La Gestión de Activos ISO 55001,2014 y la Continuidad del Negocio ISO 22301, 2012: “Una visión integradora del negocio con foco en la gestión del riesgo” 

Los nuevos retos de las organizaciones

Las organizaciones en la actualidad se hacen cada vez más conscientes de la necesidad de soportar sus negocios en procesos estándares que les permita sortear por un lado las fluctuaciones económicas de los mercados intencionales y por otro lado disponer de las herramientas necesarias para garantizar una adecuada competitividad que les garantice como organización ser sostenibles, rentables y resilientes.

Para lograr abrirse paso en este largo camino, en la actualidad las organizaciones disponen de muchas alternativas, sin embargo, en este escrito realizaremos una breve revisión de dos Normas ISO (55001, 2014. Gestión de Activos) y (22301, 2013. Continuidad del Negocio) como guía para llevar a cabo la implementación de procesos generadores de valor para la organización y garantizar la resiliencia anhelada.

Si bien es cierto que el desarrollo de la resiliencia organizacional no es fácil, pero, en un entorno turbulento e inestable como el actual, la única ventaja competitiva que tienen las organizaciones es su capacidad para reinventar el modelo de negocio antes de que las circunstancias les obliguen a hacerlo (Hamel & Välikangas, 2004). Cuando la organización es resiliente, es capaz de tomar rápidamente ventaja y de anticiparse a las oportunidades o amenazas; las oportunidades son explotadas porque la organización está alerta y orientada a la acción y, en lugar de hacer frente a las oportunidades a través de análisis y observaciones, actúa (Salanova, 2009).

La resiliencia organizacional es definida por Lengnick-Hall y Beck (2003), como una mezcla compleja de comportamientos, perspectivas e interacciones que puede ser desarrollada, medida y dirigidas, sin embargo, Wildavsky (1988) la define como una capacidad dinámica de adaptabilidad de la organización que crece y se desarrolla con el tiempo.

En este sentido tal como lo plantea Meneghel, et.al (2013) la resiliencia no es entendida como un atributo estático que las organizaciones poseen o no poseen. Más bien, es el resultado de procesos que ayudan a las organizaciones a mantener los recursos de una forma suficientemente flexible, sostenible en el tiempo, almacenable, convertible y maleable, para adaptarse a los cambios de contextos.

Visto desde este enfoque la organizaciones actualmente disponen de normativas internacionales que les permiten obtener lineamientos generales para llevar a cabo estos procesos, por un lado la ISO 5500,2014, como marco de referencia para la gestión de los activos de una organización durante todo el ciclo de vida, con foco en la gestión del riesgo para la optimización de los costos e incrementar los beneficios y por otro lado ISO 22301,2012, como guía para los sistemas de gestión de la continuidad del negocio, soportado en la gestión de riesgo (ISO 31000,2010) para el negocio.

Es necesario iniciar este escrito haciendo una revisión de los conceptos y objetivos tanto de la Gestión de Activos como de la Continuidad del Negocio, para luego establecer algunos elementos, que permiten entender la complementariedad y convergencia en ambos sistemas de gestión.

Gestión de activos

La Gestión de Activos son todas las actividades de una organización para obtener valor a través de sus activos, esta traduce los objetivos de una organización en decisiones, planes y actividades, utilizando un enfoque basado en basado en riesgo, por lo que contribuye en la obtención de valor bajo un óptimo equilibrio de los costos financieros, ambientales y sociales, el riesgo, la calidad del servicio y el desempeño relacionado con los activos. (ISO 55000,2014).

Es así como Ruitenburg, et.al, (2014) propone los siguientes 5 criterios para esta definición:

  • Es una práctica multidisciplinar.
  • Se considera todo el ciclo de vida de los activos.
  • Con el objeto de lograr los objetivos de la organización previamente establecidos.
  • Dentro de los límites de riesgo aceptables y de los regímenes pertinentes y que esto debe determinar la asignación de los recursos para ello.

