UNIVERSIDAD DE EL SALVADOR

FACULTAD DE CIENCIAS ECONÓMICAS

ESCUELA DE CONTADURÍA PÚBLICA

“PLAN DE CONTINUIDAD DE NEGOCIO BASADO EN LA NORMA TÉCNICA NRP-24

PARA UNA ASOCIACIÓN COOPERATIVA DE AHORRO Y CRÉDITO UBICADA EN EL
DEPARTAMENTO DE SAN VICENTE”

TRABAJO DE INVESTIGACIÓN PRESENTADO POR:

AYALA HERRERA, GABRIELA ESTEFANY

PEÑA MENDOZA, KIMBERLY ELIZABETH

VELASCO GUERRERO, YENIFFER ARACELY

PARA OPTAR AL GRADO DE:

LICENCIATURA EN CONTADURÍA PÚBLICA

JUNIO 2021

SAN SALVADOR, EL SALVADOR, CENTROAMÉRICA

 AUTORIDADES UNIVERSITARIAS

Rector : Msc. Roger Armando Arias Alvarado

Vicerrector Académico : PhD. Raúl Ernesto Azcúnaga López

Secretario General : Ing. Francisco Antonio Alarcón Sandoval

Decano de la Facultad de Ciencias Económicas : Msc. Nixon Rogelio Hernández Vásquez

Secretaria de la Facultad de Ciencias Económicas : Licda. Vilma Marisol Mejía Trujillo

Director de la Escuela de Contaduría Pública : Lic. Gilberto Díaz Alfaro

Coordinador general de Seminario de graduación : Lic. Mauricio Ernesto Magaña Menéndez

Coordinador de Seminario Graduación de la : Lic. Daniel Nehemías Reyes Lopez

Escuela de Contaduría Pública

Docente Director : Msc. Felipe Adolfo Menéndez Solís

Jurado Examinador : Lic. Carlos Nicolás Fernández Linares

Asesor Metodológico : Lic. Abraham de Jesús Ortega Chacón

Junio 2021

San Salvador, El Salvador, Centroamérica.

 AGRADECIMIENTOS

Dedico este triunfo académico a Dios, reconociendo que de él proviene toda bendición en mi vida;

a mis padres: Manuel Ayala y Noemy Herrera por su amor, esfuerzo y apoyo incondicional; a mis

abuelas: María Luisa Cañas (QEPD) y Genoveva Rivas, quienes me han animado e inspirado

constantemente a culminar este grado académico. Agradezco de manera especial a mis compañeras

de equipo por su dedicación en este proceso; a familiares y amistades, por motivarme y

acompañarme siempre; y a la Universidad de El Salvador por la excelente formación académica.

Gabriela Estefany Ayala Herrera

Doy gracias a Dios por darme la sabiduría y fortaleza para culminar mi formación universitaria. A

mis padres, Rita Mendoza y Carlos Peña quienes con mucho esfuerzo y sacrificio me han apoyado

en cada etapa de mi vida. A Manuel Hernández y mis hermanas Karla y Tania por motivarme a

lograr mis metas. A mi prometido Joel Muñoz por su apoyo incondicional, amor y paciencia desde

el inicio de mi carrera. Así como, mis amigos y docentes que formaron parte de mi crecimiento

profesional.

Kimberly Elizabeth Peña Mendoza

Dar gracias a Dios y a la Virgen María por permitirme culminar con éxitos este proceso de

graduación, a mis padres Carlos Velasco y Elsa Guerrero por su comprensión, dedicación y apoyo

incondicional a lo largo de mi carrera profesional, a mis hermanos Yonathan Velasco y Yessica

Velasco por motivarme a no desistir. A mi asesor especialista y asesor metodológico por el aporte

de conocimientos y tiempo dedicado para culminar este proyecto y finalmente a mis compañeras

de tesis por su apoyo, entrega y compañerismo puesto desde el inicio hasta lograr este triunfo.

Yeniffer Aracely Velasco Guerrero

ÍNDICE DE CONTENIDO

RESUMEN EJECUTIVO ............................................................................................................. i

INTRODUCCIÓN ....................................................................................................................... iii
CAPITULO I: MARCO TEÓRICO ............................................................................................1
1.1. Plan de Continuidad del Negocio ..................................................................................... 1
1.1.1. Antecedentes ............................................................................................................. 1
1.1.2. Generalidades............................................................................................................ 3
1.1.3. Elementos del Plan de Continuidad de Negocio ....................................................... 5
1.2. Conceptos ......................................................................................................................... 9
1.3. Asociaciones Cooperativas de Ahorro y Crédito ........................................................... 10
1.3.1. Antecedentes ........................................................................................................... 10
1.3.2. Generalidades.......................................................................................................... 10
1.3.3. Modelo de Negocios ............................................................................................... 11
1.3.4. Principales Riesgos ................................................................................................. 13
1.4. Base Legal ...................................................................................................................... 18
1.4.1. Aplicable a las Asociaciones Cooperativas de Ahorro y Crédito ........................... 18
1.4.2. Aplicable al Ejercicio de la Contaduría .................................................................. 21
1.5. Base técnica .................................................................................................................... 24
1.5.1. Para la Gestión de la Continuidad del Negocio ...................................................... 24
1.5.2. Contable .................................................................................................................. 28
CAPITULO II: METODOLOGÍA DE LA INVESTIGACIÓN .............................................29
2.1. Enfoque y tipo de investigación ..................................................................................... 29
2.2. Unidad de análisis .......................................................................................................... 29
2.3. Universo y muestra......................................................................................................... 29
2.4. Instrumentos y técnicas de recopilación......................................................................... 30
2.5. Procesamiento de la información ................................................................................... 30
2.6. Análisis de resultados ..................................................................................................... 30
2.7. Variables e indicadores .................................................................................................. 30
2.8. Diagnóstico..................................................................................................................... 31
2.9. Presentación de resultados ............................................................................................. 32
2.9.1. Generalidades de la Asociación Cooperativa ......................................................... 33
2.9.2. Modelo de Negocio ................................................................................................. 34
 2.9.3. Gestión de Riesgos .................................................................................................. 35
2.9.4. Gestión de la Continuidad del Negocio .................................................................. 36
CAPITULO III: PROPUESTA DE SOLUCIÓN .....................................................................38
3.1 Planteamiento del caso ................................................................................................... 38
3.2 Metodología de la propuesta .......................................................................................... 39
3.3 Desarrollo del caso ......................................................................................................... 42
3.3.1 Entendimiento de la Organización .......................................................................... 44
3.3.2 Política de Continuidad de Negocio ....................................................................... 48
3.3.3 Roles y Responsabilidades en la Gestión de Continuidad del Negocio.................. 48
3.3.4 Análisis de Impacto del Negocio (BIA).................................................................. 51
3.3.5 Análisis de las Amenazas a la Continuidad del Negocio ........................................ 61
3.3.6 Estrategias de Continuidad del Negocio ................................................................. 73
3.3.7 Procedimientos de emergencia y recuperación ante eventos de interrupción ......... 74
3.3.8 Plan de Comunicación ............................................................................................ 94
3.3.9 Pruebas de Continuidad del Negocio ...................................................................... 96
3.3.10 Evaluación y Mejoras al Plan de Continuidad del Negocio ................................... 99
3.3.11 Costo de implementación del Plan de Continuidad de Negocio ........................... 100
RECOMENDACIONES............................................................................................................102
BIBLIOGRAFÍA........................................................................................................................103
ANEXOS .....................................................................................................................................105

ÍNDICE DE FIGURAS

Figura 1 Evolución de los Estándares de Continuidad del Negocio. ............................................ 2

Figura 2 Aplicación del Ciclo PDCA al Plan de Continuidad de Negocio ................................. 40
Figura 3 Metodología para la elaboración del Plan de Continuidad de Negocio ...................... 41
Figura 4 Estructura organizativa ACODFIL ............................................................................... 46
Figura 5 Modelo mapa de riesgos................................................................................................ 66
Figura 6 Mapa de riesgos ACODFIL .......................................................................................... 72
Figura 7 Protocolo de comunicación del BCP al personal ......................................................... 95
ÍNDICE DE TABLAS

Tabla 1 Alcance del DRP frente al BCP ........................................................................................ 5

Tabla 2 Ejemplos de eventos de riesgo internos .......................................................................... 15
Tabla 3 Ejemplos de eventos de riesgo externos .......................................................................... 16
Tabla 4 Líneas de Negocio ACODFIL de R.L. ............................................................................ 47
Tabla 5 Análisis del Impacto del Negocio ACODFIL.................................................................. 53
Tabla 6 Determinación del Impacto Cuantitativo para el BIA .................................................... 57
Tabla 7 Matriz de identificación de amenazas............................................................................. 63
Tabla 8 Criterios para la asignación de la probabilidad ............................................................ 65
Tabla 9 Criterios para la asignación del impacto ....................................................................... 65
Tabla 10 Criterios de aceptación del riesgo ................................................................................ 67
Tabla 11 Matriz de evaluación del riesgo .................................................................................... 68
Tabla 12 Estrategias de Continuidad del Negocio ACODFIL .................................................... 73
Tabla 13 Ficha de amenaza: Sismos ............................................................................................ 75
Tabla 14 Ficha de amenaza: Incendios ....................................................................................... 77
Tabla 15 Ficha de amenaza: Inundaciones ................................................................................. 79
Tabla 16 Ficha de amenaza: Ausencia de personal .................................................................... 81
Tabla 17 Ficha de amenaza: Asaltos y terrorismo ...................................................................... 82
Tabla 18 Ficha de amenaza: Interrupción del suministro eléctrico ............................................ 83
Tabla 19 Ficha de amenaza: Caída del sistema .......................................................................... 84
Tabla 20 Ficha de amenaza: Interrupción del servicio de Internet ............................................. 85
Tabla 21 Ficha de amenaza: Interrupción del transporte de valores.......................................... 86
Tabla 22 Ficha de amenaza: Ataques cibernéticos ..................................................................... 87
Tabla 23 Ficha de amenaza: Hurto, robo y vandalismo.............................................................. 89
Tabla 24 Ficha de amenaza: Fraudes .......................................................................................... 91
Tabla 25 Ficha de amenaza: Emergencias sanitarias, epidemias y pandemias .......................... 93
Tabla 26 Tipos de pruebas de Continuidad del Negocio ............................................................. 97
Tabla 27 Programa de Pruebas 2021 .......................................................................................... 98
Tabla 28 Costo de Implementación del BCP ............................................................................. 100
 i

RESUMEN EJECUTIVO

Las organizaciones están expuestas constantemente a diversos eventos que pueden afectar

de manera significativa su normal funcionamiento e incurrir en interrupciones parciales o totales

del negocio, sin embargo, son pocas las empresas que se anticipan o preparan constantemente para

poder responder y adaptarse oportunamente a cualquier tipo de eventos.

Las Asociaciones Cooperativas de Ahorro y Crédito desempeñan una función importante en

la economía y en el desarrollo local, ya que además de ser fuentes generadoras de empleos y

ejecutoras de proyectos sociales, son entidades que brindan servicios financieros más accesibles

para sus asociados, con respecto a los ofertados por la banca comercial.

Dependiendo del evento de interrupción, éste podría afectar a una asociación cooperativa

mediante la imposibilidad de brindar los servicios en sus instalaciones, tales como: la apertura y

depósitos en cuentas de ahorro, el retiro de fondos de remesas, el otorgamiento de créditos, entre

otros. Por otra parte, también puede repercutir en la pérdida o incapacidad del personal y afectar o

vulnerar los sistemas y tecnologías de información con los que cuenta para operar normalmente,

lo cual se traduce directamente en una exposición del equilibrio del negocio, de la protección de

su reputación, de la credibilidad, así como sus recursos y continuidad; e indirectamente en una

afectación a la economía local y personal de sus asociados.

Por lo anterior, la presente investigación atiende tal problemática mediante la recopilación

de las mejores prácticas tomando como referente la normativa nacional y el estándar internacional

ISO 22301:2012, con el objetivo principal de elaborar un plan de continuidad de negocio basado

en los requerimientos técnicos de la normativa NRP-24, a fin de coadyuvar a la resiliencia y

 ii

consecución de objetivos de una Asociación Cooperativa de Ahorro y Crédito ubicada en el

departamento de San Vicente.

El estudio fue abordado cualitativamente con un enfoque hipotético inductivo con un alcance

descriptivo sobre las principales amenazas de interrupción del negocio a las que está expuesta una

Asociación Cooperativa de Ahorro y Crédito ubicada en el departamento de San Vicente, tomando

como unidad de análisis las áreas claves de ésta.

Mediante diagnóstico realizado a la entidad, fue posible identificar que la problemática

investigada no es ajena a ésta y que actualmente la administración de la asociación cooperativa

está interesada en gestionar la continuidad de negocio mediante una herramienta que recopile las

mejores prácticas en la materia.

En virtud de lo anterior, se elaboró una propuesta de plan de continuidad de negocio basado

en la aplicación del ciclo PDCA el cual es sugerido por la ISO 22301; así mismo se tomaron en

cuenta los elementos requeridos por la norma NRP-24 para la gestión de continuidad de negocio,

entre estos, la realización de un análisis del impacto del negocio (BIA) la cual permitió identificar

las líneas de negocio críticas; y la evaluación de los riesgos que podrían afectar la continuidad de

negocio, realizada esta última mediante una matriz de probabilidad e impacto.

Tal propuesta fue diseñada considerando la situación actual de la asociación cooperativa en

estudio, por lo que se recomienda al consejo de administración, alta gerencia y unidad de riesgos

evaluar su implementación en la entidad.

 iii

INTRODUCCIÓN

El presente documento contempla la investigación realizada en una asociación cooperativa

de ahorro y crédito ubicada en el departamento de San Vicente, la cual carece de un plan de

continuidad de negocio que le permita anticiparse a los eventos de interrupción, mejorar su

resiliencia y permitir de esta manera la consecución de sus objetivos institucionales.

La investigación fue desarrollada en tres capítulos. En el primer capítulo se aborda el marco

teórico utilizado, en el que se describen los aspectos relevantes del plan de continuidad de negocio;

los principales conceptos relacionados con el tema de investigación; generalidades, modelo de

negocio y riesgos a los que están expuestas las asociaciones cooperativas de ahorro y crédito; así

mismo, se hace referencia a la normativa legal y técnica aplicable.

En el segundo capítulo se describen: el tipo de investigación realizada, las unidades de

análisis, el método y técnica utilizada para la recopilación de la información, las variables e

indicadores, el diagnóstico realizado y la presentación de resultados obtenidos agrupados en cuatro

tópicos de interés.

El tercer capítulo comprende la propuesta de solución la cual está fragmentada en dos partes;

en la primera se aborda el planteamiento del caso y la metodología utilizada para el desarrollo de

la propuesta y en la segunda se desarrolla un plan de continuidad de negocio acorde a los

requerimientos emanados de la norma NRP-24 para la gestión de la continuidad del negocio.

Posteriormente se exponen conclusiones y recomendaciones emanadas del proceso de

investigación y se ultima con la presentación de anexos que complementan el trabajo realizado.

 1

CAPITULO I: MARCO TEÓRICO

1.1. Plan de Continuidad del Negocio

1.1.1. Antecedentes

La gestión de continuidad del negocio surge en primera instancia, como respuesta a la

necesidad de salvaguardar los activos de las empresas ante desastres y emergencias, sobre todo de

aquellas causadas por la naturaleza. Uno de los primeros lineamientos internacionales en la materia,

fue el NFPA 1600 publicado en 1995, en él se establecieron criterios para gestionar los desastres,

emergencias y programas de continuidad de las organizaciones.

El término “Plan de Continuidad de Negocio” o BCP por sus siglas en inglés (Business

Continuity Plan) se empezó a utilizar con la emisión de la NIS 800-34 "Contingency Planning

Guide for IT" la cual fue publicada por gobierno de Estados Unidos en el año 2002, con la finalidad

de asegurar la continuidad del servicio de las Tecnologías de Información y Comunicación, ya que

era necesario contar con información oportuna y precisa generada a través de estas tecnologías para

asegurar la operatividad en las entidades.

Con el paso del tiempo, la disciplina de “recuperación ante desastres” ha evolucionado a un

proceso de gestión que identifica amenazas potenciales para la organización y el impacto que

podría ocasionar la ocurrencia de éstas en las operaciones de la entidad, generando de esta manera

un marco para crear resiliencia de modo que pueda anteponerse protegiendo sus intereses,

reputación, marcas y las actividades de creación de valor fundamentales. En este contexto surge la

ISO 22301:2012 debido al desarrollo de buenas prácticas, lineamientos y normas de continuidad

de negocio, que se ilustran en la figura 1.

 2

Figura 1 Evolución de los Estándares de Continuidad del Negocio.

Fuente: Elaborado con información obtenida de (ISOTools Excellence, 2014)

Tal como se puede apreciar en la figura anterior, el estándar ISO 22301:12 engloba las

distintas metodologías y buenas prácticas en Continuidad del Negocio generadas en los últimos

veinte años. La norma, a través del ciclo de mejora continua (PDCA), establece los requisitos para

la planificación, establecimiento, implementación, operación, supervisión, revisión, prueba,

mantenimiento y mejora de un Sistema de Gestión de Continuidad del Negocio (SGCN)

documentado, teniendo en cuenta la gestión de los riesgos globales de cada organización.

En El Salvador, se concibe por primera vez la implementación de un plan de continuidad del

negocio en el año 2011 con la aprobación de las Normas para la Gestión del Riesgo Operacional

de las Entidades Financieras (NPB4-50), emitida por la Superintendencia del Sistema Financiero.

Históricamente, la estabilidad del sistema financiero ha evolucionado en la medida que los

organismos reguladores y supervisores adoptan prácticas adecuadas para el manejo legal y

prudencial de los diferentes riesgos de las instituciones financieras.

 3

En abril de 2019, El Banco Central de Reserva emitió una versión de norma técnica para

comentarios, denominada Normas Técnicas para la Gestión de Continuidad del Negocio (NRP-24)

la cual tiene por objeto establecer las disposiciones mínimas que deben considerar las entidades

para un sistema de gestión de continuidad de negocio y criterios para la adopción de políticas,

planes, metodologías y procedimientos acordes a las mejores prácticas internacionales, el tamaño,

naturaleza de sus operaciones, segmentación de negocios y la complejidad organizacional de cada

entidad. Dicha norma fue aprobada hasta en abril de 2020 y entró en vigencia a partir del uno de

julio de 2020.

Cabe destacar, que la normativa técnica sobre Continuidad de Negocio ha sido emitida

solamente por entes reguladores y supervisores del sistema financiero. En este sentido, las

asociaciones cooperativas carecen de normativa aplicable sobre el tema, no obstante, la adopción

de las normas emitidas para las entidades del sistema financiero, constituyen una buena práctica

para las asociaciones cooperativas de ahorro y crédito.

1.1.2. Generalidades

El plan de continuidad de negocio (BCP) busca maximizar la capacidad que una organización

tiene para sobreponerse ante eventos que amenacen con suspender por un tiempo o indefinidamente

la puesta en marcha de los productos o servicios que oferta a los clientes o usuarios, afectando la

operatividad y las utilidades de esta.

El plan generalmente es elaborado con un modelo denominado PDCA por sus siglas en inglés

(Plan, Do, Check, Act) también conocido como circulo Demming. ya que fue el Dr. Williams

Edwards Deming uno de los primeros que utilizó este esquema lógico en la mejora de la calidad

dándole un fuerte impulso; se divide en cuatro pasos planificar, hacer, evaluar y actuar.
 4

Los componentes del ciclo PDCA según la ISO 22301:2012 son los siguientes:

 Plan (Establecer): En esta fase se construyen las políticas, objetivos, alcance, controles,

procesos y procedimientos importantes para la continuidad del negocio. Todos estos

documentos tienen que estar alineados a los objetivos y políticas de la organización.

 Do (Implementar y Operar): En esta fase se implementa y se pone en operación las

políticas de continuidad de negocio, controles, procesos y procedimientos involucrados

en el BCP.

 Check (Monitorear y Revisar): En esta fase se monitorea y revisa el desempeño contra

las políticas de continuidad del negocio y objetivos, reporte de resultados de la revisión

de la gestión, y determinar y autorizar acciones para la mejora continua.

 Act (Mantenimiento y Mejora): En esta fase se toman acciones para mejorar y mantener

el BCP.

Los planes de continuidad del negocio son conocidos también como Planes para

Recuperación de un Desastre (DRP, Disaster Recovery Plan) y los dos tienen mucho en común.

Sin embargo, según (Bautista, 2014) un DRP está enfocado a los sistemas de información, diseñado

para restablecer la operación de los servicios informáticos críticos específicos (hardware y

software) con instalaciones, infraestructura y procedimientos alternos, en caso de una emergencia.

En la tabla 1, se visualiza el contraste del alcance del DRP frente al BCP.

El BCP también se relaciona con los denominados: plan de emergencias y plan de

comunicación de crisis, en los que se prevé los protocolos a implementar dentro de las instalaciones

de la entidad en el momento que un siniestro atente a la salud y seguridad del personal y, los

procedimientos internos y externos para informar a los interesados con rapidez y seguridad;

respectivamente.
 5

Tabla 1 Alcance del DRP frente al BCP

Alcance del DRP frente al BCP

Recuperación de Desastres (DRP) Continuidad de Negocio (BCP)

Los esfuerzos de recuperación de desastres Los procesos de continuidad del negocio se
continuarán solo hasta que el desastre se supere extienden incluso después de eliminar un
por completo. desastre.
Se enfoca en sistemas y datos afectados por el Está relacionado con todas las operaciones de
desastre. la empresa.
Es reactivo, se produce después de un desastre. Es proactivo, se produce antes y después de un
desastre.

Fuente: (Bautista, 2014).

Los cuatro planes son muy importantes y a menudo son combinados en el documento del

BCP por ser más conveniente.

1.1.3. Elementos del Plan de Continuidad de Negocio

En la presente investigación se retomarán requerimientos de (NRP-24, 2020) y aspectos

metodológicos de la ISO 22301:2012 para la elaboración de un plan de continuidad de negocio

para una asociación cooperativa de ahorro y crédito, el cual contendrá los elementos que se

puntualizan a continuación:

 Entendimiento de la organización

Abarca el conocimiento de la entidad, identificando aspectos como su misión, visión, valores,

estructura organizativa, áreas de trabajo, instalaciones, productos y/o servicios, entre otros.

 Política de continuidad de negocio

Se formula en términos precisos definiendo el alcance, objetivos, principios, guías, normas

y el compromiso del gobierno de la entidad para el establecimiento, implementación y mejora de

la gestión de continuidad de negocio.

 6

 Roles y responsabilidades de los participantes en la gestión de la continuidad de

negocio.

Se deben establecer los roles y responsabilidades de todo el personal que intervendrán para

la gestión de crisis y continuidad del negocio.

 El análisis de impacto del negocio (BIA).

Este análisis determina los procesos, productos o servicios críticos y necesarios; estimando

el impacto financiero y operacional que el cese de estos ocasionaría a una asociación cooperativa,

así como el periodo de tiempo de recuperación. Siendo estas las bases para la elaboración de un

plan de continuidad de negocio.

