El reciente incendio acaecido en la fábrica de Campofrío situada en la localidad de Burgos nos ha demostrado la fragilidad de cualquier tipo de negocio o empresa ante cualquier riesgo, que hoy y siempre han tenido que afrontar las organizaciones.
Los empresarios, CEOs y/o gerentes de éxito, hoy en día, no se centran en “reparar” lo dañado de una organización, sino que hacen de la proactividad y la anticipación el arma más importante para afrontar las futuras adversidades a las que se pueda enfrentar su empresa.
Imaginemos a la empresa como un trabajador, y realicemos una evaluación de riesgos. En este caso no evaluaremos los riesgos derivados del uso de un martillo, de subirse en una plataforma o estar expuesto al ruido, sino los riesgos derivados de una inundación, incendio, un cirbertataque, la sobreexposición a un cliente o segmento de mercado, fallos de proveedores estratégicos, etc…
Un trabajador está protegido mediante las medidas preventivas planificadas y surgidas de la evaluación de riesgos, y si se materializase el riesgo las consecuencias se minimizarían mediante la atención inmediata del trabajador en el servicio médico pertinente. Pero ¿una empresa?…¿existen sistemas de trabajo que permitan tratar a una organización como si fuese un trabajador al que se le aplica la ley de prevención de riesgos laborales? La respuesta es sí, las herramientas existen, y son la gestión de riesgos empresariales (ISO 31000) y los planes de continuidad del negocio (ISO 22301).
Continuando con nuestra analogía, la evaluación de riesgos y la planificación de las medidas preventivas exigidas por la Ley de Prevención son al trabajador lo que sería la implantación de los requisitos contenidos en la ISO 31000, y la atención al trabajador accidentado (investigación del accidente + tratamiento médico), son al trabajador lo que sería el plan de contingencias a una organización que ha sufrido un contratiempo en forma de “accidente” emrpesarial.
Gestión de riesgos:
La “gestión de riesgos de empresa”, consiste en detectar los riesgos que pueden afectar a la empresa, para generar estrategias que se anticipen a ellos y os conviertan en oportunidades de rentabilidad para la empresa.
Las empresas que trabajan continuamente para reducir los riesgos y transformarlos en oportunidades que las ayuden avanzar en su camino hacia el crecimiento, son empresas más rentables y menos expuestas a los vaivenes del mercado. La Gestión Integral de Riesgo permite anticiparse al riesgo y asegurar los objetivos y metas estratégicas definidas por la empresa u organización.
La existencia de una gran cantidad de estándares sectoriales y generales motivo a la International Organization for Standardization a desarrollar una Norma para la gestión de riesgos. Se trata de la ISO 31000:2009 Gestión del riesgo. Principios y orientaciones.
Esta norma es de aplicación a la gestión de cualquier tipo de riesgo, incluyendo eventos deseables y no deseables, y a cualquier tipo de organización. Asimismo ISO ha publicado la Norma técnica IEC 31010:2009 Gestión del riesgo. Técnicas de evaluación del riesgo, a modo de orientación para aplicar los elementos contenidos en la Norma marco.
La Norma ISO 31000:2009 se estructura en el siguiente esquema:
Continuidad del negocio:
Un plan de continuidad del negocio o sus siglas en inglés BCP, por Business Continuity Plan) es un plan logístico de cómo una organización debe recuperar y restaurar sus funciones críticas parcial o totalmente interrumpidas dentro de un tiempo predeterminado después de una interrupción no deseada o desastre.
Para orientar a las organizaciones, la International Organization for Standardization ha desarrollado la Norma ISO 22301:2012. Esta es la segunda norma de sistemas de gestión publicada que ha adoptado la nueva estructura de alto nivel y el texto normalizado acordado en ISO. Esto garantizará la coherencia con todas las normas del sistema de gestión futuras y revisadas y para hacer un uso más fácil e integrarse con, por ejemplo, ISO 9001 (calidad), ISO 14001 (ambiental) e ISO/IEC 27001 (seguridad de la información).
La Norma ISO 22301 permite:
- Identificar y gestionar las amenazas actuales y futuras para su empresa
- Utilizar un enfoque proactivo para minimizar el impacto de los incidentes
- Mantener sus funciones críticas listas y en funcionamiento durante momentos de crisis
- Minimizar el tiempo de interrupción tras cualquier incidencia y mejorar el tiempo de recuperación
- Demostrar su resistencia a clientes, proveedores y para ofertas de licitación o concurso público.
La ISO 22301 hace hincapié en la necesidad de una estructura bien definida de respuesta a incidentes. Esto asegura que cuando se producen incidentes, las respuestas son escaladas en el momento oportuno y la gente está facultada para tomar las medidas necesarias para que sean efectivas.
Un requisito no tratado previamente en las normas de continuidad de negocio es la necesidad de planificar el retorno a las actividades normales. Este simple requisito contradice el pensamiento considerado, dado que las organizaciones deben determinar qué hacer una vez que la emergencia inicial ha sido abordada.
Un elemento fundamental son los ensayos antes situaciones de emergencia o incidentes. Estos demuestran que los elementos previstos para la continuidad del negocio funcionan (pasa) o no (falla). Por ejemplo, es posible comprobar si el generador se inicia al encenderlo. Un ejercicio puede incluir ensayos, pero en general es un enfoque más matizado que simula algún aspecto de la respuesta a un incidente. Esto suele incluir elementos de formación y sensibilización sobre el incidente a manejar.
Un esquema aproximado de un sistema basado en esta Norma sería:
Posts relacionados
14 de diciembre de 2023