Sistema de Gestión de la Continuidad del Negocio

5 días ago Torjo Sagua

El mundo moderno e interconectado exige capacidad de respuesta. Con las tasas de conversión disminuyendo drásticamente después de solo unos segundos, un cliente que no puede acceder a su sitio web buscará rápidamente una alternativa, y los mercados son tan accesibles que no hay escasez de competidores dispuestos a tomar su dinero.

Dado que tales interrupciones pequeñas pueden tener consecuencias significativas, la gestión de la continuidad del negocio, una forma de gestión del riesgo que se ocupa del riesgo de que las actividades o procesos comerciales sean interrumpidos por factores externos, es una competencia cada vez más crítica. Esto se enfatiza aún más por el creciente cuerpo de legislación que exige la continuidad del servicio, como las Regulaciones de redes y sistemas de información (NIS – Network and Information Systems) del Reino Unido de 2018.

Con la creciente presión de los clientes, socios, reguladores y otras partes interesadas, es esencial que las organizaciones públicas y privadas se aseguren de estar preparadas y capaces de gestionar las interrupciones del negocio. La forma más completa de hacerlo es mediante la implantación de un sistema de gestión de la continuidad del negocio (BCMS – Business Continuity Management System).

ISO 22301:2013

La gestión de la continuidad del negocio se trata de poder lidiar con una amplia gama de escenarios de interrupción, tener recursos de contingencia que puedan cumplir con los requisitos de los procesos comerciales que respaldan, tener planes efectivos y documentados que se mantengan actualizados, y tener un equipo competente que puede liderar la respuesta y recuperación de la organización. Todos estos son parte de un conjunto de procesos de gestión alineados.

ISO 22301:2019 es el estándar internacional para la gestión de la continuidad del negocio. Establece los requisitos para un BCMS auditable y certificable, que puede garantizar a los clientes y otras partes interesadas que su organización está preparada para responder y recuperarse de una interrupción.

La Norma establece los elementos críticos involucrados en la gestión de las políticas y procesos necesarios para un conjunto efectivo de acuerdos de continuidad del negocio. Esto incluye garantizar el apoyo y la participación de la parte superior de la organización, la gestión de riesgos, los recursos adecuados, la competencia y la conciencia del personal y la mejora continua del sistema de gestión.

Enfoque de los Nueve Pasos

Muchas organizaciones desarrollan e implantan de manera natural acuerdos de continuidad del negocio como parte de su crecimiento. Sin embargo, tales desarrollos orgánicos rara vez son más que unas pocas ideas poco relacionadas, tal vez con una lista de llamadas y un par de políticas que le dicen al personal cuándo no necesitan ingresar a la oficina.

Desarrollar una resistencia real e importante a la interrupción del negocio significa construir algo sistemático y riguroso. Sin embargo, los proyectos importantes que necesitan abarcar a toda la organización no son fáciles de desarrollar, por lo que requieren un proceso de implantación igualmente sistemático y riguroso.

El enfoque que se explicará a continuación para la implantación de BCMS consta de los siguientes nueve pasos:

  1. Mandato del proyecto.

La primera etapa en cualquier proyecto importante debe ser asegurar que el proyecto cuente con el apoyo de la parte superior. Es poco probable que la alta gerencia o la junta directiva se comprometan con un proyecto que no se ha definido, por lo que este paso implicará definir el alcance del BCMS y producir una política de continuidad del negocio que refleje los objetivos de su organización.

El mandato del proyecto es esencialmente un conjunto de respuestas a las preguntas que todos los proyectos enfrentan en sus primeras etapas:

  • ¿Qué esperamos lograr?
  • ¿Cuánto tiempo tardará?
  • ¿Cuánto costará?
  • ¿Tiene soporte de la alta dirección?

El último de estos es la entrega clave (El mandato para el proyecto de la alta dirección o la junta directiva) y poder responder las tres primeras preguntas le permitirá obtener ese apoyo.

