Auditoría & Co

No cabe duda que seguimos viviendo tiempos complejos donde los eventos extraordinarios cada vez están convirtiéndose en acontecimientos habituales. Más allá de la pandemia, hemos vivido en las últimas semanas otros ejemplos de disrupciones, tales como la nevada del siglo en España u otro tipo de fenómenos inesperados que pueden impactar en el normal funcionamiento de las compañías. Para todo ello, obviamente, existen planes de continuidad de negocio. Lo cierto es que muchos de ellos no llegan a constituir un propio Sistema de Gestión de Continuidad, que va más allá de soluciones tácticas y/o reactivas.

Como bien dice el refrán, “más vale prevenir que curar”. Y esta expresión también debe ser un mantra para las compañías en estos tiempos tan convulsos.

¿Cuáles son algunas de las carencias de los sistemas de continuidad de negocio actuales?

Resumimos a continuación algunas debilidades identificadas desde nuestro punto de vista que consideramos que deberían revisarse en el contexto actual:

  • La falta de alineación de los sistemas de gestión de continuidad de negocio con la velocidad de los cambios (personas, procesos, ubicaciones y socios) en la organización. Las organizaciones son cada vez más complejas desde el punto de vista de los procesos empresariales y la tecnología, lo que hace que la recuperación sea también mucho más compleja. Los planes de recuperación no siempre están actualizados ni probados o testeados con frecuencia suficiente, y si esto se combina con muchos cambios, una recuperación es muy improbable que acabe con éxito.
  • La inversión insuficiente en la continuidad de negocio, que exige esfuerzos para evaluar la criticidad de los procesos, la réplica de las funciones de negocio en otros formatos y ubicaciones , la documentación y las pruebas de los planes, la puesta en marcha de estrategias de recuperación, etc. Por tanto, la organización debe invertir en la creación de un sistema de gestión de riesgos efectivo.
  • Cambios en los procesos de negocio y sistemas informáticos sin considerar la resiliencia como un factor clave. Estos cambios suelen producirse por causas tales como el aumento de los volúmenes, las integraciones o el incremento de los requisitos normativos. A medida que se producen estos cambio, los procesos y las tecnologías normalmente no se actualizan para gestionar eficientemente los impactos. Se vuelven más complejos y frágiles porque no están diseñados para ser resilientes.
  • La falta de prioridad en la continuidad de negocio. Históricamente, este asunto no ha constituido una gran prioridad para los ejecutivos, a menos que el modelo de negocio (por ejemplo, aerolíneas, servicios públicos), la ubicación (por ejemplo, zona de terremotos) o los reguladores lo exigiesen o se produjese un acontecimiento perturbador que lo convirtiera en una necesidad.
  • La dificultad en las organizaciones para rastrear y analizar eventos operativos que ocurren todos los días, con poca o ninguna visibilidad de los problemas sintomáticos, o frecuencia o magnitud de la exposición al riesgo.
  • Falta de enfoque proactivo que conllevan a un empeoramiento de los acontecimientos simplemente por no estar preparados para gestionar la crisis. La mala gestión de una crisis puede provocar impactos adicionales y, en algunos casos, como la lentitud de la respuesta o la confusión sobre las funciones de recuperación, puede empeorar la crisis, perjudicar a los empleados, aumentar los costes y dañar aún más la reputación de la empresa.

Claves “aterrizadas” para mantener un Sistema de Gestión de Continuidad de Negocio efectivo

Las organizaciones deben pasar de la mera planificación de la continuidad de negocio a la resiliencia: de un enfoque reactivo- el desarrollo de planes para hacer frente o recuperarse de una interrupción, o recuperar los sistemas informáticos interrumpidos- a un enfoque proactivo de resiliencia empresarial capaz de desarrollar procesos empresariales, operaciones, sistemas y otros aspectos para que la organización “se doblegue pero no se rompa”, por así decirlo. La resiliencia de negocio incluye el desarrollo de prácticas, asociaciones, personas y activos resilientes.

