Professional Documents
Culture Documents
CCPM Auditoria Interna Continuidad Negocio
CCPM Auditoria Interna Continuidad Negocio
Auditoría interna
Auditoría interna y el plan de continuidad del
negocio
Presentación
El presente boletín tiene como propósito exponer las características e implementación de un “Plan
de Continuidad del Negocio” o BCP, así como las principales estrategias para su definición y la
participación que en su contexto debe tener la Auditoría Interna.
I. Introducción 3
II. Estructura del Plan de Continuidad del
Comité Ejecutivo 2018–2020
Negocio o BCP 3
Presidente III. Plan de respuesta a emergencias (ERP) 4
C.P.C. y P.C.FI Ubaldo Díaz Ibarra
IV. Plan de recuperación del negocio (BRP) 5
Vicepresidente de Desarrollo y Capacitación Profesional
C.P.C., P.C.FI. y PC.P.L.D. Silvia Matus de la Cruz
V. Plan de continuidad del servicio (DRP) 6
VII. Auditoría Interna en el plan de
Director Ejecutivo
L.C.P. Luis Bernardo Madrigal Hinojosa continuidad del negocio (BCP) 7
VIII. Conclusiones 7
Comisión de Desarrollo Sector Empresa Auditoría Interna
Presidente
C.P. Gabriel Sánchez Curiel
Vicepresidente
MBA, CFE, C.P. Sergio Sahagún Campos
Secretario
L.C.P.C. Fernando Pérez Mendoza
Integrantes
L.C.P. Miguel Ángel Castillo Bautista
L.C. Gerardo Amando Díaz Valdez
C.P. Melquiades Gabriel Espino García
C.P. Ernesto Fernández de Lara Romero
C.P.C. y A. Jaime Ignacio García Jiménez
C.P. y M.F. María del Rocío Hernández Romero
C.P. Jorge Audén Leal Loera
L.I.N.G. Adriana Gabriela López Lozano
C.P. Mario Enrique Mota Sevchovicius
C.P. Iván Rabell Ojeda
C.P.C. Adolfo Ramírez Fernández del Castillo
C.P.C. Arturo Salvador Reyes Figueroa
L.C.P. Mario Sánchez Martínez
C.P. José de Jesús Sandoval Muñoz
C.P. Fernando Soto Barreto
A lo largo de la historia han ocurrido acontecimientos naturales de toda índole con impactos negativos o adversos
sobre las estructuras de la sociedad. Fenómenos naturales como terremotos, inundaciones, huracanes, incendios,
y calamidades causadas por los seres humanos, como guerras, terrorismo, manipulaciones dolosas de la economía,
huelgas injustificadas, pandemias, entre muchas otras, que han afectado y seguirán afectando a las personas y a
las operaciones de las empresas.
La globalización de los mercados también ha incrementado la necesidad de prepararse para enfrentar con éxito
los eventos adversos que pueden presentarse en forma de fluctuaciones cambiarias, inflación galopante, escases
de insumos, regulaciones gubernamentales unilaterales y violencia sociopolítica generalizada, por citar algunos
ejemplos.
Frente a dicho entorno, los gobiernos corporativos deben prepararse de manera oportuna y permanente a fin de
mitigar los impactos negativos sobre la estabilidad del negocio en el caso de que ocurra un desastre. Al respecto,
una respuesta concreta ha sido el “Plan de Continuidad del Negocio”, o BCP (por sus siglas en inglés, Business
Continuity Plan), cuyos componentes, incluso, han sido adoptados por autoridades regulatorias como una
obligación para determinadas empresas.
Por lo amplio y complejo que puede llegar a ser un BCP, en este documento se tratan los aspectos más
significativos sobre su estructura, las principales estrategias para su definición, así como la participación que en su
contexto debe tener la Auditoría Interna. Detalles y otras implicaciones sobre el BCP serán motivo de boletines
posteriores.
