Gestion de Riesgos, Resiliencia, Crisis y Continuidad: 2012

Conceptualizando en Gestión de Crisis y Resiliencia.

(Feel free to reproduce, copy or use in public performance of this work, it has no restrictions for research purposes or publication while referring the article and author)

Esta es la era de la preparación (preparedness era) hay que estar listos para todo lo que venga. Antes éramos reactivos y ahora somos proactivos. Ahora además tenemos que ser resilientes, para todo también. En toda esta tendencia y obsesión por “estar listos”, ¿qué pasa con continuidad de negocio? ¿Y con gestión de crisis?

A veces la rutina nos confunde y nos hace olvidar el significado real que a las palabras damos, y el porqué de ese mismo significado. Esta es una confusión o polémica muy habitual sobre el huevo y la gallina o lo que es lo mismo si fue antes Continuidad de Negocio o Gestión de Crisis o viceversa o cual de las dos regula a cual.

Si hay algo que esta arrasando en todas las grandes corporaciones a nivel mundial y que se está extendiendo como la pólvora, eso es el concepto de Resiliencia, definida de mil maneras, pero simplificándola a cualquier áreas de estudio, como capacidad de resistir cualquier impacto y conectarlo con las maneras posibles de volvernos a levantar y continuar. Así es en multitud de áreas. Recomiendo por lo exquisito y extenso del estudio un análisis muy concienzudamente detallado llevado a cabo por el US Department of Homeland Security (DHS, grosso modo nuestro Ministerio del Interior) en el Journal of Homeland Security and Emergency Management, vol 6, Issue 1-2009-Art 83 .

En este nuevo mundo global de Resiliencia Corporativa (Organizational Resilience) existe mucha confusión creada a veces por intereses obvios de mercado e influencia de varias tendencias y a veces solo por confusión de la terminología. Si inicialmente el primer paso de gigante en continuidad lo dio la presentación del BS25999 (1-2); el modelo que integraba todo bajo BCM (Gestión de continuidad de negocio) no cubre todas las áreas, a pesar de tener un amplio apoyo y marco experimental en Reino Unido, la misma Unión Europea y algunos países. Es más, vista la escasa acogida actual y la reorientación del mercado hacia la familia ISO 31000 e ISO 28000, los grandes defensores del modelo británico han reaccionado con celeridad y han aunado fuerzas con ASIS International (que sigue el modelo ISO) para elaborar un producto de Gestión de continuidad de Negocio (Business Continuity Management) “conjunto” suma de las dos tendencias para crear una sola alrededor de las familias de estándares de ISO (ASIS/BSI Business Continuity Management Standard (2010)). Sabia elección, porque siempre es mejor aunar que litigar. Muchos de los que practican el modelo británico se han visto y se ven en una situación incómoda, por aquello que a todos nos cuesta un trocito de ego reconocer que hay que tomar otro camino contrario o diferente al que practicábamos desde hace un tiempo. Merece la pena dejar el ego atrás, sin duda.

El modelo basado en ISO 31000 es mucho más integral y explora un marco que no deja resquicio alguno. Además es relativamente multinacional y compila el esfuerzo inicial australiano y neozelandés, con el impulso del Sudeste Asiático y el reciente apoyo incondicional de Estados Unidos y la mayor parte de países europeos.

En ese marco de ISO 31000 Gestión de Crisis sí es el pilar fundamental, que no el único y los demás son absolutamente no solo necesarios sino completamente complementarios. En el ámbito de ISO31000 y en íntimo contacto se localiza el impulso creado y mantenido por ASIS International para Resiliencia Corporativa (acabamos de publicar el ultimo estándar aprobado por ANSI sobre el modelo de madurez de Resiliencia Corporativa). En ese paraguas monumental que es la Resiliencia, cabe todo, pero hace falta un hilo conductor que lo regule y coordine, y ese hilo conductor debe de estar en lo más alto de la cadena de Mando o Gestión si lo preferís.

Empezaré explicando por qué cuando acudimos a la definición se ve mucho mas claro el concepto. Al hilo de esto, permitirme de nuevo recomendaros un sumario (El PAS completo es de pago y creo que cuesta alrededor de 100 libras esterlinas) sobre el PAS (Publicly Available Section) 200:2011 Crisis Management-Guidance and Good Practice llevado a cabo por Regester Larkin, que recoge bastantes puntos interesantes y también críticos sobre el estudio de Reino Unido.

