Entérese de las Últimas Noticias

21 May, 2018

Actualidad - últimas noticias

LA EVALUACION DEL GAFI SOBRE EL DESEMPEÑO DE COLOMBIA EN MATERIA DE LAVADO DE ACTIVOS Y FINANCIACION DEL TERRORISMO  

22 Sep, 2017

Actualidad

Artículo de RICS sobre segmentación que se va a utilizar en el taller del congreso en Cartagena.  

22 Sep, 2017

Actualidad

COSO 2013: Velocidad y persistencia del riesgo  

LA PANDEMIA Y EL PLAN DE CONTINUIDAD DEL NEGOCIO: UNA LECCION PARA LA ADECUADA GESTION DEL RIESGO

regresar a publicaciones

30/03/2020

*Juan Pablo Rodríguez C

**René M. Castro V

 

El 11 de marzo de 2020, el Director de la Organización Mundial de la Salud (OMS), Tedros Adhanom Ghebreyesus [1], informó al mundo entero que se declaraba al Coronavirus por COVID-19 como una Pandemia[2], porque en esos momentos habían más de 118.000 casos en 114 países, y 4291 personas habían perdido la vida.

La última vez que se había declarado una pandemia, había sido el 11 de junio de 2009 cuando la Directora General de la Organización Mundial de la Salud (OMS) de entonces, Margaret Chan anunciaba que la gripe H1N1 -conocida como Gripe A- había alcanzado el status de pandemia, el mismo que alcanzó el coronavirus (COVID-19). Eso significaba que el virus de la gripe H1N1 se había propagado ya a nivel mundial. El día anterior a la declaración de esta pandemia, los números de la OMS señalaban que la gripe A había alcanzado un total de 74 países, con unos 27.373 casos de enfermos. Así y todo, en aquel momento el organismo señaló que el brote era “moderado”.

Un año y dos meses después, el 11 de agosto de 2010, la misma OMS declaró el fin de la Pandemia. Según la OMS, el virus había matado hasta entonces unas 18.449 personas, aunque el número pudo haber sido mayor, ya que solo se tomó en cuenta las personas a las que se les realizó el test para saber si tenían la enfermedad.

Esta Pandemia que ha colapsado la economía mundial y que ha impactado todos los negocios desde una interrupción temporal hasta una interrupción virtual de las operaciones. En el peor de los casos como está pasando en la mayoría de los países, se han presentado cuarentenas masivas, cierres comerciales obligatorios a gran escala, decenas de empleados enfermos y despedidos e interrupción masiva de la cadena de suministro e incluso la no continuidad del negocio.

Por lo anterior, una de las preguntas que se hacen los empresarios, es ¿Por qué la Pandemia no fue considerada como un riesgo, por las organizaciones? La respuesta no es tan sencilla y vamos a tratar de explicarlo. Lo más fácil para algunos empresarios es culpar a las áreas de riesgo de las empresas por no haber incluido la pandemia como un riesgo estratégico, no evaluarlo y no mitigarlo adecuadamente para minimizar el impacto.

Tal vez se consideró un Cisne Negro, definido por Nassim Nicholas Taleb como “el impacto de lo altamente improbable” y por esa misma razón, no se incluyó en las matrices de riesgo corporativo, y no se puede olvidar la máxima según la cual, un riesgo que no es identificado, es un riesgo que no se mide y es un riesgo que no se controla.

Si analizamos la Pandemia presentada en el año 2009, por la gripe H1N1, como se analiza en el cuadro que se presenta a continuación sobre los riesgos principales en términos de impacto del Foro Económico Mundial, la Pandemia apareció en el cuarto puesto en el año 2007 y en el quinto en el año 2008, y a pesar de esa situación las organizaciones nunca consideraron la Pandemia como un riesgo estratégico de sus negocios.

Fuente: http://www3.weforum.org/docs/WEF_Global_Risk_Report_2020.pdf

Esto significa que ni los países, ni las organizaciones, ni los empleados consideran los riesgos en sus operaciones o actividades, probablemente porque la palabra riesgo conlleva un resultado no deseado o negativo.

Al respecto, el estándar internacional ISO31000:2018[3] sobre Gestión de Riesgo, define el riesgo así:

“Riesgo:

Efecto de la incertidumbre sobre los objetivos.(el subrayado es nuestro).

