Conceptualizando en Gestión de Crisis y Resiliencia.
By José Miguel Sobrón, May © 2012
(Feel
free to reproduce, copy or use in public performance of
this work, it has no restrictions for research purposes or publication while
referring the article and author)
Esta es
la era de la preparación (preparedness era) hay que estar listos para todo lo
que venga. Antes éramos reactivos y ahora somos proactivos. Ahora además tenemos
que ser resilientes, para todo también. En toda esta tendencia y obsesión por “estar
listos”, ¿qué pasa con continuidad de negocio? ¿Y con gestión de crisis?
A veces
la rutina nos confunde y nos hace olvidar el significado real que a las
palabras damos, y el porqué de ese mismo significado. Esta es una confusión o polémica
muy habitual sobre el huevo y la gallina o lo que es lo mismo si fue antes Continuidad
de Negocio o Gestión de Crisis o viceversa o cual de las dos regula a cual.
Si hay
algo que esta arrasando en todas las grandes corporaciones a nivel mundial y
que se está extendiendo como la pólvora, eso es el concepto de Resiliencia, definida
de mil maneras, pero simplificándola a cualquier áreas de estudio, como
capacidad de resistir cualquier impacto y conectarlo con las maneras posibles
de volvernos a levantar y continuar. Así es en multitud de áreas. Recomiendo
por lo exquisito y extenso del estudio un análisis muy concienzudamente
detallado llevado a cabo por el US Department of Homeland Security (DHS, grosso modo nuestro Ministerio del
Interior) en el Journal of Homeland Security and Emergency
Management, vol 6, Issue 1-2009-Art 83 .
En este
nuevo mundo global de Resiliencia Corporativa (Organizational Resilience) existe
mucha confusión creada a veces por intereses obvios de mercado e influencia de
varias tendencias y a veces solo por confusión de la terminología. Si
inicialmente el primer paso de gigante en continuidad lo dio la presentación
del BS25999 (1-2); el modelo que integraba todo bajo BCM (Gestión de
continuidad de negocio) no cubre todas las áreas, a pesar de tener un amplio apoyo
y marco experimental en Reino Unido, la misma Unión Europea y algunos países. Es
más, vista la escasa acogida actual y la reorientación del mercado hacia la
familia ISO 31000 e ISO 28000, los grandes defensores del modelo británico han
reaccionado con celeridad y han aunado fuerzas con ASIS International (que
sigue el modelo ISO) para elaborar un producto de Gestión de continuidad de
Negocio (Business Continuity Management) “conjunto” suma de las dos tendencias
para crear una sola alrededor de las familias de estándares de ISO (ASIS/BSI Business
Continuity Management Standard (2010)). Sabia
elección, porque siempre es mejor aunar que litigar. Muchos de los que
practican el modelo británico se han visto y se ven en una situación incómoda,
por aquello que a todos nos cuesta un trocito de ego reconocer que hay que
tomar otro camino contrario o diferente al que practicábamos desde hace un
tiempo. Merece la pena dejar el ego atrás, sin duda.
El
modelo basado en ISO 31000 es mucho más integral y explora un marco que no deja
resquicio alguno. Además es relativamente multinacional y compila el esfuerzo
inicial australiano y neozelandés, con el impulso del Sudeste Asiático y el
reciente apoyo incondicional de Estados Unidos y la mayor parte de países europeos.
En ese
marco de ISO 31000 Gestión de Crisis sí es el pilar fundamental, que no el único
y los demás son absolutamente no solo necesarios sino completamente complementarios.
En el ámbito de ISO31000 y en íntimo contacto se localiza el impulso creado y
mantenido por ASIS International para Resiliencia Corporativa (acabamos de
publicar el ultimo
estándar aprobado por ANSI sobre el modelo de madurez de Resiliencia
Corporativa). En ese paraguas monumental que es la Resiliencia, cabe todo, pero
hace falta un hilo conductor que lo regule y coordine, y ese hilo conductor
debe de estar en lo más alto de la cadena de Mando o Gestión si lo preferís.
Empezaré
explicando por qué cuando acudimos a la definición se ve mucho mas claro el
concepto. Al hilo de esto, permitirme de nuevo recomendaros un sumario (El PAS completo
es de pago y creo que cuesta alrededor de 100 libras esterlinas) sobre el PAS (Publicly Available Section) 200:2011 Crisis Management-Guidance
and Good Practice llevado a cabo por Regester
Larkin, que recoge bastantes puntos interesantes y también críticos sobre
el estudio de Reino Unido.
Gestión
de Crisis como su propio nombre indica hace referencia a dos cosas
absolutamente claras en cualquier organización por grande o pequeña que sea: Gestión
conecta con el Jefe Ejecutivo o el Consejo Directivo o los dos; y Crisis es una
palabra que hemos desgastado y contaminado de tanto usarla. Una crisis no es un
incidente ni un problema, es una situación muy, pero que muy complicada que se
desarrolla en un ambiente inestable, complejo e inesperado, de desconocidas consecuencias
(a veces “black swans”) y que pone en alto riesgo cualquiera de nuestros activos
o pasivos más importantes, nuestras instalaciones y personal y nuestra reputación;
y por ende hace peligrar la existencia de la propia organización en su estado
actual. Podéis hacer una comparativa en uno de los últimos papeles de Marzo de
BCI (CM What is
and how is it delivered, 2012 BCI).
