Cerrar Menú
Las opiniones de los blogueros son de su estricta responsabilidad y no representan la opinión de este portal.
Profile image

Ingrese o regístrese acá para seguir este blog.

Seguir este blog

Por: Isabel Casares San José-MartíColaboradora de Auditool
Economista y Actuario de Seguros
Fundadora y Socio honorífico de AIGRYS

Ante las situaciones que estamos viviendo en la actualidad, debemos tener en cuenta que el Gobierno Corporativo y de la Gestión Integral de Riesgos de las empresas deben cumplir con una gestión efectiva del riesgo operacional y establecer criterios mínimos para la gestión de la continuidad del negocio, obligándose a reportar eventos de interrupción significativa de las operaciones, y el uso de indicadores clave para supervisar la gestión de la continuidad del negocio, siempre bajo el principio de proporcionalidad al tamaño, la naturaleza y la complejidad de sus operaciones.

Los estándares y buenas prácticas internacionales sobre la materia, entre los que se encuentran el estándar ISO 22301, sobre los sistemas de gestión de la continuidad del negocio, y la Guía de Buenas Prácticas del Business Continuity Institute. Asimismo, la empresa debe contar con un sistema de gestión de la seguridad de la información, orientado a garantizar la integridad, confidencialidad y disponibilidad de su información.

Analizando la terminología común en esta materia destacamos:

  • Análisis de impacto del negocio. Proceso mediante el cual se evalúan los efectos de un evento de interrupción del negocio para determinar la prioridad con la que se deben recuperar las actividades de la empresa.
  • Impacto máximo aceptable. Nivel máximo de impacto que puede ser aceptado por la empresa ante la ocurrencia de un evento de interrupción del negocio sobre diversos aspectos, tales como financiero, regulatorio, reputacional, sobre el público y el cumplimiento de los objetivos estratégicos.
  • Objetivo de recuperación de negocio. Nivel mínimo aceptable de operatividad de los productos y servicios a recuperar luego de una interrupción. Puede ser definido en términos de alguna o la combinación de las siguientes variables: canales de atención, volumen de operaciones, volumen de clientes, montos para la atención de operaciones y horarios de atención
  • Periodo máximo tolerable de interrupción (PMTI). Periodo luego del cual una interrupción alcanza alguno de los niveles de impacto máximos aceptables.
  • Punto único de falla. Fuente o camino único de un servicio, actividad y/o proceso para el cual no existe una alternativa y cuya pérdida o falla pueda ocasionar una interrupción.
  • Punto objetivo de recuperación (POR). Nivel máximo de información que se podría perder como resultado de una interrupción en los servicios de tecnologías de la información. Se representa en unidades de tiempo.
  • Tiempo objetivo de recuperación (TOR). Tiempo establecido por la empresa para reanudar operaciones, en caso de ocurrencia de una interrupción. Es menor al PMTI.

El sistema de gestión de la continuidad del negocio, es el componente de la gestión integral de riesgos que busca asegurar la capacidad de la empresa para continuar operando a niveles previamente establecidos, ante la ocurrencia de una interrupción y abarca, al menos, las siguientes fases:

  1. Entendimiento de la organización.
  2. Diseño de la estrategia de continuidad.
  3. Implementación de la estrategia de continuidad.
  4. Plan de pruebas.
  5. Capacitación.
  6. Revisión y actualización.

Las políticas para la gestión de la continuidad del negocio deben ser aprobadas por el Consejo de Administración, revisadas periódicamente y considerar, al menos:

  • Vinculación a los objetivos estratégicos de la empresa.
  • Proveer un marco para establecer y alcanzar los objetivos de la gestión de la continuidad del negocio.
  • Establecer los impactos máximos aceptables ante la ocurrencia de una interrupción, los cuales deben ser considerados para el análisis de impacto del negocio.

La gestión de la continuidad de negocio puede ser desempeñada por una unidad especializada o asignada a otra unidad de la empresa, atendiendo al tamaño, la naturaleza y la complejidad de sus operaciones, estableciendo las siguientes responsabilidades respecto a dicha gestión:

  • Proponer políticas.
  • Desarrollar procedimientos y metodologías apropiados.
  • Apoyar y asistir a las unidades de la empresa en la implementación de las políticas, procedimientos y metodología desarrollados.
  • Asegurar que la gestión se integre a la gestión de riesgos de la empresa.
  • Asegurar que el Consejo de Administración, la gerencia general y el comité de riesgos tomen conocimiento de los aspectos relevantes de la gestión, para una oportuna toma de decisiones.
  • Asegurar que el desarrollo de las actividades referidas a la gestión sea aprobado por las instancias correspondientes.
  • Identificar las necesidades de capacitación y difusión para una adecuada gestión.

