Y para ello, hoy vamos a hablarte del riesgo empresarial por antonomasia porque puede darse en cualquier sector de actividad, y si no se cuenta con la debida protección, puede herir de muerte a cualquier organización. Además, se ha visto agudizado con la pandemia de la COVID-19. Me estoy refiriendo a la interrupción de los procesos críticos de cualquier negocio, pero también a los planes de continuidad que aseguran la vida de una empresa cuando se producen este tipo de contingencias que paralizan su actividad. Para hablar de ello se encuentran conmigo Inmaculada Ramírez y Laura Nogueira, consultoras e integrantes de la Unidad de Gerencia de Riesgos de WTW que, por cierto, cumple 10 años. Enhorabuena, Inma y Laura, y gracias por estar aquí hoy.
LAURA NOGUEIRA: Hola, Alberto.
INMACULADA RAMÍREZ: Gracias a ti. Y nada, encantada de estar contigo y con la audiencia de este rato para hablar de continuidad de negocio.
ALBERTO RODRÍGUEZ: Qué bueno. Pues, mira, Inma, ya que justo estabas tú comentando, para romper el hielo, empiezo contigo. En pocas palabras, o con tus palabras, ¿podrías explicarnos en qué consiste un plan de continuidad de negocio?
INMACULADA RAMÍREZ: Pues, un plan de continuidad negocio digamos que es una respuesta previamente planificada y ensayada ante una interrupción significativa de la actividad como ya adelantabas en la introducción. En definitiva, comprende tanto la identificación como el desarrollo de las acciones, responsabilidades y procedimientos que nos van a ayudar a toda organización, una vez nos ocurre un incidente significativo y que interrumpe nuestra actividad, a recuperar los procesos y las actividades de la organización.
Sobre todo, efectivamente enfocándonos en aquellas actividades y funciones críticas para recuperarnos en unos tiempos aceptables y alcanzar un nivel mínimo de servicio que garantice que la actividad en un tiempo determinado se va a volver a recuperar al 100% o al menos a una situación que asegure la viabilidad futura de la empresa.
ALBERTO RODRÍGUEZ: La verdad que con todo lo explicado yo creo que queda claro la utilidad de este plan. Pero, bueno, aunque son un poco a perogrullo, te pregunto, ¿por qué es importante contar con este plan?
INMACULADA RAMÍREZ: Buena pregunta, Alberto. Efectivamente, como he comentado, el plan de continuidad de negocio permite a la organización recuperarse a ese nivel mínimo y garantizar su viabilidad futura, pero también es importante porque en un mundo globalizado como en el que vivimos y con lo que hemos vivido con la pandemia de la COVID-19, vemos como todo lo que nos ocurre nos repercute aguas arriba y aguas abajo de nuestra organización. En ese sentido, cada vez más nos encontramos con requerimientos por parte tanto de nuestros clientes como de nuestros proveedores para garantizarles nuestros servicios. Y esta garantía, en cierta medida, nos la da el tener un plan de continuidad de negocio.
Nos encontramos cada vez más con entidades que exigen a otras en esa cadena de suministro este plan de continuidad de negocio o incluso propias compañías aseguradoras que, además de las que no somos nada ajenos dado el sector al que pertenecemos. Las propias aseguradoras cada vez más reclaman a los asegurados que tengan este tipo de planes. ¿Por qué? Porque estos planes son los que garantizan que ante una interrupción nos vamos a recuperar un tiempo determinado. Por lo tanto, vamos a limitar todas esas pérdidas económicas tras un incidente a las que da respuesta un seguro, no una medida aseguradora. Así que, en ese sentido, es importante tanto para la propia organización como para todo el sistema del que formamos parte todas las organizaciones.
ALBERTO RODRÍGUEZ: Es un poco, hablando llanamente, la traducción empresarial de más vale prevenir que curar, sin duda. Y bueno, me imagino que en toda esta elaboración del plan habrá que llevar a cabo una serie de estudios. Y una de las partes más importantes de dicho plan es el business impact analysis, o en su sigla BIA, el análisis del impacto en el negocio que tendría este tipo de paralización o este tipo de contingencias. Entonces, Laura, ahora me dirijo a ti. Me gustaría que nos explicaras a mí y a la audiencia en qué consiste el BIA y qué debe reflejar para que sea efectivo.
LAURA NOGUEIRA: Muy bien, Alberto. Cuando hablamos de continuidad de negocio, hablamos muchas veces de sistemas de gestión de continuidad de negocio. Y como tú has dicho, una de las partes más importantes es el BIA. Y el BIA tiene como objetivo identificar la criticidad de cada actividad llevada a cabo por las organizaciones. Mediante ese BIA, hacemos la evaluación de impacto en el tiempo causado por la interrupción, las que ya ha mencionado Inma.
Cuando hablamos de impactos para evaluar a nuestros BIAs nos referimos a diversos tipos de impactos que pueden ser desde un punto de vista operacional, económico, legal, reputacional. Estos son algunos ejemplos, porque cada metodología de análisis de impactos está hecha ad hoc para cada empresa. Entonces, la norma, que es la ISO 22301, que tiene como base el sistema de gestión de continuidad de negocio, no nos determina una metodología específica. Y entonces nosotros adaptamos para cada empresa, cada organización.
En los BIAS es muy importante poder identificar los procesos críticos de la organización, que deben ser priorizados de cara a la recuperación de las actividades productivas tras la materialización del riesgo e interrupción significativa de la actividad. Cada proceso tiene recursos críticos o no críticos que son necesarios para que el proceso esté operativo.
De hecho, hay recursos que pueden ser incluso un cuello de botella para cada organización. Y esos recursos deben estar debidamente identificados cuando hacemos el BIA en el análisis. Y cuando yo digo recursos, me refiero a personas, equipos, instalaciones, maquinarias, otros. Entonces, ese análisis debe ser hecho, puede ser hecho, en toda la organización o no.
ALBERTO RODRÍGUEZ: Tiene mucho sentido, Laura, lo que comentas, porque está claro que no todos los recursos, o no todos los procesos, mejor dicho, van a impactar decisivamente en lo que sería la actividad. Y, por tanto, hay que seleccionar cuáles son los que son condicionantes reales. Y también que cada proceso que, o, mejor dicho, que cada empresa, que cada sector tiene sus propios problemas, sus propias características. Pero hablabas de una norma internacional, un marco, el legislativo que nos permite basarnos para hacer este análisis. ¿Cómo se realiza entonces un BIA?
LAURA NOGUEIRA: La norma que te he dicho efectivamente se refiere al sistema de gestión de continuidad de negocio, que es la 22301, que es certificable. Cuando tú me preguntas, ¿cómo se realiza un BIA Hay una norma, que es la ISO 22317, que es la guía práctica para realizar un BIA. Y esa es la que nos da la base para hacer el BIA. Es muy importante decir que el BIA no es una actividad que se debe realizar una sola vez.
Debe ser revisado con periodicidad, definida cuando se establece el sistema de gestión de continuidad en las empresas o cuando ocurra algún cambio representativo en el proceso. Puede ser una venta de parte de la empresa, cambios de proceso productivo. El BIA considera tanto productos o servicios.
Así que todas las empresas, todas las organizaciones pueden hacer su sistema de gestión de continuidad de negocio. Los BIAs se realizan a través de entrevistas con los responsables donde se obtienen las descripciones de todos los procesos productivos o de servicios, su respectiva criticidad de la continuidad de las actividades de la empresa y los límites temporales. El nivel de detalle de cada BIA debe analizarse de acuerdo con la actividad de cada organización, porque se diferencia mucho una organización de servicio y una de producción, una industria. Y, además de eso, el tiempo de recuperación es de cada actividad también. Es muy diferente hablar del tiempo de recuperación de un banco con una empresa productiva de maquinarias grandes.
ALBERTO RODRÍGUEZ: Totalmente.
LAURA NOGUEIRA: Como he dicho antes, son análisis muy ad hoc que se tiene que hacer de cara a cada empresa con un alcance definido. La norma no te dice que tienes que hacer en toda la empresa inicialmente. Te puedes restringir el alcance del sistema de gestión de continuidad de negocio, a una filial, un proceso productivo, ir ampliando de acuerdo con la necesidad de cada empresa.
