Por: C.P. Iván Rodríguez. Colaborador de Auditool
Actualmente, las interrupciones operativas están impactando a las empresas con mayor frecuencia y severidad; y con cada materialización de riesgos, el enfoque en la gestión de las amenazas operativas está cambiando para evitar que ocurran eventos, minimizar su impacto o para restablecer los servicios lo más rápido posible.
En diferentes jurisdicciones, los reguladores exigen que las empresas y las infraestructuras de los diferentes sectores (por ejemplo, el sector financiero) demuestren una mayor capacidad de recuperación, a la vez que están considerando enfoques regulatorios que son significativamente diferentes de los utilizados para abordar el capital, la liquidez y otros riesgos financieros. La capacidad de las empresas para resistir un evento adverso y continuar proporcionando bienes y servicios, está ahora a la vanguardia en la regulación.
Uno de los temas que preocupa a la alta dirección y por supuesto a los auditores (internos y externos) es comprender, prevenir y recuperarse de eventos extremos pero posibles. Hay factores clave que las empresas deben tener en cuenta al formalizar y gestionar la capacidad de recuperación de sus servicios comerciales críticos.
Cuando las empresas operan en diferentes jurisdicciones y/o contratan con terceros algunos de sus servicios, corren mayores riesgos operativos, pues deben enfrentar diversas estructuras de gobierno, procesos organizacionales, sistemas de TI, problemas culturales y obligaciones regulatorias, factores que pueden complicar los esfuerzos para desarrollar la capacidad de recuperación operativa.
Los componentes clave de la capacidad de recuperación operativa, que incluyen la definición de servicios comerciales críticos y el impacto económico, requieren que las empresas tengan una comprensión completa de todos los servicios comerciales, funciones y relaciones con terceros. Para lograr mejores estándares de resistencia operativa, las empresas, independientemente de su tamaño, deberían:
- Comprender y priorizar la criticidad de las líneas de negocios o servicios que brindan a terceros interesados.
- Determinar la tolerancia al impacto de la organización para cada línea de negocio.
- Evaluar cómo una interrupción prolongada afectará a los terceros interesados de la organización.
- Considerar los efectos de las interrupciones del negocio no solo en las partes interesadas de la empresa, sino también en el sector al que pertenecen.
- Contar con planes de contingencia y de continuidad del negocio, apropiadamente documentados, divulgados y probados.
La interdependencia con proveedores externos crea vulnerabilidades adicionales. Por ejemplo, algunas empresas dependen de otras, en diferentes aspectos de las operaciones comerciales habituales. Por tal razón deben tener procesos establecidos para garantizar que la capacidad de recuperación operacional incluya a los proveedores.
En ocasiones, la regulación no es clara sobre este tema o es inexistente. Es una situación compleja, pues al materializase un riesgo operativo, las consecuencias pueden ser sanciones, daños a la reputación y, en última instancia, deserciones de los clientes. No obstante, esto no exime a las empresas de tener medidas robustas de mitigación de los riesgos operativos.
En ese sentido, es importante que las empresas determinen tolerancias de impacto apropiadas, lo que significa que pueden crear métricas alrededor del nivel de interrupción que pueden soportar si sus servicios más importantes fallan debido a un evento operativo grave
Las empresas también deberían estar preparadas para demostrar que no solamente han identificado funciones y servicios críticos, y que están monitoreando y probando su resistencia frente a los peores escenarios, sino que han implementado sistemas y procesos que les permitirían continuar brindando servicios ante la ocurrencia de un evento extremo.
Las empresas también deberían estar preparadas para demostrar que no solamente han identificado funciones y servicios críticos, y que están monitoreando y probando su resistencia frente a los peores escenarios, sino que han implementado sistemas y procesos que les permitirían continuar brindando servicios ante la ocurrencia de un evento extremo.
Lo anterior implica una juiciosa y periódica revisión de las políticas existentes, incluidas las de gestión de riesgos, tercerización, controles, y planes de comunicación y continuidad del negocio. En particular, hoy día se requiere contar con vigilancia efectiva a los procesos de TI, desarrollo de software seguro, simulación de ataques adversos e incluso gestión de riesgos cibernéticos planteados por el Internet de las cosas. Así mismo, se requiere fomentar la toma de medidas proactivas, como la autoevaluación de riesgos por áreas, el empleo de sistemas de respaldo y fortalecer una cultura de prevención en toda la empresa.
Los auditores, en virtud de su conocimiento y especialidad, pueden brindar una importante asesoría, desde la órbita de su competencia, en beneficio de las empresas.
Los auditores, en virtud de su conocimiento y especialidad, pueden brindar una importante asesoría, desde la órbita de su competencia, en beneficio de las empresas.
C.P. Iván Rodríguez – ivan.rodriguez@auditool.org
Auditor y Consultor, Diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, Diplomado en Gerencia de la Calidad, Contador Público de la Pontificia Universidad Javeriana, con 20 años de experiencia en diversas empresas. Amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool
Bogotá D.C, Colombia
No hay comentarios.:
Publicar un comentario