Academia cero control lavado de activos

Guía para enfrentar riesgos globales como los de la pandemia

Contar con un plan de continuidad del negocio, garantiza la operación de la compañía, aun, si se ve enfrentada a coyunturas mundiales como la actual COVID-19.

Autor: Diana Marcela Vargas  

h_PP_riesgos_globales_como_la_pandemia

Introducción

Al hablar de gestión de continuidad de negocio existe inicialmente la necesidad de plantearse ¿qué es lo que el negocio necesita cuidar?, ¿qué puede amenazar el negocio?, y posteriormente preguntarse ¿cómo debe hacer el negocio para permanecer ante la materialización de amenazas?, estas preguntas, aunque básicas, pueden establecerse para iniciar la preparación de un plan que integre múltiples factores para llevar a cabo la continuidad de los procesos de una organización, y por ende mantener la operación ante adversidades sin que la operación falle o cese definitivamente. 

En primer lugar, se abordará un enfoque frente a los riesgos a los cuales puede verse expuesta una organización y que de alguna forma pueden o tienen la relevancia dada sus probabilidades de ocurrencia, pues bien, sea este el momento para considerar algunas situaciones que pueden afectar materialmente a una organización. 

En el siguiente especial usted encontrará la manera en la que deben actuar las empresas al momento de enfrentarse a una amenaza como la que estamos viviendo con la llegada del coronavirus (COVID-19)

GESTIÓN DE LA CONTINUIDAD DE NEGOCIO

La continuidad del negocio se define como la capacidad de una organización para prevenir, atender, recuperar y restaurar las funciones críticas del negocio ante un evento, de tal forma que continúen, sin importar las circunstancias.

La gestión de la continuidad del negocio se establece como un proceso sistemático que define una organización para determinar cuáles son los impactos potenciales que pueden afectar la continuidad de la operación de un negocio, proporcionando los lineamientos para determinar y desarrollar las estrategias encaminadas a:

  • Pro-actividad de gestión de riesgos.
  • Determinación de respuestas eficaces, eficientes y flexibles para salvaguardar los intereses de las partes interesadas.
  • Establecer los procedimientos necesarios para cubrir las necesidades de las partes afectadas e involucradas ante un incidente.
  • Mantener gobernabilidad, reputación e imagen de la organización ante eventos materializados.

La gestión de la continuidad del negocio, involucra al gestor de riesgos como un actor relevante en la creación de valor para la organización, aportando una visión diferente, objetiva y centralizada en las necesidades del negocio.

Por su parte, el DRP (Disaster Recovery Plan, por sus siglas en inglés) se define como el conjunto de acciones encaminadas a restablecer las operaciones del negocio (Servicios TI) de manera preventiva ante la ocurrencia de un incidente que comprometa los activos de información.

01_PP_guia_enfrentar_riesgos_globales_pandemia

Elementos de un BCM

Para establecer la gestión de la continuidad del negocio es importante considerar los siguientes:

  • Activos: personas, información, servicios, aplicaciones, entre otros.
  • Amenaza: eventos no deseados que pueden resultar en un daño o indisponibilidad en los activos, estos eventos pueden ser voluntarios, accidentales o fortuitos, ejemplos: incendios, terremotos, atentados terroristas, etc.
  • Vulnerabilidad: hace referencia a debilidades propias (o internas) de un activo de información que puede ser aprovechada por una amenaza.
  • Impacto: se considera como el efecto resultante de la ocurrencia de un evento sobre las operaciones de la organización.
  • Probabilidad: es la posibilidad de que ocurra un evento en un tiempo determinado.

Procesos Críticos

Como parte fundamental de un BCP es requisito identificar los procesos críticos de la organización; estos procesos son aquellos que afectan de manera crítica el funcionamiento del negocio, para los cuales su ausencia genera interrupciones en el funcionamiento del negocio que conllevan a pérdidas materiales, bien sean financieras o no financieras, pero que representan afectaciones significativas.

