NÚMERO

Boletín de Investigación de la Comisión de Desarrollo Sector Mayo

62 Empresa Auditoría Interna 2018

Auditoría interna
Auditoría interna y el plan de continuidad del
negocio

Presentación

El presente boletín tiene como propósito exponer las características e implementación de un “Plan
de Continuidad del Negocio” o BCP, así como las principales estrategias para su definición y la
participación que en su contexto debe tener la Auditoría Interna.

Por el C. P. Mario Enrique Mota Sevchovicius,

L. C. C. Fernando Pérez Mendoza y
C. P. Gabriel Sánchez Curiel
 Índice

I. Introducción 3
II. Estructura del Plan de Continuidad del
Comité Ejecutivo 2018–2020
Negocio o BCP 3
Presidente III. Plan de respuesta a emergencias (ERP) 4
C.P.C. y P.C.FI Ubaldo Díaz Ibarra
IV. Plan de recuperación del negocio (BRP) 5
Vicepresidente de Desarrollo y Capacitación Profesional
C.P.C., P.C.FI. y PC.P.L.D. Silvia Matus de la Cruz
V. Plan de continuidad del servicio (DRP) 6
VII. Auditoría Interna en el plan de
Director Ejecutivo
L.C.P. Luis Bernardo Madrigal Hinojosa continuidad del negocio (BCP) 7
VIII. Conclusiones 7
Comisión de Desarrollo Sector Empresa Auditoría Interna

Presidente
C.P. Gabriel Sánchez Curiel

Vicepresidente
MBA, CFE, C.P. Sergio Sahagún Campos

Secretario
L.C.P.C. Fernando Pérez Mendoza

Integrantes
L.C.P. Miguel Ángel Castillo Bautista
L.C. Gerardo Amando Díaz Valdez
C.P. Melquiades Gabriel Espino García
C.P. Ernesto Fernández de Lara Romero
C.P.C. y A. Jaime Ignacio García Jiménez
C.P. y M.F. María del Rocío Hernández Romero
C.P. Jorge Audén Leal Loera
L.I.N.G. Adriana Gabriela López Lozano
C.P. Mario Enrique Mota Sevchovicius
C.P. Iván Rabell Ojeda
C.P.C. Adolfo Ramírez Fernández del Castillo
C.P.C. Arturo Salvador Reyes Figueroa
L.C.P. Mario Sánchez Martínez
C.P. José de Jesús Sandoval Muñoz
C.P. Fernando Soto Barreto

Comisión de Desarrollo Sector Empresa Auditoría Interna del

Colegio, año V, núm. 62, mayo de 2018. Boletín Informativo
edición e impresión por el Colegio de Contadores Públicos de
México, A.C. Responsables de la Edición: Lic. Estefanía Vargas
Osorio, Mtro. César Tovar Longoria y Lic. Aldo Plazola González.
Bosque de Tabachines Núm. 44, Fracc. Bosques de las Lomas,
Deleg. Miguel Hidalgo 11700. El contenido de los artículos
firmados es responsabilidad del autor; prohibida la reproducción
total o parcial, sin previa autorización.

Boletín de Investigación de la Comisión de Desarrollo Sector Empresa Auditoría Interna 2

 I. Introducción

A lo largo de la historia han ocurrido acontecimientos naturales de toda índole con impactos negativos o adversos
sobre las estructuras de la sociedad. Fenómenos naturales como terremotos, inundaciones, huracanes, incendios,
y calamidades causadas por los seres humanos, como guerras, terrorismo, manipulaciones dolosas de la economía,
huelgas injustificadas, pandemias, entre muchas otras, que han afectado y seguirán afectando a las personas y a
las operaciones de las empresas.
La globalización de los mercados también ha incrementado la necesidad de prepararse para enfrentar con éxito
los eventos adversos que pueden presentarse en forma de fluctuaciones cambiarias, inflación galopante, escases
de insumos, regulaciones gubernamentales unilaterales y violencia sociopolítica generalizada, por citar algunos
ejemplos.
Frente a dicho entorno, los gobiernos corporativos deben prepararse de manera oportuna y permanente a fin de
mitigar los impactos negativos sobre la estabilidad del negocio en el caso de que ocurra un desastre. Al respecto,
una respuesta concreta ha sido el “Plan de Continuidad del Negocio”, o BCP (por sus siglas en inglés, Business
Continuity Plan), cuyos componentes, incluso, han sido adoptados por autoridades regulatorias como una
obligación para determinadas empresas.
Por lo amplio y complejo que puede llegar a ser un BCP, en este documento se tratan los aspectos más
significativos sobre su estructura, las principales estrategias para su definición, así como la participación que en su
contexto debe tener la Auditoría Interna. Detalles y otras implicaciones sobre el BCP serán motivo de boletines
posteriores.

