TEGP
TEGP
TEGP
Directora de investigación
Medellín, Colombia
2015
2
Contenido
2. Justificación ............................................................................................................................ 11
3. Objetivos ................................................................................................................................ 12
5 Diseño metodológico.............................................................................................................. 34
7 Diseño del Plan De Continuidad del Negocio para una Empresa .......................................... 61
8 Conclusiones .......................................................................................................................... 82
9 Recomendaciones ................................................................................................................... 84
10 Bibliografía ........................................................................................................................ 85
11 Anexos ............................................................................................................................... 88
4
Lista de tablas
Lista de Gráficos
Lista de Anexos
INTRODUCCIÓN
En la actualidad las PYMES del sector de la construcción enfrentan grandes retos para su
permanencia en el mercado, debido a las alianzas que se generan entre las grandes
emergencias directas o indirectamente dentro de las empresas, las cuales necesitan su oportuna
atención. Como respuesta a lo antes expuesto, se cuenta con la Norma ISO 22301:2012 SGCN
Sistema de Gestión de la Continuidad del Negocio que contempla dentro de sus requisitos la
elaboración de un Plan de Continuidad del Negocio (PCN), el cual permite establecer los
Medellín bajo la norma ISO 22301:2012 y teniendo como base los conocimientos adquiridos
El contenido del estudio parte de un marco referencial de donde se definen los indicadores con
base a los cuales se realizara un diagnóstico de la situación actual de las empresas, frente al
determina la evaluación de los riesgos para luego definir las estrategias de implementación del
Empresas) muestran una apertura al cambio muy limitada y es claro que fenómenos como el
una gestión estratégica, como herramienta de administración de sus negocios, esencial para el
eficiencia de los procesos y estados de confort en quienes llevan mucho tiempo liderando los
procesos. Sumado a esto, la planeación estratégica del negocio no parte de un análisis de entorno
que permita identificar debilidades y amenazas, sino de la experiencia y del deseo de los dueños
Público Privadas).
Los proyectos a ejecutar no cuentan con una adecuada planeación de las actividades y
distribución de los recursos que garantice el cumplimiento de los requerimientos de las partes
muertos, baja disponibilidad de recursos, sobrecarga laboral, cronogramas poco flexibles, entre
otros).
En la mayoría de los casos los contratos dependen de entes gubernamentales donde existen un
contratación pública, en especial en los casos de licitación y concurso público ya que facilitan el
Los avances en las tecnologías de la información y la comunicación han permitido que el Estado
actualmente en Colombia una entidad pública regula y controla este proceso mediante un portal
electrónico Stivel y Sarmiento (2014), lo que de alguna manera le ofrece a los proponentes
igualdad de oportunidad.
10
disponibilidad de flujo de caja para dar cumplimiento a las obligaciones contractuales adquiridas
Sumado a esto, es escasa la valoración del activo intangible (recurso humano) debido a la alta
producto de la temporalidad de los proyectos y por la deficiente asignación salarial acorde a las
Por lo anterior esta investigación pretende brindar elementos que permitan tomar medidas antes,
durante y después de la ocurrencia de eventos inesperados que afecten los procesos críticos de
una constructora para que se garantice el restablecimiento de las operaciones en el menor tiempo
posible.
De acuerdo a los antecedentes y dado que el proceso crítico en una constructora es la ejecución
en sí de las obras y los riesgos asociados a los que se ve expuesta una constructora y que pueden
generan interrupción de los servicios, por lo cual se plantea el diseño de un (PCN) Plan de
Continuidad del Negocio para que en el corto plazo logre enfrentar los retos del mercado y
2. Justificación
(Cámara de Comercio 2011), en las cuales se ha identificado a través de revisión documental que
no cuentan con un plan de continuidad del negocio que incluya medidas antes, durante y después
de los incidentes, estableciendo acciones preventivas que permitan mitigar los riesgos creando
respuesta a emergencias en los procesos críticos del negocio, para que se garantice el
experiencia laboral en constructoras donde son recurrentes los casos en los cuales las PYMES
del sector de la construcción desaparecen del mercado por no considerar los riesgos y los
constantes cambios del entorno, los cuales no solamente generan oportunidades para las
empresas, sino que también traen consigo factores que desestabilizan su permanencia en el
de crear una Empresa para proteger los recursos (humanos, tecnológicos y propiedades) que
poseen, es por ello que se plantea el diseño de un Plan de Continuidad del Negocio (PCN) para
una constructora de la ciudad de Medellín, como una herramienta de apoyo que les permita
definir los lineamientos para dar respuesta a eventos inesperados en el proceso crítico de la
3. Objetivos
Diseñar un plan de continuidad del negocio para una empresa Constructora de la Ciudad de
Medellín basados en la norma ISO 22301, que garantice su permanencia en el mercado ante la
Analizar y priorizar los riesgos presentes en los procesos críticos como insumo para la
identificación de las estrategias que harán parte del PCN Plan de Continuidad del Negocio.
incidente.
