Nos decía un viejo amigo y cliente: “Justo cuando la tormenta nos dejó sin electricidad, el compresor de emergencia entró en funcionamiento y pudimos por lo menos finalizar la producción del turno sin perder mucho material. Lo peor fue cuando la riada se acercó a los muros de la fábrica. Poco antes de que el agua empezara a entra se nos ocurrió poner los palets de cajas de producto terminado encima de cajones de madera que teníamos apartados para un envío delicado. No entró mucha agua, pero sino fuera sido por esos cajones, las perdidas hubieran sido muy grandes” Nuestro amigo nos hablaba, quizás sin saberlo, primero de su plan de continuidad y después de su plan de emergencia.
En este mundo COVID que vivimos en los estertores del año 2020, la mayoría de las empresas se han puesto a trabajar, desde sus unidades de riesgos, en la generación de los planes anti COVID 19.
Las más avanzadas han certificado estos planes con AENOR de cara a transmitir confianza entre sus grupos de interés y para captar conocimiento sobre la gestión de riesgo COVID del propio proceso de auditoría y muchas han enviado a sus profesionales a los cursos que Prysma imparte con AENOR al respecto.
En estos planes AENOR ha demandado para la certificación, entre otras muchas cosas, el desarrollo de planes de continuidad de negocio. Es cierto que se puede utilizar como referente en este capítulo la norma ISO 22301 Sistema de Gestión de la Continuidad de Negocio, pero quizás sea excesivo su traslado completo al protocolo COVID, pero no lo es, desde luego, utilizar algunos de sus conceptos y herramientas.
¿Qué es la continuidad de negocio? Un plan, definido, concreto, dimensionado y dotado de recursos, que permite abordar problemas (“incidentes disruptivos”) que podrían ocasionar que una empresa se viera obligada a detener sus procesos y actividades.
Aunque viene del mundo TIC y las famosas situaciones de “se ha caído la red” el concepto ya se ha extendido a casi todos los sectores y así de TIC pasamos a servicios públicos, a las denominadas utilities (servicios de agua, luz, gas, etc.) y ahora a casi todo tipo de empresa (alimentación, sanidad, etc.) Toda empresa necesita para sobrevivir, para evitar sanciones, para evitar deserciones de clientes, que sus procesos no paren o que si lo hacen la recuperación sea muy rápida.
Piensen en cómo nos quedamos de pasmados cuando la energía eléctrica nos falta en casa una noche de invierno, aunque sean solo unos minutos. No digamos si lo que se detiene es la señal de internet.
Parece lógico que un protocolo anti COVID incluya la previsión de las medidas necesarias para que los procesos no se detengan. Evidentemente para quien en marzo de este año ya se había adentrado en la digitalización, los efectos del confinamiento en sus niveles de producción y servicio fueron menores que los que no habían solo comenzado.
Creo que no exagerar si afirmamos que una buena parte de la AA.PP., española simplemente se paró. Hablar de teletrabajar en muchos funcionarios fue solo una expresión de buena voluntad, sin equipos, sin tecnología, sin formación, muchos de ellos permanecieron en sus domicilios esperando a que escampara. Aunque desconozco los interiores, pero siempre me sorprendió el cierre de las administraciones de lotería (cuando los estancos sí abrieron) y la cancelación de los sorteos, cuando es, y era, posible jugar on line. Sorprende no solo por el poco “pesquis” psicológico (la lotería es un escape de la presión para el españolito medio) del que dio la orden, sino también porque se esperaba que una compañía así, con el dineral que mueve, con los procesos automatizados, no estuviera mas digitalizada. Es un buen ejemplo de que la digitalización es un proceso transformador y no una mera compra de SW y HW.
Un plan de continuidad debe de recoger un análisis de riesgos específicos que puedan implicar la detención de las operaciones, como, por ejemplo:
- Perdida de recursos de información
- Bloque de acceso a las instalaciones por parte de los trabajadores
- Imposibilidad de movilidad de los trabajadores
- Bloqueo de servicios de proveedores clave (empresas de limpieza, de mantenimiento, de soporte SW, etc.)
- Caída de suministros industriales como agua y energía
- Caída de las telecomunicaciones
- Perdida de suministros (materias primas)
- Perdida de servicios logísticos
- Etc., un largo etc.
Antes estas circunstancias, se debe de hacer una valoración de criticidad, normalmente considerado el producto de la probabilidad de que algo ocurra multiplicado por su impacto en los procesos y priorizar en consecuencia los riesgos.
De cada uno de estos riesgos considerados ya significativos debemos definir (y dotar) medidas de corrección. Estas medidas deben de ser totalmente claras y determinadas, en continuidad de negocio no caben indefiniciones, tienen que ser medidas concretas, muy concretas.
Lógicamente para que el día que, por desgracia, estalla el problema, la mera definición de las medidas será insuficiente con facilidad. Vamos a necesitar que esas medidas se hayan adelantado al problema: debemos de tener instalados servidores gemelos, generadores diésel de electricidad, stock de seguridad de materiales, contratos firmados con proveedores alternativos, etc. Es decir, en el momento del incidente tengo que tener en la mano ya la solución. La forma de tener seguridad en estos planes es única: haga pruebas y verá si todo funciona y sino, pues a hacer cambios antes de que pase algo.
En ocasiones se confunde un plan de continuidad de negocio con los planes de emergencia y aunque cada uno puede enfocar las cosas como desee, hay diferencias entre ambos. En mi opinión la primera y principal es que el plan de emergencias arranca cuando el plan de continuidad de negocio se ve desbordado por el tipo de problema o por la intensidad del problema. Por eso el plan de emergencias, en general, no puede contemplar medidas concretas, porque de poder hacerlo éstas estarían en el plan de continuidad.
El plan de emergencias va a ser por tanto más genérico y va a pivotar sobre un comité de emergencias. Este comité estará formado por un numero adecuado de miembros (un equipo agile son 7-9 personas como mucho) con las siguientes características:
- Recoger todas las voces del proceso
- Disponer de recursos, regulares (sala de reuniones, mecanismos redundantes de comunicación, etc.) y especiales (principalmente poder gastar dinero de forma rápida)
- Disponer de autoridad reconocida, como equipo y como individuos, es decir, una combinación entre conocimiento y poder (por cargo)
- Contar con un especialista en comunicación de crisis, la tentación de tapar los problemas solo los agranda
No hay recetas, no hay trucos para las emergencias, porque como hemos dicho, las barreras iniciales se han desbordado. Podemos, debemos, tener un plan anti incendios, pero cuando éste fracasa, entramos en la verdadera emergencia. El incidente disruptivo de la continuidad se puede definir y medir, se le pueden poner medidas eficaces (definidas y claras, como hemos visto), cuando la intensidad (por ejemplo, la duración de un incidente no es lo mismo aguantar un par de horas con un equipo autónomo de generación eléctrica, que una semana) o cuando el tipo de problema nos sorprende pasamos a modo emergencia.
Y en modo emergencia, cuando todos los planes han fallado, vamos a tratar de minimizar el impacto sobre las personas, primero, y sobre el negocio, después, y vamos a tener que tirar de imaginación, de creatividad y, como no, de liderazgo.
Serafín Carballo es director de la división de Consultoría de Prysma.
Es Doctor en Microbiología Aplicada, MBA y scrum master. Profesor de Biotecnología desde hace mas de 20 años en la Universidad Complutense, también es el profesor titular de los Talleres de Protocolos ANTICOVID de AENOR.
Es uno de nuestros expertos en gestión de riesgos.