Este artículo ofrece una visión general de la Práctica Profesional 1 (PP1) de la GPG – Gestión de Políticas y Programas, la primera de las seis prácticas profesionales, y analiza la importancia y las recomendaciones para establecer los cimientos de un programa de continuidad empresarial repetible y escalable.

PP1 VISIÓN GENERAL

El PP1 esboza una serie de actividades que las organizaciones deben considerar completar antes de realizar las actividades de planificación de la continuidad de negocio (análisis del impacto en el negocio mediante ejercicios):

  • ESTABLECER UNA POLÍTICA DE CONTINUIDAD DE LA ACTIVIDAD que «comunique a las partes interesadas los principios a los que aspira la organización» esbozando la finalidad y los objetivos del programa de continuidad de la actividad. Una declaración de política de programa sólida debe ser breve y sucinta, a la vez que proporciona los detalles necesarios del programa con los que se puede medir su rendimiento. El PP1 sugiere que las políticas proporcionen la definición de continuidad empresarial de la organización, el alcance del programa, las partes implicadas y cómo se gestionará el programa.
  • DETERMINAR UN ALCANCE DEL PROGRAMA que defina «qué [the program] está diseñado para proteger y el grado máximo de daño, pérdida o interrupción al que la organización puede sobrevivir de forma realista». A menudo, las organizaciones eligen centrar primero su programa de continuidad de negocio en un subconjunto de la organización (en lugar de en toda la organización), normalmente seleccionando la dirección los productos o servicios más importantes que presta la organización (por ejemplo, los que generan ingresos, los de cara al exterior). Una declaración de alcance bien elaborada documenta claramente lo que se incluye y lo que no (exclusiones) dentro del programa. Esto ayuda a centrar los recursos en lo que es más importante y urgente, y a evitar que las actividades de planificación (por ejemplo, el desarrollo del plan) se produzcan fuera de los límites aprobados del programa.
  • DEFINIR UNA GOBERNANZA que establezca un programa respaldado por la alta dirección. Esto ayuda a garantizar que la dirección impulsa continuamente la implementación del programa y supervisa/valida el rendimiento y los resultados del programa. El apoyo necesario de la dirección puede incluir la aprobación del presupuesto o la inversión necesarios, la dotación de personal adecuado, la participación en actividades muy visibles del programa y la revisión periódica de los resultados del programa.
  • IMPLEMENTAR UN PROGRAMA DE GCN que sea sostenible, repetible y basado en el alcance y los objetivos aprobados por la dirección. Como parte de la implantación del programa, los profesionales deben realizar la incorporación de las partes interesadas (p. ej., presentación, recorrido introductorio del programa o mesa redonda), ejecutar los elementos del programa (p. ej., análisis del impacto empresarial, desarrollo del plan y actividades de prueba), concienciar a los empleados y garantizar la mejora continua mediante la adopción de técnicas de gestión de proyectos/programas.
  • ASIGNAR FUNCIONES Y RESPONSABILIDADES a personas que puedan aplicar y mantener adecuadamente el programa de continuidad de la empresa según las expectativas de la dirección. Como parte del proceso de incorporación del personal, la dirección debe asegurarse de que el personal asignado tiene las competencias necesarias en función de su función dentro del programa de continuidad de la empresa; si no es así, el personal debe buscar y obtener la formación interna o externa necesaria.
  • ADOPTA TÉCNICAS DE GESTIÓN DE PROYECTOS Y PROGRAMAS que permitan una puesta en marcha coherente de los proyectos que cumpla las expectativas de la dirección y se mantenga dentro de los plazos y presupuestos aprobados. Para lograrlo, el personal debe establecer una lista de elementos de gestión del programa, como el objetivo, el alcance, el calendario, las tareas, el personal, los recursos y los hitos, y asegurarse de que estos elementos están debidamente identificados antes de iniciar el proyecto. Una vez finalizados los proyectos y plenamente implantado el programa, el personal debe continuar un ciclo de mejora continua para garantizar la eficacia del programa, lo que puede hacerse mediante autoevaluaciones periódicas, auditorías o estudios comparativos.
  • GESTIONAR LAS ACTIVIDADES EXTERNAS Y LA CONTINUIDAD DE LA CADENA DE SUMINISTRO para minimizar el impacto organizativo durante un incidente que afecte a un tercero del que dependa la organización. Las organizaciones pueden optar por (y deben) precalificar a los vendedores/proveedores entrantes mediante la revisión y evaluación del programa y la documentación de continuidad empresarial del vendedor/proveedor, y las organizaciones deben supervisar periódicamente los acuerdos de nivel de servicio y las estrategias de recuperación del vendedor para asegurarse de que cumplen las expectativas internas.
  • GESTIONAR LA DOCUMENTACIÓN DEL PROGRAMA para que los documentos sean coherentes y fáciles de usar. Dependiendo del tamaño de la organización, algunos profesionales optan por utilizar programas informáticos para mantener la documentación interna sobre la continuidad de las actividades (por ejemplo, los BIA y los planes). Independientemente del método, las organizaciones deben asegurarse de que se elabora toda la documentación necesaria, que es accesible a todas las partes participantes y que se revisa/actualiza periódicamente.

