Gestión de la Continuidad y Gestión del Riesgo de Desastres: No Confundir

Últimamente tuve la oportunidad de notar que para algunos es difícil hacer la diferencia entre la gestión de la continuidad del negocio (u operativa) y la gestión del riesgo de desastres, o más exactamente con dos de sus componentes, que son la preparación y la respuesta. Y sin embargo, esta diferencia debería ser obvia con un poco de experiencia real de gestión de riesgos y ya lo había explicado en dos posts del 2013, uno del 21 de abril  sobre riesgos empresariales ligados a “desastres naturales” y otro del 1ero de Junio sobre si los “desastres naturales” eran naturales u otro del 2014 sobre la importancia de la acción en la gestión de la continuidad del negocio. Veamos.

 La gestión de la continuidad del negocio (u operativa)

 En general se dice que la “continuidad del negocio” es la expresión usada en el mundo empresarial. En el caso de las entidades estatales, que no hacen negocios, se usa más expresiones como “continuidad de las operaciones” (o “continuidad operativa”), y “continuidad del Gobierno” (o del Estado), una noción vecina a la anterior pero algo más amplia y que la incluye. Aunque en algunos organismos se sigue usando la expresión “business continuity” (es decir del negocio) para entidades estatales. Contiene aspectos como el disponer de “sedes alternas” en caso de indisponibilidad del local principal, tener centros de datos de respaldo, saber cuántas personas se necesita como mínimo para operar en un lugar alterno, tener bien organizado el teletrabajo, tener protocolos claros de activación del dispositivo de continuidad, ensayos y pruebas frecuentes, etc.

 La complicación para las empresas estatales es que al mismo tiempo pertenecen al Estado, entonces uno puede preguntarse cuál usar, pero yendo a lo práctico para no perderse en debates semánticos, y hacer las cosas, lo mejor es considerar que de todas maneras toda empresa pública, como las privadas, debe tener un plan de continuidad del negocio, y más allá de eso, tener una verdadera gestión de la continuidad del negocio.

 Es que de eso se trata: no dejarse confundir por la expresión “plan de continuidad”; no se trata sólo de hacer un plan, sino de tener a la gestión de la continuidad totalmente integrada a las operaciones de la empresa o entidad. ¿Por qué? Porque es un tema organizacional que forma parte de la gestión del riesgo operacional, del que ya hemos hablado varias veces. Es “un chip” que se debe llegar a tener en la cabeza de manera natural: una empresa o entidad bien organizada y administrada gestiona sus riesgos operacionales y entre ellos el riesgo de continuidad (o no continuidad, si prefieren).

Y se hace todo el tiempo, no es algo que se hace específicamente para prepararse para una emergencia o para responder a una emergencia.

 Al mismo tiempo, la gestión de la continuidad no es sólo para desastres: se hace para hacer frente también a otros tipos de situaciones, como ataques cibernéticos, fallas en los sistemas informáticos, interrupciones en los servicios de electricidad y/o de comunicaciones, disturbios y otros tipos de conmoción social, guerras, terrorismo, accidentes que involucran a numeroso personal clave…

 Esta es una disciplina bastante antigua, que empezó a practicarse hace decenios en Europa a nivel estatal a causa de las guerras con bombardeos, con un enfoque similar al militar. En el Perú existen lineamientos para las entidades financieras por normativa de la SBS publicada en el 2009, y ahora para las entidades públicas de los tres niveles de gobierno, con los lineamientos publicados por la PCM en febrero 2015 mediante R.M 028-2015-PCM. Para los demás, a falta de lineamientos uno puede guiarse por estándares internacionales reconocidos.

 La gestión del riesgo de desastres

 Esta es en cambio una disciplina más reciente, con la toma de conciencia creciente de que los “desastres naturales”, deben llamarse así, entre comillas, porque en realidad se puede reducir los impactos de los fenómenos naturales: se puede hacer que estos causen un determinado nivel de daños sin llegar a ser un desastre, o por lo menos si hay desastre, que sus impactos sean lo más reducidos posible.

 Los organismos multilaterales y los de cooperación bilateral han estado promoviendo el desarrollo de esta gestión, que en los países más desarrollados también tiene mucho más tiempo. Y esta gestión está dividida en varios procesos principales. La lista varía un poco según los países, pero en el Perú, según la Ley Nº 29664, la cual en febrero del 2011 creó el llamado “Sistema Nacional de Gestión del Riesgo de Desastres” (SINAGERD, y su Reglamento publicado mediante Decreto Supremo Nº 048-2011-PCM), estos son 7:

 . Estimación del riesgo

. Prevención del Riesgo

. Reducción del Riesgo

. Preparación

. Respuesta

. Rehabilitación (que ojo: incluye asegurar la continuidad de los servicios públicos básicos)

. Reconstrucción

 Como ven se trata de procesos destinados a gestionar el riesgo de desastres en todas sus dimensiones, que incluyen en cada una de sus etapas la financiera.

