sábado, 5 de mayo de 2012

Continuidad de Negocio y Riesgo Operativo

La última ocurrencia del gobierno argentino de nacionalizar YPF, seguida por el boliviano haciendo lo propio con la filial de REE, ha planteado en diferentes foros de continuidad de negocio la necesidad o no de incluir este tipo de escenarios en el alcance de los planes.  ¿Realmente deben los responsables de continuidad de negocio contemplar en sus planes la posibilidad de una expropiación? y por extensión ¿se deben incluir escenarios de quiebra de la compañía o de una situación económica extremadamente adversa como  la que está provocando la crisis financiera que estamos viviendo? No es una reflexión baladí, puesto que el alcance va a determinar la justificación económica de los programas de continuidad y los perfiles de los responsables dentro de las organizaciones.

Una respuesta a esta cuestión puede encontrarse en la gestión de riesgos operacionales y su posible integración con continuidad de negocio. La gestión de riesgo operacional consiste en analizar aquellos factores que puede afectar negativamente al negocio, identificando, como en todo análisis de riesgo, la probabilidad de ocurrencia y el impacto económico que provocaría.

En algunos sectores, como en el financiero, la gestión de riesgo operacional es una práctica más que habitual. De hecho la regulación del sistema bancario Basilea II define el riesgo operacional como:
 “The risk of loss resulting from inadequate or failed internal processes, 
people and systems or from external events.” 

Lo que suena bastante parecido a un análisis de riesgos desde la perspectiva de Continuidad de Negocio. Profundizando un poco más, Basilea II define siete categorías de riesgo operacional:

  • Internal fraud;
  • External fraud;
  • Employment practices and workplace safety;
  • Clients, products and business practice;
  • Damage to physical assets;
  • Business disruption and systems failures;
  • Execution, delivery and process management.


Aunque podemos encontrar una gran similitud entre algunas de estas categorías y los escenarios típicos de continuidad de negocio, parece lógico que no toda ellas entren a formar parte de nuestro plan de continuidad. Por ejemplo, el daño de activos físicos puede ser cubierto por el plan de continuidad, incluyendo, en caso de ser activos tecnológicos, un plan de recuperación del servicio IT, con sus correspondientes procedimientos operativos de recuperación. Sin embargo, las categorías de fraude, interno y externo, parecen alejadas del mundo de la continuidad de negocio.

Tal y como propuso Richar Wartered, de Marsh Risk Consulting, en el workshop del BCI Risk, Resilience & Continuity, los procesos de gestión de continuidad y de gestión del riesgo operacional deben iniciarse en paralelo y de forma independiente, uniendo los resultados a la hora de definir una estrategia de mitigación del riesgo.

Pero no hay que olvidar que el objetivo de los planes de Continuidad de Negocio es garantizar la recuperación después de un desastre, es decir, se debe focalizar en el momento posterior a la ocurrencia de un desastre, mientras que la gestión riesgos tiene su foco en la prevención, es decir, en los momentos anteriores a la ocurrencia de un desastre.

De cara a acotar el alcance de los planes de continuidad, lo mejor es seguir la BS25999, y esperemos que pronto la ISO 22301, en la que se definen los cinco componentes que deben incluirse en el alcance:
  • Ubicaciones físicas
  • Personas
  • Infraestructura Tecnológica
  • Información
  • Proveedores
Tal y como describía en una entrada anterior (Componentes que soportan el negocio), en función de la naturaleza del negocio cada uno de estos componentes tendrá un peso, pero no se debe perder el foco en estos puntos.