Declaración de recuperabilidad (statement of recoverability)

-

El otro día conversaba con un colega consultor acerca de la gestión de continuidad por parte de los terceros clave de una organización. Específicamente, sobre los problemas que se presentan durante las revisiones y auditorías que se realizan sobre los programas de continuidad del negocio (o simplemente, sobre los planes de continuidad) que han implementado estos terceros o proveedores clave. 

A partir de su experiencia como consultor, reconocía que un problema recurrente es la resistencia por parte de los terceros a entregar o “transparentar” información concerniente a sus planes de continuidad, programas o resultados de sus pruebas; en general, sobre los detalles de sus mecanismos de contingencia. Asimismo, reconocía que muchas entidades podían llegar a exigir a sus proveedores —de manera poco razonable— la entrega de evidencias o sustentos de cumplimiento de los aspectos mencionados, los que obviamente podían contener información que resultaba confidencial, o simplemente privada.

Ambos coincidimos en que hay una herramienta o entregable que puede ayudar a desentrampar bloqueos o desacuerdos en las revisiones y auditorías entre las entidades y sus terceros; pero que incluso, si se propone desde el inicio de las conversaciones, puede ahorrar mucho tiempo. Estoy hablando de contar con una declaración de recuperabilidad (o statement of recoverability).

¿Qué es una declaración de recuperabilidad?

Se trata de un documento que resume los principales aspectos del programa de continuidad del negocio que ha implementado una entidad, como un informe o reporte sobre la manera en que la entidad viene gestionando la continuidad de su negocio. Debe enfocarse en aquello que cualquier parte interesada (stakeholder) de dicha entidad necesitaría saber sobre su programa de continuidad, a fin de que, a partir de la información contenida en la declaración de recuperabilidad, la parte interesada pueda gestionar adecuadamente sus propios riesgos, a partir de las expectativas o dependencias que tenga sobre la entidad. 

Dentro de las partes interesadas o stakeholders de cualquier entidad, casi siempre encontraremos a los clientes, colaboradores, inversionistas, reguladores o supervisores, la comunidad, etc. En este caso, decíamos que la declaración de recuperabilidad de un tercero o proveedor clave puede ayudar en las revisiones y auditorías que se estén llevando a cabo por parte de sus clientes.

¿Qué debería contener una declaración de recuperabilidad?

Esa fue la siguiente pregunta que mi colega consultor y yo nos hicimos. Si bien dependerá mucho de la cultura o perfil que la entidad mantenga en su industria, gremio o mercado; en líneas generales una declaración de recuperabilidad debería contener, a nuestro criterio, información sobre los siguientes ámbitos del programa de continuidad:

  • Gobierno; es decir, quién y cómo se lidera y supervisa el programa.
  • Regulación y compliance/adherencia a estándares y best practices.
  • Escenarios de interrupción operativa, crisis o desastres que contempla el programa.
  • Principales mecanismos de contingencia tecnológica y operativa, implementados y probados, según la naturaleza de las operaciones de la entidad.
  • Resultados de los ejercicios y pruebas realizadas sobre estos mecanismos en el último año.
  • Datos de contacto para poder contar con mayor detalle o absolver dudas sobre la información consignada en la presente declaración.

El nivel de detalle o profundidad con que se describa cada ámbito quedará a criterio de la entidad; pero, como regla general, cuanto mayor detalle se pueda compartir, sin comprometer la confidencialidad de la entidad, siempre será mejor.

Aquí les comparto algunos ejemplos reales de declaraciones de recuperabilidad correspondientes a tres empresas de servicios:

Brown Brothers Harriman
El banco de inversión privado más antiguo, y uno de los más grandes, de los Estados Unidos.
* Información general sobre su programa de continuidad del negocio:
* Cláusula declarativa sobre su programa de continuidad:

AppsFlyer
Un proveedor de soluciones y plataformas web para analítica y medición de comportamiento digital, con matriz en Reino Unido.

Marsh & McLennan Companies
Un conglomerado norteamericano de empresas relacionadas a servicios de gestión de riesgos, seguros y consultoría.

¿Con esto es suficiente?

Nos quedó claro que, valga la redundancia, una declaración de recuperabilidad es “declarativa”. Es decir, muestra aquello que la entidad quiere decir; lo que quiere declarar (públicamente), en este caso, el tercero o proveedor. Esto puede hacer dudar al cliente acerca de la veracidad de la información consignada; y en la medida de que exista una mayor urgencia o necesidad de un aseguramiento más real y sólido de la continuidad del servicio provisto por el tercero, una declaración de recuperabilidad podría no ser suficiente. 

