Logotipo Global Lynx
Contacto
Cursos y CertificacionesCalendario de Cursos
Catálogo de Cursos
Consultoría
Catálogo de Consultoría
Auditoría y Cumplimiento en Sector Financiero
EventosBlog
Nosotros

Identifique Riesgos y Oportunidades: ISO 22301 como Aliada Estratégica

  Por: Yazmín Barrueta | 14 Mayo 2024

Identifique Riesgos y Oportunidades: ISO 22301 como Aliada Estratégica

Hoy en día las organizaciones se enfrentan a posibles amenazas adversas y en los últimos años se han presentado diversos eventos de desastre alrededor del mundo. Algunos de ellos han afectado, total o parcialmente, la continuidad operativa de los negocios.

Las organizaciones día a día están expuestas a diferentes tipos de riesgos, los riesgos de hace 20 años no son los mismos riesgos de ahora y los riesgos de ahora es muy probable que no sean los mismos que en 10 años.

Continuamente estamos expuestos a diversos tipos de riesgos y, por ende, tenemos que protegernos de ellos implementando planes y procedimientos para no sufrir los adversos negativos que estos riesgos nos puedan causar.

Seguramente se ha preguntado:

  • ¿Estamos preparados?
  • ¿Cuáles serán los desastres de mañana?
  • ¿Sobrevivirá mi negocio?
  • ¿Por dónde empezar?

La organización debe tener la capacidad para reaccionar ante los diversos riesgos y desastres naturales porque, contar con un análisis de riesgos, mejorará la protección de nuestros procesos y clientes, así como sus activos de información, con el firme propósito de que logren sus objetivos operativos de manera segura y confiable, tanto en condiciones normales como en contingencia.

Imagen Gestión de Riesgos y derivados

En toda crisis hay una oportunidad

- Proverbio Chino

En toda crisis, si yo, no la sé manejar y gestionar correctamente puede significar un peligro mortal, sin embargo, también es una oportunidad única para crecer, superar y salir adelante.

¿Cuáles son los principales riesgos para las organizaciones?

  • Naturales
  • Antrópicos
  • Socio-organizativos

Estos son algunos ejemplos:

  • Daño parcial, total o no acceso a las instalaciones
  • Falla en el suministro de energía eléctrica ocasionado por lluvia intensa
  • Pérdida de datos
  • Huracán
  • Interrupción del negocio
  • Daño a la reputación
  • Falla en las aplicaciones y/o sistemas críticos
  • Pandemias
  • Ciberataques

Dato curioso:
1.6 millones de negocios cerraron en México de octubre de 2020 a julio de 2021 debido a la emergencia sanitaria generada por COVID 2019.
Fuente: Instituto Nacional de Estadística y Geografía (INEGI)

Está comprobado que la mayoría de las organizaciones que no cuentan con un Análisis de Riesgos, un Plan de Continuidad de Negocio o un Plan de Crisis, entre otros, que hayan sufrido algún tipo de evento, no son capaces de responder de manera pronta y tienden a cerrar y/o salir del mercado.

Por otro lado, la mayoría de las organizaciones cuentan con procesos automatizados que permiten actuar de manera pronta o que tienen sus procesos soportados en alguna infraestructura tecnológica que les facilite la identificación de riesgos potenciales.

Está comprobado que, si la parte tecnológica de alguna organización falla y deja de funcionar por más de 10 días, es muy probable que no se pueda recuperar, por ejemplo, un banco, no puede estar sin operar más de 1 a 2 horas.

Es por ello la importancia de contar con un análisis de riesgos e implementar un plan de continuidad, ya que estamos expuestos a una infinita cantidad de riesgos, si no nos preparamos y no tenemos una adecuada gestión de prevención es muy probable que cuando ocurra un incidente, el impacto sea tan fuerte que ponga en riesgo la continuidad operativa, la continuidad del negocio e incluso se generenpérdidas financieras millonarias y no logren estabilizarse.

El riesgo es el efecto de la incertidumbre sobre los objetivos

- ISO 31000

Donde el efecto es la desviación positiva o negativa frente a lo esperado.

Por otra parte, la incertidumbre es el estado, incluso parcial, deficiencia de información relacionada con la comprensión o conocimiento de un evento, su consecuencia o su probabilidad, en pocas palabras la incertidumbre es no saber qué va a pasar, por ejemplo:

• Si tú compras dólares, tú tienes el riesgo negativo de que el tipo de cambio baje y pierdas dinero y tienes el riesgo positivo de que el tipo de cambio suba y por ende tengas ganancias. Al riesgo positivo se le asocia con oportunidad

Existen determinados riesgos que por sus características tiene un potencial disruptivo, esto quiere decir que a medida que pasa el tiempo, las pérdidas derivadas de este riesgo van aumentando, ocurre normalmente con las perdidas indirectas asociadas a este tipo de siniestros o eventos.