Gestión de Crisis como su propio nombre indica hace referencia a dos cosas absolutamente claras en cualquier organización por grande o pequeña que sea: Gestión conecta con el Jefe Ejecutivo o el Consejo Directivo o los dos; y Crisis es una palabra que hemos desgastado y contaminado de tanto usarla. Una crisis no es un incidente ni un problema, es una situación muy, pero que muy complicada que se desarrolla en un ambiente inestable, complejo e inesperado, de desconocidas consecuencias (a veces “black swans”) y que pone en alto riesgo cualquiera de nuestros activos o pasivos más importantes, nuestras instalaciones y personal y nuestra reputación; y por ende hace peligrar la existencia de la propia organización en su estado actual. Podéis hacer una comparativa en uno de los últimos papeles de Marzo de BCI (CM What is and how is it delivered, 2012 BCI).

Las crisis, como los riesgos, no son malas por naturaleza, pueden serlo si nos pilla sin preparar pero pueden ser grandes oportunidades en las que fortalecer y consolidar los cimientos de la Resiliencia Corporativa. Os dejo un link de una definición escalable de cómo Gestión de Crisis conecta con Resiliencia Corporativa, que hace poco llevamos a cabo cuando colabore con un par de buenas amigas del Fondo de Población (UNFPA) para finalizar su Plan de Continuidad de Negocio.

Todos tenemos problemas, pero de eso a una crisis hay un trecho, distancia que a veces no queda clara por falta de definición. Se trata en definitiva de una escala temporal que comienza con la localización un problema de desconocido impacto y consecuencias. El problema original se convierte en incidente cuando requiere una intervención de nuestro mecanismo de –primera- respuesta sea el que sea. Cuando la cosa se pone fea y parece ser que el sexto sentido del que responde le dice que esto no tiene muy buena pinta, pues ¿que hace?, lo de siempre, llama al jefe. Y el Jefe es quien declara si hay o no hay crisis. Eso ha sido así contado un poco en “Román paladino” o español de andar por casa.

En el Sistema de Gestión de la Resiliencia Corporativa (ORMS del inglés), el Sistema de Gestión de Incidentes (Incident Command System, ICS; que es básicamente nuestro servicio de seguridad y/o de emergencias internas, incluyendo médicos, psicólogos, encargados de instalaciones y recursos humanos de apoyo) se encarga de estimar la cuantía y calidad del impacto recibido (irrelevante, limitado, relevante, severo y extremo/critico). En cuanto tiene una somera idea de ello, determina si lo puede solucionar por si mismo, lo debe de monitorizar y avisar a alguien para alertar por si acaso o lo lanza al siguiente o más alto supervisor si se trata de un problema grave o gravísimo. También el ICS dispone de mecanismos que son automáticos, como evacuaciones sanitarias, evacuaciones de edificios, et al. que basados en determinados protocolos no precisa de autorización previa por la emergencia de que se trate.

Esto pone en alerta a los mecanismos de gestión de crisis que se preparan para lo peor y esperan lo mejor. Estos mecanismos o están en si mismos compuestos por los mas altos directivos o tienen línea directa con ellos y el consejo de Dirección. Una vez declarada la crisis por la autoridad interna que corresponda, sea el CEO o el equipo de gestión de crisis (CMT), se determinan las medidas a llevar a cabo: seguir monitoreando, activar el plan de continuidad (business continuity), recuperación de desastres (IT Disaster Recovery) o lo que haga falta en función de la situación. Hemos pasado en poco tiempo de un problema a un desastre o incluso una catástrofe. Estos dos últimos en realidad se ven venir inmediatamente, no los eventos en si mismos que son impredecibles pero si sus consecuencias y la magnitud del impacto recibido. Por eso hay que prepara mecanismos que disminuyan al mínimo la respuesta inicial, por limitada y exigua que sea, y que aceleren la integración del modo crisis en el mecanismo de gestión integral. Aquí se hace ver la valía de conectar y coordinar la preparación mediante un marco global como es la Resiliencia Corporativa. Rompemos los silos en la preparación y estamos preparados para la respuesta.

