La alta gerencia sénior está incorporando discusiones y evaluaciones de resiliencia operacional en sus conversaciones de negocio principales con la junta y en todo el C-suite. La disciplina de la resiliencia operacional está madurando rápidamente y es un esfuerzo multidisciplinario.

El primer paso para una organización es comprender el alcance de la resiliencia operacional y luego determinar quién debe participar.

Permitiendo que su empresa cumpla su promesa de mercado

El punto de partida en el viaje de resiliencia operacional es identificar y comprender sus servicios de negocio críticos: los servicios clave que se entregan al mercado y las operaciones internas críticas que no pueden fallar para entregar a los clientes. Dentro de la industria financiera, los servicios críticos pueden incluir compensación y liquidación de pagos, financiamiento y liquidez, y creación de hipotecas, como ejemplos. Para la industria manufacturera, estos son un subconjunto de los servicios esenciales de la misión necesarios para llevar a cabo las operaciones de fabricación. Esto incluye la función o capacidad que se requiere para mantener la salud, la seguridad, el medio ambiente y la disponibilidad del equipo bajo control.

Estos servicios críticos ayudan a impulsar y definir el alcance de la resiliencia operacional para una organización, generalmente determinado por las empresas y aprobado a nivel de C-suite.

En la industria financiera, una de las construcciones comunes es establecer un equipo de resiliencia operacional separado de los dominios separados, como la continuidad del negocio o la recuperación ante desastres. Dada esta nueva disciplina, sería beneficioso para la composición del equipo tener personas con antecedentes tradicionales de BC, DR, riesgo y terceros. Muchas empresas han establecido equipos de resiliencia operacional en toda la empresa para liderar e impulsar los requisitos reglamentarios en toda la organización; esta misma estructura también ha comenzado a ocurrir en todos los sectores de la industria no financiera.

El equipo de resiliencia operacional es una parte integral de la empresa y, por lo general, algunas organizaciones no tienen el alcance o el mandato para conectar los dominios que respaldan la postura de resiliencia de la organización. En otras organizaciones, existe un modelo en el que el equipo de resiliencia operacional es un paraguas y conecta los resultados para dominios separados para identificar riesgos e interrupciones clave.

Los enfoques se están desarrollando a medida que el enfoque de las juntas, la administración, los reguladores y los órganos rectores de la industria, siguiendo las experiencias de los últimos años, están presionando a las organizaciones para que tengan capacidades de resiliencia sólidas que soportarán las interrupciones y/o los eventos de crisis.

El mundo en evolución de la resiliencia operacional

A medida que la disciplina de resiliencia operacional madura en todas las industrias, más empresas la están considerando de manera más holística y están trabajando para integrar la función en los cimientos dentro de la organización. Ha comenzado a surgir una integración no solo entre los equipos de continuidad del negocio, sino también con la tecnología, cibernética y, lo que es más importante, las funciones de administración de la cadena de suministro/terceros, en las divisiones de negocio, creando información valiosa y creando información valiosa y no definiendo la resiliencia operacional como solo un esfuerzo «corporativo» en la parte superior de la organización.

La resiliencia operacional requiere monitoreo y supervisión continuos. Es crucial establecer la estructura de gobierno para apoyar la función de resiliencia operacional, a fin de definir rutas de escalamiento, medios de comunicación y delinear funciones y responsabilidades claras. Asegurar quién/qué órganos están facultados para tomar qué decisiones esté claro y comunicado, es fundamental.

Una vez que se definen los servicios críticos para el mandato de resiliencia operacional, el siguiente paso es identificar las áreas que se involucrarán y la mejor manera de organizarse.

¿Función de primera o segunda línea?

La resiliencia operacional se adapta mejor a la primera línea del marco de control general de una organización. La primera línea generalmente constituye la actividad y las funciones relacionadas con el negocio, la segunda línea incluye las funciones de riesgo y cumplimiento, mientras que la tercera línea es principalmente la función de auditoría interna. En conjunto, conforman el marco de control de una organización y existe una supervisión y una gobernanza más independientes en todo el marco.

A medida que las empresas maduran su marco de riesgo y control, más empresas trasladan la responsabilidad de la resiliencia operacional a la primera línea (es decir, fuera del riesgo para las operaciones, la oficina administrativa o la tecnología). El papel de la primera línea es administrar el negocio y el riesgo que genera. El rol de la segunda línea (es decir, la función de riesgo) es ejercer una supervisión independiente y emitir políticas/estándares en apoyo de los estándares de riesgo de la organización (y el apetito).

¿Dónde debe reportar la unidad de Resiliencia Operacional?

No hay una respuesta correcta a esta pregunta.

Hay muchos ejemplos de CTO, CAO, COO o CRO, y diferentes organizaciones han tenido éxito con diferentes modelos. La estructura más adecuada se define por dos aspectos clave: 1) el liderazgo, su experiencia individual y el mandato de la función, y 2) el nivel de madurez de la resiliencia operacional en toda la organización.

