Por: C.P. Iván Rodríguez. Colaborador de Auditool
La situación actual es una oportunidad para revisar el tema de la continuidad de los negocios. Los planes de continuidad (Business continuity planning – BCP por sus siglas en inglés) se constituyen en herramientas valiosas en momentos en que las empresas pueden verse afectadas por eventos que las pueden afectar seriamente. Los auditores deben evaluar si las empresas donde laboran, o sus clientes, poseen un plan y de tenerlo, en qué condiciones se encuentra.
La primera recomendación (que debería ser obvia) en caso de ausencia de un plan de continuidad en una organización, es crear uno. A continuación, algunas consideraciones que debe tener una organización al hacer su plan y que deben ser motivo de evaluación del auditor:
- Análisis del impacto del negocio
El paso inicial para hacer un plan de continuidad es que la organización elabore un análisis de impacto del negocio (BIA – por sus siglas en inglés, Business Impact Analysis). Un BIA esencialmente consiste en una descripción de las pérdidas potenciales tendría una organización, si alguno de los procesos del negocio o de los recursos que permiten su funcionamiento sufren una parálisis. Esto permite determinar que recursos se van a requerir al momento de recuperarse y en que orden debe restablecerse la actividad operativa; en el actual entorno, un BIA puede ayudar a las organizaciones a determinar y evaluar los posibles efectos del coronavirus en las operaciones comerciales. Al realizar este análisis, hay que tener en cuenta el impacto en diferentes grupos o terceros:
Empleados y colaboradores:
Es necesario identificar los procesos críticos y quienes los ejecutan. Posteriormente, hay que determinar si estos procesos deben llevarse a cabo en las instalaciones o si se pueden realizar de forma remota. Esta misma evaluación hay que hacerla para los demás empleados. Es vital capacitar a algunas personas, de manera que puedan reemplazar temporalmente a quienes desarrollan trabajos vitales, puesto que pueden presentarse ausencias por enfermedad. También hay que tener copias de seguridad de la información importante y sensible (documentos legales, financieros, etc).
Clientes:
Hay que evaluar a los clientes e implementar, en cuanto sea posible, estrategias de fidelización. Así mismo, hay que evitar cualquier daño reputacional. Debe prestarse atención al riesgo crediticio de los clientes y las condiciones en que se negocia con ellos, de manera que no haya preocupaciones importantes una vez las condiciones vuelvan a la normalidad.
Proveedores:
De manera semejante al caso de los empleados, hay que determinar qué suministros o proveedores son críticos para mantener las operaciones en funcionamiento y las cadenas de suministro sin interrupción. Es necesario revisar todos los contratos de proveedores, entender sus implicaciones y determinar si hay otras maneras de continuar las operaciones de la organización si uno de los proveedores no puede entregar mercancías. Es el momento de repensar y reconsiderar todo. Hay que fomentar la innovación y la creatividad.
- Análisis de escenarios
Es conveniente contar con modelos que permitan evaluar escenarios, desde el más complejo hasta el más probable. Esto proporciona una gama adecuada de resultados, que la organización puede considerar. Al determinar grupos de interés clave y los riesgos para cada uno, es posible prever posibles resultados estratégicos, operativos y financieros para los próximos tres, seis o doce meses. Es válido así mismo, ver modelos de negocio alternativos o nuevas formas de servir a los clientes.
- Análisis de riesgos.
Con base en los análisis de escenarios, es posible identificar nuevos riesgos (inclusive potenciales) financieros, estratégicos, operativos y externos, así como su probabilidad de ocurrencia. Esto le permite a la organización contar con escenarios sólidos.
- Comunicación
La comunicación con las partes interesadas es también un paso vital de cada plan de continuidad. La organización debe definir el contenido y la frecuencia con los que desea comunicarse con sus grupos de interesados. Es extremadamente útil crear páginas de destino específicas para empleados, clientes, inversores, etc., con recursos y orientación.
Se debe contar con protocolos de comunicación, responsables y tareas de comunicación que se encuentran asignadas. Si la organización aún no tiene uno, debe crear un equipo multifuncional de respuesta a la pandemia. Esto garantizará la alineación de la organización en torno a los objetivos clave. En la literatura técnica hay material acerca de planes de comunicación en crisis que vale la pena consultar.
- Plan de recuperación (DRP)
Un plan de recuperación (Disaster Recovery Plan - DRP por sus siglas en inglés), que puede crearse en paralelo, es útil para hacer frente a la situación que originó la puesta en marcha del plan de continuidad del negocio. Contempla un proceso de recuperación que cubre los datos, el hardware y el software crítico, para que un negocio pueda comenzar de nuevo sus operaciones, luego de un desastre sea natural o provocado. Puede incluir proyectos para enfrentarse a la pérdida inesperada o repentina de personal clave.
Al ejecutar el plan de recuperación, la copia de seguridad es quizás la herramienta más importante, ya que será el respaldo de los datos que se usará para la recuperación de la organización. Una organización puede comenzar el negocio en nuevas instalaciones, si fue destruida, puede recuperarse de un ataque informático, puede realizar cualquier acción luego de una situación de desastre, si cuenta con una copia de seguridad para empezar de nuevo. Por tanto, hay que prestar especial atención a la existencia y funcionamiento de una copia de respaldo de los datos.
- Monitoreo continuo.
Un BCP eficaz también se centra en los indicadores clave de rendimiento (KPI) de los procesos prioritarios. Es conveniente entonces aumentar la frecuencia de medición y seguimiento de la liquidez, ventas, stock, etc. a diario y /o semanal. Deben aprovecharse las fuentes de datos para obtener respuestas rápidas a los riesgos cambiantes.
Este conjunto de elementos, deben ser considerados por el auditor, al examinar un plan de continuidad y para ofrecer recomendaciones estructurales en una situación como la actual, de manera que se espere mantener la supervivencia de las organizaciones en el futuro.
C.P. Iván Rodríguez
Auditor y Consultor, Diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, Diplomado en Gerencia de la Calidad, Contador Público de la Pontificia Universidad Javeriana, con 20 años de experiencia en diversas empresas. Amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool
Bogotá D.C, Colombia