Las crisis, como los riesgos, no son malas por
naturaleza, pueden serlo si nos pilla sin preparar pero pueden ser grandes
oportunidades en las que fortalecer y consolidar los cimientos de la
Resiliencia Corporativa. Os dejo un link de una definición escalable de cómo Gestión de Crisis conecta con
Resiliencia Corporativa, que hace poco llevamos a cabo cuando colabore con
un par de buenas amigas del Fondo de Población (UNFPA) para finalizar su Plan
de Continuidad de Negocio.
Todos
tenemos problemas, pero de eso a una crisis hay un trecho, distancia que a
veces no queda clara por falta de definición. Se trata en definitiva de una
escala temporal que comienza con la localización un problema de desconocido
impacto y consecuencias. El problema original se convierte en incidente cuando
requiere una intervención de nuestro mecanismo de –primera- respuesta sea el
que sea. Cuando la cosa se pone fea y parece ser que el sexto sentido del que
responde le dice que esto no tiene muy buena pinta, pues ¿que hace?, lo de
siempre, llama al jefe. Y el Jefe es quien declara si hay o no hay crisis. Eso
ha sido así contado un poco en “Román paladino”
o español de andar por casa.
En el Sistema
de Gestión de la Resiliencia Corporativa (ORMS del inglés), el Sistema de Gestión
de Incidentes (Incident Command System, ICS; que es básicamente nuestro
servicio de seguridad y/o de emergencias internas, incluyendo médicos, psicólogos,
encargados de instalaciones y recursos humanos de apoyo) se encarga de estimar
la cuantía y calidad del impacto recibido (irrelevante, limitado, relevante,
severo y extremo/critico). En cuanto tiene una somera idea de ello, determina
si lo puede solucionar por si mismo, lo debe de monitorizar y avisar a alguien
para alertar por si acaso o lo lanza al siguiente o más alto supervisor si se
trata de un problema grave o gravísimo. También el ICS dispone de mecanismos
que son automáticos, como evacuaciones sanitarias, evacuaciones de edificios, et
al. que basados en determinados protocolos no precisa de autorización previa
por la emergencia de que se trate.
Esto
pone en alerta a los mecanismos de gestión de crisis que se preparan para lo
peor y esperan lo mejor. Estos mecanismos o están en si mismos compuestos por
los mas altos directivos o tienen línea directa con ellos y el consejo de Dirección.
Una vez declarada la crisis por la autoridad interna que corresponda, sea el
CEO o el equipo de gestión de crisis (CMT), se determinan las medidas a llevar
a cabo: seguir monitoreando, activar el plan de continuidad (business
continuity), recuperación de desastres (IT Disaster Recovery) o lo que haga
falta en función de la situación. Hemos pasado en poco tiempo de un problema a
un desastre o incluso una catástrofe. Estos dos últimos en realidad se ven
venir inmediatamente, no los eventos en si mismos que son impredecibles pero si
sus consecuencias y la magnitud del impacto recibido. Por eso hay que prepara
mecanismos que disminuyan al mínimo la respuesta inicial, por limitada y exigua
que sea, y que aceleren la integración del modo crisis en el mecanismo de gestión
integral. Aquí se hace ver la valía de conectar y coordinar la preparación mediante
un marco global como es la Resiliencia Corporativa. Rompemos los silos en la preparación
y estamos preparados para la respuesta.
Con
todo lo anterior vemos que aunque haya procesos que puedan automatizarse y producirse
en aislamiento, el flujo regular obliga a pasar de un escenario a otro
escalable en envergadura desde el ICS hasta Gestión de Crisis, y es Gestión de
Crisis (conectado al mas alto escalón de mando) quien activa Continuidad o recuperación
de desastres e indica como se van a llevar a cabo y cuales operaciones de recuperación,
así como la relocalización si fuera precisa.
La conclusión
final nos lleva a determinar que efectivamente gestión de crisis juega un papel
de coordinación que facilita enormemente la toma de decisiones al más alto
nivel y que encaja a la perfección con el concepto de Resiliencia Corporativa. Esto
no desmerece en absoluto el papel indispensable que ha jugado la Continuidad de
Negocio desde los 90 y las enormes contribuciones que han permitido madurar el
modelo hasta el estado actual. Desde el entorno de respuesta inmediata de un
negocio de pequeña o mediana entidad, las barreras o diferencias entre gestión de
crisis y continuidad de negocio siguen siendo muy difusas o difíciles de
identificar, en grandes empresas o instituciones la cosa esta muy clara, la
apuesta es resiliencia.
Hasta pronto.
José
Miguel Sobrón, May © 2012
(Feel
free to reproduce, copy or use in public performance of
this work, it has no restrictions for research purposes or publication while
referring the article and author)
No hay comentarios:
Publicar un comentario