Tres de cada cuatro empresas (73%) están actualizando sus planes de continuidad de negocio para prepararse ante una crisis. Sin embargo, sólo el 5%, se sienten preparadas para evaluar, gestionar y recuperarse de un futuro acontecimiento de riesgo desconocido e imprevisible.

Estas son algunas de las conclusiones de un nuevo informe de Riskonnect. El informe encuestó a más de 300 profesionales del riesgo y el cumplimiento en todo el mundo sobre las nuevas amenazas a las que se enfrentan las organizaciones hoy en día y cómo están renovando sus manuales de gestión del riesgo para navegar por un territorio desconocido.

¿Podrías hacer más?

Hoy en día, la mayoría de las empresas confían en planes de continuidad de la actividad poco sistemáticos, que se construyen en silos o no tienen en cuenta la naturaleza en cascada del riesgo. El problema de estos enfoques es que los problemas que parecen no tener relación o estar aislados en un departamento concreto pueden extenderse y crear trastornos mayores y paralizar la empresa. A menos que todos los miembros de la organización trabajen con el mismo manual, los planes de continuidad de negocio se crean en vano.

La otra laguna común en la planificación de la continuidad de la empresa es la falta de alineación entre las partes interesadas sobre la tolerancia al riesgo. Digamos que una organización está planificando un posible ataque de ransomware. Los ejecutivos piensan que la organización puede volver a poner en marcha la red en unos días. En realidad, sin embargo, TI necesita semanas. El problema: las partes interesadas nunca se han puesto de acuerdo.

LEE ESTE ESTUDIO DE CASO

Esta falta de alineación entre las principales partes interesadas es demasiado común. Una de las formas en que las organizaciones pueden superar este reto es facilitando talleres sobre riesgos. De hecho, un alentador 37% de las organizaciones afirman que están llevando a cabo talleres sobre riesgos en la actualidad.

Estos talleres reúnen a todas las partes interesadas en la misma sala para mantener conversaciones reales y productivas sobre la preparación, la tolerancia y el plan de acción de la organización ante sucesos de riesgo concretos. Utilizando el ejemplo del ransomware, entre los puntos importantes a tratar se incluyen:

  • ¿Qué pasaría si la empresa sufriera hoy un ataque de ransomware?
  • ¿Cuánto tiempo de inactividad se puede tolerar?
  • ¿Cuánto tardaría en volver a funcionar?
  • ¿Consideraríamos pagar el rescate, y cuáles son las implicaciones tanto de pagar como de no pagar?
  • ¿Cómo, qué y cuándo comunicaríamos a clientes, socios, empleados e inversores?
  • ¿Qué otros sucesos de riesgo podrían derivarse de este suceso y perjudicar a la organización?

Otras medidas que adoptan las empresas encuestadas para prepararse ante las crisis son:

  • Reevaluar continuamente su entorno de riesgo (66%)
  • Evaluar los planes de respuesta a las crisis (64%)
  • Preparar al liderazgo para gestionar crisis inesperadas (53%)
  • Colaborar con las partes interesadas interdepartamentales (51%)

«La gestión del riesgo consiste en gestionar la incertidumbre. Cuando el negocio se vuelve incierto, ahí es donde la capacidad de sentarse en la torre de control, comprender lo que se avecina, tener visibilidad sobre lo que podría ocurrir a continuación -incluidos los efectos periféricos- y cómo podría repercutir en el negocio es lo que te da una base firme de visibilidad del riesgo para definir estrategias de respuesta. Luego puedes utilizar estas estrategias para adaptarte y pivotar en función de cómo se desarrolle una situación concreta.»

– Bob Bowman, Sr. Director, Jefe de Riesgos
Risk Management, Enterprise Data Governance
The Wendy’s Company

Cerrar la brecha para mejorar la resiliencia

Aunque las empresas están cambiando por fin su forma de gobernar, priorizar y supervisar el riesgo, la mayoría (63%) no ha simulado sus peores escenarios, que según la mayoría de los encuestados giran en torno a catástrofes naturales, ciberamenazas y riesgos geopolíticos.

Este hallazgo es sorprendente si se tiene en cuenta la cantidad de «peores casos» que se han producido en los últimos años: la pandemia, las interrupciones de la cadena de suministro y las quiebras bancarias, por nombrar algunos. Las organizaciones se han visto afectadas o han sido testigos de muchos sucesos perturbadores que, en el fondo, eran conocidos y predecibles, y sin embargo la mayoría sigue sin dar prioridad a una sólida planificación de escenarios o pruebas.

En concreto, la quiebra del Banco de Silicon Valley fue casi el peor escenario posible para muchas empresas. A pesar de la escala y el impacto económico global del colapso, casi (42%) de los que dijeron que el colapso fue relevante para ellos no han hecho cambios posteriores en su estrategia de gestión de riesgos. La planificación de escenarios es una parte clave de la gestión de riesgos y debe incorporarse a las estrategias futuras para aumentar la resiliencia.

Los planes de continuidad empresarial de éxito no son un ejercicio de una sola vez. Se discuten, practican, revisan y, sobre todo, se coordinan periódicamente en toda la empresa. Hazlo, y tendrás un libro de jugadas inestimable para mantener el negocio en marcha justo cuando más lo necesitas.

Para obtener una visión completa de los resultados de la encuesta, descarga el informe La Nueva Generación del Riesgo, y echa un vistazo a la solución de Continuidad y Resistencia Empresarial de Riskonnect.