¿El panorama del riesgo y el cumplimiento? Está cambiando a gran velocidad bajo los pies de los profesionales de GRC, lo que hace más difícil que nunca prever las posibles consecuencias para las empresas.
Ahí es donde pueden ser útiles los pronósticos informados sobre las tecnologías, los climas regulatorios, las amenazas a la seguridad y otras preocupaciones que mantienen a los gerentes de GRC despiertos por la noche. Así que hemos pedido a diez de los principales expertos en GRC que compartan sus perspectivas sobre lo que nos espera en 2019.
Michael Rasmussen
, Economista y experto en GRC, GRC 20/20 Research, LLC
Algunas grandes tendencias se avecinan para GRC en 2019:
- Privacidad de los datos: el GDPR sigue su curso, pero ahora está la CCPA de California y la amenaza de una normativa federal estadounidense.
- Creciente responsabilidad: debido al SMR del Reino Unido, el BEAR de Australia y la normativa de Singapur, Hong Kong, Japón, Irlanda y España.
- Resiliencia operativa: integración del riesgo operativo, la continuidad de la actividad, los terceros, etc. (por ejemplo, el Enfoque de Resiliencia Operativa del Banco de Inglaterra).
- Demandas y problemas legales por incumplimiento de Marriott/Starwood y otros.
- Aumento de las medidas contra el soborno y la corrupción en todo el mundo, pero sobre todo en Europa.
- Cambios en la tecnología GRC con ofertas de IA más maduras.
- Gestión de terceros: uno de los mayores retos, y desde muchos ángulos, ya que las empresas pueden ser consideradas responsables de las actividades de los proveedores o de la cadena de suministro, especialmente en materia de seguridad de los datos.
- En ese contexto, los legisladores están considerando regulaciones sobre la esclavitud moderna en los negocios - Reino Unido está revisando un nuevo impulso de aplicación de la Ley de Esclavitud Moderna del Reino Unido, y Australia acaba de aprobar su propio Proyecto de Ley de Esclavitud Moderna 2018 que abarca "la esclavitud, la servidumbre, las peores formas de trabajo infantil, el trabajo forzado, la trata de personas, la servidumbre por deudas, las prácticas similares a la esclavitud, el matrimonio forzado y la contratación engañosa de mano de obra o servicios."
Carole Switze
rCofundador y Presidente de OCEG
Uno de los desarrollos más significativos en la actividad de GRC que estamos viendo, que espero que aumente en gran medida en 2019, es el establecimiento de comités a nivel empresarial específicamente diseñados para abordar planes para una mejor integración de GRC en toda la empresa. Aunque en muchas organizaciones el punto de partida para ello se está centrando en el uso de la tecnología para apoyar la gobernanza, la gestión de riesgos y el cumplimiento, y la auditoría, también se están planificando cambios para estructurar las responsabilidades organizativas y de personal, y para la estandarización de los procesos.
Estos cambios son necesarios para apoyar el desarrollo de una arquitectura y un ecosistema tecnológicos que permitan compartir todos los datos pertinentes y elaborar informes que respondan a distintas necesidades. Un segundo avance es la disponibilidad de tecnologías que ahora son más capaces de extraer e integrar datos de una amplia variedad de fuentes internas y externas. Esto permite a las empresas utilizar los componentes "best of breed" que sean necesarios o deseados, que pueden ser ofertas sass independientes, y aun así disponer de los datos de esos sistemas para una visión integrada más amplia de la información GRC. También significa que los datos pueden extraerse de ERP y otros sistemas empresariales, lo que es esencial para permitir la asignación de riesgos a objetivos y controles.
Por último, con el crecimiento de la IA o la informática cognitiva en los sistemas de GRC, ahora es posible obtener vistas más profundas y oportunas de la información.
Peter Johnson
, Director General, Tempest Security Intelligence
2018 ha sido un año significativo en Gobernanza, Riesgo y Cumplimiento. El tan esperado Reglamento General de Protección de Datos (GDPR) entró en vigor en mayo de 2018, y se espera más regulación en forma del Reglamento de ePrivacidad (ePR) de la UE en 2019. Las normas de la industria británica están avanzando en sus respectivos sectores con políticas más estrictas; por ejemplo, en el sector financiero, nuevas regulaciones como la Directiva de Servicios de Pago 2 y PCI DSS 3.2.1.
Sin embargo, muchas áreas permanecen intactas en términos de GRC. Por ejemplo, el mercado de consumo IoT en el Reino Unido. A pesar de los esfuerzos del sector por implantar un código de buenas prácticas, no se ha establecido ninguna normativa firme. En consecuencia, no existen normas de seguridad reales para proteger a los consumidores en su propio hogar.
Es justo decir que la industria está empujando en la dirección correcta, pero los organismos reguladores todavía tienen una tarea importante en la protección de los consumidores y, a su vez, de las organizaciones en el cambiante panorama tecnológico. Esperamos que esta sea una tendencia y un tema considerable de cara al próximo año, observando cómo los organismos reguladores y de cumplimiento intentan mantenerse al día en un panorama que cambia rápida y constantemente.
Adam Turteltaub
Vicepresidenta de Iniciativas Estratégicas y Programas Internacionales, SCCE y HCCA
Para 2019 espero ver tanto una ampliación como una profundización de los programas de cumplimiento a nivel mundial. En cuanto a la ampliación, es probable que veamos programas de cumplimiento en cada vez más países y también en un número cada vez mayor de empresas. Una prueba de ello es una conferencia sobre cumplimiento a la que asistían más de 150 personas en Mongolia en noviembre.
