Sie sind auf Seite 1von 49

www.bscconsultores.

com

www.bscconsultores.com

www.bscconsultores.com

Conocer los mtodos


para identificar riesgos
y la continuidad del
Negocio
Analizar su aplicacin
en la organizacin

www.bscconsultores.com

Objetivos

Propsito de la identificacin
de riesgos: Identificar lo que
podra suceder o situaciones
que impactan el logro de los
objetivos de la organizacin.

www.bscconsultores.com

Para qu?

www.bscconsultores.com

www.bscconsultores.com

Los ganadores nunca desisten; los que


desisten nunca ganan
Gustavo Zerbino

www.bscconsultores.com

Plan Restablecimiento Del


Negocio
Qu es Gestin de
Continuidad de
Negocio?

www.bscconsultores.com

Direccin Nacional del Riesgo

El 81 por ciento de los directores cuyas


organizaciones activaron sus mecanismos
de continuidad de negocio en los ltimos 12
meses dicen que fue efectivo en la
reduccin de las interrupciones.
En resumen: la continuidad de negocio
funciona *

www.bscconsultores.com

Qu es Gestin de Continuidad
de Negocio?

Hoy en da, no compiten las


empresas compiten las cadenas
a las que pertenecen esas
empresas
Michael E. Porter
Ph.D., Harvard University

www.bscconsultores.com

Recuerde

Plan Logstico para la prctica como


una organizacin debe recuperar y
restaurar sus funciones crticas
parcial o totalmente interrumpidas
dentro de un tiempo determinado des
pes de una interrupcin no deseada o
desastre

www.bscconsultores.com

ISO 31000 = RISK MANAGEMENT = RM


ISO 22301= BUSINESS CONTINUITY PLAN=BCP

www.bscconsultores.com

ISO 22301= BUSINESS CONTINUITY


PLAN=BCP
Es como la organizacin se prepara para
futuros incidentes que puedan poner en
peligro a sta y a su misin bsica a largo
plazo.
Incendios, Terremotos, inundaciones,
incidentes de carcter regional, nacional o
internacional
Pandemias, apocalipsis otros tpicos de
cada regin.

www.bscconsultores.com

RM es generalista vs. BCP ha


sido y es especialista
RM coordina con otros sistemas
de gestin
RM proporciona in marco para
priorizar los recursos
RM es una referencia comn
para la comunicacin
Tratamiento de la RESILENCIA
(capacidad de un sistema de
soportar y recuperarse ante
desastres y perturbaciones)
RM tratamiento proactivo
(ISO 31000)
BCP tratamiento reactivo
sobre interrupciones

ESTABLECER EL CONTEXTO

IDENTIFICAR LOS RIESGOS

ANALIZAR LOS RIESGOS

EVALUAR LOS RIESGOS

TRATAR EL RIESGO

MONITOREO Y REVISIN

COMUNICACIN Y CONSULTA

RM & BCP

www.bscconsultores.com

Tabla de Comparacin entre


Gestin de Riesgos y
Continuidad del Negocio

MTODO
CLAVE

Anlisis de Riesgo

Anlisis de Impacto sobre el


Negocio

PARMETROS
CLAVE

Impacto y Probabilidad

Impacto y Tiempo

MAGNITUD
DEL
INCIDENTE

Todo tipo de actividades


generalmente segmentadas

Acontecimientos causantes de
trastornos serios para el negocio

ALCANCE

Se enfoca primordialmente en
la Gestin de Riesgos para los
objetivos del negocio principal

Se enfoca sobre todo en gestin


de incidentes en su mayor parte
externos a los aspectos
fundamentales del negocio

Todas, desde graduales hasta


sbitos

Acontecimientos sbitos o de
rpida evolucin (aunque es
posible que la respuesta tambin
resulte apropiada si un incidente
persiste se transforma en severo)