13
4 Marco referencial
4.1 Antecedentes
La planeación de la continuidad del negocio es una herramienta que permite a las entidades
Empresariales, sin importar su tamaño o actividad, prepararse para responder frente a eventos
que pongan en riesgo el cumplimiento de los compromisos establecidos con sus clientes,
continuidad del negocio (PCN) y que se convierte en una herramienta para definir la estructura
de la presente investigación.
plan de continuidad del negocio que fuera aplicable a los hospitales en la ciudad de Bogotá a
analizar posibles vulnerabilidades y riesgos, que permitieran definir las estrategias que
concepto de continuidad del negocio y las ventajas que puede aportar a una organización con
riesgos y las metodologías disponibles para el desarrollo de los planes, que se convierta en
una herramienta para responder frente a eventos que pongan en riesgo el cumplimiento de los
compromisos establecidos con sus clientes, proveedores y demás partes interesadas. En esta
existente sobre la continuidad del negocio para definir la guía de planeación de continuidad
del negocio en las empresas de la ciudad de Bogotá. Al final se determinó el perfil de las
empresas que han desarrollado o que se encuentran en proceso de formulación de los planes
tamaño que desarrollan sus actividades en los sectores económicos, de servicios financieros,
Modelos de Gestión de Continuidad del Negocio” expuso los modelos más recientes para que
terrorismo, terremotos, fallas de la tecnología, entre otros, que pudieran generar interrupciones
documental donde se presentaron los modelos existentes y sus diferencias; concluyendo que la
mayoría de ellos se basaron en el estándar británico BS 25999 y que podrían ser adaptados de
atraso significativo frente a naciones más desarrolladas” Serpell, (2002), “la investigación
sobre este sector ha sido considerada, hasta ahora, como un lujo innecesario y los trabajos que
que los principales esfuerzos por mejorar la productividad y competitividad se han centrado en
particular, pero hay que tener presente el evento ocurrido con el desplome del Edificio Space
en octubre de 2013 en la ciudad de Medellín, lo que sin lugar a dudas generó una alerta sobre
la materialización de los riesgos a los que se exponen las construcciones; de hecho en este
Hoy en día, la gestión de la continuidad del negocio abarca a todas las funciones y recursos,
procesos críticos del negocio, recursos humanos, mantenimiento y respaldo del suministro
Ángel y Velasco, (2014).Por lo anterior el presente estudio plantea el diseño de un PCN para
construcción que, de acuerdo a sus palabras “explican, en parte, muchos de los problemas de
clima y el entorno natural, dada la condición de que gran parte del trabajo se realiza al aire
Presión de trabajo, la construcción se caracteriza por ser una actividad que trabaja contra el
tiempo, donde la presión por el cumplimiento de plazos es muy intensa. Esta realidad
17
dirección no muestra gran interés por asignar éstos a empresas que exhiben un estándar de
esquemas de contratación asignan todo el riesgo a los contratistas, sin un análisis de quien
los puede controlar mejor; etc. La fragmentación propia de la industria no estimula las
transferencia de oficios que se produce en terreno, dentro de un estilo artesanal. Por otro
Actitud mental, que se caracteriza por la falta de cuestionamiento de lo que se hace, los
lleva a una falta de cuestionamiento; falta desafió para mejorar el desempeño (calidad y
En las empresas constructoras, cualquier clase de proyectos genera algún tipo de riesgos, bien
sea operativo, de gestión, financiero, ambiental e incluso social, lo que se verá reflejado en los
margen de utilidad.
Los riesgos pueden surgir por diversas fuentes, internas o externas, y pueden agruparse en
diversas categorías o tipos como son: riesgo de crédito, estratégico, de liquidez, de mercado,
4.2.1.1Riesgos operativos.
El riesgo operacional es un complejo conjunto de desafíos, donde hay mucho trabajo por realizar.
renovación de los Procesos de Gestión Estratégica que combina lo mejor de los conceptos
externos.
establecer el contexto, identificar, analizar, evaluar, tratar, monitorear y comunicar los riesgos
asociados con una actividad, función o proceso de una forma que permita a las organizaciones
Es la posibilidad de pérdida en que incurre una entidad al ser sancionada u obligada a indemnizar
contractuales.
20
El riesgo legal surge también como consecuencia de fallas en los contratos y transacciones,
Es la posibilidad de pérdida en que incurre una entidad por desprestigio, mala imagen, publicidad
negativa, cierta o no, respecto de la institución y sus prácticas de negocios, que cause pérdida de
Se entiende por factores de riesgo las fuentes generadoras de riesgos operativos que pueden o no
generar pérdidas.
Son factores de riesgo el recurso humano, los procesos, la tecnología, la infraestructura y los
indica a continuación.
Son situaciones asociadas a la fuerza de la naturaleza u ocasionadas por terceros, que escapan en
De acuerdo con cifras de las empresas especializadas en el sector de la construcción, son muy
organización. Las constructoras no han sido indiferentes a las crisis o malos resultados durante la
década entre el 2000 y 2010; y como consecuencia dejaron proyectos inconclusos, aplazados o
con resultados negativos, la dinámica que genero dichos proyectos, demostró la incapacidad de
gestionar riesgos, o variables inconclusas las cuales llevaron al fracaso de muchas sociedades en
el sector de la construcción.