El BIA se plantea en términos estratégicos (identifica y prioriza los productos más urgentes

y determina los tiempos de recuperación); tácticos (determina los procesos requeridos para la

entrega de los productos) y operacionales (identifica y prioriza las actividades en los procesos

determinados como críticos).

Para (Hernández & Galeano, 2013) la metodología del desarrollo del BIA sigue una

secuencia de fases que se detallan a continuación:

Evaluación del impacto financiero: se evalúa la magnitud y severidad de las pérdidas

financieras que generaría la interrupción de los productos o servicios determinados como críticos.

Evaluación del impacto operacional: refleja el efecto negativo que puede ocasionar la

alteración en uno o varios de los procesos operacionales definidos como críticos como por ejemplo

perdida de participación en el mercado, mala reputación, servicio inadecuado a clientes, entre otros.
 7

Establecimiento de tiempo de recuperación: una vez definido el impacto financiero y

operacional se deben identificar los tiempos de recuperación, para ello se define el MTPD que

representa el tiempo máximo tolerable de inactividad para la organización sin entrar en colapso

financiero y operacional. El MTPD se jerarquiza de acuerdo a las prioridades de recuperación de

la organización. Por otra parte, el RPO precisa el punto objetivo de recuperación.

Establecimiento de requerimientos de recursos: consiste en identificar los recursos

básicos indispensables para que los procesos determinados como críticos puedan funcionar. Para

ello se define el RTO que representa el tiempo que un proceso permanecerá detenido antes de que

su funcionamiento vuelva a ser restaurado (este valor lleva implícita la subjetividad) y el MBCO

que es el objetivo mínimo de continuidad de negocio.

Generación del informe BIA: el informe detalla los procesos críticos de la entidad, donde

el impacto de un incidente no deseado tendría el mayor efecto.

 Análisis de las amenazas a la continuidad de negocio

Se deben identificar las amenazas de interrupción capaces de afectar los procesos y sistemas

críticos, información, personas, activos, partes interesadas y otros recursos de soporte; para

posteriormente ser evaluadas.

 La estrategia de continuidad de negocio

Para la selección de la estrategia, se deberá considerar los resultados del BIA y del análisis

de las amenazas a la continuidad del negocio; tomando en cuenta los aspectos siguientes: la

seguridad del personal; la protección y recuperación de los productos, servicios y recursos de apoyo

críticos; la mitigación, respuesta y gestión de los impactos generados por los incidentes de

interrupción; las instalaciones de trabajo e infraestructura de tecnología para continuar y recuperar

 8

los productos y servicios críticos dentro del periodo de tiempo identificado y la capacidad acordada;

los recursos necesarios; y la seguridad de la información

 Procedimientos de emergencia y recuperación ante eventos de interrupción

Se deben definir procedimientos claros para el conocimiento del personal involucrado en la

activación del BCP para responder, recuperar y continuar con el negocio a un nivel aceptable de

operación predefinido, ante la ocurrencia de eventos de interrupción; así como mecanismos de

notificación y de escalamiento del incidente.

 Plan de comunicación

En este se definen los mecanismos de comunicación efectiva con las partes interesadas

internas y externas a la entidad; antes, durante y después de la ocurrencia de eventos de interrupción

que amenacen la continuidad del negocio total o parcialmente.

 Programa de pruebas de continuidad de negocio

La entidad debe programar pruebas periódicas del BCP con escenarios realistas de

interrupción, para asegurar que es consistente con la política y los objetivos de continuidad del

negocio definidos. Las pruebas pueden ser parciales, temporales o no anunciadas.

 Evaluación y mejora del plan de continuidad de negocio.

La organización debe documentar la revisión y seguimiento al BCP para asegurarse de su

conveniencia, adecuación y eficacia continua. La revisión debe incluir la evaluación de

oportunidades de mejora y la necesidad de efectuar cambios a los elementos del BCP.

 9

1.2. Conceptos

Continuidad del Negocio: es la capacidad de una entidad para seguir ofreciendo sus

productos o servicios a niveles previamente definidos como aceptables después de un incidente de

interrupción. (NRP-24, 2020)

Gestión de la Continuidad del Negocio: proceso de gestión integral que identifica

amenazas, potenciales a una entidad y el impacto que podrían causar a las operaciones del negocio,

en caso de materializarse. Este proceso provee un marco para construir la capacidad organizacional

de sobreponerse a un incidente de interrupción y ofrecer una respuesta efectiva, de tal manera de

salvaguardar los objetivos corporativos, reputación, marca y actividades de creación de valor.

Plan de Continuidad de Negocio (BCP, por sus siglas en inglés): procedimientos

documentados que guían a las entidades para responder, recuperar y continuar con el negocio a un

nivel aceptable de operación predefinido, posterior a un incidente de interrupción y dentro de los

tiempos de recuperación predefinidos.

Incidente de interrupción: un evento que tiene la capacidad de generar una interrupción en

los productos o servicios que ofrece una entidad, el cual, de no ser gestionado apropiadamente,

puede ocasionar una emergencia, crisis o desastre. Se le conoce también como incidente disruptivo.

Resiliencia: es la capacidad de la empresa para seguir en funciones; entregar servicios y

productos, aún en situaciones de crisis o catástrofes como forma de asegurar la continuidad del

negocio.

Servicios críticos: son los servicios y actividades prioritarios cuya no disponibilidad

compromete la existencia de la entidad.

 10

1.3. Asociaciones Cooperativas de Ahorro y Crédito

1.3.1. Antecedentes

Según la historia publicada por (INSAFOCOOP, 2020):

El Cooperativismo es asociativo, nace para defender a las personas, surgen las asociaciones

en forma de empresa propia destinada a satisfacer las necesidades comunes de las mismas, en

materia socio económica defiende a las personas, en su doble carácter “como consumidores y

productores”. Los considerados padres del cooperativismo moderno son Roben Owen y Willian

King, pero también contribuyeron grandemente otros pensadores franceses y alemanes.

El surgimiento del cooperativismo de ahorro y crédito se dio en la época de 1950-1979; se

acentuó con el financiamiento de la iglesia católica y el programa CUNA-AID, de la Alianza para

el Progreso. Debido al impulso del programa, en 1965 se organizan las cooperativas: CACTIUDA,

ACACME (Sonsonate), COOP-1 (Santa Ana), ACCOVI (San Vicente), ACACU (La Unión) y

ACOMI (San Miguel); así mismo en 1966 se funda la Federación de Cooperativas de Ahorro y

Crédito de El Salvador (FEDECACES), como organismo cooperativo de segundo nivel.

Actualmente, según (INSAFOCOOP, 2020) San Vicente es el tercer departamento con más

asociados en el rubro ahorro y crédito, con una cantidad de 59,063 asociados que representan

aproximadamente un 10.09% del total del rubro en el territorio salvadoreño.

1.3.2. Generalidades

Las asociaciones cooperativas financieras se rigen por principios fundamentales como son la

asociación voluntaria y abierta de sus asociados, el control democrático, la participación

económica, la autonomía e independencia, la educación, capacitación y formación. Dentro de las

principales características figuran las siguientes: son asociaciones de derecho privado, de interés
 11

social y sin ánimo de lucro; son creadas con el objeto de distribución de servicios enfocados a

satisfacer las necesidades de sus asociados y de la comunidad en general; se constituyen con

duración indefinida y un patrimonio variable e ilimitado, entre otras.

De conformidad al art. 100 del Reglamento de la Ley General de Asociaciones Cooperativas

“Son cooperativas de ahorro y crédito, las que tienen por objeto servir de cajas de ahorro a sus

miembros e invertir sus fondos en créditos, así como la obtención de otros recursos para la

concesión de préstamos directa o indirectamente a sus asociados” (Asamblea Legislativa de El

Salvador , 1987)

En concordancia con la definición anterior, el objetivo fundamental de este tipo de

asociaciones cooperativas es brindar servicios de intermediación financiera a sus asociados

mediante el ejercicio de las actividades propias de las entidades de crédito.

1.3.3. Modelo de Negocios

Su modelo de negocio está determinado por los siguientes aspectos:

 Las propuestas de valor ofrecidas a sus asociados son: la participación igualitaria en la

gobernanza de la institución siendo parte de la Junta General de Asociados con derecho a

un voto por asociado, la responsabilidad limitada ante terceros respondiendo únicamente

con el capital aportado y la accesibilidad a servicios financieros con una mayor protección

de sus intereses económicos.

 Generalmente la atención al cliente es brindada de una forma personalizada y entre los

canales de comunicación y distribución de los servicios están: atención física en sucursales;

el portal web y las redes sociales de la institución; cajeros automáticos y las plataformas de

servicios financieros en línea propios o de socios comerciales.

 12

 Para muchas cooperativas, su principal socio clave y estratégico son las federaciones o las

redes de cooperativas, las cuales buscan constantemente el desarrollo integral de las

asociaciones cooperativas afiliadas; tal es el caso de la asociación cooperativa de ahorro y

crédito en estudio, la cual está afiliada a la Red de Cooperativas FEDECACES de R.L.

 Las operaciones que realizan se pueden categorizar en activas y pasivas. Las operaciones

activas comprenden las actividades relacionadas con los numerarios, caja, préstamos y

cartera de inversiones. Por otra parte, las pasivas comprenden las actividades relacionadas

con la apertura, depósito, retiro de fondos y cancelación de cuentas de ahorro; depósitos a

plazo fijo, reversiones de operaciones de ahorro, bloqueos de cuenta, servicios conexos de

cuentas de ahorro, así mismo la apertura y retiro de cuentas de inversión.

 Entre los recursos necesarios para brindar los servicios están: los recursos físicos, humanos

e intelectuales. El primero comprende el mobiliario, equipo de trabajo e instalaciones; el

segundo lo integra todo el personal calificado y el tercero incluye patentes, marcas y

derechos de autor.

 El flujo de ingresos lo integran los resultantes de las operaciones activas y otros negocios

con socios estratégicos, por ejemplo, el servicio de remesas familiares y seguros.

 La estructura de gastos está compuesta por las erogaciones realizadas por el mantenimiento

de los recursos físicos, remuneraciones de empleados, publicidad y el pago de servicios

básicos en las instalaciones. Los costos están conformados por las erogaciones realizadas

en concepto de tasas de interés por los depósitos a plazos de los asociados, el pago de

servicios adquiridos de sus socios clave tales como: las comisiones por transacciones en

cajeros automáticos, costo de emisión de tarjetas (plástico).

 13

 Por otra parte, debido a las regulaciones establecidas deben constituir reservas de fondos

especiales, las cuales afectan los flujos de efectivo. Entre ellas se pueden destacar la reserva

de saneamiento, legal, institucional, de liquidez, de educación.

1.3.4. Principales Riesgos

Las asociaciones cooperativas, como cualquier otra organización, están expuestos a muchos

riesgos. El riesgo consiste en la probabilidad de que, la ocurrencia de un suceso adverso afecte a la

entidad e impacte en su habilidad para lograr sus objetivos y por ende la capacidad de cumplir su

misión y visión.

Dada su actividad económica, los principales riesgos a los que están expuestas según

(Superintendencia del Sistema Financiero, 2011) son detallados a continuación:

 Riesgo de Crédito: Es la posibilidad de pérdida, debido al incumplimiento de las

obligaciones contractuales asumidas por una contraparte, entendida esta última como un

prestatario o un emisor de deuda.

 Riesgo de Liquidez: Es la posibilidad de incurrir en pérdidas por no disponer de los

recursos suficientes para cumplir con las obligaciones asumidas, incurrir en costos

excesivos y no poder desarrollar el negocio en las condiciones previstas.

 Riesgo de Mercado: Es la posibilidad de pérdida, producto de movimientos en los precios

de mercado que generan un deterioro de valor en las posiciones dentro y fuera del balance

o en los resultados financieros de la entidad.

 Riesgo Operacional: Es la posibilidad de incurrir en pérdidas, debido a las fallas en los

procesos, el personal, los sistemas de información y a causa de acontecimientos externos;

incluye el riesgo legal.

 14

 Riesgo Reputacional: Es la posibilidad de incurrir en pérdidas, producto del deterioro de

imagen de la entidad, debido al incumplimiento de leyes, normas internas, códigos de

gobierno corporativo, códigos de conducta, lavado de dinero, entre otros.

En la norma citada, también se expone que los factores generadores de riesgo operacional

son los procesos, las personas, la tecnología de la información y los acontecimientos externos. De

lo anterior se puede deducir que los primeros tres factores obedecen a factores internos y el ultimo

a factores externos.

Algunos de eventos de riesgo causado por factores internos son: los fraudes ocasionados por

actividades no autorizadas; los robos, malversación, falsificación, soborno, apropiación de cuentas

y contrabando causado por el personal de la institución; la falta de higiene y seguridad en el trabajo;

el incumplimiento de contratos laborales y comerciales; las prácticas empresariales o de mercado

improcedentes; las fallas en equipos de hardware, software o telecomunicaciones; interrupciones

del servicio de energía eléctrica, errores en el procesamiento de datos; errores en el proceso de

compensación de valores y liquidación de efectivo; entre otros. En la tabla 2 se exhibe ejemplos de

eventos de riesgos de esta clase ocurridos en diversas instituciones.

Los eventos de riesgo causado por factores externos son generalmente asociados a desastres

naturales (fenómenos atmosféricos, erupciones volcánicas, incendios forestales, sismos, tsunamis,

y derivados), sin embargo, también pueden deberse al contexto político, económico, social, cultural

y situaciones de salud pública; ejemplos son la aprobación de nuevos tributos fiscales o leyes

restrictivas, las crisis económicas, las huelgas y protestas sociales, las crisis sanitarias (brotes de

infecciones, epidemias, pandemias), entre otros. Para tener un panorama estructurado sobre los

riesgos y amenazas a los que está expuesta una entidad, es preciso visualizar algunos eventos

significativos ocurridos en el entorno y el impacto generado por estos (véase tabla 3).
 15

Tabla 2 Ejemplos de eventos de riesgo internos

Ejemplos de eventos de riesgo internos

Año Evento Impacto
1997 Robo y fraude El monto de la estafa asciende a más de 130
FINSEPRO-INSEPRO millones de dólares, afectado a más de 1400
personas que invirtieron en la financiera de
Tipo: seguros e inversiones segura producidas
Reputacional

2005 Estafa Se estimó que tuvo una afectación económica de

Caso Agave Azul más de 600 mil dólares de parte de los
salvadoreños que invirtieron en el negocio de
Tipo: tequila. El 30 de mayo de 2005 comenzó a ser
Reputacional investigada por la fiscalía con sospecha de lavado
de dinero.

2017 Incendio en torre 3 de las Inhabilito las instalaciones propias por lo que los
oficinas centrales del empleados no pudieron laborar en condiciones
Ministerio de Hacienda óptimas durante 3 meses, por otra parte, se incurrió
en el alquiler de instalaciones para reubicar al
Tipo: personal y brindar servicios a los contribuyentes.
Operacional

2017 Malversación de Fondos Las irregularidades en el proceso de construcción

en el Ministerio de Obras del tramo II del bulevar Diego de Holguín se
Públicas habrían malversado $28,266,085 en referente al
diseño y construcción del referido bulevar debido
Tipo; al cambio de administración.
Reputacional

2020 Fallas tecnológicas en El hecho ocurrido fue un incremento en las

sistemas del Banco capacidades del plan de transformación y
Agrícola adopción digital. El impacto ocasionado fue que a
los usuarios se le activaron cargos duplicados en
Tipo: algunas tarjetas de créditos que ellos no realizaron.
Operacional Por lo anterior, se incrementó la desconfianza e
incertidumbre en los usuarios.

Fuente: Elaboración propia

 16

Tabla 3 Ejemplos de eventos de riesgo externos

Ejemplos de eventos de riesgo externos

Año Evento Impacto

1998 Huracán Mitch Las pérdidas y daños se estiman en $388 millones de dólares,
afectando principalmente las actividades del sector agrícola y la
Tipo: infraestructura pública (destrucción de puentes, carreteras,
Desastre natural sistemas de agua y alcantarillado, pozos, letrinas, escuelas y
unidades de salud). Además, origino incrementos en los costos
de algunos servicios especialmente en el transporte carretero.

2001 Entrada en vigencia Se adoptó la divisa estadounidense como unidad de cuenta

de la Ley de (dólar), ocurrió la pérdida del señoreaje; el Banco Central de
Integración Reserva perdió la facultad de ayudar a bancos nacionales en caso
Monetaria. de necesidad o durante una crisis (conocido como prestamista de
última instancia). Por otra parte, las entidades incurrieron en
Tipo: costos de transformación de cuentas bancarias, cajas
Político económico. registradoras y sistemas contables.

2001 Sismo magnitud 7.7 Se estima una afectación económica de $1,255 millones de
(13 de enero) dólares, con un total de 32,540 empleos perdidos por
establecimientos destruidos y dañados del sector PYMES. Se
Tipo: prevé que el 18.3% de la población salvadoreña fue afectada
Desastre natural directamente por el colapso de viviendas, negocios, escuelas,
centros religiosos y la suspensión de los servicios básicos.

2001 Sismo magnitud 6.6 El monto de los daños y pérdidas ocasionado ascendió a $348.5
(13 de febrero) millones de dólares, impactando principalmente a la zona
paracentral del país que se encontraba en un nivel de
Tipo: vulnerabilidad alto ocasionado por el terremoto del 13 de enero.
Desastre natural Afectó principalmente la infraestructura local y vial; así como a
los sectores productivos, particularmente el pequeño y micro
comercio de San Vicente, Cuscatlán y La Paz.

2005 Huracán Adrián Afectó la infraestructura de energía eléctrica debido a los fuertes
vientos y caída de árboles, en los municipios centro-sur,
Tipo: especialmente los de la costa pacífica de la región. Las lluvias
Desastre natural ocasionaron también inundaciones de casas y deslizamientos en
vías públicas.

2008 Crisis financiera La crisis afectó al país en gran parte debido a la estrecha relación
internacional comercial con Estados Unidos, así como a la relevante
participación de las remesas en la economía nacional. Los
Tipo: ingresos públicos decrecieron debido a la disminución de la
Económico actividad productiva y a los altos niveles de desempleo que
enfrentó el país.
 17

Año Evento Impacto

2009 Tormenta Tropical Produjo inundaciones por el desbordamiento de ríos en todo el
Ida país afectando principalmente a los departamentos de la zona
paracentral. Provocó 184 muertes, más de 14,000 damnificados
Tipo: y pérdidas por un estimado de $239.19 millones de dólares.
Desastre natural
2011 Depresión Tropical Los daños y pérdidas se estiman por $840.42 millones de dólares.
12 E Las zonas de mayor afectación fueron las volcánicas provocando
derrumbes e inundaciones debido a la acumulación de agua
Tipo: durante diez días.
Desastre natural

Fuente: Elaboración propia con datos de BCR, CEPAL y SNET

Tal como se puede apreciar en la tabla anterior, las cooperativas han crecido en una economía

dolarizada vulnerable a los desastres naturales ocasionados principalmente por la elevada actividad

sísmica y por fenómenos de origen hidrometeorológicos. Según (MARN, 2018) “El 88.7% de los

21,040 km2 de territorio salvadoreño ha sido clasificado como zona de riesgo y en él habita el 95.4

% de la población”.

Las asociaciones cooperativas de ahorro y crédito además han estado expuestas a otros

factores que han afectado directamente sus negocios, entre ellos se pueden mencionar la violencia

social, la cual se traduce generalmente en extorsiones, robos e inseguridad tanto para el personal

como para las cooperativas; frecuentes huelgas y protestas sociales que provocan tráfico vial y

dificultan el traslado del personal a los centros de trabajo; los brotes epidemiológicos ocasionados

por el virus del chikungunya en 2014, el virus del zika en 2015 y el reciente COVID-19 los cuales

han afectado directamente al personal de las entidades y el normal funcionamiento de éstas.

 18

1.4. Base Legal

1.4.1. Aplicable a las Asociaciones Cooperativas de Ahorro y Crédito

Ley General de Asociaciones Cooperativas

Constituye la base regulatoria principal, que tiene por objeto velar la libertad de la

organización y el funcionamiento de las asociaciones cooperativas, así como los principios que se

deben cumplir y los fines en que tendrán que ir enfocadas, en el desempeño de sus actividades

cooperativistas.

Además, es importante resaltar, el privilegio otorgado en el artículo 72 literal a) sobre la

exención del pago del impuesto sobre la renta con previa petición al Ministerio de Economía y

previa justificación con audiencia del Ministerio de Hacienda.

Reglamento de la Ley General de Asociaciones Cooperativas

Enmarca los diferentes procedimientos contenidos en la ley, tales como la determinación de

la dirección que deben seguir las cooperativas, lo relativo a su constitución, organización,

inscripción, funcionamiento y demás actos referentes en el desempeño de sus actividades

cooperativistas, hasta su liquidación.

Código Tributario

Regula las obligaciones tributarias formales y sustantivas, de él emanan la obligación formal

de presentación de declaraciones tributarias mensuales y anuales, así como el pago de las mismas

en los plazos establecidos. Además, norma los requisitos y la obligación de los contribuyentes de

IVA con respecto a los documentos a emitir y entregar por cada operación que realicen. (Art. 107,

110, 112, 114 y 115-A)

 19

Conforme al Código en referencia, las asociaciones cooperativas deberán de exigir Estados

Financieros o Estado de Ingresos y Gastos según sea el caso para sustentar la concesión u

otorgamiento de préstamos los cuales deberán cumplir los requisitos del Código de comercio.

Dichos datos se informan en el mes de febrero de cada año a la administración tributaria. (Art. 120-

A; 120-B)

Ley de Impuesto sobre la Renta

Esta ley, grava las rentas obtenidas (art. 2) de las diferentes fuentes de ingresos enmarcadas

en la misma. Regula también la obligación y el cálculo de retenciones a empleados con dependencia

laboral y el pago del tributo en concepto de ganancias de capital (art. 14 A). Cabe mencionar

también la obligación de retener cuando las personas naturales obtengan rentas por intereses y otras

utilidades provenientes de depósitos (art. 27).

Ley de Impuesto a la Transferencia de Bienes Muebles y a la Prestación de Servicios

De conformidad al art. 16 constituye hecho generador del referido impuesto las prestaciones

de servicio. Las asociaciones cooperativas tienen la categoría de contribuyentes, por lo que deben

emitir y recibir los comprobantes de IVA respectivos, y demás obligaciones respecto a dicho

impuesto. Por otra parte, estipula la exención del referido impuesto de todas las operaciones de

depósito, de otras formas de captación y de préstamos de dinero, en lo que se refiere al pago o

devengo de intereses. (art. 46 literal f)

Código De Trabajo

Regula la actividad laboral, en cuanto a las obligaciones y derechos de los empleados y

patronos. Las principales responsabilidades del patrono de conformidad al art. 29 son: el pago del

salario al trabajador en la forma cuantía, fecha y lugar establecidos y proporcionar al trabajador los
 20

materiales necesarios para el trabajo. Además, ssegún el Art. 302 todo patrono privado que tenga

a la disposición permanente diez o más trabajadores deberán elaborar un reglamento interno de

trabajo.

