Medición del Riesgo Reputacional
Desde el punto de vista técnico, no podemos asegurar riesgos cibernéticos sin tener en cuenta la intangibilidad de algunos bienes y la prolongación en el tiempo de algunas de las consecuencias que derivan de un daño o pérdida de reputación, tanto offline como online Existen muchos autores y referencias bibliográficas que proponen modelos de medición pero el objetivo principal es tratar de unificar una fórmula que pueda combinar parámetros asegurables, es decir, encontrar un modelo estándar para el sector asegurador.
El ciberseguro NO es simplemente una cobertura de riesgo reputacional, sino que se convierte en una solución que abarca daños propios, pérdidas, responsabilidades, y asistencia.
Gestión de CiberriesgosDentro de la cobertura de riesgo reputacional encontramos una serie de garantías y éstas son las que deben medirse.
Uno de los problemas existentes antes de medir cualquier cosa es tener en consideración el plan de marketing de la empresa: éste desglosa las garantías, las dispersa fuera de su bloque para atraer a su target y obtener más impacto (leads), con lo que nos encontramos con ciberseguros con muchas coberturas pero que se limitan solamente al riesgo reputacional (restablecimiento de imagen y marca, gestión de la crisis, borrado de identidad digital, asistencia en medios sociales, etcétera,…)
De hecho, no es un problema comercial ya que ese es el objetivo del departamento, pero debe saber diferenciarse de forma interna que este tipo de garantías encajan dentro del bloque de “pérdidas”.
Por ejemplo, en seguros tradicionales, sabemos las coberturas básicas de un seguro de hogar, pero en marketing se presenta como garantía de rayo, explosión, incendio, robo, daños a terceros, mascotas, cabeza de familia,… De forma técnica, y dentro del mismo ejemplo, distinguimos solamente 3 coberturas: incendio, robo y RC.
Riesgo Reputacional¿Cuál es la medición correcta de la pérdida de reputación en un seguro?
Pues esto dependerá de lo que ofrezca el asegurador.
Actualmente, la situación del ciberseguro en cuanto a valoración del daño e indemnización se encuentra en el punto observable El punto observable es aquello que puede cuantificarse como: una pérdida de beneficio sobre un % del volumen de negocio, el margen de solvencia de la entidad, puntuación de crédito, valor actual de las acciones en mercados secundarios, nº de empleados, nº de clientes, tesorería,…
El punto no observable es el componente que falta para valorar la reputación de una empresa.
Este punto también es un valor económico, pero en el contexto que nos ocupa se trata de un valor imputable a una acción.
Por ejemplo, una pyme que se dedica al e-commerce.
Posee un valor económico gracias a su cifra de negocios, pero las acciones que realizan los visitantes del sitio web y que no compran, ¿pueden crean valor para el negocio? Sí
El caso más claro está en el suscriptor que también se considera una conversión de alto valor, con capacidad de recibir nuevos impactos, fidelizar y convertirse en un cliente potencial.
Disponer de una larga lista de suscriptores es un activo intangible con valor económico.
Entonces, en una pérdida de reputación, además de considerar la cifra de negocio o la facturación, debería analizarse la pérdida de suscriptores e incorporarlos a la fórmula que sirva para indemnizar la cobertura contratada.
Valor económico (valor imputable a una acción) | Obs. | Tangible | Cuantitativo | Macroconversión | Fácil identificación |
No Obs. | Intangible | Cualitativo | Microconversión | Identificación compleja |
Para el caso de la reputación, la medida del punto no observable (No Obs.) se realiza a través de diferentes herramientas:
- Cuestionarios de satisfacción mediante evaluaciones externas (TNS, Nielsen,…).
- Feedback del cliente / proveedor (4Q iPerceptions, MetrixLab, ForeSee, BMC Truesight,…).
- Visibilidad en los medios y paneles sociales (Radian6, BrandWatch, SDL Social…).
- Analítica Web (Google Analytics, IBM Watson, Compete, Experian Hitwise,…) También aporta datos cuantitativos.
- Sistema de puntuaciones basados en la excelencia y la calidad del servicio/producto (denominados “Q” scores).
Desde el punto de vista de los seguros, y llegados a este punto, la acción de medir la reputación resultaría inútil si no se determina un método que ayude a delimitar los datos aportados y asignar un valor económico a los mismos.
Aquí, en esta parte, radica la verdadera ventaja diferencial entre las entidades aseguradoras.
La sugerencia más lógica y fácil, aunque no la más recomendada, es monitorizar en un punto determinado antes del siniestro y posteriormente al mismo siguiendo esta sencilla fórmula:
Antes del contrato de seguro | Reputación (R1) – Stock inicial de reputación |
Tras el siniestro | Reputación (R2) – Stock final de reputación |
Pérdida de Reputación (PR) = R1 – R2 | |
Una vez declarado y notificado el siniestro, este período de tiempo se entenderá como la pérdida de reputación resultante y cubierta por la garantía. A tener en cuenta que cada asegurador adoptará la fórmula que más le convenga sabiendo que:
· La reputación, a partir de R2, puede decrecer aún más (R3, R4, R5,…) · Existe un período de indemnización establecido en el contrato que determina R · Si el asegurador posee una monitorización constante de los riesgos a los que está expuesta la empresa, además de detectar cualquier posible cambio en la percepción externa, puede obtener valores de reputación más exactos (ver ejemplo con R1’). · El tiempo de detección y de respuesta disminuyen el valor de PR.
|
Indemnización tras una pérdida de reputación
No existe una fórmula, algoritmo o ecuación perfecta que revele el valor económico de los componentes de la reputación que han sido afectados tras un siniestro.
