Upload
vudan
View
213
Download
0
Embed Size (px)
Citation preview
Deltar Training Solutions Introducción a la Gestión de Riesgo, Resiliencia y Continuidad del Negocio Eng-Spa
1
Introduction to Risk, Resilience and
Business Continuity Management
Introducción a la Gestión de Riesgo, Resiliencia
y Continuidad del Negocio English / Spanish Version
Versión Inglés / Español
The information in this document is part of the Deltar
‘Level 4 Management Award in Advanced Risk and Crisis Management’
La información contenida en este documento hace parte del programa Deltar
‘Nivel 4 Curso de Gestión Avanzada de Riesgos y Crisis’
Deltar Training Solutions Introducción a la Gestión de Riesgo, Resiliencia y Continuidad del Negocio Eng-Spa
2
Introduction
Modern risk management has changed
significantly over the last twenty years, and it
can be said that 21st risk management is so
different from previous generations that it
can be seen as a subject demanding its own
specialist skills and study.
Many security and risk managers have
‘learned their trade’ by doing the job, and
although there is now an increasing range of
professional courses, qualifications and even
advanced academic degrees in risk and crisis
management, the simple truth is that many
people who are tasked with increasingly
complex roles in organisations, including risk
management, business continuity
management , resilience, and crisis
management, have not been give the skills,
training or experience to truly understand
how such roles should be fulfilled.
The purpose of this course is to give
participants an insight to all of the major
functions of a modern risk and crisis
manager, including planning, team
development, capability development and
response management. It will enable them to
return to their organisations with the
knowledge and skills that will allow them to
take leadership in all aspects of risk and crisis
management, and to have a clear
understanding of what is required in order to
plan for and respond to the widest range of
potentially disruptive events.
La Introducción
La gestión moderna de los Riesgos ha
cambiado significativamente durante los
últimos veinte años y podemos decir que la
Gestión de Riesgos del Siglo 21 es muy
diferente a la de la generación precedente
que puede verse como un sujeto solicitando
sus propias habilidades especializadas y el
estudio.
Muchos gerentes de Seguridad y Riesgo han
“aprendido su oficio” haciendo el trabajo y
aunque hoy existe una alta y creciente oferta
de cursos especializados, calificaciones y
títulos académicos avanzados en Gestión de
Riesgos y Gestión de Crisis para la formación
profesional, la verdad es que muchas
personas encargadas con roles complejos en
las organizaciones, incluyendo Gestión de
Riesgos, Gestión de la Continuidad del
Negocio, resiliencia y gestión de crisis, aún no
cuentan con las habilidades, entrenamiento o
experiencia para que realmente entiendan
como deben realizarse estas funciones.
El propósito de este curso, es otorgar a los
participantes una visión de las principales
funciones de la gestión moderna de riesgos y
de crisis incluyendo planificación, desarrollo
de equipos, gestión de las capacidades de
desarrollo y respuesta. Esto les permitirá
regresar a sus organizaciones con el
conocimiento y las habilidades que les
permitirá liderar la gestión de Riesgos y la
gestión de crisis en todos los aspectos y tener
Deltar Training Solutions Introducción a la Gestión de Riesgo, Resiliencia y Continuidad del Negocio Eng-Spa
3
The Changing Nature of Modern Risk
Management - Complexity
If there is one factor that is central to the
study of modern risk and crisis management,
it is complexity. The world itself is more
complex, the nature of the problems and
challenges we are facing are more complex,
and the nature of the solutions that we are
required to deliver are more complex.
These are critical issues that the modern risk
manager needs to be aware of, and it is the
overarching objective of this course to
provide participants with all of the tools,
skills and capabilities they need in order that
they can take leadership in their own
organisation for all aspects of security and
risk management, offering the same level of
professionalism as would be expected from
the senior managers in any other division.
un claro entendimiento de lo que se requiere
para planear para responder a un amplio
rango de eventos que potencialmente
interrumpan las operaciones del negocio.
La Naturaleza Cambiante de la Gestión de
Riesgos Moderna - Complejidad
Si hay un factor central en el estudio de la
gestión de riesgos moderna, es su
complejidad. El mundo en sí mismo es más
complejo; la naturaleza de los problemas y
los retos que a diario enfrentamos, es más
compleja y la naturaleza de las soluciones
que se requiere implementar, también es
más compleja.