Por otro lado Campbell (2016) integra estas visiones y afirma que la gestión de activos es la interacción de las diferentes áreas habilitadoras de una organización (operaciones, mantenimiento, finanzas, RRHH, logística, compra, etc) a través de actividades, que de forma coordinada les permite gestionar los riesgos de forma adecuada para lograr generar valor a la organización.

Adicionalmente se define el Sistema de Gestión de activos, como el sistema que planifica y controla las actividades relacionadas y sus relaciones para asegurar que el rendimiento de los activos se adapte a la estrategia competitiva previsto por la organización, esta definición proporciona una visión holística e integrada del sistema de gestión de activos dentro de toda la organización (ISO 55000,2014).

El conjunto de Normas ISO 55000 proporciona orientación para su uso en cuanto a: el establecimiento, implementación, mantenimiento y mejora de un sistema de gestión de activos; dirigido a las personas involucradas en la gestión de activos, tanto internas como externas de la organización (ejemplo subcontratistas), que son consideradas como pilares para la implementación de los requerimientos de la norma y su sostenibilidad (Sistema de Gestión de Activos, en lo adelante SGA).

Continuidad del negocio

Es la capacidad que tienen las organizaciones de entregar productos y servicios previamente acordados incluso en situaciones extremadamente negativas (por ejemplo, durante o después de un desastre natural o un fallo masivo del proceso). Debe entenderse que la entrega puede ser tanto a partes internas como externas, por ejemplo, entre procesos de la misma organización o al cliente final. (ISO 22301,2012), adicionalmente existen otras definiciones que complementan y aportan mucho valor a la comprensión y entendimiento de este concepto tales como la que planteamos a continuación:

Según Svata, V, (2013) “Es un proceso de gestión integral que identifica las amenazas potenciales en una organización y los impacto a la operación del negocios que esas amenazas, pueden causar, de llegar a producirse y que proporciona un marco para construir la capacidad de resistencia organizacional mediante respuestas efectivas que salvaguarden los intereses de sus principales stakeholder, reputación, marca y actividades de creación de valor.

Revisados estos conceptos podemos afirmar que en la actualidad existe mucho desconocimiento de los sistemas de gestión para la continuidad del negocio, por un lado se encuentran las organizaciones que no tienen idea de su existencia y menos que exista una norma ISO como guía para su implementación y por otro lado se encuentran las que si conocen su existencia, pero con frecuencia lo entienden como simples listas de verificación e instrucciones de trabajo que se utilizan sólo en situaciones improbables o poco factible que lleguen a ocurrir, por lo que esta percepción, estarían lejos de la forma en que operan normalmente (es decir adecuada al contexto operacional). Al adherirse a estas falsas creencias o paradigmas, las organizaciones pierden la posibilidad de construir un robusto y adecuado Sistema de Gestión para la Continuidad del Negocio, (en lo adelante SGCN) que les permita lograr su pleno potencial, de desempeño operacional, financiero, reputación o imagen corporativa. (27001Academy, 2016)

Coherencia y Compatibilidad del Sistema de Gestión de Activos (ISO 55001,2014) y el Sistema de Gestión de continuidad del negocio (ISO 22301,2012)

Unas de los mayores puntos de convergencia de estas normativas se encuentran en que ambas cumplen con la estructura del anexo SL Directivas, ISO / IEC, Parte 1. Suplemento Consolidado ISO – Procedimientos específicos de la ISO.2015. Este documento el Anexo SL proporciona la estructura, denominada de Alto Nivel, para los sistemas de gestión ISO, este anexo establece las bases para la coherencia y compatibilidad de todos los sistemas de gestión alineada a las normativas ISO (Lárez,2017). Adicionalmente facilita la implementación de sistemas de gestión integrados por lo que se pueden esperar menos conflictos, duplicidades, confusión y malentendidos de los que se produjeron como consecuencia de las diferentes estructuras que anteriormente tenían estas normas. Esto significa que las normas tienen la misma estructura básica, con el siguiente contenido.

  • 4) Contexto de la organización.
  • 5) Liderazgo.
  • 6) Planificación.
  • 7) Soporte.
  • 8) Operaciones.
  • 9) Evaluación del desempeño.
  • 10) Mejora.

