viernes, 30 de mayo de 2014

Los modelos de simulación en riesgo operacional

Pensar en una prueba de regresión en riesgo operacional pude suponerse que está relacionada a los eventos de pérdida, pero que tal si se refiere al mero análisis cualitativo o a la estimación de la frecuencia e impacto de los eventos de riesgo operacional. Esto sin duda puede complicarse aun más. 

[Material en desarrollo]

miércoles, 30 de abril de 2014

El riesgo operacional y el enfoque fractal

Hoy día para la práctica de riesgo operacional existen herramientas, métodos, especialistas, coaches, súper gúrus y demás recursos que hace un poco más de 10 años no se encontraban con tal disposición. Hoy más que nunca se encuentra exigido y regulado por múltiples organismos gubernamentales que instruyen a que se revise y emprendan acciones para administrar o mediar con el riesgo operacional. Para evidenciar esto, pueden hacer una búsqueda en Google de la palabra "riesgo operacional" y en 0.34 segundos arrojará 3.900.000 resultados relacionados al tema. Esto, hace 10 años era imposible de lograr. Sin embargo, a pesar de haber toda una biblioteca mundial de información y de expertos, día tras día nos enteramos de la ocurrencia de eventos relacionados con los factores de riesgo operacional, teniendo como característica principal una mayor frecuencia y un mayor impacto.

Claro está, los riesgos han aumentado porque el mundo ha crecido en su población, se ha tecnificado aun más y sin duda la gente hoy día está altamente interconectada. El hecho que hayan cifras que indiquen que existen más teléfonos móviles que personas en el mundo ya es bastante, no importando si estos no son teléfonos inteligentes. El asunto es que al menos tienen la capacidad de enviar mensajes de texto. La gente puede guardar mucha información en un teléfono básico, con nombres, números de contacto, correos y datos adicionales que maravillarían a un hacker de los años 90. Aun más, estos dispositivos llevan fotos, algunas que revelan situaciones, condiciones y preferencias. Para un ingeniero social de los 90 llegar a este nivel de acceso a tal privacidad en minutos era para ser considerado un genio. Ni siquiera hablaremos de las redes sociales, ese debe ser un artículo aparte.

Regresando al tema principal, sucede por lo general trabajamos en empresas que en esencia no han cambiado su naturaleza y objetivos. Por supuesto que estas empresas han modernizado su infraestructura tecnológica, elevando así los volúmenes de operación, su relación global con sus clientes y proveedores, la inmediatez de la atención y por en consecuencia han mejorado sustancialmente los resultados financieros. Sin duda alguna, el factor de riesgo tecnológico igual se ha elevado exponencialmente y todos los demás factores que la misma tecnología arrastra, incluyendo el desconocimiento. Mencionamos el desconocimiento, porque creemos que es el mayor de todos los males a la hora de decidir administrar el riesgo operacional. Es amplio y denso, así que en forma reiterada se dice que es imposible manejar los volúmenes de información y de igual manera, el conocimiento que nos bombardea diariamente desde el entorno; queremos decir, el entorno interconectado

Sin tener que ver nada con el riesgo operacional, en 1983 la revista Time editaba una portada con el tema de la ansiedad de la modernidad, haciendo referencia a la sobrecarga de información que personal ejecutivo recibía diariamente, hoy día es una experiencia cotidiana que una persona está minuto a minuto recibiendo actualizaciones de múltiples servicios a través de su teléfono, no importando en que actividad o lugar se encuentre, lo cual en muchas ocasiones le genera intensa ansiedad por no estar en conocimiento de todo lo que sucede alrededor. Algo similar ocurre con la gestión de riesgo operacional y los especialistas a cargo de administrarlo; ellos se han preparado para mirar los factores de riesgo que se relacionan con sus cuatro componentes: procesos, tecnología, personas y entornoEste enfoque, en el cual se pueden tipificar cientos de posibles riesgos hace que se complique mucho el tener una visión general de lo que pudiese estar amenazando a la organización, por ende pierden la visión fractal del asunto, en el que se determina que cada elemento en la vida es diferente en detalle, pero similar en su conjunto.

