«La necesidad de gestionar el riesgo operativo es más acuciante que nunca», afirma el Instituto de Riesgo Operativo (IOR) en su libro blanco «Resiliencia Operativa». Destinado a ayudar a los profesionales del riesgo a mejorar la práctica de la gestión del riesgo operativo en sus organizaciones, el documento describe los principios de la resistencia operativa, junto con una serie de buenas prácticas, ejemplos y sugerencias para su consecución. En este breve blog analizamos algunos puntos clave de la guía:
La resistencia operativa es un resultado, no un riesgo
La resiliencia operativa se define como «la capacidad de una organización para realizar operaciones críticas en caso de interrupción» e históricamente se ha gestionado de forma proactiva mediante el marco de gestión de riesgos operativos (ORMF) de una organización y de forma reactiva mediante la gestión de la continuidad, la respuesta a incidencias y la planificación de crisis o recuperación. Éstos, sugiere el IOR, son «retrospectivos y se centran en la recuperación de sucesos específicos de riesgo individual de alto impacto (por ejemplo, corte de electricidad, incidente cibernético…) La resiliencia operativa es el resultado de la eficacia de estas actividades de gestión del riesgo, por lo que su gestión requiere coordinación y comprensión entre todas ellas» .
¿Cuál es el mejor enfoque para tu organización?
Adoptando la postura de que la resiliencia operativa es un componente del ORMF y debe gestionarse dentro de él, el IOR reconoce que, sobre todo en las grandes empresas, los equipos o funciones de resiliencia operativa pueden haberse creado independientemente del riesgo operativo y de los marcos de apoyo (TI, cibernético, continuidad de negocio, gestión de incidentes, etc.). A la hora de decidir qué sería lo más adecuado para tu empresa, el IOR sugiere que se tenga en cuenta:
- El tamaño y el alcance de la organización
- La amplitud de los servicios ofrecidos
- Madurez relativa de los marcos de gestión de riesgos proactivos y reactivos existentes
Mira el riesgo a través de una lente de «servicio
Según el IOR, «la resiliencia operativa exige que las organizaciones consideren el riesgo desde el punto de vista del servicio, y no sólo del sistema, la empresa o el área operativa. Aunque esto requiere un cambio de mentalidad, la resiliencia operativa es un resultado, no un riesgo, por lo que las actividades clave para gestionar los riesgos que en conjunto determinan la resiliencia operativa deben seguir los procesos de gestión de riesgos existentes y utilizar los marcos existentes cuando sea factible hacerlo». Puesto que la colaboración puede mejorar la gobernanza de la resiliencia operativa, es aconsejable identificar todos los servicios empresariales, definiendo cada uno como «un servicio que una organización presta a un usuario final externo» considerado importante si «su interrupción afectaría materialmente a la viabilidad (financiera u operativa) de una organización, causaría un perjuicio considerable a los clientes o afectaría a su capacidad para cumplir es estrategia aprobada por el Consejo».
Mapeo de procesos, medición del impacto del servicio
¿Por qué hay que mapear los procesos? Según el IOR, permite identificar y gestionar los riesgos operativos clave (personas, procesos y sistemas) asociados a la prestación de un servicio. «Comprender cómo se presta un servicio y cómo podría interrumpirse permite a las organizaciones poner en marcha medidas proporcionadas para evitar la interrupción del servicio y, como resultado, puede crear valor mediante la racionalización de las actividades de control existentes basadas en silos». Dado que es probable que el mapeo sea una tarea de gran envergadura, el IOR aconseja que haga referencia al contenido del registro de riesgos de una organización, lo que ayudará a centrarse en los mayores riesgos y su impacto (más que en su probabilidad). En lo que respecta a la medición, no existe ningún requisito de cuantificar el impacto utilizando métricas específicas. Merece la pena recordar que la resiliencia es «dinámica y, por tanto, las medidas deben, siempre que sea posible, basarse en datos y poder medirse en un tiempo lo más cercano posible al tiempo real, para apoyar una acción rápida en caso de que se produzca un acontecimiento operativo que afecte a la prestación del servicio».
Ajuste de la tolerancia al impacto
La sección 5 del libro blanco sobre Resiliencia Operativa detalla la determinación y el establecimiento de tolerancias de impacto para servicios empresariales importantes. «La tolerancia se expresará normalmente en términos de tiempo de interrupción del servicio (esto será obligatorio para las organizaciones de Servicios Financieros del Reino Unido), pero también puede utilizarse en combinación con otras métricas relevantes (por ejemplo, número de clientes afectados o volumen de producción)». El consejo de IOR es que las tolerancias se fijen en el punto en el que la interrupción causaría un riesgo intolerable -daño a los consumidores/participantes del mercado, daño financiero a la propia organización o a su licencia para operar- o antes.
Pruebas, supervisión y control de escenarios de resiliencia operativa
El Instituto recomienda que los escenarios de resiliencia operativa se diseñen y prueben del mismo modo que para el riesgo operativo. Aunque los resultados serán diferentes, serán útiles para la gobernanza y el cumplimiento, y para apoyar la toma de decisiones estratégicas y operativas. Se sugiere que la resiliencia operativa se tenga en cuenta en los foros de gestión del riesgo operativo y en los informes existentes. «…la rile general debe ser utilizar la información existente y, siempre que sea posible, no complicar en exceso. El objetivo es identificar los riesgos emergentes que podrían afectar a la capacidad de una organización para prestar el SII (o mantenerse dentro de la tolerancia de impacto en caso de interrupción) y, en su caso, tomar medidas para mitigarlos.» Dado que la gestión de la resiliencia operativa consiste en esperar cambios y reaccionar ante acontecimientos externos, la supervisión debe tener en cuenta:
- Interdependencia e interconexiones entre sistemas y servicios
- Dependencias de la3ª parte y subcontratación
- El entorno exterior
Considerar los procesos de gestión de riesgos existentes
IOR aconseja que, en primer lugar, se consulten las prácticas de gestión de riesgos existentes, ya que contendrán gran parte de los datos y las prácticas proactivas y reactivas necesarias para gestionar la resiliencia operativa. También puede ser útil recordar que Roma no se construyó en un día. La resiliencia operativa «es una disciplina en evolución y los marcos y políticas de gestión de la resiliencia operativa deben diseñarse para apoyar una toma de decisiones ágil y ser adaptables para responder a las amenazas, problemas y normativas emergentes».