Recientemente, algunas colegas de la Comisión Técnica Interamericana de Peritaje Contable y Auditoría Forense de la AIC, trataron temas muy interesantes y bien abordados en...
Sepa másContadora Publica; Master of Business Administration (MBA), HEC Montreal, Canadá; candidata Master of Arts – in Educational Technology, Concordia University, Canadá.
Associate Business Continuity Professional (ABCP) de DRII, DRI Canadá.
Gerente de proyectos de implementación de ERP.
20 años de experiencia en Management Consulting y servicios profesionales de TI.
La situación actual planteada por la Covid-19 nos ha puesto en una encrucijada para la que no contamos con un script de ejecución ni hay certificado de graduación.
La pregunta es simple, la respuesta es compleja. ¿Qué está pasando y como continuamos nuestras operaciones?
¿Dónde vamos a buscar un marco teórico, un esquema de trabajo técnico que nos oriente en la búsqueda de soluciones a la continuidad de operaciones? Las variables son innumerables y su comportamiento, muy difícil de predecir.
Este artículo describe la experiencia que construimos en la Comisión de Sistemas y Tecnologías de la Información de la AIC frente a esta pregunta, a través de las herramientas que nos ofrece el conjunto de prácticas profesionales de DRII (Disaster Recovery Institute International) para la planificación de la continuidad de negocios y la recuperación en desastres.
Las Prácticas Profesionales de DRI, y la metodología de trabajo que plantean, remiten a un tiempo de planificación de las operaciones a ejecutar en la eventualidad de la ocurrencia de los incidentes para los que nos preparamos. En el momento actual, nos remitimos a un tiempo en el cual el incidente ya ocurrió. Ya estamos en cuarentena, ya estamos con la emergencia sanitaria desplegada, ya estamos con las operaciones comprometidas.
Aun así, entendemos que tenemos material para aprender y aplicar, y experiencias para compartir, alimentando así, nuestra resiliencia profesional y humana. Con ese espíritu se realiza esta exposición. No esperaremos tiempos perfectos.
“Pero si algo habían aprendido juntos, era que la sabiduría nos llega cuando ya no sirve para nada” Gabriel García Márquez, El amor en los tiempos del cólera.
La coyuntura actual de negocios
Según el informe del Banco de España, en su Boletín Económico Informe de Economía Latinoamericana del primer semestre 2020 (del cual se extrae brevemente lo más relevante a la puesta en contexto de este artículo), desde el punto de vista económico la pandemia afecta a la región de diferentes formas, de acuerdo con la exposición de cada país a los intercambios comerciales con el resto del mundo, que constituyen diferentes canales de transmisión. La mirada de los inversores externos nos interesa particularmente, ya que habla de las posibilidades con las que seremos capaces de seguir captando inversión extranjera durante la recuperación.
Los canales de transmisión para la región que plantea el informe son: 1/ el grado de apertura de cada economía, el “grado de integración de los países en las cadenas globales de valor”; 2/ el hecho de que las economías sudamericanas tienen un elevado peso del componente materias primas en las exportaciones; 3/ el derrumbamiento del precio del petróleo para Colombia y México, 4/ el turismo, sector que tiene un peso en el PIB de las principales economías latinoamericanas superior al de otras áreas emergentes; y 5/ la dinámica de las remesas de los emigrantes.
De todas formas, se habla de “la elevada incertidumbre asociada a la duración e intensidad de las medidas de contención y la crisis sanitaria a escala global”, y de la recuperación.
Esta recuperación pone poderosamente a prueba la capacidad de cada país para superar los distintos escenarios económicos que dependen críticamente de las políticas económicas que puedan ser aplicadas en cada país. En Uruguay, ya a fecha de abril de 2020, luego de los primeros casos de coronavirus en el país, veíamos comportamientos de consumo de las familias que mostraban un moderado optimismo hacia la posible recuperación a fin del año 2020[1].
Innovación: ¿Hasta dónde vamos a innovar en la transición? ¿Y el día después?
Pocos escenarios nos plantean restricciones de estas características y se ofrecen como un terreno tan fértil para la innovación.
