Resiliencia Operacional: en esencia, se trata de Continuidad del Negocio bien hecha
Como parte de una empresa global que ayuda a las organizaciones a prepararse para la disrupción, tenemos la oportunidad única de conocer cientos de enfoques y perspectivas para lograr la preparación «correcta». Naturalmente, estamos dedicando mucho tiempo a hablar sobre las lecciones aprendidas de COVID-19 y a prepararnos en caso de que la situación se agrave aún más. También dedicamos mucho tiempo a discutir la resiliencia operacional.
Si está en la industria de servicios financieros, este es un término con el que se familiarizará cada vez más dada la multitud de perspectivas regulatorias y del sector privado que se comparten. Sin embargo, como discutiremos en este artículo, todos los sectores en todas las geografías deben comprender sus principios básicos y cómo el pensamiento de resiliencia operacional puede agregar valor a través de una perspectiva que realmente resuene entre los líderes ejecutivos y las juntas directivas.
Pero aquí está el truco: nuestro pensamiento es que la resiliencia operacional es «la continuidad del negocio bien hecha». Claro, hay algunos términos nuevos, pero para muchas de las organizaciones de todo el mundo con programas y capacidades de continuidad del negocio avanzados, los elementos fundamentales ya estaban en su lugar. Quizás lo más interesante es que la implementación del pensamiento de resiliencia operacional resuelve muchas de las lecciones aprendidas de COVID-19 que se identificaron durante los últimos meses. Problemas como la planificación para la interrupción de los canales de entrega de productos/servicios y el abordaje de las expectativas más agresivas de los clientes se pueden resaltar y abordar a través de la filosofía de resiliencia operacional.
Más allá de resumir la propuesta de valor de resiliencia operacional y lo que la hace resonar, veamos algunos enfoques recomendados para ayudarlo a lograr la alineación con su filosofía central y aumentar la preparación para la interrupción.
Definición de Resiliencia Operacional
En esencia, la resiliencia operacional es la capacidad de su organización para continuar brindando servicios del negocio importantes durante eventos operativos adversos al anticipar, prevenir, recuperarse y adaptarse a dichos eventos y aprender de ellos.
También es importante definir «servicios del negocio». Para aquellos familiarizados con ISO 22301, los servicios del negocio son esencialmente lo mismo que los «productos y servicios», que son los resultados que brindan valor a los diferentes grupos de partes interesadas (a menudo, los clientes de su organización).
Más allá de los servicios del negocio, ¿qué más se destaca como elementos clave de esta definición? Nuevamente, para aquellos que ven la continuidad del negocio como un medio para disminuir la frecuencia de interrupciones mientras se preparan para responder y recuperarse con rapidez, probablemente no haya muchas novedades aquí.
Pero vayamos un poco más profundo.
Nuestra interpretación de la filosofía de resiliencia operacional es
- Una gran interrupción es inevitable. Su organización no puede predecir completamente qué la interrumpirá ni puede establecer con precisión una probabilidad de interrupción (que es una desviación del pensamiento tradicional de «riesgo»).
- Digitalizar su organización es un requisito previo necesario para la solución. Su organización y el entorno en el que opera son demasiado complejos para comprender las vulnerabilidades, expectativas, dependencias (internas y externas) y los activos que brindan servicios del negocio. Es fundamental crear y mantener un modelo digital de su organización para obtener respuestas a la pregunta fundamental de «¿y si …»
- El impacto es más que un dolor interno. Este es otro principio fundamental que debe considerar en contexto. El impacto es mucho más que el dolor que siente su organización. También se trata del dolor de su cliente y del impacto en el mercado donde opera su organización. Para muchos, el pensamiento tradicional del análisis de impacto al negocio no tiene en cuenta el dolor de su cliente y el papel de su organización en el mercado más amplio. Con resiliencia operacional, piense lo contrario. Se trata de su cliente, sus expectativas y comportamientos cambiantes, y los canales a través de los cuales reciben los resultados de los servicios del negocio.
Comencemos con la eliminación de mitos
Acabamos de presentar una definición común de resiliencia operacional y resumimos tres elementos de su filosofía, ahora hablemos del «Top 10» de los elementos de valor agregado de la resiliencia operacional.
- Compromiso y liderazgo de la dirección (gobernanza o, dicho de otra manera, lograr que los elementos organizacionales apropiados se involucren por completo para lograr un estado más resiliente, comenzando con los líderes más senior entregando «el tono desde arriba»)
- Digitalizar su modelo de negocio (un requisito previo para el n.° 6)
- Identificación de servicios del negocio importantes
- Identificación y uso de escenarios probables
- Tolerancia al impacto a servicios del negocio específicos
- Mapeo de extremo a extremo (los procesos y activos que brindan servicios del negocio)
- Pruebas de extremo a extremo (pruebas de continuidad o recuperabilidad de todos los servicios del negocio)
- Medición (¿puede su organización continuar con un servicio del negocio consistente con la tolerancia al impacto?)
- Gestión de incidentes (la capacidad de responder, comunicarse, adaptarse, recuperarse y luego planificar con anticipación para más)
- Aprendizaje (reflexionar sobre lo que funcionó y lo que no funcionó durante la respuesta a la interrupción y trabajar para impulsar la mejora continua a lo largo del tiempo)
Aunque no hemos definido los tres elementos en negrita, ¿algo de esto es realmente diferente de lo que ofrecen los mejores programas de continuidad del negocio?
Ese es el mito … ¡no lo es! Es simplemente la continuidad del negocio bien hecha.
Pero vayamos un poco más profundo.
Por qué el pensamiento de resiliencia operacional es convincente (y resuena con el liderazgo ejecutivo)
¿Ha observado alguna vez una reunión de la junta directiva? ¿Qué tal una sesión informativa trimestral para inversionistas dirigida por el director financiero de una empresa que cotiza en bolsa? Incluso si no los ha escuchado de primera mano, es posible que pueda reconocer los temas. ¿Cuál de las siguientes crees que es más precisa?
Opción 1: Durante el último trimestre, Specialty Metal X obtuvo ingresos de $450 millones, Specialty Metal Y tuvo ingresos de $390 millones y Specialty Metal Z ganó $380 millones. Los ingresos fueron 43% mayores en el tercer trimestre del año pasado y 38% mayores que en el último trimestre. En general, el margen bruto aumentó al 83% este trimestre y al 48% en general en lo que va del año.
Opción 2: Durante el último trimestre, vimos una mayor demanda por parte de nuestros clientes de fabricación de tres de los cinco productos metálicos especiales que suministramos al mercado. Este aumento de la demanda fue el resultado de un aumento inesperado en la fabricación y las ventas de automóviles en Europa y América del Norte a medida que disminuían las preocupaciones sobre una recesión mundial. Specialty Metal X arrojó ingresos de $450 millones, Specialty Metal Y tuvo ingresos de $390 millones y Specialty Metal Z ganó $380 millones. Los ingresos fueron un 43% mayores que los del tercer trimestre del año pasado y un 38% mayores que los del último trimestre. Esperamos que este comportamiento de compra se mantenga constante durante al menos los próximos seis meses. En general, el margen bruto aumentó al 83% este trimestre y al 48% en general en lo que va del año.
Aquí hay una diferencia no tan sutil entre las opciones 1 y 2. La opción 2 explica «el por qué», y se trata del cliente y lo que condujo a los resultados.
Como inversionista, ¿no se sentiría más cómodo invirtiendo con una organización que demostró comprender el «por qué»? Desde una perspectiva de liderazgo ejecutivo, invertir en resiliencia operacional, o continuidad del negocio, no es diferente. Poner a su cliente, el modelo comercial de su organización y los servicios del negocio en la base son pasos esenciales para lograr excelentes resultados de resiliencia. Estos vinculan el esfuerzo de resiliencia directamente a los flujos de ingresos que deben protegerse.
Con el enfoque de la resiliencia operacional en su cliente, su mercado y los servicios del negocio, el lenguaje resultante resuena con su directorio y liderazgo ejecutivo (en oposición a los productos y servicios «solo», o peor aún, la recuperabilidad de los procesos y recursos del negocio sin vincularlos volviendo al impacto en la entrega de productos/servicios).
Los programas de continuidad del negocio con el mejor compromiso de liderazgo se centran en los servicios del negocio y el cliente. El pensamiento de resiliencia operacional ahora exige el «y».
