La planificación de la continuidad empresarial es inherentemente interfuncional, con la necesidad de abordar los riesgos para las ofertas de productos y servicios de una organización, así como los recursos necesarios para cumplir las obligaciones. Dado que las organizaciones dependen cada vez más de una red global de proveedores y prestadores de servicios, los profesionales de la continuidad del negocio tienen la responsabilidad de comprender y analizar estas relaciones y dirigir los esfuerzos de identificación de estrategias para proteger a su organización ante una interrupción de terceros.
Desarrollar e implantar estrategias de continuidad empresarial y opciones de tratamiento de riesgos relacionados con terceros puede ser una tarea difícil, porque las estrategias pueden contradecir aparentemente los esfuerzos estratégicos de una organización para aprovechar los proveedores de una sola fuente, hacer «esbeltas» las cadenas de suministro y reducir los niveles de inventario almacenado. Sin embargo, los profesionales de la continuidad empresarial deben proporcionar a la alta dirección la información necesaria para equilibrar las iniciativas estratégicas con la necesidad de reducir los puntos únicos de fallo y proteger a una organización en caso de que un recurso deje de estar disponible.
Esta perspectiva analiza las herramientas disponibles para identificar y documentar los recursos de terceros y los métodos mediante los cuales se pueden presentar los riesgos a la alta dirección para su revisión y actuación.
Identificar proveedores y niveles de riesgo
Antes de que puedan tratarse los riesgos o identificarse y aplicarse las estrategias de continuidad, los profesionales de la continuidad de negocio deben comprender qué terceros son necesarios para continuar con la entrega de los productos y servicios en alcance (críticos), así como el nivel al que se requieren los terceros en la ejecución de las actividades que apoyan la entrega de esos productos y servicios críticos. La forma más eficaz de desarrollar este conocimiento es garantizar que el proceso de análisis del impacto empresarial (BIA) incluya un método probado y eficaz para identificar a los terceros utilizados por la organización, cómo se utilizan y contratan, y el impacto potencial de una interrupción de terceros. Este esfuerzo requerirá que la organización realice un BIA (si no lo ha hecho ya) o actualice un BIA existente para incorporar un análisis de terceros proveedores.
Una vez que el profesional de la continuidad de negocio identifique a los proveedores críticos, comprenda su uso y documente los impactos potenciales, deberá identificar los controles existentes y considerar la probabilidad de que se produzca un incidente perturbador que afecte a cada tercero. En algunas organizaciones, el departamento de adquisiciones, compras o incluso un equipo de riesgo de proveedores (o equivalente) sirve como fuente exhaustiva de esta información y probablemente pueda proporcionar información sobre las capacidades de continuidad y recuperación ante desastres de terceros o describir incidentes pasados que hayan provocado la interrupción de productos/servicios. En las organizaciones más pequeñas, puede que esta información tenga que obtenerse realizando un análisis exhaustivo de los incidentes históricos y contratando directamente a terceros. Los impactos estratégicos (como los impactos financieros totales) también pueden obtenerse al realizar esta investigación y ayudarán a justificar las recomendaciones estratégicas a la alta dirección.
Paralelamente, o inmediatamente después de identificar y documentar esta información, los profesionales de la continuidad de negocio deben realizar formalmente una evaluación de riesgos (o actualizar una evaluación de riesgos existente) para tener en cuenta la probabilidad de que se produzca un evento perturbador, las amenazas potenciales, el impacto de la pérdida y los controles existentes, con el objetivo de identificar el nivel de riesgo asociado a cada proveedor. El resultado principal de la evaluación de riesgos es desarrollar una clasificación de riesgos para cada proveedor (normalmente la clasificación de probabilidad multiplicada por la clasificación de impacto o un método similar). Las calificaciones de impacto y probabilidad deben definirse sobre la base de criterios mensurables y aplicarse de forma coherente en toda la organización.
Cuando se combinan los resultados del BIA y de las evaluaciones de riesgos, los profesionales de la continuidad de negocio están mejor posicionados para comprender las relaciones más críticas de su organización con terceros, así como los riesgos y oportunidades más acuciantes asociados a estas relaciones. Es posible que el profesional tenga que realizar análisis adicionales para determinar si los proveedores de mayor riesgo que surjan requieren medidas correctoras adicionales. En muchos casos, las organizaciones pueden optar por clasificar a los proveedores en niveles críticos o no críticos para facilitar un análisis adicional; un ejemplo de criterios para los proveedores críticos puede incluir determinar si:
- El proveedor en cuestión es necesario para la ejecución de una actividad que apoya la entrega de un producto y servicio dentro del alcance (crítico);
- El producto o servicio suministrado no podría ser prestado por otro proveedor ya utilizado por la organización; y
- El nivel de integración del proveedor en la organización y la complejidad de su sustitución tras el inicio de un incidente perturbador superan un nivel aceptable (establecido por la alta dirección).
Examinar a los proveedores de mayor riesgo (identificados mediante la evaluación) y luego determinar si estos proveedores requieren una mitigación adicional permite debatir con la dirección ejecutiva para determinar si puede ser necesaria una mitigación adicional.
Ten en cuenta que, aunque los riesgos pueden ser contrarios a otras prioridades de una organización (como las cadenas de suministro altamente eficientes y de bajo coste), es fundamental que los profesionales de la continuidad de negocio informen y asesoren a la alta dirección sobre los riesgos existentes para permitir una toma de decisiones estratégica y adecuada.
Presentar los resultados
Presentar los resultados del análisis de impacto empresarial y la evaluación de riesgos de terceros permite a los profesionales de la continuidad de negocio alcanzar dos objetivos:
- Informar a la alta dirección de los riesgos y oportunidades de mitigación relacionados con proveedores y terceros críticos (incluidas las vulnerabilidades relacionadas con proveedores de una sola fuente y puntos únicos de fallo); y
- Permitir la toma de decisiones estratégicas sobre el tratamiento del riesgo.
Al presentar los resultados del BIA y de la evaluación de riesgos de forma priorizada y directa, los profesionales de la continuidad de negocio pueden dar a la alta dirección la información que necesitan para equilibrar eficazmente las iniciativas estratégicas previamente discutidas con los riesgos inherentemente asociados a una red global de proveedores y prestadores de servicios. Llevar a cabo esta tarea requiere una planificación deliberada, una recopilación/análisis de datos detallados y una capacidad de trabajo interfuncional (lo ideal sería que esta presentación tuviera lugar como parte de un proceso de revisión recurrente de la dirección). Al presentar esta información a la alta dirección, hay que tener cuidado de destacar cualquier punto único de fallo que se haya identificado, así como los impactos estratégicos asociados a los proveedores que permiten la entrega de múltiples productos y servicios. La presentación de los proveedores de mayor riesgo será un buen punto de partida.
La dirección espera que los profesionales de la continuidad del negocio no sólo acudan a la mesa con una lista de riesgos priorizados, sino también con recomendaciones sugeridas para cerrar esas brechas.
También es importante que los profesionales de la continuidad de negocio que trabajan en grandes organizaciones reconozcan que, aunque los equipos de riesgo de compras y proveedores añaden un valor significativo y son socios clave en este proceso, a menudo no son responsables de documentar los impactos potenciales en lo que respecta a los departamentos internos ni de identificar las estrategias de continuidad de negocio para terceros individuales. Los equipos de riesgo de proveedores suelen centrarse más en minimizar el riesgo financiero y operativo que en la preparación organizativa y la continuidad empresarial.
Conclusión
Los profesionales de la continuidad del negocio que tratan proactivamente de comprender, documentar y tratar los riesgos asociados a las relaciones con terceros pueden reducir significativamente la probabilidad de que se produzca un incidente perturbador, así como las repercusiones en caso de que se produzca. Esta actividad es un componente crítico de muchos sistemas de gestión de la continuidad empresarial, en gran parte debido a un entorno empresarial cada vez más globalizado en el que muchas organizaciones dependen de complejas relaciones con terceros para apoyar la entrega de sus productos y servicios más críticos. Los profesionales de la continuidad empresarial desempeñan un papel fundamental en la evaluación y gestión del riesgo que supone entablar estas relaciones, ya que son responsables de dotar a la alta dirección de la información necesaria para equilibrar los requisitos empresariales con los riesgos y oportunidades que conllevan las relaciones con terceros.
La continuidad empresarial y la planificación de la recuperación de desastres informáticos es todo lo que hacemos. Si buscas ayuda para crear o mejorar tu programa de continuidad empresarial, podemos ayudarte.
Ponte en contacto con nosotros hoy mismo para empezar. Estaremos encantados de conocerte.
Publicación de la Especificación Técnica ISO:
El 16 de septiembre de 2015, la Organización Internacional de Normalización (ISO) publicó una especificación técnica (alineada con la ISO 22301) que aborda el tema de la continuidad de la cadena de suministro. Puedes obtener más información aquí:
