UNA CATÁSTROFE VALE MÁS QUE MIL PLANES

Eso pasa en otras latitudes…

La escalada de la alerta nuclear en la planta de Fukishima aún en estos momentos nos hace estremecer con las implicancias de su impacto, el terremoto en Haití de 2010, el tsunami del Océano Indico de 2004, el huracán Katrina de 2005…

Esta lista no exhaustiva de acontecimientos produce no sólo escozor sino que hace pensar en las respuestas que cada uno de estos eventos disruptivos generó en las organizaciones gubernamentales que debieron enfrentarlas, con mayor o menor grado de eficacia y eficiencia.  Asimismo, no sólo el terremoto en el norte de Japón afecta la continuidad de negocio de las compañías pesqueras del sur de Chile, sino que un ataque de denial of service (denegación de servicio) perpetrado sobre los sitios de Mastercard, Visa y PayPal en Diciembre de 2010 afectó a millones de compañías y clientes finales de todo el mundo que utilizan estos medios de pago en sus transacciones en línea, sin importar su ubicación en el planeta.  En el mundo empresarial, la práctica para prevenir, mitigar y gestionar este tipo de situaciones se conoce como Gestión de la Continuidad del Negocio, o BCM por sus siglas en inglés.

En esos momentos es cuando uno se pregunta: ¿podría pasarme también a mí?

Continuidad como proyecto más que como práctica

La interdependencia de los negocios en la economía mundial ha sido uno de los principales motivos del aumento en consultas y proyectos de BCM.

Naturalmente si una organización cuenta con una práctica madura de respuesta ante este tipo de incidentes, tendrá mejores oportunidades de sobreponerse.  En el contexto de responder ante desastres donde intervienen el estado y el resto de las organizaciones que conforman el ecosistema económico de un país, la coordinación y cooperación entre organizaciones públicas y privadas es la que genera mayores beneficios para cada uno de los involucrados.  Cada tipo de organización (pública o privada) tiene un foco diferente al enfrentar estos acontecimientos: el estado prioriza los aspectos de seguridad, salud e infraestructura de la sociedad, mientras que las empresas se focalizan en restaurar las operaciones del negocio en su conjunto (personal, procesos, clientes, productos, etc.)

No obstante estas diferencias, el mundo de los negocios ha comenzado a pensar en estos temas desde hace un tiempo y tiene una capacidad de acción más rápida que los gobiernos en general, mostrando en la actualidad un nivel de madurez levemente superior a éste en cuanto al entendimiento y evolución de sus planes de acción.

En nuestra experiencia, cuando nos convocan para evaluar la problemática de planificar la continuidad de las operaciones de un negocio es habitual encontrar una visión de BCM como proyecto en vez de como práctica institucionalizada dentro de la organización.  La distinción que enfatizamos es que un proyecto tiene un comienzo, un desarrollo y un cierre, mientras que una práctica comienza como proyecto para luego insertarse en el marco de un ciclo de mejora continua que nunca finaliza.  Al pensar la implementación de BCM como un proyecto el mayor riesgo que se corre es que la empresa cree tener un plan aplicable y vigente ante problemas, cuando en realidad no la tiene debido al mero transcurso del tiempo y la desactualización de la documentación y preparación del personal.  Por este motivo la práctica de BCM tiene las siguientes características:

  • La gestión de la continuidad del negocio es un proceso holístico que identifica amenazas potenciales a la organización y su impacto en la operación
  • Provee una estructura para construir resiliencia organizacional (capacidad de recuperarse del impacto de incidentes negativos, aprendiendo y mejorando a partir de los mismos) con la capacidad para una respuesta efectiva, salvaguardando los intereses de las principales partes interesadas, reputación, marca y activos de valor.

En la mayoría de los proyectos donde se da comienzo a la práctica de BCM, se busca cumplir con los siguientes objetivos:

  • Prevenir incidentes
  • Mitigar probabilidad e impacto de eventos disruptivos
  • Asegurar continuidad de las operaciones
  • Minimizar tiempos de recuperación
  • Agilizar la toma decisiones
  • Formalizar criterios, umbrales y objetivos.

Entonces, ¿en qué consiste BCM?

