Auditando la resiliencia operativa

La resiliencia operativa es un tema complejo, que presenta tanto retos como oportunidades para la función de auditoría interna, dado que muchas organizaciones se encuentran en las primeras etapas de su camino para conseguir una resiliencia operativa efectiva.

La  función de auditoría interna debe tener como objetivo evaluar la eficacia de sus sistemas de gestión para alcanzar la resiliencia operativa de la organización.

Esto incluye definir e identificar los servicios / negocios críticos que, si se interrumpen, podrían afectar a los clientes, los mercados y otras partes interesadas junto con las medidas necesarias para garantizar que el negocio permanezca operativo.

Definiendo un alcance adecuado

El enfoque de auditoría dependerá de varios factores, entre otros, cómo entiende la Dirección la resiliencia operativa para la organización, el grado de madurez de los sistemas de gestión relacionados con la resiliencia operativa y si el marco de referencia utilizado está alineado con los objetivos de la organización.

Por ejemplo, en un entorno menos maduro, es más probable que auditoría interna proporcione más valor en la evaluación del diseño del marco y sistema de gestión de resiliencia operativa. En entornos más maduros, auditoría interna añadirá mayor valor en  centrar sus esfuerzos en proporcionar aseguramiento sobre la eficacia operativa de este marco/sistema. La función de auditoría interna también debe considerar si evaluará la resiliencia como una revisión independiente o  evaluar cómo la resiliencia operativa está cubierta en cada uno de los componentes, con un enfoque más amplio. Esto conlleva añadir un componente de resiliencia al alcance de la revisión en áreas como seguridad informática/ciberseguridad, gestión de la cadena de suministro, gestión de la continuidad, recuperación ante desastres y riesgo operativo.

Lo primero, tener claro los roles y responsabilidades

Auditoría interna tiene que entender quién está liderando esta gestión dentro de la organización. Normalmente, será el director de operaciones que trabaja estrechamente con el Director de Información / Tecnología y el Director de riesgos. Pero es lo primero a revisar dado que, si no existen responsabilidades claras, podría ser el primer riesgo para la resiliencia operativa. Adicionalmente, otro aspecto crítico es evaluar el grado de responsabilidad, entendimiento y proceso de escalado a nivel de Consejo.

Evaluación de riesgos

La función de auditoría interna debe formarse su propia opinión de los riesgos que podrían afectar a la resiliencia operativa de una organización y / o la causa operativa interrupción para definir su alcance de revisión y programa de trabajo. Si la Dirección ha completado una evaluación de madurez de la resiliencia, auditoría interna debe comparar estos resultados con su propia visión de la situación actual.

Al evaluar el riesgo, auditoría interna debe considerar puntos críticos que podrían indicar debilidades. Éstos incluyen:

• Falta de habilidades y comprensión en los niveles superiores
• Falta de análisis fundamentado de los servicios clave y los niveles de resiliencia requeridos
• Datos limitados e hipótesis poco realistas que respaldan el escenario análisis y pruebas
• Registro limitado o incompleto de servicios/negocios
• Inventario limitado / incompleto de personas, procesos, tecnología, instalaciones y datos (especialmente aquellos relevantes para los servicios críticos
• Cualificación, experiencia y rol del personal involucrado en la gestión de la resiliencia (incluido el análisis y diseño de actividades)
• Fluctuaciones significativas / inexplicables en las evaluaciones de probabilidad, interrupciones y el impacto potencial
• Mala articulación y comprensión del apetito al riesgo y tolerancias en toda la organización
• Nuevas regulaciones que aumentan los retos de resiliencia operativa (particularmente cuando se relaciona con el riesgo de compartir ilegalmente información confidencial del cliente).

