Todas las organizaciones enfrentan amenazas de manera continua, desde temas operativos, hasta tecnológicos en rápida evolución hasta la disrupción competitiva.
La continuidad del negocio, la tercerización de funciones y la tecnología de la que dependen las organizaciones son factores de riesgos que las empresas deben considerar, para fortalecer su capacidad de respuesta y resiliencia organizacional.
Resulta fundamental que las organizaciones aseguren que los marcos de gestión de riesgos existentes, los planes de continuidad del negocio y los procesos de gestión sean idóneos, adecuados y eficientes.
La función de gestión del riesgo operativo debe trabajar junto con otras funciones relevantes de la organización para identificar peligros y amenazas internas y externas, fallas potenciales en las personas, procesos y sistemas de manera continua, evaluar oportunamente las vulnerabilidades de las operaciones críticas y gestionar los riesgos eficientemente, de manera oportuna, que puedan impedir la entrega de operaciones críticas y la continuidad del negocio.
Las organizaciones deben contar con un sistema de gestión de la continuidad del negocio y realizar ejercicios de continuidad del negocio en una variedad de escenarios severos pero posibles para probar su capacidad para entregar operaciones críticas durante la interrupción.
Un sistema de gestión de continuidad del negocio debe mirar hacia el futuro, anticiparse a los peligros y amenazas, al evaluar el impacto de posibles interrupciones.
Los ejercicios de continuidad del negocio deben realizarse y validarse para una variedad de escenarios graves pero posibles que incorporan eventos e incidentes disruptivos. Salir del esquema de gestionar riesgos viejos.
Las organizaciones deben mejorar continuamente sus planes de recuperación y respuesta a incidentes incorporando las lecciones aprendidas de incidentes anteriores y escenarios futuros. Anticiparse a los riesgos.
El análisis de escenarios es el nombre que se le da a una variedad de técnicas, para la gestión de riesgos, que implican el desarrollo de modelos de cómo podría resultar el futuro a corto, mediano y largo plazo.
El análisis de escenarios consiste en proyectar el presente a un escenario tendencia pasando por el corto plazo y el largo plazo. Sobre ese escenario tendencia imaginar como seria un mejor escenario y cual un peor escenario en el análisis. Imaginar una gama de peligros, amenazas, riesgos y oportunidades posibles para cada escenario. Planificar puntos de decisión y prever acciones posibles a aplicar, en cada caso supuesto, con el objetivo de encaminarnos al mejor escenario.
En la gestión de riesgos antigua se extrapolaba lo que sucedió en el pasado como imagen de lo que va a suceder en el futuro. De esta manera el plan de continuidad del negocio contenía respuestas para riesgos viejos. Esta situación provocó, en algunos casos, no tener capacidad de respuesta a graves interrupciones, alguna de las cuales terminaron en un desastre para las organizaciones.
Para anticiparse a los riesgos resulta necesario construir escenarios imaginarios pero creíbles y luego explorar la naturaleza de las amenazas, peligros y factores de riesgos de cada escenario.
El análisis de escenarios implica definir con cierto detalle los escenarios a considerar y explorar las implicaciones del escenario y el riesgo asociado.
Los cambios comúnmente considerados deberían incluir mínimamente:
• Cambios en el contexto interno y externo de la organización.
• Cambios en la tecnología.
• Necesidades de las partes interesadas y cómo podrían cambiar.
• Posibles decisiones futuras que podrían tener una variedad de resultados.
• Riesgos emergentes.
• Tercerización de funciones.
La técnica de análisis de escenarios se utiliza, con mayor frecuencia, para identificar peligros y amenazas y explorar impactos y consecuencias.
Es utilizado tanto a nivel estratégico como operativo, para la organización en su totalidad o parte de ella.
Anticiparse a los riesgos y considerar las consecuencias, ayudar a las organizaciones a desarrollar las fortalezas y la resiliencia organizacional necesarias, para adaptarse al cambio previsible.
Se utiliza para anticipar cómo podrían desarrollarse los peligros, las amenazas, las oportunidades para cualquier tipo de riesgo.
El análisis de escenarios es un proceso y se necesita como insumo la participación de un equipo de expertos, de la organización, que participan directamente en la ejecución de los procesos, comprensión de los cambios posibles, imaginación, datos sobre tendencias y cambios actuales e ideas para cambios futuros.
El resultado del proceso puede ser una “historia” para cada escenario que cuente cómo uno podría pasar del presente al escenario en cuestión. Los efectos considerados pueden ser tanto beneficiosos como perjudiciales.
Las historias pueden incluir detalles posibles que agreguen valor a los escenarios.
Otros resultados pueden incluir una comprensión de los posibles efectos de las políticas o planes para varios futuros posibles, lista de riesgos que podrían surgir si los futuros se desarrollaran, lista de mitigantes e indicadores para monitorear esos riesgos.
La norma ISO 31010 técnicas de Evaluación de Riesgos proporciona orientación sobre la selección y aplicación de 42 técnicas diferentes para la gestión integral del riesgo y la continuidad del negocio.
La técnica de análisis de escenarios es una de las 42 técnicas de la ISO 31010.
La “caja de herramientas”, como se denomina a la norma, se utiliza dentro de las etapas de apreciación, identificación, analisis, evaluación, controles, tratamiento, seguimiento, monitoreo y registro, siempre que sea necesario comprender, en una mayor profundidad, las incertidumbres y sus efectos sobre los objetivos organizacionales.
Las técnicas han evolucionado con el tiempo y continúan evolucionando, pueden adaptarse, combinarse y aplicarse de nuevas formas fuera de su aplicación original.
Hoy en la gestión integral de riesgos y la continuidad del negocio las técnicas son fundamentales para:
• Identificar peligros, amenazas y factores de riesgos.
• Analizar la vulnerabilidad y capacidad de respuesta de la organización.
• Determinar la magnitud y priorizar los riesgos.
• Mejorar la comprensión del riesgo y la toma de decisiones.
• Alinear la estrategia y los objetivos a los riesgos.
• Mejorar la eficiencia operativa.
• Mitigar las incertidumbres para el logro de los objetivos.
• Desarrollar modelos que se anticipen a los riesgos y logren la supervivencia de la organización.
• Satisfacer los requerimientos y necesidades actuales y futuras de las partes interesadas.
El análisis de escenarios se utiliza para identificar y medir la posible ocurrencia de eventos de riesgo.
Para los Gestores de Riesgos Tecnológicos, puede ser una herramienta útil para identificar, comprender y articular los riesgos tecnológicos que pueden enfrentan sus organizaciones.
A diferencia de las evaluaciones de riesgo tradicionales enfocadas en el presente y el pasado, se trata de identificar situaciones futuras de “Que puede pasar”, “Qué puede salir mal”, “Que puede afectar los objetivos” en el corto, mediano y largo plazo.