Espera en breve anuncios de la FCA sobre uno de los temas más actuales y prioritarios: la resistencia operativa.

Junto con la Autoridad de Regulación Prudencial y el Banco de Inglaterra, la Autoridad de Conducta Financiera publicó en julio un documento de debate, que se cerró el 5 de octubre. Se invitó a las empresas de servicios financieros a exponer cómo esperan poder gestionar los riesgos que podrían perjudicar gravemente sus operaciones y cómo minimizarán el impacto en los clientes.

Los reguladores creen que la resistencia operativa supone un riesgo para el suministro de servicios cruciales de los que depende la economía, amenaza la viabilidad de las empresas y causa perjuicios a los consumidores y a otras empresas.

Los reguladores quieren que las empresas mejoren su preparación para resistir, absorber y recuperarse de incidentes perturbadores. También quieren que las empresas gestionen eficazmente los incidentes, sobre todo cuando afectan a los clientes.

Definir el problema

La resistencia operativa se define como «la capacidad de las empresas y del sistema financiero en su conjunto para absorber las perturbaciones y adaptarse a ellas, en lugar de contribuir a ellas». Los reguladores quieren que sea parte integrante de la estrategia general de las empresas, para que puedan seguir proporcionando «funciones económicas críticas» tanto a la economía del Reino Unido como a sus clientes.

Los bancos son el objetivo clave de la labor reguladora en este ámbito, ya que las interrupciones de la banca en línea, en particular, provocan trastornos generalizados. Barclays y RBS Group estuvieron en la línea de fuego recientemente, cuando los clientes no pudieron acceder a sus cuentas durante los incidentes de septiembre, y el Comité Selecto del Tesoro pidió a los bancos que proporcionaran todos los detalles sobre lo que causó los incidentes y sobre cómo se compensará a los clientes.

Además, el Comité de Política Financiera del Banco de Inglaterra está estableciendo normas sobre la rapidez con que los bancos deben ser capaces de restablecer servicios vitales tras un ciberataque, y también realizará pruebas de resistencia para comprobar que se pueden cumplir.

Pero la resistencia operativa es necesaria en todo el sector de los servicios financieros, y el robo de datos, por ejemplo, que afecte a una aseguradora o a una empresa de tarjetas de crédito se consideraría con la misma gravedad.

¿Qué se necesita?

En primer lugar, los reguladores esperan que la resistencia operativa ocupe un lugar destacado en la agenda de los consejos de administración y los altos directivos, además de sus asesores de riesgo operativo. También deben trabajar para acordar la «tolerancia al impacto», un límite superior para el impacto en los servicios empresariales que una empresa está dispuesta a tolerar, como resultado de una perturbación operativa «grave pero plausible». Se espera que esto se exprese como un conjunto de métricas específicas sobre la duración, el volumen o la naturaleza de una interrupción. Las empresas también deben:

  • planificar los acontecimientos perturbadores, así como tratar de evitarlos
  • centrarse en el impacto más amplio de los sucesos perturbadores, no sólo en restablecer los sistemas y procesos
  • asignar productos y servicios a los sistemas y procesos subyacentes
  • identificar el impacto probable sobre los clientes y los participantes en el mercado, así como sobre la propia viabilidad de la empresa
  • priorizar los servicios empresariales más importantes e identificar los sistemas y procesos que los soportan, ya sean internos de la organización o subcontratados
  • garantizar que existe una estrategia de comunicación eficaz cuando se produce una interrupción para ayudar tanto a los empleados como a los clientes.

Cubrir todas las bases

Los reguladores afirman que los acontecimientos perturbadores son inevitables, pero las empresas que puedan verse afectadas deben prepararse y ser lo más resistentes posible. Evidentemente, la protección frente a un ciberataque y su gestión se considera lo más obvio en la lista de comprobación del gestor de riesgos operativos, porque se depende mucho de la tecnología y los datos, pero hay otras posibilidades, como una interrupción del servicio por motivos no malintencionados, condiciones meteorológicas adversas, como inundaciones, incendios o una gripe pandémica.

Los reguladores no han producido ningún cambio inmediato en los procesos de supervisión. Pero, una vez que se evalúen adecuadamente las reacciones al documento de debate, es casi seguro que habrá nuevas normas. Puede que haya voluntad de colaborar con el sector para mejorar la resistencia operativa y tener en cuenta los comentarios, pero también se considera un área demasiado importante como para permitir que continúe el statu quo actual, razón por la cual los gestores del riesgo operativo deben asegurarse de que la actividad se intensifica ahora.