1. Entendimiento de la organización

La empresa debe efectuar un análisis de impacto del negocio y una evaluación de riesgos que podrían causar una interrupción del negocio, cuyos resultados deben ser aprobados por el comité de riesgos e informados al Consejo de Administración, debiendo incluir:

  • Un inventario de los productos o servicios entregados a personas (físicas o jurídicas) o entes jurídicos, que puedan verse afectados por la interrupción de las actividades de la empresa, incluyendo en dicho inventario a las obligaciones que se mantengan con dichas personas o entes.
  • Una evaluación, a través del tiempo, de los impactos financiero, regulatorio y reputacional, en el público y en el cumplimiento de los objetivos estratégicos que podrían generarse como resultado de interrumpir la entrega de los productos y servicios, con el objetivo de determinar el PMTI y el TOR.
  • La definición de los productos y servicios priorizados, en atención al PMTI y TOR correspondientes, así como la identificación de los procesos que los soportan.
  • La estimación de los recursos propios y/o provistos por terceros, necesarios para la ejecución de los productos y servicios priorizados, y que incluyen al personal con capacidades técnicas, los procedimientos, información, tecnología e infraestructura.

La evaluación de riesgos que podrían causar una interrupción del negocio debe incluir, al menos:

  • Identificación de los puntos críticos de falla.
  • Escenario en los que los recursos necesarios, propios y/o provistos por terceros, no se encuentren disponibles.
  • La exposición a riesgos relacionada a la ubicación geográfica de sus instalaciones y la de aquellos proveedores cuya falla o indisponibilidad podría afectar la continuidad de las operaciones de la empresa.

Las metodologías para desarrollar el análisis de impacto del negocio y la evaluación de riesgos que podrían causar una interrupción del negocio deben ser consistentes con aquellas usadas para la gestión del riesgo operacional.

2. Diseño de la estrategia de continuidad

La empresa debería diseñar estrategias que permitan asegurar la continuidad en la entrega de los productos y servicios, aprobadas por el Consejo de Administración e incluyendo:

  • La factibilidad técnica, los TORs y los recursos necesarios para su implementación.
  • Un análisis de escenarios que incluya la falla o indisponibilidad de los bienes o servicios brindados por terceros.
  • Contar con más de un centro de procesamiento de datos con perfiles de riesgo distintos, de modo que posibles eventos de interrupción no los afecten de manera simultánea.
  • La información de las operaciones de los productos de inversiones.
  • Las instalaciones destinadas a la recuperación de los procesos que soportan los productos y servicios priorizados deben cumplir con las políticas y los protocolos de seguridad establecidos por la empresa.
  • Contar con un análisis realizado por un tercero independiente y especializado, en donde se analice si los centros de procesamiento de datos se verán o no afectados por un mismo evento de interrupción, considerando la ubicación geográfica, el suelo, la infraestructura y la accesibilidad de cada centro, debiendo actualizarse periódicamente o ante cambios en alguna de las características señaladas.

3. Implementación de la estrategia de continuidad

La empresa debe implementar las estrategias de continuidad aprobadas, desarrollando planes de gestión de crisis, de continuidad de los productos y servicios priorizados, de recuperación de los servicios de tecnología de información y de emergencia.

El plan de gestión de crisis describirá la estructura organizativa y los procedimientos aplicables en situación de crisis, incluyendo:

  • Criterios de activación y desactivación.
  • Conformación del comité de crisis de nivel estratégico.
  • Lineamientos para la toma de decisiones.
  • Roles y responsabilidades durante la crisis.
  • Esquema de comunicación entre los miembros del comité de crisis.
  • Lineamientos para la comunicación con aquellas personas (físicas o jurídicas) y entes jurídicos, que pudieran verse afectados por la interrupción de las actividades de la empresa.

El plan de continuidad de los productos y servicios priorizados describiendo los aspectos necesarios para el despliegue de las estrategias que permitan asegurar la continuidad en la entrega de dichos productos y servicios, y debe incluir lo siguiente:

  • Criterios de activación y desactivación.
  • Roles y responsabilidades de los involucrados.
  • Descripción de los procedimientos y recursos necesarios para recuperar los productos y servicios.
  • Descripción de los procedimientos y recursos necesarios para realizar el retorno a la operación normal de los productos y servicios.

El plan de recuperación de los servicios de tecnología de información (TI) describiendo los aspectos necesarios para el despliegue de las estrategias aprobadas para recuperar los servicios de TI. Dicho plan debe contemplar los siguientes aspectos:

  • Criterios de activación y desactivación.
  • Conformación del equipo a cargo de la recuperación de los servicios de TI, los cuales deben incluir a los proveedores que soporten dichos servicios de TI.
  • Roles y responsabilidades.
  • Descripción de los procedimientos y recursos necesarios para recuperar los servicios de TI.
  • Descripción de los procedimientos y recursos necesarios para realizar el retorno a la operación normal de los servicios de TI.

El plan de emergencia describiendo los aspectos necesarios para salvaguardar la integridad física del personal y público en general en las instalaciones de la empresa.

4. Plan de pruebas de continuidad

Las pruebas de continuidad deben asegurar el cumplimiento de los objetivos de la gestión de la continuidad del negocio. La empresa debe planificar y ejecutar anualmente pruebas de los planes de gestión de crisis, de la continuidad del negocio, de recuperación de los servicios de tecnología de información, y de emergencia.