Además del BIA es muy importante decir que cuando se analizan los procesos se identifican los recursos de cada proceso. Cuando digo recursos digo información, materiales, personas que son necesarios para realizar cada proceso. Y esos recursos serán la base para el análisis de riesgos que se dará en continuidad en las próximas etapas del sistema de gestión de continuidad de la cuestión.
ALBERTO RODRÍGUEZ: En definitiva, ¿qué hay que ser? Un especialista para poder llevar a cabo un BIA que se ajuste realmente a las necesidades de cada empresa, este análisis adhoc. Y como especialistas que sois, Inma y Laura, os pregunto. Una vez hecho el BIA, ¿cómo identificamos estos diferentes escenarios de interrupción?
INMACULADA RAMÍREZ: Pues, retomo donde dejaba Laura justo la cuestión. Y para contestar a tu pregunta, Alberto, que es muy oportuna, porque efectivamente los escenarios de interrupción los obtenemos del análisis de riesgos que hacemos sobre los recursos críticos de cada proceso crítico que ha nombrado Laura anteriormente, que hemos obtenido en el BIA.
Entonces lo que hacemos es evaluar diferentes tipos de amenazas que pueden causar la indisponibilidad del recurso necesario para llevar la actividad o el proceso que se está analizando. ¿A qué nos referimos con amenazas de indisponibilidad? Bueno, amenazas que apliquen a una indisponibilidad masiva del personal, una disponibilidad de accesos a nuestro lugar de trabajo sea una fábrica o sea una oficina. Una indisponibilidad de los sistemas informáticos.
Entonces, esas son el tipo de amenazas que evaluamos. Hacemos un análisis de riesgos bastante... puede ser bastante sencillo. Ya que como decía antes Laura, la norma ISO 22301 no nos limita en ese sentido, sino que dice, oye, tienes que analizar, hacer un análisis de esas posibles causas de interrupción, pero no te dice cómo hacerlo exactamente. Entonces puedes utilizar cualquier metodología de riesgos que ya tenga instaurada la organización como una simple probabilidad de ocurrencia de la amenaza e impacto en caso de que esta amenaza ocurra.
Entonces, una vez que hacemos esa evaluación de riesgos sobre los recursos críticos, obtenemos esas posibles situaciones que pueden causar la interrupción del proceso y que es lo que llamamos los escenarios de interrupción. Es decir, con este proceso, digamos que todo tiene una explicación, el análisis de impacto en el negocio nos ha permitido identificar procesos y recursos críticos. Y el análisis de riesgos de continuidad de negocio nos va a permitir establecer cuáles son las posibles causas de disponibilidad de esos recursos críticos que pueden llegar a parar el proceso crítico previamente analizado en el BIA.
LAURA NOGUEIRA: Es importante decir que, así como los BIAs, el análisis de riesgos tiene que ser revisado con periodicidad, porque todo eso que estamos diciendo, el sistema de gestión de controlador de lenguas en las empresas es algo que tiene que ser vivo, cambiante, de acuerdo con los cambios que se producen también las actividades de las empresas.
INMACULADA RAMÍREZ: Efectivamente. Como bien apunta Laura, y estamos hablando en varias ocasiones del sistema de gestión porque es lo que define la ISO 22301 pero al margen de que la organización lleve su plan de continuidad de negocio de acuerdo con esta norma o no en mayor o menor medida, se certifique o no. Indistintamente, lo que está claro es que todos los planes de continuidad de negocio y todos los análisis que hay detrás y que nos llevan a ese plan, como veremos, es necesario que estén actualizados convenientemente en todo momento. Porque si no, el día que nos ocurre el desastre y el siniestro, si no lo tenemos actualizado, difícilmente vamos a responder convenientemente.
ALBERTO RODRÍGUEZ: Está claro. Las circunstancias son cambiantes y un plan de continuidad tiene que estar actualizado en todo momento. Y como decía Laura, tiene que ser un documento vivo que vaya incorporando esas nuevas medidas que hagan posible prevenir ante esas amenazas y esos riesgos que venimos comentando. Algunos de ellos muy comunes, como el tema del fallo de los sistemas informáticos. Pero para ayudarnos a entender, tanto a la audiencia como a mí, ejemplos o casos, reales que hayáis visto vosotras en el ejercicio de vuestro trabajo con clientes, podréis contarnos alguna historia o algún ejemplo, ¿valga la redundancia, que nos ayude a entender y a concretar un poco mejor la realidad de este tipo de situaciones?
