To:
From:
Subject:
Please enter the text in the same order as shown in the Image below
Take Courses
Get Certified
Attend Events
Explore Resources
About

Respuestas a las preguntas del Webinar en Español 2019: Resiliencia en las Organizaciones

October 1, 2019 Leave a comment DRI Admin

El pasado 10 de Setiembre 2019, el DRI presentó su Webinar en Español anual para la comunidad de profesionales en Continuidad de Negocio de Latinoamérica. Adrián Sanchez, CBCP, profesional con 15 años de experiencia profesional en BCM y Resiliencia, fue el expositor principal del webinar, compartiendo con los participantes importante información sobre la resiliencia desde una perspectiva integral en la organización y se dieron recomendaciones para impulsar la resiliencia organizacional.

Por parte del DRI Internacional esperamos poder seguir entrenado valor a nuestros profesionales certificados, por medio de nuestros recursos como los nuevos cursos online en español, el Glosario de Resiliencia, las Prácticas Profesionales actualizadas, nuestro blog Drive en Español y por supuesto, nuestros webinars, todo esto en español. Este webinar está disponible en nuestra sección de webinars en nuestra página web, o en nuestra biblioteca de presentaciones.

Una parte importante de los webinar son las preguntas hechas por los profesionales participantes, que retroalimentan las presentaciones. Algunas de las preguntas y respuestas resultantes de este webinar 2019 son las siguientes, que fueron respondidas en conjunto por Adrián y Karol Cordero, Directora de Mercadeo del DRI Internacional:

Ernesto de México: ¿La resiliencia es una habilidad o una capacidad?

Respuesta de Adrián: Desde la perspectiva de Resiliencia en las Organizaciones, y como cualquier otro sistema de gestión que se desee implementar / administrar, se deben desarrollar las habilidades de las personas con respecto a la estrategia que tengas en tu negocio, en el ADN de cada persona, su cultura, para tener la capacidad de resiliencia esperada.

Jacqueline de República Dominicana: ¿Cuál es la diferencia entre un Sistema de Gestión de Continuidad del Negocio y la Resiliencia Organizacional y bajo qué metodología una empresa mide su resiliencia?

Respuesta de Adrián y Karol: Continuidad de negocio es uno de los esfuerzos de implementación y gestión para lograr la Resiliencia Organizacional – puede convivir con más Sistemas de Gestión, por ejemplo de Seguridad de la Información, Gobierno de TI, etc.; la Resiliencia Organizacional es la búsqueda de que todos estos elementos puedan interactuar, madurar, y sobre todo, que estén dentro del ADN de la cultura de la empresa, que sea una vivencia diaria de cada persona que esté dentro de la organización. Solamente unificando los esfuerzos se logra una preparación integral, la cual permite que haya no solamente Continuidad, sino capacidad de gestión de riesgo, de seguridad, de recuperación y adaptación, logrando así la Resiliencia Organizacional. Recomiendo utilizar el estándar ISO22316, que provee la guía necesaria para mejorar la resiliencia organizacional, ya que no solo provee una comprensión del tema, si no además, provee principios y mecanismos para dar el soporte correspondiente, apoyándose de forma integral en buenas prácticas, como las Prácticas Profesionales del DRI, que ofrecen una guía completa de implementación, y el resto de la familia ISO22300.

Diana de Colombia: ¿Cómo valoran la resiliencia, cuantitativamente o cualitativamente; y bajo qué metodología una empresa mide su resiliencia?

Respuesta de Adrián: Finalmente, es la organización quien implementa el marco de referencia a usar (por ejemplo, CERT RMM), bajo los más altos estándares recomendados – lo que se busca de antemano es mantener ya sistemas de gestión adecuados, que la organización cuente con una madurez considerable, para que este tipo de implementaciones logre integrar cualquier esfuerzo de la organización que tenga en sitio, para manejar sus riesgos, la seguridad de información, continuidad de negocio, etc. A partir de ello, “orquestar” los diferentes sistemas implementados existentes, tomar los elementos pertinentes para que la gestión de estos, se lleven a cabo coordinadamente para robustecer la resiliencia, recordando que cada sistema tiene Indicadores de medición apropiados para cada organización; puedes usar la guía que provee el estándar ISO22316.