Desde KPMG, hemos identificado algunas buenas prácticas para mantener un Sistema de Gestión de Continuidad Resiliente:

  • Darle a la continuidad de negocio la prioridad que merece desde los órganos de gobierno y la alta dirección y abarcando a toda la organización como viene siendo habitual en los sistemas de gestión de riesgos y controles de cualquier naturaleza. El proceso de revisión debería ser un proceso Top Down y Bottom up. Debería reportarse las conclusiones de su revisión con la periodicidad y el alcance que se defina en el plan anual de trabajo sobre este asunto. Esto también conlleva a una gestión del cambio que debe impulsarse a través de acciones formativas, focus group, etc.
  • Establecer un presupuesto razonable para el desarrollo y mantenimiento de la continuidad de negocio. Es importante realizar un análisis del sistema de continuidad de negocio para poder estimar dónde estará el foco de los esfuerzos a realizar periódicamente. Para ello recomendamos hacer un gap análisis y diagnóstico que permita identificar las áreas de criticidad a revisar en un plan plurianual.
  • No olvidar la documentación tales como la política, manuales, etc sobre todo porque establecen roles y responsabilidades, actuaciones concretas, etc. que en un sistema de gestión como éste es más relevante si cabe.
  • Disponer de un sistema de gestión de riesgos efectivo con foco en los riesgos operativos y estratégicos que pueden conllevar a la falta de continuidad de negocio. En general, por nuestra experiencia, normalmente las organizaciones disponen de un mapa de riesgos empresarial y posteriormente desarrollan sistemas de gestión de riesgos de dominios específicos. Muchas veces, estos mapas están focalizados en el ámbito de SCIIF o cumplimiento normativo, más que en los riesgos operativos, que muchas veces quedan en manos de la primera línea de defensa.
  • Disponer de herramientas GRC de continuidad de negocio específicas que puedan identificar, documentar y trazar los eventos operativos, desde la identificación de procesos críticos, hasta la identificación de riesgos específicos, los análisis de impactos (BIAs), escenarios, planes de respuesta, etc. Es fundamental disponer de estas herramientas, que siempre decimos que son un medio, no un fin, pero que sin ellas es muy complicado gestionar a mano todo un sistema como éste, que por su particularidad, implica a muchísimas áreas de la organización.
  • Monitorización continua del sistema de gestión de continuidad de negocio. Esto implica una supervisión efectiva que recomendamos que se realice a través de testeos periódicos del sistema de gestión de continuidad de negocio. En estos casos, suele ser recomendable que esa supervisión se realice por una función independiente dentro de la organización como podría ser auditoría interna o con apoyo de consultoras externas expertas en estos sistemas. Así se podrá asegurar, entre otras cosas, que los planes de recuperación están actualizados y probados.

En conclusión

Los Sistemas de Gestión de Continuidad de Negocio están ahora mismo en el punto de mira de todas las organizaciones. Es importante revisar estos sistemas de gestión e identificar las áreas de especial atención en cada organización. Esto pasa muchas veces por hacer un buen diagnóstico a alto nivel que permita identificar con respecto a buenas prácticas más allá de la ISO 22301 y otras relacionadas, aquellas áreas de preocupación de su continuidad de negocio que puedan ser susceptibles de mejora para convertir el plan de continuidad de negocio en un sistema de gestión de la continuidad de negocio resiliente. Sigamos repitiendo el mantra de mi abuela: “más vale prevenir que curar” y avancemos en esto.

Yolanda Pérez

Yolanda Pérez es Senior Manager del área de Auditoría Interna, Riesgos y Cumplimientos (IARCS) en el departamento de Consulting Corporates de KPMG España. Yolanda cuenta con gran experiencia en gobierno corporativo, control interno y gestión de riesgos, así como en auditoría interna y externa.