pn inte/iso ts 22318:2016 cp - colegio de …ciqpacr.org/sites/default/files/pn inte iso ts 22318...

PN INTE/ISO TS 22318:2016 CP

Seguridad de la sociedad –

Sistema de gestión de

continuidad del negocio –

Directrices para continuidad de la

cadena de suministros.

Correspondencia: Esta norma nacional es idéntica (IDT) a la norma internacional ISO TS 22318:2015 Societal security — Business continuity management systems — Guidelines for supply chain continuity.

Fecha: 201X-XX-X Primera Edición

Secretaría: INTECO Editada e impresa por ©INTECO

Derechos reservados ICS XXX.XX.XX

La presente norma técnica pertenece a INTECO en virtud de los instrumentos nacionales e internacionales, y por criterios de la Organización Mundial de la Propiedad Intelectual (OMPI). Salvo por autorización expresa y escrita por parte de INTECO, no podrá reproducirse ni utilizarse ninguna parte de esta publicación bajo ninguna forma y por ningún procedimiento, electrónico o mecánico, fotocopias y microfilms inclusive, o cualquier sistema futuro para reproducir documentos. Todo irrespeto a los derechos de autor

será denunciado ante las autoridades respectivas. Las solicitudes deben ser enviadas a la Dirección de Normalización de INTECO.

Las observaciones a este documento dirigirlas a:

(506) 2283 4522 [email protected]

PN INTE/ISO TS 22318: 201X CP

2 | 29

PRÓLOGO

El Instituto de Normas Técnicas de Costa Rica, INTECO, es el Ente Nacional de Normalización, según la Ley N° 8279 del año 2002. Organización de carácter privado, sin ánimo de lucro, cuya Misión es “desarrollar la normalización del país con el soporte de los servicios de evaluación de la conformidad y productos relacionados a nivel nacional e internacional, con un equipo humano competente, con credibilidad e independencia”. Colabora con el sector gubernamental y apoya al sector privado del país, para lograr ventajas competitivas en los mercados interno y externo. La representación de todos los sectores involucrados en el proceso de Normalización Técnica está garantizada por los Comités Técnicos y el periodo de Consulta Pública, este último caracterizado por la participación del público en general.

Esta norma INTE XX-XX-XX:201X fue aprobada por la Comisión Nacional de Normalización de INTECO en la fecha del 201X-XX-XX.

La presente norma INTE xx-xx-xx sustituye a la norma INTE xx-xx-xx, por lo que se deroga ésta última.

Esta norma está sujeta a ser actualizada permanentemente con el objeto de que responda en todo momento a las necesidades y exigencias actuales.

A continuación se mencionan las empresas que colaboraron en el estudio de esta norma a través de su participación en el Comité Técnico.

Participante Organización

Nombre Completo Nombre Completo de la Organización


3 | 29

CONTENIDO PÁGINA

1 OBJETO Y CAMPO DE APLICACIÓN ............................................................................................... 6

2 NORMAS DE REFERENCIA .............................................................................................................. 6

3 TÉRMINOS Y DEFINICIONES ........................................................................................................... 6

4 REQUISITOS ........................................................................ ¡ERROR! MARCADOR NO DEFINIDO.

5 CORRESPONDENCIA ................................................................................................................ 29


4 | 29

INTRODUCCIÓN

Esta especificación técnica amplía la orientación de la guía para la continuidad del negocio estableciendo niveles adecuados de gestión de la continuidad dentro de la cadena de suministros de una organización, dado en INTE/ISO 22301 e INTE/ISO 22313. Se asume que la organización que busca establecer la gestión de la continuidad de la cadena de suministros (SCCM) es consciente de los principios de gestión de continuidad del negocio y ha establecido, o tiene la intención de implementar, un sistema de gestión de continuidad del negocio (SGCN) ampliamente alineado con las normas establecidas. También se considera las implicaciones para la organización de los proveedores de productos o servicios que no cuentan con mecanismos de continuidad implementados.

Esta especificación técnica será útil para los que compran, gestionan o son responsables de un producto o servicio que es necesario para que la organización produzca sus propios productos o servicios, y pueda ayudarlos a aplicar las buenas prácticas de BCM de acuerdo con las normas establecidas.

Las organizaciones confían en que los proveedores ofrecen productos o servicios a tiempo y con la calidad o estándares acordados.

Como parte de un enfoque ampliado de la gestión de continuidad del negocio, es importante para una organización reconocer el impacto potencial de sus actividades disruptivas dentro de su cadena de suministros.

El incumplimiento por parte de un proveedor de la entrega a tiempo, con la calidad y el costo acordado de un producto o servicio, puede desencadenar un evento disruptivo del negocio.

Los objetivos en conflicto deben ser gestionados entre la reducción de costos de la cadena de suministros, por ejemplo, reduciendo los tiempos de ciclo y la reserva, y gestionando el riesgo de continuidad en la cadena de suministros que surge de una única fuente y de los enfoques de suministro justo a tiempo.

Esta especificación técnica es relevante tanto para el suministro de productos y servicios de proveedores externos y las relaciones internas dentro de las divisiones de la misma organización, bajo cualquier tipo de relación de continuidad con los proveedores. También tiene aplicabilidad a los acuerdos de abastecimiento de una única entrega, donde su incumplimiento podría afectar el futuro de la organización.

Los proveedores se clasifican según su criticidad teniendo en cuenta el impacto de una disrupción sobre los productos o servicios suministrados a la organización y el “nivel del proveedor”, el cual define su relación con la organización.

Un proveedor de nivel 1 tiene una relación contractual directa con la organización, mientras que un proveedor de nivel 2 proporciona productos y servicios a un proveedor de nivel 1. Las mismas consideraciones de continuidad de la cadena de suministros aplican a las relaciones entre los niveles.

Los proveedores de nivel 1 serían responsables de las relaciones de su cadena de suministros, reconociendo que el cliente puede necesitar la visibilidad de estas relaciones, tanto para asegurar la resiliencia adecuada en la cadena de suministros más allá de Nivel 1 y tomar en cuenta factores tales como la responsabilidad social de las empresas que pueden requerir la visibilidad de más niveles.

Las directrices brindadas en esta Especificación Técnica también son relevantes para el proveedor de modo que pueda prepararse para responder a las expectativas de continuidad de negocio de sus clientes y también para tener en cuenta las vulnerabilidades que podrían derivarse de la dependencia de un único cliente.


5 | 29

Esta especificación técnica reconoce que los proveedores también pueden cumplir con los requisitos de la serie de normas de INTE/ISO 28000 para la gestión de la seguridad dentro de la cadena de suministros. El cumplimiento de estas normas dará a las organizaciones aún más confianza en la capacidad de recuperación de su cadena de suministros y reducir potencialmente el riesgo de disrupción en la compra de bienes o servicios.

El contenido de este texto está en concordancia con los elementos de la gestión de continuidad del negocio (véase la Figura 1).

Figura 1 – Elementos de la gestión de continuidad del negocio (BCM) (Fuente: INTE/ISO 22313, Figura 5)

Tabla 1 – Elementos de gestión de continuidad del negocio y capítulos pertinentes en esta Especificación Técnica.

