Últimamente, el sector de la continuidad empresarial ha oído hablar mucho del Planificar, Hacer, Comprobar y Actuar (PDCA). Casi todas las normas emergentes siguen este enfoque, desde la BS 25999 y la NFPA 1600 (edición de 2010) hasta la nueva norma estadounidense de continuidad empresarial que está creando ASIS. Sin embargo, parece haber mucha confusión sobre qué es PDCA y qué significa para la continuidad de la empresa.
El modelo PDCA es el pilar básico de un sistema de gestión, centrado en entretejer la toma de decisiones a nivel directivo con las prácticas tradicionales del programa. Las actividades «tradicionales» del programa de continuidad de negocio, como el análisis del impacto en el negocio y el desarrollo del plan, se encuadran principalmente en una de las categorías («hacer») -véase la figura 1-, pero el valor del PDCA es que la aportación y la retroalimentación de la dirección envuelven estas actividades, garantizando así la mejora continua. Las siguientes secciones desglosan los componentes de un enfoque PDCA de la continuidad de la empresa, centrándose en qué actividades aportarán más valor al programa de tu organización.
Plan
El proceso de «planificación» establece objetivos, metas, controles, procesos y procedimientos para que el programa ofrezca resultados de acuerdo con las políticas y objetivos generales de una organización. En relación con la continuidad de la actividad, esto implica definir el programa de gestión de la continuidad de la actividad, incluida la identificación de normas, la creación de una declaración de política, el nombramiento de un patrocinador del programa y un comité directivo, y el establecimiento de un alcance inicial del programa y la tolerancia al riesgo.
Una de las actividades más importantes del «plan» es que la dirección identifique lo que quiere proteger y recuperar con respecto a su programa de continuidad de negocio. Suelen enunciarse como «productos y servicios críticos». Cabe destacar que formular los objetivos clave del programa de continuidad de negocio como productos clave de la organización ayuda a situar el programa de continuidad de negocio en el lenguaje de la dirección, consiguiendo así la comprensión, el apoyo y la implicación de la dirección.
Haz
El proceso «hacer» pone en práctica y hace funcionar la política, los controles, los procesos y los procedimientos de continuidad empresarial. Esto incluye una serie de acciones para comprender, elaborar estrategias, planificar y poner a prueba la organización ante eventos de continuidad empresarial.
Como ya se ha mencionado, el proceso «hacer» es donde se realizan las tareas comunes de continuidad de negocio. El primer paso en el «hacer» es realizar un análisis del impacto empresarial, o BIA, así como una evaluación de riesgos. El análisis del impacto en la empresa asigna los productos y servicios críticos a los distintos departamentos y actividades, y trata de identificar los objetivos de recuperación para cada uno de ellos. El propósito de la evaluación de riesgos es describir los resultados de los sucesos perturbadores y la idoneidad de los controles actuales para evitar que se produzca el suceso perturbador, así como las recomendaciones de control para alinearse con la tolerancia al riesgo de la organización.
El segundo paso es la identificación de opciones de estrategias de mitigación de riesgos, respuesta y recuperación, y una vez seleccionadas, la aplicación de estos tratamientos de riesgos. El tercer paso del «hacer», implica el desarrollo de la documentación del plan, que debe redactarse de forma que permita un rendimiento repetible de la respuesta y la recuperación, independientemente de la experiencia de la persona que dirija el esfuerzo. El último paso es la formación de toda la organización y la validación de las estrategias y planes mediante ejercicios, y el inicio de las actividades de mantenimiento del programa.
Consulta
El proceso de «comprobación» supervisa y revisa el rendimiento con respecto a los objetivos y políticas establecidos del sistema de gestión e informa de los resultados a la dirección para que los revise. El programa debe someterse a una revisión interna para medir su rendimiento con respecto a las políticas y objetivos predefinidos. Los resultados de dichas evaluaciones deben presentarse a la dirección a través del comité directivo de continuidad de negocio establecido.
Puede que estés pensando: la dirección de mi organización apenas se reúne para establecer objetivos, y mucho menos para revisarlos. Si este es el caso de tu organización, implantar un sistema de gestión es probablemente la solución exacta que necesitas. En lugar de limitarse a presentar métricas basadas en el BIA y las revisiones y el mantenimiento de los planes, el proceso de «comprobación» permite al programa de continuidad de negocio comunicar el rendimiento del programa en un lenguaje comprensible para la dirección. Presentar la capacidad de continuidad de la organización en términos de alineación con los resultados organizativos predefinidos (productos y servicios críticos) ayudará a la dirección a comprender cómo está funcionando el programa en asociación con lo que es importante para ellos. Esto también les ayuda a reconocer mejor cómo afectarían realmente a la organización los riesgos clave, permitiéndoles aceptar el riesgo o tomar medidas al respecto.
En resumen, el proceso de «comprobación» garantiza que la dirección sea responsable del programa y de la capacidad general de continuidad de la actividad de la organización.
Actúa
El proceso «actuar» mantiene y mejora el programa adoptando medidas preventivas y correctivas, basándose en los resultados de la revisión de la dirección y reevaluando el alcance, la política de continuidad de la empresa y los objetivos. Esto incluye la actualización y el mantenimiento de la lista de acciones correctivas / acciones preventivas (CAPA) y un proceso de revisión posterior al incidente, así como garantizar la mejora continua del programa de continuidad de la actividad para alinear constantemente el programa de continuidad de la actividad con las expectativas de la dirección.
