Guía práctica para desarrollar una estrategia de resiliencia operativa
Los riesgos operativos por definición tienen la capacidad de paralizar la producción de una organización. Como respuesta efectiva es preciso desarrollar estrategias de resiliencia operativa que integren procesos, personas y tecnología para garantizar un nivel mínimo de operabilidad.
La continuidad del negocio es un elemento de la resiliencia operativa. Pero la resiliencia va mucho más allá. No se trata tan solo de seguir operando. La clave es producir, pero a la vez, trabajar en la recuperación y mantener los estándares de Gobierno, Riesgo y Cumplimiento, para las organizaciones que trabajan sobre este marco de gestión.
Con empresas cada vez más expuestas a ciberataques, pandemias, desastres naturales, crisis financieras, guerras, conmociones sociales y políticas, entre otras amenazas disruptivas, la resiliencia operativa surge como la opción para mantener el control, aprovechar las oportunidades y fortalecer el negocio.
¿Qué es resiliencia operativa?
Es la capacidad que tiene una organización para sobrevivir al impacto de un evento disruptivo, adaptarse a nuevas condiciones, convertir el riesgo en oportunidad e iniciar de inmediato la recuperación.
La organización necesita resiliencia operativa para afrontar un corte prolongado de energía, un sismo o un ciberataque. El principio básico es prever los eventos y sus consecuencias y estar preparados para minimizar el impacto negativo, procurando que las consecuencias no se trasladen al consumidor.
¿Por qué es importante la resiliencia operativa?
La percepción que tendrán los clientes sobre una empresa que, además de seguir operando durante y tras un evento de alto impacto negativo, se convirtió en una fuente de valor para sus consumidores, justifica pensar y trabajar para incorporar la resiliencia operativa en el ADN de la organización.
Pero hay otras razones para explicar su importancia:
1. Crea un muro que impide la propagación del efecto dominó
Uno de los problemas que mayor preocupación provocan los riesgos operativos es el efecto dominó que producen. Sectores como Financiero y Sanitario lo han demostrado en el pasado. Las organizaciones que logran construir estrategias eficaces de resiliencia operativa actúan como un muro que impide la propagación del efecto dominó.
2. Cumplimiento regulatorio
Los Estados esperan que un mayor número de empresas piensen en estrategias de resiliencia para enfrentar riesgos operativos y las implementen con éxito. Sin embargo, es claro que, si este deseo forma parte de un escenario regulatorio, los resultados serán mucho más efectivos. El enfoque regulatorio en la Unión Europea se encamina hacia la aprobación de una Ley de Resiliencia Operacional Digital, como un primer paso que pronto se extenderá a otras áreas.
3. Crea un marco de tranquilidad para tomar mejores decisiones
La incertidumbre, apenas natural, con respecto a eventos que pueden literalmente acabar con una empresa, hace que la Alta Dirección sea cauta y en extremo moderada a la hora de planificar expansiones, inversiones o incluso programas básicos necesarios para la operación cotidiana.
¿Cómo construir estrategias efectivas de resiliencia operativa?
Los riesgos operativos son muchos, variados, proceden de diversas fuentes y el grado de impacto es difícil de pronosticar. Por eso es difícil creer que se pueden generar estrategias que garanticen la operabilidad y la capacidad de resiliencia.
Pero sí es posible hacerlo. Estos cinco pasos llevarán a cualquier organización a obtener estrategias efectivas de resiliencia operativa:
1. Identificar los servicios y funciones críticos clave
Es claro que en una situación de emergencia no todos los servicios que contrata u obtiene la organización adquieren el mismo valor. Existen funciones críticas de alto valor, debido al aporte que tienen sobre la producción del bien o la prestación del servicio que entrega la empresa a sus consumidores.
Este primer paso va un poco más allá de elaborar una lista de procesos, funciones o servicios. El equipo de Gestión de Riesgos necesita:
- Realizar un mapeo completo de los procesos, determinado la jerarquía de cada uno de ellos y la interrelación y dependencia entre ellos.
- Determinar los procesos, funciones y servicios que son esenciales, y el grado en que lo son.
- Elaborar un estudio predictivo que indique el grado de compromiso de cada servicio o función, de acuerdo con cada una de las amenazas consideradas.
- Crear un plan de sustitutos alternativos en un escenario de emergencia.
- Someter el mapa completo a la consideración de los propietarios de procesos o encargados de cada una de las funciones críticas, para obtener visibilidad completa y aportes nuevos que mejoren el plan.
