Presentación Continuidad de Negocios y Resiliencia en la Supply Chain Management Jorge Mario Gómez J, MBA, MBCP, MBCI Gerente Nacional de Riesgos Willis Consulting SAS Cali, Septiembre 2014 1 Jorge Mario Gómez J, MBA, MBCP, MBCI, BCMM, LA ISO 22301, Líder de ERM y BCM para Willis Latam, Gerente Nacional de Riesgos de Willis Colombia, 25 años Riesgos / 20-Docencia / 15-BCM, Ingeniero Civil, MBA en Dirección de Proyectos, Especialista en Riesgos y Seguros, Especialista en Mercadeo, Consultor, Docente y Conferencista Internacional, Instructor Internacional del Disaster Recovery Investigador Continuidad / Resiliencia e-alcont, Experiencias en: Avianca, COPA Airlines Panamá, CI Uniban & Isabella Shipping, Metro de Medellín. SPR Cartagena, SPS Marta, Grupos Carvajal, Manuelita, Colombina, SABMiller, Nutresa, EPM, QBCo, EMCALI, Orbis, Éxito, Sofasa Renault, CI Prodeco, Colombina, Riopaila Castilla, entre otros Jorge Mario Gómez J, MBA, MBCP, MBCI 2 Presentación Entre: Lo que Yo pienso, Lo que Yo quiero decir, Lo que Yo creo decir, Lo que Yo digo, Lo que Ud. quiere oír, Lo que Ud. oye, Lo que Ud. cree entender, Lo que Ud. quiere entender, Lo que Ud. entiende, Hacia dónde vamos en Resiliencia? Existen 9 posibilidades de no entender por eso espero ser claro y que le saquen el mayor provecho. Jorge Mario Gómez J, MBA, MBCP, MBCI 3 4 1
Para comenzar Conoce la efectividad de los controles actuales en la SCM? Puede definir que es una interrupción en la SCM? Puede definir que es un desastre en la SCM? Hace cuánto hizo un BIA para la SCM? Conoce la efectividad de las estrategias de Continuidad? Puede definir cuándo comienza una crisis? Puede indicar, a quien le sucede los desastres y crisis? Cuando creíamos que teníamos todas las respuestas, cambiaron las preguntas Mario Benedetti Hacia dónde vamos en Resiliencia? 5 6 Términos y definiciones Antes Durante Después Amenaza Vulnerabilidad Riesgo Impacto Percepciones Resiliencia Prevención Preparación Activación Protección Mitigación Incidente >> Evaluación Escalamiento Intensidad Notificación Activación Respuestas Emergencia Crisis Continuidad Recuperación Continuidad Recuperación Normalidad Términos y definiciones ISO 22301 e ISO 22316 CONTINUIDAD Es una disciplina que permite que una organización sea más resiliente ante incidentes que podrían alterar sus operaciones o amenazar su existencia. RESILIENCIA ORGANIZACIONAL Es la capacidad de anticipar eventos clave de tendencias emergentes, de adaptarse constantemente al cambio y de recuperarse de incidentes dañinos y disruptivos. Los programas BCM ofrecen un marco de trabajo para que una organización construya resiliencia y brinda la capacidad de tener una respuesta efectiva ante eventos amenazantes. 7 8 2
Hacia dónde vamos en Resiliencia? 1er Estudio Colombiano de la Vulnerabilidad y Resiliencia en la Cadena de Suministro 9 SCRM ANDI VALLE con ocasión del 1er encuentro de Supply Chain ha emprendido su 1er Estudio Colombiano de la Vulnerabilidad y Resiliencia en la Cadena de Suministro, y para ello cuenta con el soporte de la firma ealcont Continuity & Resilience Research quien a su vez ha sido patrocinado por WILLIS COLOMBIA, y acreditado por la U. ICESI y AES Supply Chain Security. Y esperamos hacerlo para cada encuentro. Cuál de las siguientes opciones describe mejor su rol funcional? 60% labora como recurso interno de SCM Las múltiples respuestas no solo obedecen a las opciones que permite la encuesta, también al entendimiento de la Cadena de Suministro (compras, planeación, comercio internacional, distribución y servicio al cliente) que finalmente fueron los que respondieron. En qué ciudad está localizado? 54% localizado en Cali y alrededores Otras ciudades en las respuestas: Medellín, Bogotá, Cartagena, Manizales 11 12 3
