Declaración de recuperabilidad (statement of recoverability)
El otro día conversaba con un colega consultor acerca de la gestión de continuidad por parte de los terceros clave de una organización. Específicamente, sobre los problemas que se presentan durante las revisiones y auditorías que se realizan sobre los programas de continuidad del negocio (o simplemente, sobre los planes de continuidad) que han implementado estos terceros o proveedores clave.
A partir de su experiencia como consultor, reconocía que un problema recurrente es la resistencia por parte de los terceros a entregar o “transparentar” información concerniente a sus planes de continuidad, programas o resultados de sus pruebas; en general, sobre los detalles de sus mecanismos de contingencia. Asimismo, reconocía que muchas entidades podían llegar a exigir a sus proveedores —de manera poco razonable— la entrega de evidencias o sustentos de cumplimiento de los aspectos mencionados, los que obviamente podían contener información que resultaba confidencial, o simplemente privada.
Ambos coincidimos en que hay una herramienta o entregable que puede ayudar a desentrampar bloqueos o desacuerdos en las revisiones y auditorías entre las entidades y sus terceros; pero que incluso, si se propone desde el inicio de las conversaciones, puede ahorrar mucho tiempo. Estoy hablando de contar con una declaración de recuperabilidad (o statement of recoverability).
¿Qué es una declaración de recuperabilidad?
Se trata de un documento que resume los principales aspectos del programa de continuidad del negocio que ha implementado una entidad, como un informe o reporte sobre la manera en que la entidad viene gestionando la continuidad de su negocio. Debe enfocarse en aquello que cualquier parte interesada (stakeholder) de dicha entidad necesitaría saber sobre su programa de continuidad, a fin de que, a partir de la información contenida en la declaración de recuperabilidad, la parte interesada pueda gestionar adecuadamente sus propios riesgos, a partir de las expectativas o dependencias que tenga sobre la entidad.
Dentro de las partes interesadas o stakeholders de cualquier entidad, casi siempre encontraremos a los clientes, colaboradores, inversionistas, reguladores o supervisores, la comunidad, etc. En este caso, decíamos que la declaración de recuperabilidad de un tercero o proveedor clave puede ayudar en las revisiones y auditorías que se estén llevando a cabo por parte de sus clientes.
¿Qué debería contener una declaración de recuperabilidad?
Esa fue la siguiente pregunta que mi colega consultor y yo nos hicimos. Si bien dependerá mucho de la cultura o perfil que la entidad mantenga en su industria, gremio o mercado; en líneas generales una declaración de recuperabilidad debería contener, a nuestro criterio, información sobre los siguientes ámbitos del programa de continuidad:
- Gobierno; es decir, quién y cómo se lidera y supervisa el programa.
- Regulación y compliance/adherencia a estándares y best practices.
- Escenarios de interrupción operativa, crisis o desastres que contempla el programa.
- Principales mecanismos de contingencia tecnológica y operativa, implementados y probados, según la naturaleza de las operaciones de la entidad.
- Resultados de los ejercicios y pruebas realizadas sobre estos mecanismos en el último año.
- Datos de contacto para poder contar con mayor detalle o absolver dudas sobre la información consignada en la presente declaración.
El nivel de detalle o profundidad con que se describa cada ámbito quedará a criterio de la entidad; pero, como regla general, cuanto mayor detalle se pueda compartir, sin comprometer la confidencialidad de la entidad, siempre será mejor.
Aquí les comparto algunos ejemplos reales de declaraciones de recuperabilidad correspondientes a tres empresas de servicios:
- La declaración de recuperabilidad ahorra tiempo en las conversaciones, sobre todo las iniciales, entre el cliente y el tercero/proveedor. Incluso puede ayudar a dirigirlas.
- En tanto que la declaración de recuperabilidad tenga una validez adecuada, ya sea legal o administrativamente, puede evitar bloqueos, desacuerdos y desgaste en las revisiones y auditorías por la posible resistencia por parte de los terceros a entregar o “transparentar” información privada.
- Acompañada de otras actividades encaminadas para gestionar los riesgos de interrupción en la tercerización, la declaración de recuperabilidad contribuye a una mejor comprensión por parte del cliente de la estrategia de continuidad del servicio que nos brinda un tercero o proveedor clave.
Comentarios
Publicar un comentario