Ley contra el Lavado de Dinero y de Activos

Las Asociaciones Cooperativas están obligadas a cumplir con esta ley, con el objetivo

prevenir, detectar, sancionar y erradicar el delito de lavado de dinero y de activos, así como su

encubrimiento. (art. 1 y 2). Además, están obligadas a informar en el plazo de tres días hábiles a la

UIF sobre cualquier operación o transacción múltiple realizada por cada usuario que en un mismo

día o un mes por ($57,142.86) siempre y cuando hubiere los suficientes elementos de juicio, para

considerarlas irregulares. (art. 9)

Ley de Protección al Consumidor

Los obligados a cumplir con lo que ley exige son los consumidores y los proveedores, por

los actos jurídicos celebrados entre ellos. (art. 2). Las cooperativas financieras deberán calcular los

intereses sobre los saldos diarios que se encuentren pendientes de cancelar por el deudor y no

podrán pactarse ni cobrarse intereses sobre intereses a los prestamos realizados, cuando exista

retraso en los pagos el interés moratorio se calculará sobre el capital vencido. (art. 12). Según el

art. 12-A Solo podrá cobrarse los intereses, comisión y recargos que hubiesen sido convenidos en

los términos señalados en el contrato.

Se prohíbe a las cooperativas imponer ya sea en forma directa o indirecta al deudor las

compañías con las que ha de contratar los seguros exigidos y los servicios notariales, de igual forma

no podrán utilizar garantías que no se hayan pactado en el contrato, ni efectuar cargos que no hayan

sido aceptados por el consumidor (art. 20).

 21

1.4.2. Aplicable al Ejercicio de la Contaduría

Ley Reguladora del Ejercicio de la Contaduría

La ley tiene por objeto, regular el ejercicio de la profesión de la Contaduría Pública, la

función de la fe pública auditora, los derechos y obligaciones de las personas naturales o jurídicas

que las ejerzan. Para efectos del presente trabajo, se destacan los siguientes puntos:

 Son atribuciones del Contador Público: Dictaminar e informar sobre entidades naturales o

jurídicas y de cualquier naturaleza económica o sin fines de lucro; certificar Estados

Financieros de las personas naturales o jurídicas de cualquier actividad económica o sin

fines de lucro; entre otras. (Art. 17)

 Quienes ejerzan la contaduría y la función de la auditoría, además de cumplir con la

normativa internacional de contaduría y de auditoría, deberán cumplir el Código de Ética

para Profesionales de la Contabilidad y Auditoría, adoptado y legalizado por el Consejo de

Vigilancia de la Profesión de Contaduría Pública y Auditoría (CVPCA) y Norma de

Educación Continuada emitida por el mismo (Art. 2)

Al respecto, cabe destacar que de conformidad a la resolución 462 de fecha 18 de marzo de

2021 el Consejo de Vigilancia (CVPCA) resolvió ratificar la siguiente normativa:

 La adopción del Código Internacional de Ética para Profesionales de la Contabilidad

(CIEPC), versión en español 2018.

 La Norma de Educación Continuada (NEC) 2020, emitida por el Consejo.

Así mismo, en la referida previene a los auditores y contadores a la observancia y aplicación

del marco normativo adoptado y ratificado por el Consejo, en el trabajo de auditoría y contabilidad;

y a asegurarse del cumplimiento de las bases contables emitidas por otros entes reguladores como
 22

son: El Instituto Salvadoreño de Fomento Cooperativo, el Ministerio de Gobernación y la

Superintendencia del Sistema Financiero/Banco Central de Reserva.

Código Internacional de Ética para Profesionales de la Contabilidad (2018)

Este Código establece los principios fundamentales de ética para profesionales de la

contabilidad, proporcionando un estándar de comportamiento aplicables a los profesionales de la

contabilidad. El referido se compone de cuatro partes denominadas: Cumplimiento de los

principios fundamentales y del marco conceptual, profesionales de la contabilidad en la empresa,

profesional de la contabilidad en ejercicio y las Normas Internacionales de Independencia.

El profesional de la contabilidad aplicará el marco conceptual del Código a fin de identificar,

evaluar y hacer frente a las amenazas en relación con el cumplimiento de los principios

fundamentales (R120.3), los cuales son: integridad, objetividad, competencia y diligencia

profesional, confidencialidad y comportamiento profesional.

Respecto a las auditorías, revisiones y otros encargos de aseguramiento, se fijan las siguientes

consideraciones para los profesionales de la contabilidad:

 Independencia: comprende la actitud mental independiente que permite expresar una

conclusión sin influencias que comprometan el juicio profesional; y la independencia

aparente la cual supone evitar los hechos y circunstancias que son tan significativos que un

tercero con juicio y bien informado probablemente concluiría que la integridad, la

objetividad y el escepticismo profesional se han visto comprometidos. (120.12 A1-A2)

 Escepticismo profesional: se requiere que se aplique escepticismo profesional al planificar

y llevar a cabo auditorias, revisiones y otros encargos de aseguramiento. (120.13 A1-A2)

 23

Norma de Educación Continuada (NEC) 2020

Uno de los objetivos para el desarrollo de la educación continuada es crear las condiciones

para que los auditores y contadores presten un servicio de calidad, manteniendo la competencia

profesional por medio de la actualización de conocimientos, fortaleciendo factores como el criterio,

actitud y capacidad para aplicar las normas técnicas adecuadas en que se sustenta la profesión.

La NEC estipula que los auditores y contadores inscritos en el Consejo de Vigilancia

(CVPCA) deberán cumplir cada año con un mínimo de 40 horas de educación continuada

acreditables, de las cuales 4 horas deben ser sobre ética profesional. Entre las áreas o temáticas de

educación continuada propuestas (no son limitativas) en esta norma, se contemplan algunas

relacionadas con la gestión de continuidad del negocio de las asociaciones cooperativas, entre ellas:

Contabilidad/Auditoria de Cooperativas, Control Interno, Finanzas, Gobierno Corporativo,

Dirección y Gerencia.

Norma Internacional de Auditoría (NIA) 570

La NIA 570 trata de las responsabilidades que tiene el auditor en la auditoría de los estados

financieros, en relación con el uso de la dirección sobre el supuesto de negocio en marcha para la

preparación de estados financieros.

El auditor tiene la responsabilidad de obtener evidencia de auditoría suficiente y oportuna

sobre la idoneidad del uso por la gerencia del supuesto de negocio en funcionamiento para la

preparación y presentación de los estados financieros, así como determinar si existe alguna

incertidumbre material sobre la capacidad de la entidad para continuar como negocio en marcha.
 24

1.5. Base técnica

1.5.1. Para la Gestión de la Continuidad del Negocio

Normas Técnicas para el Sistema de Gestión de la Continuidad del Negocio

La norma fue creada para que las entidades del sistema financiero gestionen adecuadamente

los riesgos a los que está expuestos de manera que garanticen la continuidad del negocio.

A la luz de la norma, los elementos mínimos a desarrollar para implementar un Sistema de

Gestión de Continuidad del Negocio (SGCN) son los siguientes:

 Una política de continuidad del negocio;

 Roles y responsabilidades de los participantes en la gestión de continuidad del negocio;

 El análisis de impacto del negocio (BIA);

 Análisis de amenazas a la continuidad de negocio;

 Diseño y selección de estrategias y tácticas de continuidad del negocio;

 Desarrollo e implementación de la(s) estrategia(s) de continuidad de negocio

seleccionada(s);

 Planes de continuidad del negocio para los procesos que permitan la entrega de productos

y servicios críticos que la entidad ofrece, incluyendo los servicios de apoyo internos y

externos que se vuelven críticos o habilitantes de los procesos de negocio;

 Pruebas a los planes de continuidad del negocio;

 Integración de la gestión de la continuidad del negocio dentro de la cultura organizacional

a través de la capacitación, divulgación y concientización del personal, al menos una vez al

año;

 Estrategia de gestión de crisis; y

 25

 Revisiones periódicas del SGCN.

La política de continuidad de negocio debe formularse de acuerdo a la naturaleza, tamaño,

perfil del riesgo, volumen de las operaciones, propósito y a las necesidades de la entidad.

Es importante que dentro de la institución se fomente una cultura organizacional la cual

permita que todos conozcan e implementen la gestión de continuidad de negocio desde el área

donde laboran ya sea administrativa, operativa o gerencial.

El análisis del impacto del negocio (BIA por sus siglas en inglés), interpreta un papel

importante en la gestión de la continuidad de negocio, puesto que en él se identifican y determinan

los productos o servicios críticos y sirve de base para el diseño y la selección de la estrategia de

continuidad y recuperación de la entidad.

El BIA debe tomar en cuenta todos los productos y servicios que una entidad entrega; así

como los procesos relacionados a ellos; además debe identificar, cuantificar y calificar los impactos

de incidentes de interrupción en términos financieros, reputacionales, operativos, legales y de

tiempo.

También deberá implicar la definición del tiempo máximo del período tolerable de disrupción

(MTPD), el tiempo objetivo de recuperación (RTO), punto objetivo de recuperación (RPO),

objetivo mínimo de continuidad de negocio (MBCO), así mismo, señalar las dependencias y

recursos de apoyo para las actividades.

El análisis se debe realizar de manera frecuente con el fin de tener los datos más actualizados

y poder prever futuros inconvenientes que afecten el negocio en marcha de la entidad.

 26

ISO 22301:2012 Sistemas de Continuidad del Negocio.

“La ISO 22301 ha sido desarrollada por ISO / TC 223, Seguridad social. Este comité técnico

desarrolla estándares para la protección de la sociedad en respuesta a incidentes, emergencias y

desastres causados por actos humanos intencionales y no intencionales, riesgos naturales y fallas

técnicas. Su perspectiva de todos los peligros cubre estrategias adaptativas, proactivas y reactivas

en todas las fases antes, durante y después de un incidente disruptivo” (ISO, 2012).

El estándar se divide en 10 cláusulas principales, comenzando con las primeras tres cláusulas

generales, en las que se detallan el alcance, las referencias normativas y definiciones. Los requisitos

comprenden de la cuarta cláusula a la décima, se describen a continuación:

Cláusula 4 - Contexto de la organización. El primer paso consiste en conocer la

organización, las necesidades internas y externas, y establecer límites claros para el alcance del

sistema de gestión. En particular, esto requiere que la organización comprenda los requisitos de las

partes interesadas relevantes, como los reguladores, los clientes y el personal. En particular, debe

comprender los requisitos legales y reglamentarios aplicables. Esto le permite determinar el alcance

del sistema de gestión de continuidad del negocio (BCM).

Cláusula 5 – Liderazgo. Pone especial énfasis en la necesidad de un liderazgo apropiado de

BCM. Esto es para que la alta gerencia garantice que se proporcionen los recursos apropiados,

establezca una política y designe personas para implementar y mantener el BCM.

Cláusula 6 – Planificación. Esto requiere que la organización identifique los riesgos para la

implementación del sistema de gestión y establezca objetivos y criterios claros que puedan usarse

para medir su éxito.

 27

Cláusula 7 – Soporte. Dado que se requieren recursos para la implementación, esta cláusula

introduce el importante concepto de competencia. Para que la continuidad del negocio sea exitosa,

las personas con el conocimiento, las habilidades y la experiencia apropiadas deben contribuir al

BCMS y responder a los incidentes cuando ocurran.

También es importante que todo el personal sea consciente de su propio papel en la respuesta

a incidentes y esta cláusula se ocupa de todas estas áreas. Aquí también se cubre la necesidad de

comunicación sobre el BCM, por ejemplo, para informar a los clientes que la organización tiene

un BCM apropiado, y la preparación para comunicarse después de un incidente (cuando los canales

normales pueden verse afectados).

Cláusula 8 – Operaciones. La organización debe realizar un análisis de impacto del negocio

para comprender cómo éste se verá afectado por la interrupción y cómo cambia con el tiempo. La

evaluación de riesgos busca comprender los riesgos para el negocio de una manera estructurada y

esto propicia el desarrollo de la estrategia de continuidad del negocio. Los pasos para evitar o

reducir la probabilidad de incidentes se desarrollan junto con los pasos a seguir cuando se producen

incidentes.

Cláusula 9 – Evaluación. Para cualquier sistema de gestión, es esencial evaluar el desempeño

del plan, por lo tanto, se requiere que la organización seleccione y se mida en función de las

métricas de rendimiento apropiadas. Las auditorías internas deben llevarse a cabo y existe el

requisito de que la gerencia revise el BCM y actúe sobre estas revisiones.

Cláusula 10 – Mejora. Esta cláusula define las acciones a tomar para mejorar el BCM a lo

largo del tiempo y garantizar que se aborden las acciones correctivas derivadas de auditorías,

revisiones, ejercicios, etc.

 28

1.5.2. Contable

Norma de Información Financiera para Asociaciones Cooperativas de El Salvador

La Norma de Información Financiera para Asociaciones Cooperativas de El Salvador

(NIFACES), la emite el Instituto Salvadoreño de Fomento Cooperativo (INSAFOCOOP), en su

carácter de institución rectora de las Asociaciones Cooperativas de El Salvador. La norma se

organiza por temas, presentándose cada tema en una sección numerada por separado; se estructura

por un total de 35 secciones.

Una asociación cooperativa es un negocio en marcha salvo que la administración o la

asamblea general de asociados tengan la intención de liquidarla o de hacer cesar sus operaciones,

o cuando no exista otra alternativa más realista que proceder de una de estas formas. De

conformidad a la sección 3: Presentación de Estados Financieros, párrafos 3.8 y 3.9, el Consejo

de Administración y la gerencia de una asociación cooperativa, evaluarán la capacidad que tiene la

asociación cooperativa para continuar en funcionamiento. Si existieren incertidumbres

significativas o condiciones que puedan aportar dudas importantes sobre la capacidad de la

asociación cooperativa de continuar como negocio en marcha, se deberán revelar estas

incertidumbres en las notas explicativas.

En la sección 8: Notas a los Estados Financieros, párrafos 8.8 y 8.9 se ejemplifican como

causales para continuar como negocio en marcha, las siguientes: Pérdida del 50% de la membresía

en relación al ejercicio anterior; la imposibilidad de realización del fin específico para el cual fue

constituido; y la pérdida significativa de los recursos, cuando las mismas ya afecten el capital

social.
 29

CAPITULO II: METODOLOGÍA DE LA INVESTIGACIÓN

2.1. Enfoque y tipo de investigación

En correspondencia al problema y los objetivos de la investigación, ésta se abordó de manera

cualitativa ya que el método permite un proceso de indagación flexible que reconstruye una

realidad partiendo de cómo la observan e interpretan los participantes de la investigación y del

desarrollo de la teoría.

Se adoptó un enfoque hipotético inductivo ya que este busca principalmente la “dispersión o

expansión” de los datos e información recopilada, es decir, permite desarrollar una teoría

congruente con la información y datos obtenidos, sin pretender generalizar de manera

probabilística los resultados a poblaciones más amplias (Hernández Sampieri, 2014, pág. 19).

Por otra parte, se definió un alcance descriptivo que propició la comprensión sobre las

principales amenazas de interrupción del negocio a las que está expuesta la asociación cooperativa

y el impacto de éstas, a fin de proponer una herramienta que coadyuve al fortalecimiento de la

resiliencia y el logro de objetivos de la institución.

2.2. Unidad de análisis

Se consideraron como unidades de estudio de la investigación, al gerente general, al

encargado de riesgos y el jefe de recursos humanos de una asociación cooperativa de ahorro y

crédito ubicada en el departamento de San Vicente.

2.3. Universo y muestra

En vista que la investigación es de tipo cualitativa y que se realizó en una asociación

cooperativa de ahorro y crédito específica, no se tiene muestra estadística.

 30

2.4. Instrumentos y técnicas de recopilación

La técnica utilizada fue la entrevista semiestructurada, en la que se empleó una guía de

preguntas como instrumento para la recolección de información. Se diseñaron tres instrumentos

que incluyeron preguntas de tres tipos: de antecedentes, conocimiento y opinión; para conocer

sobre el modelo de negocio, gestión de los recursos, gestión de riesgos y gestión de la continuidad

del negocio de la asociación cooperativa.

Se entrevistó al gerente general, encargado de riesgos y jefe de recursos humanos de una

asociación cooperativa de ahorro y crédito ubicada en el departamento de San Vicente.

2.5. Procesamiento de la información

La información obtenida por medio de las entrevistas se analizó y procedió a diagnosticar los

resultados obtenidos en una matriz de vaciado.

2.6. Análisis de resultados

Se analizó la información, la cual permitió la identificación de la problemática, situación

actual de la Asociación Cooperativa en cuanto al modelo de negocio, gestión de los recursos y de

riesgos; así como, la importancia de proponer una herramienta que coadyuve al fortalecimiento de

la resiliencia y el logro de objetivos de la institución.

2.7. Variables e indicadores

Se tiene por hipótesis que “La elaboración de un plan de continuidad de negocio basado en

los requerimientos técnicos de la normativa NRP-24, coadyuvará a la resiliencia y consecución de

objetivos de una Asociación Cooperativa de Ahorro y Crédito ubicada en el departamento de San

Vicente”; por lo que las variables establecidas son las siguientes:

 31

Variable Independiente: Plan de continuidad de negocio basado en los requerimientos

técnicos de la NRP-24.

Indicadores: Responsabilidad de la administración sobre la Gestión de Continuidad de

Negocio y el Nivel de riesgos aceptado.

Variable Dependiente: Resiliencia y consecución de objetivos de una Asociación

Cooperativa de Ahorro y Crédito.

Indicador: Capacidad de la entidad para seguir ofreciendo sus productos o servicios a niveles

previamente definidos como aceptables después de un incidente de interrupción.

2.8. Diagnóstico

La asociación cooperativa en estudio cuenta con más de 50 años brindando servicios de

intermediación financiera a sus asociados.

Los principales servicios que brinda son: créditos para distintos propósitos (personales,

vivienda, para actividades productivas, automotrices, comerciales y para microempresas), cuentas

de ahorro (a la vista, ahorros programados y ahorro infantil), depósitos a plazos, tarjetas de débito,

el pago de remesas familiares (vigo, ria, viamericas, uniteller, moneygram, bancomer, intermex,

intercambio express, dolex, y la nacional), el pago de servicios básicos y subsidios; procurando

adaptarse a los servicios financieros que necesiten los clientes.

Actualmente es una entidad supervisada por el INSAFOCOOP, sin embargo, la

Administración prevé ampliar próximamente sus horizontes convirtiéndose en banco cooperativo

supervisado por la Superintendencia del Sistema Financiero y autorizado para captar fondos del

público.
 32

En materia de gestión de riesgos, tiene conformado un Comité de Seguridad y Salud

Ocupacional que vela principalmente por la prevención de accidentes de trabajo; también cuenta

con una unidad de riesgos, actualmente conformada por una persona designada como gestor de

riesgos integral. La gestión de riesgos integral es un enfoque estratégico de la cooperativa, basado

en los principios definidos por la normativa nacional, adoptando el cumplimiento a las normas

NPB4-47, NPB4-49 y NPB4-50.

A pesar de las gestiones que realiza la entidad, en los últimos cinco años, la cooperativa ha

sufrido interrupciones parciales de operaciones ocasionadas principalmente por fallas de sistema

en algunos módulos de caja en el que se registran las operaciones de sus clientes y temblores debido

a la alta actividad sísmica del país. Cabe destacar que la entidad carece de un registro de eventos

de interrupción, también de una política y estrategia de continuidad de negocio, no cuentan con un

plan de gestión de crisis, comunicación o gestión ante desastres; las acciones tomadas en materia

de gestión de continuidad de negocio han sido más de carácter reactivo que preventivo.

Basados en las experiencias pasadas y la generada a raíz de la pandemia COVID-19, la alta

gerencia y las jefaturas de recursos humanos y riesgo integral consideran necesario la

implementación de un plan de continuidad de negocio para el mejoramiento de la resiliencia y

consecución de los objetivos institucionales, ya que contribuiría mucho anticipándose a los

siniestros; por otra parte, que dicho plan esté adaptado a los requerimientos de la NRP-24, les

favorecería para una eficiente gestión integral de riesgos enfocada en normativa legal y marcos de

referencia internacional.

2.9. Presentación de resultados

Se hizo una relación entre la variable dependiente e independiente, los resultados que se

obtuvieron sirvieron de base para determinar de manera confiable la necesidad de elaborar una
 33

propuesta de plan de continuidad de negocio que coadyuve a la resiliencia y consecución de

objetivos de la asociación cooperativa. La información obtenida, se resume en los siguientes

apartados.

2.9.1. Generalidades de la Asociación Cooperativa

La asociación nace en la década de los sesenta con un grupo de 30 maestros, con el propósito

de contrarrestar a los prestamistas a los que tenían que entregarles su boleta de cobro de salario con

intereses altos. El capital inicial fue de 300 colones, aportando cada uno la cantidad de 10 colones.

Se constituyó legalmente el 16 de noviembre de 1966 como un grupo pre cooperativo de vínculo

cerrado permitiendo la participación sólo de maestros y no fue hasta en 1972 que se le otorgó

personería jurídica por parte del INSAFOCOOP abriendo el vínculo de la cooperativa para dar

oportunidad de asociarse a cualquier persona que deseara ser parte de la asociación. Actualmente

es miembro de la Red Cooperativa FEDECACES.

Su misión es atender las necesidades de los asociados a través de servicios financieros y

sociales de calidad, con calidez incentivando su ahorro, ofreciendo créditos oportunos en

condiciones justas que ayuden a mejorar su calidad de vida y de la comunidad.

Su visión es ser una organización sólida y competitiva impulsada por un talento humano

profesional, comprometido con las necesidades de los asociados para quienes buscan

permanentemente su bienestar a través de la oferta de servicios y productos oportunos y eficientes

que aporten efectivamente a la mejora de su calidad de vida.

Los valores que los caracterizan son la ayuda mutua, equidad, igualdad, solidaridad,

transparencia, democracia, honestidad, responsabilidad social e identidad. Los objetivos

 34

institucionales están planteados a favor del crecimiento de la cooperativa en todos los aspectos

atribuibles a la actividad económica que ésta desarrolla.

Su estructura organizativa está constituida por la Asamblea General de Asociados, la Junta

de Vigilancia, Consejo de Administración, los diferentes comités y oficialías, la gerencia general

y cuatro gerencias intermedias: Administrativa y Financiera, Legal, de Tecnología e Informática y

Gerencia de Servicios Financieros; las cuales coordinan el trabajo administrativo y operativo de la

cooperativa.

2.9.2. Modelo de Negocio

La actividad principal de la Asociación Cooperativa es la intermediación financiera. Sus

clientes son los asociados, la propuesta de valor hacia ellos se sintetiza en el trato de “codueños”

que reciben, brindándoles el respaldo para la satisfacción de sus necesidades financieras a través

de soluciones integrales, justas y oportunas que aportan a la mejora en su calidad de vida, brindados

por un personal comprometido y calificado.