Una organización debe clasificar sus actividades desarrolladas de acuerdo a su nivel de priorización en la recuperación de las mismas ante un evento que pueda generar una interrupción, este proceso de clasificación se realiza dentro de la elaboración del BIA (Business Impact Analysis, por sus siglas en inglés) - Análisis de Impacto al Negocio, el cual determina cuales son las actividades que requieren ser recuperadas más rápidamente si se encuentran establecidas como de “Misión Crítica”, las cuales pueden soportar uno o más productos o servicios relevantes para la operación del negocio. EL BIA, adicionalmente, permite determinar el creciente costo (horas, días, semanas, etc.) de perder los sistemas de información que soportan las actividades.

Estructuración de un plan 

Para determinar un plan de continuidad del negocio o recuperación de desastres se consideran aspectos como: la definición de una metodología, la organización de un plan, la definición y dirección de los esfuerzos, y los requerimientos del personal para ejecutarlo. 

Así mismo, dentro de la determinación de un plan deben considerarse los momentos relevantes en la ocurrencia de un evento como son:

02_PP_guia_enfrentar_riesgos_globales_pandemia

Determinación de los Riesgos

El entendimiento del negocio es la base fundamental para la determinación de los riesgos y su nivel de exposición, para establecer un adecuado contexto del BCM el nivel de riesgo se entenderá sobre los procesos y actividades de misión crítica, considerando las opciones por los cuales estos puedan verse interrumpidos.  

Dentro de esta etapa, se identifican los recursos sobre los cuales las actividades de misión crítica son soportadas como personas, tecnológica, información, suministros, proveedores, entre otros; estableciendo las vulnerabilidades y el impacto que pueden llevar si el riesgo se materializa presentando una interrupción en la operación.

Como resultado de esta fase, se establecen los posibles escenarios o eventos que puedan materializarse, se determina su nivel de severidad a través de una evaluación de los riesgos, probabilidad e impacto, esto permitirá establecer las estrategias más adecuadas para su mitigación.

Determinación de las estrategias

Para el establecimiento de las estrategias en el plan de continuidad del negocio se consideran claves los siguientes elementos:

  • Establecer las prioridades para implementación de las estrategias. Considerando el análisis de riesgos y el BIA, pueden determinarse las prioridades de implementación de las estrategias.
  • Evaluación de las estrategias planteadas. Las estrategias de mitigación consideran en sí unos requerimientos técnicos y funcionales que deben ser contemplados dentro de su evaluación.
  • Evaluación de los requerimientos físicos y humanos. Identificar los elementos físicos necesarios para el correcto funcionamiento de la estrategia, así como las necesidades del personal, su perfil y disponibilidad.
  • Desarrollar un análisis final de costo/beneficio de las estrategias.  Establecer el costo de implementación de las estrategias del plan de continuidad, evaluando dichos costos en comparación con los riesgos y necesidades evaluadas previamente.
  • Contar con el apoyo de la Alta Gerencia y definir mecanismo efectivo de reporte.  La alta gerencia y personas interesadas del negocio deben conocer acerca de las estrategias y contar con su apoyo; así mismo, es relevante determinar un proceso de reporte y comunicación periódico que permita consolidar las expectativas de los mismos, así como prever la comunicación oportuna de inconvenientes y situaciones que requieran de solución. 

RIESGOS GLOBALES

1. Para este proceso puede tomarse como referencia la metodología de ISO 31000, u otra metodología de evaluación de riesgos.

Actualmente la gestión de los riesgos involucra la participación activa de todos los miembros de la organización, los gestores de riesgo tienen un gran reto en la forma de enlazar las perspectivas del negocio frente a las acciones de mitigación de riesgos, tratando de generar el valor a la organización que se espera.  

Esta misión incluye que se consideren aquellas posibles afectaciones que pueden no ser tan tangibles o probables en ciertos momentos, pero generan mayor incertidumbre en la organización.

El riesgo es como tal puede definirse como “el efecto de la incertidumbre sobre los objetivos”, para efectos de este ejercicio se tendrán en cuenta aquellos riesgos asociados a eventos externos cuya fuente pueda ser originada por situaciones de carácter político, económico, social, tecnológico, legal - regulatorio, demográfico, entre otros.

