Auditoría de Planes de Continuidad del Negocio: Clave para la Resiliencia Empresarial

La actual pandemia ha mostrado para las empresas la importancia de contar con un plan de continuidad del negocio que sea eficaz. En un entorno de incertidumbre y preocupación por temas de salud, económicos, tecnológicos y de riesgos, los planes y programas de continuidad del negocio han adquirido prioridad.

Si a esto se suma que tanto los reguladores como el mercado exigen cada vez más que las empresas superen sus dificultades con rapidez, se espera que la auditoría desempeñe un papel más importante en la garantía de que la gobernanza, la gestión de riesgos y los controles que existen para mitigar los riesgos y mejorar las capacidades de resiliencia son adecuados.

La auditoría interna es fundamental para el desarrollo e implantación del Plan de Continuidad del Negocio. Juan Ignacio Sánchez Chillón, experto en Continuidad de Negocio (Lead Auditor en CN de acuerdo a la UNE-ISO 22301), ha hecho hincapié en la “obligación” de las compañías de contar con un Plan de Continuidad de Negocio que ayude a mitigar los efectos de cualquier amenaza, como las originadas por el COVID-19 o coronavirus.

El Plan de Continuidad tiene como objetivo proteger los principales activos de una empresa -las personas, la información, la capacidad de hacer negocios y la imagen y reputación- para minimizar el impacto en las actividades del negocio y facilitar su recuperación después de la crisis. Es el garante de que la empresa pueda recuperar su operativa en caso de desastres como incendios, inundaciones, terremotos o pandemias.

La Continuidad del Negocio como Riesgo Crítico en la Auditoría

Como cada año, el Instituto de Auditores Internos publica un estudio con los riesgos más significativos a tener en cuenta por el auditor interno. En el último informe, “2022 Risk in Focus report”, se puso de manifiesto que, por primera vez, la continuidad de negocio, gestión de crisis y respuesta a los desastres es uno de los cinco riesgos más relevantes identificados, permaneciendo en quinta posición para ese año y subiendo a la cuarta para el 2022 e incluso manteniéndose en estas posiciones para 2025.

Esto demuestra que la continuidad de negocio será un asunto crítico para las funciones de auditoría, al menos, para los tres próximos años. Desde KPMG consideran que incluso podría convertirse a futuro en un riesgo “estructural” como otros emergentes como el cambio climático, por la repercusión en los tiempos de incertidumbre actuales.

En las cuatro posiciones anteriores se encuentran riesgos recurrentes como la ciberseguridad y la seguridad del dato, cambios en regulaciones y leyes, disrupción digital, nueva tecnología e inteligencia artificial, capital humano, diversidad y gestión del capital.

De cara al auditor interno, el propio estudio indica que “el cambio y la incertidumbre definirán el 2022 y los siguientes años. La auditoría interna debe comprender este cambio en el mundo exterior, analizar cómo cree que la organización se está adaptando a estas presiones e identificar qué tan eficazmente se están gestionando los riesgos asociados”.

En definitiva, la gestión de la continuidad de negocio es un riesgo que se encuentra en el Top 5 para los auditores internos a nivel global y, por tanto, cabe esperar que este riesgo esté ya integrado o aparezca en los planes de auditoría de este año y de los venideros. Para establecer un plan razonable, puede comenzarse por la realización de un diagnóstico que permita poner el foco en los asuntos críticos del sistema, incluyéndolos en los planes de auditoría cada año.

El uso de diferentes herramientas para el análisis de riesgos se ha incrementado en todos los ámbitos. Una herramienta útil pero también desafiante en la planificación de la continuidad del negocio es la consideración de diferentes escenarios.

Elementos Fundamentales de la Auditoría del Programa de Gestión de Continuidad del Negocio (BCM)

Como parte de este proceso, la auditoría debe revisar el estado actual del programa de gestión de continuidad del negocio (Business Continuity Management - BCM) y cómo se ejecutan sus elementos fundamentales, incluyendo la gobernanza, las actividades de evaluación de riesgos de continuidad y el análisis de impacto empresarial (Business Impact Analysis - BIA).