INTENSIDAD

www.bscconsultores.com

GESTIN DE RIESGOS

GESTIN DE
CONTINUIDAD DE
NEGOCIO

No hay referencias al BCP en la ISO


31000
RM ve BCP como formula de tratamiento
para cierto tipo de riesgos
Los tipos de riesgos mas adaptables a este
esquema de BCP son:
Sucesos de baja probabilidad y alto impacto
Accidentes catastrficos impredecibles

www.bscconsultores.com

ISO 31000 & BCP

ISO 22301
Es un estndar recin lanzado
A diferencia de ISO 31000 es un estndar
auditable y certificable por un organismo
acreditado de certificacin
que dice

La organizacin establecer, implementara y


mantendr un proceso de apreciacin de riesgos
formal y documentado que peridicamente
identifique, analice y evalu el riesgo de incidentes
que interrumpan los procesos de la organizacin.
Este proceso PODRA estar basado en ISO 31000

www.bscconsultores.com

ISO 22301 & RM

ANALIZAR LOS RIESGOS


EVALUAR LOS RIESGOS
TRATAR EL RIESGO

www.bscconsultores.com

ESTABLECER EL
CONTEXTO
IDENTIFICAR LOS
RIESGOS

MONITOREO Y
REVISIN

COMUNICACIN Y
CONSULTA

Proceso para la gestin del riesgo


segn ISO 31000

Son cada da ms dependientes de:


Globalizacin y de la Cadena de
Suministros
Outsourcing & offshoring
Producciones bajo costo
Logstica
Proteccin de la imagen de marca
TICs

www.bscconsultores.com

Los negocios hoy en da

Y adems cada vez estn mas


afectadas por :
Tv 24 HORAS
Redes sociales y otros medios on line
Creciente vigilancia de los entes
reguladores y usuarios
Multas y penalizaciones por
incumplimiento de contratos

www.bscconsultores.com

Los negocios hoy en da

1.

Requisitos regulatorios del sector

2.

Requisitos Legales

3.

Experiencia directa de un
incidente grave / crisis

4.

Requisitos de los clientes

5.

Requisitos de la competencia

6.

Experiencia indirecta de un
incidente grave / crisis

7.

Compromisos y existencia de
sistemas de gestin

8.

Nuevos equipos de direccin

www.bscconsultores.com

Por las empresas inician BCP?

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.

Prdidas de productividad
Incrementos en los costos del proceso
Prdidas de ingresos econmicos directos
Incrementos en las reclamaciones de los
clientes
Retrasos en le flujo de caja (cash Flow)
Retrasos en el suministro de productos
Daos a la marca y a la reputacin
Multas o incrementos de la inspeccin
regulatoria
Retirada de productos
Preocupacin de las acciones y cada del
valor comercial

www.bscconsultores.com

Los impactos

1. RM funciona correctamente para los fenmenos


conocidos y para los sucesos no extremos
2. BCP esta basado en impactos y escalas de
tiempos (no en probabilidades)
3. Los impactos en el negocio se miden por lo que ya
no se puede hacer, no por lo que ha sucedido para
causarlo.
4. Las zonas grises y el manejos de aspectos
desconocidos son bsicos en el proceso de BCP
5. Es importante que BCP & RM se alinien de una
buena forma

www.bscconsultores.com

Conclusiones

www.bscconsultores.com

Estndar Internacional
NORMA ISO 22301

www.bscconsultores.com

Para
realizar
el
PLAN
CONTINUIDAD DEL NEGOCIO,
es
importante analizar el
negocio como un todo mas no
como procesos, actividades o
funciones individuales.

Inicio y gestin del proyecto.


Evaluacin y control del riesgo.
Anlisis de impacto del negocio (BIA).
Desarrollo de estrategias para la continuidad del
negocio.
Respuesta ante emergencias.
Desarrollo e implementacin del PLAN CONTINUIDAD
DEL NEGOCIO.
Programa de concientizacin y capacitacin.
Mantenimiento y ejercicio del PLAN CONTINUIDAD DEL
NEGOCIO.
Comunicacin de crisis.
Coordinacin con Autoridades pblicas.

www.bscconsultores.com

PLAN CONTINUIDAD DEL NEGOCIO


FASES

Establecer la
necesidad
de
desarrollar
el
PLAN
CONTINUIDAD DEL NEGOCIO en
la organizacin, de tal
manera que se comunique la importancia de realizar este
plan, involucrando a los directivos y el personal de la
empresa.
Para esto, es importante:

Definir un comit responsable del plan


Asignar responsabilidades por cada equipo de trabajo
Indicar las actividades de cada una de las fases del proyecto
Documentar los procesos
Presentar los avances

Obtener la aprobacin por parte de los directivos

www.bscconsultores.com

INICIO Y GESTIN DEL PROYECTO

El objetivo de la evaluacin de riesgos es identificar las


amenazas internas y externas, incluyendo concentraciones
de riesgo, que pueden causar la interrupcin o prdida de la
Actividades Crticas de una organizacin, as como la
probabilidad (o frecuencia) de que ocurra una amenaza y
cmo es vulnerable una organizacin a varios tipos de
amenazas permitiendo su gestin de priorizacin y control
para formar una base en la que se establezca un programa de
control y un plan de accin de gestin de riesgo.
Para realizar una evaluacin y control de riesgos se debe
tener en cuenta lo siguiente:
Identificar riesgos
Anlisis/Evaluacin de riesgos
Gestin y Control de riesgos

www.bscconsultores.com

EVALUACIN Y CONTROL DE RIESGOS

Consiste en tcnicas y metodologas que pueden ser usadas


para identificar, cuantificar y cualificar los impactos de negocio y
sus efectos en una organizacin en caso de prdida o interrupcin
de las Actividades de Misin Crtica. Sin embargo, la clave para
realizar un Anlisis de Impacto del Negocio es analizar el negocio
como un todo ms no como componentes, procesos o funciones
individuales.
El anlisis BIA tiene en cuenta el RTO (Recovery Time Objective)
y RPO (Recovery Point Objective) que deben ser establecidos
por la organizacin. Estn definidos como:

RTO (recovery Time Objective): El tiempo entre el punto de interrupcin, y el


punto en el cul los sistemas sensibles en el tiempo deben estar funcionando
nuevamente, con los datos actualizados.
RPO (Recovery Point Objective): El punto en el cul fueron
interrumpidas las actividades
del sistema debido a la ocurrencia de
un determinado evento.

www.bscconsultores.com

Anlisis de Impacto del Negocio


(BIA Business Impact Analysis)

Identificar los requerimientos de


continuidad de la organizacin.
Evaluar la compatibilidad de las
estrategias contra los resultados del BIA.
Presentar el anlisis costo / beneficio de
las estrategias de continuidad.
Seleccionar los sitios alternos y
de almacenamiento externo.
Entender los trminos contractuales de
los servicios de continuidad del negocio.

www.bscconsultores.com

ESTRATEGIAS del PLAN


CONTINUIDAD DEL NEGOCIO

El propsito es desarrollar e implementar procedimientos


para responder y estabilizar la situacin despus de un
incidente y administrar el centro de operaciones de emergencia
a ser utilizado como centro de mando
Identifique
componentes
de
los procedimientos
de respuesta a emergencia.
Especifique los procedimientos de respuesta a
emergencia.
Identifique requerimientos de control y autoridad.
Procedimientos de control y autoridad.
Respuesta a emergencia y recuperacin de heridos.
Seguridad y recuperacin.

www.bscconsultores.com

RESPUESTA ANTE
EMERGENCIAS

Esta fase involucra el diseo, desarrollo e implementacin


de planes de continuidad del negocio para evitar
interrupciones de acuerdo a los marcos establecidos por los RTOS
y RPOS [10, 20].
Un buen desarrollo e implementacin de un PLAN CONTINUIDAD
DEL NEGOCIO incluye:

Identificar requerimientos para el desarrollo de los planes.


Definir requerimientos de control y administracin de la
continuidad.
Identificar y definir un formato y la estructura principal de
los componentes de los planes.
Elaborar un borrador de los planes.

www.bscconsultores.com

DESARROLLO E IMPLEMENTACIN DEL PLAN


CONTINUIDAD DEL NEGOCIO

Definir las estrategias de evaluacin de daos y


reanudacin.
Desarrollar una introduccin general a los planes.
Desarrollar la documentacin de los equipos de
operacin del negocio.
Desarrollar la documentacin de los equipos de
recuperacin de tecnologa de informacin.
Desarrollar el sistema de comunicaciones.
Desarrollar los planes de los usuarios finales de
aplicaciones.
Implementar los planes.
Establecer los procedimientos de control y distribucin
de los planes.

www.bscconsultores.com

DESARROLLO E IMPLEMENTACIN DEL PLAN


CONTINUIDAD DEL NEGOCIO

Toda organizacin que quiera posicionarse en el


mercado y estar preparada a cambios en su entorno,
requiere de un constante proceso de evolucin. Este
proceso genera en la mayora de los casos, cambios al
interior de la empresa. Siempre que se presentan estos
cambios existe un porcentaje de resistencia al cambio
relacionado con el personal que interviene en dicho
proceso.
Es necesario que la organizacin prepare a sus
empleados ante la presencia de un cambio, logrando
minimizar esa resistencia y obteniendo mejor
disposicin ante situaciones de este tipo creando
una cultura de aceptacin ante un evento que
perturbe su labor.

www.bscconsultores.com

PROGRAMA DE CONCIENTIZACIN Y
ENTRENAMIENTO DEL PLAN CONTINUIDAD
DEL NEGOCIO

Son estos algunos motivos por los cuales se presenta en


la gestin de continuidad de negocio una fase en la cual se
trata la concientizacin y entrenamiento
del
PLAN
CONTINUIDAD DEL NEGOCIO y su relacin con la
implementacin mantenimiento, gestin y ejecucin del
mismo. Este proceso de conciencia es necesario que se
realice en toda la organizacin (no solamente en el rea de
IT) logrando aumentar la resistencia ante riesgos.
Para logran
necesario:

una

concientizacin

entrenamiento

en

Definir objetivos de concientizacin y entrenamiento


Desarrollar e implementar varios tipos de programas de entrenamiento
Desarrollar programas de concientizacin
Identificar otras oportunidades de educacin

www.bscconsultores.com

PROGRAMA DE CONCIENTIZACIN Y
ENTRENAMIENTO DEL PLAN CONTINUIDAD
DEL NEGOCIO

Una vez se han declarado y documentado estas estrategias


y planes, que contribuyen al proceso de normalizacin ante una
situacin de crisis, es necesario realizar pruebas para
determinar la eficacia con la que puede continuar el negocio
ante la presencia de una posible interrupcin. As mismo se
puede evaluar el equipo y personal a cargo de cada actividad
crtica, adems
se
realizara
una
prueba
al
sistema
demostrando competencia y capacidad de continuidad de
negocio. [12]

Los propsito de realizar el ejercicio son:


1. Evaluar y permitir el continuo mejoramiento del PLAN CONTINUIDAD
DEL NEGOCIO en la organizacin logrando una recuperacin prioritaria de
las actividades criticas de acuerdo con los objetivos de tiempo de
recuperacin y los objetivos de punto de recuperacin asegurando un nivel
mnimo de continuidad del negocio.
2. Permite evaluar
gestin de crisis.

