lunes, 4 de marzo de 2019

PUBLICADO EL NUEVO BORRADOR LA NORMA ISO DIS 22301: GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO


La norma ISO DIS 22301 especifica la estructura y los requisitos que se deben tener en cuenta la hora de implementarla y mantener el Sistema de Gestión de Continuidad de Negocio.

Una empresa debe desarrollar una continuidad de negocio que sea apropiada para la magnitud y el tipo de impacto que puede o no aceptar después de una interrupción. Los resultados de mantener un Sistema de Gestión de Continuidad de Negocio se encuentran formados por los requisitos legales, regulatorios, organizativos y de la industria de la empresa, productos y servicios prestados, procesos empleados, tamaño y estructura de la empresa, y los requisitos de las partes interesadas.

Un Sistema de Gestión de Continuidad de Negocio, según la ISO DIS 22301, enfatiza con la importancia de:
  • Comprender todas las necesidades que presenta la organización y la necesidad de establecer políticas de continuidad del negocio.
  • Operar y mantener procesos, capacidades y estructuras de respuesta para asegurarse de que la empresa sobrevivirá a las interrupciones, esto se realiza monitorizando y revisando el desempeño y efectividad del Sistema de Gestión de Continuidad de Negocio.
  • Mejora continua basada en medidas cualitativas y cuantitativas.

Un Sistema de Gestión de Continuidad de Negocio, como cualquier otro sistema de gestión, incluye los siguientes componentes:
  • Una política
  • Personas competentes con responsabilidades definidas
  • Procesos de gestión relacionados con la política, la planificación, implementación y operación, evaluación del desempeño, revisión por la dirección, mejora continua.
  • Información documentada que respalde el control operacional y permita la evaluación del desempeño.
Beneficios de un Sistema de Gestión de Continuidad de Negocio

El Sistema de Gestión de Continuidad de Negocio se utiliza para preparar, proporcionar y mantener controles y capacidades para la gestión de la organización.

En pocas palabras, es la capacidad que tiene una empresa para continuar operando durante las interrupciones. Para conseguir esto, es importante ver a la empresa:
  • Desde una perspectiva empresarial apoyando los objetivos estratégicos, creando una ventaja competitiva, proteger y mejorar la reputación y credibilidad, y contribuir a la resiliencia organizacional.
  • Desde una perspectiva financiera hacer que los socios confíen en su éxito, minimizar la exposición legal y financiera, y reducir los costos que generan las interrupciones.
  • Desde la perspectiva de las partes interesadas proteger la vida, la propiedad y el medio ambiental, y considerar las expectativas de las partes interesadas.
  • Desde una perspectiva de procesos internos mejorando la capacidad de seguir siendo eficaz durante las interrupciones, demostrar el control proactivo de los riesgos con eficacia y eficiencia, y abordar las vulnerabilidades operativas.
El modelo Planificar-Hacer-Verificar-Actuar (PHVA)

En el borrador ISO DIS 22301 aplica el modelo “Planificar, Hacer, Verificar y Actuar” en la planificación, establecimiento, implementación, operación, monitoreo, revisión, mantenimiento y mejora continua de la efectividad de un Sistema de Gestión de Continuidad de Negocio en la empresa.

Esto garantiza un grado de coherencia con otros estándares cómo puede ser la norma ISO 9001, ISO 14001, etc.



Componentes de PHVA en el borrador ISO DIS 22301

En el modelo PHVA:

El apartado 4 es parte de la planificación. Se introducen todos los requisitos necesarios para establecer el contexto del Sistema de Gestión de Continuidad de Negocio en la organización, además de las necesidades, requisitos y alcance.

El apartado 5 es parte de la planificación. Se resumen todos los requisitos específicos del rol de la alta dirección en el Sistema de Gestión de Continuidad de Negocio, y como el liderazgo articula sus expectativas mediante la política.

El apartado 6 es parte de la planificación. Describe todos los requisitos en relación con el establecimiento de estrategias objetivos y principios para el Sistema de Gestión de Continuidad de Negocio en su conjunto.

El apartado 7 es parte de la planificación. Es compatible con las operaciones del Sistema de Gestión de Continuidad de Negocio en lo que respecta a establecer competencias y la comunicación, según sea necesario, con las partes interesadas, al tiempo que documenta, controla, mantiene y retiene la información documentada requerida.

El apartado 8 es parte de hacer. Define las necesidades de continuidad del negocio, determina cómo abordarlas y desarrolla todos los procedimientos para gestionar a la empresa durante una interrupción.

El apartado 9 es parte de verificar. Resume todos los requisitos necesarios para medir negocios, el desempeño de la continuidad, el cumplimiento del Sistema de Gestión de Continuidad de Negocio y la revisión de la administración.

El apartado 10 es parte de actuar. Identifica y actúa sobre la no conformidad en el Sistema de Gestión de Continuidad de Negocio y la mejora continua mediante la acción correctiva.


