DTR007 Introducción al Riesgo, Resiliencia y BCM

Downloadable PDF Resources

  1. English/Spanish
  2. English/Russian

This module will take you through Introducción a la Gestión de Riesgo, Resiliencia y Continuidad del Negocio.

  1. La Introducción
  2. La Naturaleza Cambiante de la Gestión de Riesgos Moderna – Complejidad
  3. Las Tres Fases del Ciclo de Gestión de Riesgos
  4. Gestión Centralizada
  5. Gestión de Incidentes de Emergencia
  6. Gestión de la Continuidad del Negocio y Gestión de Crisis
  7. Gestión Corporativa de Riesgos y Toma de Decisiones
  8. Planificación, Entrenamiento y Ejercicio de los niveles Oro, Plata y Bronce
  9. Sistema de Gestión de Riesgos basado en la Norma ISO 31000
  10. Gestión de la Resiliencia Organizacional

 

La información contenida en este documento hace parte del programa Deltar
‘Nivel 4 Curso de Gestión Avanzada de Riesgos y Crisis’

La Introducción

La gestión moderna de los Riesgos ha cambiado significativamente durante los últimos veinte años y podemos decir que la Gestión de Riesgos del Siglo 21 es muy diferente a la de la generación precedente que puede verse como un sujeto solicitando sus propias habilidades especializadas y el estudio.

Muchos gerentes de Seguridad y Riesgo han “aprendido su oficio” haciendo el trabajo y aunque hoy existe una alta y creciente oferta de cursos especializados, calificaciones y títulos académicos avanzados en Gestión de Riesgos y Gestión de Crisis para la formación profesional, la verdad es que muchas personas encargadas con roles complejos en las organizaciones, incluyendo Gestión de Riesgos, Gestión de la Continuidad del Negocio, resiliencia y gestión de crisis, aún no cuentan con las habilidades, entrenamiento o experiencia para que realmente entiendan como deben realizarse estas funciones.

El propósito de este curso, es otorgar a los participantes una visión de las principales funciones de la gestión moderna de riesgos y de crisis incluyendo planificación, desarrollo de equipos, gestión de las capacidades de desarrollo y respuesta. Esto les permitirá regresar a sus organizaciones con el conocimiento y las habilidades que les permitirá liderar la gestión de Riesgos y la gestión de crisis en todos los aspectos y tener un claro entendimiento de lo que se requiere para planear para responder a un amplio rango de eventos que potencialmente interrumpan las operaciones del negocio.

Introduction

Modern risk management has changed significantly over the last twenty years, and it can be said that 21st risk management is so different from previous generations that it can be seen as a subject demanding its own specialist skills and study.

Many security and risk managers have ‘learned their trade’ by doing the job, and although there is now an increasing range of professional courses, qualifications and even advanced academic degrees in risk and crisis management, the simple truth is that many people who are tasked with increasingly complex roles in organisations, including risk management, business continuity management , resilience, and crisis management, have not been give the skills, training or experience to truly understand how such roles should be fulfilled.

The purpose of this course is to give participants an insight to all of the major functions of a modern risk and crisis manager, including planning, team development, capability development and response management. It will enable them to return to their organisations with the knowledge and skills that will allow them to take leadership in all aspects of risk and crisis management, and to have a clear understanding of what is required in order to plan for and respond to the widest range of potentially disruptive events.

La Naturaleza Cambiante de la Gestión de Riesgos Moderna – Complejidad

Si hay un factor central en el estudio de la gestión de riesgos moderna, es su complejidad. El mundo en sí mismo es más complejo; la naturaleza de los problemas y los retos que a diario enfrentamos, es más compleja y la naturaleza de las soluciones que se requiere implementar, también es más compleja.

Estos son aspectos críticos que la gestión de riesgos moderna necesita tener en cuenta y el objetivo general de este curso es proporcionar a los participantes todas las herramientas, habilidades y capacidades que necesitan a fin de que puedan tomar el liderazgo de todos los aspectos de la seguridad y gestión de riesgos en su propia organización, ofreciendo el mismo nivel de profesionalismo se podría de esperar de los altos directivos en cualquier otra división

The Changing Nature of Modern Risk Management – Complexity

If there is one factor that is central to the study of modern risk and crisis management, it is complexity. The world itself is more complex, the nature of the problems and challenges we are facing are more complex, and the nature of the solutions that we are required to deliver are more complex.

