Ingenieros de riesgos y expertos internos: una colaboración sinérgica

Roberto Novo

La gestión de la continuidad del negocio (BCM, business continuity management) avanza a grandes pasos. Por una parte, los expertos internos de las compañías cuentan cada vez con más experiencia. Por la otra, los ingenieros de riesgo externos – especialmente contando con su experiencia e imparcialidad – pueden agregar una dimensión valiosa al ejercicio de evaluación, análisis y desarrollo de recomendaciones con respecto a la gestión de riesgos. Cuando el trabajo conjunto de estos expertos funciona bien, se logra el mayor valor agregado en esta importante disciplina.  En este artículo delineo, a través de una historia, como la ingeniería de riesgos, especialmente en colaboración con un experto interno, agrega valor en la preparación de los Planes de Continuidad de Negocio.

 

El beneficio de un experto interno

A punto de llegar a la fábrica de un nuevo cliente, me pregunto cómo será el responsable local de la continuidad del negocio. En mi visita anterior a otro cliente, el responsable acababa de tomar el puesto en BCM después de unos años en el departamento de logística en otra localidad. No tenía gran conocimiento de la planta en cuestión, ni de la organización en su totalidad. Nunca había trabajado con un ingeniero de riesgos y me dijo claramente que se sentía algo incómodo con mi visita, la que consideraba una imposición a su tiempo. No siempre se entienden claramente los objetivos de las visitas de los ingenieros de riesgos, y su aportación al desarrollo del BCM, llegándose a actitudes negativas que dificultan el desarrollo de las entrevistas con los responsables de departamento. Esperaba encontrar a alguien con más experiencia, o al menos más cooperador, en esta siguiente visita – y menos mal qué así fue.

Con nuestro equipo de más de cien ingenieros de campo visitamos unas 4,500 instalaciones de clientes alrededor del mundo cada año. Además de la propia experiencia, el acceso a la experiencia del equipo, nuestras herramientas informáticas y estándares, facilitan un trabajo sistemático y profesional. Sin embargo, cada visita a un cliente es diferente y el elemento clave son las personas.

Después de una corta espera, me recibe Ricardo y me doy cuenta rápidamente que conoce bien sus instalaciones, aunque haya tomado su puesto hace poco con el mandato de instalar un plan de continuidad de negocio. La planta es nueva y moderna. Planos en mano, Ricardo me guía a través de cada área, mostrándome y explicándome cada aspecto relevante. Contesta todas mis preguntas y su gran nivel de profesionalismo nos permite avanzar a buen ritmo, a pesar de tener que cubrir una gran cantidad de puntos.

Ya cubierto el control de la instalación en sí, nos sentamos a discutir otros posibles riesgos que no estén en la planta misma, sino a su alrededor. Algunos de los aspectos que cubrimos son nuevos para Ricardo, que antes había trabajado en una empresa más pequeña, con la instrucción de “conocer su planta de principio a fin”, pero no necesariamente mirando más allá. Es en estos casos cuando los ingenieros de riesgo externos podemos agregar más valor con nuestra experiencia. A continuación delineo algunos de los aspectos que cubrimos.

 

¿Ha pensado en sus instalaciones auxiliares?

Para un plan de la continuidad de negocio efectivo, es importante considerar los riesgos internos no vinculados directamente a los procesos productivos. Por ejemplo, el almacenaje de materias primas, productos en proceso y productos terminados, el transporte interno (vehicular y fijo), el almacenaje de gases/ líquidos inflamables/ carburantes, las instalaciones auxiliares.

Dentro de las instalaciones auxiliares, nuestros ingenieros identifican los riesgos técnicos y el potencial de pérdida de los suministros críticos para la producción: instalación eléctrica, suministro de gases, sistemas de aportación de calor y frío, agua (de proceso y refrigeración), tratamiento de residuos (gases, líquidos y sólidos), sistemas informáticos.

la falta de cualquiera de estos servicios puede resultar en la interrupción de todo proceso productivo. por esta razón, el cliente debe determinar cuál es el período máximo tolerable de interrupción de su negocio. el plan de continuidad de negocio debe diseñarse para que este periodo no se sobrepase. esto puede requerir inversiones en instalaciones auxiliares paralelas, combustibles alternativos, fosas de retención, pozos propios, instalaciones de grupos electrógenos, centros de informática espejo y otros.

