La mayoría de las organizaciones construyen sus marcos de gestión de riesgos y resiliencia sobre una premisa sencilla: identificar las amenazas, evaluarlas y controlarlas. Desarrollan un plan de continuidad de negocio por si fallan los sistemas o procesos clave. Durante muchos años, este enfoque ha cumplido su propósito.
Sin embargo, el entorno operativo actual se define por riesgos interconectados, cadenas de suministro interrelacionadas, tecnología integrada y dependencias de terceros, lo que significa que las interrupciones rara vez ocurren de forma aislada. Se propagan en cascada a través de equipos, socios y sistemas, por lo que la gestión de riesgos y resiliencia ante eventos únicos ya no es suficiente. Este entorno volátil y complejo ha empujado a las organizaciones a reforzar su forma de prepararse y responder.
La creación de un modelo más integrado en el que el riesgo y la resiliencia funcionen como una capacidad unificada ayuda a los equipos a identificar lagunas, mantener el rendimiento bajo presión y adaptarse al cambio.
Gestionar los riesgos mediante controles y planes de continuidad sigue siendo esencial, pero las organizaciones deben ampliar esa base para incluir la previsión, la adaptabilidad y la alineación con la estrategia a largo plazo.
Este cambio aleja a las organizaciones de los enfoques aislados hacia un modelo centrado en la resiliencia que respalda la continuidad de las operaciones durante una interrupción.
De la prevención de riesgos a la adaptación en una crisis
Aunque centrarse en la prevención de riesgos sigue siendo importante, no todos los riesgos pueden predecirse, cuantificarse o prevenirse.
Su organización debe estar preparada para responder cuando los controles fallen, las suposiciones se rompan o se produzcan eventos de riesgo imprevistos. Esto replantea la gestión de riesgos de «¿Cómo evitamos que esto ocurra?» a «¿Cómo respondemos, nos adaptamos y seguimos operando cuando ocurra?».
En la práctica, esto introduce un conjunto diferente de capacidades:
- Anticipar cómo se propagan los riesgos en cascada por la empresa
- Absorber los impactos sin un fallo inmediato
- Adaptarse en tiempo real
- Priorizar bajo presión manteniendo los servicios críticos
- Reconocer y aprovechar las oportunidades en las crisis
Estas capacidades constituyen el núcleo de una organización resiliente.
Las organizaciones se enfrentan a interrupciones en cascada en un entorno de policrisis
La interrupción sistémica está transformando cada vez más la forma de gestionar el riesgo. Las cadenas de suministro, los sistemas y las dependencias de terceros están ahora estrechamente interconectados, lo que significa que las interrupciones rara vez se mantienen contenidas. En su lugar, se propagan en cascada por funciones y socios, a menudo al mismo tiempo. Esto se conoce comúnmente como policrisis, donde múltiples interrupciones superpuestas se agravan en lugar de ocurrir de forma aislada.
«Un incidente cibernético ya no es solo cosa de TI. Puede desencadenar un cierre operativo, infracciones normativas, daños a la reputación y pérdida de talento. Del mismo modo, los fenómenos climáticos afectan a la cadena de suministro, a la disponibilidad de seguros y a la seguridad de los trabajadores».
— Agnès de Calbiac, Directora de Riesgos Corporativos y Aseguramiento, Southern Cross Healthcare
Los marcos de riesgo tradicionales se crearon para eventos únicos y más contenidos. Las categorías de riesgo tenían propietarios claros, controles definidos y líneas de información estructuradas. Cuando se producía una interrupción única, las vías de respuesta estaban claras. Cuando se producen múltiples interrupciones a la vez, esas estructuras se desconectan y los impactos se extienden por las unidades de negocio.
Esta desconexión se agrava cuando los equipos de riesgo, resiliencia y operaciones responden de forma independiente, sin una comprensión compartida de la situación. Un choque geopolítico, por ejemplo, puede desencadenar escasez de combustible, interrumpir las cadenas de suministro, aumentar los costes, disminuir las ventas y presionar la estabilidad de la plantilla.