Dicho esto, hay varios escollos a tener en cuenta: la continuidad del negocio bajo el COO, la recuperación ante desastres bajo el CTO, el riesgo operativo bajo el CAO y la resiliencia operacional bajo el CRO probablemente no conducirán al éxito ya que las funciones están aisladas y pueden resultar en duplicación o incluso peor aún, una tergiversación del riesgo a nivel organizacional. (Vea los ejemplos ilustrativos a continuación).

Principios básicos para organizar las disciplinas

La resiliencia operacional es un juego de varios jugadores que requiere la colaboración en toda la organización. El programa debe impulsarse de arriba hacia abajo dentro de una organización con la función de resiliencia operacional estableciendo la estrategia y la hoja de ruta. Por lo general, esto cuenta con el apoyo de comités y/o foros de gobierno que incluyen la representación de partes interesadas clave con el objetivo de supervisar el progreso, la corrección del rumbo y la toma de decisiones.

Las partes interesadas clave incluyen el jefe de tecnología, el director de operaciones, el director de seguridad de la información, terceros/ adquisiciones, gestión de crisis y riesgo operativo, además de los jefes de división de las áreas del negocio.

La cuestión no es solo una de las líneas de informes, sino más aún, de la gobernanza.

Para comprender la postura de resiliencia de una organización, la gerencia requerirá actualizaciones e información de cada función, y preferiblemente usando una lente consistente (es decir, servicio, proceso, etc.). La industria de servicios financieros actualmente está definiendo y administrando servicios de negocio críticos como resultado de la regulación. Como resultado, la información se evalúa desde una perspectiva horizontal que proporcionará una visión más completa de la postura de la organización y sus vulnerabilidades. Además, se requiere una estructura de datos común en toda la organización para administrar la información necesaria. Tener un conjunto de herramientas comunes para administrar la resiliencia operacional puede impulsar una mayor eficiencia en toda la organización.

Como resultado, los informes de matriz son los más adecuados para respaldar estos esfuerzos en conjunto con un foro/comité de gobierno responsable de revisar la información, tomar decisiones e impulsar la agenda estratégica.

La generación de informes en silos crea trampas potenciales

Una estructura más integrada crea perspectivas alineadas

Papel de la segunda y tercera línea

El rol de la segunda (es decir, riesgo, cumplimiento) y tercera (es decir, auditoría interna) ha cambiado significativamente en los últimos años. Se espera que cada uno se comprometa con la primera línea (es decir, la oficina principal, de cara al cliente) mientras mantiene su independencia y ejerce la supervisión. Auditoría Interna desempeña un papel fundamental y debe tener un asiento en la mesa de los principales foros y comités de gobierno para…

C-Suite y Juntas

Los directorios corporativos ahora están más comprometidos que nunca. Tal es la importancia de comprender la postura de resiliencia, que algunas organizaciones ahora han creado un rol en el C-suite para un director de resiliencia en reconocimiento de los requerimientos regulatorios y la responsabilidad de los altos ejecutivos. (Forbes: «Auge del director de resiliencia «, septiembre de 2021)

Mediciones, Métricas y Monitoreo Continuo

La efectividad del trabajo de resiliencia operacional de una organización y los conocimientos solo se pueden administrar si hay informes sólidos con métricas y monitoreo continuo, idealmente en cada servicio crítico identificado.

Si bien no existen estándares regulatorios definidos, existen paneles de muestra de mejores prácticas que se pueden usar para monitorear la salud de la resiliencia en una organización. Hay un esfuerzo de varios jugadores en múltiples dominios que utilizan una estructura de datos común y fuentes casi en «tiempo real» para reunir información de modo que pueda monitorearse fácilmente y usarse para impulsar decisiones estratégicas para mejorar la postura de resiliencia.

Impacto de la resiliencia operacional

La resiliencia operacional no se puede abordar sin señalar que está cambiando la misión de funciones separadas y forzando un mayor nivel de colaboración en estos dominios que el que se actuó anteriormente. Si bien este artículo se enfoca en cómo los grupos deben unirse y formar una matriz en resiliencia operacional, también es necesario enfocarse en las estructuras de datos subyacentes dentro de una organización que pueden permitir una interpretación común y consistente de los datos para impulsar decisiones estratégicas y administrar el riesgo con el fin de gestionar esto con eficacia.

Última palabra

No existe una estructura organizativa que sea correcta, pero lo más importante es cómo colaboran y se gobiernan las funciones.

Las organizaciones se están reorganizando para administrar sus programas de resiliencia operacional y sus conocimientos de manera eficiente y efectiva, reconociendo que es una prioridad mejorar la forma en que administran las funciones críticas del su negocio.