Las organizaciones se lanzaron desde un inicio a la búsqueda de soluciones operacionales que les permitiera seguir con sus procesos de negocio, apelaron a la web y a todas las herramientas posibles que ofrece Internet. Estas tecnologías se posicionaron como la solución más natural para desplazar al plano virtual todas las interacciones sociales integradas a esos procesos de negocio. Empleados, clientes, proveedores, agentes de oficinas de gobierno, todos los actores quedaron rápidamente al centro de las experiencias de usuario. Rediseños de tareas y reorganizaciones de todo tipo, para trámites, emisiones de facturas, pagos, cobranzas, consultas, hasta visitas virtuales de plantas manufactureras. Un análisis de procesos de negocio para la implantación de tecnología en forma masiva, nunca antes visto.
Nuevos riesgos emergieron, riesgos conocidos cobraron otras magnitudes. La implementación del teletrabajo ha reportado los impactos más delicados sobre la seguridad de los datos de las empresas. El acceso a las aplicaciones empresariales vía web con accesos poco seguros desde los hogares, computadoras de uso personal puestas al servicio del trabajo, el comportamiento a veces ingenuo de estos nuevos trabajadores remotos como internautas exponiendo sus datos personales, han contribuido en diferente medida a comprometer la seguridad de la información de varias organizaciones.
Y la pregunta que todos nos hicimos, y nos seguimos haciendo en este contexto de rediseño e implementación de tecnología: ¿Hasta dónde innovar? Es muy tentador querer aplicar soluciones más allá de lo necesario para salir del paso.
¿Cuáles son los temas planteados como imperativo del cambio en los procesos operacionales y la tecnología aplicada? Todos. Repasemos solo una lista corta, si miramos la estrategia y capital humano: mantener el compromiso de los empleados, capacitación en teletrabajo, liderazgo de equipos distribuidos, exposición a nuevos riesgos que comprometen al personal en la ejecución del trabajo. ¿Y si miramos hacia la estrategia y la tecnología? Presupuesto de inversión, nuevos riesgos tecnológicos, nuevos riesgos legales, viabilidad del cambio tecnológico técnicamente e integración.
Ahí la respuesta que plantea este articulo: un enfoque centrado en la continuidad es lo que nos resulta más adecuado como respuesta.
El imperativo central ha sido y sigue siendo mantener la cadena de pagos y la liquidez en el marco de la emergencia sanitaria.
En nuestra profesión, como rediseñadores de procesos de negocios y aplicación de tecnología en el marco de trasformaciones organizaciones, combinamos las disciplinas basadas en principios, como la contabilidad, las finanzas, y la ingeniería, con las disciplinas basadas en diseño, como las experiencias de usuario, y la simplificación de procesos de negocio (streamline business processes).
En nuestra encrucijada actual, entendemos que la respuesta desde el diseño de procesos la ofrece el principio conocido en nuestra profesión como KISS, o mantenlo simple y tonto, por sus siglas en inglés “Keep It Simple Stupid”. Y el marco conceptual basado en principios que proponemos para el análisis son las Prácticas Profesionales del Disaster Recovery Institute International (en adelante DRII).
Las Prácticas Profesionales para la Gestión de Continuidad de Negocios
DRII es una organización sin fines de lucro, que ha certificado profesionales en el área de continuidad de negocios y recuperación en desastres por más de 20 años[2].
Las Prácticas Profesionales para la Gestión de Continuidad de Negocios son un cuerpo de conocimiento de diez prácticas diseñado para ayudar en el desarrollo, implementación y mantenimiento de programas de Continuidad de Negocio. También está diseñado para la evaluación de programas de Business Continuity Management (BCM) ya existentes.
Las prácticas de DRII nos plantean un enfoque holístico para abordar la respuesta de una organización ante un incidente. En este sentido es abarcativo, con una impronta fuerte en la gobernanza de la gestión de la continuidad, con un enfoque “top-down” donde la alta dirección debe garantizar la existencia del equipo dedicado a la elaboración y mantenimiento de un plan de continuidad, que combina factores tecnológicos, operacionales y humanos, desde la resiliencia tecnológica con estrategias de infraestructura tecnológica con arquitecturas de alta disponibilidad, pasando por el entrenamiento del personal para la evacuación segura de un edificio, hasta la instauración de un comité de crisis durante el incidente.
El conocimiento de estas prácticas puede aportarnos herramientas para guiar el análisis que necesitamos conducir en este momento. Presentaremos brevemente el conjunto de todas las prácticas y nos centraremos en la práctica conocida como la número tres, “Análisis de Impacto al Negocio” que nos brinda la metodología para analizar el impacto de los incidentes sobre los procesos de negocio.
