S

Plan de Continuidad de Negocios

Por Salim Manzur

Qué es Continuidad del Negocio?

S  La continuidad del negocio involucra capacidades estratégicas y tácticas, definidas por la dirección de la empresa, para responder a incidentes e interrupciones del servicio con el fin de poder continuar con sus operaciones a un nivel aceptable previamente acordado.

Plan de Continuidad (Origen)

S  Gobierno Corporativo: OECD.

S  Control Interno: COSO, CoCo (Canadá), Turnbull (Gran Bretaña), Kon Trag (Alemania), Cobit (USA).

S  Gestión de Riesgos: ORMBOK, NTP 537, HAZOP.

S  Gestión de Seguridad: SGSI, ISO27001:2005

Qué es un Plan de Continuidad de Negocios?

S  Existen muchas definiciones:

Plan de Continuidad de Negocios

S  BCP (Business Continuity Plan): Es un plan documentado y probado con el fin de responder ante una emergencia de manera adecuada, logrando así el mínimo impacto a la operación del negocio.

S  Plan de Contingencia.

S  Plan de Recuperación de Desastres.

Plan de Continuidad de Negocios

Plan de Contingencia

S  Es un subconjunto de un plan de continuidad de negocio (BCP), que contempla cómo reaccionar ante una contingencia que pueda afectar la disponibilidad o los servicios ofrecidos por los sistemas, sean estos informáticos (Sistemas), productivos (CTP, Imprentas, Rotativas, Transporte) o procedimentales (Procedimientos, Formularios y Documentos).

S  Una contingencia puede ser un problema de corrupción de datos, falla en el suministro eléctrico, daño en equipos industriales, un problema de software o hardware, errores humanos, intrusión, etc.

Plan de Recuperación de Desastres

S  DRP – Disaster Recovery Plan: Es aquella parte del plan de contingencia y del plan de continuidad de negocio (BCP), que aborda aquellas contingencias que, por su gravedad, no permiten a una empresa continuar prestando el servicio desde su Oficina Matriz y debe realizarse desde un nuevo centro operativo.

S  Este plan debe contemplar el retorno a la operación normal cuando, tras arreglar las consecuencias del desastre, el servicio pueda ser reanudado en la Oficina Matriz.

Por qué Implementar un Plan de Continuidad de Negocios?

S  Presiones internas S  Logro de objetivos (alineamiento)

S  Logro de beneficios

S  Presiones externas S  Exigencias o demandas

S  Por mensajes del mercado (… moda)

Por qué Implementar un Plan de Continuidad de Negocios?

S  Logro de Beneficios S  Sobrevivencia corporativa

S  Mayor impacto en el valor de las acciones

S  Impacto en la reputación

S  Debida diligencia

S  Exigencias o demandas (Compliance)

S  Requerimientos legales o de terceras partes (stakeholders) S  Legislación concerniente a:

S  Control Interno sobre Reportes Financieros – SOX

S  Superintendencias y Servicio de Rentas.

S  Gestión de Riesgos - ORMBOK

S  Requerimientos de Aseguradoras

S  Requerimientos de Auditoría

S  Clientes (SLAs)

S  Obligación con accionistas & empleados

Por qué Implementar un Plan de Continuidad de Negocios?

Mejores Prácticas (BCP)

Marcos de Trabajo y Estándares

DRI-The Institute for Continuity Management

S  Áreas de Conocimiento

DRI-The Institute for Continuity Management

S  Áreas de Conocimiento

BCI - Business Continuity Institute

S  Áreas de Conocimiento

NIST – National Institute of Standards and Technology

(SP800-34)

NFPA - National Fire Protection Association

BCP - Metodología

BCP - Análisis de Impacto al Negocio (BIA)

Análisis de Riesgos

Qué es el riesgo?

S  La International Organization for Standarization (ISO) define al riesgo como la “Combinación de la Probabilidad de un Evento y su Consecuencia”. ISO aclara que el término riesgo es generalmente usado siempre y cuando exista la posibilidad de pérdidas (resultado negativo).

S  The Institute of Internal Auditors (The IIA) define al riesgo como “La Posibilidad de que ocurra un acontecimiento que tenga un impacto en el alcance de los objetivos. El riesgo se mide en términos de impacto y probabilidad”.

