Inicio
 > Informes e investigaciones > Blog de TEC > Gobernabilidad, gestión de riesgos y cumplimient...

Gobernabilidad, gestión de riesgos y cumplimiento normativo desde el punto de vista de uno de los principales proveedores de software empresarial

Escrito por: Predrag Jakovljevic
Publicado: mayo 2 2007

Cada vez más, las empresas están dejando de cumplir con los requisitos normativos y legales de forma reactiva y se están dando cuenta del valor del enfoque holístico al cumlimiento normativo que se inicia en los altos niveles de la empresa. Así, están aprovechando la nueva categoría de software estratégico de gobernabilidad, gestión de riesgos y cumplimiento normativo (GRC).

Esta nueva sigla ya es merecedora de una entrada en Wikipedia. Mientras algunos analistas se ocupan de darle otras definiciones, los principales proveedores se esfuerzan por ofrecer series de soluciones GRC coherentes. Si desaea conocer más sobre GRC en general, consulte el artículo Cumplirás con los reglamentos.

SAP AG es uno de los principales proveedores de planificación de los recursos empresariales (ERP) que está considerando seriamente dar a las empresas el software necesario para soportar GRC. Si bien SAP no necesariamente cuenta con una solución para todos y cada uno de los requisitos posibles (como capacitación para los empleados, rastreo y certificación o generación de reportes normativos que se apeguen a todas las leyes locales que hay), sigue siendo el líder del mercado gracias a su serie de aplicaciones SAP Environment, Health & Safety (SAP EH&S).

Esta serie cuenta con una base de datos central que facilita la gestión de las especificaciones de seguridad de los productos, los inventarios de sustancias peligrosas y el manejo seguro de bienes peligrosos, la gestión de documentos y el cálculo de riesgos (consulte SAP para la funcionalidad de la industria química). Asimismo, los usuarios pueden crear permisos para los desechos peligrosos y seleccionar las firmas adecuadas y asignar los costos necesarios para asegurarse de que no se exceden las cantidades autorizadas de desechos. El producto también apoya toda una gama de procesos de higiene y seguridad industriales y centraliza las tareas principales, tales como evaluación de riesgos, registros de exposición a sustancias o materiales peligrosos, gestión de incidentes, perfiles de las exposiciones y gestión de la seguridad en ciertas áreas de trabajo.

Debido a que hay tantas bases que cubrir, por lo general se necesita tener una aplicación compuesta como SAP xApp Emissions Management (SAP xApp xEM), que ofrecen SAP y TechniData de forma conjunta, para dar a las empresas las capacidades necesarias para manejar los asuntos siguientes:

  • Gestión de emisiones: aprovechando las herramientas de supervisión de emisiones, seguimiento del cumplimiento normativo y generación de reportes reglamentarios, tales como supervisión de gases de efecto invernadero, gestión de asignaciones y generación de reportes y comercialización del Plan nacional de asignación (PNA). SAP xApp xEM sigue, analiza y registra la información sobre las emisiones. La solución se integra con los sistemas de mantenimiento de plantas y maquinaria, de manera que soporta las tareas de calibración y mantenimiento de equipo, ya que cuenta con herramientas sofisticadas que calculan las emisiones (como los gases de efecto invernadero) que no se pueden medir directamente. Cuando se registra un valor de referencia superior a los valores normales para las operaciones de la planta, se activan notificaciones automáticas que ayudan a determinar el impacto que tendrán dichos valores y dan inicio a los cambios necesarios para corregir las operaciones. La funcionalidad de generación de reportes de SAP xApp xEM sirve para cumplir con los requisitos legales correspondientes a la documentación y los informes que deben presentarse ante las autoridades competentes.

  • Gestión del cumplimiento normativo: para operar las instalaciones y manejar los procesos de acuerdo a los reglamentos pertinentes, mediante las capacidades de supervisión de datos, supervisión de tareas, seguimiento de las excepciones, gestión de incidentes y generación de reportes. La gestión tanto del cumplimiento normativo como de las emisiones deben fomentar que la información fluya en toda la empresa usuaria, permitiendo con ello que ésta mantenga su cumplimiento normativo, supervise y controle las instalaciones de fabricación y los permisos -incluyendo los permisos de emisiones-, dé seguimiento a las evaluaciones comparativas de rendimiento y, finalmente, se comunique con las partes interesadas más importantes.

  • Gestión de permisos: el proceso de solicitar y obtener las licencias y los permisos adecuados, con capacidades de gestión de solicitudes, gestión de cambios y generación de reportes.