Elemento del SCCM Capítulo de INTE/ISO/TS 22318

Planificación y control operacional Capítulo 4

Análisis de impacto al negocio y valoración del riesgo

Capítulo 5

Estrategia de continuidad del negocio Capítulo 6

Establecimiento e implementación de los procedimientos de continuidad del negocio

Capítulo 7

Ejercicios y pruebas Capítulo 8


6 | 29

Seguridad de la sociedad – Sistema de gestión de continuidad del

negocio – Directrices para continuidad de la cadena de suministros

OBJETO Y CAMPO DE APLICACIÓN

Esta especificación técnica proporciona una orientación sobre los métodos para la comprensión y la extensión de los principios de GCN indicados en las normas INTE/ISO 22301 e INTE/ISO 22313 para la gestión de las relaciones con los proveedores. Esta especificación técnica es genérica y aplicable a todas las organizaciones (o sus partes), independientemente del tipo, tamaño y naturaleza del negocio. Es aplicable al suministro tanto interno como externo de productos y servicios. El grado de aplicación de la presente Especificación Técnica depende del entorno operativo y complejidad de la organización. La gestión de la cadena de suministros considera toda la gama de actividades relacionadas con la provisión de suministros o servicios a una organización como parte de su negocio normal. El alcance de esta Especificación Técnica es menos amplio en el sentido de que se considera específicamente los problemas que afectan a una organización que necesita la continuidad del suministro de productos y servicios para proteger sus actividades empresariales o procesos, y las estrategias de continuidad para los proveedores actuales dentro de las cadenas de suministro, las cuales pueden ser utilizadas para mitigar el impacto de disrupciones; esto es un SCCM. La orientación sobre el desarrollo de un plan de continuidad del negocio o un sistema de gestión de continuidad del negocio se establece en la norma INTE/ISO 22301 e INTE/ISO 22313.

NORMAS DE REFERENCIA

Las siguientes normas contienen disposiciones que al ser citadas en este texto, constituyen requisitos de esta norma. Las ediciones indicadas estaban en vigencia en el momento de esta publicación. Como toda norma está sujeta a revisión, se recomienda a aquellos que realicen acuerdos con base a ellas, que analicen la conveniencia de usar las ediciones recientes de las normas citadas seguidamente.

INTE/ISO 22300:2014, “Seguridad de la sociedad. Terminología”;

INTE/ISO 22301:2015, “Seguridad de la sociedad. Sistemas de gestión de continuidad del negocio. Requisitos”.

TÉRMINOS Y DEFINICIONES

A los efectos de este documento, se aplican los términos y definiciones de la norma INTE/ISO 22300, INTE/ISO 22301 así como los siguientes.


7 | 29

3.1 Términos incluidos en INTE/ISO 22300 3.1.1 continuidad del negocio capacidad de la organización para continuar suministrando productos o servicios a niveles predefinidos aceptables, posterior a un incidente disruptivo. [FUENTE: INTE/ISO 22300:2012, 2.1.10]

3.1.2 análisis del impacto al negocio proceso del análisis de actividades y el efecto que la interrupción del negocio podría tener sobre ellas. [FUENTE: ISO 22300:2012, 2.2.6]

3.1.3 evento ocurrencia o cambio de un conjunto particular de circunstancias. Nota 1 de entrada: Un evento puede ser único o repetirse, y puede tener varias causas. Nota 2 de entrada: Un evento puede consistir en algo que no se llega a producir. Nota 3 de entrada: Algunas veces, un evento se puede calificar como un "incidente" o un "accidente”. Nota 4 de entrada: Un evento sin consecuencias (3.6.1.3) también se puede citar como "cuasi accidente", o "incidente". [FUENTE: ISO 22300:2012, 2.1.8]

3.1.4 ejercicio proceso de entrenamiento para evaluar, practicar y mejorar el desempeño en una organización. Nota 1 de entrada: Los ejercicios se pueden usar para validar políticas, planes, procedimientos, entrenamiento, equipos y acuerdos entre organizaciones; suministrar aclaraciones y entrenar personal en cuanto a roles y responsabilidades; mejorar la coordinación entre las organizaciones y comunicaciones; identificar la falta de recursos; mejorar el desempeño individual e identificar las oportunidades de mejora; además, son oportunidad controlada para practicar la improvisación. Nota 2 de entrada: Una prueba es un tipo particular y único de ejercicio, el cual incorpora una expectativa de aprobar o no aprobar el elemento de la meta u objetivo del ejercicio que está planificado. [FUENTE: ISO 22300:2012, 2.4.8]

3.1.5 incidente situación que podría ser una interrupción, pérdida, emergencia o crisis, o que puede conducir a ellas. [FUENTE: ISO 22300:2012, 2.1.15]

3.1.6 acuerdo de mutuo apoyo entendimiento preestablecido entre dos o más entidades, con el fin de brindarse ayuda mutua. [FUENTE: ISO 22300:2012, 2.2.13]

3.1.7 actividades priorizadas actividades a las que se debe dar prioridad después de que ha ocurrido un incidente, para mitigar los impactos. Nota de entrada: Algunos términos comunes usados para describir las actividades dentro de este grupo incluyen: crítico, esencial, vital, urgente y clave. [FUENTE: ISO 22300:2012, 2.3.5]


8 | 29

3.1.8 riesgo efecto de la incertidumbre sobre los objetivos. Nota 1 de entrada: Un efecto es una desviación, positiva y/o negativa, respecto a lo previsto. Nota 2 de entrada: Los objetivos pueden tener diferentes aspectos (tales como financieros, de salud y seguridad, o ambientales) y se pueden aplicar a diferentes niveles (tales como, nivel estratégico, nivel de un proyecto, de un producto, de un proceso o de una organización completa) Nota 3 de entrada: Con frecuencia, el riesgo se caracteriza por referencia a potenciales eventos y a sus consecuencias, o a una combinación de ambos. Nota 4 de entrada: Con frecuencia, el riesgo se expresa en términos de combinación de las consecuencias de un evento (incluyendo los cambios en las circunstancias) y de su posibilidad. Nota 5 de entrada: La incertidumbre es el estado, incluso parcial, de la deficiencia en la información relacionada con la comprensión o al conocimiento de un evento, de sus consecuencias o de su probabilidad. [FUENTE: ISO 22300:2012, 2.1.5]

3.1.9 alta dirección persona o grupo de personas que dirigen y controlan una organización al nivel más alto. Nota 1 de entrada: La alta dirección tiene el poder para delegar autoridad y suministrar recursos dentro de la organización. Nota 2 de entrada: Para este propósito, una organización puede identificarse por referencia al alcance de la implementación de un sistema de gestión. [FUENTE: ISO 22300:2012, 2.2.4]

3.2 Términos incluídos en INTE/ISO 22301 3.2.1 actividad procesos o conjunto de procesos realizados por una organización (o en su nombre) que produce o apoya uno o más productos y servicios.

EJEMPLO Los procesos de cuentas, Call Center, TI, fabricación, distribución. [FUENTE: ISO 22301:2012, 3.1]

3.2.2 gestión de continuidad del negocio proceso integral de gestión que identifica las amenazas potenciales para una organización y los posibles impactos para las operaciones del negocio de estas amenazas, en caso de que ocurran y proporciona un marco para la construcción de la resiliencia de la organización con la capacidad de una respuesta efectiva que salvaguarde los intereses de sus partes interesadas clave, así como su reputación, marca y actividades que crean valor. [FUENTE: ISO 22301:2012, 3.4]

3.2.3 sistema de gestión de continuidad del negocio SGCN parte del sistema general de gestión que establece, implementa, opera, da seguimiento, revisa, mantiene y mejora la continuidad del negocio . Nota de entrada: El sistema de gestión incluye la estructura organizativa, las políticas, actividades de planificación, responsabilidades, procedimientos, procesos y recursos.


