Perspectiva del Consultor para la implementación de un SGCN

Introducción a un SGCN

En este artículo, Mike McDonald, consultor independiente de Sistemas de Gestión y formador, trata las principales cuestiones sobre implantación práctica de un SGCN desde la perspectiva de un consultor. Mike es tutor líder y examinador de LRQA, así como miembro del Instituto de Continuidad de Negocio y Director de Examinadores de CQI.

El documento redactado por Mike McDonals se complementa con la “Guía de LRQA – Perspectiva de LRQA para la Implementación de un Sistema de Gestión de Continuidad de Negocio” autoría de Margo Logie y Lyn Browne, ambos Auditores Líder. Ante cualquier consulta que le surja, puede contactar con Mike, enviando un correo electrónico.

Antecedentes de la Norma ISO 22301

El concepto de Continuidad de Negocio es muy simple; es la capacidad de la organización para garantizar la continuidad en la entrega de sus productos o servicios en los niveles predefinidos como aceptables tras un incidente disrruptor. 

Como una disciplina de gestión, ha ido evolucionando en las últimas décadas a través de diversas normas nacionales y de guías de buenas prácticas, incluida la norma BS 25999 de Reino Unido. Esto ha producido la publicación de la primera norma internacional sobre Continuidad de Negocio, ISO 22301:2013.

Madurez de los SGCN

ISO 22301:2013 se está posicionando como la base de las normas y guías de continuidad de negocio, para tratar todos los temas relacionados, tales como Directrices de actuación, preparación ante incidentes, respuesta ante emergencias, etc. De manera general, estos temas se centran en el término más bien abstracto de “Seguridad societal"; un concepto referido a las entidades externas de las cuales depende una organización, y que a su vez también dependen de ella. Cuando el concepto e implicaciones de la Continuidad de Negocio eficaz se propagan, ayuda a contribuir a una sociedad más resiliente.

Razones para la implantación de un SGCN

La Seguridad Societal, al igual que el Cambio Climático, es un tema tan general resultar difícil valorar los beneficios para una organización individual. A pesar de los importantes avances producidos en los últimos años en materia de conocimiento, tecnología y enfoque de gestión, las organizaciones parecen estar más expuestas que nunca a las disrrupciones. 

A pesar de haber aumentado la conciencia sobre la necesidad de adopción de Medidas de continuidad respecto a los incidentes más significativos, ya sean naturales, causados por la acción del hombre o accidentales; existen otros factores importantes a controlar, que incluyen los originados dentro de la propia organización, como por ejemplo: 

  • Externalización de procesos clave que se traduce en un aumento del riesgo de negocio, ya que la organización sufre una perdida parcial de control. 
  • Aumento de la dependencia de las cadenas de suministro, cuyos bienes se envían desde otros países a través de organizaciones de transporte cada vez más concentradas, que dejan a la organización expuesta a muchos riesgos externos.  
  • Recesión económica que ha producido un aumento de la inestabilidad; por ejemplo, el posible deterioro del stock de piezas de recambio o proveedores experimentados que pierden su puesto de trabajo por escasez de demanda. 
  • Creciente dependencia de soluciones IT, como por ejemplo Cloud-computing. 
  • Enfoque y dependencia excesiva de las comunicaciones basadas en torno a  teléfonos móviles, correo electrónico e Internet. 
  • Tendencia menos obvia a que el conocimiento corporativo crítico resida en un número reducido de individuos. 
  • Creciente deseo de preservación de activos intangibles, tales como la imagen de marca de una organización y su reputación.       
Estos ejemplos muestran como las presiones para que una organización sea más resistente provienen de varias fuentes: 
  • Dentro de la organización en sí, como de la Alta Dirección. 
  • Mayores requisitos del Gobierno Corporativo de reguladores y partes interesadas. 
  • Aumento de los requisitos de garantía de los clientes, que a menudo exigen derechos al comienzo del proceso de licitación. 
  • Requisitos legales (como los derivados de la Ley de Contingencias Civiles 2004). 
  • Exigencias de las Aseguradoras, que pueden incluir requisitos  previos a la concesión de la cobertura (y aun así, no todos los riesgos están cubiertos de forma automática, como es el caso de la denegación de acceso al edificio). 

Consejo 1 # 

Sea concreto y averigüe “qué aspecto gestionar”. ¿Cuál es el controlador para su organización? Alinee la razón de su SGCN con su controlador, y siga el plan establecido. 

Por lo tanto, lo lógico es intentar hacer la organización lo más flexible posible  implementando un Sistema de Gestión de Continuidad de Negocio claro; lo cual implica un enfoque sistemático para la identificación de posibles amenazas de la organización y de impactos relacionados a fin de desarrollar el marco para una mayor capacidad de recuperación en línea con el entorno de la organización y del riesgo.  

Es en este punto donde la norma ISO 22301:2012 encaja perfectamente, ya que proporciona el marco de trabajo y los detalles de los requisitos para ayudar a su consecución. Está diseñada en gran medida sobre los requisitos fundamentales de las normas ISO 9001:2008 y BS 25999-2:2007.  La primera contribución es sobre requisitos  genéricos de Sistemas de Gestión como: 

  • Marco de trabajo para la documentación del Sistema de Gestión. 
  • Concepto de Liderazgo. 
  • Necesidad de planificación, provisión de recursos y de un enfoque basado en procesos. 
  • Seguimiento del rendimiento y evaluación basada en hechos.  
  • Impulso de la mejora continua.    
Esta última es sobre aspectos técnicos tales como: 
  • Realización de auditorías de impacto y de riesgos. 
  • Requisitos para el desarrollo de las estrategias adecuadas en función del anterior punto. 
  • Diseño de planes para cumplir con las estrategias definidas. 
  • Concepto de que los planes son sólo teóricos a menos que estén probados. 
  • Desarrollo de procedimientos documentados para abordar aspectos específicos tales como la gestión de incidentes. 
  • Definición de estructuras para el control de incidentes. 

Integración con la Norma ISO 9001 de SGC

La norma ISO 22301 está estructurada ya sea para actuar como requisito de un SGCN independiente o para permitir la integración con un Sistema de Gestión existente, como por ejemplo uno basado en la norma ISO 9001. Esta es una excelente noticia para las organizaciones con un Sistema de Gestión de Calidad certificado, ya que gran parte del trabajo de implementación del SGCN ya lo tienen hecho. Pero este proceso no es instantáneo…¿por qué no?. A pesar de su popularidad, la norma ISO 9001 tiene sus debilidades. Su propósito es doble:
  • permitir que la organización demuestre su capacidad para proporcionar regularmente sus productos/servicios a clientes, a la vez que cumple con los requisitos regulatorios/legales aplicables, y 
  • mejorar la satisfacción del cliente.        

Es un poco débil en la definición de sus requisitos específicos. Aborda la necesidad de definir y priorizar procesos, definir controles, esforzarse por hacer que el sistema sea efectivo, etc. Todos estos aspectos son buenos, pero - debido a su naturaleza y objeto – son tan sólo débiles enlaces y referencias a las necesidades y estrategia de negocio, y cualquier enfoque basado en el riesgo necesita interpretación y un enfoque maduro para su implementación.  

En la práctica esto implica disponer de un sistema aplicable únicamente a organizaciones en correcto funcionamiento. Por desgracia, existen disrupciones en el día a día de una organización, como por ejemplo proveedores clave que quiebran, cortes en el suministro de energía, inundaciones en oficinas, pandemias que merman a la población, huelgas que paralizan el transporte de combustible, abandono de personas claves, etc.  

Es aquí donde existe una sinergia real. Un Sistema de Gestión basado en los requisitos de la norma ISO 22301 ayuda a las organizaciones a superar disrupciones en la actividad.  

La segunda debilidad de la norma ISO 9001 (de nuevo, debida a su propósito) es que está firmemente posicionada en el "nivel operacional", y mantiene una conexión muy débil con las necesidades de negocio más altos de la organización. Esto se refleja a menudo en una queja común entre los Representantes de Gestión que demandan mayor implicación de la Alta Dirección en el Sistema de Gestión de Calidad.  

Se han aprendido lecciones de la experiencia vivida con ISO 9001, que han sido aplicadas en la norma ISO 22301, la cual incluye varios requisitos a nivel de gestión estratégica. Recopilados bajo el título 'Contexto de la organización, estos requisitos establecen el escenario para un SGCN, garantizando que genera valor a las necesidades de la organización, tanto presentes como futuras.  

A menudo, esta puede ser una ardua tarea para el comité de implementación del SGCN, ya que tienen experiencia limitada y están expuestos a aspectos de negocio tales como técnicas de exploración del medio ambiente, requisitos de gobierno, influencias externas, relaciones de colaboración, flujos de información, decisiones estratégicas, riesgo de negocio y gestión del riesgos en general, etc.  

En mi experiencia, el 80% de las personas que conozco en el inicio de sus proyectos de implementación de un SGCN, desconocen los detalles de su propia estrategia de negocios y de los planes de su organización. Esto supone un problema, ya que si los factores externos e internos no  están conectados, se crea una incertidumbre que da lugar a riesgo en la organización, la información para el análisis de impacto de negocio no es fiable, las estrategias se desarrollan sobre suposiciones erróneas, y por lo tanto los planes elaborados son sospechosos. Por lo tanto, el plan crea una falsa sensación de seguridad  y producen la caída de la organización cuando más se les necesita. 

Consejo 2 #   

Actualice sus herramientas de gestión estratégica tales como PESTLE, SWOT, Análisis de Sensibilidad, etc, y si no las conoce, aproveche la oportunidad para aprender algo nuevo.  

Hay una percepción equivocada entorno a que ISO 9001 está únicamente relacionada con los procedimientos documentados. Por supuesto que esto no es cierto en absoluto. Los requisitos para los procedimientos documentados son mínimos, y el malentendido no es culpa de la norma. De hecho, el requisito más amplio sobre documentos es muy práctico y fácil de usar, pero a menudo se mal entiende. Afortunadamente, ISO 22301 lo soluciona sutilmente sustituyendo el énfasis de la documentación por información documentada, aunque, por supuesto, existe una demanda de procedimientos documentados específicos como cabría esperar.  

Consejo 3 #  

Como una parte clave de un proyecto de implementación de un SGCN, aproveche la ocasión para limpiar su SGC, especialmente la parte documentada de la misma. La actualización debe ser significativa y contribuir a la mejora de la capacidad de recuperación de la organización. 

Definición del Alcance del SGCN 

Todos los Sistemas de Gestión necesitan un Alcance claramente definido, pero definirlo para la continuidad de negocio puede resultar bastante difícil. Si bien la definición de los productos y servicios clave de su organización es bastante simple; la comprensión  total de cuales son las actividades de apoyo, y sus relaciones de dependencia (que puede incluir proveedores y actividades subcontratadas) puede resultar más complicada.  

Sin embargo, el alcance de un SGCN puede ser tan grande o pequeño como la organización requiera. Por lo tanto, suponiendo que no hay requisitos externos (como por ejemplo requisitos legales o contractuales, o alguna amenaza externa) que podría ser para un solo lugar crítico, un servicio en particular, una línea de productos, centrado en una cuenta clave, etc. 

Consejo 4 # 

En los primeros días, defina un alcance razonable: lo bastante pequeño como para ser manejable, pero lo suficientemente amplio como para generar un beneficio real para la organización. Defina las relaciones de dependencia y las exclusiones con claridad, y una vez que el SGCN esté implantado y hay extraído algunas conclusiones, amplíe el alcance de su organización en consecuencia. Esta estrategia puede resultar lenta al principio, pero en general el SGCN resultante será mucho más robusto. 

Riesgos

La norma ISO 9001 tan sólo hace mención al "riesgo" en dos ocasiones, en cambio en la norma ISO 22301 está presente a lo largo de toda su redacción. Esto conlleva un efecto de la incertidumbre sobre los objetivos, que puede ser positivo o negativo. Un elemento clave de esto es la necesidad de definir el nivel de riesgo aceptable para organización. Este es un aspecto cultural que influye en todas las estrategias, planes y respuestas adoptadas por una organización, ¿trabaja en una organización con aversión al riesgo, agresiva en riesgos, o algo intermedio?. 

Consejo 5 #   

No reinvente el sistema. Si ya utiliza una herramienta de gestión del riesgo concreta, como por ejemplo una matriz de riesgo de 5x5, continúe con ella. Le ayudará a integrarla aún más, y evitar alternativas confusas. Pero si no dispone de un marco de trabajo para la gestión del riesgo implantado, consulte la norma ISO 31000:2009 Gestión del Riesgo: Principios y Directrices. Si bien existe un debate considerable entorno al riesgo - incluyendo su definición - este es un buen punto de partida. 

Planes y Procedimientos

Suelen ser la parte más visible de un SGCN, por lo que los responsables de su definición suelen tender a su redacción, obviando el rigor sistemático de gestión de proyectos de en primer lugar entender las necesidades de la organización, identificar los temas clave, establecer los objetivos de CN, realizar un análisis de impacto y una evaluación de los riesgos relacionados, determinar las estrategias y recursos necesarios, etc... y una vez realizados estos pasos previos, comenzar a redactar los procedimientos.  

El objetivo de los procedimientos y planes es, por supuesto, gestionar los incidentes perturbadores para que la organización continúe operando en el nivel pre-definido, y una vez estabilizada, recuperarse de manera controlada.  

Aunque son las grandes catástrofes las que suelen acaparar titulares, son los temas mundanos los que causan más problemas para la continuidad de negocio en la mayoría de organizaciones, por lo que debe considerarse en la identificación de escenarios.  

Consejo 6 #   

Es tentador tratar de perfeccionar los planes antes de ser ejecutados, mantenerlos y diseñarlos durante meses. Pero realmente en ocasiones puede ser más beneficioso ejecutarlos una vez que se alcanza un nivel mínimo, la ventaja se explica a continuación.   

Planes poco realistas 

Como los planes giran en torno a posibles incidentes perturbadores, las probabilidades son que aquellos que no han ocurrido en un pasado reciente, y que por lo tanto dependen en gran medida de la hipótesis formulada, de la naturaleza del incidente así como de una serie de factores desconocidos (como por ejemplo el clima o reacción de las personas en un momento de crisis. Estas incógnitas hacen que los planes sean poco fiables, a menos que su valor sea demostrado en un grado. Por supuesto, esperar a que un incidente ocurra para constatar si un plan funciona, es ilógico y muy arriesgado, por eso es necesario poner a prueba los planes con antelación.  

Debe desarrollarse un programa de ejercicio para validar de forma sistemática los planes (así como los procedimientos, equipos, personas, acuerdos, activos y otros componentes). A menudo esto se hace aumentando los niveles de vigorosidad, a partir de simples comentarios de despacho, progresando a través de ejercicios de mesa/escenarios, probando diferentes componentes de los planes y, en algunos casos, cuando los beneficios superan con creces los riesgos, realizando una prueba completa.  

Con cada ejercicio o prueba realizada, se extraen lecciones aprendidas que contribuyen a alimentar el SGCN, y las posibles modificaciones posteriores, contribuyen a mejorar su capacidad de recuperación. Así, los ejercicios y pruebas pueden considerarse tan valiosos como la elaboración de planes, si no más.  

Consejo 7 # 

La participación de los auditores internos de SGC en los grupos básicos, puede ayudar a iniciar el desarrollo de los elementos críticos del SGCN. Sin embargo, el truco es involucrar a distintos empleados en la práctica de estos ejercicios, ya que un SGCN se inserta con mayor eficacia mediante la sensibilización, la confianza y la competencia de los trabajadores, que con un Comité de CN y un equipo de auditores.  

El método a elegir depende de que se quiera conseguir. SGCN recientemente desarrollados pueden hacer ejercicios en el nivel más simple, realizando una simulación, que es útil para poner a prueba la lógica y fluidez de la primera versión de los planes. Esta acción podría ser apoyada incluyendo ejercicios específicos para probar componentes concretos.  

