Por: CP Iván Rodríguez. Colaborador de Auditool
Las auditorías de continuidad del negocio
La actual pandemia ha mostrado para las empresas la importancia de contar con un plan de continuidad del negocio que sea eficaz. Un importante número de compañías se ha visto obligada a revisar los planes de continuidad del negocio (BCP) y explorar formas efectivas de incorporar sus prácticas en las operaciones diarias.
En un entorno de incertidumbre y preocupación por temas de salud, económicos, tecnológicos y de riesgos, los planes y programas de continuidad del negocio han adquirido prioridad. Los líderes empresariales se acercan al nuevo año con la intención y el interés de enfocarse en comprender los nuevos riesgos, críticos y potenciales, que podrían alterar el ya debilitado medio empresarial.
Si a esto se suma que tanto los reguladores como el mercado, exigen cada vez más que las empresas superen sus dificultades con rapidez, se espera que la auditoría desempeñe un papel más importante en la garantía de que la gobernanza, la gestión de riesgos y los controles que existen para mitigar los riesgos y mejorar las capacidades de resiliencia son adecuados. Esta dinámica cambiante ofrece una oportunidad para que la auditoría desarrolle un enfoque flexible y completo que se pueda incorporar a la continuidad del negocio existente y a las auditorías de TI[1].
Es conveniente entonces, considerar en la planeación del trabajo de auditoría, la ejecución de auditorías de continuidad del negocio con mayor intensidad y priorización, para evaluar el diseño y la eficacia operativa del programa de gestión de continuidad del negocio (BCM) y sus fases: evaluación del negocio, diseño de estrategia, implementación y garantía de calidad.
Evaluación de negocios
Como parte de este proceso, la auditoría debe revisar el estado actual del programa de gestión de continuidad del negocio (Business Continuity Management - BCM por sus siglas en inglés) y cómo se ejecutan sus elementos fundamentales, incluyendo la gobernanza, las actividades de evaluación de riesgos de continuidad y el análisis de impacto empresarial (Business Impact Analysis – BIA por sus siglas en inglés). Los resultados de la evaluación de riesgos de continuidad y BIA impulsarán la definición y el desarrollo de estrategias y soluciones de recuperación. Los procesos empresariales principales y las aplicaciones y sistemas de TI deben evaluarse desde una perspectiva general de impacto empresarial durante la evaluación de riesgos de continuidad y las actividades de BIA. Además, la alta dirección debe utilizar los resultados para medir y gestionar el riesgo en toda la empresa.
Diseño de estrategias
La evaluación del diseño de la estrategia implica una revisión de la gestión de crisis, la reanudación del negocio y las estrategias de recuperación ante desastres de TI. Estas son esencialmente las estrategias que las organizaciones implementan para minimizar o mitigar el riesgo de una interrupción del negocio. El objetivo de la auditoría es determinar si las estrategias están suficientemente definidas para comunicarse y responder a los eventos y recuperar los procesos y la tecnología empresariales críticos de manera oportuna.
Implementación
Las organizaciones también deben revisar cómo se formalizan las estrategias de BCM en planes documentados de gestión de crisis, reanudación de negocios y recuperación ante desastres de TI. En este ejercicio, la auditoría evaluará el contenido y la estructura del plan mientras determina si las funciones y responsabilidades apropiadas se describen en los planes y validará que las personas clave tienen un conjunto procesable de actividades que ejecutarían en caso de una interrupción del negocio.
Garantía de calidad
La fase de control de calidad está diseñada para evaluar si la gestión de crisis, la reanudación del negocio y los planes de recuperación ante desastres de TI se han probado correctamente y como se ha efectuado este proceso. En un caso ideal, las pruebas de plan se miden principalmente por una capacidad de recuperación esperada. A veces, las simulaciones se desarrollan utilizando riesgos probables identificados en una evaluación de riesgos. El objetivo principal de un programa de pruebas es verificar el contenido de los planes de recuperación y ofrecer una garantía razonable de que los planes proporcionarán la capacidad de recuperar con éxito el negocio de manera oportuna.
La auditoría debe evaluar el diseño y la ejecución del programa de pruebas, así como determinar si los planes se revisan y actualizan periódicamente para reflejar los cambios en el negocio a lo largo del tiempo y cómo esos cambios apoyan la recuperación oportuna de los procesos y la tecnología empresariales críticos.