These are critical issues that the modern risk manager needs to be aware of, and it is the overarching objective of this course to provide participants with all of the tools, skills and capabilities they need in order that they can take leadership in their own organisation for all aspects of security and risk management, offering the same level of professionalism as would be expected from the senior managers in any other division.

Las Tres Fases del Ciclo de Gestión de Riesgos

La Gestión de Riesgos clásica se basa en un proceso de tres fases bien reconocido denominado Evaluación de Riesgos, Control de Riesgos y Planificación para la Contingencia.

Cada una de estas secciones tiene sus propios modelos y plantillas, pero están diseñadas para entregar un programa racional e integrado de Gestión de Riesgos que le permitirá a los Gerentes de Riesgo, a la organización como un todo y a cada departamento, identificar problemas potenciales para iniciar protocolos y procesos que minimicen la ocurrencia de esos eventos de riesgo y le proporcionará a la organización un amplio rango de opciones de respuesta que puedan utilizar en el evento de que alguno de esos eventos pudiera ocurrir.

The Three-Stage Risk Management Cycle

Classical Risk management is based on a well-recognised three-stage management process, namely Risk Assessment, Risk Control and Contingency Planning.

Each of these sections has its own models and templates, but are designed to deliver an integrated, rational risk management programme that will allow the risk managers, the organisation as a whole and the individual departments within it to identify potential problems, to initiate protocols and processes that will minimise the risk of those events happening, and then will give the organisation the widest range of response option that can be used in the event that such an event was to occur.

Gestión Centralizada

El reto y la presión asociados con la gestión de riesgos, significa que se debe prestar especial atención a la estructura de gestión en sí. Como ejemplo: Qué nivel de autoridad se da a equipos de bajo nivel o a aquellos que trabajan más allá y qué nivel de autoridad se mantiene para la estructura central de gestión? Se debe preguntar entonces, si éstas son adecuadas tanto para las actividades normales de funcionamiento como para la gestión de emergencias o si existe la necesidad de tener la capacidad de adaptar estas estructuras de gestión en función de diferentes circunstancias.

Cada evento requerirá una única respuesta y la habilidad para crear una estructura de gestión para responder de manera adecuada a la escala, intensidad, duración e impacto de cada evento es uno de los principales retos para todos los gerentes de respuesta a la emergencia.

Centralized Management

The challenges and pressure associated with risk management means that special thought must be given to the management structure itself. As an example, what level of authority is given to lower-level teams, or those that are working farther away, and what level of authority is maintained by the central management structure? It must then be asked whether these are appropriate to both normal operating activities and to emergency management, or whether there is a need to have the ability to adapt those management structures depending on differing circumstances.

Each event will require a unique response, and the ability to create a response management framework that is most appropriate to the scale, intensity, duration and impact of each event is one of the fundamental challenges for all emergency response managers.

Gestión de Incidencias de Emergencia

Una vez que ocurre un incidente, es necesario contar en sitio con protocolos automáticos de respuesta, que puedan activarse para gestionar la respuesta a la fase inicial del incidente, mientras se puede recopilar información, tomar decisiones y acordar la formulación de planes de respuesta.

El desarrollo de estos planes es una función crítica de la gestión de seguridad y de la gestión de riesgos y será un aspecto importante en la decisión efectiva de la organización para la respuesta al incidente, si ocurriese y la decisión en qué tan efectiva es la organización en la protección de sus propias operaciones, funciones y capacidades.

Sistema de Comando de Incidentes: Versiones nueva y antigua

La tecnología ha cambiado, pero los objetivos siguen siendo los mismos:

  • Recopilar información
  • Crea un plan
  • Comunicarlo a todos los equipos en terreno

Emergency Incident Management

Once an incident does occur, there is the need to have automatic response protocols in place that can be triggered to manage the response to the initial stage of the incident, whilst information can be gathered, decisions made, plans formulated and responses agreed.

The development of such plans is a critical function of security and risk management, and will be a significant issue in deciding how effective an organisation is in responding to such an incident if it were to occur, and in deciding how effective the organisation would be in safeguarding its own operations, functions and capabilities.

Old and New Versions of Incident Command Systems

The technology has changed, but the objective remains the same:

  • Gather information
  • Create a plan
  • Communicate with teams on the ground

Gestión de Incidentes de Emergencia

La Gestión de la Continuidad del Negocio (BCM) abarca el desarrollo de planes de continuidad también conocidos como Planes de Continuidad del Negocio (BCP) y la gestión de la respuesta una vez ocurra un evento no deseado. El propósito del BCP y del BCM es asegurar que la organización cuenta con la capacidad de responder ante un amplio rango de posibles eventos de manera robusta y resiliente, a fin de que pueda mantener su funcionalidad y en el peor de los casos, la continuidad de su existencia.

