plan de...estructura del plan de continuidad del negocio (bcp)es importante destacar que los...
TRANSCRIPT
LA AUDITORÍA
INTERNA Y EL
PLAN DE
CONTINUIDAD
DEL NEGOCIO
C. P. Gabriel Sánchez Curiel¤
C. P. Mario Enrique Mota Sevchovicius£
L. C. C. Fernando Pérez Mendoza£
¤Presidente de la Comisión Sector Empresa Auditoría Interna del
Colegio de Contadores Públicos de México.
£Integrantes de la Comisión Sector Empresa Auditoría Interna del
Colegio de Contadores Públicos de México.
Introducción
A lo largo de la historia han ocurrido aconte-
cimientos naturales de toda índole, con con-
secuencias adversas sobre las estructuras
de la sociedad. Fenómenos naturales como
terremotos, inundaciones, huracanes, incen-
dios, o calamidades causadas por los seres
humanos, como guerras, terrorismo, mani-
pulaciones dolosas de la economía, huel-
gas injustificadas, pandemias, entre muchas
otras, afectan a las personas y las operacio-
nes de las empresas.
La globalización de los mercados también
incrementa la necesidad de prepararse para
enfrentar con éxito eventos adversos, los
cuales, se presentan en forma de fluctuacio-
nes cambiarias, inflación galopante, escasez
de insumos, regulaciones gubernamentales
unilaterales y violencia sociopolítica genera-
lizada, por citar algunos ejemplos.
Frente a dicho entorno, los encargados del
gobierno de la empresa deben prepararse
de manera oportuna y permanente, a fin de
mitigar los impactos negativos sobre la es-
tabilidad de la empresa, en caso de ocurrir
algún desastre. Al respecto, una respuesta
concreta es el “Plan de Continuidad del Ne-
gocio” o “Bussines Continuity Plan” (BCP),
cuyos componentes, incluso han sido adop-
tados por autoridades regulatorias como una
obligación para determinadas empresas.
Por lo amplio y complejo que puede llegar a
ser un BCP, en este documento se tratan los
aspectos más significativos sobre su estruc-
tura, las principales estrategias para su de-
finición, así como la participación que en su
contexto debe tener la “Auditoría interna”.
Los detalles y otras implicaciones sobre el
BCP, serán motivo de boletines posteriores.
Estructura del Plan de Continuidad del Negocio (BCP)
Es importante destacar que los
principales interesados en im-
plantar un BCP son, tanto el due-
ño de la empresa, como el go-
bierno corporativo; sin el apoyo
de ambas partes, el BCP no po-
dría desarrollarse con éxito.
Una vez reconocida la importan-
cia y beneficios de tener un BCP,
el área de “Auditoría interna”
debe involucrase activamente,
sin comprometer sus facultades,
en la implantación, cumplimiento
y actualización.
La estructura del BCP debe tener
un enfoque integral para el mane-
jo de emergencias y desastres, lo
que implica dotarlo de elemen-
tos básicos en materia de preven-
ción, preparación, respuesta, y
recuperación. A continuación, los
explicamos brevemente:
Prevención: Acciones realizadas
para reducir la probabilidad de
ocurrencia de un incidente. Este
elemento está cubierto en gran
medida por la “Planeación de
Gestión de Riesgos”.
El BCP debe ser implantado en
todas las áreas de la empresa,
sin importar el giro de esta, prin-
cipalmente en aquellas entida-
des donde la integridad de la
información es el activo princi-
pal. Tampoco es una restricción
el tamaño, pues el BCP puede
aplicarse a empresas grandes,
medianas, pequeñas, incluso, a
microempresas.
CORPORATIVO 71
COFI
Preparación: Acciones realizadas
antes de la ocurrencia de un in-
cidente, para garantizar una res-
puesta efectiva. Este elemento
está contemplado por la “Eva-
luación del Impacto al Negocio”
o “Business Impact Assesment”
(BIA).
Respuesta: Acciones realizadas
ante la ocurrencia de un inciden-
te, en términos de contención,
control y mitigación de sus im-
pactos. Este elemento está con-
tenido en el “Plan de Respuesta
a Emergencias” o “Emergency
Respond Plan” (ERP).
Recuperación: Acciones reali-
zadas para superar con éxito un
incidente, buscando reducir el
tiempo de interrupción de los
procesos. Este elemento está
ampliamente cubierto, tanto por
el “Plan de Recuperación del Ne-
gocio” o “Business Resumption
Plan” (BRP), como por el “Plan de
Recuperación de Desastres” o Di-
saster Recovery Plan (DRP).
Asentado lo anterior, se debe
entender el BCP como una estra-
tegia institucional aplicada por
la empresa, después de sufrir un
evento adverso de crisis o de-
sastre, a fin de recuperar total o
parcialmente las operaciones en
el menor tiempo posible, con én-
fasis sobre los procesos identifi-
cados como vitales y críticos.
