Derechos de Autor

Creative Commons License
Gestion de Riesgos, Crisis y Continuidad by Jose Miguel Sobron is licensed under a Creative Commons Attribution-NonCommercial-NoDerivs 3.0 Unported License.
Based on a work at

Share it

viernes, 13 de diciembre de 2013

Social Resilience and Vulnerability in a crisis context

Defining vulnerability depends on the kind of crisis context and also on the expected results. I believe that connecting it with resilience will help our outcome in any specific crisis domain.
Vulnerability is the degree of:
i)         Exposure to risks of a system (an individual, a population, an organization) when damaged by an event or a crisis (natural or man-made) and;
ii)       Its inability to cope with the consequences of the impact received and/or the uncertainty of the situation (lack of resilience).
Vulnerability is the lack of resilience and the degree of exposure to face uncertainty and unexpected situations or events.

Below is the rationale that explains the following definition in a crisis context:
Since the adoption of the Hyogo Framework, the main goal of hazard planning and disaster risk reduction has slightly shifted to focusing more on building community resilience rather than only reducing vulnerability.
 Vulnerability increases exponentially in the lack of preparedness and has an inverse correlation with resilience and exposure to risks while has a direct correlation with uncertainty. They are not antagonist concepts because resilience doesn’t eliminate vulnerability nevertheless reduces our exposure and the impact we receive. In a disaster, being prepared and resilient could not avoid the existent vulnerabilities but could reduce enormously the impact and our exposure too. Vulnerability and Resilience have been connected imperatively (see V2R doc) in all kind of studies since both are in the same path to sustainability and survival (survival of the fittest vs. survival of the more resilient).
As resilience deals with complex systems, a system of systems in reality, vulnerability has cross-cutting areas of influence too. The individual connects with the community and this with the institutions and those with the global approach. Taking this into account, is very interesting to see how different -but collaterally interlinked areas- from disaster management to social-ecological systems (SESs), define vulnerability. Anyway, the most important side of the equation is not to define holistically vulnerability but how to measure the benefits of implementing resilience to ensure adequate funding; capacity building to reduce both vulnerability and exposure and increase awareness of implementation.
Below the definitions aforementioned:
1.       V2R: Vulnerability is the degree to which a population or system is susceptible to, and unable to cope with, hazards and stresses, including the effects of climate change (see From Vulnerability to Resilience below)
2.       UNISDRR : The characteristics and circumstances of a community, system or asset that make it susceptible to the damaging effects of a hazard. 

Comment: There are many aspects of vulnerability, arising from various physical, social, economic, and environmental factors. Examples may include poor design and construction of buildings, inadequate protection of assets, lack of public information and awareness, limited official recognition of risks and preparedness measures, and disregard for wise environmental management. Vulnerability varies significantly within a community and over time. This definition identifies vulnerability as a characteristic of the element of interest (community, system or asset) which is independent of its exposure. However, in common use the word is often used more broadly to include the element’s exposure.

3.       ISO guide73:2009: Intrinsic properties of something resulting in susceptibility to a risk source that can lead to a consequence.
4.       Vulnerability analysis – Susceptibility of an event successfully materializing that has the potential to disrupt the achievement of objectives and the activities and processes that support them (“how”).

5.       Vulnerability is the set of characteristics and circumstances of an individual, household, population group, system or asset that make it susceptible (or sensitive, in the case of ecosystems) to the damaging effects of a hazard and/or effects of climate change. These characteristics and circumstances can be physical, institutional, political, cultural, social, environmental, economic and human.
There are too many models in place now, but they are pretty much built in silos, for very specific purposes and it is difficult to extrapolate them to different environments or situations. The excess of details of some don’t allow them to be used in other environments and the lack of details of others doesn’t provide the rationale to justify the implementation of resilience with concise data.
There is a need to build a flexible maturity model system which measures the areas where we find vulnerabilities. It needs to be flexible because every system is composed by complex different systems, and then there is no solution that fits all the variables. It has to be adapted to every particular environment, to every community, while keeping commonalities. Coincidentally not everything could be done at once, so we need to establish this maturity model (MM) that welcomes all the systems from immaturity to complex developed systems. Mapping the status of vulnerabilities by areas and defining how implementing resilience and reducing exposure will benefit the community is a tedious but fundamental job to be done. The challenge is how to build such a maturity system without getting lost in the details and the data. Once this is built, it will be very useful for organizations and communities worldwide. Flexibility, adaptability and transformability are the main requirements for this MM, not just a collection, compilation of data but a real analysis system that gives results on what works, why success is achieved in reducing vulnerabilities and how much the implementation effort costs. If that is achieved, the funding required will be better obtained. The problem we face now is how to justify the implementation of something we can hardly measure.
One recommendation that I believe will worth the investment of time and effort, is to have a reading through the methodology of the ISO series: 9000 Quality Management Standards, the 14000 series on environmental management and the ISO 31000 risk management. They have been proven very successful for the private sector and Governments worldwide. In this sense a Social Resilience standard is to be developed the next year, I will keep you updated on the Committee formation and the need for support and ideas.

