La Oficina del Superintendente de Instituciones Financieras de Canadá -OSFI- es la última de una larga lista de organismos rectores en publicar nuevos requisitos de resistencia operativa.
Directriz E-21 se publicó el 22 de agosto de 2024, y la OSFI espera la plena adhesión de las instituciones financieras reguladas a nivel federal para el 1 de septiembre de 2026. Las FRFI incluyen bancos y compañías de seguros canadienses, así como sus homólogos extranjeros con operaciones en Canadá.
Al igual que otras normativas sobre resistencia operativa, el objetivo es ayudar a las instituciones financieras a mejorar su capacidad para prevenir, detectar, responder y recuperarse de acontecimientos adversos, sin dejar de realizar operaciones críticas. La versión de la OSFI combina elementos de la gestión del riesgo empresarial con la continuidad de la actividad para reforzar la resistencia de forma integral.
Aunque la directriz introduce nuevos requisitos, se basa en gran medida en las prácticas existentes. Para cumplirla plenamente, tendrás que colaborar con todos los equipos de riesgo y resistencia para establecer un marco claro de gestión del riesgo operativo.
La buena noticia es que la mayoría de las organizaciones ya deberían tener las piezas básicas de este puzzle. Empieza por ahí y luego utiliza la directriz como marco estructurado para mejorar y validar la resiliencia.
Los Cuatro Pilares de la Directriz E-21 de la OSFI
La directriz E-21 establece las expectativas para el riesgo operativo y la resistencia en cuatro áreas principales:
Gobernanza. La directriz señala que la alta dirección debe ser responsable de desarrollar, aplicar y supervisar un marco eficaz de gestión del riesgo operativo y un enfoque de resistencia, garantizando una clara rendición de cuentas, recursos adecuados y una sólida cultura del riesgo. Las funciones empresariales y centrales deben gestionar los riesgos operativos y escalar los problemas adecuadamente. Se incluyen directrices adicionales para las funciones de supervisión independiente y auditoría interna.
Gestión del Riesgo Operativo. Las empresas deben tener un marco eficaz de gestión del riesgo operativo, que incluya un apetito de riesgo definido, políticas, herramientas de supervisión y métodos de evaluación para gestionar los riesgos relacionados con las personas, los procesos, los sistemas y los acontecimientos externos. Deben establecerse revisiones, controles e informes periódicos, junto con una escalada para informar a la alta dirección y al consejo de los problemas importantes.
Resiliencia operativa. Las empresas deben identificar y mapear las operaciones críticas, evaluar las dependencias y asegurarse de que pueden soportar perturbaciones graves pero plausibles dentro de los márgenes de tolerancia establecidos. Deben realizarse pruebas periódicas de escenarios, que incluyan simulaciones y coordinación con terceros, para perfeccionar las estrategias de resistencia y mejorar la capacidad de gestionar las crisis con eficacia.
Áreas clave de la gestión del riesgo operativo que refuerzan la resistencia operativa. Para respaldar la resistencia operativa, las empresas también deben cumplir las expectativas descritas para otras disciplinas de gestión de riesgos, como la continuidad de la actividad, la recuperación en caso de catástrofe, la gestión de crisis, la gestión del cambio, el riesgo tecnológico y cibernético, el riesgo de terceros y el riesgo de datos.
Cómo prepararse para la Directriz E-21 de la OSFI
Aquí tienes cinco pasos que te ayudarán a cumplir estos requisitos:
1. Crea un comité interdisciplinar. La directriz E-21 hace hincapié en cómo se necesitan varias disciplinas de riesgo para reforzar la resistencia. Empieza por establecer un líder organizativo que dirija un comité de cumplimiento y encabece la comunicación entre los equipos de GRC, TI y continuidad empresarial.
2. Realiza un análisis de las deficiencias. Toma el estado de tus programas de riesgo actuales revisando las políticas y procedimientos de tus programas de riesgo operativo, continuidad de negocio, recuperación ante desastres, riesgo de terceros, riesgo tecnológico, gestión de crisis y gobierno de datos, comparándolos con los nuevos requisitos. Analiza qué requisitos se cumplen ya y cuáles necesitan un mayor desarrollo, y luego crea un plan de acción claro utilizando la directriz E-21 como validación.
3. Reforzar la gobernanza y la supervisión de los riesgos. Establece funciones, responsabilidades y rendición de cuentas claras en la alta dirección, las unidades de negocio y las funciones de riesgo. Proporciona formación, mejora la información sobre riesgos para mayor claridad, y permite que las funciones de supervisión cuestionen las prácticas y garanticen el cumplimiento de tu apetito y tolerancias de riesgo definidos.
4. Mapea y evalúa las operaciones críticas. Identifica las operaciones críticas -también conocidas como servicios empresariales importantes- y sus dependencias (internas y externas), mapea las vulnerabilidades y establece tolerancias para las interrupciones. Debes revisar y actualizar periódicamente estas evaluaciones con la aportación de la dirección, para alinearlas con la evolución de los riesgos y las prioridades empresariales.
5. Desarrollar y probar marcos de resiliencia. Establece o mejora los marcos de resistencia operativa para apoyar la continuidad de tus operaciones críticas e integrar la continuidad de negocio, la recuperación ante desastres y la gestión de crisis. Realiza pruebas de escenarios y ejercicios de planes de continuidad de negocio para probar la eficacia de tu preparación ante perturbaciones graves pero plausibles.
Con la inminente fecha límite de septiembre de 2026, ahora es el momento de que evalúes tus capacidades y perfecciones tus estrategias. Un enfoque sólido y bien integrado de la resiliencia operativa no sólo te ayudará a cumplir las expectativas normativas, sino también a salvaguardar tus operaciones, proteger a las partes interesadas y mejorar tu estabilidad a largo plazo.
