Plan de

Continuidad del
Negocio
Salles Sainz Grant Thornton S.C.
Agenda del día
✓ Introducción
✓ Consideremos un ejemplos sencillo
✓ ¿Cuál es el peor panorama para tu empresa
en un desastre?
✓ ISO 22301
✓ Determinar el Propósito de Alcance de tu PCN
y seleccionar al líder
✓ Determinar actividades prioritarias
✓ Determinar que necesitas para la continuidad
de tus negocios
✓ Evaluación de Riesgos
✓ Estar preparado financieramente
✓ Estrategias para la continuidad de negocios
temprana
✓ Respuesta de Emergencia
✓ No olvidar la protección previa al desastre
✓ Practica
✓ Revisión continua
✓ Normatividad
✓ Anexo 10
Introducción
Introducción

A lo largo de la historia han ocurrido acontecimientos naturales de toda índole con impactos negativos
o adversos sobre las estructuras de la sociedad; fenómenos naturales como terremotos, inundaciones,
huracanes, incendios y calamidades causadas por los seres humanos, como guerras, terrorismo,
manipulaciones dolosas de la economía, huelgas injustificadas, pandemias, entre muchas otras que
han afectado y seguirán afectando a las personas y a las operaciones de las empresas.

La globalización de los mercados ha incrementado la necesidad de prepararse para enfrentar con éxito
eventos adversos que pueden presentarse en forma de fluctuaciones cambiarias, inflaciones
galopantes, escases de insumos, regulaciones gubernamentales unilaterales y violencia sociopolítica
generalizada, por citar algunos ejemplos.

Frente a dicho entorno, los gobiernos corporativos deben prepararse de manera oportuna y
permanente a fin de mitigar los impactos negativos sobre la estabilidad del negocio en el caso de que
ocurra un desastre. Al respecto, una respuesta concreta ha sido el “Plan de Continuidad del Negocio”,
cuyos componentes, incluso, han sido adoptados por autoridades regulatorias como una obligación
para determinadas empresas
“No estar preparado, es prepararse para fracasar”
B. Franklin
Consideremos un ejemplo sencillo…

Un accidente de trafico.

¿Cuál es el peor panorama

(desastre) para un accidente
de tráfico?
• Lesión severa que ocasiona una
discapacidad permanente, que no
te permite regresar a tu vida
cotidiana.

• Tu y el conductor pierden la vida.

Consideremos un ejemplo sencillo…

Seamos un poco más positivos…

Si eres afortunado y solo sufres lesiones menores en el accidente de tráfico, podrás

recuperarte en poco tiempo y regresar a tu vida cotidiana
¿Cuál es el peor panorama para tu empresa en un desastre?

Tu empresa experimenta un daño irremediable si los

recursos esenciales sufren un deterioro devastador que
ocasiona que se pierda toda esperanza de recuperación

Tu empresa sufre un daño severo que ocasiona un gran

trastorno en tu negocio. Como resultado, podrías perder
clientes importantes y verte obligado a recortar
operaciones.
 ¿Cuál es el peor panorama para tu empresa en un desastre?

El mejor panorama para tu empresa es que se contenga el daño

al mínimo, de modo que reanudes operaciones y el nivel de
funcionalidad sea el mismo o mayor, en un período corto de tiempo.

El Plan de Continuidad del Negocio se refiere a la capacidad de la

empresa para alcanzar el panorama de supervivencia
¿Está tu empresa preparada para enfrentar un
desastre?

Contestemos algunas preguntas…

¿Cuál es el panorama de catástrofe que puede llevar a su empresa a la quiebra?

¿Qué tan rápido puede tu empresa recuperarse de una interrupción en las

operaciones a causa de un desastre?

¿Cuáles son los recursos esenciales cuya disponibilidad determina la vida o muerte
de tu empresa?

En un plazo de 5 a 10 años, ¿qué tipo de desastres y accidentes tendrían un mayor

impacto en tu empresa y desencadenarían un panorama catastrófico?
¿Te fue sencillo contestar las preguntas anteriores?

Si te fue sencillo responderlas, cuentas con la información base y podemos

declararnos listos para un Plan de Continuidad del Negocio

En caso negativo, no te preocupes, a lo largo

de esta presentación revisaremos como podemos
realizar este plan
ISO 22301

Estar preparados para un desastre natural o un accidente que le cause daños permanentes a tus bienes,
puede hacer la diferencia para salvar tu negocio.

A continuación, revisaremos cuales

son los 10 pasos para Desarrollar un
Plan de Continuidad del Negocio
ISO 22301
Determinar el
Propósito de Estar preparado
Practica
Alcance de tu PCN y financieramente
seleccionar al líder

Determinar Estrategias para la

actividades continuidad de Revisión continua
prioritarias negocios temprana

Determinar que
necesitas para la Respuesta de
continuidad de tus
negocios
Emergencia
Plan de
Continuidad
No olvidar la
Evaluación de
Riesgos
protección previa al
desastre
del Negocio
Determinar el Propósito de Alcance de tu PCN y
seleccionar al líder
Propósito:
El propósito debe ser muy claro, y explicar por qué se implementará el PCN. El PCN busca proteger
la operación de su empresa ante desastres o accidentes. Un propósito claro es un criterio clave para
determinar las prioridades de tus productos o servicios esenciales

Alcance:
¿En qué área de tu empresa deseas implementar el PCN? Puedes limitar el alcance de tu PCN a
sectores clave (o áreas esenciales) de la empresa

Liderazgo en el PCN
Debes nombrar un líder para el PCN, quien tendrá la iniciativa en las actividades del PCN en toda la
empresa. Los líderes del PCN deben tener la autoridad y responsabilidad necesarias para
desempeñar este papel. El PCN abarca actividades a lo largo de toda la empresa que requieren la
participación activa y la cooperación de distintos sectores.

Las instrucciones verbales no son suficientes para lograr

resultados exitosos
Determinar actividades prioritarias

¿Cuál es el producto o servicio que sustenta a tu empresa?

¿Cuál es el producto o servicio cuya recuperación consideras prioritaria?
¿Cuál es la actividad que genera el producto que encabeza la lista de ventas de tu empresa?
¿Cuál local es el que vende más dentro de tu empresa?
Aquellas actividades que son esenciales dentro de tu empresa se llaman Actividades Prioritarias… El
primer paso es identificarlas.

Como segundo paso, conoce el impacto (cronología) de la interrupción total de las principales actividades
enumeradas.
¿Cuanto tiempo consideras que transcurriría para que la interrupción de dichas actividades se vuelva
inaceptable para tu empresa?

¿Qué debe hacer para que tu empresa sea de nuevo operacional en el menor tiempo posible, antes de
salirse del mercado o declararse en bancarrota?
Determinar actividades prioritarias

Comienza evaluando el impacto que sufriría tu empresa si las actividades fundamentales se trastornan
por un desastre natural o accidente.

Evalúa primero los impactos externos, los cuales afectan a los usuarios, clientes, y a la sociedad en
general. ¿Cuál sería el impacto sobre tus clientes o usuarios, el medio ambiente o la sociedad en general
si tu empresa dejase de proveer su producto o servicio? ¿Qué tanto tiempo estarían dispuestos a esperar
tus clientes para que tu empresa reanude operaciones? ¿Qué tan pronto cambiarían tus principales
clientes a otro proveedor?

Estudia los impactos internos según diversos criterios, como situación financiera (flujo de efectivo, por
ejemplo), problemas operacionales, y reputación de la empresa.
Determinar que necesitas para la continuidad de tus
negocios.

Las Actividades Prioritarias (AP) dependen de diversos recursos internos y externos. En caso de una
interrupción de Negocios, se requiere que dichos recursos estén disponibles y listos de modo que
puedan reanudarse las AP.
Inmueble
Equipo
Debes identificar y enumerar los recursos
necesarios, dividiéndolo en tres categorías: Recursos Maquinas
Internos Inventario
1. Recursos internos,
2. Servicios esenciales, y Sistema Tecnológico
3. Socios comerciales.
Capital Humano
En los siguientes pasos, evaluarás los Electricidad
riesgos que pueden enfrentar dichos Servicios
recursos, así como sus vulnerabilidades. Agua
Esenciales
Comunicaciones
Socios
Socios de
Proveedores
Negocios
Clientes
Evaluación de Riesgos

Debes identificar claramente cuáles riesgos pueden amenazar seriamente tu compañía.

Se sugiere crear una lista de estos riesgos y analizar de cuáles deben tomar medidas con alta
prioridad para prevenir daños lo más posible. Además debes analizar y estimar en qué medida tus
recursos esenciales se pueden estropear si estos riesgos se materializaran y cuanto tiempo tardarían
en recuperarse.

Determina los riesgos a los que se enfrenta tu empresa. Por ejemplo, desastres naturales como
huracanes, sismos, inundaciones, tifones, o accidentes industriales como incendios, explosiones,
apagones, fugas de sustancias químicas, o ataques intencionales como sabotajes o ataques.

El siguiente paso es evaluar el nivel de impacto y las probabilidades de que pase cada riesgo,
marcándolos como Alto (A), Mediano (M), Bajo (B)

Riesgo Impacto Probabilidad Prioridad

Sismo A M B A M B 1

Inundación A M B A M B 3
Determinar que necesitas para la continuidad de tus
negocios.
Paso seguido, selecciona un riesgo prioritario (ej.: sismo) y estima el nivel de daño causado y el
tiempo de recuperación para los recursos dañados a causa de este fenómeno

Recursos Acciones
Dia 3 días 1 Sem 2 sem 1 mes 2 meses 3 meses requeridas
Necesarios

Inmueble 7 días
Maquinaria y Equipo 30 días
Recursos Inventario 3 días
Internos
Sistema Tecnológico 10 días

Capital Humano 3 días

Electricidad 3 días
Servicios Agua 15 días
Esenciales
Comunicaciones 10 días

Socios 30 días
Socios de 20 días
Proveedores
Negocios
Clientes 10 días

Las medidas requeridas diferirán dependiendo del tipo de desastre, ya que las estimaciones de daños
pueden variar considerablemente
La protección previa al desastre

Cuáles recursos requieren tomar medidas para que tu compañía llegue a sus Tiempos Ideales de
Recuperación, habría que desarrollar el siguiente proceso, seleccionar los recursos que requieren
medidas de protección y mitigación y determinar los detalles de esas medidas,

Que debe de incluir:

1. Identificar recursos que necesitan tomar medidas;

2. Objetivos para esas medidas;
3. Medidas a tomar;
4. Planes específicos de esas medidas;
5. Tiempos de implementación de las medidas; y
6. el departamento responsable de implementar la medida.
Respuesta de Emergencia ante el desastre.
Debes considerar las medidas inmediatas a tomar cuando ocurre el incidente o fenómeno, para prevenir
que llegue a un escenario de emergencia se convierta en una situación de desastre incontrolable

Rescate y En primer lugar, la empresa debe crear un Plan de Evacuación que incluye los
Evacuación procesos, los lugares y los líderes del procedimiento de evacuación

Confirmación Es esencial no sucumbir al pánico o caos, sino comportarse con calma para tomar
segura de los las mejores decisiones de acuerdo a las circunstancias presentadas
empleados

Confirmación Debes establecer procedimientos para confirmar el bienestar del personal con
segura de la los
desplazamientos anticipación y rutas de movilización.

Estabilizar la Cuando un incidente ocurre y crea un escenario peligroso, debes trabajar

situación y en estabilizar la situación para asegurar la seguridad de tu personal y
prevención prevenir daños secundarios

Tu compañía debe tomar la decisión de hacer reparaciones y planes de

Encuesta de daños recuperación y debe empezar el proceso de recuperación lo antes
posible.

Protección de
bienes Proteger y preservar los equipos de tu empresa

Recopilación e
intercambio de Recolectar la mayor cantidad de
información del información de los medios, incluyendo la
incidente televisión, radio e internet
Estrategias para la continuidad de negocios temprana

Existen conceptos claves para la planificación de las Estrategias de Continuidad de Negocios que debes considerar para
continuar tus Actividades Prioritarias. Al considerar estos conceptos, crearás los planes de tu propia Estrategias de
Continuidad de Negocios para alcanzar tus Tiempos Ideales de Recuperación.

1. Debes restablecer los recursos dañados. Los edificios, equipos y maquinarias pueden requerir reparación y tal vez
la asistencia de compañías externas para ello
2. Debes considerar tener un lugar alternativo para continuar operaciones y revisar si hay suficiente distancia entre tu
lugar actual y el alternativo para que sean pocas las probabilidades de ser impactados por el mismo desastre natural
3. Es importante desarrollar una buena relación con tus proveedores ya que necesitarás su asistencia, además
deberás buscar la cooperación de socios externos, incluso de tu competencia.
4. Buscar formas alternativas y creativas para no interrumpir la operación. Por ejemplo: el equipo viejo que tienes
guardado reemplaza al equipo nuevo dañado en el desastre, o el trabajo manual reemplaza a las máquinas.
Estar preparado financieramente

¿Puede tu negocio sobrevivir financieramente si tus actividades se

interrumpen uno o dos meses?

El objetivo es reconocer las condiciones financieras de tu empresa en caso

de una emergencia y preparar las medidas necesarias con anticipación para
evitar la quiebra aún cuando se interrumpan los ingresos.

▪ Si se suspenden las operaciones de tu compañía, perderás ingresos pero

seguirás teniendo los gastos corrientes como salarios y renta

▪ Si tus instalaciones sufrieron daños, deberás pagar los costos de

recuperación

• Contempla todos los fondos disponibles como lo son,

efectivo, depósitos, acciones, entre otros.
• Averigua qué tipo de daños cubre tu seguro, si cubre
¿Qué debo de hacer? desastres naturales, y el monto de deducible que cubre.
• Estima los costos de recuperación
• Resume tus gastos ordinarios
Estar preparado financieramente

Una vez que se conoce la información respecto a:

• Fondos disponibles
• Costos de recuperación
• Gastos ordinarios

Al obtener el resultado de la resta de los Fondos disponibles, menos costos de recuperación y gastos ordinarios,
podremos conocer si nuestra empresa cuenta o no con fondos suficientes para recuperarse de la interrupción.

Si el balance es positivo, es probable que tu compañía tenga suficientes fondos

para recuperarse
Practica

Planificar y ejecutar son dos tareas muy diferentes. El Plan de Continuidad de tu

compañía debe ser efectivo para responder a la emergencia

El propósito de ejercitar el plan es asegurarse que el plan funciona efectivamente y puede cumplir
sus objetivos.

• Simulacro de evacuación
• Práctica de recuperación de datos: practica y prueba tu sistema de resguardo de datos IT
• Reiniciar operaciones: practica cómo sería el reinicio de actividades
• Operar en un sitio alternativo: practica y prueba armar un lugar alternativo de operaciones

La revisión después de la prueba es muy importante

para identificar las fallas o deficiencias, y hacer las
mejoras al plan
Revisión y Mejoras

Debes hacerte las siguientes preguntas para revisar cada paso.

• Las actividades de continuidad (que fueron decididas y planificadas) ¿se están llevando a
cabo efectivamente?
• ¿Hay espacio para mejorar alguno de las actividades?
• ¿Ha habido algún cambio en las circunstancias internas o externas que deben ser
tomadas en cuenta?
• ¿Hay algún área o asunto que no ha sido incluido en el PCN que debería serlo?
Disposiciones de carácter
general aplicables a las
Instituciones de
Tecnología Financiera.

Anexo 10
Normativa

El pasado 10 de septiembre en el Diario Oficial de

la Federación se publicaron las Disposiciones
Generales aplicables a las Instituciones de
Tecnología Financiera.

En su Capitulo V hace mención respecto al Plan de

Continuidad del Negocio y específicamente en el
articulo 59 sobre la obligatoriedad de las
Instituciones de Financiamiento colectivo de
contar con un plan de que permita, ante
Contingencias Operativas, la continuidad en la
prestación de sus servicios y en la realización de
sus procesos, su restablecimiento oportuno, así
como la mitigación de las afectaciones producto
de dichas contingencias.
Normativa

Adicional, en su articulo 60.- refiere lo siguiente:

Para desarrollar el Plan de Continuidad de Negocio,

las instituciones de financiamiento colectivo deberán
cumplir con los requerimientos mínimos establecidos
en el Anexo 10 de las presentes disposiciones.
Anexo 10
REQUERIMIENTOS MÍNIMOS PARA DESARROLLAR
EL PLAN DE CONTINUIDAD DE NEGOCIO
En la fracción I, de dichos anexos refiere lo siguiente:

Las instituciones de financiamiento colectivo, previo al desarrollo del Plan de Continuidad de Negocio, deberán
llevar a cabo un análisis de impacto al negocio que:

a) Contenga la totalidad de los servicios y procesos, identificando aquellos que sean críticos y que se
consideren indispensables para la continuidad de las operaciones
b) Determine los recursos humanos, logísticos, materiales, de Infraestructura Tecnológica y de cualquier otra
naturaleza mínimos necesarios para mantener y restablecer los servicios y procesos de la institución
c) Elabore escenarios relevantes relativos a las posibles Contingencias Operativas, considerando, entre otros,
los siguientes:

i. Desastres naturales y ambientales.

ii. Enfermedades infecciosas.
iii. Ataques cibernéticos o a la actividad informática.
iv. Sabotajes. ¿Cuentas con procedimientos de
v. Terrorismo. detección de operaciones de
vi. Interrupciones en el suministro de energía.
vii. Fallas o indisponibilidad en la Infraestructura Tecnológica. financiamiento al terrorismo?
viii. Indisponibilidad de recursos humanos, materiales o técnicos.
ix. Interrupciones ocurridas en servicios prestados por terceros.
Anexo 10
REQUERIMIENTOS MÍNIMOS PARA DESARROLLAR
EL PLAN DE CONTINUIDAD DE NEGOCIO

d) Estime los impactos cuantitativos y cualitativos de las Contingencias Operativas

e) Defina la prioridad de recuperación para cada uno de los procesos
f) Determine el tiempo objetivo de recuperación para cada uno de los servicios y procesos.
g) Establezca el punto objetivo de recuperación, entendido como la máxima pérdida de datos
tolerable para cada uno de los servicios y procesos.
h) Identifique y evalúe los riesgos relacionados con los procesos operativos y servicios de
procesamiento y transmisión de datos contratados con proveedores, así como los relacionados
con custodia y resguardo de información
i) Determine los riesgos derivados de la ubicación geográfica de los centros principales de
procesamiento de datos y de operación de los procesos identificados como críticos conforme al
inciso a)
j) Evalúe la necesidad de establecer sitios o servicios alternos de procesamiento de información,
así como de operación los cuales, en su caso, deberán permitir operar en el momento que así
se requiera.
Anexo 10
REQUERIMIENTOS MÍNIMOS PARA DESARROLLAR
EL PLAN DE CONTINUIDAD DE NEGOCIO

Fracción II

El Plan de Continuidad de Negocio deberá señalar los procesos que tendrán prioridad en la
recuperación cuando se presente una Contingencia Operativa

Fracción III

En el desarrollo del Plan de Continuidad de Negocio se deberán incorporar, al menos, las

siguientes acciones:

a) De prevención
b) De contingencia
c) De restauración
d) De evaluación
Anexo 10
REQUERIMIENTOS MÍNIMOS PARA DESARROLLAR
EL PLAN DE CONTINUIDAD DE NEGOCIO

Prevención,

i. La reducción de las vulnerabilidades en los procesos y servicios de la institución de

financiamiento colectivo ante Contingencias Operativas.
ii. La disposición de los recursos humanos, financieros, materiales, técnicos y de Infraestructura
Tecnológica necesarios para actuar de manera oportuna ante una Contingencia Operativa.
iii. El establecimiento de un programa anual de pruebas, o bien, antes si ocurre un cambio
significativo en la Infraestructura Tecnológica, procesos, productos y servicios, u organización
interna de la institución, respecto del funcionamiento y suficiencia del Plan de Continuidad de
Negocio que evalúe todas sus etapas y componentes.
iv. Las políticas y procedimientos de capacitación al personal involucrado.
v. Procedimientos de registro de los posibles hallazgos detectados durante las pruebas, así
como el plan para dar seguimiento y atención puntual a cada uno de estos.
Anexo 10
REQUERIMIENTOS MÍNIMOS PARA DESARROLLAR
EL PLAN DE CONTINUIDAD DE NEGOCIO

Contingencia,

I. Identificar oportunamente la naturaleza de las Contingencias Operativas que afecten los

procesos críticos de la institución de financiamiento colectivo.
II. Contener los efectos de Contingencias Operativas sobre los procesos críticos y favorecer el
restablecimiento de la operación a los niveles de funcionamiento requeridos.
III. Hacer del conocimiento de la CNBV, las Contingencias Operativas, conforme a lo señalado en
el artículo 61, fracción IV de estas disposiciones.

Hacer del conocimiento de la CNBV las Contingencias Operativas que se presenten en cualquiera de los
canales de atención al público o al interior de la propia institución de financiamiento colectivo. Lo anterior,
siempre que estas interrupciones tengan una duración de, al menos, 30 minutos

La notificación señalada en el párrafo anterior, deberá efectuarse dentro de los 60 minutos siguientes a que
la Contingencia Operativa de que se trate haya tenido lugar, debiendo incluir la fecha y hora de inicio de la
Contingencia Operativa; la indicación de si continúa o, en su caso, si ha concluido y su duración; los
procesos, sistemas y canales afectados; una descripción del evento que se haya registrado, y una
evaluación inicial del impacto o gravedad. La notificación mencionada deberá comunicarse mediante correo
electrónico que se envíe a las cuentascontingencias@cnbv.gob.mx y supervisionfintech@cnbv.gob.mx o a
través de otros medios que la propia Comisión disponga, debiéndose generar un acuse de recibo
electrónico.
Anexo 10
REQUERIMIENTOS MÍNIMOS PARA DESARROLLAR
EL PLAN DE CONTINUIDAD DE NEGOCIO

Restauración,

Que comprenderá la definición de las acciones y procedimientos para que los servicios y procesos
de las instituciones de financiamiento colectivo vuelvan a niveles mínimos de servicio y
eventualmente a la normalidad, incluyendo mecanismos de actualización y conciliación de la
información.

Evaluación,

Que comprenderá lo relativo a la recopilación y análisis de la información relevante sobre el

desarrollo de la Contingencia Operativa, y de las acciones y procedimientos seguidos para su
prevención, contención y restauración a fin de, en su caso, efectuar los ajustes necesarios al Plan
de Continuidad de Negocio.
Puntos adicionales a considerar
Disposiciones de Carácter General aplicables

Artículo 61.- El Órgano de Administración de las instituciones de financiamiento colectivo, respecto

del Plan de Continuidad de Negocio, deberá realizar al menos las funciones siguientes:

I. Designar y, en su caso, remover a la persona que funja como responsable de la administración

de riesgos. Dicha persona deberá tener conocimientos en materia de riesgos operacionales y
podrá ser empleado de la propia institución de financiamiento colectivo, o bien, un tercero
contratado para tal efecto.
II. Aprobar el Plan de Continuidad de Negocio, así como sus modificaciones
III. Diseñar y establecer la política de comunicación para la notificación oportuna de las
Contingencias Operativas a los Clientes y al interior de la institución de financiamiento
colectivo, así como con la CNBV y demás Autoridades Financieras competentes en atención
de la naturaleza de la Contingencia Operativa de que se trate.

V. Aprobar las metodologías para estimar los impactos cuantitativos y cualitativos de las
posibles Contingencias Operativas que le presente, en términos de estas disposiciones, el
responsable de la administración de riesgos, para su utilización en el análisis de impacto a que
hace referencia el Anexo 10.
Preguntas
“No estar preparado, es prepararse para fracasar”
B. Franklin
Gracias!!!
 Contacto

Jorge Real Jiménez | Supervisor Business Advisory Services

Salles, Sainz – Grant Thornton, S.C.
Avenida Niños Héroes 2971 | Col. Jardines del Bosque | 44520 | Guadalajara, Jal.
T +52 (33)3817 4480 Ext 3017 | F +52 (33)3817 4136
E Jorge.Real@mx.gt.com | W www.ssgt.com.mx

© 2017 Salles Sainz Grant Thornton, S.C. Todos los derechos reservados.
Salles Sainz Grant Thornton S.C., es una firma miembro de Grant Thornton International Ltd (GTIL). GTIL y sus firmas miembro no forman
una sociedad internacional, los servicios son prestados por las firmas miembro. GTIL y sus firmas miembro no se representan ni obligan
entre si y no son responsables de los actos u omisiones de las demás.

www.grantthornton.mx