Cómo realizar revisiones de gestión eficaces

Esta perspectiva examina un elemento de la cláusula 9.3, la revisión de la gestión (un proceso que Riskonnect considera uno de los elementos más valiosos de la norma ISO 22301).

La norma ISO 22301 es la primera que emplea el nuevo formato de ISO para las normas de sistemas de gestión, que implica una cantidad considerable de contenido de sistemas de gestión "templado" en diez cláusulas. Dado que este formato, el lenguaje y muchos de los requisitos son nuevos para la mayoría de los profesionales de la continuidad del negocio, es importante revisar y considerar la intención asociada con algunos de los contenidos y conceptos.

Esta perspectiva es la segunda de una serie que analiza los elementos clave de la norma ISO 22301 sistema de gestión de la continuidad de las actividadesEn el caso de la certificación, la organización debe tener en cuenta los elementos de valor añadido de la norma o los requisitos que podrían "tropezar" con ella durante el proceso de certificación.

Hoy vamos a echar un vistazo a un elemento de la cláusula 9.3, la revisión de la gestión (un proceso que Riskonnect considera uno de los elementos más valiosos de la norma ISO 22301).

Cláusula 9.3 - Revisión de la gestión
La alta dirección debe revisar el SGC de la organización, a intervalos planificados, para garantizar su idoneidad, adecuación y eficacia continuas. 

Robert Burns escribió la cita: "Los planes mejor trazados de los ratones y los hombres suelen salir mal". En ninguna profesión es más pertinente esta idea que en la continuidad de la actividad empresarial. Lo que inmediatamente nos viene a la mente puede ser la inevitable desviación de un plan de gestión de crisis o de continuidad de la actividad bien elaborado, o ese suceso que ocurre una vez en un millón y que ni siquiera los planes más minuciosos contemplan. Esta perspectiva se centrará en "la otra" área que puede hacer descarrilar la eficacia no sólo de un plan, sino de todo un programa o sistema de gestión de la continuidad del negocio. Esta área escurridiza es simplemente la falta de apoyo y/o aportación de la dirección y de otros responsables clave de cualquier organización. Esta perspectiva pretende profundizar en la obtención del apoyo de la dirección y de los ejecutivos a través del proceso de revisión de la gestión. Sin el apoyo de la alta dirección, el apoyo a las iniciativas de continuidad del negocio, así como el rendimiento de la solución de continuidad del negocio, disminuirá rápidamente.

La pregunta es entonces cómo se puede involucrar a la "alta dirección", asegurar el apoyo al sistema de gestión de la continuidad de la actividad y sus iniciativas, y garantizar que las recomendaciones se tomen en serio sin que simplemente se rechacen cuando resulta que hay un precio asociado a los esfuerzos de preparación. La respuesta es aparentemente más fácil de decir que de hacer: implicar -de forma recurrente- a los altos cargos en el proceso de planificación de la continuidad de la actividad. La realización de revisiones efectivas por parte de la dirección es una forma de trabajar para conseguir este objetivo.

Un componente clave de la norma ISO 22301, la revisión por la dirección es un componente esencial de los sistemas para garantizar que la dirección es consciente de los aspectos importantes del esfuerzo de planificación de la continuidad del negocio y trabaja para participar activamente en cualquier problema, los resultados de la auditoría y los comentarios de los clientes (por nombrar algunos), lo que lleva a la priorización de las oportunidades de mejora continua. Y lo que es aún más importante, la revisión de la gestión tiene que ver con la concienciación, la creación de relaciones y el establecimiento del esfuerzo de continuidad del negocio como un elemento clave del programa de gestión de riesgos de la organización. Todas las partes deberían poder salir de una sesión de revisión de la gestión con la sensación de que la organización está mejor que al principio y que la continuidad de la actividad seguirá siendo una prioridad, centrándose en las cosas correctas en el momento adecuado, en toda la organización. Aunque la norma ISO 22301 enumera un conjunto bastante completo de directrices que detallan lo que la dirección debe considerar como parte de las revisiones recurrentes de la gestión, la siguiente lista resume (parafrasea) estos requisitos:

• Garantizar que el sistema de gestión de la continuidad de la actividad se ajusta a los objetivos organizativos y estratégicos
• Identificar formas de hacer la continuidad de la empresa más sencilla y eficaz
• Evitar el uso de jerga y acrónimos
• Hacer un seguimiento de los problemas anteriores y asegurarse de que la dirección está al tanto de las deficiencias
• Abordar los comentarios de los incidentes recientes y analizarlos para buscar áreas de mejora

Profundicemos en cada una de ellas.

