Deltar Training Solutions Introducción a la Gestión … · Deltar Training Solutions Introducción a la Gestión de Riesgo, Resiliencia y Continuidad del Negocio Eng-Spa 6 Once

Deltar Training Solutions Introducción a la Gestión de Riesgo, Resiliencia y Continuidad del Negocio Eng-Spa

1

Introduction to Risk, Resilience and

Business Continuity Management

Introducción a la Gestión de Riesgo, Resiliencia

y Continuidad del Negocio English / Spanish Version

Versión Inglés / Español

The information in this document is part of the Deltar

‘Level 4 Management Award in Advanced Risk and Crisis Management’

La información contenida en este documento hace parte del programa Deltar

‘Nivel 4 Curso de Gestión Avanzada de Riesgos y Crisis’


2

Introduction

Modern risk management has changed

significantly over the last twenty years, and it

can be said that 21st risk management is so

different from previous generations that it

can be seen as a subject demanding its own

specialist skills and study.

Many security and risk managers have

‘learned their trade’ by doing the job, and

although there is now an increasing range of

professional courses, qualifications and even

advanced academic degrees in risk and crisis

management, the simple truth is that many

people who are tasked with increasingly

complex roles in organisations, including risk

management, business continuity

management , resilience, and crisis

management, have not been give the skills,

training or experience to truly understand

how such roles should be fulfilled.

The purpose of this course is to give

participants an insight to all of the major

functions of a modern risk and crisis

manager, including planning, team

development, capability development and

response management. It will enable them to

return to their organisations with the

knowledge and skills that will allow them to

take leadership in all aspects of risk and crisis

management, and to have a clear

understanding of what is required in order to

plan for and respond to the widest range of

potentially disruptive events.

La Introducción

La gestión moderna de los Riesgos ha

cambiado significativamente durante los

últimos veinte años y podemos decir que la

Gestión de Riesgos del Siglo 21 es muy

diferente a la de la generación precedente

que puede verse como un sujeto solicitando

sus propias habilidades especializadas y el

estudio.

Muchos gerentes de Seguridad y Riesgo han

“aprendido su oficio” haciendo el trabajo y

aunque hoy existe una alta y creciente oferta

de cursos especializados, calificaciones y

títulos académicos avanzados en Gestión de

Riesgos y Gestión de Crisis para la formación

profesional, la verdad es que muchas

personas encargadas con roles complejos en

las organizaciones, incluyendo Gestión de

Riesgos, Gestión de la Continuidad del

Negocio, resiliencia y gestión de crisis, aún no

cuentan con las habilidades, entrenamiento o

experiencia para que realmente entiendan

como deben realizarse estas funciones.

El propósito de este curso, es otorgar a los

participantes una visión de las principales

funciones de la gestión moderna de riesgos y

de crisis incluyendo planificación, desarrollo

de equipos, gestión de las capacidades de

desarrollo y respuesta. Esto les permitirá

regresar a sus organizaciones con el

conocimiento y las habilidades que les

permitirá liderar la gestión de Riesgos y la

gestión de crisis en todos los aspectos y tener


3

The Changing Nature of Modern Risk

Management - Complexity

If there is one factor that is central to the

study of modern risk and crisis management,

it is complexity. The world itself is more

complex, the nature of the problems and

challenges we are facing are more complex,

and the nature of the solutions that we are

required to deliver are more complex.

These are critical issues that the modern risk

manager needs to be aware of, and it is the

overarching objective of this course to

provide participants with all of the tools,

skills and capabilities they need in order that

they can take leadership in their own

organisation for all aspects of security and

risk management, offering the same level of

professionalism as would be expected from

the senior managers in any other division.

un claro entendimiento de lo que se requiere

para planear para responder a un amplio

rango de eventos que potencialmente

interrumpan las operaciones del negocio.

La Naturaleza Cambiante de la Gestión de

Riesgos Moderna - Complejidad

Si hay un factor central en el estudio de la

gestión de riesgos moderna, es su

complejidad. El mundo en sí mismo es más

complejo; la naturaleza de los problemas y

los retos que a diario enfrentamos, es más

compleja y la naturaleza de las soluciones

que se requiere implementar, también es

más compleja.