lunes, 22 de abril de 2013

Resilience, What resilience? A short manual to avoid term-confusion overdoses.

Resilience, What resilience?
A short manual to avoid term-confusion overdoses.
By José Miguel Sobrón, April © 2013
(Feel free to reproduce, copy or use in public performance of this work, it has no restrictions for research purposes or publication while referring the article and author)

No he podido resistirme a la tentación de escribir una nota corta sobre un fenómeno que no deja de sorprenderme en los últimos años.

A veces sucede que un nuevo término  o un término cualquiera - no tiene por qué ser nuevo- aflora de repente en nuestras vidas y empezamos a verlo por todos sitios. Creo que sin redundar en muchos detalles este es el caso de Resiliencia

Podemos definirla de mil maneras diferentes. Antes de entrar a describir ninguna de ellas, me gusta siempre contar que la primera vez que escuche el termino Resiliencia, fue allá por los 70 cuando en clase de física (de Física y Química), mi profesor de BUP, D. Manuel,-lastima no recuerdo su apellido- quien era capaz de meter en nuestras cabecitas cualquier concepto por intrépido e intragable que fuera, nos contaba por primera vez qué significaba el termino Resiliencia. Y lo hacía describiendo como una esponja natural, después de ser estrujada por nuestras manos, retomaba su aspecto inicial, sin perder la compostura: era un cuerpo resiliente, recuperaba su forma inicial después de haber sido deformada por cualquier fuerza. Para mí desde aquel día la idea de resiliente era eso, volver a su estado inicial después de haber sufrido cualquier...cosa.

Después la volví a escuchar en los 90 de Rojas Marcos y en el área de psicología, volver  a ser nosotros después de ser afectados por cualquier evento vital, más o menos, recuperarnos era la idea también.

¿Quién me iba a decir a mí, que un par de décadas después la palabrita de marras iba a ser una constante en mi quehacer diario? Así se llama la Unidad en la que trabajo: “Unidad de Gestión de Sistemas de la Resiliencia Organizacional” (En inglés parece que suena más natural “Organizational Resilience Management Systems Unit”).

Ahora todo el mundo habla de Resiliencia, pueblos resilientes, sociedades resilientes, empresas resilientes....todo es resiliente. Sin duda una miríada de adjetivos podría dar un detalle mejor del significado, pero ahora se usa resiliente, es más de hoy. Como que tiene más fuerza, como que es mejor.

Resiliencia hoy en día se ha convertido en un término fundamental, como puede ser por ejemplo eficiencia. Todo debe de ser eficiente, sino, no es moderno ni interesante. Le ha pasado al termino resiliencia lo mismo que hace poco le sucedió al termino igualdad. Igualdad estaba hasta en la sopa. Agenda de la igualdad, acceso igualitario de servicios y derechos, igualdad de género, igualdad de oportunidades, etc. Ahora también tenemos organizaciones resilientes, Agenda de la Resiliencia, Resiliencia a los desastres, Resiliencia Corporativa, Resiliencia Societal, etc...

Bueno pues después de toda esta corta introducción, me gustaría hablar de Resiliencia. De no mezclar churras con merinas, que es fácil a veces. Se acuerdan de aquel famoso LP de Supertramp "Crisis, what crisis?". Pues a esto le voy a llamar "Resilience, what  resilience?".

