De los sistemas ISO aislados a una única infraestructura operativa inteligente

Durante años, las organizaciones han aplicado las normas ISO como disciplinas de gobernanza independientes, gestionadas por equipos distintos dentro de ámbitos operativos separados.

Los equipos de calidad se encargaban de la norma ISO 9001. Los departamentos de medio ambiente, salud y seguridad (EHS) se ocupaban de las normas ISO 14001 e ISO 45001. El departamento de TI gestionaba la norma ISO 27001. Los equipos de cumplimiento normativo se encargaban de la norma ISO 37301. Las iniciativas energéticas se desarrollaban en torno a la norma ISO 50001. Los equipos de seguridad alimentaria o de dispositivos médicos mantenían las normas ISO 22000 o ISO 13485 de forma independiente entre sí y, en gran medida, al margen de las demás disciplinas de gestión que operaban en paralelo.

La lógica parecía sólida. Cada norma se centraba en un ámbito operativo específico. Cada una requería conocimientos especializados, procesos específicos y estructuras de gobernanza propias de ese ámbito. Separarlas permitía que cada disciplina se centrara en sus propios requisitos sin la complejidad ni los costes adicionales que conlleva la integración interdisciplinar.

Sin embargo, con el paso del tiempo, este modelo de implementación dio lugar a algo que ningún equipo en particular había previsto y que la mayoría de las organizaciones no reconocieron plenamente hasta que las consecuencias operativas se hicieron imposibles de ignorar.

Esto dio lugar a un panorama de gobernanza fragmentado, compuesto por sistemas inconexos, controles que se solapan, flujos de trabajo duplicados y estructuras de responsabilidad operativa aisladas, lo que impide a la organización ver con la claridad suficiente su propia realidad operativa como para gestionarla de forma eficaz.

Esa fragmentación se está convirtiendo ahora en uno de los riesgos operativos más importantes a los que se enfrentan las grandes empresas. No porque ningún sistema de gobernanza concreto sea inadecuado, sino porque los riesgos operativos que esos sistemas están diseñados para gestionar ya no se limitan a los límites que dichos sistemas fueron concebidos para regular.

La promesa original de la ISO era el control operativo

Todas las normas de gestión ISO se diseñaron originalmente en torno al mismo principio estratégico fundamental, expresado de forma diferente en los distintos ámbitos, pero que, en esencia, es idéntico en su lógica de gobernanza.

Crear un sistema de gobernanza estructurado para que el comportamiento operativo sea coherente y responsable. Reducir la variabilidad operativa para que los resultados que la organización pretende obtener sean los que realmente obtiene. Mejorar la trazabilidad para que, cuando surjan problemas, la organización pueda comprender el motivo, corregir la causa y evitar que se repitan. Facilitar la mejora continua para que el modelo de gobernanza sea cada vez más eficaz con el paso del tiempo, en lugar de permanecer estático entre ciclos de certificación.

Ya sea en materia de calidad, seguridad, ciberseguridad, seguridad alimentaria, gestión energética o cumplimiento normativo, el objetivo para el que se diseñó cada norma ISO era el mismo: establecer un control operativo mediante sistemas de gestión estructurados que conecten la intención de la dirección con la realidad operativa.

Ese objetivo sigue siendo tan relevante hoy como lo era cuando se elaboró cada norma por primera vez. Lo que ha cambiado no es el objetivo, sino el entorno operativo en el que esos sistemas de gestión deben alcanzarlo.

Los entornos operativos modernos ya no permiten que los objetivos de gobernanza se traduzcan en realidad operativa a través de sistemas de gestión independientes que, en ocasiones, comparten información. La realidad operativa que esos sistemas deben regular se ha vuelto demasiado interconectada, dinámica y compleja como para que las disciplinas de gobernanza aisladas puedan mantener el control que sus normas estaban destinadas a garantizar.