Estos son aspectos críticos que la gestión de

riesgos moderna necesita tener en cuenta y

el objetivo general de este curso es

proporcionar a los participantes todas las

herramientas, habilidades y capacidades que

necesitan a fin de que puedan tomar el

liderazgo de todos los aspectos de la

seguridad y gestión de riesgos en su propia

organización, ofreciendo el mismo nivel de

profesionalismo se podría de esperar de los

altos directivos en cualquier otra división

Complexity: Communication Networks in Hurricane Katrina

Complejidad: Redes de Comunicación durante el huracán Katrina


4

The Three-Stage Risk Management Cycle

Classical Risk management is based on a well-

recognised three-stage management

process, namely Risk Assessment, Risk

Control and Contingency Planning.

Each of these sections has its own models

and templates, but are designed to deliver an

integrated, rational risk management

programme that will allow the risk managers,

the organisation as a whole and the

individual departments within it to identify

potential problems, to initiate protocols and

processes that will minimise the risk of those

events happening, and then will give the

organisation the widest range of response

option that can be used in the event that

such an event was to occur.

Las Tres Fases del Ciclo de Gestión de

Riesgos

La Gestión de Riesgos clásica se basa en un

proceso de tres fases bien reconocido

denominado Evaluación de Riesgos, Control

de Riesgos y Planificación para la

Contingencia.

Cada una de estas secciones tiene sus

propios modelos y plantillas, pero están

diseñadas para entregar un programa

racional e integrado de Gestión de Riesgos

que le permitirá a los Gerentes de Riesgo, a

la organización como un todo y a cada

departamento, identificar problemas

potenciales para iniciar protocolos y procesos

que minimicen la ocurrencia de esos eventos

de riesgo y le proporcionará a la organización

un amplio rango de opciones de respuesta

que puedan utilizar en el evento de que

alguno de esos eventos pudiera ocurrir.

A Standard Likelihood-Impact Risk Assessment Table Tabla estándar para estimar Probabilidad e Impacto

en la Evaluación de Riesgos


5

Centralized Management

The challenges and pressure associated with

risk management means that special thought

must be given to the management structure

itself. As an example, what level of authority

is given to lower-level teams, or those that

are working farther away, and what level of

authority is maintained by the central

management structure? It must then be

asked whether these are appropriate to both

normal operating activities and to emergency

management, or whether there is a need to

have the ability to adapt those management

structures depending on differing

circumstances.

Each event will require a unique response,

and the ability to create a response

management framework that is most

appropriate to the scale, intensity, duration

and impact of each event is one of the

fundamental challenges for all emergency

response managers.

Gestión Centralizada

El reto y la presión asociados con la gestión

de riesgos, significa que se debe prestar

especial atención a la estructura de gestión

en sí. Como ejemplo: Qué nivel de autoridad

se da a equipos de bajo nivel o a aquellos que

trabajan más allá y qué nivel de autoridad se

mantiene para la estructura central de

gestión? Se debe preguntar entonces, si éstas

son adecuadas tanto para las actividades

normales de funcionamiento como para la

gestión de emergencias o si existe la

necesidad de tener la capacidad de adaptar

estas estructuras de gestión en función de

diferentes circunstancias.

Cada evento requerirá una única respuesta y

la habilidad para crear una estructura de

gestión para responder de manera adecuada

a la escala, intensidad, duración e impacto de

cada evento es uno de los principales retos

para todos los gerentes de respuesta a la

emergencia.

Emergency Incident Management

A Complex Management Structure: The Management Framework for the London 2012 Olympic and Paralympics Games Estructura Compleja:

Estructura de Gestión para los

juegos Olímpicos y

Paralímpicos de Londres 2012


6

Once an incident does occur, there is the

need to have automatic response protocols

in place that can be triggered to manage the

response to the initial stage of the incident,

whilst information can be gathered, decisions

made, plans formulated and responses

agreed.

The development of such plans is a critical

function of security and risk management,

and will be a significant issue in deciding how

effective an organisation is in responding to

such an incident if it were to occur, and in

deciding how effective the organisation

would be in safeguarding its own operations,

functions and capabilities.