Dado el alto nivel de dependencia de factores externos que cualquier organización tiene actualmente, la habilidad para desarrollar planes para la gestión efectiva de la Continuidad del negocio, también es crítica especialmente en la identificación de puntos críticos potenciales de falla, que puedan gestionarse proactivamente antes de la ocurrencia de un evento desastroso. Desde este punto de vista, el BCP es una parte fundamental en el ciclo de fortalecimiento organizacional más allá de un conjunto de planes que se utilizan una vez haya ocurrido el evento.

Uno de los aspectos centrales de la Gestión de la Continuidad del Negocio, es el que se relaciona con la comunicación de riesgos. Todas las personas tienen una actitud diferente ante los riesgos. Algunos son más aversos al riesgo de manera que priorizan sobre lo que es conocido y seguro y no sobre nuevas oportunidades que se presenten en términos de beneficio de riesgos potenciales y otros pueden ver que vale la pena ver las mismas oportunidades de beneficios potenciales y creen que los riesgos en sí pueden gestionarse de manera efectiva. La habilidad para discutir este tema de manera que le permita a todos entender los aspectos involucrados y acordar una posición común, es la base de la comunicación de riesgos; ésto permite considerar diferentes estrategias para gestionarlos, que luego permitirá balancear la gestión del riesgo de manera adecuada pero sin eliminar futuras oportunidades que de alguna manera pueden ser utilizados por competidores potenciales.

Business Continuity Management

Business Continuity Management (BCM) covers both the development of BCM plans, also called Business Continuity Planning (BCP), and the management of the response once an unwanted event has occurred. The purpose of both BCP and BCM is to ensure that the organisation has the capability to respond to the widest range of possible events in the most robust and resilient manner, in order to maintain its functionality, and in the worst case, its continued existence.

Given the high level of dependency that any organisation has in the current world on outside factors, the ability to develop effective business continuity management plans is also critical in identifying potential critical failure points that can then be managed pro-actively before a potentially disastrous event occurs. From this perspective, BCP is part of the organisational strengthening cycle rather than just a set of plans that are used once an event has occurred.

One of the issues at the centre of all business continuity management is the issue of risk communication. Different people have a different attitude to risk – some are more risk averse, in that the prioritise the known and safe over possible new opportunities that are unknown and made be considered potentially risky, and others may see the same opportunities as being worthwhile in terms of the potential benefit, and believe that the risks themselves can be managed in an effective way.

The ability to discuss such matters in a way that allows everyone to understand the issues involved, and come to an agreed position, is at the basis of risk communication, and allows different risk management strategies to be considered that will then allow for the appropriate balance between managing the risk but not cutting off future opportunities that would otherwise be utilised by potential competitors.

Gestión de la Continuidad del Negocio y Gestión de Crisis

La gestión corporativa del riesgo involucra un rango amplio de funciones que incluyen la Gestión de Riesgos, la Gestión de Incidentes,la Gestión de Emergencias, la Gestión de la Continuidad del Negocio y la Gestión de Crisis. Para contar con una gestión efectiva de riesgos y de la continuidad del negocio, es necesario integrar todas las funciones del negocio en una estructura sencilla que permita el conocimiento y las capacidades que tiene cada una de manera individual para contribuir a una mejor seguridad de la organización como un todo.

Business Continuity and Crisis Management

Corporate risk management involves a wide range of different functions, including Risk Management, Incident Management, Emergency Management, Business Continuity and Crisis Management. In order to have an effective risk and business continuity management capability all of those functions need to be integrated into a single framework that allows the knowledge and capabilities held by each individual unit to contribute to the greater safety and security of the organisation as a whole

Gestión Corporativa de Riesgos y Toma de Decisiones

Por muy bien diseñado que esté el programa de gestión de riesgos, cuando ocurre una situación real, a menudo no se cuenta con la capacidad suficiente para tomar decisiones efectivas dados el estrés y la presión asociados con un incidente que ocurre en tiempo real, con las consecuencias negativas potenciales de cualquier decisión que se pueda tomar. De la misma forma como un individuo puede pasmarse cuando se pone bajo presión, eso mismo puede sucederle a la organización. Estos son aspectos que deben considerarse como parte del proceso de planeación de la gestión de riesgos para mejorar la organización y que los tomadores de decisiones entiendan estos retos. Entonces quienes estén mejor preparados tomarán esas decisiones cuando se requiera.