En su antigua empresa, como responsable de la continuidad del negocio en otra región, Ricardo no tenía el mandato de ocuparse de las instalaciones no productivas, que estaban a cargo de diferentes directores. La visión era que cada uno de ellos era responsable de que “funcionaran sin problemas”. Pero, ¿qué ocurre cuando esto no es así? Ricardo comentó que ya había identificado la necesidad de estudiar el efecto de un problema que parece periférico a primera vista, pero que puede convertirse en una razón central de la interrupción de la producción en la fábrica.

Después de analizar las instalaciones auxiliares, el día ha terminado. Mi visita continúa mañana y me alegro cuando Ricardo me ofrece tomar una ligera cena con otros colegas de la fábrica. Alberto, unos de sus colegas a punto de jubilarse, trabajó muchos años en una empresa vecina a la fábrica y nos cuenta de los daños que esa empresa sufrió hace años debido a una inundación–y a su falta atención al mantenimiento de las instalaciones. Un tema importante, para el día siguiente, son los riesgos externos y ésta es valiosa información a ese respecto.

 

No se pueden controlar, pero sí mitigar

Las compañías deben tomar en cuenta el posible impacto de los riesgos colindantes en su propio análisis de riesgos y elaboración de sus planes de continuidad de negocio.  La explosión química en Toulouse, Francia (septiembre, 2001), el incendio en Buncefield, Reino Unido (diciembre, 2005) y la explosión de municiones en Chipre (julio, 2011) son solo tres ejemplos relativamente recientes donde un incidente afectó seriamente a numerosos vecinos colindantes.  Este último incidente es muy similar al ocurrido en el polvorín de Cádiz, España, en 1947.

Por eso, los riesgos colindantes o del entorno (incluyendo aeropuertos y otras instalaciones remotas con posibles impactos a distancia, por ejemplo refinerías, reservas militares), son uno de los primeros elementos examinados por los ingenieros de riesgos.

Antes de la visita, había preparado una lista de las compañías colindantes a la planta de Ricardo. Una caminata, no sólo por el perímetro de la planta, sino también fuera, alrededor de las instalaciones vecinas, nos muestra rápidamente que aquí hay riesgos que debemos considerar. La planta vecina se ve bastante antigua y mal mantenida y además el patio se presenta, más que desordenado, realmente caótico. Registramos la necesidad de revisar la instalación de Ricardo de nuevo, específicamente con respecto al área contigua a este preocupante vecino – y de considerar este riesgo en su plan de continuidad de negocio.

Para nuestros clientes también examinamos los posibles riesgos naturales. Buscamos la identificación de zonas inundables, zonas expuestas a tormentas de viento, terremotos, desprendimientos, incendios forestales y otras posibles catástrofes naturales. Mucha de esta información se puede encontrar en varias bases de datos. Sin embargo, la memoria histórica de las personas en las plantas también se debe tomar en cuenta.

En mi computadora le muestro a Ricardo algunos de los riesgos naturales que he identificado en esta zona, utilizando nuestro software, nos permite mostrarle al cliente su exposición específica a los riesgos de viento/ tormentas, inundaciones y terremotos. Siendo esta una zona más bien seca y nueva para él, Ricardo se sorprende al confirmar lo que Alberto nos contó el día anterior, que entre éstos riesgos se cuentan también las inundaciones.

los planes de continuidad de negocio deben identificar las consecuencias y posibles actuaciones ante las catástrofes naturales. Elementos a examinar incluyen planes de prevención de inundaciones, planes de acceso a las instalaciones, estado de mantenimiento de los edificios y cubiertas, métodos de comunicación interna y externa, acceso a servicios externos (electricidad, gas, agua, combustible), impacto sobre proveedores y clientes. Ricardo se da cuenta que debe agregar un capítulo al plan que ya había desarrollado.

 

Identificación de los riesgos de proceso

Las propias compañías usualmente identifican cual de sus procesos productivos son críticos para sus operaciones. La identificación de procesos críticos/ vulnerables se puede llevar acabo usando métodos sistemáticos diseñados para ser usados en equipo: HAZOP (hazard and operability study), FMEA (failure mode and effects analysis), What If Analysis, Fault Tree Analysis, QFD (quality function deployment), etc.

Todas estas metodologías ayudan a cualificar y cuantificar los posibles impactos en el negocio de los diferentes escenarios identificados para cada proceso. Con esta información, el cliente puede calcular el riesgo residual y las medidas adicionales que se deberían implementar para no sobrepasar el período máximo tolerable de interrupción de su negocio.

