El mundo no se está volviendo menos arriesgado.
Condiciones meteorológicas catastróficas. Amenazas cibernéticas devastadoras. Desastres provocados por el hombre inimaginables. Ahora más que nunca, es imprescindible que las organizaciones sepan cómo responder ante situaciones críticas y garantizar el mantenimiento de las funciones esenciales.
Pero, ¿está su organización totalmente preparada para hacer frente a una crisis? Muchas agencias y organizaciones aún no cuentan con un Plan de Continuidad de Operaciones (COOP) formalizado. O, si lo tienen, está incompleto o acumulando polvo en carpetas en una estantería.
Tanto si su organización es experta en la planificación de contingencias como si acaba de empezar a formalizar el proceso, evitar los siguientes siete errores críticos le ayudará a garantizar que su planificación sea más eficaz y que su organización sea más resiliente.
Error 1: Pasar por alto funciones empresariales esenciales y no identificar los riesgos asociados a ellas.
Para prepararse ante acontecimientos disruptivos, los directivos deben reconocer las funciones más esenciales para la supervivencia de la organización y, a continuación, identificar los posibles riesgos que podrían afectar a dichas funciones. No se trata de una tarea fácil, sino de un proceso que requiere mucho tiempo y atención. A continuación se incluyen algunos consejos clave que deben tenerse en cuenta para garantizar que las funciones empresariales esenciales se identifiquen correctamente:
Consigue el apoyo de los altos cargos.
Una evaluación exhaustiva de riesgos es un ejercicio serio. Requerirá aportaciones y recursos de múltiples niveles. Asegúrese de que la alta dirección
apoya plenamente el proceso y está dispuesta a dar su visto bueno.
Incorporar comentarios de diversas fuentes.
No confíe únicamente en un puñado de altos directivos para elaborar una lista exhaustiva de posibles riesgos. Aunque sus puntos de vista serán muy valiosos y reveladores en muchos sentidos, inevitablemente pasarán por alto riesgos de menor importancia que pueden derivar en problemas mucho más graves.
Asociar los detalles con los riesgos identificados.
Para cada amenaza, describa el impacto potencial junto con otros elementos clave, entre ellos:
- Probabilidad de que se produzca el peligro
- Magnitud/gravedad del evento
- Tiempo de advertencia asociado al riesgo
- Duración típica del peligro
- Objetivos de tiempo de recuperación
Haga que la evaluación de riesgos sea viable.
Identificar los riesgos y sus características asociadas es una cosa. Esbozar las medidas adecuadas que se deben tomar ante una amenaza es otra. Para cada peligro, los gestores deben definir y documentar las medidas adecuadas que se deben tomar para minimizar las interrupciones y las pérdidas.
Un error común en este sentido es centrarse únicamente en las medidas adoptadas durante el evento. Si bien esto es esencial, los planificadores también deben tener en cuenta las medidas relacionadas con la preparación previa al evento, la recuperación posterior al evento y la mitigación. Estas medidas deben documentarse y ser fácilmente accesibles para una amplia gama de personas autorizadas.
Error 2: No implementar un proceso para garantizar que la información de contacto sea precisa y fiable.
Una preparación y respuesta adecuadas comienzan y terminan con las personas. Por lo tanto, la organización debe mantener un registro preciso de su personal, sus responsabilidades y los múltiples métodos por los que se puede contactar con las personas.
Parece bastante sencillo. Sin embargo, es sorprendente la frecuencia con la que las organizaciones dan por sentado erróneamente que su información de contacto está actualizada. Los empleados van y vienen. Las responsabilidades cambian. Se abandonan o se adoptan nuevos dispositivos de contacto. En una crisis, esto puede causar problemas importantes.
La organización debe desarrollar un proceso coherente y repetible para garantizar que los trabajadores puedan verificar su información. Las campañas de divulgación dirigidas a los empleados deben realizarse al menos dos veces al año. Las campañas trimestrales son aún mejores. Además de verificar la información de contacto básica, como el teléfono y el correo electrónico, asegúrese de que la información de contacto secundaria, como el cargo, la división, la ubicación, etc., sea correcta.
Además, recuerde recopilar información fuera de la organización. En la mayoría de los casos, las partes interesadas externas desempeñan un papel fundamental en la resiliencia empresarial. Estos contactos también deben mantenerse con diligencia.
Error 3: No definir claramente los equipos clave y no comunicar las funciones y responsabilidades asignadas.
