En tiempos de Crisis Autor: Rusell A. Jackson

Los auditores internos pueden proveer a las organizaciones una línea de salvataje antes de que el desastre las golpee, examinando el negocio, los esfuerzos que se hagan para su continuidad, y ayudando a sus clientes a prepararse para lo peor.
Rusell A. Jackson

Las oscuras olas de la inundación que emergió de las márgenes del río Mississippi en el pasado año, amenazando destruir las cosechas en esa región de los Estados Unidos, crearon imágenes de devastación e impotencia que nadie que las haya visto las podrá olvidar. Nuevas familias sin hogar se han encontrado con lo que quedó de sus pertenencias, con muchos de sus bienes terrenales arruinados por las aguas, y muchos otros simplemente arrastrados para siempre. El dolor y el sufrimiento a ese nivel es difícil de apreciar, y a menudo, mucho más difícil de anticipar.
Cientos de miles de familias en China comprenden cuán dolorosos y traumáticos pueden ser estos desastres, y cómo parece imposible avistar un mañana libre de la miseria que traen. Un gigantesco terremoto golpeó la provincia china de Sichuan en Mayo del 2008, dejando 35,000 muertos, cientos de miles de heridos y quizás millones de personas sin hogar, según la Cruz Roja. El sismo de 7.8 grados de magnitud también derrumbó casas, negocios y tal vez lo más trágico de todo, escuelas enteras como sepulcros de muerte y destrucción. Más aún, las noticias de la región mostraron que el suministro eléctrico, las carreteras y las comunicaciones fueron cortados, nuevamente, para más de un millón de sobrevivientes. Llevará meses y años para que la vida de estas personas retorne a su normalidad.
Y probablemente llevará el mismo tiempo para el Hotel Marriot de Islamabad, Pakistán, retornar a sus operaciones completas después de aquel ataque terrorista de Septiembre de 2008, y aún más para que las vidas de las familias de las decenas de muertos y cientos de heridos retornen a la normalidad. Usando un camión lleno de explosivos, los atacantes dejaron un cráter de 20 metros de profundidad en los alrededores del lugar. ¿Quién puede contemplar semejantes hechos destructivos y pensar en otra cosa que las inocentes víctimas, las propiedades perdidas, y la forma horrenda en que tantas vidas fueron afectadas?
Pero alguien debe hacerlo. De hecho, ante el más devastador de los desastres, la más cruel de las imágenes de la destrucción, se hace necesaria una mente clara y aún un corazón frío que se enfoque en cómo edificar un futuro. Cuando el agua retroceda, cuando los edificios sean reconstruidos, cuando las barricadas estén listas para prevenir futuros bombardeos, la vida debe continuar. Las familias afectadas necesitan de los servicios que proveían todos aquellos negocios devastados. Éstos necesitan de los ingresos que sus trabajos proveen, y estos trabajos no existirán hasta que dichas infraestructuras sean reconstruidas y las economías sean reconstituidas, muchas veces en forma virtual desde los escombros. No es, entonces, despiadado pensar en términos de avanzar y regresar los negocios a los que fueron antes del desastre, es necesario.
La “Recuperación del desastre” – o como se lo conoce también menos emocionalmente pero más concretamente, “continuidad de los negocios” – es un elemento crítico de cualquier desastre, y la gente que la coordina y lidera, debe mantenerse fuerte frente a los horrores que puede llegar a enfrentar mientras se recuperan los sistemas y procesos a una situación similar a la que fue “normal”. Los Auditores Internos tienen un rol crítico en esta actividad. Aún más, la “recuperación del desastre” requiere de una planificación, ejecución y seguimiento de actividades – que son las actividades que el auditor mejor hace. La recuperación del desastre puede ser, después de todo, visto como el más crítico de los controles sobre riesgos para una empresa.

