Cómo ayudan BCP y DRP ante la materialización de un riesgo operativo

Publicado por Rodrigo Ayala el 13 de febrero de 2020

Toda organización sólida y seria debe contar con un business continuity plan que a su vez contemple un disaster recovery plan entre sus mejores prácticas para hacer frente, en cualquier momento y con un alto índice de certeza, a cualquier riesgo operativo que pueda surgir como parte de las actividades de su negocio. Hoy revisaremos estos tres conceptos (BCP, DRP y riesgo operativo) y veremos cómo se relacionan entre sí.

¿Qué es un riesgo operativo?

Podemos definir este concepto como toda posible falla que afecta al patrimonio de la organización y que es provocada por alguna negligencia de naturaleza humana, tecnológica, por error en la estipulación y ejecución de procesos y/o controles o por causas externas, como fenómenos naturales, políticos, sociales y económicos.

En pocas palabras, es la posibilidad de ocurrencia de pérdidas financieras, originadas por fallas o insuficiencias de personas, procesos, sistemas internos y tecnología.

Una vez entendido este tipo de riesgo, es menester saber entenderlo y para ello hay tres enfoques de medición del mismo:

· Método de indicador básico: consiste en el promedio de ingresos brutos anuales positivos de los últimos tres años, que sirve para calcular el volumen de operaciones, ergo, la posibilidad de alguna falla en alguno de ellos.

· Método estándar: se evalúa el volumen de operaciones por cada línea de negocio y el capital necesario para cada una de ellas.

· Métodos de medición avanzada: más específico aún, se centra en la precisión al momento de definir el riesgo particular mediante funciones de distribución de probabilidad para cada operación para así poder designar una partida presupuestal y de recursos de manera más precisa.

Así, un riesgo operativo materializado a causa de fenómenos naturales podría ser para un taller automotriz de pintado de carrocerías una extremada humedad en el ambiente que no permita que la pintura fije bien. De aquí se puede desprender otro riesgo por garantía de calidad: toda empresa debe estimar cierto porcentaje aproximado de fallas en sus productos terminados –en nuestro ejemplo, los automóviles–, pero si los fallos exceden esa estimación, el presupuesto destinado puede no ser suficiente para mitigar el riesgo y entonces afectar de otras maneras diversas al negocio (como llamar a repintado a una cantidad superior de automóviles salidos del propio taller y sin costo alguno para el cliente toda vez que fue una falla de origen), lo cual a su vez, podría resultar en un riesgo reputacional.

DRP y BCP en escena

Ahora sí, una vez teniendo una noción clara de lo que son los riesgos operativos pasemos a ver cómo nos ayudan los planes de continuidad de negocio y el plan de recuperación ante desastres a proteger a nuestra organización frente a su materialización.

Entenderemos por Business Continuity Plan (BCP) el plan más general que toda organización debe tener para hacer frente a cualquier interrupción de sus actividades o servicios. En este, se encuentran las instrucciones a seguir para mantener los servicios clave de su organización antes sus clientes y/o usuarios.

El Disaster Recovery Plan (DRP), por su parte, es mucho más específico y habla de los pasos, herramientas y tecnologías necesarias que deben ser puestas en marcha para mantener los servicios críticos en niveles de operación normales (como el BCP), pero con un enfoque principal en restaurar aquella parte del patrimonio de la organización que haya sido afectado y que constituye la causa del riesgo materializado que devino desastre y que es necesario reparar, resarcir o restaurar. El DRP debe estar contenido entonces dentro del BCP.

Para usar un ejemplo común, digamos que su empresa ofrece servicios de pagos electrónicos entre terceros privados, y debido a un outage uno de los servidores que contienen y disparan los comandos para hacer posible dichas transacciones cae debido a una falta de energía eléctrica.

En este ejemplo, debería contemplarse en el BCP una fuente alternativa de energía, como por ejemplo un generador a base de gasolina, contemplando sus tiempos de autonomía y su capacidad para mantener el servicio con la mínima pérdida posible de calidad en el mismo. En el caso del DRP, se deberá estipular con mucha precisión quién debe notificar a quien el outage, quién es el responsable de echar a andar esta fuente alternativa, quién el responsable de gestionar que la fuente primaria de energía sea restaurada o al menos que esté en contacto con el proveedor de energía eléctrica, y la carga presupuestal que se va a utilizar para echar a andar el plan de recuperación y en cuánto tiempo se podrá recuperar ese presupuesto para que esté listo para cubrir otra eventualidad similar.

En el ejemplo dado podemos ver cómo ayuda, desde un enfoque de riesgos empresariales, el hecho de contar con estos dos planes como parte de nuestros manuales operativos de emergencia y de respuesta ante incidentes. A través de ellos podemos identificar algunos de los riesgos más obvios, y la mejora continua de estos planes desde luego incluye su actualización permanente antes los nuevos desafíos que nuestros ámbito de acción presenten; podemos designar presupuestos y recursos varios en pos de un hipotética afectación que no provoque algún desbalance financiero y conocer alternativas útiles y prácticas en caso de algún incidente.

Desde luego, en esta entrada contemplamos sólo el riesgo operacional u operativo, pero en realidad, desde un correcto enfoque GRC-ERM, nuestros BCP y DR deberían ser capaces de contemplar los distintos escenarios de riesgo que pudieran causar problemas en nuestra organización, hablamos de riesgos estratégicos, riesgos financieros, reputacionales, etc.

Si usted desea tener un panorama sobre los riesgos que pueden afectar su core business, puede descargar de manera totalmente gratuita nuestra guía Identifique y controle los riesgos en su organización, y lleve sus BCP y DRP al siguiente nivel.

selección y evaluación de proveedores

Suscríbete al blog

Publicaciones Recientes

Publicaciones por etiqueta