Tomado de: https://www.isotools.org

¿CUÁLES SON LAS VARIABLES A TENER EN CUENTA EN LA GESTIÓN DE RIESGOS?


La gestión de riesgos nos facilita la comprensión de las amenazas y nos permite tomar decisiones de una forma mucho más sencilla, se realiza mediante la prevención de los posibles riesgos que se pueden llevar a cabo en la empresa.

Durante la realización de mapa de riesgos influyen diferentes características y la naturaleza de la organización, además de los distintos tipos de riesgos o amenazas.



Las variables de probabilidad y de impacto cualitativo y cuantitativo, nos generan un mapa de calor, esto se encuentra relacionado con el riesgo, los límites y la tolerancia. Es necesario realizar una representación gráfica sobre los objetivos estratégicos de las empresas en los que se sitúan los riesgos más representativos para la organización, y que afectan a la toma de decisiones. Las medidas que se deben adoptar dependen de la probabilidad y el impacto que generan los riesgos:
  • Probabilidad: es la posibilidad de que un riesgo pueda ocurrir en el desarrollo de la actividad que se tiene que realizar.
  • Impacto cualitativo: una valoración realizada a través de las características que tienen como base un escenario de amenaza sobre los activos.
  • Impacto cuantitativo: es el efecto económico de la materialización de riesgo.
Realizar representaciones gráficas contribuye a que los altos mandos de las organizaciones conozcan la situación de la empresa. Las empresas reducen, asumen o transfieren los riesgos según la probabilidad de que se produzcan o el impacto que generen. En el mapa de riesgo también existe un hueco para la toma de decisiones planificadas por la organización como respuesta para los riesgos.

El aplicativo de BI que permite a las organizaciones explotar información y apoyar la toma de las decisiones de forma muy visual, lo que puede ser de gran ayuda para presentar informes a la dirección.

Queremos demostrar que el éxito de la empresa depende del riesgo que estamos dispuestos a asumir y como somos capaces de gestionarlos. Para implementar una gestión de riesgo necesitamos el apoyo de la alta dirección.



La visión de la alta dirección en cuanto a los riesgos.

Es necesario que conozcamos la organización por lo que nos debemos preguntar ¿Cómo es la empresa? Seguidamente es necesario analizar los riesgos, por lo que debemos preguntarnos ¿Qué riesgos amenazan a la empresa? Para llevar a cabo la gestión de riesgos es necesario conocer cuáles son los tratamientos que se le darán a los riesgos desde dicha organización, y finalmente, debemos que analizar los sistemas de control, por lo que la pregunta sería ¿Están controlados los riesgos?

Los objetivos son:
  • Mejorar la gestión de riesgos, en cualquier situación.
  • Realizar de forma eficaz los planes de negocio adaptados a los riesgos.
  • Es necesario realizar una fase preventiva para minimizar los efectos que se derivan de factores internos o externos.
  • Genera valor añadido para la organización.
  • Será necesario conocer la política de riesgos de la empresa.
  • Saber cuáles son los sujetos afectados por los riesgos.
  • Evaluar los riesgos de forma cuantitativa o cualitativa.
  • Determinar el control interno sobre todos los riesgos.
  • Casar a los riesgos con las politicas de seguros.
  • Conocer el nivel de comunicación entre los implicados y el control. Es necesario que entre los diferentes departamentos de la organización exista una buena comunicación.
Se incluye desde el más alto cargo hasta el de menor cargo, es necesario que la gestión de riesgos se encuentre arropado por el gobierno corporativo. Es necesario conocer hasta que límite puedo llegar a la hora de tolerar dicho límite, se puede utilizar un desplegable de riesgos pero se deben dividir en diferentes niveles. Para poder cualificar los riesgos se utiliza un histórico sobre lo que ha pasado y puede volver a suceder, siendo más fácil evitar que vuelvan a suceder.

Es necesario establecer controles que nos ofrece el riesgo residual, ya que existen muchos riesgos que no se pueden controlar. Con esto se genera un informe para comunicarlos de forma externa o interna. Y todas las normas que nos obligan a implantar la gestión de riesgos nos dicen que el consejo de administración tiene la obligación, al menor coste posible, de facilitarte recursos y personal formado para poder implementarlo.

Finalmente, con las herramientas entregadas por la nueva ISO 31000, los riesgos son denominados como entidades en sí mismos, que pueden ser clasificados, identificados y gestionados en cuanto a diferentes aspectos. 

Gracias a esta clasificación el riesgo, siempre será el mismo aunque se le modifique el nombre. Esto nos permite tener una trazabilidad del riesgo a lo largo de tiempo. Además encontramos un ciclo de vida, con el que conoceremos quien identificó el producto, como se realizó el control, etc.

Tomado de: https://www.isotools.org/