EL ROL ADECUADO
Como director de la consultora “Navigant Consulting” con base en Atlanta, Michael Keating ayuda a las compañías a prepararse para lo peor – y desde entonces sistemáticamente ha solucionado sus problemas. Él es el primero en conocer las funciones críticas que los auditores internos desempeñan en el marco general de la continuidad del negocio. Y también es el primero en tomar conocimiento de la absoluta necesidad de la línea entre “monitorear” y “liderar” que los auditores internos deben recorrer. Sostiene que los departamentos de auditoría interna deben tener la sabiduría de seguir estos simples lineamientos. Los auditores internos deben estar involucrados en la fijación de los niveles – “¿Dónde queremos estar en seis meses? ¿Dónde queremos estar en dos años?”-, y en el análisis de qué operaciones son verdaderamente urgentes y por lo tanto, si tienen mayor exposición.
Molly Latham, gerente de Recuperación de Desastres en el departamento de IT de la compañía Southern California Edison Co. coincide. “No sé si los auditores internos deben tener participación en la definición de las políticas,” comenta. “Pienso que eso puede interferir en su independencia. Pero ciertamente deberían ser capaces de opinar si las políticas son adecuadas para mitigar los riesgos y hacer recomendaciones para fortalecer las políticas cuando sea necesario.”
Matthew Gagnon, vicepresidente de auditoría interna de la compañía Foodservice de Rosemont, Illinois, hace exactamente eso en su empresa. Allí, el departamento de auditoría interna revisa los planes de recuperación de desastres y recomienda mejoras. En caso de desastre, el departamento debe monitorear los esfuerzos de recuperación y trabajar con la gerencia para facilitar una recuperación rápida en caso de necesidad. Luego de los hechos, su equipo debe dar asistencia en la documentación de las lecciones aprendidas y recomendar mejoras.
Así es cómo funcionan las cosas en Key Bank en Cleveland, donde David Everest trabaja como vicepresidente de servicios de evaluación de tecnología. “Los auditores internos no definen los planes de recuperación de desastres de las unidades de negocio,” dice. La compañía, explica, mantiene un grupo que asegura que cada unidad de negocio tenga su plan de continuidad, y además, que cada unidad haya identificado los riesgos claves que puedan afectarlos y contar con planes para practicar los métodos de recuperación.

UN PASO FIRME
Los departamentos de auditoría interna necesitan asegurar que la línea entre “monitorear” y “liderar” los programas de recuperación de desastres, esté bien dibujada en la arena de la empresa. “Las compañías quieren que los auditores internos sean proactivos sobre los planes de recuperación de desastres”, explica Keating, “pero cuanto más proactivos sean, es más probable que se enfrenten con un ejecutivo que se detenga y les exija “¿Por qué no te haces cargo?”’ Este es el riesgo que los auditores internos corren desde un comienzo, si no establecen exactamente los lineamientos de su rol, y de qué forma serán proactivos. La política de continuidad del negocio debe establecer quién desempeña cada uno de esos roles durante y después de una interrupción – con el mayor detalle posible especificando las distintas formas de interrupciones, ya sea naturales o provocadas por el hombre – así como conocer las diferentes líneas de autoridad que emergerán en esas situaciones.
El desarrollo de la política no debería llevar mucho tiempo. Si así sucediera, probablemente algo se estaría haciendo mal. “No es necesario encerrarse en un cuarto por tres días para descubrir cada escollo que impide tener el plan de contingencia ‘perfecto’”, dice Keating. “Sólo hace falta delimitar los puntos claves.” De hecho, aconseja tomar el desafío como si se pudiera agitar una varita mágica y manejar perfectamente el desastre. “Ponga esos pasos ‘ideales’ en una política, y haga que el comité de auditoría y todos lo aprueben”, propone. “Entonces, el departamento de auditoría interna no podrá ser forzado a hacerse cargo del programa en la eventualidad de un desastre.”
El rol adecuado de los departamentos de auditoría – en realidad, el rol adecuado de cualquier ejecutivo clave – en una situación de desastre, es desafiante para muchas compañías, ya que estos programas son tan diversos, que van desde planes muy detallados y abarcativos, hasta ninguno. Muchas compañías en los Estados Unidos tienen planes de emergencia escritos y formales, aún sin la existencia de estándares de certificación en su industria. Es alentador saber que muchas empresas piensan a futuro un plan de contingencia, aún sin tener estándares del mercado como guía. Pero esto implica la existencia de una vasta gama de planes en el mercado, que hacen extremadamente difícil saber si el suyo es bueno, malo o mediocre.
Una reciente encuesta sobre el nivel de preparación para emergencias, hecha por el Directorio del Departamento de Seguridad de Vivienda en Estados Unidos, reveló que alrededor del 75 por ciento de las empresas con una venta anual de mil millones de dólares o más, realizaban auditorías de riesgo en forma regular. Casi el 70 por ciento de las empresas con ventas anuales entre 50 y mil millones de dólares, también lo hacen. Sin embargo, menos de la mitad de las empresas con operaciones entre 5 y 50 millones de dólares hacen auditorías anuales de riesgo. Analizando más profundamente los datos, la encuesta revela que las compañías que cotizan en bolsa son más propensas a realizar auditorías de riesgo que las empresas familiares.
Gagnon dice que él entiende bien la falta de consenso sobre lo que constituye un programa ideal de recuperación de desastres, desde la perspectiva del auditor interno. Generalmente, los planes de recuperación de desastres que él tuvo oportunidad de revisar no fueron lo detallados que él hubiese querido ver. Los planes muchas veces hacen foco en los aspectos de recuperación de Sistemas y no contemplan adecuadamente la recuperación los procesos de negocio. Muchos planes tampoco consideran los diferentes tipos de desastres o interrupciones del negocio, y sus consideraciones particulares. “De hecho,” dice, “en muchas compañías sólo la recuperación de los procesos informáticos y de los sistemas ha sido testeada. Debido a la publicidad que rodeó a los esfuerzos de recuperación del ataque del 11 de Septiembre en los Estados Unidos, y los recientes desastres naturales, las empresas parecen reconocer que existe una necesidad de cambiar del concepto de “recuperación del desastre”, al de “continuidad del negocio”, donde los dueños de los procesos de negocio y el departamento de informática comparten la responsabilidad por la recuperación. Pero la evolución a una mejor integración de los aspectos de negocio y los informáticos en la planeación de la continuidad de los negocios está recién comenzando.”

