La introducción de la norma ISO 22301 (Seguridad social – Requisitos – Sistema de gestión de la continuidad de la actividad empresarial) alinea más estrechamente la continuidad de la actividad empresarial con la disciplina más amplia de la gestión de riesgos. Una de las principales contribuciones a esta alineación es el requisito de la norma de comprender el «apetito de riesgo» de la organización (un término que no se utiliza en la BS 25999).

La definición de apetito de riesgo de la ISO 22301 (Sección 3.49) es la «cantidad y tipo de riesgo que una organización está dispuesta a perseguir o retener». La norma hace referencia al apetito de riesgo en dos secciones:

Además, los autores del documento de orientación que respalda la norma ISO 22301, titulado ISO DIS 22313, hacen una referencia adicional a la propensión al riesgo en la sección centrada en el establecimiento del contexto para el sistema de gestión de la continuidad de las actividades:

Para quienes busquen alinearse con la ISO 22301 o certificarse conforme a ella, los profesionales de la continuidad empresarial (o los encargados de la planificación de la continuidad empresarial) deben comprender el concepto de apetito de riesgo y abordar los requisitos expuestos anteriormente.

Nota: el propósito de este artículo no es ofrecer una comprensión detallada y teórica del apetito de riesgo, ya que otros libros blancos y fuentes de información ya lo hacen, sino más bien presentar el concepto a los profesionales de la continuidad de negocio y ofrecer una visión sobre cómo aprovechar e «implantar» este concepto en nuestra profesión.

La relación entre el apetito de riesgo y lacontinuidad de negocio
Creemos que quienes contribuyeron a la ISO 22301 integraron el concepto de apetito de riesgo («cantidad y tipo de riesgo que una organización está dispuesta a perseguir o retener») en una norma de sistema de gestión de la continuidad de negocio por dos razones fundamentales:

  1. Las organizaciones deben considerar el apetito de riesgo como omnicomprensivo, incorporando todas las áreas de riesgo, incluidos los riesgos relacionados con la continuidad del negocio asociados a incidentes perturbadores; y
  2. Utilizar el apetito de riesgo para delimitar y respaldar adecuadamente un sistema de gestión de la continuidad de la actividad ayuda a alinear la continuidad de la actividad con la estrategia organizativa y otros esfuerzos de gestión de riesgos, permitiendo que la continuidad de la actividad se integre mejor en una gestión de riesgos más amplia.

Además, cuando se hace correctamente, el apetito de riesgo se convierte en una aportación importante al alcance y los objetivos de un sistema de gestión de la continuidad de la actividad (y puede solaparse significativamente con ellos).

Claves para determinar el apetito de riesgo
Como se ha señalado anteriormente, existen muchas fuentes de información que describen el concepto de apetito de riesgo y el mejor enfoque para determinar el apetito de riesgo de una organización. Riskonnect analizó estas fuentes para comprender mejor cómo ayudar más eficazmente a nuestros clientes a determinar y documentar sus apetitos de riesgo en lo que respecta a la planificación de la continuidad de la actividad, así como a integrar el concepto en nuestro propio programa de continuidad de la actividad (ya que estamos en plena transición de la BS 25999-2 a la ISO 22301 en nuestra organización). Una de las fuentes más valiosas que hemos identificado es un libro blanco publicado por el Instituto de Gestión de Riesgos (IRM), que introduce una serie de factores de «diseño» que los autores consideran clave para determinar el apetito de riesgo. A continuación se parafrasean tres de estos factores de diseño, o consideraciones, que consideramos que ayudan a comprender y determinar mejor el apetito de riesgo:

  1. El apetito de riesgo de una organización es -o debería ser- medible
  2. La aceptabilidad del riesgo debe tener una consideración temporal, para garantizar una revisión periódica (dado el cambio organizativo y medioambiental)
  3. La aceptación del riesgo no debe tener nada que ver con la relajación de los controles (tratamientos del riesgo)

Dicho esto, y en nuestra opinión, algunas de las fuentes de información -distintas de la dirección ejecutiva- que las organizaciones deberían evaluar a la hora de determinar el apetito de riesgo incluyen:

  • Informes anuales y estados financieros
  • Contratos con clientes
  • Requisitos reglamentarios
  • Planes estratégicos empresariales
  • Materiales de marketing
  • Actas de las reuniones del Consejo

Aunque no entraremos en más detalles sobre la determinación de la propensión al riesgo, quienes busquen información adicional deberían considerar revisar lo siguiente:

Ejemplo – Apetito por el riesgo en Riskonnect
Al pasar de la norma BS 25999-2 a la ISO 22301, tuvimos que comprender cómo se relaciona el apetito por el riesgo con nuestro sistema de gestión de la continuidad empresarial, dado que se trata de un nuevo requisito formalizado necesario para la certificación. Utilizando la orientación y el enfoque descritos en la sección anterior de este artículo, documentamos nuestro resumen de apetito de riesgo del siguiente modo:

En 2012, estamos dispuestos a tolerar una cantidad finita de tiempo de inactividad siempre que no dé lugar a lo siguiente:

  1. Reputación dañada entre nuestros clientes que conduce a una percepción negativa más amplia del mercado
  2. Incumplimiento de los acuerdos de nivel de servicio específicos del Portal de Planificación y Riskonnect
  3. Pérdidas económicas superiores a 50.000
  4. Retrasos del proyecto de más de tres días debido a la interrupción de los recursos y a la pérdida de datos

Con el fin de alinear nuestro programa de continuidad empresarial existente con esta declaración relativa a la propensión al riesgo, la dirección de Riskonnect pretende dotar de personal y recursos adecuados a nuestro sistema de gestión de la continuidad empresarial para minimizar el tiempo de inactividad de la forma más eficiente y pragmática posible.

Como se ha señalado anteriormente en este artículo, esta afirmación se ajusta a las consideraciones de diseño del IRM, en concreto:

  • Se alinea con nuestros productos y servicios, así como con las prioridades estratégicas de nuestra organización, y por tanto con el alcance de nuestro sistema de gestión de la continuidad de las actividades
  • Ofrece métodos cuantificables para medir el riesgo
  • Observa un elemento temporal (2012)
  • Señala dónde nuestro equipo directivo acepta un nivel de riesgo, lo que libera recursos para mejorar nuestro negocio, servicios y tecnología, así como para invertir en nuestra gente.
Programa tu demostración

Conclusiones
El apetito de riesgo es un concepto importante que incluye elementos estratégicos, operativos y tácticos, todos los cuales repercuten en el éxito de la implantación y la mejora continua de un sistema de gestión de la continuidad empresarial. Considerar el apetito de riesgo como parte de la planificación de la continuidad de la actividad permite que ésta se alinee más estrechamente con los esfuerzos de gestión del riesgo, permitiendo que los esfuerzos de continuidad de la actividad se centren principalmente en los riesgos que la dirección no está dispuesta a aceptar en relación con productos, servicios, procesos empresariales y recursos importantes (todos los cuales una organización debe documentar claramente dentro de su apetito de riesgo). Comprender los límites -basados en un nivel aceptable de riesgo- introduce concentración y claridad en la planificación, lo que se traduce en mayores niveles de eficacia y eficiencia en la protección de las actividades más sensibles al tiempo o más críticas de una organización.

Además, considerar la propensión al riesgo en el contexto de la planificación de la continuidad de la actividad debería ayudar a la dirección a enmarcar la continuidad de la actividad en relación con la forma en que ya piensan sobre el tema más amplio de los riesgos para la organización, siendo el riesgo de incidentes perturbadores sólo un factor a tener en cuenta. Alinear el esfuerzo de continuidad empresarial con la forma en que la dirección ya piensa (a nivel estratégico) debería contribuir a una propuesta de valor más sólida y clara para el esfuerzo de preparación, lo que debería permitir el apoyo a largo plazo y la implicación de la dirección.

Debido a las ventajas expuestas a lo largo de este artículo, Riskonnect cree que el concepto de apetito de riesgo es una adición bienvenida a la norma ISO 22301, y sobre la que los profesionales de la continuidad de negocio deben aprender más para ser un participante activo en un esfuerzo más amplio de gestión de riesgos.