¿De la mano de Auditoría o durmiendo con el enemigo?

-
Hace unas semanas, en un curso online, conversaba con un consultor canadiense acerca de cómo sería un programa de continuidad de negocio ideal, algo así como un programa "soñado". Concordábamos en que uno de los atributos más deseados para tal programa sería que lo que mueva a la acción a nuestros participantes no sea el temor a observaciones o no-conformidades por parte de auditoría interna, que el enfoque y la metodología para gestionar la continuidad del negocio no estén concebidos o parametrizados para satisfacer a los auditores, y que el impulso para innovar no se trunque por el temor a incumplir lo establecido, donde auditoría interna no sea un stopper para la innovación. ¿Qué deberíamos hacer para estar más cerca de ese sueño? Para empezar... ¿deberíamos?


La teoría nos dice que una organización debe evaluar cómo está gestionando la continuidad del negocio, a fin de garantizar que esta sea efectiva; en ese sentido, las revisiones de auditoría sirven —o deberían servir— para analizar la competencia y la capacidad existentes en una organización. Hasta ahí, suena muy bien: Auditoría como un partner clave para el propósito de la continuidad del negocio.

Sin embargo, según la ISO 22301:2019, la organización debe realizar auditorías para revisar que el programa de continuidad del negocio cumple con los requerimientos de la organización y que se viene implementado y manteniendo efectivamente. Este enfoque asume que si el proceso metodológico es correcto y se aplica correctamente, el resultado deberá proporcionar competencia y capacidad efectiva y adecuada. ¿Y cuál es el problema?

Sucede que la mayoría de auditores de continuidad del negocio planifican y diseñan sus revisiones con base en algún proceso metodológico existente o mandatorio —normado por alguna entidad regulatoria—, y se enfocan únicamente en evaluar las evidencias del cumplimiento de dicho proceso. En el Perú, como en muchas partes del mundo, un referente obligado es el estándar ISO 22301 en este momento; y es así, entonces, que los auditores suelen pedir y revisar los resultados del último análisis de impacto al negocio (BIA), los resultados de la última evaluación de riesgos de continuidad, la documentación vigente de los planes de continuidad del negocio, los informes de las pruebas de los planes, las actas de asistencia a las capacitaciones a los participantes del programa, las aprobaciones del plan anual de trabajo, las evidencias de las revisiones por la alta dirección, y un largo etcétera. En otras palabras, lo que analizan, básicamente, es la documentación del programa.

Como a nadie le gusta tener observaciones de auditoría, lo más lógico es enfocar y diseñar nuestra metodología de gestión de continuidad del negocio y su documentación para satisfacer más fácilmente a los auditores, por más engorroso y ocioso que resulte mantenerla. Incluso, nosotros mismos solemos caer en la tentación de usar ese temor natural a una posible observación de auditoría para hacer que las cosas sucedan, contribuyendo así a una imagen de compliance que finalmente no es sostenible para nuestra disciplina. Y por último, al tener que ser evaluados por seguir un proceso metodológico específico, es obvio que no quede mucho espacio para la innovación.

¿Podríamos hacer algo para cambiar esta situación? ¿Deberíamos?



Fuentes
International Organization for Standardization. [ISO]. (2019). ISO 22301:2019 Security and resilience—Business continuity management systems—Requirements. Recuperado de https://www.iso.org/standard/75106.html
The International Consortium for Organizational Resilience. [ICOR]. (2020). BCM 3000: Implementación ISO 22301. Programa de Desarrollo Profesional en Continuidad del Negocio. 

Comentarios

Publicar un comentario

Entradas populares de este blog

¿Qué dice la Ley 29783 (SST) sobre gestión de emergencias? #EmergencyPlanning #BusinessContinuity

-
Imagen
Mediante la ley de Seguridad y Salud en el Trabajo ( Ley N° 29783: 2011 ) y su reglamento respectivo  (D.S. 005.2012-TR), se estableció la obligación para las empresas de contar con un sistema de gestión en seguridad y salud en el trabajo ; el que especifica disposiciones legales específicas con respecto a la respuesta a situaciones de emergencia. En la Ley 29783 de Seguridad y Salud en el Trabajo (SST): Art. 39.- Objetivos de la Planificación del Sistema de Gestión de la Seguridad y Salud en el Trabajo . Con respecto al logro de resultados específicos, realistas y posibles de aplicar por la empresa; comprende (a) la mejora continua de los procesos, la gestión del cambio, la preparación y respuesta a situaciones de emergencia; y (b) la mejora del nivel de participación de los trabajadores y su capacitación.   En el Reglamento de la ley de SST: Art. 33.- Registros obligatorios del Sistema de Gestión de SST : g) […] registro de entrenamiento y simulacros de emergencia (
Leer más

Mapa de suelos de Lima y Callao #BusinessContinuity #DisasterRecovery

-
Imagen
Extraído del Atlas de Peligros del Perú articulado por el Instituto Nacional de Defensa Civil (Indeci), en el mapa se muestran los resultados del estudio de microzonificación sísmica y tsunami realizado en 2010. Cada color indica una zona la cual corresponde un tipo de calidad de suelo: Peligro bajo (verde) : Está conformada por los afloramientos rocosos, los estratos de grava-aluvial de los pies de las laderas. Este suelo tiene un comportamiento rígido, con periodos de vibración natural. Peligro bajo Peligro relativamente bajo (amarillo) : Se incluyen las áreas de terreno conformado por un estrato superficial de suelo granulado fino y suelos arcillosos. Peligro relativamente bajo. Peligro alto (anaranjado) : Conformada en su mayor parte por los depósitos de suelos finos y arenas de gran espesor que se encuentran en estado suelto. Peligro alto. Peligro muy alto (rojo) : Conformada por los depósitos de arena eólicas de gran espesor y sueltas, depósitos fluviales, depósitos marin
Leer más