«La gestión de riesgos no es solo una cuestión de: ¿cómo evitamos que las cosas salgan mal? Sino más bien, ¿cómo garantizamos que la organización siga funcionando cuando varias cosas salen mal al mismo tiempo?».
— Agnès de Calbiac, Directora de Riesgos Corporativos y Aseguramiento, Southern Cross Healthcare
Las expectativas de los líderes también han cambiado. Los consejos de administración se centran en la rapidez y eficacia con que la organización responde a las interrupciones, en si los servicios críticos pueden continuar y adaptarse bajo presión, y en cuánto valor preserva la organización.
Las normativas impulsan a las organizaciones a vincular el riesgo y la resiliencia
Los requisitos normativos se centran cada vez más en que las organizaciones mantengan las operaciones, gestionen a terceros y respondan a las interrupciones como un sistema conectado y coordinado.
En todas las jurisdicciones, los reguladores esperan que usted conecte el riesgo operativo, la continuidad del negocio y la supervisión de terceros. En Australia, la norma APRA CPS 230 establece las expectativas para la resiliencia operativa de extremo a extremo, incluyendo el mapeo de servicios, las tolerancias de impacto y la supervisión de proveedores críticos. En Nueva Zelanda, la Autoridad de Mercados Financieros se centra en la resiliencia operativa y la notificación oportuna de incidentes. En la UE, DORA establece requisitos para la gestión de riesgos de TI, las pruebas de resiliencia y los controles de riesgos de terceros.
Incluso fuera de los servicios financieros, estas directrices son importantes. Las organizaciones deben integrar sus procesos de gestión de riesgos y resiliencia en un único modelo operativo, lo que refuerza su capacidad para ofrecer productos y servicios durante las interrupciones, adaptarse a medida que cambian las condiciones o se propagan los impactos, e incorporar el aprendizaje a sus procesos de riesgo y resiliencia.
Basándose en su experiencia intersectorial, David Turner, CEO de Risk New Zealand, destaca las prácticas comunes entre las organizaciones que refuerzan la resiliencia:
- Probar los planes de continuidad con mayor frecuencia, pasando de ciclos anuales o de 18 meses a ejercicios trimestrales o semestrales
- Ampliar la supervisión y el aseguramiento a toda la cadena de suministro, incluidas las dependencias de terceros y cuartas partes
- Formalizar la planificación de la sucesión para puestos críticos y reforzar la formación cruzada y el intercambio de conocimientos
- Planificar ante interrupciones sistémicas mediante pruebas de escenarios estructuradas y planes de contingencia
- Ampliar la educación y la formación para aumentar la concienciación sobre el riesgo y la resiliencia en todos los niveles
Los estándares de resiliencia se centran en un enfoque integrado
Los estándares internacionales proporcionan ahora orientación a las organizaciones sobre cómo conectar la gestión de riesgos, la continuidad del negocio y la resiliencia organizacional en un modelo estratégico y operativo eficaz:
- ISO 31000 – Directrices para la gestión de riesgos: establece cómo identificar, evaluar y gestionar el riesgo en toda la organización
- ISO 22301 – Sistemas de gestión de la continuidad del negocio: define cómo planificar ante interrupciones, realizar análisis de impacto en el negocio y recuperar servicios críticos
- ISO 22316 – Resiliencia organizacional (Principios y atributos): describe cómo el liderazgo, la cultura y la adaptabilidad refuerzan la resiliencia a largo plazo
- ISO 22332 – Marco de resiliencia organizacional: proporciona orientación sobre cómo integrar la resiliencia en la estrategia, las operaciones y la toma de decisiones
Es importante destacar que estos estándares sugieren un enfoque conectado entre la estrategia y los objetivos de la organización, garantizando que los enfoques integrados de riesgo y resiliencia se alineen con el éxito del negocio.
Resiliencia operativa frente a resiliencia organizacional
La resiliencia en la organización tiene dos enfoques distintos: 1) Resiliencia operativa: mantener los servicios, las operaciones y la infraestructura críticos durante las interrupciones, y 2) Resiliencia organizacional: la capacidad de toda la organización para anticipar, adaptarse y prosperar ante las interrupciones.