El coste oculto de la gobernanza fragmentada

La mayoría de las organizaciones no se dan cuenta de inmediato de la fragmentación de la gobernanza, ya que cada sistema por separado parece funcionar correctamente cuando se evalúa de forma aislada.

Las auditorías se completan con éxito y arrojan resultados aceptables. Las medidas correctivas se supervisan a través de los sistemas de gobernanza y se dan por concluidas de manera formal. Las políticas se aprueban y se mantienen en los sistemas de gestión documental. Los paneles de control generan informes que confirman que se están llevando a cabo actividades de gobernanza en cada ámbito. Se mantiene el estado de certificación en todas las normas aplicables. Las distintas funciones de gobernanza están desempeñando sus responsabilidades de forma competente y coherente.

Sin embargo, más allá de esta imagen superficial del rendimiento de la gobernanza a nivel de ámbito, la visibilidad operativa se está debilitando gradualmente de formas que ninguna función de gobernanza por sí sola puede detectar desde su propio punto de vista, ya que las lagunas de visibilidad se dan entre las funciones, y no dentro de ellas.

Un deterioro en el rendimiento de la calidad de un proveedor, identificado a través de los procesos de gestión de la calidad, genera un riesgo para la seguridad alimentaria antes de que el sistema de gestión de la seguridad alimentaria se haya actualizado para reflejar el nuevo perfil de riesgo del proveedor. La investigación de un incidente de seguridad revela una inestabilidad en los procesos operativos que también está generando riesgos de incumplimiento normativo y medioambientales, de formas que ni el equipo de seguridad ni los equipos de cumplimiento normativo o medioambiental pueden detectar desde sus propios sistemas de gobernanza. Una desviación en la eficiencia energética revela un deterioro del rendimiento de los equipos que, al mismo tiempo, afecta a la calidad de la producción y genera un riesgo de seguridad en el mantenimiento que los sistemas de gestión de la energía, la calidad y la seguridad solo perciben parcialmente desde su propia perspectiva. Un incidente de ciberseguridad pone de manifiesto vulnerabilidades en la tecnología operativa que tienen implicaciones para la seguridad, la continuidad operativa y el cumplimiento normativo, y para las que el SGSI no fue diseñado para conectarse con los demás sistemas de gestión que deben responder.

Cada señal llega a una función de gobernanza. Cada función de gobernanza responde dentro de su propio dominio. Ninguna de las funciones tiene visibilidad del patrón completo que revelan las señales combinadas, ya que la arquitectura de gobernanza se diseñó para el aislamiento de dominios y no para la inteligencia entre dominios.

A la organización no le falta gobernanza. Lo que le falta es la coordinación entre las señales de gobernanza que, en conjunto, revelan realidades operativas que ningún sistema de gobernanza por sí solo puede percibir de forma independiente.

La complejidad operativa tiende a ser similar en todas las disciplinas

El modelo de aislamiento de la gobernanza, que ha funcionado adecuadamente para las organizaciones en entornos operativos más sencillos, está cada vez más desfasado con respecto a la realidad operativa a la que se enfrentan realmente las empresas modernas.

La exposición operativa ha ido convergiendo en las distintas disciplinas de gobernanza de tal manera que las fronteras entre ellas resultan cada vez más artificiales como conceptos de gobernanza y cada vez más trascendentales como puntos ciegos operativos.