De eso se trata, ¿de que resiliencia estamos hablando? No voy a hablar del término en sí para lo cual recomiendo una bibliografía que añadí tiempo ha, según la cual cada uno de ustedes será muy libre de ver cómo le aplica el término. Quiero hablar de Resiliencia como marco, como constructo metodológico, no como adjetivo.

Como marco el primero que aparece –por ahora- es el de Resiliencia Organizacional, y está relacionado con la gestión de sistemas (Organizational Resilience Management Systems, ORMS). Quien le puso el nombre y apellidos a la Resiliencia Organizacional, fue por cierto para evitar malentendidos  el Dr. Marc Siegel, creador del término ORMS, gurú internacional de la Resiliencia Organizacional y erudito en el ámbito de los estándares internacionales (ISO). Un marco metodológico, que genera un cambio cultural importante en toda organización, al correlacionar todas y cada una de sus partes, hacerlas comunicarse e interconectar proactivamente (no reactivamente) para obtener como resultado final una organización resiliente. Aquí Resiliencia se define como la capacidad de una organización y sus partes para anticipar, absorber, acomodar, y recuperarse de los efectos de una situación (esperada o inesperada) en tiempo y modo eficiente. Por razones obvias esta definición con más o menos acierto puede ser trasladada a cualquier área de aplicación. 

Lo que trato de explicar en Román paladino es la diferencia entre el concepto amplio de resiliencia como una capacidad general de recuperarse de algo y el concepto de Resiliencia Organizacional, como un marco metodológico que optimiza la gestión de sistemas a cualquier nivel.

La gestión de sistemas (management systems) es la clave de la diferencia entre la multitud de aplicaciones del término de resiliencia y Resiliencia como marco metodológico.
Como marco metodológico, la Resiliencia Organizacional es una metodología que aspira a compilar las lecciones aprendidas y practicas más usuales en muchos ámbitos mediante el empleo de estándares internacionales de consolidada eficiencia y eficacia. Esos estándares se basan en la gestión de múltiples sistemas como base del método. No hay una solución que aplique a todo, pero se trata de una nube de gestión de diferentes áreas que intercoordinadas dan como producto una organización o sistema de sistemas capaz de anticipar, absorber, acomodar, y recuperarse de los efectos de una situación (esperada o inesperada) en tiempo y modo eficiente. Para poder llevar a cabo esto de un modo eficiente, hay una metodología necesaria a seguir, para asegurarnos de que los estándares utilizados son los adecuados. 

El quid de la cuestión es que la organización o sistemas de gestión de sistemas trabajan como un todo. En este mundo de tecnología, nubes y redes, cuando hablamos de gestionar una organización, no hay hueco ni oportunidad para elementos aislados, elementos eficientes quiero decir. Es por eso que la gestión de sistemas es la única alternativa holística capaz de dar una respuesta del todo al todo, me explico. 

Cada vez que un elemento de un sistema es afectado por cualquier variación, hay repercusiones en mayor o menor medida en el sistema total. Esto no es ningún descubrimiento, lo que sí es importante es que el impacto que sufre una o varias de las partes se ve multiplicado, unas veces, reducido otras, por el efecto del conjunto del sistema. El sistema total, dada la cada vez mayor convergencia, integración, comunicación y fluidez de cada uno de sus sistemas se ve impactado con mayor velocidad tras el impacto en una de sus partes. Reacciona al fin y al cabo como cualquier ente vivo, que cuando uno de sus miembros es afectado, el resto nota esa situación en mayor o menor medida dependiendo de la criticalidad del sistema afectado. 