En nuestra situación actual podemos establecer una serie de riesgos de ambiente (ambientales, políticos, competidores, catástrofe, legales, salud, etc.), riesgos de procesos (satisfacción del cliente, recursos humanos, tecnología, fraudes, etc.), riesgos de información (manejo de tesorería, impuestos, planificación y presupuestos, etc.), y otros que deben ser gerenciados para lograr el éxito. Evaluar y controlar estos riesgos de una forma efectiva asegura que no se pierdan oportunidades, que se realce la ventaja competitiva y se optimice la gestión estratégica. La reducción del factor sorpresa y el aumento de la habilidad para lograr los objetivos del negocio aumenta la confianza de los inversionistas y consecuentemente trae un mayor valor de las acciones y un costo de capital más bajo.

El Foro Económico Mundial, clasifica los riesgos para efectos de estudio en cinco grandes categorías: económicos, ambientales, geopolíticos, sociales y tecnológicos.

Las empresas deben tomar en consideración todos los tipos de riesgos a los que se enfrentan, bien sean de tipo económicos, ambientales, geopolíticos, sociales y tecnológicos.

Una vez que los riesgos han sido identificados es necesario clasificarlos según su prioridad. Esto se puede lograr revisando inicialmente los riesgos totales asociados a una situación o acontecimiento en particular, evaluando la probabilidad de que ocurran y midiendo los posibles impactos.

El impacto potencial debe evaluarse no solo en términos financieros directos, sino de manera más amplia con referencia al efecto potencial sobre el logro de los objetivos del negocio.

El estándar internacional ISO31000:2018 sobre Gestión de Riesgo, define la Probabilidad e Impacto (Consecuencia) así:

“Probabilidad:

Oportunidad de que algo suceda.

Impacto:

Resultado de un evento que afecta los objetivos.” (el subrayado es nuestro).

En el siguiente cuadro tomado del Reporte Global de Riesgos de 2020 del Foro Económico Mundial, se presentan los 10 riesgos principales en términos de probabilidad e impacto:

Fuente: http://www3.weforum.org/docs/WEF_Global_Risk_Report_2020.pdf

Pero volvamos a nuestra pregunta inicial de ¿Por qué la Pandemia no fue considerada como un riesgo, por las organizaciones? Una respuesta puede ser la falta de escepticismo de todas las organizaciones al considerar que determinado riesgo no lo puede afectar.

Esto se demuestra en el siguiente cuadro que presenta un resumen de los últimos cinco años, de los 10 riesgos principales en términos de impacto, según el Foro Económico Mundial, donde con excepción del año 2017, la propagación de enfermedades infecciosas aparece como uno de los 10 primeros riesgos en términos de impacto:

Fuente: https://www.weforum.org/

Así mismo, la falta de información por parte de las organizaciones, de estos riesgos globales (como los indicados en este Reporte del Foro Económico Mundial, y por otros Reportes Globales de otras empresas), riesgos que rara vez son considerados por las organizaciones, no permitieron identificarlos, evaluarlos, valorarlos, controlarlos y mitigarlos.

Además, las organizaciones consideran que este tipo de riesgos globales afectan a los países, pero no a las empresas, desconociendo la dinámica de los negocios que siempre involucran a los gobiernos y a las empresas de cada país porque son su aparato productivo. Este fue otro de los problemas presentados en este caso de la Pandemia para ignorar este tipo de riesgos.

Las cadenas de suministro y las empresas de todo el mundo fueron afectadas por el impacto del COVID-19. Esta Pandemia, ha creado riesgos con los que cada empresa deberá lidiar, incluidas las cadenas de suministro, la situación financiera, la salud y la seguridad de los empleados, por nombrar solo algunos riesgos. Las nuevas condiciones del mercado y sus tendencias han convertido al conocimiento profundo de los negocios en el principal activo de las empresas. Por tal razón, desempeñar las funciones diarias en forma tradicional se ha revaluado y se hace necesario que se consideren aspectos que midan todos los riesgos (locales y globales) en los procesos de las empresas.

Un proceso sólido para identificar y evaluar riesgos es la base de efectividad de un sistema o estructura de control.

El Committee of Sponsoring Organizations of the Treadway Commission (COSO) acabo de publicar un interesante documento denominado: “Gestión del Riesgo Empresarial (ERM). Guía para la creación y protección de valor[4], que junto con el documento también de COSO, “Marco COSO ERM 2017, Gestión del Riesgo Empresarial — Aplicar la Gestión del Riesgo Empresarial a los Riesgos Ambientales, Sociales y de Gobierno Corporativo[5], nos ayudan a garantizar que la organización aumente sus posibilidades de lograr con éxito su estrategia y objetivos comerciales a través de una gestión sólida de los riesgos que podrían afectar ese logro.