Los elementos de cada una pueden resumirse como:
| RESILIENCIA OPERATIVA | RESILIENCIA ORGANIZACIONAL |
|
|
Los elementos de resiliencia operativa deben estar implantados y funcionar eficazmente para respaldar un enfoque exitoso de la resiliencia organizacional.
«La resiliencia operativa protege las operaciones de hoy, mientras que la resiliencia organizacional protege la relevancia del mañana».
— Agnès de Calbiac, Directora de Riesgos Corporativos y Aseguramiento, Southern Cross Healthcare
Los líderes y directivos necesitan una estrategia, procesos, funciones y responsabilidades claros tanto para la resiliencia operativa como para la organizacional, a fin de garantizar que toman las decisiones correctas y las medidas necesarias en el momento adecuado. Esto permite poner a prueba las suposiciones que sustentan la estrategia, identificando dónde podrían romperlas las interrupciones y actuando ante las oportunidades de adaptación o reposicionamiento.
El lado humano de la resiliencia
La tecnología, los procesos y la gobernanza solo forman parte de la ecuación. La resiliencia depende de personas que puedan tomar decisiones rápidas e informadas, cambiar las prioridades y reasignar los recursos cuando se produce una interrupción.
Esa capacidad no surge por casualidad. Se forja de arriba abajo. El liderazgo marca la pauta de la seriedad con la que se toma la resiliencia, cómo y cuándo se toman las decisiones y cuánta autonomía tienen los equipos al responder a una interrupción. Cuando los líderes priorizan la resiliencia, comunican expectativas claras y modelan un comportamiento decisivo, esto se transmite a toda la organización, desde los equipos ejecutivos hasta la primera línea.
«La gestión de riesgos se mueve actualmente con demasiada lentitud, y esa lentitud crea sus propios riesgos. Necesitamos pensadores más rápidos y acciones más rápidas. Necesitamos conocer el entorno operativo de nuestra organización lo suficientemente bien como para permitirlo».
— David Turner, CEO, Risk New Zealand
No se puede confiar únicamente en la estructura. Las personas determinan la eficacia con la que su organización responde cuando se produce una interrupción.
Las organizaciones que integran la resiliencia en las operaciones diarias capacitan a sus equipos de riesgo y resiliencia para ir más allá del mantenimiento de controles y planes. Estos equipos comprueban cómo funcionan los procesos bajo presión, cuestionan las suposiciones y comunican ideas que respaldan decisiones mejores y más rápidas.
Esto exige algo más que experiencia técnica en marcos de riesgo y planes de continuidad de negocio. Asegúrese de que sus equipos puedan trabajar de forma transversal, participar en pruebas de escenarios, adaptarse rápidamente a las circunstancias cambiantes y alinearse con los objetivos de negocio. Esto les permite influir en las decisiones, entablar relaciones entre funciones y conseguir apoyo para las iniciativas de resiliencia.
La planificación de la sucesión y la gestión del conocimiento también requieren atención. La dependencia de personas clave sigue exponiendo a las organizaciones a riesgos innecesarios. La documentación por sí sola es insuficiente. Los procesos no probados y los manuales estáticos ofrecen poca protección cuando las condiciones cambian.
La resiliencia se fortalece cuando el conocimiento y el aprendizaje se difunden entre los equipos en lugar de recaer en individuos o quedar bloqueados en los sistemas.
Construir la resiliencia mediante la previsión y las señales informativas
La resiliencia no consiste solo en cómo responde su organización a una interrupción, sino en la antelación con la que puede verla surgir. La diferencia entre una interrupción gestionada y otra que se agrava suele residir en la rapidez y la calidad de la previsión y las señales.
Los procesos tradicionales de gestión de riesgos y resiliencia se centran en gran medida en evaluaciones periódicas y análisis de escenarios estructurados. Aunque siguen siendo importantes, a menudo son demasiado estáticos para captar riesgos interconectados o que se mueven con rapidez.
La gestión de riesgos y resiliencia con visión de futuro desplaza la atención de lo que ha sucedido históricamente a lo que más podría suceder. Esto requiere un escaneo estructurado del horizonte, no como un ejercicio teórico, sino como un proceso continuo de seguimiento de señales e indicadores externos e internos.
