Evaluación de Riesgos en la

Continuidad de Negocio

EALDE Business School

Evaluación de Riesgos en la Continuidad de Negocio

Índice

1. Evaluación de Riesgos en la Continuidad de Negocio..................................... 3

Objetivos de la Clase ......................................................................................... 3

Conocimientos Previos....................................................................................... 3

Abstract .............................................................................................................. 3

Introducción ........................................................................................................ 4

2. Evaluación del Riesgo ..................................................................................... 5

Del Producto al Proceso a la Actividad y los Recursos ...................................... 6

Identificación de Riesgos Disruptivos ................................................................. 7

Identificación y Análisis mediante Ishikawa........................................................ 8

Valoración de Riesgos Disruptivos ................................................................... 11

3. Conceptos Básicos y Conclusiones ............................................................... 12

Página 2
EALDE Business School
Evaluación de Riesgos en la Continuidad de Negocio

1. Evaluación de Riesgos en la Continuidad de Negocio

Objetivos de la Clase

El propósito de esta clase es que el alumno conozca cómo enfrentarse al proceso

de evaluación de riesgos disruptivos. Se trata de una parte importante dentro del
sistema de continuidad de negocio, pero a menudo infravalorado debido a que está
a medio camino entre el análisis BIA y la selección de estrategias de continuidad
de negocio.

Combinado con la información obtenida del BIA será una parte importante para
seleccionar las estrategias de continuidad.

Conocimientos Previos

Para esta clase el alumno debe estar familiarizado con el riesgo, y concretamente
debe haber comprendido las clases anteriores de introducción a la continuidad de
negocio.

También es importante tener conocimientos de gestión de riesgos, y la propuesta

sobre la gestión orientada a procesos. Unidades de Apreciación de Riesgos.
Objetivos y Procesos.

Abstract

Gracias al análisis de impacto en el negocio conocemos qué procesos y actividades

son clave dentro de la empresa, para poder mantener un nivel predeterminado de
productos o servicios, y aquellos procesos cuya disrupción puede ocasionar
pérdidas exponenciales debido al paso del tiempo.

Página 3
EALDE Business School
Evaluación de Riesgos en la Continuidad de Negocio

La evaluación de riesgos consiste en identificar, analizar y valorar qué riesgos

pueden ocasionar estos eventos disruptivos, para poder darles un tratamiento
adecuado y minimizar la probabilidad de ocurrencia e impacto.

Introducción

Elegir una estrategia de continuidad de negocio requiere tomar decisiones en base

al impacto que estos riesgos puedan tener sobre la entrega de productos y
servicios.

Para ello, además del BIA, debemos ayudaros de una evaluación de los riesgos
que potencialmente pueden producir un evento disruptivo en los procesos que
hemos priorizado.

Página 4
EALDE Business School
Evaluación de Riesgos en la Continuidad de Negocio

2. Evaluación del Riesgo

El análisis de impacto en el negocio (BIA) nos ofrece la información sobre el impacto

que puede tener sobre la continuidad de negocio un evento disruptivo que suponga
la paralización de la entrega de productos o servicios.

Si hemos hecho un trabajo diligente sabremos con certeza:

- Qué productos y servicios debemos priorizar, el nivel que debemos

garantizar de producción y qué plazos de recuperación tendremos
- Los procesos de producción y entrega de esos productos y su priorización
- Las actividades que se realizan dentro de esos procesos
- Los recursos necesarios y sus interdependencias

Recordemos que un evento disruptivo es aquel que paraliza una actividad o

proceso, de manera que el objetivo de esta evaluación de riesgos es evaluar
aquellos que puedan causar una paralización de una actividad o proceso.

En clases anteriores ya se ha visto cómo afrontar la gestión de riesgos teniendo en

cuenta los procesos, y en esta clase veremos cómo aprovecharlo dentro de la
continuidad.

Actividad 1 Actividad 2 Actividad 3 Salidas

Entradas •Recurso1 •Recurso 1 •Recurso 1 (producto o
•Recurso 2 •Recurso 2 •Recurso 2 servicio)

Esquema de proceso simple, con entradas, salidas y actividades que se realizan

dentro del mismo usando recursos.

Página 5
EALDE Business School
Evaluación de Riesgos en la Continuidad de Negocio

Del Producto al Proceso a la Actividad y los Recursos

Recordamos la clase anterior donde se indicaba que, en la elaboración de mapas
de procesos, es frecuente el uso de fichas SIPOC para caracterizar el proceso y
conocer sus dependencias, las actividades que se realizan, las entradas, salidas y
los recursos.