Los procesos empresariales principales y las aplicaciones y sistemas de TI deben evaluarse desde una perspectiva general de impacto empresarial durante la evaluación de riesgos de continuidad y las actividades de BIA. La evaluación del diseño de la estrategia implica una revisión de la gestión de crisis, la reanudación del negocio y las estrategias de recuperación ante desastres de TI.

Estas son esencialmente las estrategias que las organizaciones implementan para minimizar o mitigar el riesgo de una interrupción del negocio. Las organizaciones también deben revisar cómo se formalizan las estrategias de BCM en planes documentados de gestión de crisis, reanudación de negocios y recuperación ante desastres de TI.

La fase de control de calidad está diseñada para evaluar si la gestión de crisis, la reanudación del negocio y los planes de recuperación ante desastres de TI se han probado correctamente y cómo se ha efectuado este proceso. En un caso ideal, las pruebas de plan se miden principalmente por una capacidad de recuperación esperada. A veces, las simulaciones se desarrollan utilizando riesgos probables identificados en una evaluación de riesgos.

Es importante que los líderes empresariales tengan una sólida comprensión de los elementos fundamentales de su programa BCM (gobernanza, evaluación de riesgos de continuidad y análisis de impacto empresarial) para asegurar que las áreas de debilidad potencial se aborden rápidamente. Un programa BCM exitoso requiere varios niveles de responsabilidad dentro de una organización.

Mientras que algunas organizaciones pueden decidir en última instancia crear una función de negocio o unidad independiente para gestionar el programa, muchos optan por utilizar los recursos existentes y/o personal de la función de negocio. La auditoría debe determinar si hay suficiente supervisión y participación de aquellas personas clave encargadas de asegurar que los planes de continuidad de negocio (BCP) faciliten la recuperación exitosa del negocio de manera oportuna después de una interrupción.

Por ejemplo, una revisión puede revelar que los esfuerzos de BCM de una empresa están liderados por la administración intermedia y se ejecutan sin la financiación adecuada y los recursos suficientes. En muchas empresas se han desarrollado prioridades de recuperación ad hoc basadas en los niveles de importancia percibidos. Los escenarios de error y las evaluaciones de controles suelen estar incompletos y no se han establecido criterios de medición.

Una evaluación del riesgo de continuidad está destinada a impulsar la mejora continua de las estrategias de recuperación. Idealmente, la ejecución y revisión de evaluaciones de riesgos se coordinan con la gestión del cambio organizativo y tecnológico o los procesos de diligencia debida.

Un tipo de evaluación de riesgos que sirve como la base de un programa BCM, la BIA permite a las organizaciones capturar y medir eficazmente los posibles impactos comerciales de una interrupción (es decir, impactos operativos, de reputación, financieros, regulatorios o de cumplimiento). El objetivo de la BIA es establecer prioridades de recuperación para los procesos de negocio y los recursos (por ejemplo, tecnología, espacio de trabajo, equipos, personal y terceros) en los que se basan cada uno de esos procesos.

Implementación Adecuada de un Plan de Continuidad del Negocio

La planificación de la continuidad del negocio requiere desarrollar diferentes alternativas que contemplen una variedad de eventos o desastres que puedan afectar a un negocio y luego esbozar cómo las organizaciones deben responder durante y/o después de esos eventos. Es un proceso que requiere mejora continua y vigilancia.

