top of page
Buscar

¿Se puede predecir el futuro? (Análisis de impacto al negocio)

  • Foto del escritor: BICERT
    BICERT
  • 15 nov 2022
  • 4 Min. de lectura

Actualizado: 5 nov

Tal vez no, pero si pensamos que la historia es la maestra de la vida, analizar el pasado nos puede servir para predecir el futuro.


Primer plano de un teclado de ordenador, mostrando la tecla 'Enter' de color verde brillante, etiquetada con la frase 'Business Continuity' (Continuidad del Negocio). La imagen simboliza la decisión crítica y la acción necesaria para la implementación del Sistema de Gestión para la Continuidad de un Negocio (BCMS), como se aborda en el artículo de BICERT sobre la resiliencia organizacional.
La clave para la resiliencia organizacional es activar el Plan de Continuidad del Negocio (CBP) y asegurar que el negocio continúe operando ante cualquier crisis.

En el taller sin costo de noviembre que BICERT ofrece a sus clientes y amigos, el experimentado auditor líder y consultor de empresas, Ing. Alejandro Barreto, nos hace reflexionar con lo siguiente: ¿hace tres años, quien imaginaba todo lo que nos pasó con la pandemia? Sin embargo, Bill Gates la predijo en 2015 (ver vínculo al final de este boletin). ¿Cómo lo hizo? la siguiente lámina nos arroja información muy valiosa:


Gráfico o línea de tiempo que ilustra las pandemias y crisis históricas más relevantes (ej. Peste Negra, Gripe Española, COVID-19). La información visual subraya cómo el análisis del pasado ayuda a predecir el futuro y a prepararse ante la siguiente crisis, un principio clave para el Plan de Continuidad del Negocio (CBP).
Analizar la historia de las pandemias y las crisis es la mejor forma de prepararse: el pasado nos da las claves para gestionar el riesgo y garantizar la Continuidad del Negocio.

¿Gates es un brujo? ¿un pitoniso? (persona que adivina el futuro) o simplemente un buen analista…

Pandemias, terremotos, crisis financieras, hackeos (por ejemplo, el de la SEDENA), conflictos sociales, falta de agua, todos ellos son factores que pueden afectar la continuidad de un negocio.

Y el Ing. Barreto pregunta a los presentes, “¿cuál es la siguiente crisis que viene derechito a tu organización?”, y si es así, “¿cómo te estás preparando?”.


Las normas ISO plantean, dentro de las buenas prácticas de gestión, dos preguntas relevantes:

  1. ¿Está preparada la organización para la siguiente crisis?

  2. ¿Qué está haciendo para ello?

Una crisis es un acontecimiento o combinación de acontecimientos no deseados que tienen un impacto en el patrimonio / la propiedad intelectual / los sistemas de información / las responsabilidades jurídicas / su infraestructura / la integridad del personal / los medios de comunicación / la reputación…


El plan de continuidad de negocio es un instrumento que permite analizar y predecir los acontecimientos que pueden provocar un impacto en su organización.


La norma internacional ISO 22301:2019 es un documento de aplicación voluntaria que describe un conjunto de procesos para implementar un Sistema de Gestión para la Continuidad de un Negocio (BCMS - Business Continuity Management System):


Captura de pantalla de la página de la ISO para la norma ISO 22301:2019 (Security and resilience - Business continuity management systems - Requirements). Esta norma describe los requisitos para un Sistema de Gestión de la Continuidad de un Negocio (BCMS), el instrumento clave que permite a las organizaciones analizar el impacto de eventos y mejorar su resiliencia ante las crisis.
La norma ISO 22301:2019 proporciona el marco de trabajo para construir un Sistema de Gestión de la Continuidad del Negocio (BCMS) y fortalecer la resiliencia de su organización.

Introduce términos tales como “seguridad”, “resiliencia”, que, de acuerdo con la Real Academia (RAE) significa:


1. Capacidad de adaptación de un ser vivo frente a un agente perturbador o un estado o situación adversos.


2. Capacidad de un material, mecanismo o sistema para recuperar su estado inicial cuando ha cesado la perturbación a la que había estado sometido.


Por decirlo de otra manera, es una especie de palabra compuesta entre los términos “resistencia y recuperación”.


Para que una organización sea resiliente, o bien, para que mejore su resiliencia, el Ing. Barreto nos ofrece algunas pistas:

  1. La organización debe tener bien compartidos, con todo el personal, una buena visión y un propósito de negocio.

  2. Disponer de una amplia comprensión del contexto de la organización. Un sentido de pertenencia por parte de todos que les permita identificar ¿quién es nuestro principal cliente, principal proveedor, y el principal competidor.

