Sei sulla pagina 1di 82

RESILIENCIA ORGANIZACIONAL

24 de agosto de 2019

Por:

XIMENA CORREA
Instructora
AIRM – ALARYS
International Risk Manager
ICOR BCMM
BSI
DRII
Ximena Correa
Ingeniera de Producción de la Universidad EAFIT, Especialista en
Gerencia para Ingenieros de la Universidad Pontificia Bolivariana,
Master en Gestión de Calidad, Ambiental y Seguridad de la Universidad
Viña del Mar en Chile, Doctorado en Dirección de Proyectos. Es gerente
de riesgos con una amplia trayectoria en temas estratégicos a nivel
nacional e internacional. Direccionando y asesorando proyectos en
gestión integral de riesgos, continuidad y resiliencia organizacional,
certificada por ALARYS (Asociación Latinoamericana de Administradores
de Riesgos y Seguros) como AIRM – ALARYS International Risk Manager,
certificada como consultora en continuidad de negocio ante ICOR
BCMM y certificada en ITIL V3. Experiencia como docente de cátedra
durante 20 años para la Universidad EAFIT y a la par como gerente en
áreas de riesgos, seguros, seguridad, calidad, proyectos, desarrollo
organizacional, control, auditoria y mejora en unidades de servicios
compartidos y en empresas reconocidas como Grupo Nutresa y Grupo xcorreaa@eafit.edu.co
Fanalca. Miembro en juntas directivas. Líder integral orientada a la Ximena.correa@Promigas.com
calidad y apasionada en contribuir al desarrollo, sostenibilidad,
innovación y continuidad del negocio. Actualmente Gerente Corporativa Móvil: 3128098689
de Riesgos y Cumplimiento en Grupo Promigas
En conclusión: continuologa, riesgologa e innovologa ;)
¡Bienvenidos!
Contenido CONSULTORES

1. Contexto
2. Gestión resiliente
3. Planes que integran la gestión
4. Retos continuidad de negocio y resiliencia
organizacional
5. Compromiso de la Gerencia
Introducción CONSULTORES

Toda crisis trae cambios y aprendizajes; conocer los


elementos de continuidad de negocio y resiliencia
organizacional ayuda al gestor de riesgos a crear
ventaja competitiva al administrar las adversidades
para fortalecerse.
Expectativas
Contexto
Contexto
Contexto
Contexto
Contexto
Contexto
Contexto
Contexto
Contexto
Contexto
Contexto
Contexto
CONVIVENCIA NATURAL CON EL RIESGO Y RIESGO EMPRESARIAL
R. Laboral R. Legal R. Estratégico
R. Puro R. de Imagen
EL CONTROL: el futuro/superstición R. Operativo R. Financiero

Desarrollo de Seguros
Probabilidad Marítimos Rev. Basilea ASNZ
Industrial •Coso 4360 ERM
RIESGO Muestreo Global •Coco BASILEA
Estadístico •Cadbury SOX III
Revolución •Informe MECI
CONTROL Gerencia de Informática Turnbull SARL
Riesgos •Cobit IIA SEARS
Tribus Ley de •ISO 17799 SARLAFT
Oriente grandes NTC ISO
Medio números 5254 31000:20
A.C. Internet 09
Varianza NFPA SARM
BCM ISO
DRII 22301
Gobierno ISO
Corporativo BSI 31010
SARL
Siglo XVI -
Antigüedad XVII Siglo Siglo XIX Siglo 80´s 90´s
XVIII XX 2000 2017
Contexto
Contexto
Contexto
Contexto
Contexto
Contexto
Contexto
Contexto
Contexto
Contexto
Contexto
Contexto
Contexto
Contexto
Contexto

1999 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011…2019

Fuente: Swiss Re -. Sigma No 1, 2010

Fuente: Suramericana. Isaza, T.


Contexto
Contexto
Contexto

1 3 5 7 9
Fracaso para innovar
Desaceleración Cambios en los Aumento de la Riesgo en precio de / satisfacer las
económica / factores de mercado competencia productos básicos necesidades del
recuperación lenta y el riesgo cliente
geopolítico

2 4 6 8 10
Ciberataques Riesgo de cash- Cambios
Daño a la reputación Interrupción de
flow / liquidez Regulatorios /
Negocio
Legislativos

Asegurable
Parcialmente Asegurable
No Asegurable
Fuente: Aon Global Risk Management Survey 2019
Contexto
Contexto
Contexto
Contexto

- Estamos en un mundo interconectado

- Se requiere una adecuada Gestión Integral de Riesgos


Contexto
Contexto
Contexto
Contexto
La gestión de riesgos catastróficos

1999 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011

Fuente: Swiss Re -. Sigma No 1, 2010

Fuente: Suramericana. Isaza, T.


