La continuidad de negocio en el punto de mira del auditor interno para 2022

Como cada año por estas fechas, el Instituto de Auditores Internos publica un estudio con los riesgos más significativos a tener en cuenta por el auditor interno de cara a su plan de auditoría a tres años. En el último publicado hace una semana, 2022 Risk in Focus report, se pone de manifiesto que por primera vez uno de los cinco riesgos más relevantes identificados es la continuidad de negocio, gestión de crisis y respuesta a los desastres, permaneciendo en quinta posición para este año y subiendo a la cuarta para el año 2022 e incluso manteniéndose en estas posiciones para 2025. Conclusión: la continuidad de negocio va a ser un asunto crítico para las funciones de auditoría, al menos, para los tres próximos años.

Por nuestra experiencia y análisis de tendencias que veremos a continuación, desde KPMG consideramos que incluso podría convertirse a futuro en un riesgo “estructural” como otros emergentes como el cambio climático por la repercusión en los tiempos de incertidumbre actuales.

La continuidad de negocio, por primera vez, entre los cinco primeros riesgos identificados como más críticos por los auditores internos

En las cuatro posiciones anteriores se encuentran riesgos recurrentes como la ciberseguridad y la seguridad del dato, cambios en regulaciones y leyes, disrupción digital, nueva tecnología e inteligencia artificial, capital humano, diversidad y gestión del capital. Si nos fijamos, resulta curioso que esos cuatro riesgos específicos, podrían incluirse dentro del paraguas de continuidad de negocio y resiliencia operativa en el sentido amplio y estratégico del término, dado que involucra aspectos de tecnología, personas, operaciones por el impacto regulatorio e infraestructuras.

De cara al auditor interno, el propio estudio indica literalmente, como señalaba Richard Chambers recientemente en su blog, que “el cambio y la incertidumbre definirán el 2022 y los siguientes años. La auditoría interna debe comprender este cambio en el mundo exterior, analizar cómo cree que la organización se está adaptando a estas presiones e identificar qué tan eficazmente se están gestionando los riesgos asociados”. Asimismo, los aspectos más críticos dentro de los sistemas de continuidad de negocio que destacan son el incremento de las regulaciones “sostenibles”, las tensiones en la cadena de suministro, la “fatiga” de la fuerza laboral y la erosión cultural, así como la salud y seguridad con la amenaza aún de la COVID-19 (y a nuestro modo de entender, extensiva a cualquier otro fenómeno similar relacionado con la salud).

¿Cuál es la situación actual respecto de estos sistemas de gestión de la continuidad de negocio y su perspectiva a futuro?

Como buena auditora, acudiendo a los números e Insights a este respecto de estudios internacionales, podemos hacer una radiografía de la situación actual. A continuación, resumo los aspectos y estudios más relevantes recientes del panorama internacional.

De acuerdo con un estudio benchmark de tendencias a largo plazo sobre continuidad de negocio del Business Continuity Institute (BCI) Horizon Scan Report 2021:

• El número de organizaciones que realizan análisis de tendencias a largo plazo ha aumentado a un máximo histórico (81,3%) y más de la mitad lo realiza de manera centralizada.
• El uso de diferentes herramientas para el análisis de riesgos se ha incrementado en todos los ámbitos. La COVID-19 ha alentado a las organizaciones a ser más minuciosas con sus análisis de tendencias y explorar nuevas fuentes de información.
• Los profesionales están más seguros de que obtendrán una mayor inversión en sus programas de continuidad de negocio este año que en el mismo periodo del año pasado.
• Muchos profesionales informan que la experiencia positiva de Dirección con los departamentos de continuidad de negocio durante la pandemia ha llevado a que haya mayor inversión en recursos.

Este mismo instituto en otra publicación, The Future of Business Continuity and Resilience BCI, afirma que:

• Los profesionales están explorando nuevas fuentes de información para obtener una visión más amplia del panorama de riesgos.
• Parece que la inversión en continuidad y resiliencia empresarial aumentará en el futuro
• Las organizaciones que se alinean o certifican con ISO 22301 exhiben un mayor grado de resiliencia
• La certificación puede ayudar a aportar beneficios tangibles a los balances
• Los estándares de seguridad de la información y gestión de riesgos siguen siendo los estándares más populares

De acuerdo con un estudio de la Asociación de Auditoría y Control de Sistemas de Información (ISACA, por sus siglas en inglés), de mayo de 2021, Key Considerations for Business Continuity and Disaster Recovery, el papel de los auditores internos es fundamental actualmente y de cara a futuro en esta materia:

• Durante la fase de evaluación de riesgos del proceso de planificación de la auditoría, los auditores colaboran con la empresa para identificar los desafíos para alcanzar los objetivos de la organización.
• Específicamente, durante las discusiones sobre la continuidad del negocio, los detalles sobre los tiempos de recuperación de las aplicaciones / sistemas; concienciación y formación a través de simulacros y los análisis de impacto empresarial (BIA).
• Una herramienta útil pero también desafiante en la planificación de la continuidad del negocio es la consideración de diferentes escenarios. La empresa debe decidir, entre todos los escenarios posibles a los que podría enfrentarse, ¿cuáles deben incluirse en el plan de continuidad del negocio y cómo priorizar los escenarios seleccionados?
• Mientras las empresas han utilizado escenarios, ha existido una lucha entre la realidad de los recursos disponibles y el deseo de estar preparados para cualquier incidente mediante la inclusión de todos los escenarios posibles en el plan de continuidad del negocio, lo que simplemente no es factible.

Un informe de la Organización Internacional de Comisión de Valores (IOSCO, por sus siglas en inglés) de mayo de 2021, Thematic Review on Business Continuity Plans with respect to Trading Venues and Intermediaries Final Report IOSCO, expone recomendaciones respecto a cómo los reguladores deben ejercer mayor presión para asegurar unos efectivos sistemas de gestión de continuidad de negocio, en particular que las empresas:

• Cuenten con mecanismos para ayudar a garantizar la resiliencia, confiabilidad e integridad (incluida la seguridad) de los sistemas críticos,
• Establezcan, mantengan e implementen, según corresponda, un Plan de Continuidad de Negocio escrito que identifique los procedimientos relacionados con una emergencia o interrupción de negocio significativa
• Actualicen su sistema de continuidad de negocio en caso de cualquier cambio material en las operaciones, estructura, negocio, o ubicación y realizar una revisión anual de la misma para determinar si es necesaria alguna modificación a la luz de los cambios en las operaciones, estructura, negocio o ubicación.

Finalmente, la reserva federal de Estados Unidos ha elaborado otro documento de buenas prácticas en esta materia, Sound Practices to Strengthen Operational Resilience, en el que profundizaremos en próximos artículos.

Para concluir

En definitiva, la gestión de la continuidad de negocio es un riesgo que se encuentra en el Top 5 para los auditores internos a nivel global y, por tanto, cabe esperar que este riesgo esté ya integrado o aparezca en los planes de auditoría de este año y de los venideros. De cara a poder establecer un plan razonable, puede comenzarse por la realización de un diagnóstico que permita poner el foco en los asuntos críticos del sistema incluyendo en los planes de auditoría estos asuntos cada año. Como decía Nelson Mandela, “no busques el momento perfecto, solo busca el momento y hazlo perfecto”.