Recuerde que esta es simplemente la primera etapa, y que los proyectos de toda la organización pueden encontrar cambios y circunstancias imprevistas. Un enfoque demasiado grande en los detalles en esta etapa podría ser perjudicial. Presente solo el nivel de detalle necesario para que la junta tome una decisión. La junta se preocupa por la estrategia y la gobernanza, por lo que su caso debe reflejar eso.

2. Iniciación del proyecto.

Con el proyecto aprobado, el líder del proyecto puede comenzar a desarrollar el sistema de gestión a partir de los principios establecidos. El proyecto incipiente debe desarrollarse para garantizar que tanto el proyecto como el BCMS sean capaces de alcanzar sus objetivos.

Parte de esto implicará definir el plan del proyecto, los “entregables clave” y las fechas de entrega. Esto permite a la organización realizar un seguimiento de los hitos y garantizar que el proyecto se entregue a tiempo, según lo previsto y dentro del presupuesto.

Un documento de inicio del proyecto debe seguir todo esto, proporcionando una referencia central para todas las actividades e hitos involucrados en la implantación del BCMS.

3. Iniciación de BCMS.

Una vez que se ha iniciado el proyecto, se puede iniciar el BCMS. Esta etapa implica compilar una lista de los requisitos de cada proceso de BCMS y las tareas requeridas para desarrollarlos e implementarlos. Estos se relacionarán directamente con las etapas principales del plan del proyecto e informarán a la asignación de las tareas requeridas para ejecutar el plan.

Uno de los elementos clave de esto será establecer el modelo de proceso Plan-Do-Check-Act (PDCA) para el BCMS. Este modelo proporciona un sistema cíclico mediante el cual los procesos de BCMS pueden ejecutarse, evaluarse y modificarse para cumplir los requisitos de la organización de manera continua.

ISO 22301: 2019 explica cómo el ciclo PDCA se asigna a las cláusulas del Estándar.

Parte del inicio de BCMS también implicará establecer la estructura de documentación. Les recomiendo un modelo sencillo de cuatro niveles:

  1. Políticas que definen la posición y los requisitos de la organización.
  2. Procedimientos que promulgan los requisitos de las políticas.
  3. Instrucciones de trabajo que describen los procesos detallados, paso a paso para los empleados.
  4. Registros que rastrean los procedimientos y las instrucciones de trabajo, proporcionando evidencia de que se han seguido correcta y consistentemente.

Esta estructura debe establecerse temprano para garantizar que las políticas y los procedimientos se implementen adecuadamente en cada nivel de la organización.

4. Estructura de gestión.

La estructura de gestión es la identifica los procesos esenciales para un BCMS efectivo. Estos no son los detalles prácticos de la implantación, sino las características más amplias del sistema de gestión.

Es crucial que el contexto de la organización (Sus circunstancias, objetivos y requisitos) se establezca desde el principio, así como los procesos clave de «fundamento»: Liderazgo, planificación y apoyo.

Esto significa que la organización debe identificar las necesidades de las partes interesadas a tener en cuenta con respecto al BCMS. La organización claramente tiene intereses, al igual que los clientes, socios, autoridades legales y reguladoras y otras partes interesadas, y sus intereses no serán todos iguales.

Parte de este proceso implicará identificar y definir el alcance del sistema de gestión. Para muchas empresas, esto no necesita cubrir toda la organización, mientras que para otras necesariamente se aplicará a cada función comercial, ubicación y empleado.

El marco de gestión también deberá formalizar arreglos clave, que incluyen:

  • Los recursos necesarios para el BCMS como una preocupación y función continua;
  • Estrategias de comunicación y concientización para comunicaciones internas y externas; y
  • Requisitos de competencia.

5. Análisis de impacto en el negocio (BIA – Business Impact Analysis) y evaluación de riesgos.

Estos procesos son fundamentales para el BCMS y la base sobre la cual se construyen capacidades eficaces de recuperación y recuperación.