PP1 VALOR

El PP1 contiene un conjunto de elementos fundamentales necesarios para garantizar que la continuidad de las actividades se ajusta a la estrategia de la organización. El PP1 también contribuye a un proceso de planificación repetible para ofrecer resultados de continuidad empresarial coherentes con las necesidades y expectativas de las partes interesadas.

Sin los resultados del PP1, el programa de continuidad empresarial carecería de enfoque y prioridad, y es probable que los participantes en el programa estuvieran adivinando lo que implican sus funciones y la mejor forma de participar en el esfuerzo de planificación.

PP1 Resumen de valores:

  • UNA POLÍTICA ALINEA EL PROGRAMA DE CONTINUIDAD EMPRESARIAL CON LAS MEJORES PRÁCTICAS DEL SECTOR. Los profesionales del sector desarrollan mejores prácticas y normas (por ejemplo, las Buenas Prácticas de ICB y la ISO 22301) basadas en prácticas y orientaciones comunes a diversos sectores, países y consideraciones organizativas. Los profesionales que siguen las mejores prácticas de desarrollo de programas ayudan a garantizar que el programa de continuidad de negocio de la organización refleje las estrategias comunes y probadas de la industria y el entorno cambiante de amenazas y planificación.
  • UNA POLÍTICA PROPORCIONA SEGURIDAD AL CLIENTE. Muchas organizaciones exigen que sus vendedores y proveedores tengan un programa de continuidad empresarial establecido para garantizar la continuidad de proveedores y vendedores. Una política de programa establecida proporciona a la organización un resumen coherente y conciso de su programa que puede facilitarse a los clientes como referencia.
  • UNA POLÍTICA GARANTIZA LA COHERENCIA DEL PROGRAMA. Las grandes organizaciones suelen optar por implantar un gran equipo internacional dedicado a la continuidad empresarial, o utilizar personal de apoyo local/regional para ayudar en la puesta en marcha del programa. Una declaración política clara establece las expectativas de todos los empleados y participantes en el programa de la organización, garantiza la ejecución coherente del programa y comunica los objetivos de gestión, los impulsores y las expectativas. Además, las actividades del programa bien establecidas, las estrategias de gestión de proyectos y las funciones y responsabilidades también contribuyen a este esfuerzo.
  • UNA POLÍTICA GARANTIZA LA REPETIBILIDAD DEL PROGRAMA. Una declaración política bien elaborada que defina claramente el alcance, los participantes y las actividades del programa evita que la dirección lo redefina y reinvente año tras año. Aunque el programa en sí debe cambiar para reflejar las prioridades o amenazas cambiantes de la organización, una política documentada proporciona a la dirección una línea de base para revisar y cambiar, cuando sea necesario.
  • UNA POLÍTICA COMPROMETE A LA DIRECCIÓN Y CONSIGUE SU APOYO. La implicación de la dirección es fundamental para impulsar las mejoras del programa y abordar los cambios en curso para adaptarse a los entornos de amenazas en evolución, al tiempo que se cumplen los compromisos internos y externos. La implicación de la dirección también ayuda a crear conciencia organizativa y a impulsar las actividades del programa. La adopción de una política aprobada por la dirección ayuda a mantener el impulso y a alinear las estrategias de planificación con las prioridades de la organización.

