Esta perspectiva examina un elemento de la Cláusula 9.3, la revisión por la dirección (un proceso que Riskonnect considera uno de los elementos más valiosos de la ISO 22301).
La ISO 22301 es la primera norma que emplea el nuevo formato ISO para las normas de sistemas de gestión, que implica una cantidad considerable de contenido de sistemas de gestión «templatizado» a lo largo de diez cláusulas. Dado que este formato, lenguaje y muchos de los requisitos son nuevos para la mayoría de los profesionales de la continuidad de negocio, es importante revisar y considerar la intención asociada a algunos de los contenidos y conceptos.
Esta perspectiva es la segunda de una serie en la que se analizan los elementos clave del sistema de gestión de la continuidad del negocio ISO 22301, incluidos los elementos de la norma que añaden valor o los requisitos que podrían «hacer tropezar» a una organización durante el proceso de certificación.
Hoy vamos a echar un vistazo a un elemento de la Cláusula 9.3, la revisión por la dirección (un proceso que Riskonnect considera uno de los elementos más valiosos de la ISO 22301).
Cláusula 9.3 – Revisión por la dirección
La alta dirección revisará el SGCN de la organización, a intervalos planificados, para garantizar su idoneidad, adecuación y eficacia continuas.
Robert Burns escribió la cita: «Los planes mejor trazados de ratones y hombres a menudo se tuercen». En ninguna profesión es esta idea más relevante que en la continuidad empresarial. Lo que viene inmediatamente a la mente puede ser la inevitable desviación de un plan de gestión de crisis o de continuidad empresarial bien elaborado, o ese suceso que ocurre una vez entre un millón y que ni siquiera los planes más minuciosos abordan. Esta perspectiva se centrará en «la otra» área que puede hacer descarrilar la eficacia no sólo de un plan, sino de todo un programa o sistema de gestión de la continuidad empresarial. Esta área escurridiza es simplemente la falta de apoyo y/o aportación de la dirección y otros responsables clave de la toma de decisiones en cualquier organización. Esta perspectiva pretende profundizar en la obtención del apoyo de la dirección y los ejecutivos mediante el proceso de revisión de la gestión. Sin el apoyo de la alta dirección, el apoyo a las iniciativas de continuidad de negocio, así como el rendimiento de la solución de continuidad de negocio, decaerán rápidamente.
La pregunta entonces es cómo se puede implicar a la «alta dirección», conseguir apoyo para el sistema de gestión de la continuidad empresarial y sus iniciativas, y asegurarse de que las recomendaciones se toman en serio sin que simplemente se rechacen cuando resulta que hay un precio asociado a los esfuerzos de preparación. La respuesta es aparentemente más fácil de decir que de hacer: implicar -de forma recurrente- a la alta dirección en el proceso de planificación de la continuidad empresarial. Llevar a cabo revisiones efectivas de la gestión es una forma de alcanzar este objetivo.
La revisión por la dirección, un componente clave de la norma ISO 22301, es un componente esencial de los sistemas para garantizar que la dirección sea consciente de los aspectos importantes del esfuerzo de planificación de la continuidad de la actividad y trabaje para participar activamente en cualquier problema, hallazgos de auditorías y comentarios de los clientes (por nombrar algunos), lo que conduce a la priorización de las oportunidades de mejora continua. Tal vez lo más importante sea que la revisión por la dirección tiene que ver con la concienciación, la creación de relaciones y el establecimiento del esfuerzo de continuidad de negocio como elemento clave del programa de gestión de riesgos de la organización. Todas las partes deben poder salir de una sesión de revisión por la dirección con la sensación de que la organización está mejor que al principio y que la continuidad de la actividad seguirá siendo una prioridad -centrándose en las cosas adecuadas en el momento adecuado- en toda la organización. Aunque la ISO 22301 enumera un conjunto bastante completo de directrices que detallan lo que la dirección debe tener en cuenta como parte de las revisiones recurrentes de la gestión, la siguiente lista resume (parafrasea) estos requisitos:
- Garantizar que el sistema de gestión de la continuidad de las actividades se ajusta a los objetivos organizativos y estratégicos
- Identificar formas de hacer que la continuidad de la empresa sea más sencilla y eficaz
- Evita el uso de jerga y acrónimos
- Haz un seguimiento de los problemas anteriores y asegúrate de que la dirección es consciente de cualquier deficiencia
- Abordar cualquier comentario sobre incidentes recientes y analizarlos para encontrar áreas de mejora
Profundicemos en cada uno de ellos.