Para implementar de manera adecuada un plan de continuidad de negocio que se ajuste a su organización, teniendo en cuenta sus objetivos, estructura y alcance, se deben seguir los siguientes parámetros:

1. Comprensión de la compañía: Se recolecta la información necesaria con el fin de darle importancia a cada una de las actividades, que deben ser clasificadas en clave, de apoyo, y a su vez designar los recursos que se necesitan.
2. Elaboración y ejecución de una respuesta: Se redactan las respuestas que se darán frente a alguna amenaza que se pueda presentar.
3. Cumplir los acuerdos pactados: En esta etapa se le da relevancia a las estrategias y planes definidos con el fin de cumplir el propósito por el que se implementó el sistema.
4. Cultura organizacional: Todos los empleados y miembros de la organización deben estar alineados con el sistema de gestión de continuidad de negocio, entender que esto hace parte de la compañía y que de ellos también depende su buen funcionamiento.

Fases de un Plan de Continuidad del Negocio

La implementación de un Plan de Continuidad del Negocio se estructura en varias fases clave:

• Fase 1. Definición del alcance: Se define el alcance y los objetivos del sistema de gestión, considerando los requisitos para la continuidad del negocio: objetivos y obligaciones, nivel de riesgo aceptable, obligaciones legales y contractuales, así como los intereses clave de las partes interesadas.
• Fase 2. Identificación de escenarios de riesgos vinculados con la continuidad del negocio.
• Fase 3. Elaboración y aplicación de un plan de contingencias eficiente que mantenga el negocio en funcionamiento sin importar qué pueda ocurrir.
• Fase 4. Implantación y formación del «Plan de Contingencias»: Esta formación se puede contratar de forma independiente, sobre todo si se trata de organizaciones que están en un proceso de evaluación interna de su Sistema de Gestión de la Continuidad del Negocio o que están en proceso de certificación.
• Fase 5. Simulacro de contingencia: Para el análisis del plan y detectar mejoras sobre él.

Estándares y Normativas en la Continuidad del Negocio

Para dotar a las empresas de un marco de referencia para gestionar de forma eficaz la continuidad de su negocio, se ha diseñado la normativa ISO 22301.

La ISO 22301:2019 es una normativa internacional para Sistemas de Gestión de la Continuidad del Negocio (SGCN). Su principal función es proporcionar un marco de actuación para que las empresas puedan mitigar el daño que una situación de emergencia puede llegar a causar. Un ejemplo muy reciente es la interrupción de la actividad económica en muchos sectores por culpa del Covid-19. La ISO 22301 es aplicable a cualquier tipo de organización, independiente de su sector o tamaño.

Un Sistema de Gestión de Continuidad de un Negocio (SGCN) identifica los efectos que puede tener una interrupción de la actividad y establece medidas de actuación en caso de que ocurra. Debe ser sensible y tener en cuenta todos los diferentes factores y agentes que deberán actuar ante una situación de riesgo. Es muy importante que el modelo de continuidad del negocio basado en la ISO 22301 esté totalmente alineado con la política corporativa de cada organización.

La certificación ISO 22301 es un modelo de gestión compatible con un certificado ISO 9001, ISO 27001, ISO 28001 e ISO 20000, dado que están basadas en el ciclo de mejora continua (plan-do-check-act).

Beneficios de un Plan de Continuidad del Negocio

• Mejora los mecanismos de actuación en caso de pérdida de bienes, recursos o beneficios.
• Asegura la viabilidad financiera y la responsabilidad legal.

Estructura de la ISO 22301

La ISO 22301 aborda varios puntos clave:

• Contexto de la organización: Determina los puntos externos e internos que sean más relevantes para alcanzar los objetivos establecidos en el SGCN.
• Liderazgo y compromiso: La alta dirección de la empresa debe saber liderar y demostrar compromiso para establecer el Sistema de Gestión de Continuidad.
• Evaluación del desempeño: Es necesario seguir, medir, analizar y evaluar el SGCN para poder mejorarlo.
• Mejora continuada: Cada organización debe ser capaz, mediante las evaluaciones, análisis y auditorías, de encontrar oportunidades de mejora.

