jueves, 11 de marzo de 2010
LECCIONES DESDE CHILE
Todos sabemos que la gran mayoría de nosotros los humanos somos muy inteligentes diez minutos después de sucedido un percance y es en este momento que decimos con autoridad asombrosa “pero cómo no se les ocurrió hacer esto o aquello..” La verdad que adelantarse y estar preparados a los eventos ya sean oportunidades o fatalidades es muy difícil. No obstante debemos por lo menos aprender de las lecciones.
En el caso de Chile tuve la oportunidad de escuchar parte de la entrevista radial que le hicieron desde la W al hoy presidente de esa gran nación y percibí lo claro que ya tiene la película de lo que hay que comenzar a hacer para que por lo menos estén capacitados y preparados para mitigar las consecuencias de un nuevo desastre. Hablaba el Presidente, no de planes sino de leyes, que yo asimile a leyes de continuidad, en las que se empoderen a ciertas instituciones para que desde un principio del siniestro tomen el empoderamiento y control de la situación y paralelamente estén informándole al alto gobierno sobre el desarrollo de la situación, la magnitud de los daños, los avisos que hay que darle a la comunidad, el control de posibles eventos catastróficos como los tsunamis, como el pillaje, etc.
Ante un desastre no nos podemos dar el lujo de perder ni un minuto de reacción ya que eso es bastante tiempo. Las leyes tienen que estar listas, estudiadas y reglamentadas de forma tal que se constituyan en planes de acción con actividades, recursos, responsables, presupuestos, empoderamientos provisionales totalmente eficaces, lo que los gringos llaman “accountability”, es decir definir sin ambigüedades quien es aquel que tiene TODA la responsabilidad , poder y control de forma que NO haya campo o lugar para excusas de ineficacias.
La pregunta es, qué tanto estamos preparados a nivel de país en Suramérica para afrontar eficientemente una catástrofe sin tener que esperar que todo sea informado al Presidente para que él o ella se reúna con su gabinete, consultores y demás autoridades para comenzar a improvisar una respuesta? Los planes tiene que estar bien desarrollados y probados antes de la catástrofe, recordemos que en el caos no es posible planear de manera racional, eficaz y con la obtención de los mejores beneficios.
Que Dios bendiga América.
lunes, 20 de julio de 2009
EL PLAN DEL PLAN
Considero un gran error, no tomarse el tiempo suficiente a definir con el cliente, cuales son los resultados esperados por él al final del ejercicio. Al abordar este tema con mis colegas, algunos me decían con gran fervor, que lo que el cliente requiere es el BCP y para eso contratan al consultor. No digo que no sea parcialmente cierto, que esto es lo que quiere el cliente. Si, pero hay que identificar con el cliente muchas cosas antes de proceder a ejecutar acciones, por ejemplo; hay que conocer y definir cual es el nivel de impacto de pérdida, aceptado por el cliente, hay que conocer la misión de la empresa para lograr la primera aproximación de cuales son las funciones críticas, pues estas deben estar relacionadas con la “razón de ser” del negocio o “core business”, como aparece en las publicaciones, hay que hacerle entender que los riesgos que se evaluarán son primordialmente aquellos que tienen la potencialidad de causar un desastre, pues es función de los gerentes respectivos, el identificar y atender apropiadamente los riesgos administrativos y operativos, ya que se trata de complementar acciones.
También hay que identificar tempranamente el recurso humano que formará parte del equipo de trabajo para la realización de todas las tareas, como ya lo dijimos en un blog. Estableciendo claramente los roles y responsabilidades de cada uno. Hay que hacer unas sesiones de sensibilización o talleres en donde se informe e ilustre a todo el personal de la empresa, qué, cuando, cómo y dónde se hará incluyendo el nivel de colaboración y participación requerido.
En los casos que la empresa ya tenga definida la matriz de riesgos, es importante adoptarla para el RA que desarrollaremos, con el fin de poder integrar y consolidar los resultados con el ERM (Enterprise Risk Management) existente.
Más adelante complementaré algunos otros aspectos a considerar en la elaboración del plan del plan.
Cordial saludo,
jueves, 16 de julio de 2009
EL MILAGRO GM
¿Como puede suceder un milagro así; que una compañía de las dimensiones tan grandes como la GM solo necesitó de 40 días para, no solo salir de la crisis, es decir, sobrevivir, sino que ya anuncia inversiones por 1000 millones de dólares en Brazil, para citar solo uno de sus próximos retos? Pues bien, solo hay una respuesta: contaban con un Plan de Continuidad del Negocio, BCP, bien estructurado y por lo tanto conocían de antemano cuales eran sus activos críticos y cuales los activos contaminados.
Mucha gente relaciona el término activo crítico, con instalaciones y maquinaria; pero el término es mucho mas amplio e incluye los empleados críticos, stakeholders internos y externos, knowhow, etc.
Espero con ansias, el libro que presiento estará próximo a salir a la venta y que se titulará algo así: “El Milagro Llamado GM”, pues será sin duda un best seller en donde el tema central no será otro del de narrar la existencia oportuna de un BCP bien estructurado y que por lo tanto les funciono de maravilla. Desde aquí mis más sinceras felicitaciones a todos aquellos que participaron el la elaboración del plan.
miércoles, 8 de julio de 2009
Conveniencia del BCP Interno
La verdad, considero bastante inútil e ineficaz el resultado que se pueda llegar a obtener, si tenemos en cuenta, que un BCP requiere de información de calidad sobre las amenazas (Risk Assessment) que pongan en peligro la supervivencia de la empresa, lo cual es muy diferente al ejercicio obtenido con el ERM (Enterprise Risk Management) que está enfocado a los riesgos operacionales y administrativos. También muy importante, pues es parte de las base del análisis, es el descubrimiento de los impactos negativos (BIA) que la empresa estaría sometida en caso de hacerse real la amenaza.
Si tenemos en cuenta que para recolectar la información a la que nos referimos, necesariamente tenemos que hacer una o varias de las siguientes actividades: encuestas, talleres y/o entrevistas. Imaginemos en la realidad a un subalterno entrevistando a personal de alta jerarquía, ¿como cree que se sienten o mejor, se resienten estos altos directivos, gerentes, vicepresidentes y el mismo presidente, al ser interrogado por un subalterno?. Peor aún, ¿como creen que se siente el subalterno, haciendo las entrevistas? No nos digamos mentiras, a nadie nos gusta que un subalterno por destacado que sea dentro de la organización nos haga preguntas y menos aún que pueda llegar a encontrar nuestras deficiencias operacionales. Para no extenderme mucho en el tema los invito a que solo se imaginen la situación referida y deduzcan que tan eficiente y eficaz puede llegar a ser la información obtenida por el subordinado. A los altos directivos que han pasado por el proceso a que me refiero les pregunto ¿con que sinceridad y calidad han respondido al RA y BIA?. ¿Serán útiles (de calidad), las respuestas que sirvieron para elaborar un buen BCP?
Cuando me refiero a un buen BCP, quiero decir un Plan de Continuidad del Negocio ajustado a las necesidades reales del mismo, que sea práctico y funcional.
Estoy de acuerdo que un DRP, debe hacerse con personal interno a la organización, ya que al conocerse las amenazas para supervivencia, sus impactos, sus RTO, RPO, etc., es factible diseñar los DRP. Pero hacer un DRP sin conocer los resultados reales del RA y BIA, es un desperdicio de tiempo y dinero ya que existe la tendencia a creer que un buen DRP consiste en duplicar la infraestructura operacional, lo cual es lo más alejado de la realidad, pues no solamente es ineficiente la solución sino que su alto costo versus la probabilidad del desastre, se convierte en un desangre económico y permanente para la organización. Esto de la duplicación de infraestructura tuvo sus orígenes en lo que inicialmente fueron los centros de cómputo, los cuales se basaban en un gran computador central o mainframe que funcionaba mediante la creación de largos y extensos listados de código interno propio de la organizaciones y este software único y costoso tenia que ser protegido de manera especial mediante redundancias apropiadas, pero en la actualidad, esta amenaza se ha minimizado sustancialmente, gracias a los mismos avances tecnológicos, pero aún persiste en la mentalidad del personal de IT que es necesario disponer de hot-sites y que el DRP equivale solamente a tener redundancia IT, como si todas las empresas tuviesen como objetivo del negocio, el tema IT. De ahí, que actualmente muchos directivos consideran que le BCP es algo que tiene que hacer el departamento de IT, lo cual no es cierto ni conveniente, ya que el resultado tendría un sesgo importante que le restaría la eficacia ante un desastre que impacte al negocio.
