Cree su mejor programa de gestión de riesgos y cumplimiento con BC y DR
Cualquier programa de gobernanza, gestión de riesgos y cumplimiento debe funcionar con el proceso de continuidad del negocio de una organización. Sin embargo, hay desafíos a considerar.
Tres actividades importantes en la gestión de una empresa incluyen la gobernanza, la gestión de riesgos y el cumplimiento, o GRC. Se utilizan para ayudar a la organización a lograr sus objetivos y, por lo general, funcionan mejor cuando se alinean, complementándose entre sí.
La gobernabilidad generalmente define los procesos de gestión que la organización utiliza para lograr sus objetivos. La gestión de riesgos identifica situaciones que podrían afectar negativamente la capacidad de la empresa para lograr sus objetivos. También ayuda a identificar el apetito de riesgo de la empresa o la cantidad de riesgo que la organización está dispuesta a aceptar. El cumplimiento de las normas, prácticas, regulaciones y otros controles clave ayuda a garantizar que la organización alcance sus objetivos utilizando los métodos más apropiados. En la práctica, cada una de estas actividades debe trabajar en conjunto como un programa integral de GRC para que la organización tenga la mejor información disponible para lograr sus objetivos.
La continuidad comercial (BC) también ayuda a una organización a lograr sus objetivos comerciales al garantizar que los eventos que amenazan el funcionamiento continuo de la organización puedan identificarse, prevenirse y mitigarse si se producen. Una actividad importante en el proceso de BC implica comprender cómo funciona la organización. Por lo general, esto incluye la investigación e identificación de los procesos de negocios de misión crítica, las tecnologías que respaldan esos procesos, las personas necesarias para llevar a cabo los procesos y las estrategias para lograr la recuperación del negocio en una emergencia. Dos herramientas importantes para recopilar estos datos son el análisis de impacto empresarial (BIA) y la evaluación de riesgos (RA).
Qué buscar con BIA y RA
Los datos adquiridos durante las actividades BIA y RA se pueden utilizar para respaldar el programa GRC de la organización. Vamos a examinarlos más de cerca.
En BIA, estamos buscando información sobre cómo opera la empresa, especialmente al identificar sus procesos más importantes. Para entender adecuadamente cómo los procesos críticos para la misión impactan a la organización, otra actividad en un BIA es entender cómo funciona la organización. Eso incluye:
- el impacto de una pérdida de procesos de misión crítica en la organización;
- las tecnologías que soportan los procesos clave y los objetivos comerciales generales; y
- las implicaciones financieras, operativas, competitivas y de reputación para el negocio si se produce una pérdida.
Cada una de estas actividades contribuye a la gobernanza de la organización.
Al realizar una RA, estamos buscando situaciones, tanto internas como externas, que podrían tener un impacto negativo en la capacidad de la organización para realizar sus funciones de misión crítica. Identificamos una variedad de riesgos y vulnerabilidades, luego intentamos cuantificar la probabilidad de que ocurra un evento, la gravedad potencial del evento en la organización y los impactos financieros y operativos para la empresa. Los datos para las RA provienen de muchas fuentes, algunas muy empíricas (como las tablas de suscripción) y otras más subjetivas (como la experiencia de los empleados con riesgos específicos). Estos valores se calculan para obtener un puntaje de calificación de riesgo. Esto se utiliza luego para priorizar los riesgos, amenazas y vulnerabilidades a la organización en términos de prevención y mitigación.
Los equipos de BC y GRC deberían trabajar juntos
Los profesionales de BC son conscientes de la importancia del cumplimiento. Durante los últimos 20 años, se han desarrollado varios estándares internacionales y nacionales de BC y recuperación de desastres (DR). Las normas, regulaciones y buenas prácticas contribuyen a las diversas actividades en un programa de BC. Desde una perspectiva de auditoría, el cumplimiento de las normas y regulaciones es cada vez más importante para garantizar una auditoría exitosa. Los posibles socios comerciales y clientes desean cada vez más ver los resultados de las auditorías de BC y DR como parte de su proceso de decisión.
La información que hemos estado obteniendo a través de varias actividades de BC puede ser utilizada por una función GRC. El desafío puede ser que el equipo de GRC colabore con el equipo de BC para que la información de BC pueda ser revisada y utilizada por el equipo de GRC. Es contraproducente no utilizar datos de actividades de BC en un programa de GRC. Sin embargo, generalmente corresponde a ambos equipos conectarse y comenzar a compartir información.
Los datos de BIA pueden ser aprovechados por el equipo de gobierno, los datos de RA pueden respaldar al equipo de riesgo y los expertos en estándares pueden respaldar al equipo de cumplimiento. El equipo de BC puede continuar realizando sus actividades normales, pero ahora agrega valor al equipo de GRC al compartir datos de sus diversas actividades.
Con demasiada frecuencia, los departamentos internos no son conscientes de otros grupos complementarios que pueden agregar valor a sus esfuerzos, o puede haber una mentalidad de silo fundamental que debe ser sustituida por un mayor intercambio de datos y colaboración. La función BC puede ser una fuente esencial de datos útiles para el programa GRC de una organización.