Old and New Versions of Incident Command Systems The technology has changed, but the objective remains the same:

Gather information Create a plan Communicate with teams on the ground

Gestión de Incidentes de Emergencia

Una vez que ocurre un incidente, es

necesario contar en sitio con protocolos

automáticos de respuesta, que puedan

activarse para gestionar la respuesta a la fase

inicial del incidente, mientras se puede

recopilar información, tomar decisiones y

acordar la formulación de planes de

respuesta.

El desarrollo de estos planes es una función

crítica de la gestión de seguridad y de la

gestión de riesgos y será un aspecto

importante en la decisión efectiva de la

organización para la respuesta al incidente, si

ocurriese y la decisión en qué tan efectiva es

la organización en la protección de sus

propias operaciones, funciones y

capacidades.

Sistema de Comando de Incidentes: Versiones

nueva y antigua

La tecnología ha cambiado, pero los objetivos

siguen siendo los mismos:

Recopilar información

Crea un plan

Comunicarlo a todos los equipos en

terreno

Business Continuity Management


7

Business Continuity Management (BCM)

covers both the development of BCM plans,

also called Business Continuity Planning

(BCP), and the management of the response

once an unwanted event has occurred. The

purpose of both BCP and BCM is to ensure

that the organisation has the capability to

respond to the widest range of possible

events in the most robust and resilient

manner, in order to maintain its

functionality, and in the worst case, its

continued existence.

Given the high level of dependency that any

organisation has in the current world on

outside factors, the ability to develop

effective business continuity management

plans is also critical in identifying potential

critical failure points that can then be

managed pro-actively before a potentially

disastrous event occurs. From this

perspective, BCP is part of the organisational

strengthening cycle rather than just a set of

plans that are used once an event has

occurred.

La Gestión de la Continuidad del Negocio

La Gestión de la Continuidad del Negocio

(BCM) abarca el desarrollo de planes de

continuidad también conocidos como Planes

de Continuidad del Negocio (BCP) y la gestión

de la respuesta una vez ocurra un evento no

deseado. El propósito del BCP y del BCM es

asegurar que la organización cuenta con la

capacidad de responder ante un amplio

rango de posibles eventos de manera

robusta y resiliente, a fin de que pueda

mantener su funcionalidad y en el peor de los

casos, la continuidad de su existencia.

Dado el alto nivel de dependencia de

factores externos que cualquier organización

tiene actualmente, la habilidad para

desarrollar planes para la gestión efectiva de

la Continuidad del negocio, también es crítica

especialmente en la identificación de puntos

críticos potenciales de falla, que puedan

gestionarse proactivamente antes de la

ocurrencia de un evento desastroso. Desde

este punto de vista, el BCP es una parte

fundamental en el ciclo de fortalecimiento

organizacional más allá de un conjunto de

planes que se utilizan una vez haya ocurrido

el evento.

Risk Communication and Risk Strategies

Example of a three-level Gold – Silver – Bronze Command Structure Ejemplo de estructura de

Comando a tres niveles:

Oro – Plata – Bronce


8

One of the issues at the centre of all business

continuity management is the issue of risk

communication. Different people have a

different attitude to risk – some are more

risk averse, in that the prioritise the known

and safe over possible new opportunities

that are unknown and made be considered

potentially risky, and others may see the

same opportunities as being worthwhile in

terms of the potential benefit, and believe

that the risks themselves can be managed in

an effective way.

The ability to discuss such matters in a way

that allows everyone to understand the

issues involved, and come to an agreed

position, is at the basis of risk

communication, and allows different risk

management strategies to be considered

that will then allow for the appropriate

balance between managing the risk but not

cutting off future opportunities that would

otherwise be utilised by potential

competitors.

Riesgos y Estrategias de Comunicación de

Riesgos

Uno de los aspectos centrales de la Gestión

de la Continuidad del Negocio, es el que se

relaciona con la comunicación de riesgos.

Todas las personas tienen una actitud

diferente ante los riesgos. Algunos son más

aversos al riesgo de manera que priorizan

sobre lo que es conocido y seguro y no sobre

nuevas oportunidades que se presenten en

términos de beneficio de riesgos potenciales

y otros pueden ver que vale la pena ver las

mismas oportunidades de beneficios

potenciales y creen que los riesgos en sí

pueden gestionarse de manera efectiva. La

habilidad para discutir este tema de manera

que le permita a todos entender los aspectos

involucrados y acordar una posición común,

es la base de la comunicación de riesgos;

ésto permite considerar diferentes

estrategias para gestionarlos, que luego

permitirá balancear la gestión del riesgo de

manera adecuada pero sin eliminar futuras

oportunidades que de alguna manera

pueden ser utilizados por competidores

potenciales.

