Acuerdo entre Partes: Estrategias para la Continuidad del Negocio
Es fácil relacionar el término continuidad de negocio con el ámbito tecnológico o con las grandes corporaciones. Pero, por una parte la continuidad de negocio no es exclusiva de las TIC, aunque sí sean una parte de la misma. Por otra parte, los desastres afectan igualmente a las pymes y a los autónomos. Todas las empresas deben tener en cuenta cuáles podrían ser las consecuencias de una parada en la producción o en la actividad diaria.
Cada organización tendrá que analizar distintos aspectos relacionados con su funcionamiento, incluidos los vinculados a las TIC, priorizar y determinar los límites de funcionamiento aceptable y establecer las medidas necesarias que garanticen la continuidad de la actividad en caso de incidente o desastre, minimizando las consecuencias del mismo. Establecer una serie de medidas dirigidas a minimizar el impacto que pueda tener cualquier tipo de contingencia sobre el negocio proporcionará mayor seguridad y capacidad de respuesta ante cualquier eventualidad.
Una planeación adecuada permite a la organización anticiparse a posibles interrupciones y desarrollar estrategias efectivas para garantizar la continuidad. La identificación y mitigación de riesgos es esencial para proteger la organización de posibles interrupciones en su operación. Asimismo, la asignación de responsabilidades claras es esencial para garantizar una ejecución efectiva del plan de continuidad de negocio.
¿Qué es un Plan de Continuidad de Negocio (PCN)?
Un Plan de Continuidad de Negocio (PCN) es el mapa de ruta que diseña una organización para superar mucho más rápido y con un menor impacto, cualquier eventualidad que impida la correcta operación del negocio. Este plan comprende planes de actuación, planes de emergencia, planes financieros, planes de comunicación y planes de contingencias destinados a mitigar el impacto provocado por la concreción de determinados riesgos sobre la información y los procesos de negocio de una compañía. Esta norma se basa en un enfoque de ciclo de mejora continua, similar a otros estándares ISO, comenzando con la comprensión de la organización y la evaluación de los riesgos y las necesidades de continuidad.
Cuando un plan de continuidad de negocio presenta fallas, generalmente es porque no se tuvieron en cuenta los elementos clave en su preparación. Por ello, el diseño de un plan de continuidad de negocio completo y efectivo se plantea sobre un análisis detallado de la organización y sus necesidades específicas, de acuerdo con su tamaño y sector en el que se desarrolla.
Fases Clave en el Diseño e Implementación de un Plan de Continuidad de Negocio
El proceso y puesta en marcha de un Plan de Continuidad de Negocio se debe realizar atendiendo a las siguientes fases:
Fase 0. Determinación del Alcance
Se trata de la fase con menor duración y presenta una necesidad de recursos baja. No obstante, su ejecución es imprescindible, ya que aquí se determinarán qué activos, sistemas o procesos son críticos, es decir, aquellos cuya indisponibilidad impactaría directamente sobre nuestra organización, causando un cese imprevisto de la actividad.
Fase 1. Análisis de la Organización
Esta fase basa su actividad en obtener, elaborar o comprender las circunstancias que rodean a nuestra organización, analizando tanto procesos, como tecnologías o recursos. Para conseguir esta panorámica, deberemos llevar a cabo un conjunto de tareas:
- Mantener reuniones: Será necesario reunirse con los usuarios finales de los procesos seleccionados como críticos o que entran dentro de nuestro alcance, recopilando toda la información sobre el funcionamiento de dichos procesos. Por ejemplo, conocer si se realizan copias de seguridad, tanto de datos como de aplicaciones, cada cuánto tiempo, tiempos de respuesta en caso de tener subcontratado este servicio, etc.
- Análisis de Impacto sobre el Negocio (BIA): A partir de la información recopilada, realizaremos un Análisis de Impacto sobre el Negocio, también conocido como BIA, por sus siglas en inglés, Business Impact Analysis. El Análisis de Impacto Empresarial (BIA) es un componente vital en el diseño de un Plan de Continuidad de Negocio de acuerdo con la Norma ISO 22301. Es análisis permite a la organización identificar y comprender plenamente los procesos y actividades críticas para su funcionamiento, así como evaluar el impacto que tiene su interrupción. El BIA ayuda a la organización a comprender las consecuencias financieras, operativas y reputacionales de la interrupción de los procesos clave. Al determinar la dependencia de los recursos necesarios para la continuidad, como personal, tecnología o proveedores, se pueden identificar y reducir los puntos débiles.