Garantizar que el sistema de gestión se ajusta a los objetivos organizativos y estratégicos
Uno de los aspectos más importantes a la hora de llevar a cabo una revisión de la gestión de la continuidad del negocio es recordar la audiencia. Para maximizar la eficacia de una revisión de la gestión, el profesional de la continuidad del negocio debe pensar en términos de productos y servicios críticos y alinear los resultados del programa con la dirección estratégica general de la organización. El profesional de la continuidad del negocio debe transmitir cómo un sistema de gestión de la continuidad del negocio bien gestionado puede contribuir a la capacidad continua de la organización para ofrecer productos y servicios clave (y las implicaciones si no lo hace). Es muy fácil perderse en métricas falsas que no demuestran el valor fuera del equipo de continuidad del negocio. Aunque documentar métricas específicas sobre el número de entrevistas de BIA o actualizaciones del plan tiene su lugar, a menudo es demasiado fácil detenerse en los números sin vincular todo a la recuperabilidad de los productos y servicios clave que la organización proporciona. Al final de la sesión de revisión, la dirección debería comprender mejor las capacidades de la organización para responder y recuperarse realmente de un incidente perturbador, y no sólo qué departamentos o unidades de negocio no completaron sus actualizaciones anuales del plan.

Para más información sobre métricas, consulte: Métricas de continuidad de negocio

Haga que la continuidad de la empresa sea más sencilla y eficaz
Admitámoslo, la continuidad del negocio puede ser compleja. La combinación de continuidad empresarial y recuperación de desastres de TI puede ser aún más compleja. Al elaborar los materiales para una revisión por parte de la dirección, asegúrese de hacer las cosas lo más sencillas posible. Si puede describir un concepto de continuidad de negocio utilizando un lenguaje cotidiano, hágalo. La revisión por parte de la dirección ofrece una oportunidad de oro para vender el programa de continuidad de negocio; sin embargo, muchos profesionales tienden a abrumar a los que no son profesionales de la continuidad de negocio con sus propios conocimientos y experiencia proporcionando detalles innecesarios que hacen que los directivos pierdan rápidamente el interés. Esta misma mentalidad puede aplicarse no sólo a una revisión por parte de la dirección, sino a todos los aspectos de un sistema de gestión de la continuidad de negocio bien gestionado. Cuando se puede elegir entre un plan de recuperación de 200 páginas o una lista de comprobación con sólo la información esencial, hay que optar por la lista de comprobación. La continuidad de la actividad debe consistir en obtener resultados en caso de interrupción. Adapte el lema "hacer más con menos" para su programa y aplíquelo también al proceso de revisión de la gestión.

Evite el uso de jerga y acrónimos
A los profesionales de la continuidad del negocio les encantan los acrónimos. BIA, RTO, RPO, MAD, MTPOD, BC, DR, ITDR, BCMS, etc. Podría continuar, pero probablemente aburriría a este público... Y, si me aburre seguir utilizando acrónimos en este artículo para los profesionales de la continuidad del negocio, ¿por qué los profesionales de la continuidad del negocio siguen sobrecargando los materiales diseñados para la dirección con estos mismos términos? Lo único que se consigue es disminuir la comprensión y el interés y crear una situación que podría alejar a los directivos y a las partes interesadas clave... Como forma de simplificar los materiales para su uso en la revisión por parte de la dirección, intente evitar los acrónimos siempre que sea posible, especialmente si está tratando con líderes cuyas actividades cotidianas no suelen estar relacionadas con la continuidad de negocio. Esto nos lleva a recordar quién es nuestro público. Una revisión por parte de la dirección es una oportunidad para ofrecer a la dirección una visión del programa de continuidad de la actividad y examinar las capacidades de respuesta y recuperación de la organización, utilizando SU lenguaje. Si la dirección no entiende lo que está transmitiendo debido a demasiados términos y acrónimos específicos de la industria, esto crea una barrera para llevar a cabo una revisión de la gestión eficiente y obtener un apoyo continuo para las iniciativas de continuidad de negocio.