Contexto
Contexto
Contexto
Definición

Las entidades deben verificar que el riesgo asumido en cada momento está dentro de los
límites que marca su apetito, evitándose que se acerque al nivel de tolerancia establecido.
En caso de hacerlo deberán tomarse medidas para reducirse la exposición a este riesgo lo
antes posible, evitándose llegar al límite marcado por su capacidad
Contexto
Metodologías para definir el apetito
Enfoque descendente (Top-down): Se establece un apetito de riesgo al más alto nivel organizacional, de aplicación
para toda la empresa, generalmente en términos cuantitativos, posteriormente se va desglosando dicho apetito a
las diferentes áreas.
Enfoque ascendente (Bottom-up). Se define el apetito de riesgo al mínimo nivel de decisión (por proceso o
proyectos) para ir ascendiendo en su definición hasta llegar al apetito consolidado para la entidad.
Top-down Bottom-up

Ventajas • Alineación estratégica. • Mayor involucración de toda la entidad.


• Convergencia con la capacidad máxima de riesgo. • Sencillez de la definición , sobretodo para
• Estimulación del debate del equipo ejecutivo. riesgos más difíciles de cuantificar.
• Alineación con Best Practices.
• Explicitación de los requisitos de los grupos de
interés.

Desventajas • Menor involucración de niveles operativos en la • Demasiadas interacciones para converger


definición. con capacidad máxima de riesgo.
• Menor nivel de detalle. • Menor debate en niveles ejecutivos.
• Mayor complejidad en la definición y cuantificación. • Menos convergencia con los requisitos
de los grupos de interés.
金繕い
Contexto
…:: La continuidad esta cambiando de requerimientos operacionales a
requerimientos gerenciales
Modelado predictivo
Administración de la
continuidad del negocio Anticiparse a los efectos de
las emergencias antes de
Plan para la recuperación de las
operaciones del negocio como
que estas sucedan Resiliencia
respuesta al riesgo de no Organizacional
disponibildiad

Plan de continuidad del


negocio
Plan para la recuperación
de las operaciones del
Plan de recuperación de
Valor del Negocio

negocio Resistencia
desastres
Plan para la recuperación de Fortalecer a la
las facilidades operativas/ compañía frente a
tecnológicas todas las emergencias
previsibles
Plan de contingencia
Procedimientos a
seguir ante crisis
operativa y tecnológica
Backup Disponibilidad
Continua
Hacer copias
Exactas Roolover automático
de los sistemas de
información

Visión
Conceptos
Ejemplo de riesgos naturales y empresariales, y su
efecto domino….

Fuente: Reporte de Riesgos Global del Foro Económico Mundial 2012


Conceptos
Retos de Hoy Retos del Futuro
Modelo de Madurez de la empresa de Riesgo Inteligente: Deloitte
Conceptos
Normas
Gestión Integral
de Riesgos
acorde con la
ISO 31000:2018

ENTRE OTROS SISTEMAS: TPM, SARO, COSO, COBIT, PMI,


SARLAFT, HACCP, ISO 28001...
ISO 22301
Metodología DRII

1. Inicio y manejo del proyecto


2. Evaluación de Riesgos
3. Análisis de Impacto al Negocio (BIA)
4. Selección de Estrategias de Continuidad
5. Respuesta a Emergencias
6. Desarrollo de los Planes de Continuidad
7. Ejercicios y Mantenimiento de los Planes de Continuidad
8. Sensibilización y Programas de Entrenamiento
CONTINUIDAD

Plan de Continuidad

• Plan de Recuperación de Negocio


• Plan de Gestión de Riesgo y Crisis
• Plan de Continuidad de Operaciones
• Plan de respuestas a Incidentes
• Plan de Soporte de Continuidad
• Plan de Recuperación de Desastres
• Plan de Contingencia TI
• Plan de Emergencias
• Plan de Coordinación con las autoridades
• Plan de Sucesión

56
Planes de continuidad

Plan de Continuidad

• Plan de Gestión de Crisis • Plan de Recuperación de Negocio


• Plan de respuestas a Incidentes • Plan de Continuidad de Operaciones
• Plan de Recuperación de Desastres • Plan de Soporte de Continuidad
• Plan de Emergencias • Plan de Contingencia TI
• Plan de Sucesión • Plan de Coordinación con las autoridades
• Plan de ayuda humanitaria

57
Planes de continuidad
Ejemplo: plan de ayuda humanitaria
1. Objetivo
Describe los procedimientos, organización y servicios establecidos para brindar
asistencia humanitaria a las víctimas de un evento, en aspectos de tipo
emocional, financiero, administrativos, etc.

