Héctor Opazo
Se ha puesto a pensar, ¿qué pasaría si su proveedor de servicios tiene un desastre?, ¿cómo le afectaría a su negocio?, ¿están realmente nuestros proveedores preparados para soportar un desastre y seguir entregando un servicio aceptable?
Durante mis años de trabajo profesional, donde he revisado muchos contratos de diferente índole, con diversos proveedores de servicio, me he encontrado que el control habitual que pide mi cliente a su proveedor se basa principalmente en un acuerdo de nivel de servicio o SLA (Service Level Agreement) y multas asociadas al incumplimiento de estos SLAs. Más allá de lo señalado, lo que uno evidencia, después de una crisis, es que nunca estas consideraciones tendrán el efecto reparador completo para el negocio.
Todo esto nos lleva a pensar en cuan rigurosos debemos ser a la hora de contratar un servicio crítico y como la continuidad de negocio es un factor relevante en la selección del proveedor.
A raíz de esto surgen muchas otras preguntas, tales como: ¿nos involucramos en las pruebas y planes de continuidad de negocio de nuestros proveedores?, ¿están realmente nuestros proveedores preparados para soportar un desastre y seguir entregando un servicio aceptable?, ¿puedo asociar las multas al proveedor con el costo total de la crisis?
Estableciendo una metodología
En mi experiencia, si es posible responder estas y otras preguntas mediante el establecimiento de un proceso riguroso de licitación de proveedores, calificación y posterior adjudicación del servicio. Es posible evaluar el riesgo de mi proveedor en términos de continuidad de negocio mediante ciertos controles preventivos. Figura 1 ilustra los pasos necesarios que usted deberá tener en consideración.
La forma habitual de solicitar información a los proveedores en un proceso de licitación de algún servicio, es a través de una solicitud de propuesta RFP (Request For Proposal). La respuesta a este RFP nos servirá para obtener la información necesaria por parte de los diferentes oferentes, y así poder evaluar las fortalezas y debilidades de cada proveedor.
1. Solicitar los planes de continuidad de negocio del proveedor
Se deberá solicitar los planes de continuidad de negocio actualizados del proveedor. Usted deberá recibir la última versión del plan y verificar que tenga coherencia con lo que declara cuando responda su solicitud de propuesta (mediante un RFP). Recuerde ser explícito en el RFP que enviará a su proveedor, para solicitar información respecto a los planes de continuidad de negocio.
2. Evaluar la madurez del plan de continuidad de negocio del proveedor
De acuerdo a su juicio experto en continuidad de negocio, a sus propios planes de continuidad de negocio y a los que ha revisado a lo largo de su carrera profesional, evalué de manera cuantitativa el nivel de madurez del plan de su proveedor. Analice también los aspectos que desee resaltar en el plan, poniendo énfasis en las estrategias de recuperación que su proveedor declara tener implementadas. El tener su Tiempo Objetivo de Recuperación (RTO, recovery time objective) definido en su plan continuidad de negocio, le permitirá establecer una métrica de cumplimiento para su proveedor.
3. Solicitar al proveedor los resultados de sus pruebas de recuperación
Recopile la información que su proveedor le ha entregado respecto a las pruebas realizadas, las observaciones que ha recabado, las evidencias y todo lo referente al resultado de dichas pruebas de recuperación. A partir de lo anterior, formule un cuadro de evaluación con esta información, dando especial énfasis al RTO declarado en el plan de continuidad de negocio y los tiempos de recuperación observados. Considere además el tipo de prueba y los escenarios que su proveedor está probando.
4. Formular un modelo que permita evaluar al proveedor en términos de sus planes de continuidad de negocio y pruebas de recuperación
De acuerdo con los antecedentes recibidos y a las evaluaciones parciales realizadas, usted está en condiciones de proponer un esquema de evaluación. Le sugerimos diseñar una matriz de variables y ponderaciones que incluya los distintos aspectos de su evaluación, descritos anteriormente. Puede ponderar si el plan de continuidad de negocio está completo, su consistencia, las estrategias, el desarrollo del plan y otros elementos asociados, según la importancia que usted le otorga. También incorpore los distintos factores de las pruebas y resultados obtenidos. Lo importante es que usted tendrá elementos cuantitativos asociados a la existencia de planes de continuidad de negocio de su proveedor y a las pruebas que su proveedor realiza habitualmente.
5. Asociar la evaluación de su proveedor con una métrica
El resultado de la evaluación que usted realizó por concepto de continuidad del negocio debe generar un ponderador o métrica. Esta métrica es la calificación que usted asigna para determinar la capacidad de reacción y cumplimiento ante un desastre por parte de su proveedor crítico.