Desafíos de la resiliencia operacional
Si algunas organizaciones ya estaban impulsando la preparación para la interrupción en función de los productos/servicios y sus clientes, debería ser fácil para todos, ¿verdad?
No tan rápido.
En las docenas de conversaciones que hemos tenido con organizaciones, dentro y fuera de los servicios financieros, existe una lucha para lograr lo que describen las guías normativas emergentes y las mejores prácticas propuestas.
Esto es lo que estamos viendo:
- Hay una lucha para reducirlo a los pocos «servicios del negocio importantes».
- ¿Cuál es un escenario probable y cómo los usamos como parte de la resiliencia operacional?
- ¿Cómo establecemos la “tolerancia al impacto” y qué significa realmente?
Introducción a su viaje de resiliencia operacional.
Como parte de nuestro inventario de los elementos de resiliencia operacional de valor agregado «Top 10», destacamos tres elementos en la lista, todos los cuales requieren una explicación un poco más detallada. Resolver estos tres elementos aliviará la mayor parte del estrés que experimentan los líderes de programas de continuidad del negocio de todo el mundo a medida que avanzan hacia la resiliencia operacional.
- Identificación de servicios del negocio importantes
- Identificación y uso de escenarios probables
- Definición de la tolerancia al impacto a servicios específicos del negocio
Exploremos cada uno de estos, qué significan, cómo se utilizan y cómo obtener resultados para que cada uno conduzca hacia el nivel correcto de resiliencia operacional.
- Identificación de servicios del negocio importantes
Anteriormente definimos un servicio del negocio como el resultado que aporta valor a los diferentes grupos de interés. Internamente, para las organizaciones del sector privado, el valor suele ser una ganancia financiera. Externamente, para los clientes, el valor se basa en el dolor que resuelve el servicio del negocio (o dicho de manera más positiva, cómo crea alegría o mejora la vida del cliente de alguna manera).
Lo que estamos encontrando es que muchas organizaciones más grandes que se han embarcado con éxito en su viaje de resiliencia operacional han identificado entre ocho y 12 servicios de negocio importantes.
Aquí hay dos listas de muestra, una para una organización de servicios financieros global y la otra para una organización de productos de consumo más pequeña:
Ejemplos de organizaciones de servicios financieros
- Acceder a mi dinero
- Capacidad para realizar una reclamación de seguro
- Realizar un pago
- Recibir el pago de mi anualidad
- Completar mi hipoteca
Ejemplos de organización de productos de consumo
- Ofrecer un precio competitivo
- Realizar un pedido en línea
- Entrega exitosa del producto
- Brindar apoyo cuando las cosas no funcionen
¿Cómo puede su organización identificar con éxito los servicios del negocio importantes? A continuación, se incluye un modelo de propuesta para considerar (involucre a sus equipos de productos y liderazgo en la búsqueda y/o aprobación de respuestas a lo siguiente):
- ¿La interrupción de cualquiera de sus productos y servicios crearía un daño inmediato a un cliente vulnerable?
- ¿Alguno de sus productos o servicios, si se interrumpiera, crearía un caos o una interrupción significativa en un mercado en el que opera?
- ¿Cuál es el perfil de entrega del producto/servicio? ¿Es transaccional? ¿Es una repetición única? ¿Con qué frecuencia? ¿Cuántos en un período de tiempo determinado? ¿Cuántos clientes reciben el resultado?
- ¿La entrega de cualquiera de sus productos o servicios, si se interrumpe, amenazaría la viabilidad o estabilidad de su organización?
- ¿Qué productos o servicios generan más ingresos (puede agrupar productos y servicios en categorías)?
- ¿Qué productos o servicios son más rentables?
- ¿Cambiarán estas respuestas durante los próximos 12 a 36 meses (según su conocimiento del mercado)? ¿Si es así, cómo?
- ¿Cuál sería el impacto para los clientes de sus productos/servicios? (Cree una tabla con la primera columna como el producto o servicio, la segunda columna como el segmento de clientes y la tercera como una descripción del dolor esperado: financiero, de salud/seguridad, operacional, regulatorio/cumplimiento, otros).
Repase las respuestas a cada una de las ocho preguntas. ¿Dónde está la superposición? Si es como nuestros clientes, así como aquellos con los que hemos participado en debates sobre los éxitos de la resiliencia operacional, los productos y servicios en las respuestas a múltiples preguntas suelen ser los servicios del negocio importantes de la organización.
Recomendamos centrarse en nuestra definición de servicio del negocio aquí, ya que es fácil incluir servicios de negocio internos en esta lista. No hay duda de que algunos de estos pueden ser importantes, pero muchos solo en relación con el apoyo que brindan a un servicio de negocio y sus resultados para las partes interesadas.
- Identificación y uso de escenarios probables
Si es como nosotros, este aspecto de la resiliencia operacional puede ponerlo un poco nervioso.
¿Está abogando por una planificación basada en amenazas? No, en absoluto.
En cambio, nuestra opinión es que la identificación de escenarios probables que podrían afectar servicios del negocio importantes da contexto a la identificación de la tolerancia al impacto (que se describe a continuación) y también ayuda a que las pruebas de un extremo a otro sean más concretas al sugerir escenarios verdaderamente impactantes.
¿Qué es un escenario probable?
Definimos un escenario probable como un evento realista que podría interrumpir los resultados de la prestación de servicios del negocio y provocar un dolor inaceptable (mercado, cliente y/o interno). El escenario probable debería ofrecer la posibilidad de afectar las actividades y los recursos en la ruta crítica para brindar un servicio de negocio, e idealmente, el escenario podría afectar a los elementos más vulnerables en la ruta crítica.
Esto no significa que los escenarios probables deban afectar sus servicios del negocio importantes. Este ejercicio ayuda a su organización a comprender qué amenazas lo hacen vulnerable y, en muchos casos, es bueno saber que hay un escenario severo, pero probable, por el que la organización no debe preocuparse en este momento.
Para lograr los mejores resultados, considere lo siguiente:
- Comprender la ruta crítica para cada servicio del negocio (las actividades y recursos que contribuyen a la entrega). Aquí es donde un modelo digitalizado de su organización agrega un valor increíble.
- Según el lugar donde opera su organización, el panorama competitivo y los canales de entrega de clientes, identifique escenarios que podrían crear una interrupción del servicio del negocio. Considere los siguientes escenarios de «pérdida de …»:
- Pérdida de lugar de trabajo y/o equipo
- Pérdida de personas (absentismo)
- Pérdida de tecnología y/o información
- Pérdida de un tercero
- Identifique puntos únicos de falla o elementos de la ruta crítica que sean difíciles de recuperar de manera oportuna en estos escenarios. Tenga en cuenta que no todos los escenarios causarán un impacto inaceptable en todos los servicios del negocio. Concéntrese en aquellos en los que la tolerancia al impacto no se puede contener y se excederá.
- Documente los eventos y resuma según las categorías de «pérdida de». Busque comentarios y aportes de representantes de la alta dirección y propietarios de recursos.
- Haga una lista de lo que a su organización debería preocuparle y con lo que se siente cómoda, en función de la estrategia, el diseño del modelo de negocio y las capacidades de resiliencia.
Guarde algunos de los «escenarios preocupantes» para la configuración de tolerancia al impacto y eventuales pruebas de un extremo a otro.
- Tolerancia al impacto a servicios del negocio específicos
Según las muchas discusiones que hemos tenido hasta la fecha, este paso en el viaje de la resiliencia operacional es el más difícil.
La tolerancia al impacto es generalmente definida por la mayoría, incluidos los organismos reguladores, como el momento —o la capacidad de entrega disminuida— de un servicio del negocio que causaría un daño inaceptable a los clientes o al mercado en general y/o amenazaría irrevocablemente la seguridad o solidez de la organización.
El desafío aquí es que muchas organizaciones generalmente se sienten cómodas creando y buscando el respaldo de la gerencia ejecutiva de declaraciones de tolerancia al impacto, pero luchan con cómo probar la viabilidad de tales declaraciones a través de técnicas de cuantificación.
Muchos encuentran que la lucha para justificar matemáticamente la tolerancia al impacto no es posible o valiosa, ya que la tolerancia al impacto exige una conversación que articule 1) la comprensión del uso del servicio del negocio por parte del cliente o del mercado, 2) el valor que la prestación de los servicios del negocio genera para la organización y luego 3) presentar la información, junto con las recomendaciones, a la alta gerencia o al directorio para obtener retroalimentación o respaldo.
En última instancia, el tiempo dirá cómo determinar declaraciones y medidas viables de tolerancia al impacto (basadas en la orientación regulatoria y la práctica emergente), pero por ahora, nuestra recomendación es crear algo que se asemeje a un documento de posición sobre el tema de la tolerancia al impacto para cada uno dentro del alcance, importante servicio del negocio para ayudar al liderazgo ejecutivo y las juntas directivas a tomar las decisiones adecuadas. Las posibles aportaciones a la creación del documento de posición, que permitirá la toma de decisiones del liderazgo ejecutivo, incluyen las siguientes:
- Declaraciones actuales sobre el apetito de riesgo
- Comprensión de cada servicio del negocio, segmentos de clientes atendidos y la importancia/escala del papel desempeñado en el mercado en general.
- Impacto en el segmento de clientes, el mercado y la organización en caso de que falle el servicio del negocio y comprender cuándo este impacto causa un daño real
- Otros terceros que podrían intervenir para llenar el vacío después de una interrupción
- Medidas de mitigación actuales que podrían contener el impacto y por cuánto tiempo
- Cómo cambian los impactos con el tiempo (a corto, mediano y largo plazo) Las fuentes de información incluyen auditoría interna, finanzas/contabilidad, gestión de riesgos del negocio, gestión de productos, gestión de cuentas, adquisiciones y gestión de riesgos de proveedores.
Muchos de los elementos tradicionales para medir el impacto a través del análisis de impacto al negocio (BIA) proporcionarán un punto de partida útil para discutir la tolerancia al impacto, incluso si estos BIA se basan en puntos de vista de los impactos organizacionales sin conectarlos con los servicios del negocio o los resultados que respaldan.
Los RTO para diferentes actividades comerciales pueden proporcionar una vista normalizada del punto en el que el impacto es significativo desde una perspectiva de continuidad y cuando se superponen con las otras entradas anteriores, específicamente con respecto a los clientes, se puede utilizar para informar la tolerancia al impacto y el momento en el que se puede causar un daño inaceptable. Incluso puede ser beneficioso redefinir la forma en que se mide el impacto en sus BIA para acercarlos a los conceptos relevantes para establecer la tolerancia al impacto.
Conclusiones clave
¿Cuáles son las conclusiones al pensar en aplicar los principios de resiliencia operacional?
Considerar:
- La resiliencia operacional puede ser el tema candente en los servicios financieros, pero es realmente relevante para todos.
- La resiliencia operacional es la continuidad del negocio bien hecha (posiblemente con algunos ajustes o adiciones).
- La resiliencia operacional involucrará a las partes interesadas en una conversación estratégica más simplificada.
- Comprender los resultados de los servicios del negocio en el contexto de su cliente y mercado, con la tolerancia al impacto definida para cada uno, conectará y priorizará lo que necesita para proteger la generación de valor de su organización.
- Una representación digital de su modelo de negocio es esencial para resaltar los mecanismos de entrega de un extremo a otro y las vulnerabilidades que los amenazan.
Un pensamiento más: después de leer este artículo, reflexione sobre cómo la resiliencia operacional podría resolver varios de los problemas experimentados en respuesta al COVID-19. Muchas de las organizaciones con las que nos hemos involucrado creen firmemente que puede resolver algunas de las causas fundamentales del bajo rendimiento.
Brian Zawada es el director de operaciones de Castellan Solutions, el mayor proveedor global de consultoría de continuidad del negocio, software, servicios gestionados y dotación de personal. Zawada tiene más de 25 años de experiencia administrando y construyendo programas de continuidad del negocio de clase mundial que ayudan a las organizaciones a lograr y mantener el nivel adecuado de resiliencia. Además, Zawada contribuyó al desarrollo de ISO 22301, ISO 22317 e ISO 22331. Se puede contactar a Zawada por correo electrónico en brian.zawada@castellanbc.com.
Ian Crabb es el jefe de estrategia global de Castellan Solutions. Crabb tiene más de 25 años de experiencia trabajando como consultor al servicio de organizaciones del sector público y privado y administrando programas internos de continuidad del negocio. Esta combinación de proveedor de servicios y profesional aporta una perspectiva y una experiencia únicas. Puede comunicarse con Crabb por correo electrónico a ian.crabb@castellanbc.com.