BCP y DRP para la gestión del riesgo operativo

Toda organización sólida debe contar con un Business Continuity Plan (BCP) o Plan de Continuidad de Negocio, que a su vez, contemple un Disaster Recovery Plan (DRP) o Plan de Recuperación ante Desastres,  entre sus prácticas clave de gestión de riesgo.

Es decir, es indispensable que estén preparadas para hacer frente en cualquier momento, y con un alto índice de certeza y eficacia, a cualquier tipo de riesgo operativo que pueda surgir durante el desarrollo de las actividades del negocio. 

A continuación, revisaremos estos tres conceptos, riesgo operativo, BCP y DRP; asimismo, aprenderemos cómo se relacionan estos entre sí.

¿Cuál es el riesgo operativo?

Este término se puede definir de la siguiente manera: 

Toda posible falla que afecta al patrimonio de la organización y que es provocada por alguna negligencia de naturaleza humana, tecnológica, por error en la estipulación y ejecución de procesos y/o controles o por causas externas, como fenómenos naturales, políticos, sociales y económicos.

 

En pocas palabras, es la posibilidad de ocurrencia de pérdidas financieras, originadas por fallas o insuficiencias de personas, procesos, sistemas internos y/o tecnológicos.

Una vez precisado este tipo de riesgo, es esencial comprenderlo; y para ello existen tres enfoques de medición del mismo que bien pueden ayudar en esta tarea:

• Método de indicador básico: consiste en el promedio de ingresos brutos anuales positivos de los últimos tres años, que sirve para calcular el volumen de operaciones, ergo, la posibilidad de alguna falla en alguno de ellos.
• Método estándar: se evalúa el volumen de operaciones por cada línea de negocio y el capital necesario para cada una de ellas.
• Métodos de medición avanzada: más específico aún, se centra en la precisión para definir el riesgo particular, mediante funciones de distribución de probabilidad para cada operación; para así poder designar una partida presupuestal y de recursos de manera más precisa y adecuada.
  
  

En este sentido, un riesgo operativo materializado a causa de fenómenos naturales, podría ser por ejemplo, para un taller automotriz de pintado de carrocerías: una humedad extrema en el ambiente que no permita que la pintura seque y fije bien.

De esta situación se podría originar otro riesgo, relacionado con la garantía de calidad; lo que nos lleva a recordar que toda empresa debe considerar un porcentaje aproximado de fallas en sus productos o servicios finales; en este ejemplo, sería la pintura de los automóviles.

Sin embargo, si los fallos exceden la estimación considerada, el presupuesto destinado puede no ser suficiente para mitigar el riesgo y entonces afectar en diversas formas al negocio, impactando financiera y/o reputacionalmente en el negocio. 

¿Cómo funcionan el DRP y BCP?

Con la noción clara sobre los riesgos operativos, podemos comprender mejor cómo es que un plan de continuidad de negocio ayuda en este aspecto, y cómo un plan de recuperación ante desastres protege frente a la materialización de amenazas de esta índole.

Plan de Continuidad de Negocio (BCP)

Entenderemos el Plan de Continuidad de Negocio (BCP) en una dimensión más general; puesto que, toda organización debe contar con uno para poder hacer frente a cualquier riesgo, que potencialmente pueda afectar o interrumpir las actividades diarias, productos o servicios finales. 

En un BCP, usualmente se estipulan las directrices a seguir para mantener en óptimas condiciones la operación de los servicios clave de la organización, antes sus clientes y/o usuarios.

Plan de Recuperación ante Desastres (DRP)

El Plan de Recuperación ante Desastres (DRP) por su parte, es más específico y aborda los pasos, herramientas y tecnologías necesarias para mantener los servicios críticos en niveles normales de operación, en el mismo sentido que lo hace el BCP.

No obstante, el DRP tiene su enfoque principal en restaurar aquella parte de la estructura de la organización que haya sido afectada, que constituye la causa del riesgo materializado que derivó en desastre, y por lo que resulta necesario reparar, resarcir o restaurar. Sin embargo, el DRP debe estar contenido entonces dentro del BCP.

Ejemplo de aplicación de BCP y DRP

Para usar un ejemplo común sobre cómo se debe incluir el DRP y el BCP, presentamos la siguiente situación: 

• Supongamos que una empresa ofrece servicios de pagos electrónicos entre terceros privados, y debido a un outage uno de los servidores que contienen y disparan los comandos para permitir las transacciones, cae debido a una falta de energía eléctrica.

En este ejemplo, debería contemplarse en el BCP una fuente alternativa de energía, como un generador a base de gasolina, considerando los tiempos de autonomía y su capacidad para mantener el servicio con la mínima pérdida posible de calidad en el mismo. 

En el caso del DRP, se deberá estipular con mucha precisión quién:

• Debe notificar a quién sobre el outage.
• Es el responsable de echar a andar esta fuente alternativa. 
• El responsable de gestionar que la fuente primaria de energía sea restaurada o al menos que esté en contacto con el proveedor de energía eléctrica.
• Además, la carga presupuestal que se va a utilizar para echar a andar el plan de recuperación.
• Así como, en cuánto tiempo se podrá recuperar ese presupuesto para que esté listo para cubrir otra eventualidad.
  
  

En el ejemplo expuesto, podemos ver cómo ayuda, desde un enfoque de riesgos empresariales, el hecho de contar con estos dos planes como parte de los manuales operativos de emergencia y de respuesta ante incidentes.

A través de ellos podemos identificar algunos de los riesgos más prominentes, y la mejora continua de estos planes; desde luego, incluye la actualización permanente antes los nuevos desafíos que los diferentes ámbitos de acción presenten.

Se pueden asignar presupuestos y recursos varios en pos de una hipotética afectación que no provoque algún desbalance financiero, y conocer alternativas útiles y prácticas en caso de algún incidente.

Desde luego, en este artículo contemplamos solo el riesgo operativo, pero en realidad, desde un correcto enfoque GRC-ERM, los BCP y DRP deben ser capaces de contemplar los distintos escenarios de riesgo que pudieran causar problemas en una organización:

• Riesgos estratégicos.
• Riesgos financieros.
• Riesgos reputacionales, entre otros.
  
  

Si deseas ampliar el panorama y comprensión sobre los riesgos que pueden afectar el corazón de tu negocio, puedes descargar gratuitamente nuestra guía, Identifica y controla los riesgos en tu organización, y lleva tus BCP y DRP al siguiente nivel.