En caso de contar con múltiples estrategias para asegurar la continuidad de los productos y servicios priorizados, la empresa debe probar todas ellas en un periodo no mayor a tres años y elaborar informes sobre la ejecución de pruebas que incluyan la siguiente información:

  • Los objetivos y metas de la prueba.
  • Características, alcance y escenario.
  • Resultados obtenidos y oportunidades de mejora.
  • Planes de acción a implementar.

5. Capacitación y cultura organizacional

La empresa debe asegurar el conocimiento necesario y el compromiso con la gestión de la continuidad del negocio en todos los niveles de la organización, al menos:

  • Diseñando e implementando programas de capacitación dirigidos a los diferentes niveles organizacionales, de acuerdo a las funciones y responsabilidades asignadas dentro del sistema de gestión de la continuidad del negocio.
  • Diseñando y ejecutando actividades que integren la gestión de la continuidad del negocio a la cultura organizacional de la empresa.

6. Revisión y actualización

La empresa debe revisar el sistema de gestión de la continuidad del negocio periódicamente o ante nuevos productos o cambios importantes en el ambiente de negocios, operativo o informático. Para dicho efecto, debe establecer políticas para su revisión periódica y lineamientos que permitan identificar situaciones que ameriten su actualización.

Se debe informar de la ocurrencia de un evento de interrupción significativa de operaciones, en cuanto se tenga conocimiento, entendido como tal el que implique cualquiera de las siguientes situaciones:

  • La suspensión en la entrega de los productos y servicios priorizados por un tiempo mayor a los respectivos TOR.
  • La indisponibilidad del 25% o más de un canal de atención en una determinada región geográfica o a nivel nacional, por un periodo mayor a un número de horas (normalmente cuatro horas) o al TOR definido por la empresa, el que sea menor.
  • La activación del plan de gestión de crisis.

 

  Isabel Casares San José-Marti

Economista. Actuaria de seguros. Asesora Actuarial y de Riesgos.

Fundadora y Presidenta de CASARES Asesoría Actuarial y de Riesgos, S.L. http://www.mcasares.es/

Licenciada en Ciencias Económicas y Empresariales por la Universidad Autónoma de Madrid. Rama Ciencias Económicas (1988). Licenciada en Ciencias Económicas y Empresariales por la Universidad Complutense de Madrid. Rama Ciencias Actuariales y Financieras (1990). Título profesional de Actuario de Seguros por el Ministerio de Educación y Ciencia de Madrid (1990). Doctorado en Economía Financiera y Actuarial por la Universidad Complutense de Madrid (1997). Título Profesional de Actuario de Fondos de Pensiones por el Ministerio de Economía (Dirección General de Seguros y Fondos de Pensiones). Diploma de Mediador de Seguros Titulado por el Ministerio de Economía (Dirección General de Seguros y Fondos de Pensiones). Perito judicial actuarial. Colaborador de Auditool

Madrid, España

(Visited 144 times, 1 visits today)

Etiquetas

PERFIL
Profile image

Auditool.org, es una red de conocimientos especializada en temas de auditoría y control interno, creada para permitir la transferencia de conocimiento de buenas prácticas a profesionales que laboran en estas áreas.

    Siga a este bloguero en sus redes sociales:

Más posts de este Blog

Ver más

Lo más leído en Blogs

1

Construir tu propio ordenador a partir de componentes individuales de PC tiene(...)

2

Cada día reafirmó la idea de que el poder habita dentro de(...)

3

Durante años, siempre se ha hablado de los seres angélicos que nos(...)

0 Comentarios
Ingrese aquí para que pueda comentar este post
Reglamento de comentarios

PORTAFOLIO no se responsabiliza por el uso y tratamiento que los usuarios le den a la información publicada en este espacio de recomendaciones, pero aclara que busca ser la sombrilla de un espacio donde el equilibrio y la tolerancia sean el eje. En ese camino, disponemos de total libertad para eliminar los contenidos que:

  1. Promuevan mensajes tipo spam.
  2. El odio ante una persona o comunidad por su condición social, racial, sexual, religiosa o de situación de discapacidad.
  3. Muestren o impulsen comportamientos o lenguajes sexualmente explícitos, violentos o dañinos.
  4. Vulneren o atenten contra los derechos de los menores de edad.

Además, tenga en cuenta que:

  • - El usuario registrado solo podrá hacer un voto por comentario.
Acepto
¿Encontró un error?

Para PORTAFOLIO las observaciones sobre su contenido son importantes. Permítanos conocerlas para, si es el caso, tomar los correctivos necesarios, o darle trámite ante las instancias pertinentes dentro de nuestra compañía.


Debes escribir el comentario
¡Gracias! Tu comentario ha sido guardado
Su calificación ha sido registrada.
Su participación ya fue registrada.
Haga su reporte
Cerrar
Debe escribir su reporte.
Su reporte ha sido enviado con éxito.
Debe ser un usuario registrado para poder reportar este comentario. Cerrar