II. Estructura del Plan de Continuidad del Negocio o BCP

El BCP debe ser implantado en todas las áreas de la empresa, sin importar su giro, preferentemente haciendo
énfasis en aquellas entidades donde la integridad de la información es el activo principal. No importan las
dimensiones de la entidad; un BCP puede aplicarse a empresas grandes, medianas, pequeñas e, incluso, a micro
empresas.
Es importante destacar que el principal interesado en implantar un BCP es el dueño de la entidad y, desde luego,
el gobierno corporativo; sin el apoyo de ambas partes, el BCP no podría desarrollarse con éxito.
Una vez reconocida la importancia y beneficios de tener un BCP, Auditoría Interna debe involucrase activamente,
sin comprometer sus facultades, en la implantación, cumplimiento y actualización oportuna del Plan.
La estructura del BCP debe tener un enfoque integral para el manejo de emergencias y desastres, lo que implica
dotarlo de elementos básicos en materia de prevención, preparación, respuesta, y recuperación. A continuación se
explican brevemente:

Boletín de Investigación de la Comisión de Desarrollo Sector Empresa Auditoría Interna 3

 Prevención: Acciones tomadas para reducir o eliminar la probabilidad y/o los efectos de un incidente. Este
elemento está cubierto en gran medida por la “Planeación de Gestión de Riesgos”.
Preparación: Acciones tomadas antes de un incidente para garantizar una efectiva respuesta y recuperación.
Este elemento está contemplado por la “Evaluación del Impacto al Negocio” o Business Impact Assesment (BIA)
Respuesta: Acciones tomadas frente a un incidente en términos de contención, control y mitigación de sus
impactos. Elemento que debe tomar en cuenta el “Plan de Respuesta a Emergencias” o Emergency Respond Plan
(ERP)
Recuperación: Acciones tomadas para superar con éxito un incidente, buscando reducir el tiempo de
interrupción de los procesos y el reinicio de las actividades. Este elemento está ampliamente cubierto por el “Plan
de Recuperación del Negocio” o Business Resumption Plan (BRP) y el “Plan de Recuperación de Desastres” o
Disaster Recovery Plan (DRP)
Establecidos los elementos clave mencionados, se entenderá al BCP como una estrategia institucional aplicada
por la empresa después de sufrir un evento adverso de crisis o desastre, a fin de recuperar total o parcialmente las
operaciones, con especial énfasis en los procesos identificados como vitales y críticos, así como, en su caso, el
restablecimiento de dichos procesos en el menor tiempo posible.
De acuerdo con lo anterior, es recomendable que la estructura del BCP incluya tres componentes principales
para lograr sus objetivos:

1. Plan de repuesta a emergencias o ERP (Emergency Response Plan).

2. Plan de recuperación del negocio o BRP (Business Resumption Plan).
3. Plan de continuidad del servicio o plan de recuperación después del desastre o SCM (Services Continuity
Management); o DRP (Disaster Recovery Plan).

III. Plan de respuesta a emergencias (ERP)

Este componente del BCP tiene como principal objetivo salvaguardar los integrantes de la entidad y de las
instalaciones; en él se desarrollan los protocolos de respuesta inmediata a las situaciones adversas. Se inicia con la
identificación de las amenazas que se enfrentan por la ubicación geográfica de la empresa y, a continuación, se
diseñan las acciones para responder a dichas adversidades.
El ERP debe ser tan amplio y estructurado como la propia entidad; es decir, si la entidad tiene una oficina central
en un área geográfica de alta probabilidad de terremoto se debe desarrollar un protocolo específico para responder
a esta amenaza; por otro lado, si en los procesos de la empresa se utilizan materiales inflamables, se tendrá que
desarrollar un protocolo exclusivo para responder a un evento de esta naturaleza.
Los protocolos del ERP pueden ser más complejos: si la empresa tiene oficina central y sucursales ubicadas en
diferentes áreas geográficas, se tendrán que identificar y definir los protocolos de seguridad específicos para cada

Boletín de Investigación de la Comisión de Desarrollo Sector Empresa Auditoría Interna 4

localidad y para cada situación de desastre. Generalmente el encargado y responsable del ERP es el Director de
Seguridad, quien deberá integrar diferentes brigadas por cada localidad y para cada situación adversa que ha sido
identificada.

