La resiliencia y sus vínculos con la gestión de riesgos y la continuidad de negocio es otro de los aspectos en los que pone el foco el informe Buen Gobierno de las organizaciones elaborado por UNE. Este artículo repasa las principales referencias para abordarlos a través de las mejores prácticas establecidas en las normas UNE.
La Norma UNE-ISO 37000:2022 señala la “gobernanza del riesgo” como principio de gobernanza facilitador que ayudará a los órganos de gobierno de una organización a cumplir con sus funciones de forma eficaz y eficiente mejorando la confianza, capacidad de respuesta y transparencia, entre otros aspectos. Y posibilitando, además, el cumplimiento de su propósito, generando valor para la organización y todas sus partes interesadas.
Estos principios, ampliamente desarrollados en la norma junto con los aspectos clave de sus fundamentos y prácticas, tienen el objetivo de orientar a los órganos de gobierno de las organizaciones sobre cómo cumplir con sus responsabilidades. En particular, en cuanto a la gobernanza del riesgo, la norma ofrece directrices para considerar el efecto de la incertidumbre sobre el propósito organizacional y los resultados estratégicos asociados.
La incertidumbre es inherente al contexto de una organización y también a la organización en sí misma. El efecto de esta incertidumbre en la consecución de su propósito, en la generación de valor y resultados hacen que la gobernanza del riesgo sea crucial en todas las organizaciones que deben establecer criterios y límites, definiendo un “apetito de riesgo” y en general gestionar sus riesgos (y oportunidades) con una visión holística que considere todos los riegos y todos los niveles de la organización.
El último informe de BCI (Business Continuity Institute) revela los temas clave que han dominado el panorama de riesgos de las organizaciones durante 2021 y que se espera prevalezcan en esta situación destacada en los próximos años. Este informe proporciona anualmente a las organizaciones información valiosa sobre riesgos y amenazas globales actuales y emergentes. En su última edición recoge como aspectos destacados que:
Además de visualizar la amplia naturaleza de los riesgos a los que se enfrenta una organización, la encuesta revela un significativo grado de avance en el uso de buenas prácticas para minimizar los riesgos. A este respecto, hay que señalar que el catálogo de UNE ofrece documentos normativos con directrices y prácticas muy asentadas y ampliamente usadas en las organizaciones que llevan a cabo la gestión del riesgo por la naturaleza de su actividad; la reglamentación que les aplica; el enfoque preventivo de los sistemas de gestión que tienen implantados, o los beneficios de tratar la gestión de riesgos en toda la organización desde un enfoque formal.
Fuente UNE-ISO 31000
Los órganos de normalización de UNE vinculados a estas áreas han considerado vital desde su constitución en 2013 poner a disposición de todos los interesados como normas UNE los documentos normativos que han sido acordados en ISO por parte de los expertos de más de 60 países, como terminología de referencia y mejores prácticas para la gestión del riesgo.
Estos trabajos han contado con la participación de expertos españoles en la redacción de las normas y participación de delegación nacional en las reuniones plenarias del ISO/TC 262 Risk management. Además, UNE ha asumido directamente las funciones de gestión del grupo de traducción al español (ISO/TC 262/SSTF-Spanish Translation Task Force) con todos los países de habla hispana miembros del ISO/TC 292 para acordar la traducción consensuada al español de la Norma ISO 31000:2018 Risk management – Principles and Guidelines.
La Norma UNE-ISO 31000:2018 ayuda a las organizaciones a desarrollar una estrategia de gestión de riesgos para identificar y mitigar eficazmente los riesgos, mejorando así la probabilidad de alcanzar sus objetivos y aumentando la protección de sus activos. Su objetivo general es desarrollar una cultura de gestión de riesgos en la que los empleados y las partes interesadas sean conscientes de la importancia de vigilar y gestionar los riesgos.
El riesgo es una parte necesaria de los negocios. En un mundo donde se producen importantes cambios de contexto externo e interno, la identificación y mitigación de los riesgos es un reto para cualquier organización. La norma se centra en la creación y protección de valor como el motor clave de la gestión de riesgos y presenta otros principios relacionados, como la mejora continua, la inclusión de las partes interesadas, la adaptación a la organización y la consideración de los factores humanos y culturales.
Para complementar esta norma y la evaluación del riesgo, la Norma EN-IEC 31010:2019 y su adopción nacional como norma UNE proporciona una guía para la selección y aplicación de técnicas para entender mejor el riesgo y ayudar a comprender la incertidumbre y sus efectos. Las técnicas que se describen en esta norma, y que en su mayoría se originan en el “dominio técnico”, pueden usarse en un amplio rango de escenarios y situaciones fuera de su aplicación original y adaptarse, combinarse y aplicarse según las necesidades del marco de riesgo de cada organización.
Además de estas dos referencias principales paraguas para la gestión de riesgos, destaca por la amplia implantación que los sistemas de gestión tienen en el ámbito empresarial la UNE-IWA 31:2022 Gestión del riesgo. Directrices sobre el uso de la norma ISO 31000 en los sistemas gestión, que proporciona pautas y explica cómo los capítulos de la Norma UNE-ISO 31000 se relacionan con la estructura de alto nivel de las normas de sistemas de gestión con el objeto de integrar la gestión del riesgo para proteger y crear valor en las organizaciones, apoyando el logro de objetivos y haciendo a la organización más resiliente contra efectos adversos.