El nombre de las prácticas se corresponde con los temas que abordan, y son: 1/inicio y administración del programa de gestión de la continuidad de negocios, 2/ la evaluación de riesgos, 3/ el análisis de impacto al negocio, 4/ estrategias de continuidad de negocio, 5/ respuesta a Incidentes, 6/desarrollo e implementación del Plan de Continuidad, 7/programas de concientización y entrenamiento, 8/ ejercicio, evaluación y mantenimiento del Plan de Continuidad del Negocio, 9/ comunicación de crisis, 10/ coordinación con dependencias externas.
Práctica tres: Análisis de impacto en los procesos de negocios
Resumimos a continuación los objetivos de esta práctica y nuestro rol en ella como profesionales[3].
Los objetivos de la práctica, según el DRII son:
Como profesionales, nuestro rol consiste en: 1/identificar el criterio cualitativo y cuantitativo que se usará para evaluar el impacto a la entidad como resultado de un evento; 2/ obtener el acuerdo de los líderes sobre la metodología para el análisis de impacto al negocio y para el criterio que se usará para establecer el proceso y la metodología del análisis de impacto al negocio; 3/ planear y coordinar la recolección y el análisis de datos; 4/ establecer el criterio y la metodología que se usarán para conducir el proceso del Business Impact Analysis (BIA); 5/ analizar los datos recopilados contra el criterio aprobado para establecer un objetivo de tiempo de recuperación (recovery time objective, RTO) y un objetivo de punto de recuperación (recovery point objective, RPO) para cada área operacional y la tecnología que da soporte a esas áreas; 6/ preparar y presentar los resultados del análisis de impacto al negocio a los líderes; 7/ obtener la aceptación de los objetivos de tiempo de recuperación y los objetivos de punto de recuperación como se detallan en el análisis de impacto al negocio.
Ahondaremos en los objetivos, para dar mayor comprensión y hacerlos accesibles a la posible adopción de esta práctica por los colegas en cada una de sus realidades profesionales.
Cuando decimos que identificamos los probables y potenciales impactos de eventos sobre la entidad, por ejemplo, la organización objeto de nuestro análisis, queremos decir que definimos todo cuanto entendemos puede alterar nuestros procesos ante un incidente. Por ejemplo, la amenaza de una baja de servicio de internet, para un restaurant con una estrategia de marketing web y que sólo funciona con reservas mediante la web. ¿Cuáles son los probables y potenciales impactos? Interrupción de las reservas, caída de la facturación, riesgo reputacional hacia los clientes, deterioro de la mercadería perecedera.
Pero necesitamos criterios para evaluar el impacto del evento. ¿Cuál será el criterio que defina la alta dirección? ¿El impacto sobre los clientes, el impacto financiero, el impacto regulatorio, el impacto operacional, reputacional, humano? ¿Por qué es importante? Porque las medidas que diseñemos para poner en práctica ante la ocurrencia del incidente y proteger los procesos centrales dependerán del criterio de evaluación. Si claro, todo redundará finalmente en un probable impacto en todos los criterios, por ejemplo, a mediano plazo seguramente en el financiero. Pero hay una diferencia temporal y de criticidad, y esto para nuestra práctica es fundamental. “Cuán grave” un impacto es, va a estar marcado por el tiempo y por a la criticidad del proceso de negocio afectado.
Es por esto, que seguidamente planteamos que es necesario identificar y priorizar las funciones de negocio y sus procesos de negocio según el nivel de criticidad y sensitividad temporal. Vamos a fijar los objetivos de recuperación para esas funciones y procesos, tanto para los “core” como para los de soporte. Fijaremos el orden de recuperación de cada actividad necesaria para ejecutar un proceso de negocio completo, siguiendo las interdependencias que tenga con otros procesos de negocio de la organización, y los sistemas informáticos involucrados.
Aquí es cuando hablamos de objetivo de tiempo de recuperación para ciertas funciones (recovery time objective, RTO), que es el tiempo entre el momento del impacto y el momento en que el proceso está operando a la mínima capacidad aceptable, para la Dirección de la entidad. Por ejemplo: Quiero recuperar el proceso de recepción de reservas en una semana al 80% de la capacidad.