9 | 29

[FUENTE: ISO 22301:2012, 3.5]

3.2.4 plan de continuidad de negocio. procedimientos documentados que guían orientan a las organizaciones para responder, recuperar, reanudar y restaurar la operación a un nivel pre-definido de operación debido a una interrupción. Nota 1 de entrada: Típicamente, esto incluye los recursos, servicios y actividades necesarios para garantizar la continuidad de las funciones críticas del negocio. [FUENTE: ISO 22301:2012, 3.6]

3.2.5 programa de continuidad de negocio procedimientos documentados que guían a las organizaciones para responder, recuperar, reanudar y restaurar a un nivel pre-definido de operación después de una interrupción. Nota de entrada: Típicamente, esto incluye los recursos, servicios y actividades necesarios para asegurar la continuidad de las funciones críticas del negocio. [FUENTE: ISO 22301:2012, 3.7]

3.2.6 Intereses de las partes interesadas persona u organización que pueden afectar, ser afectados, o percibirse a sí mismos como afectados por una decisión o actividad. Nota de entrada: Esto puede ser un individuo o grupo que tiene un interés en cualquier decisión o actividad de una organización. [FUENTE: ISO 22301:2012, 3.21]

3.2.7 objetivo mínimo de continuidad de negocio (MBCO). nivel mínimo de servicios o productos que es aceptable para la organización para lograr su objetivo de negocio durante una interrupción. [FUENTE: ISO 22301:2012, 3.28]

3.2.8 organización persona o grupo de personas con roles y responsabilidades propias, autoridades y relaciones para alcanzar sus objetivos. Nota 1 de entrada: El concepto de organización incluye, pero no se limita a la compañía, corporación, firma, empresa, autoridad, asociación, institución, parte o combinación de los mismos, ya sea incorporada o no, pública o privada. Nota 2 de entrada: Para las organizaciones con más de una operación de negocio, una sola unidad puede ser definida como una organización. [FUENTE: ISO 22301:2012, 3.33]

3.2.9 contrato externo sacer un acuerdo donde una organización externa realiza parte de la función o procesos de una organización.

Nota de entrada: Una organización externa está fuera del alcance del sistema de gestión, aunque la función compartida o proceso tercerizado está dentro del ámbito de aplicación. [FUENTE: ISO 22301:2012, 3.34]


10 | 29

3.2.10 productos y servicios resultados beneficiosos proporcionados por una organización a sus clientes beneficiarios y partes interesadas, por ejemplo, artículos manufacturados, seguros de automóviles y servicio de enfermería para la comunidad. [FUENTE : ISO 22301:2012, 3.41]

3.2.11 tiempo objetivo de recuperación (RTO) período de tiempo después de un incidente en el que:

- El producto o servicio debe ser reanudado, o - La actividad debe reanudarse, o - Los recursos deben ser recuperados.

Nota de entrada: Para los productos, servicios y actividades, el tiempo objetivo de recuperación debe ser menor que el tiempo que tomaría para los efectos adversos que pudieran surgir como consecuencia de no proporcionar un producto/servicio o la realización de una actividad para convertirse en inaceptable. [FUENTE: ISO 22301:2012, 3.45]

3.2.12 recursos todos los activos, recursos humanos, conocimientos, información, tecnología (incluidas las instalaciones y equipos), locales, y suministros e información (ya sean o no electrónicos) que una organización tiene que tener disponibles para su uso, cuando sea necesario, con el fin de operar y cumplir con su objetivo. [FUENTE: ISO 22301:2012, 3.47]

3.3 Términos y definiciones aplicables a esta Especificación Técnica 3.3.1 cliente crítico persona o entidad, cuya pérdida pondría en peligro la supervivencia del negocio de la organización. 3.3.2 proveedor crítico brinda productos o servicios críticos Nota 1 de entrada: Se considera un "proveedor interno", quien es parte de la misma organización como su cliente.

3.3.3 productos o servicios críticos los recursos obtenidos de un proveedor que, de no estar disponibles, podrían interrumpir las actividades críticas de la organización y pondrían amenazar la supervivencia de ésta. Nota 1 de entrada: productos o servicios críticos son recursos esenciales para apoyar las actividades de alta prioridad de la organización y los procesos identificados en su BIA.

3.3.4 disrupción evento, ya sea anticipado (por ejemplo una huelga laboral o huracán) o inesperado (por ejemplo falla de potencia o un terremoto), lo que provoca una desviación negativa, imprevista de la entrega esperada de los productos o servicios de acuerdo a los objetivos de la organización. 3.3.5 cadena de suministros red de organizaciones que están involucradas, a través de enlaces ascendentes y descendentes, en los procesos y actividades que producen valor en los productos y servicios que llegan a manos del consumidor final


11 | 29

3.3.6 gestión de la continuidad de la cadena de suministros SCCM aplicación de la gestión de continuidad del negocio a una cadena de suministros Nota 1 de entrada: La GCN debe aplicarse a todos los niveles de la cadena de suministros de una organización. Nota 2 de entrada: En la práctica, una organización por lo general sólo aplicaría a su primer nivel de proveedores e influenciar a los proveedores críticos de estos para aplicar SCCM.

3.3.7 tier 1 suministra directamente productos o servicios a la organización, por lo general a través de un acuerdo contractual 3.3.8 tier 2 proporciona productos o servicios a una organización, de manera indirecta y a través de un proveedor de nivel 1.

POR QUÉ LA CONTINUIDAD DE LA CADENA DE SUMINISTROS ES IMPORTANTE

4.1 Generalidades Este capítulo considera los factores que proveen la estructura dentro de la cual el SCCM es conducido. Las cadenas de suministros se están volviendo altamente complejas, extensas (regularmente con extensión internacional) y pasan por cambios frecuentes, exponiendo a la organización a riesgos adicionales por la interrupción en la cadena de suministros. De la misma manera una cadena de suministros siempre está sujeta a disrupción potencial, por esta razón la SCCM es requerida. Usualmente, la relación entre cliente y proveedor podría ser dirigida por acuerdos contractuales incluyendo acuerdos de nivel de servicio (SLA), por acuerdos externos tercerizados y acuerdos de nivel operacional (OLA), que dirigen acuerdos internos de servicio entre la organización y el proveedor, pero esto puede ser aplicable a compras que se hacen una sola vez.

4.2 Describiendo la cadena de suministros Con una perspectiva más amplia, la cadena de suministros incluye tanto la distribución como la manufactura de productos y servicios. Esto es aplicable a organizaciones de todo tipo y tamaño.


12 | 29

Figura 2 – Modelo de Cadena de suministro

NOTA 1. Cadenas de suministros reales van a ser más complejas que lo presentado anteriormente. NOTA 2. Proveedores externos A pueden suministrar productos o ser tercerizadores de servicios. NOTA 3. Los proveedores internos incluyen cualquier relación donde la organización compre servicios o utilice instalaciones de un grupo de negocio más amplio.

Una cadena de suministros existe donde un producto o servicio depende de los insumos que no están bajo la gestión o control de una unidad operativa (de la organización). Esto incluye relaciones de suministros internas y externas. Las relaciones con los diversos proveedores varían de acuerdo al grado de flexibilidad y habilidad que posee la organización en cuanto al control de la relación. (Ver figura 3).


13 | 29

Figura 3 - Cadena de suministro – Flexibilidad, influencia y control El rango de relaciones potenciales entre clientes incluyen los siguientes tipos:

- negocio a negocio (incluye distribuidores, mayoristas, entre otros);

- negocio a cliente;

- entrega de terceros (a los clientes se les entrega o suple indirectamente por subcontratistas o

agentes).

El rango de relaciones potenciales en cuanto a proveedores incluyen los siguientes tipos:

- proveedores de servicio o de productos recurrentes, materia prima, financiamiento, alquiler de

propiedad, mantenimiento esencial para activos fijos, entre otros;

- proveedores de servicio o producto poco frecuentes o de una sola vez (suministrando, por ejemplo,

nuevos bienes de capital);

- tercerización o contrato de servicios o el proveedor de un proceso de negocio (nómina

administrativa, servicios de TI, centros de contacto, logística o distribución);

- alianzas o socios estratégicos (franquicias, distribuidores o empresas conjuntas);

- relaciones de cooperación e interdependencias entre proveedores.