Para una respuesta y recuperación eficaces, es aconsejable crear equipos centrados en amenazas, responsabilidades o capacidades de toma de decisiones específicas (por ejemplo, ejecutivas, pandémicas, de reubicación, etc.). Con el desarrollo de equipos, los gerentes deben:
Especifique claramente la misión del equipo.
Cada equipo debe tener un «mini-estatuto» escrito que describa los parámetros de las funciones del equipo. En una situación crítica real, puede haber confusión en cuanto a qué equipos tienen qué responsabilidades. Una lista bien definida de las funciones de cada equipo puede ayudar a aclarar la situación.
Asegúrate de que las listas de los equipos estén actualizadas.
Al igual que la información de contacto, los datos del equipo también deben revisarse y actualizarse periódicamente. Puede resultar frustrante o potencialmente perjudicial formar un equipo y descubrir después que algunos de sus miembros ya no trabajan en la empresa o que miembros clave han cambiado de puesto y ya no están «conectados» al área en la que se suponía que ofrecían su experiencia.
Asegúrate de que los miembros del equipo estén completamente preparados.
Dado que es probable que las responsabilidades del equipo COOP no sean algo en lo que los empleados medios piensen a diario, es imprescindible que los gestores de resiliencia se aseguren de recordar a los miembros cuáles son sus obligaciones. Se debe animar a los equipos a reunirse con regularidad a lo largo del año para revisar las funciones del equipo, los miembros, las responsabilidades individuales, etc. También se deben realizar pruebas y ejercicios periódicos.
Error 4: Crear órdenes de sucesión insuficientemente «profundas» y no definir claramente las delegaciones de autoridad.
Una estructura directiva familiar puede proporcionar cierto grado de tranquilidad incluso durante un evento crítico estresante. Sin embargo, ¿qué ocurre si esa jerarquía de toma de decisiones se ve afectada? ¿Qué se hace cuando un alto directivo clave está incapacitado o no está localizable?
Definir y documentar los órdenes de sucesión.
Si una persona clave en la toma de decisiones se ve incapacitada para cumplir con sus funciones a largo plazo, es imprescindible que la organización sepa a quién recurrir para el liderazgo. Por lo tanto, se debe desarrollar un plan claro de sucesión. Se recomienda que el plan de sucesión tenga al menos tres niveles (si es posible, se aconseja definir niveles adicionales). También se recomienda que el título del sucesor sea el elemento definitorio del plan, en lugar de referirse únicamente al nombre de una persona concreta.
Documentar las delegaciones de autoridad.
Durante la ausencia temporal de una persona clave encargada de tomar decisiones, puede ser necesario tomar decisiones inmediatas o aprobar trámites rutinarios. Situaciones como autorizaciones de permisos, solicitudes de compra, nóminas, etc. pueden atascarse, lo que interrumpe el
flujo de trabajo. En los casos en los que se produce un vacío temporal en el liderazgo, es muy valioso contar con delegaciones de autoridad claramente documentadas
. El plan debe enumerar 1) los titulares de los puestos que tienen la autoridad cotidiana típica sobre la decisión o el proceso y 2) los titulares de los puestos que tienen autoridad delegada. Estos deben identificarse en el orden preferido de delegación.
Error 5: No mantener información precisa y detallada sobre las instalaciones
Los detalles de las instalaciones son un elemento del plan de cooperación que suele pasarse por alto o, al menos, tratarse de forma incompleta. Si bien es cierto que la mayoría de los empleados conocen suficientemente las instalaciones principales de una organización, las lagunas de conocimiento sobre otras ubicaciones y sus características asociadas pueden crear problemas de resiliencia. Entre las cuestiones que hay que tener en cuenta se incluyen:
- ¿Los nuevos empleados conocen la ubicación de la copia de seguridad y dónde se encuentra?
- ¿Qué ocurre con los empleados remotos? ¿Están debidamente identificados, son conscientes e informados?
- ¿Los empleados trasladados llegarán a las instalaciones de coubicación con las credenciales de acceso adecuadas?
- ¿Conocen los empleados trasladados los procedimientos de emergencia de su nueva ubicación?
Para subsanar estas lagunas de conocimiento, las organizaciones deben mantener una lista precisa y accesible de todas las instalaciones primarias y
secundarias, incluida la dirección física. Además, se debe documentar la información de cada ubicación en relación con los puntos de entrada y salida, las medidas de control de acceso, la infraestructura de comunicaciones, etc. También es aconsejable detallar los procedimientos de evacuación, incluidos los puntos de «reunión» para los evacuados.