El estándar internacional ISO31000:2018 define así la Gestión de Riesgo:

“Gestión del riesgo:

Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo.

(el subrayado es nuestro).

El documento de COSO “Gestión del Riesgo Empresarial (ERM). Guía para la creación y protección de valor”, proporciona información útil sobre cómo la gerencia y los directores pueden tomar medidas iniciales para implementar o mejorar sus procesos de ERM en alineación con la nueva orientación.

El secreto de la gestión de riesgos está en poder identificarlos, analizarlos detenidamente y mitigarlos siempre que sea conveniente y económico hacerlo. Hacer esto metódicamente aumenta las posibilidades de lograr el éxito de cualquier organización dentro de un nuevo sistema mucho más complejo y cambiante como lo es la nueva economía en un mundo globalizado.

Los complejos y rápidos cambios que se vienen presentando en el medio empresarial y de los negocios, exhortan a las organizaciones a exigirse cada vez más a sí mismas y a sus diferentes contrapartes, para mantener un ritmo apropiado de cambio e innovación.

Ahora bien, ¿Cómo se vio afectada la Continuidad del Negocio[6], con la Pandemia presentada por el COVID-19?

Debido a la gravedad de la Pandemia generada por el COVID-19 y con la cuarentena decretada por la mayoría de los gobiernos del mundo, los negocios de todo tipo (grandes, pequeños y medianos) de todos los países del mundo, están considerando la posibilidad de cerrar sus operaciones o de reducirlas al mínimo debido a las restricciones impuestas por los gobiernos y a la imposibilidad de operar sus negocios.

Por lo anterior, es muy importante que las empresas tengan un Plan de Continuidad del Negocio (Business Continuity Plan – BCP, por sus siglas en inglés) porque en caso de un desastre que provoque el cierre de un negocio, por ejemplo, una pandemia, un incendio, un terremoto, o una inundación, podrá minimizar las pérdidas, los tiempos de inactividad y el impacto en su negocio o con sus clientes.

Una vez que haya desarrollado su Plan de Continuidad del Negocio, es muy importante probar su plan, por lo menos trimestralmente. Las pruebas verifican la efectividad de su plan, capacitan a los participantes del plan sobre qué hacer en un escenario real e identifican las áreas donde el plan necesita ser fortalecido. Esto debería incluir por lo menos lo siguiente:

  • Reunir regularmente a un equipo de participantes clave en el Plan de Continuidad del Negocio (líderes de división o jefes de departamento) para revisar el Plan de Continuidad del Negocio.
  • Capacitar a todos los funcionarios para documentar errores e identificar inconsistencias para su correspondiente corrección y mejoras. Comunicar la importancia y el beneficio del Plan de Continuidad del Negocio a todos los niveles de la fuerza laboral.
  • Realizar una simulación de un posible escenario de desastre. Se debería incluir a los líderes división o jefes de departamento, socios, proveedores, gerencia y personal en la simulación de prueba de su Plan de Continuidad del Negocio. En este simulacro se debería probar la recuperación de datos, la seguridad del personal, la gestión de activos, la respuesta de liderazgo, los protocolos de reubicación y los procedimientos de recuperación de pérdidas. También, debería usar la simulación para identificar competencias dentro de su fuerza laboral que puedan significar recursos adicionales durante una situación de desastre.

Actualmente los negocios son muy complejos: las empresas están cada vez más interconectadas y las comunicaciones son cada vez más rápidas, las redes empresariales se están volviendo más complejas. Como resultado, tanto las amenazas como los impactos son cada vez menos predecibles. Tenemos que responder a situaciones impredecibles con mayor frecuencia y más rápidamente.

Recomendaciones

El COVID-19 se puede asemejar al atletismo, por que a la vez es una carrera de resistencia y una carrera de velocidad, ya que, por un lado, nos exige resistir a las medidas como el aislamiento y por el otro, requiere de la toma de decisones urgentes para mitigar los efectos que tiene.

Los desastres naturales, las Pandemias, las crisis de agua, los eventos climáticos extremos, los ciberataques se seguirán presentando, lo importante aquí es estar conscientes de la existencia de dichos riesgos, no subestimarlos, estar preparados, y eso incluye efectuar un ejercicio de crisis de alto nivel como parte de su definición de gestión eficaz de riesgos y resiliencia, y asegurar lo que se hace bajo este propósito. Centrarse en las amenazas significa realizar una evaluación de la probabilidad y el impacto que dichos riesgos representan para las organizaciones y por eso se debe planificar cómo enfrentar esas amenazas.

