2020 ha sido un año particularmente difícil. La emergencia sanitaria no ha sido el único evento disruptivo que han tenido que afrontar las organizaciones en todo el mundo, pero aquellas que tenían un plan de continuidad de negocio pudieron sobreponerse mucho más rápido y con menor impacto que las que no estaban preparadas para ello.
El plan de continuidad de negocio es la bitácora de vuelo que permite continuar en la ruta correcta, aun cuando sucedan cosas que impidan la correcta operación. Es, en otras palabras, el plan B, para cuando todo ha fallado. Es la última línea de defensa en gestión de riesgos.
Alguna vez hablamos en este mismo espacio sobre los “eventos cisne negro”. Se trata de eventos con un alto impacto negativo, pero de escasa probabilidad. Por supuesto, un terremoto, una revolución social o política o una pandemia se enmarcan dentro de esta categoría. Y la única forma de enfrentarnos a las consecuencias de este tipo de eventos desde la gestión de riesgos es elaborando un buen plan de continuidad de negocio. ¿Cómo hacerlo? Veamos cinco puntos esenciales que no pueden faltar.
5 puntos clave de un plan de continuidad de negocio
Antes de empezar la tarea, conviene saber dónde fallan la mayoría de las personas que afrontan su elaboración. Para algunos, el plan de continuidad de negocio es un documento de tan alto nivel que no ofrece detalles reales sobre lo que se tendría que hacer para asegurar la continuidad ante la ocurrencia de un evento disruptivo.
Cuando se asume este enfoque equivocado, el plan es además un documento sobre el que se habla a nivel de la alta dirección, y que solo los altos ejecutivos de la organización conocen, lo cual lo convierte en un documento inútil, ineficaz e inoperante.
En otros casos, el plan de continuidad de negocio presta demasiada atención a las perturbaciones a corto plazo, sin considerar las que pueden ser duraderas o de imposible restablecimiento. En cualquier caso, las fallas en el plan de continuidad del negocio, usualmente se deben a que no se tuvieron en cuenta los elementos clave en su preparación. Estos son:
1. Evaluación de riesgos e impacto comercial
El análisis de impacto comercial es un proceso utilizado para identificar, cuantificar y calificar el impacto de una pérdida, interrupción o alteración, que tenga la capacidad de paralizar la producción.
Este tipo de análisis identifica las actividades misionales críticas de la organización y prevé el tiempo que tomará recuperarlas. El propósito de la evaluación es explorar todos los riesgos a los que está realmente expuesta la organización y los diferentes tipos de interrupciones que pueden generar.
El análisis debe tener alcance sobre los proveedores. ¿La organización podría seguir operando si sus principales proveedores cerraran a causa de un desastre?
2. Mitigar el riesgo y proponer una respuesta eficaz
Conocemos los riesgos y sabemos cuáles son los puntos críticos de interrupción. El siguiente paso es proponer acciones para reducir o anular la amenaza: amenazas contra la conectividad, contra la salud y seguridad de las personas, contra el uso de recursos energéticos…
Estas acciones pueden incluir:
- Cortar o soltar puntos de dependencia, o crear otros alternos.
- Verificar la preparación de los terceros. ¿Tienen ellos un plan de continuidad de negocio?
- Crear estrategias de respaldo de TI o alternativas a corto, medio y largo plazo.
- Mantener existencias de herramientas y equipos esenciales para la reparación de maquinaria o restablecimiento de redes.
- Dividir funciones y asignar responsabilidades.
- Desarrollar simulacros y programas de prueba para probar el plan.
- Identificar las necesidades de entrenamiento y capacitación, y, en consecuencia, proceder a desarrollar los programas respectivos.
3. Asignar responsabilidades
Nada puede resultar más contraproducente en la ejecución práctica de un plan de continuidad de negocio que dos o más personas tratando de asumir la misma tarea mientras otras están descubiertas y sin que nadie se ocupe de ellas.
Esto sucede porque no se asignaron las responsabilidades o no se comunicaron en el momento y de la forma oportuna. La asignación de responsabilidades debe atender un criterio jerárquico, que reproduzca en cierta medida lo que sucede cuando la organización opera normalmente.
Al igual que, cuando el director de un área se enferma o debe ausentarse sabemos con antelación quien asumirá sus funciones de forma transitoria, el plan de continuidad también debe contemplar que en determinadas circunstancias algunos empleados deberán asumir otras funciones, que estarán enterados de ello y preparados para hacerlo.
4. Comunicación durante la crisis
La mayoría de los eventos disruptivos que se contemplan en la evaluación de riesgos inicial suponen una interrupción de comunicaciones y del acceso a Internet. Es muy importante disponer de canales de comunicación siempre efectivos, aunque sean más rudimentarios y habitualmente no se empleen.
Es preciso acudir a medios como radios, intranet, teléfonos analógicos si fuera necesario según el caso o todo aquello que pueda servir como medio de comunicación en un momento crítico.
5. Probar el plan y entrenar a los empleados
El simulacro suele ser el método más acertado para la prueba del plan de continuidad de negocio. Es probable que algunas organizaciones requieran más de un plan, dependiendo de los riesgos evaluados. Cada uno de ellos requiere un simulacro para probar su efectividad.
Los simulacros, que deben ser varios hasta llegar a un punto de eficiencia aceptable, evidenciarán necesidades de capacitación y entrenamiento, necesidades que deben ser atendidas entre uno y otro simulacro. En la práctica, se hace uso aquí del modelo PDCA, que tantos beneficios ofrece en la gestión ISO en general.
Curso Experto en Gestión de Riesgos
El Curso Experto en Gestión de Riesgos es un programa enfocado en ofrecer a los alumnos las directrices y los principios necesarios para identificar, evaluar, priorizar y tratar los riesgos en cualquier tipo de organización.
El experto en Gestión de Riesgos es un profesional capaz de afrontar todo tipo de situaciones, ya que cuenta con el conocimiento profundo del estándar internacional ISO 31000, y del ya conocido “enfoque basado en el riesgo”, eje central de las recientes publicaciones de ISO.
La Escuela Europea de Excelencia te ofrece hoy una oportunidad para proyectar tu carrera en esta área dinámica y de continuo crecimiento: aprovéchala ahora.