  • Gestión de la seguridad de las sustancias químicas: para dar información sobre la seguridad de los productos, los bienes peligrosos y las etiquetas requeridas en los mercados internacionales. Esto permite que las empresas controlen los procesos de negocios globales y que ahorren recursos en el aprovisionamiento, el intercambio de información sobre las sustancias y las recetas, la clasificación y la creación de los documentos necesarios para los clientes o el personal, como por ejemplo, las hojas de datos de seguridad, las tarjetas de emergencia en el transporte (o tremcard), el derecho a la información de la Administración de Seguridad y Salud Ocupacional (OSHA) y las etiquetas.

  • Supervisión de la salud y la seguridad ambientales: para permitir que las empresas manejen la creciente presión legislativa en las áreas de higiene y seguridad industriales, asistencia médica ocupacional y gestión de sustancias peligrosas, fomentando así una cooperación entre los departamentos de la empresa.

  • Cumplimiento normativo de los productos ecológicos: para dar capacidades de diseño de productos conforme a las normas y ayudar a evitar los riesgos en la cadena de suministro. Este software soporta la colaboración con proveedores, socios y clientes y reúne, organiza, analiza y evalúa la información de diferentes productos, fábricas, proveedores, países y clientes. Esta información es necesaria para demostrar el cumplimiento con las normas ambientales que regulan el desarrollo, la manufactura, la distribución, el desecho o el reciclaje de productos. Asimismo, el software documenta el contenido de los productos y las listas de sustancias reglamentarias o específicas para ciertos sectores; integra las revisiones del cumplimiento con las normas y los análisis con los procesos de negocios centrales y automatiza las comunicaciones con los clientes y los proveedores. Por ejemplo, cuando se revisa que un producto se apegue a la norma de Restricción de sustancias peligrosas (RoHS), la solución verifica que exista toda la información necesaria (como el contenido de plomo de cierta pieza). Si no se cuenta con dicha información, la solución envía una solicitud automáticamente al departamento de manufactura del proveedor para que revele el porcentaje exacto del contenido de plomo del producto, y le avisa al usuario cuando la ha recibido.

El compromiso de SAP con GRC

Como indican los ejemplos de SAP Global Trade Services (SAP GTS) y SAP xApp XEM, SAP, que es el proveedor más grande de aplicaciones empresariales, se ha comprometido a hacer que el cumplimiento normativo forme parte esencial de su amplia serie de productos. Esto se debe a que ha reconocido que los sistemas empresariales son una herramienta importante que ayuda a las empresas a superar los retos del cumplimiento normativo y la gestión de riesgos. Los clientes buscan soluciones para el cumplimiento normativo que sean potentes y puedan trabajar en ambientes heterogéneos de tecnología de la información (TI), para reducir el riesgo y el costo y ofrecer un mayor control del negocio.

Al incluir el cumplimiento en todos los procesos de negocios pertinentes, SAP espera hacer que el cumplimiento normativo sea repetible, sostenible y menos costoso para las empresas de todos los tamaños y de todos los segmentos de la industria. Así, ha defendido durante mucho tiempo diferentes herramientas y módulos, tales como SAP Audit Information System (SAP AIS), SAP Strategic Enterprise Management (SAP SEM), SAP Records Management (SAP RM) y SAP Management of Internal Controls (SAP MIC).

A modo de ejemplo, el objetivo de SAP MIC ha sido soportar un sistema que incluya las mejores prácticas para documentar y probar las revisiones y las auditorías internas. SAP MIC es uno de los componentes principales de mySAP ERP, y como tal, contiene funciones para análisis de datos y generación de reportes, así como para gestión financiera y de riesgos. Esta solución también se asegura de que todos los procesos financieros se cumplen con los requisitos de la ley Sarbanes-Oxley (SOX).

Otro componente que ha estado tratando algunos requisitos complejos de cumplimiento normativo (como salud y seguridad ambientales) es la gestión maestra de datos (MDM), sobre todo ahora que las cadenas de suministro están repartidas a nivel global. Sin embargo, la necesidad de contar con productos de calidad, uniformidad en las especificacioens y protección de las marcas ha sido parte de la plataforma de SAP (consulte SAP Bolsters NetWeaver's MDM Capabilities).

Esta oferta de GRC, que hasta hace poco estaba bastante fragmentada, ha mejorado gracias a las soluciones de punta de los socios. Los socios clave de software y tecnología integran las aplicaciones mediante la plataforma SAP NetWeaver, que está habilitada en arquitectura orientada a los servicios (SOA) y gestión del rendimiento del negocio (BPM) y que ofrece la tan necesaria transparencia gracias al ecosistema GRC (consulte SAP NetWeaver para múltiples propósitos).