Fuente: UNE-EN ISO 22313
El contexto de actividad para las organizaciones en un mundo cada vez más interconectado, volátil, incierto y complejo al que acompaña una creciente ambigüedad en la información junto con sucesos disruptivos, desastres globales y el aumento de la exposición a peligros y amenazas imprevistos con consecuencias inciertas a los que debe hacerse frente para garantizar el propósito y actividad de las organizaciones, motiva que estén cada vez más preocupadas por analizar y comprender su contexto, el impacto de las interrupciones y los desastres que le puedan afectar.
Las organizaciones deben estar preparadas y reconocer en un ejercicio continuo estos contextos cambiantes que son una señal temprana de vulnerabilidades y la fuente de riesgos emergentes. Estos riesgos se caracterizan por la novedad, ser de difícil identificación y generalmente disponer de información verificable muy limitada para aplicar el conocimiento previo en la toma de decisiones estratégicas y operacionales sobre ellos, además, pueden potencialmente desarrollarse con consecuencias graves para la organización y sus objetivos.
La resiliencia organizacional se construye incrementando la “habilidad” para absorber y adaptase a los cambios en el contexto, de forma que permita a una organización sobrevivir y prosperar gestionando los riesgos impredecibles, volátiles y que tienen el potencial de crear amenazas “existenciales” que pueden afectar a los objetivos estratégicos; así como producir consecuencias inaceptables y difícilmente reversibles que pueden poner en peligro la viabilidad de una organización a largo plazo.
Las organizaciones que tengan la gestión de riesgos y continuidad de negocio integradas en su cultura y gobernanza aumentarán su resiliencia asegurándose que ambos aspectos se tienen en cuenta en la toma de decisiones en todos los niveles
Para todo ello, el catálogo de UNE incluye normas con las mejores prácticas sobre resiliencia y continuidad de negocio que destacan como claras herramientas empresariales para identificar y gestionar las amenazas actuales y futuras. Todo ello con un enfoque preventivo proactivo que permita aumentar el nivel de preparación para continuar funcionando durante y después de una disrupción; cuantificar y minimizar la probabilidad y el impacto de los incidentes; mantener las funciones críticas durante las disrupciones y minimizar el tiempo de inactividad, así como mejorar el tiempo de respuesta y organización de medios para la recuperación funcional.
La Norma UNE-EN ISO 22301:2020 especifica los requisitos para que un sistema de gestión de la continuidad de negocio proteja, reduzca la probabilidad y garantice la recuperación tras incidentes disruptivos para organizaciones de cualquier tipo, tamaño y actividad. Sigue la estructura de alto nivel definida para todas las normas de sistemas de gestión de ISO, lo que facilita su integración en organizaciones que tengan ya implantada la Norma UNE-ISO 9001:2015 o la Norma UNE-ISO/IEC 27001:2017.
La implantación de un sistema de gestión de la continuidad de negocio puede además de proteger los activos de la organización reforzar el prestigio y la credibilidad y, por tanto, la confianza de sus partes interesadas. Gestionar la continuidad para garantizar un nivel de actividad y funcionamiento durante una disrupción contribuye a crear una ventaja competitiva, reduce los costes derivados y mejora la resiliencia de la organización.
Se complementa con las Normas UNE-EN ISO 22313:2020 con directrices adicionales para su uso y UNE-ISO/TS 22317:2020, que ayuda a las organizaciones a definir su propio proceso de evaluación de impacto, adecuado a sus necesidades y que permita analizar las consecuencias de un incidente disruptivo.
Las Normas UNE-ISO 31000 y UNE-EN IEC 31010 complementan a la UNE-EN ISO 37000,abordando formalmente la gobernanza del riesgo con metodologías y técnicas acordadas internacionalmente como mejores prácticas
El cuarto Informe de Progreso del Pacto Mundial de Naciones Unidas, publicado por UNE junto con AENOR y CEIS, las otras dos entidades que conforman el Grupo UNE, hace referencia a los avances y al cumplimiento de los Diez Principios del Pacto Mundial en materia de medio ambiente, derechos humanos, normas laborales y lucha contra la corrupción.
El Informe de Progreso recoge la actividad realizada durante 2019 y 2020, años en los que la entidad ha experimentado un notable progreso en materia de buen gobierno corporativo, basado en un sólido modelo de cumplimiento y en las mejores prácticas. En esta línea, UNE se convirtió en la primera Asociación en adherirse al Código de Buenas Prácticas Tributarias de la Agencia Estatal de la Administración Tributaria.
Bajo la denominación de “Encuentros UNE”, en 2020 se han llevado a cabo numerosas jornadas de diseminación de los avances de la normalización en los asuntos clave para la sociedad como la resiliencia, la continuidad de negocio, la gestión del riesgo, la transformación digital o la transición ecológica, entre otros temas de interés para todos los públicos.
Seguridad y Resiliencia. Vocabulario. (ISO 22300:2018)
Seguridad y resiliencia. Resiliencia organizacional. Principios y atributos
Las normas de resiliencia y continuidad de negocio contribuyen al cumplimiento de los siguientes ODS de la ONU: