La continuidad del negocio: un desafío presente

La continuidad del negocio es responsabilidad primaria de los administradores legales de la empresa, es decir, la dirección ejecutiva. Asumiendo esta responsabilidad, el consejero delegado o el Comité de Dirección encargan al jefe de Riesgos o al Comité de Seguridad de la empresa el establecimiento de un Sistema para la Gestión de la Continuidad de Negocio (SGCN) que marque las líneas estratégicas y compromisos de la organización para asegurar la continuidad de la actividad a unos determinados niveles que se considerarán como los de recuperación mínima aceptables.

Como parte del gobierno de este SGCN, el consejero delegado o Comité de Dirección deberán identificar tanto los procesos críticos para el negocio, como los directores operativos responsables de tales procesos, quienes serán los que desarrollen en la práctica los planes de continuidad de los procesos a su cargo.

Dependiendo del tamaño, y del tipo de procesos productivos de la empresa, el alcance de un plan de continuidad de negocio (PCN) puede ser toda la organización o solo una parte, en cuyo caso la continuidad global del negocio será un conjunto coordinado de planes de continuidad.

Los procesos de negocio de la empresa se sustentan en recursos específicos, pero también, y principalmente, en recursos transversales corporativos, como por ejemplo un centro de procesos de datos o un edificio administrativo que da servicio a varias o todas las unidades de negocio. En estos casos se desarrollan planes de contingencia de dichos recursos para apoyar los PCN de la empresa, como se muestra en la Figura 1.

La dirección ejecutiva de la empresa debe revisar al menos cada dos años los criterios de continuidad definidos para que se adecuen a los cambios

Estos recursos corporativos críticos que dan soporte a los planes de continuidad del negocio son:

• Los datos, la información y el conocimiento.
• El personal operativo que mantiene los procesos críticos.
• La tecnología que soporta los procesos productivos.
• Los proveedores críticos de la cadena de suministro.
• Las instalaciones donde se ubican el personal, las tecnologías y las infraestructuras críticas.

Como se ha mencionado anteriormente, en función del tipo de negocio y/o del entorno económico o político en el que se desarrolle, la dirección ejecutiva definirá y documentará un marco de gobierno del SGCN que proporcione el contexto, así como los siguientes lineamientos corporativos para las distintas unidades de negocio:

• Política y normativa, donde, entre otros elementos, se definan los criterios para la priorización de procesos críticos, como por ejemplo los ingresos, la entrega del servicio, el cumplimiento legal, etc.
• Organización, estableciendo los roles y responsabilidades en la gestión de la continuidad del negocio.
• Metodología y herramientas de soporte que persigan la eficiencia en el mantenimiento del sistema.
• Seguimiento y reporte, con definición de los indicadores clave para la gestión.
• Sensibilización y entrenamiento del personal propio y de los colaboradores.
• Revisión periódica independiente.

Este SGCN se basa en el ciclo PDCA de mejora continua como muestra la Figura 2.

Desarrollo del PCN

Una vez establecido el marco de gobierno del SCGN, por cada negocio crítico, el director responsable de la unidad organizativa correspondiente, con el apoyo del CRO y del Comité de Seguridad, tendrá la responsabilidad de desarrollar su PCN acometiendo una serie de tareas organizadas según las fases del ciclo PDCA y con un enfoque tal y como se muestra en la Figura 3.

Implementación y operación:

• Analizar los riesgos y el impacto en el negocio. En primer lugar, debe elaborarse un estudio de amenazas potenciales que se cruzarán con las vulnerabilidades de los recursos que soportan las actividades críticas de negocio. Posteriormente se obtendrá el impacto que supondría la materialización de cada amenaza sobre cada una de ellos, teniendo en cuenta la probabilidad de ocurrencia.

El Análisis de Impacto para el Negocio (BIA) permitirá a identificar para cada proceso o actividad crítica:

1. El impacto que tendría la interrupción (bien sea financiero, legal o a la reputación).
2. El período de tiempo máximo después de una interrupción dentro del cual tiene que continuarse la operación.
3. El nivel mínimo al que la actividad tiene que ser ejecutada cuando se recupera.
4. El periodo máximo de tiempo antes que los niveles normales de operación tengan que haberse recuperado.

 

Siempre existirán “cisnes negros”, pero debemos demostrar que hemos establecido un sistema capaz de prever las contingencias y su impacto

Para negocios en los que se manejan productos peligrosos es muy conveniente conocer en detalle tanto los posibles accidentes industriales y el alcance de sus consecuencias, como el diseño y la configuración de sus procesos químicos para poder estimar el impacto para el negocio.

Por último, se elaborará un listado de medidas de salvaguarda que reduzcan, mitiguen o transfieran los riesgos derivados de la materialización de las amenazas, con el fin de reducir la probabilidad o limitar el período de la interrupción.

• Establecer las prioridades, así como los requisitos y tiempos de recuperación de negocio.
• Diseñar las alternativas para la estrategia de recuperación. Se plantearán las opciones de continuidad o alternativas de respaldo más adecuadas, teniendo en cuenta:

1. El período de interrupción máximo tolerable de cada actividad crítica, que se definió en el BIA.
2. Las pérdidas derivadas de la interrupción que son cubiertas por las diferentes opciones o alternativas de respaldo, y el grado de cobertura de cada una de ellas.
3. El coste de implantación de dichas opciones.
4. Las partes interesadas (gobierno, inversores, clientes, empleados) y el apoyo de los servicios de emergencias locales.

• Decidir sobre la alternativa más rentable para el negocio.
• Elaborar los procedimientos, que serán:

1. De gestión de la crisis.
2. De recuperación de procesos críticos.
3. De vuelta a la normalidad.

Monitorizaión y revisión:

• Definir el cuadro de indicadores del PCN de cara a supervisar la eficacia del mismo.
• Probar el PCN. Mediante las pruebas conseguiremos:

1. Una medida de su viabilidad técnica y económica.
2. Una medida de la eficacia de los procedimientos a llevar a cabo a lo largo de las etapas de gestión de crisis y recuperación.
3. Formación al personal involucrado en la gestión de la crisis.

Mantenimiento y mejora:

• Mantenimiento en el tiempo del PCN. En el caso de producirse un incidente que derive en la activación del PCN, posteriormente deberá revisarse su eficacia a la hora de identificar la naturaleza y causa del incidente, medir si la gestión de la respuesta ha sido la adecuada y medir la efectividad de la organización para cumplir con los objetivos de tiempo de recuperación establecidos.La dirección ejecutiva de la empresa debe revisar periódicamente (al menos cada dos años) los criterios de continuidad definidos para que se adecuen a los cambios regulatorios, organizativos, o de negocio.
• Integración con otros planes de continuidad y especialmente con el Plan de Contingencia Informático. La suma de todos los PCN, junto con los planes de contingencia de recursos críticos son la mejor garantía de empresa resiliente.
• Proceso de aceptación del riesgo residual. La aceptación del riesgo residual es un proceso normal y lícito en la planificación de la continuidad. Siempre existirán “cisnes negros” imprevisibles, para los que no podremos estar preparados porque sencillamente supondrían un coste inasumible para la empresa. Sin embargo, debemos ser capaces de demostrar que hemos establecido un sistema de gestión capaz de prever las contingencias más comunes y minimizar su impacto, tanto en el negocio como en el entorno, así como para nuestros clientes.