La introducción de la norma ISO 22301 (Seguridad social - Requisitos - Sistema de gestión de la continuidad de las actividades) alinea más estrechamente la continuidad de las actividades con la disciplina más amplia de la gestión de riesgos. A ello contribuye en gran medida el requisito de la norma de conocer el "apetito de riesgo" de la organización (término que no se utiliza en la norma BS 25999).

La definición de apetito por el riesgo de la norma ISO 22301 (Sección 3.49) es la "cantidad y tipo de riesgo que una organización está dispuesta a perseguir o retener". La norma hace referencia a la propensión al riesgo en dos secciones:

Además, los autores del documento de orientación que respalda la norma ISO 22301, titulado ISO DIS 22313, hacen una referencia adicional a la propensión al riesgo en la sección centrada en el establecimiento del contexto para el sistema de gestión de la continuidad de las actividades:

Los profesionales de la continuidad de la actividad (o los encargados de la planificación de la continuidad de la actividad) que deseen alinearse con la norma ISO 22301 o obtener la certificación correspondiente deben comprender el concepto de apetito de riesgo y abordar los requisitos descritos anteriormente.

Nota: el propósito de este artículo no es ofrecer una comprensión detallada y teórica del apetito de riesgo, ya que otros libros blancos y fuentes de información ya lo hacen, sino más bien introducir el concepto a los profesionales de la continuidad de negocio y ofrecer una visión sobre el aprovechamiento y la "implementación" de este concepto en nuestra profesión.

La relación entre el apetito por el riesgo y la continuidad de las actividades
Creemos que quienes contribuyeron a la ISO 22301 integraron el concepto de apetito de riesgo ("cantidad y tipo de riesgo que una organización está dispuesta a perseguir o retener") en una norma de sistema de gestión de continuidad de negocio por dos razones clave:

  1. Las organizaciones deben considerar que el apetito de riesgo lo abarca todo, incorporando todas las áreas de riesgo, incluidos los riesgos relacionados con la continuidad del negocio asociados a incidentes perturbadores; y
  2. Utilizar el apetito por el riesgo para delimitar y respaldar adecuadamente un sistema de gestión de la continuidad de la actividad ayuda a alinear la continuidad de la actividad con la estrategia organizativa y otros esfuerzos de gestión de riesgos, permitiendo que la continuidad de la actividad se integre mejor en una gestión de riesgos más amplia.

Además, cuando se hace correctamente, la propensión al riesgo se convierte en una aportación importante al alcance y los objetivos de un sistema de gestión de la continuidad de las actividades (y puede solaparse significativamente con ellos).

Claves para determinar el apetito de riesgo
Como se ha señalado anteriormente, existen muchas fuentes de información que describen el concepto de apetito de riesgo y el mejor enfoque para determinar el apetito de riesgo de una organización. Riskonnect analizó estas fuentes para comprender mejor cómo ayudar a nuestros clientes a determinar y documentar de la forma más eficaz su apetito por el riesgo en lo que respecta a la planificación de la continuidad de las actividades, así como a integrar el concepto en nuestro propio programa de continuidad de las actividades (ya que estamos realizando la transición de BS 25999-2 a ISO 22301 en nuestra organización). Una de las fuentes más valiosas que hemos encontrado es un libro blanco publicado por el Instituto de Gestión de Riesgos (IRM)que introdujo una serie de factores de "diseño" que los autores consideraron clave para determinar la propensión al riesgo. A continuación se parafrasean tres de estos factores de diseño, o consideraciones, que, en nuestra opinión, ayudan a comprender y determinar mejor la propensión al riesgo:

  1. El apetito de riesgo de una organización es -o debería ser- medible
  2. La aceptabilidad del riesgo debe tener una consideración temporal, para garantizar una revisión periódica (dados los cambios organizativos y del entorno).
  3. La aceptación del riesgo no debe tener nada que ver con la relajación de los controles (tratamientos del riesgo)

Dicho esto, y en nuestra opinión, algunas de las fuentes de información -distintas de la dirección ejecutiva- que las organizaciones deberían evaluar a la hora de determinar la propensión al riesgo incluyen:

  • Informes anuales y estados financieros
  • Contratos con clientes
  • Requisitos reglamentarios
  • Planes estratégicos empresariales
  • Material de marketing
  • Actas del Consejo de Administración

Aunque no vamos a entrar en más detalles sobre la determinación de la propensión al riesgo, quienes busquen información adicional deberían consultar lo siguiente:

Ejemplo - Apetito de riesgo en Riskonnect
En la transición de BS 25999-2 a ISO 22301, tuvimos que entender cómo el apetito de riesgo pertenece a nuestro sistema de gestión de la continuidad del negocio, dado que este es un nuevo requisito formalizado necesario para la certificación. Utilizando la orientación y el enfoque descritos en la sección anterior de este artículo, documentamos nuestro resumen de apetito de riesgo de la siguiente manera:

En 2012, estamos dispuestos a tolerar una cantidad finita de tiempo de inactividad siempre que no dé lugar a lo siguiente:

  1. Reputación dañada entre nuestros clientes que conduce a una percepción negativa más amplia del mercado.
  2. Incumplimiento de los acuerdos de nivel de servicio específicos para el Portal de Planificación y Riskonnect
  3. Pérdida financiera superior a $50.000
  4. Retrasos en los proyectos de más de tres días por interrupción de recursos y pérdida de datos

Con el fin de alinear nuestro programa de continuidad de negocio existente con esta declaración relativa a la propensión al riesgo, la dirección de Riskonnect tiene la intención de dotar de personal y recursos adecuados a nuestro sistema de gestión de continuidad de negocio para minimizar el tiempo de inactividad de la manera más eficiente y pragmática posible.

Como se ha señalado anteriormente en este artículo, esta afirmación se ajusta a las consideraciones de diseño del IRM, en concreto:

  • Se ajusta a nuestros productos y servicios, así como a las prioridades estratégicas de nuestra organización, y por tanto al alcance de nuestro sistema de gestión de la continuidad de las actividades.
  • Ofrece métodos cuantificables para medir el riesgo
  • Observa un elemento temporal (2012)
  • Señala dónde nuestro equipo directivo acepta un nivel de riesgo, lo que libera recursos para mejorar nuestro negocio, servicios y tecnología, así como para invertir en nuestra gente.
Programe su demostración

Conclusiones
La propensión al riesgo es un concepto importante que incluye elementos estratégicos, operativos y tácticos, todos los cuales influyen en el éxito de la implantación y la mejora continua de un sistema de gestión de la continuidad de las actividades. Considerar el apetito de riesgo como parte de la planificación de la continuidad de la actividad permite que ésta se alinee más estrechamente con los esfuerzos de gestión de riesgos, permitiendo que los esfuerzos de continuidad de la actividad se centren principalmente en los riesgos que la dirección no está dispuesta a aceptar en relación con productos, servicios, procesos empresariales y recursos importantes (todos los cuales una organización debe documentar claramente dentro de su apetito de riesgo). La comprensión de los límites -basados en un nivel aceptable de riesgo- introduce concentración y claridad en la planificación, lo que se traduce en mayores niveles de eficacia y eficiencia en la protección de las actividades más críticas o sensibles al tiempo de una organización.

Además, considerar la propensión al riesgo en el contexto de la planificación de la continuidad de la actividad debería ayudar a la dirección a enmarcar la continuidad de la actividad en relación con la forma en que ya piensan sobre el tema más amplio de los riesgos para la organización, siendo el riesgo de incidentes perturbadores sólo uno de los factores a tener en cuenta. Alinear el esfuerzo de continuidad de negocio con la forma en que la dirección ya piensa (a nivel estratégico) debería contribuir a una propuesta de valor más fuerte y clara para el esfuerzo de preparación, lo que debería permitir el apoyo a largo plazo y la implicación de la dirección.

Debido a los beneficios descritos a lo largo de este artículo, Riskonnect cree que el concepto de apetito de riesgo es una adición bienvenida a la norma ISO 22301, y que los profesionales de la continuidad de negocio deben aprender más para ser un participante activo en un esfuerzo más amplio de gestión de riesgos.