INMACULADA RAMÍREZ: Por supuesto, Alberto. Tenemos ejemplos varios. Y contamos con la confianza de los clientes con los que lo hemos vivido in situ prácticamente para poder contar en cierta medida lo que les ha ocurrido y cómo han respondido con esos planes de continuidad de negocio que tenían desarrollados y ejecutados. Voy a empezar con un ejemplo que la audiencia puede encontrar hasta un vídeo, varios en YouTube, llegó a salir en las noticias de una grúa de caída en el Puerto de Valencia, en una terminal marítima de transporte de carga marítima.
Os pongo en situación. Estábamos desarrollando el proyecto de plan de continuidad negocio con esta empresa. Ya habíamos realizado los BIA de los diferentes procesos, los análisis de riesgos y teníamos una serie de escenarios de interrupción y habíamos incluso elaborado los correspondientes planes de recuperación que dan respuesta a esos escenarios de interrupción. Y lo que vimos al vivir este accidente durante el propio proyecto es que los tiempos que se habían establecido en el BIA, y a los que tenía que dar respuesta a ese plan de recuperación, eran demasiado optimistas.
La realidad nos demostró el que ocurriera este hecho que había que ampliar esos tiempos, y eso es lo que hicimos, lo que hizo el cliente. Reformular, digamos, tanto el plan de recuperación como los tiempos que se habían establecido en el BIA. Y esto, dices, entonces este plan estaba mal hecho. No es así. Sino que todo plan de continuidad de negocio, todo plan de recuperación tiene que ser probado, porque efectivamente uno en un análisis previo, como los análisis que se hacen, puede ser a veces más pesimista, más optimista, pero no lo ha vivido. Y entonces cuando uno lo prueba y lo pone en marcha, se da cuenta de si ha sido más objetivo o menos objetivo en el análisis.
Y esto demuestra que un plan de continuidad de negocio tiene que estar en continua renovación, y que es vivo, como se ha comentado, porque tanto en las pruebas como casos reales como este te hacen sobrescribir, reescribir tanto las actividades de recuperación como esos tiempos que se habían calculado. Y esto nos ocurrió, ya os digo, en un proyecto que estábamos ejecutando.
También tenemos algún otro ejemplo de haber hecho un plan de continuidad de negocio que da respuesta a una serie de escenarios de interrupción. ¿Y qué ocurre? Que al cliente le ocurre un siniestro y un incidente que no está contemplado como escenario de interrupción, y esto puede ocurrir.
¿Por qué? Porque el 100% de los posibles riesgos y escenarios de interrupción muy difícilmente van a estar bajo el paraguas de nuestro plan de continuidad de negocio. De hecho, como decía Laura antes, ni siquiera la norma te exige que el alcance del plan de continuidad de negocio sea el 100% de la organización, ni el 100% de los escenarios. Siempre nos puede ocurrir algo que no teníamos contemplado.
Pero, este cliente, con su testimonio que, además también es público porque ha participado con nosotros en algún otro foro de riesgos, explicaba claramente cómo tener un plan de continuidad de negocio previamente definido y unas estructuras de recuperación previamente establecidas, e incluso una gestión de crisis desarrollada previamente, les ayudo a responder ante este incidente que no tenían contemplado entre esos escenarios de interrupción y que por lo tanto no tenía un plan específico, pero todo el estudio que habían realizado les ayudó para responder de una forma más efectiva y limitando, como decimos siempre, al máximo la improvisación. Y, bueno, luego, efectivamente, hay otros ejemplos por todos conocidos, ¿verdad, Laura?
LAURA NOGUEIRA: Yo creo que un ejemplo muy claro para nosotros es lo que hemos vivido ahora con el COVID. El teletrabajo. Ha sido el plan B para muchas empresas. Y cuando decimos planes de recuperación y vuelta a la normalidad, esa vuelta a la normalidad puede no ser la normalidad que vivimos antes. Muchas empresas ahora han adoptado el teletrabajo como la nueva normalidad. Entonces, en esos momentos, las empresas replantean, ¿cuál es la mejor estrategia?
