:quality(75)/blogs.gestion.pe/riesgosfinancieros/wp-content/uploads/sites/50/2017/11/25-Blog-Riesgos-Financieros-GREGORIO-BELAUNDE-MATOS.jpg)
Acerca de la Implementación y Auditoría de la Continuidad del Negocio u Operativa: Algunos Desafíos
En un post de setiembre del 2014, recordábamos la importancia de la acción inmediata y constante al implementar la gestión de la continuidad del negocio (o continuidad operativa, si se trata de entidades del Estado, tal como lo expresa la normativa publicada el 7 de febrero último por la PCM), además de dar varios consejos prácticos para empezar. Por lo que he podido observar en los últimos meses, y por informaciones recibidas del sector privado como del público, este enfoque práctico esencial para avanzar puede ser puesto en peligro por varios factores. Veamos:
El primero de ellos es la falta de espíritu práctico: un problema común es que los encargados de implementar la gestión de la continuidad se hagan demasiadas preguntas de tipo organizacional o conceptual, lo que termina por generar una cierta forma de auto-parálisis, pues quieren verlas resueltas antes de tomar acciones concretas.
Una de las maneras de no caer en dicha parálisis es dejar de hacerse tantas preguntas y usar el análisis de amenazas para la continuidad a las que uno está expuesto, que aunque puedan variar según las empresas y las entidades públicas, son básicamente las mismas (grandes sismos, incendios, disturbios, cortes de electricidad e internet, etc.), así como el de vulnerabilidades, que es un auto-examen que se puede hacer rápidamente. ¿Tan difícil es darse cuenta por ejemplo de que uno está en un local que no es muy sólido, o de que no tiene un grupo electrógeno o de que este es muy viejo y en realidad no funciona, o de que no tiene un dispositivo de contingencia informática y de back-up de la data esencial sólidos, o de que no tiene ningún dispositivo para funcionar si el internet se interrumpe por varios días? Cuestiones tan elementales ayudan a ver rápidamente lo que se tiene que empezar a hacer lo más pronto posible, y poniéndole los recursos necesarios.
El segundo de ellos es la falta de voluntad real de implementación: muchos se resisten a hacerlo porque les cambia la rutina de trabajo, o los análisis que se hagan pueden hacer descubrir que hay cosas que no se están haciendo bien (y en ese caso se prefiere “barrer los problemas bajo la alfombra”), o porque supone tomar decisiones de gasto que se teme tomar por el miedo a cuestionamientos posteriores. Como tuve la oportunidad de decirlo antes, el compromiso firme de la Alta Dirección, trátese de una empresa privada o de una entidad pública es absolutamente clave, y lo es tanto más, y es tanto más importante que el compromiso sea no sólo firme sino constante y sostenido en el tiempo, porque nunca faltan las resistencias internas, que pueden expresarse no sólo en mala voluntad de parte de algunos, sino también bajo la forma de trabas administrativas de parte de otros. Es decir, que la Alta Dirección puede ser muy consciente de los problemas y haber tomado las decisiones correctas, pero la implementación de estas últimas va encontrando trabas internas a veces muy creativas y se va diluyendo en la práctica; las resistencias vienen muchas veces acompañadas de la esperanza de que cambios a la cabeza se traduzcan en un abandono de las decisiones tomadas.
La voluntad real de implementación se nota antes que todo a través de decisiones que se toman al más alto nivel y que se van traduciendo en acciones muy concretas, tales como invertir en ciertos equipos, establecer protocolos de acción, y efectuar ensayos y pruebas para ir mejorando el dispositivo y/o asegurarse de que sigue estando operativo, así como para ir entrenando a cada vez más personal.
El tercer peligro para una buena implementación de la gestión de la continuidad del negocio (u operativa) es que la auditoría, sea privada o pública, que se haga de ella esté basada más en aspectos formales que de sustancia. Este problema es mucho más serio de lo que se cree, y tiene dos facetas principales:
. el que se considere que una empresa o entidad cumple con la implementación si dispone de un documento muy completo, que puede ser muy voluminoso y tal vez elaborado por algún consultor, donde todo está escrito según las reglas teóricas provenientes de los estándares reconocidos. En general el documento se llama “Plan de Continuidad”. Pero si uno se basara antes que todo en la sustancia, podría ir más allá y ver si realmente hay un compromiso de la Alta Dirección, así como de por lo menos el personal más crítico, si se han tomado medidas muy concretas frente a vulnerabilidades identificadas, si se están efectuando ensayos y pruebas de manera regular. Porque entre la documentación y la práctica puede existir una distancia sideral, es decir que en la práctica se puede estar en cero. Es algo parecido, en cuanto al enfoque, a las fallas en la supervisión financiera reveladas por la última Crisis y recientes escándalos, que consistieron en considerar que ciertos bancos tenían una buena gestión del riesgo crediticio o una buena gestión del riesgo operacional porque tenían muy buenos manuales y procedimientos escritos, cuando en realidad estaban cometiendo absurdos crediticios o su riesgo operacional estaba en la práctica totalmente fuera de control, con filiales que hacían lo que les daba la gana, por ejemplo.
. o, a la inversa, el que se diga que una empresa o entidad que en la práctica está haciendo mucho, “no tiene un plan de continuidad” porque no tiene un voluminoso documento formal llamado así y aprobado formalmente por todas las instancias internas. Un enfoque que no solamente es absurdo porque si hay un campo donde lo que cuenta antes que todo es la acción concreta, es ése, sino que es peligroso, pues puede tener como consecuencia práctica que la empresa o entidad prefiera contratar una larguísima consultoría para elaborar y escribir el bendito documento, antes que tomar medidas que pueden ser indispensables y urgentes, y hacer realmente las cosas (que no es necesariamente un proceso corto y fácil, sobre todo cuando hay trabas internas o falta de apoyo). Es decir que la forma de auditar se puede convertir en un fuente de despilfarro de dinero y de mala asignación de tiempo y energías y a la vez en un desincentivo y desmoralización para los que quieren realmente reducir el riesgo y hacer las cosas. Es algo parecido, en cuanto al enfoque, a lo que sucede cuando por ejemplo se considera que todo está bien porque se cumplió con todo los pasos de un procedimiento cuando en realidad lo que hubo fue un camuflaje perfecto de un esquema de corrupción, que pasará impune (mientras otros, que son honestos, son perseguidos porque no cumplieron perfectamente con algún paso) o cuando, en el marco de la tramitología, se bloquea creaciones de empresas u otros proyectos honestos o necesarios para el país por nimiedades, mientras criminales organizados y lavadores de dinero dudoso con buenos abogados obtienen todo lo que quieren porque en apariencia todo está conforme.
Es necesario que las Altas Direcciones y los que efectúan actividades de auditoria sobre el tema (auditores internos y externos, supervisores financieros o de ciertos tipos de empresas, entidades de control de la administración pública), estén muy conscientes de los desafíos y peligros que hemos descrito para que la implementación de la gestión de la continuidad del negocio y de la continuidad operativa se hagan realmente y lo más rápidamente posible en el país.
A los lectores de este Blog me permito recordarles el post del 22 de setiembre de 2014, que encontrarán en la lista de archivos del blog en la parte derecha (“Continuidad del Negocio: Acción, Acción, Acción antes que todo”).