Error 6: No documentar registros vitales y sistemas críticos
Prácticamente todas las organizaciones dependen de innumerables sistemas, hojas de cálculo, formularios, etc. para mantener sus operaciones. Los sistemas contables, los registros de recursos humanos, los datos de clientes/partes interesadas, los registros públicos, etc., pueden ser utilizados a diario para cumplir la misión de una organización.
Aunque la información puede residir en múltiples sistemas y ubicaciones, hay dos cosas clave que los planificadores pueden hacer para ayudar a agilizar la respuesta y la recuperación de registros vitales.
Determina qué es «vital».
Por cada fuente de datos vital, puede haber docenas de fuentes útiles pero no vitales. Los gerentes deben determinar qué fuentes de datos
son verdaderamente críticas para la resiliencia de la organización y enumerarlas.
Capture detalles relevantes sobre la fuente de datos crítica.
Una vez identificadas las fuentes de datos más importantes, los gestores deben esbozar los detalles relevantes de las fuentes. Dependiendo del tipo de recurso, los detalles pueden incluir:
- Ubicación física de los documentos impresos
- Ubicaciones de unidades compartidas
- Aplicaciones de software locales
- Soluciones de software como servicio (SaaS) y administrador
- Recursos de red, como impresoras, máquinas de fax, etc.
Error 7: No hacer que los datos COOP sean accesibles, editables y seguros.
Los días de apilar estantes con carpetas de planes COOP realmente deberían quedar atrás. En el mundo actual de soluciones de software en línea seguras, los enfoques basados en copias impresas dejan mucho que desear. Considere cómo las soluciones de planificación en línea mejoran el proceso COOP:
Mejor colaboración
La planificación de COOP requiere una estrecha colaboración entre múltiples personas, departamentos y agencias externas. Las soluciones en línea facilitan la colaboración y la hacen más eficiente.
Edición y mantenimiento más sencillos
Las soluciones de planificación en línea facilitan y agilizan la edición de registros, equipos y planes. Los usuarios solo tienen que iniciar sesión, realizar los cambios y guardar. Las asignaciones, tareas, equipos, etc. se actualizarán automáticamente en todo el plan.
Mayor seguridad
Los planes de respuesta ante emergencias deben protegerse, ya que suelen contener información confidencial sobre la organización y sus empleados. Las estanterías para archivadores prácticamente no tienen limitaciones de acceso ni medidas de seguridad, y no hay ningún registro de quién ha accedido a los documentos y en qué momento.
El software de planificación en línea proporciona acceso basado en permisos a los detalles del plan y la información de contacto a través de nombres de usuario y contraseñas asignados.
Movilidad superior
Una estantería llena de carpetas es difícil, si no imposible, de mover en caso de desastre. Los proveedores actuales de software de planificación en línea ofrecen capacidades móviles que ponen los planes de respuesta a emergencias, literalmente, en manos de las personas adecuadas, estén donde estén. En definitiva, estas capacidades móviles amplían la aplicación práctica de la planificación para situaciones de crisis.
Respuesta más rápida
Un plan integral de preparación para emergencias es, en realidad, una conglomeración de muchos miniplanes. Es la razón por la que la mayoría de los planes ocupan múltiples carpetas en múltiples estantes. Como tal, se puede perder un tiempo precioso buscando manualmente en tablas de contenido o índices impresos la información adecuada.
Con un software de planificación en línea bien diseñado, se puede acceder fácilmente a la información y se pueden buscar electrónicamente los elementos clave para descubrir datos cruciales en cuestión de segundos.
La planificación cooperativa no tiene por qué ser dolorosa.
Las mejores prácticas aquí descritas se basan en la experiencia de BOLDplanning, una división de Agility, que ha ayudado a más de 9300 organizaciones a planificar y prepararse para eventos críticos.
Ofrecemos una combinación única de experiencia, facilitación, formación y gestión de proyectos, junto con un software de planificación en línea líder en el sector.
Esta combinación le ayudará a que su próximo proceso de planificación sea más fácil, rápido y eficaz, lo que en última instancia mejorará la resiliencia de su organización.
Contáctenos hoy mismo para obtener más información.
Nota del editor: Este post fue publicado originalmente en Preparis Business Continuity Software. En octubre de 2024, Mitratech adquirió Preparis, un proveedor líder de soluciones de planificación de continuidad de negocios y respuesta a emergencias. El contenido ha sido actualizado para reflejar la oferta ampliada de productos de Mitratech, los avances de la industria y los desarrollos regulatorios.