Es importante comprender que los eventos de riesgo operacional no son una serie patrones que se repiten constantemente, sino que están caracterizados por una aleatoriedad particular dentro de un conjunto que tiende a ser similar, pero que en sus detalles son absolutamente distintos. En este caso, los componentes son los mismos siempre y puede que se le identifiquen los mismos factores de riesgo de empresa a empresa, sin embargo, el entorno puede hacer que los riesgos tengan origen y magnitudes distintas. Por ejemplo, un evento puede originarse por múltiples factores, inclusive combinando dichos factores tal como las personas y la tecnología o los procesos, personas y entorno; siendo el resultado siempre muy similar.

Consideramos que es apropiado visualizar los riesgos operacionales desde un enfoque fractal porque sus características permiten identificarlos en modelos de entornos complejos en el que se desenvuelven entre un orden y el caos, en el cual existe gran sensibilidad a los cambios iniciales, que a la larga pueden causar enormes consecuencias y transformarse en sistemas caóticos.

De un tiempo acá hemos estado utilizando modelos formales para la cuantificación de riesgo operacional y han resultado exitosos. Sin embargo, para el análisis cualitativo; solo se han utilizado matrices y mapas de calor que poco indican del futuro comportamiento de los eventos de riesgo. Consideramos que la gestión de riesgo operacional debe integrar modelos que permita en su fase de prevención identificar un comportamientos donde el entorno es altamente sensible a las condiciones iniciales, en las que un simple cambio puede generar un resultado bastante diferente al esperado. En donde se encuentran sistemas deterministas, donde se puede identificar una ecuación que lo gobierne y por último, aunque parecen el sistema en apariencia puede ser desordenado, tiene cierto orden y se encuentra implícito un patrón. Estas características describen un sistema complejo en el cual se maneja mucha información, información que hoy día nos abruma. Y aunque Henri Poncairé en 1890 abrió las puertas a la ciencia del caos, creemos que esta aun no ha sido utilizado apropiadamente para la práctica de riesgo operacional; el que resolvería el tema de la sobrecarga de información y quien sabe si le da un vuelco severo a la práctica misma.

Fuente: Hayles Katherine. La evolución del Caos - Gedisa España 1993

domingo, 30 de marzo de 2014

Debe considerarse la estrategia del negocio cuando se desarrolla el BIA?

El proceso de análisis de impacto al negocio (BIA) lo que busca, en términos simples, es determinar aquello que necesita ser recuperado y los tiempos en que tardará en recuperarse la actividad, considerada crítica, del negocio. Por tanto es como tomar una fotografía instantánea de los procesos y realizar el respectivo análisis de impacto; una vez obtenido el análisis de impacto se dispone de la base primordial para la construcción de los planes de recuperación. Sin embargo es importante saber si, durante el análisis de impacto al negocio, se debe o no considerar aspectos tan importantes como la estrategia del negocio.

Veamos una situación hipotética acerca de una organización: 

Una institución financiera tiene estipulado en su estrategia aumentar durante tres años un 25% sus clientes de tarjeta de crédito. En ese mismo periodo, incrementar el uso de la banca en línea en 15% y aumentar su presencia con oficinas de atención al público en 5 de un total de 70. Este plan ya tiene un año desde su declaración en la estrategia y va ejecutándose a tiempo. Usted está desarrollando el BIA en este momento. ¿Debería considerar esa información? 

Nosotros lo haríamos; aunque es muy probable que se encuentren con muchos especialistas que dirán que no es necesario; ya que se basan en el principio de la criticidad de los procesos enfocado en el tiempo de inactividad. Tienen razón y para ejemplificarlo mejor tomaremos prestado el la expresión de un gran amigo a cargo de una unidad de emergencias: "lo primero que se atiende en una situación crítica de vida o muerte es "cerebro, corazón y pulmón".

Pero revisemos este aspecto: ¿para qué se busca determinar ese "tiempo de inactividad"? En la práctica es obtener el impacto de no atender al público, identificar las pérdidas financieras así como los ingresos dejados de percibir, multas por incumplimiento, entre otras consecuencias. Estos impactos están relacionados a procesos del negocio y son priorizados para elaborar la respectiva contramedida, que termina convirtiéndose en los planes de recuperación. Estos planes no son más que procedimientos específicos para mantener la operación básica de la organización, enfocándose en su criticidad de impacto y  a su vez, esta actividad se hace basado en que todos los procesos de la organización han de ser evaluados y clasificados en virtud de su prioridad de recuperación y dependencia, incluyendo los tecnológicos.

Acá está el argumento de porque nosotros tomaríamos en cuenta la estrategia y podría pensarse que estamos desviándonos de los estándares; sin embargo, el argumento es la "dependencia". Si estamos desarrollando un BIA en este instante, para desarrollar un plan de recuperación o actualizarlo, el mismo será adecuado en función de los tiempos de inactividad sobre los procesos críticos, que sean determinados. Ahora supongamos que desde el día de hoy no ocurre un evento de interrupción, sino hasta dentro de 18 meses. La estrategia de la organización se ha venido materializando y el plan no ha sido actualizado¿El plan de recuperación pudiera estar en condiciones de mitigar el impacto habiendo obviado la estrategia? Es posible que funcione, con algunas dificultades y perdiendo mucha efectividad inicial. ¿Por qué ocurre esto? 

A veces el crecimiento de la organización en función de sus negocios pudiera no cambiar en lo absoluto el proceso y pareciera que esto es suficiente para mantener el plan de recuperación tal como está; sin embargo, en nuestro modelo hipotético han cambiado los volúmenes de operación, la cantidad de gente en las unidades, valores de las transacciones consolidados, puntos de atención entre otros elementos. Es muy posible que la infraestructura tecnológica haya tenido que ampliarse para soportar el plan estratégico y así como otros proceso de soporte tecnológico que pudieran haberse tercerizado.

Por tanto, en nuestro método se observa la estrategia, se utilizan los números para proyectar la dimensión para cuando el plan de negocios esté materializado. Sin duda es más trabajo, pues se deben hacer escenarios en los que se considere que la estrategia del negocio se materializó o no. Pero no deja de ser un escenario adicional a los considerados por las mejores prácticas. 

Muchos especialistas podrán argumentar que este paso no es necesario si el plan tiene un proceso de mantenimiento frecuente, se realizan pruebas y se aplican todas las recomendaciones de que han de aplicarse para mantener al día los planes de contingencias. Sin embargo, hacemos esto porque la realidad es que, basados en la experiencia, los planes pierden vigencia muy rápido y la necesidad del negocio prevalece sobre el cumplimiento.

Nota final: Llegado el punto en que la madurez del proceso de administración de la continuidad dentro de la organización, alcanza un nivel gerenciable, entonces el mismo marco de mantenimiento deberá capturar estos cambios en forma gradual y considerarlos para los ajustes necesarios. Igualmente, mantener su plan de desarrollo con la responsabilidad de Junta Directiva, quien debe evidenciar que la continuidad del negocio y de las operaciones soporte la continuidad y sobrevivencia de los objetivos estratégicos de la Organización aprobando los cambios de alcance que amerite su aplicación dentro de la organización.


miércoles, 26 de febrero de 2014

El manejo de crisis en la gestión de riesgos

Crisis:

"Es una circunstancia, hecho o serie de episiodios, que amenazan con afectar o alterar la forma en que nosotros, los individuos elegimos vivir, o la manera que las organizaciones eligiran funcionar."
Nudell Mayer

Desde hace un par de semanas, se vienen desarrollando eventos en nuestro país que pueden ser catalogados como desordenes públicos que afectan el desempeño normal de las actividades de las personas y las organizaciones.

Ante ello, nos hemos visto en la necesidad de soportar nuestro centro de operaciones con oficinas alternas o valernos del teletrabajo, debido a circunstancias que nos han limitado la movilidad o en algunos casos, ponen en peligro la integridad física de los consultores; todo esto con el objetivo de poder satisfacer las necesidades de nuestros asesorados. Alternativamente, ha sido muy frecuente en estos días que los clientes suspendan actividades debido a que  estos se encuentran monitorizando la situación a efectos de poder atender cualquier incidente que se presente y conlleve a decretar una emergencia. 

Este modo de actuar pareciera ser el correcto, pero lo cierto es que no se está desarrollando adecuadamente la secuencia que se supone ha sido construida con un gran esfuerzo para conformar la práctica de la gerencia de la continuidad del negocio. Para ello se supone se debieron haber desarrollado escenarios de contingencia en el que se presentara la alteración del orden público y en consecuencia, se debió haber desarrollado guiones en los cuales se han incorporado los pasos adecuados a ejecutar por cada rol claramente identificado en cada unidad de negocios.

En términos técnicos se debieron haber cubierto al menos cinco etapas, siendo estas la pre-crisis, la advertencia, la crisis, la transición y la post-crisis. Como se puede inferir, este proceso se ha realizado previamente y las etapas sólo indican que procedimientos e instrumentos deben ser aplicados en cada una de ellas; siendo esto un ejercicio desarrollado en un escenario supuesto, con procedimientos claramente definidos para roles existentes, tal como se define el equipo de manejo de crisis.

¿Qué rol supone, debe cumplir un equipo de crisis?

Basado en una respuesta académica sería: "Mantener informada al alto nivel ejecutivo de la organización permanentemente, sobre los hechos y acontecimientos para brindarles la información suficiente y permitir una oportuna toma de decisiones."

En la práctica es mantener los ojos puestos en la situación que se está desarrollando e informar a cada responsable. Este responsable a priori debe saber lo que debe hacer. Con lo cual se establece que sus procedimientos han sido desarrollados previamente y no durante la crisis.

¿Qué realmente se busca al tener un grupo ejecutivo como el equipo de gestión de crisis?

Que en un entorno que arroje señales de hostilidad que pudiese afectar el apropiado desarrollo de las operaciones de la organización sean monitorizadas por un equipo acotado y no toda la organización. Cuando este monitorizando una crisis no se debe, bajo ninguna circunstancia, tener a todo el personal abocado al manejo de la crisis. Para ello, se habrán formulado planes de contingencia tecnológica y de negocios; y se tendrá claramente identificado quien participara durante la crisis. 

Debe tenerse en cuenta que puede estarse en la etapa de la "advertencia"; en la cual se puede estar exponiéndose a un riesgo, pero no quiere decir que se va a materializar y durante esta etapa, las operaciones deben mantenerse sin mayores alteraciones; y en caso de materializarse la amenaza, no se debe improvisar, pues se supone que el escenario había sido previsto y en función de ello se desarrollaron las estrategias de recuperación. 

viernes, 31 de enero de 2014

Porqué el BIA es un simple ejercicio teórico?

Siempre he tenido la duda, cuando estamos revisando el resultado del análisis de impacto al negocio con un cliente, si tiene claro que lo que estamos haciendo es un ejercicio teórico. A veces las expectativas sobre el producto son tan altas, que suponen que lo que se está estimando en los impactos financieros son cifras con una precisión sobre posibles pérdidas, que de llegar a ocurrir un incidente de interrupción operativa, se estaría acertando dicho cálculo con más de un 95% de probabilidad de ocurrencia. 
Metodológicamente esto pudiera ser cierto si existiese un registro apropiado de eventos o incidentes tal, que permita no sólo saber en que momento y donde ocurrió el evento, sino cuanto afectó financieramente. A veces pienso que sobre utilizamos los productos para obtener más de lo que puede ofrecer, pues si se puede notar, en lo hasta ahora escrito, nos estamos refiriendo a algo similar al cálculo del valor en riesgo operacional.
No tengo la menor duda que si el proceso de administración de riesgos, así como la gestión de la continuidad, obligara a llevar un registro de todos los impactos financieros relacionados con la interrupción operativa, sería posible precisar un número. Sin embargo cuando nos acercamos al umbral de los factores cualitativos, aquellos que pudiesen impactar la organización, una vez materializado el evento de interrupción, tendríamos que considerar los que no pueden ser simples de calcular y que conllevan a estimar la afectación de imagen o aquellos ingresos dejados de percibir.
Es por ello que el BIA no debe ser sobre utilizado y en ocasiones debemos ser pragmáticos; y darle el uso adecuado a cada uno de los instrumentos según su utilidad. Comparto el criterio que debemos utilizar al máximo los recursos que disponemos, pero sobre utilizar o dar uso de una herramienta para obtener diversos productos no propios para los cuales fue concebida, nos arrojará resultados incorrectos. De igual manera, dar interpretación de resultados dentro de otro contexto será peor aun, pues puede crear expectativas en áreas que no tienen absolutamente nada que ver con la función de administrar la continuidad del negocio.
En todo caso, cada vez que tengo la ocasión de participar en la evaluación de los resultados del BIA, antes de empezar a ver los números les digo lo siguiente:
El propósito del desarrollo de un BIA, es conocer teóricamente el impacto que un evento inesperado puede causar en el negocio. El BIA, no sólo contempla elementos financieros acostumbrados a verse en los estados financieros, también se enfoca en factores como lucro cesante, ingresos dejados de percibir o afectación de imagen. Basado en esto, nos interesa que se tenga claro que el BIA es un ejercicio que sienta las bases para construir el plan de contingencia más adecuado para la organización, pero siempre es muy importante mencionar que  al momento de enfrentar un evento que pueda afectar las operaciones de la organización; la correcta ejecución de las estrategias de recuperación, fundamentadas en el BIA, dependerán de la adecuada prevención y organización de su ejecución, más que la precisión del cálculo de las pérdidas. 
La respuesta de porqué el BIA es un ejercicio teórico, es que estamos simulando lo que  nos impactará un evento de interrupción operativa; sin embargo, es posible que a partir de allí, las acciones de remediación y contramedidas que se tomen nunca permitirían que se llegue a sufrir tales pérdidas, o por el contrario, de no hacer nada puede que las pérdidas puedan ser inmensamente superiores a la estimación. Todo dependerá de las acciones que a partir del uso adecuado del análisis de impacto al negocio se evalúen las acciones que habrá de tomarse de acuerdo a su análisis del varo del control, el cual es otro instrumento que debemos utilizar adecuadamente.

lunes, 23 de diciembre de 2013

La dimensión adecuada del Centro de Datos Alterno

En ocasiones nos encontramos en reuniones con equipos responsables de la administración de las contingencias, donde nos hacen la siguiente pregunta: ¿Cuál es la dimensión adecuado del centro alterno de procesamiento de datos?
Basados en las experiencias, debemos decir que es una pregunta bastante común, en virtud que de antemano supone elaborar un presupuesto apreciable para dicho centro, el cual tendrá que ser defendido ante un comité compuesto por la alta gerencia, que no se siempre se sentirá cómodo observando los escenarios y los gastos que habrá que realizar. Y ante esta sensación de rechazo anticipado, los responsables de dimensionar el centro adecuadamente, comienzan a considerar que la adecuada proporción debe ser lo mínimo. 
Esta consideración puede ser el inicio de una serie de errores que conllevará a un final poco afortunado en el diseño de los centros de datos alternos. Esto porque realmente no se debe considerar los mínimo, sino lo básico. Aquello que permita poder restablecer los procesos críticos y fundamentales de una organización. Estos procesos no siempre son los que más dinero le pueden hacer perder más dinero a las organizaciones, también pueden ser aquellos que le pueden afectar severamente la reputación. 
Es por ello que debemos tener en consideración los siguientes aspectos:
  • Identificación de los procesos y activos de negocios que requieren más protección 
  • Determinar los costos que implique perder estos activos o que se genere una interrupción por un tiempo que exceda el tiempo óptimo de recuperación
  • Identificar las estrategias y alternativas de recuperación para los distintos escenarios de recuperación
  • Determinar la ingeniería de detalle para establecer el costo de la infraestructura que habrá de colocarse en el centro alterno
Los tres primeros puntos no representan mayor problema para quienes han tenido experiencia en el desarrollo de los planes de contingencia relacionados a los procesos de negocios y tecnología. El punto crítico es el relacionado con el diseño de la ingeniería de detalle y el gasto que se debe ejecutar para adquirir la infraestructura necesaria que permita hacer factible el proceso de recuperación cubriendo/mitigando la mayor cantidad de escenarios de interrupción.
Cuando se llega a este paso, nos encontramos con un conflicto entre los responsables de dimensionar el centro alterno y el deseo de las unidades del negocios; pues no es simple fijar el punto de equilibrio entre lo requerido por las unidades del negocio; determinado por lo general en los tiempos óptimos de recuperación (RTO) del punto 1; y el gasto que se debe ejecutar para satisfacer dicho RTO.
Las unidades del negocio tienden a ser inflexibles en cuanto a modificar y hacer más amplios sus rto's; sin embargo no se sienten comprometidas con la inversión que hay que hacer para recuperar los procesos en los tiempos exigidos. De igual manera, uno de los errores que se comenten por parte de los diseñadores de la arquitectura del centro alterno, es que no especifican con claridad, el punto de equilibrio entre las pérdidas ocasionadas por la interrupción de las operaciones del negocio y la inversión requerida para satisfacer dicho punto.
Un aspecto adicional que debe ser considerado, es el punto óptimo de recuperación (RPO); el cual permite determinar con detalle la práctica de respaldo y recuperación así como el tiempo de retención aplicado por la organización. Si este es muy bajo, podría requerir mayor inversión en respaldo, almacenamiento, replicación y procesamiento. Es por ello que lo recomendable no es sólo llegar a calcular cuanto se pierde si no sigue operando una empresa por un tiempo determinado. También es muy importante tener el detalle de cuanto cuesta reiniciar los procesos en los tiempos deseados por las unidades de negocios y sus interesados, dado que es ello quien permitiría establecer el margen de tolerancia y límites de riesgos, así como la cantidad de dinero a colocar para satisfacer el nivel básico que debe ofrecer un centro alterno. 

