Una herramienta de 6 partes para clasificar y evaluar riesgos
Una de las expresiones más utilizadas lanzadas por el aspirante a «Wall Street Rambos» es el negocio es la guerra. Pero a veces las tácticas de guerra realmente pueden ayudar en los negocios.
Entre estas tácticas está CARVER, un sistema de evaluación y clasificación de amenazas y oportunidades. Desarrollado durante la Segunda Guerra Mundial, CARVER (entonces una letra más corta y conocida como CARVE) fue utilizado originalmente por los analistas para determinar dónde los pilotos de bombarderos podían lanzar sus municiones en objetivos enemigos con mayor eficacia. Puede ser tanto ofensivo como defensivo, lo que significa que se puede utilizar para identificar las debilidades de sus competidores y para la auditoría interna. Además, muchos expertos en seguridad consideran que es la herramienta de evaluación definitiva para proteger los activos críticos. De hecho, el Departamento de Seguridad Nacional de los Estados Unidos lo ha recomendado como una metodología de evaluación preferida. (Uno de nosotros, Luke, está tan entusiasmado con CARVER que coescribió un libro sobre él.)
Más recientemente, CARVER ha convertido a una nueva comunidad de creyentes en el mundo de los negocios, incluyendo directores ejecutivos, analistas financieros y planificadores de gestión de riesgos, por no mencionar a ningún número de directores de seguridad de Fortune 500. Dado que se basa en datos cualitativos y cuantitativos, CARVER se puede aplicar en casi cualquier escenario que se analice y discuta de forma organizada y lógica. Puede ser muy útil si necesita, por ejemplo, defender una solicitud de presupuesto o un plan estratégico al liderazgo de la empresa. Debido a que te ayuda a articular una historia eficiente utilizando valores numéricos, CARVER se puede utilizar para aclarar los objetivos de la misión, ya sea en el campo de batalla o en la sala de juntas. Se podría decir que CARVER es un análisis FODA de esteroides.
CARVER es un acrónimo que significa:
- Criticidad: cuán esencial es un activo o un sistema crítico para su empresa
- Accesibilidad: lo difícil que sería para un adversario acceder o atacar al activo
- Capacidad de recuperación: la rapidez con la que podría recuperarse si algo le sucediera al activo
- Vulnerabilidad: qué tan bien (o no) el activo podría resistir el ataque de un adversario
- Efecto: cuánto impacto tendría en su negocio si algo le sucediera al activo
- Reconocibilidad: cuán probable es que un adversario reconozca el activo como un objetivo valioso
Para usar CARVER, ya sea que esté evaluando un sistema, un objetivo comercial u otra cosa, asigna puntuaciones de 1 a 5 (siendo 5 «lo más esencial», «lo más probable», etc.) para cada uno de los seis criterios anteriores. La suma de las seis puntuaciones es la puntuación total de lo que estés evaluando. Una vez que haya calculado las puntuaciones totales para algunas cosas, puede compararlas. Por ejemplo, podría usar CARVER para comparar dos oportunidades de negocio; lo que tenga la puntuación más alta es probablemente la mejor opción a seguir.
Aquí hay un ejemplo. Digamos que el jefe de seguridad de una compañía de petróleo y gas está decidiendo cómo asignar su presupuesto en múltiples ubicaciones y activos. A nivel estratégico, la OSC podría utilizar CARVER para reflexionar sobre los factores involucrados en cada ubicación y luego asignar recursos para cada instalación.
Para empezar, la OSC haría una serie de preguntas relacionadas con los criterios CARVER. Comenzando con la criticidad, podrían preguntarse: «¿Qué tan crítico es el oleoducto de Abuja, Nigeria, para las operaciones generales de la compañía?» Debido a que la criticidad se basa en la importancia del activo (en este caso la tubería), la OSC tendría que determinar si la destrucción o el compromiso de este activo tendría un impacto significativo en la producción, misión u operación de la empresa. La OSC clasificaría la Criticalidad así:
5 — La pérdida del oleoducto pondría fin a las operaciones
4 — La pérdida reduciría considerablemente las operaciones
3 — La pérdida reduciría las operaciones
2 — La pérdida puede reducir las operaciones
1 — La pérdida no afectaría a las operaciones
Obviamente, cuanto mayor sea el número, más perjudicial sería la pérdida del activo para la organización. Cuanto menor sea el número, menos perjudicial sería la pérdida, o podría haber redundancias, por ejemplo, otros oleoductos. (Esas redundancias afectarían también a la puntuación de recuperabilidad del activo).
Para evaluar la capacidad de recuperación de ese mismo oleoducto (tal vez después de un desastre natural, un sabotaje o un ataque terrorista), la OSC lo clasificaría así:
5 — Extremadamente difícil de reemplazar; tiempo de inactividad prolongado
4 — Difícil de reemplazar; tiempo de inactividad prolongado
3 — Se puede reemplazar en un tiempo relativamente corto
2 — Fácil de reemplazar en poco tiempo
1 — Se puede reemplazar inmediatamente; corto o sin tiempo de inactividad
La OSC seguiría clasificando el oleoducto de Abuja según los otros cuatro criterios. Si la canalización recibió un 5 por Criticalidad y Recoverability, por ejemplo, parece probable que sería un buen candidato recibir más del presupuesto de las OSC.
Este artículo también aparece en:
Guía de HBR para tomar mejores decisiones
Liderazgo y Gestión de Personas Libro19.95Añadir a la cesta
Para considerar otro ejemplo, digamos que un fondo de cobertura está buscando adquirir una compañía de tecnología que afirma tener una tecnología de vanguardia. Además de simplemente auditar los libros de la empresa, los analistas podrían realizar una evaluación de CARVER para determinar qué tan cerca podría estar la competencia para alcanzar esta tecnología, equilibrando así el riesgo de la inversión. La compañía tecnológica puede anotar bajo (lo que significa bueno) en Criticalidad y Recoverability, pero anotar alto (lo que significa malo) en Accesibilidad y Efecto. Esa puntuación de Accesibilidad podría significar que un competidor podría vencer al producto al mercado, y el Efecto podría ser la consecuencia de una polémica campaña de marketing.
Una pregunta que los analistas podrían hacer para Effect es: «¿Cuál es el efecto en nosotros si los competidores de la compañía tecnológica nos venían al mercado?»
5 — Impacto económico, político o social muy alto en la organización
4 — Alto impacto económico, político o social
3 — Impacto moderado
2 — Poco impacto
1 — Sin impacto desfavorable
Lo importante a recordar es que este ejercicio se lleva a cabo para identificar, categorizar y priorizar los activos de alto riesgo; evaluar las vulnerabilidades; y hacer recomendaciones sobre el riesgo. Una vez que se ha completado la evaluación de CARVER y se han identificado los riesgos y amenazas materiales, los profesionales de la seguridad y la gestión de riesgos pueden determinar el mejor enfoque a seguir. Incluso la diferencia más pequeña en las puntuaciones de CARVER podría influir si abre una tienda en una ubicación frente a otra, o si le ayuda a decidir entre actualizar una línea de productos existente y optar por crear algo nuevo.
Las decisiones estratégicas se están tomando en las salas de juntas de todo el mundo, por ejecutivos que buscan alguna ventaja sobre la competencia. Los líderes empresariales están buscando números duros para proporcionarles una ventaja en su proceso de toma de decisiones. CARVER puede proporcionar una justificación cuantificada para apoyar o abandonar una decisión o iniciativa.
— Luke Bencie Sami Araboghli Via HBR.org