Risk Management,

Incident Management,

Emergency Management,

Different people and different organisations have a different understanding of risk.

Experience, training and an expert understanding of the environment can change what you perceive of as ‘acceptable risk’ Diferentes personas y diferentes

organizaciones tienen diferente

percepción del riesgo.

La experiencia, el entrenamiento y la

comprensión del ambiente, pueden

cambiarle su percepción sobre lo que

considera “riesgo aceptable”.


9

Business Continuity and

Crisis Management

Corporate risk management involves a wide

range of different functions, including Risk

Management, Incident Management,

Emergency Management, Business

Continuity and Crisis Management. In order

to have an effective risk and business

continuity management capability all of

those functions need to be integrated into a

single framework that allows the knowledge

and capabilities held by each individual unit

to contribute to the greater safety and

security of the organisation as a whole

Gestión de Riesgos,

Gestión de Incidentes,

Gestión de Emergencias,

Gestión de la Continuidad del Negocio y

Gestión de Crisis

La gestión corporativa del riesgo involucra un

rango amplio de funciones que incluyen la

Gestión de Riesgos, la Gestión de Incidentes,

la Gestión de Emergencias, la Gestión de la

Continuidad del Negocio y la Gestión de

Crisis. Para contar con una gestión efectiva

de riesgos y de la continuidad del negocio, es

necesario integrar todas las funciones del

negocio en una estructura sencilla que

permita el conocimiento y las capacidades

que tiene cada una de manera individual

para contribuir a una mejor seguridad de la

organización como un todo.

Corporate Risk Management and Decision-

Making

However well-designed the corporate risk

management programme might be, when an

A detailed multi-stage development programme based on

Risk Assessment, Plan Development, Training and Testing & Exercising

A detailed multi-stage development programme based on Risk Assessment, Plan Development, Training and Testing & Exercising

Programa multi-etapas detallado de desarrollo basado en

Gestión de Riesgos, Desarrollo del Plan, Entrenamiento y Ejercicios y Pruebas


10

actual situation occurs, there is often an

inability to make effective decisions give the

stresses and pressures associated with an

actual incident occurring in real time, with

the potential negative consequences of any

decision that might be taken. Just as an

individual can freeze when put under

pressure, so can an organisation. These are

issues that must be considered as part of the

risk management planning process, and the

better that an organisation, and the critical

decision-makers understand these

challenges, then the better prepared they

will be to take those decisions when

required.

Gestión Corporativa de Riesgos y Toma de

Decisiones

Por muy bien diseñado que esté el programa

de gestión de riesgos, cuando ocurre una

situación real, a menudo no se cuenta con la

capacidad suficiente para tomar decisiones

efectivas dados el estrés y la presión

asociados con un incidente que ocurre en

tiempo real, con las consecuencias negativas

potenciales de cualquier decisión que se

pueda tomar. De la misma forma como un

individuo puede pasmarse cuando se pone

bajo presión, eso mismo puede sucederle a la

organización. Estos son aspectos que deben

considerarse como parte del proceso de

planeación de la gestión de riesgos para

mejorar la organización y que los tomadores

de decisiones entiendan estos retos.

Entonces quienes estén mejor preparados

tomarán esas decisiones cuando se requiera.

Planning, Training and Exercising of Gold,

Silver and Bronze Levels

General Colin Powell giving a briefing at the White House to President George Bush (1991)

General Colin Powell dando una conferencia en la Casa Blanca al President George Bush (1991)


11

The basis of any skill development is

structured practice, which can then be tested

at increasingly challenging and complex

levels. It is no different in risk and security

management, and one of the critical parts of

the business continuity management

development process is structured training

and exercising that will ensure that each

individual unit understands their roles and

responsibilities, and has the necessary skills

and capabilities to deliver those functions,

but which will ensure that they also have an

understanding of how they integrate with

other units around them.

Business continuity management is always an

issue of multi-team response and integration,

and the more effective the training

programme, the more effective will be the

actual service delivery once they are needed

in the face of an actual situation.