De acuerdo con lo anterior, es recomendable que la estructura del
BCP incluya tres componentes principales para lograr sus objetivos:
Componentes del BCP
Plan de respuesta aemergencias (ERP)
El principal objetivo es salvaguardar a todas las personas que se en-
cuentran en las instalaciones de una empresa; en él se desarrollan
los protocolos de respuesta inmediata a las situaciones adversas. Se
inicia con la identificación de las posibles amenazas que enfrenta una
empresa por su ubicación geográfica; también se diseñan las acciones
para responder a dichas adversidades.
Plan de repuesta a emergencias (Emergency
Response Planning), o ERP.
Plan de recuperación del negocio (Business
Resumption Planning), o BRP.
Plan de continuidad del servicio (Services
Continuity Management), o SCM; Plan de
recuperación después del desastre (Services
Continuity Management), o SCM; (Disaster
Recovery Planning), o DRP.
1
2
3
CORPORATIVO72
COFI
El ERP debe ser tan amplio y estructurado como
la propia entidad, es decir, si la entidad tiene
una oficina central en un área geográfica de alta
probabilidad de terremoto, se debe desarrollar
un protocolo específico para responder a esta
amenaza; por otro lado, si en los procesos de
la empresa se utilizan materiales inflamables, se
tendrá que desarrollar un protocolo exclusivo
para responder a un evento de esta naturaleza.
Los protocolos del ERP pueden ser más comple-
jos: si la empresa tiene oficina central y sucursa-
les ubicadas en diferentes áreas geográficas, se
tendrán que identificar y definir los protocolos
de seguridad específicos para cada localidad y
para cada situación de desastre. Generalmente
el encargado y responsable del ERP es el “Di-
rector de seguridad”, quien coadyuvará para la
conformación de brigadas por cada localidad.
1
2
3
Plan de recuperación del negocio (BRP)
Su objetivo es identificar los procesos clave del negocio
para restablecerlos en el menor tiempo posible; para ello
se definen el cómo, dónde, cuándo, quién es responsable,
y qué debe hacerse cuando ocurra un evento adverso.
Esta identificación de los procesos clave implica asumir la
postura de “comenzar desde cero” cuando ocurra algún
incidente, incluyendo la pérdida de la operación -sea tem-
poral, o de largo plazo-, así como el acceso a su ubicación
principal.
El BRP debe desarrollarse en conjunto y simultáneamente
con el “Plan de Recuperación ante Desastres” (DRP). Am-
bos planes son mutuamente dependientes, pues están
correlacionados; con ello, el éxito del BCP estará asegu-
rado y la empresa se encontrará en la ruta correcta para
reanudar operaciones en el menor tiempo posible.
El BRP implica los siguientes factores básicos:
Identificar y evaluar los procesos vitales, críticos, importan-
tes, y de bajo riesgo del negocio, para establecer priorida-
des en la reanudación de operaciones, en el menor tiempo
posible.
Garantizar la disponibilidad de los recursos necesarios, in-
cluidos el personal, la información, los equipos, la liquidez
financiera, los servicios de reparaciones y adaptaciones que
se requieran.
Mantener activa la operación ante una interrupción no pla-
neada, asegurando la satisfacción de las necesidades esen-
ciales de clientes y proveedores, hasta lograr la reanudación
integral de las operaciones.
CORPORATIVO 73
COFI
Una parte clave del BRP es el “Análisis del Impacto al Ne-
gocio” o “Business Impact Analysis” (BIA). Es una herra-
mienta utilizada para evaluar los procesos del negocio y
definir la prioridad de su continuidad durante un desastre.
El BIA ayuda a predecir las consecuencias de la interrupción
de una función o algún proceso del negocio; recopila la in-
formación necesaria para desarrollar estrategias de recupe-
ración, o para invertir en estrategias de prevención y mitiga-
ción. El BIA incluye un componente exploratorio para revelar
cualquier vulnerabilidad y un componente de planificación
para desarrollar estrategias que minimizan el riesgo. El resul-
Son varios los elementos que conformar un BRP con perfil institucional. Mencionamos los más representativos:
Establecer un “Comité BRP”.
Evaluar la capacidad de reacción frente a un desastre: “Si ocurriera una
interrupción hoy, ¿con qué rapidez y capacidad podrían reanudarse las
operaciones?”
Definir un sitio alterno para continuar las operaciones durante el desastre.
Realizar un análisis de evaluación y gestión de riesgos.
Clasificar los procesos del negocio en vitales, críticos, importantes y de
bajo riesgo, para facilitar su identificación y evaluación.
Identificar al personal responsable de la continuidad de los procesos vitales
y críticos.
Desarrollar conjuntamente el DRP, analizar y definir necesidades de hard-
ware y software.
Diseñar y documentar el BRP para ejecutar la recuperación.
Capacitar al personal involucrado en el BRP.
Efectuar simulacros para conocer la capacidad de respuesta del BRP.
Evaluar el BRP con la participación de “Auditoría interna”.
Actualizar permanentemente el BRP.
1
2
3
4
5
6
7
8
9
10
11
12
tado es un “Informe de Análisis de Impacto Em-
presarial”, que describe los riesgos potenciales
específicos de la entidad.
Una de las suposiciones básicas que implica
el BIA es que cada componente de la empre-
sa depende del funcionamiento continuo de
todos los demás, aunque algunos sean más
cruciales que otros y requieran de una mayor
asignación de fondos en caso de un desastre.
CORPORATIVO74
COFI
a)
b)
c)
d)
Para identificar procesos significativos del negocio, en el
BIA se define el “Tiempo objetivo de recuperación” (RTO),
como el período permitido para reiniciar una función a un
nivel aceptable después del desastre; también es nece-
sario definir como el “Punto objetivo de recuperación”
(RPO), el cual, describe la antigüedad máxima de los da-
tos para su restauración, con base en los requisitos del
negocio.
Se sugieren 4 categorías para priorizar los procesos del
negocio a restablecer:
Es práctica generalizada que la responsabilidad del BRP
se asuma sinergéticamente por las áreas de “Finanzas” y
“Administración de riesgos”, desde luego, con la partici-
pación permanente de “Auditoría interna”.
Plan de continuidad delservicio (DRP)
El “El plan de continuidad del servicio” (DRP), siempre
debe estar alineado con el “Plan de Recuperación del Ne-
gocio” (BRP), y con el “Análisis del Impacto al Negocio”
(BIA).
Aquí se definen las capacidades necesarias
para responder a una interrupción de los ser-
vicios tecnológicos, mediante la implementa-
ción de un plan para restablecer las funciones
críticas de la organización.
Dichas capacidades implican calendarizar
actividades como el respaldo de archivos,
autenticación de facultades y niveles de se-
guridad, detección de virus y monitoreo de la
utilización de sistemas -principalmente para
verificaciones de capacidad-, y, de manera
destacada, la capacidad de restablecer la in-
fraestructura tecnológica necesaria para con-
tinuar con los procesos vitales y críticos del
negocio -identificados en el BIA-.
También es importante subrayar que en el
DRP se definen, principalmente, los objetivos
de recuperación para los sistemas de cómpu-
to que soportan los procesos del negocio.
vital: menor a 24 horas.
crítico: menor a 72 horas.
importante: menor a una semana.
riesgo bajo: mayor a 2 semanas.
CORPORATIVO 75
COFI
Auditoría interna en el BCP
La “Comisión Sector Empresa
Auditoría Interna del Colegio de
Contadores Públicos de México”
ha declarado en otros boletines,
que la prevención de riesgos es
una de las principales responsa-
bilidades de “Auditoría interna”.
Ahora bien, si el plan de continui-
dad del negocio es parte indis-
pensable de dicha prevención,
todos sus componentes e impli-
caciones, deben incluirse en el
“Plan Anual de Auditoría”.
Prevención, preparación, res-
puesta y recuperación son los
elementos básicos del BCP; la
responsabilidad respecto a ellos
es de la empresa. A “Auditoría
interna”, le corresponde incluir
todos los componentes básicos
de cada elemento en su progra-
ma de trabajo, y, sin comprome-
ter sus propias funciones, suge-
rir ajustes en puntos críticos del
BCP, como mecanismos adicio-
nales de seguridad en la plata-
forma de cómputo, cambios en
las prioridades establecidas por
personal que no tiene conoci-
miento de la estructura global de
la empresa, alcance, frecuencia y
aleatoriedad de los simulacros,
entre otros puntos similares.
El trabajo de “Auditoria interna”
durante un desastre será, dar
soporte al gobierno corporativo
sobre la activación, ejecución y
monitoreo del BCP, cerciorándo-
se de su eficacia y actuando en
forma preventiva sin bloquear las
actividades que se realizan.
Conclusiones
Considerando los riegos y amenazas que se enfrentan en un mundo globa-
lizado, el BCP debe formar parte del “Plan estratégico” de la empresa. Su
eficacia recae en el liderazgo del gobierno corporativo, y el involucramiento
de todo el personal de la empresa para su preparación, cumplimiento y ac-
tualización permanente.
La vida de la empresa puede quedar comprometida en el caso de un desastre
si carece de los procedimientos necesarios para enfrentarlo, superarlo y conti-
nuar sus operaciones; en algunos casos esto puede ocurrir durante sólo unos
minutos sin que haya posibilidad de recuperación. La alternativa es un BCP a
la medida de la empresa.
De acuerdo con sus responsabilidades en materia de prevención de riesgos
y promoción de la eficiencia operativa, “Auditoría interna” debe involucrarse
en todos los procesos que se identifican con el desarrollo y mantenimiento
del BCP, e incluir en su “Plan anual”, el tiempo y los recursos necesarios para
llevar a cabo su trabajo excediendo las expectativas de la empresa y de sus
accionistas.
CORPORATIVO76
COFI