Por Dr. Philip Moulton | Asesor de Riesgos Estratégicos | Director de Riesgos

La GRE y la resiliencia empresarial han funcionado tradicionalmente en programas paralelos, pero separados. Uno rastrea el apetito de riesgo estratégico y las exposiciones corporativas. El otro asegura la continuidad cuando ocurre lo inesperado.

Pero esa separación ya no es solo ineficiente. También puede atraer el escrutinio de los organismos de supervisión.

Los reguladores, las agencias de calificación y las juntas directivas de hoy esperan más. La resiliencia no se trata solo de recuperarse de una crisis, sino de seguir funcionando durante una. La GRE y la resiliencia necesitan trabajar juntas sin problemas para optimizar ambos programas.

La nueva expectativa

Esta convergencia de mejores prácticas se está convirtiendo rápidamente en la nueva expectativa básica.

Durante los últimos 10 años, y en muchos sectores de la industria –servicios financieros, atención médica, servicios públicos, telecomunicaciones y más– los reguladores han estado elevando el listón.

  • La Regla de Divulgación Cibernética de la SEC requiere que las empresas públicas divulguen incidentes cibernéticos materiales dentro de los cuatro días, junto con actualizaciones anuales sobre la supervisión de la gobernanza.
  • La ORSA de la NAIC espera que las aseguradoras incorporen la planificación de la continuidad en las estrategias de capital.
  • NERC CIP, AWIA de la EPA, y las directivas de CISA exigen una planificación de recuperación validada para los sectores de infraestructura crítica.
  • En las industrias de atención médica y farmacéutica, CMS y FDA requieren preparación para emergencias, BIA y pruebas de continuidad que sean consistentes con las prioridades informadas por el riesgo.

El mensaje de aquellos encargados de las responsabilidades de supervisión es consistente: Identificar el riesgo y la mitigación del riesgo no es suficiente. Las organizaciones deben demostrar que pueden continuar operando cuando ocurren eventos de riesgo de alto impacto.

A pesar de estas expectativas, los equipos de GRE y resiliencia pueden permanecer desconectados, hablando diferentes idiomas, utilizando diferentes datos e informando a través de diferentes canales y partes de la organización.

Esa división inevitablemente llevará a objetivos desalineados, esfuerzos duplicados y una visión fragmentada del riesgo y la recuperación.

Por el contrario, cuando los equipos de GRE y resiliencia colaboran, las organizaciones obtienen una ventaja estratégica. Las declaraciones de apetito de riesgo desarrolladas por el equipo de GRE pueden convertirse en objetivos de recuperación cuantificables desarrollados por el equipo de resiliencia. Los ejercicios de continuidad del negocio pueden servir como pruebas de estrés de escenarios. Las juntas directivas obtienen una narrativa cohesiva y detallada sobre las exposiciones a eventos disruptivos y la capacidad operativa para gestionarlos. Y el programa de resiliencia se conecta más estrechamente con los objetivos estratégicos y prioritarios de la empresa.

Desafíos diarios

Un desafío en la integración es que los equipos de GRE y resiliencia operan de manera diferente día a día. La GRE está orientada a escenarios, enfocada en la estrategia y a menudo centrada en cuestiones y desafíos financieros, reputacionales o regulatorios. La resiliencia empresarial es procedimental, operativa y se preocupa por mantener a las personas, los procesos y los sistemas funcionando bajo estrés. Puede ser una simplificación excesiva, pero en mi experiencia, no está muy lejos de la realidad.

Pasar de funciones paralelas en diferentes carriles a un programa integrado de riesgo y resiliencia no requiere un esfuerzo total de reconstrucción y transformación. Simplemente puede comenzar con algunas iniciativas básicas, pero importantes:

  1. Definir «resiliencia» y «criticidad» juntos. Las definiciones compartidas son fundamentales. Los equipos de GRE y resiliencia deben definir conjuntamente qué significa «crítico» para productos, servicios, sistemas y proveedores, y asegurar que tanto el registro de riesgos empresariales como los BIA reflejen las mismas suposiciones.
  2. Establecer una estructura de gobernanza conjunta. Un comité directivo compartido mantiene el riesgo y la resiliencia alineados con la estrategia empresarial y asegura una comunicación consistente hacia el liderazgo y la junta directiva.
  3. Aprovechar los datos de GRE para priorizar las pruebas de resiliencia empresarial. Utilice el registro de riesgos empresariales para priorizar los escenarios de prueba de resiliencia. Por ejemplo, si un proveedor o instalación específica aparece en el nivel superior de riesgo en la GRE, eso debería impulsar simulacros de mesa y pruebas de recuperación.
  4. Traducir el apetito de riesgo en objetivos de recuperación – Los equipos de GRE establecen las tolerancias. Los equipos de resiliencia las operacionalizan. Alinee los objetivos de tiempo de recuperación (RTO) con el apetito de riesgo declarado para vincular la estrategia con la ejecución operativa.
  5. Realice ejercicios conjuntos. Los ejercicios codirigidos y los informes posteriores a la acción permiten tanto a la GRE como a la resiliencia validar supuestos, revelar puntos ciegos y comunicar conjuntamente los resultados a los ejecutivos y juntas directivas.
  6. Sincronice métricas y paneles de control. Conecte los indicadores clave de riesgo (KRI) con el rendimiento de recuperación operativa. Los paneles compartidos en plataformas de GRC pueden mostrar cuándo se incumplen los umbrales – y con qué rapidez se recupera la organización.

El beneficio de la sincronización

Más allá de sincronizar la gobernanza y los procesos, la generación de informes integrados es donde el beneficio se vuelve tangible y altamente visible para los tomadores de decisiones. Cuando los resultados de riesgo y continuidad están alineados:

  • Las juntas directivas pueden ver cómo las tolerancias de riesgo declaradas se vinculan con la capacidad operativa real. Por ejemplo, pueden verificar que las tolerancias de riesgo aprobadas para sistemas críticos sean consistentes con los RTO reales.
  • Los reguladores ganan confianza en la gobernanza y preparación a nivel empresarial. En cuanto al riesgo cibernético, por ejemplo, la GRE puede demostrar una evaluación estructurada en todas las categorías de impacto, mientras que la resiliencia muestra cómo los planes de respuesta abordan cada una de esas categorías.
  • El liderazgo ve dónde las inversiones en resiliencia protegen el valor. En una empresa alimentaria estadounidense a finales de 2021, un taller conjunto de GRE/resiliencia empresarial sobre riesgos geopolíticos señaló que un ingrediente clave provenía de Ucrania. El equipo de resiliencia inició contratos de suministro opcionales con proveedores canadienses. A medida que la crisis Rusia-Ucrania se intensificaba, esos contratos se finalizaron antes de la invasión, asegurando la continuidad mientras los competidores se apresuraban.

El último ejemplo es la razón más convincente por la que necesitamos integrar. Cuando ocurre una interrupción – o está a punto de ocurrir – la organización puede moverse rápidamente porque la estrategia, las funciones y las operaciones están más sincronizadas.

Con demasiada frecuencia, la resiliencia empresarial se ve como un documento, una prueba o un plan en un estante. Es mucho más que eso. La verdadera resiliencia es una capacidad a nivel empresarial – una que está continuamente informada por la visión estratégica del riesgo y la preparación operativa.

Al unir la GRE y la resiliencia, las organizaciones construyen no solo una defensa más fuerte, sino una respuesta más inteligente y rápida. Las soluciones proactivas se descubren antes – antes de que ocurra una interrupción. Y en un mundo donde las crisis ya no son raras, eso no es solo una ventaja competitiva. Es supervivencia.

Para una mirada más profunda sobre la unión de GRE y resiliencia, únase a nuestro seminario web del 27 de mayo, Adoptar un enfoque interfuncional para la GRE y la resiliencia, y consulte las soluciones de GRE y Continuidad del negocio y resiliencia de Riskonnect.