Como en tantos otros episodios de lahistoria, la actualidad del tema quenos ocupa en este artículo nace de

las consecuencias de un suceso negativo,en este caso trágico: los funestos atenta-dos a las Torres Gemelas de Nueva York el11 de septiembre de 2001. Esos actos te-rroristas provocaron, además de la ingentepérdida de millares de vidas y bienes ma-

teriales, la destrucción de ingentes canti-dades de datos de las compañías instala-das en el World Trade Center. Las empre-sas proveedoras de servicios de contingen-cia y continuidad de negocio estadouni-denses declararon en su día que más de1.200 de sus clientes se vieron obligadosa activar sus Planes de Continuidad de Ne-gocio (PCN) en respuesta a la devastacióncausada por los atentados. Y es en esemomento cuando se reactiva el interés pú-

blico por una actividad que venía contem-plándose de manera bastante accesoriapor las empresas.

Pero al margen de la concienciación ono que tengan las empresas ante la posibi-lidad de que se produzcan siniestros quelas afecten (hasta llegar incluso a ‘matar-las’), la trasposición en España de la direc-tiva de la Unión Europea de InstrumentosFinancieros (MIFID) el próximo mes de no-viembre sin duda que ‘animará’ a las com-

58 BOLSA. Enero 2007

ACTUALIDADACTUALIDADACTUALIDADACTUALIDAD

PCN: EMPRESAS PREPARADAS“PARA NO PARAR”

Los Planes de Continuidad de Negocio, una herramienta en expansión

La información se ha convertido en un activo estratégico de las empresas, un activo que tiene unvalor en ocasiones poco calculable hasta que no se pierde. Precisamente la pérdida de datos delas empresas ha provocado el desarrollo de una industria que vela por la continuidad del negocio,es decir, que salvaguarda a las empresas ante posibles accidentes o contingencias desastrosaspara la marcha de las compañías. El 43% de las empresas norteamericanas que han sufrido lasconsecuencias de un incidente externo sin contar con un Plan de Continuidad de Negocio (PCN)han desaparecido. Éste es un dato revelador que, seguramente, han tenido en cuenta losreguladores europeos al hacer que la Directiva de Mercados e Instrumentos Financieros (MiFID),que entrará en vigor este año, recoja entre sus mandatos la obligatoriedad de contar con un PCNpara las empresas que intervienen en los mercados financieros.

M. H.PERIODISTA

pañías sujetas a este marco normativo aconcienciarse en esta materia.

¿QUÉ ES UN PCN?Los PCN pueden definirse como las ac-

ciones que hay que llevar a cabo para asegu-rar la supervivencia de la empresa en casode que ésta sufra una interrupción no dese-ada de su negocio. Y cada vez es más evi-dente la necesidad de contar con este tipoespecial de ‘seguro corporativo’, sobre todosi se revisan algunas estadísticas: el 43% delas empresas estadounidenses que afron-tan un desastre sin contar con un PCN nun-ca vuelven a la actividad, el 51% sobrevivepero tarda un promedio de dos años de rein-sertarse en el mercado y sólo el 6% mantie-ne su negocio a largo plazo, según datos delEmergency Managment Forum.

Estos planes de contingencia son defini-dos por algunos expertos como un paso másen la contratación de un seguro convencio-nal, que tan sólo indemniza por los daños encaso de que se produzca un siniestro y no tie-ne en cuenta su impacto en el negocio; unimpacto difícilmente cuantificable, máximecuando, como se ha señalado, puede supo-ner la desaparición de la empresa.

Pero evidentemente no todo tiene queser catástrofes de trágicas consecuenciaspara que entren en funcionamiento los PCN:“El 70% de los negocios sufre una caída desistemas al año, con un coste medio de76.000 euros a la hora. Estos elevados cos-tes derivan en que cerca del 40% de lascompañías que han sufrido un desastre deestas características sin tener un plan de di-saster recovery nunca se han recuperado”,comenta José Ramón Riero, presidente deÁgora Solutions, en el portal de Tecnologíasde Información Vnunet.

PASO A PASOSegún los expertos, lo primero que hay

que hacer para activar un PCN es un análisisde impacto en el negocio, es decir, un infor-me que determine el coste que supone la in-terrupción del negocio. A continuación, con-viene clasificar los procesos de la empresa

para ordenarlos según su criticidad para es-tablecer la prioridad de recuperación. Eso eslo esencial: garantizar el acceso a los datoscríticos de la compañía. Todo en un negociopuede ser sustituible en un periodo mayorde tiempo (enseres, vehículos, inmuebles,mercancías…), pero la información de unaempresa es imposible de recuperar si des-aparece. La información, los datos, son elvalor de una empresa.

La dimensión de la empresa debe serotro parámetro a tener en cuenta. “Los de-partamentos de Tecnologías de la Informa-ción (TI) tienen que dar respuesta a los re-querimientos de la empresa pero sin aumen-tar sus presupuestos. Asimismo, se trata de

hacer alcanzables sistemas de protecciónde la información, no sólo a empresas gran-des, sino a empresas de tamaño medio ydependiendo de lo que necesiten en cadacaso”, señala Victoria Alonso, directora deBusiness Development de EMC Iberia. Y eneste punto resulta ilustrativo volver a los te-rribles atentados del 11-S, a consecuenciade los cuales entre 9.000 y 14.000 pymesse vieron afectadas por los atentados, se-gún distintos informes. Con respecto a lasgrandes empresas, no se dispone de infor-mación del impacto de los ataques sobresus procesos, aunque se estima que no de-bió ser tan dramático posiblemente por lamayor distribución geográfica de estas gran-des firmas y sus sistemas de informaciónmás seguros.

Además de determinar los procesos críti-cos y el tamaño de la compañía, también esnecesario saber quiénes son las personasimplicadas en el PCN, las alertas y la activa-ción del plan así como los procesos de prue-ba y mantenimiento.

La parte práctica y más concreta de unPCN, es establecer los pasos que el perso-nal debe seguir para hacer frente a esas si-tuaciones imprevistas que amenzan condestruir el negocio: desastres naturales,atentados terroristas, virus, hackers o hastaun simple corte del suministro eléctrico.

Enero 2007. BOLSA 59

actualidad

El 43% de las empresasestadounidenses que afrontan un desastre sin contar con un

PCN nunca vuelven a laactividad, el 51% sobrevive

pero tarda un promedio de dosaños de reinsertarse en el

mercado y sólo el 6% mantienesu negocio a largo plazo, según

datos del EmergencyManagment Forum

EL TIEMPO: UNA VARIABLE CRÍTICAEl tiempo es un factor crucial en to-

dosestos procesos. Por tanto, hay quecontarcon planes de respaldo paraafrontar esossiniestros con la mayor ra-pidez posible.En este sentido, dos pará-metros son de la máxima importancia: el‘tiempo objetivo de recuperación’ (Reco-very Time Objective –RTO–) y el ‘puntoobjetivo de recuperación’ (RecoveryPoint Objetive –RPO–). Dado un recursode nuestra empresa (ordenador, siste-ma, red o aplicación), su RTO indica eltiempo que éste puede per-manecer caí-do sin que las consecuencias para nues-tro negocio sean críticas. Por otra parte,

su RPO es el tiempo máximo que nos po-demos remontar en el pasado con garan-tías de reconstruir desde él sus opera-ciones más importantes hasta el presen-te. Ambas magnitudes se miden en tiem-po. El valor del RPO de un recurso coinci-de con la periodicidad que es aconseja-ble seguir para sus copias de seguridad.Paralelamen-te, se debe garantizar quecada recurso po-drá ser restaurado enun tiempo inferior a su RTO. Los valoresdel RTO y RPO de un recur-so pueden irdesde segundos hasta días o semanas.Y cuanto más se aproximen éstos a cero,mayor será la dependencia que del re-curso en cuestión tiene el conjunto de laorganización. Es importante que el valor

de estos parámetros para cada recursode la orga-nización se haya calculado demanera muy fiable. En efecto, según sucuantía se debe-rán aplicar unas u otrasestrategias de recuperación, y es esen-cial que éstas sean las verdaderamenteadecuadas a cada recurso. Una gradua-ción de los servicios de protección apli-cables según la escala temporal de la re-cuperación que se necesita es:● Copia de seguridad y servicios de recu-

peración, para RTO de más de 72 horasy un RPO superior a 24 horas.

● Servicios de recuperación de negocio,que alcanzan un RTO entre ocho y 72 ho-ras y un RPO de menos de 24 horas.

● Servicios tolerantes a desastres, con un

60 BOLSA. Enero 2007

actualidad

El riesgo operativo

La Directiva 2004/39/CE, relativa a los mercados de instrumentosfinancieros (en adelante, MIFID), supone una de las transforma-

ción más profundas jamás operadas en los mercados de valores dela Unión Europea. La MiFID es una directiva de alcance global queafecta a todos los intermediarios financieros que prestan serviciosde inversión y a los propios mercados donde se realizan las trans-acciones. Supone, por lo tanto, una transformación total de losmercados de valores tal y como los conocemos en la actualidad. El marco que la Directiva dibuja, no es sólo un nuevo régimen jurí-dico de obligado cumplimiento para los sujetos obligados, sino quedebe ser considerado como una importante cuestión empresarialvinculada a aspectos capitales del funcionamiento de las empresasde inversión. En este sentido, la Directiva requerirá un notable es-fuerzo por parte de las entidades para adaptarse a las nuevas obli-gaciones que la misma establece.En efecto, la MiFID impone a las empresas de inversión exigentesobligaciones que afectan a la organización interna de las mismas.Más en concreto, la Directiva requiere que las entidades establez-can una estructura organizativa, unos procedimientos y unos planesde actuación adecuados a sus actividades, con la finalidad de quelas mismas se conviertan en empresas mejor organizadas y menossensibles a riesgos y contingencias externas. Mediante la adopciónde estos procedimientos y planes, la norma persigue reducir, en lamedida de lo posible, el riesgo operativo. El riesgo operativo podría definirse como el peligro de pérdida cau-

sada por errores en el procesamiento de las operaciones, por falloso insuficiencia en los procesos, sistemas informáticos, controles in-ternos o por eventos externos. El riesgo operativo surge como con-secuencia de la posible ocurrencia de sucesos inesperados relacio-nados con los aspectos operativos y tecnológicos de las actividadesde negocio que pueden generar pérdidas potenciales, interrupcióndel negocio o pérdida de datos. Lógicamente, las empresas quecuenten con una adecuada organización y con procedimientos oplanes para el caso de contingencias, se encuentran menos ex-puestas a este tipo de riesgo.

Obligaciones concretas que impone la MiFID para aminorar el riesgo operativoDentro de las nuevas obligaciones organizativas llamadas a reducirel riesgo operativo, se encuadra la obligación de garantizar, en lorazonablemente posible, la continuidad del negocio y la salvaguar-dia de los sistemas informáticos. Asimismo, la Directiva consideratambién muy relevante a estos efectos, la externalización de funcio-nes operativas importantes, estableciendo que dicha externaliza-ción no podrá afectar a la calidad del control interno ni a la capaci-dad del supervisor de controlar que la empresa cumple todas susobligaciones.La necesidad de contar con medidas razonables para garantizar lacontinuidad de la realización de los servicios y actividades de inver-sión, se recoge en el artículo 13 de la MiFID. Dicho precepto se en-cuentra desarrollado por el artículo 5 de la Directiva 2006/73, deNivel II, al establecer que las empresas de inversión deben elabo-

QUÉ DEBEN HACER LAS ENTIDADES PARA CUBRIRSE FRENTE A CONTINGENCIAS NEGATIVAS EXTERNAS

El riesgo operativo en la MiFIDPor Jesús Mardomingo Cozas y Gloria Hernandez Aler(1).

(1) Son, respectivamente, socio y abogada asociada del Área de Derecho Bancario, Seguros e Instituciones Financieras de Cuatrecasas.

RTO menor de ocho horas y un RPO infe-rior a una.

En general se puede hablar que este ti-po de servicios pueden cubrir desde la sim-ple duplicación de los datos y de los orde-nadores hasta procesos mucho más com-plejos como la recuperación del centro deproceso de datos (CPD) de la compañía enotra localización. Entre medias se encuen-tran soluciones como la redundancia de lossistemas de almacenamiento y del softwa-re de gestión así como el cluster.

La redundancia también se aplica alhardware, que logra evitar los tiempos deinactividad ocasionados por errores dehardware identificando el componente ave-riado antes de que deje de funcionar y elu-

diendo un error antes de que se produzca.Para lograr la redundancia de hardware delservidor. Por su parte el cluster es un grupode equipos independientes que ejecutanuna serie de aplicaciones de forma conjun-ta y aparecen ante clientes y aplicacionescomo un solo sistema. Los clusters permi-ten aumentar la escalabilidad, disponibili-dad y fiabilidad de múltiples niveles de red.

COSTE DE LA SEGURIDADLa seguridad de los datos es importante,

pero las restricciones presupuestarias, so-bre todo en el caso de las pymes, suele serdeterminante a la hora de tomar decisiones.El coste de contratar un servicio de PCN consu plan de contingencia incluido depende

precisamente del tamaño de la empresa yde la solución que se elija. “Para una empre-sa mediana, el coste anual de un servicio deBCS (Business Continuity System, es decir,un PCN) podría ir desde los 50.000 a los200.000 euros, mientras que para una granempresa este coste podría llegar a unos po-cos millones de euros”, explica Juan IgnacioPérez Martín, responsable de Marketing deProducto de Sun Microsystems.

Sin duda que el negocio de la protec-ción y recuperación de datos es una indus-tria en expansión que seguirá creciendo de-bido a la exigencia de la nueva normativa,la concienciación de las compañías, el aba-ratamiento de los sistemas informáticos yel uso del software libre.

Enero 2007. BOLSA 61

actualidad

rar una política de continuidad de la ac-tividad encaminada a garantizar, en casode interrupción de sus sistemas y proce-dimientos, la preservación de datos yfunciones esenciales, y el mantenimien-to de servicios y actividades de inversióno, cuando esto no sea posible, la oportu-na recuperación de tales datos y funcio-nes y la oportuna reanudación de susservicios y actividades de inversión.Adicionalmente, y según el ya citado artículo 13 de la MiFID, las em-presas de inversión dispondrán de procedimientos administrativos ycontables adecuados, mecanismos de control interno, técnicas efi-caces de valoración del riesgo y mecanismos eficaces de control ysalvaguardia de sus sistemas informáticos.De estos preceptos se desprende que, en el nuevo régimen que laDirectiva establece, el riesgo operativo se eleva a la categoría deriesgo essencial y, por ello, las entidades han de contar con planesespecíficos que recojan la forma en se va a tratar de aminorar elmismo. El riesgo operativo sigue siendo, en nuestro país, un árearelativamente nueva de la gestión del riesgo, por ello, en la elabora-ción de estas concretas políticas o planes, se ha de prestar una es-pecial atención por parte de las entidades. En efecto, a pesar de quelas empresas generalmente reconocen que factores como desas-tres naturales o errores en los sistemas representan una fuente deincertidumbre importante, no existía una concepción de éstos comoun conjunto de factores que hayan de agruparse, dentro de una polí-tica o conjunto de procedimientos destinados a darle un tratamientoespecífico.

Cómo deben proceder las entidadesEl 1 de noviembre del año en curso laMiFID será de aplicación a las empresasde inversión. Hasta esa fecha y, en líneacon la comunicación realizada en el mesde julio del año 2006 por la ComisiónNacional del Mercado de Valores a lasempresas prestadoras de servicios de in-versión, estas entidades deben comenzar

a preparar sus planes de adaptación a la Directiva y, posteriormen-te, implementar los mismos. En lo que respecta a la primera fase del proceso o elaboración delos planes de adaptación, en materia de riesgo operativo, las entida-des deben comenzar identificando qué áreas de las mismas resul-tan esenciales o críticas, esto es, deben evaluar con cuidado los dis-tintos riesgos operativos a los que la entidad se encuentra expuestaen el desempeño de su actividad. En efecto, el riesgo operativoafecta a cada entidad financiera con distinta intensidad, dependien-do de factores como su estructura, organización, segregación defunciones, el grado de automatización, la diversificación de siste-mas, el control interno, etc.Este examen interno que deben llevar a cabo todas las entidades esel primer paso para poder elaborar planes de continuidad del nego-cio y contingencia adecuados y proporcionados a las concretas ne-cesidades y nivel de riesgo de cada entidad sujeta a la Directiva.Finalmente, una vez establecidos dichos planes, los mismos habránde ser periódicamente revisados por las entidades para comprobarsu suficiencia y adecuación.

En términos de confianza y seguridad paralos inversores, ¿cómo valora la CNMV la

normativa de la Dirrectiva de Instrumentos Fi-nancieros de la Unión Europea (MiFID) en ma-teria de Planes de Continuidad de Negocio(PCN) que debe entrar en vigor en España elpróximo mes de noviembre?

Para comprender la importancia y la nece-sidad de que las entidades financieras cuen-ten con planes de continuidad y contingenciaes necesaria su contextualización en la ges-tión del riesgo operativo.

Este riesgo, que ha sido definido por el Co-mité de Supervisores Bancarios de Basileacomo el “riesgo de sufrir pérdidas debido a lainadecuación o a fallos de los procesos, per-sonas o sistemas internos o bien a causa deacontecimientos externos” se ha visto acre-centado en los últimos años como conse-cuencia de diferentes factores. La situacióneconómica, la desregulación y globalizaciónde las economías y de los sistemas financie-ros hace que las actividades financieras seancada vez más complejas y sofisticadas y quelas entidades financieras se vean expuestas anuevos riesgos, cada vez mayores, ademásde los tradicionales riesgos de crédito, de ti-pos de interés y de mercado.

Estos nuevos riesgos pueden entrañar pér-didas significativas para las entidades inclu-so, en situaciones extremas, pueden conllevarla quiebra de una entidad y llegar a afectar a

la estabilidad del sistema financiero. Las em-presas de servicios de inversión prestan de-terminados servicios que incorporan riesgosoperativos importantes y cuya interrupciónpuede provocar daños patrimoniales a losclientes y, en última instancia, desconfianza.Entre las actividades más críticas desde estepunto de vista podemos citar la gestión decarteras, la ejecución de órdenes y la com-pensación y liquidación.

En este contexto, la continuidad de negociose ha convertido en un elemento especial-mente destacado dentro de la gestión globalde los riesgos operativos, incluso en una prio-ridad. En efecto, acontecimientos recientescomo ataques terroristas, desastres naturaleso posibles pandemias han contribuido a quese preste especial atención al riesgo de inte-rrupción operativa relevante y su impacto a ni-vel individual y para el sistema financiero ensu conjunto.

Por ello, tanto las entidades como los su-pervisores financieros están prestando espe-cial atención a la mejora de la resistencia delsistema ante interrupciones operativas impor-tantes. En los últimos años, son muchas lasiniciativas, publicas y privadas, que han con-tribuido al análisis y adopción de estándares yguías de actuación ante situaciones de crisis.Entre ellas, cabe mencionar no sólo las de ti-po normativo, como las nuevas exigencias dela MiFID y las exigencias que en materia de

gestión de riesgo operacional derivan de lasegunda Directiva de Adecuación de Capital,basada en los Acuerdos de Basilea II. Las re-comendaciones y principios de alto niveladoptados en el Joint Forum (foro internacio-nal que aglutina a los supervisores bancarios,de valores y seguros) van dirigidas tanto a lasentidades como a los propios supervisores fi-nancieros que también debe gestionar suspropios riesgos operativos y disponer de pla-nes de continuidad de sus actividades. La cre-ación del Comité de Estabilidad de Financiera(CESFI) para garantizar la coordinación inter-na e internacional en materia de prevención ygestión de crisis con efectos potencialmentesistémicos también debe mencionarse porcuanto que uno de sus objetivos es promoverel refuerzo de los instrumentos para preser-var la estabilidad financiera, prevenir y crisis ygestionarlas eficazmente, incluyendo el des-arrollo de planes de contingencia y la realiza-ción de pruebas de resistencia y ejercicios desimulación.

En el contexto de la MiFID, la continuidadde negocio es contemplada desde la pers-pectiva de la protección de los inversores,clientes actuales y potenciales de las entida-des financieras. El objetivo de protección nosólo se cubre, en este caso, con mecanismosque eviten o mitiguen los daños económicospara los clientes derivados de una interrup-ción de actividad. El mantenimiento de la con-

62 BOLSA. Enero 2007

actualidad

LA IMPORTANCIA DE LOS PLANES DECONTINUIDAD Y CONTINGENCIA DESDE ELPUNTO DE VISTA DE LA SUPERVISIÓN

La CNMV incluyó una referencia expresa a la necesidad de contar con una adecuadagestión de la continuidad del negocio como parte del proceso de adaptación a la MiFID,en la carta que se remitió a todas las entidades el pasado mes de julio

En las siguientes páginas, María José Gómez Yubero, directora de supervisión de entidadesde la CNMV, responde algunas cuestiones teóricas y prácticas sobre el proceso deimplementación de Planes de Continuidad de Negocio en el entramado financiero español. Segúnse desprende de sus palabras, el regulador español está especialmente interesado en que esteproceso se lleve a cabo con especial diligencia porque es un paso importante en el camino decontinuar ganando cuotas de confianza y seguridad de inversores y agentes en el correctofuncionamiento y la estabilidad de los mercados financieros en España.

fianza de los inversores en la entidad y en lasolidez y seguridad del sistema financiero estambién un objetivo a cubrir pues es un esla-bón relevante en la cadena de preservaciónde la estabilidad del sistema financiero.

¿Qué razones deben llevar a una entidad adefinir y establecer un modelo de gestión deriesgo operrativo? ¿Qué modelo de gestión delriesgo operativo recomienda la CNMV? ¿Exis-ten pautas claras en la normativa sobre elmodelo que deban ser tenidas en cuenta porlas entidades la hora de gestionar ssu riesgooperativo?.

Evidentemente, la gestión y control del ries-go operativo requiere su conocimiento y me-dición. El modelo de control que pueda elegircada entidad dependerá de factores como sutamaño y sofisticación así como de la natura-leza y complejidad de sus actividades. Sin em-bargo, hay algunos elementos fundamentalespara una gestión adecuada y eficaz, aplica-bles a todo tipo de entidades, independiente-mente de la actividad que desarrollen. Entreestos elementos son especialmente impor-tantes la existencia de estrategias claramentedefinidas y su seguimiento por el Consejo deAdministración y la alta dirección, una sólidacultura de gestión del riesgo y de control inter-no. A esta cultura contribuye, decididamente,la definición inequívoca de líneas de respon-sabilidad, la segregación de funciones, la dis-posición de herramientas eficaces para latransmisión interna de información y, comono, la definición y puesta en práctica de pla-nes de continuidad y contingencia.

En cualquier caso, ya no basta con gestio-

nar los riesgos operativos únicamente conmecanismos de control interno dentro las pro-pias líneas de negocio sumando funciones deauditoría interna, esto es, de revisión de suvalidez, eficacia y grado de cumplimiento. Es-tos mecanismos siguen siendo necesarios,pero la experiencia demuestra que la gestióndel riesgo operativo como un riesgo específicomás aporta seguridad y previene con muchamás eficacia las situaciones de pérdidas sus-tanciales.

Este enfoque preventivo requiere el desarrollo de un marco adecuado de gestión.Si no se comprende y gestiona adecuadamen-te el riesgo operativo de forma integral aumen-ta la probabilidad de que algunos riesgos pa-sen desapercibidos o escapen a los controles.Tanto el Consejo como la Dirección son res-ponsables de crear una cultura organizativaque conceda gran prioridad a la gestión eficazdel riesgo operativo y al cumplimiento de es-trictos controles operativos. La gestión del ries-go operativo comprende su identificación, eva-luación, seguimiento y control o cobertura.

¿De qué manera podrían las entidades re-ducir las probabilidades de ocuurrencia de es-tos eventos? o, en el caso de producirse,¿qué medidas deberían poner en práctica connel fin de mitigar sus efectos?

Independientemente que cómo defina ca-da entidad su riesgo operativo, la clave es quesea capaz de comprender a qué se refiere elriesgo operativo para poder llevar a cabo unagestión y control eficaces. Cuanto más ampliasea la gama de riesgos y sus causas que seincluya en la definición, mejor se enfrentará la

entidad a su mitigación y, en consecuencia ala minimización de las posibles fuentes depérdidas sustanciales. Estas fuentes puedenprovenir de fraudes, interno o externo, relacio-nes laborales y seguridad en el puesto de tra-bajo, malas prácticas con clientes, productosy negocios, daños en los activos materiales,alteraciones en la actividad y fallos en los sis-temas y ejecución, entrega y procesamiento.

Por razones ajenas a la entidad, un aconte-cimiento grave puede impedirle cumplir algu-na o todas sus obligaciones, especialmentecuando se hayan visto afectadas sus estructu-ras físicas, informáticas, sus telecomunicacio-nes o su plantilla. Esto, a su vez, puede provo-car pérdidas significativas para la entidad eincluso para sus clientes y afectar al mercadoo al sistema financiero en su conjunto.

Por ello, las entidades deben contar conplanes de contingencia y de continuidad desu actividad, que aseguren su capacidad ope-rativa continua y que mitiguen los efectos deuna interrupción grave de la actividad. Estosplanes deberán ser acordes al tamaño y com-plejidad de sus operaciones.

¿Qué requisitos debe cumplir un sistemade gestión de la conntinuidad de negocio paraser eficaz?

La gestión de la continuidad de negocio, co-mo componente de la gestión del riesgo ope-rativo, requiere la existencia de una plan deacción, escrito, que establezca y defina losprocedimientos y sistemas necesarios paragarantizar, en caso de interrupción de sus sis-temas y procedimientos, la preservación dedatos y funciones esenciales y el manteni-miento de servicios y actividades o su oportu-na recuperación en un tiempo adecuado. Suobjetivo es la minimización del impacto opera-cional, financiero, legal, reputacional derivadode una interrupción. Lo importante no es tantoprestar atención a la fuente de la interrupciónsino al impacto, aunque tampoco debe igno-rarse la naturaleza de los riesgos a los que seenfrentan las entidades. Una mayor atencióna los impactos permite mayor flexibilidad en lagestión de los diferentes y amplios tipos de in-terrupciones que pueden producirse.

Enero 2007. BOLSA 63

actualidad

Para conseguir una gestión eficaz de lacontinuidad de su negocio, cualquier entidaddebería seguir las siguientes fases:

En primer lugar, debe realizar un análisisde impacto diagnosticando cuáles son susprocesos, funciones, operaciones y servicioscríticos o esenciales, el grado de dependenciainterna o externa al que están sometidas eidentificar su nivel de resistencia. Ello permiti-rá determinar el alcance de su tratamiento enlos planes para la gestión de contingencias yde recuperación y continuidad.

A continuación debe definirse la estrategiade recuperación que establezca los objetivosy prioridades de acuerdo con los resultadosdel análisis de impacto anterior. Para los pro-cesos críticos identificados, la entidad debeidentificar mecanismos alternativos para sureanudación en caso de interrupción, prestan-do especial atención a la capacidad de recu-perar archivos físicos o electrónicos indispen-sables para la reanudación de la actividad.Cuando se realicen copias de seguridad deestos archivos en un lugar externo o cuandola entidad deba trasladar sus operaciones auna nueva instalación, habrá que intentar queestos lugares se encuentren a una distanciaadecuada del lugar que se ha visto afectadopara evitar que ambas instalaciones esténfuera de servicio al mismo tiempo.

Debe aprobar un plan de continuidad queestablezca orientación suficiente para implan-tar la estrategia de recuperación. Para ello,debe definir funciones y establecer responsa-bilidades en la gestión de la interrupción y de-be contener directrices claras sobre la suce-sión de autoridad en caso de que la interrup-ción afecte a personas clave en la organiza-ción, definición del proceso de adopción dedecisión y de puesta en marcha del plan.También las medidas para asegurar la seguri-dad del personal son contenidos de gran im-portancia.

Por último, las entidades deberán compro-bar periódicamente sus planes de recupera-ción y de continuidad del negocio, para queestén en la línea de sus operaciones actualesy de sus estrategias de negocio. Asimismo,estos planes deberán ser puestos a prueba

cada cierto tiempo para comprobar si la enti-dad sería capaz de reanudar su actividad enel improbable caso de que se produjera unaalteración grave de su negocio.

¿Se sabe en qué grado de desarrollo se en-cuentra la industria financiera española en laimplanntación de PCN? ¿Cree usted que lasentidades financieras españolas llegarán almes de noviembre con los deberes hechos eneste campo?

Desde hacer varios años, la CNMV vieneprestando especial atención al proceso deadaptación de las entidades supervisadas alnuevo marco regulatorio que entrará en vigorcon la MiFID y Basilea II. A tal fin, no sólo sehan realizado actividades divulgativas, tam-bién se han adaptado los programas de su-pervisión con el fin de propiciar y tutelar elproceso de adaptación.

Desde hace un par de años, los programasde trabajo de las inspecciones que se practi-can a las entidades contemplan la revisión delos planes de contingencia y continuidad. Eneste sentido, la CNMV considera que todaslas entidades que actúan en los mercados devalores deben, sea cual sea su tamaño, man-tener un marco eficaz para identificar, evaluar,

seguir y controlar o mitigar sus riesgos opera-tivos más relevantes, como parte de su apro-ximación general a la gestión de riesgos.

Con carácter general, se puede decir queen la actualidad son muchas las entidadesque todavía están desarrollando procesos pa-ra la gestión de sus riesgos operativos. La ma-yor parte de las entidades cuentan ya con al-gún plan de contingencia y continuidad o bienestán en proceso de su elaboración.

En relación con su contenido y alcance, lamayor parte de los planes contienen medidaspara cubrir contingencias, si bien no estáncontempladas dentro de un plan global. Engeneral, las contingencias cubiertas por lamayor parte de las entidades son de tipo téc-nico o tecnológico (caída de sistemas, redes,sistema eléctrico, comunicaciones, datos, vi-rus informáticos, etc...). En algunos casostambién están contemplados los daños mate-riales en las instalaciones (inundación, robo,incendio, etc..) y los daños que afectan a laspersonas (absentismo, enfermedad o epide-mia, etc...).

Por lo que se refiere a la continuidad delnegocio, son pocas las entidades que cuen-tan con un plan completo de continuidad. Engeneral se trata de entidades integradas en

64 BOLSA. Enero 2007

actualidad

Estos siete principios son aplicables tanto a las entidades como a los supervisores finan-cieros, si bien la forma en que se aplica cada uno de ellos puede diferir entre ambos gru-pos teniendo en cuenta la diferentes funciones, responsabilidades u perspectivas que in-herentes a cada uno de ellos:1. El Consejo de Administración y la Alta Dirección son responsables de la gestión de la

continuidad del negocio en una organización.2. Los planes de continuidad de negocio deben incluir el mayor número de contingencias

posibles que pudieran surgir y que sean una fuente de riesgo operacional.3. Las entidades deben desarrollar objetivos de recuperación que reflejen el riesgo que

representan dentro del sistema financiero. Estos objetivos deberían establecerse bajoconsulta a las respectivas autoridades financieras.

4. La industria y las autoridades financieras deben incluir en sus planes de continuidadprocedimientos de comunicación efectivos, internos y frente al resto de organizacionesrelevantes del sector financiero, ante una situación de emergencia.

5. En el caso de que la emergencia o crisis provoque repercusiones en otros países, losprocedimientos de comunicación deben ser lo suficientemente eficientes como paraponer en contacto a las autoridades de estos estados.

6. Los planes de continuidad del negocio deberían ser testados con el fin de evaluar suefectividad y analizar la necesidad de actualizarlos.

7. Los planes de continuidad de negocio deberían ser revisados por las autoridades desupervisión financieras.

(1) Foro internacional que aglutina a los supervisores bancarios, de valores y seguros.

Principios de alto nivel sobre continuidad de negocio consensuados por los supervisores bancarios, de seguros y valores en el seno de Joint Forum(1)

grupos bancarios internacionales. Estos pla-nes suelen adaptarse en función de las carac-terísticas propias de cada emplazamiento eidentifican actividades críticas de negocio,tiempos máximos de interrupción de activida-des, recursos que soportan dichas activida-des, etc.. Asimismo, se designan equipos degestión de crisis, planes de evacuación y recu-peración, así como pruebas periódicas paraidentificar posibles debilidades del mismo.

Por ello, se considera necesario promoveractivamente el continuo desarrollo interno deestos controles mediante su seguimiento yevaluación de los últimos avances por partede las entidades y de sus planes de desarro-llo. Para ello, la CNMV incluyó una referenciaexpresa a la necesidad de contar con unaadecuada gestión de la continuidad del nego-cio como parte del proceso de adaptación ala MiFID en la carta que se remitió a todas lasentidades el pasado mes de julio. Podemosafirmar que en la actualidad las entidadeshan tomado debida conciencia de su impor-tancia. Lo siguiente es poner en marcha lasmedidas para estar en condiciones de afron-tar situaciones de crisis, no sólo de cumplircon la normativa.

La CNMV será la encargada de concretaren España las exigencias de la MIFID, ¿los re-quisitos mmínimos serán muy exigentes? ¿Seimpondrán sanciones –y de qué tipo- para lasentidades que no los cuumplan?

No es previsible que se establezcan reglasde detalle con carácter adicional a las ya con-templadas en la normativa de nivel 2 de la Mi-FID. No obstante, podría tratarse a nivel euro-peo en el seno del grupo de expertos a cargodel Nivel 3 de la MiFID. De considerarse nece-sario por parte de los supervisores europeos,se emitirían guías orientativas que permitan alas entidades afrontar su adaptación bajounos criterios armonizados a nivel europeo.En la elaboración de estas guías deben jugarun papel relevante las propias entidades. A talfin, la CNMV ha promovido la creación de ungrupo de expertos sobre servicios de inver-sión, en el que están representadas todas lasentidades que prestan servicios de inversión

a través de sus asociaciones. Actualmente es-te Grupo está trabajando sobre los mandatosdel grupo de expertos de nivel 3 de la MiFID,pero en el futuro se espera que aporte pro-puestas y elabore manuales o guías de reco-mendaciones para el diseño e implantaciónde procedimientos de cumplimiento normati-vo para todo el sector.

Los planes de contingencia y continuidad,como cualesquiera otros procedimientos osistemas de control, por definición, no son es-tandarizables. Un buen plan debe tener encuenta las particularidades de la entidad y delgrupo en el que se integra, como son la es-tructura organizativa y funcional, el tipo de ne-gocio, el tipo de personal, su emplazamientofísico, el grado de automatización, existencia yalcance de procesos, actividades o serviciossubcontratados, grado de dependencia inter-na, intragrupo o externa, el carácter transfron-terizo de su actividad, el tipo de informaciónque maneja, etc. Es decir, cada entidad debe

realizar su propio diagnóstico y diseñar el plande contingencia y continuidad más adecuadoa su perfil de riesgo.

Esta concepción está basada en el enfo-que normativo moderno que proviene de Basi-lea II y de la MiFID. En ambos casos se optapor un sistema regulatorio y de supervisión,tanto de la solvencia como de los requisitosde organización y normas de conducta de lasentidades financieras, que exige a las entida-des que realicen su diagnostico interno de superfil de riesgo. Del mismo modo que BasileaII, la MiFID incide en la individualización delas medidas para el cumplimiento normativorepitiendo constantemente que deberán seradecuadas y proporcionadas al tamaño, tipode negocio y estructura de la entidad.

La experiencia supervisora demuestra queeste enfoque es más eficaz y más justo yaque en un sector financiero maduro, como eleuropeo, conviven entidades de todo tipo y ta-maño. La aplicación de requisitos, ya seancuantitativos o cualitativos como la estandari-zación de estructuras organizativas o procedi-mentales, con carácter estandarizado, nor-malizado o universal, carece de sentido, puesresulta excesivamente costoso para algunasentidades y de escasa utilidad para otras.

En este enfoque cada entidad debe definire implantar las políticas y procedimientos quemejor se adecuen a su idiosincrasia particulary mejor contribuyan al cumplimiento de susobjetivos estratégicos. En el proceso de super-visión, entendido en sentido amplio, esto es,tanto en el control de acceso da la actividadcomo en el control de funcionamiento, se de-be realizar una evaluación, caso por caso.

Por último, no olvidemos que la exigenciade la MiFID sobre planes de continuidad ycontingencia afecta tanto a entidades de cré-dito como a empresas de servicios de inver-sión. Como ya hemos visto, estos planes sonun componente relevante del sistema de ges-tión del riesgo operacional de las entidades ypor tanto de su solvencia. En este caso, la su-pervisión de la solvencia de las entidades decrédito y su adaptación y cumplimiento a lasegunda directiva de adecuación de capitales competencia del Banco de España.

Enero 2007. BOLSA 65

actualidad

La gestión de la continuidad denegocio, como componente dela gestión del riesgo operativo,requiere la existencia de unaplan de acción, escrito, que

establezca y defina losprocedimientos y sistemas

necesarios para garantizar, encaso de interrupción de sus

sistemas y procedimientos, lapreservación de datos y

funciones esenciales