No es una estrategia inferior o errónea para mitigar
los riesgos
La Gestión de Riesgos Reactiva tiene “Mala Fama”
Un buen Plan de Continuidad del Negocio es algo más que estar preparado para un evento; se trata de tener planes para antes, durante y después de una interrupción.
La planificación del Plan de Continuidad del Negocio gira en torno a las acciones que su organización debe tomar antes, durante y después de un evento para garantizar que la empresa pueda ejecutar las funciones críticas del negocio como habitualmente lo hace.
La Gestión de Riesgos Reactiva tiene “Mala Fama” en algunos profesionales.
Una idea equivocada es que no debería haber estrategias reactivas y todas deberían ser proactivas o preventivas.
Desde la predicción hasta la reacción
El uso de los términos “predictivo”, “proactivo” y “reactivo” cuando se habla de gestión de riesgos puede confundir a algunos gestores, pero todos coinciden en que son cruciales para desarrollar estrategias efectivas de mitigación de riesgos.
La Gestión de Riesgos Reactiva es el conjunto de acciones y medidas destinadas a responder y enfrentar un accidente o incidente, rápidamente, después de que haya ocurrido.
La Gestión de Riesgos Proactiva es el conjunto de acciones, medidas y controles destinadas para evitar que ocurra un evento o un incidente, utilizando la identificación de riesgos, el análisis, la evaluación de los mismos y el tratamiento para su diseño.
La Gestión de Riesgos Predictiva es el conjunto de acciones, medidas y controles que se desarrollan basadas en el riesgo potencial, determinado a partir de datos operacionales y del negocio, no de accidentes para reducir el riesgo de un evento que no ha ocurrido todavía.
La Gestión de Riesgos Reactiva es un enfoque al riesgo basado en la respuesta. Un ejemplo claro de ello es la extinción de incendios, pero las pruebas de estrés, de los Planes de Continuidad del Negocio, están más cerca de la gestión, por que miden:
• La capacidad que tiene la organización para responder y mitigar las consecuencias y los impactos,
• La adaptabilidad y resiliencia de la primera línea de defensa ante los eventos o incidentes; y
• La capacidad que tiene la Dirección en la toma de decisiones urgentes en base a riesgos.
Resulta sumamente importa desarrollar la Gestión de Riesgos Reactiva en el Sistema de Gestión de Continuidad del Negocio – SGCN, dado que:
• La organización puede tener una buena o mala gestión de la seguridad reactiva;
• Resulta valioso para los programas de continuidad evaluar todos los niveles de madurez para la reacción y las respuestas;
• Comprobar la eficiencia y comportamiento de las acciones y respuestas específicamente establecidas para cada caso; e
• Identificar necesidades de capacitación, formación y entrenamiento a fin de contar con la preparación adecuada de los equipos de respuesta.
El SGCN también debe tener buenas estrategias reactivas. Las organizaciones que no cuentas con planes, acciones y medidas reactivas de calidad se exponen a un riesgo considerable de recuperación.
Los SGCN que fueron diseñados con estrategias predictivas y proactivas de alta calidad pero que no han desarrollado estrategias reactivas efectivas se verán impactados por la incapacidad de mitigar los eventos de riesgos una vez que ocurran. Los riesgos que ocurren darán lugar constantemente a eventos indeseables y consecuencias evitables.
El SGCN necesita sólidas técnicas de gestión de riesgos reactiva para:
• Desarrollar una cultura de resiliencia sólida y efectiva;
• Mantener equipos cuyas decisiones se pueda confiar como de mitigación de riesgos, ante eventos o incidentes;
• Evitar eventos e incidentes con consecuencias indeseables; y
• Mantener un SGCN eficiente que sea adaptable y resistente.
Integrar el alcance a toda la organización
La Gestión de Riesgos Reactiva ocurre en todos los niveles de una organización:
• La Primera Línea de Defensa debe responder activamente a los eventos de riesgos y peligros repentinos de una manera que mejore el problema;
• La Segunda Línea de Defensa deberán monitorear la capacidad de respuesta y asistir a la primera línea.
• La Tercera Línea de Defensa deberá supervisar y evaluar la aplicación de programas y controles para superar las emergencias.
• La Dirección deberá tomar decisiones rápidamente las que pueden tener consecuencias de amplio alcance en la mitigación y en la continuidad.
Conclusión
Si bien es importante como se prepare o cuánta investigación haga, no estará listo para cada evento o emergencia que se presente sin una cultura resiliente que le permita reaccionar, superar los peores momentos y mantener a su organización encaminada hacia el futuro.
Su empresa puede mostrar dos tipos de reacciones ante los eventos y emergencias, por un lado, las que dependen del marco, estructura, tecnología, sistemas, respaldo de datos y alertas de emergencia que ayudarán a mantenerse informado de los problemas y proteger los activos y por otro lado, la reacción basada en resiliencia cultural de la organización.
Resulta muy importante mencionar qué la Gestión de Riesgo Reactiva no es una forma inferior o errónea en la mitigación de los riesgos.
La calidad de los SGCN no solo se fundamente en una buen Análisis del Impacto en el Negocio y las medidas preventivas que se desarrollen e implementes sino también en la capacidad de respuesta que la organización tiene a los eventos de riesgos o incidentes que se presenten.
La capacitación y la actualización profesional es una inversión, no un gasto, y no debe relegarse a un segundo plano.