Por eso es conveniente detener esta disrupción y esto no deja de ser un evento, lo que hace es que detiene la actividad de tal manera que impide que las organizaciones dejen de operar en lo que ofrecen, ya sea en productos o servicios que, además del daño directo que genera, a medida que pasa el tiempo nuestra reputación se va degradando, los daños financieros van aumentando, incumplimiento contractual con clientes, incumplimiento legal, e incluso una pérdida en el mercado.

Para realizar un análisis de riesgos, primero debes identificar las amenazas potenciales a las que te enfrentas, después estimar sus consecuencias probables si se producen y, por último, calcular la probabilidad de que estas amenazas se produzcan.

Imagen Gestión de Riesgos y derivadosRepresentación gráfica de una Matriz de Gestión de Riesgos.

ISO 22301 como aliada estratégica

La Norma ISO 22301 proporciona un marco para que las organizaciones establezcan, implementen, mantengan y mejoren continuamente un Sistema de Gestión de la Continuidad del Negocio (SGCN).

El estándar ayuda a las organizaciones a identificar amenazas potenciales que puedan afectar las operaciones, también ayuda a implementar medidas para mitigar los riesgos y garantizar la continuidad frente a interrupciones, para asegurar que la organización pueda lograr sus objetivos, prevenir o reducir efectos no deseados y lograr la mejora, es importante contar con acciones para abordar estos riesgos y oportunidades.

Para prevenir que la continuidad de la organización se vea afectada por un evento disruptivo, es fundamental proteger los principales procesos del negocio con planes y estrategias establecidos antes que permitan su recuperación en un plazo adecuado.

Las acciones para abordar estos riesgos pueden incluir:

Evitar riesgos, asumir riesgos para perseguir una oportunidad, eliminar la fuente de riesgo, cambiar la probabilidad y las consecuencias, compartir el riesgo o mantener riesgos mediante decisiones informadas.

Las acciones para abordar oportunidades pueden incluir:

Las oportunidades pueden conducir a la adopción, de nuevas prácticas, lanzamiento de nuevos productos, apertura de nuevos mercados, acercamiento a nuevos clientes, establecimiento de asociaciones, utilización de nuevas tecnologías y otras posibilidades deseables y viables para abordar las necesidades de la organización o las de sus clientes.

Para abordar las oportunidades podemos seguir los siguientes pasos:

  • Identificar: mediante el contexto de la organización FODA, partes interesadas, procesos, auditorías internas y externas.
  • Evaluación de oportunidad: se considera una probabilidad de cuatro niveles, muy baja, baja, mediana, alta y muy alta, por ejemplo, también se calcula el impacto de la probabilidad enfocándola en 4 niveles. Luego que se evalúa la oportunidad, probabilidad por impacto, se toman decisiones para aplicar un plan de acción.
  • Establecer plan de acción: el plan de acción debe de contar con responsables y recurso para poner en marcha la ejecución de lo que se haya planificado y finalmente evaluar los resultados.

La ISO 22301 no especifica una metodología para la Gestión de Riesgos y oportunidades, esto quiere decir que la organización puede elegir cualquier metodología o implementar una propia.

Por lo tanto, es de gran necesidad que las organizaciones estén preparadas para prevenir, protegerse y reaccionar ante incidentes que puedan afectarles y que podrían impactar en sus negocios.

La ISO 22301 Continuidad de Negocio es la gestión y el conjunto de estrategias que debe tener una organización para seguir realizando sus funciones esenciales tras un evento crítico que haya interrumpido los procesos normales.

Esto permite gestionar estos riesgos y establecer mecanismos para reaccionar ante una eventualidad (con los planes de emergencia y crisis) y un evento catastrófico que impida seguir con las actividades (con los planes de continuidad o contingencia).

La importancia de identificar riesgos radica en su capacidad para anticipar y mitigar posibles problemas que podrían surgir en un proceso o negocio.

Ayuda a proteger los activos, minimizar perdidas, optimizar recursos y garantizar la continuidad del negocio. Además, promueve la toma de decisiones informadas y proactivas, lo que mejora la eficiencia y la resiliencia de la organización frente a incertidumbres y cambios inesperados.

En resumen, identificar riesgos es fundamental para la sostenibilidad y el éxito a largo plazo de cualquier organización u operación.

En Global Lynx, ayudamos a las organizaciones a prepararse para afrontar eventualidades que puedan afectarlas. Descubra cómo podemos apoyarle a mantener su organización en operación continua con nuestros Servicios de Consultoría en Continuidad de Negocio.

Adicionalmente, contamos con una gran variedad de cursos con certificación internacional para sensibilizar a su personal.

  Por: Yazmín Barrueta14 Mayo 2024

Comparta este artículo