LA PRACTICA HACE A LA PERFECCIÓN
La compañía de Kevin Piccoli, el Banco New York Mellon, encuadraría perfectamente en lo que el Directorio de la Conferencia llama la categoría de “empresa” – aquellas con ventas de más de 1,000 millones de dólares al año. Y hace mucho más que conducir auditorías anuales de riesgo. Piccoli, su vice presidente ejecutivo, y anteriormente auditor jefe, destaca que el plan de Recuperación de desastres que tienen es extremadamente detallado – en los Estados Unidos y en todo el mundo. Y, enfatiza, el plan ha sido probado una y otra vez. “No sólo lo hemos practicado a ‘alto nivel’”, explica. “Simulamos una interrupción completa del edificio. A mediados de Octubre, simulamos tener un edificio completo derribado. Le dijimos a 3,000 personas que tenían que dejar inmediatamente sus puestos y dirigirse hacia el área predeterminada de evacuación.“ Por supuesto que las compañías en la industria de los servicios financieros están fuertemente reguladas, y la reserva federal de los Estados Unidos requiere a las empresas bajo su regulación que estén bien preparados en el proceso de Recuperación de desastres.
La compañía de Piccoli, trágicamente, había testeado su plan de contingencias de la peor manera: mantenía sus centros de operaciones en Manhattan, muy cerca del World Trade Center en septiembre de 2001. “Nuestro plan funcionó”, dice ahora. “Obviamente fue una terrible tragedia, pero nuestro plan para mantener la gente a salvo y el negocio en funcionamiento lo más rápido posible funcionó”. Y agrega: “¿Nos hemos hecho más inteligentes?. Absolutamente.” Una lección clave que la compañía aprendió, es que el plan de Recuperación de desastres debe mantenerse al día. “No debería ser algo a desempolvar una vez por año”, enfatiza. “Debe ser constantemente revisado y actualizado.” Su compañía aprendió que cuando los planes de contingencia fueron puestos en práctica, algunos elementos de cómo la compañía opera – sus planes de negocio en el nivel estructural – habían cambiado tanto como se lo han permitido los cambios tecnológicos. Los planes de contingencia, sin embargo, no habían sido actualizados para reflejar esas mejoras en los procesos, y por ende algunas áreas ofrecieron menos lineamientos para mejorar la situación que los que hubiesen necesitado.
La experiencia del 11 de Septiembre también reforzó en Piccoli el valor – en realidad la necesidad – del aporte de auditoría interna a medida que los planes de contingencia son desarrollados y ejecutados. Los departamentos de auditoría interna, aconseja, deberían estar involucrados desde el comienzo porque, “son los que pueden tener una visión corporativa completa. Ellos ven de principio a fin cómo las cosas fluyen a través de las diferentes partes del negocio, desde el inicio de una transacción hasta su registro en los libros. Por ende ellos tienen la mejor visión de lo que pasaría si ciertas cosas fueran desconectadas – y la mejor visión de cómo reaccionar.” Pero Piccoli nuevamente remarca que la posesión del programa no pertenece al ámbito operativo de la auditoría interna. Los departamentos de auditoría, en cambio, deben estar involucrados integralmente como consejeros de sus compañías, identificando por ejemplo, todos los sistemas que podrían ser impactados por un tipo particular de interrupción. Y, por supuesto, el testeo de los planes de contingencia una vez que son completados debe formar parte de toda revisión de auditoría. “Deberíamos revisar los planes cuando son escritos y formular las preguntas crudas, las preguntas críticas, como ‘¿se pensó en todo?’ y ‘¿se evaluaron correctamente los riesgos?’.” No es cuestión de escribir el plan o decirle a la gerencia cómo implementarlo. En cambio, nuestro rol involucra una mirada hacia el plan de Recuperación de desastre como un socio independiente, formulando preguntas desde el aspecto de riesgo como, ‘¿Cómo impacta una interrupción en otra parte de la compañía en el plan de contingencia?’”
Keating agrega que los departamentos de auditoría interna pueden desempeñar otro rol importante en asegurar que los planes de contingencia realmente ayuden a la empresa a recuperarse de un desastre. “Pueden ayudar a minimizar los problemas analizando detalladamente los registros de las pruebas en sus compañías”, dice. “El ejercicio regular debe estar siempre a la cabeza. El planeamiento de la Recuperación de desastres es “ejercicio” – el objetivo es estar más fuertes cada vez.” Los auditores internos pueden servir muy bien a sus empresas revisando en forma anticipada los objetivos de su plan de contingencia, de manera que puedan dar una segunda vuelta. Por ejemplo, pueden hacer preguntas como porqué cierto departamento sólo fue incluido mínimamente en un plan previo, y cómo se lo está contemplando en el plan actual.

LA EXPERIENCIA CUENTA
Por supuesto que no hay aporte de la auditoría interna que pueda mejorar un plan de contingencia si la gerencia no le destina los recursos necesarios. Y, desafortunadamente, dar por hecha la continuidad del negocio es tan común como dar por hechos otros aspectos críticos del negocio que suelen ser pasados por alto cuando no son inmediatamente esenciales.
Diane Fojt, CEO de la compañía Corporate Crisis Management Inc. de Tampa, Florida, ha asistido a empresas a planificar y a recuperarse de desastres por casi 30 años, y aún se sorprende de cuán poca atención recibe la Recuperación de desastres – hasta que es demasiado tarde. “En términos generales, por naturaleza humana, la gente es complaciente hasta que la devastación o pérdida ocurre,” dice. “La gerencia tiende a ser muy despierta en lo intelectual, pero hasta que la gente sufre algo en carne propia, tiende a no tener en cuenta su importancia. Ella trabajó con varias compañías después de la devastación del huracán Katrina, por ejemplo, y descubrió que aquellos que habían experimentado el huracán Camille – que en 1969 con su grado 5 arrasó gran parte de la costa del Golfo en Estados Unidos – estaban más abiertas a evacuar rápidamente durante el desastre de 2005 que aquellas que no lo habían padecido. “Algunos ejecutivos creían tener un plan, y muchas veces las leyes los exigen,” comenta Fojt. “Pero sin la experiencia personal, esos planes normalmente están en papel y tienen poca o ninguna posibilidad de éxito”.
Muy a menudo, advierte, los ejecutivos que no han tenido experiencia personal en el tema de desastres adhieren fuertemente a los planes de contingencia cuando ciertamente entran en la necesidad. “La gente piensa que tiene que aferrarse a ellos al pié de la letra”, agrega Fojt, “pero un plan de Recuperación de desastres tiene que tener flexibilidad y debe responder por gente con disminución de sus capacidades cognitivas y psicológicas durante la crisis. Muchos planes tienden a exhibir un entendimiento irreal de la teoría del desastre, versus la realidad de la situación, y la gente con experiencia de vida tiende a ser mejor prediciendo los resultados de un plan de contingencia que aquella que lo ha estudiado pero nunca lo ha vivido.” Más aún, dice, recientemente trabajó con un cliente que se jactaba de su programa tan detallado de Recuperación de desastres, hasta decirle que su organización lo había practicado muchas veces. “Realmente, lo que el cliente afirmaba era que lo había ‘ensayado’”.
“Eso no es una práctica real del plan”, concuerda Keating. “El enemigo número uno de la continuidad del negocio es la complacencia”, dice. “El límite más importante es la experiencia personal. Cuanto más experiencia un ejecutivo haya tenido en lidiar con los problemas y desafíos en la Recuperación del desastre, más propenso será a invertir en la continuidad del negocio.
Muchas veces, la falta de foco en este tema – especialmente desde la contribución de auditoría interna – no es el resultado de ejecutivos cortos de vista o faltos de real experiencia en desastres. Muchas veces simplemente no asignan fondos para este programa, y muchas otras, las muchas obligaciones inmediatas se interponen. Keating comenta que, cuando se activó por primera vez la ley Sarbanes-Oxley en 2002, su departamento había programado un montón de grandes proyectos, pero nunca pudo comenzar ninguno de ellos. “El dinero fue redestinado a este asunto por completo. Y era comprensible porque la gente podía ir a la cárcel si los reportes no estaban hechos correctamente.” Gagnon vió lo mismo, pero en su experiencia la falta de asignación de presupuesto para atender los planes de contingencia en los departamentos de auditoría, es el simple resultado de una economía con problemas. Los presupuestos, puntualiza, están siendo recortados en todas las áreas en todo el mundo.

