Recientemente el Instituto de Auditores Internos publicó, como todos los años, un estudio denominado “2022 Risk in Focus report” en la que pone de manifiesto los riesgos más significativos a tener en cuenta por el auditor interno de cara a su plan de auditoría a tres años, siendo el más relevante el de la continuidad de negocio, gestión de crisis y respuesta a los desastres, permaneciendo en quinta posición para este año y subiendo a la cuarta para el año 2022 e incluso manteniéndose en estas posiciones para 2025. Lo cual se traduciría en que, la continuidad de negocio va a ser un asunto crítico para las funciones de auditoría, al menos, para los tres próximos años e incluso se prevé que podría convertirse a futuro en un riesgo “estructural” como otros emergentes como el cambio climático por la repercusión en los tiempos de incertidumbre actuales.
Es la primera vez que la continuidad de negocio, figure entre los cinco primeros riesgos identificados como más críticos por los auditores internos. Otros de los riesgos recurrentes podemos encontrar a la ciberseguridad, la seguridad del dato, cambios en regulaciones y leyes, disrupción digital, nueva tecnología e inteligencia artificial, capital humano, diversidad y gestión del capital, pero lo que resulta anecdótico es que esos cuatro riesgos específicos, podrían incluirse dentro de lo que abarca la continuidad de negocio y resiliencia operativa debido a que involucra aspectos de tecnología, personas, operaciones por el impacto regulatorio e infraestructuras.
Al respecto Richard Chambers publicó recientemente en su blog, que, el cambio y la incertidumbre definirán el 2022 y los siguientes años por lo que “La auditoría interna debe comprender este cambio en el mundo exterior, analizar cómo cree que la organización se está adaptando a estas presiones e identificar qué tan eficazmente se están gestionando los riesgos asociados”. Asimismo, los aspectos más críticos dentro de los sistemas de continuidad de negocio que destacan son el incremento de las regulaciones “sostenibles”, las tensiones en la cadena de suministro, la “fatiga” de la fuerza laboral y la erosión cultural, así como la salud y seguridad que aún se ven amenazadas con la Covid-19 y cualquier otro fenómeno similar relacionado con la salud.
Pero ahora es importante analizar ¿Cuál es la situación actual respecto de estos sistemas de gestión de la continuidad de negocio y su perspectiva a futuro? A continuación, te resumimos los aspectos y estudios más relevantes recientes del panorama internacional, como un estudio benchmark de tendencias a largo plazo sobre continuidad de negocio del Business Continuity Institute (BCI) Horizon Scan Report 2021:
El número de organizaciones que realizan análisis de tendencias a largo plazo ha aumentado a un máximo histórico (81,3%) y más de la mitad lo realiza de manera centralizada.
Se ha incrementado el uso de diferentes herramientas para el análisis de riesgos en todos los ámbitos. La COVID-19 ha alentado a las organizaciones a ser más minuciosas con sus análisis de tendencias y explorar nuevas fuentes de información.
A comparación con el año pasado, los profesionales están más seguros de que obtendrán una mayor inversión en sus programas de continuidad de negocio en el 2022.
A pesar de la pandemia, muchos profesionales informan que la experiencia positiva de Dirección con los departamentos de continuidad de negocio ha llevado a que haya mayor inversión en recursos.
En otra publicación del mismo instituto, The Future of Business Continuity and Resilience BCI, afirma que:
Los profesionales exploran nuevas y diversas fuentes de información para obtener una visión más amplia del panorama de riesgos.
Se prevé que en el futuro la inversión en continuidad y resiliencia empresarial aumentará.
Las organizaciones que se alinean o certifican con ISO 22301 exhiben un mayor grado de resiliencia.
Obtener la certificación puede ayudar a aportar beneficios tangibles a los balances
Los estándares de seguridad de la información y gestión de riesgos siguen siendo los estándares más populares
De acuerdo con una publicación en mayo de 2021, de la Asociación de Auditoría y Control de Sistemas de Información (ISACA,siglas en inglés), denominado, Key Considerations for Business Continuity and Disaster Recovery, actualmente el papel de los auditores internos es fundamental y de cara a futuro en esta materia.
Los auditores colaboran con la empresa en la fase de evaluación de riesgos del proceso de planificación de la auditoría, para identificar los desafíos para lograr alcanzar los objetivos de la organización. Especialmente durante las coordinaciones sobre la continuidad del negocio, los los tiempos de recuperación de las aplicaciones / sistemas; concienciación y formación a través de simulacros y los análisis de impacto empresarial.
El analizar los diferentes escenarios es un herramienta útil pero también desafiante en la planificación de la continuidad del negocio ya que se debe decidir, entre todos los escenarios posibles a los que podría enfrentarse, ¿cuáles deben incluirse en el plan de continuidad del negocio y cómo priorizar los escenarios seleccionados? Asimismo se debe analizar los recursos disponibles para llevar a cabo el proceso.
Un informe de la Organización Internacional de Comisión de Valores (IOSCO, siglas en inglés) de mayo de 2021, Thematic Review on Business Continuity Plans with respect to Trading Venues and Intermediaries Final Report IOSCO, nos brindan recomendaciones respecto a cómo los reguladores deben ejercer mayor presión para asegurar unos efectivos sistemas de gestión de continuidad de negocio, en particular que las empresas:
Contar con mecanismos para ayudar a garantizar la resiliencia, confiabilidad e integridad (incluida la seguridad) de los sistemas críticos.
Establecer, mantener e implementar, un Plan de Continuidad de Negocio escrito que identifique los procedimientos relacionados con una emergencia o interrupción de negocio significativa.
Actualizar su sistema de continuidad de negocio en caso de cualquier cambio material en las operaciones, estructura, negocio, o ubicación y realizar una revisión anual de la misma para determinar si es necesaria alguna modificación a la luz de los cambios en las operaciones, estructura, negocio o ubicación.
Finalmente, debemos recordar que la gestión de la continuidad de negocio es un riesgo que se encuentra en el Top 5 para los auditores internos a nivel global y, por tanto, es importante que este riesgo aparezca en los planes de auditoría de este año y de los venideros. De cara a poder establecer un plan razonable, puede comenzarse por la realización de un diagnóstico que permita poner el foco en los asuntos críticosdel sistema incluyendo en los planes de auditoría estos asuntos cada año.
Fuente: Tendencias.Kpmg