El episodio del Coronavirus y su efecto en la gestión de los negocios nos ha hecho recapacitar, aunque de forma muy súbita, sobre dos temas esenciales: 1) ¿Estamos enfocando bien la gestión de riesgos en nuestras empresas? 2) ¿Tenemos los planes de contingencia y continuidad de negocio desfasados?
Aunque cada uno podrá hacer un ejercicio de autoreflexión, yo me anticipo a contestar las dos preguntas ante lo que estamos viviendo en el mercado y es NO y SI (para los menos exigentes regular y regular).
En el ámbito de la gestión de riesgos, tal y como se anticipaba en el informe Global Risk Landscape de BDO del pasado año 2019, en base a las respuestas de los más de 500 altos ejecutivos de compañías entrevistadas, era necesario el reenfoque en ciertos aspectos de la gestión de riesgos en las empresas. En concreto se destacaba que se hacía necesaria una evaluación periódica de los principales riesgos que podían afectar a las organizaciones para tener preparadas y dirigir correctamente las acciones mitigadoras a aquellos riesgos más importantes y que parecía que no siempre se estaba realizando así, ignorándose o descuidándose con demasiada frecuencia los riesgos “tradicionales” (los denominados “rinocerontes grises”), pero que siguen estando allí y que nos pueden afectar de forma notable, frente a otros más “novedosos” y que algunas veces, por la importancia mediática que se les da en un momento determinado, pueden parecer más importantes aunque no siempre sea así.
En el caso actual hemos podido comprobar como claramente los riesgos de continuidad de negocio han sido en muchos casos descuidados, pese a ser riesgos latentes y a tener en cuenta por parte de la dirección y los consejos de las compañías, mientras que dirigíamos nuestros esfuerzos a intentar prever y mitigar los riesgos derivados de temas de mayor actualidad como los posibles efectos del Brexit para las compañías, los derivados de las guerras comerciales o los riesgos regulatorios y medioambientales, entre otros.
Otro aspecto que se destacaba en el estudio de BDO mencionado era la necesidad de evaluar los riesgos de una forma integral para toda la compañía, con la involucración necesaria de toda la organización en la identificación, actualización y establecimiento de medidas de prevención y respuesta sobre los principales riesgos, dada la interconexión existente de los diferentes factores asociados a los riesgos en las organizaciones. Esta necesidad venía derivada de que en el 62% de las respuestas de los entrevistados consideraban que en sus compañías aún no se estaba llevando a cabo esta gestión de forma adecuada, integral y considerando la interconectividad de los riesgos y de sus efectos para la compañía. En el caso del Coronavirus, cada uno puede sacar sus propias conclusiones al respecto.
En cuanto a los planes de contingencia y continuidad del negocio (PCN), desde hace ya muchos años se ha ido insistiendo en la necesidad de desarrollar, implantar, mantener actualizados y probados los PCN y hasta se elaboró la ISO 22301 de Gestión de la Continuidad de Negocio para aquellas empresas que quisieran desarrollar y certificar sus PCN de acuerdo con las mejores prácticas del mercado pero, en vista de lo ocurrido, parece que en muchos casos el tema no había pasado de ser un “wish to”, habiéndose quedado en el mejor de los casos en planes de continuidad desfasados y no probados y sino, que cada uno piense, en base a la experiencia de las últimas semanas, si en su empresa había constituido previamente un comité de crisis y de continuidad, se había realizado un inventario de activos críticos identificando personas, sistemas, proveedores, clientes, etc., se había realizado un análisis de impacto en el negocio (Business Impact Analysis - BIA) o se había establecido un plan de recuperación de desastres, entre otros.
Recordar que los Planes de Contingencia y Continuidad del Negocio tienen como objetivo:
- Identificar y gestionar los riesgos y amenazas actuales y futuras para su empresa.
- Preparar a la empresa para que tenga la capacidad para resistir los efectos de un incidente (resiliencia) manteniendo el nivel de servicio en los límites definidos y minimizando el impacto de los incidentes.
- Mantener las funciones críticas de la empresa y de su entorno de producción en funcionamiento durante los momentos de la crisis.
- Recuperar la situación inicial previo a la crisis, minimizando el periodo de interrupción y mejorando el tiempo de recuperación.
- Preparar a la empresa para que obtenga una mayor flexibilidad en sus operaciones en caso de interrupción de sus actividades, consiguiendo eliminar o evitar el riesgo de interrupción mediante la aplicación de medidas, procedimientos y sistemas operativos alternativos.
En resumen, los Planes de Contingencia y Continuidad del Negocio deben determinar las medidas técnicas, humanas, organizativas necesarias para garantizar la continuidad del negocio y las operaciones de la compañía, incluido el plan de recuperación de desastres y deben definir la estrategia que ha de permitir reaccionar con la máxima rapidez y eficiencia ante posibles daños o consecuencias de incidencias críticas o catastróficas.
Esperamos que, entre las lecciones aprendidas a nivel empresarial, tras los lamentables hechos acaecidos a raíz de la pandemia del Coronavirus, se haya visto claramente la necesidad de disponer de un plan de contingencia y continuidad en la empresa personalizado, actualizado y probado y que cuando la situación de actividad económica y empresarial se haya restablecido, esperemos que cuanto antes mejor, no nos olvidemos de ello al cabo de pocos días.