jueves, 19 de diciembre de 2013

La constante minimización de lo que nos puede pasar


El evento
Recientemente ocurrió un incidente en uno de los centros de procesamiento de datos más importantes de nuestro país. Allí se alojan los centros de cómputo principales y de contingencia de muchas empresas, algunos del sector financiero. Esto trajo como consecuencia que en forma inmediata no se procesaran al menos el 30% de las tarjetas de débito a través de los puntos de venta y la red de cajeros automáticos, prácticamente dejara de funcionar; así mismo los servicios de banca en línea de algunas instituciones dejó de funcionar. Era viernes en la tarde. 
El evento le tomo superarlo hasta 72 horas para algunas instituciones; algunas no recuperaron la totalidad de los servicios. Aun están procurando restablecer todos sus procesos para volver al nivel de prestación de servicios que tenían antes del evento. Porqué  un evento de estos genera tal situación, cuando desde hace más de dos años, particularmente para el sector financiero, se viene haciendo fuerte presión para que se establezcan adecuados planes de contingencia que mitiguen los efectos de un evento como el que sucedió.
Qué es lo que hace que se minimice tanto la posibilidad que un evento, que en el caso expuesto alcanzó no llegó ni cerca de ser un incendio severo, generó tanto trauma en los usuarios de los servicios financieros? Qué hace que se minimice tanto el efecto de lo que un simple incidente puede generar? 
Existen, muchos factores, pero siempre debemos tener en cuenta las causas que iniciaron los incidentes fueron las que los agravaron. Revisemos un concepto que se usa mucho recientemente por especialistas en manejo de contingencias para situaciones como el caso expuesto:
La resiliencia
Una condición fabulosa del ser humano, es el estar siempre esperanzado a que todo va a mejorar. Esto es lo que ha hecho que podamos sobrevivir, aunque la adversidad nos abrume, nos permite recuperarnos e ir adaptándonos a diversas realidades y entornos con el fin de superar barreras, que permitan suplir las condiciones para mantenerse y en ocasiones mejorar. Dicha condición puede ser identificada en el concepto de resiliencia, el cual hemos encontrado muy frecuentemente en documentación y bibliografía relacionada con la recuperación de desastres en la organización.
De acuerdo a los psicólogos, la resiliencia es la capacidad para afrontar la adversidad y lograr adaptarse bien ante escenarios trágicos, traumáticos o a entornos amenazantes. Las personas que son resilientes poseen unas características que son destacables, tales como: 
    Aceptan la realidad tal y como es 
    Tienen una profunda fe en la vida (esperanza)
    Tienen un impresionante voluntad y capacidad de mejorar
Adicionalmente se debe argumentar que los especialistas coinciden en que la resiliencia no es algo que una persona posea o no, sino que lleva implícito una serie de conductas y formas de pensar que cualquier persona puede aprender y desarrollar; por tanto, pudiese considerarse que efectivamente esta conducta se puede trasladar a las organizaciones y en consecuencia, hacerlas resilientes.
La resiliencia organizacional
Se presenta en la condición que tiene la empresa de realizar ajustes positivos en condiciones de fuerte exigencia y estrés. La resiliencia puede hacer que la organización se recupere de las dificultades, manejarse elásticamente ante presiones del entorno y preservar o mejorar su operación. La condición de resiliencia, no siempre debe ser vista como una condición exclusiva de recuperación de eventos calamitosos; alternativamente, esta provee la capacidad de identificar oportunidades y sacarles provecho.
Ahora bien, si nos enfocamos sólo en las prácticas de contingencia de las organizaciones; y sabemos que estos conceptos se están aplicando en forma práctica en las empresas ¿Porqué cuesta tanto, desarrollar planes de contingencia que permitan realmente soportar eventos de interrupción, fallas tecnológicas o pérdidas de colaboradores clave, cada uno de ellos impactando negativamente los procesos críticos y la continuidad normal de las operaciones? Argumentando que han dirigido todos los esfuerzos para lograr desarrollar planes  apropiados para el manejo de contingencia; y aun más, considerando que han desarrollado cierto nivel de resiliencia. Para argumentar una respuesta, tomemos en cuenta algunas condiciones.
El ambiente para desarrollar resiliencia
Existen condiciones específicas para que la resiliencia sea realmente una condición implícita en la organización. Ésta es el resultado de promover y mantener ciertas prácticas, no se trata de un conjunto de soluciones que se adquiere cuando la adversidad se presenta, sino de una serie de capacidades y fortalezas que tienen que ser desarrolladas (Bravo. 2013). Las dinámicas para crear resiliencia en equipos son similares a las del individuo. Los equipos de trabajo dirigidos al aprendizaje y a mejorar las competencias generan mejor respuesta ante los escenarios que se materialicen. (Sutclife y Vogus, 2013). Por tanto las organizaciones que pueden ir transformándose en resilientes, son aquellas que permiten la integración de ideas y participación de grupos para la formación de estrategias.
Aquellas organizaciones que no promueven ambientes coercitivos, sino que por el contrario, considera las ideas de cada uno de los individuos, establecerá una condición permanente de mantenerse en contacto con la realidad, dimensionando adecuadamente las dificultades o mensajes del entorno en lugar de paralizarse y actuar caóticamente. Ante dificultades, cambios en el entorno u oportunidades, las personas y organizaciones resilientes son capaces de reorganizarse y adaptarse para producir respuestas, con una agilidad que hace pensar que “improvisan” soluciones del aire (op. cit. Bravo, 2013).
La pista que esperamos
Dado que las organizaciones donde se favorece la resiliencia son aquellas que le dan suma importancia a la participación de todos los colaboradores, es importante pensar si esa condición se mantiene al momento de presentar los escenarios previstos por los especialistas en gestión de riesgos y preparación de planes de contingencia. Si los ejecutivos a la hora de evaluar no consideran que esos escenarios sean exagerados y en consecuencia coarten la dimensión del evento y en consecuencia las estrategias de recuperación.
Es importante saber que no se debe confundir la esperanza de que todo va a estar bien, con el hecho de minimizar o tercer la realidad para que podamos sentirnos bien. Nos es válido decir que somos una organización resiliente y se limita y minimiza el efecto de los que nos pudiera pasar. Ciertamente es reconfortante pensar que todo va a marchar bien ante un evento inesperado, pero precisamente, los planes de contingencia están se hacen para eso, para enfrentar lo inesperado, posiblemente en magnitudes que nunca esperemos que nos ocurra. Es por ello que debemos luchar constantemente contra la condición de minimizar lo que nos pueda pasar.
Fuente:
Vogus, Timothy; Sutcliffe Kethleen. Organizational Resilience: Towards a Theory and Research Agenda. 2003
Bravo Olga. La Resiliencia Organizacional. 2013