El problema con la gestión de sistemas, es que no aplican solo como en el ejemplo de un cuerpo; en el que un individuo puede seguir trabajando aunque se le haya roto una pierna. Le duele, pero tras el impacto y la subsiguiente cura -si la hay, amputación en su defecto- el individuo (el sistema) sigue trabajando y haciendo su vida. Ya veremos qué tipo de vida puede seguir llevando, pero no se ha muerto aun. Por eso hacemos el símil de la gestión de sistemas, con una analogía al cuerpo humano, otro sistema de gestión de sistemas. La gran diferencia es que poco a poco  gracias al crecimiento exponencial de la tecnología y al enfoque multisistemas, las organizaciones se están achatando y la pirámide jerárquica desapareciendo con el formato que estamos habituados a ver, lo que acelera la interacción de cada sistema y exige un tipo de liderazgo y gestión más adaptativo y habituado a rápidas tomas de decisiones, más flexible, más eficiente en su capacidad de reacción. Siguiendo con la analogía, es como si el cuerpo humano del que estuviéramos hablando estuviera compuesto cada vez más de partes más críticas e insustituibles y no de partes de las que pudiera prescindir fácilmente. Para que la gestión de sistemas sea eficiente y funcione acorde al modelo de Resiliencia Organizacional, cada sistema debe de definir claramente sus niveles de criticalidad integral, es decir, lo critico que es una parte del sistema en función de sus interacciones y dependencias del resto de los sistemas parte del todo.

Bueno hasta aquí la definición inicial, somera, de como la Resiliencia Organizacional funciona y se rige y se gesta. Para los detalles de cómo somos capaces de implementarla y ponerla en funcionamiento, hará falta otro ratito. De este marco de ORMS para Organizaciones, nace la Resiliencia Societal como marco metodológico aplicado a las sociedades. 

Esta es la diferencia que espero haya sido capaz de explicar, entre un marco conceptual para la aplicación de una metodología de gestión de sistemas, y un adjetivo o propiedad de aplicacion general.

miércoles, 2 de mayo de 2012

Conceptualizando en Gestión de Crisis y Resiliencia.
By José Miguel Sobrón, May © 2012
(Feel free to reproduce, copy or use in public performance of this work, it has no restrictions for research purposes or publication while referring the article and author)