Seguimiento de temas anteriores
Identificar las oportunidades de mejora y revisar las políticas y procedimientos es una parte importante del proceso de revisión de la gestión. Aunque estas acciones son importantes, es muy fácil perderse en un mar de acciones planificadas, actividades que se dejan de lado o se retrasan, o políticas y procedimientos anticuados y demasiado complejos que parecen estar más centrados en planificar por planificar que en mejorar realmente la resistencia de la organización. El hecho de que un elemento haya sido identificado para su corrección hace cinco años, no significa que todavía tenga que ser completado para alinearse con los objetivos de la organización. Las revisiones por parte de la dirección deben tratarse como una oportunidad para repasar las recomendaciones, determinar cuáles son realmente relevantes para los objetivos y la dirección estratégica de la organización, y realizar los cambios correspondientes. Los elementos identificados para su mejora no deben considerarse sólo porque figuren en la lista continua de elementos de acción, sino porque a través de su corrección, la organización vería un beneficio tangible que busca impulsar las metas y objetivos principales. El profesional de la continuidad del negocio puede ayudar en este proceso revisando los elementos antes de la reunión y haciendo recomendaciones sobre los elementos que podrían beneficiar a la organización y los que deberían eliminarse de la consideración. Este enfoque hará que la dirección respalde las recomendaciones que aportan valor, lo que se refleja positivamente en usted. Y, ¿quién no quiere quedar bien en una reunión con la dirección de la organización?

Abordar los incidentes recientes y utilizarlos para crear conciencia
En algún momento, todas las organizaciones sufrirán algún tipo de interrupción. Puede ser tan leve como la evacuación forzosa de una oficina o tan importante como la pérdida de un centro de distribución durante tres meses. La sesión de revisión de la gestión debe ofrecer la oportunidad de abordar la eficacia de la respuesta y la recuperación de la organización ante los incidentes recientes. Todos los incidentes proporcionan información que puede utilizarse para legitimar la importancia y la eficacia de un sistema de gestión de la continuidad del negocio y sus estrategias. Las revisiones de la dirección deben presentar una evaluación honesta de lo que ha ido bien y lo que no, y ofrecer recomendaciones para seguir adelante. Puede ser natural querer rehuir el examen de la respuesta a un incidente perturbador, especialmente si no salió como se había planeado; sin embargo, las dificultades deben abordarse de manera que generen resultados procesables. La sesión de revisión de la gestión crea un foro para discutir estos resultados. Una interrupción real puede ofrecer una oportunidad en forma de concienciación y asegurar que las partes interesadas vean el valor de mantener un sólido programa de continuidad del negocio.

Conclusiones
Las revisiones de la dirección ofrecen una excelente oportunidad para revisar el estado actual de la organización, identificar las áreas de mejora y conseguir apoyo para las futuras iniciativas de continuidad de negocio. Al centrarse en las necesidades de la audiencia y garantizar la alineación de las actividades de continuidad de negocio con la dirección estratégica general de la organización, el profesional de la continuidad de negocio puede ver a los altos directivos como socios en el proceso de planificación de la continuidad de negocio. Sus planes e iniciativas no tienen por qué fracasar, si involucra a las partes interesadas adecuadas y presenta las actividades de una manera que sea relevante para los principales responsables de la toma de decisiones dentro de su organización.

Siga visitando nuestro blog para ver más artículos de la serie "Conformidad con la norma ISO 22301" de Riskonnect.

Mientras tanto, no dude en contacta con nosotros para hablar de la adaptación a la norma o de la obtención de la certificación. Esperamos su respuesta.