Figura: Ficha de caracterización de procesos.

Página 6
EALDE Business School
Evaluación de Riesgos en la Continuidad de Negocio

Identificación de Riesgos Disruptivos

El uso que daremos a los mapas de procesos y las fichas SIPOC, con el listado de
actividades que se realizan dentro de los procesos, es identificar los eventos y
circunstancias que pueden suponer una paralización en cualquiera de nuestras
actividades.

Si la paralización es la consecuencia de un evento, lo que buscamos en este caso

son las causas que lo producen, para identificar potenciales riesgos.

Para ello se pueden usar diversas técnicas, pero a modo de ejemplo didáctico
podemos proponer una técnica de análisis causa - efecto denominada Método
Ishikawa como punto de partida de la identificación de riesgos.

Página 7
EALDE Business School
Evaluación de Riesgos en la Continuidad de Negocio

Identificación y Análisis mediante Ishikawa

El Método Ishikawa permite identificar y analizar eventos para un posterior análisis
y valoración.

Dependiendo del tipo de procesos y procedimientos hay técnicas más adecuadas,

pero quizás esta permite por su sencillez, que el alumno comprenda los beneficios
de este análisis.

Este método consiste en la elaboración de un diagrama con forma de espina de

pescado que nos permite, a partir de una consecuencia (paralización de una
actividad o paralización de un proceso), buscar las causas que lo pueden ocasionar.

Página 8
EALDE Business School
Evaluación de Riesgos en la Continuidad de Negocio

Figura: Esquema Ishikawa. Elaboración propia.

A la derecha se pone la paralización o disrupción priorizada a nivel de actividad o

proceso; a la izquierda una espina por cada gran grupo de recursos:

- eventos en el método o proceso

- eventos sobre la maquinaria y tecnología
- eventos sobre los recursos humanos
- eventos sobre el entorno

Con las fichas SIPOC, y de manera ordenada en función de cada grupo de

recursos, se procede a identificar qué eventos afectan a los grupos de recursos y
cuya manifestación se derivaría en una paralización.

Página 9
EALDE Business School
Evaluación de Riesgos en la Continuidad de Negocio

Con estos eventos podremos hacer un posterior análisis y valoración de riesgos, tal
y como se ha explicado en clases anteriores.

Recordemos que, de acuerdo con ISO 31000:2018, analizar un riesgo es

comprender su naturaleza y sus características. Una vez listados los eventos que
pueden paralizar una actividad debemos despejar la incertidumbre considerando
las fuentes de riesgo, las probabilidades de ocurrencia, qué eventos los pueden
desencadenar, el control que tenemos sobre estos riesgos, los controles que
tenemos y su eficacia.

El nivel de detalle de este análisis debe ser consecuente con el objetivo, teniendo
en cuenta que al tratarse de riesgos con un alto impacto vamos a trabajar
posteriormente en estrategias para minimizarlo.

Trabajaremos la probabilidad de que estos eventos se materialicen y qué

consecuencias van a tener, la complejidad del riesgo y sus interconexiones, la
eficacia de los controles, etc.… todo ello para hacer una valoración adecuada.

Página 10
EALDE Business School
Evaluación de Riesgos en la Continuidad de Negocio

Valoración de Riesgos Disruptivos

Una vez identificados y analizados los riesgos que pueden causar una paralización
de nuestra actividad debemos valorarlos para poder tomar buenas decisiones
posteriormente.

La norma ISO 22301 solo habla de evaluar, dejando fuera el tratamiento de los
riesgos identificados en esta fase. Retomaremos el tratamiento en la fase de
selección de estrategias de continuidad de negocio.

Una vez finalizada esta parte tendremos una valiosa información que servirá como
entrada a la selección de estrategias de continuidad.

Página 11
EALDE Business School
Evaluación de Riesgos en la Continuidad de Negocio

3. Conceptos Básicos y Conclusiones

La evaluación de riesgos es una parte de la gestión de la continuidad de negocio

que nos permite evaluar los riesgos con potencial disruptivo y que pueden poner en
riesgo la continuidad de la empresa.

Para poder evaluar los riesgos es necesario haber realizado un análisis de impacto
en el negocio que no haya priorizado productos, procesos y actividades.

Podremos identificar potenciales riesgos disruptivos para posteriormente

comprender su naturaleza, y tomar las mejores decisiones informadas enfocadas a
seleccionar las estrategias de continuidad más adecuadas.

Página 12
EALDE Business School