En este escrito más allá de la revisión de cada uno de los elementos que conforman esta estructura de alto nivel de ambas normativas, se plantea realizar una breve descripción de los requerimientos 6 y 8 asociados a la planificación y al control operacional dentro de cada sistema de gestión y de qué manera estos son apalancados mediante una adecuada gestión de riesgo.

Requerimientos 6 y 8, ISO 55001,  2014 y ISO 22301,2012.
Requerimientos 6 y 8, ISO 55001, 2014 y ISO 22301,2012.

El riesgo como factor clave de los sistemas de gestión de activos y continuidad del negocio

Con la claridad conceptual que se ha realizado en los apartados anterior pasaremos a revisar de qué manera, es posible entender que la norma ISO 55001, 2014, siga siendo el paraguas donde convergen muchas normativas internacionales, de allí que sea entendido por muchos por muchos autores que los sistemas de gestión pasan a complementar de una forma u otra los requerimientos planteados en la misma.

En este sentido tal como se plantea en el requerimiento 6.2.2. Planificación para lograr los objetivos de gestión de activos, (ISO 55001,2014):

“La organización debe integrar las actividades de planificación para lograr los objetivos de gestión de activos con sus otras actividades de planificación organizacional, incluidas las funciones financieras y contables, de recursos humanos y otras funciones de apoyo”.

La organización debe asegurar que el plan de gestión de activos tome en cuenta los requisitos pertinentes provenientes de fuera del sistema de gestión de activos:

Epígrafe K. Las acciones para tratar los riesgos y oportunidades asociados a la gestión de activos, teniendo en cuenta de qué modo estos riesgos y oportunidades pueden cambiar con el tiempo, estableciendo procesos para:

  • Identificar riesgos y oportunidades;
  • Evaluar riesgos y oportunidades;
  • Determinar la importancia de los activos para el logro de los objetivos de gestión de activos;
  • Implementar el tratamiento adecuado, realizar el seguimiento de los riesgos y oportunidades.

La organización debe asegurarse de que sus riesgos relacionados con la gestión de activos se consideren dentro del enfoque de la gestión de riesgos de la organización incluyendo la planificación de contingencias.

En este sentido la normativa es clara al establecer que la planificación de los objetivos del sistema de gestión de activos debe apalancarse en una adecuada gestión de los riesgos y para ello hace referencia a la Norma ISO 31000.

Es precisamente es este elemento donde la norma ISO 22301,2012. Continuidad del negocio, tiene una gran importancia, para ello vamos a citar el requerimiento 6.1 Acciones para abordar los riesgos y las oportunidades (ISO 22301,2012):

“La organización debe planificar acciones para manejar riesgos y oportunidades relevantes para el contexto de la organización (sección 4.1) y las necesidades y expectativas de las partes interesadas (sección 4.2), como forma de asegurar que el SGCN pueda lograr los resultados previstos, prevenir o mitigar las consecuencias no deseadas, y mejorar continuamente.”

Es decir que los objetivos siguen alineado a una adecuada gestión de riesgo y para ello se complementa con el requerimiento donde se profundiza está gestión de riesgo, 8.1 Planificación y control operacional (ISO 22301,2012):, por lo que es entendido que:

“Para garantizar que los riesgos y las oportunidades se tratan adecuadamente (cláusula 6.1), y que se cumplan los requisitos de la norma, el SGCN debe definir criterios claros para planificar, implementar y controlar sus procesos, así como cualquier proceso externalizado relevante, y retener información documentada que se considere necesaria para dar confianza a los procesos que se están llevando a cabo y lograr sus resultados según lo planificado.”

“Estando enfocado en mantener la entrega de productos y servicios, el SGCN también debe considerar en su planificación y control el monitoreo de cambios planeados, y el análisis de impacto de cambios inesperados (MOC)(Req.8.3,ISO 55001), para poder tomar acciones para mitigar efectos adversos si es necesario”.

Tal como se plantea, en la práctica todos estos elementos incluyendo la gestión del cambio (MOC), se constituye como un elemento fundamental dentro de la gestión de riesgo (Lárez,2017), que le aportaría mucho valor añadido al sistema de gestión de activo y para ello compartimos esta imagen enfoque en proceso del SGCN adaptada de (27001Acdemy,2016).

Figura 1. Requerimientos 8, Control operacional  ISO 22301,2012.
Figura 1. Requerimientos 8, Control operacional ISO 22301,2012.

Procesos de gestión de riesgos

Con frecuencia en nuestros procesos de consultoría nos encontrarnos con organizaciones donde la gestión de riesgo es llevada de forma aislada y en muchas otras, dependiendo del tamaño, es muy poco la gestión que se hace de ella, sin embargo en el sentido más práctico, la gestión de riesgo debe ser analizada dentro de la organización desde un enfoque holístico, sistémico y sistemático, de tal manera que evite a las diferentes áreas habilitadoras de la organización la duplicidad de estudios o planes o por el contrario riesgos existente sin ningún plan asociados (Lárez, 2016).

En este sentido ambas normativas internacionales (ISO 55001,2014 – ISO 22301,2012) plantean un enfoque común y una visión ampliada tanto en optimización de los costos de los planes asociados a la mitigación, así como una cobertura global de los riesgos (Rosemann and Vom Brocke, 2015). En ambas normas está claramente marcado el enfoque de la planificación y la toma de decisiones para el logro de los objetivos basadas en el riesgo y cuyo marco de referencia debe ser la norma ISO 31000,2009. Gestión de Riesgos.

Por tal razón todas las decisiones del sistema de gestión de activos y del sistema de gestión para la continuidad del negocio, incluyendo la selección de los procesos, necesitan equilibrar los factores de competitividad: rendimiento, coste, riesgo y beneficio, y debe existir procesos para identificar y cuantificar los riesgos con el fin de incluirlos durante todo el ciclo de vida de los activos de la organización (Seager, et. al, 2013). Las herramientas para la identificación, evaluación, análisis y tratamiento de los riesgos y probar planes de continuidad del negocio de la organización deben ser coherentes con la estrategia, estar adecuada al contexto organizacional y debe ser aplicable en toda la organización (Galindo y Batta, 2013). Esto supone un beneficio añadido de reducir la cantidad de documentación que debe ser desarrollado y mantenido por los usuarios finales (Lárez, 2016).

Por tanto, para ello es necesario gestionar el Riesgo tal como lo de ne la ISO 31000: 2009 – Gestión de Riesgos – Principios y Directrices. “Efecto de la incertidumbre en los objetivos”. El proceso de evaluación de riesgos se inicia identificando en primer lugar los eventos de riesgo. La figura 2, muestra el proceso para llevar a cabo el proceso de gestión de riesgo.

Figura.2. Proceso para la gestión del riesgo, ISO 31000,2009
Figura 2. Proceso para la gestión del riesgo, ISO 31000,2009.

Todo lo anterior nos permite resumir que ambas normativas o sistemas de gestión se alinean claramente en cuanto a que las organizaciones deben establecer y apalancar su proceso en una clara visión estratégica, con unas políticas, objetivos y planes claramente de nidos y direccionada a la consecución de los objetivos estratégicos bajo el adecuado paragua de la una óptima gestión de riesgo. Para ello el enfoque en proceso se convierte en una herramienta de mejora fundamental que permita establecer un adecuado SGCN.

Conclusiones

El uso del enfoque de proceso tiene una utilidad fundamental en la implementación de los sistemas de gestión, puesto permite crear un vínculo entre requisitos, políticas, objetivos, desempeño y los planes acciones. Un enfoque de proceso es una buena manera de organizar y administrar actividades de continuidad de negocio que robustezcan el sistema de gestión activos, para crear valor a la organización y otras partes interesadas.

El sistema de gestión de activos bajos los requerimiento de los norma ISO 55001,2014 continua siendo un paraguas donde se acogen y convergen diferentes sistemas de gestión para hacer de este más robusto.

