Por: Yazmín Barrueta | 14 Mayo 2024
Hoy en día las organizaciones se enfrentan a posibles amenazas adversas y en los últimos años se han presentado diversos eventos de desastre alrededor del mundo. Algunos de ellos han afectado, total o parcialmente, la continuidad operativa de los negocios.
Las organizaciones día a día están expuestas a diferentes tipos de riesgos, los riesgos de hace 20 años no son los mismos riesgos de ahora y los riesgos de ahora es muy probable que no sean los mismos que en 10 años.
Continuamente estamos expuestos a diversos tipos de riesgos y, por ende, tenemos que protegernos de ellos implementando planes y procedimientos para no sufrir los adversos negativos que estos riesgos nos puedan causar.
Seguramente se ha preguntado:
La organización debe tener la capacidad para reaccionar ante los diversos riesgos y desastres naturales porque, contar con un análisis de riesgos, mejorará la protección de nuestros procesos y clientes, así como sus activos de información, con el firme propósito de que logren sus objetivos operativos de manera segura y confiable, tanto en condiciones normales como en contingencia.
En toda crisis hay una oportunidad
- Proverbio Chino
En toda crisis, si yo, no la sé manejar y gestionar correctamente puede significar un peligro mortal, sin embargo, también es una oportunidad única para crecer, superar y salir adelante.
Estos son algunos ejemplos:
Dato curioso:
1.6 millones de negocios cerraron en México de octubre de 2020 a julio de 2021 debido a la emergencia sanitaria generada por COVID 2019.
Fuente: Instituto Nacional de Estadística y Geografía (INEGI)
Está comprobado que la mayoría de las organizaciones que no cuentan con un Análisis de Riesgos, un Plan de Continuidad de Negocio o un Plan de Crisis, entre otros, que hayan sufrido algún tipo de evento, no son capaces de responder de manera pronta y tienden a cerrar y/o salir del mercado.
Por otro lado, la mayoría de las organizaciones cuentan con procesos automatizados que permiten actuar de manera pronta o que tienen sus procesos soportados en alguna infraestructura tecnológica que les facilite la identificación de riesgos potenciales.
Está comprobado que, si la parte tecnológica de alguna organización falla y deja de funcionar por más de 10 días, es muy probable que no se pueda recuperar, por ejemplo, un banco, no puede estar sin operar más de 1 a 2 horas.
Es por ello la importancia de contar con un análisis de riesgos e implementar un plan de continuidad, ya que estamos expuestos a una infinita cantidad de riesgos, si no nos preparamos y no tenemos una adecuada gestión de prevención es muy probable que cuando ocurra un incidente, el impacto sea tan fuerte que ponga en riesgo la continuidad operativa, la continuidad del negocio e incluso se generenpérdidas financieras millonarias y no logren estabilizarse.
El riesgo es el efecto de la incertidumbre sobre los objetivos
- ISO 31000
Donde el efecto es la desviación positiva o negativa frente a lo esperado.
Por otra parte, la incertidumbre es el estado, incluso parcial, deficiencia de información relacionada con la comprensión o conocimiento de un evento, su consecuencia o su probabilidad, en pocas palabras la incertidumbre es no saber qué va a pasar, por ejemplo:
• Si tú compras dólares, tú tienes el riesgo negativo de que el tipo de cambio baje y pierdas dinero y tienes el riesgo positivo de que el tipo de cambio suba y por ende tengas ganancias. Al riesgo positivo se le asocia con oportunidad
Existen determinados riesgos que por sus características tiene un potencial disruptivo, esto quiere decir que a medida que pasa el tiempo, las pérdidas derivadas de este riesgo van aumentando, ocurre normalmente con las perdidas indirectas asociadas a este tipo de siniestros o eventos.
Por eso es conveniente detener esta disrupción y esto no deja de ser un evento, lo que hace es que detiene la actividad de tal manera que impide que las organizaciones dejen de operar en lo que ofrecen, ya sea en productos o servicios que, además del daño directo que genera, a medida que pasa el tiempo nuestra reputación se va degradando, los daños financieros van aumentando, incumplimiento contractual con clientes, incumplimiento legal, e incluso una pérdida en el mercado.
Para realizar un análisis de riesgos, primero debes identificar las amenazas potenciales a las que te enfrentas, después estimar sus consecuencias probables si se producen y, por último, calcular la probabilidad de que estas amenazas se produzcan.
La Norma ISO 22301 proporciona un marco para que las organizaciones establezcan, implementen, mantengan y mejoren continuamente un Sistema de Gestión de la Continuidad del Negocio (SGCN).
El estándar ayuda a las organizaciones a identificar amenazas potenciales que puedan afectar las operaciones, también ayuda a implementar medidas para mitigar los riesgos y garantizar la continuidad frente a interrupciones, para asegurar que la organización pueda lograr sus objetivos, prevenir o reducir efectos no deseados y lograr la mejora, es importante contar con acciones para abordar estos riesgos y oportunidades.
Para prevenir que la continuidad de la organización se vea afectada por un evento disruptivo, es fundamental proteger los principales procesos del negocio con planes y estrategias establecidos antes que permitan su recuperación en un plazo adecuado.
Las acciones para abordar estos riesgos pueden incluir:
Evitar riesgos, asumir riesgos para perseguir una oportunidad, eliminar la fuente de riesgo, cambiar la probabilidad y las consecuencias, compartir el riesgo o mantener riesgos mediante decisiones informadas.
Las acciones para abordar oportunidades pueden incluir:
Las oportunidades pueden conducir a la adopción, de nuevas prácticas, lanzamiento de nuevos productos, apertura de nuevos mercados, acercamiento a nuevos clientes, establecimiento de asociaciones, utilización de nuevas tecnologías y otras posibilidades deseables y viables para abordar las necesidades de la organización o las de sus clientes.
Para abordar las oportunidades podemos seguir los siguientes pasos:
La ISO 22301 no especifica una metodología para la Gestión de Riesgos y oportunidades, esto quiere decir que la organización puede elegir cualquier metodología o implementar una propia.
Por lo tanto, es de gran necesidad que las organizaciones estén preparadas para prevenir, protegerse y reaccionar ante incidentes que puedan afectarles y que podrían impactar en sus negocios.
La ISO 22301 Continuidad de Negocio es la gestión y el conjunto de estrategias que debe tener una organización para seguir realizando sus funciones esenciales tras un evento crítico que haya interrumpido los procesos normales.
Esto permite gestionar estos riesgos y establecer mecanismos para reaccionar ante una eventualidad (con los planes de emergencia y crisis) y un evento catastrófico que impida seguir con las actividades (con los planes de continuidad o contingencia).
La importancia de identificar riesgos radica en su capacidad para anticipar y mitigar posibles problemas que podrían surgir en un proceso o negocio.
Ayuda a proteger los activos, minimizar perdidas, optimizar recursos y garantizar la continuidad del negocio. Además, promueve la toma de decisiones informadas y proactivas, lo que mejora la eficiencia y la resiliencia de la organización frente a incertidumbres y cambios inesperados.
En resumen, identificar riesgos es fundamental para la sostenibilidad y el éxito a largo plazo de cualquier organización u operación.
En Global Lynx, ayudamos a las organizaciones a prepararse para afrontar eventualidades que puedan afectarlas. Descubra cómo podemos apoyarle a mantener su organización en operación continua con nuestros Servicios de Consultoría en Continuidad de Negocio.
Adicionalmente, contamos con una gran variedad de cursos con certificación internacional para sensibilizar a su personal.
Por: Yazmín Barrueta14 Mayo 2024