Las simulaciones pueden realizarse cuando se requieren escenarios más complejos y realistas, para dar a los participantes la experiencia de una situación concreta en un entorno seguro, adquiriendo valiosa información sobre si el proceso funcionaría realmente. Por ejemplo, estar en una sala de reuniones pero trabajar en un escenario que simula una situación real, como por ejemplo simular que la oficina es físicamente inaccesible durante un tiempo concreto.  

Los ejercicios en vivo adquieren el más alto nivel de complejidad y realismo, incluyendo el aspecto físico en el ejercicio; por ejemplo declarando que la oficina está "fuera de control" y simular un traslado a una oficina en otra localización.  

A pesar de que los participantes sientan como “casi reales" estas simulaciones, la posibilidades de interrupción del negocio aumenta dramáticamente en la realidad. Los costos pueden aumentar fácilmente y afectar a los resultados empresariales reales durante el ejercicio. En la realización de un ejercicio o simulacro debe de tenerse cuidado para evitar reacciones adversas e incluso incidente real, ya que las consecuencias negativas pueden superar los beneficios obtenidos.  

Las organizaciones y el entorno en el que operan, están en constantemente cambio, por lo que los SGCN deben saber captarlo y reflejarlo. En consonancia, los ejercicios diseñados deben ser revisados periódicamente ​​para garantizar su validez y actualización, y que en última instancia funcionarán bajo cualquier condición previsible.  

Consejo 8 #   

Podría considerar la posibilidad de incluir a las organizaciones con las que trabaja en los ejercicios que corresponda. Esto es especialmente necesario cuando tengan una participación directa en sus productos/servicios críticos, como es el caso de principales contratistas, proveedores clave, etc. Esta opción aporta realismo a las acciones emprendidas y ayuda a la comprensión mutua.  

Por supuesto, debe de hacerse lo posible para asegurar que los planes son: 

  • tan simples como sea posible, para que puedan aplicarse con eficacia cuando las personas están bajo estrés. 
  • flexibles, de modo que puedan aplicarse directamente pero ser adaptados según sea necesario. 
  • actualizados, para que sigan siendo siempre pertinentes a la organización y su realidad. 
  • orientado a la acción, para evitar saturarlos con aspectos de planificación tales como BIA´s 
  • auditoría de riesgos, etc. 
  • estructurado, para que las secciones clave puedan encontrarse fácilmente.         

Consejo 9 #  

A menudo se cae en el error de elaborar los Planes de recuperación basándose en departamentos aislados, causando conflictos por los recursos y enfrentamientos entre departamentos, por lo que estos planes no funcionan correctamente justo cuando son necesarios. Por eso es recomendable que en el momento  de revisión y validación de los planes, los departamentos trabajen juntos para su análisis y mejora. Los conflictos por los recursos suelen estar muy presentes; por ejemplo por la necesidad de que cierta persona esté en dos lugares diferentes al mismo tiempo. 

Análisis de resultados de la implantación 

Así como la realización de ejercicios y la revisión de los planes, queremos auditar los distintos componentes de un SGCN para apoyar un enfoque holístico. Esto puede hacerse de distintas formas, desde entrevistas con la Alta Dirección para determinar sus proceso de pensamiento en la identificación de las estrategias de CN, para comprobar la validez del impacto en el negocio y los contenidos de la auditoría de riesgos, y garantizar que se recogen los 20 inputs para la revisión de la dirección del SGCN. 

Consejo 10 # 

Un aspecto de los SGCN que suele olvidarse, es que la mayoría de organizaciones pueden necesitar ciertos elementos físicos para gestionar incidentes o su recuperación frente una disrupción. Esto varía, pero puede incluir elementos tan básicos como una tarjeta de crédito de la empresa para pagar a proveedores, llaves de sitios alternativos/locales de apoyo, discos duros cifrados que contengan datos críticos de la organización, copias de certificados de seguridad, etc. 

Estos aspectos, junto con  las copias de los diversos planes, suelen mantenerse en una especie de caja  de seguridad o similar. Esto a menudo se olvida e incluso ni siquiera se sabe de su existencia, por lo es un excelente aspecto a en el programa de auditoría del SGCN.