Ahora bien, los riesgos globales son amenazas potenciales para el mundo y las empresas, los análisis recientes realizados por el “Foro Económico Mundial (WEF)”, brindan una visión frente a situaciones que se pueden presentar y por ende pueden afectar el desarrollo normal de las empresas. 

A continuación, se relacionan los riesgos que, de acuerdo con la encuesta de percepción de riesgos globales, obtuvo las cinco (5) mayores calificaciones en términos de probabilidad e impacto durante los últimos seis años.

03_PP_guia_enfrentar_riesgos_globales_pandemia

04_PP_guia_enfrentar_riesgos_globales_pandemia

De esta manera, se puede observar que en los últimos seis años se ha mantenido la preocupación frente a los riesgos ambientales, geopolíticos y sociales.  

En años anteriores, las preocupaciones estaban orientadas a situaciones relacionadas con temas económicos y geopolíticos, sin embargo, desde el año 2011 se empezaron a presentar inquietudes relacionadas con el medioambiente; y desde 2014 conforme al avance tecnológico en la última década, se han incrementado los riesgos tecnológicos.  

La visión general del impacto y la probabilidad de los riesgos globales ubica los riesgos de tipo ambiental en primer lugar como se observa en la siguiente gráfica: 

05_PP_guia_enfrentar_riesgos_globales_pandemia

06_PP_guia_enfrentar_riesgos_globales_pandemia

Pandemias

De acuerdo con la Organización Mundial de la Salud (OMS), una pandemia se define como “Una epidemia que ocurre a nivel mundial, o en un área muy amplia, que cruza las fronteras internacionales y que generalmente afecta a un gran número de personas”, históricamente las pandemias que han generado impactos sociales y económicos en el mundo han sido las pandemias como la “Gripe española” (1918), “Gripe Asiática” (1957), “Gripe de Hong Kong” (1968) y “VIH-SIDA” (1981) que afectaron a la población mundial en general y generaron caídas en el PIB entre el 3% y 17% en países como EEUU, Reino Unido, Canadá, Australia y Japón; y en el continente africano entre 2% y 4%.    

Durante los últimos veinte años las principales enfermedades que se han declarado como pandemias ha sido:

07_PP_guia_enfrentar_riesgos_globales_pandemia

Como parte de los riesgos emergentes visualizados por Foro Económico Mundial (WEF), se encuentra la propagación rápida y masiva de enfermedades infecciosas, derivado de bacterias, virus, parásitos u hongos que causan la propagación incontrolada de enfermedades infecciosas (por ejemplo, como resultado de la resistencia a los antibióticos, antivirales y otros tratamientos) que provocan muertes generalizadas y trastornos económicos. 

Otras enfermedades como las cardíacas, el cáncer, diabetes y enfermedades respiratorias, junto con enfermedades mentales, generan afectaciones a la población y son las principales causas de muerte, de acuerdo con el informe:

2. Tomado del Apéndice A - descripción de los riesgos globales, informe 2020 del Foro Económico Mundial (WEF) “The Global Risk Report 2020”.

08_PP_guia_enfrentar_riesgos_globales_pandemia

Los cambios climáticos que se han generados durante los últimos años han ocasionado que enfermedades como el ZIKA, el DENGUE, el Virus del Nilo, y la Fiebre Amarilla se propaguen más fácilmente, incrementado la afectación en la población.

Riesgos Ambientales

Dentro de los principales riesgos ambientales se contemplan:

09_PP_guia_enfrentar_riesgos_globales_pandemia

El nivel de exposición ambiental y cambios climáticos son aspectos que se han tratado desde hace más de 10 años, muchos de los impactos que estos riesgos provocan pueden conllevar a crisis de agua y de comida, incremento en la migración entre estados y países, tensiones políticas, afectaciones económicas y sociales, entre muchas otras. 

PROBABILIDAD VS IMPACTO

Como parte esencial para establecer un plan de continuidad y contingencia es la determinación de los riesgos, sus causas, sus probabilidades y sus impactos, que básicamente brindan la perspectiva del nivel de riesgo y su exposición en la organización.