Parámetros Clave del Análisis de Impacto del Negocio (BIA)
Este documento contendrá los requerimientos, tanto temporales como de recursos, de los procesos que se encuentren dentro del alcance del proyecto:
| Concepto | Siglas (Inglés) | Descripción |
|---|---|---|
| Tiempo de Recuperación | RTO (Recovery Time Objective) | Tiempo que un proceso permanece detenido hasta ser restaurado. |
| Tiempo Máximo Tolerable de Caída del Servicio | MTD (Maximum Tolerable Downtime) | Tiempo que un proceso puede permanecer caído antes de que se produzcan consecuencias desastrosas para la organización. |
| Nivel Mínimo de Recuperación del Servicio | ROL (Revised Operating Level) | Nivel mínimo de recuperación que debe tener una actividad para que se considere recuperada. |
| Grado de Dependencia de la Actualidad de los Datos | RPO (Recovery Point Objective) | Impacto que tendría sobre nuestra actividad la pérdida de datos. |
Con esta información, podremos determinar qué procesos y aplicaciones son prioritarios a la hora de ser recuperados, así como la necesidad de contar, por ejemplo, con copias de seguridad.
- Análisis de riesgos: Consiste en estudiar y determinar las posibles amenazas a las que está expuesta la organización, así como las posibilidades de materializarse en cada caso, y el impacto que causarían si llegaran a producirse. Una vez extraídas las conclusiones, se realizará un plan de tratamiento de riesgos en el que se describan medidas, riesgo que mitiga, responsables de implantación, recursos necesarios, etc.
Fase 2. Determinación de la Estrategia de Continuidad
Esta fase se basa en determinar qué estrategias de recuperación se deberán implementar para cada uno de los elementos identificados como críticos o que pudieran verse afectados en una contingencia. Es decir, cómo recuperar un sistema o un proceso para evitar que la contingencia lo degrade de manera irreversible para la organización. Hay que tener en cuenta que algunos procesos podrán requerir varias estrategias de recuperación.
Fase 3. Respuesta a la Contingencia
En esta fase se comienza con la implantación de las iniciativas que se han puesto de manifiesto en la fase anterior. Además, se deberá abordar toda la documentación relacionada con la respuesta a la contingencia, a través de los siguientes documentos:
- Plan de crisis: Cuyo objetivo es evitar una toma de decisiones improvisada que pueda empeorar la situación o bien que simplemente no se tomen decisiones.
- Planes operativos de recuperación de entornos: Deberán especificar sobre qué entorno se aplican. Hay que tener en cuenta que estos documentos podrán abarcar uno o varios entornos, y contendrán información específica de cada uno de ellos. Por ejemplo, un entorno puede ser un ERP, otro el correo electrónico, etc.
- Procedimientos técnicos de trabajo: Donde se describen las acciones que se han de llevar a la práctica para la gestión y recuperación de un sistema, infraestructura o entorno.
Además, contar con una respuesta segura y efectiva es fundamental para garantizar la continuidad del negocio en situaciones de crisis. Esto implica establecer planes de acción claros y detallados, definir roles y responsabilidades, y garantizar una comunicación fluida y eficiente durante una emergencia. Una respuesta segura incluye salvar la vida y la seguridad de los empleados, así como proteger los activos críticos de la organización.
Dentro de esta fase, también se encuentra la planificación de activación, que consiste en determinar aquellos casos en los que activar el citado plan así como el método a emplear para ponerlo en marcha. Los planes de recuperación para las actividades deben detallar paso a paso las acciones a realizar y las responsabilidades a asumir en las tareas de recuperación tanto de la mano de obra, de las infraestructuras, el software, así como de la propia información y procesos.
10 pasos para elaborar un plan de continuidad del negocio
Fase 4. Prueba, Mantenimiento y Revisión
Para que un Plan de Continuidad sea eficaz, deberemos comprobar que realmente funciona y mantenerlo actualizado. Para ello, habrá que ejecutar una serie de pruebas sobre los entornos identificados, tras las cuales elaboraremos unos informes que recojan los resultados obtenidos. Además, deberán quedar reflejados todas las incidencias surgidas en este proceso, algo indispensable para poder establecer medidas correctoras.
Las pruebas periódicas del plan permiten evaluar su eficacia e identificar posibles brechas o mejoras necesarias. Estas pruebas pueden incluir simulacros de crisis, escenarios de interrupción controlada o pruebas de recuperación de sistemas y procesos críticos. Al realizar pruebas regulares, la organización puede validar la eficacia de las medidas de continuidad y corregir cualquier problema identificado antes de que comience una situación real de crisis. La revisión del plan con las partes interesadas debe realizarse una vez al año, una revisión del simulacro cada dos años, y una prueba de recuperación simulada de la infraestructura de TI cada dos o tres años. Se recomienda implementar estas pruebas en fases, y recordar que, así como el negocio cambia continuamente, también debe hacerlo su plan.
Fase 5. Concienciación y Entrenamiento
Que la concienciación forme parte de la última fase no implica que sea menos importante que las predecesoras. En esta fase se pondrán en marcha todo tipo de medidas que fomenten la concienciación del personal en materia de continuidad y el conocimiento de los planes elaborados. El público objetivo será tanto personal técnico como de negocios, si tienen algún tipo de relación con el alcance.
El entrenamiento regular es fundamental para garantizar que el personal esté preparado y capacitado para enfrentar situaciones de crisis. El entrenamiento puede incluir programas de concientización sobre la continuidad del negocio, cursos de capacitación en respuesta a emergencias, sesiones de formación técnica y actualizaciones sobre los procedimientos y planes de continuidad. Mediante el entrenamiento, los empleados adquieren los conocimientos y habilidades necesarios para llevar a cabo las acciones requeridas durante una crisis de manera efectiva y segura.
Comunicación y Roles Claves para la Continuidad del Negocio
Al designar roles y responsabilidades a los miembros del equipo encargado, se establece una estructura organizativa que facilita la toma de decisiones y la coordinación durante situaciones de crisis. Cada persona debe tener una comprensión clara de sus funciones y tareas, así como de las líneas de comunicación y autoridad. Esto asegura una respuesta rápida y eficiente, evita la duplicación de esfuerzos y minimiza la confusión en momentos críticos.
La comunicación interna eficaz asegura que todos los empleados estén informados y preparados para actuar durante una crisis. Esto implica establecer canales claros de comunicación, difundir información relevante y proporcionar instrucciones y actualizaciones oportunas. Por otro lado, la comunicación externa es esencial para gestionar la imagen y la reputación de la organización durante una situación de crisis. Mantener una comunicación transparente con los clientes, proveedores, autoridades reguladoras y otras partes ayuda a mantener la confianza y la credibilidad. Además, permite informar a las partes interesadas sobre las medidas tomadas para garantizar la continuidad del negocio y proporcionar actualizaciones sobre el estado de las operaciones. Esto puede ayudar a minimizar los impactos negativos y las posibles consecuencias legales o financieras.
El Plan de Continuidad de Negocio para el Autónomo
Negocio del autónomo y plan de continuidad deben caminar juntos cuando la actividad depende casi por completo de una sola persona. Por eso, un plan de continuidad no sirve solo para grandes empresas. El autónomo suele sostener el negocio con su propio trabajo, su agenda y su cartera de clientes. Si algo falla, el impacto llega rápido. Primero aparece la tensión de caja. Además, muchos autónomos mezclan economía profesional y economía familiar. Esto exige más prudencia.
El Estatuto del Trabajo Autónomo incluye a quienes realizan una actividad económica o profesional habitual, personal, directa y por cuenta propia. Un plan de continuidad debe empezar por una pregunta sencilla: qué parte del negocio no puede parar. No todo tiene el mismo valor. Algunos clientes sostienen la facturación. Después, conviene ordenar recursos, obligaciones y personas de apoyo. Aquí entran contratos, claves, seguros, proveedores, gestoría, facturas pendientes y deudas. También conviene dejar por escrito qué hacer durante los primeros días de crisis. Este documento no tiene que ser largo.
Riesgos Comunes para los Autónomos y Cómo el PCN Ayuda
El primer riesgo aparece cuando el autónomo depende de pocos clientes. Si uno falla, la actividad puede seguir funcionando en apariencia, pero la caja ya no aguanta igual. Otro riesgo habitual nace del retraso en los cobros. El autónomo puede tener trabajo, facturas emitidas y buena relación con clientes. También pesan los riesgos personales. Una enfermedad, una baja, una ruptura familiar o una sobrecarga de trabajo pueden alterar la actividad.