Sus principales aliados son Fedecaces, Seguros Futuro y la red de cooperativas de Fedecaces.

Los principales servicios que brinda son el otorgamiento de créditos, cuentas de ahorro, tarjetas de

débito, remesas familiares, pago de servicios básicos, pago de subsidios y contratación de seguros

de diversa índole (de la Aseguradora Cooperativa “Seguros Futuro”).

Brindan sus servicios a través de las oficinas centrales, las once agencias ubicadas en la zona

paracentral y a través de cajeros automáticos, plataforma virtual y la app CoopSmart de la Red

Fedecaces. Se relacionan con los clientes a través del contacto directo en oficinas, redes sociales y

correo electrónico. Cuidan la conservación de sus clientes a través de la buena atención y la

inclusión en diferentes promociones.

 35

Cuentan con mobiliario y equipo propio, en cuanto a las instalaciones: cinco agencias propias

y seis arrendadas; cabe mencionar, que todos sus bienes y empleados están asegurados. En cuanto

a recurso intelectual, poseen cinco licencias de software; una para el área de créditos, tres para la

gestión de riesgo de crédito y liquidez y; una para el sistema de gestión administrativa.

Su estructura de costos está definida principalmente por los costos financieros de los ahorros

y depósitos, el pago de recurso humano, el arrendamiento de las instalaciones, los servicios básicos

y el mantenimiento e inversión en propiedad, planta y equipo.

Actualmente cuenta con autorización de parte de la Superintendencia del Sistema Financiero

para brindar el servicio de remesas, pero aspiran a pronto convertirse en banco cooperativo

autorizado para captar fondos del público y ser amparados por medio de la Ley de Bancos

Cooperativos.

2.9.3. Gestión de Riesgos

La asociación cooperativa posee una Unidad de Riesgos en proceso de desarrollo, que está

conformada por un responsable, quien se encarga de la gestión del riesgo integral con el comité

para la gestión de riesgo en la que intervienen el Consejo de Administración y la Alta Gerencia. La

gestión de riesgos integral es un enfoque estratégico de la cooperativa, basado en los principios

definidos por la normativa nacional, adoptando el cumplimiento a las normas NPB4-47, NPB4-49

y NPB4-50.

Los riesgos internos que se gestionan en la entidad son: riesgo de crédito, riesgo de liquidez,

riesgo de solvencia y riesgo operativo; gestionando para este ultimo los vinculados con personas,

procesos, tecnología, fraude interno, riesgo de prevención de LDFT y riesgo reputacional. Por otra

parte, los riesgos externos gestionados son el riesgo de mercado, riesgo legal, fraude externo y
 36

riesgo operativo; dentro de este último se encuentra la competencia desleal, información engañosa,

desastres naturales, entre otros.

Para la identificación de los riesgos se realiza detecciones de incidentes, consultas a expertos,

entrevista a puestos claves, muestreo en puestos operativos, evaluación de procesos y consultas de

eventualidades ocurridas en otras entidades del mismo sector. Para la evaluación de los riesgos de

liquidez, crédito y solvencia se utiliza un método cuantitativo que permite determinar las pérdidas

potenciales por incumplimiento o materialización; para los riesgos operativos y de prevención se

busca implementar un método mixto, sin embargo, no en todos los riesgos es posible, por tanto, se

implementa el método cualitativo basado en la experiencia o criterio de la persona que efectúa la

evaluación.

También disponen de un Comité de Seguridad y Salud Ocupacional que vela principalmente

por la protección de los recursos de la asociación ante incidentes en los lugares de trabajo, como

por ejemplo terremotos e incendios. Ante cualquier evento que les perjudique buscan realizar

acciones coordinadas cuando estos se presentan.

2.9.4. Gestión de la Continuidad del Negocio

La asociación cooperativa no posee una política ni estrategia de continuidad de negocio para

anticiparse a las principales amenazas a la continuidad, a pesar de que se cuenta con la unidad de

riesgos.

La asociación no tiene definido cuál es el tiempo máximo que puede soportar sin prestar sus

servicios ante la presencia de un evento de interrupción, así mismo no cuentan con un registro

formal de interrupciones ocurridas, ni tienen definidos criterios para la determinación de

prioridades ante emergencias. Tampoco cuentan con un plan de gestión de crisis, ni poseen plan de
 37

comunicación ante desastres, de la misma manera no cuentan con un plan de recuperación ante

desastres, no obstante, tienen elementos aislados de este.

La asociación cooperativa efectúa simulacros de evacuación del personal ante la presencia

de desastre natural, como mínimo tres veces en el año; de la misma manera realizan pruebas de

tensión con algunos factores de riesgos, sin embargo, no se pone a prueba la interrupción de los

servicios, la capacidad de recuperación y comunicación con los elementos involucrados.

A pesar de las gestiones que realiza la entidad, en los últimos cinco años, la cooperativa ha

sufrido interrupciones parciales de operaciones ocasionadas principalmente por fallas de sistema

en algunos módulos de caja en el que se registran las operaciones de sus clientes y temblores debido

a la alta actividad sísmica del país.

En el contexto de la pandemia COVID-19 se han tomado algunas medidas aisladas para la

continuidad de los servicios; se ha buscado la protección de los recursos físicos y humanos,

implementando medidas de bioseguridad de protección al personal y al asociado, plan de remplazo

de puestos claves, así como la reducción de horas laborales; además capacitando al personal en

otras funciones a las que les corresponde, para contar con alguien que ejecute las funciones y no

detener la operación ante un contagio masivo.

En el aspecto financiero se ha realizado aumento el efectivo en caja y en bóveda, para obtener

una mayor disponibilidad en las agencias; así también se han realizado negociaciones de

preapertura de crédito externo, en caso de necesitarse financiamiento por temas de problemas de

liquidez, y se han creado planes de créditos para los asociados que incluye una baja de tasas en

créditos MYPES.
 38

Adicionalmente, en respuesta a la emergencia ocurrida y para poder brindar sus servicios de

forma eficaz tomo las siguientes estrategias:

 Incentivó el uso de App para realizar transacciones y no exponerse físicamente, la

implementación se realizó en dos días después de la decisión de ejecutar una expansión en

el uso de los canales electrónicos.

 Medidas de bioseguridad de protección al personal y al asociado, (compra de mascarilla,

alcohol, termómetros, bandejas de limpieza de calzado, barreras de vidrio en escritorios en

permanente atención al asociado entre otros).

 Se incorporó el servicio de envío de remesa directamente a la cuanta de ahorro (8 días

después de publicada la emergencia)

Los entrevistados concuerdan que es de suma importancia poder contar con un plan que les

permita hacer frente a los posibles eventos que puedan causar una interrupción parcial o total de

las operaciones. Por otra parte, que dicho plan esté adaptado a los requerimientos de la NRP-24,

les favorecería para una eficiente gestión integral de riesgos enfocada en normativa legal y marcos

de referencia internacional.

CAPITULO III: PROPUESTA DE SOLUCIÓN

3.1 Planteamiento del caso

De conformidad al diagnóstico realizado en la Asociación Cooperativa de Ahorro y Crédito

“Dr. Fino Ignacio Lara” de Responsabilidad Limitada (ACODFIL de R.L.), la entidad actualmente

no cuenta con un plan de continuidad del negocio por lo que en el presente capítulo se propone un

plan de continuidad de negocio basado en los requerimientos de la norma NRP-24 como una buena

práctica, en consideración que el ente supervisor (INSAFOCOOP) no ha emitido normas en la

materia.
 39

El plan de continuidad de negocio le permitirá a la asociación cooperativa obtener resiliencia

y capacidad de sobreponerse ante eventos que interrumpan o suspendan las operaciones de forma

parcial o total, a fin de coadyuvar a la consecución de sus objetivos institucionales. La estructura

del plan está compuesta por los elementos descritos en el capítulo I, los cuales son acordes a los

requerimientos de la NRP-24.

3.2 Metodología de la propuesta

La gestión de continuidad de negocio generalmente se basa en el ciclo Demming, el cual está

compuesto por cuatro componentes (Plan, Do, Check, Act); obsérvese en la figura 2 las actividades

para la aplicación de tal ciclo.

Es preciso aclarar que la propuesta elaborada en el presente capítulo, satisface la necesidad

del primer componente, en el cual se establece la planificación para la continuidad del negocio,

considerando las demás fases.

La elaboración del plan de continuidad se realizó en cuatro fases, las cuales están

contempladas en la figura 3. La primera fase se realizó con el apoyo del encargado de la unidad de

riesgos de la institución, ya que para efectuar el análisis del impacto del negocio (BIA) y el análisis

de amenazas, se requieren estimaciones con un alto grado apreciación interna (institucional) sobre

la capacidad de la entidad de sobreponerse a eventos de interrupción.

En la segunda fase, se estableció la política de continuidad del negocio, los roles y

responsabilidades en la gestión de la continuidad y la selección de las estrategias de continuidad

para cada evento de riesgo alto.

 40

Figura 2 Aplicación del Ciclo PDCA al Plan de Continuidad de Negocio

Fuente: Elaboración propia

. En la tercera fase, se establecieron los procedimientos en caso de ocurrencia de los eventos

de riesgo. Cabe destacar que, por motivos didácticos las fichas de las amenazas identificadas

contienen elementos del plan abordados en la fase II (estrategias) y III (procedimientos).

También en esta fase se desarrolló de manera descriptiva el plan de comunicación que

contiene los mecanismos y protocolos de comunicación al personal y a partes interesadas.

En la cuarta fase, se planteó a través del programa de pruebas a la continuidad del negocio la

implementación de pruebas con los componentes de realismo y exposición mínima, las cuales

ayudan a evaluar la efectividad del plan e identificar las áreas de mejora en éste.
 41

Figura 3 Metodología para la elaboración del Plan de Continuidad de Negocio

Fuente: Elaboración propia, basado en (NRP-24, 2020)
 3.3 Desarrollo del caso

ASOCIACIÓN COOPERATIVA MAGISTERIAL “DR. FINO IGNACIO

LARA” DE RESPONSABILIDAD LIMITADA

ACODFIL DE R.L.

PLAN DE CONTINUIDAD DEL NEGOCIO

ENERO 2021
 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO

ÍNDICE

3.3.1 Entendimiento de la Organización ........................................................................... 44

3.3.2 Política de Continuidad de Negocio ......................................................................... 48

3.3.3 Roles y Responsabilidades en la Gestión de Continuidad del Negocio ................... 48

3.3.4 Análisis de Impacto del Negocio (BIA) ................................................................... 51

3.3.5 Análisis de las Amenazas a la Continuidad del Negocio ......................................... 61

3.3.6 Estrategias de Continuidad del Negocio .................................................................. 73

3.3.7 Procedimientos de emergencia y recuperación ante eventos de interrupción .......... 74

3.3.8 Plan de Comunicación .............................................................................................. 94

3.3.9 Pruebas de Continuidad del Negocio ....................................................................... 96

3.3.10 Evaluación y Mejoras al Plan de Continuidad del Negocio ..................................... 99

3.3.11 Costo De Implementación De Plan De Continuidad De Negocio……………….100

 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO
P á g i n a | 44

3.3.1 Entendimiento de la Organización

Antecedentes

La asociación ACODFIL DE R.L. nace en la década de los sesenta con un grupo de 30

maestros de las Escuelas de San Ildefonso en el Departamento de San Vicente, con un aporte

económico de ¢10.00 C/U iniciando con un capital social de ¢300.00. Se constituye legalmente el

16 de noviembre de 1966 con el nombre de “Asociación Cooperativa de Ahorro y Crédito

Magisterial Doctor Fino Ignacio Lara de Responsabilidad Limitada”.

En el año 1966 se incorporó a la membresía de la federación de asociaciones cooperativas de

ahorro y crédito de El Salvador; integración que ha permitido contribuir al fortalecimiento del

movimiento cooperativo y en especial al de la cooperativa. Con el surgimiento del INSAFOCOOP,

en Julio de 1972 se le otorga a la cooperativa su personería jurídica.

Actualmente cuenta con más de 30,000 asociados a los que se les brinda servicios financieros

en once agencias ubicadas principalmente en la zona paracentral del país. También se disponen de

cajeros automáticos, plataforma virtual y la app CoopSmart de la Red FEDECACES en los que los

asociados pueden hacer diversas transacciones.

En materia de gestión de riesgos, esta se hace de manera integral constituyendo un enfoque

estratégico de la cooperativa, basado en los principios definidos por la normativa nacional.

Misión

“Atender las necesidades de nuestros asociados a través de servicios financieros y sociales

de calidad, con calidez incentivando su ahorro, ofreciendo créditos oportunos en condiciones justas

que ayuden a mejorar su calidad de vida y de la comunidad.”

 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO
P á g i n a | 45

Visión

“Ser una organización sólida y competitiva impulsada por un talento humano profesional,

comprometido con las necesidades de nuestros asociados para quienes buscaremos

permanentemente su bienestar a través de la oferta de servicios y productos oportunos y eficientes

que aporten efectivamente a la mejora de su calidad de vida”.

Valores Institucionales

 Ayuda mutua: Capacidad para contribuir al desarrollo individual y colectivo, por medio de

acciones conjuntas y responsabilidades compartidas.

 Equidad: La forma en que se trata a los miembros, el cual debe ser justo y objetivo.

 Igualdad: Reconocimiento de la calidad humana para la determinación de los derechos y

obligaciones, independientemente de los criterios de capacidad, necesidad y riqueza.

 Solidaridad: Sentimiento que se refiere a la vocación del ser humano, o valor por el interés

colectivo, identificación con los problemas y preocupación por el bienestar común.

 Democracia: Participación activa y consciente de los miembros en la toma de decisiones y

gobernabilidad de las cooperativas.

 Honestidad: La práctica estricta de los valores y principios cooperativos.

 Responsabilidad Social: Identificación y apoyo a las soluciones de los problemas

económicos y de desarrollo de la comunidad, subordinado el lucro al servicio.

 Identidad: Sistema de valores, principios que en la práctica se asumen por las cooperativas

que hacen diferentes del resto de organizaciones empresariales.

 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO
P á g i n a | 46

Estructura Organizativa

Figura 4 Estructura organizativa ACODFIL

Fuente: proporcionado por la unidad de riesgos ACODFIL

 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO
P á g i n a | 47

Líneas de Negocio

Tabla 4 Líneas de Negocio ACODFIL de R.L.

Líneas de Negocio ACODFIL de R.L.

Línea de Negocio Productos/Servicios

Cuenta de Inversión
Cuenta de Ahorro
Captación de Fondos Depósito a Plazo
Tarjeta de Débito
Crédito personal
Crédito de vivienda
Colocación de Fondos Crédito de Capital de Trabajo
Crédito Agropecuario
Remesas Pago de remesas familiares
Punto Express Servicios Cobro de servicio de agua
Básicos Cobro de servicio de telefonía, cable e internet
Cobro de servicios Alcaldía de San Salvador
Punto Express Alcaldías Cobro de servicios Alcaldía de Santa Tecla
Cobro de servicios Alcaldía de Antiguo Cuscatlán
Cobros BELCORP
Punto Express Ventas por Cobros ESENTIA
Catálogo Cobros STARLINE
Cobros Universidad Tecnológica
Cobros Universidad Pedagógica
Punto Express Educación Cobros Universidad Matías
Cobros Colegio CEFAS
Cobros Capillas Memoriales
Cobros La Auxiliadora
Cobros La Resurrección
Punto Express Funerarias Cobros Las Flores
Cobros Las Colinas
Cobros La Sagrada Familia
Seguro de vida familiar
Repatriación y remesas
Seguros Seguro de vida
Automotores

Fuente: Elaboración propia, con información proporcionada por la entidad.

 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO
P á g i n a | 48

3.3.2 Política de Continuidad de Negocio

Actuar diligentemente frente a eventos de riesgos que desencadenen crisis o emergencia;

restableciendo los servicios ofrecidos a nuestros asociados en el menor tiempo posible,

resguardando prioritariamente la seguridad de las personas, los activos institucionales y la

reputación corporativa; a través de la implementación, mantenimiento y mejora continua de un plan

de continuidad de negocio basado en la normativa de referencia nacional NRP-24, por lo que el

consejo de administración se compromete a aprobar los recursos necesarios para mantener una

gestión de continuidad de negocio que coadyuve al mejoramiento de la resiliencia y consecución

de objetivos institucionales.

3.3.3 Roles y Responsabilidades en la Gestión de Continuidad del Negocio

Consejo de Administración

El consejo de administración será el responsable de establecer y mantener el plan de

continuidad del negocio, que permita a la entidad proteger a su personal, activos, mantener la

operación al mínimo aceptable al presentarse incidentes de interrupción y recuperar el nivel normal

de operaciones una vez se superen las fases de emergencia, por lo que debe realizar lo siguiente:

 Aprobar las estrategias, políticas y manuales del plan de continuidad del negocio de la

entidad, y asegurarse que la alta gerencia lo implemente efectivamente

 Aprobar la asignación de los recursos necesarios para establecer, implementar y mejorar

la gestión de la continuidad del negocio acordes a la estrategia de recuperación y

continuidad definida

 Asegurarse que el plan de continuidad está implementado y se mantiene adecuado para

cumplir sus objetivos, debiendo para ello, realizar lo siguiente:

 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO
P á g i n a | 49

i. Conocer periódicamente resultados de las pruebas y evaluaciones del plan velando

porque que se incorporen las recomendaciones y oportunidades de mejora

identificadas

ii. Asegurarse de que auditoría interna verifique la existencia y el cumplimiento de la

gestión de la continuidad del negocio; y

iii. Conocer los resultados de la activación de los planes de continuidad posterior a la

respuesta de incidentes de interrupción, los ajustes y oportunidades de mejoras que

deben implementar para fortalecer la efectividad del plan de continuidad del negocio.

Comité de Riesgos

El comité de riesgos tiene es el encargado de aprobar el plan y de velar por una sana gestión

de la continuidad del negocio de la entidad, por lo que debe realizar lo siguiente:

 Evaluar, revisar y proponer para aprobación de la Consejo de Administración las

estrategias, políticas y manuales de continuidad del negocio de la entidad

 Aprobar el plan de continuidad del negocio

 Supervisar que la gestión de la continuidad del negocio sea efectiva y que se realice el

análisis de impacto al negocio, identificando y priorizando los procesos críticos de la

entidad

 Aprobar el programa de pruebas de continuidad de negocio, recomendando acciones o

mecanismos adicionales para la planificación y ejecución de las mismas; asimismo

efectuar un seguimiento a la ejecución este y a los planes de acción o mejora que resulten

 Apoyar la implementación de la gestión de continuidad del negocio

 Efectuar el seguimiento de la gestión de continuidad del negocio.

 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO
P á g i n a | 50

Alta Gerencia

La alta gerencia tendrá el rol ejecutor y será responsable de implementar el plan, para ello

debe realizar las actividades siguientes:

 Implementar las estrategias, políticas, manuales y planes de continuidad del negocio de la

entidad, de acuerdo con lo autorizado por el consejo de administración y comité de riesgos

 Velar porque se realice y formule un programa de pruebas de continuidad del negocio

 Velar por el fomento de una cultura de continuidad del negocio, motivando la

participación activa y el compromiso de todos los empleados

 Activar los planes de continuidad en respuesta a la ocurrencia de incidentes de

interrupción

 Impulsar la mejora continua en la gestión de continuidad del negocio de la entidad.

Unidad de Riesgos

Le compete a la unidad de riesgos desempeñar el rol de área especializada en continuidad del

negocio, teniendo a su cargo las siguientes responsabilidades:

 Diseñar las estrategias, políticas y manuales de continuidad del negocio

 Diseñar el plan de continuidad del negocio

 Elaborar roles y establecer responsabilidades de los participantes en la gestión de

continuidad del negocio

 Realizar el análisis de impacto del negocio y el análisis de amenazas a la continuidad; así

mismo, informar a la alta gerencia, al comité de riesgos y al consejo de administración,

sobre los resultados obtenidos

 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO
P á g i n a | 51

 Diseñar y ejecutar un programa de pruebas de continuidad del negocio que permitan

comprobar su aplicabilidad, informando posteriormente a la alta gerencia, al comité de

riesgos y al consejo de administración, sobre el resultado de dichas pruebas realizadas

 Establecer programas de capacitación y concientización al personal, directamente

relacionados con la gestión de la continuidad del negocio, para que éste conozca su rol a

la hora de enfrentar un evento disruptivo

 Asegurar que la gestión de la continuidad del negocio que realice la entidad sea consistente

con las políticas, metodologías y procedimientos aplicados para la gestión de riesgos

 Proponer al comité de riesgos o quien haga sus veces, la creación de comités, áreas o

cargos especializados para el cumplimiento de las responsabilidades relacionadas con la

gestión de la continuidad del negocio.

3.3.4 Análisis de Impacto del Negocio (BIA)

El análisis del impacto del negocio tiene por objetivo estimar la afectación que puede padecer

la asociación cooperativa como resultado de la ocurrencia de un evento de interrupción.

Para la realización del BIA, se efectuaron los siguientes procedimientos:

 Se identificaron las líneas de negocio de la asociación cooperativa, detallando todos los

productos y servicios que brinda la asociación cooperativa a sus asociados

 Se relacionaron los procesos que efectúan los diferentes departamentos y unidades

organizativas de la cooperativa, con cada producto o servicio.

 Se estimó el máximo periodo tolerable de disrupción (MPTD), el tiempo objetivo de

recuperación (RTO), el punto objetivo de recuperación (RPO).

 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO
P á g i n a | 52

 Se estableció el objetivo mínimo de continuidad (MBCO) para cada línea de negocio.

 Se evaluó el impacto cuantitativo y cualitativo.

 Se asignó el grado de criticidad para cada línea de negocio.

Los procedimientos descritos anteriormente, se desarrollaron permitiendo la estructuración

del contenido de la tabla 2 del presente documento.

