Usamos cookies en nuestro sitio web para brindarte la experiencia más relevante recordando tus preferencias y visitas repetidas. Haz clic en "Aceptar todas las cookies" para disfrutar de esta web con todas las cookies, configura tus preferencias antes de aceptarlas o utiliza el botón "Rechazar todas las cookies" para continuar sin aceptar.

Gestión de Cookies
Zona Clientes
User
Password
Campus e-Learning
User
Password
  • Zona Clientes
  • Campus E-Learning
Noticias  /  Rol de Cumplimiento en Resiliencia Operacional

Rol de Cumplimiento en Resiliencia Operacional

"Resistencia operativa" es una de esas frases en el cumplimiento corporativo y la gestión de riesgos que, seamos honestos, suena aburrido cuando la escuchas por primera vez.

28/11/2019

"Resistencia operativa" es una de esas frases en el cumplimiento corporativo y la gestión de riesgos que, seamos honestos, suena aburrido cuando la escuchas por primera vez. 

Sin embargo, como muchas otras cosas en este campo, no es aburrido una vez que considera lo que realmente significa resistencia operativa, que es exactamente lo que hicieron varias docenas de profesionales de cumplimiento en la Facultad de Derecho de Fordham la semana pasada durante una sesión de panel sobre resiliencia operativa. Había mucho que desempacar en ese tema, y ​​los puntos planteados se aplican mucho más allá del sector financiero. Así que echemos un vistazo.

Primero tenemos que aclarar el término en sí. En su forma más simple, la capacidad de recuperación operativa es la capacidad de una empresa para responder y recuperarse de una interrupción operativa . Como lo expresó un panelista, la capacidad de recuperación es su capacidad de "mantener la calma y continuar". 

¿Continuar con qué, exactamente? Con la prestación de servicios a sus clientes. 

Esa respuesta puede sonar frívola. En realidad no lo es. Es un gran mecanismo de encuadre para ayudar a los oficiales de cumplimiento y riesgo a comprender lo que deben hacer para respaldar la capacidad de recuperación operativa, porque proporcionar servicios a sus clientes es el objetivo. Todo lo demás fluye desde ese punto.

Por ejemplo, la multitud en la discusión de Fordham era principalmente gente de la industria bancaria. Piense en lo complicado que es ese sector, con tantos jugadores especializados que brindan servicios especializados a otras partes, en una cadena gigantesca que llamamos "servicios financieros". Cada eslabón de esa cadena necesita un sentido claro de cuáles son sus servicios críticos para sus clientes. son, y bajo qué circunstancias la empresa podría no prestar esos servicios.  

Ahora piense en lo complicado que es cada jugador en el sistema bancario en sí mismo: todos los terceros que usa, todos los sistemas tecnológicos que ejecuta, todos los riesgos financieros que asume. ¿Cómo podría alguna de esas cosas interrumpir de alguna manera la capacidad de la empresa para proporcionar servicios a sus clientes? Esa es la pregunta crítica para evaluar el riesgo operacional, y el riesgo operacional es lo que una empresa necesita comprender, de modo que pueda construir controles para mantener esos riesgos bajo control. Esos controles permiten que una empresa siga brindando servicios a los clientes. 

Lo que se conoce como resistencia operativa. 

Todo sobre tecnología

Cuando considera la capacidad de recuperación operativa de esa manera, por supuesto, la tecnología se convierte en la principal causa de preocupación. La tecnología es ahora cómo prestamos servicios; es el conjunto de herramientas que utilizamos para crear valor para los clientes y luego transferirles ese valor a cambio de dinero. Cualquier interrupción en la tecnología es una interrupción en las operaciones, por lo que, por definición, administrar el riesgo de TI es crucial para la capacidad de recuperación operativa.  

Claro, la ciberseguridad es una gran parte de ese riesgo de TI. Los piratas informáticos pueden penetrar en su red y comenzar a jugar con aplicaciones importantes, tal vez deshabilitando las comunicaciones o borrando datos valiosos. Eso es lo que le sucedió a Sony en 2014 cuando Corea del Norte estaba molesta por el lanzamiento de la película de Seth Rogen, The Interview . 

Por otra parte, la ciberseguridad es solo una parte del riesgo de TI, y tal vez no sea la mayor parte. Considere una aerolínea que intenta actualizar su sistema de reserva de boletos y todo se estrella, dejando a millones de pasajeros incapaces de volar. O imagine un grupo de bancos que dependen de una plataforma de mensajería común para realizar transacciones y que la plataforma se bloquea, dejando a los banqueros incapaces de ejecutar acuerdos.

Esa es una interrupción operativa debido al riesgo de TI, pero la seguridad cibernética podría no tener nada que ver con esas fallas. En cambio, las preguntas son sobre el gobierno de TI: el diseño de sistemas, controles para mantenimiento y actualizaciones, etc. Es posible que tenga un sistema ERP costoso que existe como su propio mundo complicado y cerrado (la aerolínea); o puede tener una colección más barata y más ágil de servicios basados ​​en la nube que pueden traer más puntos potenciales de falla (los bancos). 

¿Cuál es el adecuado para su empresa? ¿Cómo controlas los riesgos que conlleva cada uno? Responder esas preguntas correctamente es una gran parte de la capacidad de recuperación operativa.

Incluso iría tan lejos como para decir que las violaciones de datos, por irritantes que sean, generalmente no son una amenaza para la capacidad de recuperación operativa, porque no interrumpen su capacidad de proporcionar servicios a los clientes. ¿Te costarán una fortuna arreglar esas infracciones y enloquecer a los C-suite? Absolutamente. Pero la mayoría de las infracciones son robos de datos personales, que los hackers revenden en la web oscura en algún lugar. Mientras tanto, sus operaciones comerciales pueden continuar como siempre.