• Impacto humano en los grupos de interés:


 Trabajadores
 Familiares de los trabajadores
 Empleados de Proveedores/Contratistas

2. Alcance  Vecinos
 Comunidades afectadas
 Visitantes en las instalaciones
 Trabajadores en misión, estudiantes en práctica, aprendices del SENA
 Grupos externos de apoyo (personal del Cuerpo de Bomberos, Policía, Ejército, Defensa
Civil)
• Eventos ocurridos fundamentalmente en las instalaciones de LA EMPRESA
Planes de continuidad
Ejemplo: plan de ayuda humanitaria

3. Estructura
Gerente del Proceso
Afectado

Coordinador de Ayuda
Humanitaria

Asesor y Facilitador de Enlace con Afectados y


Beneficios Familiares
Planes de continuidad
Ejemplo: plan de ayuda humanitaria

4. Funciones

Grupo de interés Coordinador de Asesor y Enlace con Afectados


afectado Ayuda Facilitador de y Familiares
Humanitaria Beneficios
Trabajador / Director Gestión Coordinador de Jefe Inmediato del
Familias de Humana Compensación Trabajador Afectado
trabajadores Coordinador de Coordinador de Ambiente
Desarrollo Humano de Trabajo
Coordinador de Desarrollo
Humano
Gestión de continuidad
Definición
Proceso global, integral y sistemático de la
organización por medio del cual:

Se identifican impactos potenciales que pueden


amenazar la continuidad del negocio;
Se provee un marco de referencia para establecer y
desarrollar estrategias de recuperación;
Se construyen respuestas eficaces y eficientes.

Para salvaguardar los intereses de las diferentes


partes interesadas, la gobernabilidad, reputación y
actividades de creación de valor de una
organización.
Beneficios

Aumenta la probabilidad de
Mantiene o incluso mejora
Beneficios supervivencia de la empresa
la reputación de la empresa.
tras un evento adverso.

Optimiza los recursos de la


organización durante un
Evita errores costosos tanto
evento, proveyendo una
durante como después del
respuesta coordinada y
evento.
canalizando los recursos
donde más se requieren

Aporta una ventaja


competitiva frente a la
competencia.
Gestión resiliente

El concepto de resiliencia no es
nuevo. Si interpretamos la
definición de la resiliencia como la
capacidad de absorber y adaptarse
en un entorno cambiante. Nos
Resiliencia damos cuenta que la madre
naturaleza ha aplicado con éxito
este principio desde hace bastante
¿Qué es esto? tiempo. Como tal, es bastante
razonable adoptar este enfoque
también para las empresas. Para la
estabilidad de largo plazo y el
crecimiento no hay otra receta que
la capacidad de adaptación.
Gestión resiliente

La nueva ISO 22316 proporciona


orientación para mejorar la capacidad
de recuperación de una empresa. Lo
que hace que mediante principios
proporcione atributos y actividades
que contribuyen a las empresas más
resistentes. Este estándar no puede
ser utilizado para certificar una
organización. Más bien sirve como un
paraguas que cubre una amplia gama
de disciplinas de gestión, todos deben
ser los suficientemente maduro y
capaz de interactuar entre sí de una
forma sinérgica.
Gestión resiliente
Principios: El fundamento de la capacidad de recuperación se basa en un par de principios.

Los comportamientos de todos los miembros de una empresa tienen que


contribuir a la resiliencia y cualquier comportamiento pasivo o
contraproducente que deben ser evitados. Esto también significa que la fuerza
de trabajo debe consistir en un pueblo resistente en sí, aumentar la resiliencia
de abajo hacia arriba. Si no hay acoplamiento dentro de la fuerza de trabajo, un
alto grado de absentismo o si la mano de obra es una especie de lucha contra
la gerencia, estos son comportamientos que no contribuyen a la resiliencia de
la empresa.

Diversidad de las habilidades es


muy importante, ya que las
nuevas amenazas, los desafíos y
las oportunidades pueden
proceder de diferentes áreas
dentro de la empresa.
Gestión resiliente

Sobre la base de estos


principios básicos, una
empresa debe exhibir
Atributos una gama de atributos,
apoyándolos en su
camino sobre la
resiliencia mejorada.