Estos son aspectos críticos que la gestión de
riesgos moderna necesita tener en cuenta y
el objetivo general de este curso es
proporcionar a los participantes todas las
herramientas, habilidades y capacidades que
necesitan a fin de que puedan tomar el
liderazgo de todos los aspectos de la
seguridad y gestión de riesgos en su propia
organización, ofreciendo el mismo nivel de
profesionalismo se podría de esperar de los
altos directivos en cualquier otra división
Complexity: Communication Networks in Hurricane Katrina
Complejidad: Redes de Comunicación durante el huracán Katrina
Deltar Training Solutions Introducción a la Gestión de Riesgo, Resiliencia y Continuidad del Negocio Eng-Spa
4
The Three-Stage Risk Management Cycle
Classical Risk management is based on a well-
recognised three-stage management
process, namely Risk Assessment, Risk
Control and Contingency Planning.
Each of these sections has its own models
and templates, but are designed to deliver an
integrated, rational risk management
programme that will allow the risk managers,
the organisation as a whole and the
individual departments within it to identify
potential problems, to initiate protocols and
processes that will minimise the risk of those
events happening, and then will give the
organisation the widest range of response
option that can be used in the event that
such an event was to occur.
Las Tres Fases del Ciclo de Gestión de
Riesgos
La Gestión de Riesgos clásica se basa en un
proceso de tres fases bien reconocido
denominado Evaluación de Riesgos, Control
de Riesgos y Planificación para la
Contingencia.
Cada una de estas secciones tiene sus
propios modelos y plantillas, pero están
diseñadas para entregar un programa
racional e integrado de Gestión de Riesgos
que le permitirá a los Gerentes de Riesgo, a
la organización como un todo y a cada
departamento, identificar problemas
potenciales para iniciar protocolos y procesos
que minimicen la ocurrencia de esos eventos
de riesgo y le proporcionará a la organización
un amplio rango de opciones de respuesta
que puedan utilizar en el evento de que
alguno de esos eventos pudiera ocurrir.
A Standard Likelihood-Impact Risk Assessment Table Tabla estándar para estimar Probabilidad e Impacto
en la Evaluación de Riesgos
Deltar Training Solutions Introducción a la Gestión de Riesgo, Resiliencia y Continuidad del Negocio Eng-Spa
5
Centralized Management
The challenges and pressure associated with
risk management means that special thought
must be given to the management structure
itself. As an example, what level of authority
is given to lower-level teams, or those that
are working farther away, and what level of
authority is maintained by the central
management structure? It must then be
asked whether these are appropriate to both
normal operating activities and to emergency
management, or whether there is a need to
have the ability to adapt those management
structures depending on differing
circumstances.
Each event will require a unique response,
and the ability to create a response
management framework that is most
appropriate to the scale, intensity, duration
and impact of each event is one of the
fundamental challenges for all emergency
response managers.
Gestión Centralizada
El reto y la presión asociados con la gestión
de riesgos, significa que se debe prestar
especial atención a la estructura de gestión
en sí. Como ejemplo: Qué nivel de autoridad
se da a equipos de bajo nivel o a aquellos que
trabajan más allá y qué nivel de autoridad se
mantiene para la estructura central de
gestión? Se debe preguntar entonces, si éstas
son adecuadas tanto para las actividades
normales de funcionamiento como para la
gestión de emergencias o si existe la
necesidad de tener la capacidad de adaptar
estas estructuras de gestión en función de
diferentes circunstancias.
Cada evento requerirá una única respuesta y
la habilidad para crear una estructura de
gestión para responder de manera adecuada
a la escala, intensidad, duración e impacto de
cada evento es uno de los principales retos
para todos los gerentes de respuesta a la
emergencia.
Emergency Incident Management
A Complex Management Structure: The Management Framework for the London 2012 Olympic and Paralympics Games Estructura Compleja:
Estructura de Gestión para los
juegos Olímpicos y
Paralímpicos de Londres 2012
Deltar Training Solutions Introducción a la Gestión de Riesgo, Resiliencia y Continuidad del Negocio Eng-Spa
6
Once an incident does occur, there is the
need to have automatic response protocols
in place that can be triggered to manage the
response to the initial stage of the incident,
whilst information can be gathered, decisions
made, plans formulated and responses
agreed.
The development of such plans is a critical
function of security and risk management,
and will be a significant issue in deciding how
effective an organisation is in responding to
such an incident if it were to occur, and in
deciding how effective the organisation
would be in safeguarding its own operations,
functions and capabilities.