El análisis de escenarios desempeña un papel fundamental a la hora de convertir la información en acción. Al probar cómo podrían desarrollarse diferentes tipos de interrupciones, las organizaciones pueden identificar puntos de presión, cuestionar suposiciones y comprender el impacto potencial en el negocio antes de que los eventos se materialicen.
Haga evolucionar sus evaluaciones de riesgos habituales para identificar y evaluar los riesgos emergentes. Este enfoque implica identificar dependencias, así como señales e indicadores, para mejorar la calidad de la información y respaldar una intervención temprana.
El valor de este enfoque no es simplemente una mayor concienciación. Reduce los riesgos inesperados y mejora la calidad y la rapidez de la toma de decisiones cuando se producen interrupciones. Las organizaciones que invierten en previsión minimizan las sorpresas, responden antes y limitan la escala y el impacto de la interrupción en el negocio.
Esto desplaza la gestión de riesgos y resiliencia del análisis periódico a la concienciación continua, donde las señales se supervisan y se actúa sobre ellas en tiempo real, en lugar de confiar únicamente en revisiones y actualizaciones programadas.
Evolucionar sus procesos de riesgo hacia una capacidad centrada en la resiliencia
El paso de gestionar registros de riesgos y planes de continuidad de negocio en funciones aisladas a una capacidad integrada centrada en el riesgo y la resiliencia requiere que se realicen varios cambios en la organización.
Agnès de Calbiac, Directora de Riesgos Corporativos y Aseguramiento de Southern Cross Healthcare, describe cuatro pasos prácticos que puede dar:
- Utilice la planificación de escenarios para detectar a tiempo dónde podría fallar su estrategia. Esto le ayuda a actuar antes y a tomar mejores decisiones de inversión antes de que los riesgos se agraven.
- Conecte las actividades de riesgo en toda su empresa. Esto mejora la alineación de los equipos, los datos y las prioridades, y aclara la autoridad para la toma de decisiones durante un incidente.
- Mapee y someta a pruebas de estrés las dependencias clave. Esto le ayuda a comprender cómo se propagan las interrupciones a través de proveedores, socios y su plantilla, no solo los controles individuales.
- Trate las interrupciones como oportunidades de aprendizaje. Esto permite la mejora continua mediante ejercicios, revisiones y la adaptación para el futuro.
Reforzar la resiliencia operativa con una gestión de riesgos integrada
Un enfoque desconectado del riesgo y la resiliencia deja lagunas y vulnerabilidades durante los eventos de interrupción. Unirlos proporciona planes y procesos más eficaces, respaldados por datos e información compartidos que pueden desplegarse para garantizar una respuesta y una toma de decisiones rápidas.
En la Primera parte de la serie de seminarios web Resilience Reset con Riskonnect, Agnès de Calbiac destacó tres escenarios comunes en los que la integración del riesgo y la resiliencia mejora los resultados.
Ciberataque
Pensemos en un ataque de ransomware. Un enfoque de riesgo basado en el control hace hincapié en la prevención mediante cortafuegos, controles de acceso y autenticación, mientras que los esfuerzos de resiliencia se centran en la recuperación tras el fallo de los sistemas. Cuando estos esfuerzos permanecen separados, surgen lagunas durante los incidentes y la respuesta se ralentiza.
Un enfoque integrado le prepara tanto para la prevención como para la continuidad. Usted diseña los sistemas para que fallen de forma segura, mantiene los servicios críticos a un nivel reducido pero funcional y establece de antemano una autoridad de decisión clara. Incluso si un ataque supera sus controles, puede seguir atendiendo a los clientes y limitar la interrupción operativa.
Interrupción de la cadena de suministro
Pensemos en una operación de fabricación que depende en gran medida del combustible. Un acontecimiento geopolítico encarece el combustible y restringe su disponibilidad, lo que presiona tanto los costes como la capacidad de entrega. Un enfoque de riesgo tradicional gestiona la exposición financiera mediante coberturas, precios fijos o cambios de proveedor, pero deja la producción vulnerable cuando la capacidad de transporte se reduce.