El BCP debe ser implantado en todas las áreas de la empresa, sin importar su giro, preferentemente haciendo
énfasis en aquellas entidades donde la integridad de la información es el activo principal. No importan las
dimensiones de la entidad; un BCP puede aplicarse a empresas grandes, medianas, pequeñas e, incluso, a micro
empresas.
Es importante destacar que el principal interesado en implantar un BCP es el dueño de la entidad y, desde luego,
el gobierno corporativo; sin el apoyo de ambas partes, el BCP no podría desarrollarse con éxito.
Una vez reconocida la importancia y beneficios de tener un BCP, Auditoría Interna debe involucrase activamente,
sin comprometer sus facultades, en la implantación, cumplimiento y actualización oportuna del Plan.
La estructura del BCP debe tener un enfoque integral para el manejo de emergencias y desastres, lo que implica
dotarlo de elementos básicos en materia de prevención, preparación, respuesta, y recuperación. A continuación se
explican brevemente:
Este componente del BCP tiene como principal objetivo salvaguardar los integrantes de la entidad y de las
instalaciones; en él se desarrollan los protocolos de respuesta inmediata a las situaciones adversas. Se inicia con la
identificación de las amenazas que se enfrentan por la ubicación geográfica de la empresa y, a continuación, se
diseñan las acciones para responder a dichas adversidades.
El ERP debe ser tan amplio y estructurado como la propia entidad; es decir, si la entidad tiene una oficina central
en un área geográfica de alta probabilidad de terremoto se debe desarrollar un protocolo específico para responder
a esta amenaza; por otro lado, si en los procesos de la empresa se utilizan materiales inflamables, se tendrá que
desarrollar un protocolo exclusivo para responder a un evento de esta naturaleza.
Los protocolos del ERP pueden ser más complejos: si la empresa tiene oficina central y sucursales ubicadas en
diferentes áreas geográficas, se tendrán que identificar y definir los protocolos de seguridad específicos para cada
Este componente del BCP se enfoca a identificar los procesos clave del negocio con objeto de restablecerlos en el
menor tiempo posible; para ello se definen el cómo, dónde, cuándo y quién es responsable, y qué debe hacerse
cuando ocurra un evento adverso. Esta identificación de los procesos clave implica asumir la postura de “comenzar
desde cero” después de un evento, incluyendo la pérdida temporal o a largo plazo de la operación, así como el
acceso a su ubicación principal.
El BRP debe desarrollarse en conjunto y simultáneamente con el Plan de Recuperación ante Desastres o DRP;
ambos planes son total y mutuamente dependientes; deben estar estrechamente comunicados y correlacionados;
con ello, el éxito del BCP estará asegurado y la empresa se encontrará en la ruta correcta para reanudar las
operaciones del negocio en el menor tiempo posible.
Ahora bien, el BRP implica los siguientes factores básicos:
§ Identificar y evaluar los procesos vitales, críticos, importantes y de bajo riesgo del negocio, y establecer
prioridades para su reanudación en el menor tiempo posible.
§ Garantizar la disponibilidad de los recursos necesarios, incluidos el personal, la información, los equipos, la
liquidez financiera, los servicios de reparaciones y adaptaciones que se requieran.
§ Mantener activa la operación frente una interrupción no planeada, asegurándose de que se puedan
satisfacer las necesidades esenciales de los clientes y de los proveedores, hasta la reanudación integral de
las operaciones.
Existen varios componentes para definir y establecer un BRP con perfil institucional; a continuación se mencionan
los más representativos:
Una parte clave del BRP es el Análisis del Impacto al Negocio o BIA (Business Impact Analysis), que es una
herramienta utilizada para evaluar los procesos del negocio y definir la prioridad de su continuidad durante un
desastre.
El BIA ayuda a predecir las consecuencias de la interrupción de una función y un proceso de negocios; recopila la
información necesaria para desarrollar estrategias de recuperación, así como para la inversión en estrategias de
prevención y mitigación. El BIA incluye un componente exploratorio para revelar cualquier vulnerabilidad, y un
componente de planificación para desarrollar estrategias para minimizar el riesgo. El resultado es un Informe de
Análisis de Impacto Empresarial, que describe los riesgos potenciales específicos de la entidad.