Uno de los requerimientos básicos de las metodologías sistemáticas es la necesidad de documentar completamente los resultados de los estudios, las acciones por hacer, las personas responsables de completar las acciones y las fechas de las siguientes reuniones para revisar los progresos logrados.

 

Ayudando al cliente a establecer prioridades

Una vez identificados los procesos críticos/ vulnerables, los ingenieros de riesgos de nuestra empresa elaboran escenarios de posibles pérdidas que se pueden usar como base para estudios del impacto total al negocio (daños materiales y pérdida de ingresos). Estos escenarios incluyen: pérdidas normales estimadas, pérdidas posibles estimadas y pérdidas máximas estimadas.

La diferencia entre estos escenarios depende de los supuestos hechos para su elaboración (funcionamiento in/ correcto de los sistemas de protección, segregación de los riesgos in/ adecuada, funcionamiento in/ correcto de los procedimientos de prevención (incluyendo el plan de continuidad de negocio), capacidad productiva alternativa, etc.).

Ricardo ya había iniciado el proceso de documentar los procesos, pero confiesa que no se siente suficientemente preparado para analizar el gran número de complejos procesos que se realizan en su fábrica. Reacciona entusiasmado cuando le propongo que asista a uno de nuestros cursos de capacitación, que lo pueden preparar mejor para este aspecto de su rol. Pero también considerará un curso dedicado a su empresa, para entrenar a un grupo más amplio que incluya a los jefes de diferentes áreas.

 

Evitar es mejor que solucionar

Nuestros ingenieros también pueden aportar sus conocimientos en el área de prevención de riesgos – el riesgo que no existe no te puede dañar.  Para nuevas instalaciones, o grandes cambios a las existentes, se examinan conceptos como:

  • Evitar el riesgo (ej. situar la fábrica en una zona no inundable)
  • Eliminar el riesgo (ej. uso de transformadores secos y no bañados en aceite)
  • Segregar el riesgo (si no se pueden evitar, separar las actividades peligrosas)
  • Modificar el riesgo (ej. uso de pinturas base agua y no base solvente)
  • Controlar el riesgo (ej. protección contraincendios automática, procedimientos de prevención, sistemas de gestión de la seguridad)

 

¿Qué tan robusto es su plan de continuidad de negocio – en una crisis?

Una vez elaborados, los ingenieros aportan valor evaluando si los planes de continuidad de negocio se mantienen, ejercitan y revisan por lo menos una vez al año.  dentro de esta evaluación, se tienen en cuenta los siguientes elementos: planes de emergencia, planes de gestión de crisis, planes de recuperación del negocio.

Los planes de emergencia tienen la función principal de reducir el impacto de un evento, tomando acciones inmediatas para proteger al personal y los bienes.

Los planes de gestión de crisis tienen el objetivo de actuar sobre las decisiones operativas y estratégicas basadas en la evolución y el alcance del desastre.

Los planes de recuperación del negocio se concentran en las actuaciones a tomar en los días y semanas después de un incidente.

 

La práctica hace al maestro

Los planes de continuidad de negocio se deben ejercitar periódicamente.  Esto significa que se debe dedicar medio día o incluso todo un día para “probar” la eficiencia de los planes simulando un desastre o una crisis. Se debe concluir si los planes verdaderamente ayudan a llevar y superar la crisis de una forma más efectiva que si no los tuvieran.

Los objetivos de estos ejercicios son: evaluar la efectividad del plan para cada escenario escogido, familiarizar y formar a los miembros del equipo, registrar los resultados y acciones de mejora identificadas.

Se deberían llevar acabo actualizaciones si: se modifican los procesos o la gestión de la planta, se planea un cambio significativo o expansión de las actividades, cambian los proveedores o clientes críticos.

Al final de mi visita, Ricardo se ha dado cuenta de que si bien tiene planes de continuidad de negocio, que consideran accidentes o siniestros en la fábrica misma, no cubren suficientemente bien eventos externos que pueden afectar a la producción – o más bien su interrupción. Aunque tiene muchos desafíos por delante, está entusiasmado con la oportunidad de mejorar su gestión para su empresa y también de seguir desarrollándose en su profesión. Por mi parte, y gracias a su buena colaboración, presentaré un informe completo sobre los riesgos que he podido identificar durante esta visita y cómo mitigarlos. Además, Ricardo espera que en una próxima visita podamos evaluar los nuevos planes de emergencia, de gestión de crisis y de continuidad de negocio que está en proceso de actualizar y/o desarrollar.