Lo que queda claro tras el apartado 6.1.3 es que las mediciones realizadas en una pérdida de reputación (PR) conllevan siempre una pérdida de valor económico, y aunque lo primero que hace pensar es el uso de un seguro de lucro cesante, en un ciberseguro la indemnización debe ser diferente a pesar de que se tenga en cuenta la pérdida de beneficio
Así mismo, y dejar claro que, la pérdida de beneficio neto por una pérdida en la red debido a un fallo de seguridad o una interrupción material representa una cobertura independiente incluida en el ciberseguro.
Recalcar que como cobertura en el mercado, debería seguir los art.63 hasta el art.67 de la LCS.
Al no existir en la Ley algo específico para el ciber riesgo, de momento, sería necesario incluirlo como cláusulas.
¿Cómo indemnizar la pérdida de reputación asegurada?
Indemnización = Pérdida de Facturación x PR (%)
Siendo PR el factor en forma de porcentaje que representa la pérdida de reputación R1-R2
A priori, todo hace pensar que PR corresponde íntegramente con la reputación total que se ha perdido, pero no debe olvidarse algo MUY IMPORTANTE, y es que estamos asegurando el riesgo reputacional ocasionado por un ciber riesgo, por lo que cualquier otra causa que no justifique al ciber riesgo como origen del daño quedará excluida de la cobertura Por tanto, el factor PR está representado por la diferencia de stock reputacional existente cuando ocurre el siniestro:
R1’
R1 R2
Siniestro
Período de cobertura
Si durante este período comprendido entre R1’ y R2 se establece un beneficio bruto (BB), PR es la parte que corresponde al valor económico de la reputación del beneficio bruto (BB).
Ahora bien, hay que determinar cuál es la parte de reputación causada por un ciber riesgo que pertenece a PR.
Si R1’ – R2’ = PR, entonces PRCyb = PR - P.Reputación Ciber Riesgo
Con el valor económico resultante de la diferencia, se determina entonces el porcentaje de pérdida de reputación causada por un ciber riesgo que representa el Beneficio Bruto (BB):
PR’ = (PRCyb / BB) x 100
Atendiendo al cuadro que representa las causas de riesgo reputacional (ver Cuadro X), la cobertura queda limitada a consecuencias que tengan relación directa con los riesgos del cuadro VI, 5.1:
- Riesgo operacional
- Pérdida de clientes
- Pérdida de proveedores y partners
- Sanciones administrativas
- Fraude
Quedan excluidos el riesgo reputacional por el propio concepto, los factores externos (país, localidad,…), los antecedentes de reputación dañada y el incremento del coste financiero (créditos), riesgos consorciables, así como sanciones o multas que no tengan relación con la seguridad y privacidad de los datos.
Al final, y aplicando el modelo asegurador, la fórmula resultante que queda es la siguiente:
Indemnización = Pérdida de Facturación x PR’ (%) x RP x RE - Franquicia
**RP cuando la suma asegurada sea inferior a la pactada en la cobertura y sin cláusula de ajustabilidad
Opción 2 – Considerar la pérdida de reputación como pérdida de beneficio causada por un ciber riesgo, sin tener en cuenta los gastos fijos:
PR’ = (Reputación por Ciber Riesgo / BN) x 100
BB = GF + BN
Indemnización = Pérdida de Facturación x PR’ (%)
Estos mecanismos para proceder a la indemnización, al fin y al cabo, no dejan de ser un pago que resulta de la combinación existente entre un valor económico esperado y un valor económico real.
El asegurador debe establecer su propio modelo de indemnización y puede optar por fórmulas de riesgo reputacional como las anteriores, o incluir en los gastos de respuesta y restitución de imagen aquellos que son propios de la gestión de la crisis, costes de comunicación, honorarios profesionales, gastos extra o derivados del incremento de trabajo, etcétera…
La reflexión final acerca de la pérdida de reputación en los seguros de ciber riesgos, es que el mayor inconveniente al que se enfrenta un asegurador es el de no poder diferenciar de forma exacta el binomio causa-efecto, cayendo en el error de resarcir al asegurado con una indemnización en la que no se han definido bien las coberturas o éstas pueden solaparse:
Por eso, como mínimo, el asegurador debe:
- Diferenciar el % de pérdida que supone el ciber riesgo en una pérdida de reputación.
- Diferenciar el seguro de lucro cesante de la cobertura de pérdida de reputación en caso de la coexistencia de ambos seguros (lo que supone un tercer seguro de daños).
- Considerar la indemnización total de un ciberseguro como el sumatorio de varias indemnizaciones procedentes de los 4 bloques, o bien, de los sublímites para cada tipo de cobertura según su política.
- Saber establecer los límites mínimos de tiempo para cada cobertura
Si deseas leer más artículos parecidos a Medición del Riesgo Reputacional los encontrarás en Peritaje.
Te interesa: