Posted on 0 Comments

Robin Bucknall MA, MSc revisa varios enfoques para el análisis de impacto en el negocio, evaluando si todavía es adecuado para su propósito y sugiriendo cómo el proceso de BIA podría simplificarse y reorientarse para hacerlo más utilizable.

Para las empresas de servicios predominantemente profesionales, la ubicuidad de las computadoras portátiles, los avances en el software de videoconferencia y las aplicaciones basadas en la nube significan que la mayoría de las funciones basadas en la oficina se pueden replicar o acceder a ellas en cualquier parte del mundo. Además, la experiencia reciente de las empresas de trabajo remoto prolongado durante la pandemia de COVID-19 sugiere que esta se convertirá en la respuesta predeterminada inmediata en caso de que una circunstancia adversa afecte a un negocio. Por lo tanto, la ocupada alta dirección puede concluir que no es necesario mucho más análisis sino solo «marcar casillas» en un análisis de impacto en el negocio (BIA). Por muy contundente que sea esta evaluación, por supuesto hay verdad en aquella, pero, ¿significa esto que los días del análisis de impacto empresarial han terminado? Y plantea la pregunta de si esto se aplica a todos los sectores y en todas las circunstancias.

En su artículo ¿Qué sigue para el BIA? David Honour, editor de Continuity Central, cuestionó: «¿Se puede rediseñar el BIA para conservar sus aspectos útiles, pero para que sea menos engorroso y oneroso para muchas organizaciones?» (1). Este artículo propondrá que la simplificación del proceso y un nuevo enfoque en lo que es crítico presenta un camino a seguir.

¿Está obsoleto el BIA?

Entre los críticos más vociferantes de la BIA se encuentra el Dr. David Lindstedt, (2) quien argumenta que intentar cuantificar el nivel de impacto es extremadamente complejo, requiere un nivel desproporcionado de esfuerzo para lograrlo y es casi imposible hacerlo con cualquier grado de precisión. Por lo tanto, el costo no está justificado por la producción. (3) Estas críticas a la utilidad de la BIA en su forma actual no carecen de fundamento. Para que un BIA sea relevante, debe revisarse y revalidarse periódicamente con los supuestos de sufijación probados y los criterios clave y los datos actualizados. Cuanto más detalladas sean las demandas del proceso, mayores serán los gastos generales / costos de administración y personal.

El BIA todavía tiene utilidad, pero necesita simplificación y aclaración

La visión general del proceso BIA por las Guías de Buenas Prácticas 2018 (GPG) del Business Continuity Institute (BCI) proporciona una forma perfectamente lógica y metódica de realizar un análisis. Sin embargo, el GPG dedica trece páginas a discutir los BIA en detalle, lo que sugiere que cada paso fluye hacia el siguiente formando una jerarquía de análisis desde lo estratégico hasta lo operativo. El GPG subdivide el BIA en cuatro BIA separados pero interrelacionados, pero también propone que no es necesario realizar los cuatro BIA. Esta aparente contradicción se confunde aún más con afirmaciones como: «las organizaciones que están menos impulsadas por el proceso pueden decidir omitir el BIA de proceso y más directamente en el BIA de actividad» y «el BIA de proceso se basará en los resultados del BIA de producto y servicio» (5).

El Dr. Robert Heath (6) defiende que «el proceso básico de un BIA es lograrque cada sección en cada departamento en cada división de la organización defina claramente sus operaciones críticas [mi énfasis]». Graham y Kaye (7) llevan esta idea de criticidad una etapa más allá:  «el objetivo del BIA es desentrañar el potencial de incidentes que podrían destruir totalmente  [mi énfasis] la organización», continúan: «Los gerentes de continuidad del negocio [necesitan] comprender las dependencias críticas de la organización y garantizar que estas dependencias se gestionen para que estén disponibles durante y después de una crisis».

Dado este enfoque en la criticidad y lo que podría tener un impacto tal como para «destruir» la organización, eso nos dice mucho que tanto la ISO 22301 como el GPG 2019 se hayan alejado de una definición tan fuerte. En lugar de descriptores «críticos» o «de misión crítica», la recomendación del GPG 2018 es centrarse en las «actividades priorizadas». (8) Las cuestiones lingüísticas y las palabras tienen significado. Si usamos un lenguaje suelto, entonces tal vez no sea sorprendente que el propósito y la salida del BIA se discutan. Esta es un área que debe revisarse en la versión revisada de 2023 del GPG.

¿Dónde sigue?

Una de las justificaciones para los diferentes BIA del GPG 2018 es que un solo BIA puede llegar a ser demasiado complejo y difícil de manejar para que las grandes organizaciones lo administren: una preocupación completamente razonable. Sin embargo, abordar esto subdividiendo en cuatro BIA diferentes corre el riesgo de complicar aún más las cosas, ya que no existe un punto focal obvio para integrar las conclusiones de los diferentes BIA o un mecanismo para elevar lo que es crítico para la alta dirección. Si el propósito de un BIA es determinar qué amenazará la longevidad continua de un negocio o amenazará con la bancarrota, entonces se podría argumentar que solo es necesario un BIA estratégico: todo lo demás se refinaría en la etapa de diseño del ciclo de vida de continuidad del negocio. Sin embargo, esto no completa el panorama entero, ya que los problemas que pueden amenazar la existencia de la organización pueden no originarse a nivel estratégico y, por lo tanto, todavía se necesita alguna forma de análisis holístico estructurado de toda la organización.

En la versión 2013 del GPG, los BIA se describieron como estratégicos, tácticos y operativos. Estos niveles se correlacionaron con el análisis de productos y servicios, procesos y actividades. Este salto de lógica incompleto se abordó en el GPG de 2018 y los BIA estratégicos, tácticos y operativos se reemplazaron con BIA iniciales, de productos y servicios, de procesos y de actividad. Sin embargo, el GPG de 2013 estaba en algo. Todas las organizaciones tienden hacia alguna forma de jerarquía. La mayoría tendrá alta dirección (estratégica), gerencia media (táctica) y aquellos que hacen o hacen cosas (operativas). Tendría más sentido tener un proceso de BIA, con una serie de pasos analíticos que se pueden llevar a cabo con un nivel de detalle apropiado para las necesidades de la organización. Por ejemplo, el Paso 1 sería un análisis de productos y servicios para llegar a lo que debe preservarse y a qué nivel para que la organización sobreviva. El Paso 2 se convierte así en un análisis de los procesos críticos de soporte y el Paso 3 en el análisis de las actividades críticas de apoyo. Esto es consistente con el enfoque defendido en ISO 22317: Figura 3, (9) el GPG Initial BIA y la recomendación de Timothé Graziani de que «para identificar las estrategias de continuidad del negocio, necesitamos los siguientes insumos: una lista de todos los servicios en nuestra organización; mapear el proceso para cada servicio y los requisitos de recursos para cada servicio (TI, personas, ubicación, datos, terceros)». (10).

Conclusión

Si bien la pandemia ha sido una experiencia muy útil para poner de relieve las amenazas existenciales para la alta dirección, la singularidad de la COVID-19 y nuestras respuestas a ella no pueden verse como una panacea para todas las crisis potenciales y que sigue siendo necesario que todas las empresas realicen un análisis objetivo disciplinado de dónde se deriva el valor y la mejor manera de garantizar su función continua, independientemente de la naturaleza o la causa de la interrupción.

Esto proporciona una oportunidad importante para reenfocar el BIA en torno a lo que es crítico  para la supervivencia continua de una organización y simplificarlo en un proceso de lógica deductiva que se puede adaptar a las necesidades de todas las organizaciones.

El autor

Robin Bucknall MA, MSc, es Consultor Senior, Needhams 1834Ltd.

Referencias

  • David Honour, https://www.continuitycentral.com/index.php/news/business-continuity-news/4259-where-next-for-the-bia, consultado el14 de diciembre de 21.
  • David Linstedt,  https://www.adaptivebcp.org/manifesto.html, consultadoel 1 de octubre de 21.
  • Cabe destacar que ISO 22301 y GPG 2019 no ofrecen ninguna orientación sobre cómo calcular el impacto solo para abogar por que se haga.
  • Business Continuity Institute, Directrices de buenas prácticas (Business Continuity Institute, 2018) pp40.
  • Ibíd., pág. 46.
  • Robert Heath, Crisis Management for Managers and Executives (FT Pitman Publishing, 1998), págs. 55.
  • Julia Graham y David Kaye, A Risk Management Approach to Business Continuity: Aligning Business Continuity with Corporate Governance (Rothstein Associates, 2006), pág. 93.
  • Business Continuity Institute, Directrices sobre buenas prácticas (Business Continuity Institute, 2008), pág. 39.
  • ISO, Seguridad social – Sistemas de gestión de la continuidad del negocio – Análisis del impacto en el negocio (ISO, 2014). párrafos 136 a 150.
  •  Timothé Graziani, ‘No More BIA,’ Continuity Central.Com, 01 de agosto de 2017  https://www.continuitycentral.com/index.php/news/business-continuity-news/2197-no-more-bia , consultado el 01 de octubre de 2021.

Simplification and a refocus on criticality: the next step for the BIA? (continuitycentral.com)

Your email address will not be published.

You may use these <abbr title="HyperText Markup Language">HTML</abbr> tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Lang. »