Las empresas constructoras tenían diferentes ventajas de acuerdo a su experiencia en contar con
la infraestructura necesaria para la ejecución de los proyectos, pero al mismo tiempo pudieron
existir obstáculos poco visibles como un área financiera con personal capacitado en el tema y
22
que pudieran desarrollar las herramientas para evaluar proyectos, sensibilizarlos y prevenirlos de
los cambios económicos del país en general, y así facilitar su análisis y mejora en los estados de
De otro lado los riesgos en estas empresas se potencializan por esperas en el proceso
constructivo, lo cual alerta a constructores sobre la necesidad de una mejor planificación para la
otras.
Lo anterior, con el fin de encontrar cuáles actividades u oficios se constituyen en factores a los
que se debe tener en cuenta para implementar mejoras en el proceso, sea en los planes de
las comunicaciones, entrega de insumos, controles en la obra etc., como también establecer
Para legitimar la administración del riesgo operativo, las empresas deben identificar los
Contexto de la Organización
Liderazgo
Planificación
Soporte
Operación
Evaluación del desempeño
Mejora
Fuente: www.i2c-net.com
Entendimiento de las necesidades y expectativas de las partes interesadas. Una técnica sugerida
para identificar a los stakeholders y sus expectativas es reunir un grupo de directivos y conseguir
que hagan una lista de los grupos de interés y sus expectativas, y luego clasificarlos en orden de
importancia para la organización. Debería hacerse especial hincapié en las expectativas de los
Determinar el alcance del SGCN. Se debe establecer los requerimientos del SGCN, considerando
Asimismo identificar productos y servicios y todas las actividades relacionadas al alcance del
SGCN, tomando en cuenta a las partes interesadas, como clientes, inversionistas, accionistas,
4.2.3.2Liderazgo.
del SGCN, y que son compatibles con la dirección estratégica de la organización, que los
recursos necesarios están disponibles, y que se logre los resultados previstos. Se debe
Política. Debe ser breve y apropiada para la organización, teniendo en cuenta su naturaleza,
organización.
25
4.2.3.3 Planeación.
Acciones para abordar riesgos y oportunidades. Tratar de no hacer mucho la primera vez o
alta dirección, dando el tiempo suficiente para la fase de diseño. Los esfuerzos iniciales
deben ser percibidos como útiles y con legitimidad organizacional. La alta dirección debe
Determinar los riesgos y oportunidades necesarias para asegurar que el sistema de gestión
Objetivos de continuidad del negocio y planes para lograrlos. Deben ser consistentes con
las políticas de continuidad del negocio, tomar en cuenta el nivel mínimo de productos y
servicios para lograr los objetivos, y ser medibles, monitoreados y actualizados como sea
apropiado.
4.2.3.4 Soporte.
SGCN.
Competencia: Se deben determinar las competencias necesarias del personal para realizar
interrupciones.
interrupción. Contar con material preparado que pueda ser rápidamente adaptado cuando se
requiera puede salvar tiempo, que incluya una declaración e información general de la
Debe estar disponible donde y cuando se necesite, y estar adecuadamente protegida para
4.2.3.5 Operación.
actividades, priorizar los plazos para la reanudación de las actividades a un nivel mínimo
personas, activos, socios y otros recursos que las soporten; e identificar tratamientos de
los pasos específicos a tomar durante una interrupción, ser flexible para responder a
impacto, activar una respuesta apropiada de continuidad del negocio, tener procesos y
durante y después del incidente, un procedimiento para activar la respuesta, detalle para
constructora de la ciudad de Medellín – Colombia bajo la norma ISO 22301 que permita la
mitigación de los riesgos más comunes a los cuales se expone, por lo anterior es necesario
integrado a toda la organización, que permite mantener alineados y vigentes todas las iniciativas,
29
Busca mantener la viabilidad antes, durante y después de una interrupción de cualquier tipo.
Plan de Continuidad de Negocio (PCN):“Un plan de continuidad del negocio (o sus siglas en
inglés BCP, por Business Continuity Plan) es un plan logístico para la práctica de cómo una
organización debe recuperar y restaurar sus funciones críticas parcial o totalmente interrumpidas
lenguaje sencillo, BCP es el cómo una organización se prepara para futuros incidentes que
puedan poner en peligro a ésta y a su misión básica a largo plazo. Las situaciones posibles
incluyen desde incidentes locales (como incendios, terremotos, inundaciones, etc.), incidentes de
Negociohttp://es.wikipedia.org/wiki/Plan_de_continuidad_del_negocio.
Plan de Recuperación de Desastres (DRP): Es la estrategia que se sigue para restablecer los
servicios de tecnología (red, servidores, hardware y software) después de haber sufrido una
afectación por un incidente o catástrofe de cualquier tipo, el cual atente contra la continuidad del
negocio.
Análisis de impacto del negocio (BIA): Permite realizar un análisis de Impacto del Negocio es
decir identificar las actividades de misión crítica de una organización, sus dependencias y sus
puntos de fallas así como analizar el impacto y el efecto que se generaría en caso de la pérdida e
30
interrupción de las actividades de misión crítica. A su vez, informar y permitir opciones para
Correa,(2010).
