La importancia de la documentación y la actualización del contexto en que se encuentra la organización.

Como comenté en mi artículo introductorio sobre Continuidad de Negocio, el marco propuesto por la norma ISO 22.2301:2019 Sistema de Gestión de Continuidad de Negocio de la serie sobre Seguridad y Resiliencia, nos parece idóneo para abordar un proyecto de implementación y diseño de planes de continuidad.

En este articulo vamos a entrar a ver algunos de los pasos críticos para completar el primer paso, previo al análisis de impacto y a la evaluación de riesgos. Como en todas las ISO, la organización debe determinar las cuestiones internas y externas que son pertinentes para su propósito y que afectan a su capacidad para lograr los resultados previstos, lo que podría denominarse un análisis de negocio.

 

 

Análisis de negocio

La consecución de un entendimiento y análisis de alto nivel del contexto, misión y objetivos de la organización es la base del éxito de su plan de continuidad. Para ello debemos determinar a alto nivel la criticidad de procesos, actividades y proveedores para los objetivos anteriormente identificados.

Confeccionar el esquema organizacional, nos permite obtener una visión global del funcionamiento de la organización. No todas las organizaciones cuentan con un organigrama formal y actualizado. En estos casos resulta conveniente reunirnos con el personal que tenga conocimiento del funcionamiento y de los miembros que gestionan las áreas y/o sectores para recabar dicha información.

Básicamente comprender el organigrama nos ayuda a comenzar a conocer a la organización, entender sus procesos y/o servicios, y a identificar quienes serán nuestros aliados claves en el Sistema de Gestión de la Continuidad de Negocio, ya que serán los referentes de los procesos a evaluar.

Analizar el plan estratégico de la organización y sus objetivos.

Verificar que los procesos y actividades definidas como críticas se encuentren alineadas con el plan estratégico de la organización, nos permitirá comprender más de cerca el funcionamiento del negocio y cuales sus prioridades y preocupaciones.

Identificación y mapeo de las actividades, procesos y responsabilidades.

Continuando con los lineamientos de las normas ISO, la 9001:2015 Sistema de Gestión de Calidad propone un modelo interesante para definir el Mapa de Procesos de la organización:

El mapa de procesos recoge la interrelación de todos los procesos internos y externos que realiza una organización para sus objetivos. Proporciona una visión detallada del funcionamiento y desempeño de los procesos / actividades que realiza la organización y sus interrelaciones, prestando una atención especial a aquellos aspectos claves que permitan asegurar la continuidad de las operaciones ante un imprevisto.

Elaborar, implementar y mantener actualizado un mapa de procesos es una tarea sencilla siempre y cuando se lleve a cabo con un orden determinado y se plantee el mismo de la forma más clara posible

El mapa de procesos deberá plasmar la cadena de valor actual de la organización combinando la perspectiva global de la organización con las perspectivas locales del área respectiva en la que se registra cada proceso. Su desarrollo, por lo tanto, debe tratar de consensuar la posición local y el desempeño concreto de dichos procesos con los propósitos estratégicos corporativos, por lo que resulta imprescindible identificarlos y jerarquizarlos en función de su definición específica.

El grado de detalle dependerá de la madurez de la organización en cuanto a la documentación de sus normas, políticas y procedimientos.

Habitualmente los procesos se clasifican en 3 categorías:

• Procesos operacionales: vinculados a los bienes producidos o a los servicios que se prestan para el desempeño del negocio. Centrados en aportar valor, su resultado es percibido directamente por el cliente o usuario. Por lo general, en la ejecución de estos procesos intervienen varias áreas funcionales y son los que emplean los mayores recursos.
• Procesos estratégicos: establecidos por la alta dirección para definir cómo opera el negocio y cómo se crea valor. Constituyen el soporte de la toma de decisiones relacionadas con la planificación, las estrategias y las mejoras en la organización.
• Procesos de apoyo o soporte: son aquellos que sirven de soporte a los procesos operacionales y a los procesos estratégicos. En muchos casos, estos procesos son determinantes para conseguir los objetivos de los procesos dirigidos a cubrir las necesidades y expectativas de los clientes o usuarios. Ejemplos de procesos de apoyo o soporte: formación, compras, auditorías internas, informática, etc.

A modo de ejemplo, y para comprender como los conceptos mencionados previamente se aplicarían a una organización, se muestra un mapa de procesos de una empresa basado en la norma ISO 9001:2015, que posee implantado un Sistema de Gestión de Calidad:

Identificación de proveedores críticos.

En esta instancia se debería hacer foco en aquellos proveedores / partes interesadas que poseen interdependencia con las actividades prioritarias de la organización. Por ejemplo, ¿Quiénes serían proveedores críticos? supongamos una empresa que se encarga de embotellar la leche de vaca y la distribuye a los comercios. Para que su negocio funcione es indispensable contar no solo con el proveedor de la leche de vaca como así también el de las botellas, por lo que ambos serían proveedores críticos. También puede ser crítica una empresa subcontratada, continuando con el mismo ejemplo, si la transportadora que reparte la leche a los comercios falla, no recibirán el producto.

Análisis de sensibilidad de las actividades y procesos respecto del plan de negocio. 

Antes de definir el alcance del BIA es conveniente hacer un ejercicio previo, identificando potenciales actividades, procesos, activos y proveedores críticos para realizar el análisis de sensibilidad.

En esta instancia se trata de obtener un conocimiento de los objetivos de negocio y de identificar los procesos y/o actividades que se consideran críticos para el funcionamiento de la compañía y que se encuentran alineados con la estrategia. Una vez identificados los procesos críticos, se analizarán cuáles son los riesgos asociados a dichos procesos para identificar cuáles son las causas potenciales que pueden llegar a interrumpir un negocio.

Tanto la documentación, como la actualización periódica del contexto en el que se encuentra la organización, es crucial para mantener el Sistema de Gestión de Continuidad de Negocio saludable, ya que como comentamos en nuestro artículo anterior: Continuidad de Negocio: ¿Documento o sistema de gestión?, el SGCN es un proceso vivo y refleja cuales son actividades prioritarias reales a las que se les debe dar continuidad en caso de que se presente una imprevista interrupción de sus operaciones.

En resumen y tal como se ha comentado en el articulo anterior, en esta etapa del análisis organizacional debemos identificar todo aquello que debemos procurar en que vaya bien a pesar de que se produzca una interrupción en las actividades del negocio:

 

 

 

 

 

 

 

En un próximo nota técnica, hablaremos de como elaborar el BIA.

Luis Frias Vergara

Senior Consultant | IT Audit Services

Control Solutions 360

 

Echa un vistazo a nuestros servicios y soluciones de continuidad de negocio