2. Establecer indicadores de tolerancia al riesgo
Por muchas razones, la organización puede estar preparada para aceptar un riesgo determinado, pero no otro. Una organización de la misma industria, puede experimentar lo contrario.
Es importante que la organización establezca con qué puede lidiar y qué definitivamente no puede tolerar. Algunas acciones adecuadas son:
- Revisar los informes de Gestión de Riesgos sobre apetito de la organización y tolerancia a determinadas amenazas.
- Obtener indicadores matemáticos sobre el impacto real que la ausencia o el deterioro de un servicio o una función tiene sobre el consumidor.
- Crear escenarios hipotéticos para predecir el impacto real de cada riesgo, en cada área de la organización.
- Identificar la tolerancia real de la organización a un evento o a la ausencia de un proveedor, un contratista, un servicio o un suministro.
3. Identificar y comprender las dependencias en todos los sentidos
Un error frecuente en la Gestión de Riesgos operativos es obviar las dependencias y las interrelaciones entre procesos, personas y terceros. La resiliencia operativa no puede hacer a un lado las dependencias, y tiene que conocerlas y comprenderlas en los cuatro sentidos: arriba, abajo, a la derecha y a la izquierda.
El mapeo de procesos propuesto en el primer paso ayuda a entender las dependencias. En este tercer paso el objetivo es buscar dependencias externas de alta sensibilidad: proveedores, subcontratistas, elementos clave en la cadena de suministro y otros.
Las acciones recomendadas son:
- Automatizar la Gestión de Riesgos, utilizando una plataforma especializada en Gestión de Riesgos de Cumplimiento, que permita obtener un plano general de las interrelaciones que generan dependencia esencial.
- Crear una base de datos de sustitutos eventuales, que ya hayan pasado el filtro de la debida diligencia, y que se encuentren en diferentes ubicaciones para disminuir el riesgo de impacto negativo simultáneo del riesgo sobre esos terceros.
4. Crear escenarios de acuerdo con posibles fallas
Todos los planes tienen la posibilidad de fallar. Los de contingencia o de continuidad del negocio, dadas las condiciones en las que se ponen a prueba, son especialmente prolijos en fallas.
Las estrategias que buscan la resiliencia operativa también pueden fallar. Lo interesante es anticiparse a las fallas, y crear un plan B, para lo que fue diseñado para atender un evento disruptivo. Algunas ideas son:
- Revisar los informes históricos sobre lo que ha fallado en el pasado y cómo logró subsanarse el error. La experiencia ajena también es valiosa en este paso.
- Evaluar las estrategias con un grupo amplio de personas provenientes de diferentes áreas. La diversidad de enfoques enriquece la teoría y ayuda a blindar las estrategias con planes de contingencia alternativos.
- Considerar el apetito de riesgo para los planes alternativos.
- Comprobar la alineación de las nuevas estrategias con los objetivos de negocio de la organización.
- Validar la contribución que las estrategias aportan a la recuperación.
- Realizar escenarios teóricos y ejercicios de prueba. En lo posible, también simulacros.
- Identificar puntos débiles en el plan y en las estrategias.
5. Documentar el plan, comunicarlo y debatirlo con las partes interesadas
El plan no lo será hasta que no forme parte de un informe escrito, revisado y comunicado a todos los que tengan algún interés en él. La comunicación, y la forma en que se haga, son elementos importantes para el éxito de la estrategia.
Para lograr el objetivo es importante:
- Identificar las partes interesadas, internas y externas. Empleados, organismos estatales, proveedores de servicios esenciales, sustitutos alternativos, todos ellos forman parte de la estrategia y todos necesitan conocerla.
- Suministrar evidencia sobre la práctica de pruebas, exámenes y simulacros, y sobre los resultados que arrojaron.
- Documentar todo y mantenerlo disponible para consulta de los interesados.
Software ISO 37301 de ISOTools
Los planes de continuidad del negocio y las estrategias de resiliencia operativa necesitan ser una práctica sistemática en la organización. Para que esto sea así, es preciso procesar grandes cantidades de datos e información. El Software ISO 37301 de ISOTools es la herramienta ideal para afrontar el desafío.
La plataforma, basada en la nube, incorpora elementos de Inteligencia Artificial y Big Data, para garantizar el cumplimiento, pero también para diseñar estrategias realmente efectivas de resiliencia operativa. Todo lo haces con esta funcional solución.