1. La comprensión del
2. Mejora continua. Por
contexto de la empresa.
supuesto, la posición
Esto es muy importante
sigue cayendo hacia
para contribuir a la
atrás. Esta es la razón
resiliencia, no sólo como
por la norma ISO 22316.
parte de la gestión de los
Esto no es nada para los
riesgos, sino también la
usuarios de las normas
identificación de
de gestión.
oportunidades.
Gestión resiliente
Ocupaciones: se proponen una serie de actividades, que contribuye a la meta final, por ejemplo:

Los objetivos La claridad sobre el


individuales deben propósito de la Dar seguimiento a Pensar en las
ser alineados con empresa, lo cuales las ideas actividades en
los objetivos de la pueden necesitar innovadoras curso
empresa ser cambiado
Gestión resiliente
Disciplinas de gestión: Por último, pero no menos importante, se sugiere una empresa para implantar
y perfeccionar una serie de disciplinas de gestión. Ya sabemos dos de ellos, la seguridad de la
información y la continuidad de negocio. La norma ISO 22316 propone una amplia gama de
disciplinas de gestión adicionales, por ejemplo:

Gestión
ambiental

Gestión de Gestión de las


riesgos instalaciones La inteligencia empresarial, el
seguimiento de las tendencias de los
clientes, así como los requisitos
políticos, ambientales y legales,
contribuye a la resiliencia.

Gestión de la Control
calidad financiero

La gestión de
salud y
seguridad
Gestión resiliente

¿Necesitamos resiliencia
organizacional?

Es difícil imaginar una empresa que no se beneficie de la


aplicación de un enfoque estructurado para la resiliencia. En
el entorno competitivo que vivimos hoy, la crianza de este
pilar de la fuerza de una empresa que puede ser uno de los
secretos del éxito sostenible. En resumen, una empresa
necesita identificar y poner en práctica con sus disciplinas
de gestión. Esta es la base para aumentar la resiliencia, la
norma ISO 22316 es la herramienta adecuada para tal fin.
Gestión resiliente
Gestión resiliente
Primer Índice de resiliencia organizacional del mundo
Los altos ejecutivos nos cuentan qué opinan sobre su desempeño según nuestro Índice de
resiliencia organizacional de2017.
Más de 1250 altos ejecutivos de diversas empresas de todo el mundo, en distintos sectores, han
calificado el desempeño de su negocio a partir de 16 elementos fundamentales que se deben
tener en cuenta a la hora de diseñar la estrategia de resiliencia.
Gestión resiliente
Comparación sobre la resiliencia organizacional

https://survey.euro.confirmit.com/wix/1/p1859587201.aspx?l=10
Conceptos
GESTIÓN DE RIESGOS GESTIÓN DE LA
ISO 31000:2018 CONTINUIDAD DEL NEGOCIO

Alcance, contexto, criterios


Comunicación y consulta

Manejo de Crisis

Seguimiento y revisión
Evaluación del riesgo
Identificación Análisis del Valoración del Continuidad Respuesta a
del riesgo riesgo riesgo de las Operaciones Emergencia

Tratamiento del riesgo

Registro e informe

La Gestión de Riesgos y la Gestión de Continuidad del Negocio son prácticas


complementarias para la Gestión Integral de Riesgos
Conceptos
Componentes
Busca proteger la reputación de la Empresa
y velar por el bienestar de los grupos de
Busca proteger las operaciones críticas de la
interés ante situaciones de crisis que
Empresa y los ingresos asociados, mediante
pongan en riesgo la estabilidad y el
procedimientos, organización, recursos, MANEJO DE CRISIS cumplimiento de sus objetivos estratégicos.
preparación y demás aspectos requeridos
para recuperar las actividades críticas, ante un
evento o incidente de interrupción del
negocio.

CONTINUIDAD DE ATENCIÓN DE
LAS OPERACIONES EMERGENCIAS

Busca proteger a las personas, el medio ambiente y los activos ante la


ocurrencia de un incidente y tomar las medidas básicas de primer nivel
necesarias para evitar la extensión de los impactos negativos del mismo.
Planes que integran el BCM
Manejo de Crisis GESTIÓN DE LA CONTINUIDAD DEL
NEGOCIO
• Plan de Manejo de Crisis
• Plan de Comunicaciones en Crisis
• Plan de Asistencia Humanitaria
• Plan de sucesión
Imagen
• Plan de vocería Comunicacones

