Cómo lograr la resiliencia operativa

Sword GRC Blog

Cómo lograr la resiliencia operativa

“La necesidad de una gestión del riesgo operacional es más aguda que nunca” afirma el Instituto de Riesgo Operacional (IOR) en su libro blanco ‘Resiliencia Operacional’.

Orientada a ayudar a los profesionales del riesgo a mejorar la práctica de la gestión del riesgo operativo dentro de sus organizaciones, la guía describe los principios de la resiliencia operativa, junto con una variedad de buenas prácticas, ejemplos y sugerencias para su consecución. En este breve blog, consideramos algunas conclusiones clave de la guía:

La resiliencia operativa es un resultado, no un riesgo

La resiliencia operativa se define como “la capacidad de una organización para realizar operaciones críticas a través de la interrupción” e históricamente se ha gestionado de forma proactiva a través del marco de gestión de riesgos operativos (ORMF) de una organización y de forma reactiva a través de la gestión de la continuidad, la respuesta a incidencias y la planificación de crisis o recuperación. Estos, sugiere el IOR, son “retrospectivos y se centran en la recuperación de eventos de riesgo individuales específicos de alto impacto (por ejemplo, cortes de energía, incidentes cibernéticos). La resiliencia operativa es el resultado de la eficacia de estas actividades de gestión de riesgos, por lo que su gestión requiere coordinación y comprensión entre todas ellas.

¿Cuál es el mejor enfoque para su organización?

Tomando la postura de que la resiliencia operativa es un componente del ORMF y debe administrarse dentro de él, el IOR reconoce que, particularmente en la empresa más grande, los equipos o funciones de resiliencia operativa pueden haberse establecido independientemente del riesgo operativo y los marcos de apoyo (TI, ciber , continuidad del negocio, gestión de incidencias, etc.). Al decidir qué sería más apropiado para su negocio, IOR sugiere que se considere lo siguiente:

  • El tamaño y alcance de la organización.
  • La amplitud de los servicios ofrecidos
  • Madurez relativa de los marcos de gestión de riesgos proactivos y reactivos existentes

Considere el riesgo a través de una lente de ‘servicio’

Según el IOR, “la resiliencia operativa requiere que las organizaciones vean el riesgo a través de una lente de servicio, no solo por el sistema, negocio u área operativa. Si bien esto requiere un cambio de mentalidad, la resiliencia operativa es un resultado, no un riesgo, por lo que las actividades clave para gestionar los riesgos que, en conjunto, determinan la resiliencia operativa, deben seguir los procesos de gestión de riesgos existentes y utilizar los marcos existentes cuando sea posible “.

Dado que la colaboración puede mejorar la gobernanza de la resiliencia operativa, es aconsejable identificar todos los servicios comerciales, definiendo cada uno como “un servicio que una organización proporciona a un usuario final externo” que se considera importante si “su interrupción afectaría materialmente a la organización (financiera u operativa). viabilidad, causar un daño considerable al cliente o afectar su capacidad para cumplir es una estrategia aprobada por la Junta “.

Mapeo de procesos, medición del impacto del servicio

¿Por qué deberían mapearse los procesos? Según IOR, permite la identificación y gestión de riesgos operativos clave (personas, procesos y sistemas) asociados con la prestación de un servicio. “Comprender cómo se entrega un servicio y cómo se puede interrumpir permite a las organizaciones implementar medidas proporcionadas para evitar la interrupción del servicio y, como resultado, puede crear valor a través de la racionalización de las actividades de control basadas en silos existentes”.

Dado que es probable que el mapeo sea una empresa importante, el IOR aconseja que debe hacer referencia al contenido dentro del registro de riesgos de una organización, lo que ayudará a enfocarse en los riesgos más grandes y su impacto (en lugar de su probabilidad).

En lo que respecta a la medición, no es necesario cuantificar el impacto utilizando métricas específicas. Vale la pena recordar que la resiliencia es “dinámica y, por lo tanto, las medidas deben, cuando sea posible, basarse en datos y poder medirse lo más cerca posible del tiempo real para respaldar una acción rápida en caso de que ocurra un evento operativo que afecte la prestación de servicios. “

Configuración de la tolerancia al impacto

La sección 5 del documento técnico sobre resiliencia operativa detalla la determinación y el establecimiento de tolerancias de impacto para servicios comerciales importantes. “La tolerancia generalmente se expresará en términos de tiempo de interrupción del servicio (esto será obligatorio para las organizaciones de servicios financieros del Reino Unido), pero también se puede usar en combinación con otras métricas relevantes (por ejemplo, el número de clientes afectados o el volumen de producción)”. El consejo de IOR es que las tolerancias deben establecerse en o antes del punto en el que la interrupción causaría un riesgo intolerable: daño a los consumidores / participantes del mercado, daño financiero a la propia organización o su licencia para operar.

Prueba, seguimiento y control de escenarios de resiliencia operativa

El Instituto recomienda que los escenarios de resiliencia operativa se diseñen y prueben de la forma en que lo son para el riesgo operativo. Aunque los resultados serán diferentes, serán útiles para la gobernanza y el cumplimiento, y para apoyar la toma de decisiones estratégicas y operativas.

Se sugiere que la resiliencia operativa se considere dentro de los foros e informes de gestión de riesgos operativos existentes. “… El problema principal debería ser utilizar la información existente y, siempre que sea posible, no complicar demasiado. El objetivo es identificar los riesgos emergentes que podrían afectar la capacidad de una organización para entregar IBS (o permanecer dentro de la tolerancia al impacto en caso de una interrupción) y, cuando corresponda, tomar medidas para mitigarlos “.

Dado que la gestión de la resiliencia operativa se trata de esperar cambios y reaccionar ante eventos externos, el seguimiento debe tener en cuenta:

  • Interdependencia e interconexiones entre sistemas y servicios
  • 3 rd dependencias de piezas y subcontratación
  • El entorno externo

Considere los procesos de gestión de riesgos existentes

IOR advierte que se debe hacer referencia a las prácticas de gestión de riesgos existentes en primera instancia, ya que contendrán gran parte de los datos y las prácticas proactivas y reactivas necesarias para gestionar la resiliencia operativa.

También puede ser útil recordar que Roma no se construyó en un día. La resiliencia operativa “es una disciplina en evolución y los marcos y políticas de gestión de la resiliencia operativa deben diseñarse para respaldar la toma de decisiones ágil y ser adaptables para responder a las amenazas, los problemas y las regulaciones emergentes”.

Descargue su copia GRATUITA de los IOR’s Resiliencia operativa Guía de práctica de sonido ahora.