Un fallo de calidad genera un riesgo de incumplimiento normativo cuando implica obligaciones de información reglamentaria, requisitos de trazabilidad o implicaciones en materia de responsabilidad por productos defectuosos que se extienden simultáneamente a múltiples jurisdicciones. Un incidente cibernético afecta a la continuidad operativa cuando incide en los sistemas de fabricación, la integración de la cadena de suministro o la infraestructura de planificación de recursos empresariales de tal forma que, además del impacto inmediato en la seguridad de la información, genera consecuencias en materia de calidad, seguridad y medio ambiente. Un incidente de seguridad pone de manifiesto la inestabilidad de los procesos, lo que genera implicaciones en materia de calidad, cumplimiento normativo y, potencialmente, medioambientales, que requieren una respuesta coordinada entre múltiples funciones de gobernanza, en lugar de una investigación aislada dentro del sistema de gestión de la seguridad. La exposición a riesgos medioambientales afecta cada vez más a la confianza de los inversores y a las relaciones de la cadena de suministro, de tal forma que se generan consecuencias financieras, comerciales y operativas que se extienden mucho más allá del ámbito de gobernanza del propio sistema de gestión medioambiental. La inestabilidad energética influye directamente en el rendimiento operativo de formas que generan simultáneamente implicaciones en la calidad de la producción, la estructura de costes y el medio ambiente.

Esta convergencia no es una situación operativa temporal que los sistemas de gobernanza individuales más sofisticados puedan llegar a gestionar de forma independiente. Se trata de una característica estructural de los entornos operativos modernos que refleja la creciente interconexión entre las cadenas de suministro, los marcos normativos, los sistemas tecnológicos y las expectativas de las partes interesadas, y que define el modo en que funcionan realmente las grandes organizaciones.

Por lo tanto, el futuro de la gobernanza empresarial no consiste en crear mejores sistemas de gestión individuales para cada norma ISO.

Se trata de coordinar la información que todos ellos generan para ofrecer una visión operativa unificada que permita a la organización conocer y gestionar su realidad operativa real, en lugar de la versión fragmentada a nivel de dominio que ofrecen los sistemas de gestión aislados.

La transición de la gestión del cumplimiento normativo a la inteligencia operativa

Es aquí donde las organizaciones líderes están empezando a transformar su arquitectura de gobernanza de una forma que supone un cambio estratégico fundamental, más que una mejora gradual del rendimiento de cada uno de los sistemas de gobernanza.

En lugar de considerar las normas ISO como marcos de cumplimiento aislados que, en ocasiones, necesitan compartir información, las organizaciones líderes las están transformando en una arquitectura de gobernanza operativa interconectada, en la que la información que genera cada norma alimenta continuamente al resto.

La norma ISO 9001 se convierte en inteligencia operativa en materia de calidad que aporta indicadores de calidad a la evaluación de riesgos, las medidas correctivas y la supervisión de la dirección en toda la empresa, en lugar de limitarse a gestionar el cumplimiento de los requisitos de calidad dentro de la función de gestión de la calidad. La norma ISO 14001 se convierte en inteligencia operativa medioambiental que vincula la exposición medioambiental con las decisiones operativas, la gobernanza de la cadena de suministro y la gestión de riesgos de la empresa, en lugar de limitarse a mantener el cumplimiento de las normas medioambientales dentro de la función de gestión medioambiental. La norma ISO 45001 se convierte en inteligencia sobre seguridad laboral que influye continuamente en las decisiones operativas, la gobernanza de los contratistas y la planificación de la producción, en lugar de limitarse a gestionar los incidentes de seguridad y las inspecciones dentro de la función de gestión de la seguridad. La norma ISO 27001 se convierte en inteligencia operativa cibernética que orienta la gestión de riesgos de la empresa, la planificación de la continuidad operativa y la gobernanza de terceros, en lugar de gestionar los controles de seguridad dentro de la función de seguridad informática. La norma ISO 50001 se convierte en inteligencia operativa energética que impulsa las decisiones operativas, la planificación de la producción y la gobernanza de la sostenibilidad, en lugar de informar sobre el consumo energético dentro de la función de gestión energética. La norma ISO 37301 se convierte en inteligencia operativa de gobernanza que supervisa continuamente la exposición normativa en todas las jurisdicciones y procesos operativos, en lugar de limitarse a gestionar la documentación de cumplimiento dentro de la función de cumplimiento normativo.