La práctica de BCM consiste en pasar a través de un ciclo en el que se analizan los siguientes aspectos clave para la continuidad del negocio:

  • Conocer la organización: A partir de las principales características de sus procesos productivos y de soporte, entender los tiempos de disrupción máximos tolerables para cada uno.
  • Identificar los Riesgos: La identificación de los riesgos inherentes a un proceso es clave para anticipar los potenciales problemas.  Para ello se deben explorar las diversas fuentes de conflicto típicas de un proceso.  Estas pueden ser la información que este maneja, las personas involucradas, el lugar de ejecución, las herramientas de trabajo (maquinarias, sistemas, etc.) o hasta el mismo flujo del proceso.
  • Definir las políticas: Las políticas representan lo que la organización acepta desde la óptica del apetito de riesgo, las posibilidades de prevención o las limitaciones para aplicar las mejoras.
  • Planificar: Luego de conocer los procesos y los potenciales riesgos y de haber entendido las políticas de continuidad de negocio, se avanza con el plan de trabajo que llevará a la organización desde el estado actual al requerido.
  • Implementar las mejoras necesarias: Mediante el cumplimiento del plan de trabajo, se realizarán las actividades que impliquen mejoras edilicias, capacitación, equipamiento para casos de catástrofe, documentación y publicación de los planes de prevención, respuesta ante incidentes, continuidad, recupero, comunicación y pruebas.
  • Operar: Una vez implementadas las mejoras, se espera que la organización haga el cambio cultural necesario para mantenerlas vigentes, actualizarlas y mejorarlas en cada oportunidad que surja.
  • Evaluar el desempeño: Actividad clave para asegurar la correcta implementación y operación de las prácticas de continuidad del negocio.  Suele ser ejecutada por entidades externas.  Idealmente se recomienda aplicar algún tipo de certificación que obligue a la organización a interactuar con los auditores de los entes certificadores.
  • Revisión: En función de los resultados obtenidos en la evaluación se apliquen los ajustes necesarios para mantener la práctica de BCM actualizada y vigente y lista para volver a comenzar el ciclo de mejora continua.

Este ciclo se puede ver representado en el siguiente diagrama.

A continuación se presenta de forma gráfica un ejemplo teórico de un proceso que experimenta un incidente de disrupción que atenta con el negocio.  En él se pueden ver como aplican previamente al incidente los planes de prevención para reducir la probabilidad de ocurrencia, la respuesta ante la emergencia, la aplicación de los planes de continuidad que reducen el impacto negativo en el proceso y el conjunto de actividades para llegar a una recuperación total de la situación.

Finalmente gracias a la aplicación de este tipo de prácticas se puede observar cómo se reduce el impacto en el proceso y se acorta el período de disrupción.

Las mejores prácticas de BCM

Entender correctamente la práctica de BCM implica conocer determinada terminología específica con la que uno debe estar familiarizado para poder avanzar en su aplicación.  Por ejemplo: prevención,  mitigación,  disrupción,  continuidad,  recuperación,  mitigación, resiliencia, procesos,  riesgos,  probabilidad, impacto, amenaza, vulnerabilidad, exposición, criticidad,  escenarios, programas,  planes,  procedimientos,  recursos,  mejora continua, objetivos de negocio,  priorización,  focalización, simulacros y pruebas son algunos de los términos que se aplican frecuentemente en este tipo de prácticas.

Actualmente existe mucho escrito y Mejores Prácticas de reconocimiento internacional relacionadas con las necesidades de BCM, las que más aplicamos en nuestros proyectos son las siguientes:

  • BS 25999-1:2006 (Business Continuity Management – Code of practice)
  • BS 25999-2:2007 (Business Continuity Management – Specification)
  • ISO 22399:2007 (Incident Preparedness and Operational Continuity Management – Guideline)
  • ISO 31000:2009 (Risk management – Principles and Guidelines)
  • ISO/IEC 31010:2009 (Risk management – Risk assessment techniques)
  • ISO/IEC Guide 73 (Risk management — Vocabulary)

Conclusiones

La implementación de una práctica adecuada de BCM en las organizaciones es cada vez más natural, parcialmente  gracias a la difusión y madurez de las mejores prácticas así como también a la visión que los tomadores de decisiones tienen de la interdependencia generada por la globalización y de los riesgos potenciales.  De todas formas hay que ser cauteloso a la hora de avanzar en estas arenas, ya que si no se lo hace de forma gradual y a la altura de las verdaderas posibilidades de cada compañía se corre el riesgo de quedar a mitad de camino, generando una nueva amenaza, pérdida de capital y tiempo invertido y fuertes sentimientos de frustración en el equipo involucrado.

 

Acerca del autor de este artículo

Diego C. Vázquez

Es socio fundador de Estratega.  Tiene más de 20 años de experiencia como consultor, realizando proyectos de alta criticidad para empresas líderes en el mercado argentino y latinoamericano, basados en sus sólidos conocimientos profesionales y de gestión de proyectos complejos.

Es especialista en diversas Mejores Prácticas aplicables a la estrategia de negocios, la estrategia de operaciones, la mejora de procesos y la gestión de TI.

Para saber más de él: