miércoles, 30 de abril de 2014

El riesgo operacional y el enfoque fractal

Hoy día para la práctica de riesgo operacional existen herramientas, métodos, especialistas, coaches, súper gúrus y demás recursos que hace un poco más de 10 años no se encontraban con tal disposición. Hoy más que nunca se encuentra exigido y regulado por múltiples organismos gubernamentales que instruyen a que se revise y emprendan acciones para administrar o mediar con el riesgo operacional. Para evidenciar esto, pueden hacer una búsqueda en Google de la palabra "riesgo operacional" y en 0.34 segundos arrojará 3.900.000 resultados relacionados al tema. Esto, hace 10 años era imposible de lograr. Sin embargo, a pesar de haber toda una biblioteca mundial de información y de expertos, día tras día nos enteramos de la ocurrencia de eventos relacionados con los factores de riesgo operacional, teniendo como característica principal una mayor frecuencia y un mayor impacto.

Claro está, los riesgos han aumentado porque el mundo ha crecido en su población, se ha tecnificado aun más y sin duda la gente hoy día está altamente interconectada. El hecho que hayan cifras que indiquen que existen más teléfonos móviles que personas en el mundo ya es bastante, no importando si estos no son teléfonos inteligentes. El asunto es que al menos tienen la capacidad de enviar mensajes de texto. La gente puede guardar mucha información en un teléfono básico, con nombres, números de contacto, correos y datos adicionales que maravillarían a un hacker de los años 90. Aun más, estos dispositivos llevan fotos, algunas que revelan situaciones, condiciones y preferencias. Para un ingeniero social de los 90 llegar a este nivel de acceso a tal privacidad en minutos era para ser considerado un genio. Ni siquiera hablaremos de las redes sociales, ese debe ser un artículo aparte.

Regresando al tema principal, sucede por lo general trabajamos en empresas que en esencia no han cambiado su naturaleza y objetivos. Por supuesto que estas empresas han modernizado su infraestructura tecnológica, elevando así los volúmenes de operación, su relación global con sus clientes y proveedores, la inmediatez de la atención y por en consecuencia han mejorado sustancialmente los resultados financieros. Sin duda alguna, el factor de riesgo tecnológico igual se ha elevado exponencialmente y todos los demás factores que la misma tecnología arrastra, incluyendo el desconocimiento. Mencionamos el desconocimiento, porque creemos que es el mayor de todos los males a la hora de decidir administrar el riesgo operacional. Es amplio y denso, así que en forma reiterada se dice que es imposible manejar los volúmenes de información y de igual manera, el conocimiento que nos bombardea diariamente desde el entorno; queremos decir, el entorno interconectado

Sin tener que ver nada con el riesgo operacional, en 1983 la revista Time editaba una portada con el tema de la ansiedad de la modernidad, haciendo referencia a la sobrecarga de información que personal ejecutivo recibía diariamente, hoy día es una experiencia cotidiana que una persona está minuto a minuto recibiendo actualizaciones de múltiples servicios a través de su teléfono, no importando en que actividad o lugar se encuentre, lo cual en muchas ocasiones le genera intensa ansiedad por no estar en conocimiento de todo lo que sucede alrededor. Algo similar ocurre con la gestión de riesgo operacional y los especialistas a cargo de administrarlo; ellos se han preparado para mirar los factores de riesgo que se relacionan con sus cuatro componentes: procesos, tecnología, personas y entornoEste enfoque, en el cual se pueden tipificar cientos de posibles riesgos hace que se complique mucho el tener una visión general de lo que pudiese estar amenazando a la organización, por ende pierden la visión fractal del asunto, en el que se determina que cada elemento en la vida es diferente en detalle, pero similar en su conjunto.

Es importante comprender que los eventos de riesgo operacional no son una serie patrones que se repiten constantemente, sino que están caracterizados por una aleatoriedad particular dentro de un conjunto que tiende a ser similar, pero que en sus detalles son absolutamente distintos. En este caso, los componentes son los mismos siempre y puede que se le identifiquen los mismos factores de riesgo de empresa a empresa, sin embargo, el entorno puede hacer que los riesgos tengan origen y magnitudes distintas. Por ejemplo, un evento puede originarse por múltiples factores, inclusive combinando dichos factores tal como las personas y la tecnología o los procesos, personas y entorno; siendo el resultado siempre muy similar.

Consideramos que es apropiado visualizar los riesgos operacionales desde un enfoque fractal porque sus características permiten identificarlos en modelos de entornos complejos en el que se desenvuelven entre un orden y el caos, en el cual existe gran sensibilidad a los cambios iniciales, que a la larga pueden causar enormes consecuencias y transformarse en sistemas caóticos.

De un tiempo acá hemos estado utilizando modelos formales para la cuantificación de riesgo operacional y han resultado exitosos. Sin embargo, para el análisis cualitativo; solo se han utilizado matrices y mapas de calor que poco indican del futuro comportamiento de los eventos de riesgo. Consideramos que la gestión de riesgo operacional debe integrar modelos que permita en su fase de prevención identificar un comportamientos donde el entorno es altamente sensible a las condiciones iniciales, en las que un simple cambio puede generar un resultado bastante diferente al esperado. En donde se encuentran sistemas deterministas, donde se puede identificar una ecuación que lo gobierne y por último, aunque parecen el sistema en apariencia puede ser desordenado, tiene cierto orden y se encuentra implícito un patrón. Estas características describen un sistema complejo en el cual se maneja mucha información, información que hoy día nos abruma. Y aunque Henri Poncairé en 1890 abrió las puertas a la ciencia del caos, creemos que esta aun no ha sido utilizado apropiadamente para la práctica de riesgo operacional; el que resolvería el tema de la sobrecarga de información y quien sabe si le da un vuelco severo a la práctica misma.

Fuente: Hayles Katherine. La evolución del Caos - Gedisa España 1993

domingo, 30 de marzo de 2014

Debe considerarse la estrategia del negocio cuando se desarrolla el BIA?

El proceso de análisis de impacto al negocio (BIA) lo que busca, en términos simples, es determinar aquello que necesita ser recuperado y los tiempos en que tardará en recuperarse la actividad, considerada crítica, del negocio. Por tanto es como tomar una fotografía instantánea de los procesos y realizar el respectivo análisis de impacto; una vez obtenido el análisis de impacto se dispone de la base primordial para la construcción de los planes de recuperación. Sin embargo es importante saber si, durante el análisis de impacto al negocio, se debe o no considerar aspectos tan importantes como la estrategia del negocio.

Veamos una situación hipotética acerca de una organización: 

Una institución financiera tiene estipulado en su estrategia aumentar durante tres años un 25% sus clientes de tarjeta de crédito. En ese mismo periodo, incrementar el uso de la banca en línea en 15% y aumentar su presencia con oficinas de atención al público en 5 de un total de 70. Este plan ya tiene un año desde su declaración en la estrategia y va ejecutándose a tiempo. Usted está desarrollando el BIA en este momento. ¿Debería considerar esa información? 

Nosotros lo haríamos; aunque es muy probable que se encuentren con muchos especialistas que dirán que no es necesario; ya que se basan en el principio de la criticidad de los procesos enfocado en el tiempo de inactividad. Tienen razón y para ejemplificarlo mejor tomaremos prestado el la expresión de un gran amigo a cargo de una unidad de emergencias: "lo primero que se atiende en una situación crítica de vida o muerte es "cerebro, corazón y pulmón".

Pero revisemos este aspecto: ¿para qué se busca determinar ese "tiempo de inactividad"? En la práctica es obtener el impacto de no atender al público, identificar las pérdidas financieras así como los ingresos dejados de percibir, multas por incumplimiento, entre otras consecuencias. Estos impactos están relacionados a procesos del negocio y son priorizados para elaborar la respectiva contramedida, que termina convirtiéndose en los planes de recuperación. Estos planes no son más que procedimientos específicos para mantener la operación básica de la organización, enfocándose en su criticidad de impacto y  a su vez, esta actividad se hace basado en que todos los procesos de la organización han de ser evaluados y clasificados en virtud de su prioridad de recuperación y dependencia, incluyendo los tecnológicos.

Acá está el argumento de porque nosotros tomaríamos en cuenta la estrategia y podría pensarse que estamos desviándonos de los estándares; sin embargo, el argumento es la "dependencia". Si estamos desarrollando un BIA en este instante, para desarrollar un plan de recuperación o actualizarlo, el mismo será adecuado en función de los tiempos de inactividad sobre los procesos críticos, que sean determinados. Ahora supongamos que desde el día de hoy no ocurre un evento de interrupción, sino hasta dentro de 18 meses. La estrategia de la organización se ha venido materializando y el plan no ha sido actualizado¿El plan de recuperación pudiera estar en condiciones de mitigar el impacto habiendo obviado la estrategia? Es posible que funcione, con algunas dificultades y perdiendo mucha efectividad inicial. ¿Por qué ocurre esto? 

A veces el crecimiento de la organización en función de sus negocios pudiera no cambiar en lo absoluto el proceso y pareciera que esto es suficiente para mantener el plan de recuperación tal como está; sin embargo, en nuestro modelo hipotético han cambiado los volúmenes de operación, la cantidad de gente en las unidades, valores de las transacciones consolidados, puntos de atención entre otros elementos. Es muy posible que la infraestructura tecnológica haya tenido que ampliarse para soportar el plan estratégico y así como otros proceso de soporte tecnológico que pudieran haberse tercerizado.

Por tanto, en nuestro método se observa la estrategia, se utilizan los números para proyectar la dimensión para cuando el plan de negocios esté materializado. Sin duda es más trabajo, pues se deben hacer escenarios en los que se considere que la estrategia del negocio se materializó o no. Pero no deja de ser un escenario adicional a los considerados por las mejores prácticas. 

Muchos especialistas podrán argumentar que este paso no es necesario si el plan tiene un proceso de mantenimiento frecuente, se realizan pruebas y se aplican todas las recomendaciones de que han de aplicarse para mantener al día los planes de contingencias. Sin embargo, hacemos esto porque la realidad es que, basados en la experiencia, los planes pierden vigencia muy rápido y la necesidad del negocio prevalece sobre el cumplimiento.

Nota final: Llegado el punto en que la madurez del proceso de administración de la continuidad dentro de la organización, alcanza un nivel gerenciable, entonces el mismo marco de mantenimiento deberá capturar estos cambios en forma gradual y considerarlos para los ajustes necesarios. Igualmente, mantener su plan de desarrollo con la responsabilidad de Junta Directiva, quien debe evidenciar que la continuidad del negocio y de las operaciones soporte la continuidad y sobrevivencia de los objetivos estratégicos de la Organización aprobando los cambios de alcance que amerite su aplicación dentro de la organización.


miércoles, 26 de febrero de 2014

El manejo de crisis en la gestión de riesgos

Crisis:

"Es una circunstancia, hecho o serie de episiodios, que amenazan con afectar o alterar la forma en que nosotros, los individuos elegimos vivir, o la manera que las organizaciones eligiran funcionar."
Nudell Mayer

Desde hace un par de semanas, se vienen desarrollando eventos en nuestro país que pueden ser catalogados como desordenes públicos que afectan el desempeño normal de las actividades de las personas y las organizaciones.

Ante ello, nos hemos visto en la necesidad de soportar nuestro centro de operaciones con oficinas alternas o valernos del teletrabajo, debido a circunstancias que nos han limitado la movilidad o en algunos casos, ponen en peligro la integridad física de los consultores; todo esto con el objetivo de poder satisfacer las necesidades de nuestros asesorados. Alternativamente, ha sido muy frecuente en estos días que los clientes suspendan actividades debido a que  estos se encuentran monitorizando la situación a efectos de poder atender cualquier incidente que se presente y conlleve a decretar una emergencia. 

Este modo de actuar pareciera ser el correcto, pero lo cierto es que no se está desarrollando adecuadamente la secuencia que se supone ha sido construida con un gran esfuerzo para conformar la práctica de la gerencia de la continuidad del negocio. Para ello se supone se debieron haber desarrollado escenarios de contingencia en el que se presentara la alteración del orden público y en consecuencia, se debió haber desarrollado guiones en los cuales se han incorporado los pasos adecuados a ejecutar por cada rol claramente identificado en cada unidad de negocios.

En términos técnicos se debieron haber cubierto al menos cinco etapas, siendo estas la pre-crisis, la advertencia, la crisis, la transición y la post-crisis. Como se puede inferir, este proceso se ha realizado previamente y las etapas sólo indican que procedimientos e instrumentos deben ser aplicados en cada una de ellas; siendo esto un ejercicio desarrollado en un escenario supuesto, con procedimientos claramente definidos para roles existentes, tal como se define el equipo de manejo de crisis.

¿Qué rol supone, debe cumplir un equipo de crisis?

Basado en una respuesta académica sería: "Mantener informada al alto nivel ejecutivo de la organización permanentemente, sobre los hechos y acontecimientos para brindarles la información suficiente y permitir una oportuna toma de decisiones."

En la práctica es mantener los ojos puestos en la situación que se está desarrollando e informar a cada responsable. Este responsable a priori debe saber lo que debe hacer. Con lo cual se establece que sus procedimientos han sido desarrollados previamente y no durante la crisis.

¿Qué realmente se busca al tener un grupo ejecutivo como el equipo de gestión de crisis?

Que en un entorno que arroje señales de hostilidad que pudiese afectar el apropiado desarrollo de las operaciones de la organización sean monitorizadas por un equipo acotado y no toda la organización. Cuando este monitorizando una crisis no se debe, bajo ninguna circunstancia, tener a todo el personal abocado al manejo de la crisis. Para ello, se habrán formulado planes de contingencia tecnológica y de negocios; y se tendrá claramente identificado quien participara durante la crisis. 

Debe tenerse en cuenta que puede estarse en la etapa de la "advertencia"; en la cual se puede estar exponiéndose a un riesgo, pero no quiere decir que se va a materializar y durante esta etapa, las operaciones deben mantenerse sin mayores alteraciones; y en caso de materializarse la amenaza, no se debe improvisar, pues se supone que el escenario había sido previsto y en función de ello se desarrollaron las estrategias de recuperación. 

viernes, 31 de enero de 2014

Porqué el BIA es un simple ejercicio teórico?

Siempre he tenido la duda, cuando estamos revisando el resultado del análisis de impacto al negocio con un cliente, si tiene claro que lo que estamos haciendo es un ejercicio teórico. A veces las expectativas sobre el producto son tan altas, que suponen que lo que se está estimando en los impactos financieros son cifras con una precisión sobre posibles pérdidas, que de llegar a ocurrir un incidente de interrupción operativa, se estaría acertando dicho cálculo con más de un 95% de probabilidad de ocurrencia. 
Metodológicamente esto pudiera ser cierto si existiese un registro apropiado de eventos o incidentes tal, que permita no sólo saber en que momento y donde ocurrió el evento, sino cuanto afectó financieramente. A veces pienso que sobre utilizamos los productos para obtener más de lo que puede ofrecer, pues si se puede notar, en lo hasta ahora escrito, nos estamos refiriendo a algo similar al cálculo del valor en riesgo operacional.
No tengo la menor duda que si el proceso de administración de riesgos, así como la gestión de la continuidad, obligara a llevar un registro de todos los impactos financieros relacionados con la interrupción operativa, sería posible precisar un número. Sin embargo cuando nos acercamos al umbral de los factores cualitativos, aquellos que pudiesen impactar la organización, una vez materializado el evento de interrupción, tendríamos que considerar los que no pueden ser simples de calcular y que conllevan a estimar la afectación de imagen o aquellos ingresos dejados de percibir.
Es por ello que el BIA no debe ser sobre utilizado y en ocasiones debemos ser pragmáticos; y darle el uso adecuado a cada uno de los instrumentos según su utilidad. Comparto el criterio que debemos utilizar al máximo los recursos que disponemos, pero sobre utilizar o dar uso de una herramienta para obtener diversos productos no propios para los cuales fue concebida, nos arrojará resultados incorrectos. De igual manera, dar interpretación de resultados dentro de otro contexto será peor aun, pues puede crear expectativas en áreas que no tienen absolutamente nada que ver con la función de administrar la continuidad del negocio.
En todo caso, cada vez que tengo la ocasión de participar en la evaluación de los resultados del BIA, antes de empezar a ver los números les digo lo siguiente:
El propósito del desarrollo de un BIA, es conocer teóricamente el impacto que un evento inesperado puede causar en el negocio. El BIA, no sólo contempla elementos financieros acostumbrados a verse en los estados financieros, también se enfoca en factores como lucro cesante, ingresos dejados de percibir o afectación de imagen. Basado en esto, nos interesa que se tenga claro que el BIA es un ejercicio que sienta las bases para construir el plan de contingencia más adecuado para la organización, pero siempre es muy importante mencionar que  al momento de enfrentar un evento que pueda afectar las operaciones de la organización; la correcta ejecución de las estrategias de recuperación, fundamentadas en el BIA, dependerán de la adecuada prevención y organización de su ejecución, más que la precisión del cálculo de las pérdidas. 
La respuesta de porqué el BIA es un ejercicio teórico, es que estamos simulando lo que  nos impactará un evento de interrupción operativa; sin embargo, es posible que a partir de allí, las acciones de remediación y contramedidas que se tomen nunca permitirían que se llegue a sufrir tales pérdidas, o por el contrario, de no hacer nada puede que las pérdidas puedan ser inmensamente superiores a la estimación. Todo dependerá de las acciones que a partir del uso adecuado del análisis de impacto al negocio se evalúen las acciones que habrá de tomarse de acuerdo a su análisis del varo del control, el cual es otro instrumento que debemos utilizar adecuadamente.

La nueva normalidad era un juego de niños

Foto: StellaDi Pixabay Creo que "la nueva normalidad" era cosa de 90 días. Eso ya no existe. Pienso que lo cierto es una nueva rea...