Para el caso de una pandemia o desastres naturales, por ejemplo, los impactos que puede generar son altos, sin embargo, sus probabilidades de ocurrencia son bajas o poco predecibles, aunque puedan encontrarse documentos y estudios técnicos relacionados, es difícil determinar el momento en el cual puede pasar; este tipo de situaciones se ubican dentro de un mapa común de calor de riesgos en una región que generalmente no tendría una calificación mayormente significativa.

A continuación, se presenta gráficamente:

10_PP_guia_enfrentar_riesgos_globales_pandemia

No obstante, esta zona debería tener una mayor atención en sus estrategias de mitigación, en donde el gestor de riesgos empieza a determinar las afectaciones significativas, la posibilidad de retener o transferir el riesgo:

11_PP_guia_enfrentar_riesgos_globales_pandemia

La Zona B de la figura se puede realizar analizar con mayor detalle, determinando por cuáles podrían ser las estrategias de gestión de riesgo más efectivas:

12_PP_guia_enfrentar_riesgos_globales_pandemia

Cada organización define sus niveles de calificación de riesgo, apetito y tolerancia al riesgo de acuerdo a su tipo de negocio, para esto es relevante tener en cuenta, por ejemplo, la evaluación de los riesgos globales analizados particularmente desde las afectaciones que podría generarse sobre el negocio. 

MAPA DE PROBLEMAS

Requerimientos de contingencia

Para establecer el nivel de afectación, y como resultado del mismo, definir de las estrategias de continuidad a implementar, es relevante plantearse desde diferentes frentes lo siguiente:

13_PP_guia_enfrentar_riesgos_globales_pandemiaAl identificar las afectaciones por cada componente, se recomienda establecer los requerimientos para la operación del negocio; estos pueden realizarse por escenarios, los cuales pueden estar basados en diferentes criterios, por ejemplo:

14_PP_guia_enfrentar_riesgos_globales_pandemia

Para determinar los recursos necesarios durante la activación de un plan de continuidad conviene preguntarse:

Si el riesgo se materializa ¿Qué recursos debo disponer para mantener la operación del negocio…?

Salvaguardar la vida de las personas y empleados será la premisa dentro del plan de continuidad, lo segundo más importante será velar la información de la organización y, por ende, hacer todo lo necesario por mantener su operación durante el tiempo de contingencia.  Para establecer los requerimientos del plan de continuidad de negocio será necesario ejecutar un análisis exhaustivo frente a cada componente y escenario evaluado. 

A continuación, se presenta algunas consideraciones a tener en cuenta:

15_PP_guia_enfrentar_riesgos_globales_pandemia

16_PP_guia_enfrentar_riesgos_globales_pandemia

17_PP_guia_enfrentar_riesgos_globales_pandemia

18_PP_guia_enfrentar_riesgos_globales_pandemia

Gestión de crisis

Dentro del proceso de atención a los riesgos en la activación de un plan de continuidad es de vital importancia contar con un comité de gestión de crisis, el cual debe contar con las personas responsables con facultades necesarias para la toma de decisiones. Adicionalmente, este Comité realizará el seguimiento a la recuperación de la situación en contingencia.

La importancia de esta determinación es permitir que puedan ejecutarse ordenadamente las actividades conforme a los planes establecidos.

Manejo de relaciones con terceros

Las relaciones con los terceros son realmente críticas en momentos de crisis y contingencia, el plan de comunicación con las partes interesadas debe estar definido, y en caso de que no esté establecido, rápidamente se deben determinar los terceros claves a quienes debe notificarse de cualquier situación relevante, estos pueden involucrar: reguladores, proveedores, terceros, contratistas, familiares de empleados, empresas colaboradoras, corredores de seguros, dependencias de administración de emergencias (bomberos, policía, hospitales, etc.) y medios de comunicación.

Manejo del miedo

Considerando los riesgos globales evaluados, y la situación actual del COVID-19, el miedo es un factor que puede afectar gravemente el manejo de una situación en contingencia, el miedo puede ser generado desde los empleados hasta la misma organización al no sentirse preparada ante una situación que pueda suceder. 

Para este tipo de sucesos se recomienda evaluar dentro de las estrategias del plan de continuidad las alternativas para la mitigación de este factor de riesgo, estableciendo mecanismos de investigación y comunicación con entes responsables de acuerdo a la situación, puede ser con la Secretaría de salud, entes territoriales, entre otros; mantenerse informado y asesorado por el personal experto frente a las últimas situaciones y documentarse de los eventos.