Amenaza: Persona, situación o evento natural del entorno (externo o interno) que es visto como
una fuente de peligro, catástrofe o interrupción. Ejemplos: inundación, incendio, robo de datos.
ICETEX, 2013.
causada por la falta de controles, llegando a permitir que la amenaza ocurra y afecte los intereses
Riesgo: la norma ISO 31000, define el riesgo, como el efecto de la incertidumbre sobre los
objetivos.
Riesgo inherente: Es el cálculo del daño probable a un activo de encontrarse desprotegido, sin
Control: Es el proceso, política, dispositivo, práctica u otra acción existente que actúa para
definido como la actividad, que crea todo tipo de edificaciones y estructuras de ingeniería, así
país es un sector complejo de la economía, el cual abarca un gran rango de stakeholders y tiene
32
amplios vínculos con otras áreas como la manufactura y el uso de materiales, energía, finanzas,
Las siguientes son las normas que contemplan la continuidad del negocio a nivel local e
internacional.
Colombiade 1993.
BS25999 Business Continuity Management British Standards Institute (BSI) Estándares para
Lineamientos para la gestión de continuidad del negocio. Enfocada bajo gestión de procesos
2008.
estándar australiano AS/NZS 4360:2004 que proporcionaba un enfoque para la gestión de riesgos
que ayuda a que las organizaciones sean de cualquier tamaño o rubro puedan gestionar
efectivamente todos sus riesgos a través de una serie de principios y de una manera eficaz.
33
Decreto 926 de 2010, por el cual se establecen los requisitos de carácter técnico y científico para
de Colombia.
2012 la ISO emitió el estándar ISO 22301 Sociedad de Seguridad – Sistema de Gestión de
estándar internacional son genéricos e intentan ser aplicables a todas las organizaciones, o parte
5 Diseño metodológico
5.1Enfoque
En este sentido esta investigación propone diseñar un plan de continuidad del negocio para una
Empresa Constructora de la ciudad de Medellín basado en la norma ISO 22301, para que se
5.2 Método
Esta investigación se basa en el método deductivo que consiste en tomar conclusiones generales
para obtener explicaciones particulares. El método se inicia con el análisis de los postulados,
Bernal, (2010).
35
Específicamente en este estudio se tomó como referencia la Norma ISO 22301:2012, así como el
análisis de autores y documentos que trataron la temática del (PCN) Plan de Continuidad del
Negocio.
Por lo anterior este tipo de método permite indagar las realidades de los sectores donde se ha
implementado un Plan de Continuidad del Negocio de tal forma que se convierta en un referente,
describir situaciones y eventos, es decir cómo es y se manifiesta determinado fenómeno. Los estudios
cualquier otro fenómeno que sea sometido a análisis Dankhe, (1986). Este tipo de investigación mide
Desde el punto de vista científico, describir es medir. Esto es, en un estudio descriptivo se
seleccionan una serie de elementos, se mide cada uno de ellos independientemente, para así -y valga
la redundancia- describir lo que se investiga, ya que esta describe de modo sistemático las
características de una población, situación o área de interés. Aquí se recogen los datos sobre la base
de una hipótesis o teoría, donde se expone y se resume la información de manera cuidadosa y luego
se analizan minuciosamente los resultados, con fin de extraer generalizaciones significativas que
meta no se limita a la recolección de datos, sino a la predicción e identificación de las relaciones que
Análisis documental según Bernal, (2010) es una técnica basada en fichas bibliográficas
que tienen como propósito analizar material impreso o digital que sirva de apoyo para la
elaboración del marco teórico, conceptual y legal. En este orden de ideas se revisarán
libros, videos, diapositivas, artículos de revistas y casos aplicados del tema en particular
contacto directo con las personas que se consideren fuente de información, puede
En esta investigación se aplicará una entrevista semiestructurada, la cual cuenta con una
negocio.
Para este caso, cada una de las afirmaciones hará parte de dos categorías según la Tabla
N°1 Categorías, subcategorías e indicadores, las que serán analizadas posteriormente. Las
afirmaciones que hacen parte del cuestionario KPSI serán elaboraciones propias de las
1 “Se lo podría explicar a mis compañeros”, 2 “creo que lo sé”, 3 “no lo entiendo y 4 “no
en sus organizaciones.
Fuentes Primarias: Son todas aquellas de las cuales se obtiene información directa, es decir, de
donde se origina la información. Es también conocida como información de primera mano o del
Obras en ejecución
Entes de control.
Fuentes secundarias: Entre las fuentes secundarias consultadas para la formulación y desarrollo
Libros.
Revistas.
Documentos.
Documentales.
Medios de información.
