ISO 22301

¿En qué consiste un Sistema de Gestión la Continuidad del Negocio?

Disponer de un Sistema de Gestión de la Continuidad del Negocio (SGCN) se ha convertido en toda una exigencia para las organizaciones puesto que, en un entorno cada vez más globalizado y exigente, ninguna empresa que pretenda mantener su ventaja competitiva puede permitirse el lujo de tener interrupciones considerables en su cadena de producción o de negocio.

Con las nuevas reglas de los mercados internacionales, las empresas tienen la obligación de poder demostrar que son proveedores en los que se puede confiar. Ante la presencia de cualquier evento alterador, disponer de un SGCN bien diseñado y correctamente implantado es una garantía, para la propia empresa y ante terceros, de que dentro de un tiempo estimado, la organización podrá reanudar sus operaciones y servicios.

Un SGCN consiste en la preparación proactiva de la organización frente a contingencias de todo tipo que puedan suponer una interrupción de la actividad de una empresa, suponiendo perjuicios de diferente gravedad según la importancia del ámbito donde se ha producido el paro y el tiempo de inactividad.

El SGCN puede considerarse, por lo tanto, como la capacidad estratégica y táctica de una organización para planificar y responder ante incidentes o interrupciones de negocio, con el fin de continuar las operaciones a un nivel aceptable de servicio, que debe definirse previamente.

En los casos más graves, la interrupción de la continuidad del negocio puede suponer la propia desaparición de la empresa, al producirse daños irreparables, pérdidas económicas inasumibles o la imposibilidad de hacer frente a pedidos o compromisos claves con los clientes.

El principal objetivo de un SGCN es permitir la administración, planificación, seguimiento, control y mejoramiento permanente de la estrategia de continuidad del negocio de la compañía para garantizar su operación crítica en caso de una contingencia.

¿Principales beneficios de un SGCN?
  • Garantizar el cumplimiento de los objetivos prioritarios del negocio en caso de contingencia.
  • Brindar seguridad y confianza a las partes interesadas.
  • Reducir los efectos adversos en los servicios de la organización por una interrupción inesperada.
  • Identificar amenazas y vulnerabilidades sobre las operaciones críticas de la compañía, para su tratamiento y control de manera proactiva.
  • Integrar la estandarización, innovación y el liderazgo en la gestión del riesgo operativo.
  • Reducir al mínimo las posibilidades de que una contingencia llegue a provocar que la empresa deje de operar el tiempo suficiente como para que no pueda suministrar a tiempo sus productos o servicios.
El estándar ISO 22301:2012

Un SGCN se basa en la norma ISO 22301, la cual enfatiza ciertos aspectos de la organización y de la sustentabilidad del negocio como: la información, las aplicaciones informáticas, las cuestiones financieras, contables y legales, así como también los procesos productivos y operativos.

Se trata de una norma enfocada en la organización general de las empresas, cuyo fin es determinar los requisitos necesarios para la implementación de controles que ayuden a evitar o minimizar las amenazas y sus consecuencias. El segundo punto es establecer o analizar las causas que han motivado este problema.

El estándar ISO 22301:2012, cuya denominación completa es “Seguridad de la Sociedad: Sistemas de Continuidad del Negocio-Requisitos” aplica el ciclo Plan-Do-Check-Act (PDCA por sus siglas en inglés), cuyo fin es la mejora continua de la calidad en los distintos aspectos o fases del programa:

  • Planificación.
  • Establecimiento.
  • Implementación.
  • Operación.
  • Monitoreo.
  • Revisión.
  • Mantenimiento.

La ISO 22301:2012 está muy relacionada con otros estándares de gestión como: ISO 9001, ISO 27001, ISO 20000-1, ISO 14001 e ISO 28000.

La ISO 22301 establece como continuidad del negocio la capacidad de la organización para continuar con la entrega de productos o servicios a unos niveles aceptables.

Para lograr este objetivo, se hace necesario implantar una SGCN donde se definan los riesgos y se diseñe un plan de contingencia en situaciones de crisis que permita, una vez ha tenido lugar un evento negativo, poder restablecer la actividad en el menor tiempo posible, de manera que las pérdidas y riesgos para la empresa sean lo mínimos.