Paulo Bertolini explica las etapas del proceso, los principales requisitos, beneficios y desafíos para las empresas que adoptan el Sistema de Gestión de la Continuidad del Negocio.

Con un panorama de riesgos cada vez más diverso y complejo - desde desastres naturales hasta ciberataques - garantizar la continuidad de las operaciones es una prioridad estratégica para organizaciones de todos los tamaños. La norma ISO 22301 establece requisitos internacionales para un Sistema de Gestión de la Continuidad del Negocio (SGCN), ofreciendo un enfoque estructurado para mitigar riesgos y mantener servicios esenciales incluso en situaciones de crisis.

En entrevista exclusiva con la Asociación Brasileña de Evaluación de la Conformidad (ABRAC), Paulo Bertolini, director general de APCER Brasil y consejero de ABRAC, presenta las etapas para la certificación ISO 22301, los principales requisitos, los beneficios observados tras la certificación y los desafíos enfrentados por las organizaciones durante la implementación. También explica por qué la norma es aplicable a empresas de todos los tamaños y sectores, prestando especial atención a la realidad de las pequeñas y medianas empresas.

Abrac – ¿Cómo funciona el proceso de certificación para la ISO 22301 y cuáles son las etapas principales involucradas?

Paulo Bertolini – El proceso de certificación según la norma ISO 22301 - que establece los requisitos para un Sistema de Gestión de la Continuidad del Negocio (SGCN) - sigue un enfoque estructurado, compuesto por varias etapas esenciales. Todo comienza con un diagnóstico inicial realizado por la organización, que permite evaluar su nivel de madurez respecto a los requisitos de la norma. Con base en este análisis, se elabora un plan de acción que define prioridades y recursos necesarios para la implementación del sistema de gestión.

La fase siguiente consiste en la implementación propiamente dicha, donde es necesario identificar los procesos críticos de la organización, realizar un Análisis de Impacto en el Negocio (BIA), evaluar riesgos y definir estrategias de continuidad. En este punto, se desarrollan y documentan planes de respuesta y recuperación, acompañados de simulaciones y pruebas para validar la eficacia de dichos planes.

Una vez completada la implementación, la organización debe realizar una auditoría interna y un análisis crítico del sistema de gestión para garantizar que todos los requisitos se han cumplido y que el sistema está preparado para la evaluación por una entidad externa e independiente.

La auditoría de certificación se realiza en dos fases: la primera analiza la documentación y planificación del sistema de gestión, y la segunda verifica su aplicación práctica en las operaciones de la organización. Si la organización cumple los requisitos, se emite el certificado con validez de tres años, sujeto a auditorías de seguimiento con frecuencia mínima anual. Al final de este ciclo, se requiere una auditoría de recertificación para renovar la validez del certificado.

Abrac – ¿Cuáles son los principales requisitos que una organización necesita cumplir para estar en conformidad con la ISO 22301?

Paulo Bertolini – Para que una organización cumpla con la norma ISO 22301, es necesario satisfacer un conjunto de requisitos estructurados que aseguren la eficacia del Sistema de Gestión de la Continuidad del Negocio.

El primer paso es comprender el contexto organizacional, es decir, identificar factores internos y externos que puedan afectar la continuidad de las operaciones, así como las partes interesadas relevantes y sus necesidades. El liderazgo de la empresa desempeña un papel central, siendo responsable de demostrar compromiso, establecer una política clara de continuidad y asignar responsabilidades específicas.

Luego, se exige que la organización planifique adecuadamente el sistema, incluyendo la definición de objetivos de continuidad alineados con su estrategia y la adopción de medidas para abordar riesgos y oportunidades.

La norma también requiere la disponibilidad de los recursos necesarios —humanos, tecnológicos y financieros— además de asegurar competencias, concienciación del personal y mecanismos de comunicación efectivos, tanto internos como externos.

Uno de los elementos más críticos de la norma es la realización de un Análisis de Impacto en el Negocio (BIA), que permite identificar los procesos esenciales de la organización, los impactos asociados a su interrupción y los tiempos máximos aceptables para su recuperación. Complementariamente, se realiza una evaluación de riesgos y se define una estrategia de continuidad basada en planes documentados, los cuales deben mantenerse actualizados, probados regularmente y sujetos a mejoras continuas.

Por último, la ISO 22301 exige que la organización monitoree y evalúe el desempeño del sistema mediante auditorías internas, análisis críticos por la dirección y acciones correctivas. La mejora continua es un principio transversal, asegurando que el sistema evolucione según los cambios en el entorno interno, las amenazas externas o los objetivos estratégicos de la empresa.

Abrac – ¿Cuánto tiempo, en promedio, lleva la implementación de la norma ISO 22301 en una empresa de tamaño medio?

Paulo Bertolini – Según nuestra experiencia en el mercado, no siendo APCER Brasil una entidad de consultoría, diría que el tiempo necesario para implementar la norma ISO 22301 en una empresa puede variar significativamente según la complejidad de la organización, la madurez de los procesos existentes y el nivel de compromiso de la dirección.

Sin embargo, de manera general, se estima que el proceso lleva entre seis y doce meses. Este rango considera desde el diagnóstico inicial hasta la auditoría de certificación por un organismo certificador. Las organizaciones que ya poseen sistemas de gestión estructurados, basados en los requisitos de ISO 9001 o ISO 27001, tienden a tener una implementación más rápida, dado que ya están familiarizadas con la lógica de gestión por procesos, evaluación de riesgos y mejora continua.

Por otro lado, las empresas que comienzan desde cero o con bajo grado de madurez en gestión pueden requerir más tiempo, especialmente en la fase de análisis de impacto en el negocio (BIA), definición de estrategias de respuesta y elaboración de los planes de continuidad. Además, la disponibilidad de recursos internos, la existencia de equipos multidisciplinares y el apoyo de la alta dirección son factores determinantes para el éxito y la agilidad del proceso.

Abrac – ¿Cuáles son los principales beneficios que las empresas observan tras la certificación en ISO 22301?

Paulo Bertolini – Las empresas que implementan y se certifican según la norma ISO 22301 tienden a observar una serie de beneficios estratégicos, operativos y reputacionales.

Uno de los beneficios más evidentes es el refuerzo de la resiliencia organizacional, permitiendo que la empresa continúe operando o se recupere rápidamente en situaciones de crisis, como fallos tecnológicos, desastres naturales, pandemias, ciberataques o interrupciones en la cadena de suministro.

En el contexto brasileño, hay varios ejemplos recientes que ilustran la importancia de la continuidad del negocio. Durante la huelga de camioneros en 2018, muchas empresas enfrentaron rupturas en la logística y en la cadena de suministro. Las empresas con planes de continuidad estructurados pudieron reaccionar de manera más rápida, con alternativas de distribución y comunicación efectiva con los clientes.

Otro ejemplo significativo fue el impacto de la pandemia de COVID-19, donde sectores como salud, tecnología y servicios financieros se vieron obligados a adaptarse rápidamente a nuevos modelos operativos, y las empresas que ya contaban con sistemas de gestión de continuidad, incluso informales, lograron mantener la prestación de servicios críticos con menor disrupción.

Más recientemente, eventos climáticos extremos, como las inundaciones en Río Grande do Sul en 2024, volvieron a exponer vulnerabilidades en los sistemas de transporte, energía y telecomunicaciones. En estos casos, las empresas con planes de contingencia robustos pudieron trasladar operaciones, activar centros de respaldo y garantizar la seguridad de sus equipos, manteniendo la confianza de clientes y socios.

Además de enfrentar mejor las crisis, la certificación ISO 22301 contribuye a una gestión más eficaz de los riesgos operativos, promoviendo una cultura organizacional más preparada y proactiva. Esto se traduce en una reducción de pérdidas financieras y reputacionales, así como en un aumento de la confianza del mercado - ya sea de clientes, inversores o entidades reguladoras.

En sectores regulados o altamente dependientes de la continuidad, como financiero, energético y tecnológico, la norma se constituye cada vez más como un diferenciador competitivo.

Por último, muchas empresas certificadas reportan mejoras en la coordinación interna y en la comunicación durante situaciones de crisis, lo que fortalece la respuesta integrada entre departamentos y acelera la toma de decisiones. En Brasil, donde la inestabilidad logística, climática y digital es frecuente, la norma ISO 22301 se convierte, más que en un requisito técnico, en una herramienta estratégica para la supervivencia y sostenibilidad de los negocios.

Abrac – ¿Cuáles son los desafíos más comunes que enfrentan las organizaciones durante la implementación de la ISO 22301?

Paulo Bertolini – Durante la implementación de la norma ISO 22301, las organizaciones enfrentan una serie de desafíos, muchos de los cuales están relacionados con el cambio cultural y la complejidad de integrar la continuidad del negocio en la gestión estratégica.

Uno de los obstáculos más comunes es la falta de concienciación interna sobre la importancia de la continuidad operativa. En muchos casos, la continuidad aún se percibe como un asunto técnico o responsabilidad exclusiva del área de tecnología de la información, cuando en realidad requiere la participación transversal de todas las áreas de la organización, desde la alta dirección hasta los equipos operativos.

Otro desafío crítico es la realización del Análisis de Impacto en el Negocio (BIA), una etapa esencial para identificar los procesos más críticos, los impactos derivados de su interrupción y los tiempos máximos de recuperación aceptables. Este análisis requiere una visión profunda de los flujos de trabajo, las interdependencias entre áreas y los riesgos involucrados, algo que frecuentemente está poco documentado o depende fuertemente del conocimiento tácito de los equipos.

Además, muchas organizaciones enfrentan dificultades en la elaboración y prueba de los planes de continuidad, ya sea por falta de recursos o por resistencia interna a simular escenarios de crisis. La ejecución de pruebas y ejercicios realistas, con la participación de la dirección, a menudo se descuida, lo que compromete la eficacia real del sistema en caso de una interrupción real.

En resumen, los principales obstáculos no están únicamente en el aspecto técnico, sino en la gestión del cambio organizacional, la comunicación interna y la capacidad de alinear la continuidad con los objetivos estratégicos de la empresa. Superar estos desafíos requiere compromiso de la dirección, capacitación de los equipos y un enfoque práctico, adaptado a la realidad y contexto de cada organización.

Abrac – ¿La norma ISO 22301 es indicada para empresas de todos los tamaños y sectores? ¿Se recomienda alguna adaptación para pequeñas empresas?

Paulo Bertolini – La norma ISO 22301 fue concebida para ser aplicable a organizaciones de todos los tamaños y sectores, desde grandes multinacionales hasta micro y pequeñas empresas que prestan servicios localizados o operan en nichos específicos.

El principio orientador de la norma es la proporcionalidad, es decir, el sistema de gestión de la continuidad del negocio debe dimensionarse según el tamaño, la complejidad y el grado de criticidad de las operaciones de cada organización.

En el caso de las pequeñas empresas, la implementación de la ISO 22301 es perfectamente viable, siempre que se adapte a la realidad del negocio. En lugar de desarrollar documentos extensos o sistemas muy complejos, se puede adoptar un enfoque más ágil, centrado en los procesos verdaderamente críticos y las amenazas más probables.

Por ejemplo, una pequeña empresa tecnológica puede concentrar sus esfuerzos en proteger sus servidores, asegurar la continuidad de servicios en la nube y mantener comunicación con los clientes en caso de fallos, sin necesidad de aplicar la norma de manera rígida o burocrática.

En contextos como el brasileño, donde muchas pequeñas y medianas empresas tienen un papel esencial en cadenas de suministro, subcontratación o prestación de servicios continuos (como logística, TIC, salud y comercio electrónico), la norma representa una oportunidad para aumentar la confianza de los clientes, diferenciarse en el mercado y fortalecer la capacidad de respuesta ante eventos inesperados, como interrupciones logísticas, fallos de infraestructura o eventos climáticos extremos.

La propia ISO refuerza, a través de la norma complementaria ISO 22313, que el sistema de gestión debe ser flexible y escalable, respetando los recursos disponibles y el grado de riesgo al que está expuesta cada organización.

En resumen, la ISO 22301 es aplicable a cualquier tipo de organización, pero requiere un enfoque personalizado, práctico y adaptado a la realidad de cada empresa, lo que, lejos de ser un obstáculo, convierte la norma en una herramienta accesible y poderosa para reforzar la resiliencia, independientemente del tamaño o sector.

Abrac – ¿Desea añadir alguna información adicional?

Paulo Bertolini – Sí. La norma ISO 22301 representa mucho más que un certificado: es una herramienta estratégica de supervivencia, confianza y valor percibido. En una era de creciente incertidumbre (climática, digital, geopolítica), la resiliencia ha dejado de ser opcional para convertirse en un diferenciador competitivo. Se recomienda que la adopción de la norma se integre en la cultura de la organización, involucrando no solo la gestión de riesgos, sino también la comunicación, recursos humanos y responsables de los sistemas críticos.

Fuente: Oficina de prensa de Abrac