 

Conclusiones

La experiencia y el conocimiento de nuestros ingenieros de riesgos en nuestra empresa, XL GAPS, para obtener información sobre los riesgos de nuestros clientes, analizar posibles consecuencias, diseñar esquemas de protección y evaluar si se han implementado correctamente, agregan una visión externa e imparcial a estas actividades.  Si en este proceso se cuenta con el apoyo y el análisis de expertos internos con buena experiencia, la colaboración puede ser tremendamente valiosa y agrega a la calidad de los resultados.  todos estos elementos son críticos en la preparación y elaboración de planes de continuidad de negocio que resulten eficaces, eficientes, robustos y fácilmente actualizables.

Ricardo tenía ya algo de experiencia en la gestión de la continuidad de negocio, pero también aún bastante por aprender. Su preparación profesional de toda la información que ya tenía, su actitud abierta y su apoyo para lograr producir un informe efectivo para su empresa, fueron críticos para lograr utilizar el tiempo de la forma más eficaz posible. Verdadera colaboración y valor agregado.

 

Roberto Novo cuenta con 18 años de experiencia en la industria de seguros. Empezó su carrera como ingeniero químico en el año 1987. En 1995 se inicia en el mundo del seguro como property loss control consultant en QBE-Kemper y en 1999 se cambió a AXA-Kemper HPR (hoy AXA Corporate Solutions) para asumir el rol de senior risk engineer. Dos años más tarde consiguió el ascenso a la posición de Spanish office manager. Fue contratado como senior loss prevention specialist de XL Group en enero 2004 y fue promovido a ser líder regional con XL GAPS en mayo 2008. En este rol es responsable de un grupo de ingenieros en España, el Reino Unido y Escandinavia, así como de la organización de la prestación de servicios en su área. Novo tiene un Bachelor of Science (University of Sydney, Australia 1984) y un Bachelor of Chemical Engineering (University of New South Wales, Australia 1986, cum laude).

La recuperación de la cadena de suministro… El “eslabón perdido”

Luis Enrique Luviano

En la determinación de las estrategias de recuperación, la omisión de las interdependencias asociadas con terceras partes, puede afectar de manera considerable la efectividad de los planes de continuidad. Una correcta administración de los proveedores catalogados como críticos, va más allá de solicitarles que cuenten con planes de continuidad. El programa de BCM (business continuity management) de la empresa, debe desafiar la capacidad de resiliencia de los proveedores clave, a fin de poder garantizar que la cadena de suministro continúe operando en los niveles acordados en caso de un evento de interrupción, tanto propio como de un tercero.

El desarrollo de un programa de continuidad de negocio tiene varios componentes esenciales y cada uno de ellos se va incorporando a lo largo del ciclo de vida del BCM—siendo todos vitales para lograr una estrategia de recuperación funcional. Alguna vez escuché que los planes de continuidad se hacen esperando nunca utilizarlos, pero que deben estar vigentes para ser usados en cualquier momento. Al respecto, los profesionales de la continuidad trabajamos para desarrollar, implementar, mantener y mejorar la resiliencia de las organizaciones, lo cual en el día a día, puede llegar a considerarse como un valor intangible, sobre todo cuando no se suscitan incidentes que pongan a prueba bajo estrés, la capacidad de respuesta, coordinación y recuperación, comparados contra lo que se encuentra definido y descrito en papel.

El BCM y una cultura de procesos

El BCM como programa está muy enfocado a ver hacia dentro de la organización, es decir, a entender cómo operan los procesos críticos, para determinar de qué forma éstos pueden seguir funcionando aún en escenarios de diversas contingencia, con base en los riesgos potenciales que puede ocurrir en la organizaicón. En mi experiencia, cuando la empresa que desarrolla un BCM tiene una cultura de procesos, se facilita enormemente el análisis desde la perspectiva de continuidad. Una cadena de valor bien mapeada con sus respectivos procesos documentados, proporcionan un insumo invaluable para sustentar el trabajo de planificación BCP (business continuity plan), sobre todo en la etapa de análisis de impacto al negocio o BIA (business impact analysis), que es justo la piedra angular que soporta la estrategia de recuperación.