Internet
40
Teniendo en cuenta que el objetivo general de ésta investigación consistió en, diseñar un plan de
norma ISO 22301:2012, para que se garantice su permanencia en el mercado ante la ocurrencia
información como: Entrevista, encuesta y cuestionario KPSI al personal directivo de las PYMES
de la construcción seleccionadas.
del Plan de Continuidad del Negocio bajo la Norma ISO 22301:2012, enmarcados en el contexto
A partir de la información antes descrita se detallan los resultados obtenidos para el análisis de
los indicadores planteados sobre el conocimiento del Plan de Continuidad del Negocio bajo la
Entrevistador: se nombrará: E1
Entrevistado se nombrará: A1
Entrevistador: se nombrará: E2
42
Entrevistado se nombrará: A2
Indicadores:
Gestión Estratégica
Planificación de obra
Calidad y Competitividad
Amenazas naturales
Indicador
Gestión Estratégica
Según Serna, (2014) La Gestión Estratégica es el proceso mediante el cual quienes toman
externa, con el fin de evaluar la situación presente de la empresa así como su nivel de
un Plan de Continuidad del Negocio dada la vulnerabilidad de este tipo de empresas a eventos
inesperados.
identificar que la gestión estratégica según A1: “aunque la dirección realiza una planeación
estratégica que si bien considera los riesgos a los que se exponen de forma general, se
44
desconoce el concepto de Plan de Continuidad del Negocio ” , A2: indica que “ Se realiza una
Para los directivos entrevistados aunque sus Empresas cuentan con una Gestión Estratégica esta
no contempla el concepto de Plan de continuidad del Negocio por ser un tema desconocido para
ellos. Esto se ve reflejado en las encuestas realizadas al personal directivo de proyectos de las
En la gráfica se observa que aunque en un 60% de las encuestas realizadas la dirección concibe
gestión estratégica.
Lo anterior permite inferir que se requiere formación frente al concepto de Continuidad del
Gestión Estratégica.
45
Indicador
Planificación de obra
En las entrevistas aplicadas a los empresarios se les pregunto: ¿ La etapa de planificación de las
obras antes de su ejecución contribuye al mejoramiento continuo ? sus respuestas fueron: A1 “Es
evidente que si hay una buena planeación, la ejecución será mucho mejor y en ella se debe
tratar de tener en cuenta la mayor cantidad de imprevistos posibles, aunque nunca se podrá
tener una cobertura al 100% pero si se hará más fácil la etapa de ejecución” por su parte A2
respondió “Si porque de una buena planeación se pueden prevenir en gran medida las fallas en
En este sentido los Gerentes coinciden en que la etapa de planificación contribuye al éxito de las
De igual forma en el siguiente gráfico se muestran los resultados obtenidos a partir de la encuesta
NO
0%
SI
100%
De la gráfica se deduce que todos los encuestados coinciden con que la etapa de planificación de
las obras antes de su ejecución contribuye al mejoramiento continuo porque se pueden prevenir
afirmativas.
Indicador
Calidad y Competitividad
Según el modelo de la norma ISO 9000, la calidad se define como el “grado en el que un
conjunto de características inherentes cumple con los requisitos”, entendiéndose por requisito
se refiere a la capacidad que tiene una persona, empresa o país para obtener rentabilidad en el
contribuye al logro de una ventaja competitiva en las Constructoras que les permita posicionarse
en el sector.
Con respecto a la calidad y a la competitividad se obtuvieron las siguientes respuestas por parte
de los entrevistados A1: “La calidad es importante porque se disminuyen los reprocesos,
A2: “Las obras realizadas con calidad hacen que las Empresas tengan ventajas competitivas y
De éstas percepciones se puede establecer que la calidad de las obras apunta al logro de los
Complementando lo anterior los directivos encuestados manifiestan que la calidad en las obras es
gráfica donde el 100% da una respuesta afirmativa a la pregunta: ¿La calidad de las obras
NO
0%
SI
100%
Indicador
Amenazas Naturales
Una definición ampliamente aceptada caracteriza a las amenazas naturales como "aquellos
elementos del medio ambiente que son peligrosos al hombre y que están causados por fuerzas
excluye a todos los fenómenos causados exclusivamente por el hombre, tales como las guerras y
con la estructura y función de los ecosistemas como por ejemplo, las infecciones. (www.oas.org).
A los entrevistados se les pregunto: ¿Los periodos de lluvia y/o amenazas naturales a las que se
expone una obra pueden generar retrasos o suspensiones con la subsecuente pérdida financiera?
49
las respuestas fueron A1: La ley 1150 de 2007 anulo los reclamos de imprevistos por lluvias, por
tanto la empresa de construcción debe prever dentro de la planificación ese riesgo y costearlo
como imprevisto pero no imputable a la entidad contratante sino de los costos indirectos de la
actividad. A2: Si porque alteran la programación de las obras afectando los plazos y costos
previstos, lo cual incide directamente sobre la rentabilidad y deberán ser incluidos en los costos
entrevistados frente a las amenazas naturales, pero coinciden en que éstas afectan negativamente
De otro lado, a partir de las respuestas de los encuestados las opiniones están divididas,
predominando la tendencia negativa donde un 60% considera que las amenazas naturales no
deben generar pérdidas financieras debido a que este tipo de riesgos se consideran en los costos
del contratista. El 40% restante considera que este tipo de riesgos genera un impacto negativo en
SI
40%
NO
60%
Indicadores
Las firmas constructoras al aceptar los contratos adquieren responsabilidades legales con sus
clientes y pueden ser sancionadas u obligadas a indemnizar daños como resultado del
A las personas entrevistadas se les hizo la siguiente pregunta: ¿ Las multas y sanciones
empresa con sanciones y multas genera una mala imagen ante las entidades contratantes y
disminuye puntos en un proceso de contratación por ende implica pérdida de clientes y A2: No,
De los dos instrumentos de recolección de información aplicados se evidencia que las multas y
en el siguiente gráfico:
Indicador
El análisis de impacto del negocio (BIA) permite identificar la urgencia de recuperación para
interrupción, ya que la continuidad del negocio gira en torno al impacto. En primera instancia se
con el fin de determinar los procesos y servicios denominados críticos, a los cuales luego se les
realiza una estrategia de recuperación para dar una continuidad a estas actividades críticas,
además se determinan los tiempos de recuperación, es decir, hasta que tiempo será tolerable la
organización de resistir una interrupción, también como los roles y grupos encargados para la
recuperación. Adicionalmente es en esta etapa a partir de la cual se definen las estrategias para la
elaboración del PCN y esta corresponde al requisito 8.3 de la norma ISO 22301:2012.