Un análisis de impacto en el negocio (BIA) intenta determinar el impacto en su organización si las actividades comerciales clave se interrumpieron, así como las prioridades de recuperación. Para evaluar adecuadamente la posible interrupción, debe tener una buena comprensión de los impactos directos e indirectos de interrumpir o perder el acceso a actividades y recursos individuales.

También debe considerar una variedad de tipos de impacto; por ejemplo, interrumpir algunas actividades podría tener un impacto financiero inmediato y obvio, mientras que las interrupciones en otras áreas pueden tener un efecto considerablemente retrasado en la reputación de su organización que podría no ser fácilmente reconocible. Desarrollar una tabla de criterios de impacto, que cubra múltiples tipos de impacto mientras deja claros los valores correspondientes, es una buena manera de garantizar la coherencia.

Uno de los objetivos más importantes de un BIA es medir el impacto a lo largo del tiempo y determinar cuándo se vuelve inaceptable (Suponiendo el escenario más común: Cuanto más continúe la interrupción, mayor será el impacto comercial). Esto significa que uno de los resultados clave de un BIA es determinar los objetivos de tiempo de recuperación (RTO – Recovery Time Objectives) para ayudar a priorizar cuándo se recuperarán las actividades después de una interrupción.

La evaluación y gestión de riesgos debería ser familiar para la mayoría de las organizaciones. En el caso de la continuidad del negocio, los riesgos clave son principalmente operativos: la capacidad de la organización para ejecutar sus funciones normales. La diferencia clave para el BIA es que la evaluación de riesgos considera qué escenarios pueden dificultar la continuidad y cómo pueden afectar a la organización en su conjunto, no los impactos individuales ni la rapidez con la que se deben recuperar las actividades interrumpidas.

Existen varios enfoques para la gestión de riesgos, pero generalmente es una combinación de probabilidad e impacto, a menudo representada por la matriz tradicional de probabilidad e impacto. Independientemente del enfoque que adopte, el BIA y la evaluación de riesgos deben basarse en metodologías comprobadas y adaptarse a su organización, y los resultados que obtenga deben informar la estrategia y el plan general de continuidad del negocio.

6. Estrategia de continuidad del negocio.

En términos simples, la estrategia identifica cómo y cuándo se reanudará o recuperará cada actividad o recurso.

Por lo general, hay una serie de opciones para responder a incidentes y otros escenarios disruptivos. Las estrategias, por lo tanto, serán informadas por una serie de factores:

  • La singularidad de la organización y sus modelos operativos.
  • La naturaleza y la criticidad de cada actividad empresarial.
  • Los recursos necesarios para reanudar la actividad.
  • Las opciones para cumplir con las expectativas y requisitos de las partes interesadas.

Una experiencia significativa en el diseño de estrategias de respuesta es un factor de éxito importante en cualquier BCMS. A las organizaciones sin esta experiencia a mano se les recomendaría buscar opciones de consultoría y tutoría. La experiencia colectiva que los consultores pueden proporcionar es invaluable para desarrollar estrategias óptimas para abordar escenarios de interrupción.

7. Implantación.

La fase de implantación implica establecer los procesos para la detección de incidentes; alerta y escalada; respuesta y comunicación; recuperación o continuidad de actividades comerciales; y reanudación final de un estado de negocios como siempre. De manera crucial, estos procesos deben documentarse para que cualquier persona que necesite involucrarse pueda seguirlos.

Esta etapa implica una consulta considerable con las partes interesadas internas para construir sobre las estrategias acordadas y crear arreglos realistas de respuesta y recuperación basados en suposiciones válidas. Lo más importante es que los procesos deben ser «propiedad» de los gerentes y ejecutivos que algún día necesitarán usarlos.

