10 REFLEXIONES SOBRE LAS MEDIDAS IMPLANTADAS EN SU EMPRESA DURANTE LA PANDEMIA

¿Estaban las empresas preparadas para una pandemia a nivel mundial? Seguramente la respuesta es “no”. Casi con total certeza, la mayoría de las organizaciones tenían planes de continuidad de negocio o de respuesta a crisis y éstos tenían en cuenta eventos de corta duración como cortes de energía o de red, terremotos o pérdidas de datos. Probablemente, muy pocos de estos planes incluían un escenario de pandemia y ninguno de ellos consideró la posibilidad de un cierre global casi simultáneo en todo el mundo.

Sin lugar a duda, la pandemia ha sentado un nuevo precedente en la gestión de crisis incrementando la importancia de los planes de continuidad de negocio, así como otorgando más relevancia a la resiliencia operacional de las organizaciones y la economía mundial en su conjunto.

Antes de que se produjera la pandemia, ya se empezaba a prestar mayor atención al concepto de resiliencia operacional, el cual se distingue sutilmente de los planes de continuidad de las actividades. Éstos últimos dan respuesta a eventos disruptivos, como por ejemplo fenómenos meteorológicos que pueden ocasionar interrupciones en la operativa de las empresas. Sin embargo, la resiliencia operacional se centra, no sólo en la forma de reactivar el negocio después de que se produzca un evento específico, sino en el modo en que las empresas deben identificar sus activos, servicios y procesos más valiosos, y asimismo proteger preventivamente sus recursos, personal y marca contra las posibles amenazas que pudieran poner en riesgo la continuidad de la organización.

La pandemia representa la oportunidad ideal para que todas las organizaciones revisen su capacidad de recuperación operacional ante lo que ha sido un escenario de crisis real y extremo. La oportunidad de aprender de esta inesperada situación y mejorar el funcionamiento y respuesta de las organizaciones no debería desperdiciarse. Por ello, es importante que las empresas adopten medidas para tener una mayor capacidad de recuperación operacional, como por ejemplo:

• Identificar aquellos servicios más críticos que, en caso de interrupción, podrían causar un daño significativo a las operaciones de la compañía.
• Documentar los procesos, la tecnología, las instalaciones y la información que dan soporte a los servicios más críticos de la organización.
• Definir niveles/umbrales de tolerancia de impacto que sean asumibles por la empresa en cada uno de los servicios identificados como críticos.
• Preparar y validar una serie de escenarios que pongan a prueba la capacidad la organización para mantenerse dentro de sus tolerancias de impacto mediante una serie de escenarios de interrupción graves pero plausibles. Considerando los recientes eventos, estos escenarios deberían incluir el impacto de pandemias y otros acontecimientos de conmoción mundial.

Las organizaciones con enfoques más maduros irán más allá de la simple actualización los planes de continuidad y la ampliación de escenarios de bloqueo global. La verdadera resiliencia operacional requerirá que las empresas identifiquen a las personas y unidades de negocio clave, establezcan tolerancias de impacto y prueben acciones de respuesta y recuperación basadas en esas tolerancias.

El rol de auditoría interna

En una situación de crisis mundial en la cual las empresas se han visto obligadas a ejecutar el plan de continuidad de negocio, así como “explorar” los límites de su resiliencia operativa, la función de auditoría interna juega un papel decisivo como tercera línea de defensa. Ésta puede ofrecer una visión independiente y objetiva de qué medidas preventivas debería tener implementadas la organización y cómo, en caso de ocurrencia, ha hecho frente a dicha situación.

A continuación, se detallan 10 acciones y reflexiones que auditoría interna debería tener en consideración para validar el diseño y efectividad de las medidas implementadas por la organización y de ejecución en situaciones de crisis como, por ejemplo, la actual pandemia:

1. Realizar una revisión del mapa de riesgos de la organización para comprobar como la respuesta a la pandemia y la consiguiente crisis económica ha afectado a la valoración de los principales riesgos de la compañía, haciendo especial énfasis en aquellos riesgos de ámbito financiero y operacional.
2. Analizar si las medidas de gobierno corporativo en torno a la toma de decisiones en caso de crisis se basaron en datos y suposiciones sólidas, prudentes y coherentes.
3. Comprobar si la función de compliance ha sido impactada por la pandemia y cuáles han sido las medidas adoptadas para garantizar que la organización cumple con sus obligaciones regulatorias y normativas.
4. Verificar las medidas de control relacionadas con la integridad de los datos e información comunicada a los comités de crisis.
5. Analizar si la organización tenía identificados y documentados los servicios, procesos, tecnología, instalaciones e información críticos; definió tolerancias de impacto para cada uno de ellos y realizó pruebas de respuesta y recuperación basadas en esas tolerancias.
6. Examinar si la empresa ha llevado a cabo un análisis posterior para determinar como ha hecho frente a la crisis de la pandemia y posibles lecciones aprendidas. Asimismo, realizar un análisis independiente para validar la integridad de las conclusiones extraídas de las propias evaluaciones de la primera línea de defensa.
7. Comprobar los procedimientos de la empresa para comunicarse con las partes interesadas (por ejemplo, empleados, accionistas, clientes, proveedores o medios de comunicación) de manera rápida y eficaz en situaciones de crisis.
8. Validar si los planes de continuidad de la empresa o de respuesta a la crisis eran adecuados para el propósito, si se han seguido o si es necesario actualizarlos incluyendo un escenario de pandemia mundial y posibles eventos de riesgo extremo.
9. Analizar si la respuesta y adaptación de la organización a la pandemia fue efectiva y consistente en todos los territorios de actuación.
10. Comunicar al Consejo de Administración cualquier punto de mejora en la madurez del enfoque de la organización en cuanto a la resiliencia operativa.

Estar preparados para escenarios disruptivos que lleven al límite a las organizaciones se ha convertido en un factor clave para el futuro de las compañías a nivel mundial; la función de auditoría interna juega un papel fundamental para afrontar con éxito este nuevo reto.