En conjunto, estos sistemas ya no funcionan como capas de cumplimiento aisladas que confirman la actividad de gobernanza específica de cada ámbito. Se convierten en una única capacidad de inteligencia operativa coordinada que genera, conecta y actúa de forma continua sobre las señales que determinan si la organización tiene realmente el control de su realidad operativa.

Por qué la orquestación lo cambia todo

El verdadero reto al que se enfrentan las empresas modernas ya no es la falta de datos sobre gobernanza ni la insuficiencia de los sistemas de gestión individuales.

Se trata de la falta de una visibilidad operativa conectada entre las señales de gobernanza, que existen de forma independiente en sistemas que nunca se diseñaron para intercambiar información entre sí.

Las organizaciones ya cuentan con auditorías, inspecciones, flujos de trabajo de CAPA, evaluaciones de riesgos, procedimientos, cuadros de mando y pruebas de cumplimiento en múltiples ámbitos de gobernanza. La inversión en infraestructura de gobernanza es considerable y la actividad de gobernanza que sustenta es real. Lo que cada vez resulta más complicado para las organizaciones es comprender cómo las señales generadas por cada sistema de gobernanza influyen en la realidad operativa de los demás y qué revela el patrón combinado de esas señales sobre la exposición operativa a nivel de toda la empresa, algo que ningún sistema por sí solo puede detectar.

Es aquí donde la coordinación adquiere una importancia estratégica fundamental, de una forma que ninguna mejora en el rendimiento de los sistemas de gobernanza individuales puede igualar.

Cuando los resultados de las auditorías de cualquier ámbito de gobernanza influyen de forma dinámica en los niveles de exposición de la empresa en todos los procesos relevantes de gestión de riesgos, los patrones operativos sistémicos se hacen visibles mucho antes de que cualquier sistema de gobernanza específico de un ámbito pueda detectarlos de forma independiente. Un patrón que resulta invisible cuando los resultados de las auditorías de calidad, seguridad y cumplimiento se gestionan en sistemas separados se hace claramente visible cuando dichos resultados se conectan en una única arquitectura de gobernanza.

Cuando los flujos de trabajo correctivos validan la eficacia de forma continua en múltiples ámbitos de gobernanza, en lugar de limitarse a confirmar el cierre administrativo dentro de sistemas individuales, el aprendizaje organizativo se acelera de formas que se potencian en toda la arquitectura de gobernanza. Una lección aprendida en la gestión de la calidad influye en la gobernanza de la seguridad. Una medida correctiva resuelta en la gestión medioambiental influye en la gobernanza energética. La organización va adquiriendo cada vez más conocimiento sobre sus propias vulnerabilidades operativas, en lugar de resolverlas repetidamente de forma aislada en distintos sistemas de gobernanza.

Cuando los procedimientos operativos regulados mediante la gestión documental evolucionan continuamente, al mismo tiempo que se producen cambios operativos, normativos y medioambientales en todos los ámbitos de forma simultánea, la gobernanza se mantiene alineada con la realidad operativa, en lugar de limitarse a describir las configuraciones históricas que regían en cada ámbito en el momento de su última revisión programada de la documentación.

En ese momento, la gobernanza deja de funcionar como una administración fragmentada que se limita a verificar el cumplimiento a nivel de ámbito. Se convierte en una ejecución empresarial coordinada que regula de forma continua la realidad operativa que la organización está creando realmente.

El auge del coordinador inteligente de QHSE

Esta evolución hacia una gobernanza coordinada define la próxima generación de la gestión operativa empresarial y representa un enfoque fundamentalmente diferente de la finalidad para la que se ha diseñado una plataforma de gobernanza.

Las organizaciones que lideran esta transición no buscan otra herramienta de gestión desconectada que gestione de forma aislada un ámbito más de gobernanza. No buscan otro módulo ISO aislado que mejore el cumplimiento normativo a nivel de ámbito sin conectarse con los demás ámbitos que generan señales que, en conjunto, definen la exposición operativa de la empresa. No buscan otra capa de generación de informes que consolide la actividad histórica de gobernanza procedente de sistemas independientes en un panel unificado que permanezca tan desconectado de la realidad operativa como los propios sistemas que agrega.