Old and New Versions of Incident Command Systems The technology has changed, but the objective remains the same:
Gather information Create a plan Communicate with teams on the ground
Gestión de Incidentes de Emergencia
Una vez que ocurre un incidente, es
necesario contar en sitio con protocolos
automáticos de respuesta, que puedan
activarse para gestionar la respuesta a la fase
inicial del incidente, mientras se puede
recopilar información, tomar decisiones y
acordar la formulación de planes de
respuesta.
El desarrollo de estos planes es una función
crítica de la gestión de seguridad y de la
gestión de riesgos y será un aspecto
importante en la decisión efectiva de la
organización para la respuesta al incidente, si
ocurriese y la decisión en qué tan efectiva es
la organización en la protección de sus
propias operaciones, funciones y
capacidades.
Sistema de Comando de Incidentes: Versiones
nueva y antigua
La tecnología ha cambiado, pero los objetivos
siguen siendo los mismos:
Recopilar información
Crea un plan
Comunicarlo a todos los equipos en
terreno
Business Continuity Management
Deltar Training Solutions Introducción a la Gestión de Riesgo, Resiliencia y Continuidad del Negocio Eng-Spa
7
Business Continuity Management (BCM)
covers both the development of BCM plans,
also called Business Continuity Planning
(BCP), and the management of the response
once an unwanted event has occurred. The
purpose of both BCP and BCM is to ensure
that the organisation has the capability to
respond to the widest range of possible
events in the most robust and resilient
manner, in order to maintain its
functionality, and in the worst case, its
continued existence.
Given the high level of dependency that any
organisation has in the current world on
outside factors, the ability to develop
effective business continuity management
plans is also critical in identifying potential
critical failure points that can then be
managed pro-actively before a potentially
disastrous event occurs. From this
perspective, BCP is part of the organisational
strengthening cycle rather than just a set of
plans that are used once an event has
occurred.
La Gestión de la Continuidad del Negocio
La Gestión de la Continuidad del Negocio
(BCM) abarca el desarrollo de planes de
continuidad también conocidos como Planes
de Continuidad del Negocio (BCP) y la gestión
de la respuesta una vez ocurra un evento no
deseado. El propósito del BCP y del BCM es
asegurar que la organización cuenta con la
capacidad de responder ante un amplio
rango de posibles eventos de manera
robusta y resiliente, a fin de que pueda
mantener su funcionalidad y en el peor de los
casos, la continuidad de su existencia.
Dado el alto nivel de dependencia de
factores externos que cualquier organización
tiene actualmente, la habilidad para
desarrollar planes para la gestión efectiva de
la Continuidad del negocio, también es crítica
especialmente en la identificación de puntos
críticos potenciales de falla, que puedan
gestionarse proactivamente antes de la
ocurrencia de un evento desastroso. Desde
este punto de vista, el BCP es una parte
fundamental en el ciclo de fortalecimiento
organizacional más allá de un conjunto de
planes que se utilizan una vez haya ocurrido
el evento.
Risk Communication and Risk Strategies
Example of a three-level Gold – Silver – Bronze Command Structure Ejemplo de estructura de
Comando a tres niveles:
Oro – Plata – Bronce
Deltar Training Solutions Introducción a la Gestión de Riesgo, Resiliencia y Continuidad del Negocio Eng-Spa
8
One of the issues at the centre of all business
continuity management is the issue of risk
communication. Different people have a
different attitude to risk – some are more
risk averse, in that the prioritise the known
and safe over possible new opportunities
that are unknown and made be considered
potentially risky, and others may see the
same opportunities as being worthwhile in
terms of the potential benefit, and believe
that the risks themselves can be managed in
an effective way.
The ability to discuss such matters in a way
that allows everyone to understand the
issues involved, and come to an agreed
position, is at the basis of risk
communication, and allows different risk
management strategies to be considered
that will then allow for the appropriate
balance between managing the risk but not
cutting off future opportunities that would
otherwise be utilised by potential
competitors.
Riesgos y Estrategias de Comunicación de
Riesgos
Uno de los aspectos centrales de la Gestión
de la Continuidad del Negocio, es el que se
relaciona con la comunicación de riesgos.
