Cómo ayudan los estándares ISO a las empresas en tiempos de crisis

La gestión de las organizaciones está en un momento de evolución en el que nuevos campos se suman a la consolidada gestión de la calidad o gestión ambiental. Accionistas e inversores imponen nuevos enfoques como la gestión de riesgos, la continuidad del negocio, los planes de contingencia o la resiliencia organizacional.

En este escenario, la Organización Internacional de Normalización (ISO) ha sido visionaria y desde hace unos años ha puesto a disposición de las organizaciones estándares que sirven de guía para abordar estos enfoques, aplicables a todo tipo de organizaciones. Disponer de instrumentos de gestión es más importante aún en contextos de crisis y cambiantes como el actual, en los que la confianza es fundamental para superar la situación.

La gestión de riesgos, la continuidad del negocio y la resiliencia organizacional y social son los tres pilares en los que se asienta la evolución de las prácticas de gestión empresarial para afrontar la nueva normalidad, desde un punto de vista de gestión multidisciplinar, pudiéndose convertir en elementos decisorios para contratos privados cliente-proveedor o incluso en contratación pública.

La filosofía de gestión de riesgos recogida en la Norma UNE-ISO 31000 se consolida como el pilar fundamental de la resiliencia organizacional, puesto que asegura la supervivencia, la sostenibilidad, la continuidad, la estabilidad y confianza a inversores y otras partes interesadas, desde un enfoque holístico del riesgo apartado de los silos verticales de actividad.

En este momento no se trata de un referencial certificable, si bien es una de las consideraciones que se abordará en su próxima edición. Respecto a las novedades en cuanto a publicaciones en este ámbito, cabe destacar el ISO IWA 31 Directrices sobre el uso de ISO 31000 en sistemas de gestión para facilitar la incorporación de la gestión del riesgo en cualquier sistema de gestión empresarial, que se publicará en el mes de junio, junto a la ISO 31022 para la gestión de los riesgos legales.

La crisis sanitaria actual ha sacudido como un auténtico bumerán los procedimientos de trabajo de las organizaciones y ha puesto a prueba sus previsiones acerca de los riesgos que acechan su actividad y las capacidades de sus servicios de TI para responder.

Esta nueva situación ha sumido en incierta la consecución de los objetivos corporativos y la propia continuidad y sostenibilidad de las operaciones, impactando en el desempeño de la TI como sustento de los procesos de negocio, y provocando una acelerada revisión de los principios y del modelo de gobierno corporativo de TI que establece la Norma ISO/IEC 38500:2015 sobre gobierno de TI.

Pero además de haber servido como “prueba del algodón” del nivel de madurez de las capacidades de gobierno corporativo de TI, solo aquellas organizaciones que contaban con proveedores, internos o externos, de servicios de TI que, con anterioridad al inicio de la crisis desplegaban los procesos propios de un Sistema de Gestión de Servicios, han mostrado la elasticidad y resiliencia necesarias para adaptarse al nuevo contexto.

La Norma UNE- ISO/IEC 20000-1:2018 Gestión de Servicios. Requisitos del Sistema de Gestión de Servicios es el referente para la adaptación de manera flexible a las nuevas circunstancias y de esta forma continuar garantizando las operaciones de TI de sus clientes, ya sean estos internos o externos.

Si la gestión del riesgo funciona bien con los fenómenos conocidos y para los eventos no extremos, la gestión de la continuidad del negocio está basada en impactos y escalas de tiempos, no en probabilidades, el manejo de los desconocidos (unknown unknowns) es básico en el proceso de gestión de la continuidad en el negocio.

Actualmente, la gestión de la continuidad del negocio se puede alinear con la gestión del riesgo gracias a la estandarización a través de las Normas UNE-ISO 31000 y UNE-ISO 22301.

La UNE-ISO 22301 proporciona a las organizaciones un marco para que puedan continuar trabajando durante las circunstancias más difíciles e inesperadas, siempre bajo el principio de protección de sus empleados y manteniendo su reputación, pudiendo, además, demostrar ante terceros sus buenas prácticas al ser una norma certificable.

Varias de las normas de la familia ISO 22300, dedican un espacio a tratar el análisis de impacto a lo largo del tiempo de una disrupción en la organización (BIA), por su relevancia para a la implantación de un sistema de continuidad, cuya definición se incluye en la UNE-ISO 22301 como el proceso de análisis de impacto. Actualmente está en proceso de elaboración el estándar ISO/TS 22317 que recopila las directrices para la elaboración del BIA.