Por supuesto, estos procedimientos deben validarse antes de confiar en ellos, por lo que es sensato realizar al menos un ejercicio al implantarlos y repetirlos al menos una vez al año para establecer un nivel mínimo de efectividad y la capacidad de las personas que los utilizan.

La fase de implantación puede ser una parte grande y compleja del proyecto BCMS, sobre todo debido a la gran cantidad de documentación que debe desarrollarse. Un BCMS documentado no solo necesita describir los procesos de la organización sino también ser un sistema de gestión coherente, por lo que la documentación debe estar bien ordenada y controlada. Para muchas organizaciones, los kits de herramientas de documentación reducen considerablemente el esfuerzo y proporcionan una valiosa orientación.

8. Medir, monitorizar y revisar.

Un elemento crítico de ISO 22301 es que los procesos de BCMS deben ser monitorizados, auditados, evaluados y revisados de manera regular y sistemática. A lo largo de la vida del BCMS, estos procesos garantizarán que la organización siga siendo capaz de responder y recuperarse de las interrupciones, y mejorarán estas capacidades siempre que sea posible.

Esta etapa de la implantación implica diseñar estos procesos y ponerlos en práctica. El Estándar los divide en tres elementos:

  • Monitoreo, medición, análisis y evaluación.
    • Auditoría interna.
    • Revisión de la gerencia.

El primero de estos elementos implica el establecimiento de un conjunto de métricas de desempeño y un proceso para la monitorización y la medición continuos del BCMS, su efectividad y la de los arreglos de respuesta y resiliencia que produce el sistema de gestión. El elemento de auditoría interna implica una inspección independiente periódica para confirmar que los procesos se siguen como se describe. El elemento de revisión de la gerencia toma los resultados de estos procesos, junto con otra información relevante, para evaluar el BCMS en función de sus objetivos, midiendo su efectividad.

La organización, en esta etapa de la implantación, deberá asegurarse de que los equipos de gestión y respuesta del programa BCMS sean capaces de apropiarse del sistema y sus arreglos, y hayan adquirido suficiente comprensión para estar listos para la planificación de auditorías de certificación de terceros acreditados.

Esto debe incluir la realización de al menos una auditoría interna completa, una revisión de la gerencia y un ejercicio, a un nivel acorde con la madurez de la capacidad del equipo de respuesta.

9. Auditoría de certificación.

La etapa final de implementación es buscar la verificación externa. Esto sirve para dos propósitos clave:

  • Comprueba que el BCMS se alinea con el Estándar y las mejores prácticas, lo que le dará a la organización la mejor oportunidad de sobrevivir a la interrupción.
  • La certificación permite a la organización demostrar esto a socios, clientes y otras partes interesadas.

La auditoría de certificación real buscará varias cosas para determinar si el BCMS es digno de certificación. Hay varias cosas que puede hacer para maximizar sus posibilidades de aprobación:

  • Su documentación es completa, completa y está disponible para que los auditores la inspeccionen.
  • Tiene registros de auditorías internas y pruebas. Estos proporcionan evidencia de que su BCMS es un sistema de gestión activo en lugar de solo un conjunto de documentos, y demuestran las acciones correctivas y la mejora continua en la acción.
  • El personal tiene un conocimiento profundo de las áreas de continuidad del negocio de las que son responsables.

La gerencia debe estar completamente involucrada en la auditoría de certificación. Puede ser útil ensayar el tipo de preguntas que se les puede hacer y revisar las políticas y declaraciones formales a nivel gerencial.

Referencias

ISO 22301:2019

ISO 22313:2020

Tags: ,

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Entradas Recientes

Guía Rápida para un Retiro de Alimentos del Mercado

2 días ago Torjo Sagua

TACCP – Threat Assessment Critical Control Point

3 días ago Torjo Sagua

Sistema de Gestión de la Continuidad del Negocio

5 días ago Torjo Sagua

Diseño Higiénico

6 días ago Torjo Sagua

Auditorías Internas Basadas en el Riesgo

7 días ago Torjo Sagua