Adicionalmente, la auditoría debe evaluar otros temas relacionados con el plan de continuidad, de manera que, al interior de las compañías se entienda la importancia de este tema y se asignen los recursos para su funcionamiento.
Comprensión del BCM
Es importante que los líderes empresariales tengan una sólida comprensión de los elementos fundamentales de su programa BCM (gobernanza, evaluación de riesgos de continuidad y análisis de impacto empresarial) para asegurar que las áreas de debilidad potencial se aborden rápidamente. El área de auditoría debe ser capaz de proporcionar información sobre estas áreas clave.
Gobernanza
Un programa BCM exitoso requiere varios niveles de responsabilidad dentro de una organización. Mientras que algunas organizaciones pueden decidir en última instancia crear una función de negocio o unidad independiente para gestionar el programa, muchos optan por utilizar los recursos existentes y / o personal de la función de negocio. Aun así, es aconsejable que la propiedad del programa BCM se mantenga a nivel ejecutivo dentro de la organización, para que el programa permanezca visible para los responsables de la toma de decisiones e influya en la adopción de la empresa.
La auditoría debe determinar si hay suficiente supervisión y participación de aquellas personas clave encargadas de asegurar que los planes de continuidad de negocio (business continuity plan -BCP por sus siglas en inglés) faciliten la recuperación exitosa del negocio de manera oportuna después de una interrupción. Por ejemplo, una revisión puede revelar que los esfuerzos de BCM de una empresa están liderados por la administración intermedia y se ejecutan sin la financiación adecuada y los recursos suficientes. En consecuencia, esta estructura de gobierno explicaría por qué las capacidades de continuidad existentes de la empresa son de naturaleza reactiva.
Evaluación de Riesgos de Continuidad
En muchas empresas se han desarrollado prioridades de recuperación ad hoc basadas en los niveles de importancia percibidos. Los escenarios de error y las evaluaciones de controles suelen estar incompletos y no se han establecido criterios de medición. Una evaluación del riesgo de continuidad está destinada a impulsar la mejora continua de las estrategias de recuperación. Idealmente, la ejecución y revisión de evaluaciones de riesgos se coordinan con la gestión del cambio organizativo y tecnológico o los procesos de diligencia debida. Una revisión del proceso de evaluación del riesgo de continuidad debe centrarse en si los resultados del proceso de evaluación se utilizan para guiar las actividades del programa BCM.
Análisis de Impacto Empresarial
Un tipo de evaluación de riesgos que sirve como la base de un programa BCM, la BIA permite a las organizaciones capturar y medir eficazmente los posibles impactos comerciales de una interrupción (es decir, impactos operativos, de reputación, financieros, regulatorios o de cumplimiento). El objetivo de la BIA es establecer prioridades de recuperación para los procesos de negocio y los recursos (por ejemplo, tecnología, espacio de trabajo, equipos, personal y terceros) en los que se basan cada uno de esos procesos. La auditoría debe evaluar la BIA para determinar si el proceso incluye detalles suficientes para determinar las exposiciones a interrupciones del negocio, su impacto y los requisitos de recuperación utilizados para impulsar el desarrollo y la planificación de la estrategia de BCM.
Como se aprecia, la planificación de la continuidad del negocio requiere desarrollar diferentes alternativas que contemplen una variedad de eventos o desastres que puedan afectar a un negocio y luego esbozar cómo las organizaciones deben responder durante y/o después de esos eventos. Es un proceso que requiere mejora continua y vigilancia. En este período de interrupción e incertidumbre, los líderes empresariales necesitan una comprensión profunda del programa BCM y planes para recuperar los procesos de negocio después de una interrupción.
La auditoría, desde la órbita de su competencia debe evaluar la continuidad del negocio, determinar si los empleados son claramente conscientes de sus responsabilidades en caso de interrupción y si están capacitados en la ejecución de los procedimientos planificados para recuperar con éxito las operaciones comerciales de manera oportuna.
[1] Basado en: https://www.corporatecomplianceinsights.com/growing-need-business-continuity-audits/
CP Iván Rodríguez -
Auditor y Consultor, Diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, Diplomado en Gerencia de la Calidad, Contador Público de la Pontificia Universidad Javeriana, con 20 años de experiencia en diversas empresas. Amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool
Bogotá DC, Colombia
Y luego Agregar a la pantalla de inicio.