Planificación: qué aspectos considerar

Auditoría interna debe considerar hasta qué punto la dirección ha tenido en cuenta lo siguiente:

• ¿La organización ha identificado sus servicios/negocios clave?
• ¿La organización ha identificado y documentado a las personas, procesos, tecnología, instalaciones e información asociado a los servicios/negocios clave?
• ¿La organización ha definido los escenarios y la metodología asociada que se utilizará para testear los escenarios y los resultados están actualizados y justificados?
• ¿Cuáles son las mayores amenazas de la resiliencia para la organización según la Dirección?
• ¿Qué áreas de la organización son las más maduras según la Dirección?
• ¿Quién es el responsable de liderar y hacerse cargo de la resiliencia operativa en la organización?
• ¿los órganos de gobierno tienen en conjunto suficientes conocimientos, habilidades y experiencia en relación con la resiliencia operativa?
• ¿Qué evaluaciones de experiencias pasadas se han realizado?
• ¿Tiene la Dirección conocimiento sobre cuáles son los niveles aceptables de disrupción? ¿Sabe si puede alcanzar este nivel?
• ¿Tiene la organización alguna estrategia para responder a las lecciones aprendidas y modificar sus procesos para ser más resiliente en el futuro?

Áreas clave para auditoría interna

1. Planes de continuidad del negocio

¿Cómo ha desarrollado e implementado la dirección los planes de continuidad de negocio para mantener la actividad dentro de las tolerancias de impacto o dentro de las actuales capacidades organizacionales? ¿Ha identificado la dirección los servicios críticos y ha definido los resultados requeridos para cada uno?

2. Testeo de escenarios

¿Ha desarrollado la dirección una serie de escenarios posibles y ha testeado la eficacia de sus planes de continuidad para mantener el nivel de actividad de cada servicio dentro de sus tolerancias de impacto? ¿se ha seguido una lógica amplia (como riesgos emergentes, cuasi accidentes, incidentes previos dentro del empresas, industrias locales y globales) en el desarrollo de los escenarios? ¿Son los planes de prueba de escenarios acordes para cada escenario? ¿Se están abordando las causas fundamentales de las pruebas fallidas?

¿Cómo identifica y evalúa la Dirección las lecciones aprendidas de los test de escenarios y desarrolla estrategias para cerrar los gaps identificados?

3. Respuesta a incidentes

¿Cómo ha diseñado la Dirección su metodología y manual de estrategias para responder a eventos disruptivos como ciberataques o incumplimientos de protección de datos?

4. Digitalización

¿Cómo ha evaluado la dirección el alcance de los procesos manuales en toda la organización y oportunidades identificadas para su automatización?

5. Gobernanza

¿Cuenta la organización con mecanismos de gobernanza de la resiliencia operativa adecuados, tales como?:

• Una estrategia de gobernanza eficaz y sostenible para abordar resiliencia operativa (y está alineada con la estrategia de negocio)
• Supervisión y seguimiento adecuados del apetito al riesgo de resiliencia y decisiones de inversión
• Pruebas suficientes y apropiadas de su respuesta antes un evento disruptivo
• Información de gestión relevante y adecuada (cuantitativa y cualitativa) que fluye a través de comités hasta el Consejo. La información de gestión de buena calidad debe permitir al Consejo medir y monitorear los factores clave de resiliencia operativa y tener una supervisión adecuada sobre el el desempeño de la empresa frente al apetito por el riesgo.
• Un conjunto de indicadores clave de riesgo vinculados a los factores clave de la resiliencia operativa y disponibilidad operativa
• Si la declaración de apetito por el riesgo de la organización proporciona reconocimiento de la interrupción operativa como un riesgo clave y cuantifica la cantidad de interrupción que podría tolerarse en caso de un incidente.
• ¿La declaración de apetito por el riesgo es lo suficientemente clara e incluye métricas / límites que están sujetos a una revisión anual por parte del Consejo?.
• Un marco alineado e integrado para la gestión de la resiliencia operativa dentro del sistema general de gestión de riesgos de la empresa.
• Funciones y responsabilidades asignadas para gestionar e informar sobre la resiliencia operativa, particularmente aquellos entre la primera y segunda líneas de defensa.

Resumiendo

La resiliencia operativa presenta retos y oportunidades para la función de auditoría interna que debe proporcionar un asesoramiento y/o aseguramiento razonable en función del grado de madurez del sistema de continuidad de negocio de la organización. Desde KPMG animamos a estas funciones a que asuman un papel proactivo en esta materia para añadir valor añadido para alcanzar una resiliencia operativa efectiva en su empresa.