Las empresas sufren circunstancias que ponen a prueba su prestigio y supervivencia. Elaborar planes para cuando eso ocurra evita daños mucho mayores y ayuda para ver qué recursos son realmente críticos, de los cuales depende que la actividad siga normalmente.

Es muy impactante vivir un incendio, una inundación, el robo de un recurso importante, un absentismo masivo por enfermedad o huelga, un parón en los servidores o suministro eléctrico, o cualquier otra circunstancia que haga que se paralice la actividad en la empresa. Afecta a los resultados tangibles y a la imagen y fiabilidad que los clientes perciben, decisivamente si ya había algún problema crónico y proporcionalmente al tiempo transcurrido hasta que el servicio se restablece.

Por ello, implantar un Sistema de Gestión de Planes de Continuidad de Negocio (SGPCN), (PCN), y certificarlo según norma ISO 22301, para no improvisar en caso de crisis, no es ya una opción, sino que debe ser tan común como establecer un Sistema Documental de Gestión de Calidad (SGC) según ISO 9001. De hecho ambas normas citadas tienen la misma estructura, facilitando su establecimiento simultáneo con los mismos recursos: Se han de elaborar la política de SGPCN junto con sus procedimientos y mantener actualizados los documentos que los contienen y se han de guardar registros de la actividad, de forma que sea trazable todo lo realizado. Los documentos se han de editar permanentemente, aprendiendo de los errores y fallos detectados y todo el sistema ha de someterse a un proceso de mejora continua siguiendo el ciclo de Deming: Planificar->Hacer->Verificar->Actuar para volver a empezar reiterativamente.

Una atenta lectura de la norma ISO 22301 nos lleva a la conclusión de que hay que tratar con información, cuya agrupación en entidades independientes para su procesamiento, puede dar lugar a un conjunto de tablas de datos, susceptibles de ser manejadas por un Sistema Gestor de Bases de Datos Relacionales (SGBDR). Estas entidades son como mínimo los Business Impact Analysis (BIAs), la enumeración de los riesgos posibles valorados por su grado de incidencia y su probabilidad, los procesos afectados, las actividades o pasos de los procesos teniendo en cuenta los suministros críticos, las personas responsables, las posibles acciones, el Tiempo Objetivo de Recuperación (RTO) y otros, los registros de las mediciones o resultados de las acciones establecidas, los propios procedimientos y las normas de las que dependen.

Valentina Studio

Las figuras incluidas muestran entidades y relaciones, generadas en un caso con el programa de edición de diagramas DIA y en el segundo como tablas de la base de datos creada al efecto con Valentina Studio, con sus relaciones establecidas según las reglas de normalización de bases de datos, para mantener la integridad documental. Básicamente para asegurarnos que la información se edita una sola vez en un solo sitio y no se producen errores derivados de tener que escribir lo mismo varias veces.

El éxito de los PCN dependerá de lo bien enfocados que estén a solucionar los problemas críticos reales, de la implicación de la alta dirección y empleados, de la actualización de la documentación cada vez que haya un cambio…

Para continuar con este mismo tema, ver el post siguiente:

Planes de continuidad: por dónde empezar