Normas Relacionadas con la Continuidad Empresarial

• ISO/IEC 27002 - Código de práctica.
• Los estándares internacionales de continuidad de negocios ISO 22301/22313.
• La Guía de Buenas Prácticas del Instituto de Continuidad de Negocio (edición 2013).
• El estándar NFPA 1600 de la Asociación Nacional de Protección contra Incendios (edición 2013).
• El estándar de resiliencia organizacional ASIS Internacional SPC.1-2009.
• El Manual de Continuidad de Negocios del Consejo Federal de Examen de Instituciones Financieras (edición 2015).
• La regla 4370 de la Autoridad Reguladora de la Industria Financiera.
• ANSI/ASIS SPC.2-2014 Sistemas de Gestión de Auditoría: Riesgo, Resiliencia, Seguridad y Continuidad.

Plan de Continuidad del Negocio (BCP) y Plan de Recuperación ante Desastres (DRP)

La continuidad del negocio y la capacidad de recuperación ante desastres son esenciales para cualquier organización moderna que depende de sistemas de TI para sus operaciones. Los planes de continuidad del negocio (BCP) y los planes de recuperación ante desastres (DRP) están diseñados para asegurar que una empresa pueda continuar operando y recuperar rápidamente sus funciones críticas tras una interrupción.

• Un Plan de Continuidad del Negocio (BCP) es un conjunto de procedimientos y estrategias diseñadas para asegurar que las operaciones críticas de una organización puedan continuar durante y después de una interrupción significativa, como desastres naturales, fallos de tecnología o ciberataques.
• Un Plan de Recuperación ante Desastres (DRP) es un conjunto de procedimientos y acciones específicas diseñadas para restaurar los sistemas de TI y las operaciones críticas tras una interrupción significativa. Este se enfoca únicamente a riesgos tecnológicos que puedan traer grandes pérdidas o afectar de manera directa a la empresa. Se tienen en cuenta sus diferentes frentes como infraestructura, recurso humano, sistemas industriales, estrategias de comunicación y tecnología.

Auditar los planes de continuidad del negocio y recuperación ante desastres implica evaluar su diseño, implementación y efectividad para asegurar que la organización esté preparada para manejar interrupciones.

Las relaciones comerciales se están volviendo más globales, complejas e interdependientes. Los incidentes que ocurren en nuestro propio negocio o en el entorno pueden reducir o incluso paralizar su actividad, impactando directamente en los clientes y en la cuenta de resultados. Un «Plan de Continuidad del Negocio» permite volver, de forma rápida y coordinada, a la situación de normalidad después de interrupciones.

Realización de una Auditoría de Continuidad de Negocio

Realizar una auditoría de continuidad de negocio en una empresa es una de las formas de asegurarse que los eventos disruptivos afectarán al mínimo la actividad. Hoy en día cualquier organización puede ver interrumpida su actividad por fuerzas de causa mayor. Incendios, pandemias, ataques terroristas, fallos eléctricos o interrupciones de servicio público pueden ocurrir en cualquier momento sin aviso previo.

El departamento de auditoría interna de su organización y, alternativamente, una firma de auditoría externa, pueden ayudarle a realizar esos exámenes. Pero en el supuesto de que el equipo de auditoría interna/externa no esté familiarizado con los matices de la continuidad del negocio y sus muchos componentes, los siguientes consejos son útiles para la colaboración en una auditoría de la continuidad del negocio:

1. Informar al equipo de auditoría: Avise a su equipo de auditoría que usted está preparando un sistema de gestión de la continuidad del negocio, planes de continuidad del negocio (BC) y actividades asociadas de BC, tales como evaluaciones, análisis de impacto en el negocio, análisis de riesgos, definiciones de estrategia, programas de formación y sensibilización, ejercicios y mantenimiento. Incluso si usted se centra exclusivamente en la preparación de un nuevo plan de BC o actualizar un plan existente, asegúrese de que el equipo de auditoría lo sabe.
2. Revisar auditorías previas: Revise cuidadosamente cualquier auditoría operativa anterior de continuidad del negocio y/o actividades de tecnología de recuperación de desastres (DR).
3. Proporcionar documentación relevante: Una buena manera para que los profesionales de continuidad del negocio eduquen a los miembros del equipo de auditoría es proporcionarles documentación que se preste para el proceso de auditoría, tales como estándares y reglamentos que se componen principalmente de informes de control.
4. Establecer un programa de auditoría: Asóciese con su equipo de auditoría para establecer un programa de auditoría. Tal programa debería definir la metodología, frecuencia, responsabilidades, requisitos de planificación y actividades de presentación de informes.

Pasos en el Proceso de Auditoría de Continuidad del Negocio

• Prepare el plan de auditoría, que incluye el alcance de la auditoría, el enfoque de auditoría y el programa.
• Revise y resuma la información reunida para la auditoría, tales como la documentación del plan BCMS/BC, los cuestionarios, los reportes de análisis de impacto del negocio, los reportes de riesgo y los documentos de auditoría anteriores.
• Identifique lagunas en la documentación existente y actualice la información según sea apropiada.
• Revise y aplique estándares, reglamentos, legislación y documentos de buenas prácticas para validar los hallazgos preliminares y preparar los papeles del trabajo de auditoría.
• Identifique los controles de auditoría y prepare documentos de trabajo que reflejen las métricas BC establecidas y definidas por grupos de estándares, reguladores, legisladores y otros.
• A raíz de las entrevistas de auditoría de continuidad del negocio y descubrimiento, prepare un informe en borrador de su opinión de la auditoría para debatir con las partes interesadas en su organización.
• Complete un informe final de auditoría, que incluya los resultados de las discusiones y acciones recomendadas.
• Complete un plan de acción y plazos de tiempo para remediar las conclusiones y recomendaciones de la auditoría.
• Asegúrese de que el plan de acción para remediar los resultados de la auditoría se lleva a cabo dentro del plazo acordado.
• Programe la siguiente auditoría.

Puntos Clave a Considerar en la Auditoría de un SGCN

Al realizarse una auditoría de sistema de continuidad de negocio en una empresa es necesario tener en cuenta una serie de puntos:

• Documentar el alcance: Documentar el alcance del sistema de continuidad de negocio es uno de los requisitos principales de la ISO 22301.
• Identificar partes interesadas: También es necesario identificar las partes interesadas o que se ven afectadas de alguna manera por la empresa. En este punto también se debe averiguar hasta qué punto existe la implicación y si el liderazgo conoce la política de continuidad en la organización.
• Seguimiento de objetivos: Es importante también revisar que se realiza un seguimiento del cumplimiento de los objetivos establecidos. Para eso, el auditor debe ver si existen revisiones periódicas, KPIs, protocolos o actas de reuniones.
• Información y concienciación: El auditor comprueba que existe suficiente información sobre el plan de continuidad de negocio. También se asegurará que hay una concienciación por parte de todas las partes implicadas.
• Revisar procedimientos: Es importante revisar que se han seguido de forma correcta, que estén documentados y que sean acorde a la organización.
• Revisar métricas: En el momento de la auditoría es necesario revisar si la empresa tiene formas de revisar las métricas establecidas en el punto 9.3 de la ISO 22301.
• Acciones correctivas: Para todos los incumplimientos y fallos que se han hallado, es necesario buscar la raíz de estos y determinar cuáles son las mejores formas de corregirlos.

Los planes de continuidad del negocio y recuperación ante desastres son esenciales para asegurar que una organización pueda enfrentar y superar interrupciones significativas. Auditar estos planes es fundamental para garantizar que sean efectivos y estén bien implementados. A través de la revisión de documentación, evaluación de estrategias, pruebas y simulacros, entrevistas con el personal y revisión de comunicaciones, los auditores pueden identificar áreas de mejora y asegurar que la organización esté preparada para cualquier eventualidad.