Las interdependencias internas

Durante el proceso del BIA se identifican entre otras cosas, las interdependencias entre los procesos críticos, a manera de garantizar el correcto alcance de la estrategia y así evitar que en la ejecución del BCP, un proceso no pueda ser recuperado por falta del insumo de otro proceso que nunca fue considerado en el análisis.

Identificar las interdependencias entonces es fundamental para la correcta definición de una estrategia de recuperación. En este mismo sentido, suele ser más sencillo satisfacer necesidades que se encuentran en el ámbito de responsabilidad de departamentos propios de la empresa, facilitando las negociaciones internas, el acuerdo de alternativas o la determinación de los niveles de servicio a proporcionar en condiciones de operación limitadas, las cuales deberán concretarse en cortos periodos de tiempo.

Las dependencias externas

Adicional a lo anterior, tenemos otro tipo dependencias: las externas, principalmente relacionadas con proveedores, socios comerciales y en algunos casos, entidades regulatorias. Con todos ellos, la organización interactúa y lo renozca o no, son parte integral de sus procesos. En lo que respecta a la Continuidad de Negocio, la gestión requerida para vincular y alinear con la propia estrategia a dichas entidades externas, representa un mayor reto que las interdependencias; por lo que, ya sea por omisión en el análisis BIA o por lo complejo que puede ser involucrar a un tercero, la integración de los elementos necesarios para garantizar la recuperación de los suministros provenientes de proveedores externos, suele convertirse en un punto de falla recurrente.

Identificación de proveedores críticos

Es importante señalar que cuando me refiero a las dependencias externas, no recomiendo tomar el directorio de proveedores de la empresa como tal, sino considerar sólo aquellas entidades externas que se asocian a los procesos críticos; sin embargo, cada organización con base en sus objetivos y recursos disponibles puede determinar un mayor alcance.

A efecto de determinar una estrategia de recuperación óptima, en el BIA se incluye la tarea de identificar aquellos proveedores clave para el negocio, estos hallazgos acerca de las dependencias que existen con el exterior, ayudan a definir lo que es crítico y lo que no es considerado crítico.

El “eslabón perdido”

Hablando de la importancia de no dejar “brechas” en nuestra estrategia, cabe hacer la siguiente analogía. En la teoría de la evolución humana se llamó el “eslabón perdido” a la hipotética especie que uniría a los humanos actuales con sus antepasados simios a través de la historia. Hemos escuchado un sinnúmero de hallazgos que han declarado haberlo encontrado, sin que realmente se pueda comprobar que dichos descubrimientos hayan resuelto el vacío existente en el conocimiento de la citada evolución.

Siguiendo el mismo órden de ideas, el no identificar y considerar en el alcance de la recuperación a aquellos proveedores que, como parte de nuestros procesos, nos entregan información o servicios fundamentales, genera una gran brecha en el proceso que podría impedir la correcta continuidad en nuestra cadena de suministro, el “eslabón perdido” de la recuperación.

Por otra parte, aún cerrando las brechas identificadas, tampoco se puede asegurar que era el único eslabón que faltaba, ya que probablemente como parte del proceso de mejora continua del programa, saldrán a la luz otras áreas de oportunidad que también requerirán de acciones específicas.

Estrategias para la recuperación de terceros

Son muchas las alternativas en las que una organización puede desarrollar las estrategias de recuperación de terceros, aquí expongo algunas consideraciones útiles:

  • Conocer la capacidad de recuperación del proveedor crítico. Se debe asegurar que al revisar los planes internos, también se tome en consideración la validación de los planes de recuperación del tercero.
  • Tener acuerdos previos con otros proveedores. Es necesario validar si existen opciones alternativas viables con otros proveedores para echar mano de ellas en caso de que el proveedor crítico no esté disponible.
  • Traer el trabajo de vuelta a la empresa. En este caso, las actividades hechas por el proveedor se realizan en nuestra organización, lo cual requiere de un análisis previo para determinar su viabilidad e implicaciones en cuanto a recursos.
  • Formalización de niveles de servicio y cláusulas de continuidad en contratos. Independientemente de los puntos anteriores, es ideal establecer formalmente con los proveedores críticos los acuerdos de nivel de servicio a cubrir en caso de que se presente algún incidente de interrupción; por otra parte, es recomendable que se integre en el contrato, alguna cláusula que comprometa al proveedor a tener planes de continuidad.