Para este indicador se obtuvieron las siguientes respuestas por parte de los entrevistados a la
pregunta: ¿La organización cuenta con un Plan de Continuidad del Negocio bajo la norma ISO
22301 y está estructurado para responder oportunamente ante un evento inesperado ?A1:
Desconozco que es un plan de continuidad del negocio y A2: No contamos con un Plan de
Los entrevistados manifiestan desconocer el tema de la Continuidad del Negocio bajo la Norma
De igual forma para la muestra encuestada el 60% desconoce que es un Plan de Continuidad del
Negocio bajo la Norma ISO 22301:2012 y el 40% presenta ambigüedad en sus respuestas,
porque interpretan que la atención a eventos inesperados está asociada a las situaciones
53
cotidianas que se pueden presentar durante la ejecución de la obra, sin considerar la gestión de
SI
40%
NO
60%
Indicador
para asegurar la continuidad de las actividades y la gestión de un incidente que genere una
Ser específicos en relación a los pasos inmediatos a ser tomados durante una interrupción.
cambiantes.
mitigación adecuadas.
Ejercicios y pruebas: Para asegurar que los procedimientos de continuidad de negocio son
consistentes con sus objetivos de continuidad de negocio, las organizaciones deben hacer
pruebas regularmente. Los ejercicios y las pruebas son procesos de validación de planes y
procedimientos de la continuidad de negocio para asegurar que las estrategias seleccionadas son
A las personas entrevistadas se les hizo la siguiente pregunta: ¿Se implementan ejercicios de
eventos y A2: No, porque el plan de emergencias aún no se ha puesto a prueba. Esto indica que
éstas Empresas solo cuentan con un Plan de atención de emergencias y no se contemplan los
Al observar los resultados de la pregunta No. 10, se tiene que el 80% de los encuestados indican
que no realizan ejercicios y/o pruebas para la validación de las estrategias ante eventos
inesperados, esto reafirma que si las PYMES de la construcción no cuentan con el Plan de
Continuidad del Negocio mucho menos realizarán ejercicios de prueba y mantenimiento del
mismo.
NO
80%
Los siguientes resultados corresponden al Cuestionario KPSI aplicado para la medición del
CATEGORIA 1 2 3 4
En la Tabla N°2 se observa que en los promedios por categorías del cuestionario KPSI el 40% de
la muestra seleccionada desconoce el tema del análisis de impacto del negocio y el 16% lo
Lo anterior reitera los resultados obtenidos con la aplicación de los instrumentos de recolección
El resultado del análisis del ítem 1 indica que el 40% de la muestra no entiende o no conoce el
tema relacionado con el análisis de riesgo asociado al análisis de impacto del negocio, y solo el
desconocimiento del tema del análisis de impacto del negocio debido a que en éstas Empresas no
3. No lo
entiendo
40%
En el gráfico N°9 se observa que un 60% conoce y podría explicarle a sus compañeros la
afirmación 2“que la organización está expuesta a riesgos internos y externos que la hacen
vulnerable a pérdidas operativas, financieras y reputacionales”, lo que indica que los riesgos
internos y externos a los que se expone la Empresa son diferenciados por las personas que
2. Creo que lo
sé 1. Se lo podría
40% explicar a mis
compañeros
60%
por una interrupción de los servicios en caso de materializarse un riesgo” el grupo experimental
le da un porcentaje del 60% a la categoría 2 creo que lo sé lo que indica un conocimiento sobre la
afirmación. Esto muestra que hay claridad frente a las consecuencias que se derivan de una
4. No lo sé 1. Se lo podría
20% explicar a mis
compañeros
0%
3. No lo entiendo
20% 2. Creo que lo sé
60%
Por otra parte en el gráfico 11 relacionado con la afirmación 4 “Conozco la norma ISO
categoría 4 del cuestionario KPSI no lo sé, con un porcentaje del 80% mientras que la categoría 2
Creo que lo sé, representa un porcentaje del 0%, evidenciando que la muestra seleccionada no
sabe de la existencia de la norma ISO 22301 SGCN - Sistema de Gestión de la Continuidad del
4. No lo sé
80%
La afirmación 5 “Entiendo que el Plan de Continuidad del Negocio con el que cuenta la empresa
arroja un 0% para las categorías 1 y 2 del cuestionario KPSI, mientras que las categorías 3 y 4
obtienen porcentajes del 60% y 40% respectivamente, en este sentido el grupo experimental
considera no tener un nivel apropiado del conocimiento sobre el tema del Plan de Continuidad
del Negocio.