Si bien esta no es la panacea, ni mucho menos; nos llevamos las siguientes conclusiones:
  • La declaración de recuperabilidad ahorra tiempo en las conversaciones, sobre todo las iniciales, entre el cliente y el tercero/proveedor. Incluso puede ayudar a dirigirlas.
  • En tanto que la declaración de recuperabilidad tenga una validez adecuada, ya sea legal o administrativamente, puede evitar bloqueos, desacuerdos y desgaste en las revisiones y auditorías por la posible resistencia por parte de los terceros a entregar o “transparentar” información privada.
  • Acompañada de otras actividades encaminadas para gestionar los riesgos de interrupción en la tercerización, la declaración de recuperabilidad contribuye a una mejor comprensión por parte del cliente de la estrategia de continuidad del servicio que nos brinda un tercero o proveedor clave.
¿Qué opinas?

Comentarios

Publicar un comentario

Entradas populares de este blog

Mapa de suelos de Lima y Callao #BusinessContinuity #DisasterRecovery

-
Imagen
Extraído del Atlas de Peligros del Perú articulado por el Instituto Nacional de Defensa Civil (Indeci), en el mapa se muestran los resultados del estudio de microzonificación sísmica y tsunami realizado en 2010. Cada color indica una zona la cual corresponde un tipo de calidad de suelo: Peligro bajo (verde) : Está conformada por los afloramientos rocosos, los estratos de grava-aluvial de los pies de las laderas. Este suelo tiene un comportamiento rígido, con periodos de vibración natural. Peligro bajo Peligro relativamente bajo (amarillo) : Se incluyen las áreas de terreno conformado por un estrato superficial de suelo granulado fino y suelos arcillosos. Peligro relativamente bajo. Peligro alto (anaranjado) : Conformada en su mayor parte por los depósitos de suelos finos y arenas de gran espesor que se encuentran en estado suelto. Peligro alto. Peligro muy alto (rojo) : Conformada por los depósitos de arena eólicas de gran espesor y sueltas, depósitos fluviales, depósitos marin
Leer más

¿Qué dice la Ley 29783 (SST) sobre gestión de emergencias? #EmergencyPlanning #BusinessContinuity

-
Imagen
Mediante la ley de Seguridad y Salud en el Trabajo ( Ley N° 29783: 2011 ) y su reglamento respectivo  (D.S. 005.2012-TR), se estableció la obligación para las empresas de contar con un sistema de gestión en seguridad y salud en el trabajo ; el que especifica disposiciones legales específicas con respecto a la respuesta a situaciones de emergencia. En la Ley 29783 de Seguridad y Salud en el Trabajo (SST): Art. 39.- Objetivos de la Planificación del Sistema de Gestión de la Seguridad y Salud en el Trabajo . Con respecto al logro de resultados específicos, realistas y posibles de aplicar por la empresa; comprende (a) la mejora continua de los procesos, la gestión del cambio, la preparación y respuesta a situaciones de emergencia; y (b) la mejora del nivel de participación de los trabajadores y su capacitación.   En el Reglamento de la ley de SST: Art. 33.- Registros obligatorios del Sistema de Gestión de SST : g) […] registro de entrenamiento y simulacros de emergencia (
Leer más

Repasando el MTPD (o período máximo tolerable de interrupción)

-
Imagen
Acorde con la práctica estándar, las organizaciones determinan sus prioridades y requerimientos para el programa de continuidad del negocio, como parte del proceso de análisis de impacto o business impact analysis (BIA). Desde 2006 se introdujo un concepto para ayudar a determinar cómo debían priorizarse las actividades de las empresas ante un evento de interrupción y bajo qué condiciones estas debían ser recuperadas: el período máximo tolerable de interrupción o maximum tolerable period of disruption (MTPD). Image:  https://www.nbcnews.com/news/us-news/ditch-switch-call-go-permanent-daylight-saving-time-grows-n1043051 Según la norma internacional ISO 22301:2019, el MTPD es el período de tiempo dentro del cual, si no se pudieran reanudar las actividades, los impactos llegarían a ser inaceptables para la organización ; amenazando su supervivencia o haciendo que sus objetivos ya no sean alcanzables. Para poder identificar el MTPD para cada actividad, la organización debe decidir primer
Leer más