A lo mejor el momento que he usado mi estrategia para el escenario es la mejor estrategia para seguir adelante, garantizando mi productividad. Entonces, un plan de continuidad de negocio, un sistema de continuidad de negocio es cambiante de acuerdo con la necesidad de la empresa y puede efectivamente producir esos cambios hasta estructurales.
ALBERTO RODRÍGUEZ: Hay mucho de cierto en esto último que comentas, Laura. Porque desde luego, la situación vivida con la pandemia de la COVID-19 es algo que... bueno, que yo creo que no se podía prever, en un análisis si nos lo hubieran dicho hace unos años, en todo el mundo. Y luego también reflexionando sobre los ejemplos que ponía Inma, me di cuenta que además de las propias lecciones aprendidas de los clientes, este conocimiento contribuye a mejorar un poco esas bases de datos-- quiero decir, estos estudios-- No sé ahí, corregidme si me equivoco, se nutren probablemente de una serie o de factores de seguridad o de alguna ingeniería de datos o ingeniería de riesgos que dará una probabilidad o que este conocimiento en base a lo que se puede estimar o suponer una paralización debido a un elemento X, cuando se constata en la realidad, se puede contribuir a la mejora de ese conocimiento que es compartido en los procesos.
Y muy curioso también ese porcentaje que el que hacía alusión Inma también de que la norma no te obliga a ir al 100% de los casos, que también lo decía Laura. Y que no sé cuánto sería, no sé en cuánto podríamos cuantificar, si es un 20% el que se escapa o un 10% el que se escapa, pero este cliente que gracias al plan de continuidad consiguió contemplar ese escenario que no lo tenía contemplado.
INMACULADA RAMÍREZ: Sí. Efectivamente, como comentas, Alberto, no podemos decir que haya un porcentaje fijo porque eso depende de cada organización en ese sentido de hasta dónde quiere que llegue el alcance de su plan de continuidad de negocio. Y es que es perfectamente viable que una organización decida hacerlo. Una fábrica que produce alimentos en línea y que decida decir, oye, pues, yo me voy a centrar solo en X líneas de producción porque las considero críticas para mi supervivencia. Otro cliente puede decidir, otra empresa puede decidir, yo, según la ubicación geográfica, lo considero más críticos.
O sea que el criterio es muy variable, digamos, y que se fija muy en función de la idiosincrasia de cada organización. Lo que vemos con el ejemplo de este cliente es que realmente, aunque no esté contemplado, siempre te ayuda el haberte hecho ese estudio y todos esos análisis previos a la hora de responder a cualquier tipo de incidente.
ALBERTO RODRÍGUEZ: Sin duda. Bueno, yo creo que con todo lo que hemos hablado en este rato hemos abordado aquello relacionado con el análisis del impacto en el negocio que una parada de la actividad tiene sobre él. Y toda la primera parte, digámoslo así, del plan de continuidad, pero todavía nos quedaría una segunda parte que involucra a los planes de recuperación y a la vuelta a la normalidad o a la nueva normalidad. El concepto que está de moda un poco por lo que... es lo que se desvela de vuestros comentarios y vuestras palabras.
Y si os parece, Inma y Laura, os emplazo a otra sesión en la que podamos seguir conversando sobre estos temas y podáis explicarnos cómo culmina el plan de continuidad. Gracias por vuestro tiempo.
LAURA NOGUEIRA: Muchas gracias.
INMACULADA RAMÍREZ: Gracias. Y nos parece perfecto.
ALBERTO RODRÍGUEZ: Os espero entonces. Y a los oyentes de Riesgos 360º, como siempre, daros las gracias por vuestro apoyo y os esperamos en un nuevo episodio para seguir hablando de riesgos emergentes y, sobre todo, cómo proteger a nuestras organizaciones de ellos.
LOCUTOR: Gracias por escuchar Riesgos 360º.
Recuerda que puedes encontrar más contenido sobre gestión de riesgos en nuestro blog Willis Towers Watson Update y en nuestro canal de LinkedIn y Twitter. Anticípate y convierte el riesgo en un camino hacia el crecimiento.