Juan de Colombia: ¿Qué herramientas recomienda para fortalecer la resiliencia de las personas en el contexto de BCM?

Respuesta de Adrián: No hay nada mejor que la capacitación y sensibilización, como herramientas, para mantener y mejorar continuamente la resiliencia de las personas, para mejorar la interacción de las personas durante una contingencia. Adicionalmente, a través de mercadeo interno, pueden colocar banners que promuevan la resiliencia dentro de las oficinas o hacer publicaciones en la Intranet; por otro lado, hablando de la Gestión de la Continuidad de Negocio – si te refieres con herramientas tecnológicas, existen herramientas de software de alertamiento vía email, celular, mensaje de texto, para informar desde que se declaró la contingencia hasta el reporte de eventos y gestión de crisis.

Pero de igual forma, si no se capacita al personal en el uso de la herramienta, y se crean adecuadamente los flujos de comunicación con la notificación apropiada a cada nivel de notificación, no servirá de mucho el contar con herramientas de Software/Hardware.

Otras herramientas dentro de la Gestión de la Continuidad de Negocio: Para la gestión de documentos (con todos los principios de seguridad de la información, acceso, confiabilidad, disponibilidad, etc.), Call Center para el manejo de llamadas – War-room, etc. Hay Software en el mercado que te ayuda con la gestión de los planes de continuidad y la Gestión de Crisis.

NOTA – solo que, al seleccionar la herramienta, busca primero lo que hay en sitio y adóptalo para tu sistema de gestión, y si lo requieres adquirir, que cumpla con las necesidades del negocio (hay Software que muchas veces, no se adapta a los requerimientos regulatorios actuales).

Juan de Colombia: ¿Qué recomiendas para definir los “peores escenarios” al desarrollar las estrategias del BCP en el contexto de cambio climático?

Respuesta de Adrián: Recuerda que, para desarrollar las estrategias de BCP y de acuerdo con las mejores prácticas internacionales, necesitas de tu Análisis de Riesgos y Análisis de Impacto al Negocio; con estos dos elementos, podrás definir cuáles escenarios son los más críticos (ecuación impacto – probabilidad) y que, con estos resultados, puedas entonces tomar la decisión en conjunto con el negocio, cuáles son los escenarios a trabajar. Recuerda que la Ubicuidad, el Giro de Negocio, Sector, etc., dentro de lo que tengan en alcance de ambos análisis, es clave para determinar si el cambio climático tiene afectación, cual seria su criticidad de afectación y definición de posibles impactos.

Jacqueline de República Dominicana: ¿dónde puedo conseguir el reporte de tendencias de Riesgos del DRII?

Respuesta de Karol: El reporte de tendencias de 2019 y los años anteriores, los puedes descargar de forma gratuita en nuestra biblioteca de recursos. También hay webinars completos dedicados a este reporte, explicando los resultados. Te invito a navegar por los recursos disponibles de forma gratuita en drii.org

Juan de Colombia: ¿Han pensado articular el reporte de tendencias de riesgo del DRI mencionado con el reporte GAR 2019 de UNDRR?

Respuesta de Chloe Demrovsky, presidente del DRI Internacional: Sería difícil alinearlos debido a la forma en que están estructurados nuestros informes. El nuestro se basa en una encuesta de nuestra comunidad global de continuidad de negocios para descubrir qué es lo que más les preocupa. Además, si bien existe una superposición entre la reducción del riesgo de desastres y la gestión de la continuidad del negocio, también existen diferencias significativas entre ellos, por lo que una alineación completa sería perjudicial. Sin embargo, dejaremos que el Presidente de nuestro Comité de Visión Futura, responsable de elaborar el informe, conozca sobre su pregunta. Para obtener más detalles sobre las actividades de DRI con UNDRR, consulte nuestro perfil en la web de prevención aquí.

Jorde de Emiratos Árabes: ante la resiliencia organizacional y la gestión de riesgos es fundamental determinar el nivel de madurez de la organización y tomar las primeras acciones de recuperación, ¿que recomendación como experto nos puede compartir para una mejor revisión y actualización?