mejorar

la

capacidad

de competencia ante la

www.bscconsultores.com

MANTENIMIENTO Y EJERCICIO DEL PLAN


CONTINUIDAD DEL NEGOCIO

El proceso de gestin de continuidad de negocio no finaliza con la realizacin del


documento en el cual se plasman estrategias y se asignan roles o equipos de trabajo a
las reas organizacionales; es quizs el proceso de mantenimiento del plan un punto
importante si se quiere hacer uso de este considerando que el negocio contina y
esta en constante cambio.
El propsito de este proceso de mantenimiento es asegurar que la gestin de
continuidad del negocio incluyendo la gestin de crisis permanezca efectivo, con el
objetivo de ser capaz de lograr la recuperacin de actividades de misin crtica y
sus dependencias dentro de los objetivos de tiempo de recuperacin y los objetivos
de
punto
de recuperacin asegurando una continuidad de sus servicios y
productos.[12]
Con la realizacin del mantenimiento al PLAN CONTINUIDAD DEL NEGOCIO podremos
obtener:

Pruebas definidas y documentadas para la gestin y gobierno pro activo del


programa de mantenimiento y monitoreo del PLAN CONTINUIDAD DEL NEGOCIO
respecto a actividades de misin critica y sus dependencias.
PLAN CONTINUIDAD DEL
Detalles de todos los cambios de estrategias del
NEGOCIO y planes de continuidad de negocio documentados con toda la
historia de estrategias y detalles de control de versiones.

www.bscconsultores.com

Mantenimiento

Identificacin e inclusin de cambios en legislacin y regulacin para


la industria.
Verificacin y validacin de anlisis de impacto y de riesgos
basados
en
las estrategias y planes PLAN CONTINUIDAD DEL
NEGOCIO
Verificacin y validacin que las estrategias y planes PLAN
CONTINUIDAD DEL NEGOCIO son actualizados, precisos y completos.
Verificacin y validacin que la capacidad del PLAN CONTINUIDAD DEL
NEGOCIO (incluyendo planes y estrategias) son actualizadas
Verificacin y validacin que los planes continuidad de
negocio
siguen una secuencia lgica, formato, estructura conforme a las
directrices y estndares de buenas practicas.
Verificacin y validacin que los cambios de procedimiento y procesos
son puestos.
Verificacin y validacin que el personal tiene entendido los roles de
responsabilidad y le es claro el plan PLAN CONTINUIDAD DEL
NEGOCIO.

www.bscconsultores.com

Mantenimiento

La etapa de comunicacin de crisis se propone


desarrollar, coordinar, evaluar y ejercitar
planes para comunicarlos a directivos, personal,
usuarios, proveedores
y
medios
de
comunicacin, de tal forma que el entorno de la
organizacin se entere de su estado y en caso
de crisis poder reaccionar de forma adecuada
para minimizar los costos de interrupcin de
los procesos internos.
PLAN CONTINUIDAD DEL
Para
ello,
el
NEGOCIO debe contener un listado de
clientes,
proveedores
y
medios
de
comunicacin entre otros, en el cual se
muestren los datos bsicos de cada contacto.

www.bscconsultores.com

COMUNICACIN DE CRISIS

En esta etapa se quiere que la organizacin tenga una clara definicin y documentacin
de las polticas a implementar como un documento obligatorio en la organizacin.
Por lo tanto, en este proceso la organizacin vera los resultados en la mejora de los procesos
de toda su organizacin, teniendo en cuenta que las polticas estn dirigidas a la organizacin
como un todo.

En el artculo se describen algunos resultados como los siguientes.

Un efectivo propsito de competencia y capacidad del PLAN CONTINUIDAD DEL NEGOCIO.


