Los riesgos para nuestra organización, empresa o negocio vienen de la mano de amenazas. El principal mensaje que sacaremos en esta parte del estudio es que la más sensata actuación por nuestra parte es limitar la exposición al riesgo, manteniendonos a salvo de las amenazas. Con esto habremos recorrido un gran trecho en términos de Continuidad de Negocio.

Hablamos de riesgos de forma genérica, sin prestar demasiada atención a lo que en realidad significan. La naturaleza del riesgo es la incertidumbre. La norma UNE-EN ISO 22301, que es la que trata del sistema de gestión de la Continuidad de Negocio, define

riesgo (risk): Efecto de la incertidumbre en los objetivos.

Si seguimos el razonamiento de que los riesgos son un resultado de la incertidumbre y que para ayudar en la Continuidad de nuestra actividad tenemos que evitar la exposición al riesgo, parece evidente que cuanto más conocimiento tengamos de nuestros procesos y del entorno, que limiten la incertidumbre sobre su comportamiento, mejor podemos garantizar la Continuidad de Negocio.

De aquí se deduce que necesitamos un sistema documental, es decir: una serie de documentos, que si tienen suficiente entidad, para facilitar su mantenimiento y consulta pueden llegar a formar parte de una base de datos documental. Aunque no necesariamente tenga que ser algo complejo o caro, pues nos basta organizar un buen archivo, bien sea en papel o en ficheros informáticos. Habrá documentos que nos enseñen cómo tenemos que hacer las cosas, que llamaremos procedimientos y otros documentos que guarden memoria de las comprobaciones y realizaciones efectuadas, que llamaremos registros. Esto es así porque los documentos son la forma más sencilla de acumular conocimiento que puede compartirse o emplearse como paso previo para adquirir más conocimiento. Si no tenemos escrito un procedimiento ¿cómo podremos mejorar el procedimiento?

No hemos apenas entrado en qué hacen los riesgos, pero es fácil asumir que el conocimiento nos da capacidad de predecir en cierta forma los sucesos. Cuando tenemos dominado un proceso, sabemos cómo se comportará, como cuando conducimos un vehículo en condiciones de control. El efecto de la incertidumbre es que sucede algo completamente inesperado en ese momento y entonces altera la marcha del proceso, provocando que durante un tiempo no tengamos el control.

Cuando se trata de un proceso de producción, la incertidumbre se traduce en que no sabemos si la calidad de lo producido se ajusta a las especificaciones y preventivamente habrá que desecharlo, reexaminarlo y posiblemente repararlo, con lo que se acumularán los costes imprevistos. Si se trata de un servicio, el cliente puede exigir el resultado que ha pagado o contratado. Casi siempre un efecto inesperado en el proceso va a suponer un sobrecoste, una reclamación, o la pérdida de reputación.

A efectos de conseguir emplear los recursos siempre limitados de las organizaciones o empresas, es importante poder categorizar los riesgos, a fin de dedicar los recursos preferentemente en reducir la exposición a los riesgos que califiquemos como más importantes. Esta categorización, que tiene en cuenta la gravedad de las consecuencias y la probabilidad de la ocurrencia de una determinada amenaza, será el objeto de los dos apartados siguientes PCN 1.2.2. Gravedad estimada y PCN 1.2.3. Probabilidad ocurrencia. Al terminar los análisis indicados en dichos puntos seremos capaces de darles un valor numérico a los distintos riesgos.

Para empezar hay que listar las distintas fuentes de riesgos, igual que hicimos en el caso de la lista de procesos y sus correspondientes Talones de Aquiles o puntos débiles tratados en PCN 1.1.1. Talones de Aquiles. Haremos aquí un inventario de las amenazas. A la lista de amenazas que tengamos, le añadiremos en etapas posteriores, distintos atributos, en particular, la gravedad estimada de las consecuencias de cada una y la probabilidad estimada de su ocurrencia.

Como ejemplos de las posibles amenazas o fuentes de riesgo, estarían las que se refieran a problemas de personal, de suministros, de comunicación o ciberataques o de cuellos de botella que presenten nuestros procesos, así como las distintas subdivisiones de ellas. Por ejemplo:

• Personal
  • Pandemia
  • Huelga
• Suministros e instalaciones
  • Materiales
  • Energía
  • Locales
• Ciberataques
  • Fishing
  • Denegación de servicio
• Cuellos de botella
  • Diseño
  • Problemas de calidad
• etc.

En la segunda parte del libro PCN 2. CASOS, trataremos concretamente la forma de abordar problemas tipo de esas clases. Por ahora nos bastará tener una lista que nos sea útil para describir posibles amenazas que nos afecten a nuestro caso.

Por cierto, habéis visto que casi confundimos los términos riesgo y amenaza. Desde un punto de vista dinámico, de cómo ocurren las cosas,

riesgo es el resultado de la materialización de una amenaza.

Índice

Ver el índice completo de la obra (y su estado de realización) en el siguiente enlace: PCN 0. La Continuidad de Negocio: propuesta de estudio

Este es el mapa general del libro:

—————

DISCLAIMER.- Los enlaces a otras web o páginas de empresas, entidades o particulares, se incluyen exclusivamente para facilitar la búsqueda y comprensión de conceptos importantes del texto, sin que exista ninguna relación de dependencia o suponga una aprobación de dichas fuentes.