Banco Silicon Valley: ¿Una llamada de atención sobre la continuidad de negocio y la resiliencia?

La velocidad del colapso del Silicon Valley Bank fue aterradora. Estaba claro que no se pensaba en la continuidad del negocio hasta el tercer trimestre de 2022. Algunos culparon del colapso a la vacante de director de riesgos. Otros lo achacaron a la poco meditada transparencia ofrecida por el consejero delegado el 9 de marzo. En cualquier caso, el banco, su consejo de administración y su equipo directivo no se habían preparado para una respuesta eficaz y una estrategia de comunicación de crisis.

La continuidad del negocio trabaja para prevenir y responder a las interrupciones como parte de un esfuerzo más amplio de gestión del riesgo operativo y del riesgo empresarial. La supervisión de los controles clave que evitan las interrupciones es esencial para permitir una respuesta oportuna y ofrecer comunicaciones eficaces a todos los implicados. Un punto clave es que los controles incluyen análisis de impacto empresarial, planes y ejercicios, así como controles propiedad de la empresa y otras disciplinas de riesgo.

A favor de la gestión integrada de riesgos

En el caso de SVB, los controles relacionados con los modelos de riesgo financiero y el riesgo de liquidez, así como la supervisión de los comportamientos del mercado y de los clientes, deberían haber sido esenciales. Pero al examinar los controles individualmente, el banco no logró conectar los puntos. Si hubiera integrado el pensamiento de gestión de riesgos, los líderes podrían haber discutido cómo estaban fallando los controles clave, qué riesgos clave se estaban materializando y cómo reunir al equipo para tranquilizar a los mercados, los inversores y los clientes.

¿No era esta situación el objetivo de la legislación sobre resistencia operativa?

El Reino Unido introdujo una legislación sobre resistencia operativa para evitar perturbaciones sistémicas en el sector financiero nacional, que influyó en la legislación de otros países (incluido Estados Unidos). No se suponía que estas normativas de "resiliencia operativa" iban a evitar que esto ocurriera?

Sí... y no. El pensamiento de resiliencia operativa, que sitúa el dolor del cliente en el centro de los esfuerzos de resiliencia de una organización, se centra en la interrupción de los procesos y recursos internos. Para la mayoría de las organizaciones, no reúne diferentes disciplinas de riesgo para identificar todos los controles y estrategias que podrían conducir a la insolvencia, incluidos los escenarios plausibles en los que el cliente causa la interrupción.

Una vez más, esta situación demuestra la necesidad de que las personas, los procesos y la tecnología conecten los puntos a través de la gestión integrada de riesgos.

¿Cuál es el papel de la continuidad de negocio en una crisis bancaria?

Para responder a esta pregunta hay que tener en cuenta cuatro puntos:

1. La continuidad del negocio (y la resistencia operativa) seguirán manteniendo la responsabilidad de ayudar a la organización a comprender su vulnerabilidad a las perturbaciones y a trabajar para hacerla más resistente. Es cierto que gran parte de la atención se centra en las perturbaciones causadas por la pérdida de capacidad de procesos y recursos dependientes. Pero como la continuidad del negocio afecta a tantas partes de una organización -especialmente a los elementos de la estrategia de salida al mercado de la organización-, los profesionales de la continuidad del negocio están bien posicionados para identificar las áreas en las que parece que faltan controles o que éstos fallan. Tomando prestado un mensaje de la Agencia de Seguridad en el Transporte de EE.UU.: "Si ves algo, di algo".
2. Cuando se hace bien, la continuidad empresarial ayuda a la organización a entender el mercado, sus clientes y sus expectativas, independientemente de las circunstancias.
3. Un elemento central de un programa líder de continuidad de negocio es una sólida capacidad de respuesta, a menudo denominada gestión de crisis (o incidentes). La gestión de crisis no sólo sirve para responder a una catástrofe natural o un ciberataque. Puede utilizarse en cualquier tipo de incidente -grande o pequeño- para gestionar el impacto y acelerar la vuelta de la organización a la normalidad.
4. Una extensión de la gestión de crisis es la comunicación de crisis. Los profesionales de la continuidad de las actividades suelen colaborar con sus colegas de marketing y comunicación para entender a qué público hay que dirigirse durante una crisis, cuál es la mejor manera de llegar a él y qué decir en función de las distintas situaciones.

Sin información privilegiada, es difícil comentar cómo se ajustaba el programa de continuidad de negocio de SVB a los tres primeros puntos. Pero la velocidad del colapso de SVB es una prueba de que estas tres áreas eran deficientes.

En cuanto al cuarto punto, sin embargo, la comunicación de la crisis fue visiblemente defectuosa. La dirección de SVB emitió una respuesta un tanto técnica -en forma de PDF- a través de su sitio web sobre su respuesta y la necesidad de obtener capital. Esto planteó dos cuestiones:

1. Aunque transparente en cuanto a la situación, la respuesta etiquetó la viabilidad de las estrategias de respuesta previstas con advertencias como "potencialmente" y "probablemente", que no inspiraban confianza.
2. La respuesta de la dirección del SVB se publicó en su sitio web. A pesar de la amplia discusión y el debate de los interesados sobre la inminente crisis en plataformas de medios sociales como Twitter (quizás incluso desencadenando la corrida bancaria), hubo muy poca comunicación coordinada en los medios sociales por parte del SVB.

Liderar las comunicaciones de crisis es lo más importante:

• Comunicarse con todos los públicos
• Crear un mensaje claro y adecuado
• Comprometerse con el público adecuado a través de los medios que mejor resuenen (por ejemplo, las redes sociales).

¿Quién tiene la culpa?

¿Debería ser una llamada de atención para la continuidad de las empresas? Es evidente que esta situación ha reforzado la necesidad de mejorar la comunicación de crisis. Pero la continuidad de las actividades no habría podido evitar esta crisis por sí sola. La continuidad de la actividad tenía un papel que desempeñar y probablemente debería haber hecho más, especialmente en el frente de la comunicación de crisis, pero lo más probable es que esto haya sido una llamada de atención para un enfoque integrado de la gestión de riesgos. La falta de conexión de los puntos llevó a SVB a la ruina.

¿Quién tiene la culpa? Entre los candidatos figuran:

• La Reserva Federal (que fija los tipos de interés)
• Las sociedades de capital riesgo (que iniciaron la huida del capital)
• Reguladores de California
• Un bloguero llamado Byrne Hobart (que planteó la cuestión)
• Auditoría externa
• Banco Silicon Valley

Tú decides.

Si desea más información sobre la resistencia operativa, descargue nuestro libro electrónico, Resistencia operativa: Navegar por el panorama normativo mundialy consulte la página web de Riskonnect Continuidad y resistencia de la empresa software.