Ingresos Personas
Finanzas Infraestructura
Mercado Ambiente

Continuidad de las Plan de emergencias


Operaciones

• Plan de actuación de Riesgo Público


• Planes de Continuidad Operacional de • Plan de coordinación con autoridades
Equipos/Asuntos de Trabajo Críticos • Plan de Emergencia
• Planes de Contingencia de las Centrales • Planes Locales de Emergencias
• Plan de Continuidad de TIC • PADEC
• Plan de recuperación de desastres DRP
Planes que integran el BCM
Plan de Manejo de Crisis
Plan de Respuesta a Enfocado en administrar
Emergencia Comunicación, Reputación, Plan de Continuidad de Negocio
Enfocado en salvar a las Asistencia humanitaria Enfocado en la rápida
Identificación y personas, activos de la estabilización, restauración y
Cuantificación de amenazas empresa y el ambiente Perspectiva estratégica recuperación de los procesos
Planeación y Mejoramiento Gobierno & responsabilidad
Riesgos Comunicación grupos de interés críticos para el negocio
de Riesgos de Continuidad Vulnerabilidades
Análisis de Impacto al Amenazas Desempeño producto
Negocio y Estrategias Desempeño servicio
Desempeño proceso
Planes de Continuidad
Plan de
Pruebas Plan de Recuperación de
Desastres
Plan de Mantenimiento Servicios de TIC

?
Discusión/Evaluación
Ejercicio de Procesamiento de reclamos
Simulación Mantenimiento

Antes Durante Después


RPO – RTO – MTPOD - BCMO
Planes que integran el BCM
Plan
100%
Análisis de Impacto del Negocio (BIA)100%
Restauración

Reanudación
Respuesta

Recuperación
X%
Manejo de Crisis
Retos
Mejoramiento Continuo del Sistema de Gestión de Continuidad de Negocio

PLANEAR

• Objetivos y Alcance
ACTUAR • Política
• Roles y responsabilidades
PLANEAR • Estructura
• Acciones preventivas y correctivas
• Comunicación y cultura • Términos y definiciones
• Conciencia de GCN
Partes
• Control de la documentación Partes
interesadas interesadas

Requisitos y
expectativas
de
ACTUAR HACER Lograr la
Continuidad Continuidad
de Negocio de Negocio

HACER
VERIFICAR
• Identificación y evaluación de riesgos
• Revisión de la Alta Gerencia. • Análisis de Impacto al Negocio (BIA).
• Monitorear, detectar y analizar VERIFICAR • Diseño e implementación de
tratamientos. estrategias de Continuidad
• Auditorias internas. • Documentar procesos de las
• Medir el rendimiento de los planes actividades críticas.
• Probar y ejecutar estrategias y • Capacitación y entrenamiento .
planes de continuidad. • Implementar/actualizar planes de
• Capacitar a los involucrados respuesta y recuperación.
Compromiso de la alta dirección
• Poner a disposición de la Organización los recursos necesarios para
SGCN.
• Comunicar la importancia de la gestión efectiva de la Continuidad
del Negocio.
• Estimular la mejora continua.
• Velar porque las políticas y objetivos establecidos para el SGCN
sean compatibles con la planeación estratégica de la Organización.
• Dar dirección y apoyo a las personas que contribuyen a la eficacia
del SGCN.
• Aprobar roles, responsabilidades y competencias para la Gestión de
la Continuidad del Negocio
• Participar activamente en ejercicios y pruebas
Bibliografía
ISO/IEC 27001:2005 (antes BS 7799-2:2002): Sistema de gestión de la seguridad de
la información.
ISO/IEC 27002:2005 (renumerado ISO17999:2005): Código de práctica. Gestión de
seguridad de la información.
ISO/IEC 27031:2011: Tecnología de información - Técnicas de seguridad - Guías para
preparación de tecnologías de información y comunicaciones para continuidad de
negocios.
ISO/PAS 22399:2007: Guía para la preparación frente a incidentes y la gestión de
continuidad operacional.
ISO/IEC 24762:2008: Directrices para los servicios de recuperación de desastres de
las tecnologías de información y comunicaciones.
IWA 5:2006: Preparación para emergencias.
British Standards Institution - Continuidad de Negocio ISO 22301 (BSI)
Disaster Recovery Institute International (DRII)
The Business Continuity Institute (BCI)
Bibliografía

EXTREMISTAN
Muchas Gracias

“Es mejor estar


preparados para algo que Ximena Correa
no va a suceder, a que Gerente de Riesgos
Celular: (57) 3128098689
suceda algo para lo cual xcorreaa@eafit.edu.co

no estamos preparados”

Sígueme en redes sociales