Una respuesta basada en la resiliencia aporta flexibilidad en el abastecimiento, la producción y la logística. Usted diversifica las opciones de suministro, ajusta la planificación de la producción y prioriza los resultados críticos bajo restricciones. Juntas, estas acciones le ayudan a mantener la entrega al tiempo que controla el impacto en los costes.
Dependencia de personas clave
Un ingeniero principal posee un profundo conocimiento práctico de un sistema crítico. Una respuesta de riesgo tradicional se basa en la documentación, pero los materiales escritos rara vez captan cómo se comportan los sistemas bajo presión o cómo se resuelven los problemas en la práctica.
Un enfoque integrado difunde el conocimiento mediante formación cruzada estructurada, simulaciones y ejercicios prácticos. Usted prepara a varios miembros del equipo para operar y recuperar el sistema bajo estrés, reduciendo la dependencia de cualquier individuo y reforzando el rendimiento diario.
¿Qué cambia con la integración?
En todos estos escenarios, la integración mejora su respuesta. Mantiene el servicio durante la interrupción, toma decisiones más rápidas bajo presión y reduce el impacto financiero y operativo, mientras que las organizaciones menos preparadas se enfrentan a retrasos, pérdida de ingresos e interrupciones para los clientes.
Argumentos a favor de la integración del riesgo y la resiliencia en su organización
La integración del riesgo y la resiliencia requiere tiempo y un sólido apoyo del liderazgo, y el valor queda claro cuando se examina cómo afectan las interrupciones a las operaciones y a los resultados del negocio. Puede empezar involucrando a los altos ejecutivos y centrando el debate en los riesgos que plantean los enfoques tradicionales y aislados. Estos incluyen el enfoque en riesgos de eventos únicos, la dependencia excesiva de los controles preventivos, la dependencia de individuos clave y las vulnerabilidades operativas durante los tiempos de inactividad que limitan la respuesta rápida y la recuperación de los eventos de interrupción.
Los consejos de administración y los ejecutivos requieren garantías sobre el rendimiento de las operaciones críticas ante una interrupción, la rapidez con la que pueden recuperarse los servicios empresariales esenciales y el rendimiento de la organización cuando fallan los controles o la capacidad se ve limitada.
Comience por mapear los puntos de integración entre las funciones y procesos de riesgo y resiliencia dentro de su organización. Identifique qué datos se requieren, cómo se comparten, dónde los límites funcionales retrasan las respuestas a las interrupciones emergentes y dónde las responsabilidades y la toma de decisiones aisladas o fragmentadas debilitan las iniciativas de resiliencia.
Reúna pronto a las partes interesadas para establecer una comprensión compartida de la exposición estratégica y operativa. Vincule las discusiones con los objetivos organizacionales y las prioridades de negocio ya integradas en la toma de decisiones ejecutiva, incluyendo la continuidad del negocio, la estabilidad organizacional y financiera, la protección de la reputación y la posición competitiva sostenida.
Cuando las organizaciones se acercan a la alineación entre las funciones de riesgo y resiliencia, la interacción entre los equipos aumenta de forma constante, los procesos mejoran y los datos compartidos aumentan la visibilidad de la exposición emergente y respaldan la toma de decisiones informada. Esto, a su vez, mejora su capacidad para mantener las operaciones y el rendimiento del negocio ante una interrupción.
La gestión de riesgos y la resiliencia como disciplinas siguen evolucionando. Los cambios en las normativas, los estándares internacionales y las directrices, así como las organizaciones líderes, están impulsando un cambio de la simple gestión de registros de riesgos y planes de continuidad de negocio a la creación de una empresa que anticipe y gestione la exposición al riesgo, se adapte y prospere bajo estrés. Lo están logrando combinando su riesgo con una capacidad centrada en la resiliencia.
Obtenga más información sobre cómo puede integrar la planificación de riesgos y continuidad para aumentar la resiliencia. Vea nuestro seminario web a la carta con David Turner, CEO de Risk New Zealand, y Agnès de Calbiac, Directora de Riesgos Corporativos y Aseguramiento de Southern Cross Healthcare.