Hablamos también del objetivo de punto de recuperación (recovery point objective, RPO) para cada área operacional y la tecnología que da soporte a esas áreas. Esto es, el momento en el tiempo hasta el que conserva información previa al evento. Identifica la cantidad aceptable de pérdida de datos. Por ejemplo: Ultimo back-up de las reservas fue a las 20:00hs de la noche anterior. El sistema se cae por la falta de servicio de Internet a las 16:00hs. Se recibieron reservas vía web desde las 8:00 de la mañana. RTO = 8 hs. Un RTO = 0 significa que ningún dato puede perderse, por ejemplo, sucede en organizaciones que manejan transacciones bursátiles.
Debemos también definir los requerimientos necesarios para resumir y recuperar las operaciones. Aquí puede tratarse de recursos internos, externos, rentados, propios, necesidades de corto y largo plazo, personal clave, equipamiento, datos, materias primas, etc.
En la situación actual de emergencia sanitaria, muchos colegas han manifestado que lo más complejo en muchos casos fue acceder a documentación física que se volvió inaccesible al no poder trabajar en la oficina.
Siguiendo con la práctica, vemos entonces la necesidad de identificar lo que llamamos “los registros vitales”, registros en papel o electrónicos indispensables para la operación del negocio. Debemos identificar también cuando serán necesarios durante la recuperación y como accederlos. Debemos además evaluar los back-up existentes y los procedimientos de restauración. Todo esto para poder identificar una brecha entre la situación actual y lo que necesitaremos en un futuro si el incidente ocurre. Y así poder preparar los recursos para suplir esas necesidades adicionales, hasta el nivel que decida la alta dirección.
Las prácticas subsiguientes, elaboran sobre las estrategias de tecnología, las estrategias de comunicación, de capacitación, y todo lo que es considerado necesario en la gestión de un plan de continuidad de negocios. La importancia de la implicación de la alta dirección en esta disciplina nos habla de la importancia del liderazgo en tiempos de rutina, un liderazgo que debe prever, planificar y tener visión para los tiempos más difíciles.
Oportunidad de desarrollo y aprendizaje para nuestra profesión
Son muchos los desafíos humanos que nos plantea esta coyuntura de pandemia. Desde el aporte que pueda ofrecer nuestro trabajo en este artículo, planteamos acercar herramientas profesionales que nos apoyen en nuestra laboral profesional. Aún pareciendo un aporte muy pequeño, del tamaño de una semilla. Una semilla que también ofrece oportunidades de futuro.
En una próxima entrega, podemos abordar el impacto de la actual coyuntura en la gestión de proyectos de Tecnología de la Información en la experiencia de la autora de este artículo, así como el impacto que se ha visto en la profesión respecto a los sistemas de información que han saltado al primer lugar en la reconversión virtual de las operaciones, sobre todo vinculados a las cadenas de aprovisionamiento, procesamiento de datos, y visibilidad sobre la información residente en diferentes plataformas.
Autor: Soledad Silvera
[1] “La pandemia y los consumidores”. Diario El País, Uruguay. 20 de abril de 2020.
[2] Por más información consultar: www.drii.org
[3] Toda la información referente a todas las prácticas profesionales de DRII así como varios webinar de acceso gratuito se encuentra disponible en español en www.drii.org
Recientemente, algunas colegas de la Comisión Técnica Interamericana de Peritaje Contable y Auditoría Forense de la AIC, trataron temas muy interesantes y bien abordados en...
Sepa másLlamamos Empresa Familiar a aquellas empresas cuya propiedad está en manos de una familia. Las Empresas Familiares son la forma predominante de negocio en TODO...
Sepa másEn el mundo digital de hoy, la ciberseguridad se ha convertido en una prioridad crítica para las empresas de todos los sectores, sin importar lo...
Sepa másQuiero comenzar este artículo con una pregunta que se fijó profundamente en mi memoria tras leer un post fascinante en LinkedIn sobre el impacto de...
Sepa másEste artículo analiza la relación entre el control interno y la corrupción en las instituciones del Estado en América Latina, destacando cómo las deficiencias en...
Sepa másSegún las Naciones Unidas, el cambio climático se refiere a los cambios a largo plazo de las temperaturas y los patrones climáticos. Estos cambios pueden...
Sepa másEl Cuadro de Mando Integral (CMI), o Balanced Scorecard (BSC)en inglés, es una herramienta de gestión estratégica desarrollada por Robert Kaplan y David Norton en...
Sepa másLos sistemas tradicionales de formación profesional inicial de los contadores públicos han sufrido cambios profundos en las primeras décadas del Siglo XXI. Siguiendo tendencias globales...
Sepa más