Inicio
 > Informes e investigaciones > Blog de TEC > Cómo definir y manejar la gobernabilidad, la ges...

Cómo definir y manejar la gobernabilidad, la gestión de riesgos y el cumplimiento

Escrito por: Predrag Jakovljevic
Publicado: marzo 9 2007

Aunque el costo que implica para una empresa la falta de cumplimiento con las normas es razón suficiente para que tengan más cuidado con sus prácticas, éstas pueden aprovechar los reglamentos que se les van imponiendo. Para ellas, el cumplimiento normativo debería de ser una forma para mejorar sus procesos internos de negocios. Pero para hacerlo, deben adoptar un enfoque holístico que inicie en los niveles jerárquicos más altos y aproveche el software de gobernabilidad, gestión de riesgo y cumplimiento (GRC). Sin embargo, es más fácil decirlo que hacerlo. Entonces ¿por qué sería tan difícil lograr un enfoque holístico a GRC?

Como se trató en SAP Solutions for Governance, Risk, and Compliance, gran parte de la generación de valor y la innovación dentro de las empresas es consecuencia de las complicadas relaciones que existen entre las personas, los procesos y los sistemas -que generalmente varían de una organización, una función y una región a otra. Esta fragmentación puede ser una rémora para muchas empresas, debido a:

  • La fragmentación de una empresa que se debe a actividades de GRC que no están relacionadas y que dependen de cada departamento, produce generalmente políticas contradictorias, dificultad para anticiparse a los riesgos, una falta de transparencia en la empresa y duplicación de los esfuerzos. A medida que aumenta la colaboración entre las empresas y sus socios comerciales, se magnifican las consecuencias de no contar con un organismo central que coordine las actividades de GRC de toda la empresa, ya que la mayor parte de las leyes los responsabiliza de la gobernabilidad y el cumplimiento tanto en su empresa como en su cadena de suministro.

  • La información de GRC de la mayoría de los negocios carece de integridad debido a que sus departamentos usan métricas, normas, software y metodologías diferentes para analizar el riesgo y la información relacionada con el cumplimiento normativo. Esta fragmentación del sistema dificulta la acumulación de datos, la visualización de los riesgos que afectan a toda la empresa, la supervisión eficiente de estos riesgos y del cumplimiento con las normas y el ajuste de los procesos de negocios a los requisitos, las tendencias del mercado y los mandatos reglamentarios que están en constante cambio.

  • Por lo general, las políticas y los riesgos se definen y se miden a nivel local (geográficamente hablando), sin tomar en cuenta su impacto en los mandatos globales, multinacionales, nacionales o regionales a los que debe apegarse una empresa. Muchas veces, los encargados de la toma de decisiones no están conscientes de las dependencias que existen entre los mandatos y los riesgos de no cumplir con las normas de ciertas regiones y ciertos mercados, cuando el riesgo particular de una región puede ser la oportunidad de otra.

  • La fragmentación de la disciplina interna de GRC es otro problema, ya que tanto en el nivel corporativo como en los niveles departamental o regional, hay una incertidumbre sobre el significado y el alcance de las disciplinas de GRC. Peor aún, los directores no admiten que estas disciplinas están ligadas entre sí, es decir, son interdependientes, y por ello deben funcionar de esa forma, no como parte de una estrategia integrada.

Las empresas que quieran tener éxito deben alinear sus estrategias corporativas con una visión más eficaz y procesos institucionalizados de definición de políticas, gestión de riesgos y control de los procesos de negocios. La única forma para alcanzar este objetivo es adoptar un enfoque general en GRC que unifique las áreas fragmentadas que se acaban de mencionar. Sólo entonces una empresa puede esperar obtener información nueva sobre las amenazas y las oportunidades que se están presentando, y explotarla para lograr una ventaja competitiva.

De acuerdo a AMR Research, aproximadamente dos terceras partes del costo del cumplimiento normativo se pueden atribuir a las personas. Esto se debe a que los esfuerzos de GRC fragmentados tienden a producir una “GRC que depende de la gente” (o procesos manuales ineficaces que se duplican de un departamento a otro). Aún más importantes son las oportunidades que se pierden debido a un enfoque táctico y fragmentado en la gestión de GRC. Las empresas que no cuentan con una estrategia completa y cohesiva de GRC, carecen tanto de los medios para navegar con eficiencia por los ambientes de negocios actuales que están llenos de reglamentos (siempre cambiantes), como de un catalizador crítico de ingresos y ventaja competitiva.

Así, el enfoque en GRC se ha renovado gracias a los reglamentos gubernamentales, el aumento en la presión por parte de los mercados financieros y las crecientes demandas de las partes involucradas. Algunas empresas que tienen pensamiento progresista ya no ven GRC como una serie de actividades discretas que funcionan por proyecto y que se administran como funciones autónomas. Están adoptando una estrategia dominante de GRC que las ayude a guiar a la gente, normalizar los procesos y unificar la tecnología para incluir GRC en todos los niveles de su organización. Es decir que al enfrentar los cambios en las condiciones de la industria, los mandatos de cumplimiento normativo y los requisitos de gobernabilidad, las empresas deben adoptar un enfoque más amplio y estructurado para administrar GRC de manera que les permita identificar y pronosticar proactivamente las ineficiencias y los errores, adoptar un enfoque que tome en cuenta los riesgos antes de incluir controles en los procesos de negocios y supervisar constantemente las operaciones para optimizar y guiar la política que se implementará en el futuro (consulte SAP Solutions for Governance, Risk, and Compliance).

Las soluciones integradas de GRC deben poder supervisar los procesos de negocios y los controles de tecnología de la información (TI) automáticamente, para poder manejar los riesgos de TI y de negocios en todos los niveles de la organización. Un enfoque integrado no sólo debe dar a los altos directivos un tablero accionable que muestre un perfil más completo y preciso de los riesgos que debe enfrentar la empresa, sino que debe detectar los sucesos que representan un alto riesgo y priorizar las respuestas a los mismos y las medidas correctivas o, mejor aún, preventivas.

Esta es la parte final de una serie que habla sobre cómo distintas industrias tratan los problemas de cumplimiento con las normas. Si desea obtener más información, consulte los artículos anteriores de esta misma serie: Cumplirás con los reglamentos y La ley Sarbanes-Oxley y la gestión de cadena de suministro, La punta del iceberg, Reglamentos y más reglamentos, Reglamentos ambientales para las industrias electrónica, química y petrolera y Software de gobernabilidad, gestión de riesgo y cumplimiento y su relación con el comercio mundial.

Un reposotorio central...

Para hablar más de cada componente de GRC, la gobernabilidad representa el papel de descuidos, con la idea de establecer los objetivos estratégicos que la empresa quiere perseguir, para entonces manejarlos. Por lo general, la gobernabilidad depende de un repositorio central donde se maneja todo el contenido de GRC, se da dirección a las estrategias de gobernabilidad y se mejora el desempeño del negocio.

Dicho repositorio debe documentar y almacenar los registros de forma centralizada para simplificar y manejar el contenido de GRC, incluyendo los esquemas de trabajo de control, las políticas y los procedimientos de la empresa, los mandatos de la industria, los flujos de los procesos de negocios, las bibliotecas de riesgo, las bibliotecas de control, los planes de pruebas, la evidencia de cumplimiento con las normas, etc. (consulte SAP Solutions for Governance, Risk, and Compliance). En otras palabras, este repositorio central debe permitir tener una cobertura constante, efectiva y eficiente del contenido normativo (es decir, los esquemas de trabajo, las leyes, las políticas internas de la empresa, etc.) al dar una visibilidad a los requisitos relacionados. Entonces las empresas pueden establecer referencias cruzadas entre sus políticas y sus procedimientos y los requisitos reglamentarios, con el fin de garantizar el cumplimiento normativo.

La clave de este repositorio es centralizar el contenido de GRC y manejarlo desde varias fuentes, así como su capacidad para crear modelos de los procesos de negocios y documentar los objetivos, los riesgos y las actividades de control que se relacionan con ellos. También es importante contar con la biblioteca de reglas de negocios que se puedan configurar, controles de los procesos de negocios y controles de TI para asegurar que la segregación de tareas se realiza correctamente y que se cumple con los procesos de control de negocios y las normas ambientales y de comercio mundial.

Las empresas que aprovechen un repositorio de GRC bien poblado, podrán aprovechar una visibilidad en toda la empresa de las actividades de GRC. Con ella podrán analizar el riesgo, tomar decisiones más informadas y enfocarse en los riesgos al momento de satisfacer varias iniciativas empresariales y distintos mandatos normativos (consulte SAP Solutions for Governance, Risk, and Compliance).

Asimismo, los usuarios podrán vincular estos riesgos y estos controles a varios esquemas de seguridad y control como el Comité COSO (Comité de Organizaciones Patrocinadoras), la ITIL (Biblioteca de Infraestructura de TI) o COBIT (Objetivos de Control para la Tecnología de la Información y Tecnologías Relacionadas), y a mandatos establecidos en los Estados Unidos, como la ley SOX (Ley Sarbanes-Oxley) y las normas de la FDA (Food and Drug Administration). Muchas veces, el repositorio también permite que las empresas se adhieran a los esquemas oficiales de clasificación de productos, como la nomenclatura arancelaria basada en el Sistema Armonizado y el número de clasificación de control de las exportaciones (ECCN), que asigna la División de Industria y Seguridad (BIS) a los embarques que requieren una licencia de exportación.

Para ilustrar el poder de transformación que tiene un repositorio central de GRC, hay que tomar en cuenta todas las necesidades de segregación de derechos que se definen en todas las soluciones de cumplimiento normativo pertinentes. Estas segregaciones de derechos incluirían entonces aplicaciones de control de acceso y autorización que se integran con la aplicación del repositorio de GRC. De esta forma, todas las políticas, las iniciativas y los reglamentos de una empresa que necesitan las segregaciones de derechos adecuadas (o que necesitan la definición y la asignación correctas de controles de compensación) se documentarían automáticamente dentro del repositorio de GRC, junto con vínculos a los controles de acceso apropiados para una supervisión automatizada. Al hacerlo, las empresas deben ser capaces de aprovechar las oportunidades que no habrían notado antes para mejorar su eficiencia y su transparencia, optimizar sus carteras de riesgo y retorno y aumentar su capacidad para prever su negocio mediante la racionalización de los controles y las respuestas al riesgo en toda la empresa.

...que (idealmente) maneja todos los riesgos concebibles...

Las aplicaciones de gestión de riesgos proporcionan esquemas de trabajo para identificar los riesgos, analizar las posibles consecuencias y las respuestas adecuadas y supervisar las medidas de reducción de riesgos y la generación de reportes -de manera estructurada. Las medidas de gestión de riesgos más eficaces que se implementan de forma holística, deben servir para mejorar la toma de decisiones y crear un valor importante en toda la empresa.

Sin embargo, sucede mucho que las prácticas de gestión de riesgos que se usan realmente son tareas teóricas y reactivas que se llevan a cabo en silos departamentales, y estas prácticas pierden de vista las interacciones entre los riesgos. Al mismo tiempo, debido a que se cree que la gestión de riesgos es un ejercicio teórico que carece de metodología práctica, las empresas carecen de los medios para reconocer los riesgos críticos, analizar cómo las retribuciones compensan los riesgos y responder de forma adecuada con base en las métricas de análisis cuantitativo del costo y el beneficio. Así, la idea es implementar las aplicaciones de gestión de riesgo adecuadas y los procesos proactivos y de colaboración en toda la empresa. Dichas aplicaciones permitirán que las empresas encuentren el equilibrio entre las nuevas oportunidades de negocios y los riesgos financieros, legales y operativos.

Una serie completa de aplicaciones de gestión de riesgos debe crear un esquema de trabajo caracterizado por las mejores prácticas para la identificación de riesgos empresariales, el análisis en colaboración de los riesgos, la gestión de las respuestas a los riesgos, la supervisión constante de los riesgos y la generación de reportes. Dicha serie de aplicaciones debe ayudar a los usuarios a anticipar con eficacia los cambios en las condiciones de negocios y responder a ellos. También deben contener tableros de nivel ejecutivo y personalizados, cuadros de mando integrales y reportes que den a los usuarios una visibilidad de las métricas clave de los riesgos y el cumplimiento con las políticas (consulte SAP Solutions for Governance, Risk, and Compliance).

El objetivo es que los usuarios sean capaces de supervisar la cartera general de riesgos, incluyendo los perfiles globales y coherentes de los riesgos tanto operativos como de cada entidad (mapa de calor o mapa de riesgo), y analizar los riesgos desde el punto de vista de su gravedad y su impacto monetario y cualitativo (consulte SAP Solutions for Governance, Risk, and Compliance). Además, los usuarios deben poder equilibrar los costos que implica evitar las nuevas oportunidades de negocios. También deben poder avisar a la dirección cuando los riesgos que tienen impacto y probabilidad altos se salgan de los límites de la empresa y asignar prioridades a las medidas correctivas usando tableros controlados por los roles y alertas.

...para garantizar el cumplimiento normativo

Finalmente, el cumplimiento representa las acciones tácticas reales que buscan reducir el riesgo. Es decir, el cumplimiento es la realización de estos objetivos de acuerdo a la tolerancia al riesgo que tiene la empresa. De forma concreta, como se mencionó antes, algunos reglamentos no son obligatorios, sólo recomendables. Por ejemplo, los reglamentos de la FDA para los fabricantes de medicamentos no representan objetivos fijos. Así, el cumplimiento es un objetivo clave de cualquier empresa fabricante de medicamentos regulados, pero los requisitos para lograr el cumplimiento son subjetivos y dependen del producto, los procesos de producción y (probablemente lo más importante) la tolerancia que tiene cada empresa al riesgo. El riesgo normativo es el riesgo de no cumplir con las normas; una empresa que tolera pocos riesgos, tendrá un costo de cumplimiento alto, mientras que una empresa que tiene mayor tolerancia reduce su costo de cumplimiento pero aumenta su costo de falta de cumplimiento.

Por lo tanto, la dirección ejecutiva de una empresa es responsable de fijar la tolerancia al riesgo de la empresa y de asignar los recursos necesarios para cubrirla. Un equipo encargado del cumplimiento (por ejemplo, del departamento legal o el departamento de calidad) debe definir la estrategia normativa de la empresa de acuerdo a la interpretación que se dé a los reglamentos que se aplican en su situación específica. Al mismo tiempo, este equipo debe tratar de equilibrar el costo del cumplimiento con el costo de la falta de cumplimiento.

Al revisar el costo del cumplimiento, hay que pensar en el costo total de propiedad, que debe incluir el costo único de arranque del sistema (es decir, implementación y capacitación, adquisición de equipo o software y validación), más los costos constantes de operación y mantenimiento (es decir, costo del personal, costo de la capacitación continua, costo de mantenimiento del hardware y el software utilizados, etc.). El esfuerzo constante por mantener el cumplimiento del sistema sincronizado con los procedimientos operativos estándar que están en constante evolución también debe formar parte del costo continuo. El componente de TI del sistema de cumplimiento también deberá evolucionar con los procedimientos operativos estándar.

El núcleo del cumplimiento gira alrededor de controles adecuados del acceso y la autorización, ya que dichas aplicaciones pretenden hacer cumplir las segregaciones de tareas adecuadas para reducir el riesgo de control en la empresa. Las aplicaciones se encargan de los roles empresariales y otorgan a los superusuarios acceso de emergencia que ha sido verificado. Hay que dar a los superusuarios acceso privilegiado pero controlado para que puedan tratar los requisitos de emergencia con rapidez o ayudar a mitigar las situaciones en las que no es posible lograr una segregación de tareas.

Como se indicó antes, el rompecabezas de GRC contiene dos piezas críticas: la separación adecuada de las tareas y el control del acceso a los activos de información claves, que son la forma más eficaz para protegerse contra los fraudes -y son también requisitos preliminares de una supervisión sana de la empresa. También son los controles más difíciles de implementar y sostener, debido a la enorme cantidad de usuarios, roles y procesos que requieren que se verifique que su acceso y su autorización no se violen.

Sólo es posible manejar el acceso de los usuarios y los roles cuando los propietarios de los procesos de negocios (que pueden determinar el acceso adecuado en términos del negocio) y los expertos de TI (que pueden definir los objetos técnicos subyacentes que constituyen las funciones de negocios) trabajan en conjunto en un ambiente que une los procesos de negocios, las capacidades de TI y el abanico de aplicaciones empresariales que se usan en la empresa. Es decir que una empresa necesita establecer una relación entre el lenguaje de negocios y las capacidades de TI. Para lograrlo debe contar con una serie completa de aplicaciones de control del acceso que permita que todas las partes interesadas en el cumplimiento normativo de la empresa (directores, auditores y directores de seguridad de TI) colaboren para hacer cumplir la segregación de derechos.

Conclusión y recomendaciones

Evidentemente, las empresas están más conscientes de la necesidad de que las soluciones de TI soporten una estrategia de GRC integrada y completa que les ayude a aumentar la transparencia y la capacidad de previsión, simplificar los procesos de GRC y finalmente mejorar el desempeño general de la empresa. Necesitan soluciones de software para soportar mejor estos objetivos estratégicos y dar una mayor transparencia al desempeño del negocio, cultivar resultados predecibles y garantizar la continuidad de los procesos de negocios. Una cartera integrada de GRC, y no un grupo de soluciones puntuales, tiene mucha mayor probabilidad de resolver la fragmentación que existe en las organizaciones administrativas, los sistemas de TI y las regiones operativas.

De cualquier forma, cada organización debe trazar su propio camino hacia la aceptación de un esquema de GRC. Las empresas deben sopesar los requisitos de negocios críticos y la tolerancia al riesgo con madurez y compromiso. Pueden empezar por identificar algunas áreas de riesgo que tienen una mayor prioridad, para iniciar una implementación de las aplicaciones GRC que sea específica para el negocio y dependa de las iniciativas. El éxito que se logre con este enfoque debe servir para preparar el camino y poner en evidencia el valor de una estrategia completa de GRC. Hecho esto, debe representar un modelo sostenible y reutilizable para controlar y tratar las áreas futuras de GRC. Un enfoque GRC completo tiene ventajas como las siguientes:

  • mayor protección para su marca y su reputación;
  • carteras optimizadas de riesgos y retornos (debido a la transparencia y a la información para seleccionar y rechazar los proyectos de acuerdo al impacto del riesgo y la probabilidad relativa a los posibles retornos);
  • menores costos de GRC y liberación de recursos para innovar;
  • mejor desempeño y capacidad de previsión del negocio (debido a una mayor visibilidad -un proceso sistemático para anticipar, supervisar y controlar los riesgos, y las herramientas necesarias para determinar de forma proactiva las medidas adecuadas y las tareas críticas);
  • continuidad del negocio (debido a la automatización del software, una gestión por excepciones, analítica y alertas, visibilidad de las dependencias que existen entre los riesgos, etc.);
  • mayor agilidad y competitividad del negocio (debido a la capacidad que tienen los encargados de la toma de decisiones para identificar y valorar las simulaciones, las alternativas y las situaciones futuras) y
  • una gestión de riesgos de TI más inteligente.

En general, hay que probar y validar el software empresarial específicamente para el uso de cada empresa. Una vez que se han desarrollado y documentado los procedimientos operativos estándar, la validación del sistema se traduce en llevar a cabo pruebas de documentación de los procesos del software para comprobar que puede actuar como se espera que lo haga. Por lo tanto, es importante que el proveedor (proveedor o integrador de software) ayude a la empresa a comprender los reglamentos a los que debe apegarse. Si el proveedor puede ofrecer herramientas de validación creadas previamente y que se puedan usar directamente o modificar para algunos procesos de validación de la empresa usuaria, es posible reducir el costo y el tiempo de consultoría.

Asimismo es importante comprender la preparación inicial y la gestión constante de los cambios de un sistema empresarial en una implementación regulada. Por ejemplo, cada versión nueva del producto debe ser probada y hay que respetar los procesos específicos de gestión de los cambios para poder producirla. A esto hay que sumar una comprensión del software, incluyendo la forma en que está estructurada la base de datos y la forma en que debe comportarse el código fuente. Esta comprensión es necesaria para soportar el proceso de pruebas y validación y la toma de decisiones sobre qué transacciones deben rastrearse durante las auditorías.

Para resumir, los repositorios centrales de GRC manejan los riesgos concebibles que ayudan a garantizar el cumplimiento normativo. Pero para aprovechar al máximo este software estratégico, hay que adoptar un enfoque estructurado a GRC y su gestión. Es la única forma para que las empresas guíen a su personal, normalicen sus procesos de negocios y unifiquen su tecnología para incluir GRC en todos los niveles de su organización.

Con esto termina la serie Cumplirás con los reglamentos

 
comments powered by Disqus