Una de las suposiciones básicas que implica el BIA es que cada componente de la empresa depende del
funcionamiento continuo de todos los demás, aunque algunos sean más cruciales que otros y requieran de una
mayor asignación de fondos en caso de un desastre.
Para identificar procesos significativos del negocio, en el BIA se define el “tiempo objetivo de recuperación”
(RTO), que es el período permitido para reiniciar una función a un nivel aceptable después del desastre, y el “punto
objetivo de recuperación” (RPO) que describe la antigüedad máxima de los datos para su restauración, con base en
los requisitos del negocio.
Se sugieren 4 categorías para priorizar los procesos del negocio a restablecer: a) vital, menor a 24 horas; b)
crítico, menor a 72 horas; c) importante, menor a una semana; d) riesgo bajo, mayor a 2 semanas.
Es práctica generalizada que la responsabilidad del BRP se asuma sinergéticamente por las áreas de Finanzas y
Administración de Riesgos, desde luego con la participación permanente de Auditoría Interna.
El tercer elemento del Plan de Continuidad del Negocio (BCP) es el plan de recuperación o continuidad del servicio
después de ocurrido un desastre. El DRP siempre debe estar alineado con el Plan de Recuperación del Negocio
(BRP) y con el Análisis del Impacto al Negocio (BIA).
En el DRP deben definirse las capacidades necesarias para responder a una interrupción de los servicios
tecnológicos mediante la implementación de un plan para restablecer las funciones críticas de la organización.
Dichas capacidades implican calendarizar actividades como el respaldo de archivos, autenticación de facultades
y niveles de seguridad, detección de virus y monitoreo de la utilización de sistemas, principalmente para
Esta Comisión ha declarado en otros boletines, que la prevención de riesgos es una de las principales
responsabilidades de Auditoría Interna. Ahora bien, si el plan de continuidad del negocio es parte indispensable de
dicha prevención, todos sus componentes e implicaciones, deben incluirse en el Plan Anual de Auditoría.
Prevención, preparación, respuesta y recuperación son los elementos básicos del BCP; la responsabilidad
respecto a ellos es de la empresa. A Auditoría Interna le corresponde incluir todos los componentes básicos de cada
uno de dichos elementos, en su programa de trabajo y, sin comprometer sus propias funciones, sugerir ajustes en
puntos críticos del BCP, como mecanismos adicionales de seguridad en la plataforma de cómputo, cambios a
prioridades establecidas por personal que no tiene conocimiento de la estructura global de la empresa, alcance de
los simulacros, así como frecuencia y aleatoriedad de éstos, entre otros puntos similares.
Ahora bien, el trabajo de auditoría durante un desastre será el dar soporte al gobierno corporativo sobre la
activación, ejecución y monitoreo del BCP, cerciorándose de su eficacia y actuando en forma preventiva sin bloquear
las actividades que se estén llevando a cabo.
VIII. Conclusiones
Considerando los riegos y amenazas que se enfrentan en un mundo globalizado como el actual, el BCP debe formar
parte del Plan Estratégico de la entidad; y con el liderazgo del gobierno corporativo, todo el personal de la empresa
debe estar involucrado en su preparación, cumplimiento y actualización permanente.
La vida de las empresas puede quedar comprometida en el caso de un desastre si carece de los procedimientos
necesarios para enfrentarlo, superarlo y continuar sus operaciones; en algunos casos esto puede ocurrir durante
sólo unos minutos sin que haya posibilidad de recuperación. La alternativa es un BCP a la medida de la empresa.
De acuerdo con sus responsabilidades en materia de prevención de riesgos y promoción de la eficiencia
operativa, Auditoría Interna debe involucrarse en todos los procesos que se identifican con el desarrollo y el
mantenimiento del BCP, e incluir en su Plan Anual el tiempo y los recursos necesarios para llevar a cabo su trabajo
excediendo las expectativas de la empresa y de sus accionistas.