• Mauricio Solano Con

¿Dónde fallan los sistemas de gestión de continuidad del negocio?

Actualizado: 22 de abr de 2018


Muchas organizaciones desarrollan sistemas de gestión de la continuidad del negocio, pero no todas desarrollan un sistema efectivo y eficiente para llevar a cabo esa gestión, fundamental para la adecuada respuesta ante una crisis, y de ahí que se debe cuidar aquellos factores que podrían generar debilidades en la capacidad de resiliencia que la empresa desarrolla, o pretende desarrollar.

Voy a ahondar por ahora en tres fallos comunes:

1. falta de compromiso de la organización,

2. falta de experiencia en continuidad del negocio sea del gestor o de la empresa,

3. no involucrar adecuadamente a los terceros en el proceso.

Cuando me refiero a la falta de compromiso de la organización (fallo No. 1), quiero referirme a la desidia organizacional. Encontrar toda una organización o algunas de sus áreas, o peor aún una administración superior que sencillamente aún en estos tiempos cree en el “esto nunca nos va a pasar”, y peor que piensan que prepararse ante la crisis es “echarle sal a la empresa” es uno de los elementos donde puedo afirmar que más falla la gestión de la continuidad del negocio. Sin una administración superior comprometida y que verdaderamente apoye, nada se puede lograr por más que el gestor trate de llevar a cabo todas las actividades necesarias. Es importante que la administración superior en las empresas tome conciencia real sobre la importancia de la preparación ante la crisis, para con ello facilitar la preparación de la organización al patrocinar los esfuerzos, lo que es fundamental para enfrentar situaciones desde simples hasta complejas, siendo cualquiera de ellas la que puede terminar con la continuidad del negocio. En mi experiencia también he tenido la oportunidad de participar con líderes de área comprometidos, y he confirmado que este hecho hace un cambio de ciento ochenta grados en la capacidad de respuesta al menos del área donde ese líder es responsable. Un líder que se preocupa por su capacidad de respuesta, por los recursos que necesita y que tiene, que motiva a su personal y que buscar estar actualizado, realmente hace la diferencia; lamentablemente en muchas organizaciones son los menos.

La falta de experiencia en continuidad del negocio del gestor o de la empresa, porque al final la responsabilidad es de todos, (fallo No. 2) también puede pasar la factura. La experiencia que se pueda tener en la ejecución de análisis fundamentales como el BIA o la valoración de riesgos son fundamentales para que el desarrollo del Plan de Continuidad del Negocio esté alineado adecuadamente con los requerimientos de la empresa y la prevención ante situaciones que puedan implicar la activación de la respuesta. La falta de experiencia en este proceso puede provocar entonces imprecisión en el cálculo de variables conocidas (MTPD, MBCO, RTO, RPO, etc.), e inadecuado análisis de impactos, recursos, facilidades tecnológicas y otra información que otorga el BIA. En lo relacionado con la valoración de riesgos, esa inexperiencia también podría generar imprecisión en la identificación, análisis y evaluación de todos los riesgos que podrían llegar a afectar a la empresa, incluyendo estimaciones de posibilidad (otros le querrán llamar probabilidad), impacto, evaluación de controles y previsión del tratamiento del riesgo; recuerde también darle seguimiento a la implementación de los tratamientos. En este sentido me he encontrado gestores que incurren en estos errores, lo que me hace pensar que lo que viene luego, también presenta debilidades que deberán ser atendidas para asegurar la correcta respuesta.

También en lo referente a la experiencia del gestor o de la empresa, he encontrado debilidades en el detalle de la documentación de procedimientos, algunos muy amplios, algunos muy escuetos, fuentes de otra información que no aparecen con el procedimiento, y cuando considero que esa es la llave a la adecuada respuesta, se llega uno a preocupar si la documentación no tiene un buen nivel, que sea íntegra, completa, concisa. Y luego de la documentación vendrá la capacitación y las pruebas de esos procedimientos tanto para las áreas de negocio como para las áreas de apoyo y tecnología de información. Es fundamental el buen plan de capacitación y de pruebas para garantizar tanto que el personal se prepara como que la documentación está bien establecida, todo acorde al nivel de madurez de la organización. Una vez tuve la oportunidad de escuchar a un alto directivo de un banco pedir que quería comenzar por una prueba de alto nivel y lo que él dijo fue “quiero desconectar la electricidad”. Al oírlo quedé perplejo porque sabía que lejos de ayudar a la organización este tipo de intenciones pueden generar frustración, y lo más importante riesgos para toda la empresa. De ahí que la experiencia cuenta en la documentación de procedimientos, la capacitación adecuada del personal involucrado y los diversos tipos de pruebas desde las básicas de escritorio hasta las más avanzadas en ambientes de producción, que dependerán siempre de la madurez antes mencionada. En todos estos aspectos, la capacitación del gestor es fundamental, participando en charlas, cursos, congresos y otros eventos que le permitan generar esa capacidad y experiencia.

Finalmente, otro error crítico es no involucrar adecuadamente a los terceros en el proceso (fallo No. 3), principalmente proveedores que tan exhaustivamente debimos haber identificado en el BIA. Ese involucramiento de la participación de terceros debe ir asociada con: tiempos de respuesta, acuerdos de servicio (multas no gracias, son poco prácticas), redundancia de proveedores, nivel de dependencia (será el proveedor el único con el que cuento) y hasta planes de continuidad del negocio de los proveedores. Con el tiempo he conocido de varios casos asociados con la participación de terceros, en cuenta: un proveedor que excedió en más de 3 veces el tiempo previsto en el acuerdo de servicio de respuesta a crisis (en buena hora se identificó en una prueba), proveedores que soportan procesos críticos o vitales que no tienen contrato y/o acuerdo de servicio en casos de crisis, o total desconocimiento del plan de continuidad de aquel proveedor también considerado crítico según las estrategias de recuperación y continuidad definidas por la empresa. Y es que ¿cuántos de nosotros estamos seguros de que los planes de continuidad del negocio de nuestros proveedores fueron desarrollados y cumplen con nuestros requerimientos?, o bien ¿estamos auditando esos planes para determinar oportunidades de mejora en ellos? La participación de terceros debe ser totalmente involucrada en el plan de continuidad, como un componente más, fundamental para el logro de los objetivos de respuesta a la crisis.