ππ¦π’ππππππ’Μπ‘ ππππ₯π’ππ ππ₯ππππ‘π ππ πππ¦π§ππ’Μπ‘ ππ π₯πππ¦ππ’π¦ π¬ π¦πππ¨π₯π’π¦ (ππππ₯π¬π¦)
Desde el 11 de Marzo de 2020 en que oficialmente la Organización Mundial de la Salud (OMS) declaró el brote de coronavirus denominado COVID-19, como PANDEMIA, la Asociación Iberoamericana de Gestión de Riesgos y Seguros (AIGRYS) y sus asociados se han abocado a asesorar, implementar y monitorear las acciones que se han estado llevando a cabo en los distintos países de Iberoamérica y España.
Para conocer y obtener información de terreno respecto del quehacer de nuestros asociados, distribuidos en toda Iberoamérica y España, hemos recogido sus opiniones en calidad de especialistas en gestión de riesgos y seguros desde la perspectiva local, permitiendo a nuestra asociación realizar un análisis de la situación en terreno e informar respecto de las realidades de cada país.
La encuesta que hemos llevado a cabo se realizó entre el 27 y el 30 de abril de 2020 y han participado 92 especialistas, socios de AIGRYS, abarcando 14 países de Iberoamérica y España, según muestra el gráfico de la Figura 1 y considerando que la mayoría de nuestros asociados se encuentran en Colombia, es evidente que la mayoría de las encuestas también tengan ese origen. No obstante, es importante considerar en el análisis regional los aportes provenientes de Uruguay, Venezuela, Nicaragua, Honduras y Bolivia.
Al consultar respecto de qué controles se han implementados en cada país y para efectos de este primer análisis general, no se consideró la cantidad de respuestas respecto de cada control, ni la calidad del control, sino simplemente si éste estaba en vigencia al momento de la presente encuesta.
Dados los resultados disímiles que se han observado en la región, no es posible determinar que una u otra metodología o elemento de control sea más conveniente que otro. Es claro que por ser una situación desconocida para todos, se está implementando controles en la medida que surgen ideas factibles de implementar, balanceando la situación de riesgo de la población, la capacidad de los sistemas sanitarios y la economía del país.
Se puede observar que, salvo Nicaragua, todos los países han puesto en operación diversos controles a fin de mitigar los efectos de la pandemia sobre la población y la disponibilidad de sistemas sanitarios que permitan cubrir dichas necesidades.
Se puede identificar que Bolivia y Costa Rica no han tomado medidas de cierre de puertos (marítimo, aéreo, terrestre), al igual que Costa Rica y México no han implementado el cierre de terminales de buses y/o trenes. La cuarentena total obligatoria, una medida implementada en muchos países, incluyendo China como punto de origen de la enfermedad, considerada como una de las principales herramientas de control de la pandemia según la OMS, no ha sido implementada en Chile, Guatemala, Honduras y Uruguay. Sin embargo, las cuarentenas parciales han sido implementadas por todos los países a excepción de Venezuela.
Casi un tercio de los países de la muestra no tiene un alto nivel de muestreo de pruebas de contagio. Una recomendación de la OMS es justamente contar con el mayor número de pruebas preventivas. En la medida que los países desarrollan un mayor número de pruebas en la población, es mayor el número de enfermos detectados oportunamente, permitiendo disminuir la tasa de contagio.
Adicionalmente, un mayor número de pruebas permite identificar a los enfermos asintomáticos, que mantienen un importante potencial de contagio, sin presentar síntoma algún, lo que los transforma en un importante medio de diseminación de la enfermedad, el que debe ser controlado. Salvo Venezuela, todos los países presentaron adquisición preventiva de insumos. Sin embargo, una situación particular se vivió en España, puesto que la enfermedad se presentó en la temporada de gripe.
Dada esta situación, se desconoce exactamente cuando ingresó la enfermedad al país y es por ello que se da un importante número de personal sanitario y de apoyo que ha sido contagiado. Esta misma situación explicaría el atraso en la implementación de medidas de control apropiadas y oportunas. Nuevamente Bolivia y Venezuela son los únicos países de la región que no han considerado necesario perfeccionar sus protocolos de atención de los pacientes, ni han implementado mecanismos de control de su capacidad sanitaria de atención.
No obstante, Venezuela ha implementado controles sanitarios adicionales. Respecto de indicadores de gestión, la mayoría de los países ha implementado algún tipo de mecanismos o indicador. En general, estos indicadores no son comparables entre países dado que la definición de los mismos es distinta, incluso la de muertos por causa de la pandemia.
π§πππ π£π’ ππ π ππππππ¦ π§π’π ππππ¦
Al consultar respecto a si las medidas y controles que han sido implementados oportunamente por las autoridades gubernamentales, los resultados se muestran en la Figura 3. Un 37% de los especialistas considera que las medidas fueron implementadas razonablemente en tiempos oportunos. Sin embargo, un 15% considera que sus autoridades han demorado en exceso en la implementación de medidas de control, afectando el impacto de la situación en la población.
A su vez, en la Figura 4 se puede observar que la valoración subjetiva de los tiempos de puesta en marcha de dichos controles es variable según cada país. Destacando Bolivia, Costa Rica y El Salvador en que los profesionales están de acuerdo en que estos plazos han sido oportunos; Honduras y Venezuela en que los profesionales están de acuerdo en que estos plazos han presentado atrasos de pocos días; y Nicaragua, considerando que no han implementado medidas de control, claramente presenta atrasos inaceptables para la población.
Al asignar un valor 3 a las respuestas “Sí”, 2 a las respuestas “Atraso de pocos días” y un 1 a las respuestas “Atraso excesivo”, es posible generar un promedio por país, siendo el promedio general de la región un 2,2 levemente mejor que “Atraso de pocos días”. En la Figura 5 se puede observar estos promedios donde destacan España y Nicaragua, como los peores evaluados. Esta situación pone en evidencia una premisa de la gestión de riesgos cual es que “no importa cuántos controles se implemente para mitigar un riesgo en particular, si estos no son oportunos, es lo mismo que no tener control alguno implementado”.
π£ππΜπ¦ππ¦ π¬ ππ₯π₯π’π₯ππ¦ ππ‘ π§π’π π ππ π ππππππ¦
En la Figura 6 se identificar los principales errores cometidos por las autoridades por país.
Se debe considerar adicionalmente las siguientes situaciones identificadas por los asociados a AIGRYS:
Pese a que se indica que la mayoría de los países ha tomado medidas preventivas mediante la adquisición de equipamiento e insumos según la Figura 2, en esta pregunta se logra identificar que Chile, El Salvador y Venezuela son los únicos que no presentan el error de “no prever las necesidades”. El 50% de los países ha cometido el error de tomar medidas atrasadas, así como no implementar suficientes controles. También, más del 80% de los países ha implementado medidas con errores en los controles asociados.
π ππππππ¦ ππ’π‘π¦ππππ₯ππππ¦ π£π₯ππ©πππ ππ‘π§π
Respecto de las medidas preventivas consideradas con la debida anticipación en los planes de continuidad de las organizaciones, al consultar específicamente aquellas consideradas ante la indisponibilidad de personal físicamente en las dependencias de la organización, se obtuvo el siguiente resultado general.
Un 66% de las organizaciones tenía considerado previamente la implementación de teletrabajo y un 37% tenía considerado las opciones de enviar a parte de los funcionarios de vacaciones, generar un sistema de turnos con personal mínimo o simplemente no tenían ningún mitigador previsto.
Es interesante destacar que un 5,4% de los encuestados informó que tenían en consideración la aplicación de seguros asociados a lucro cesante y/o imposibilidad de pagos. Al profundizar el análisis anterior y diferenciarlo por país se identifica que Colombia y Perú son los países donde se ha planteado una mayor variedad de opciones para enfrentar la indisponibilidad de personal físicamente en las dependencias operacionales. Les siguen Costa Rica, España y Guatemala. Además se puede identificar que Uruguay es el único país en que no se consideró este riesgo y por tanto no se tomaron acciones tendientes a mitigarlo.
π¦π ππππ‘π§πππππ’Μ ππ’π π’ π₯πππ¦ππ’
Al consultar si el riesgo de indisponibilidad había sido identificado y si este fue informado a las autoridades de las organizaciones, un 38% de los encuestados indica que no se identificó riesgo alguno asociado a la indisponibilidad de recursos humanos. Sin embargo, lo más preocupante es que un 27% de los encuestados informó del riesgo y no se consideró suficientemente relevante.
Profundizando el análisis por país, Figura 10, se puede observar que Bolivia, Honduras, Nicaragua y Venezuela son los únicos países donde la totalidad de los encuestados ratifica que se identificaron riesgos relevantes en la materia.
Además, destacan Bolivia y Chile en que proporcionalmente casi el 50% de los encuestados informó que algún riesgo asociado a la indisponibilidad de personal fue identificado e informado a las autoridades correspondientes, pero se desconsideró por dichas jefaturas. Ello es evidencia de la necesidad de las organizaciones en dichos países perfeccionar el interés y nivel de comprensión de los riesgos que identifican los expertos.
π₯ππππππ’Μπ‘ ππ πππ¦ ππ¨π§π’π₯ππππππ¦ ππ‘π§π ππ ππππ‘π§ππππππππ’Μπ‘ πππ π₯πππ¦ππ’
A nivel de gobernanza, al consultar respecto de cómo reaccionó la Alta Dirección, Directorio o las máximas autoridades de la organización ante la identificación de un riesgo de esta naturaleza, como muestra la Figura 11, sólo un 27% consideró relevante la recomendación del experto y tomó algún tipo de medida.
Un aspecto relevante es que un 7% de estas autoridades menospreció pública o privadamente el trabajo presentado por el experto y un 14% simplemente no consideró la advertencia que se le estaba haciendo. Al realizar un análisis más detallado, a nivel de país, se observa que en Chile, Colombia y México se presentan los casos en que se ha menospreciado pública o privadamente las alertas emitidas por el experto en materias de riesgos.
En la misma Figura 12 se puede observar que tanto en Chile, Colombia, Costa Rica, Ecuador, España, Guatemala y Perú, entre el 20% y 30% de los encuestados de dichos países no informaron el riesgo. Esta situación se puede dar por varios motivos, pero es imperante que los especialistas efectivamente levanten las alertas que corresponden de forma oportuna, indistinto de las reacciones que pudieran tener las jefaturas correspondientes.
Al utilizar la siguiente tabla para valorar las reacciones de las autoridades, es posible obtener promedios por país. Para ello se descuenta las situaciones en que no se planteó y aquellas situaciones en que el trabajo del profesional fue menospreciado se consideran como que no se consideró en absoluto.
A partir de ello se generan promedios que se presentan en la Figura 13.
Al aplicar el criterio antes mencionado, se observa que el promedio de la región es levemente superior a 2, es decir que en promedio “Se consideró parcialmente” la alerta. Sin embargo, Chile es el país de la región que presenta el nivel de reacción más bajo, entre “No se consideró en absoluto” y “Se consideró parcialmente”.
π₯ππππππ’Μπ‘ ππ πππ¦ π’π₯πππ‘ππππππ’π‘ππ¦ ππ¨π₯ππ‘π§π ππ ππ₯ππ¦ππ¦ πππ§π¨ππ
Al considerar las acciones que se han tomado, indistinto que estén o no consideradas en un plan de continuidad del negocio, un plan de recuperación ante desastres, un plan de manejo de crisis o simplemente improvisando en la materia, como se ilustra en la Figura 14, se pudo identificar que un 30% de los encuestados implementó rotación de personal combinada con teletrabajo, manteniendo su operación; un 34% implementó el teletrabajo, reduciendo significativamente la operación de la empresa y un 25% implementó únicamente el teletrabajo.
No obstante los datos anteriores, se desconoce las características de cada negocio, pudiendo unos continuar su operación implementando el trabajo remoto, mientras otras, por su propio giro, podrían no estar en condiciones de implementar exitosamente esta solución y han optado por otro tipo de alternativas.
Al analizar la situación antes descrita, pero por país, se identifica que Colombia y México son los únicos donde se presentan registros asociados a cerrar la empresa y despedir a todos, esto es liquidar por completo el negocio. Siguiendo la misma línea, aunque algo menos drástico, en Chile, Colombia, Ecuador, El salvador y Perú, se observan también cierre de empresas, pero enviando a sus empleados de vacaciones.
