Helen Molyneux comenta sobre el Informe de Resiliencia Operativa 2022, que fue publicado recientemente por el BCI y pregunta si el informe ha aumentado la confusión en la profesión sobre la continuidad del negocio y la resiliencia operativa.

Después de haber leído el Informe de Resiliencia Operativa 2022 (1) del ICC, me siento obligado a cuestionar algunas de las conclusiones.

Está claro que, con la aparición de la «resiliencia» como concepto, hay una falta de claridad en las diferencias entre la resiliencia organizacional y la continuidad del negocio, y el agua se ha enturbiado aún más por las referencias en los últimos años a un nuevo término, «resiliencia operativa». Este informe podría haber presentado una oportunidad para cierta claridad y coherencia, pero en este breve artículo, propongo que, en cambio, el informe ha creado confusión adicional y, en algunos casos, denigrado la experiencia de los profesionales de la continuidad del negocio.

Comenzaré con un breve antecedente para dar un contexto histórico basado en mis propias experiencias dentro de la industria. A continuación, analizaré algunos de los contenidos específicos y las aparentes contradicciones del informe, antes de destacar mis conclusiones y preocupaciones.

Contexto histórico personal

Me uní a la profesión de gestión de continuidad del negocio (BCM) en 2001, inicialmente como parte de un rol de planificación de emergencia de la autoridad local, antes de transferirme a puestos más enfocados en BC. Por lo tanto, he visto la transición y la estandarización de la industria, desde los primeros días de PAS 56 (2) ese glorioso documento cargado de siglas que primero dio una estructura a la continuidad del negocio, hasta el BS25999 (3) y, más recientemente, el ISO 22301 (4) (5).

Tengo recuerdos claros de la discusión y el debate sobre elevar el perfil de la continuidad del negocio, con muchos expresando su preocupación de que el título de la profesión no era muy atractivo o «sexy», y que no hubo un fracaso para ganar tracción con la alta gerencia. Muchos expresaron su preocupación de que BC nunca se convertiría en un papel de «c-suite» y se esforzaron por ampliar el alcance para garantizar que se pudieran obtener puestos más altos. Además, los del sector público y del tercer sector estaban dispuestos a señalar que no hacían BC, sino que se centraban más en la «continuidad del servicio».

Gradualmente, el término «resiliencia» se convirtió en una característica más en las discusiones, sin ser claramente definido dentro de estas discusiones. BS25999 definió ampliamente la resiliencia como «la capacidad de una organización para resistirse a ser afectada por un incidente». Una definición actualizada se puede encontrar en ISO 22300 (6) como la «capacidad de absorber y adaptarse en un entorno cambiante».

Los muchos debates en torno al papel de la continuidad del negocio dentro de una organización llevaron a algunos a pedir una contribución más amplia a una resiliencia empresarial más general, como reaccionar a los cambios del mercado, y más allá de esos eventos «catastróficos» que generalmente se consideraron para fines de planificación de BC. Esto, personalmente, siempre parecía un poco más allá del alcance de un papel de continuidad del negocio y entrar en el papel que tradicionalmente estaría cubierto por, por ejemplo, los CFO y los COO, la mayoría de los cuales podría sugerir con seguridad que tendrían una mayor experiencia en el manejo, por ejemplo, de las oscilaciones en los mercados. Sin embargo, se formó el concepto de «resiliencia organizacional» y con él, naturalmente, otro estándar (7).

La resiliencia organizacional se ha definido dentro de la norma ISO 22316 (7), y es claramente bastante distinta de la gestión de la continuidad del negocio. En este artículo, por lo tanto, no propongo mirar el contenido y el contexto de la resiliencia organizacional. En cambio, tengo la intención de examinar más lo que parece convertirse en una terminología más frecuente, sin definirse… «resiliencia operativa». El uso del término parece estar liderado en gran medida por el sector financiero, en particular la Autoridad de Conducta Financiera (FCA) en el Reino Unido, y esto se reconoce en el informe de BCI. Sin embargo, como también se reconoce en el informe, no existe una definición convenida para este concepto.

¿Se ha equivocado el BCI?

El director ejecutivo del Business Continuity Institute (BCI – UK) sugiere en el informe que la resiliencia operacional es independiente de la continuidad del negocio, concluyendo que «más comúnmente el Director de Operaciones, es responsable de defender los programas de resiliencia operativa, la implementación y la gestión diaria de la resiliencia operativa con frecuencia recae sobre los hombros del Jefe de Continuidad del Negocio. Esto ha llevado inevitablemente a cierta confusión; «La resiliencia operativa es solo la continuidad del negocio bien hecha» fue una frase repetida a menudo por los encuestados en el transcurso de este proyecto. Como resultado, este informe busca definir la diferencia muy real entre las dos metodologías de resiliencia interrelacionadas». Este descarado desprecio por la experiencia de algunos encuestados es sorprendente.

Si desglosamos algunos aspectos diferentes de los hallazgos del informe, este artículo demostrará que la «continuidad del negocio bien hecha» es, de hecho, una resiliencia operativa efectiva.

El informe sugiere que «la continuidad del negocio se centra en hacer que los procesos vuelvan a funcionar en una escala de tiempo acordada. La resiliencia operativa se centra en el principio de tener que poner en marcha un proceso antes de que cause un daño intolerable a la empresa, sus clientes o sus pares». Tal vez los autores deberían considerar la definición de continuidad del negocio dentro de ISO 22301: la «capacidad de una organización para continuar la entrega de productos y servicios dentro de marcos de tiempo aceptables a una capacidad predefinida durante una interrupción». O, de hecho, la definición dentro de la propia Guía de Buenas Prácticas de BCI (GPG), que establece que la continuidad del negocio es «un proceso de gestión holístico que identifica las amenazas potenciales para una organización y los impactos en las operaciones comerciales que esas amenazas, si se realizan, podrían causar, y que proporciona un marco para desarrollar la resiliencia organizacional con la capacidad de una respuesta efectiva que salvaguarde los intereses de sus partes interesadas clave, reputación, marca y actividades generadoras de valor». Tenga en cuenta que esto hace mención específica de las partes interesadas, definidas como «persona u organización que puede afectar, verse afectada o percibirse a sí misma como afectada por una decisión o actividad (ej. Clientes, propietarios, personal, proveedores, banqueros, reguladores, sindicatos, socios o sociedad que pueden incluir competidores o grupos de presión opuestos, una definición que, creo, cubre a clientes y pares, así como a otros).

Es fundamental para cualquier programa de continuidad del negocio «comprender las necesidades y expectativas de las partes interesadas», mediante el cual una organización debe identificar las partes interesadas que son relevantes para el sistema de gestión de la continuidad del negocio (BCMS o SGCN por sus siglas en español) y los requisitos relevantes de estas partes interesadas. Esto se demuestra claramente en ISO 22313, que representa la relación en la Figura 4 de ese documento.

Una y otra vez, las normas y los documentos de orientación se refieren a los requisitos y expectativas de las partes interesadas, y a la necesidad de que se tengan en cuenta.

El informe de BCI ofrece una mención de un consultor de resiliencia operativa, quien afirma que «la continuidad del negocio se trata de la rapidez con la que desea que un proceso vuelva a funcionar, mientras que la resiliencia operativa es la rapidez con la que debe volver ese servicio. Y es una pregunta diferente».

Esto muestra una ingenuidad asombrosa, y es muy sorprendente que el BCI elija enumerar esta citación dentro de una de sus propias encuestas. El informe afirma que «alrededor del 17,1% de los encuestados cree que no hay necesidad de un programa de resiliencia operativa dentro de su organización, ya que «la continuidad del negocio es todo lo que necesitan». Cuando se considera que esto aumenta al 25.0% cuando se observan las respuestas solo del sector financiero, esto es aún más alarmante. De hecho, la opinión de que la resiliencia operativa es «continuidad del negocio bien hecha» es una opinión suscrita por muchos profesionales de la resiliencia. Tal vez los autores del informe deberían considerar que estos encuestados son profesionales de BC que tienen un nivel de experiencia dentro de su campo.

No estoy seguro de por qué razón el BCI parece estar siendo dirigido por la FCA, como parece evidente a lo largo del informe, pero vale la pena reflexionar sobre algunas de mis propias experiencias dentro de la profesión de BC.

Ya en 2008, ilustramos la diferencia entre la recuperación ante desastres y BC, mostrando la siguiente diapositiva a un cliente como parte de una sesión de capacitación:

Aquí, hace casi 15 años, la continuidad del negocio se centraba en los intereses de los clientes. Este mismo enfoque ha sido promulgado por los practicantes de BC una y otra vez.

Otro ejemplo podría ser el análisis de impacto en el negocio (BIA) que analiza los impactos en el cliente. Por lo tanto, un BIA con un cliente farmacéutico, por ejemplo, requirió que nuestros clientes reevaluaran su lista de los 10 mejores productos para desarrollar uno desde una perspectiva de criticidad del paciente, así como desde una perspectiva de ganancias. O la imprenta que sabe que tiene clientes que están sujetos a la Ley de Contingencias Civiles de 2004 y, por lo tanto, tienen requisitos específicos en torno a la continuidad del suministro. O el fabricante de impresoras que divide a los clientes en diferentes grupos dependiendo de sus suministros específicos de tiempo crítico.

El consultor citado anteriormente simplemente no parece entender que para saber qué tan rápido desea que un proceso vuelva a funcionar, debe comprender qué tan pronto sus diversas partes interesadas requieren ese servicio o producto.