Todas las personas tienen una actitud
diferente ante los riesgos. Algunos son más
aversos al riesgo de manera que priorizan
sobre lo que es conocido y seguro y no sobre
nuevas oportunidades que se presenten en
términos de beneficio de riesgos potenciales
y otros pueden ver que vale la pena ver las
mismas oportunidades de beneficios
potenciales y creen que los riesgos en sí
pueden gestionarse de manera efectiva. La
habilidad para discutir este tema de manera
que le permita a todos entender los aspectos
involucrados y acordar una posición común,
es la base de la comunicación de riesgos;
ésto permite considerar diferentes
estrategias para gestionarlos, que luego
permitirá balancear la gestión del riesgo de
manera adecuada pero sin eliminar futuras
oportunidades que de alguna manera
pueden ser utilizados por competidores
potenciales.
Risk Management,
Incident Management,
Emergency Management,
Different people and different organisations have a different understanding of risk.
Experience, training and an expert understanding of the environment can change what you perceive of as ‘acceptable risk’ Diferentes personas y diferentes
organizaciones tienen diferente
percepción del riesgo.
La experiencia, el entrenamiento y la
comprensión del ambiente, pueden
cambiarle su percepción sobre lo que
considera “riesgo aceptable”.
Deltar Training Solutions Introducción a la Gestión de Riesgo, Resiliencia y Continuidad del Negocio Eng-Spa
9
Business Continuity and
Crisis Management
Corporate risk management involves a wide
range of different functions, including Risk
Management, Incident Management,
Emergency Management, Business
Continuity and Crisis Management. In order
to have an effective risk and business
continuity management capability all of
those functions need to be integrated into a
single framework that allows the knowledge
and capabilities held by each individual unit
to contribute to the greater safety and
security of the organisation as a whole
Gestión de Riesgos,
Gestión de Incidentes,
Gestión de Emergencias,
Gestión de la Continuidad del Negocio y
Gestión de Crisis
La gestión corporativa del riesgo involucra un
rango amplio de funciones que incluyen la
Gestión de Riesgos, la Gestión de Incidentes,
la Gestión de Emergencias, la Gestión de la
Continuidad del Negocio y la Gestión de
Crisis. Para contar con una gestión efectiva
de riesgos y de la continuidad del negocio, es
necesario integrar todas las funciones del
negocio en una estructura sencilla que
permita el conocimiento y las capacidades
que tiene cada una de manera individual
para contribuir a una mejor seguridad de la
organización como un todo.
Corporate Risk Management and Decision-
Making
However well-designed the corporate risk
management programme might be, when an
A detailed multi-stage development programme based on
Risk Assessment, Plan Development, Training and Testing & Exercising
A detailed multi-stage development programme based on Risk Assessment, Plan Development, Training and Testing & Exercising
Programa multi-etapas detallado de desarrollo basado en
Gestión de Riesgos, Desarrollo del Plan, Entrenamiento y Ejercicios y Pruebas
Deltar Training Solutions Introducción a la Gestión de Riesgo, Resiliencia y Continuidad del Negocio Eng-Spa
10
actual situation occurs, there is often an
inability to make effective decisions give the
stresses and pressures associated with an
actual incident occurring in real time, with
the potential negative consequences of any
decision that might be taken. Just as an
individual can freeze when put under
pressure, so can an organisation. These are
issues that must be considered as part of the
risk management planning process, and the
better that an organisation, and the critical
decision-makers understand these
challenges, then the better prepared they
will be to take those decisions when
required.
Gestión Corporativa de Riesgos y Toma de
Decisiones
Por muy bien diseñado que esté el programa
de gestión de riesgos, cuando ocurre una
situación real, a menudo no se cuenta con la
capacidad suficiente para tomar decisiones
efectivas dados el estrés y la presión
asociados con un incidente que ocurre en
tiempo real, con las consecuencias negativas
potenciales de cualquier decisión que se
pueda tomar. De la misma forma como un
individuo puede pasmarse cuando se pone
bajo presión, eso mismo puede sucederle a la
organización. Estos son aspectos que deben
considerarse como parte del proceso de
planeación de la gestión de riesgos para
mejorar la organización y que los tomadores
de decisiones entiendan estos retos.
Entonces quienes estén mejor preparados
tomarán esas decisiones cuando se requiera.
Planning, Training and Exercising of Gold,
Silver and Bronze Levels
General Colin Powell giving a briefing at the White House to President George Bush (1991)
General Colin Powell dando una conferencia en la Casa Blanca al President George Bush (1991)
Deltar Training Solutions Introducción a la Gestión de Riesgo, Resiliencia y Continuidad del Negocio Eng-Spa
11
The basis of any skill development is
structured practice, which can then be tested
at increasingly challenging and complex
levels. It is no different in risk and security
management, and one of the critical parts of
the business continuity management
development process is structured training
and exercising that will ensure that each
individual unit understands their roles and
responsibilities, and has the necessary skills
and capabilities to deliver those functions,
but which will ensure that they also have an
understanding of how they integrate with
other units around them.
Business continuity management is always an
issue of multi-team response and integration,
and the more effective the training
programme, the more effective will be the
actual service delivery once they are needed
in the face of an actual situation.
The training itself can be developed from
simple, exercises designed to develop and
then test skills, but which will then become
more complex, so that eventually every level
of the decision-making structure including
Gold (Strategic), Silver (Tactical) and Bronze
(Operational), will understand all of the
issues associated with complex operation
management, and will have the skills and
capabilities to work together effectively as a
single unified response team.
Planificación, Entrenamiento y Ejercicio de
los niveles Oro, Plata y Bronce
La base del desarrollo de cualquier habilidad
es una práctica estructurada, que pueda
probarse a niveles cada vez más difíciles y
complejos. Esto no es diferente en la gestión
de la seguridad y la gestión de riesgos y uno
de los componentes críticos del desarrollo de
procesos de gestión de la continuidad del
negocio es estructurarlo y ejercitarlo, de
manera que asegure que cada unidad de
manera individual entienda sus roles y
responsabilidades y cuente con las
habilidades y capacidades necesarias para
realizar esas funciones, pero que asegure que
cada unidad cuenta con el entendimiento de
cómo integrarlas con otras unidades a su
alrededor.
La gestión de la continuidad del negocio y el
programa efectivo de entrenamiento,
siempre serán temas de integración y
respuesta para un equipo multidisciplinario.
Lo más efectivo será la entrega del servicio
en las condiciones actuales cuando necesiten
enfrentarse a la situación actual.
El entrenamiento en sí puede realizarse a
partir de ejercicios sencillos diseñados para
desarrollar y luego probar habilidades que
luego se volverán más complejas, por lo que
con el transcurso del tiempo, todos los
niveles de la estructura de toma de
decisiones incluidos Oro (Estratégico), Plata
(Táctico) y Bronce (Operacional) entenderán
todos los aspectos relacionados con la
compleja gestión de la operación y contarán
con las habilidades y capacidades para
trabajar juntos de manera efectiva como un
equipo que responde de manera unificada.
Deltar Training Solutions Introducción a la Gestión de Riesgo, Resiliencia y Continuidad del Negocio Eng-Spa
12
Risk Management System based on the ISO
31000 Standard
ISO 31000 is accepted as the international
standard for risk management and
associated activities. Rather than being a
detailed management programme I itself, ISO
31000 identifies critical areas that need to be
addressed, and offers a checklist against
which any organisation can measure its own
current risk management practices, and can
be used as a template for future risk
management development programmes.
Organisational Resilience Management
However well developed an organisation’s
risk management programmes are, the world
is full of examples of situations where the
risk management capabilities were simply
not strong enough to survive the shock of an
actual emergency incident. The final issue in
risk management and business continuity
management is ensuring that the
organisation itself, and all aspects of its BCM
programme, is robust enough to operate in
the widest range of potential situations.
Sistema de Gestión de Riesgos basado en la
Norma ISO 31000
ISO 31000 es aceptado como la norma
internacional para la gestión de riesgos y sus
actividades relacionadas. Además de ser un
programa de gestión detallado, ISO 31000
identifica las áreas críticas que requieren ser
atendidas y ofrece una lista de verificación
contra la que cualquier organización puede
medir sus prácticas actuales de gestión de
riesgos y también puede utilizarse como
modelo para desarrollar programas futuros
de gestión de riesgos
Gestión de la Resiliencia Organizacional
A pesar de que los programas de gestión
organizacional de riesgos estén bien
desarrollados, el mundo está lleno de
ejemplos en los que las capacidades para
gestionar los riesgos no fueron lo
suficientemente fuertes para sobrevivir ante
el impacto de un incidente real de
emergencia. El último aspecto en la gestión
de riesgos y en la gestión de la continuidad
del negocio es asegurar que la organización
en sí y todos los aspectos de su programa
BCM, sean lo suficientemente robustos para
operar en un amplio rango de situaciones
posibles.
The information in this document is part of the Deltar IQ-accredited ‘Level 4 Management Award in Advanced Risk and Crisis Management’
La información contenida en este documento hace parte del Deltar programa
acreditado IQ ‘Nivel 4 Curso de Gestión Avanzada de Riesgos y Crisis’
www.deltar-ts.com [email protected]