Esta es la era de la preparación (preparedness era) hay que estar listos para todo lo que venga. Antes éramos reactivos y ahora somos proactivos. Ahora además tenemos que ser resilientes, para todo también. En toda esta tendencia y obsesión por “estar listos”, ¿qué pasa con continuidad de negocio? ¿Y con gestión de crisis?
A veces la rutina nos confunde y nos hace olvidar el significado real que a las palabras damos, y el porqué de ese mismo significado. Esta es una confusión o polémica muy habitual sobre el huevo y la gallina o lo que es lo mismo si fue antes Continuidad de Negocio o Gestión de Crisis o viceversa o cual de las dos regula a cual.
Si hay algo que esta arrasando en todas las grandes corporaciones a nivel mundial y que se está extendiendo como la pólvora, eso es el concepto de Resiliencia, definida de mil maneras, pero simplificándola a cualquier áreas de estudio, como capacidad de resistir cualquier impacto y conectarlo con las maneras posibles de volvernos a levantar y continuar. Así es en multitud de áreas. Recomiendo por lo exquisito y extenso del estudio un análisis muy concienzudamente detallado llevado a cabo por el US Department of Homeland Security (DHS, grosso modo nuestro Ministerio del Interior) en el Journal of Homeland Security and Emergency Management, vol 6, Issue 1-2009-Art 83  .
En este nuevo mundo global de Resiliencia Corporativa (Organizational Resilience) existe mucha confusión creada a veces por intereses obvios de mercado e influencia de varias tendencias y a veces solo por confusión de la terminología. Si inicialmente el primer paso de gigante en continuidad lo dio la presentación del BS25999 (1-2); el modelo que integraba todo bajo BCM (Gestión de continuidad de negocio) no cubre todas las áreas, a pesar de tener un amplio apoyo y marco experimental en Reino Unido, la misma Unión Europea y algunos países. Es más, vista la escasa acogida actual y la reorientación del mercado hacia la familia ISO 31000 e ISO 28000, los grandes defensores del modelo británico han reaccionado con celeridad y han aunado fuerzas con ASIS International (que sigue el modelo ISO) para elaborar un producto de Gestión de continuidad de Negocio (Business Continuity Management) “conjunto” suma de las dos tendencias para crear una sola alrededor de las familias de estándares de ISO (ASIS/BSI Business Continuity Management Standard (2010)). Sabia elección, porque siempre es mejor aunar que litigar. Muchos de los que practican el modelo británico se han visto y se ven en una situación incómoda, por aquello que a todos nos cuesta un trocito de ego reconocer que hay que tomar otro camino contrario o diferente al que practicábamos desde hace un tiempo. Merece la pena dejar el ego atrás, sin duda.
El modelo basado en ISO 31000 es mucho más integral y explora un marco que no deja resquicio alguno. Además es relativamente multinacional y compila el esfuerzo inicial australiano y neozelandés, con el impulso del Sudeste Asiático y el reciente apoyo incondicional de Estados Unidos y la mayor parte de países europeos.
En ese marco de ISO 31000 Gestión de Crisis sí es el pilar fundamental, que no el único y los demás son absolutamente no solo necesarios sino completamente complementarios. En el ámbito de ISO31000 y en íntimo contacto se localiza el impulso creado y mantenido por ASIS International para Resiliencia Corporativa (acabamos de publicar el ultimo estándar aprobado por ANSI sobre el modelo de madurez de Resiliencia Corporativa). En ese paraguas monumental que es la Resiliencia, cabe todo, pero hace falta un hilo conductor que lo regule y coordine, y ese hilo conductor debe de estar en lo más alto de la cadena de Mando o Gestión si lo preferís.
Empezaré explicando por qué cuando acudimos a la definición se ve mucho mas claro el concepto. Al hilo de esto, permitirme de nuevo recomendaros un sumario (El PAS completo es de pago y creo que cuesta alrededor de 100 libras esterlinas) sobre el PAS (Publicly Available Section) 200:2011 Crisis Management-Guidance and Good Practice llevado a cabo por Regester Larkin, que recoge bastantes puntos interesantes y también críticos sobre el estudio de Reino Unido.
Gestión de Crisis como su propio nombre indica hace referencia a dos cosas absolutamente claras en cualquier organización por grande o pequeña que sea: Gestión conecta con el Jefe Ejecutivo o el Consejo Directivo o los dos; y Crisis es una palabra que hemos desgastado y contaminado de tanto usarla. Una crisis no es un incidente ni un problema, es una situación muy, pero que muy complicada que se desarrolla en un ambiente inestable, complejo e inesperado, de desconocidas consecuencias (a veces “black swans”) y que pone en alto riesgo cualquiera de nuestros activos o pasivos más importantes, nuestras instalaciones y personal y nuestra reputación; y por ende hace peligrar la existencia de la propia organización en su estado actual. Podéis hacer una comparativa en uno de los últimos papeles de Marzo de BCI (CM What is and how is it delivered, 2012 BCI).