IV. Plan de recuperación del negocio (BRP)

Este componente del BCP se enfoca a identificar los procesos clave del negocio con objeto de restablecerlos en el
menor tiempo posible; para ello se definen el cómo, dónde, cuándo y quién es responsable, y qué debe hacerse
cuando ocurra un evento adverso. Esta identificación de los procesos clave implica asumir la postura de “comenzar
desde cero” después de un evento, incluyendo la pérdida temporal o a largo plazo de la operación, así como el
acceso a su ubicación principal.
El BRP debe desarrollarse en conjunto y simultáneamente con el Plan de Recuperación ante Desastres o DRP;
ambos planes son total y mutuamente dependientes; deben estar estrechamente comunicados y correlacionados;
con ello, el éxito del BCP estará asegurado y la empresa se encontrará en la ruta correcta para reanudar las
operaciones del negocio en el menor tiempo posible.
Ahora bien, el BRP implica los siguientes factores básicos:

§ Identificar y evaluar los procesos vitales, críticos, importantes y de bajo riesgo del negocio, y establecer
prioridades para su reanudación en el menor tiempo posible.

§ Garantizar la disponibilidad de los recursos necesarios, incluidos el personal, la información, los equipos, la
liquidez financiera, los servicios de reparaciones y adaptaciones que se requieran.

§ Mantener activa la operación frente una interrupción no planeada, asegurándose de que se puedan
satisfacer las necesidades esenciales de los clientes y de los proveedores, hasta la reanudación integral de
las operaciones.

Existen varios componentes para definir y establecer un BRP con perfil institucional; a continuación se mencionan
los más representativos:

1. Establecer un Comité BRP.

2. Evaluar la capacidad de reacción frente a un desastre: “Si ocurriera una interrupción hoy, ¿con qué rapidez
y capacidad podrían reanudarse las operaciones?”
3. Definir un sitio alterno para continuar las operaciones durante el desastre.
4. Realizar un análisis de evaluación y gestión de riesgos.
5. Evaluar e identificar los procesos de negocio en vitales, críticos, importantes y de bajo riesgo.
6. Identificar al personal responsable de la continuidad de los procesos vitales y críticos.
7. Desarrollar conjuntamente el DRP, analizar y definir necesidades de hardware y software.

Boletín de Investigación de la Comisión de Desarrollo Sector Empresa Auditoría Interna 5

 8. Diseñar y documentar el BRP para ejecutar la recuperación.
9. Capacitar al personal involucrado en el BRP.
10. Efectuar simulacros “retando” a la capacidad de respuesta del BRP
11. Evaluar el BRP con la participación de Auditoría Interna.
12. Actualizar oportunamente el BRP.

Una parte clave del BRP es el Análisis del Impacto al Negocio o BIA (Business Impact Analysis), que es una
herramienta utilizada para evaluar los procesos del negocio y definir la prioridad de su continuidad durante un
desastre.
El BIA ayuda a predecir las consecuencias de la interrupción de una función y un proceso de negocios; recopila la
información necesaria para desarrollar estrategias de recuperación, así como para la inversión en estrategias de
prevención y mitigación. El BIA incluye un componente exploratorio para revelar cualquier vulnerabilidad, y un
componente de planificación para desarrollar estrategias para minimizar el riesgo. El resultado es un Informe de
Análisis de Impacto Empresarial, que describe los riesgos potenciales específicos de la entidad.
Una de las suposiciones básicas que implica el BIA es que cada componente de la empresa depende del
funcionamiento continuo de todos los demás, aunque algunos sean más cruciales que otros y requieran de una
mayor asignación de fondos en caso de un desastre.
Para identificar procesos significativos del negocio, en el BIA se define el “tiempo objetivo de recuperación”
(RTO), que es el período permitido para reiniciar una función a un nivel aceptable después del desastre, y el “punto
objetivo de recuperación” (RPO) que describe la antigüedad máxima de los datos para su restauración, con base en
los requisitos del negocio.
Se sugieren 4 categorías para priorizar los procesos del negocio a restablecer: a) vital, menor a 24 horas; b)
crítico, menor a 72 horas; c) importante, menor a una semana; d) riesgo bajo, mayor a 2 semanas.
Es práctica generalizada que la responsabilidad del BRP se asuma sinergéticamente por las áreas de Finanzas y
Administración de Riesgos, desde luego con la participación permanente de Auditoría Interna.

V. Plan de continuidad del servicio (DRP)

El tercer elemento del Plan de Continuidad del Negocio (BCP) es el plan de recuperación o continuidad del servicio
después de ocurrido un desastre. El DRP siempre debe estar alineado con el Plan de Recuperación del Negocio
(BRP) y con el Análisis del Impacto al Negocio (BIA).
En el DRP deben definirse las capacidades necesarias para responder a una interrupción de los servicios
tecnológicos mediante la implementación de un plan para restablecer las funciones críticas de la organización.
Dichas capacidades implican calendarizar actividades como el respaldo de archivos, autenticación de facultades
y niveles de seguridad, detección de virus y monitoreo de la utilización de sistemas, principalmente para

Boletín de Investigación de la Comisión de Desarrollo Sector Empresa Auditoría Interna 6

verificaciones de capacidad; y, de manera destacada, la capacidad de restablecer la infraestructura tecnológica
necesaria para continuar con los procesos de negocio vitales y críticos de la entidad identificados por medio del BIA.
También es importante subrayar que en el marco del plan de continuidad del servicio se definen principalmente los
objetivos de recuperación para los sistemas de cómputo que soportan los procesos de negocio.

VII. Auditoría Interna en el plan de continuidad del negocio (BCP)

Esta Comisión ha declarado en otros boletines, que la prevención de riesgos es una de las principales
responsabilidades de Auditoría Interna. Ahora bien, si el plan de continuidad del negocio es parte indispensable de
dicha prevención, todos sus componentes e implicaciones, deben incluirse en el Plan Anual de Auditoría.
Prevención, preparación, respuesta y recuperación son los elementos básicos del BCP; la responsabilidad
respecto a ellos es de la empresa. A Auditoría Interna le corresponde incluir todos los componentes básicos de cada
uno de dichos elementos, en su programa de trabajo y, sin comprometer sus propias funciones, sugerir ajustes en
puntos críticos del BCP, como mecanismos adicionales de seguridad en la plataforma de cómputo, cambios a
prioridades establecidas por personal que no tiene conocimiento de la estructura global de la empresa, alcance de
los simulacros, así como frecuencia y aleatoriedad de éstos, entre otros puntos similares.
Ahora bien, el trabajo de auditoría durante un desastre será el dar soporte al gobierno corporativo sobre la
activación, ejecución y monitoreo del BCP, cerciorándose de su eficacia y actuando en forma preventiva sin bloquear
las actividades que se estén llevando a cabo.

VIII. Conclusiones

Considerando los riegos y amenazas que se enfrentan en un mundo globalizado como el actual, el BCP debe formar
parte del Plan Estratégico de la entidad; y con el liderazgo del gobierno corporativo, todo el personal de la empresa
debe estar involucrado en su preparación, cumplimiento y actualización permanente.
La vida de las empresas puede quedar comprometida en el caso de un desastre si carece de los procedimientos
necesarios para enfrentarlo, superarlo y continuar sus operaciones; en algunos casos esto puede ocurrir durante
sólo unos minutos sin que haya posibilidad de recuperación. La alternativa es un BCP a la medida de la empresa.
De acuerdo con sus responsabilidades en materia de prevención de riesgos y promoción de la eficiencia
operativa, Auditoría Interna debe involucrarse en todos los procesos que se identifican con el desarrollo y el
mantenimiento del BCP, e incluir en su Plan Anual el tiempo y los recursos necesarios para llevar a cabo su trabajo
excediendo las expectativas de la empresa y de sus accionistas.

Boletín de Investigación de la Comisión de Desarrollo Sector Empresa Auditoría Interna 7