En el Perú se distingue entre la gestión prospectiva (estimación, prevención y reducción), la gestión reactiva (preparación, respuesta y rehabilitación) y la correctiva (reconstrucción). En otros países se utiliza más la expresión “recuperación”, que incluye a la rehabilitación y reconstrucción, y que para algunos empieza incluso con la respuesta. Esas diferencias generan a veces discusiones estériles. No hay que dejarse paralizar o demorar por debates semánticos y conceptuales, lo que cuenta son las acciones que se deciden e implementan.

 El hecho de que la rehabilitación incluya el tema de la continuidad de los servicios públicos básicos, puede llevar a cierta confusión: lo que hay que entender es que se trata de una perspectiva macro, en la que un cierto tipo de entidades debe asegurarse de que esos servicios públicos básicos (como electricidad, agua, telecomunicaciones, transportes) se sigan dando, poco importa que lo brinden empresas públicas o privadas; de ahí la importancia de la mención a  los reguladores en este aspecto.

 Otro tema relevante es que según la normativa del SINAGERD, las entidades deben hacer “planes de operaciones de emergencia”, es decir cada una debe saber qué le toca hacer  en el marco de su misión y cuando se presenta una emergencia, y prepararse para ello; es un tema esencialmente de Respuesta, aunque si se hacen planes para responder, hay también elementos de Preparación.

 Interacciones entre la gestión de la continuidad operativa y la gestión del riesgo de desastres

 Por supuesto que las hay.  Para empezar, hay un tema de intersección entre los dos, que es de los eventos de desastres. Dependiendo de los países, esta intersección será más o menos grande. En un país como el nuestro es bastante grande actualmente, pues lo que más puede provocar eventos de interrupción serios, son los desastres “naturales”. Pero no olvidemos que hemos tenido también épocas de más disturbios violentos y de terrorismo en la capital.

 Y sobre todo hay uno que muchos olvidan en su planeamiento: los procesos de gestión del riesgo de desastres (GRD) pueden ser imposibles de llevar a cabo si no se tiene una buena gestión de la continuidad operativa o del negocio.

 Aunque eso vale para todos los procesos de la GRD, el caso más flagrante es de la respuesta. Imaginen un solo instante: han hecho planes de operaciones de emergencia, todo saben lo que les toca hacer. Se produce el evento, digamos un sismo de gran magnitud para situarnos es nuestra realidad, y no se logra hacer nada, es la parálisis parcial o total: no se logra contactar a las personas que deben “responder”, no hay nadie para dar órdenes, se derrumbó la sede institucional con gran parte de los mandos y del personal clave adentro, o muchas de las personas previstas ya no pueden operar porque están bajo los escombros de sus casas o de los muros que cayeron sobre el vehículo en el que transitaban, etc. Todos los planes de respuesta a la emergencia terminan quedando en sólo eso: planes en el papel. Y visto de manera más macro, ni hablar de poder trabajar en la rehabilitación y la reconstrucción después, ciertas entidades no podrán hacerlo durante un buen tiempo.

 Como ya se habrán dado cuenta sin mucho esfuerzo, eso sólo se puede evitar cuando la empresa o la entidad se han organizado muy bien en lo que respecta a la gestión de su continuidad operativa (o del negocio), como parte intrínseca de su organización, ni siquiera es un tema de preparación específica para los desastres (esta coadyuva en ello más bien; por eso el área a cargo de temas de “defensa civil”es uno de los socios clave del área de continuidad), es una manera de funcionar y de organizarse que ya debe estar ahí, simplemente. Una buena GRD es imposible sin una buena gestión de la continuidad del negocio (u operativa).

 Y por supuesto, es otra de las interacciones, cuando en el marco de la gestión de la continuidad, se tiene planes de continuidad, estos tienen que articularse con los planes de operaciones de emergencia que se tengan, los planes tienen que “conversar”. ¿Puede haber personas que estén involucradas en las dos cosas al mismo tiempo? Depende del tipo de actividad de la entidad o empresa, más en unos casos, menos en otros. Pero por ejemplo, un equipo especializado en la gestión de la continuidad no lo está en el plan de operaciones de emergencia; está más bien ayudando a que éste pueda realizarse.

Conclusión

 Espero que con esto la diferencia quede bien clara. En el mundo de las empresas privadas más modernas o de los Estados más modernos, que practican la continuidad del negocio (u operativa)  desde hace mucho tiempo, esto es obvio, pero se puede entender que en nuestro país y en muchas instituciones no sea así, sobre todo si sólo se ve a la gestión de la continuidad operativa como una fuente de gastos y trabajo adicionales.