Asegúrate de que el sistema de gestión se alinea con los objetivos organizativos y estratégicos
Uno de los aspectos más importantes de la realización de una revisión de la gestión de la continuidad empresarial es recordar a quién va dirigida. Para maximizar la eficacia de una revisión de la gestión, el profesional de la continuidad del negocio debe pensar en términos de productos y servicios críticos y alinear los resultados del programa con la dirección estratégica general de la organización. El profesional de la continuidad de negocio debe transmitir cómo un sistema de gestión de la continuidad de negocio bien gestionado puede contribuir a la capacidad continuada de la organización para ofrecer productos y servicios clave (y las implicaciones si no lo hace). Es muy fácil perderse en métricas falsas que no demuestran valor fuera del equipo de continuidad de negocio. Aunque documentar métricas específicas sobre el número de entrevistas BIA o actualizaciones del plan tiene su lugar, a menudo es demasiado fácil detenerse en los números sin relacionarlo todo con la recuperabilidad de los productos y servicios básicos que presta la organización. Al final de la sesión de revisión, la dirección debe comprender mejor las capacidades de la organización para responder y recuperarse realmente de un incidente perturbador, no sólo qué departamentos o unidades de negocio no completaron sus actualizaciones anuales del plan.
Para más información sobre métricas, consulta Métricas de Continuidad de Negocio
Haz que la continuidad empresarial sea más sencilla y eficaz
Admitámoslo, la continuidad empresarial puede ser compleja. La combinación de continuidad empresarial y recuperación de desastres informáticos puede ser aún más compleja. Cuando elabores materiales para una revisión por la dirección, asegúrate de simplificar las cosas al máximo. Si puedes describir un concepto de continuidad empresarial utilizando un lenguaje cotidiano, hazlo. La revisión por la dirección ofrece una oportunidad de oro para vender el programa de continuidad de negocio; sin embargo, muchos profesionales tienden a abrumar a los no profesionales de la continuidad de negocio con sus propios conocimientos y experiencia, proporcionando detalles innecesarios que hacen que los directivos pierdan rápidamente el interés. Esta misma mentalidad puede aplicarse no sólo a una revisión por la dirección, sino a todos los aspectos de un sistema de gestión de la continuidad de negocio bien gestionado. Cuando puedas elegir entre un plan de recuperación de 200 páginas o una lista de comprobación con sólo la información esencial, opta por la lista de comprobación. La continuidad empresarial debe consistir en obtener resultados en caso de interrupción. Adapta el lema «haz más con menos» a tu programa y aplícalo también al proceso de revisión de la gestión.
Evita el uso de jerga y acrónimos
A los profesionales de la continuidad del negocio les encantan los acrónimos. BIA, RTO, RPO, MAD, MTPOD, BC, DR, ITDR, BCMS, etc. Podría continuar, pero probablemente aburriría a este público… Y, si para mí sería aburrido seguir utilizando siglas en este artículo para profesionales de la continuidad del negocio, ¿por qué los profesionales de la continuidad del negocio siguen sobrecargando con estos mismos términos los materiales diseñados para la dirección? Lo único que se consigue con ello es disminuir la comprensión y el interés, y crear una situación que podría alejar a directivos y partes interesadas clave? Como forma de simplificar los materiales para su uso en la revisión de la dirección, intenta evitar los acrónimos siempre que sea posible, sobre todo si tratas con dirigentes cuyas actividades cotidianas no suelen estar relacionadas con la continuidad de negocio. Esto vuelve a recordar quién es tu público. Una revisión por la dirección es una oportunidad para dar a la dirección una visión del programa de continuidad de negocio y examinar las capacidades de respuesta y recuperación de la organización, utilizando SU lenguaje. Si la dirección no entiende lo que le estás transmitiendo debido a demasiados términos y acrónimos específicos del sector, esto crea una barrera a la hora de llevar a cabo una revisión de la dirección eficiente y de conseguir un apoyo continuado a las iniciativas de continuidad de negocio.