Al evaluar cuales de las medidas mencionadas anteriormente estaban consideradas dentro de algún plan de continuidad, plan de recuperación ante desastres y/o plan de manejo de crisis, a nivel regional ninguna empresa consideró la opción de cerrar el negocio y despedir a los empleados y tan sólo 1% de ellas no tenía contemplado algún tipo de medida de las mencionadas.
A partir de los datos recabado anteriormente y comparando lo que efectivamente se ha puesto en marcha respecto de lo planificado podemos observar el siguiente cuadro.
Esta comparación evidencia una inconsistencia entre lo planificado y lo implementado. Esto se puede deber a múltiples factores, pero claramente, en general, no se siguieron los planes definidos para ello. Esto demuestra desconfianza en los planes de continuidad y un alto nivel de improvisación ante escenarios adversos con un impacto CATASTRÓFICO, como el analizado.
π₯πππ¦ππ’ π¬ ππ¦π§π₯ππ§ππππ π©ππ‘ ππ¨π‘π§ππ¦
Al analizar si la gestión de riesgos es considerada al momento de tomar decisiones o definir estrategias, más de dos tercios de las organizaciones indica que “Sí”. Sin embargo, ello es contradictorio respecto de la aplicación de medidas planificadas vs las implementadas efectivamente, según indicado en la Figura 17 precedente.
Al realizar el mismo análisis anterior, llama la atención Perú, con un 61,54% de respuestas que indican que NO se plantea el riesgo al definir estrategias o tomar decisiones, seguido de Chile con un 57,14% de respuestas en el mismo sentido. Ello es un indicador que los tomadores de decisión no están considerando los riesgos o no confían en sus especialistas y por ende es muy probable que estén tomando decisiones equivocadas o con un importante margen de error.
Adicionalmente, los diversos comentarios explicando el motivo por el cual se indicó la opción señalan que son las grandes empresas, que cuentan con los recursos suficientes y el nivel de madurez apropiado, las que contaban con elementos o planes asociados a la indisponibilidad de personal o infraestructura física. Las medianas, pequeñas y micro empresas usualmente están agobiadas con cumplir con sus obligaciones legales y contractuales y no cuentan con tiempo ni recursos para realizar un análisis de riesgo que les permita identificar sus debilidades, amenazas y riesgos con el objetivo de implementar medidas de control de los mismos.
ππ£ππ§ππ§π’ ππ π₯πππ¦ππ’
Al consultar si se ha definido apropiadamente el apetito de riesgo, el cual es base para determinar hasta qué punto se implementan los controles, se obtiene un promedio de la región 49,68% que indica que sí se ha articulado apropiadamente. Sin embargo, se presentan países como Chile (28,57%), Ecuador (30,00%), México (37,50%) y España (40,00%), donde menos del 50% de las organizaciones ha realizado estas definiciones esenciales.
En general, las organizaciones que indican no contar con una definición de apetito de riesgo lo explican indicando que solamente se cumple con los aspectos legales, asociados al riesgo laboral o a requerimientos específicos de un regulador en particular. También están aquellas organizaciones que no han priorizado el tema o que simplemente no han contado con los recursos necesarios, por ejemplo asociados a una consultoría especializada.
Complementariamente se preguntó si el apetito de riesgo es considerado al momento de tomar decisiones, indistinto que esté definido y documentado o sea simplemente informal. Como se muestra en la Figura 21, un 75,84% de las organizaciones en la región efectivamente considera el apetito de riesgo para la toma de decisiones. No obstante, existe un significativo 24,16%, casi 1 de cada 4 organizaciones, que no lo considera.
Chile es el país que muestra el peor desempeño en este punto, donde tan solo el 42,86% de las organizaciones indica que se considera el apetito de riesgo al momento de tomar decisiones.
ππ¨ππ§π¨π₯π ππ π₯πππ¦ππ’π¦
Al analizar la proporción en que la cultura de riesgos de una organización aporta a la toma de decisiones se idéntica que a nivel regional aproximadamente un 30% de las organizaciones considerar que tiene efectos iguales o menores a un 40% sobre la toma responsable de riesgos. Esto se puede interpretar como que prácticamente 1 de cada 3 organizaciones toma riesgos de forma intuitiva, con poca información fidedigna.