Corporate Risk Management and Decision- Making

However well-designed the corporate risk management programme might be, when an actual situation occurs, there is often an inability to make effective decisions give the stresses and pressures associated with an actual incident occurring in real time, with the potential negative consequences of any decision that might be taken. Just as an individual can freeze when put under pressure, so can an organisation. These are issues that must be considered as part of the risk management planning process, and the better that an organisation, and the critical decision-makers understand these challenges, then the better prepared they will be to take those decisions when required.

Planificación, Entrenamiento y Ejercicio de los niveles Oro, Plata y Bronce

La base del desarrollo de cualquier habilidad es una práctica estructurada, que pueda probarse a niveles cada vez más difíciles y complejos. Esto no es diferente en la gestión de la seguridad y la gestión de riesgos y uno de los componentes críticos del desarrollo de procesos de gestión de la continuidad del negocio es estructurarlo y ejercitarlo, de manera que asegure que cada unidad de manera individual entienda sus roles y responsabilidades y cuente con las habilidades y capacidades necesarias para realizar esas funciones, pero que asegure que cada unidad cuenta con el entendimiento de cómo integrarlas con otras unidades a su alrededor.

La gestión de la continuidad del negocio y el programa efectivo de entrenamiento, siempre serán temas de integración y respuesta para un equipo multidisciplinario. Lo más efectivo será la entrega del servicio en las condiciones actuales cuando necesiten enfrentarse a la situación actual.

El entrenamiento en sí puede realizarse a partir de ejercicios sencillos diseñados para desarrollar y luego probar habilidades que luego se volverán más complejas, por lo que con el transcurso del tiempo, todos los niveles de la estructura de toma de decisiones incluidos Oro (Estratégico), Plata (Táctico) y Bronce (Operacional) entenderán todos los aspectos relacionados con la compleja gestión de la operación y contarán con las habilidades y capacidades para trabajar juntos de manera efectiva como un equipo que responde de manera unificada.

Planning, Training and Exercising of Gold, Silver and Bronze Levels

The basis of any skill development is structured practice, which can then be tested at increasingly challenging and complex levels. It is no different in risk and security management, and one of the critical parts of the business continuity management development process is structured training and exercising that will ensure that each individual unit understands their roles and responsibilities, and has the necessary skills and capabilities to deliver those functions, but which will ensure that they also have an understanding of how they integrate with other units around them.

Business continuity management is always an issue of multi-team response and integration, and the more effective the training programme, the more effective will be the actual service delivery once they are needed in the face of an actual situation.

The training itself can be developed from simple, exercises designed to develop and then test skills, but which will then become more complex, so that eventually every level of the decision-making structure including Gold (Strategic), Silver (Tactical) and Bronze (Operational), will understand all of the issues associated with complex operation management, and will have the skills and capabilities to work together effectively as a single unified response team.

Sistema de Gestión de Riesgos basado en la Norma ISO 31000

ISO 31000 es aceptado como la norma internacional para la gestión de riesgos y sus actividades relacionadas. Además de ser un programa de gestión detallado, ISO 31000 identifica las áreas críticas que requieren ser atendidas y ofrece una lista de verificación contra la que cualquier organización puede medir sus prácticas actuales de gestión de riesgos y también puede utilizarse como modelo para desarrollar programas futuros de gestión de riesgos

Risk Management System based on the ISO 31000 Standard

ISO 31000 is accepted as the international standard for risk management and associated activities. Rather than being a detailed management programme I itself, ISO 31000 identifies critical areas that need to be addressed, and offers a checklist against which any organisation can measure its own current risk management practices, and can be used as a template for future risk management development programmes.

Gestión de la Resiliencia Organizacional

A pesar de que los programas de gestión organizacional de riesgos estén bien desarrollados, el mundo está lleno de ejemplos en los que las capacidades para gestionar los riesgos no fueron lo suficientemente fuertes para sobrevivir ante el impacto de un incidente real de emergencia. El último aspecto en la gestión de riesgos y en la gestión de la continuidad del negocio es asegurar que la organización en sí y todos los aspectos de su programa BCM, sean lo suficientemente robustos para operar en un amplio rango de situaciones posibles.

Organisational Resilience Management

However well developed an organisation’s risk management programmes are, the world is full of examples of situations where the risk management capabilities were simply not strong enough to survive the shock of an actual emergency incident. The final issue in risk management and business continuity management is ensuring that the organisation itself, and all aspects of its BCM programme, is robust enough to operate in the widest range of potential situations.