Procedimiento del tratamiento del riesgo


1. Procedimientos de prevención y mitigación

El propósito de los procedimientos de mitigación y prevención es definir las medidas que tiene que ser tomadas por la organización para minimizar la probabilidad de un evento disruptivo o para minimizar las potenciales, severidades o consecuencias de este evento.

Los procedimientos de prevención deben describir cómo la organización va a tomar pasos proactivos para proteger sus activos estableciendo alcances administrativos, de diseños operacionales, tecnológicos y arquitectónicos para reducir, eliminar y evitar la probabilidad de que se materialicen riesgos incluyendo la protección de los activos de impredecibles amenazas. De la misma manera, los procedimientos de mitigación deben describir cómo proteger sus activos estableciendo alcances inmediatos, del día a día y de largo término, Las organizaciones pueden escoger, tener un solo procedimiento concepciones y/o anexos que traten diferentes tipos de incidentes. Alternativamente pueden manejar procedimientos separados escritos para cada tipo de incidente.

Cada procedimiento debe de especificar como mínimo:

  1. Propósito y alcance del procedimiento.
  2. Activos que deben ser protegidos de este evento disruptivo.
  3. Objetivos indicadores del suceso.
  4. Paso de implementación y la frecuencia con que el procedimiento debe ser llevado acabo.
  5. Los roles responsabilidades y autoridades.
  6. Procedimientos de comunicación y sus requerimientos.
  7. Interdependencias internas y externas y su interacciones.
  8. Recurso, su competencia y los requerimientos de entrenamiento.
  9. Flujo de información y el proceso documentacional.

La organización debe seleccionar a un dueño de cada procedimiento de prevención y mitigación y debe decir quién es el responsable para revisar, corregir, actualizar los procedimientos además de llevar su control.

Ejemplos de procedimientos de mitigación y prevención:

  1. Eliminación del riego por remoción completa de su amenaza o exposición del riesgo.
  2. Reducción del riesgo modificando actividades, procesos, equipos o materiales.
  3. Separación o aislamiento del riesgo de los activos (humanos o físicos).
  4. Controles de ingeniería para detectar, determinar y demorar una potencial amenaza.
  5. Controles administrativos como prácticas de trabajo o procedimientos que reducen el riesgo.
  6. Protección del activo si el riesgo no puede ser eliminado o reducido.

2. Procedimientos de respuesta

El propósito de un procedimiento de respuesta es definir las medidas iniciales que deben ser tomadas por la organización en respuesta a un evento disruptivo, debe describir cómo la organización va a responder a uno o más tipos de eventos disruptivo. La organización puede tener un solo procedimiento, concepciones y o anexos, que manejen los diferentes tipos de incidentes, alternativamente pueden manejar procedimientos escritos para cada tipo de incidente.

Algunos procedimientos de respuesta pueden ser implementados, previniendo un evento disruptivo, por ejemplo esperando los daños de una sequia que va a suceder, incendios o ataques maliciosos a la organización de uno de sus partes de la cadena de abastecimiento. En estas circunstancias, el énfasis se debe dar en proteger y/o remover activos prioritarios y comunicar el riesgo del daño. A la parte directiva de la compañía y organizaciones externas y autoridades.

Cada procedimiento debe especificar como mínimo:

  1. El propósito y alcance del procedimiento.
  2. Activos prioritarios que deben ser protegidos durante el evento disruptivo.
  3. Actividades prioritarias que deben ser mantenidas durante el evento disruptivo.
  4. Medidas para limitar la forma y extensión del daño ambiental causado por el evento disruptivo.
  5. Situaciones y condiciones con las cuales cada procedimiento va hacer implementado.
  6. Criterios que determinan como debe ser clasificado el evento disruptivo como un incidente, accidente, emergencia, crisis y/o desastre.
  7. Criterios que van a indicar el final de la fase de respuesta.
  8. Roles y responsabilidades de los individuos y grupos responsables para implementar el procedimiento.
  9. La estructura organizacional debe ser usada, incluyendo el establecimiento de un centro de comando de incidentes unido a agencias externas como de emergencias, salud ocupacional y seguridades.
  10. Procedimientos para comunicarse dentro de la organización a los más importantes accionistas externos incluyendo la cadena de suplidores, servicios de emergencia, autoridades locales y los medio.
  11. Detalles del contacto de todos los individuos responsables para implementar el procedimiento y de los demás que deben ser notificados, que el procedimiento está siendo implementado o va hacer implementado.