El error más grande que cometen las organizaciones es verificar si tiene o no planes y si cumple con alguna especificación hipotética para el Plan de Continuidad del Negocio, en lugar de comprobar si los planes realmente funcionarán y si son adecuados para su propósito.

Finalmente, recomendamos lo siguiente:

  1. Teniendo en cuenta la situación actual de la Pandemia revalúe todos los riesgos actuales identificados por la organización que incluya la valoración en cuanto a la probabilidad y el impacto.
  2. Verifique cómo se elaboró el Plan de Continuidad del Negocio y si al elaborarlo se consideró lo que es verdaderamente importante para el negocio.
  3. Asegúrese de que el Plan de Continuidad del Negocio funcione y no de si existe un procedimiento, un protocolo, un manual.
  4. Verifique que estén cubiertas todas las funciones, operaciones y sistemas críticos.
  5. Verifique que se hayan asignado responsabilidades funcionales para cada actividad.
  6. Asegúrese que la organización es capaz y está preparada para implementar el Plan de Continuidad del Negocio.
  7. Asegúrese de que la alta gerencia haya establecido los parámetros de resiliencia, preferiblemente en forma de apetito por el riesgo, y que entiendan y hayan respaldado el desarrollo continuo y el mantenimiento de su capacidad de respuesta.
  8. Asegúrese que la gestión de riesgos sea una parte importante y activa en las salas de reuniones de los ejecutivos de las organizaciones a efectos de garantizar el logro de los objetivos del negocio.
  9. Asegúrese que la organización haya establecido y comunicado la cultura de riesgos en toda la organización.
  10. Implemente un Plan de Continuidad del Negocio bajo el estándar internacional ISO 22301:2012 Sistema de Gestión de la Continuidad del Negocio[7].

Las organizaciones esperan de sus funcionarios una labor más profunda, que supere su desenvolvimiento del pasado, que no centre su atención sólo en las cifras, sino que considere aspectos relacionados con los procesos del negocio, sus riesgos y controles y que identifique las oportunidades de mejora.

Recuerde que:

“Ignorar los riesgos no es una opción”

 

*Juan Pablo Rodríguez C.

Abogado Penalista

Escritor, conferencista y consultor internacional.

Certified Professional in Anti-Money Laundering – CPAML de FIBA (Florida International Bankers Association).

Certified on Governance, Risk Management and Compliance Professional (GRCP) y GRC Fundamentals de Open Compliance and Ethics Group (OCEG), 2016

Presidente y Socio de RICS Management.

www.ricsmanagement.com

jrodriguez@ricsmanagement.com

**René M. Castro V.

Contador Público con Magister en Contabilidad y Auditoría de Gestión de la Universidad de Santiago de Chile.

Escritor, conferencista y consultor internacional.

Certified on ISO 19600 Lead Compliance Manager, PECB, 2020

Certified on Financial Services and Market Regulation, London School of Economics, (LSE), 2016

Certified on Corporate Compliance and Ethics, New York University, 2015.

Vice-Presidente & Socio RICS Management

www.ricsmanagement.com

rcastro@ricsmanagement.com

[1] Ver noticia completa en: https://www.who.int/es/dg/speeches/detail/who-director-general-s-opening-remarks-at-the-media-briefing-on-covid-19—11-march-2020

[2] Pandemia: Enfermedad epidémica que se extiende a muchos países o que ataca a casi todos los individuos de una localidad o región.

[3] ISO: Sigla en inglés de la Organización de Estandarización Internacional. (International Organization for Standardization).

[4] Ver documento completo en: https://www.coso.org/Documents/COSO-ERM-Creating-and-Protecting-Value.pdf

[5] Ver documento completo en: https://www.coso.org/Documents/COSO-WBCSD-ESGERM-Guidance-Full.pdf

[6] Continuidad del Negocio: (conocida en inglés como Business Continuity) describe los procesos y procedimientos que una organización pone en marcha para garantizar que las funciones esenciales puedan continuar durante y después de un desastre.

[7] ISO 22301:2012 identifica los fundamentos de un Sistema de Gestión de la Continuidad de negocio, estableciendo el proceso, los principios y la terminología de gestión de continuidad de negocio.

Utilizamos cookies para proveer un mejor servicio. Al utilizar nuestro sitio web, acepta el uso de cookies. Para conocer más, visite nuestra política de protección de datos