El Sistema de Gestión de la Continuidad del Negocio (SGCN) se ha convertido en una exigencia para las empresas que compiten el día de hoy en los mercados globalizados. La tendencia mundial es que ya las empresas no compitan entre sí: la competencia es entre cadenas de suministros. Una cadena de suministros, para mantenerse operando, no puede tener ningún eslabón débil; ninguno de sus componentes puede dejar de operar ya que si un elemento del todo dejara de funcionar se paraliza toda la serie, generando el caos. Cada miembro del sistema tiene que demostrar que es un proveedor confiable. Esto se logra teniendo en cada empresa un SGCN que proteja a los procesos esenciales que permiten originar los productos o servicios que desea el cliente.
En esa cadena de la que hablamos, no existen las segundas oportunidades, y generalmente el final de la cadena se compone de multinacionales implacables con sus proveedores. Una empresa con un SGCN ensayado periódicamente es muy difícil que deje de operar y no pueda suministrar sus productos o servicios, son empresas que han llegado a un Nivel en el cual controlan el entorno de Riesgos que les rodea.
El enfoque que conlleva ISO 22301, no es nada nuevo, ya lleva unos años en el panorama empresarial mundial, uno de los primeros referentes es el NFPA 1600, publicado en 1995, el cual estableció una serie de conjuntos de criterios para la gestión de desastres, emergencias y programas de continuidad para las organizaciones. En 1997 el Disaster Recovery Institute International (DRII), publicó las “Prácticas Profesionales para la Gestión del Negocio”.
El nuevo modelo ISO 22301:2012, exige cierta documentación obligatoria. La documentación obligatoria que una empresa de acuerdo a su alcance debe desarrollar es la siguiente:
1. Lista de requisitos legales, normativos y de otra índole.
2. Alcance del SGCN.
3. Política de la continuidad del negocio.
4. Objetivos de la continuidad del negocio.
5. Evidencia de competencias del personal.
6. Registros de comunicación con las partes interesadas.
7. Análisis del impacto en el negocio.
8. Evaluación de riesgos, incluido un perfil del riesgo.
9. Estructura de respuesta a incidentes.
10. Planes de continuidad del negocio.
11. Procedimientos de recuperación.
12. Resultados de acciones preventivas.
13. Resultados de supervisión y medición.
14. Resultados de la auditoría interna.
15. Resultados de la revisión por parte de la dirección.
16. Resultados de acciones correctivas.
El estándar ISO 22301:2012 engloba las distintas metodologías y buenas prácticas en continuidad del negocio generadas en los últimos casi 20 años. La planificación para contingencias y recuperación de desastres fueron en gran parte respuestas dirigidas por la tecnología de la información a los desastres naturales y el terrorismo que afectaron a las empresas durante la década de 1980 y principios de 1990. Hubo un reconocimiento cada vez mayor, sin embargo, de que esto necesitaba convertirse en un proceso orientado a los negocios y que abarque la preparación para muchas formas de interrupción. A la luz de todo esto, la disciplina ahora se conoce como gestión de la continuidad del negocio.
Para que la ISO 22301 funcione bien, se necesita que las organizaciones hayan entendido a fondo sus necesidades. Cada línea y palabra tiene un significado y la importancia relativa no se refleja necesariamente en el número de palabras dedicadas a un tema. En lugar de ser simplemente relativo a un proyecto o el desarrollo de “un plan”, el GCN es un proceso continuo que requiere la gestión de personas competentes que trabajan con el apoyo adecuado y estructuras que funcionaran cuando sea necesario.
Sandra Varela
Intedya Internacional