S  En resumen es la incertidumbre en cuanto al potencial de pérdidas en el proceso de búsqueda de los objetivos de la empresa.

Tipos de Riesgo

S  Riesgos Sistemáticos: Riesgo de Inflación, Riesgo de Interés, Riesgo de Cambio, Riesgo de Reinversión, Riesgo País.

S  Riesgos Específicos: Riesgo Económico, Riesgo Financiero, Riesgo de Crédito, Riesgo de Liquidez, Riesgos Industriales, Riesgo debido a cambios tecnológicos, Riesgo relacionado con las inversiones, Riesgo relacionado con la demanda, Riesgos de Operación, Riesgo de Empresa.

Riesgo Operacional

S  Es el riesgo derivado de la posibilidad de que se produzcan pérdidas directas o indirectas asociadas a errores humanos, fallos en los sistemas, existencia de políticas, procesos o controles inadecuados y eventos externos.

S  El nuevo marco de solvencia para las entidades financieras (Basilea II) ha sido pionero en incluir el riesgo operacional entre las tipologías de riesgo susceptibles de requerir dotaciones específicas de capital.

Clasificación de riesgos operacionales (Basilea II)

Categorías de Riesgo Operacional (BIS II)

S  Con el objetivo de simplificar la identificación del riesgo operacional, en el mapa de riesgos agruparemos las siete categorías propuestas en BIS II en las cuatro categorías que se enuncian en la propia definición del riesgo operacional: S  Personas: que comprenderá los riesgos operacionales relativos a fraude

interno, fraude externo. S  Sistemas: que comprenderá los riesgos operacionales relativos a

interrupciones de negocio y fallos en los sistemas. S  Políticas y procesos: que comprenderá los riesgos operacionales relativos

a incumplimiento de políticas laborales, clientes, productos y prácticas comerciales no apropiadas y ejecución, entrega y gestión de los procesos.

S  Otros: que comprenderá el resto de los riesgos operacionales no encuadrados en las categorías anteriores.

Organización del Riesgo

Etapas para la Administración del Riesgo Operacional

S  Identificación de los riesgos

S  Cuantificación y control de los riesgos

S  Mitigación o eliminación de los riesgos

Cuantificación de los Riesgos

S  Es claro que en estos días de negocios a escala global, los tiempos improductivos han llegado a ser demasiado costosos para las empresas.

S  En algunas industrias, la tecnología es un recurso necesario para diferenciar y proporcionar una ventaja competitiva mientras que en muchas otras determina la supervivencia.

Balance de Costos

Matriz de Riesgo (Tipología del Riesgo)

Matriz de Riesgos

S  Nos permite identificar los tipos de riesgos y el perfil inicial de riesgo de un área.

S  Aquí será “cuantificado” el riesgo de una manera cualitativa en base al “Buen Juicio” del:

S  Experto del proceso

S  Administrador del riesgos

Matriz de Frecuencia y Severidad (1/2)

Matriz de Frecuencia y Severidad (2/2)

S  Los riesgos en la franja roja son los que deben atenderse de forma inmediata.

S  Los riesgos que no están en alarma roja no deben dejarse a un lado, sino que en su momento se atenderán.

S  Para cada riesgo identificado se determinan actividades: S  Capacitación al personal

S  Modificación al sistema

S  Reportes con cifras de control

S  Redifinir funciones

Gestión de Riesgos - Mitigación

7. Mitigación o Eliminación

S  La mitigación o eliminación de los riesgos irá presentándose conforme más instrumentados se encuentren los controles de cada riesgo.

S  Las matrices, los controles e indicadores de riesgo son bases de la información para la Administración de Riesgos.

S  Los controles de corto plazo implementados deben constituirse la base para prevenir que los riesgos se materialicen en el largo plazo.

Claves del Éxito

S  Es necesario contar con la mayor cantidad de datos disponibles y con la participación de las personas que ejecutan los procesos y procedimientos para lograr que la acciones determinadas alcancen los niveles de efectividad esperados.

S  Es un plan continuo y depende de la red de comunicación dentro de la empresa, generando un flujo constante de información dentro de la organización.

FIN

Adictos al Riesgo (Presentado por: Naomi Klein – Escritora y Periodista)   20 min