Seguimiento de cuestiones anteriores
Identificar oportunidades de mejora y revisar las políticas y los procedimientos es una parte importante del proceso de revisión de la gestión. Aunque estas acciones son importantes, es muy fácil perderse en un mar de acciones planificadas, actividades que se dejan de lado o se retrasan, o políticas y procedimientos anticuados y excesivamente complejos que parecen más centrados en planificar por planificar que en mejorar realmente la resistencia de la organización. El hecho de que un elemento se identificara para su corrección hace cinco años no significa que aún deba completarse para alinearlo con los objetivos de la organización. Las revisiones por la dirección deben considerarse una oportunidad para revisar las recomendaciones, determinar cuáles son realmente relevantes para los objetivos y la dirección estratégica de la organización, y hacer los cambios pertinentes. Los elementos identificados para su mejora no deben tenerse en cuenta sólo porque figuren en la lista continua de elementos de acción, sino porque, mediante su corrección, la organización vería un beneficio tangible que pretende impulsar metas y objetivos principales. El profesional de la continuidad del negocio puede ayudar en este proceso revisando los elementos antes de la reunión y haciendo recomendaciones sobre qué elementos podrían beneficiar a la organización y cuáles deben eliminarse de la consideración. Este enfoque hará que la dirección apruebe las recomendaciones que aporten valor, lo que se reflejará positivamente en ti. Y, ¿quién no quiere quedar bien en una reunión con la dirección de la organización?
Aborda los incidentes recientes y utilízalos para crear conciencia
En algún momento, toda organización experimentará una interrupción de algún tipo. Puede ser tan leve como la evacuación forzosa de una oficina o tan importante como la pérdida durante tres meses de un centro de distribución. La sesión de revisión de la gestión debe brindar la oportunidad de abordar la eficacia de la respuesta y la recuperación de la organización ante incidentes recientes. Todos los incidentes proporcionan información que puede utilizarse para legitimar la importancia y la eficacia de un sistema de gestión de la continuidad de las actividades y sus estrategias. Las revisiones de la gestión deben presentar una evaluación honesta de lo que ha ido bien y lo que no, y ofrecer recomendaciones para seguir avanzando. Puede ser natural querer rehuir el examen de la respuesta a un incidente perturbador, sobre todo si no salió como estaba previsto; sin embargo, las dificultades deben abordarse de forma que se creen resultados procesables. La sesión de revisión de la gestión crea un foro para debatir estos resultados. Una interrupción real puede proporcionar una oportunidad en forma de concienciación y garantizar que las partes interesadas vean el valor de mantener un sólido programa de continuidad de negocio.
Conclusiones
Las revisiones de la dirección brindan una excelente oportunidad para revisar el estado actual de la organización, identificar áreas de mejora y conseguir apoyo para futuras iniciativas de continuidad empresarial. Al centrarse en las necesidades de la audiencia y garantizar la alineación de las actividades de continuidad de negocio con la dirección estratégica general de la organización, el profesional de la continuidad de negocio puede considerar a los altos cargos como socios en el proceso de planificación de la continuidad de negocio. Tus planes e iniciativas no tienen por qué fracasar, si implicas a las partes interesadas adecuadas y presentas las actividades de forma que sean relevantes para los principales responsables de la toma de decisiones de tu organización.
Sigue visitando nuestro blog para leer más artículos de la serie de Riskonnect Conformidad con la norma ISO 22301.
Mientras tanto, no dudes en ponerte en contacto con nosotros para hablar de la adaptación a la norma o de la obtención de la certificación. Esperamos tener noticias tuyas.