The training itself can be developed from

simple, exercises designed to develop and

then test skills, but which will then become

more complex, so that eventually every level

of the decision-making structure including

Gold (Strategic), Silver (Tactical) and Bronze

(Operational), will understand all of the

issues associated with complex operation

management, and will have the skills and

capabilities to work together effectively as a

single unified response team.

Planificación, Entrenamiento y Ejercicio de

los niveles Oro, Plata y Bronce

La base del desarrollo de cualquier habilidad

es una práctica estructurada, que pueda

probarse a niveles cada vez más difíciles y

complejos. Esto no es diferente en la gestión

de la seguridad y la gestión de riesgos y uno

de los componentes críticos del desarrollo de

procesos de gestión de la continuidad del

negocio es estructurarlo y ejercitarlo, de

manera que asegure que cada unidad de

manera individual entienda sus roles y

responsabilidades y cuente con las

habilidades y capacidades necesarias para

realizar esas funciones, pero que asegure que

cada unidad cuenta con el entendimiento de

cómo integrarlas con otras unidades a su

alrededor.

La gestión de la continuidad del negocio y el

programa efectivo de entrenamiento,

siempre serán temas de integración y

respuesta para un equipo multidisciplinario.

Lo más efectivo será la entrega del servicio

en las condiciones actuales cuando necesiten

enfrentarse a la situación actual.

El entrenamiento en sí puede realizarse a

partir de ejercicios sencillos diseñados para

desarrollar y luego probar habilidades que

luego se volverán más complejas, por lo que

con el transcurso del tiempo, todos los

niveles de la estructura de toma de

decisiones incluidos Oro (Estratégico), Plata

(Táctico) y Bronce (Operacional) entenderán

todos los aspectos relacionados con la

compleja gestión de la operación y contarán

con las habilidades y capacidades para

trabajar juntos de manera efectiva como un

equipo que responde de manera unificada.


12

Risk Management System based on the ISO

31000 Standard

ISO 31000 is accepted as the international

standard for risk management and

associated activities. Rather than being a

detailed management programme I itself, ISO

31000 identifies critical areas that need to be

addressed, and offers a checklist against

which any organisation can measure its own

current risk management practices, and can

be used as a template for future risk

management development programmes.

Organisational Resilience Management

However well developed an organisation’s

risk management programmes are, the world

is full of examples of situations where the

risk management capabilities were simply

not strong enough to survive the shock of an

actual emergency incident. The final issue in

risk management and business continuity

management is ensuring that the

organisation itself, and all aspects of its BCM

programme, is robust enough to operate in

the widest range of potential situations.

Sistema de Gestión de Riesgos basado en la

Norma ISO 31000

ISO 31000 es aceptado como la norma

internacional para la gestión de riesgos y sus

actividades relacionadas. Además de ser un

programa de gestión detallado, ISO 31000

identifica las áreas críticas que requieren ser

atendidas y ofrece una lista de verificación

contra la que cualquier organización puede

medir sus prácticas actuales de gestión de

riesgos y también puede utilizarse como

modelo para desarrollar programas futuros

de gestión de riesgos

Gestión de la Resiliencia Organizacional

A pesar de que los programas de gestión

organizacional de riesgos estén bien

desarrollados, el mundo está lleno de

ejemplos en los que las capacidades para

gestionar los riesgos no fueron lo

suficientemente fuertes para sobrevivir ante

el impacto de un incidente real de

emergencia. El último aspecto en la gestión

de riesgos y en la gestión de la continuidad

del negocio es asegurar que la organización

en sí y todos los aspectos de su programa

BCM, sean lo suficientemente robustos para

operar en un amplio rango de situaciones

posibles.

The information in this document is part of the Deltar IQ-accredited ‘Level 4 Management Award in Advanced Risk and Crisis Management’

La información contenida en este documento hace parte del Deltar programa

acreditado IQ ‘Nivel 4 Curso de Gestión Avanzada de Riesgos y Crisis’

www.deltar-ts.com [email protected]

Documents

Deltar Training Solutions Introducción a la Gestión … · Deltar Training Solutions Introducción a la Gestión de Riesgo, Resiliencia y Continuidad del Negocio Eng-Spa 6 Once