NAVEGANDO EN AGUAS TURBULENTAS
En el análisis final, los auditores internos pueden navegar en los programas de Recuperación de desastres de sus compañías, y más importante, ser parte de ellos, si recuerdan una cosa: la Recuperación de desastres es sólo una parte de la continuidad de los negocios. Cualquier situación que impida a una empresa desarrollar normalmente su negocio – vender, manufacturar productos, o proveer servicios – representa un riesgo empresario, y cualquier cosa que represente un riesgo empresario está dentro de las responsabilidades de un auditor. De hecho, ya sea que la interrupción de negocio sea provocada por un desastre natural, un acto de terrorismo, o un accidente causado por un error humano, los riesgos para la empresa son los mismos: no lograr lo que necesita lograr para permanecer en el negocio. El rol del auditor interno ante un huracán, por ejemplo, debería ser esencialmente el mismo que en una adquisición corporativa o una huelga en una planta de manufactura: ayudar a la gerencia a ver, entender y mitigar los riesgos que el imprevisto representa.
“Como profesional de la continuidad del negocio, no estoy tan preocupado por la naturaleza del escenario del desastre, como lo estoy acerca de sus efectos en el negocio”, explica Lartham. “Si una planta u oficina es inaccesible, el negocio está igualmente afectado sea que lo cause un terremoto o una inundación”.
Keating coincide. De hecho como consultor, expresa, para sus clientes, el tipo de interrupción de negocio se genera dentro de las cuatro paredes de la corporación, más que lo que sería generado por un viento o lluvia. “La peor clase de ‘desastre’ desde la perspectiva de un auditor interno sería aquel que involucre culpa o genere amenazas para la compañía,” dice. “En este momento no querría formar parte de auditoría interna en alguna de las compañías afectadas recientemente por los escándalos financieros, como en AIG o Freddie Mac.” En cualquier oportunidad en que la empresa es más que una víctima, agrega Keating, los directivos pueden manejar la culpa y la indignación, mientras no echen a perder su respuesta – que es exactamente lo que el CEO de Mattel hizo cuando parecía que uno de sus juguetes había sido contaminado en la fábrica que la compañía tiene en China. Primero culpó a China por el retiro masivo del producto del mercado, y unos días después pidió disculpas. “No pudo tener la razón en ambas situaciones,” puntualiza Keating. “Y aquellas interrupciones tienden a tener realmente largas colas. Por otra parte, un desastre natural como el Huracán Ike, aún cuando es un desastre terrible, presenta una cuota bastante más previsible de recuperación. Hay menos partes móviles en eventos que sucedieron en el pasado y para los cuales hay un registro guardado de la recuperación.”
La parte final es que, básicamente, los auditores internos deben ser los “Ciudadanos del mundo”, como para hablar, ante un desastre – ofreciendo cualquier ayuda a quien más la necesitare – y a los consultores expertos en el negocio inmediatamente después. “Cuando sea necesario, sacarse el sombrero de auditor, remangarse y trabajar hombro a hombro con la gerencia para recuperar el negocio y sacarlo funcionando.” urge Gagnon. Piccoli agrega que la auditoría interna es a menudo los ojos y oídos de la gerencia y, como tales, su aporte en un desastre es absolutamente vital para ayudar a ver que los recursos sean correctamente asignados donde se necesitan, y que la empresa esté utilizando sus conocimientos para ayudar al negocio. Por supuesto que cuando una tragedia golpea, los auditores internos dejan de ser auditores internos, así como, digamos, los directores de recursos humanos dejan de ser directores de recursos humanos, y los gerentes de planta dejan de ser gerentes de planta. Todo el mundo es un compañero de trabajo cuando la empresa está en riesgo, y todo el mundo -- auditores internos incluídos -- necesitan poner sus asuntos personales a un lado y hacer lo que sea necesario para sacar lo mejor de una situación mala.


Para comentar este artículo, envíe un e-mail al autor a : russell.jackson@theiia.org

Traducción de Leticia Quiroga, CIA, para el Instituto de Auditores Internos de Argentina.


Este artículo fue extraído de la revista INTERNAL AUDITOR publicada por The Institute of Internal Auditors, Inc, www.theiia.org , número de Diciembre de 2008, y su traducción y publicación fue autorizada por The IIA al Instituto de Auditores Internos de Argentina.
 

Imprimir