El plan de continuidad ayuda a resistir, pero no siempre basta. El error más habitual consiste en hacer un plan demasiado genérico. Un autónomo no necesita un documento bonito, sino una guía que responda a su actividad real. También conviene evitar el optimismo excesivo. Muchos profesionales calculan ingresos futuros como si nada fuera a cambiar. Sin embargo, una crisis suele traer retrasos, cancelaciones y gastos inesperados. Además, el autónomo no debería dejar fuera su parte personal. En estos negocios, una baja, una urgencia familiar o una imposibilidad temporal para trabajar pueden afectar directamente a los ingresos.
Consejos Prácticos para el Autónomo
- Una forma práctica consiste en hacer una prueba sencilla: imaginar que durante dos semanas no puede trabajar con normalidad.
- Después, conviene analizar si otra persona podría encontrar la información esencial. Por ejemplo, contratos, claves, facturas, vencimientos, seguros, certificados y contactos críticos.
- También ayuda revisar la liquidez disponible. No basta con tener facturas pendientes de cobro. Lo importante consiste en saber qué dinero real existe para soportar gastos básicos.
- El autónomo debería conservar una carpeta ordenada con contratos, presupuestos aceptados, facturas emitidas, justificantes de pago y comunicaciones relevantes.
- También conviene guardar pólizas de seguro, licencias, altas administrativas, certificados digitales y datos de acceso a herramientas esenciales.
- Además, resulta prudente conservar por escrito cualquier acuerdo con clientes o proveedores. Una conversación informal puede servir para orientarse, pero no siempre protege bien.
- El autónomo debería revisar el plan cuando cambie algo relevante. También conviene actualizarlo después de una crisis. Si un impago, una baja o una caída de ventas ha mostrado una debilidad, el plan debe corregirse. Además, una revisión anual suele resultar razonable. El negocio cambia, aunque el autónomo no siempre lo perciba.
Acuerdos entre Partes: Una Clave para la Continuidad en Sociedades
La planificación de la continuidad de negocio también abarca la consideración de acuerdos legales específicos entre los propietarios de una empresa. Sin una planificación adecuada, el fallecimiento prematuro de un propietario de negocio puede resultar en la liquidación del mismo, su venta a terceros, o que miembros sobrevivientes de la familia tengan que tomar un rol activo en el negocio.
Un acuerdo de compra-venta puede existir entre los accionistas de una corporación, los socios de una sociedad o entre un empleado clave y un propietario único. El acuerdo obliga a los dueños sobrevivientes del negocio, a un empleado clave o al negocio en sí, a comprar la participación del propietario fallecido. Un acuerdo de compra-venta se puede estructurar en una de tres maneras:
- Entidad: Este tipo de acuerdo obliga a la empresa como tal a comprar la participación del propietario fallecido, y el patrimonio del propietario fallecido tiene la obligación de vender.
- Venta Cruzada o de Entidad (Espera y Ve): Si resulta difícil decidir entre un acuerdo de venta cruzada o de entidad, se puede utilizar un acuerdo "Espera y ve".
- De Fondos Personales de los Propietarios: La mayoría de los empresarios no cuentan con las grandes cantidades de bienes líquidos que se necesitarían para comprar la participación del propietario fallecido, haciendo necesaria una planificación detallada en este aspecto.
Marco Legal Relevante para la Continuidad del Negocio
No existe una única ley que regule el plan de continuidad de negocio del autónomo como documento cerrado. Sin embargo, diversas normativas inciden en aspectos relevantes para la continuidad empresarial:
- La Ley 20/2007 regula el Estatuto del Trabajo Autónomo. Esta norma recoge el marco básico del trabajo autónomo en España y sirve como referencia principal para este colectivo.
- La Agencia Tributaria interviene en obligaciones censales, IVA, IRPF y otros datos fiscales del profesional.
- Si el problema deriva en insolvencia, entra en juego el Texto Refundido de la Ley Concursal, aprobado por el Real Decreto Legislativo 1/2020.
Un autónomo no debería esperar a que todo esté perdido. Actuar a tiempo permite distinguir entre una crisis temporal y una insolvencia más seria. Si la deuda ya condiciona cada decisión, conviene buscar una valoración profesional.