 Las crisis, como los riesgos, no son malas por naturaleza, pueden serlo si nos pilla sin preparar pero pueden ser grandes oportunidades en las que fortalecer y consolidar los cimientos de la Resiliencia Corporativa. Os dejo un link de una definición escalable de cómo Gestión de Crisis conecta con Resiliencia Corporativa, que hace poco llevamos a cabo cuando colabore con un par de buenas amigas del Fondo de Población (UNFPA) para finalizar su Plan de Continuidad de Negocio.
Todos tenemos problemas, pero de eso a una crisis hay un trecho, distancia que a veces no queda clara por falta de definición. Se trata en definitiva de una escala temporal que comienza con la localización un problema de desconocido impacto y consecuencias. El problema original se convierte en incidente cuando requiere una intervención de nuestro mecanismo de –primera- respuesta sea el que sea. Cuando la cosa se pone fea y parece ser que el sexto sentido del que responde le dice que esto no tiene muy buena pinta, pues ¿que hace?, lo de siempre, llama al jefe. Y el Jefe es quien declara si hay o no hay crisis. Eso ha sido así contado un poco en “Román paladino” o español de andar por casa.
En el Sistema de Gestión de la Resiliencia Corporativa (ORMS del inglés), el Sistema de Gestión de Incidentes (Incident Command System, ICS; que es básicamente nuestro servicio de seguridad y/o de emergencias internas, incluyendo médicos, psicólogos, encargados de instalaciones y recursos humanos de apoyo) se encarga de estimar la cuantía y calidad del impacto recibido (irrelevante, limitado, relevante, severo y extremo/critico). En cuanto tiene una somera idea de ello, determina si lo puede solucionar por si mismo, lo debe de monitorizar y avisar a alguien para alertar por si acaso o lo lanza al siguiente o más alto supervisor si se trata de un problema grave o gravísimo. También el ICS dispone de mecanismos que son automáticos, como evacuaciones sanitarias, evacuaciones de edificios, et al. que basados en determinados protocolos no precisa de autorización previa por la emergencia de que se trate.
Esto pone en alerta a los mecanismos de gestión de crisis que se preparan para lo peor y esperan lo mejor. Estos mecanismos o están en si mismos compuestos por los mas altos directivos o tienen línea directa con ellos y el consejo de Dirección. Una vez declarada la crisis por la autoridad interna que corresponda, sea el CEO o el equipo de gestión de crisis (CMT), se determinan las medidas a llevar a cabo: seguir monitoreando, activar el plan de continuidad (business continuity), recuperación de desastres (IT Disaster Recovery) o lo que haga falta en función de la situación. Hemos pasado en poco tiempo de un problema a un desastre o incluso una catástrofe. Estos dos últimos en realidad se ven venir inmediatamente, no los eventos en si mismos que son impredecibles pero si sus consecuencias y la magnitud del impacto recibido. Por eso hay que prepara mecanismos que disminuyan al mínimo la respuesta inicial, por limitada y exigua que sea, y que aceleren la integración del modo crisis en el mecanismo de gestión integral. Aquí se hace ver la valía de conectar y coordinar la preparación mediante un marco global como es la Resiliencia Corporativa. Rompemos los silos en la preparación y estamos preparados para la respuesta.
Con todo lo anterior vemos que aunque haya procesos que puedan automatizarse y producirse en aislamiento, el flujo regular obliga a pasar de un escenario a otro escalable en envergadura desde el ICS hasta Gestión de Crisis, y es Gestión de Crisis (conectado al mas alto escalón de mando) quien activa Continuidad o recuperación de desastres e indica como se van a llevar a cabo y cuales operaciones de recuperación, así como la relocalización si fuera precisa.
La conclusión final nos lleva a determinar que efectivamente gestión de crisis juega un papel de coordinación que facilita enormemente la toma de decisiones al más alto nivel y que encaja a la perfección con el concepto de Resiliencia Corporativa. Esto no desmerece en absoluto el papel indispensable que ha jugado la Continuidad de Negocio desde los 90 y las enormes contribuciones que han permitido madurar el modelo hasta el estado actual. Desde el entorno de respuesta inmediata de un negocio de pequeña o mediana entidad, las barreras o diferencias entre gestión de crisis y continuidad de negocio siguen siendo muy difusas o difíciles de identificar, en grandes empresas o instituciones la cosa esta muy clara, la apuesta es resiliencia.
 Hasta pronto.