Creacin de conciencia en toda la organizacin.
Una clara definicin y documentacin de un conjunto de principios del PLAN CONTINUIDAD DEL
NEGOCIO.
Una clara definicin y documentacin de un conjunto de guas y estndares mnimos del PLAN
CONTINUIDAD DEL NEGOCIO
Una clara definicin y documentacin de estrategias del PLAN CONTINUIDAD DEL NEGOCIO
Una clara definicin y documentacin del marco operacional del PLAN CONTINUIDAD DEL NEGOCIO.
Asegurar el personal apropiado
Una clara definicin y documentacin de procesos del programa del PLAN CONTINUIDAD DEL
NEGOCIO de

gestin de la organizacin

Una clara definicin y documentacin de garanta de procesos del programa PLAN CONTINUIDAD DEL
NEGOCIO de gestin de la organizacin
Asegurar que los directivos y personal de la organizacin son concientes y cumplen con las normas
pertinentes y requisitos legislativos

www.bscconsultores.com

COORDINACIN CON
AUTORIDADES PBLICAS

Un efectivo propsito de competencia y capacidad del PLAN


CONTINUIDAD DEL NEGOCIO.
Creacin de conciencia en toda la organizacin.
Una clara definicin y documentacin de un conjunto de principios del
PLAN CONTINUIDAD DEL NEGOCIO.
Una clara definicin y documentacin de un conjunto de guas y
estndares mnimos del PLAN CONTINUIDAD DEL NEGOCIO
Una clara definicin y documentacin de estrategias del PLAN
CONTINUIDAD DEL NEGOCIO
Una clara definicin y documentacin del marco operacional del PLAN
CONTINUIDAD DEL NEGOCIO.
Una clara definicin y documentacin de procesos del programa del
PLAN CONTINUIDAD DEL NEGOCIO de gestin de la organizacin
Una clara definicin y documentacin de garanta de procesos del
programa PLAN CONTINUIDAD DEL NEGOCIO de gestin de la
organizacin
Asegurar que los directivos y personal de la organizacin son concientes
y cumplen con las normas pertinentes y requisitos legislativos

www.bscconsultores.com

COORDINACIN CON
AUTORIDADES PBLICAS

No es necesario realizar todas las fases del Plan de Continuidad del Negocio (PLAN CONTINUIDAD
DEL NEGOCIO), ya que stas sern realizadas dependiendo la necesidad y actividad de la
organizacin.
Uno de los puntos iniciales y ms importantes para realizar el PLAN CONTINUIDAD DEL
NEGOCIO es conocer y entender de forma detallada el negocio al que se dedica la organizacin, para
as obtener como resultado un plan de continuidad ptimo.
El desarrollo del Plan de Continuidad del Negocio tiene en cuenta el anlisis de todos
los
recursos
(humanos, tecnolgicos,
datos
vitales, infraestructura, etc.).

Hay que tener en cuenta que una amenaza nunca va a desaparecer, siempre estar
presente en todos los procesos de una organizacin. Sin embargo, da a da se desarrollan
tcnicas que permiten, en poco tiempo, mitigar el impacto que generan estas
amenazas.

Uno de los primeros pasos para llevar a cabo la implementacin de un PLAN CONTINUIDAD
DEL NEGOCIO es la definicin de coordinadores de equipos y equipos, cada uno con
responsabilidades y roles relacionados con cada fase del PLAN CONTINUIDAD DEL
NEGOCIO.

La fase de evaluacin de riesgos permite a la empresa identificar, analizar y evaluar


amenazas internas y externas que representan riesgos principalmente a las actividades
criticas de la organizacin.

El impacto que genera una interrupcin debe ser cualificado y cuantificado permitiendo
que la empresa este preparada
econmicamente
y operacionalmente
brindando estabilidad a su negocio.

www.bscconsultores.com

CONCLUSIONES

www.bscconsultores.com

www.bscconsultores.com

www.bscconsultores.com

www.bscconsultores.com

www.bscconsultores.com

www.bscconsultores.com
Luis Guillermo Barreto Botero
Auditor Internacional SGCS BASC
Auditor Lder ISO 28000
lgbarretob@gmail.com
317-5369871