PP1 ESTUDIO DE CASO

Cuando las organizaciones deciden implantar un programa de continuidad de negocio, muchas tienden a saltar directamente a los elementos tácticos del programa (como realizar un análisis del impacto en el negocio y desarrollar planes), ignorando así la necesidad de establecer primero una base sólida del programa sobre la que construir esos elementos del programa. Aunque los elementos tácticos suelen ser los más visibles, hay múltiples razones por las que una organización debe esforzarse por seguir las orientaciones proporcionadas en la PP1.

Considera el siguiente caso práctico que ilustra por qué las organizaciones se benefician de establecer un programa repetible y una política antes de saltar directamente a la aplicación de los elementos tácticos del ciclo de vida de la continuidad empresarial.

El Consejo de Administración de la empresa X emitió una directiva para que la organización implantara un programa de continuidad empresarial. Para cumplir la directiva, la organización encargó a un recurso interno como coordinador de continuidad empresarial que iniciara este proceso. Tras leer varios artículos de Internet, el coordinador decidió empezar por realizar el análisis de impacto empresarial y redactar la documentación del plan de continuidad empresarial. Una vez finalizada la documentación del plan, el coordinador se dio cuenta de algunas preocupaciones importantes:

  • No sabía si la organización podría cumplir realmente las expectativas de la dirección si se produjera realmente un incidente perturbador
  • Se dio cuenta de que sus esfuerzos eran una evaluación puntual, y no sabía cómo continuarían los esfuerzos después del esfuerzo inicial
  • No creía que la organización estuviera en realidad en una posición mucho mejor que antes de sus esfuerzos, porque no había invertido recursos en tener capacidades reales de recuperación (por ejemplo, un espacio de trabajo alternativo o recuperación de desastres informáticos).
  • Las personas que en un principio quería que participaran en los esfuerzos no participaron realmente, ya que delegaron en niveles inferiores de la organización.

Debido a estas preocupaciones, la coordinadora de continuidad empresarial empezó a investigar más y a hablar con grupos del sector. Esta investigación adicional le hizo darse cuenta de que no había establecido un programa antes de realizar actividades específicas de continuidad empresarial. Por tanto, no obtuvo los resultados que esperaba. La coordinadora dio entonces un paso atrás y puso en marcha las siguientes acciones:

  • Desarrolló, presentó y recibió el respaldo de la alta dirección para su política de continuidad empresarial, que se publicó y comunicó a la organización.
  • Desarrolló procedimientos operativos normalizados, que describían el proceso mediante el cual llevaba a cabo las actividades de continuidad empresarial para garantizar que el proceso siguiera produciéndose de forma recurrente.
  • Constituyó un comité directivo que aportó información sobre el alcance del programa y las tolerancias de tiempo de inactividad, revisó y aprobó los resultados y las inversiones, proporcionó liderazgo y garantizó el nivel «adecuado» de participación y apoyo.

Tras estas acciones, el coordinador comprobó que el programa estaba alineado con los objetivos estratégicos de la organización, contaba con el apoyo de los niveles adecuados de la alta dirección de la organización y podía satisfacer realmente las expectativas de las partes interesadas internas y externas durante un incidente perturbador real.

CONCLUSIÓN

Las orientaciones que figuran en las Buenas Prácticas de ICB ayudan a los profesionales a comprender y aplicar el programa, al tiempo que garantizan la coherencia con las normas internacionales recogidas en la ISO 22301.