Por Alejandro Rosa – PwC Argentina

Alejandro RosaRecuerdo una anécdota de mis inicios en PwC. En mi primera visita a un nuevo cliente, fui acompañando al socio de la firma que estaba a cargo de la auditoría. En un momento de la conversación con el CFO, el socio le preguntó si tenían un Plan de manejo del Riesgo de Continuidad de los Negocios ante contingencias (Business Continuity Plan o “BCP” por su sigla en inglés). El CFO se acomodó en la silla y con una sonrisa le contestó: “Por supuesto, lo desarrollamos hace 5 años…”, a lo que el socio le contestó: “Yo le sugeriría que lo revisen, a 5 años vista es probable que no sirva de mucho”.

Si esto sucedía hace 15 años, imagínese ahora. El menú de las situaciones contingentes que pueden sucederle a las empresas y afectar la continuidad de sus negocios se ha multiplicado exponencialmente.

Las razones? Varias… pero sin dudas pueden resumirse en dos principales:

1)      El ambiente en el que se desarrollan los negocios se ha complejizado. Solo basta con nombrar algunos términos que seguramente nos ayudarán a comprender esto: Globalización, inestabilidad política, crisis financiera mundial, cambio climático, etc..

2)      Las empresas se han convertido cada vez más en entes interconectados. El uso cada vez mayor de organizaciones prestadoras de servicios para tercerizar procesos (outsourcing) y el desarrollo de cadenas de suministros más extensas y complejas han acentuado esa interconexión.

Un ejemplo del “efecto dominó” de ambas causas interactuando juntas: En 2011, un terremoto y posterior tsunami sacudió Japón en marzo y las inundaciones afectaron Tailandia en octubre, lo que provocó que se tuvieran que cerrar las plantas locales de producción de computadoras y las plantas automotrices, interrumpiendo las cadenas mundiales de suministros de ambas industrias, dos de las más importantes del mundo de hoy.

Con el paso del tiempo, las empresas han ido también cediendo cada vez en mayor medida el control directo sobre sus operaciones de tecnología de la información (o “IT” por sus siglas en inglés). En ese proceso de cambio, la gran mayoría de las organizaciones han transferido las aplicaciones informáticas críticas desde computadoras no interconectadas hacia redes internas. Otras han dado más pasos aún, ya sea tercerizando esas operaciones o inclusive mudándolas a la “nube”.

Como resultado de esto, las organizaciones se han vuelto cada vez más dependientes de los sistemas informáticos y a las tecnologías de red. Una interrupción de esos sistemas puede ser catastrófica para un negocio.

El manejo del riesgo de Continuidad de los Negocios se trata de estar seguros de que la organización está preparada para sobrevivir a un evento catastrófico ya sea natural o causado por el hombre, en un solo evento o en un encadenamiento de ellos. Está basado en cuatro pilares fundamentales:

  • Respuesta a la emergencia: Facilitar y organizar la respuesta de la organización durante una emergencia en el lugar de trabajo. Activar los procedimientos de seguridad para proteger a todo el personal y las eventuales visitas.
  • Recuperación: Poner nuevamente en funcionamiento los sistemas de administración del negocio, los equipos que los soportan, los servicios de infraestructura de sistemas y los datos afectados por el incidente.
  • Continuidad de los negocios: Recuperar y apoyar las funciones de negocios críticas para mantener un nivel de actividad aceptable durante el incidente.
  • Plan de contingencias: abordar cuestiones de riesgo específico que requieren un tratamiento o análisis especial.

Es un hecho que nadie puede estar preparado para todos los riesgos externos o internos existentes. De hecho, aunque fuera posible, los costos para mitigarlos serían enormes. Por lo que las organizaciones deberían dirigir sus esfuerzos y recursos en estar preparada para afrontar aquellas amenazas con mayor impacto potencial.

En ese marco, la cadena de suministros merece una atención especial. El riesgo de una disrupción es claramente endémico en cualquier cadena de suministros globalizada. Es por eso que algunas compañías revisan continuamente sus cadenas de suministros para hacerlas más ágiles y flexibles. Sabiendo que quizás la una eventual falta de acceso a un componente crítico impacta en la producción (y por ende en las Ventas), las compañías construyen salvaguardas para estar preparadas ante esta eventual situación.

En el último tiempo se observa un cambio de paradigma en la forma de afrontar estos temas. Las organizaciones cada vez se focalizan menos en las causas y en calcular las probabilidades de ocurrencia para centrar su atención en las eventuales consecuencias e impactos para su negocio. Cuando se focaliza en las consecuencias y en cómo responder a ellas, se puede lograr un plan más concreto y estratégico. Además, este enfoque requiere el involucramiento de diversas áreas y especialistas (estrategia, operaciones, manejo del riesgo, manejo de crisis, entre otros), para el armado de la estrategia de continuidad de operaciones. Por el contrario las organizaciones que aún siguen el enfoque de las causas y las probabilidades, suelen terminar en análisis de naturaleza más teórica, y con la participación casi exclusiva de especialistas en administración del riesgo.

¿Qué papel tienen los directorios en este tema?

Sin dudas, fundamental. El manejo de riesgo de continuidad de los negocios, no es sólo una parte del proceso de administración de riesgos, es también una parte de la estrategia empresarial.

Como siempre decimos en nuestras columnas, la mayor virtud de un director es hacer las preguntas correctas.

En relación al manejo del riesgo de continuidad de los negocios, algunas preguntas correctas son, a nuestro juicio:

  • ¿El plan de manejo del riesgo de continuidad de los negocios de la organización, aborda adecuadamente la exposición a los riesgos relacionados? ¿Para qué tipos de contingencias estamos preparados?
  • Ante los consecuencias mapeadas como críticas, ¿El plan aborda balanceadamente tanto la sustentabilidad a largo plazo como la supervivencia en el corto plazo?
  • ¿La estrategia incluye la tecnología de información tercerizada, las plantas productivas y los terceros clave?
  • ¿El área de Sistemas ha realizado correctamente el análisis de qué sistemas y procesos deben ser cubiertos para asegurar la continuidad del negocio?
  • ¿El plan de manejo del riesgo de continuidad en los negocios ha sido evaluado por terceros especialistas en la materia? ¿Es viable certificarlo respecto de las mejores prácticas?

Por último, el plan de continuidad de los negocios no debe ser un bonito documento para el cual se dedican horas de trabajo para luego guardarlo en un cajón hasta el día que se necesario utilizarlo. Es imprescindible revisarlos en forma contínua y hacerle los ajustes y modificaciones que sean necesarias ante los cambios internos de la organización, de sus negocios y del entorno en el que se desenvuelve.  Por eso el Directorio debe incluir en su agenda asegurarse no solo de su existencia sino también de su contenido y de que se encuentra actualizado.

En definitiva, que no nos pase como aquel CFO de la anécdota…