En la práctica me he encontrado que no siempre es viable implementar todas las opciones arriba citadas; sin embargo, cada organización deberá establecer los niveles aceptables del compromiso requerido por terceros que son catalogados como críticos.  Además, la alta gerencia deberá validar los acuerdos respectivos.

Pruebas y ejercicios con terceros

Conforme el nivel de madurez del programa de BCM lo permita, se debe involucrar a los proveedores críticos en los ejercicios de la organizaicón estableciendo claramente los objetivos, el alcance y el nivel de participación requerido.

Otra alternativa, que en mi experiencia es la menos explorada tal vez por las implicaciones de confidencialidad de la información o por el grado de complejidad en su coordinación y gestión, es la ejecución de pruebas de los procesos de recuperación del proveedor.

La viabilidad de estas pruebas depende mucho del tipo de servicio que el tercero provee y también de las condiciones asentadas en contrato respecto de los planes de continuidad, así como de la percepción positiva que las pruebas conjuntas aportan para ambas partes en un esquema de “ganar-ganar”.

Las brechas en la estrategia de recuperación asociadas a las dependencias con terceros podrían ser numerosas, por lo que ejercitar los planes periódicamente adquiere relevancia, ya que de no hacerlo, los puntos de falla se harían visibles hasta el momento de una recuperación o de una crisis. En esos momentos, las carencias no sólo impactan un punto en particular, sino pueden provocar reacciones en cascada que afecten de manera significativa la resiliencia de la organización en su totalidad.

La disponibilidad de la cadena de suministro

Todas las herramientas que se han mencionado para reforzar las estrategias de recuperación con terceros, son útiles para cerciorarse de que cualquier brecha que se identifique será atendida con oportunidad, tomando las respectivas acciones correctivas o llevando a cabo las implementaciones correspondientes, además de los acuerdos necesarios con entidades externas.

En conclusión, considerar a la organización como un ente autosuficiente pero con relaciones externas, que son vitales para su sobrevivencia, constituye un factor de éxito para la estrategia de recuperación, por lo que éstas dependencias con el exterior deben ser parte integral del programa de BCM, en mayor o menor medida, dependiendo de la naturaleza de la operación de la empresa dueña del programa.

Garantizar la disponibilidad de la cadena de suministro, en caso de un evento de interrupción, demanda una conciencia permanente de cuáles son los proveedores críticos y entidades externas, así como de una interacción dinámica con los mismos, sin perder de vista que aún cuando ellos son enteramente responsables de los servicios que prestan, desde la perspectiva de continuidad, su resiliencia debe ser cuestionada y puesta a prueba como parte inherente del mantenimiento y mejora del propio programa de BCM.

Luis Enrique Luviano tiene más de ocho años de experiencia en la administración de la continuidad del negocio, es certified business continuity professional (CBCP) del Disaster Recovery Institute (DRI) International e instructor certificado de cursos en español del mismo instituto. También es MBCI (Member of Business Continuity Institute) y BCMS Auditor/Lead Auditor BS-25999 del BSI. Ha colaborado en áreas relacionadas con el análisis de procesos y administración de proyectos, se desempeñó como director de continuidad en Ixe Grupo Financiero en México y a principios del 2011 presidió el grupo de continuidad de negocios en la Asociación de Bancos de México (ABM). Actualmente es el head regional de BCM para Latinoamérica en Zurich Insurance Group.

Recomendaciones para la correcta preparación de un BIA

Karol Cordero

Una serie de lecciones aprendidas para hacer una correcta preparación de un análisis de impacto al negocio. Tomarlas en cuenta ayuda a mejorar la eficiencia del BIA y tener resultados exitosos. Si el proceso del BIA no se hace de manera adecuada, los datos arrojados no serán de valor para la organización y por lo tanto, el programa de continuidad de negocio se fundamentará en información errónea y probablemente fallará.

 

Las mejores prácticas profesionales del Disaster Recovery Institute (DRI) International en materia de continuidad de negocio, así como normas internacionales como el ISO 22301:2012, identifican la realización del análisis de impacto al negocio (BIA, business impact analysis), como un proceso clave al implementar un programa de continuidad de negocio (PCN).

De acuerdo con el Disaster Recovery Institute (DRI) International, el BIA busca “identificar los impactos que resultan de las interrupciones del negocio que puedan afectar a la organización, y aplicar técnicas para cuantificar y calificar tales impactos”. Además, “identificar funciones críticas con base en el tiempo, sus prioridades de recuperación e interdependencias, con el propósito de que los tiempos objetivos de recuperación de estas funciones críticas puedan ser establecidos y aprobados”.