La Norma UNE-ISO 22316 proporciona a las organizaciones directrices para reforzar su resiliencia con objeto de poder anticiparse y hacer frente de manera eficaz a los riesgos y vulnerabilidades, convirtiéndola así en uno de sus objetivos estratégicos, no siendo específica de ninguna industria ni sector. Asimismo, esta norma no promueve una uniformidad de planteamiento en todas las organizaciones, ya que los objetivos se adaptan para ajustarse a las necesidades concretas de una organización.

Uno de los grandes valores de la Norma UNE-ISO 22316 se basa en el hecho que propone un enfoque estructurado para la capacidad de recuperación.

Los comportamientos de todos los miembros de una organización tienen que contribuir a la resiliencia organizacional; esto también significa que la fuerza de trabajo debe consistir en la resistencia del personal en sí, aumentando la resiliencia de abajo hacia arriba. La diversidad de habilidades es muy importante ya que las nuevas amenazas, desafíos y oportunidades pueden proceder de diferentes áreas dentro de la organización o de su entorno.

Precisamente a este marco de actuaciones se orienta el estándar UNE-ISO/TS 22330, que facilita directrices para planificar y desarrollar políticas, estrategias y procedimientos dirigidos a preparar y gestionar a las personas afectadas por un incidente.

La Asociación Española de Normalización, UNE, desarrolla un ciclo de Encuentros UNE para compartir el conocimiento de los estándares de gestión empresarial para afrontar la crisis. UNE es el miembro español de la Organización Internacional de Normalización (ISO) y de la Comisión Electrotécnica Inter-nacional (IEC).

La gestión del riesgo, la continuidad del negocio y la resiliencia resultan fundamentales para que una organización prospere, quizás ahora más que nunca en estos momentos en los que el mundo se enfrenta a nuevos retos que amenazan su supervivencia. Precisamente por su importancia, ISO ha dado acceso público gratuito a estas normas, entre otras, en respuesta al COVID-19.

Una organización necesita emplear técnicas de gestión del riesgo para identificar las potenciales amenazas y sus impactos. El riesgo está presente en todas las decisiones, pero algunas de ellas necesitan un enfoque estructural y cuanto más complejo sea el problema, más se requiere de una política, un marco y un proceso que sean adaptativos e integrales. Estas consideraciones son parte central de las directrices claras y concisas de la Norma ISO 31000 Gestión del riesgo para ayudar a las organizaciones a mejorar su planificación y tomar mejores decisiones.

Naturalmente, una organización también debería tener implantadas buenas prácticas de gestión de la continuidad del negocio de modo que cuando surjan problemas, pueda recuperarse lo más rápido posible. La Norma ISO 22301 Sistemas de gestión de la continuidad del negocio aúna las mejores prácticas internacionales para ayudar a las organizaciones a responder a las disrupciones y recuperarse de forma eficaz.

Para prosperar a largo plazo, una organización debería aspirar a ser más resiliente. Una organización resiliente es aquella que se adaptará a ese cambio y crecerá a partir de él. Normas como la ISO 22316 Resiliencia organizacional pueden ayudar a ofrecer soluciones innovadoras.

Todos estos elementos son fundamentales para ayudar a una organización a afrontar los entornos difíciles con los que le va a tocar lidiar y las normas ISO pueden ayudar a las organizaciones a garantizar su viabilidad y éxito a largo plazo.

La Estrategia España para la recuperación de la crisis del COVID-19, publicada por la Confederación Española de Organizaciones Empresariales (CEOE) el pasado 4 de mayo, se basa en un enfoque doble. Por un lado defensivo, focalizado en la mitigación de riesgos; y por otro proactivo, con el que identificar y desarrollar palancas para salir de la crisis. De igual modo, poniendo la vista en el medio plazo, fija como objetivo lograr que el tejido empresarial español sea más competitivo, lo cual se conseguirá desarrollando un modelo de relación más digital y gestionando mejor los riesgos futuros para afrontar de la manera más adecuada la siguiente crisis.

Con este marco de actuación, la Asociación Española de Normalización, UNE, ha organizado un ambicioso ciclo de Encuentros on line durante los meses de mayo y junio para compartir el conocimiento y la contribución de los estándares internacionales a la nueva gestión empresarial para afrontar esta crisis. Las normas ISO ofrecen las prácticas de referencia a nivel global en materia de elementos preventivos, como la gestión de riesgos y de elementos reactivos, como la continuidad de negocio o la resiliencia organizacional, así como en materia de palancas como la digitalización, y la ciberseguridad correspondiente.

Contar con herramientas de previsión y reacción cobra mayor relevancia en escenarios de crisis y en entornos cambiantes como el actual, en el que la confianza se sitúa como un valor clave en la evolución positiva del entorno económico.

UNE, como miembro español de ISO, dispone de la mayoría de estas normas en español, y confío en que con estas actuaciones serán más conocidas e implementadas por un mayor número de organizaciones.