  3. Trabajar en equipo. Con una probada capacidad de comunicación y de separar el concepto de fricción entre las partes (como el que se presenta en cualquier maquinaria) con el de choque.

  4. Contar con una probada capacidad de absorber, adaptarse y responder ante un incidente, ya sea anticipado o no, que provoca una desviación negativa no planificada de la entrega esperada de productos y servicios de acuerdo con los objetivos de una organización.

  5. Desarrollar una buena forma de gobernar la organización, es decir, la capacidad de gestión administrativa que defina sus políticas, lineamientos, pero sobre todo que sea eficaz y adecuada a los fines que se persiguen.

  6. Que exista un respaldo de habilidades, liderazgo, conocimiento y experiencia para poder enfrentar las adversidades.

  7. Capacidad de anticiparse y gestionar el cambio.

  8. Sentido de pertenencia, trabajo en equipo, ¿fricción o choque?, comunicación,


Dentro de las definiciones o conceptos importantes que debemos conocer están los siguientes:


Continuidad del negocio, Plan de continuidad del negocio (CBP), riesgo, actividad prioritaria, Análisis del impacto al negocio (BIA), resiliencia, Enterprise Risk Management (ERM), interrupción, crisis.


En términos de la continuidad de un negocio:

  • El producto más caro es el que no hay

  • El recurso más valioso es el que no se tiene; y

  • El tiempo más apreciado es con el que no contamos


El expositor toma como ejemplo el COVID-19:

¿Qué probabilidad de ocurrencia tenía la pandemia?, ¿Cuáles son los procesos de tu organización más afectados?, ¿En qué medida se ha dado continuidad a la operación?, ¿Qué se requiere (o fue requerido) para continuar la operación?


Y en una interesante analogía, el consultor nos dice: “imaginen que van manejando en carretera a 110 km/h y se poncha una llanta del automóvil. Eso hace que se detengan, la cambien, circulen con la llanta de refacción a 80 km/h (máximo), y busquen reponerla o repararla a la brevedad para regresar a la normalidad”. El siguiente diagrama ilustra muy bien este y otros casos que pueden presentarse en una empresa:


Gráfico de línea titulado 'Tiempos y capacidades' que ilustra la caída de la capacidad de operación (eje Y) a lo largo del tiempo (eje X) tras un evento de crisis. Muestra la 'Operación Normal', la 'Crisis', el periodo de 'Continuidad' y la 'Evaluación y mejora'. También indica el RTO (Recovery Time Objective) y el MTPD (Maximum Tolerable Period to Disruption). Este diagrama es fundamental para el Análisis de Impacto al Negocio (BIA) y la planificación de la continuidad, demostrando la resiliencia de la organización.
Este diagrama ilustra la resiliencia de la organización: la capacidad de volver a la normalidad tras una crisis, definiendo métricas clave como el RTO y el MTPD.

Por último, nos hace ver el tamaño de los impactos o consecuencias que los incidentes provocan en las organizaciones. Un problema operativo, por ejemplo, tiene mayor probabilidad de ocurrencia, pero un menor impacto. Un problema estratégico será de menor probabilidad de ocurrencia, pero de mayor impacto, mientras que un problema de continuidad del negocio tendrá una baja probabilidad de ocurrencia, pero es el de más alto impacto.


Matriz de burbujas titulada 'Relación con la gestión de Riesgos', que compara la Probabilidad (eje X) frente a la Consecuencia/Impacto (eje Y). Muestra que los riesgos de 'Continuidad del Negocio' tienen un alto impacto y baja probabilidad (burbuja grande en la esquina superior izquierda), los 'Estratégicos' tienen impacto medio y probabilidad media, y los 'Operativos' tienen alta probabilidad y menor impacto (burbuja pequeña en la esquina inferior derecha). El gráfico subraya cómo los incidentes de continuidad son los de más alto impacto, requiriendo un enfoque especial en la planificación.
Los problemas de Continuidad del Negocio tienen la menor probabilidad de ocurrencia, pero son los de más alto impacto, lo que exige una preparación rigurosa y planes documentados.

Para ello, la organización debe documentar y mantener los planes y procedimientos de continuidad del negocio, y cada plan incluirá:

a) Propósito y objetivos; b) Roles y responsabilidades; c) Acciones; d) Información de apoyo necesaria para activar operación e) Requisitos de recursos; g) Reportes requeridos; h) Retiro.

El experimentado instructor termina su exposición diciendo: “No podemos predecir el futuro, hay que cambiar la manera de prepararnos frente al riesgo”.



Le invitamos a acercarse al experimentado equipo de BICERT. Nuestra trayectoria con más de 20 años de experiencia nos respalda: www.bicert.com.mx

Síguenos en nuestras redes sociales en LinkedIn y Twitter.


Comentarios

bottom of page