El Business Continuity Plan, o BCP es una herramienta que permite que las operaciones de una empresa puedan continuar, con la menor interrupción posible, a pesar de la ocurrencia de un evento de riesgo que las afecta.  En este breve artículo vamos a considerar la importancia de incorporar los BCP a la gestión de riesgo de la empresa.  La gestión de riesgo es un proceso por medio del cual las organizaciones ponen su atención, de manera sistemática en los riesgos y las oportunidades generados por la incertidumbre que las rodea.  A través de este modelo de gestión, la compañía logra estar preparada para, poder tomar acciones concretas de protección frente a los riesgos que ocurren, o para poder aprovechar las oportunidades que pudieran surgir.  Este proceso consta de diferentes pasos: (i) empieza con la identificación de los riesgos, su definición y medición; (ii) sigue con la identificación de sus determinantes, y finalmente; (iii) con la definición de varias estrategias de cobertura o mitigación de los riesgos (o actividades tendientes a aprovechar las oportunidades que se presentan).  

Es fundamental reconocer que el impacto de los riesgos se manifiesta de diferentes maneras en la organización.  En ciertos casos se manifiesta en variaciones en el flujo de fondos, en otros genera un efecto en la reputación de la empresa, en otros casos produce una incapacidad de mantener las operaciones en funcionamiento, entre otros.  Una mirada rápida al problema nos llevaría a pensar que, independientemente del impacto inicial, en todos los casos termina impactando en el flujo de fondos y el valor de la empresa.  Sin embargo, es importante observar, que para poder diseñar buenas estrategias de cobertura, la distinción en el impacto del riesgo, es fundamental, ya que necesitamos saber qué estamos queriendo proteger.  Es bastante obvio que no es lo mismo proteger un impacto en el flujo de fondos que un impacto en la reputación.  La herramienta de mitigación que se seleccione, dependerá en gran medida de qué aspecto de la empresa queramos proteger.  

Comenzaremos diciendo que la mitigación de un riesgo implica la realización de acciones que nos permitan disminuir su probabilidad de ocurrencia y/o su impacto en la compañía.  Entonces frente a un riesgo de, por ejemplo, un incendio en un depósito, la decisión de cobertura podría se la de cambiar los materiales del sistema eléctrico por unos más modernos y seguros (disminuye probabilidad de ocurrencia), y/o el de contratar una póliza de seguros contra incendios (baja impacto), y/o, el de organizar, y capacitar, una brigada contra incendios entre las personas de la empresa (baja impacto).  Las tres estrategias de mitigación, combinadas o individuales, son correctas, obviamente podríamos pensar otras estrategias adecuadas también.  Sin embargo la cobertura que nos protege respecto del impacto del incendio, en este caso la póliza de seguro, nos protege frente al efecto económico/financiero del siniestro.  Es decir, nos alivia, total o parcialmente, el costo de reconstrucción del depósito, la reposición de la mercadería perdida, y, eventualmente, el lucro cesante.  Esa herramienta de mitigación, sin embargo, no nos protege del problema que se nos pudiera generar por no ser capaces de seguir operando, satisfaciendo la demanda de nuestros clientes, penetrando un mercado en el que estamos compitiendo, manteniendo nuestro posicionamiento en la mente del consumidor, abasteciendo la línea de producción, etc.  Es decir, la protección que nos da la póliza de seguro nos da una protección frente a un impacto en el flujo de fondos de la empresa, pero no frente a la capacidad de operar.  Para lograr una protección frente a la incapacidad de operar, será necesario diseñar otro tipo de estrategias, por ejemplo: tener un plan que contemple el uso de un depósito de backup en la eventualidad que el nuestro quede en desuso, u otro ejemplo similar.  Es por eso que es tan importante identificar bien en donde se manifiesta el impacto de un riesgo, ya que es indispensable a la hora de diseñar un plan de mitigación adecuado.

En aquellos casos en los que los riesgos se manifiestan en la capacidad de operar de la organización, la estrategia de cobertura más habitual es el llamado Business Continuity Plan (BCP), también denominado en español, Plan de Continuidad de Negocios.  El mismo implica el diseño de un plan de acción que se debe poner en funcionamiento en el momento en que se defina que lo debe hacer, por ejemplo, en el momento en que un riesgo se manifiesta, o, en algunos casos, en el momento en que la probabilidad de ocurrencia supera un determinado nivel tolerable.  Este plan debe ser detallado y estar preparado para comenzar a operar de manera inmediata incluso en las condiciones más adversas y en las que los canales de mando y comunicación tradicionales no estén en condiciones de funcionar de manera normal.  

Un buen BCP no puede estar desligado del modelo de risk management de la organización; es indispensable que sea parte integral de éste.  Decíamos más arriba que un buen modelo de risk management,  identifica los riesgos y sus determinantes.  Los determinantes, son justamente aquellos “gatillos” o “disparadores” que hacen que un riesgo aumente su probabilidad de ocurrencia.  Por eso, es clave que, en un buen modelo de gestión de riesgos tengamos la capacidad de seguir de manera sistemática, los determinantes de los riesgos, de esta manera, estaremos preparados para enfrentarlos de la manera más eficiente posible cuando sea necesario.

Para diseñar un buen BCP, es indispensable comenzar con la identificación de cuáles son los procesos y las operaciones clave para que la organización pueda ser exitosa.  El siguiente paso es el de identificar los riesgos que podrían interferir en el normal desempeño de aquellos procesos críticos de la organización.  Una vez identificados estos riesgos, deberemos identificar sus determinantes, que hacen que el riesgo tenga una creciente probabilidad de ocurrir, y diseñar la secuencia de acciones a realizar en cada momento.  Por ejemplo, cuando ocurre una determinada circunstancia es necesario que una persona, previamente identificada e informada, realice una determinada acción.  Es muy importante que nos aseguremos que: (i) sabemos cual es el evento que dispara la necesidad de pasar a la acción; (ii) que la persona que tiene que realizar la acción, sepa claramente en qué caso tiene que realizar una acción concreta, y; (iii) que haya un sistema de comunicación eficiente, probado y que no se afecte por los eventos, para que la persona sepa que llegó el momento de actuar.  Lamentablemente , con diseñar un BCP y dejarlo en “algún lado” no es suficiente.  Los BCP tienen que ser diseñados en conjunto con el equipo de risk management, tienen que ser comunicados y, sobre todo, se tienen que mantener actualizados.  Por ejemplo, si el encargado de realizar la acción ya no está en la compañía, o cambió de posición, es clave que la nueva persona a cargo de la realización de la acción de mitigación sepa a ciencia cierta que tiene que desempeñar una función en caso de que algo ocurra.  También es importante señalar, que un buen BCP, muchas veces puede contar con algunas acciones que se pueden realizar antes de la ocurrencia del evento de riesgo (por ejemplo cuando un determinante entra en estado crítico) y permiten disminuir la probabilidad de ocurrencia del evento, o mitigar su impacto de tal manera que prácticamente el impacto pasaría a ser casi nulo.

Obviamente los BCP, como todas herramientas de mitigación de riesgos tienen su costo asociado.  En algunos casos el costo es económico, pero en otros es simplemente de necesidad de alocar tiempos y recursos a diseñar y pensar los planes de continuidad de negocio, y, una vez diseñados, a mantenerlos actualizados.  Es absolutamente fundamental que la empresa tome, dentro del marco de un plan de gestión integral de riesgos, la decisión política de diseñar los BCP de aquellos riesgos que los ameriten y de mantenerlos actualizados y al día.