Buscan una estructura operativa centralizada y regulada, capaz de coordinar de forma continua la evaluación de riesgos, los programas de auditoría, las medidas correctivas, la gobernanza del cumplimiento normativo, la gestión de la seguridad, la información sobre calidad, la supervisión medioambiental y el rendimiento energético en todas las instalaciones, unidades de negocio y jurisdicciones, dentro de una arquitectura conectada que considere la gobernanza empresarial como una disciplina operativa integrada, en lugar de como un conjunto de obligaciones de cumplimiento normativo en ámbitos independientes.

Se trata de la evolución de una gestión del cumplimiento reactiva hacia la inteligencia operativa, y representa un punto de inflexión estratégico para aquellas organizaciones que reconocen que el modelo de gobernanza que les ha servido en entornos operativos más sencillos está llegando al límite de lo que puede ofrecer en los entornos interconectados, complejos y en rápida evolución en los que operan actualmente.

Es aquí donde el papel de plataformas como Bizzmine cambia radicalmente.

Bizzmine no está diseñado para gestionar de forma más eficiente flujos de trabajo de gobernanza aislados dentro de ámbitos de cumplimiento concretos. Está diseñado para coordinar la propia gobernanza empresarial, conectando las señales, los procesos, la responsabilidad y la información que actualmente se encuentran en sistemas de gobernanza independientes, y integrándolos en una estructura operativa central que gestiona de forma continua la exposición real de la empresa, en lugar de limitarse a verificar las actividades de cumplimiento a nivel de cada ámbito.

De múltiples estándares a un único sistema operativo

Las organizaciones que sigan gestionando las normas ISO como disciplinas de gobernanza independientes se enfrentarán a consecuencias operativas cada vez mayores derivadas de la fragmentación que genera ese modelo, a medida que sus entornos operativos se vuelvan más complejos y estén cada vez más interconectados.

Seguirán pasando por alto los patrones transversales que representan sus riesgos operativos más significativos, ya que cada patrón solo es visible para la función de gobernanza, que solo ve una parte del mismo, en lugar de para la dirección de la empresa, que necesita tener una visión global. Seguirán duplicando los esfuerzos de gobernanza entre las distintas funciones, ya que cada disciplina mantiene sus propias evaluaciones de riesgos, procesos de medidas correctivas y estructuras de gestión documental sin conectarse con las demás que abarcan el mismo ámbito operativo desde una perspectiva de dominio diferente. Seguirán experimentando los puntos ciegos de la gobernanza que se forman precisamente en las intersecciones entre los dominios de gobernanza, que son, cada vez más, los lugares donde se desarrollan los riesgos operativos más graves.

Las organizaciones que coordinen las disciplinas de la ISO como un único sistema de gobernanza operativa interconectado obtendrán algo fundamentalmente diferente de la simple suma de un mejor cumplimiento individual de cada norma.

Adquirirán la capacidad de ver su propia realidad operativa con la claridad suficiente como para gestionarla. Adquirirán la capacidad de detectar los patrones transversales que representan sus riesgos empresariales más significativos antes de que dichos patrones tengan consecuencias operativas. Obtendrán una arquitectura de gobernanza que se vuelve progresivamente más eficaz a medida que aumenta la complejidad operativa, en lugar de fragmentarse cada vez más. Obtendrán una supervisión continua de la exposición de la empresa, el rendimiento operativo y la resiliencia organizativa que ningún conjunto de sistemas de gobernanza aislados, por muy bien gestionados que estén individualmente, puede proporcionar.

En entornos empresariales cada vez más complejos, esa inteligencia de gobernanza conectada de forma continua no es simplemente una de las ventajas operativas más importantes que una organización puede desarrollar.

Cada vez más, constituye la base sobre la que se sustenta el auténtico control operativo.