Al profundizar el análisis por país, se observa que Chile, Costa Rica y México son los países donde la cultura de riesgo, en más de un 70% de las respuestas, se indica que es incidente en menos del 60% en la toma de decisiones en una organización. Es decir, que en 7 de cada 10 respuestas se indicó que la toma de decisiones de la organización no considera o considera parcialmente la cultura de riesgo.
Al consultar respecto de ¿qué objetivo utiliza la administración para supervisar la cultura del riesgo de la empresa?, las respuestas fueron variadas, aunque en general muchas indicaban que no se contaba con objetivos determinados, se busca cumplir con las exigencias mínimas legales y normativas, o simplemente exigencias de algún ente regulador. Esta situación se presentó en forma transversal en todos los países de la región.
En algunos casos, se mencionó la gestión de indicadores de diversas características o el cumplimiento y disponibilidad de planes de continuidad o procesos de mejora continua.
ππΜπ‘πππ¦ ππ πππππ‘π¦π
Al intentar identificar las funciones clave, dentro de la organización, relacionadas con la gestión de riesgos y/o sus controles, en la Figura 23 se puede observar que salvo España, en todos los países se menciona a una unidad o área de Auditoría Interna como parte de la organización. De igual forma, en todos los países, con excepción de El Salvador, se menciona una unidad o área de Gestión de Riesgos. Uruguay y Costa Rica son los únicos países donde no se presentan organizaciones que tengan las tres unidades o áreas descritas.
Al evaluar el nivel de confianza que existe respecto del órgano de control en las organizaciones, Figura 24, una de cada tres organizaciones indicó que no existe confianza en dicha unidad o área. Esto refleja una importante brecha que debe ser subsanada a la brevedad, puesto que un control respecto del cual no se confía puede generar costos adicionales o entregar información inapropiada para la toma de decisiones
Al profundizar el análisis por país, destacan El Salvador y Uruguay. Este último además tiene el nivel de corrupción más bajo de américa latina con un puntaje de 71/100 en el índice de transparencia internacional (Corruption Perceptions Index 2019; Transparencia Internacional).
También se identifica que, pese a que Chile es el segundo país mejor evaluado en el índice de transparencia internacional (Corruption Perceptions Index 2019; Transparencia Internacional) con un 67/100, son más las organizaciones donde no se confía en el órgano de control. De igual forma, México, con un 29/100 en el mismo indicador, se encuentra en el 30% de los países que presenta menor transparencia, sin embargo existe un alto nivel de confianza en los órganos de control. Similar situación se observa en Colombia, con un índice de 37/100, su nivel de transparencia es levemente mejor que el de México, pero aún bastante bajo. Sin embargo, también existe un alto nivel de confianza en los órganos de control.
ππ‘ππππππ’π₯ππ¦ ππ₯π
Al evaluar si las organizaciones cuentan con algún tipo de indicador asociado a la crisis actual, particularmente al COVID-19, se observa que poco más del 40% de las organizaciones de la región consultadas cuentan con algún tipo de indicador.
Al analizar la misma situación por país, nuevamente Uruguay destaca como el único país donde todos los encuestados indican afirmativamente tener alguna forma de indicador asociado a la pandemia.
España destaca por ser uno de los países más afectados por la pandemia, sin embargo menos del 70% de los encuestados responde afirmativamente contar con algún tipo de indicador en su organización.
En contraposición, Perú y Ecuador son los países donde se presenta el menor número de organizaciones que cuentan con un indicador que les permita gestionar de alguna forma la situación.
π£ππ₯π§ππ¦ ππ‘π§ππ₯ππ¦ππππ¦
Al evaluar cuantas organizaciones han involucrado a partes interesadas en el manejo de la crisis, se identifica que tres de cada cuatro organizaciones encuestadas efectivamente se han coordinado con grupos de interés para facilitar la continuidad operacional.
Al analizar en detalle la situación de cada país de la región, se observa que Nicaragua y Perú son los países con menor cantidad de organizaciones que han involucrado a grupos de interés en la gestión de la crisis actual.