Respuesta de Adrián: Las buenas prácticas internacionales recomiendan que los elementos del Sistema de Gestión implementados se actualicen al menos una vez al año o cada ocasión que ocurra un cambio significativo en la organización: estos cambios pueden ser los resultados de una auditoría, los resultados de una prueba de contingencia, adquisición de una nueva empresa, cambio de domicilio o localidad de la empresa, etc.

Como estos elementos del Sistema de Gestión deben estar en constante mejora continua, depende mucho del tamaño de la organización, o el alcance en donde el Sistema de Gestión esté implementado. Por tanto, algunas herramientas tecnológicas, para el caso de la documentación, pueden ayudar para el alertamiento adecuado y flujos correspondientes para la revisión y actualización de los mismos documentos; si estos flujos y herramientas no se actualizan con los cambios apropiados, podrían suscitarse casos, por ejemplo, de personal que ya no está en la empresa – un buen acuerdo interno con el área de Recursos Humanos pudiera ser útil para estos fines.

Jacqueline de República Dominicana: ¿cómo demostrar a nuestros ejecutivos el costo-beneficio de la gestión de la continuidad, más que presentar los eventos que nos pueden pasar?

Respuesta de Adrián: Es un reto clave. Cada organización es única e irrepetible; lo que puede ayudarnos es que, si el escenario es mostrar a la Dirección el Costo – Beneficio de la Gestión de la Continuidad, es mostrar con evidencia, resultados tangibles del funcionamiento de la Continuidad de Negocio Implementada; por ejemplo, un buen Análisis de Impacto al Negocio (con mediciones cualitativas y cuantitativas – costos de pérdidas por la no ejecución de un proceso $$), el establecimiento y muestra de resultados del Análisis de Riesgos, la sensibilización al personal, y ante todo, mostrar que es un valor agregado que puede dar a la organización, diferenciación ante la competencia; otro puede ser, el ejercicio de un adecuado análisis de brechas que muestre el antes y el después de implementar este tipo de buenas prácticas en la organización, el número de hallazgos por parte de las autoridades, cerrados en tiempo y forma, etc.

Es decir, utilizar indicadores clave de desempeño del Sistema de Gestión, que sean significativos para la organización, es un buen elemento que se utiliza para mostrar a la alta dirección, el costo – beneficio de contar con el mismo. El Líder de Continuidad de Negocio, es un elemento fundamental, para lograr estos aspectos.

Juan de Colombia: ¿Cómo estás midiendo la competencia de resiliencia en las pruebas del BCP o los talleres de manejo de crisis?

Respuesta de Adrián: Si te refieres a la Competencia de las personas que participan en las pruebas de Continuidad de Negocio, son indicadores que estableces en coordinación con el área de Desarrollo y Capacitación, que cursos deben tomar y/o completar en el transcurso del año y a que nivel deseas que llegue el personal (dependiendo del nivel de madurez de cada empleado en cuanto a los temas que estas utilizando).

Me imagino que capacitas o das inducción a todos los participantes de tu prueba de Continuidad de Negocio, a su vez, registras participación con evidencia auditable y que compartes con el área de recursos humanos y los gerentes de las áreas; esto puede ser de utilidad para el registro de la competencia del personal -> puedes establecer un indicador de cuantas veces el personal participa en estas capacitaciones y comparándolos con el resultado de las pruebas que se realizaron.

Juan de Colombia: ¿Has utilizado alguna herramienta? Recomiendas la plataforma de E-learning de Persona Lab, usas juegos de guerra durante las pruebas del BCP? ¿Podrías contarnos cómo te ha resultado usarlas en medio de estas pruebas?

Respuesta de Adrián: Depende mucho de la organización y lo que consideres mejor para tu ejercicio, conociendo a tus participantes. Un ejemplo: En empresas con manejo de almacenes y productos flamables, he incluido pruebas con simulación de fuego (en ambiente controlado), en conjunto con el Facilities Manager, Protección Civil y Servicio Medico, lo que lleva a tener una capacitación exhaustiva previamente, manejar CUIDADOSAMENTE las actividades, ya que estás manejando personas y no todas reaccionan igual ante las crisis o eventos de este tipo.