Cuál de las siguientes actividades describe mejor la suya, teniendo en cuenta la Clasificación de Actividades Económicas CIIU (adoptado para Colombia por el DANE)? 47% labora en Industrias Manufactureras. 23% labora en Transporte y Almacenamiento. 6% labora en Agricultura Cuántos empleados trabajan aproximadamente en su Organización? 39% de 1001 a 5000 empleados 10% más de 5000 empleados En Colombia el segmento empresarial está clasificado en micro, pequeñas, medianas y grandes empresas. Basado en los activos totales en SMMLV (2014: $616.000), indique como se clasifica su Organización? 70% labora en grandes empresas Su Organización está certificada? 93% certificadas ISO 9001 38% certificadas OSHAS 18001 60% certificadas BASC 12% certificadas ISO 28001 52% certificadas ISO 14001 10% certificadas OEA 13 14 Para soportar el programa de continuidad y resiliencia en la cadena de suministro, cuál es la calificación de la Organización respecto a los siguientes criterios?. Experiencia 60% Conocimiento 58% Título Profesional 40% Certificaciones 26% En general, registran, analizan e informan los incidentes disruptivos o significantes interrupciones en la cadena de suministro? El 80% registra, analiza e informa los incidentes disruptivos o significantes interrupciones en la SCM 40% lo hace buscando un consolidado a través de toda la Organización. Preocupa que el 20% no hace ningún registro. 15 16 4
Reflexión Si algo ocurre una vez, puede que no vuelva a ocurrir Pero si ocurre dos veces, Lo más probable es que ocurrirá una tercera Refrán Árabe En los pasados 12 meses, Cuántos incidentes disruptivos o significantes interrupciones se presentaron en la Organización? 80% de las empresas experimentaron al menos un incidente durante los pasados 12 meses que causó interrupción (UK, 75%). 53% registraron al menos 5 incidentes disruptivos o significantes interrupciones. 17 18 Basados en la anterior pregunta, y centrados solo en los incidentes de la cadena de suministro, cuáles pudieron haber sido las fuentes establecidas de las interrupciones? 60% Cuellos de botella en la producción y servicio, 47% Proveedores críticos o productos de una sola fuente, y 37% Vulnerabilidad en la tecnología y comunicaciones. Otras fuentes de interrupciones: Vulnerabilidad del recurso humano, Procesos que requieren tiempo de recuperación, Requisitos muy exigentes en la entrega al cliente, Dependencia absoluta de proveedores de TICs, Múltiples proveedores en un área geográfica sujetos a posibles trastornos comunes Continuando con los incidentes de la cadena de suministro y teniendo como fuente a los proveedores, cuál de los siguientes se aplican en su experiencia? 81% de las interrupciones originadas recayeron sobre el proveedor inmediato. En UK, 42% existe disciplina al investigar el incidente en: el proveedor del proveedor, mucho más abajo en la cadena de suministro. 19 20 5
Con relación a la afectación de la cadena de suministro por alguno de los siguientes incidentes disruptivos de tipo EXTERNO, favor indique el impacto en los pasados 12 meses. Cambios en la Ley o Reglamentos Volatilidad en la tasa de cambio Desabastecimiento o problemas en la SCM Violación de la propiedad intelectual LA/FT y Contrabando No menospreciable: Falla de Energía / Pérdida de Poder Con relación a la afectación de la cadena de suministro por alguno de los siguientes incidentes disruptivos de tipo INTERNO, favor indique el impacto en los pasados 12 meses. Pérdida de talentos