Otras partes interesadas junto a clientes y proveedores pueden estar involucrados e impactados por interrupciones de las cadenas de suministros. Las partes interesadas pueden incluir a las comunidades locales, como la comunidad de donde proviene la fuerza de trabajo, miembros de la red informal de la comunidad, organismos de comercio, socios del consorcio contratados y competidores parciales. Los factores de los cuales las relaciones de cadena de suministro pueden estar basados incluyen los siguientes:

- personas y relaciones personales


14 | 29

- acuerdos formales tal como lo son contratos, órdenes de trabajo, acuerdos de nivel de servicio y

acuerdos de nivel de operación

- información brindada electrónicamente o por medio de papel tal como las órdenes de compra y

diseños de especificaciones

- procesos que describen el flujo de trabajo, o bien, la creación de servicio o producto junto con la

entrega de la misma,

- infraestructura tal como sistemas de transporte e internet

- factores culturales en cuanto a negocio y relaciones de intercambio

- ambiente: político, económico y regulatorio, entre otros.

NOTA Esta lista proporciona sólo ejemplos y no pretende ser completa

4.3 Dinámica de las cadenas de suministros 4.3.1 Generalidades La cadena de suministros es importante para organizaciones de todo tipo y tamaños, particularmente porque éstas buscan reducir costos y aumentar eficiencia. Por medio de la reducción del inventario junto con el tiempo y otras ineficiencias tanto los bienes y servicios como la información y dinero pueden moverse de manera más eficiente, lo que a su vez significa que el impacto de una interrupción hacia la cadena de suministros se hará sentir con más intensidad, de manera más temprana o frecuente. Un incremento y proporción significativa en cuanto a los costos en la cadena de suministros, representa tanto un riesgo y una oportunidad. El manejo inadecuado de una cadena de suministros puede destruir el valor y poner en peligro la marca y su reputación. Las cadenas de suministros se han extendido más allá del control directo de la organización, tanto en términos geográficos como por número y tipo de proveedores. Los conductores para esto incluyen lo siguiente:

- el acceso global a un costo relativamente bajo provisto por la internet;

- la reducción de barreras comerciales internacionales y la libre circulación de capitales;

- la disponibilidad de trabajadores con formación académica y habilidades, a un costo relativamente

bajo;

- el enfoque de la gestión de las organizaciones de base, actividades de valor añadido y una

tendencia a tercerizar los procesos de negocio periféricos, tales como la logística, la distribución, la

nómina, la restauración, la limpieza, la seguridad y TI, hace que las organizaciones sean más

interdependientes; - cualquier exceso de la demanda global que resulta en la escasez de recursos en determinados

suministros, incluyendo algunos recursos naturales, que sólo están disponibles en algunas partes

del mundo.

A medida que las organizaciones incrementan su interconexión e interdependencia y las cadenas de suministros se vuelven más globales en su alcance, se crean nuevas vulnerabilidades, se incrementan su exposición y el horizonte de exploración para identificar cambios en los perfiles de riesgo se hace más retador (Capítulo 7). Conforme las cadenas de suministros se vuelven más integradas y ágiles, cualquier evento que afecta un eslabón, conlleva a la afectación de más eslabones en la cadena. El BIA debería descubrir la interdependencia a través de una cadena de suministro, pero no podría extenderse en la cadena de suministro más allá de los proveedores Tier 1 (directos) con los que la organización tiene relaciones contractuales diferentes a las del Tier 2, los proveedores directos a proveedores de Tier 1, y más allá.


15 | 29

4.3.2 Ciclo del proveedor y contrato Los proveedores y contratos están dentro de un ciclo de vida de adquisición de servicios y suministros, operación y finalización (figura 4). La entrada a un contrato nuevo o la renovación de un contrato existente, presenta una oportunidad para la organización de influenciar el comportamiento de un futuro proveedor por medio del contrato mismo y o cambios a nivel de servicio. Por el contrario, los compromisos a largo plazo y el alto costo por cambio de proveedores, pueden alterar el balance de poder entre la organización y su proveedor, creando resistencia a los cambios de comportamiento a futuro del proveedor (figura 3). La implementación de un SCCM debe de lograrse en este entorno. El análisis de la cadena de suministros (ver capítulo 5) va ayudarer a la identificación de relaciones con alta prioridad junto a los requisitos y oportunidades para la implementación de SCCM.

Figura 4 – Integrando el SCCM en el ciclo de vida de la cadena de suministro

4.3.3 ¿Quién posee el riesgo? La organización mantiene el riesgo de que quizás no sea posible entregar sus productos o servicios a sus clientes como consecuencia de una disrupción en su cadena de suministros y es responsable de mitigar este riesgo al estar preparada para responder a la disrupción de la cadena de suministros. Los clientes se aferran a la organización y no a sus proveedores responsables a la falla de entrega de productos o servicios, así que la marca de una organización está en riesgo si existe un problema en su cadena de suministros. En casos extremos, la disrupción de una cadena de suministros puede afectar adversamente una industria, un sector de mercado o una economía más amplia, partes interesadas del público y del gobierno. 4.4 Lo esencial para SCCM


16 | 29

Los requisitos esenciales para un SCCM efectivo, son los siguientes:

- apoyo de la alta dirección para un programa de manejo integrado de BCM y SCCM;

- establecer prioridades y estándares requeridos;

- asignar recursos para realizar el análisis;

- evaluar el impacto de un fallo en la cadena de suministros o de un proveedor individual en las

actividades y procesos de alta prioridad en la organización;

- análisis para entender la cadena de suministros de la organización y el riesgo que surge por la

disrupción en la organización;

- la aplicación de estrategias de continuidad apropiadas para cada proveedor;

- procedimientos para la confirmación que los proveedores tienen medidas de continuidad

apropiados;

- un programa de manejo en cuanto a relaciones del proveedor;

- una estrategia a largo plazo para construir una cadena de suministros más resiliente.

4.5 Beneficios de un SCCM efectivo Los beneficios potenciales de un SCCM efectivo incluyen los siguientes:

- mejor entendimiento de la cadena de suministros y amenazas potenciales;

- mejor gestión de la relación con el proveedor lo cual reduce el impacto de la disrupción en la

cadena de suministros;

- mejor respuesta a disrupciones de la cadena suministros que resulta de una colaboración

efectiva con proveedores y clientes;

- identificación y mitigación de los riesgos en la cadena de suministros antes de que sucedan, o

bien, antes de que la organización sea impactada;

- mejor planeamiento, debida diligencia, aseguramiento y relaciones de trabajo con proveedores;

- ventajas competitivas sobre los competidores los cuales carecen de acuerdos efectivos en cuanto

a SCCM.

4.6 Desafíos para un efectivo SCCM

El SCCM presenta una serie de desafíos, incluyendo los siguientes:

- escala y complejidad, especialmente en las grandes organizaciones con miles de proveedores;

- distancia y visibilidad de los proveedores en la cadena de suministro (separación geográfica y el

número de tiers a lo largo de la cadena);

- persuadir a los proveedores a participar abierta y transparentemente, porque el SCCM añade valor

a la relación;

- relaciones contractuales inflexibles hacen que el servicio este menos abierto a alteraciones

frecuentes.

- hay un enfoque no estructurado que describa dónde empezar, cómo proceder y cómo superar la

apatía o la inercia;

- incapacidad para desarrollar el caso de negocio y asegurar el compromiso de la alta dirección y de

los recursos necesarios, incluyendo la capacitación de las personas;

- definición e incorporación de responsabilidades para el SCCM en todas las funciones de las partes

interesadas dentro de la organización y entre organizaciones en la cadena de suministros;


17 | 29

- equilibrar el gasto de reducción del riesgo en la cadena de suministro y la recuperación de la

inversión a largo plazo con las ganancias financieras a corto plazo de los costos de capital y

operativos menores de la cadena de suministros

- diferencias en la tolerancia/apetitos al riesgo entre individuos, organizaciones y culturas;

- falta de recursos de la organización y del proveedor para implementar estrategias individuales

preferenciales y de fuentes únicas.

- fdferencias culturales, considerando los asuntos de diversidad;

- diferentes requisitos reglamentarios para la organización y el proveedor;

- desequilibrio de poder en la cadena de suministro , donde una pequeña organización está tratando

con un proveedor más grande con muchos clientes;

- obtener confianza en los acuerdos de Continuidad de los productos y servicios suministrados por

los proveedores; (un proveedor podría desviar los suministros a otro cliente en tiempos de

escasez?)

- dificultad en la identificación de los impactos indirectos, como, cuando la pérdida de un proveedor

podría implicar la de otro proveedor critico;

- dificultad para entender el costo total de la disrupción.

4.7 Puntos clave del Capítulo 4: ¿Por qué la continuidad es importante en la cadena de suministros?

a) Existe una cadena de suministro siempre que la entrega de un producto o servicio de la

organización dependa de insumos que no estén bajo gestión o control directo.

b) en un mundo cada vez más global, interconectado y de rápido movimiento, la continuidad de la

cadena de suministros es importante, debido a que la mayoría de las organizaciones gastan una

proporción significativa de sus costos totales a través de sus cadenas de suministro, quienes están

cada vez más expuestos a riesgos nuevos y elevados.

c) La disrupción de la cadena de suministro puede afectar gravemente la capacidad de una

organización para entregar sus servicios prioritarios.

d) Las cadenas de suministro son frecuentemente compuestas de un gran número de proveedores

organizados en serie (como una cadena) o redes (como una interconexión). Estas interrelaciones y

las transacciones entre ellas son dinámicas.

e) Hay muchos actores de la cadena de suministro o partes interesadas, tanto dentro como entre

organizaciones, que necesitan colaborar de manera efectiva durante la disrupción de la cadena de

suministro.

f) La responsabilidad de mitigar los riesgos de su cadena de suministro y responder a las disrupciones

de la cadena de suministro está en las organizaciones (y no en sus proveedores).

g) Una organización debe gestionar los conflictos entre los objetivos de reducción de costos de la

cadena de suministros y la reducción del riesgo en ella.

h) El proveedor necesita demostrar su capacidad de continuidad después de una disrupción, al

restablecer, en un plazo aceptable los productos o servicios a una organización.

ANÁLISIS DE LA CADENA DE SUMINISTRO

5.1 Generalidades Un análisis consistente de todos los proveedores, permite a una organización entender y evaluar los riesgos


18 | 29

y los impactos potenciales de una interrupción en la cadena de suministro. La criticidad del proveedor para las actividades de la organización y el nivel de riesgo al que están expuestos, podrá determinar la profundidad del análisis. Los proveedores son responsables de extender el proceso de análisis de sus propias cadenas de suministro y comunicar los resultados a la organización.

5.2 Consideraciones para el análisis de la cadena de suministro Al momento de realizar el análisis se considerará lo siguiente:

- la profundidad del análisis requerido para proporcionar la seguridad de que las dependencias,

riesgos e impactos se han identificado y entendido;

- uso de un enfoque coherente y auditable que puede mantenerse a través del tiempo;

- la relación costo/beneficio;

- la definición del marco de continuidad de la organización, los requisitos de abastecimiento y la

gestión de las relaciones en curso con los proveedores;

- integración de los riesgos de la cadena de suministro identificados en el proceso de gestión del

riesgo de la organización;

- determinación de las restricciones legales o reglamentarias de los proveedores;

- los resultados de la BIA.

5.3 Definir el enfoque La organización debería identificar sus necesidades operativas y del entorno y considerarlas cuando se realiza el análisis, para asegurar la coherencia en toda la organización y para crear un enfoque que sea sostenible en el tiempo. Estos deben incluir lo siguiente:

- la evaluación de la criticidad del proveedor, utilizando un enfoque de clasificación. Como por ejemplo,

los proveedores pueden ser divididos en dos categorías:

- "crítico": son aquellos proveedores cuya falta de entrega de productos o servicios a tiempo o

calidad o el costo, impactaría significativamente la capacidad de la organización para continuar

sus actividades o procesos de alta prioridad y cuya pérdida podría poner en peligro la

supervivencia de la organización;

- "no crítico": proveedores, la pérdida de cuyos productos o servicios podrían ser tolerada por un

período limitado sin afectar negativamente a las actividades fundamentales de la organización;

- la consideración de si dos categorías de criticidad de proveedores son suficientes para proporcionar

una estructura manejable para el programa o si un enfoque de tres categorías es requerido:

“estratégicos” (socios comerciales), “fundamentales” (proveedores que proporcionan servicios o

productos esenciales), “transaccionales” (proveedores de productos no críticos de rutina);

- análisis del impacto de un incidente y su efecto sobre un número de proveedores no críticos que

suministran el mismo producto o servicio, a la vez;

- determinación de los requisitos de continuidad del negocio aceptables para los proveedores:

- lo que la capacidad de la organización espera para cada categoría de proveedor a partir de

niveles mínimos de suministro incluyendo el objetivo mínimo de continuidad del negocio

(MBCO) y los tiempos objetivos de recuperación (RTO);

- la evidencia que se requiere de los proveedores para demostrar el cumplimiento/capacidad;


19 | 29

- la amplitud y profundidad del análisis considerando si éste incluye todos los proveedores o sólo

algunos de ellos, basado en su criticidad y en qué tan a fondo se debería llevar a cabo el análisis de

la cadena de suministro;

- la frecuencia con que el análisis se va a repetir;

- cómo se incorporarán los requisitos vigentes en la gestión de las relaciones con los proveedores y

el desarrollo de las futuras estrategias de abastecimiento.

La organización debería documentar plenamente el enfoque y asegurar que éste fue acordado por la alta dirección.

5.4 Estructura del análisis La organización puede adoptar el siguiente marco de referencia (véase la Figura 5):

- comparar la documentación pertinente y disponible, incluyendo el BIA, la valoración del riesgo y

la lista de proveedores;

- definir y documentar el enfoque que se ha utilizado para evaluar la criticidad de proveedores,

acuerdos de continuidad del negocio, incluyendo los parámetros de evaluación;

- llevar a cabo el análisis y la valoración del riesgo con cada proveedor;

- revisar los resultados del análisis de cada proveedor de su propia cadena de suministro;

- evaluar el nivel de riesgo global de cada proveedor;

- compartir los resultados con los proveedores y hacer recomendaciones de mejora, de acuerdo

con un plan de acción y el proceso para dar seguimiento al progreso;

- incluir el SCCM en el proceso de gestión de las relaciones con los proveedores y asignar

responsabilidades para la revisión periódica;

- revisar el nivel de riesgo de cada proveedor para la organización;

- completar un análisis global de la cadena de suministro comparando la capacidad de continuidad

del proveedor y su criticidad.


20 | 29

Figura 5. Diagrama de flujo SCCM

5.5 Ejecutando el análisis La organización debería compartir con los proveedores el razonamiento utilizado para el análisis y sus posibles beneficios que explican los requisitos y expectativas de la organización para cada proveedor. La organización podría identificar los Tiers de la cadena de suministros (véase la Figura 2), con base en la información del BIA, para identificar sus actividades o procesos de alta prioridad, el MBCO y el RTO y los proveedores de los que se depende. El efecto sobre la organización de cualquier interrupción en el suministro, debería ser evidente cuando los resultados del BIA y el análisis de la cadena de suministros se consideran en conjunto. La organización debería evaluar para cada proveedor:

- La criticidad del producto o servicio que proporcionan, - Si este proveedor es la única fuente para ese producto o servicio, - El riesgo de interrupción de su capacidad para suministrar los productos y/o servicios a la

organización, - Si el proveedor tiene acuerdos de continuidad del negocio eficaces implementados, - El grado en que el proveedor ha evaluado los riesgos de su cadena de suministros, - La prioridad asignada a la organización por el proveedor en su lista de clientes críticos, y - Si el MBCO/RTO del proveedor está alineado con las actividades o procesos que apoyan a la

organización. Un enfoque basado en la evidencia para la evaluación de los proveedores debería ser utilizado para apoyar el mantenimiento de una SCCM incluyendo:

- Proveedores que han documentado su BIA, valoración del riesgo y planes de continuidad del negocio,

- Proveedores que han documentado sus procesos para el mantenimiento y la actualización de sus acuerdos de continuidad, y


21 | 29

- Proveedores que han documentado sus planes de ejercicio y post ejercicio, y sus reportes post incidentes.

Para los proveedores más críticos, la revisión de la documentación rara vez dará la suficiente confianza sobre la capacidad de continuidad y debería estar respaldada con visitas al sitio y observación de los ejercicios para validar la documentación.

5.6 Resultados del análisis La organización debería asegurarse de que el resultado del análisis es auditable, basado en la evidencia para cada proveedor. Como mínimo, el informe debería identificar lo siguiente:

- Los acuerdos para la continuidad del proveedor y la evidencia de que sus acuerdos de BCM dan

confianza de su capacidad de recuperarse dentro del MBCO/RTO requeridos;

- Cómo se comparan estos acuerdos con las expectativas de la organización;

- Cómo se gestiona la continuidad de la cadena de suministros de los proveedores;

- Amenazas a la oferta del producto o servicio relevante;

- Recomendaciones para mejoras.

5.7 Puntos clave del capítulo 5: Análisis de la cadena de suministros

a) Las cadenas de suministro son a menudo amplias, complejas e interdependiente, con múltiples

tiers.

b) Es esencial entender la cadena de suministros y los riesgos que supone para la organización antes

de seleccionar las estrategias de continuidad para los suministros.

c) Cualquier análisis debería llevarse a cabo en conjunto con los proveedores, quienes deberían a su

vez ser responsables por extender el análisis a sus mismos proveedores.

d) El análisis debería basarse en un conjunto de criterios básicos establecidos por la organización

que den un enfoque organizativo común.

e) Estos criterios deberían abarcar el proceso de análisis y los requisitos de continuidad de negocio

para los proveedores.

f) los resultados clave del proceso de análisis incluyen una evaluación general del nivel de riesgo que

representa la cadena de suministros y los proveedores específicos dentro de ella.

g) Las cadenas de suministro son dinámicas por lo que los requisitos de continuidad del negocio

deben ser construidos con base en estrategias y procesos de gestión de la relación con

proveedores.

h) El proceso de análisis global debería ser repetido periódicamente.

ESTRATEGIAS DE SCCM

6.1 Generalidades La organización debería identificar una estrategia adecuada de SCCM (véase 6.2) para cada proveedor, teniendo en cuenta los desafíos a la SCCM identificados en 4.6. La organización debería utilizar los resultados del análisis (véase 5.5) para identificar lo siguiente:


22 | 29

- Proveedores preferentes;

- El impacto en el negocio por la interrupción en el suministro de productos o servicios;

- La criticidad de cada proveedor y el impacto con el tiempo de disrupción;

- La comprensión de los mecanismos de continuidad que cada proveedor ha puesto en marcha tanto

para sí mismo como para su propia cadena de suministro.

Las opciones estratégicas no son mutuamente excluyentes y mitigar el riesgo derivado de un proveedor individual puede requerir más de un enfoque a implementar. El logro de una solución óptima tomará tiempo; puede ser necesario adoptar enfoques provisionales con algunos proveedores hasta que surja la oportunidad de poner en práctica la solución preferente, en especial cuando el contrato de suministro/acuerdo implementado tiene un tiempo considerable de funcionar y hay una oportunidad limitada para negociar cualquier cambio en las condiciones. La organización debería cuantificar el costo de la disrupción en términos de pérdida de resultados, costo de la compensación al cliente, escala probable de multas para los que incumplen los reglamentos, o el precio de compra de productos o servicios alternativos para justificar el costo de implementar medidas de SCCM. Los costos intangibles de disrupción, como el daño a la reputación que conduce a la pérdida de cuota de mercado, la pérdida de valor de las acciones, o la pérdida de competitividad; por lo anterior, la aplicación de medidas de mitigación también deberían ser consideradas.

6.2 Opciones de estrategia de continuidad 6.2.1 Opción 1 - Aceptar el status quo Esta opción "No hacer nada" puede ser adecuada para los proveedores que no son críticos. Puede ser apropiado tener un seguro para cubrir las pérdidas de ganancias (esto no es una opción de CN, ya que los pagos pueden retrasarse considerablemente después de cualquier incidente y, en algunos casos, llegan demasiado tarde para salvar la organización y se utilizan simplemente para pagar a los acreedores). 6.2.2 Opción 2 - Reducir la dependencia La organización puede reducir la dependencia de un proveedor (es) al:

- Asegurar dos o más fuentes de suministro en todo momento (véase la opción 3),

- Aumentar las existencias en el sitio o alargar el tiempo con los distribuidores antes de que un

evento disruptivo afecte a la organización, y

- Establecer soluciones alternativas: respuestas pragmáticas a la gestión de los riesgos derivados de

los proveedores críticos, los cuales la organización es incapaz de influir, por ejemplo, proporcionar

un generador de reserva para cubrir la pérdida de fuentes de alimentación o el desarrollo de

sistemas de comunicación multicanal para reducir la dependencia de un solo canal o proveedor.

6.2.3 Opción 3 - Incrementar la resiliencia La organización puede desarrollar estrategias de recuperación que son independientes del proveedor (es) al:

- Desarrollar formas de mitigar la pérdida de servicio al traer la fabricación o devolverla de nuevo a

la organización (internalización),

- identificar proveedores alternativos capaces y preparados para satisfacer la demanda de la

organización con un previo aviso mínimo, y


23 | 29

- Establecer acuerdos de apoyo mutuo con los competidores.

6.2.4 Opción 4 - Trabajar con el proveedor La organización puede trabajar con cada proveedor para mejorar la capacidad de resiliencia/recuperabilidad al:

- desarrollar las relaciones y la formación de alianzas con proveedores críticos basados en la

confianza mutua que ayuden a la organización a entender sus acuerdos y facilitar la rápida

recuperación,

- definir el estándar de desempeño requerido y el proceso por el cual esto se evaluará,

- ayudar e impulsar al proveedor para mejorar su capacidad de recuperación, y

- incluir los requisitos de SCCM en los términos del contrato.

6.2.5 Opción 5 - Finalización de la relación Si no se puede encontrar una disposición adecuada para SCCM con un proveedor esencial, se debe considerar poner fin a la relación contractual. 6.3 La inclusión de la capacidad de SCCM en un contrato de suministro La organización debería incluir el requisito de continuidad en el proceso de abastecimiento, para garantizar que los proveedores tienen acuerdos de BCM adecuados para el producto o servicio que se proporciona, con el fin de ofrecer SCCM en el largo plazo. Los requisitos de continuidad en el proceso de abastecimiento incluyen los siguientes:

- definir el requisito de BC de la organización en la solicitud de ofertas;

- buscar pruebas documentales de los acuerdos de BC y la evaluación de la calidad de las

respuestas durante el proceso de selección de proveedores;

- establecer una cláusula de contrato estándar para realizar la estrategia de continuidad elegida y

que sea aplicada inmediatamente a los nuevos contratos y en la primera oportunidad, para los

contratos existentes;

- incluir en los términos del contratos y en los acuerdos de nivel de servicio los factores

desencadenantes para el escalamiento y medidas de notificación y gestión de incidentes;

- especificar un requisito en los contratos para notificar eventos e información clave, incluyendo las

activaciones, las revisiones del plan, ejercicios y revisiones de documentos;

- incorporar en los contratos los acuerdos de ejercicios conjuntos e intercambio de puntos de

aprendizaje;

- requerir que los contratos incluyan disposiciones para su revisión y/o auditoría de gestión de los

acuerdos de BC;

- impulsar a los proveedores para hacer visibles sus enfoques para evaluar el impacto de la

interrupción dentro de sus cadenas de suministro y las medidas adoptadas para mitigar el riesgo

de interrupción de su cadena de suministro;

- solicitar la pronta notificación de los cambios en el mercado de los suministro que podrían poner

en peligro los acuerdos de BCM;

- especificar el efecto sobre los contratos de no alcanzar los criterios de SCCM necesarios, tales

como un proceso de escalamiento y una potencial terminación del contrato;


24 | 29

- limitar las cláusulas de fuerza mayor que puedan ser activadas por el proveedor en lugar de

implementar disposiciones eficaces de SCCM.

NOTA La fuerza mayor es una cláusula que se incluye habitualmente en los contratos que liberan a ambas partes de la responsabilidad o de la obligación contractual cuando se produce un evento o circunstancia extraordinarios más allá del control de las partes.

Un evento o circunstancia extraordinarios pueden ser una guerra, huelga, motín, el crimen o un evento descrito legalmente como un acto de Dios, como huracanes, inundaciones, terremotos, o una erupción volcánica. La mayoría de las cláusulas de fuerza mayor no justifican el incumplimiento de todo el contrato, sólo suspende una parte de este durante la duración de la fuerza mayor. 6.4 La propiedad de SCCM La organización debería identificar a los responsables de la gestión de las relaciones con los proveedores para asegurar el seguimiento y suministro de aseguramiento de la continuidad de la cadena. La responsabilidad debería estar estrechamente ligado a la amplitud de los acuerdos de BCM dentro de la organización. La organización debería solicitar que la responsabilidad de gestionar el SCCM sea entregado por los que compraron los productos o servicios (compra) a los que se va a gestionar el contrato o ejecutar las operaciones. La organización debería asegurarse de que las medidas de control establecidas no se degradan con el tiempo. Por ejemplo, después de haber colocado los contratos con dos proveedores para lograr la resiliencia, es importante evitar que el número de proveedores se reduzca a uno como una medida de ahorro. 6.5 Puntos clave del Capítulo 6: Considerando opciones: desarrollo de estrategias

a) Existe una serie de estrategias posibles para la construcción de una mayor resiliencia en la cadena

de suministro. La elección de la mejor estrategia (s) depende de la identificación de los

proveedores más críticos.

b) Cuando sea rentable, elegir estrategias que permitan a la organización reducir el impacto de la

interrupción de forma independiente del proveedor, por ejemplo la creación de más de una fuente

de abastecimiento y/o el aumento de existencias de los recursos.

c) Cuando no sea posible mitigar el impacto de forma independiente del proveedor, una solución de

continuidad debería ser desarrollada en cooperación con el proveedor.

d) El requisito para los proveedores para implementar una solución efectiva de continuidad del

negocio para ellos y su cadena de suministro, necesita ser incorporado dentro del contrato de

suministro. Los proveedores críticos necesitan proporcionar evidencia de esto tanto en el

momento en que se haga la adjudicación así como parte de la evaluación continua del rendimiento.

e) El contrato / acuerdo tiene que definir el intercambio de información y los procedimientos de

activación del plan para utilizarse entre proveedores y clientes.

f) Es necesario reconocer que se necesitará tiempo para implementar la mejor solución posible y que

podría ser necesario aceptar soluciones parciales para mitigar el riesgo en el corto y medio plazo.

GESTIÓN DE UNA INTERRUPCIÓN EN LA CADENA DE SUMINISTRO

7.1 Generalidades


25 | 29

Habiendo realizado el análisis de la cadena de suministro como se define en el capítulo 5 y al implementar prácticas estratégicas apropiadas, de acuerdo con el capítulo 6, la organización debería asegurarse de que los procesos apropiados están implementados para gestionar cualquier interrupción. Es importante mantener el compromiso con los proveedores críticos para garantizar que los acuerdos de gestión de la continuidad están disponibles y sean efectivos. Esto se logra mejor a través de la gestión de relaciones con los proveedores, garantizando la discusión regular y abierta entre las partes para crear una asociación entre la organización y el proveedor. Es fácil de hacer suposiciones acerca de cómo cada lado podría responder ante el evento de un incidente; estas suposiciones necesitan ser validadas. 7.2 Antes de que ocurra un incidente La organización debería incluir lo siguiente en sus planes de continuidad del negocio:

- limitaciones o cambios derivados de una interrupción de proveedores que afectan a la organización

como interrupción en el suministro de bienes o servicios;

- las expectativas del proveedor del soporte de la organización;

- el plan de acción de la organización para una respuesta inmediata.

La organización debería:

- invitar a los proveedores a participar en los ejercicios de BC que se relacionan con los

productos/servicios que suministran,

- ayudar a los proveedores a comprender la criticidad de la provisión de sus productos y servicios y

permitirles identificar cualquier particularidad en el suministro a un sitio alterno,

- atender los ejercicios con los proveedores en relación con los productos/servicios suministrados

por él para obtener una garantía objetiva de la capacidad del proveedor para continuar

suministrando en caso de una interrupción,

- utilizar un horizonte de exploración para alertar a la organización de riesgos emergentes que

puedan afectar a la cadena de suministro, y

- tener en cuenta el efecto indirecto de las interrupciones causadas por eventos externos, tales como

una interrupción del transporte causada por la escasez de combustible provocada por las acciones

industriales o restricciones de movimiento impuestas por un brote de enfermedad.

7.3 Detección y notificación de incidentes La detección temprana de un evento disruptivo permite una respuesta eficaz, oportuna y adecuada. Esta requiere que la organización mantenga una relación abierta con los proveedores, animándoles a elevar de inmediato las particularidades y para identificar cualquier problema y el impacto potencial en el suministro de productos o servicios para la organización. Cuando la relación es menos transparente, el proveedor puede ser reacio a informar a los clientes de una interrupción real o potencial por el optimismo sobre su capacidad para resolver problemas sin impacto al cliente. El impacto de retrasar la notificación aumenta potencialmente el riesgo de que un problema menor se convierta en un problema importante para la organización. Esto es particularmente cierto si el proveedor no tiene una plena comprensión de su importancia para la actividad afectada. 7.4 Durante un incidente


26 | 29

La organización debería considerar los siguientes factores durante un incidente:

- La coordinación de la gestión de incidentes entre un proveedor crítico y la organización para

reducir el posibilidad de suposiciones erróneas acerca de la respuesta del proveedor y para

minimizar el impacto para la organización;

- Cualquier impacto que surge debido a la ubicación de las operaciones del proveedor con respecto

a la geografía, la cultura o las diferencias políticas;

- procedimientos para la comunicación fluida con el proveedor de todo el incidente sobre la situación

actual y el restablecimiento de las condiciones normales de trabajo;

- El enfoque de comunicaciones externas del proveedor para evitar que sean emitidos "mensajes

contradictorios" y cualquier daño consecuente a la reputación;

- La naturaleza recíproca de los acuerdos cuando la organización es la fuente del incidente y los

proveedores necesitan para gestionar sus propias operaciones de negocio afectadas por la

interrupción y también para proporcionar apoyo para facilitar la recuperación de la organización.

7.5 Retorno a la normalidad Retornar a la normalidad llevará tiempo y la organización necesitará coordinar las actividades con los proveedores cuyas operaciones se han visto afectadas. La organización debería tener la oportunidad de aprender de las lecciones de la interrupción y hacer mejoras tanto para disminuir el impacto de los acontecimientos futuros en el proveedor y la organización, y mejorar el flujo de información entre los proveedores y la organización. La organización debe gestionar las preocupaciones de los proveedores de compartir información sensible con otros proveedores implicados en la revisión y tratar con los proveedores que son reacios a aceptar las medidas de seguimiento sin cambios en los contratos y las cargas consiguientes. La organización debería solicitar siempre que sea posible el acceso a la información sobre las acciones resultantes de los incidentes y el seguimiento de los avances hacia su finalización. 7.6 Puntos clave del Capítulo 7: La gestión de una interrupción en la cadena de suministro

a) Incluir detalles de los acuerdos de gestión de la continuidad de la cadena de suministro en los

planes de BC.

b) Ejercitar con los proveedores para mejorar la coordinación y la comprensión de las

particularidades de los demás.

c) Asegurarse de que existe un procedimiento acordado e implementado con los proveedores para

alertar a la organización sobre incidentes o potenciales incidentes lo más pronto posible.

d) Durante un incidente, asegúrese de que el mando y el control está integrado.

e) Coordinar los planes de comunicación externa.

f) Posterior a un evento llevar a cabo una revisión conjunta y completa de lo sucedido, de las

lecciones aprendidas y de los resultados de las acciones de mejora.

EVALUACIÓN DEL DESEMPEÑO

8.1 Generalidades La organización debería llevar a cabo las evaluaciones del desempeño con sus proveedores críticos de


27 | 29

acuerdo con intervalos como parte de la rutina de gestión de relaciones con los proveedores. La evaluación del desempeño debería abarcar la gestión en curso de la SCCM e incluir el seguimiento, verificación, validación y revisión de los acuerdos de SCCM para estimular la mejora continua y ofrecer garantías en la cadena de suministro. El seguimiento y revisión ayuda a asegurar que los proveedores críticos siguen teniendo implementados acuerdos robustos de continuidad del negocio para:

- La utilización de reuniones regulares con los proveedores para lograr una comprensión temprana

de cualquier cambio en el la operación del proveedor o sus planes de continuidad que se

relacionan con los productos o servicios prestados,

- El seguimiento del desempeño de la cadena de suministro y la identificación de los problemas

potenciales,

- El establecimiento de disparadores y procedimientos de escalamiento para los proveedores que

informen fallos,

- La identificación de los riesgos "ocultos" con sus proveedores críticos en el caso de que sufren una

interrupción, y

- Facilitar la alineación del MBCO y RTO de los proveedores con los requisitos de la organización.

8.2 Colaboración con los proveedores La organización debería incluir la garantía del SCCM como un tema de debate regular con los proveedores a través de:

- la inclusión en la agenda de reuniones de revisión con los proveedores,

- la transferencia del conocimiento y herramientas compartidas de formación,

- las estrategias de abastecimiento,

- el seguimiento de las métricas de desempeño,

- el ejercicio de los planes de incidentes,

- el adecuado ensayo de la activación y del escalamiento de los planes,

- la comprensión conjunta de estructuras de mando y presentación de informes en el caso de un

incidente, y

- Los programas de ejercicios de colaboración.

8.3 La implementación de un programa de evaluación del desempeño del SCCM La organización debería mantener un programa de evaluación del desempeño del SCCM que incluya lo siguiente:

- Revisión de los criterios de la organización de la capacidad del SCCM requerida de los

proveedores; esta voluntad dependerá de la evaluación de la criticidad del proveedor y de la

estrategia BCM elegida para cada proveedor;

- Un proceso de verificación que incluye lo siguiente:

- Mantener el análisis (ver 8.4);

- Dar seguimiento permanente a través de indicadores clave de desempeño (KPI)/métricas;

- Diseñar y utilizar los cuestionarios/listas de control/autoevaluación;

- Utilizar un proceso de escalamiento cuando los proveedores no cumplen con los criterios;

- Revisar los procedimientos de contratación de la organización para garantizar que los requisitos de

BCM están incluidos;


28 | 29

- Revisar los contratos estándar de SCCM y cláusulas programadas para garantizar que sigan

cumpliendo las necesidades de la organización;

- Incluir el derecho a llevar a cabo la evaluación del desempeño de los contratos y convenios. Si el

derecho a llevar a cabo la evaluación del desempeño no está en el acuerdo, debe añadirse, si es

posible.

8.4 Mantenimiento del análisis La cadena de suministro y los riesgos que enfrenta siempre están cambiando. Para mantener su SCCM, la organización debería:

- Establecer un proceso repetible para analizar la cadena de suministro y dar seguimiento a los

riesgos cambiantes,

- Mantener el análisis actualizado e identificar oportunidades de mejora continua,

- Poner en práctica un proceso de revisión continua para dar seguimiento a los cambios en la

cadena de suministro e implementación de las mejoras,

- Identificar a los responsables del proceso de revisión, para su incorporación en el proceso vigente

de gestión de relaciones con proveedores,

- Construir los requisitos de SCCM en la estrategia de compras, e

- Incluir el proceso de evaluación de desempeño de proveedores de SCCM en el alcance de las

auditorías BCM.

8.5 Resultados de la evaluación del desempeño La evaluación del desempeño debería estar centrada en los resultados. Al evaluar la capacidad de un proveedor para satisfacer la requisitos de la organización, se debería examinar lo siguiente:

- el BIA, la valoración del riesgo y los planes de continuidad de negocio documentados del

proveedor;

- los procesos documentados para mantener y actualizar el plan de continuidad de los proveedores;

- los planes de ejercicio, los reportes post ejercicio y post incidente del proveedor;

- el proceso de notificación documentado e implementado que incluye las principales organizaciones

que podrían verse impactadas;

- el plan de comunicación documentado que incluye comunicaciones conjuntas y las declaraciones

que toman en consideración las organizaciones impactadas.

Los siguientes son los beneficios del proceso:

- Una mayor confianza en la capacidad de resiliencia de la cadena de suministro como resultado

de una mejor comprensión de los riesgos y controles;

- Evaluación de la medida en la que cada proveedor cumpla con los requisitos de la BCM de la

organización;

- Indicación temprana de los cambios que puedan afectar a la relación de suministro;

- Identificación de las brechas de capacidad que el proveedor tiene que abordar;

- Seguimiento de los proveedores y la medición del desempeño de los objetivos.

La organización debería revisar las relaciones y/o estrategia de la SCCM (véase el capítulo 6) cuando hay particularidades significativas con acuerdos de BCM de un proveedor.


29 | 29

En la realización de la evaluación del desempeño, la organización debe tomar en cuenta lo siguiente:

- Un proveedor puede tener muchos clientes que desean validar su BCM y esto podría ser costoso y

perjudicial para el proveedor;

- La evaluación del desempeño es un indicador que proporciona un punto de vista particular en el

tiempo, por lo que el programa necesita ser revisado periódicamente;

- La posibilidad de que el proceso de evaluación de desempeño y la implementación de acciones

correctivas podrían provocar un aumento de los costos.

8.6 Puntos clave del Capítulo 8: Gestión del desempeño

a. La responsabilidad está en la organización para asegurar que en los acuerdos de SCCM requeridos

para protegerse, se mantienen las actividades o procesos de alta prioridad.

b. Los responsables de las relaciones con los proveedores necesitan tener disparadores y vías de

escalamiento apropiados e implementados para alertar y reaccionar rápidamente con los cambios

en el rendimiento crítico proveedor.

c. Es esencial para mantener las relaciones con los proveedores, regular el compromiso a través de

las reuniones de revisión.

d. La inclusión de los proveedores en los ejercicios puede destacar los riesgos previamente

desconocidos que se pueden añadir a una bitácora de acción para el trabajo conjunto.

e. La evaluación del desempeño incluye el seguimiento, verificación, validación y revisión de los

acuerdos de SCCM, estimula la mejora continua y proporciona la evaluación del desempeño en la

cadena de suministro.

CORRESPONDENCIA

pn inte/iso ts 22318:2016 cp - colegio de …ciqpacr.org/sites/default/files/pn inte iso ts 22318...

Documents