Estamos publicando en #Prysma una serie de documentos que tratan de ayudar a algunos sectores a retorna a la actividad no ya cuando acabe por completo la crisis del COVID 19 sino a medida que las autoridades abran la mano (sin duda ante la debacle económica que nos ha venido encima) Son de lectura recomendable, pero no para seguirlos al pie de la letra, sino como inspiradores.
Estos planes de retorno son planes de gestión de riesgos, aplicables solo en esa, esperemos rápida, transición. Son planes de riesgos por necesariamente tienen que barajar un grado de incertidumbre muy importante, el que resulta del cociente salud de las personas / salud económica de la empresa. Siendo el primero, eso el primero, pero no el único, el segundo, la economía, es después la clave.
La incertidumbre cero solo se consigue en este caso cerrando la actividad. No hay otra. Todas las demás opciones suponen un nivel mayor o menos de riesgo, dentro de la capacidad que cada sociedad y empresa tiene de asumir riesgos. Este concepto denominado, extrañamente, en las normas como “apetito de riesgo” explica que en medio del desierto bebas agua de un charco inmundo y que en Madrid rechaces, con razón, una botella de agua mineral que no han abierto delante de ti. Es cierto que la expresión “apetito” no es la mas adecuada porque en el fondo nadie tiene apetito de riesgo (ni si quiera los que hacen puénting, esos tienen apetito de la sensación de riesgos, pero no del riesgo en sí)
Los planes de retorno tratan de dejar en mínimo el riesgo sanitario con la mayor actividad económica posible. El balance no se calcula con una formula, ni siquiera con un programa de SW, sino que se calcula mediante matrices que “nos ayudan a pensar” y decisiones de personas, que, lógicamente, lo harán mejor cuanto mayor conocimiento tengan. Los planes no pueden ser una copia de las recomendaciones ni de otra empresa, aunque sea del sector, los planes se deben de adaptar a la realidad de cada negocio: procesos, productos, instalaciones, clientes, usuarios, etc., La tentación del “copia y pega” es tan entendible como inútil.
El especialista en riesgos te ayuda con su equipo (no hay supermanes) en donde unas veces el biotecnólogo hablará y el experto en seguridad de la información callará y en otras ocasiones será al revés. Parte de la clave del éxito es sin duda, la prudencia, pero después y para alcanzar el máximo impacto, la creatividad y la innovación son básicas. Los equipos que creen haberlo visto todo y, especialmente, creen saberlo todo, son peligrosos, pues fácilmente puede subestimar algunos problemas e ignorar algunas soluciones que estén “fuera de la caja”.
Los planes de retorno pueden ser certificados por entidades como AENOR para aumentar la confianza de clientes y empleados. No creo que puedan tener una guía estricta, porque de un caso a otro, todo pueda variar, necesitan una visión de conjunto muy buena, con conocimientos de gestión de riesgos, trabajando en sectores que les sean conocidos. Una certificación así en este momento puede ser el diferencial para que un cliente ponga un primer pie en nuestra casa.
Pero ¿Y los planes de continuidad de negocio? Ah, eso es otra cosa, que muchas empresas echaron de menos el 13 de marzo de 2020. Los planes de continuidad deben de anticiparse a las crisis, identificando todos los factores de riesgo que un momento dado pueden hacer peligrar el funcionamiento normal de una empresa. Ahora es muy tarde para un plan de continuidad, ahora lo que hace falta es un plan de retorno, pero en cuanto éste funcione, hay que trabajar el de continuidad.
Me podrán decir, con acierto, que ningún plan de continuidad contemplaba la crisis del COVID 19 y, como digo, tienen ustedes razón. Lo que sí es verdad es que los planes de continuidad de negocio bien hechos sí contemplaban buena parte de los efectos de esta crisis y eso es lo importante.
Un plan de continuidad de negocio tiene preparadas respuestas ante problemas como:
- Rotura de la cadena de suministro (materia prima)
- Rotura de la cadena de distribución (producto)
- Caída de los servicios (agua, luz, comunicaciones)
- Perdida puntual de personas (no tanto por fallecimiento, sino por, sencillamente no poder acudir a trabajar)
- Restricciones de acceso de los clientes a la empresa, desde por inundaciones hasta por problemas sanitarios
- Planes de sustitución urgente de personas clave
- Etc.
Es cierto, no se cita al coronavirus, pero muchos de sus efectos estarán controlados. Como ven, la continuidad de negocio es un aspecto 360º, y no es solo, como en un muchos casos se ha interpretado un aspecto que afecta solo a los sistemas TIC, no, no solo a esos, sino a todos aquellos que nos permitirán producir y facturar.
Busque un buen equipo de riesgos y, acepte nuestro consejo, certifique el sistema. AENOR pone a disposición de la sociedad la norma ISO 22301 Sistema de Gestión de la Continuidad de Negocio. A través del ciclo de mejora continua (PDCA), establece los requisitos para la planificación, el establecimiento, la implantación, la operación, la supervisión, la revisión, la prueba, el mantenimiento y la mejora de un SGCN documentado teniendo en cuenta la gestión de los riesgos globales de cada organización y su capacidad de resiliencia.
Pero ¿Por qué certificar? Bueno hay muchas razones sanas y políticamente correctas, pero si me permiten el directo, creo que una certificación, con sus auditorías de seguimiento, hace que un sistema que normalmente, gracias a Dios, no tiene que funcionar, porque los incidentes no son habituales, necesita para estar “vivo” de esa presión, suave e inteligente, del auditor. Puede parecer una tontería, pero si las pilas de las linternas para las emergencias no se cambian todos los años, en el momento de urgencia estaremos a oscuras, la auditoria interna primero y la externa después, harán más fácil que cambiemos esas baterías.
Serafín Carballo
Director de consultoría
scarballo@prysma.es