Comunicar adecuadamente las medidas a tomar, preparar al personal frente a posibles situaciones, probar los planes de contingencia y mantener serenidad en las medidas adoptadas, son factores claves. 

GASTOS

Determinación de costos de una estrategia

Los gastos son necesarios para evaluar la estrategia de mitigación, estos son considerados en los tres momentos de activación de un plan:

19_PP_guia_enfrentar_riesgos_globales_pandemia

El objetivo de contabilizar la estrategia de mitigación es determinar el costo – beneficio.  La estrategia debe estar evaluada desde el punto de vista financiero, reputacional y operativo, en comparación con los tiempos que se desea mantener o recuperar la operación, estableciendo así un punto de equilibrio:

20_PP_guia_enfrentar_riesgos_globales_pandemia

Seguimiento a los impactos financieros después de restaurada la operación de contingencia.

Los efectos económicos secundarios también deberían ser considerados una vez se supere el evento materializado, para ello puede evaluarse los impactos derivados en el negocio a nivel de: empleados, posición económica de la organización dentro del país, pérdidas incurridas en comparación con su competencia, migración de clientes a otras entidades pares, impactos macroeconómicos que prevean afectaciones a la organización, requerimientos fiscales e impuestos, entre otros.  

Esta actividad es una tarea que se recomienda ejecutar en equipo dentro de la organización con el personal experto en cada tema evaluado.  Adicionalmente se deberá realizar un seguimiento entre 1 y 5 años con el fin de determinar impactos financieros materializados para futuros eventos. 

CONSIDERACIONES

3. Este concepto es adaptado de la OCDE, en su informe “Assessing the Real Cost of Disasters” de 2018, realizado para la evaluación de impactos de los desastres a nivel país y mundial.

Durante las últimas décadas se ha presentado una aceleración en los riesgos emergentes, dejando en claro las debilidades que se tienen no solo en los países sino al interior de las organizaciones, cada sector económico tiene una perspectiva de afectación diferente, lo único cierto que es que los riesgos globales analizados generan impacto significativo en cada uno.  

Como parte fundamental de la gestión del riesgo operativo, y en particular, en la definición de un plan de continuidad de negocio de una organización, se consideran factores claves de éxito:

  • Analizar los riesgos globales periódicamente, estableciendo las posibles afectaciones a la organización desde diferentes perspectivas, evolucionando a un nivel de riesgo en el cual pueda prepararse para eventos con grandes incertidumbres.
  • Determinar estrategias de continuidad del negocio acordes con el tamaño y necesidades de la organización.
  • Establecer las estrategias de continuidad y recuperación con base a los riesgos y escenarios evaluados, que sean prácticas y medibles.
  • Analizar los riesgos y construir estrategias con los dueños de los procesos y la Alta Gerencia de la organización.
  • Determinar procesos de pruebas de las estrategias definidas de manera regular, involucrando en dichos procesos al personal de toda la organización.
  • Mantener una comunicación clara y constante con los diferentes interesados durante una activación del plan de continuidad.
  • Establecer responsables de actividades para ejecución ordenada de un plan.
  • Dentro de la activación de una contingencia no necesariamente todo puede estar planeado, podrán tomarse decisiones que desvíen en alguna medida la ejecución de los planes y que puedan afectar los estados financieros de la organización, en este caso contar con evaluación de las posibles consecuencias sustentará las decisiones tomadas.
  • Mantener una comunicación periódica con los gestores de otros riesgos en la organización, y establecer estrategias de continuidad conjuntas.
  • El recurso humano es el primer eslabón a proteger, por ello mantener su seguridad, conocimiento y disponibilidad es la prioridad.
  • Realizar seguimiento a los costos incurridos durante una contingencia, analizar las variables financieras y contar con el apoyo de personal experto en la organización.

El trabajo en equipo y colaboración mutua brindarán la mayor fortaleza cuando se active un plan de contingencia o crisis en una organización. 

BIBLIOGRAFÍA

Compártalo en sus redes sociales