claves Incidente de calidad de producto Pérdida o robo de información confidencial Incendio Conflictos laborales / Huelga / Paros No menospreciable: Interrupción imprevista en las TICs 21 22 Durante los últimos 12 meses, cuál de los siguientes impactos surgieron de los incidentes disruptivos? Ellos en su orden fueron: Aumento del costo del trabajo, Pérdida de productividad, Quejas de los clientes recibidas, Pérdida de ingresos, Pérdida de mercado, Afectación en la marca, Retrasos en los proyectos. Dadas las interrupciones en la cadena de suministro que se han presentado en los últimos 12 meses, en cuanto estima el costo acumulado para la Organización? Podría indicar cuánto de la anterior suma estaba asegurada? 36%: No conoce el costo acumulado de los incidentes disruptivos o significantes interrupciones que se han presentado en los últimos 12 meses 56%: No conoce si la suma estaba asegurada. 23 24 6
Con relación a la afectación de la cadena de suministro por alguno de los siguientes incidentes disruptivos, favor indique los que considere para los próximos 12 meses. Ellos en su orden fueron: Presión por la reducción de costos, Agilidad / flexibilidad en la logística, Integración de las cadenas de suministro, Retraso de los proveedores, Entrega de pequeñas cantidades, Cross-docking, Cambios en los procesos de manufactura Su Organización tiene sus propios acuerdos de continuidad de negocios? 40%: Dice no conocer si existen sus propios acuerdos de continuidad de negocios. 40%: Dice estar en proceso de elaboración 6%: Dice tener planes de contingencia, pero no para impactos de largo plazo 25 26 Si pudiera seleccionar al menos tres motivadores para que su Organización considere tener un Plan de Continuidad en su cadena de suministro, cuales elegiría? 80%: Garantizar el cumplimiento de los objetivos estratégicos, Para maximizar la productividad / competitividad, Para sostenibilidad y resiliencia, En sus planes de continuidad, ha empleado el ANALISIS DE IMPACTO AL NEGOCIO (BIAs) para identificar y analizar los proveedores críticos? 68%: No conocen ni han empleado un BIA para Identificar y analizar los proveedores críticos en sus planes de continuidad de negocios Otros: Como responsabilidad social empresarial, Para retención/captura de clientes, Como requisito de un cliente importante, Para protección de los empleados, Para retener/ganar inversionistas, Como requisitos de una certificación 27 28 7
Con relación a los proveedores críticos, que porcentaje de ellos se la ha verificado y probado que tienen planes de continuidad de negocio que se ajuste a sus necesidades? cómo se ha medido la resiliencia? 50%: No ha verificado ni probado que los proveedores críticos tienen un BCP que se ajuste a las necesidades. 43%: No se ha medido 40%: En el inicio del contrato Hacia dónde vamos en Resiliencia? 29 30 Lo impensable! Los disruptivos Operacionales Accidente aéreo, Accidente de trenes, Accidentes dentro del edificio, Accidentes radiológicos, Actos de Dios, Amenazas de bomba, Aplicaciones defectuosas, Area de alta criminalidad, Atentados, Bajas de tensión, Caída de objetos, Caída de puentes, Caída del sistema, Calentamiento Global, Crímenes electrónicos, Daños por agua, Demandas laborales, Deslizamientos, Desobediencia civil, Destrucción malintencionada, Empleados vengativos, Error humano, Explosión de calderas, Explosiones, Extorsión, Falla de sistemas de comunicación, Falla de software, Falla del sistema de calefacción o enfriamiento, Falla del sistema de extinción de incendios, Falla del teléfonos, Fallas administrativas, Fallas de transporte, Fallas del sistema de aire