π¦πππ¨π₯ππππ ππ ππ ππ‘ππ’π₯π ππππ’Μπ‘
Dada la situación de contingencia, para mantener la continuidad de las operaciones las empresas y organizaciones se han volcado a las diversas tecnologías como herramienta para ello. Sin embargo, un aspecto altamente relevante en la materia es la Seguridad de la Información. Por ello se ha consultado a los encuestados respecto de las herramientas utilizadas para garantizar sus respectivos niveles de Seguridad de la Información.
A nivel de la región, Figura 30, se puede observar que la mayoría de las organizaciones han optado por la utilización de sistemas de videoconferencias privados y pagados, y un aumento en el monitoreo de las actividades en sus redes. Sin embargo, es preocupante observar que algunas empresas han optado por sistemas de videoconferencia privados, pero gratuitos, así como simplemente no hacer nada especial que les permita garantizar los niveles de Seguridad de la Información que gestionan.
A nivel de cada país, Figura 31, se observa que prácticamente en la mitad de los países de la región existen organizaciones que no han implementado medidas especiales asociadas a la Seguridad de la Información. De igual forma, se observa una gran variedad de herramientas implementadas en los distintos países, destacando Colombia, Ecuador, España y México como los países donde distintas organizaciones han implementado diversas herramientas, cubriendo las siete opciones disponibles.
ππ’π‘πππ¨π¦ππ’π‘ππ¦
Del resultado de la investigación realizada con las aportaciones de los socios de Iberoamérica y España de la Asociación Iberoamericana de Gestión de Riesgo y Seguros (AIGRYS) se puede concluir que:
La gestión de riesgos en los países representado en la muestra se encuentra implementada y se ha logrado identificar el riesgo, solo que el mismo no fue identificado con un nivel prioritario. A pesar de ello, parte de las medidas tomadas fueron implementadas en un tiempo razonable de respuesta y parte de las acciones de respuesta estaban consideradas en el Plan de Continuidad y Recuperación.
Se cuenta con un nivel medio de madurez respecto de la Gestión y Cultura de Riesgos y probablemente el evento actual sea considerado dentro de los objetivos estratégicos de las organizaciones con mayor prioridad, considerando la medición de indicadores que generen las alertas tempranas y permitiendo a más organizaciones estar preparadas para enfrentar eventos de similares características, evitando confundir eventos de tipo “cisne negro”, que no es el caso de la Pandemia COVID-19. Sin descartar que, en el futuro pueda presentarse un “cisne negro”, el que podrá enfrentarse con guías y controles en las diferentes líneas de defensa con ética y transparencia requerida.
Se rescata la necesidad de reforzar las medidas de salud y disposición de medios que permitan resultados veraces y en un menor tiempo. Ello permitiría tomar decisiones más acertadas y de reacción temprana ante próximos eventos similares.
La situación actual ha permitido destacar con mayor fuerza la utilización de teletrabajo. Esta situación trae consigo un cambio total en la dinámica laboral, modificando procesos y procedimientos, generando nuevos riesgos emergentes que deben ser identificados y controlados. Para ello, la gestión de Seguridad de la Información se encuentra en sus primeros pasos, siendo un tema que merecerá una atención especial en la estrategia de las empresas, evitando incurrir en pérdidas en caso de no atenderlas oportunamente y de manera eficiente.
Si bien ya sabemos que las grandes empresas cuentan con reservas que les permitan enfrentar este tipo de eventos, las medianas y pequeñas empresas no tendrán los mismos resultados, por cuanto es indispensable focalizar los esfuerzos en la sensibilización de estas organizaciones respecto de la relevancia de implementar una Gestión de Riesgos apropiada.
Es necesario desarrollar esfuerzos de concienciación de todas las organizaciones respecto de la necesidad preventiva de contar con un Plan de Continuidad de Negocio basado en las pérdidas máximas posibles que mitiguen eventos similares.
Destaca la importancia de contar con las funciones claves de gestión de riesgos, Compliance y Auditoría Interna en todas las organizaciones bajo el principio de proporcionalidad.
ππ¨ππ‘π§π: Informe de Investigación sobre COVID - 19, elaborado por la ASOCIACIÓN IBEROAMERICANA DE GESTIÓN DE RIESGOS Y SEGUROS (AIRYS). la encuesta se ha realizado entre el 17 y el 30 de abril 2020, y ha contado con la participación de 92 especialistas , socios de AIGRYS, abarcando 14 países de Iberoamérica y España.