Si el BIA se realiza de manera correcta, permitirá obtener la información mencionada anteriormente, mas si el proceso del BIA no se hace de manera adecuada, los datos arrojados no serán de valor para la organización y por lo tanto, el programa de continuidad de negocio se fundamentará en información errónea, lo que probablemente hará que el programa sea poco eficiente, la organización no realice inversiones bien fundamentadas; y a la larga, el programa de continuidad de negocio fallará.

Mi experiencia en la realización de análisis de impacto al negocio en diversas organizaciones, me ha permitido reunir una serie de lecciones aprendidas en su preparación, que al tomarlas en cuenta nos ayudará a asegurar la eficiencia del BIA y tener resultados exitosos. A continuación se describen dichas lecciones aprendidas:

  1. Contar con el apoyo de la Alta Gerencia. Debido a que el establecimiento de la continuidad del negocio debe ser un proceso holístico en la organización, será necesario reunir y obtener información de todas las áreas de la misma. Además, se deberá entrevistar a directivos de alto nivel, quienes usualmente tienen poco tiempo y no necesariamente estarán de acuerdo en brindar la información que se requiere para el BIA. La mejor manera de asegurar influencia sobre toda la organización en el nivel necesario, es contar con el apoyo de la alta gerencia, en un convencimiento de arriba hacia abajo, de modo que la alta gerencia apruebe el proyecto y los recursos necesarios para realizar el BIA. Muestras o evidencias de apoyo son la aprobación de presupuesto, la aprobación de una política de continuidad de negocio, la definición de roles y responsabilidades y la participación activa en el PCN.
  2. Definir el alcance. Con un alcance definido se sabrá en qué se debe enfocar el proyecto BIA. Se deberán definir los procesos de negocio que se desean incorporar en el PCN y así, saber qué funciones de la organización y áreas de soporte involucrar en el proyecto BIA. Un ejemplo de un alcance del proyecto BIA sería los procesos que forman parte de la cadena de valor empresarial y los procesos verticales que los soportan.
  3. Definir objetivos del proyecto BIA. Si se tienen objetivos definidos, se pueden compartir estos objetivos con los involucrados en el proyecto BIA para buscar en conjunto alcanzarlos, y de ese modo, se puede validar el resultado del proyecto, es decir, si el mismo fue eficiente y eficaz. Establecer objetivos SMART (Acrónimo en inglés de: S=specific, M=measurables, A=attainable, R=realistic, T= time), es lo más recomendable, de modo que sean específicos, medibles, alcanzables, realistas y definidos en el tiempo. Un ejemplo de un objetivo SMART sería “Realizar 5 talleres de entrevistas a 10 directivos con el fin de identificar los procesos críticos, en un lapso de 2 semanas.”
  4. Contar con un patrocinador que tenga convicción del beneficio del proyecto BIA. Este patrocinador será el apoyo directo en caso de tener alguna dificultad con algún recurso necesario para el BIA: podrá aprobar gastos, aprobar tiempo de los funcionarios para ser dedicado al BIA y será el enlace directo entre el responsable del éxito del BIA ante la alta gerencia. En mi experiencia, este patrocinador ocupa puestos de alto nivel organizacional, como lo es un subgerente o un director, y por lo general es el responsable del área que tiene a cargo la definición del programa de continuidad de negocio.
  5. Identificar a todos los funcionarios que deberán participar. Para poder planificar correctamente el BIA, con base en el alcance definido, es necesario conocer a todos los funcionarios que deben participar. De esta manera se podrá conocer con quiénes se deberán hacer entrevistas o si será necesario trasladarse a otros sitios para tener un acercamiento oportuno con los involucrados. Por lo general será necesario reunirse con los dueños de los procesos de negocio y soporte que forman parte del alcance (jefaturas) y con dos o tres personas por proceso que sean expertos en el mismo.
  6. Definir una metodología. Debe haber una metodología clara, concisa y basada en la realización de un trabajo analítico y sistemático. De este modo, se tendrá mayor credibilidad en los resultados. En mi experiencia, contar con proveedores de servicio expertos en la realización de BIA o bien con personal interno que haya aplicado previamente metodologías, facilita el proceso, ya que aporta valor y pericia.
  7. Definir criterios de criticidad. Cuando se hace el BIA, se debe hacer una clara distinción entre aquellas funciones que realmente son críticas y las funciones importantes. Usualmente todos los involucrados en el BIA suelen considerar que su función es tan importante que la catalogan como crítica en primera instancia. Por eso es esencial definir con la alta gerencia criterios que permitan tener una guía para evaluar la criticidad de las funciones de manera común y objetiva. Por ejemplo, un criterio de criticidad puede ser: aquellas funciones que se llevan a cabo directamente con servicio al cliente.
  8. Definir la información que se requiere solicitar. Para hacer un BIA de manera eficiente, se debe aprovechar el poco tiempo que se pueda obtener de los dueños de los procesos, por lo tanto es necesario utilizar cuestionarios o guías que precisen la información que se desea obtener. Para conocer previamente qué información se requiere, se deben establecer objetivos claros y organizar nuestro cuestionario para hacer preguntas específicas. Información como el detalle del proceso de negocio, el impacto de su interrupción en el tiempo, los registros de información que utiliza, sus interdependencias y los recursos claves que requieren, son datos básicos que deben ser obtenidos durante el BIA.
  9. Capacitar a los funcionarios que van a participar en entrevistas y concientizarlos de la importancia de la información que van a brindar y para qué se va a utilizar dicha información.  Antes de hacer las entrevistas del BIA, recomiendo hacer una sesión de capacitación sobre los conceptos básicos del BIA. En esta capacitación se debe involucrar a quienes participarán en el BIA y compartirles cuáles son los objetivos del proyecto BIA y cómo la información que provean será la base fundamental para todo el PCN. Concientizar a los involucrados en la importancia de la información que se requiere obtener en el BIA facilita los talleres y entrevistas, ya que los involucrados asumen la responsabilidad de la información que brindarán. En esta concientización se puede adelantar la información que se les estará requiriendo, a fin de que puedan investigarla previo a los talleres y entrevistas.
  10. Invitar a talleres y entrevistas con fechas definidas que permitan hacer compromisos de manera formal. Las entrevistas y talleres deben ser planificados, documentados y definidos con tiempo suficiente para que los dueños de los procesos puedan programar el tiempo solicitado. Debe establecerse un compromiso previo de asistencia y las citas se deben cumplir con puntualidad, con una agenda específica bien definida, controlando el avance de la sesión y asegurando el cumplimiento de los objetivos.
  11. Documentar el proceso y pedir al negocio se recaben firmas de la información que están brindando.  Se debe documentar todo el proceso del BIA, la información obtenida y los participantes. Esta documentación servirá como información base para las actualizaciones del BIA que se deberán realizar al menos una vez al año. Se recomienda también obtener las firmas de los participantes para dar mayor validez a la información brindada y esta pueda ser utilizada de manera formal en la formulación del PCN.