acondicionado, Gotéras, Hackers, Huracanes, Incendio, Incendio provocado, Incendios forestales, Interrupción de servicios públicos, Inundaciones, J, K, L, Manifestaciones, Maremotos, Materiales corrosivos, Nanotecnología, No disponibilidad del personal, Ñ, Operaciones militares, Pandemia, Perdida del fluido eléctrico, Problemas en el sistema de alcantarillado, accidentes Químicos, Rayos, Redes Sociales, Rehenes, Robo de información, Sabotaje, Secuestro, Terremotos, Tormentas, Tormentas de arena, Tormentas de hielo, Tormentas eléctricas, Tornados, U, Vandalismo, Vendavales, Vientos huracanados, Virus, W, X, Y, Z, Etc. Legales y Contractuales Entorno Tecnológicos Sociales Políticos Ambientales 31 32 8
Reflexión Cuando un desastre afecta una empresa que no tiene un plan actualizado y probado: 12% cierran sus puertas antes de 5 años 40% antes de 18 meses 40% inmediatamente y solo un 8% sobrevive. Business Continuity Institute El cisne negro Es impredecible Es improbable Es aleatorio Es raro / atípico Está fuera de lo normal Es de gran impacto 33 34 Resiliencia Resiliencia "La capacidad de una organización para planificar y adaptarse al cambio o alteración, a través de la anticipación, la protección, la capacidad de respuesta y capacidad de recuperación". Sistemas de Gestión Gestión de Riesgos (ERM) Continuidad de Negocios (BCP) Recuperación de Desastres (ERP) Seguridad de Información Seguridad Física Salud y Seguridad Administración de Emergencias Recursos Humanos Finanzas Manejo y Comunicación de Crisis Estándares UK: ISO 31000:2009 Risk Management ISO 22301, BS 25 999, BS 45000 Australia: AS/NZS 5050:2010 Business Continuity, AIMS, PPRR US: ANSI/ASIS SPC.1-2009, ANSOR American National Standard Organizational Resilience Singapore: SS 540: 2008 Business Continuity 35 36 9
Empresa Resiliente Qué la marca? Éxito Longevidad Tamaño Marca Reputación Algunas características? Redundancia - capacidad de reserva Confiabilidad - seguir funcionando bajo estrés Anticipación - escaneo anticipado de los planes en marcha Preparación Flexibilidad - distribuyendo habilidades y experiencia Capacidad de adaptación - el uso del manejo del cambio para alimentar los nuevos desarrollos Capacidad de aprendizaje - aprender de los errores y deslices Hacia dónde vamos en Resiliencia? 37 38 Prácticas DRII 1. Inicio del Programa y Administración 2. Evaluación y Control de Riesgos 3. Análisis del Impacto al Negocio 4. Desarrollo de Estrategias de Continuidad del Negocio 5. Preparación y Respuesta de Emergencias 6. Desarrollo e Implementación de BCP 7. Programas de Concientización y Entrenamiento 8. Ejercicio, Auditoría y Mantenimiento del BCP 9. Comunicación de Crisis 10. Coordinación con Dependencias Externas Hacia dónde vamos en Resiliencia? 39 40 10
Reflexión Formación y entrenamiento Resiliencia en Cadenas de Suministro Competitividad Reducción de Costos Manejo del Cambio El pesimista se queja del viento; el optimista espera que cambie; el realista ajusta las velas. William George Ward 41 42 Servicios a su disposición Entrenamiento en ISO 22301 y DRII ISO 31000 / RIMS / COSO ERM Auditoría de Madurez en ERM Entrenamiento en ISO 31000 /31004/31010 Asesoría en Gerencia de Continuidad del Negocio (BCM) Asesoría en el Plan de Comunicación y Manejo de Crisis Inspección y Análisis de Riesgos Disruptivos Auditoría de Madurez en BCM ISO 22301 / BCMM / DRII Asesoría en Gerencia Estratégica de Riesgos (ERM) Asesoría en Gerencia de Riesgos en Proyectos (RPM) Inspección y Análisis de Riesgos Operativos Gracias! Jorge Mario Gómez J. MBA, MBCP, MBCI Jorgemario.gomez@willis.com Cel: 57-3105002044 43 44 11