José Miguel Sobrón, May © 2012
(Feel free to reproduce, copy or use in public performance of this work, it has no restrictions for research purposes or publication while referring the article and author)

viernes, 27 de abril de 2012

How standards help us in our everyday job

A bit of history

We have been bombarded during recent years about standards, coming from very different organizations.  The history of standards goes back to the Second World War, from the moment at which the Allies had the urgent need to standardize mechanisms of collaboration.  The second great moment came with the development of the global network (internet) -- it was more than fundamental to achieve a mechanism that ensured the network was flowing adequately and, with this intention, it was necessary that all the computers were linked by the same language all the time.  The third important impulse came from the hand of two important milestones:  on one hand, the strong impulse dedicated by the European Union to coordinate mechanisms that were facilitating the inter-ministerial communication among all its member states and partners and, on the other hand, the trend towards a global world in recession.  As a consequence of the latter impulse it becomes necessary to strengthen an international mechanism that facilitates the task of inter-state coordination.  It is at the time when the International Standards Organization (or ISO from the Greek “equal”) takes a relevant role in the area of the elaboration of standards and guidelines to facilitate a global communication.  The industrialized countries and the emerging ones saw there an opportunity to compile lessons learned and good practices in a multitude of common areas.

Security Standards’ approach

The field of safety and security has quickly evolved into risk management as a wider field of development, by bringing together within risk management the expertise of different areas as dissimilar as security and finances.  In addition, it is a must in this recession environment to better coordinate efficient response in all business areas under a unique Governance mechanism.  The definitive impulse was given by the business continuity preparedness process that favoured the communication between areas rarely in contact with each other. Crisis Management has now, more than ever, a management/coordination role above all the different areas of response.
 ISO, ASIS International, BSI, CPM, BCI and many others began a process of intercommunication that led to the birth of the ISO 31000 Risk Management Standard based on the Australian model.  Since then, an endless number of very well coordinated and interlinked products have appeared, with the intention of obtaining a perfect communication flow between economy of means, efficiency and standardization.  In this process was born the idea of connecting governance with Corporate Risk Management to better face an all hazards approach rather than a single scenario-based approach.  This concept today is widely known as Enterprise Risk Management (ERM), and is intimately tied to the development of Organizational Resilience.  The standards do not have the intention of imposing a system, but rather of offering sustainable alternatives and the probed and condensed expertise of recognized professional subject matter experts in every area.  Every organization can use at its convenience any standard and adapt it to their internal needs with little effort.  More than reinventing the wheel again, it is a way to share and better communicate.

Where are these standards available?

Not every publication with the word “standard” on the cover is really worth reading. One needs to differentiate between personal experience compilations and truly international standards.  Though many of the good standards have a cost (no more than the one of every regular research publication), the investment is worth it because you can find an excellent compilation of good, consolidated practices and lessons learned of great utility that can maximize your time while researching and help your organization in the tedious process of improving the efficiency of our internal boards and governance mechanisms.  There are other standards free of charge.  Doing a rapid search online one can find copies of both of them (see below).

Interesting references

Here are some interesting references to be explored; some of them contain papers that can be downloaded free of charge:

jueves, 9 de junio de 2011

Conferencia en DRIE Ottawa, Canada

Dear colleagues,
Just a few words to present the conference on Organizational resilience in the Ottawa Chapter of DRIE.

Thanks to Frank Slater, Grant Lecky and the lot of friends and professionals I found there.
Ottawa will deserve some more visits for sure.
Jose Miguel

lunes, 31 de enero de 2011

INTIF-STROIKA (A massive Intifada with a popular Perestroika’s smell?): Is the first step of a new Arab world, then a new world too? or just a bluff?

One more Black Swan.
We cannot stop collecting them all since the unexpected fall of the Soviet Union, the Tsunami, the Earthquake in Haiti, the last worldwide economic crisis, etc.
This approach reinforces Nicholas Taleb’s theory and as a summary we can affirm that the best way to be prepared for any black swan (whatever is the effect or the origin) is to be prepared for becoming a resilient organization.

Investing on it, is a must.

Different interpretations can be obtained from that point. From the Organizational point of view, is pretty clear we need to train our selves as much as we can in the domain of known likely “failures areas”. Basically, because we cannot “predict” the rest: the unknown nor the unexpected.

Observers all over the world are now trying to imagine (do not say predict please) which would be the final effect of this Tunis’ butterfly effect that is spreading to Egypt and Yemen these days, may be Algeria later. Keep watching.
Depending on the collateral effects of these mentioned ones and the way they will evolve, the rest of the Arab world could become a very different one in several months, even weeks.

That is the smelling we have now an this “INTIF-STROIKA”: a kind of massive Intifada with a perestroika’s touch effect.

There is a big difference these days, and you know what I am talking about. While the Gorvachov’s effect was widely and heavily support by the rest of the world and that catalyzed the final result into a quick chain reaction in all Russian satellites; these days we are missing a similar support from the rest of the world for this Arab democratic rebellion.

Is more sympathy than support? I hope and wish with all my heart, for the well being of the humanity as a whole, that this lack of effective support does not transform our young and ”looking-for-freedom-Arab-revolutionaries” into an anti-world feeling because of this lost/missed opportunity, or even worst, into the advantage of those who play with destabilization in a world that needs more freedom.

Connecting the political arena with the Resilience….The translation for the private sector is pretty obvious after any of these black swans has arrived:
A resilient organization will be much quicker than the rest of the competitors to obtain a better position in a complicated environment.

In the middle of any crisis any corporation tries to ensure survivability and sustainability. Let’s imagine there is one Corporation or Enterprise that is good enough to obtain a competitive reaction, significant enough from the point of view of time. In this moment to be as much quickly recovered as possible, gives the board the strength to be able to invest time and resources, not in crisis but in exploring areas of interest, in evaluating the new scenario and that means: the greatest advantage over the market, time.