Hace algunos años, SAP anunció su estrategia para usar adquisiciones "de relleno" para aumentar sus ofertas mediante tecnologías y capacidades específicas que cubren las necesidades de sus clientes -dentro de una o varias industrias. Así, además del antes mencionado SAP xApp xEM, VitalSprings Technologies también lanzó la aplicación compuesta de gestión de riesgos VSxApp. Esta solución está diseñada para trabajar con los sistemas de back-office para integrar las aplicaciones de recursos humanos (RRHH), nómina y finanzas y tratar así las prestaciones específicas de servicio médico y el impacto financiero que tienen los planes de salud en los negocios.

Los indicadores clave del rendimiento (KPI), que también están basados en la tecnología NetWeaver, integran datos tanto de SAP como de otros proveedores para permitir que se lleven a cabo simulaciones basadas en la información de la empresa y los parámetros de los pagadores. Con ello, los empleados pueden calcular los gastos en prestaciones de salud y negociar mejores tarifas para los mismos. Algunos ejemplos de alianzas similares son Approva, Security Weaver, Atrion International, ArisGlobal y ACL.

SAP "abrió" la parte de contenido de su oferta de salud y seguridad ambientales, permitiendo con ello que varios proveedores proporcionen información clave que puede servir para reducir el costo total de propiedad del sistema. Atrion International fue el primer proveedor en obtener la certificación del programa SAP EH&S Open Content Connector (OCC) a mediados del 2005. El EH&S OCC es una interfaz abierta basada en lenguaje extensible de marcas (XML) que sirve para cargar contenido externo en las bases de datos de especificación de SAP EH&S. Así, Atrion ofrece una gama completa de contenido (datos, reglas, frases, formularios e imágenes) a los clientes de SAP EH&S, permitiéndoles tratar los requsitos de los reglamentos globales.

Si desea conocer más sobre GRC, consulte la siguiente serie de artículos: Cumplirás con los reglamentos, La ley Sarbanes-Oxley y la gestión de cadena de suministro, La punta del iceberg, Reglamentos y más reglamentos, Reglamentos ambientales para las industrias electrónica, química y petrolera, Software de gobernabilidad, gestión de riesgo y cumplimiento y su relación con el comercio mundial, Cómo definir y manejar la gobernabilidad, la gestión de riesgos y el cumplimiento y Gobernabilidad, gestión de riesgo y cumplimiento por procesos.

¿Adquisiciones?

Después de demostrar un ligero interés por el desarrollo de soluciones que se apeguen a SOX de forma nativa, el verdadero salto cuántico en la aventura de cumplimiento normativo y gestión de riesgos de SAP fue la adquisición de un socio a largo plazo a mediados del 2006. Virsa Systems, un antiguo proveedor privado (parte de SAP Ventures) de soluciones de cumplimiento normativo entre empresas, se fundó en 1996 en Fremont, California. Al momento de la adquisición, Virsa contaba con más de 300 clientes empresariales y más de 2.5 millones de usuarios (muchos de ellos empresas Global 1000) en los principales segmentos verticales dle mercado. La empresa también contaba con cerca de 250 empleados y oficinas en todos los Estados Unidos y en el Reino Unido, Alemania, la India y Australia.

Desde entonces SAP ha continuado con sus operaciones en estas oficinas, y los empleados de Virsa forman parte ahora de SAP America y de la red mundial de SAP Labs, de manera que los clientes de SAP tienen acceso a su talento, su experiencia y su capital intelectual. Algunas de las aplicaciones de Virsa que adquirió SAP son las siguientes:

  • Virsa Compliance Calibrator: soporta el cumplimiento normativo por reglas, con la idea de evitar las violaciones a la seguridad y los controles. Así, gracias a una biblioteca completa de reglas de segregación de obligaciones que pueden consultar las aplicaciones empresariales de SAP, Oracle y PeopleSoft, la aplicación permite desarrollar reglas que se pueden aplicar a la empresa usuaria (para los propietarios de los procesos de negocios) y elimina los riesgos de las aplicaciones empresariales.

  • Virsa Access Enforcer: soporta el aprovisionamiento a los usuarios en todas las aplicaciones y a través del ciclo de vida de los empleados. Utiliza procesos de varios pasos guiados para automatizar las aprobaciones y hacer cumplir las evaluaciones de riesgos obligatorias e incluidas antes de permitir que los usuarios tengan acceso a las aplicaciones empresariales. Al aprovechar las funciones dinámicas de flujo de trabajo que la aplicación tiene por red, los usuarios pueden automatizar los complejos procesos de aprobación y evitar los riesgos que implica entrar en ambientes de producción. Para ello, analiza en tiempo real el acceso de los usuarios.

  • Virsa Role Expert: centraliza y normaliza la gestión de roles en toda la empresa, eliminando así los errores manuales. Proporciona también un registro de auditoría de los cambios y hace cumplir las mejores prácticas. Los directores de negocios pueden definir roles funcionales y los directores de TI pueden definir los permisos técnicos relacionados. El producto se incluye en un sistema ERP y permite que los administradores definan qué transacciones y objetos son necesarios para crear un rol en el sistema.

  • Virsa FireFighter: ayuda a los súper usuarios a realizar actividades de emergencia que no están contempladas en sus roles normales, pero que se llevan a cabo dentro de un ambiente controlado (es decir, mediante autorizaciones, datos y acceso restringido) y completamente auditable. Así, crea una identificación temporal que le da al súper usuario que cumple con los requisitos un acceso amplio pero regulado, y registra y da seguimiento a todas las actividades que éste lleva a cabo.

Parece ser que Virsa fue alguna vez el proveedor de soluciones de cumplimiento normativo que supervisan y hacen cumplir los controles de negocios en tiempo real en los sistemas empresariales y las aplicaciones legadas. Las soluciones de Virsa han ayudado a los clientes a cumplir constantemente con la ley SOX, la ley de responsabilidad y portabilidad de seguro médico (HIPAA), la ley Gramm-Leach-Bliley (GLBA) y otros reglamentos, ya que permite que los usuarios incluyan en sus procesos de negocios un diseño de control automatizado, pruebas y cumplimiento normativo. Aún antes de la adquisición, SAP y Virsa gozaban de una relación fructífera en tres aspectos:

  1. Tecnología: las soluciones de Virsa se diseñaban y ofrecían en la plataforma SAP NetWeaver, por lo que Virsa era uno de más de 1,000 proveedores independientes de software (ISV) que se han comprometido a crear y comercializar soluciones en esta conocida plataforma.

  2. Comercialización: SAP y Virsa trabajan de cerca en las áreas de mercadotecnia, ventas y desarrollo de productos. Desde marzo del 2005, SAP había estado revendiendo el producto principal de Virsa, Compliance Calibrator, como un adición a mySAP ERP, y en el primer año a partir de que se anunció el acuerdo, SAP y Virsa han ganado más de 150 clientes de forma asociada. Además, SAP Ventures era inversionista en Virsa, como se mencionó antes.

  3. Cliente y proveedor: ya que SAP tenía una de las implementaciones globales más grande de Compliance Calibrator y Access Enforcer de Virsa, con más de 400,000 usuarios en el mundo.

Así, se esperaba que la adquisición de Virsa por parte de SAP agregara valor al ofrecer soluciones de cumplimiento normativo que pueden funcionar en ambientes de TI heterogéneos, haciendo que las soluciones de SAP fueran más atractivas para los clientes posibles a nivel mundial. SAP se propone ayudar a las empresas a hacer que GRC sea parte integral de sus negocios y sus estrategias de TI, por lo tanto, se ha dado cuenta de la necesidad de formar una unidad dedicada que aproveche su experiencia y su software para incluir requisitos de cumplimiento que vayan más allá de la ley SOX en los Estados Unidos. Asimismo, el proveedor se da cuenta de esta necesidad porque actualmente hay más de 1,000 empresas en el mundo que utilizan sus soluciones de punta para GRC.

Otras aplicaciones dignas de mencionarse son SAP GTS, que ayuda a las empresas de distintas industrias a manejar los retos de cumplimiento normativo en comercio internacional, así como otras soluciones que cubren demandas específicas de la industria. Algunas de estas demandas son las normas de emisiones para los sectores químico y de servicios, los requisitos de la FDA para las empresas farmacéuticas y Basilea II para el sector bancario.

Esta es la primera de dos partes que conforman el artículo Gobernabilidad, gestión de riesgos y cumplimiento normativo desde el punto de vista de uno de los principales proveedores de software empresarial. En la segunda parte hablaremos con más detalle de la serie de productos de GRC de SAP y especularemos sobre su potencial para tener éxito con la base de clientes tanto actuales como posibles del proveedor.

 
comments powered by Disqus

Búsquedas recientes:
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z Others