(Sin embargo, esto significa que el ransomware es una amenaza para la capacidad de recuperación operativa, ya que interrumpe su capacidad de servir a los clientes. Entonces, si desea un ejemplo de ciberseguridad que amenace la capacidad de recuperación, cite ese).

Donde el cumplimiento cumple con la resistencia operativa

A estas alturas, muchos de ustedes pueden estar pensando: sí, entiendo qué es la capacidad de recuperación operativa y cuánto riesgo de TI se incluye en esa idea, entonces, ¿dónde encajo yo, el oficial de cumplimiento, en este problema? Eso también tuvo mucha discusión en el foro de Fordham. 

Claramente, gran parte del trabajo para la resiliencia operativa no pertenece a la función de cumplimiento. Los CCO no pueden diseñar sistemas de TI, ni auditar protocolos de seguridad, ni evaluar y monitorear los riesgos de las actualizaciones de ERP. Esas funciones pertenecen al CISO y la función de auditoría de una empresa.

Mientras tanto, especialmente para las empresas financieras, muchos otros riesgos operativos están al acecho acerca de que las CCO tampoco pueden abordarlas. Por ejemplo, su empresa podría ver un aumento en el volumen de operaciones que bloquea un sistema de procesamiento de transacciones o lleva las posiciones de liquidez a un nivel que requiere una nueva presentación regulatoria. ¿Cuál es el deber del CCO de supervisar algo así? 

Todas estas cosas tocan la función de cumplimiento, pero solo en la periferia. Deben funcionar bien, especialmente si los reguladores aparecen buscando documentación de la capacidad de recuperación operativa de una empresa, y la documentación de que su empresa cumple con las expectativas regulatorias es algo que hacen los oficiales de cumplimiento. Pero construir esas políticas, procedimientos y controles para asegurar la resiliencia operativa no lo es. Entonces, ¿quién hace qué? 

Es una pregunta difícil y ambigua. En Fordham, numerosos panelistas y oradores dijeron que fusionar el cumplimiento y la gestión de riesgos podría ser la mejor respuesta . Hoy es una idea muy válida para las empresas financieras, y vemos ejemplos de informes de cumplimiento a un director de riesgos. La idea aún no está del todo presente con otros sectores, pero no se sorprenda si gana tracción pronto. 

Sin embargo, respondemos a la pregunta de quién lo gestiona, "esto" implicará una gran cantidad de terceros evaluadores que le brindan servicios de TI, asegurando que los empleados obedezcan las políticas y procedimientos relacionados con el gobierno de TI, monitoreando el flujo de transacciones a través de sus sistemas, capacitando a los empleados para tenga en cuenta los riesgos de ciberseguridad y pruebe los controles para asegurarse de que estén diseñados de manera inteligente y funcionen bien. 

El cumplimiento va a estar en esa mezcla en alguna parte.

 

Fuente: radicalcompliance.com

Solicita más información

En cumplimiento de la normativa de protección de datos, en particular del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, le informamos que los datos personales que usted nos facilita a través del presente formulario, serán utilizados por International Dynamics Advisors (INTEDYA), para tramitar su solicitud de información respecto al asunto indicado. .

Los datos personales marcados con (*) son imprescindibles para tramitar su solicitud, siendo el resto opcionales, y orientados a mejorar las vías de comunicación con los solicitantes. INTEDYA únicamente comunicará sus datos a las oficinas (pertenecientes a su red de oficinas) necesarias o relacionadas con el servicio solicitado, no realizando ninguna otra comunicación, más allá de las obligaciones legales que puedan derivarse del tratamiento. Asimismo, ni INTEDYA ni las oficinas de su red implicadas, utilizará sus datos con finalidades distintas a las indicadas, salvo autorización expresa y previa del titular de los mismos. Los datos personales serán tratados únicamente durante el tiempo necesario para tramitar su solicitud, tras lo cual se procederá a su supresión. Le informamos sobre la posibilidad de ejercer los derechos de acceso, rectificación, supresión, portabilidad y limitación del tratamiento, en los términos previstos en la ley, que podrá ejercitar dirigiéndose a International Dynamics Advisors, en Calle Secundino Roces Riera, nº 5, planta 2, oficina 7, Parque Empresarial de Asipo I. C.P. 33428 Cayés, Llanera (Asturias)., o a la dirección de correo electrónico info@intedya.com.

Además, en caso de que usted nos autorice expresamente, INTEDYA podrá utilizar sus datos de contacto para el envío de Newsletter, comunicaciones, notificaciones y, en general, información sobre nuestros productos y servicios que puedan resultar de su interés.

Para obtener más información sobre el uso de los datos de carácter personal, así como sobre el cumplimiento de los principios, requisitos y derechos recogidos de la normativa de protección de datos, INTEDYA pone a disposición de los interesados, a través de su página web, su Política de Privacidad.

Trabajamos formando un banco mundial de conocimiento, sumando la experiencia y capacidades de todos nuestros profesionales y colaboradores capaces de formar el mejor equipo internacional de conocimiento.

Reconocimientos y participación

INCIBECursos Universitarios de Especialización UEMCStaregisterUNE Normalización EspañolaOganización Asociada a la WORLD COMPLIANCE ASSOCIATIONStandards Boost BusinessMiembros de ANSI (American National Standards Institute)Miembros de la Green Industry PlatformMiembros de la Asociación Española de la CalidadAdheridos al Pacto de LuxemburgoMiembros de la European Association for International Education