¿Documento o sistema de gestión?

Desde marzo 2020, los planes de continuidad de negocio han vuelto a discutirse en las salas de Consejos y en reuniones de Comités Directivos. Es más, tras las últimas dificultades en las cadenas de suministro globales, vuelven a estar a la cabecera de la agenda de gobernanza.

Pero un BCP, por sus siglas en inglés, ¿es un documento o un proceso y sistema de gestión?

El objetivo de un BCP es indicar las acciones necesarias que debe llevar a cabo una organización para recuperar la operatividad de un negocio o de determinadas actividades, ante una interrupción total o parcial no deseada, y dentro de un período determinado. ¿Esto significa un documento o un sistema de gestión basado en procesos?

El cajón, el polvo, y la pandemia

Veamos alguna de las situaciones más comunes que encontramos en organizaciones que tienen algo llamado Business Continuity Plan.

• Un documento o conjunto de documentos, el que se redactó en algún momento, posiblemente por algún consultor, que quedó guardado en alguna carpeta de un servidor de archivos, o incluso en alguna carpeta física, acumulando polvo en el cajón de algún escritorio de oficina.
• Se realizan actualizaciones periódicas a los documentos antes de volver al archivo.
• Sobre estos documentos, con una periodicidad aleatoria la organización realiza alguna prueba parcial.

¿Estas distintas percepciones de lo que es un BCP, permitiría a la organización recuperar adecuadamente sus actividades críticas después de una interrupción? La respuesta más probable es que NO. El éxito de un BCP en alguno de estos estados de madurez podría ser más gracias a fortuna que a planificación.

Tenemos recientes situaciones excepcionales como disrupción por pandemia, por nevadas, por tormentas y ahora estamos empezando a vivir tensiones en las cadenas de suministro, y se habla de la resiliencia del suministro energético.

Tras la vuelta a la normalidad pos-pandemia, hemos escuchado numerosas organizaciones declarar que han demostrado que pueden continuar en cualquier situación, que superaron el fenómeno work from home sin apenas problemas. La realidad es que esta disrupción aceleró un proceso de digitalización del entorno de trabajo que ya estaba en marcha en muchos casos y el WFH no es más que un escenario entre muchas posibles disrupciones. No había un BCP en condiciones, quizás solo mucha fortuna ¿Y si el escenario fuera otro, o la madurez digital del momento no está para salvarnos?

Volvemos a nuestros tres casos anteriores. Si intentaras usar esos documentos de ofimática de manera reactiva, después de desempolvarlos, seguramente se encontrarían desactualizados, haciendo referencia a sistemas obsoletos de la compañía, mapeando a procesos que ya no son críticos para el negocio, desalineados a la estrategia del negocio, referenciando a integrantes del Comité de Crisis o de otro equipo que ya no forman parte de la organización y hasta seguramente no se consideró el escenario “pandemia -WFH” o similar en el documento.

Proactivo para ser reactivo

Para garantizar el éxito reactivo de BCP, este debe ser siempre proactivo. Las organizaciones deben estar preparadas y esto nos aleja del cajón y el polvo.

Para ser proactivo el BCP debe considerarse como un proceso vivo, un sistema que se encuentra en constante actualización. Una buena metodología y enfoque proactivo se encuentra en  los estándares internacionales, específicamente en la norma ISO 22301:2019 Sistemas de Gestión de Continuidad de Negocio de la serie sobre seguridad y resiliencia.

Con sus raíces en el enfoque PDCA (planificar-hacer-verificar-actuar) esta norma marca las pautas para implementar, gestionar y mejorar un sistema de continuidad de negocio, y no solo para redactar un documento instructivo.

Sin entrar en detalles técnicos, (que serán objeto de futuros artículos) algunas de las consideraciones clave a tener en cuenta por las organizaciones para implementar / mantener un SGCN:

• Adecuadamente priorizado y esponsorizado por el órgano de gobierno y la alta dirección.
• Debe estar alineado con la estrategia del negocio.
• Definición claro de alcances y escenarios de disrupción.
• Debe basarse en riesgos.
• Debe tener una buena relación coste – beneficio.
• Se debe invertir en recursos y en tecnología para su gestión y mantenimiento.
• Debe mantenerse constantemente actualizado (normas, políticas, procedimientos, personas, edificios, sistemas, ejecución y documentación de pruebas, etc.), por lo que es recomendable utilizar un sistema informático para mantenerlo actualizado.
• Debería testearse y monitorizarse para implementar mejora continua.

Un proceso dentro de un sistema de gestión

La continuidad de negocio es realmente un asunto para la buena gobernanza de las organizaciones, y por lo tanto no debería quedarse en continuidad de papel, y menos en un rezo a los santos. La continuidad de negocio bien implementado es una serie de procesos dentro un sistema de gestión crítico para la organización.

Con el apoyo, recursos necesarios y un buen marco de implementación, realmente es fácil ver el valor añadido de un sistema de gestión de la continuidad.

Luis Frias Vergara

Senior Consultant | IT Audit Services

Control Solutions 360

 

Echa un vistazo a nuestros servicios y soluciones de continuidad de negocio