El sistema de gestión para la continuidad del negocio bajo los requerimientos de la norma ISO 22301: 2012 proporciona a las organizaciones una clara guía y orientación para gestionar, mitigar y recuperarse de incidentes perturbadores con el objetivo final de lograr la resiliencia organizacional. Todos estos elementos están estrechamente relacionados con la capacidad de la organización para ofrecer satisfacción a sus clientes y satisfacer las expectativas de sus partes interesadas, al tiempo que protegen la capacidad de la organización para hacer negocios a largo plazo.

El planteamiento realizado en este escrito buscar generar opciones de viabilidad durante los procesos de implementación, pero también ampliar el radio de acción en cuanto a las competencias necesarias que deben cubrir los auditores a la hora de evaluar el sistema de gestión de activos.

El sistema de gestión para la continuidad del negocio, se erige como un marco de referencia que permita a las organizaciones establecer mecanismos para garantizar la resiliencia organizacional anhelada.

Referencias

  1. Campbell, J. D., Jardine, A. K., & McGlynn, J. (Eds.). (2016). Asset management excellence: optimizing equipment life-cycle decisions. CRC Press.
  2. Galindo, G., & Batta, R. (2013). Review of recent developments in OR/MS research in disaster operations management. European Journal of Operational Research, 230(2), 201-211.
  3. Heiser, J., & Nicolett, M. (2008). Assessing the security risks of cloud computing. Gartner report, 2(8), 2-6.
  4. Hamel, G., & Valikangas, L. (2004). The quest for resilience. Revista Icade. Revista de las Facultades de Derecho y Ciencias Económicas y Empresariales, (62), 355-358.
  5. ISO 55000, 2014. Asset Management. Overview, principles and terminology.The British Standards Institution.
  6. ISO 55001, 2014. Asset Management. Management systems. Requirements.The British Standards Institution.
  7. ISO 22301,2012. Sistema de Gestión de la Continuidad del Negocio. Especificaciones.
  8. ISO 31000, 2010. Gestión de Riesgos. Guía y Principios.
  9. Lárez, A, (2017, Marzo). Sinergia en la implementación de los sistemas de gestión (Activos y Calidad) de acuerdo al ANEXO SL. Predictiva21. 3(20), 64-69.
  10. Lárez, A. (2017, Abril). Mejores Prácticas, Gestión del Cambio. MOC. Con abilidad Industrial. 8(19), 24-27.
  11. Lengnick-Hall, C. A. & Beck, T. E. (2003). Beyond bouncing back: The concept of organizational resi- lience. Seattle, WA: National Academy of Management meetings.
  12. Meneghel, I., Martínez Martínez, I. M., & Salanova Soria, M. (2013). El camino de la Resiliencia Organizacional-Una revisión teórica. Revista de Psicologia. 31(2), 13-24.
  13. Park, J., Seager, T. P., Rao, P. S. C., Convertino, M., & Linkov, I. (2013). Integrating risk and resilience approaches to catastrophe management in engineering systems. Risk Analysis, 33(3), 356-367.
  14. Rosemann, M., & vom Brocke, J. (2015). The six core elements of business process management. In Handbook on business process management 1 (pp. 105-122). Springer Berlin Heidelberg.
  15. Ruitenburg, R. R., Braaksma, A. J. J., & van Dongen, L. A. M. (2014). A multidisciplinary, expert-based approach for the identification of lifetime impacts in asset life cycle management. Procedia CIRP, 22, 204-212.
  16. Salanova, M. (2009). Organizaciones saludables, organizaciones resilientes. Gestión Práctica de Riesgos Laborales, 58, 18-23.
  17. Svata, V. (2013). System view of business continuity management. Journal of Systems Integration, 4(2), 19.
  18. Wildavsky, A. (1988). Searching for safety. New Brun swick, NJ: Transaction Books.
  19. 27001Academy, 2016. Clause by clause explanation of ISO 22301. Advisera Expert Solutions Ltd.

Autor: Alexis Larez Alcazarez
CMRP Consultor Senior Gestión de Activos, Mantenimiento y Confiabilidad

¡Califica este artículo!
(Votos: 0 Promedio: 0)

La importancia de los datos y como convertirlos en dinero
Javier Leonardo Salas & Alberto Salas Mejia

* indicates required
Reliabytics
Reliabytics