Recomiendo un cuidadoso análisis de los empleados de la organización, el involucramiento adecuado de Recursos Humanos, Legal, Protección Civil, serán clave para tener un consensuado uso de las mejores herramientas para utilizarlas, en este caso, y si entiendo bien, durante las pruebas del escenario que estas probando en tu BCP.

También he observado pruebas con uso de escenarios ficticios de terrorismo con resultados graves en el personal – lo cual, por ello mi respuesta; tendría que analizar más la situación de tu organización, el contexto, el personal, las políticas internas de Continuidad y su convergencia con otras, como la de Recursos Humanos, Seguridad física, Facilities, etc.

Ernesto de México: En términos generales, ¿cuál es la diferencia entre continuidad de negocios y resiliencia organizacional?

Respuesta de Karol: De acuerdo con el Glosario Internacional de Resiliencia del DRI, la continuidad del negocio está definida como “Capacidad de una organización para continuar con la entrega de sus productos o servicios después de una interrupción a un nivel predefinido aceptable.”. Mientras que la resiliencia está definida como “Capacidad de una organización para mantener sus funciones y su estructura críticas ante cualquier cambio interno o externo y regresar a un nivel aceptable de rendimiento en un periodo mínimo después de una interrupción.” Esto, en otras palabras, es que la continuidad de negocio es parte de la resiliencia organizacional, la resiliencia busca no solamente continuar con la entrega de productos y servicios ante interrupciones, sino que está presente ante cualquier cambio y busca también regresar a un nivel aceptable. Es esa adaptación la que hace diferente a la resiliencia, y debe conjugar la continuidad, seguridad, gestión de riesgos, gestión de crisis, entre otros.

Juan de Colombia: ¿Dentro de qué área estás recomendando asignar la responsabilidad de resiliencia en las organizaciones, en el entendimiento de su transversalidad? Por ejemplo asignar este rol al área de sostenibilidad o responsabilidad social empresarial te hace sentido?

Respuesta de Adrián: En mi experiencia, he mirado un área designada para este fin con dicho nombre, pero sabes, depende mucho de cada organización. La he mirado dentro de esquemas corporativos, como un área de Resiliencia como tal, en otras, dentro de la gestión de Control Interno, Información Tecnológica, entre otras – mi punto es, que debe ser un ente independiente, que pueda interactuar en todo sentido dentro de la organización con un peso directivo, y si en el caso particular de tu organización, es o son las áreas adecuadas para tener dicho rol, mientras no pierdan el sentido estratégico del negocio, con adecuado ejercicio de liderazgo para llegar a toda la organización, adelante.

Kal de Argentina: Luego de mostrarle a la Dirección los resultados (la brecha que mencionabas), ¿cómo podemos capacitarlos en cuanto a Resiliencia? ¿Qué técnicas te han servido más?

Respuesta de Adrián: He sugerido a diversos clientes, y he mirado con éxito, integrar al área de Recursos Humanos (por ello de tener una Política de Continuidad que interactúe con las demás políticas de la organización, según aplique) o Desarrollo de Personal, para integrar Capacitación y Sensibilización especializada para Directivos (en organizaciones de madurez importante en estos temas, inclusive, lo colocan dentro del sistema de gestión del Plan de Capacitación del empleado y como parte de sus objetivos anuales); la idea, por supuesto, es que en el mismo Plan de Desarrollo de los Directivos existan aspectos de estos temas. Desde generar cursos de Sensibilización, como en Dinámicas específicamente destinadas para Directivos, se integren actividades que refuercen la estrategia de Resiliencia en las Organizaciones.

Jacqueline de República Dominicana: ¿Habrá algún modelo que se pueda referir de indicadores estratégicos para demostrar el valor de la resiliencia, que sirva de marco o referencia para implementarlos?

Respuesta de Adrián: Recuerda que los indicadores, deben ser generados por cada organización, y que sean de acuerdo con la Estrategia de Resiliencia y del Negocio, que permita hacerle sentido al panel Directivo los resultados que se presenten. Por supuesto y dependiendo del alcance y madurez de tu Sistema de Gestión de Resiliencia Implementado, puedes mostrar los niveles de madurez de los sistemas que lo conformen, de forma anual, el número de hallazgos de auditorias que se han cerrado en tiempo y forma, el número de penalizaciones mitigadas por cumplimiento de parte de algún Sistema usado en la organización, etc.