60
3. No lo
4. No lo sé entiendo
60% 40%
La norma ISO/IEC 22301:2012 (ISO 22301, 2012), que se creó en respuesta a la norma británica
Esta norma puede ser utilizada en todo tipo de organización ya que cubre todos los ámbitos de
Fuente: www.ariescg.com
En esta fase se identifican los procesos críticos que apoyan los productos y servicios de una
organización, las interdependencias entre procesos y recursos requeridos para operar los procesos
A nivel general en una PYME de la construcción se pueden considerar los siguientes procesos:
Proceso Gerencial
Proceso Comercial
Proceso de Compras
Gráfico N°14.
63
proceso.
N °3 presentada a continuación.
64
Plan de calidad.
Control del cronograma
Almacenamiento de Proyecto terminado a Ingeniero residente
Personal competente
materia prima e insumos, satisfacción del cliente de cada proyecto
bienes del cliente.
Atención de
reclamaciones y garantías
Programación y Presupuesto
En la Tabla N°4 se relacionan las actividades del proceso de ejecución de obras asociadas a los
La identificación del riesgo se realiza determinando las causas, con base en los factores internos
y/o externos analizados para la organización y que pueden afectar el logro de los objetivos.
La identificación de los riesgos a los que se expone una empresa del sector de la construcción
obsoletos actividades
Demoras en la toma de
decisiones por parte de la
interventoría o directores
de obra
Cambios climáticos
Desconocimiento del plan
de calidad de la obra
Sobrecarga laboral para el
residente de obra Incumplimiento de No se aplica el plan de Obras de mala calidad o no
Resistencia al cambio especificaciones Inspección y ensayo conformes
humanos, económicos e
infraestructura
Materiales e insumos de
mala calidad Multas o sanciones
Procedimientos Pérdida de imagen y
preventivos Equipo.
Obras de mala calidad.
Maquinaria y Equipo Elementos de trabajo que
Retrasos en la programación de
obsoletos disminuyen su nivel de
Falta de recursos obra.
operación
económicos Bajos rendimientos
68
El análisis del riesgo busca establecer la probabilidad de ocurrencia del mismo y sus
consecuencias, este último aspecto puede orientar la clasificación del riesgo, con el fin de
obtener información para establecer el nivel de riesgo y las acciones que se van a implementar.
riesgos. Se han establecido dos aspectos a tener en cuenta en el análisis de los riesgos:
Probabilidad e Impacto.
Por probabilidad se entiende la posibilidad de ocurrencia del riesgo; esta puede ser medida con
materialización del riesgo. Para adelantar el análisis del riesgo se deben considerar los siguientes
aspectos:
Tabla 6 Probabilidad
Bajo el criterio de impacto, el riesgo se debe medir a partir de las siguientes especificaciones:
Tabla 7 Impactos
Evaluación del Riesgo: Permite comparar los resultados de la calificación del riesgo, con los
criterios definidos para establecer el grado de exposición de la entidad; de esta forma es posible
71
distinguir entre los riesgos aceptables, tolerables, moderados, importantes y aceptables y fijar
Para facilitar la calificación y evaluación a los riesgos, a continuación se presenta una matriz que
Las categorías relacionadas con el impacto son: insignificante, menor, moderado, mayor y
catastrófico. Las categorías relacionadas con la probabilidad son raras, improbables, posibles,
Este primer análisis del riesgo se denomina Riesgo Inherente y se define como aquél al que se
probabilidad o impacto.
La valoración del riesgo es el producto de confrontar los resultados de la evaluación del riesgo
con los controles identificados, esto se hace con el objetivo de establecer prioridades para su
manejo y para la fijación de políticas. Para adelantar esta etapa se hace necesario tener claridad
sobre los puntos de control existentes en los diferentes procesos, los cuales permiten obtener
Para realizar la valoración de los controles existentes es necesario recordar que estos se clasifican
en:
Preventivos: aquellos que actúan para eliminar las causas del riesgo para prevenir su
ocurrencia o materialización.
A continuación se detallan algunos controles de riesgos que pueden ser considerados por las
PYME de la construcción:
74
Una vez que se ha realizado la gestión de los riesgos detectados, se debe seleccionar una
estrategia de recuperación de negocio que asegure la continuidad de los procesos que hemos
La estrategia debe proteger las actividades priorizadas, establecer los requerimientos de recursos,
e implementar las medidas para reducir los riesgos y los periodos de interrupción.
Personas
Información/Documentos
Tecnología e Infraestructura
Proveedores
De igual forma las estrategias corresponden a las acciones que se deben tomar con el objetivo de
restablecer las operaciones del negocio, en el plazo determinado, una vez que ocurra alguna
El costo de la estrategia
Las siguientes son las estrategias que se plantean para la continuidad del negocio en una PYME
de la construcción:
76
ESTRATEGIA DESCRIPCIÓN
Se presenta cuando el colaborador que ejecuta los
Relevo de personal procesos no puede asistir a labor y desarrollar las
actividades propias de su cargo.