This is the basis for an organization to be trained as a resilient one, be able to give management and advisors time for new ideas and at the same time will extent our benefits in the domain of the market.

If due to any reason, major companies have to be dealing with an unexpected crisis, the quickest ones will be in such an advantage that the impact will maximize their investments in resilience quicker than a new and successful product. Just think about the public effect of every company becoming supply chain “restricted” due to an event while one or two are not. Competitors will take advantage “just if they are ready for that event”.

Coming back to the INFISTROIKA situation there is there some think for thought:
  • Is good enough to have suddenly a new opportunity as a new emergent market like the “New Arab world” could become? I am sure it is,
  • Are we ready to think about strategies to be implemented when such an opportunity is in front of us? I am afraid that is not yet the case.

Most of us, we prefer to stay in front of the TV watching and looking for the prophecy to be self accomplished:
-“I told you a month ago, this was going to happen”.
Yes, you told me but:
- What did you do, the last month, to put yourself into the best possible scenario before the rest of the world does?
 Think on that…..

martes, 16 de noviembre de 2010

Terms for ORMS (Organizational Resiliency Management System)

When discussing about crisis, emergencies and similar terms, you have this kind of feeling you are in the middle of the Gran Vía in Madrid watching these guys betting on three cards and you do not realize this is a card trick, they are scamming you. Eventually each one tries to sell its own approach and consequently this concept’s fight creates unnecessary confusion. In fact, in order to avoid such confusion, big corporations and organizations create Lexicons, to consolidate and facilitate their methodologies, to be able to explain how a concept is translated. Obviously there is an interest in some definitions but anyone is adult enough to make the difference in between what is needed and what is not. So your call, take what is better for you and end up with your own conclusions.
Cuando se empieza a discutir de crisis, emergencias y similares, al final uno acaba teniendo la sensación de que esta en una mesa de trileros en mitad de la Gran Vía madrileña, mirando las cartas pasar sin darte cuenta de que básicamente te están timando. Vaya que cada uno te quiere vender su concepto o su sistema pero hay una gran confusión. De hecho ya para evitar esas confusiones cada organización debiera de editar sus diccionarios terminológicos, más modestamente lexicones, para que sirvan de traductor de lo que se presenta. Hecha la ley hecha la trampa, muchos se apresuran a compilar ese lexicón e ignoran lo que sucede a su alrededor. Bueno como ya somos mayorcitos, cada uno que lea lo que le apetezca y después saque sus propias conclusiones.
Three different sources for terms definitions: Aquí os cuelgo tres fuentes: DHS, y UNITED NATIONS.
DHS (Department of Homeland Security),.,
Aunque recomiendo enfervorecidamente la mía por supuesto (ver debajo) y la versión de vocabulario del ISO 31000 ISO Guide 73 Risk Management-Vocabulary, que para eso es el fruto de consenso internacional. Esta última hay que comprarla en
Here attached you have the definition I made for in-house use, hope nobody else claims the copyright just please refer to the source in any case.
Por mi parte, totalmente propio, os paso una definición de términos básica que he elaborado para aplicación interna en Naciones Unidas en el marco de, como lo he hecho yo mismo espero que nadie de mis chicos me exija el copyright, solo os pediría que mencionarais la procedencia si lo usáis para lo que sea.
I truly believe they can be of benefit for you, of course adding your own internal corrections.
Creo que los tres pueden seros de utilidad con vuestras propias modificaciones sobre la diferencia a nivel de términos básicos.


La nueva tendencia en gestión de riesgos es Resiliencia, ERM(Enterprise Risk Management) ya ha conectado con Organizational Resilience y van a marcar las pautas de los próximos años.
En el ámbito de la gestión de crisis y la continuidad de negocio hay una carencia importante de cooperación entre elementos del entorno profesional. Ello hace que estemos mucho menos conectados que otros países cuya visión-que yo mismo comparto- por el networking (desarrollo de redes de profesionales) les impulsa mas y mejor, basados en el aprovechamiento de ideas de otros -que es como se avanza- que en la exclusiva creatividad de unos pocos.

Desde aquí te animo a participar tu apoyo nos hará mejores.