¿Qué hemos aprendido del 2020? Creo que todos hemos aprendido bastante, tanto en nuestra vida personal como profesional. El 2020 nos ha puesto a prueba como individuos y como organizaciones de formas diversas e inesperadas.
Sin duda, ha habido mucha tensión, reacciones, pérdidas, pruebas y tribulaciones. Pero también hay aspectos positivos, como la agilidad, la adaptación, la innovación y la colaboración. Ha sido un año de desastres en materia de salud y seguridad, medio ambiente, seguridad de la información, conducta y liderazgo, pero también un año de metamorfosis. De cara a 2021, todos esperamos que un fénix renazca de sus cenizas para alcanzar nuevas cotas de ingenio y progreso.
El año 2020 ha traído consigo una serie de retos empresariales. El año comenzó con la devastación causada por los incendios forestales en Australia (y más tarde en California), a lo que siguió la llegada de la COVID-19 y los confinamientos a nivel mundial, así como la crisis económica, sanitaria y de seguridad. Por si fuera poco, hemos sido testigos de importantes escándalos, cambios normativos, cambios empresariales y comportamientos indebidos. Ahora concluimos el año con una importante violación de la seguridad de la información que ha devastado al gobierno y a las principales organizaciones en el incidente de SolarWinds.
Desde el punto de vista del cumplimiento normativo y la ética, ¿qué podemos aprender de 2020 y ajustar para construir una organización más resiliente e íntegra en el futuro?
Las lecciones aprendidas en materia de gestión del cumplimiento normativo en 2020 son las siguientes:
- Integridad y agilidad empresarial y operativa. El año 2020 ha obligado a las organizaciones a poner en práctica sus valores ante la adversidad. El cumplimiento normativo corporativo es mucho más que marcar una lista de requisitos reglamentarios. El cumplimiento y la ética tienen que ver con la integridad de la organización. Llevo 15 años diciendo que me gustaría cambiar el nombre del cargo de CCO/CECO por el de director de integridad (pero ya tenemos un director de información, por lo que podría crear confusión). En medio de la economía, la salud, el medio ambiente y la resiliencia, se ha vuelto fundamental que las organizaciones prediquen con el ejemplo y no se limiten a hablar de valores. El cumplimiento normativo tuvo que volverse ágil para adaptarse a un entorno empresarial, normativo, legal y de riesgo que cambiaba a diario, si no cada hora.
- Gestión integrada y federada del riesgo de cumplimiento normativo. El año 2020 ha obligado a las organizaciones a darse cuenta de que sus riesgos de cumplimiento y ética no pueden gestionarse de forma aislada. Las organizaciones se han dado cuenta de que necesitan lo que yo denomino un programa de cumplimiento federado que abarque todos los departamentos (lo que enseño en mi Talleres sobre gestión del cumplimiento normativo por diseño). Los silos de riesgo de cumplimiento que no colaboran entre sí introducen un mayor riesgo de cumplimiento. Consideremos lo que comenzó como un problema de salud y seguridad con la COVID-19 y se ha convertido en una cascada de problemas:
- Riesgos de cumplimiento relacionados con la resiliencia. La organización tuvo que adaptarse a los confinamientos y las restricciones económicas. Esto supuso despedir a empleados, trasladar a personas a un entorno de trabajo desde casa y adaptar los procesos empresariales para trabajar con menos personal. Algunos empleados tuvieron que asumir múltiples funciones y, por lo tanto, más responsabilidades y tareas de cumplimiento. El cumplimiento tuvo que mantenerse al día y adaptarse en medio de los cambios empresariales.
- Riesgos relacionados con el cumplimiento normativo laboral. Despedir a personas es complicado, y la organización tenía que actuar dentro de los límites de la ley, pero también respetando sus propios valores, integridad y necesidades culturales. A medida que los empleados asumían más funciones, también se introdujeron conflictos de segregación de funciones en materia de cumplimiento normativo que debían supervisarse más de cerca.
- Riesgos de incumplimiento en materia de acoso y discriminación. El paso al teletrabajo cambia la cultura y el tono de la organización. A medida que las reuniones por Zoom se convirtieron en la nueva sala de conferencias, las personas que trabajaban desde casa se mostraron más informales, no solo en su vestimenta, sino también en sus interacciones. En estas reuniones en línea se decían cosas que nunca se habrían dicho en una oficina corporativa. Los empleados debían darse cuenta de que las mismas normas sobre acoso y discriminación se aplican en el contexto del teletrabajo.
- Riesgos de cumplimiento en materia de fraude. Debido a la preocupación económica generada por la pandemia, empleados competentes que nunca habrían pensado en cometer fraude ahora se ven tentados a hacerlo. Están preocupados por sus finanzas personales y familiares y son más propensos a cometer fraude, por lo que ha aumentado la exposición al riesgo de fraude. Con la reducción del personal encargado de supervisar los controles y el cumplimiento de las políticas, también pueden pensar que las posibilidades de ser descubiertos son escasas.
- Riesgos de cumplimiento de la seguridad de la información. Con la introducción del teletrabajo, surgieron una serie de riesgos de cumplimiento de la seguridad informática que debían abordarse. El compromiso de los puntos finales en las oficinas domésticas podría comprometer los datos, las redes y los sistemas empresariales de los centros de datos.
- Riesgos de cumplimiento en materia de soborno y corrupción. Debido a las restricciones en las cadenas de suministro, los productos se movían lentamente en las fábricas, la logística y las aduanas. Existe un mayor riesgo de incumplimiento de las leyes contra el soborno y la corrupción, ya que es más probable que los empleados sobornen a funcionarios o partes para acelerar ilegalmente el paso de sus productos por delante de otros.
- Cambio normativo. Las normativas generaron una gran confusión a la hora de responder a la pandemia y los confinamientos. Algunas se modificaron, se ampliaron los plazos de otras y otras permanecieron sin cambios. Las organizaciones tuvieron que adaptarse y contar con procesos ágiles para hacer frente a los cambios en los requisitos normativos en medio de la crisis.
- Compromiso de los empleados y cultura. El año 2020 obligó a las organizaciones a replantearse cómo involucrar a los empleados y desarrollar y aplicar una cultura corporativa de integridad en medio de una crisis. A medida que cambiaban los procesos y las funciones empresariales, también lo hacían las políticas y los procedimientos. Cuando las organizaciones se dispusieron a actualizar sus políticas y procedimientos y a comunicarlos a los empleados que trabajaban a distancia desde casa, se dieron cuenta de que eran un caos. La mayoría de las organizaciones ni siquiera saben qué políticas tienen en su entorno, y descubrieron que había docenas de portales de políticas con diferentes plantillas y estilos de redacción. El compromiso de los empleados en un entorno de trabajo remoto desde casa llevó a muchas organizaciones a buscar nuevas tecnologías para involucrar y comunicar las políticas y la concienciación.
- Las políticas son la base del cumplimiento normativo. De acuerdo, el año 2020 nos enseñó mucho sobre las políticas. Además del compromiso, las organizaciones tuvieron que luchar contra políticas fraudulentas y no autorizadas. Los directivos de todos los niveles redactaron políticas para hacer frente a la crisis y las comunicaron como tales, lo que podría exponer a la organización a responsabilidades, ya que una política establece una obligación legal de diligencia. Las organizaciones se dieron cuenta de que tenían que tener una supervisión y un control centralizados de todo lo que se entendiera como política, y la responsabilidad de liderar esta tarea recayó en los departamentos de cumplimiento normativo y ética corporativa.
- Riesgos y resiliencia de terceros. El año 2020 nos mostró lo expuesta que está la organización en toda la empresa extendida. No solo aumentaron los riesgos de soborno y corrupción por parte de terceros, sino que también aumentaron los riesgos de seguridad de la información, los riesgos de privacidad y los riesgos de derechos humanos y esclavitud en las relaciones con terceros. La empresa ampliada pasó a trabajar desde casa, lo que también provocó una mayor exposición en materia de seguridad y privacidad. Los proveedores de servicios y los centros de datos subcontratados dejaron de funcionar, ya que no contaban con personal para mantenerlos durante los confinamientos. Las fábricas devastadas por los trabajadores enfermos recurrieron al trabajo infantil y al trabajo forzoso para fabricar productos. Las organizaciones tuvieron que ser ágiles a la hora de gestionar las relaciones con terceros y garantizar el cumplimiento normativo en todas estas relaciones. Ahora, la brecha de seguridad de SolarWinds ha devastado a decenas de organizaciones y agencias gubernamentales.
- Seguimos luchando con viejos problemas. El año 2020 también nos ha demostrado que a menudo seguimos enfrentándonos a los retos de cumplimiento normativo de años atrás. El escándalo de WireCard en Alemania está impulsando muchos cambios en materia de cumplimiento normativo y controles, pero es un reflejo de lo ocurrido con Enron y Worldcom hace 18 años.
- Cumplimiento defendible. El año 2020 también puso de manifiesto la necesidad de un cumplimiento defendible. Las Directrices para la evaluación de programas de cumplimiento del Departamento de Justicia de los Estados Unidos se actualizaron en junio de 2020. Uno de los elementos clave que destacó es que las organizaciones necesitan un registro de auditoría defendible y un sistema de registro de las actividades de cumplimiento (por ejemplo, quién accedió a las políticas en el portal).
La necesidad de un cumplimiento federado
Lo que está claro es que 2020 ha enseñado a las organizaciones que necesitan una estrategia federada de gestión del cumplimiento normativo. Hay un único departamento responsable de todos los aspectos del cumplimiento normativo. Hoy en día, las funciones de cumplimiento normativo suelen estar dispersas y operar de forma independiente entre sí. Existe el cumplimiento normativo en materia de TI/información, privacidad, recursos humanos, medio ambiente, salud y seguridad, contratación pública, adquisiciones, calidad, ética y cumplimiento normativo corporativo, entre otros.
Para ser ágil en medio de un mundo empresarial cambiante y dinámico, es necesaria la colaboración entre estos departamentos, roles y funciones de cumplimiento normativo. El año 2020 nos ha demostrado que el CECO debe dar un paso al frente y liderar una colaboración y una estrategia a nivel de toda la organización en materia de cumplimiento normativo federado entre estas funciones.
El año 2020 también nos ha demostrado que los procesos de cumplimiento manuales o las soluciones tecnológicas aisladas ralentizan a una organización que necesita ser ágil. Una estrategia de cumplimiento federada que sea ágil también requiere un proceso de cumplimiento integrado, información y una arquitectura tecnológica que permita a la organización alcanzar mayores niveles de eficiencia, eficacia y agilidad en medio del caos y el cambio.
Más para ti:
Guía del experto: Las 7 señas de identidad de un cumplimiento eficaz
Casos prácticos: Explore nuestros Casos de Uso de Automatización de Flujos de Trabajo de Riesgo y Cumplimiento.
Infografía: GRC Hurdles & High Jumps in Building a Culture of Compliance (Obstáculos y grandes saltos de GRC en la creación de una cultura de cumplimiento)
¿Nuestra prioridad? En su éxito.
Programe una demostración u obtenga más información sobre los productos, servicios y compromiso de Mitratech.
