Durante mi viaje a Chile para trabajar en un proyecto de optimización de la Gestión de Servicios IT en la mina de cobre más grande del mundo, me enfrenté a una situación muy especial: El proyecto comenzó por analizar la situación actual, leer toneladas de documentación, contratos, SLA’s y políticas corporativas, después de “visitar el Gemba”, e ir a la mina para contrastar en el terreno tanto la situación como las sensaciones que tenían los responsables de las plantas de procesamiento al respecto de los servicios IT que recibían. El siguiente paso fue realizar entrevistas con los distintos responsables de la entrega de servicios, donde entendimos su situación, sus preocupaciones, sus limitaciones y sus ilusiones y finalmente llegaba la hora de realizar todo un paquete de recomendaciones que debía ser entregada y presentada a la alta dirección IT y a su equipo de gestores.
Mientras pensaba en cómo se debía estructurar este trabajo, me di cuenta de que una presentación tradicional no surtiría efecto. Al visitar la mina, me di cuenta de que esta era una empresa con una fortísima cultura de control del riesgo, donde todos los trabajadores velaban por la seguridad (en el sentido safety que dirían los anglosajones) y donde un discurso tradicional no calaría.
Por esta razón, decidí estructurar todo el discurso alrededor del concepto de riesgo, en el sentido en el que todas las acciones que hacemos para gestionar servicios (en la entrega) no se hacen por el propio gozo de hacerlas, sino que se hacen para mitigar las consecuencias de unos servicios IT pobremente ofrecidos al cliente.
A la hora de abordar esta nueva forma de explicar y justificar el plan de acción, mi obsesión no fue cuantificar el riesgo, ni analizar el triplete activos – amenazas – vulnerabilidades, como hubiera hecho si el encargo realizado por el cliente hubiera sido un análisis de riesgos o quizás un plan de continuidad. Estamos en el escenario en el que el cliente ha solicitado un plan de mejora de la gestión de servicios, con foco en los servicios críticos, así que preferí optar por un esquema CAUSA –> CONSECUENCIA.
¿Cuáles son las consecuencias de la indisponibilidad de un servicio crítico en la mina?
La respuesta es fácil, aunque muy dura: muerte de trabajadores y elevadísimas pérdidas económicas. Es más, dado el compromiso de la compañía con la seguridad, para mitigar la posible muerte de los trabajadores, las pérdidas económicas son aún mayores.
Sólo por poner un ejemplo, cuando el servicio TI “Circuito Cerrado de Televisión” falla, se detiene la producción (para evitar posibles muertes por accidente) y en ese momento se comienzan a cuantificar las pérdidas económicas en la dolorosa cifra de 50.000 US$ por minuto de parada (en una planta, únicamente. Si la afectación es global hablamos de millones por minuto).
Y este fue el nacimiento de la idea del Risk Based Service Management, una herramienta metodológica mediante la que podemos entender cómo la Gestión de Servicios actúa de barrera de contención entre las causas de la entrega pobre de servicios y sus consecuencias.
Para ello utilizamos BowTie, una metodología heredada de la gestión de riesgos con origen en las industrias del sector Oil&Gas (fuertemente potenciada por Shell) que permite básicamente representar un evento concreto en el cual perdemos el control de la actividad que estamos realizando como “Business as Usual”, las causas de esta pérdida de control, sus consecuencias y las barreras que se establecen para evitarlo.
Siguiendo este esquema, lo que separa, por ejemplo, la ocurrencia de un evento principal de pérdida de disponibilidad de un servicio crítico de una consecuencia como pueda ser la pérdida económica son precisamente aquellas prácticas de ITSM que tenemos en marcha en nuestra organización, como pueden ser la correcta asignación de roles y responsabilidades mediante matrices RACI, la utilización de material de respuesto y su almacenamiento en DHS cercanos a los puntos de consumo del servicio, la existencia de planes de mantenimiento preventivo o la propia gestión de cambios.
La combinación de la potencia de las metodologías de Gestión de Servicios junto a esta nueva perspectiva en la cual vemos las causas y las consecuencias permite dar una visibilidad mucho más clara de por qué son necesarias las actividades de gestión de servicios, de la fortaleza o debilidad de cada una de estas actividades en relación a su comportamiento como barrera o la planificación de nuevas iniciativas con una justificación clara en términos de consecuencias.
En definitiva, aquello que hemos denominado Risk Based Service Management es una perspectiva adicional, que facilita la difusión, el seguimiento, la comprensión y el análisis de las actividades de la gestión de servicio desde el punto de vista de los riesgos que asume el Negocio al apoyarse en servicios IT que deben ser correctamente gestionados.