A modo de ejemplo, si su proveedor no tiene planes de continuidad de negocio o no realiza pruebas de recuperación, este tendrá una métrica lo suficientemente alta que le indica el grado de riesgo si usted le adjudica el servicio. Por el contrario, si tiene un plan de continuidad de negocio bien establecido, actualizado y con pruebas periódicas, el ponderador será bajo en términos de que su proveedor está desarrollando la continuidad del negocio como elemento garantizador del servicio que usted está contratando.
Esta métrica deberá considerarla en el cálculo del valor tradicional de las multas que usted (o el equipo que genera los contratos en su compañía) está acostumbrado a aplicar para servicios tercerizados (outsourcing).
6. Establecer el acuerdo y el formato de la multa en el contrato vigente
Una vez determinado el valor final de la multa a aplicar, incluya este valor en el contrato de servicios que su proveedor firmará. Su proveedor deberá estar en acuerdo respecto al procedimiento que usted ha aplicado y deberá entender a plenitud el valor del incremento de la multa, en caso de incumplimiento de servicio.
Con estos pasos usted estará evaluando el desarrollo de planes de continuidad de negocio por parte de su proveedor crítico.
Durante la prestación del servicio
Posterior a la selección de un proveedor y durante la relación comercial que mantendrá a través del tiempo, recomiendo de manera proactiva verificar en campo el cumplimiento de la oferta que usted recibió y que adjudicó, incluyendo el riesgo por continuidad de negocio. Además, usted podrá ajustar la evaluación que hace del proveedor.
Para cumplir con lo anterior, le sugerimos tener en cuenta las siguientes tres actividades:
A. Participe de las pruebas de los planes de recuperación de su proveedor
Solicite a su proveedor que usted sea parte de sus pruebas. Debe comunicar los beneficios que puede obtener él por la incorporación de usted como observador en sus pruebas. Su proveedor debe entender que para usted, él es estratégico y crítico, por tal motivo, es una buena práctica observar cómo se ejecutan sus pruebas y la trasparencia de estas.
B. Audite y evalúe los resultados de las pruebas de recuperación. Ajuste la métrica del proveedor
Con lo que usted pudo observar en las pruebas de recuperación de su proveedor, usted deberá de ser capaz de re evaluar estas consideraciones en su evaluación y estar listo para poder ajustar su métrica.
Ajuste su nueva métrica a partir de las observaciones y hallazgos evidenciados en el paso previo. Con esta información, usted podrá ir generando evaluaciones cuantitativas a tomar en consideración en futuros contratos, respecto de las multas reales y cómo se desarrolla la continuidad de negocio de su proveedor.
C. Realice una retroalimentación de manera permanente hacia su proveedor
A partir de toda esta información recopilada y ajustada, dé retroalimentación de este trabajo a su proveedor. Esto le permitirá confrontar sus evaluaciones con la realidad que su proveedor declara. Mantenga siempre informado a su proveedor de la forma cómo lo está evaluando respecto a sus planes de continuidad de negocio vigentes.
Beneficios mutuos y valor agregado
Todo este modelo desarrollado, le permitirá a usted y a su proveedor mejorar en varios aspectos. Primero, su foco estará centrado en que el servicio realmente se entregue por parte de su proveedor, independiente de las multas existentes. Segundo, incorporará el riesgo asociado a la existencia de planes de continuidad de negocio de su proveedor. Su proveedor sabrá ahora con certeza que usted está preocupado de su continuidad, la está cuantificando e incorporando en el contrato. Tercero, esta preocupación será de valor agregado no solo para usted en términos de tener proveedores preparados para enfrentar crisis o desastres, sino además, usted tendrá un proveedor que saldrá fortalecido de este contrato, generando valor agregado en su oferta.
Finalmente, usted debe tener siempre en consideración lo siguiente: “La valoración de la pérdida real del negocio afectado es mucho más que el costo directo derivado de la pérdida. Involucra también otros conceptos, tales como: lucro cesante, costo de reputación, pérdida de clientes, por mencionar algunos. “
Héctor Miguel Opazo Santis, es ingeniero civil industrial en Chile, ingeniero en informática, con estudios de Magister Business Engineering, post títulos en evaluación de proyectos y gestión de sistemas de Información. Es certificado CBCP del DRI International. Con casi 20 años de experiencia en el mundo tecnológico a nivel de consultoría y desarrollo tecnológico aplicado. Ha sido consultor en Latinoamérica y Estados Unidos. Se ha desempeñado en cargos gerenciales en diferentes industrias, tales como: consultoría, banca, comercio entre otros. Se ha especializado en dirección de proyectos, negocios electrónicos, continuidad tecnológica y evaluación de proyectos de tecnología. Consultor asociado de Resilience Chile. Profesor titular de la cátedra de e-business en la universidad Andrés Bello donde evalúa proyectos de innovación tecnológica. Opazo puede ser contactado en hmopazo@resilchile.cl.