Citlalli de México: ¿Cómo, en una cultura como la Mexicana, que la prevención y que el término de la Resiliencia parece nuevo, podemos hacer que a las áreas les importe la continuidad del negocio y la creación de planes?

Respuesta de Jorge Escalera, de DRI México: En una cultura como la Mexicana (al igual que en todo Iberoamérica), una síntesis de motivaciones por las que las organizaciones se interesan y desarrollan la continuidad de negocio, la gestión del riesgo de desastre y la resiliencia son:

Han sufrido recientemente un desastre. Existe una ley que les obliga a atender el tema. Se tiene un liderazgo y compromiso de la alta dirección sobre el tema.

La mayoría de las organizaciones atiende el tema por la razón 1 anterior, en menor medida por la razón 2 y un grupo muy selecto por la razón 3.

No obstante, independientemente de cuál sea la motivación o incluso, la nula motivación hacia el tema, a los profesionales en la materia les corresponde hacer su debida diligencia estudiando, preparándose y presentando iniciativas y opciones adecuadas y adaptadas a su organización para desarrollar los Planes de Continuidad de Negocio (BCP) y aprovechar cualquier oportunidad (incluso la ocurrencia de los desastres, propios o ajenos) para desarrollar una cultura de gestión del riesgo de desastre y la construcción de resiliencia.

Sobre la motivación 2. Actualmente existen en México sectores regulados que les exigen tener planes BCP (como bancos y aseguradoras). Asimismo, la Ley General de Protección Civil (LGPC) vigente habla de que las organizaciones deben tener planes de continuidad de operaciones (BCPs) y aunque el reglamento de la LGPC no ha sido aplicado con rigor, tarde o temprano las organizaciones se verán obligadas a desarrollarlos.

Finalmente, en materia de difusión sobre resiliencia y BCM te invitamos a participar y aprovechar para invitar a tus directivos al FORO ARISE MX “Resiliencia para Todos” que será el 29 y 30 de octubre en CDMX y en donde el DRII estará presente a través de su Presidente y CEO Chloe Demrovsky de su representante en México Jorge Escalera Alcázar de Risk México (https://arise.mx/foro/). En este Foro, podrás obtener mayor información y recomendaciones al respecto de tu pregunta.

Monica de México: ¿qué debe contener una política de Resiliencia Organizacional? ¿La política es distinta al Plan de Continuidad?

Respuesta de Adrián: Cada política, así como cada Sistema de Gestión para la Resiliencia, es acorde a su estrategia en la Organización. Al menos, considera: que sea conveniente para la organización con el sentido estratégico de contar con esta, que provea el marco correspondiente para establecer sus objetivos, que involucre el compromiso de cumplir con todos los requerimientos de la organización y por supuesto, de mejora continua (con base en las mejores practicas internacionales).

Recuerda que la Resiliencia Organizacional, es una forma de orquestar todos los esfuerzos de todas las áreas de la Organización, tomando en cuenta cualquier sistema de Gestión que este implementado que refuerce o ayude a mejorar la Resiliencia del Negocio – Por tanto, la política es orientada a integrar, inclusive, al Sistema de Gestión de la Continuidad de Negocio, en caso de existir.

Gustavo de Colombia: ¿El cambio o las tendencias son el nuevo reto a incluir en riesgos?

Respuesta de Adrián: Con base en la norma ISO31000, que refiere a la Gestión de Riesgos, que ayuda a desarrollar, implementar y mejorar continuamente el marco de referencia con el fin de integrar toda la estrategia de Gestión de Riesgos en toda la organización. Desde mis experiencias como Consultor y Ejecutivo en algunas otras organizaciones, te puedo decir, que la apreciación del Riesgo y el Análisis de Impacto al Negocio, son elementos fundamentales para tomar decisiones apropiadas para la generación de estrategias acertadas de recuperación. Adicional que hay una diversa gama de análisis de riesgos, dependiendo de la organización, la cual, puedes usar todas las que sean funcionales y agreguen valor a tu apreciación del riesgo. Definitivamente, no podemos dejar a un lado, este tipo de información en estrategias de las Organizaciones Resilientes.

