir el año pasado. El costo de los seguros se define en gran medida por la cantidad de capital que hay dentro de la industria de seguros. El capital es equivalente a la oferta. Si se tiene una gran cantidad de capital, se cuenta con una gran cantidad de oferta, y la industria de seguros ha estado inundada de ofertas desde el 2004, aproximadamente. El año pasado, la oferta de capital aún era alta, pero el rendimiento financiero de la industria era tan triste que comenzó a poner freno a la disminución de tarifas, por lo que el costo del riesgo aumentó marginalmente.
Desde la perspectiva de RIMS, ¿quién es un administrador de riesgos?
En las grandes organizaciones por lo general existe alguien con ese título, y su papel es observar los tipos de riesgos que se pueden asegurar. Ellos toman la decisión de si algo puede ser asegurado y salen a comprar [esa póliza].
En una organización de atención médica, los administradores de riesgos tienen responsabilidades clínicas; en un banco, tienen responsabilidades financieras.
¿No es necesariamente un CSO?
No tradicionalmente, pero todo está cambiando ahora. Muchas organizaciones ven a la seguridad de la información desde el punto de vista de un problema de toda la empresa o solución. El administrador de riesgos se convierte entonces en parte de un equipo interdepartamental dirigido por un CISO.
¿Cómo está cambiando el benchmark del RIMS?
Estamos pensando en una visión más amplia del riesgo, cómo piensa la gente acerca de los riesgos y lo que constituye el costo real de riesgo en un mundo cambiante. Estamos considerando cosas como los temas de marca y reputación, además de los costos directos. Los administradores de riesgos están siendo cuestionados sobre los costos indirectos e intangibles.
Ahora mismo estamos desarrollando la conciencia de que la visión tradicional del costo del riesgo no necesariamente será muy útil en el futuro.
¿Qué impulsa estos cambios?
Hemos creado este libro [el benchmark] durante años y asumiendo que la industria estaba satisfecha con la definición del costo total del riesgo, pero nunca habíamos probado esa premisa. Hace un par de años hicimos un estudio complementario entre los gerentes de riesgos y les preguntamos qué tipo de factores adicionales se están incorporando en su pensamiento.
Les dimos una lista de distintas categorías de riesgos. Los riesgos de TI estuvieron presentes en la ecuación solamente para 10 por ciento de los encuestados.
¿Cuántas empresas compran un seguro para la seguridad cibernética?
Hay un mercado floreciente de seguros contra el fraude cibernético y los ciberataques. Acabamos de terminar una encuesta y creo que cerca de 40 por ciento de las organizaciones más grandes adquieren ahora [este tipo de seguro].
¿La métrica TCOR es importante para los CSO y CISO?
Creo que sí. Es evidente que para los CSO, el riesgo es aquello contra lo que están luchando. Si uno se mete en problemas de marca y reputación, además de los costos directos, tiene que haber una manera de decir: “Esto es lo que estamos gastando en la gestión del riesgo, y aquí está el beneficio que estamos obteniendo de esta práctica.”
– Michael Fitzgerald, CSO
