EL PLAN DEL PLAN

Conversando con colegas, pude observar la tendencia que existe en comenzar con excesiva prontitud las actividades tendientes a la realización del BCP, dejando a un lado y en gran medida, los pasos necesarios para la planeación efectiva, eficiente y eficaz de todo lo relacionado con el plan del plan BCP.

Considero un gran error, no tomarse el tiempo suficiente a definir con el cliente, cuales son los resultados esperados por él al final del ejercicio. Al abordar este tema con mis colegas, algunos me decían con gran fervor, que lo que el cliente requiere es el BCP y para eso contratan al consultor. No digo que no sea parcialmente cierto, que esto es lo que quiere el cliente. Si, pero hay que identificar con el cliente muchas cosas antes de proceder a ejecutar acciones, por ejemplo; hay que conocer y definir cual es el nivel de impacto de pérdida, aceptado por el cliente, hay que conocer la misión de la empresa para lograr la primera aproximación de cuales son las funciones críticas, pues estas deben estar relacionadas con la “razón de ser” del negocio o “core business”, como aparece en las publicaciones, hay que hacerle entender que los riesgos que se evaluarán son primordialmente aquellos que tienen la potencialidad de causar un desastre, pues es función de los gerentes respectivos, el identificar y atender apropiadamente los riesgos administrativos y operativos, ya que se trata de complementar acciones.

También hay que identificar tempranamente el recurso humano que formará parte del equipo de trabajo para la realización de todas las tareas, como ya lo dijimos en un blog. Estableciendo claramente los roles y responsabilidades de cada uno. Hay que hacer unas sesiones de sensibilización o talleres en donde se informe e ilustre a todo el personal de la empresa, qué, cuando, cómo y dónde se hará incluyendo el nivel de colaboración y participación requerido.

En los casos que la empresa ya tenga definida la matriz de riesgos, es importante adoptarla para el RA que desarrollaremos, con el fin de poder integrar y consolidar los resultados con el ERM (Enterprise Risk Management) existente.

Más adelante complementaré algunos otros aspectos a considerar en la elaboración del plan del plan.

Cordial saludo,

EL MILAGRO GM

Llamó mucho mi atención la noticia que la General Motors, solo requirió de 40 días para salir de la crisis a la que estuvo sometida. Creo que muchos de ustedes pudieron observar la fotografía del Presidente de la compañía en la que con una extensa sonrisa enviaba el mensaje “se salió con la suya”.

¿Como puede suceder un milagro así; que una compañía de las dimensiones tan grandes como la GM solo necesitó de 40 días para, no solo salir de la crisis, es decir, sobrevivir, sino que ya anuncia inversiones por 1000 millones de dólares en Brazil, para citar solo uno de sus próximos retos? Pues bien, solo hay una respuesta: contaban con un Plan de Continuidad del Negocio, BCP, bien estructurado y por lo tanto conocían de antemano cuales eran sus activos críticos y cuales los activos contaminados.

Mucha gente relaciona el término activo crítico, con instalaciones y maquinaria; pero el término es mucho mas amplio e incluye los empleados críticos, stakeholders internos y externos, knowhow, etc.

Espero con ansias, el libro que presiento estará próximo a salir a la venta y que se titulará algo así: “El Milagro Llamado GM”, pues será sin duda un best seller en donde el tema central no será otro del de narrar la existencia oportuna de un BCP bien estructurado y que por lo tanto les funciono de maravilla. Desde aquí mis más sinceras felicitaciones a todos aquellos que participaron el la elaboración del plan.

Conveniencia del BCP Interno

Me llama la atención el observar que muchas empresas están realizando con su personal interno el BCP.

La verdad, considero bastante inútil e ineficaz el resultado que se pueda llegar a obtener, si tenemos en cuenta, que un BCP requiere de información de calidad sobre las amenazas (Risk Assessment) que pongan en peligro la supervivencia de la empresa, lo cual es muy diferente al ejercicio obtenido con el ERM (Enterprise Risk Management) que está enfocado a los riesgos operacionales y administrativos. También muy importante, pues es parte de las base del análisis, es el descubrimiento de los impactos negativos (BIA) que la empresa estaría sometida en caso de hacerse real la amenaza.

Si tenemos en cuenta que para recolectar la información a la que nos referimos, necesariamente tenemos que hacer una o varias de las siguientes actividades: encuestas, talleres y/o entrevistas. Imaginemos en la realidad a un subalterno entrevistando a personal de alta jerarquía, ¿como cree que se sienten o mejor, se resienten estos altos directivos, gerentes, vicepresidentes y el mismo presidente, al ser interrogado por un subalterno?. Peor aún, ¿como creen que se siente el subalterno, haciendo las entrevistas? No nos digamos mentiras, a nadie nos gusta que un subalterno por destacado que sea dentro de la organización nos haga preguntas y menos aún que pueda llegar a encontrar nuestras deficiencias operacionales. Para no extenderme mucho en el tema los invito a que solo se imaginen la situación referida y deduzcan que tan eficiente y eficaz puede llegar a ser la información obtenida por el subordinado. A los altos directivos que han pasado por el proceso a que me refiero les pregunto ¿con que sinceridad y calidad han respondido al RA y BIA?. ¿Serán útiles (de calidad), las respuestas que sirvieron para elaborar un buen BCP?

Cuando me refiero a un buen BCP, quiero decir un Plan de Continuidad del Negocio ajustado a las necesidades reales del mismo, que sea práctico y funcional.

Estoy de acuerdo que un DRP, debe hacerse con personal interno a la organización, ya que al conocerse las amenazas para supervivencia, sus impactos, sus RTO, RPO, etc., es factible diseñar los DRP. Pero hacer un DRP sin conocer los resultados reales del RA y BIA, es un desperdicio de tiempo y dinero ya que existe la tendencia a creer que un buen DRP consiste en duplicar la infraestructura operacional, lo cual es lo más alejado de la realidad, pues no solamente es ineficiente la solución sino que su alto costo versus la probabilidad del desastre, se convierte en un desangre económico y permanente para la organización. Esto de la duplicación de infraestructura tuvo sus orígenes en lo que inicialmente fueron los centros de cómputo, los cuales se basaban en un gran computador central o mainframe que funcionaba mediante la creación de largos y extensos listados de código interno propio de la organizaciones y este software único y costoso tenia que ser protegido de manera especial mediante redundancias apropiadas, pero en la actualidad, esta amenaza se ha minimizado sustancialmente, gracias a los mismos avances tecnológicos, pero aún persiste en la mentalidad del personal de IT que es necesario disponer de hot-sites y que el DRP equivale solamente a tener redundancia IT, como si todas las empresas tuviesen como objetivo del negocio, el tema IT. De ahí, que actualmente muchos directivos consideran que le BCP es algo que tiene que hacer el departamento de IT, lo cual no es cierto ni conveniente, ya que el resultado tendría un sesgo importante que le restaría la eficacia ante un desastre que impacte al negocio.

Entiendo que hay empresas celosas de compartir con extraños sus vulnerabilidades y deficiencias y por eso prefieren hacer con su recurso humano interno su BCP. Lo que tienen que hacer es conseguir un consultor de su mayor confianza que garantice que él y solamente él, tendrá el manejo y responsabilidad sobre esta información y cualquier uso inadecuado y por lo tanto evitar que la firma consultora disponga del servicio de varios consultores o personal con acceso a esta sensible información, ya que de este modo en la practica es imposible garantizar la confidencialidad y por ende la responsabilidad asociada si varios personajes externos tienen acceso a la información (consultor, auxiliares, secretarias, impresión de reportes, etc.)