Con todo lo anterior vemos que aunque haya procesos que puedan automatizarse y producirse en aislamiento, el flujo regular obliga a pasar de un escenario a otro escalable en envergadura desde el ICS hasta Gestión de Crisis, y es Gestión de Crisis (conectado al mas alto escalón de mando) quien activa Continuidad o recuperación de desastres e indica como se van a llevar a cabo y cuales operaciones de recuperación, así como la relocalización si fuera precisa.

La conclusión final nos lleva a determinar que efectivamente gestión de crisis juega un papel de coordinación que facilita enormemente la toma de decisiones al más alto nivel y que encaja a la perfección con el concepto de Resiliencia Corporativa. Esto no desmerece en absoluto el papel indispensable que ha jugado la Continuidad de Negocio desde los 90 y las enormes contribuciones que han permitido madurar el modelo hasta el estado actual. Desde el entorno de respuesta inmediata de un negocio de pequeña o mediana entidad, las barreras o diferencias entre gestión de crisis y continuidad de negocio siguen siendo muy difusas o difíciles de identificar, en grandes empresas o instituciones la cosa esta muy clara, la apuesta es resiliencia.

Hasta pronto.

(Feel free to reproduce, copy or use in public performance of this work, it has no restrictions for research purposes or publication while referring the article and author)

How standards help us in our everyday job

A bit of history

We have been bombarded during recent years about standards, coming from very different organizations. The history of standards goes back to the Second World War, from the moment at which the Allies had the urgent need to standardize mechanisms of collaboration. The second great moment came with the development of the global network (internet) -- it was more than fundamental to achieve a mechanism that ensured the network was flowing adequately and, with this intention, it was necessary that all the computers were linked by the same language all the time. The third important impulse came from the hand of two important milestones: on one hand, the strong impulse dedicated by the European Union to coordinate mechanisms that were facilitating the inter-ministerial communication among all its member states and partners and, on the other hand, the trend towards a global world in recession. As a consequence of the latter impulse it becomes necessary to strengthen an international mechanism that facilitates the task of inter-state coordination. It is at the time when the International Standards Organization (or ISO from the Greek “equal”) takes a relevant role in the area of the elaboration of standards and guidelines to facilitate a global communication. The industrialized countries and the emerging ones saw there an opportunity to compile lessons learned and good practices in a multitude of common areas.

Security Standards’ approach

The field of safety and security has quickly evolved into risk management as a wider field of development, by bringing together within risk management the expertise of different areas as dissimilar as security and finances. In addition, it is a must in this recession environment to better coordinate efficient response in all business areas under a unique Governance mechanism. The definitive impulse was given by the business continuity preparedness process that favoured the communication between areas rarely in contact with each other. Crisis Management has now, more than ever, a management/coordination role above all the different areas of response.

ISO, ASIS International, BSI, CPM, BCI and many others began a process of intercommunication that led to the birth of the ISO 31000 Risk Management Standard based on the Australian model. Since then, an endless number of very well coordinated and interlinked products have appeared, with the intention of obtaining a perfect communication flow between economy of means, efficiency and standardization. In this process was born the idea of connecting governance with Corporate Risk Management to better face an all hazards approach rather than a single scenario-based approach. This concept today is widely known as Enterprise Risk Management (ERM), and is intimately tied to the development of Organizational Resilience. The standards do not have the intention of imposing a system, but rather of offering sustainable alternatives and the probed and condensed expertise of recognized professional subject matter experts in every area. Every organization can use at its convenience any standard and adapt it to their internal needs with little effort. More than reinventing the wheel again, it is a way to share and better communicate.

Where are these standards available?

Not every publication with the word “standard” on the cover is really worth reading. One needs to differentiate between personal experience compilations and truly international standards. Though many of the good standards have a cost (no more than the one of every regular research publication), the investment is worth it because you can find an excellent compilation of good, consolidated practices and lessons learned of great utility that can maximize your time while researching and help your organization in the tedious process of improving the efficiency of our internal boards and governance mechanisms. There are other standards free of charge. Doing a rapid search online one can find copies of both of them (see below).