¿El panorama del riesgo y el cumplimiento normativo? Está cambiando a gran velocidad bajo los pies de los profesionales de GRC, lo que hace más difícil que nunca anticipar las posibles consecuencias para las empresas.
Ahí es donde pueden resultar útiles los pronósticos bien fundamentados sobre las tecnologías, los entornos normativos, las amenazas a la seguridad y otras cuestiones que quitan el sueño a los responsables de GRC. Por eso, hemos convencido adiez expertos destacados en GRCpara que compartan sus perspectivas sobre lo que nos depara el 2019.
Michael Rasmussen
, Economista y experto de GRC, GRC 20/20 Research, LLC
Se avecinan grandes tendencias para el GRC en 2019:
- Privacidad de datos: el RGPD sigue vigente, pero ahora existe la CCPA de California y la amenaza de una regulación federal en EE. UU.
- Mayor responsabilidad: debido al SMR del Reino Unido, el BEAR de Australia y la normativa de Singapur, Hong Kong, Japón, Irlanda y España.
- Resiliencia operativa: integración del riesgo operativo, la continuidad del negocio, terceros y más (por ejemplo, el enfoque de resiliencia operativa del Banco de Inglaterra).
- Demandas y cuestiones legales derivadas de la violación de Marriott/Starwood y otras.
- Aumento de la aplicación de las leyes contra el soborno y la corrupción a nivel mundial, pero especialmente en Europa.
- Cambios en la tecnología GRC con ofertas de IA más maduras.
- Gestión de terceros: uno de los mayores retos, que se plantea desde muchos ángulos, ya que las empresas pueden ser consideradas responsables de las actividades de los proveedores o de la cadena de suministro, especialmente en lo que respecta a la seguridad de los datos.
- En ese contexto, los legisladores están considerando regulaciones sobre la esclavitud moderna en las empresas: el Reino Unido está revisando una nueva iniciativa para hacer cumplir la Ley contra la esclavitud moderna del Reino Unido, y Australia acaba de aprobar su propia Ley contra la esclavitud moderna de 2018, que abarca «la esclavitud, la servidumbre, las peores formas de trabajo infantil, el trabajo forzoso, la trata de personas, la servidumbre por deudas, las prácticas análogas a la esclavitud, el matrimonio forzoso y la contratación engañosa para trabajos o servicios».
Carole Switze
r, cofundador y presidente de OCEG
Uno de los avances más significativos que estamos observando en la actividad de GRC, y que espero que aumente considerablemente en 2019, es la creación de comités a nivel empresarial diseñados específicamente para abordar planes que mejoren la integración de GRC en toda la empresa. Si bien en muchas organizaciones el punto de partida para ello es centrarse en el uso de la tecnología para respaldar la gobernanza, la gestión de riesgos y el cumplimiento normativo, así como la auditoría, también se están planificando cambios para estructurar las responsabilidades organizativas y del personal, y para la estandarización de los procesos.
Estos cambios son necesarios para apoyar el desarrollo de una arquitectura tecnológica y un ecosistema en los que se puedan compartir todos los datos relevantes y elaborar informes que satisfagan diferentes necesidades. Una segunda novedad es la disponibilidad de tecnologías que ahora son más capaces de extraer e integrar datos de una amplia variedad de fuentes internas y externas. Esto permite a las empresas utilizar los componentes «mejores de su clase» que sean necesarios o deseados, que pueden ser ofertas independientes de SaaS, y seguir disponiendo de los datos de esos sistemas para obtener una visión más amplia e integrada de la información de GRC. También significa que se pueden extraer datos de ERP y otros sistemas empresariales, lo que es esencial para permitir la asignación de riesgos a objetivos y controles.
Por último, con el crecimiento de la IA o la computación cognitiva en los sistemas GRC, ahora es posible obtener una visión más profunda y oportuna de la información.
Peter Johnson
, Director general, Tempest Security Intelligence
2018 ha sido un año significativo en materia de gobernanza, riesgo y cumplimiento normativo. El tan esperado Reglamento General de Protección de Datos (RGPD) entró en vigor en mayo de 2018, y se espera que en 2019 se aprueben más normativas, como el Reglamento sobre privacidad electrónica (ePR) de la UE. Las normas industriales del Reino Unido están avanzando en sus respectivos sectores con políticas más estrictas; por ejemplo, en el sector financiero, nuevas regulaciones como la Directiva sobre servicios de pago 2 y PCI DSS 3.2.1.
Sin embargo, muchas áreas siguen sin verse afectadas en términos de GRC. Por ejemplo, el mercado de consumo del IoT en el Reino Unido. A pesar de los esfuerzos de la industria por implementar un código de prácticas, no se han establecido regulaciones firmes. Por consiguiente, no existen normas de seguridad reales para proteger a los consumidores en sus propios hogares.
Es justo decir que la industria está avanzando en la dirección correcta, pero los organismos reguladores aún tienen una tarea importante que realizar en lo que respecta a la protección de los consumidores y, a su vez, de las organizaciones en un panorama tecnológico cambiante. Esperamos que esta sea una tendencia y un tema importante de cara al próximo año, en el que veremos cómo la regulación y el cumplimiento normativo intentan mantenerse al día con un panorama que cambia rápida y constantemente.
Adam Turteltaub
, Vicepresidente de Iniciativas Estratégicas y Programas Internacionales, SCCE y HCCA
Para 2019, espero ver una ampliación y profundización de los programas de cumplimiento a nivel mundial. En términos de ampliación, es probable que veamos programas de cumplimiento en cada vez más países y en un número cada vez mayor de empresas. Una prueba de ello: una conferencia sobre cumplimiento en la que participé y a la que asistieron más de 150 personas en Mongolia en noviembre.
En términos de ampliación, es probable que los programas de cumplimiento normativo sigan expandiéndose más allá de la lucha contra la corrupción, a medida que las organizaciones se den cuenta del valor que estos programas tienen para una amplia gama de riesgos legales y normativos.
Robert Bond,
Socio y notario público de Bristows LLP, vicepresidente segundo y miembro del consejo de administración de SCCE.
En 2019 se producirá un aumento de las sanciones y multas relacionadas con las infracciones y el incumplimiento de la normativa de protección de datos. El riesgo de demandas colectivas por parte de los consumidores por violaciones de la privacidad impulsará el cumplimiento normativo y dará lugar a una mayor atención al cumplimiento y la gobernanza de la protección de datos, así como a la necesidad no solo de cumplir la ley, sino también de aplicar un enfoque ético al análisis de datos y la elaboración de perfiles.
Kristy Grant-Hart
, Fundador y director ejecutivo, Spark Compliance Consulting
En 2019, el riesgo de GRC relacionado con terceros ha ido más allá de las comprobaciones básicas de sanciones y la revisión de la diligencia debida contra el soborno. Las comprobaciones de terceros de mayor riesgo ahora deben incluir revisiones de la esclavitud moderna/cadena de suministro, consideraciones de privacidad de datos, riesgo de ciberseguridad e incluso riesgo reputacional debido a declaraciones políticas o escándalos.
Es fundamental tener en orden el cuestionario de diligencia debida. Trabaje con las demás partes interesadas de la empresa para elaborar un cuestionario de diligencia debida y un procedimiento de incorporación para terceros. Una pequeña inversión de tiempo y dinero ahora facilitará la vida a sus terceros y protegerá a la empresa de las múltiples amenazas a las que puede enfrentarse por el uso de terceros.
Connor Blake
, Director global de alianzas y colaboraciones. Mitratech
Espero ver más casos de gran repercusión mediática de activismo en las redes sociales que obliguen a las empresas a reaccionar en 2019. Si parece que a tus clientes les importa más la conducta ética empresarial de tu compañía que a ti mismo, eso es un desastre anunciado.
Las empresas tendrán que ser mucho más ágiles para adelantarse a esa curva, automatizando los riesgos de cumplimiento normativo para sus empleados y proporcionando herramientas de GRC realmente intuitivas que faciliten a sus empleados informarles de lo que está pasando antes de que lo hagan sus clientes.
Laurie Fisher
, Director general, HBR Consulting
Las dos tendencias clave que observamos en el ámbito del GRC son muy similares a las que se dan en el ámbito jurídico, la gobernanza de la información y el cumplimiento normativo en general. En primer lugar, la creciente importancia del uso de datos y análisis en los procesos de gobernanza, cumplimiento normativo y gestión de riesgos. Esto permitirá un enfoque más objetivo de la evaluación de riesgos. En segundo lugar, la colaboración respaldada por la tecnología mejorará la capacidad de las personas que trabajan en disciplinas relacionadas con el GRC para colaborar en pos de objetivos comunes.
Fergus Allan, Director de Regulación y Cumplimiento Normativo, TORI Global
En Europa se está produciendo un cambio desde la implementación de nuevas regulaciones hacia una supervisión continua. A lo largo de este año, hemos sido testigos de la implementación de diversas regulaciones nuevas en toda Europa, como el RGPD, la MiFID II, la PSD2 y partes del SMCR. En 2019, podemos esperar un cambio de la implementación a la ejecución. Este cambio pondrá a prueba tanto los modelos operativos de las entidades financieras como sus tres líneas de defensa.
Al otro lado del charco, el panorama normativo estadounidense es muy diferente, ya que el ritmo de la regulación se ha ralentizado y, en algunos casos, podría decirse que se ha invertido bajo la actual administración. Esta ralentización no debe considerarse una oportunidad para que las empresas vuelvan a la normalidad, ya que esta tendencia podría cambiar tan rápido como ha llegado; las instituciones financieras deben seguir aspirando a la excelencia.
Mark Delgado
, Director general, EMEA y APAC, Mitratech
Dado que 2018 ha sido un año en el que las violaciones de seguridad y las pérdidas de datos parecen haber aumentado constantemente, culminando el mes pasado con el hackeo del sistema de reservas de Marriott, de una magnitud casi inimaginable, que podría haber expuesto la información privada de unos 500 millones de sus huéspedes, 2019 podría muy bien ser el año en que el poder de los consumidores se convierta en un importante motor para el cumplimiento normativo.
Hace tiempo que pienso que las empresas no aprovechan lo suficiente su sólido historial demostrable de cumplimiento normativo y regulatorio en su estrategia de marketing, y que deberían explotarlo mucho más como un factor diferenciador positivo. Sin embargo, ahora podría ser el momento en que los consumidores empiecen a tomar nota e incluyan las credenciales de cumplimiento normativo de una empresa como un criterio importante a la hora de decidir en qué organizaciones confiar sus negocios.
Hoy en día, la compra de bienes y servicios no es tan transaccional como solía ser. El intercambio de información personal parece ser casi siempre una parte integral de la experiencia de compra, ya sea el suministro de los datos de la tarjeta de crédito necesarios para la ejecución, una dirección de entrega y/o facturación o una dirección de correo electrónico, la fecha de nacimiento, el sexo y otra información que se recopila como parte de un programa de fidelización o de descuentos. Los consumidores están tomando conciencia de que esta información es valiosa y de que la confianza ciega que han depositado en las empresas con las que tratan no es necesariamente prudente. Queda por ver en qué medida esto cambiará significativamente el comportamiento de compra, pero creo que en 2019 será una cuestión mucho más importante para muchos.