La organización debe dominar aun dueño de cada procedimiento de respuesta, estableciendo quien es el responsable por reescribirlo, corregirlo y actualizarlo. El proceso de corrección, actualización y los procesos de distribución deben ser controlados.

NOTA: Los procedimientos de respuestas algunas veces son referidos como procedimientos de emergencia.

3. Procedimientos de continuidad

El propósito de los procedimientos de continuidad es definir las medidas que deben ser tomadas por la organización para mantener o reestablecer actividades prioritarias de la organización y de los principales componentes de la cadena de abastecimiento.

Los procedimientos de continuidad deben describir cómo la organización va a mantener o reestablecer actividades en los periodos inmediatamente siguientes a la fase/emergencia. Las organizaciones pueden escoger tener un solo procedimiento, concepciones y anexos que manejen diferentes tipos de incidentes, y alternativamente, manejar procedimientos separados para cada tipo.

Cada procedimiento debe especificar como mínimo:

  1. Propósito y alcance del procedimiento.
  2. Activos prioritarios que deben ser protegidos durante e inmediatamente después del evento disruptivo.
  3. Actividades principales que deben ser mantenidas durante e inmediatamente después del evento disruptivo.
  4. Actividades que deben ser restauradas prioritariamente después del evento disruptivo.
  5. Situaciones y condiciones con las cuales cada procedimiento va hacer implementado.
  6. Criterios que indican el fin de la fase de continuidad.
  7. Roles y responsabilidades de los individuos y grupos responsables para implementar el procedimiento.
  8. La estructura organizacional para ser usada incluyendo la comunicación con agencias externas como los servicios de emergencia, salud ocupacional y cuerpos de seguridad.
  9. Procedimientos para comunicar internamente dentro de la organización los más importantes accionistas externos incluyendo los suplidores de la cadena de abastecimiento, los servicios de emergencia, autoridades locales, ajustadores y compañías de seguro y los medios.
  10. Detalles del contacto de todos los individuos responsables para implementar el procedimiento y de los demás que deben ser notificados, que el procedimiento está siendo implementado o va hacer implementado.

NOTA: Los procedimientos de continuidad puede ser concurrentes con los procedimientos de respuesta y recuperación.

4. Procedimientos de recuperación

El propósito de un procedimiento de recuperación es definir las medidas que deben ser tomadas por la organización para recuperarse de un evento disruptivo y asegurarse que está en capacidad de alcanzar sus objetivos estratégicos y operacionales.

Los procesos de recuperación deben describir cómo la organización va a reestablecer todas las actividades operacionales y de soporte necesario, reemplazar activos dañados o destruidos, así como la información, reconstrucción de la marca y reputación de la organización y asistir a la parte directiva para recuperarse del evento.

Las organizaciones pueden tener un solo procedimiento, concepciones y o anexos que manejen cada tipo de incidente, alternativamente, procedimientos separados pueden estar descritos para cada tipo de incidentes.

Cada procedimiento debe especificar como mínimo:

  1. El propósito y alcance del procedimiento.
  2. Actividades operacionales y de soporte que deben ser reestablecidas o restauradas y la prioridad de esta restauración.
  3. Activos incluyendo propiedades, equipos, información, vehículos y bodegas que deben ser reparadas o reemplazadas y la prioridad de esa reparación o reemplazamiento.
  4. Asistencia al personal afectado físicamente o psicológicamente por el evento disruptivo.
  5. Acciones que deben ser tomadas para reconstruir las marcas de la organización y su reputación.
  6. Acciones que deben ser tomadas para mitigar cualquier daño ambiental.
  7. Situaciones y condiciones en las cuales cada procedimientos de recuperación deberá ser implantado.
  8. Criterios que indican el final de la fase de recuperación.
  9. Roles y responsabilidades de los individuos y grupos necesarios para implementar el procedimiento. Muchas veces será necesario poder modificar los procedimientos normales en orden de reestablecer lo más rápido posible las actividades y activos de la organización.
  10. La organización estructural para ser usada incluyendo la comunicación con agencias externas como salud ocupacional, cuerpos de seguridad, ajustadores y compañías de seguros.
  11. Procedimientos para comunicar internamente dentro de la organización a los más importantes accionistas externos, incluyendo la cadena de abastecimiento, los servicios de emergencia, autoridades locales y los medios.

La organización debe nombrar un dueño de cada procedimiento de recuperación y debe establecer quién es responsable para revisarlo, corregirlo y actualizarlo. El proceso de revisión, corrección y de actualización debe ser controlado.