Metas Institucionales

Para establecer los indicadores para el impacto cuantitativo, se tomó en consideración los

objetivos institucionales anuales establecidos en la última asamblea de asociados, para algunas

líneas de negocios (véase tabla 6). Las metas trazadas por la asociación son los siguientes:

 Ingreso anual de 1,500 nuevos asociados activos

 Aumentar las aportaciones y capital social de la cooperativa por un monto de $400,000.00

 Facilitar e incrementar los préstamos a los asociados por un monto de $3,500,000.00

 Aumentar los ahorros y depósitos de los asociados por un monto de $1,200,000.00

 Controlar la tasa de morosidad por debajo del 5% establecido por las disciplinas

financieras IAT

Las metas expuestas anteriormente, constituyeron la base para el análisis del impacto del

negocio (BIA), el cual es presentado a continuación:

 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO
P á g i n a | 53

Tabla 5 Análisis del Impacto del Negocio ACODFIL

Análisis del Impacto del Negocio ACODFIL

Unidad
Línea de Productos/ Procesos Impacto Impacto Nivel de
Ejecutora del MPTD RTO RPO MBCO
Negocios Servicios relacionados Cuantitativo Cualitativo Criticidad
proceso
Afiliación de
Depto. Captación Inconformidad
asociado Atender
de los
Cuenta de Creación cuenta 16 un 75%
Depto. Captación 24 horas 8 horas $ 2,000.00 asociados y
Inversión de inversión horas de
afectación
Cobro de aspirantes
Caja reputacional
aportaciones
Creación de Afectación
Depto. Captación Atender
cuenta de ahorro reputacional y
Cuenta de 16 un 50%
24 horas 8 horas $ 666.67 aumento del
Ahorro Depósito/Retiro horas de
Caja riesgo de
Captación de efectivo asociados
liquidez Crítico
de Fondos Creación de Afectación
Depto. Captación
cuenta a plazo Atender reputacional,
Depósitos a 16 un 80% aumento del
24 horas 8 horas $ 2,666.67
plazo Retiro de horas de riesgo de
Caja
efectivo asociados liquidez y del
riesgo legal.
Creación de Depto. Medios de Atender
Tarjeta de cuenta de ahorro Pago 24 24 un 100% Afectación
48 horas $56.00
Débito Asignación de Depto. Medios de horas horas de reputacional
tarjeta de débito Pago asociados
Crédito Pre-aprobación Afectación
Colocación 24 24 100% de
personal de crédito Depto. Créditos 48 horas $ 17,500.00 reputacional y Crítico
de Fondos horas horas asociados
(90%) Aprobación de el costo de
 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO
P á g i n a | 54

Unidad
Línea de Productos/ Procesos Impacto Impacto Nivel de
Ejecutora del MPTD RTO RPO MBCO
Negocios Servicios relacionados Cuantitativo Cualitativo Criticidad
proceso
crédito Gerencia/Comité oportunidad
Crédito de Contrato de de Crédito/ 24 24 100% de por los créditos
48 horas $ 972.22
vivienda (5%) crédito Consejo de horas horas asociados que no se
Desembolso del Administración logren colocar
Crédito de crédito
24 24 100% de
Capital de Depto. Jurídico 48 horas $ 388.89
horas horas asociados
Trabajo (2%)
Crédito
24 24 100% de
Agropecuario Caja 48 horas $ 583.33
horas horas asociados
(3%)
Verificación de Impacto
Pago de
información 50% de $385.00 reputacional e Semi-
Remesas remesas
Desembolso de
Caja 12 horas 6 horas 6 horas
asociados incremento del crítico
familiares
remesa riesgo legal
Cobro de
servicio de
Punto agua Atender
Impacto
express Cobro de Cobro según 16 un 60%
Caja 24 horas 8 horas $3.50 reputacional No Crítico
Servicios servicio de factura horas de
(leve)
Básicos telefonía, asociados
cable e
internet
Cobro de
servicios
Punto Alcaldía de Atender
Cobro según Impacto
San Salvador 16 un 60%
express Cobro de
documento o Caja 24 horas 8 horas
horas de
$7.50 reputacional No Crítico
Alcaldías tarifa (leve)
servicios asociados
Alcaldía de
Santa Tecla
 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO
P á g i n a | 55

Unidad
Línea de Productos/ Procesos Impacto Impacto Nivel de
Ejecutora del MPTD RTO RPO MBCO
Negocios Servicios relacionados Cuantitativo Cualitativo Criticidad
proceso
Cobro de
servicios
Alcaldía de
Antiguo
Cuscatlán
Cobros
Punto BELCORP Atender
Cobro según Impacto
express Cobros 16 un 60%
documento o Caja 24 horas 8 horas $0.25 reputacional No Crítico
Ventas por ESENTIA horas de
tarifa (leve)
Catálogo Cobros asociados
STARLINE
Cobros
Universidad
Tecnológica
Cobros
Punto Universidad Atender
Cobro según Impacto
Pedagógica 16 un 60%
express Cobros
documento o Caja 24 horas 8 horas
horas de
$0.50 reputacional No Crítico
Educación tarifa (leve)
Universidad asociados
Matías
Cobros
Colegio
CEFAS
Cobros
Capillas
Punto Atender
Memoriales Cobro según Impacto
16 un 60%
express Cobros La documento o Caja 24 horas 8 horas
horas de
$0.25 reputacional No Crítico
Funerarias Auxiliadora tarifa (leve)
asociados
Cobros La
Resurrección
 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO
P á g i n a | 56

Unidad
Línea de Productos/ Procesos Impacto Impacto Nivel de
Ejecutora del MPTD RTO RPO MBCO
Negocios Servicios relacionados Cuantitativo Cualitativo Criticidad
proceso
Cobros Las
Flores
Cobros Las
Colinas
Cobros La
Sagrada
Familia
Seguro de
vida familiar Solicitud del
Repatriación Atender
Seguro Impacto
y remesas 16 el 100% Semi-
Seguros Cobro de cuota Caja 24 horas 8 horas
horas de
$100.00 reputacional
crítico
Seguro de según contrato (moderado)
vida asociados
de seguro
Automotores

Fuente: Elaboración propia

 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO

Tabla 6 Determinación del Impacto Cuantitativo para el BIA

Determinación del Impacto Cuantitativo para el BIA

Meta Procedimiento
Línea de Indicador Impacto
Productos/Servicios institucional para estimar el
negocio de análisis diario
anual impacto
Cuenta de Inversión Aumento de Promedio de 30,000 asociados*40% $ 2,000.00
$400,000.00 en ingreso diario activos = 12,000
aportaciones esperado de activos
aportaciones mensualmente*$5.00
aportación=
$60,000.00 aportación
mensual esperada/ 30
días = $2,000.00
impacto diario
Cuenta de Ahorro Aumento de Promedio de $1.2 millones*20% $ 666.67
$1.2 millones ingreso neto ctas. de ahorro =
en ahorros y diario $240,000.00 meta
depósitos de esperado en anual/12 meses =
asociados la cartera $20,000.00 mensual/
Captación de 30 días = $666.67
Fondos diario
Depósito a Plazo Promedio de $1.2 millones*80% $ 2,666.67
ingreso neto ctas. de depósito =
diario $960,000.00 meta
esperado en anual/12 meses =
la cartera $80,000.00 mensual/
30 días = $2,666.67
diario
Tarjeta de Débito Colocación de Promedio de 2,340 tarjetas meta
2,340 tarjetas emisión de anual/12 meses = 195
de debito tarjetas mensual/ 30 días = 7
diarias tarjetas diarias aprox. $28.00
*$4.00 costo unitario
del plástico= $28.00
diarios.
Crédito personal Promedio de $3.5 millones*90% $ 8,750.00
crecimiento rubro personal=
diario $3,150,000.00 meta
Aumento de esperado en anual/12 meses=
la cartera $262,500.00/30 días=
Colocación de préstamos por
$8,750.00 diario
Fondos Crédito de vivienda un monto de Promedio de $3.5 millones*5% $ 486.11
$3.5 millones crecimiento rubro vivienda=
diario $175,000.00 meta
esperado en anual/12 meses=
la cartera
 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO
P á g i n a | 58

Meta Procedimiento
Línea de Indicador Impacto
Productos/Servicios institucional para estimar el
negocio de análisis diario
anual impacto
$14,583.33/30 días=
$486.11 diario
Crédito de Capital de Promedio de $3.5 millones*2% $ 194.44
Trabajo crecimiento rubro CT= $70,000.00
diario meta anual/12 meses=
esperado en $5,833.33/30 días=
la cartera $194.44 diario
Crédito Agropecuario Promedio de $3.5 millones*3% $ 291.67
crecimiento rubro Agropecuario=
diario $105,000.00 meta
esperado en anual/12 meses=
la cartera $8,750.00/30 días=
$291.67 diario
Pago de remesas Atención de Promedio de 396,00 remesas /360
familiares 396,000 remesas días=1,100.00 remesas
Remesas remesas pagadas a diarias*0.70 de $770.00
diario. comisión= $770.00
diario
Cobro de servicio de Atención de Promedio de 25,200 recibos /360
agua 25,200 recibos recibos días=70 recibos
pagados a diarios*0.05 de $3.50
Punto Express diario. comisión= $3.50
diario
Servicios Cobro de servicio de Atención de Promedio de 25,200 recibos /360
Básicos telefonía, cable e 25,200 recibos recibos días=70 recibos
internet pagados a diarios*0.05 de $3.50
diario. comisión= $3.50
diario
Cobro de servicios Atención de Promedio de 10,800 servicios /360
Alcaldía de San 10,800 cobros servicios días=30 servicios
Salvador cobrados a diarios*0.25 de $7.50
diario. comisión= $7.50
diario
Cobro de servicios Atención de Promedio de 10,800 servicios /360
Alcaldía de Santa Tecla 10,800 cobros servicios días=30 servicios
Punto Express
cobrados a diarios*0.25 de $7.50
Alcaldías diario. comisión= $7.50
diario
Cobro de servicios Atención de Promedio de 10,800 servicios /360
Alcaldía de Antiguo 10,800 cobros servicios días=30 servicios
Cuscatlán cobrados a diarios*0.25 de $7.50
diario. comisión= $7.50
diario
Cobros BELCORP Atención de Promedio de 1,800 servicios /360
1,800 cobros servicios días=5 cobros
 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO
P á g i n a | 59

Meta Procedimiento
Línea de Indicador Impacto
Productos/Servicios institucional para estimar el
negocio de análisis diario
anual impacto
cobrados a diarios*0.05 de $0.25
diario. comisión= $0.25
diario
Cobros ESENTIA Atención de Promedio de 1,800 servicios /360
1,800 cobros servicios días=5 cobros
Punto Express cobrados a diarios*0.05 de $0.25
Ventas por diario. comisión= $0.25
Catálogo diario
Cobros STARLINE Atención de Promedio de 1,800 servicios /360
1,800 cobros servicios días=5 cobros
cobrados a diarios*0.05 de $0.25
diario. comisión= $0.25
diario
Cobros Universidad Atención de Promedio de 3,600 servicios /360
Tecnológica 3,600 cobros servicios días=10 cobros
cobrados a diarios*0.05 de $0.50
diario. comisión= $0.50
diario
Cobros Universidad Atención de Promedio de 3,600 servicios /360
Pedagógica 3,600 cobros servicios días=10 cobros
cobrados a diarios*0.05 de $0.50
diario. comisión= $0.50
Punto Express diario
Educación Cobros Universidad Atención de Promedio de 3,600 servicios /360
Matías 3,600 cobros servicios días=10 cobros
cobrados a diarios*0.05 de $0.50
diario. comisión= $0.50
diario
Cobros Colegio CEFAS Atención de Promedio de 3,600 servicios /360
3,600 cobros servicios días=10 cobros
cobrados a diarios*0.05 de $0.50
diario. comisión= $0.50
diario
Cobros Capillas Atención de Promedio de 1,800 servicios /360
Memoriales 1,800 cobros servicios días=5 cobros
cobrados a diarios*0.05 de $0.25
diario. comisión= $0.25
diario
Punto Express Cobros La Auxiliadora Atención de Promedio de 1,800 servicios /360
Funerarias 1,800 cobros servicios días=5 cobros
cobrados a diarios*0.05 de $0.25
diario. comisión= $0.25
diario
Cobros La Resurrección Atención de Promedio de 1,800 servicios /360
1,800 cobros servicios días=5 cobros
 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO
P á g i n a | 60

Meta Procedimiento
Línea de Indicador Impacto
Productos/Servicios institucional para estimar el
negocio de análisis diario
anual impacto
cobrados a diarios*0.05 de $0.25
diario. comisión= $0.25
diario
Cobros Las Flores Atención de Promedio de 1,800 servicios /360
1,800 cobros servicios días=5 cobros
cobrados a diarios*0.05 de $0.25
diario. comisión= $0.25
diario
Cobros Las Colinas Atención de Promedio de 1,800 servicios /360
1,800 cobros servicios días=5 cobros
cobrados a diarios*0.05 de $0.25
diario. comisión= $0.25
diario
Cobros La Sagrada Atención de Promedio de 1,800 servicios /360
Familia 1,800 cobros servicios días=5 cobros
cobrados a diarios*0.05 de $0.25
diario. comisión= $0.25
diario
Seguro de vida familiar Atención de Promedio de 3,600 servicios /360
3,600 seguros seguros días=10 cobros
cobrados a diarios*10 promedio $100.00
diario. de seguros diarios =
$100.00 diario
Repatriación y remesas Atención de Promedio de 3,600 servicios /360
3,600 seguros seguros días=10 cobros
cobrados a diarios*10 promedio $100.00
diario. de seguros diarios =
$100.00 diario
Seguros Seguro de vida Atención de Promedio de 3,600 servicios /360
3,600 seguros seguros días=10 cobros
cobrados a diarios*10 promedio $100.00
diario. de seguros diarios =
$100.00 diario
Automotores Atención de Promedio de 3,600 servicios /360
3,600 seguros seguros días=10 cobros
cobrados a diarios*10 promedio $100.00
diario. de seguros diarios =
$100.00 diario
Fuente: Elaboración propia con información proporcionada por la entidad
 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO
P á g i n a | 61

Criterios de evaluación

El nivel de criticidad se asignó en razón del impacto cuantitativo y cualitativo estimado,

combinado con un grado de apreciación personal. Se establecieron los niveles de criticidad

descritos a continuación:

Se asignó el nivel crítico, a las líneas de negocio que pertenecen a la actividad económica

principal de la asociación cooperativa (ahorro y crédito), las cuales ante eventos de interrupción

inciden directamente en la continuidad del negocio.

Se asignó el nivel semi-crítico, a las líneas de negocio resultantes de contratos de servicios

con terceras partes, en las que el nivel de demanda del servicio es recurrente y ante eventos de

interrupción impactan indirectamente la continuidad del negocio.

Se asignó el nivel no-crítico, a las líneas de negocio resultantes de contratos de servicios con

terceras partes, en las que el nivel de demanda del servicio no es recurrente y ante eventos de

interrupción no impactan en la continuidad del negocio.

Resultados BIA

Conforme al BIA realizado, se determinaron dos líneas de negocio críticas, dos semi críticas

y cinco no críticas.

3.3.5 Análisis de las Amenazas a la Continuidad del Negocio

Para obtener el grado de riesgos de las amenazas identificadas se consideró desarrollar el

análisis mediante la matriz de probabilidad e impacto.

 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO
P á g i n a | 62

Identificación de amenazas

Para establecer la matriz de evaluación del riesgo, primero es necesario determinar las

amenazas que afectan los recursos, activos y líneas de negocio críticas de la entidad. La tabla 7

expone la matriz de identificación de tales amenazas, las cuales para efectos de presentación han

sido numeradas de la siguiente manera:

(1) Sismos;

(2) Incendios;

(3) Inundaciones;

(4) Ausencia de personal;

(5) Asalto y terrorismo;

(6) Interrupción de suministro eléctrico;

(7) Caída del sistema (CORE);

(8) Interrupción del servicio de internet;

(9) Interrupción del servicio de transporte de valores;

(10) Ataques cibernéticos;

(11) Hurto, robo y vandalismo;

(12) Fraudes internos y externo; y

(13) Emergencias sanitarias, epidemias, pandemias.

 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO

Tabla 7 Matriz de identificación de amenazas

Matriz de identificación de amenazas

Amenazas
Recursos/ Activos/ Líneas de negocio críticas
1 2 3 4 5 6 7 8 9 10 11 12 13

Marca (ACODFIL de R.L.) X X X X X X X X X X X X

Colocación de fondos X X X X X X X X X X X

Captación de fondos X X X X X X X X X X

Hardware (equipo de oficina: computadoras, X X X X X X X X X

impresos matriciales, pin pad, etc.)

Capital humano X X X X X X X X

Software (sistemas de CORE) X X X X X X

Instalaciones (oficinas de atención al cliente) X X X X X X

Mobiliario y equipo de oficina X X X X

Vehículos X X

Fuente: Elaboración propia

 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO

Metodología de evaluación de riesgos

Para obtener los insumos de la matriz de riesgos se utilizó el método Delphi, el cual consiste

en realizar la valoración de riesgos mediante la opinión de experto. La estimación del nivel de

riesgos de las amenazas identificadas se obtuvo mediante la fórmula Riesgo = probabilidad x

impacto; donde

Riesgo es el valor de multiplicar la probabilidad por el impacto;

Probabilidad es la medida cuantitativa de la ocurrencia, que oscila entre 0 y 1 (en

concordancia con la teoría básica de la probabilidad).

Impacto es la medida económica que afecta las operaciones, activos o personas ante la

ocurrencia de las amenazas que se han identificado.

Criterios para la evaluación de riesgos

El grado de probabilidad de ocurrencia de los eventos se han establecido en función de la

estimación de la frecuencia con la que estos pueden suceder, por lo que se establecieron cinco

categorías que abarcan el rango de 0 a 1. Cabe mencionar que las experiencias de eventos de

interrupción ocurridas en la asociación cooperativa se consideraron como elemento de juicio.

Véase tabla 8.

La determinación del impacto se ha expresado en términos cuantitativos, estimados en razón

del valor mínimo y el máximo de exposición según el análisis BIA, estableciendo cinco categorías

sobre el grado de afectación que la ocurrencia de los eventos de interrupción generaría en las

operaciones y los activos de la entidad. Los criterios establecidos se presentan en la tabla 9.

 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO
P á g i n a | 65

Tabla 8 Criterios para la asignación de la probabilidad

Criterios para la asignación de la probabilidad
Grado Categoría Criterio
0.20 Improbable El evento ocurre una vez en el año
0.40 Moderado El evento se presenta 2 veces en el año
0.60 Ocasional El evento puede darse 2 veces en el trimestre
0.80 Posible El evento puede darse 2 o 4 veces en el mes
1.00 Constante El evento ocurre a diario en las operaciones

Fuente: elaboración propia

Tabla 9 Criterios para la asignación del impacto

Criterios para la asignación del impacto
Grado Categoría Criterio

$ 4,000.00 Insignificante El impacto que se genera por la ocurrencia del evento afecta
las operaciones y los activos hasta $4,000.00
$ 8,000.00 Menor El impacto que se genera por la ocurrencia de evento afecta
las operaciones y los activos hasta $8,000.00
$ 12,000.00 Critico El impacto que se genera por la ocurrencia del evento afecta
las operaciones y los activos hasta $12,000.00
$ 16,000.00 Mayor El impacto que se genera por la ocurrencia del evento afecta
las operaciones y los activos hasta $16,000.00
$ 20,000.00 Catastrófico El impacto que se genera por la ocurrencia del evento afecta
las operaciones y los activos hasta $20,000.00

Fuente: Elaboración propia

 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO
P á g i n a | 66

P Constante 1.00 $ 4,000.00 $ 8,000.00 $ 12,000.00 $ 16,000.00 $ 20,000.00

R
O
B Posible 0.80 $ 3,200.00 $ 6,400.00 $ 9,600.00 $ 12,800.00 $ 16,000.00
A
B
Ocasional 0.60 $ 2,400.00 $ 4,800.00 $ 7,200.00 $ 9,600.00 $ 12,000.00
I
L
I Moderado 0.40 $ 1,600.00 $ 3,200.00 $ 4,800.00 $ 6,400.00 $ 8,000.00
D
A
D Improbable 0.20 $ 800.00 $ 1,600.00 $ 2,400.00 $ 3,200.00 $ 4,000.00

$ 4,000.00 $ 8,000.00 $ 12,000.00 $ 16,000.00 $ 20,000.00

Insignificante Menor Crítico Mayor Catastrófico

IMPACTO

Figura 5 Modelo mapa de riesgos

Fuente: Elaboración propia

El modelo de mapa de riesgos utilizado (figura 5) es una matriz de doble entrada cinco por

cinco donde se han evaluado las amenazas determinadas anteriormente asignando en el eje vertical

el grado probabilidad de ocurrencia que oscila de 0 a 1 y en el eje horizontal el impacto que estas

tendrán en las operaciones y activos de la asociación cooperativa.

El producto resultante de la operación descrita anteriormente constituye la cuantificación del

impacto esperado sobre la amenaza evaluada. Con el fin de gestionar adecuadamente los riesgos

se establecieron criterios de aceptación para los resultados obtenidos; estos fueron clasificados

conforme a la tabla 10.

 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO
P á g i n a | 67

Tabla 10 Criterios de aceptación del riesgo

Criterios de aceptación del riesgo

Grado de
Escala Criterio
aceptación
US$800.00 a El grado de riesgo que se obtiene es bajo, las pérdidas que se
US$3,200.00 pueden generar son de hasta US$3,200.00 y es aceptado por la
Aceptado
administración se puede seguir funcionando las operaciones
vitales se afectan mínimamente.
US$4,000.00 a El nivel de riesgo es tolerable por la administración y se tienen
US$7,200.00 pérdidas de hasta US$7,2000.00 algunas activos pueden verse
Tolerable
dañados pero no son importantes, así como algunos procesos
que no afectan directamente la continuidad del negocio.
US$8,000.00 a El riesgo impacta hasta con pérdidas de US$9,600.00 activos
US$9,600.00 vitales son comprometidos y no se pueden llevar a cabo
procesos tales como la captación de ahorros o la colocación de
Grave
préstamos, algunas instalaciones se pueden ver afectadas y no
estar disponibles para el público, así como se presenta ausencia
de personal.
US$12,000.00 a La continuidad del negocio se ve afectada completamente no se
US$20,000.00 pueden llevar a cabo la captación de ahorros, no hay colocación
de préstamos, las instalaciones no están disponibles para el
Inaceptable público, hay ausencia de personal clave, el equipo informático
y los sistemas están caídos, no hay servicios energía eléctrica,
existe pérdida del valor de la marca y las pérdidas pueden ser
de US$20,000.00 o mayor.
Fuente: Elaboración propia

En la tabla 11 se puede observar el proceso de evaluación realizado atendiendo los criterios

previamente descritos.
 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO

Tabla 11 Matriz de evaluación del riesgo

Matriz de evaluación del riesgo

Grado de
No Amenaza Escenarios afectación Probabilidad Categoría Impacto Categoría Riesgo aceptabilidad
del riesgo
1. Deterioro de la marca.
2. Suspensión temporal de
servicios presenciales prestados
a los asociados
1 Sismos
3. Daños en los activos físicos e
0.8 Posible $ 12,000.00 Crítico $ 9,600.00 Grave
intangibles.
4. Afectación a la integridad del
personal y asociados.
1. Deterioro de la marca.
2. Suspensión temporal de
servicios presenciales prestados
a los asociados.
2 Incendios
3. Daños en los activos físicos e
0.4 Moderado $ 8,000.00 Menor $ 3,200.00 Aceptado
intangibles.
4. Afectación a la integridad del
personal y asociados.
1. Deterioro de la marca.
2. Suspensión temporal de
servicios presenciales prestados
Inundaciones a los asociados.
3 y deslaves 3. Daños en los activos físicos e
0.6 Ocasional $ 8,000.00 Menor $ 4,800.00 Tolerable
intangibles.
4. Afectación a la integridad del
personal y asociados.
 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO
P á g i n a | 69

Grado de
No Amenaza Escenarios afectación Probabilidad Categoría Impacto Categoría Riesgo aceptabilidad
del riesgo
1. Deterioro de la marca.
2. Suspensión temporal de
servicios presenciales prestados
Ausencia de
4 personal
a los asociados. 0.4 Moderado $ 4,000.00 Insignificante $ 1,600.00 Aceptado
3.Huelga de personal
4. Defunción de personal clave

1. Deterioro de la marca.
2. Suspensión temporal de
servicios presenciales prestados
a los asociados.
Asaltos y 3. Danos a la integridad del
5 terrorismo personal y de los asociados.
0.2 Improbable $ 12,000.00 Crítico $ 2,400.00 Aceptado
4. Afectación en el flujo de caja
diario.

1. Deterioro de la marca
Interrupción 2. Inhabilitación de la
del infraestructura tecnológica.
6 suministro 3. Suspensión temporal de
0.6 Ocasional $ 12,000.00 Crítico $ 7,200.00 Tolerable
eléctrico servicios presenciales prestados
a los asociados.
 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO
P á g i n a | 70

Grado de
No Amenaza Escenarios afectación Probabilidad Categoría Impacto Categoría Riesgo aceptabilidad
del riesgo
1. Deterioro de la marca
Caída de 2. Suspensión temporal de 0.8
7 sistemas servicios presenciales de forma Posible $ 16,000.00 Mayor $ 12,800.00 Inaceptable
parcial o total.

1. Deterioro de la marca
Interrupción 2. Suspensión temporal de
8 del servicio servicios presenciales de forma 0.8 Posible $ 16,000.00 Mayor $ 12,800.00 Inaceptable
de internet parcial o total.

1. Deterioro de la marca
Interrupción 2. Desabastecimiento de
en el servicio efectivo para efectuar
9 de transporte transacciones de retiro de
0.4 Moderado $ 16,000.00 Mayor $ 6,400.00 Tolerable
de valores efectivo por parte de los
asociados.
1. Deterioro de la marca
2. Perdida de información
Ataques
10 cibernéticos
3. Danos en el software 0.2 Improbable $ 12,000.00 Crítico $ 2,400.00 Aceptado
4. Duplicación de información
en el sistema
 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO
P á g i n a | 71

Grado de
No Amenaza Escenarios afectación Probabilidad Categoría Impacto Categoría Riesgo aceptabilidad
del riesgo
1. Deterioro de la marca
2. Afectación en el flujo de caja
diario
3. Pérdidas o danos a los
Hurto, robo y
11 vandalismo
activos físicos 0.4 Moderado $ 8,000.00 Menor $ 3,200.00 Aceptado
4. Afectación a la integridad del
personal y asociados
5. Robo de información
privilegiada
1. Deterioro de la marca
2. Afectación en el flujo de caja
Fraude diario
12 interno y 3. Apropiación indebida de 0.6 Ocasional $ 12,000.00 Crítico $ 7,200.00 Tolerable
externo información privilegiada
4. Malversación de fondos
5. Lavado de activos

1. Deterioro de marca
Emergencias
2. Afectación a la integridad del
sanitarias
13 (epidemias o
personal y asociados 0.6 Ocasional $ 8,000.00 Menor $ 4,800.00 Tolerable
3. Suspensión temporal de
pandemias)
servicios presenciales.

Fuente: Elaboración propia

 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO
P á g i n a | 72

Constante 1.00
P
R
O Posible 0.80 1 2
B
A
B Ocasional 0.60 2 2
I
L
I Moderdo 0.40 1 2 1
D
A Improbable 0.20 2
D

4000.00 8000.00 12000.00 16000.00 20000.00

Insignificante Menor Crítico Mayor Catastrófico
IMPACTO

Figura 6 Mapa de riesgos ACODFIL

Fuente: Elaboración propia

Resultados del análisis de amenazas

Tal como se puede apreciar en la figura 6, de la valoración realizada se identificaron cinco

amenazas aceptables, una grave, cinco tolerables y dos inaceptables.

Luego de haber evaluado el nivel de riesgo, se procedió a la elaboración de las fichas de las

amenazas, las cuales han sido complementadas con la estrategia de continuidad y los

procedimientos de emergencia y recuperación. Las fichas están expuestas en el apartado 3.3.7 del

presente documento.
 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO
P á g i n a | 73

3.3.6 Estrategias de Continuidad del Negocio

Tabla 12 Estrategias de Continuidad del Negocio ACODFIL

Estrategias de Continuidad del Negocio ACODFIL
Estrategia Descripción
Trabajo remoto o Consiste en trabajar desde ubicaciones exteriores a la asociación
teletrabajo cooperativa mediante conexión remota.
Brindar el servicio en otra dado que la asociación cooperativa cuenta con once instalaciones, en
localización caso de que en una de ellas ocurriese un evento de interrupción que dañe
los activos físicos de la institución, se puede optar por invitar a los
asociados a acercarse a la próxima agencia más cercana para brindarle
el servicio.
Incentivar el uso de las Con esta estrategia se busca brindar el servicio motivando al asociado a
plataformas virtuales, app que realice diversas transacciones desde el lugar y en el horario de su
y cajeros automáticos preferencia. Esta estrategia es apropiada cuando se requiere reducir la
cantidad de asociados que demandan servicios asistidos en las
instalaciones. También la estrategia es idónea cuando en las
instalaciones no se puedan brindar los servicios asistidos por eventos de
interrupción atribuibles a fallos o caídas de sistema ya que el servicio
de cajeros automáticos funciona de manera independiente a los sistemas
de la asociación cooperativa.
Ejecución de procesos La implementación de la estrategia es eficaz en caso de ocurrencia de
manuales una interrupción atribuible a fallos o caídas de sistema, en los que el
modulo del sistema es accesible y permita concluir el proceso a través
de la digitación posterior. Para la implementación de esta estrategia, es
necesario el diseño de formularios de contingencia para respaldar las
operaciones de los servicios brindados sin la utilización del sistema.

Inversión en planta Esta estrategia mitiga el impacto de manera temporal en el caso de que
eléctrica no le sea proporcionado el servicio de energía eléctrica a la asociación
cooperativa y posibilita ofrecer los servicios de manera ininterrumpida.
Asegurar los bienes La estrategia mitiga el impacto que ocasionaría el robo o daño a los
institucionales y bienes de la asociación cooperativa, ocasionado por prácticas desleales
contratación de pólizas de de parte de los empleados así como de eventos externos y/o fortuitos.
fidelidad
Inversión en sistemas de La estrategia permite que ante desastres naturales y eventos de carácter
alarma en las instalacionesinesperados (asaltos, terrorismo, vandalismo, otros) se pueda activar los
protocolos de emergencia y dar aviso de manera oportuna y eficaz.
Establecimiento de un plan La estrategia permite que los servicios que brinda la asociación
de sucesión de funciones cooperativa no se vean afectados a causa de ausencia de personal ya que
en el plan se designaría personal para suplir las funciones de cargos
indispensables para la continuidad del negocio.

Fuente: elaboración propia

 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO
P á g i n a | 74
Las estrategias son los métodos operativos alternativos a utilizar ante la presencia de

un incidente de interrupción. Para cada evento de riesgo, se seleccionará una estrategia la

cual deberá garantizar la restauración de los servicios críticos, en los tiempos determinados

en el análisis del impacto del negocio (BIA).

3.3.7 Procedimientos de emergencia y recuperación ante eventos de

interrupción

Tales procedimientos fueron divididos en cuatro categorías:

Prevención: comprenden acciones orientadas a minimizar la probabilidad de

ocurrencia de las diferentes amenazas identificadas en la asociación cooperativa.

Alerta: en la etapa de alerta los procedimientos están enfocados hacia la notificación

del desastre y la activación del plan.

Transición: los procedimientos se enfocan en la concentración de equipos y en la

ejecución de contramedidas para mitigar el evento disruptivo.

Recuperación: seguidamente se plantean los procedimientos de restauración ante el

incidente.

Los procedimientos sugeridos para las amenazas identificadas son detallados en las

fichas siguientes.
 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO
P á g i n a | 75
Tabla 13 Ficha de amenaza: Sismos

Ficha de amenaza: Sismos

FICHA DE GESTIÓN DE AMENAZA
Nombre de la amenaza: Sismos Probabilidad: 0.8
Tipo de Riesgo: Operacional Impacto monetario: $12,000.00
Cuantificación del riesgo: $9,600.00 Tipo de evento: Externo
Grado de aceptabilidad: Grave Fecha de identificación: 01/01/2021
Estrategia seleccionada: Inversión en sistemas de alarma en las instalaciones
Seguimiento al plan
Responsable: Unidad de Riesgo Fecha de seguimiento: -
Integral
Supervisores: Gerencia General Versión del documento: 1
y Comité de
Riesgos
Glosario de Interventores
CSSO Comité de Seguridad y Salud Ocupacional
UR Unidad de Riesgo Integral
GG Gerencia General
BPA Brigada Primeros Auxilios
Procedimientos de Prevención
N Procedimiento Responsables
1 Identificación de zonas de riesgo y zonas seguras dentro y fuera de las CSSO y UR
instalaciones
2 Establecimiento de rutas de evacuación y señalización de puntos de CSSO y UR
encuentro
3 Inspección de las condiciones de las instalaciones, procurando que sean CSSO y UR
apropiadas para realizar las evacuaciones
4 Designación de responsables de evacuación del personal y asociados, CSSO
por cada unidad o área organizativa
5 Conformar una brigada de primeros auxilios CSSO
6 Capacitar a la brigada sobre primeros auxilios CSSO
7 Equipar las instalaciones con insumos y equipo de primeros auxilios GG, CSSO
8 Instalación y mantenimiento de alarmas de emergencia GG, CSSO
9 Realización de simulacros CSSO y UR
Procedimientos de alerta
1 Activación de la alarma de emergencia (notificación de puesta en CSSO
marcha del plan)
2 Realizar evacuación del personal y asociados CSSO
Procedimientos de transición
1 Verificación completa de la evacuación UR
2 Evaluación interna sobre daños en los activos físicos, personal y UR, CSSO, GG
asociados
3 Activación de brigada de primeros auxilios BPA
4 Notificación de emergencia a instituciones especializadas si fuere el BPA
caso (hospitales, PNC, otros)
5 Dar aviso a la aseguradora GG
Procedimientos de recuperación
 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO
P á g i n a | 76
1 Comunicación de pérdidas y daños (si las hubiere) UR, GG
2 Reorganizar las áreas de trabajo (de ser necesario) GG
3 Evaluar la implementación de una estrategia de recuperación (de ser UR, CSSO, GG
necesario)
4 Reingreso a las instalaciones UR, CSSO, GG
5 Restablecimiento de la prestación de servicios a los asociados GG
6 Evaluación de la implementación del plan y elaboración de informe UR, CSSO, GG

Fuente: Elaboración propia

 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO
P á g i n a | 77
Tabla 14 Ficha de amenaza: Incendios
Ficha de amenaza: Incendios
FICHA DE GESTIÓN DE AMENAZA
Descripción de la amenaza
Nombre de la amenaza: Incendios Probabilidad: 0.4
Tipo de Riesgo: Operacional Impacto monetario: $8,000.00
Cuantificación del riesgo: $3,200.00 Tipo de evento: Interno
Grado de aceptabilidad: Aceptado Fecha de identificación: 01/01/2021
Estrategia seleccionada: Inversión en sistemas de alarma en las instalaciones
Seguimiento al plan
Responsable: Unidad de Fecha de seguimiento: -
Riesgo Integral
Supervisores: Gerencia Versión del documento: 1
General y
Comité de
Riesgos
Glosario de Interventores
CSSO Comité de Seguridad y Salud Ocupacional
UR Unidad de Riesgo Integral
GG Gerencia General
BPA Brigada Primeros Auxilios
BEI Brigada Extinción de Incendios
Procedimientos de Prevención
N Procedimiento Responsables
1 Identificación de los activos físicos vulnerables a generación y/o CSSO y UR
propagación de incendios
2 Establecimiento de medidas preventivas contra incendios (no fumar CSSO
dentro de la entidad, otras)
3 Establecimiento de rutas de evacuación y señalización de puntos de CSSO y UR
encuentro
4 Inspección de las condiciones de las instalaciones, procurando que CSSO y UR
sean apropiadas para realizar las evacuaciones
5 Designación de responsables de evacuación del personal y asociados, CSSO
por cada unidad o área organizativa
6 Conformar una brigada de primeros auxilios CSSO
7 Conformar una brigada de extinción de incendios CSSO
8 Capacitar a las brigadas sobre primeros auxilios y medidas de CSSO
extinción de incendios, respectivamente
9 Equipar las instalaciones con insumos, equipo de primeros auxilios y GG, CSSO
extintores de fuego
10 Instalación y mantenimiento de sistema de detección y alarma contra GG, CSSO
incendios
11 Realización de simulacros CSSO y UR
Procedimientos de alerta
1 Activación de la alarma contra incendios (notificación de puesta en Sistema
marcha del plan)
2 Realizar evacuación del personal y asociados CSSO
 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO
P á g i n a | 78
Procedimientos de transición
1 Verificación completa de la evacuación UR
2 Activación de brigada de extinción de incendios BEI
3 Activación de brigada de primeros auxilios BPA
4 Notificación de emergencia a instituciones especializadas si fuere el BPA, BEI
caso (hospitales, bomberos, otros)
5 Evaluación interna sobre daños en los activos físicos, personal y UR, CSSO,
asociados GG
6 Dar aviso a la aseguradora GG
Procedimientos de recuperación
1 Comunicación de pérdidas y daños (si las hubiere) UR, GG
2 Reorganizar las áreas de trabajo (de ser necesario) GG
3 Evaluar la implementación de una estrategia de recuperación (de ser UR, CSSO,
necesario) GG
4 Reingreso a las instalaciones UR, CSSO,
GG
5 Restablecimiento de la prestación de servicios a los asociados GG
6 Evaluación de la implementación del plan y elaboración de informe UR, CSSO,
GG

Fuente: Elaboración propia

 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO
P á g i n a | 79
Tabla 15 Ficha de amenaza: Inundaciones

Ficha de amenaza: Inundaciones

FICHA DE GESTIÓN DE AMENAZA
Descripción de la amenaza
Nombre de la amenaza: Inundaciones y Probabilidad: 0.6
deslaves
Tipo de Riesgo: Operacional Impacto monetario: $8,000.00
Cuantificación del riesgo: $4,800.00 Tipo de evento: Externo
Grado de aceptabilidad: Tolerable Fecha de identificación: 01/01/2021
Estrategia seleccionada: Invitar al asociado a visitar la agencia más cercana disponible
Seguimiento al plan
Responsable: Unidad de Fecha de seguimiento: -
Riesgo Integral
Supervisores: Gerencia Versión del documento: 1
General y
Comité de
Riesgos
Glosario de Interventores
CSSO Comité de Seguridad y Salud Ocupacional
UR Unidad de Riesgo Integral
GG Gerencia General
BPA Brigada Primeros Auxilios
Procedimientos de Prevención
N Procedimiento Responsables
1 Identificación de los activos físicos vulnerables a inundaciones o CSSO y UR
deslaves
2 Establecimiento de medidas preventivas contra inundaciones o UR, GG
deslaves (mantener el equipo informático y documentación en
superficies altas, entre otros)
3 Programar limpieza y mantenimiento de techos, canaletas, tragantes y GG
tuberías de agua
4 Identificación de zonas altas y seguras dentro de las instalaciones CSSO y UR
5 Conformar una brigada de primeros auxilios CSSO
6 Capacitar a las brigada sobre primeros auxilios CSSO
7 Equipar las instalaciones con insumos y equipo de primeros auxilios GG, CSSO
8 Establecimiento de una política de suspensión temporal de labores GG, CSSO,
basada en la alta probabilidad de ocurrencia del evento, comunicada UR
por las instituciones oficiales pertinentes (MARN, Protección civil)
9 Instalación y mantenimiento de alarmas de emergencia GG, CSSO
10 Establecimiento de rutas de evacuación CSSO y UR
11 Realización de simulacros CSSO y UR
Procedimientos de alerta
1 Monitoreo y control sobre condiciones climatológicas que generen UR, CSSO
inundaciones o deslaves
2 Implementación de la política de suspensión temporal de labores GG, UR
3 Interrumpir el servicio de energía eléctrica dentro de las instalaciones GG, UR
de forma manual
 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO
P á g i n a | 80
4 Realizar evacuación del personal y asociados CSSO
Procedimientos de transición
1 Verificación completa de la evacuación UR
2 Activación de brigada de primeros auxilios (si fuere necesario) BPA
3 Notificación de emergencia a instituciones especializadas si fuere el BPA
caso (hospitales, Cruz Roja, otros)
Procedimientos de recuperación
1 Evaluación interna sobre daños en los activos físicos, personal y UR, CSSO,
asociados (posterior al evento) GG
2 Dar aviso a la aseguradora (posterior al evento) GG
3 Comunicación de pérdidas y daños (si las hubiere) UR, GG
4 Reorganizar las áreas de trabajo (de ser necesario) GG
5 Evaluar la implementación de una estrategia de recuperación (de ser UR, CSSO,
necesario) GG
6 Restablecimiento de la prestación de servicios a los asociados GG
7 Evaluación de la implementación del plan y elaboración de informe UR, CSSO,
GG

Fuente: Elaboración propia.

 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO
P á g i n a | 81
Tabla 16 Ficha de amenaza: Ausencia de personal
Ficha de amenaza: Ausencia de personal
FICHA DE GESTIÓN DE AMENAZA
Descripción de la amenaza
Nombre de la amenaza: Ausencia del Probabilidad: 0.4
personal
Tipo de Riesgo: Operacional Impacto monetario: $4,000.00
Cuantificación del riesgo: $1,600.00 Tipo de evento: Interno
Grado de aceptabilidad: Aceptado Fecha de identificación: 01/01/2021
Estrategia seleccionada: Establecimiento de un plan de sucesión temporal o definitivo de
funciones
Seguimiento al plan
Responsable: Unidad de Riesgo Fecha de seguimiento: -
Integral
Supervisores: Gerencia General Versión del documento: 1
y Comité de
Riesgos
Glosario de Interventores
RRHH Departamento de Recursos Humanos
JU Jefaturas de unidades organizativas
GG Gerencia General
UR Unidad de Riesgo Integral
Procedimientos de Prevención
N Procedimiento Responsables
1 Establecimiento de un plan de sucesión de funciones GG, RRHH
2 Establecimiento de un programa de incentivos económicos, no GG, RRHH
económicos y de compensaciones
Procedimientos de alerta
1 Notificación de la ausencia del personal JU
2 Indagar sobre la causal de la ausencia del personal JU, RRHH
Procedimientos de transición
1 Implementación del plan de sucesión de funciones GG, RRHH
Procedimientos de recuperación
1 Restablecimiento de la prestación de servicios a los asociados JU
2 Reorganizar las funciones del personal (de ser necesario) RRHH
3 Evaluación de la implementación del plan y elaboración de informe GG, RRHH, UR

Fuente: Elaboración propia

 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO
P á g i n a | 82
Tabla 17 Ficha de amenaza: Asaltos y terrorismo

Ficha de amenaza: Asaltos y terrorismo

FICHA DE GESTIÓN DE AMENAZA
Descripción de la amenaza
Nombre de la amenaza: Asaltos y terrorismo Probabilidad: 0.2
Tipo de Riesgo: Operacional Impacto monetario: $12,000.00
Cuantificación del riesgo: $2,400.00 Tipo de evento: Externo
Grado de aceptabilidad: Aceptado Fecha de 01/01/2021
identificación:
Estrategia seleccionada: Inversión en sistema de alarma
Seguimiento al plan
Responsable: Unidad de Riesgo Fecha de seguimiento: -
Integral
Supervisores: Gerencia General y Versión del 1
Comité de Riesgos documento:
Glosario de Interventores
UR Unidad de Riesgo Integral
DSV Departamento de Seguridad y Vigilancia
GG Gerencia General
BPA Brigada Primeros Auxilios
CSSO Comité de Seguridad y Salud Ocupacional
Procedimientos de Prevención
N Procedimiento Responsables
1 Establecimiento de sistema de seguridad y video vigilancia GG, GR
2 Restringir el ingreso de armas de cualquier tipo DSV
3 Restringir el uso de teléfonos a los asociados dentro de las instalaciones DSV
4 Establecimiento de un control de visitantes en las oficinas administrativas DSV
5 Instalar un sistema de alarma con notificación a instituciones pertinentes GG, GR
(PNC, terceros, otros)
6 Establecimiento de lineamientos y prioridades ante eventos de este tipo; GG, DSV, GR
comunicarlas al personal
7 Realización de simulacros GG, GR, DSV
Procedimientos de alerta
1 Activar el sistema de alarma GG, DSV, GR
Procedimientos de transición
1 Poner en práctica los lineamientos y prioridades ante eventos de este tipo Todos
Procedimientos de recuperación
1 Brindar asistencia y/o primeros auxilios a personas afectadas BPA
2 Evaluación interna sobre daños en los activos físicos, personal y asociados GG, UR, CSSO
(posterior al evento)
3 Restablecimiento de los servicios brindados a los asociados GG
4 Elaboración de informe sobre el evento GG, UR, CSSO
5 Emitir un comunicado sobre el evento y las implicaciones inherentes GG

Fuente: Elaboración propia

 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO
P á g i n a | 83
Tabla 18 Ficha de amenaza: Interrupción del suministro eléctrico
Ficha de amenaza: Interrupción del suministro eléctrico
FICHA DE GESTIÓN DE AMENAZA
Descripción de la amenaza
Nombre de la amenaza: Interrupción del Probabilidad: 0.6
suministro eléctrico
Tipo de Riesgo: Operacional Impacto monetario: $12,000.00
Cuantificación del riesgo: $7,200.00 Tipo de evento: Externo
Grado de aceptabilidad: Tolerable Fecha de 01/01/2021
identificación:
Estrategia seleccionada: Inversión en planta eléctrica
Seguimiento al plan
Responsable: Unidad de Riesgo Fecha de -
Integral seguimiento:
Supervisores: Gerencia General y Versión del 1
Comité de Riesgos documento:
Glosario de Interventores
UR Unidad de Riesgo Integral
DSG Departamento de Servicios Generales
GG Gerencia General
GTI Gerencia de Tecnología e Informática
Procedimientos de Prevención
N Procedimiento Responsables
1 Elaboración de estudio técnico sobre el consumo de energía eléctrica GG, GR
necesario para operar
2 Instalación y mantenimiento de planta eléctrica GG, DSG
3 Instalación y mantenimiento de UPS para los equipos informáticos GG, GTI
4 Verificar la seguridad de las conexiones eléctricas DSG, GTI
Procedimientos de alerta
1 Activación automática de la planta eléctrica -
Procedimientos de transición
1 Desconectar equipos informáticos innecesarios para optimizar el uso de la GTI, GR
energía eléctrica
2 Implementación de procedimientos manuales Todos
3 Comunicarse con el proveedor del servicio GG
Procedimientos de recuperación
1 Evaluación interna sobre daños en infraestructura tecnológica GTI
2 Restablecimiento de los servicios brindados a los asociados GG

Fuente: Elaboración propia

 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO
P á g i n a | 84
Tabla 19 Ficha de amenaza: Caída del sistema
Ficha de amenaza: Caída del sistema
FICHA DE GESTIÓN DE AMENAZA
Descripción de la amenaza
Nombre de la amenaza: Caída del Sistema Probabilidad: 0.8
Core
Tipo de Riesgo: Operacional Impacto monetario: $16,000.00
Cuantificación del riesgo: $12,800.00 Tipo de evento: Interno
Grado de aceptabilidad: Inaceptable Fecha de identificación: 01/01/2021
Estrategia seleccionada: Ejecución de procesos manuales
Seguimiento al plan
Responsable: Unidad de Riesgo Fecha de seguimiento: -
Integral
Supervisores: Gerencia General Versión del documento: 1
y Comité de
Riesgos
Glosario de Interventores
UR Unidad de Riesgo Integral
JU Jefaturas de unidades organizativas
GG Gerencia General
GTI Gerencia de Tecnología e Informática
Procedimientos de Prevención
N Procedimiento Responsables
1 Contar con sitios de respaldo alternos (servidores) GG, GTI
2 Hacer prueba de funcionalidad del servidor alterno GTI
3 Establecimiento de lineamientos para la ejecución de los procedimientos GG, JU
de forma manual
4 Brindar capacitación sobre la ejecución de procedimientos manuales JU
Procedimientos de alerta
1 Identificación de fallas o errores en el sistema Todos
2 Notificación de las fallas presentadas en el sistema a FEDECACES GTI
3 Notificación de implementación de procedimientos manuales GG
Procedimientos de transición
1 Implementación de procedimientos manuales Todos
Procedimientos de recuperación
1 Restablecimiento del servidor -
2 Ingreso al sistema de las transacciones realizadas manualmente Todos

Fuente: Elaboración propia

 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO
P á g i n a | 85
Tabla 20 Ficha de amenaza: Interrupción del servicio de Internet

Ficha de amenaza: Interrupción del servicio de Internet

FICHA DE GESTIÓN DE AMENAZA
Descripción de la amenaza
Nombre de la amenaza: Interrupción del servicio Probabilidad: 0.8
de internet
Tipo de Riesgo: Operacional Impacto monetario: $16,000.00
Cuantificación del riesgo: $12,800.00 Tipo de evento: Externo
Grado de aceptabilidad: Inaceptable Fecha de 01/01/2021
identificación:
Estrategia seleccionada: Incentivar el uso de las plataformas virtuales, app y cajeros
automáticos
Seguimiento al plan
Responsable: Unidad de Riesgo Fecha de -
Integral seguimiento:
Supervisores: Gerencia General y Versión del 1
Comité de Riesgos documento:
Glosario de Interventores
UR Unidad de Riesgo Integral
PRO Proveedores del servicio de Internet
GG Gerencia General
GTI Gerencia de Tecnología e Informática
CA Cajeros
AC Atención al cliente
Procedimientos de Prevención
N Procedimiento Responsables
1 Contratación de servicios de internet con dos o más proveedores GG
2 Monitoreo frecuente de conexiones y cableado PRO, GTI
Procedimientos de alerta
1 Notificación al proveedor sobre fallas o problemas de conexión GTI
2 Notificación de la suspensión temporal del servicio de internet a los GG
empleados (si aplica)
Procedimientos de transición
1 Implementación de la estrategia de continuidad seleccionada CA, AC
Procedimientos de recuperación
1 Restablecimiento de los servicios a los asociados GG
2 Elaboración de informe sobre el evento GTI, UR

Fuente: elaboración propia

 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO
P á g i n a | 86
Tabla 21 Ficha de amenaza: Interrupción del transporte de valores
Ficha de amenaza: Interrupción del transporte de valores
FICHA DE GESTIÓN DE AMENAZA
Descripción de la amenaza
Nombre de la amenaza: Interrupción del Probabilidad: 0.4
transporte de valores
Tipo de Riesgo: Operacional Impacto monetario: $16,000.00
Cuantificación del riesgo: $6,400.00 Tipo de evento: Externo
Grado de aceptabilidad: Tolerable Fecha de 01/01/2021
identificación:
Estrategia seleccionada: Invitar al asociado a hacer uso del cajero automático para efectuar
retiros de efectivo y otras transacciones.
Seguimiento al plan
Responsable: Unidad de Riesgo Fecha de -
Integral seguimiento:
Supervisores: Gerencia General y Versión del 1
Comité de Riesgos documento:
Glosario de Interventores
UR Unidad de Riesgo Integral
GG Gerencia General
DTO Departamento de Tesorería y Operaciones
Procedimientos de Prevención
N Procedimiento Responsables
1 Mantener una cuenta de ahorro en otra institución financiera con fondos GG
suficientes para obtener liquidez temporalmente
2 Coordinar con anticipación previa y oportuna el transporte de valores con GG, DTO
el proveedor
Procedimientos de alerta
1 Notificación a GG sobre la insuficiencia de efectivo para operar DTO
Procedimientos de transición
1 Designación de un encargado para retirar efectivo de la cuenta de ahorro GG
destinada para ello
2 Retiro de efectivo de la cuenta de ahorro GG
Procedimientos de recuperación
1 Restablecimiento de los servicios a los asociados GG
2 Indagar sobre la causa de la falta de liquidez ocurrida DTO, UR
3 Elaboración de informe sobre el evento DTO, UR

Fuente: Elaboración propia

 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO
P á g i n a | 87
Tabla 22 Ficha de amenaza: Ataques cibernéticos
Ficha de amenaza: Ataques cibernéticos
FICHA DE GESTIÓN DE AMENAZA
Descripción de la amenaza
Nombre de la amenaza: Ataques Probabilidad: 0.2
cibernéticos
Tipo de Riesgo: Operacional Impacto monetario: $12,000.00
Cuantificación del riesgo: $2,400.00 Tipo de evento: Externo
Grado de aceptabilidad: Aceptado Fecha de identificación: 01/01/2021
Estrategia seleccionada: Incentivar el uso de las plataformas virtuales, app y cajeros
automáticos
Seguimiento al plan
Responsable: Unidad de Riesgo Fecha de seguimiento: -
Integral
Supervisores: Gerencia General Versión del documento: 1
y Comité de
Riesgos
Glosario de Interventores
UR Unidad de Riesgo Integral
JU Jefaturas de unidades organizativas
GG Gerencia General
GTI Gerencia de Tecnología e Informática
Procedimientos de Prevención
N Procedimiento Responsables
1 Mantenimiento y actualización de antivirus GTI
2 Mantenimiento y actualización de firewalls GTI
3 Contar con software para sincronizar transacciones GG, GTI
4 Contar con sitios de respaldo alternos para minimizar el riesgo de pérdida GG, GTI
de información al tener un ciberataque
5 Autenticar a las personas que se conectan a la red. GTI
6 Restringir el acceso a páginas web de ocio o innecesarias para operar GTI
7 Asegurarse que las páginas web no restringidas posean certificado de GTI
seguridad SSL
8 Cifrar la comunicación entre servidor y terminales remotas con VPN (en GTI
el caso de realizar trabajo remoto)
9 Trabajar con correos electrónicos oficiales de la organización y no Todos
personales
10 Capacitación constante a la GTI sobre prevención de ciberataques GG, RRHH
11 Capacitar a todos los empleados sobre cultura de ciberseguridad GTI
Procedimientos de alerta
1 Notificar a GTI fallos en el sistema, visualización de pantallas sospechosas Todos
en el monitor, así como el recibimiento de correos electrónicos inusuales,
que presentan dominio con errores ortográficos, sin remitente y/o con
enlaces o archivos sospechosos (fuera del contexto de información del
correo), con enlaces para recibir premios o solicitud de visualizar una
imagen comprometedora de otra persona.
2 Evaluar la existencia de un ciberataque GTI
 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO
P á g i n a | 88
3 Notificar la existencia de un ciberataque GTI
Procedimientos de transición
1 Suspender operaciones temporalmente mientras se solventa el ciberataque JU
e implementar estrategia del uso de medios alternativos para acceder al
servicio.
2 Comunicar la suspensión temporal de servicios a asociados (si fuere GG
oportuno y prudente)
Procedimientos de recuperación
1 Evaluar el impacto y la pérdida de información en los sistemas (si la GTI, JU, UR
hubiere)
2 Comunicar el restablecimiento de los servicios a los asociados (si aplicara) GG
3 Elaboración de informe sobre el evento GTI, UR

Fuente: Elaboración propia

 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO
P á g i n a | 89
Tabla 23 Ficha de amenaza: Hurto, robo y vandalismo
Ficha de amenaza: Hurto, robo y vandalismo
FICHA DE GESTIÓN DE AMENAZA
Descripción de la amenaza
Nombre de la amenaza: Hurto, robo y Probabilidad: 0.4
vandalismo
Tipo de Riesgo: Operacional Impacto monetario: $8,000.00
Cuantificación del riesgo: $3,200.00 Tipo de evento: Externo/ Interno
Grado de aceptabilidad: Aceptado Fecha de identificación: 01/01/2021
Estrategia seleccionada: Asegurar los bienes institucionales
Seguimiento al plan
Responsable: Unidad de Riesgo Fecha de seguimiento: -
Integral
Supervisores: Gerencia General Versión del documento: 1
y Comité de
Riesgos
Glosario de Interventores
UR Unidad de Riesgo Integral
JU Jefaturas de unidades organizativas
GG Gerencia General
DTO Departamento de Tesorería y Operaciones
DSV Departamento de seguridad y vigilancia
Procedimientos de Prevención
N Procedimiento Responsables
1 Establecimiento de sistema de seguridad y video vigilancia GG, DVS
2 Restringir el ingreso de armas de cualquier tipo DSV
3 Limitar el uso de teléfonos personales a los empleados dentro de las DSV
instalaciones
4 Establecimiento de un control de activos asignados a empleados DSV
6 Establecimiento de lineamientos y prioridades ante eventos de este tipo; GG, DSV, UR
comunicarlas al personal
7 Bóvedas de seguridad DSV
8 Control de efectivo (arqueos sorpresivos, conciliaciones, otros) GG, DTO
9 Realizar periódicamente toma de inventario del activo físico de la entidad GG,JU,UR
10 Descentralizar los fondos de la institución (creación de cuentas en DTO
diferentes bancos)
11 Actualización periódica de códigos de seguridad, control de acceso a GG, DTO, UR
información privilegiada
Procedimientos de alerta
1 Notificar a GG los faltantes en caja, inventarios, robo de bienes JU
institucionales asignados a personal e información privilegiada o sensible.
2 Notificar al DSV la ocurrencia de actividades sospechosas por parte de Todos
personal o terceros
Procedimientos de transición
1 Determinar las causas de los faltantes y determinar responsabilidades (si DSV, GG,
fuere el caso) DTO, UR
2 Levantar acta sobre el incidente GG, DTO
 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO
P á g i n a | 90
3 Notificar a la aseguradora GG
Procedimientos de recuperación
1 Realizar las gestiones de cobro del seguro GG
2 Gestionar el reintegro del costo del bien (si aplicara) GG

Fuente: Elaboración propia

 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO
P á g i n a | 91
Tabla 24 Ficha de amenaza: Fraudes
Ficha de amenaza: Fraudes
FICHA DE GESTIÓN DE AMENAZA
Descripción de la amenaza
Nombre de la amenaza: Fraude Probabilidad: 0.6
Tipo de Riesgo: Operacional Impacto monetario: $12,000.00
Cuantificación del riesgo: $7,200.00 Tipo de evento: Externo/ Interno
Grado de aceptabilidad: Tolerable Fecha de identificación: 01/01/2021
Estrategia seleccionada: Contratación de pólizas de fidelidad
Seguimiento al plan
Responsable: Unidad de Riesgo Fecha de seguimiento: -
Integral
Supervisores: Gerencia General y Versión del documento: 1
Comité de Riesgos
Glosario de Interventores
UR Unidad de Riesgo Integral
RRHH Departamento de Recursos Humanos
GG Gerencia General
DTO Departamento de Tesorería y Operaciones
GSF Gerencia de Servicios Financieros
AI Auditoría Interna
AE Auditoría Externa
Procedimientos de Prevención
N Procedimiento Responsables
1 Revisión periódica de antecedentes del personal RRHH
2 Establecer un código de ética institucional GG, RRHH
3 Establecer un canal de denuncias GG, UR
4 Segregación de funciones contables y financieras GG
6 Realización de auditorías internas AI
7 Contratación de auditorías externas AE
8 Gestionar la prevención de fraudes a través del establecimiento de GG, AI
políticas, normas de control interno institucional y programas de
capacitación
9 Validar a través de terceros la información brindada por los asociados GSF
antes de otorgarles un préstamo
10 Verificar la legalidad de los documentos que respaldan las operaciones DTO
financieras de la entidad
Procedimientos de alerta
1 Comunicar de manera formal e inmediata las actividades sospechosas Todos
2 Dar seguimiento a denuncias y llamados de alerta UR, GG
3 Notificar a la aseguradora (por póliza de fidelidad contratada) GG
Procedimientos de transición
1 Notificar los indicios de fraude a las instituciones pertinentes GG
2 Notificar suspensión de labores para el/los empleados implicados RRHH, GG
Procedimientos de recuperación
1 Iniciar proceso judicial para exigir el reintegro por la afectación GG
económica ocasionada (si aplicara)
 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO
P á g i n a | 92
2 Gestionar el cobro del seguro (si aplicara) GG
3 Comunicar el incidente a los asociados y afirmar el compromiso de GG
darle seguimiento al caso

Fuente: Elaboración propia

 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO
P á g i n a | 93
Tabla 25 Ficha de amenaza: Emergencias sanitarias, epidemias y pandemias
Ficha de amenaza: Emergencias sanitarias, epidemias y pandemias
FICHA DE GESTIÓN DE AMENAZA
Descripción de la amenaza
Nombre de la amenaza: Emergencias sanitarias, Probabilidad: 0.6
epidemias y pandemias
Tipo de Riesgo: Operacional Impacto monetario: $8,000.00
Cuantificación del riesgo: $4,800.00 Tipo de evento: Externo/ Interno
Grado de aceptabilidad: Tolerable Fecha de 01/01/2021
identificación:
Estrategia seleccionada: Trabajo remoto o teletrabajo
Seguimiento al plan
Responsable: Unidad de Riesgo Integral Fecha de -
seguimiento:
Supervisores: Gerencia General y Versión del 1
Comité de Riesgos documento:
Glosario de Interventores
RRHH Departamento de Recursos Humanos
JU Jefaturas de unidades organizativas
GG Gerencia General
UR Unidad de Riesgos
GSF Gerencia de Servicios Financieros
Procedimientos de Prevención
N Procedimiento Responsables
1 Establecimiento de plan de medidas sanitarias RRHH, UR
2 Restringir el acceso a niños, embarazadas y personas de tercera edad GG, RRHH
3 Establecer un plan de sucesión de funciones GG, RRHH
4 Crear un programa de atención médica gratuita para el personal GG, RRHH
5 Elaborar un plan de reestructuración de créditos para asociados GG, GSF
Procedimientos de alerta
1 Notificación de la emergencia sanitaria y activación del plan de medidas GG, RRHH, UR
sanitarias
2 Comunicación de ausencia de personal JU
3 Indagar sobre la causal de la ausencia del personal JU, RRHH
Procedimientos de transición
1 Implementación del plan de medidas sanitarias Todos
2 Implementación del plan de reestructuración de créditos GG, GSF
3 Implementación del plan de sucesión de funciones RRHH, GG
Procedimientos de recuperación
1 Reorganizar las funciones del personal (de ser necesario) RRHH
2 Notificación de cambios de funciones de personal (si los hubiere) RRHH
3 Evaluación de la implementación de los planes y mejoras a los mismos GG, RRHH, UR

Fuente: Elaboración propia

 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO
P á g i n a | 94

3.3.8 Plan de Comunicación

El plan de comunicación es de gran importancia, debiendo establecer oportunamente

los canales de comunicación, lo que conllevara al éxito o fracaso a la hora de llevar a cabo

los procedimientos que se requieran frente a la situación de interrupción que afecten la

continuidad del negocio.

Mecanismos de comunicación.

La comunicación sobre la continuidad de negocio dentro de la asociación cooperativa

es realizada a través del encargado del comité de riesgos con las herramientas digitales de

comunicación que se basan a través de correo electrónico, boletines electrónicos, intranet o

videoconferencias que permite a los empleados conocer el tipo de información sobre los

protocolos, procedimientos y los planes de actuación a realizar ante la presentación de un

evento que afecte la continuidad del negocio de la manera más efectiva.

Protocolo de comunicación del BCP al personal.

La comunicación al personal se realiza mediante el protocolo de continuidad del

negocio que facilita una mejor comprensión de las estrategias adoptadas por la cooperativa

para el tratamiento de cualquier evento que afecte la continuidad del negocio.

 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO
P á g i n a | 95

Comunicar sobre el plan de continuidad de negocios

implementado atravez de reunión con los jefes de
departamento.

Las gerencias respectivas comunicaran a cada uno de los

empleado a cargo de la estregias que han sido adoptadas

Se enviara mediante correo electronico boletines sobre el

plan de continuidad de negocios, para que todos los
empleados tengan conocimiento de la forma de actuacion
ante un evento

Se realizaran capacitaciones al personal sobre los aspectos a

considerar ante un evento de interrupción de negocios

Al finalizar se realizaran diferentes pruebas que permitan

evaluar los conocimientos de la forma de actuación de los
empleados, sobre los eventos que afectan la continuidad del
negocio.

Figura 7 Protocolo de comunicación del BCP al personal

Fuente: Elaboración propia

Protocolo de comunicación de crisis.

Este protocolo de crisis permitirá a los empleados saber que procedimiento seguir

ante la ocurrencia de cualquier evento inesperado que atente contra con la seguridad e

integridad del talento humano y la destrucción de las instalaciones físicas como por ejemplo

un incendio o un sismo, y así responder de manera diligente y oportuna.

El comité delegado por el Comité de riesgos para poner en marcha este protocolo es El

Comité de Salud y Seguridad Ocupacional quien evaluara el evento de interrupción e

informara:
 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO
P á g i n a | 96

 A las gerencias de la asociación sobre las medidas a realizar antes, durante y posterior

a la ocurrencia del siniestro.

 Al encargado de cada departamento para que este informe al personal asignado de su

área para iniciar el protocolo y verifique la realización las acciones de acuerdo al plan.

Finalmente se elaborará un informe que contenga la afectación causada por el evento en

el talento humano, la infraestructura física y tecnológica, asociados, información perdida,

etc.

Protocolo de comunicación de pruebas de BCP.

Es muy importante la realización de pruebas que permita evaluar de manera anticipada

como sería el funcionamiento y los resultados que se obtendrían de la puesta en marcha del

sistema de continuidad de negocio por tanto se comunicará al personal sobre las pruebas que

se ejecutaran, el mecanismo a poner en práctica durante la prueba y las personas encargadas

de la ejecución de esta.

 El consejo de administración realizara una reunión con las diferentes gerencias sobre

las pruebas a realizar de escenarios de interrupción.

 El comité de salud y seguridad ocupacional realizara charlas de capacitación de

primeros auxilios, explicándoles las pruebas que se realizaran posteriormente.

3.3.9 Pruebas de Continuidad del Negocio

El objetivo principal de las pruebas es evaluar la viabilidad y funcionalidad de los

componentes del plan de continuidad de negocio a través de la simulación de interrupciones

de los procesos u operaciones.

 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO
P á g i n a | 97
Tabla 26 Tipos de pruebas de Continuidad del Negocio

Tipos de Pruebas de Continuidad del Negocio

Objetivo
Objetivo
Tipo de de
Descripción Coordinador de
prueba ejecución
duración
anual
Método de ensayo para
ejercitar el plan, en el que
los participantes revisan y
Pruebas de Unidad de
discuten los procedimientos 4 horas 1
escritorio Riesgos
sin ejecutarlos en un
ambiente seguro y libre de
estrés.
Ejecución de
Pruebas procedimientos de Unidad de
8 horas 2
funcionales recuperación para un área o Riesgos
línea de negocio.
Simulación creada para
validar la información del
Unidad de
Simulaciones plan generando una 8 horas 6
Riesgos
respuesta teórica del
incidente.

Fuente: Elaboración propia.

Requerimientos para la ejecución de pruebas

 Los escenarios de pruebas deben ser realistas, con propósitos y objetivos claramente

definidos (Véase tabla 7).

 Las pruebas deben contribuir a minimizar el riesgo de interrupción de las

operaciones de la asociación cooperativa.

 Se debe generar un informe posterior a su realización, el cual deberá contener

resultados, recomendaciones y acuerdos para implementar mejoras de manera

oportuna.
 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO
P á g i n a | 98
Tabla 27 Programa de Pruebas 2021

Programa de Pruebas 2021

Tipo de
Cobertura Objetivo de la prueba Participantes Duración Fecha
prueba
Comité de riesgos,
gerente general,
Análisis del plan de Determinar la confiabilidad y factibilidad de implementar el jefatura de unidad
Escritorio continuidad plan de continuidad auditoría interna y
4 horas Julio 2021
jefatura de unidad
de riesgos
Simular la ocurrencia de un terremoto implementando los
Simulacro por Agosto
Simulación terremoto elementos del plan de continuidad para posteriormente evaluar Todo el personal 45 minutos
2021
la eficacia de éste y hacer recomendaciones si las hubiere.
Inoperancia del
Implementar los procedimientos de emergencia y recuperación
sistema Personal del
con el personal del departamento de captación, simulando la Septiembre
Funcional informático para el
inoperancia del sistema informático con la finalidad de evaluar
departamento de 8 horas
2021
departamento de captación
la eficacia de tales procedimientos.
captación
Inoperancia del Implementar los procedimientos de emergencia y recuperación
módulo de caja simulando la inoperancia del módulo de caja para el pago de Octubre
Funcional para el pago de remesas, con la finalidad de evaluar la eficacia de tales
Personal de caja 8 horas
2021
remesas procedimientos.
Simular fallo en el suministro de energía eléctrica
Fallo en el
implementando los elementos del plan de continuidad para Noviembre
Simulación suministro de
posteriormente evaluar la eficacia de éste y hacer
Todo el personal 8 horas
2021
energía eléctrica
recomendaciones si las hubiere.
Inoperancia del
Implementar los procedimientos de emergencia y recuperación
sistema
con el personal del departamento de medios de pago, Personal de medios Diciembre
Funcional informático para el
simulando la inoperancia del sistema informático con la de pago
4 horas
2021
departamento de
finalidad de evaluar la eficacia de tales procedimientos.
medios de pago

Fuente: Elaboración propia

 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO
P á g i n a | 99

3.3.10 Evaluación y Mejoras al Plan de Continuidad del Negocio

Se realiza la evaluación del plan de continuidad de negocio debido a que cuando se realiza

la activación pueden existir causas que ocasionen fallas en los procedimientos de emergencia, estas

deficiencias pueden afectar el funcionamiento de los servicios que presta la asociación cooperativa

por lo tanto deben estar en constante seguimiento y mejora de la continuidad del negocio,

fortaleciendo los mecanismos que permiten la eficiencia del negocio.