Ser AMIGOS del negocio

Por último, y lo más importante, los responsables de hacer el BIA, deben presentarse como “amigos” del negocio, escuchar y comprender las necesidades de los involucrados, explicarles cómo el PCN pretende facilitar la recuperación de sus procesos ante eventos de interrupción; buscar que los involucrados se comprometan con el proceso del BIA; y lo interioricen en sus procesos y áreas bajo responsabilidad de modo que se obtenga de parte de ellos información verídica, válida, actual y de valor para la organización.

 

Karol Cordero (CBCP, AL BS25999, PMP, CISM, CISA) se desempeña como supervisora en PwC Costa Rica, con especialidad en proyectos de consultoría de continuidad de negocio, gestión de riesgos, seguridad de la información y gobierno de TI. Es graduada en Ciencias de la Computación en la Universidad de Costa Rica y cuenta con una maestría en ingeniería en sistemas con mención en administración de proyectos. Es CBCP del Disaster Recovery Institute (DRI) International y es certificada como instructora del curso BCLS2000 del DRI International para DRI Costa Rica y la región. Cuenta además con certificaciones como CISM y CISA de ISACA y la PMP como administradora de proyectos del PMI. Coordinadora del seminario anual de continuidad de negocio de PwC Costa Rica, instructora de talleres de continuidad de negocio para PwC Costa Rica y con experiencia en la implementación de sistemas de gestión de continuidad de negocio con base en las mejores prácticas del DRII y la norma ISO 22301, BS25999, ISO 27031, BCI; en la industria financiera, sector gobierno y privado, entre otros.