Otro aspecto de los comentarios del informe sobre la conciencia del personal, destacando que «los entrevistados que informan conocimiento de resiliencia operativa simplemente no estaban allí en la organización. Sin embargo, dado que la resiliencia operativa sigue siendo un concepto nuevo, incluso los expertos en el campo creen que este conocimiento solo puede llegar una vez que los reguladores hayan aprendido por sí mismos cuáles son las mejores prácticas». Dado que hay relativamente pocas industrias reguladas, es difícil ver cómo puede haber una conciencia generalizada de la resiliencia operativa en este momento, en particular, como se destaca en el informe, «La resiliencia operativa significa cosas diferentes para diferentes sectores y también empresas dentro de los diferentes sectores», y que no existe una definición única de este concepto».

El informe de BCI sugiere que «es más probable que la Junta y, más comúnmente, el Director de Operaciones tengan la responsabilidad general de la resiliencia operativa, aunque otros miembros a nivel de la junta son responsables en algunas organizaciones», mientras que «es más probable que la continuidad del negocio tome la iniciativa diaria en la resiliencia operativa, particularmente en organizaciones sin un equipo de resiliencia operativa dedicado».

Dejando de lado el hecho de que la mayoría de las organizaciones simplemente no tendrán los recursos o el personal para tener dos equipos trabajando en un trabajo idéntico, los requisitos de ISO 22301 incluyen que la alta gerencia demuestre liderazgo y compromiso, al tiempo que puede delegar roles, responsabilidades y autoridades. La propia orientación del BCI sugiere «asignar a un miembro de la alta dirección una responsabilidad general por la continuidad del negocio y su eficacia», al tiempo que asigna funciones y responsabilidades en función de la competencia.

Entonces, ¿a dónde nos lleva esto?

Se hace una mención significativa del enfoque de fca para la resiliencia operativa y la continuidad del negocio en el reciente informe de BCI, con una sorprendente cantidad de deferencia al enfoque de FCA. Después de haber trabajado con un banco desafiante de nueva creación, es obvio que las pautas y los requisitos están causando la duplicación de esfuerzos y, posiblemente, la creación de un pensamiento aún más aislado. A pesar de demostrar que un enfoque efectivo para la continuidad del negocio estaba completamente mapeado en los requisitos de resiliencia operativa, el banco simplemente no tenía la confianza para fusionar el enfoque e insistió en mantener un conjunto separado de documentación para satisfacer los requisitos de resiliencia operativa, creando así una duplicación innecesaria y una mayor probabilidad de errores, y una falta de pensamiento unido que conduzca,  posiblemente, a una reducción de la resiliencia.

Me entristece ver que el instituto de la profesión de continuidad del negocio adopta un enfoque que parece separar la continuidad del negocio y la resiliencia operativa. Seguramente, deberían tener en cuenta a aquellos profesionales que «hacen bien la continuidad del negocio», y reconocer que la continuidad del negocio es resiliencia operativa, justo bajo otro nombre. Posiblemente un nombre «más sexy», y ciertamente parece haber ganado atracción en algunas industrias. Sin embargo, estoy seguro de que aquellos profesionales que debatieron los cambios de nombre hace tantos años no previeron que esto podría conducir a un cisma en la industria, y acusaciones de que la continuidad del negocio es básicamente un enfoque interno y retrógrado.

El autor

Helen Molyneux es Directora de Cambridge Risk Solutions Ltd.

Una respuesta del BCI

«En el BCI, damos la bienvenida al debate y la discusión saludables en torno a nuestros informes: esto es lo que da forma a la industria y es la clave para la progresión de la industria. Sin embargo, nos gustaría destacar que los hallazgos de este informe no son las opiniones de la ICC, sino más bien conclusiones extraídas de 335 encuestados, nueve expertos de la industria y 20 horas de entrevistas con los miembros. También nos gustaría alentar la asistencia a eventos de lanzamiento y seminarios web: esta es la oportunidad para que se expresen y discutan tales opiniones».

Referencias

  1. Informe de Resiliencia Operacional 2022: Informe BCI
  2. PAS 56:2003 Guía para la gestión de la continuidad del negocio
  3. BS25999:2006 Gestión de la continuidad del negocio Parte 1 Código de prácticas y Parte 2: Especificación
  4. ISO 22301: 2012 Seguridad Social – Sistemas de Gestión de Continuidad del Negocio – Requisitos
  5. ISO 22301: Seguridad y resiliencia 2019 – Sistemas de gestión de continuidad del negocio – Requisitos
  6. ISO 22300: Seguridad y resiliencia 2021 – Vocabulario

FUENTE: www.continuitycentral.com

Your email address will not be published.

You may use these <abbr title="HyperText Markup Language">HTML</abbr> tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Lang. »