El resultado de las evaluaciones consiste en un informe detallado de los incidentes ocurridos,

con el fin de restaurar los servicios críticos en el menor tiempo posible de acuerdo con el RTO,

identificando la causa de la afectación y consecuencias de la indisponibilidad. Estos indicadores

permiten realizar una medición integral al BCP incluyendo la evaluación a todos los

procedimientos de emergencia, plan de comunicación, riesgos que han sido aprobados o revisados.

Se debe realizar evaluaciones periódicamente que permitan identificar nuevos posibles

escenarios, revisar y poder dar seguimiento a la evaluación de riesgos, con ello asegurando la

eficacia continua y las mejoras identificadas durante el proceso de revisión.

 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO
P á g i n a | 100

3.3.11 Costo de implementación del Plan de Continuidad de Negocio

Tabla 28 Costo de Implementación del BCP

Costo de Implementación del BCP

No Estrategia Recurso Cantidad Costo promedio Total

1 Trabajo remoto o Internet 12 $ 400.00 $ 4,800.00
teletrabajo Adquisición de 180 $ 765.67 $ 137,820.00
computadoras laptop
Pago depreciación 180 $ 31.90 $ 5,742.00
computadoras personales
2 Ejecución de Papelería (papel bond, 12 $ 40.00 $ 480.00
procesos manuales bolígrafos, etc.)
Pago de horas extras 144 $ 13.00 $ 1,872.00
3 inversión en planta Estudio de voltaje y 12 $ 2,500.00 $ 30,000.00
eléctrica distribución eléctrica
Compra de planta 1 $ 10,000.00 $ 10,000.00
eléctrica
instalación de planta 1 $ 1,400.00 $ 1,400.00
Revisión y 1 $ 1,400.00 $ 1,400.00
mantenimiento periódico
4 Asegurar los bienes Contratación de póliza de 12 $ 1,500.00 $ 18,000.00
institucionales y seguros
contratación de
pólizas de fidelidad
5 Inversión en Adquisición de sistema 12 $ 1,050.00 $ 12,600.00
sistemas de alarma de alarmas
en las instalaciones Instalación de sistema 24 $ 400.00 $ 9,600.00
Revisión y 24 $ 400.00 $ 9,600.00
mantenimiento periódico
6 Inversión en sistema Adquisición de extintores 14 $ 69.00 $ 966.00
de extintores de 10 libras
Adquisición de extintores 43 $ 115.00 $ 4,945.00
de 20 libras
Instalación 57 $ 100.00 $ 5,700.00
Recargas y 14 $ 245.00 $ 3,430.00
mantenimiento de 10
libras
Recargas y 43 $ 350.00 $ 15,050.00
mantenimiento de 20
libras
Total $ 273,405.00

Fuente: Elaboración propia

 ACODFIL DE R.L.
PLAN DE CONTINUIDAD DEL NEGOCIO
P á g i n a | 101

Considerandos:
 El monto de las laptops está basado en el promedio de precios de 3 cotizaciones y se
estima 15 computadoras por cada agencia y la cooperativa posee 12 agencia incluyen
la sede central.
 El gasto de internet corresponde a un valor estimado de paquete residencial el cual
será por cada agencia incluyendo la sede central.
 Las computadoras tendrán vida útil de 2 años.
 En promedio el consumo de papelería (papel bond) por agencia es de 1 caja, la cual
tiene un costo en $40.00 c/u.
 Se estima un recargo en concepto de horas extras para la adaptación del personal de
caja, en cada agencia se encuentran 6 cajeros, y los cuales prestaran 2 horas extras.
 Se realizará un estudio voltaje y el estudio de distribución de energía en cada agencia,
para poder mantener instalaciones seguras, el monto a incurrir según datos brindados
por la entidad.
 Se implementará sistema de alarma en todas las agencias y sucursales, el cual posee
2 alarmas y se le dará el respectivo mantenimiento anual, el costo es el promedio de
cotizaciones realizadas.
 Se realizará la inversión de compra de extintores y serán instalados estratégicamente,
en la oficina central se instalarán 3 de 10 libras, y en las demás agencias 1 c/agencia
de 10 libras, además se instarán 10 extintores de 20 libras en la sede central y en cada
agencia 3 de 20 libras, los montos proyectados por la adquisición de extintores están
basados según cotizaciones realizadas, las instalaciones que se realizara es un
estimado según el mercado.
 Se dará mantenimiento respectivo a los extintores y el monto a incurrir por la recarga
está basado en los costos que incurre actualmente la entidad para recargar los que
posee.
 102

CONCLUSIONES
 La asociación cooperativa no cuenta con un análisis sobre impacto que ocasionaría la

ocurrencia de un evento de interrupción que atente contra la continuidad del negocio.

Tampoco tiene definidos planes que contengan procedimientos para la gestión,

comunicación y recuperación ante eventos que desencadenen crisis.

 La unidad de riesgos no cuenta con política ni estrategias de continuidad de negocio definidas

y aprobadas por la administración que permita operar a niveles previamente definidos ante

la ocurrencia de las principales amenazas a la continuidad.

 La entidad en estudio, no posee un plan de continuidad de negocio que le permita anteponerse

a posibles eventos de interrupción que atenten su normal funcionamiento o continuidad.

RECOMENDACIONES

 Se recomienda realizar un análisis del impacto del negocio (BIA) en el que se consideren las

diferentes líneas de negocio y los principales procesos para la prestación de los diferentes

servicios que ofrece la asociación cooperativa, que permita definir tiempos máximos

tolerables de disrupción, tiempo objetivo de recuperación y objetivos mínimos de

continuidad para cada uno de ellos.

 Se recomienda al consejo de administración aprobar políticas y estrategias para gestionar la

continuidad del negocio; así mismo, se recomienda a la unidad de riesgos, proponer a través

del comité de riesgos un plan de continuidad de negocio que permita el mejoramiento de la

resiliencia y consecución de los objetivos de la asociación cooperativa.

 Se recomienda al consejo de administración, gerencia general y unidad de riesgos, considerar

la implementación del plan de continuidad de negocio desarrollado en el presente documento.

 103

BIBLIOGRAFÍA

Asamblea Legislativa de El Salvador . (13 de 01 de 1987). Reglamento de la Ley General de

Asociaciones Cooperativas. D. L 62. San Salvador, El Salvador .
Asamblea Legislativa de El Salvador. (14 de mayo de 1986). Ley General de Asociaciones
Cooperativas. D.L. 339. San Salvador, El Salvador.
Bautista, M. (2014). Marco de Referencia para la Formulación de un Plan de Continuidad de
Negocio para TI, un caso de estudio. Revista Técnica "Energía&quot", 200-207.
CEPAL. (2001). El Salvador: Evaluación del terremoto del martes 13 de febrero de 2001. México.
CEPAL. (21 de 02 de 2001). El terremoto del 13 de enero de 2001 en El Salvador. Impacto
Socioeconómico y Ambiental. México.
CONACYT. (17 de Junio de 1999). Carne y Productos Cárnicos Embutidos Crudos y Cocidos.
Norma Salvadoreña NSO 67.02.13:98. San Salvador, El Salvador: CONACYT.
Consejo Directivo de la Superintendencia del Sistema Financiero. (01 de Agosto de 2011). Normas
para la Gestión del Riesgo Operacional de las Entidades Financieras. NPB4-50. San
Salvador, San Salvador, El Salvador.
Echegoyen Monchez, S. E. (25 de 01 de 2018). Anuario de Investigación 2018. Crecimiento de las
Cooperativas de Ahorro y Crédito frente a los Bancos Comerciales en El Salvador. El
Salvador.
Hernández Sampieri, R. (2014). Metodología de la Investigación. 6a Edición. México: McGRAW-
HILL/Interamericana Editores, S.A. de C.V.
Hernández, L., & Galeano, R. (15 de 05 de 2013). Universidad Piloto de Colombia. Obtenido de
http://repository.unipiloto.edu.co/handle/20.500.12277/2615
INSAFOCOOP. (22 de 07 de 2020). Portal de Transparencia. Obtenido de Informe sobre hombres
y mujeres cooperativistas al mes de junio 2020:
https://www.transparencia.gob.sv/institutions/insafocoop/documents/estadisticas
INSAFOCOOP. (2020). Sitio web Oficial del INSAFOCOOP. Obtenido de Historia del
Cooperativismo: http://www.insafocoop.gob.sv/historia/
INSAFOCOOP. (21 de Marzo de 2020). Sitio web oficial INSAFOCOOP. Obtenido de Circular
Informativa N° 07/2020: http://www.insafocoop.gob.sv/circular-informativa/
INSAFOCOOP. (2020). Sitio web oficial INSAFOCOOP. Obtenido de Conceptos generales:
http://www.insafocoop.gob.sv/conceptos-generales/
ISO. (junio de 08 de 2012). ISO. Obtenido de https://www.iso.org/news/2012/06/Ref1602.html
 104

ISO 22301:12. (2012). Seguridad de la Sociedad: Sistema de Continuidad del Negocio. Suiza: ISO
.
ISOTools Excellence. (29 de 01 de 2014). Plataforma Tecnológica para la Gestión de la
Excelencia. Obtenido de ISO 22301: Antecedentes y origen:
https://www.isotools.org/2014/01/29/iso-22301-antecedentes-y-origen/
MARN. (2017). Informe Nacional del Estado de los Riesgos y Vulnerabilidades, El Salvador. San
Salvador.
MARN. (2018). Primer Informe Bienal de Actualización El Salvador 2018. San Salvador.
Martínez Ortíz, Á. C., Soler Moreno, S. P., & Carreño Lizarazo, F. (2018). Repositorio
Universidad La Gran Colombia. Obtenido de
https://repository.ugc.edu.co/handle/11396/4085
Ministerio de Hacienda. (2011). Boletin Presupuestario. El Salvador "Efectos de la Crisis y
Medidas Implementadas para enfrentarla". San Salvador, El Salvador.
NRP-24. (14 de Abril de 2020). Normas Técnicas para el Sistema de Gestión de la Continuidad
del Negocio. San Salvador, San Salvador, El Salvador: Comité de Normas del Banco
Central de Reserva de El Salvador.
Services Sun Gard Availability. (2005). Business Impact Analysis (BIA). Connecticut:
Connecticut Community Colleges.
Superintendencia del Sistema Financiero. (08 de 02 de 2011). Normas para la Gestión Integral de
Riesgos de las Entidades. NPB4-47. San Salvador, El Salvador.
UCA. (2020). Situación de la empresa salvadoreña frente a la Emergencia COVID-19.
 105

ANEXOS
 ANEXO 1: CRONOGRAMA DE ACTIVIDADES

Marzo Abril Mayo Junio Julio Agosto Septiembre Octubre Noviembre Diciembre Enero
MESES/SEMANA
1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
ACTIVIDADES
PLANIFICACIÓN DE LA INVESTIGACIÓN
Planteamiento del problema
Delimitación del problema
Justificación de la investigación
Objetivos de la investigación
Diseño Metodológico
Formulación de hipótesis
Entrega de revisión y aprobacion de anteproyecto desde
junio/agosto
CAPITULO I PLANTEAMIENTO DEL PROBLEMA
Planteamiento del problema
Entrega de planteamiento del problema
CAPITULO II MARCO TEÓRICO
Marco teórico
Entrega de marco teórico
CAPITULO III DISEÑO METODOLÓGICO
Elaboración de entrevistas
Recolección de información
Procesamiento de información
Análisis de la información
Entrega de diseño metodológico
CAPITULO IV PROPUESTA DE INVESTIGACIÓN
Elaboración de la propuesta
Entrega de propuesta
CONCLUSIONES Y RECOMENDACIONES
Elaboración de concluisones y recomendaciones
Entrega conclusiones y recomendaciones
Revisiones
Entrega de trabajo final
Lectura de trabajo por tribunal examinador
Defensa de trabajo de graduación
 UNIVERSIDAD DE EL SALVADOR
Facultad de Ciencias Económicas
Escuela de Contaduría Pública
Licenciatura en Contaduría Pública

ANEXO 2:

ENTREVISTA DIRIGIDA AL GERENTE GENERAL DE UNA ASOCIACIÓN

COOPERATIVA DE AHORRO Y CRÉDITO UBICADA EN EL DEPARTAMENTO DE
SAN VICENTE.

I- GENERALIDADES DEL INSTRUMENTO

TEMA: “PLAN DE CONTINUIDAD DE NEGOCIO BASADO EN LA NORMA TÉCNICA

NRP-24 PARA UNA ASOCIACIÓN COOPERATIVA DE AHORRO Y CRÉDITO UBICADA
EN EL DEPARTAMENTO DE SAN VICENTE”

Objetivo: Recopilar información sobre el modelo de negocio y la gestión de continuidad de este,

en la Asociación Cooperativa de Ahorro y Crédito, para determinar la necesidad de una propuesta
de Plan de Continuidad de Negocio basado en la Norma Técnica NRP-24.

Grupo entrevistador: Grupo E-37 del Seminario de Graduación ciclo I-2020, integrado por:
Gabriela Estefany Ayala Herrera, Kimberly Elizabeth Peña Mendoza y Yeniffer Aracely Velasco
Guerrero.

II- DESARROLLO DEL INSTRUMENTO

Indicación: Favor responder todos los ítems de manera clara, de acuerdo a la interrogante
planteada.

PRIMERA PARTE: MODELO DE NEGOCIO

1. ¿Cuáles son los antecedentes relevantes de la asociación cooperativa?

2. ¿Cuál es su misión, visión y valores que la rigen?
3. ¿Cuáles son sus objetivos institucionales?
4. ¿Cómo está estructurada organizativamente?
5. ¿Cuáles son sus actividades económicas?
 6. ¿Quiénes son sus principales clientes?
7. ¿Cuál es la propuesta de valor que ofrecen a sus clientes?
8. ¿Cuáles son los productos y servicios que ofrecen?
9. ¿Cuáles son los canales de distribución de los servicios?
10. ¿Cuántas sucursales poseen? y ¿Dónde están ubicadas?
11. ¿Cómo se relacionan con los clientes?
12. ¿Qué medios (tácticas, normas, políticas) utilizan para conservar los clientes?
13. ¿Cómo está compuesto el recurso físico de la entidad?
14. ¿Cuentan con propiedad intelectual? ¿Cuáles? (licencias, marcas, patentes, etc.)
15. ¿Cuáles son las actividades indispensables para el funcionamiento del negocio a un nivel
aceptable?
16. ¿Quiénes son los aliados estratégicos y operativos de la entidad? (personas, empresas)
17. ¿Cuáles son los costos principales del negocio?
18. ¿Cuentan con pólizas de seguro a favor de la Asociación Cooperativa? Describa cuales
19. ¿Cuentan con alguna autorización de la Superintendencia del Sistema Financiero? Describa
cuales.

SEGUNDA PARTE: GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO

20. La Asociación Cooperativa ¿Cuenta con una política de continuidad de negocio

establecida? Describa cual.
21. ¿Cuenta con una estrategia de continuidad de negocio? Describa cual.
22. ¿Tienen personal designado para la gestión de crisis y asegurar la continuidad del negocio?
¿Quién es/son los designados?
23. ¿Se cuenta con un plan de gestión de crisis? ¿se ha comunicado a todo el personal?
24. ¿Se realiza algún tipo de simulacro de manera periódica? Describa el tipo y frecuencia.
25. ¿Cuáles son los canales y mecanismos de comunicación en la cooperativa?
26. ¿Se han identificado los servicios críticos del negocio? ¿Cuáles son?
27. ¿Han tenido eventos que han ocasionado interrupción parcial o total de su negocio, en los
últimos cinco años? Describa cuales.
28. En el contexto generado por la pandemia COVID-19 ¿Qué acciones ha tomado la
Administración para garantizar la seguridad de los recursos físicos y humanos de la
entidad?
29. Así mismo ¿Qué estrategias se han tomado para seguir brindando los servicios? y ¿Cuánto
tiempo les tomó implementarlas?
30. ¿Considera necesario la implementación de un plan de continuidad de negocio para el
mejoramiento de la resiliencia y consecución de los objetivos de la asociación cooperativa?
31. ¿En qué medida considera que la implementación de un plan de continuidad de negocio
mejorara la resiliencia y consecución de los objetivos de la asociación cooperativa?
 UNIVERSIDAD DE EL SALVADOR
Facultad de Ciencias Económicas
Escuela de Contaduría Pública
Licenciatura en Contaduría Pública

ANEXO 3:

ENTREVISTA DIRIGIDA AL GERENTE DE RECURSOS HUMANOS DE UNA

ASOCIACIÓN COOPERATIVA DE AHORRO Y CRÉDITO UBICADA EN EL
DEPARTAMENTO DE SAN VICENTE.

I- GENERALIDADES DEL INSTRUMENTO

TEMA: “PLAN DE CONTINUIDAD DE NEGOCIO BASADO EN LA NORMA TÉCNICA

NRP-24 PARA UNA ASOCIACIÓN COOPERATIVA DE AHORRO Y CRÉDITO UBICADA
EN EL DEPARTAMENTO DE SAN VICENTE”

Objetivo: Indagar sobre la gestión del recurso humano de la Asociación Cooperativa de Ahorro y
Crédito para identificar posibles riesgos que afecten la Continuidad del Negocio.

Grupo entrevistador: Gabriela Estefany Ayala Herrera, Kimberly Elizabeth Peña Mendoza y
Yeniffer Aracely Velasco Guerrero.

II- DESARROLLO DEL INSTRUMENTO

Indicación: Favor responder todos los ítems de manera clara, de acuerdo a la interrogante
planteada.
1. ¿Cuentan con un Reglamento Interno de Trabajo? ¿Es comunicado al personal?
2. ¿Poseen Manual Descriptor de Puestos?
3. ¿Cuántos empleados posee la entidad?
4. ¿Cuánto asciende el monto de pago de planillas mensual (estimado)?
5. ¿Cuál es la estructura organizativa de la entidad? Describa
6. ¿Se tiene un control de permisos laborales? ¿Cuál es el motivo más frecuente?
7. ¿Cuál es el control implementado para las entradas y salidas del personal de las
instalaciones?
8. ¿Realizan llamados de atención al personal por llegadas tardías? ¿con qué frecuencia?
9. ¿Realizan evaluación del personal? ¿Con que frecuencia?
10. ¿Realizan rotación de personal? ¿Con que frecuencia?
11. ¿Brindan capacitaciones al personal sobre prevención de riesgos? Describa cuales
12. ¿Poseen un comité de seguridad y salud ocupacional? ¿Cómo está constituido?
13. ¿Ha existido una interrupción de actividades en los últimos cinco años? ¿que la genero?
14. En el contexto generado por la pandemia COVID-19 ¿Qué acciones se han tomado para la
protección del recurso físico y humano de la entidad?
15. ¿Ha existido recorte de personal debido a la situación de la actual pandemia?
16. ¿Considera necesario la implementación de un plan de continuidad de negocio para el
mejoramiento de la resiliencia y consecución de los objetivos de la asociación cooperativa?
 UNIVERSIDAD DE EL SALVADOR
Facultad de Ciencias Económicas
Escuela de Contaduría Pública
Licenciatura en Contaduría Pública

ANEXO 4:

ENTREVISTA DIRIGIDA AL GESTOR DE RIESGOS DE UNA ASOCIACIÓN

COOPERATIVA DE AHORRO Y CRÉDITO UBICADA EN EL DEPARTAMENTO DE
SAN VICENTE.

I- GENERALIDADES DEL INSTRUMENTO

TEMA: “PLAN DE CONTINUIDAD DE NEGOCIO BASADO EN LA NORMA TÉCNICA

NRP-24 PARA UNA ASOCIACIÓN COOPERATIVA DE AHORRO Y CRÉDITO UBICADA
EN EL DEPARTAMENTO DE SAN VICENTE”

Objetivo: Recopilar información sobre la gestión riesgos en la Asociación Cooperativa de Ahorro

y Crédito, para obtener insumos que permitan elaborar una propuesta de Plan de Continuidad de
Negocio basado en la Norma Técnica NRP-24, ajustado a sus principales amenazas.

Grupo entrevistador: Grupo E-37 del Seminario de Graduación ciclo I-2020, integrado por:
Gabriela Estefany Ayala Herrera, Kimberly Elizabeth Peña Mendoza y Yeniffer Aracely Velasco

II- DESARROLLO DEL INSTRUMENTO

Indicación: Favor responder todos los ítems de manera clara, de acuerdo a la interrogante
planteada.

PRIMERA PARTE: GESTIÓN DE RIESGOS

1. ¿Poseen unidad de riesgos? ¿Cómo está conformada?

2. ¿Cuáles son los tipos de riesgos internos que se gestionan en la asociación cooperativa?
3. ¿Qué tipos de riesgos externos son gestionados?
4. ¿Cuál es la metodología que utilizan para la identificación de los riesgos?
5. ¿Cuál es la metodología que utilizan para la evaluación de los riesgos?
6. ¿Quiénes participan en el proceso de identificación y evaluación de riesgos?
7. ¿Cuáles son las amenazas que han identificado?
 8. ¿Cuáles son los servicios críticos de la entidad?
9. ¿Qué procedimientos y sub procedimientos están relacionados con los servicios críticos?
Describa
10. ¿Se tienen identificadas las unidades organizativas relacionadas con los servicios
críticos? Favor describirlas.
11. ¿Cuál es el tiempo máximo que pueden estar sin ofrecer los servicios críticos? Describa.
12. ¿Se lleva un registro de eventos de interrupción ocurridos?
13. ¿Se tienen criterios para la determinación de prioridades ante emergencias?
14. ¿Cuentan con un plan de gestión de crisis?
15. ¿Cuentan con un plan de comunicación?
16. ¿Cuentan con un plan de recuperación ante desastres?
17. ¿Se realiza algún tipo de simulacro de manera periódica? Describa el tipo y frecuencia.

SEGUNDA PARTE: GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO

18. La Asociación Cooperativa ¿Cuenta con una política de continuidad de negocio

establecida? Describa cual.
19. ¿Cuenta con una estrategia de continuidad de negocio? Describa cual.
20. ¿Tienen personal designado para la gestión de crisis y asegurar la continuidad del
negocio? ¿Quién es/son los designados?
21. ¿Han tenido eventos que han ocasionado interrupción parcial o total del negocio, en los
últimos cinco años? Describa cuales, mencionando el impacto ocasionado, las acciones
correctivas y preventivas realizadas.
22. En el contexto generado por la pandemia COVID-19 ¿Qué acciones se han tomado para
garantizar la seguridad de los recursos físicos y humanos de la entidad?
23. Así mismo ¿Qué estrategias se han tomado para seguir brindando los servicios? y
¿Cuánto tiempo les tomo implementarlas?
24. ¿Considera necesario la implementación de un plan de continuidad de negocio para el
mejoramiento de la resiliencia y consecución de los objetivos de la asociación
cooperativa?
25. ¿En qué medida considera que la implementación de un plan de continuidad de negocio
mejorara la resiliencia y consecución de los objetivos de la asociación cooperativa?