Juan de Colombia: ¿Nos podrían platicar un caso real de aplicación de la ISO22316 y qué resultados obtuvieron?

Respuesta de Adrián: He participado en varias industrias; en una Farmacéutica donde estuve, tienen un muy maduro enfoque de Organizaciones Resilientes, que proviene principalmente, de los diferentes entes regulatorios a los cuales esta sujeto el sector, como la FDA, SOX, entre otras; mas aun, que tiene oficinas en diferentes países, y cada uno de estos, tiene regulaciones a las cuáles hay que ajustarse. Todos estos elementos en conjunto, y el tipo de sector, genera una alta madurez en lo que respecta a ser Organización Resiliente.

David de Colombia: ¿Qué iniciativas hay para trabajar la resiliencia organizacional más allá de la continuidad del negocio?

Respuesta de Adrián: Las organizaciones certificadores, como el DRII, agrega en su portafolio de productos, tal como lo presentó Karol, el Programa de Evaluación de Empresa Resiliente, así como la norma ISO22316, que hace referencia preparar la organización en este sentido, y cada programa, por supuesto, dependerá de cada organización, que nivel de madurez desea adquirir y por tanto, generar la resiliencia en su cultura organizacional. Te invito a consultar los artículos del DRII.org, donde recientemente se realizo en UK el primer congreso de Resiliencia -> también puedes mirar el sitio https://resilienceassociation.org/

Juan de Colombia: ¿Qué herramienta ayuda para medir la competencia de resiliencia en los procesos de reclutamiento, qué sucede si al medir la competencia de resiliencia es débil en algunos miembros del equipo de BCM, cómo comunicas la debilidad y qué herramientas sugieres para fortalecer a estas personas?

Respuesta de Adrián: Esto es parte de la Gestión Directiva de tu área para la Gestión de Continuidad de Negocio – lo cual, recomiendo que la política de Continuidad, tenga un contexto desde el reclutamiento (perfil de cada candidato que debe ser Responsabilidad del Directivo de BCM), la evaluación y capacitación del empleado, en conjunto con la Política de Recursos Humanos, Desarrollo Humano o dependiendo del área de desarrollo que tenga esta responsabilidad.

Como Manager y Head del programa en la organización, tengo acceso al Score Card de cada empleado (por que el nivel de experiencia y madurez es individual), donde configuramos sus objetivos, de manera personal y profesional, también se establece su plan de desarrollo, con un seguimiento programado, en conjunto con HR, una revisión cada 3 meses (con referencia a la política de HR).

Soy el responsable de definir el “path” de cursos para cada recurso que esta en mi equipo, y dependiendo de su asignación y responsabilidad, se define el nivel de competencias y habilidades que debe de tener, a parte de lo que, como Organización en conjunto, el empleado debe tomar como capacitación dentro de su plan de desarrollo; el programa de desarrollo, me va indicando su nivel de madurez, cada vez que revisamos su Score Card, con ello me proporciona información para tomar decisiones sobre el fortalecimiento de sus capacidades, alcance de objetivos e incentivos. Definitivamente, es una responsabilidad del Líder que Gestiona el programa, en este caso, BCM.

Abraham de México: ¿Cómo medir el nivel de resiliencia de una empresa considerando que varias áreas presentan distintos escenarios de interrupción?

Respuesta de Adrián: Un análisis de brechas, por área o departamento, te pudiera ser útil, para medir el nivel de Resiliencia en la Organización, de tal forma, que puedas tener el parámetro deseado, y llevarlos paso a paso, al siguiente nivel, cerrando las brechas identificadas y llegar al nivel de madurez óptimo.

Juan de Argentina: ¿Cómo se puede implementar la resiliencia en organizaciones multinacionales que están sometidas el RGPD y a distintas legislaciones? 

Respuesta de Karol: Se recomienda hacer un análisis de impacto del negocio y análisis de riesgos, donde se podrá identificar las leyes que les aplican por ubicación a la empresa. Se debe implementar las leyes de acuerdo con las mismas y el manejo de datos de la organización.


Preguntas y sugerencias puede hacerlas al correo kcordero@drii.org