Entiendo que hay empresas celosas de compartir con extraños sus vulnerabilidades y deficiencias y por eso prefieren hacer con su recurso humano interno su BCP. Lo que tienen que hacer es conseguir un consultor de su mayor confianza que garantice que él y solamente él, tendrá el manejo y responsabilidad sobre esta información y cualquier uso inadecuado y por lo tanto evitar que la firma consultora disponga del servicio de varios consultores o personal con acceso a esta sensible información, ya que de este modo en la practica es imposible garantizar la confidencialidad y por ende la responsabilidad asociada si varios personajes externos tienen acceso a la información (consultor, auxiliares, secretarias, impresión de reportes, etc.)
lunes, 9 de junio de 2008
Bogota con los pies en la tierra
Resulta interesante ver que el Distrito Capitalino esté elaborando planes de contingencia para que en el evento de una catástrofe (sismo, inundación, etc) la ciudad de Bogotá resulte lo menos afectada posible.
Todos estos esfuerzos son muy importantes y la comunidad los recibe como una muy buena noticia, pero considero que el plan esta incompleto ya que no solo debemos procurar los mínimos impactos posibles de perdidas ya sean humanas, de infraestructura, y otros sino que debemos anticipar que una catástrofe necesariamente hará que muchas empresas de la ciudad y del pais también se verán afectadas y que en caso de no estar debidamente preparadas, es decir, que si no cuentan con un plan probado de continuidad y recuperación del negocio, muy seguramente desaparecerán y con ellas una muy importante cantidad de empleo que afectará negativamente a las familias y por ende a la administración de Bogotá y del pais, ya que no solo estará el tema de lo relacionado con el desempleo, sino que el nivel de tributación caerá ostensiblemente y con él se afectará el desarrollo de la ciudad y muy seguramente retrocederemos severamente en el progreso que hemos logrado.
No es suficiente entonces, el tener planes de contingencia para prevenir y atender emergencias, se hace necesario cerrar el circulo mediante la exigencia obligada de que todos los empresarios diseñen, implementen y prueben sus planes de continuidad y recuperación que le aseguren a la administración capitalina y al pais en general, que el fantasma de un gran nivel de desempleo y pobreza no se presentará ante una catástrofe. Esto sí se constituye en una verdadera e integrada responsabilidad social.
sábado, 7 de junio de 2008
jueves, 5 de junio de 2008
Entrenamiento en Planes de Continuidad y Recuperación
Por esta razón y para llenar este vacío, he estructurado un curso de aproximadamente 30 horas de capacitación en donde de manera franca, participativa y abierta, enseño los fundamentos de esta disciplina, para que las empresas u organizaciones interesadas en hacer directamente e internamente sus planes BCP y DRP puedan hacerlo mediante la capacitación de un grupo de sus funcionarios.
Los temas destacados a tratar en la capacitación son:
· Planeación del Proyecto.
· Análisis de Riesgos.
· Análisis de Impacto, BIA.
· Formulación de Estrategias.
· Plan de Continuidad.
· Plan de Recuperación.
· Prueba del Plan.
Las empresas interesadas en esta actividad pueden contactarme al correo electrónico gerencia@silviogiraldo.com en donde gustosamente atenderé sus inquietudes y sugerencias.