Gestió del risc

Gestió del risc: Pla de continuïtat del negoci i Pla de contingència

Gestió del risc a la gestió per processos

Les normes ISO 9001, ISO 14001 i ISO 45001 es basen en la gestió per processos i la gestió del risc. Recullen la necessitat d’identificar els elements d’entrada i els resultats esperats de cada procés així com la necessitat d’indicadors per avaluar l’eficàcia dels processos. Això justifica encara més la integració del certificat ISO amb el quadre de mando.

Al certificat ISO 9001 cal gestionar el risc. Implica la identificació dels possibles escenaris en els que podrien no complir-se els resultats esperat. Cal establir les accions escaients per la gestió del risc identificats.

La gestió del risc cal que sigui flexible perquè pugui tenir en compte la diversitat de processos que poden definir-se, i les diferents conseqüències que una situació de risc pot tenir sobre els requisits dels productes i serveis, o sobre la satisfacció del client.

Cada organització ha d’adoptar la gestió dels riscos en funció de la seva activitat i sistema de gestió.

Pla de continuïtat del negoci ISO 22301

Un pla de continuïtat del negoci o Business Continuity Plan (BCP) és una eina per descriure com ha d’actuar l’organització després d’una interrupció no desitjada o desastre per recuperar i restaurar les funcions crítiques, parcial o totalment interrompudes dins d’un temps predeterminat. Per ajudar a minimitzar l’impacte dels incidents que provoquen una interrupció de l’activitat recomanem implantar els requisits de “ISO 22301: Gestió de la Continuïtat del  Negoci”.

Pla de contingències

Un pla de contingències (Disaster Recovery Plan) garanteix la continuïtat del funcionament. Ajuda a controlar i minimitzar qualsevol emergència o les seves conseqüències. Un plan de contingència té quatre etapes: la identificació i avaluació de riscos, la planificació, les proves de viabilitat i la seva execució.

El pla de contingències està vinculat amb la gestió del risc informàtic d’acord amb la norma ISO 27001 o ITIL per que una empresa pugui recuperar-se d’un desastre informàtic i restablir les seves operacions amb rapidesa.