¿DEBE MI ORGANIZACIÓN UTILIZAR EL MODELO PDCA?
En muchas organizaciones, los conceptos de los sistemas de gestión ya están incorporados a muchos programas existentes, como la gestión de la calidad. Por tanto, es probable que tu equipo directivo ya esté familiarizado con los conceptos de los sistemas de gestión y comprenda su papel en el funcionamiento de un sistema de gestión. En consecuencia, implantar un marco de sistemas de gestión conecta los esfuerzos de planificación de la continuidad empresarial con objetivos empresariales comúnmente comprendidos y definidos.
Los esfuerzos de continuidad empresarial se mejoran con modelos orientados a los sistemas de gestión, que evitan la jerga profesional y se centran en los resultados empresariales. Situar el programa de continuidad empresarial en los resultados clave de la organización tiene por objeto centrarse en los objetivos de la dirección y hablar en el lenguaje de la organización. Gracias a ello, el programa de continuidad empresarial puede comunicar una capacidad y unos resultados reales, en lugar de centrarse en microproyectos específicos de continuidad empresarial.
¿CUÁLES SON LAS VENTAJAS ASOCIADAS AL MODELO PDCA?
La implantación de un sistema de gestión de la continuidad de la actividad tiene muchas ventajas, muchas de las cuales ya se han descrito en este artículo. Sin embargo, las ventajas pueden resumirse en dos beneficios clave: un sistema de gestión de la continuidad de la actividad obliga a la dirección a rendir cuentas de los resultados del programa, y proporciona un enfoque aceptado para la validación externa.
La clave del éxito de un sistema de gestión de la continuidad del negocio es conseguir y mantener el interés y el apoyo de la dirección ejecutiva. A lo largo de este artículo se han tratado directrices sobre cómo hacerlo, pero el consejo principal es asegurarse de que el programa habla el lenguaje de la dirección ejecutiva (resultados organizativos clave) y comunicar el rendimiento y las tareas del programa en términos de alineación con la capacidad de continuidad de esos resultados organizativos. Al comunicarse de este modo, la dirección comprende la necesidad de su interés continuado en el programa. A la dirección se le presentarán opciones para aceptar o tomar medidas sobre los riesgos que contribuyen directamente al éxito y la continuidad de los productos clave de la organización. Un sistema de gestión de la continuidad del negocio obliga a alinear firmemente lo que piensa la dirección con lo que hace y comunica el programa de continuidad del negocio: de hecho, obliga a la dirección a rendir cuentas al programa.
La segunda ventaja clave de implantar un sistema de gestión de la continuidad de negocio es que resuelve intrínsecamente el problema de «auditar un plan» con el que se encuentran muchas organizaciones. ¿Le han pedido a tu organización una copia de su plan de continuidad empresarial para demostrar que está preparada? Todos sabemos que un grueso plan de continuidad empresarial no equivale a capacidad organizativa. Por desgracia, a menudo los terceros no tienen más opciones que revisar el plan y evaluarlo. Al implantar un sistema de gestión de la continuidad de la actividad empresarial, especialmente uno certificado por terceros, cambia el enfoque de un punto de vista de «marcar la casilla» (auditar un plan), a asegurarse realmente de que tu organización tiene una capacidad de continuidad de la actividad empresarial real, útil y capaz (revisar el rendimiento del sistema de gestión). Esto permite a la organización validar y comunicar el rendimiento del programa tanto internamente (a la dirección ejecutiva) como externamente (a las partes interesadas clave), en muchos casos, ¡sólo mostrando la prueba de la certificación!
¿CÓMO PUEDE MI ORGANIZACIÓN IMPLANTAR UN MODELO DE PDCA O INCORPORAR EL PDCA A NUESTRO PROGRAMA ACTUAL?
Las siguientes directrices pueden ayudarte a implantar el sistema de gestión de la continuidad empresarial en tu organización:
- Establecer un comité directivo de gestión interfuncional
- Habla en el lenguaje que entienda la dirección
- Cómo ven la empresa y qué es importante para ellos
- Haz que la continuidad empresarial sea relevante y fácil de entender: ¡la simplicidad es la clave!
- Centrarse en los resultados de la organización (productos y servicios clave)
- Establecer tolerancias de tiempo de inactividad para productos y servicios clave
- Explicar la capacidad actual de los productos y servicios clave para que la dirección actúe o acepte el riesgo
- Asegurarse de que los objetivos son realistas y de que la dirección está dispuesta a gastar los recursos necesarios para alcanzarlos
CONCLUSIONES
Con la creciente popularidad y el éxito continuado de los sistemas de gestión de la continuidad empresarial, este enfoque y marco está demostrando ser el futuro de la continuidad empresarial. Las organizaciones que luchan por captar y mantener la atención de la dirección ejecutiva se darán cuenta del enorme valor que tiene implantar un sistema de gestión de la continuidad empresarial. Aumentarán las aportaciones y la retroalimentación continua, así como las decisiones y los recursos necesarios para satisfacer las expectativas de la dirección. El marco de los sistemas de gestión de la continuidad empresarial tiene un objetivo: proporcionar un programa de continuidad empresarial que funcione, sea flexible y eficaz.