Consiste en la implementación de acuerdos con los
Acuerdos con proveedores proveedores para que proporcionen los recursos necesarios
en caso de eventos inesperados (materiales, maquinaria y
equipo).
Se considera la alternativa de que empresas del sector de
Acuerdos con empresas
la construcción aliadas atiendan los requerimientos de
relacionadas
personal, maquinaria, equipos, materiales, infraestructura,
en caso de materializarse un riesgo.
Se presenta cuando el hardware y/o software presenta
Estrategia tecnológica fallas, o por la interrupción prolongada de
telecomunicaciones.
Considera la posibilidad de acrecer del sistema para
Estrategia de contingencia
operar, teniendo como opción realizar la actividad de
manual
forma manual.
interrupción de los procesos críticos identificados en la etapa de análisis del negocio. Además se
definen los responsables y recursos requeridos para llevar a cabo las estrategias seleccionadas.
El desarrollo de los procedimientos de alerta y actuación ante eventos que puedan activar
el plan.
Una vez que se ha seleccionado la estrategia de respaldo hay que desarrollarla e implantarla
dentro de la empresa. En esta fase se desarrollan los procedimientos y planes de actuación para
las distintas áreas y equipos, y se organizan los equipos que intervienen en cada fase del plan.
Los equipos de emergencia están formados por el personal clave necesario en la activación y
desarrollo del Plan de Continuidad, cada equipo tiene unas funciones y procedimientos que
tendrán que desarrollar en las distintas fases del plan. Aunque la composición y número de
equipos puede variar según el tipo de estrategia de recuperación, a continuación se presentan los
situación. Este equipo debe tomar las decisiones “clave” durante los incidentes, además de servir
regularmente.
Análisis de la situación.
recuperación.
infraestructura necesaria para la recuperación, con el fin de poner en marcha los servicios críticos
afectados.
Este equipo se encargará de llevar a cabo las estrategias propuestas en la tabla No. 11.
Este equipo es responsable de todo lo relacionado con las necesidades logísticas en el marco de
Realizar el trabajo en conjunto con los demás para asegurar que todas las necesidades
Equipo de Crisis
Equipo de
Pruebas
incidente grave que puede afectar a la organización, debe comunicar a su jefe inmediato y este a
Procedimiento de Ejecución del Plan: Una vez notificado el incidente el Equipo de crisis se
Plan de Continuidad del Negocio es puesto en marcha, en caso afirmativo se desarrollará el Plan
de Continuidad.
amerite, será necesario documentar el mismo y gestionarlo para que no aumente su gravedad.
Fase de vuelta a la normalidad. Una vez restablecidos los procesos críticos y solventada la
contingencia, hay que definir diferentes estrategias y acciones para recuperar la normalidad de
todos los servicios de la compañía. Para ello se deben tener en cuenta los siguientes
procedimientos:
Realizar una valoración de los equipos e instalaciones dañadas por el incidente para
normalidad total del funcionamiento. Estas acciones pueden incluir compra de los
Una parte importante del Plan de Continuidad, es conocer que realmente funciona y es efectivo.
Para ello se define la estrategia de pruebas y se realiza la prueba del plan, para afinarlo según los
resultados. Además, en esta última fase se definirán los procedimientos de mantenimiento del
plan.
Se debe probar el plan de manera integral, para poder definir tareas, situaciones, características
que ayuden a mejorar el plan en función de los resultados obtenidos y así poder cubrir las
8 Conclusiones
La norma ISO 22301 es aplicable a todo tipo de empresas y busca establecer los Planes
de un análisis de riesgo.
Con base en la matriz de riesgo operativo para el proceso crítico de Ejecución de obras se
servicios no conformes al cliente, Multas y/o sanciones, debido a que obtuvieron una
consideradas son: Reducir el riesgo, evitarlo, compartirlo o transferirlo, esto con el fin de
mitigar las posibles pérdidas a las que se pueda enfrentar una PYME de la construcción y
La gestión del riesgo operativo es de suma importancia para las PYME del sector de la
Los PCN son efectivos en la medida en que estén articulados con la gestión estratégica y
disponibilidad de los recursos necesarios para la puesta en marcha del plan en caso de
requerirse.
Los riesgos legales y contractuales a los que se enfrentan las PYMES de la construcción
mismas.
84
9 Recomendaciones
Mercado, deben realizar una gestión del riesgo integral asociada a la ejecución de los proyectos,
donde se establezcan acciones que mitiguen las pérdidas que puedan presentarse por la
ocurrencia de un evento inesperado, para lo cual se puede tomar como referencia la Norma ISO
Continuidad del Negocio) que permita la integración con otros sistemas de gestión para alcanzar
10 Bibliografía
Sharp, J. (2012) The route map to Business Continuity Management. Meeting the
http://www.gestion.com.do/pdf/018/018-nuevo-estandar-internacional.pdf
Bogotá. Bogotá.
86
en Colombia.Madrid.
Cárdenas, A. (2013). Desarrollo del plan de continuidad del negocio para la empresa
2011.
Medellín.
88
11 Anexos
89
Anexo 2 Encuestas
95
96
97
98