En términos de ampliación, es probable que veamos cómo los programas de cumplimiento siguen expandiéndose más allá de la lucha contra la corrupción a medida que las organizaciones se dan cuenta del valor de los programas de cumplimiento en una amplia gama de riesgos legales y reglamentarios.
Robert Bond,
Socio y Notario de Bristows LLP, Vicepresidente 2º y miembro del Consejo de Administración de la SCCE
2019 será testigo de un aumento de las ejecuciones y multas en relación con las infracciones e incumplimientos en materia de protección de datos. El riesgo de que los consumidores interpongan demandas colectivas por infracciones de la privacidad impulsará el cumplimiento de la normativa y hará que se preste más atención al cumplimiento y la gobernanza en materia de protección de datos, así como a la necesidad no solo de cumplir la ley, sino también de aplicar un enfoque ético al análisis y la elaboración de perfiles de datos.
Kristy Grant-Hart
, Fundador y Consejero Delegado, Spark Compliance Consulting
En 2019, el riesgo GRC relacionado con terceros ha ido más allá de sus comprobaciones básicas de sanciones y revisión de diligencia debida antisoborno. Las comprobaciones de terceros de mayor riesgo deben incluir ahora revisiones de la cadena de suministro/esclavitud moderna, consideraciones de privacidad de datos, riesgo de ciberseguridad e incluso riesgo reputacional debido a declaraciones políticas o escándalos.
Es fundamental poner en orden el cuestionario de diligencia debida. Trabaje con las demás partes interesadas de la empresa para elaborar un cuestionario de diligencia debida y un procedimiento de incorporación para terceros. Una pequeña inversión de tiempo y dinero ahora hará la vida más fácil a sus terceros, y protegerá a la empresa de las múltiples amenazas que puede encontrar en su uso de terceros.
Connor Blake
Director Global de Alianzas y Asociaciones. Mitratech
Espero ver más casos destacados de activismo en los medios sociales que obliguen a las empresas a reaccionar en 2019. Si parece que tus clientes se preocupan más por la conducta ética de tu empresa que tú mismo, es un desastre a punto de ocurrir.
Las empresas tendrán que ser mucho más ágiles para adelantarse a esa curva, automatizando los riesgos de cumplimiento para sus empleados y ofreciendo herramientas de GRC realmente intuitivas para que a sus empleados les resulte sencillo informarle de lo que ocurre antes de que lo hagan sus clientes.
Laurie Fisher
, Director General, HBR Consulting
Dos tendencias clave que observamos en la GRC son muy similares a las del ámbito jurídico, el gobierno de la información y el cumplimiento en general. En primer lugar, la creciente importancia del uso de datos y análisis en los procesos de gobernanza, cumplimiento y gestión de riesgos. Esto permitirá un enfoque más objetivo de la evaluación de riesgos. En segundo lugar, la colaboración apoyada en la tecnología mejorará la colaboración de las personas que trabajan en disciplinas relacionadas con la GRC para alcanzar objetivos comunes.
Fergus AllanJefe de Regulación y Cumplimiento, TORI Global
En Europa se está produciendo un cambio de la implementación de la nueva regulación a la supervisión continua: en toda Europa hemos asistido este año a la implementación de una variedad de nuevas regulaciones como GDPR, MiFID II, PSD2 y partes de SMCR; en 2019 podemos esperar un cambio del cambio a la ejecución. Este cambio va a poner a prueba tanto los modelos operativos de las empresas financieras como sus tres líneas de defensa.
Al otro lado del charco, el panorama normativo estadounidense es significativamente diferente, con una ralentización del ritmo de regulación y, en algunos casos, un retroceso bajo la actual administración. Esta ralentización no debe verse como una oportunidad para que las empresas vuelvan a las andadas, ya que esta tendencia podría cambiar tan rápido como llegó; las instituciones financieras deben seguir persiguiendo la máxima calidad.
Mark Delgado
Director General, EMEA y APAC, Mitratech
Con 2018 siendo un año de aparentemente cada vez mayores brechas de seguridad y pérdidas de datos coronadas el mes pasado por la escala casi inimaginable del hackeo del sistema de reservas de huéspedes de Marriott, que potencialmente expuso información privada de alrededor de 500 millones de sus huéspedes, 2019 bien podría ser el año en que el poder del consumidor se convierta en un motor significativo para el cumplimiento.
Llevo algún tiempo pensando que las empresas infrautilizan un historial sólido y demostrable de cumplimiento y adhesión a la normativa a la hora de promocionarse, y que deberían aprovecharlo mucho más como elemento diferenciador positivo. Ahora, sin embargo, bien podría ser el momento en que los consumidores empiecen a tomar nota e incluyan las credenciales de cumplimiento de una empresa como criterio importante a la hora de decidir a qué organizaciones confiar sus negocios.
La compra de bienes y servicios ya no es tan transaccional como antes. El intercambio de información personal parece ser casi siempre una parte integral de la experiencia de compra, ya sea el suministro de datos de la tarjeta de crédito necesarios para la ejecución, una dirección de entrega y/o facturación o una dirección de correo electrónico, fecha de nacimiento, sexo y otra información que se recoge como parte de un programa de fidelidad o descuento. Los consumidores están despertando al hecho de que esta información es preciosa y la confianza ciega que han dado a las empresas con las que tratan no es necesariamente prudente. Está por ver hasta qué punto esto cambia significativamente el comportamiento de compra, pero creo que en 2019 será mucho más prioritario para muchos.
