Definición de cumplimiento normativo: ¿Qué es el cumplimiento normativo empresarial y por qué es importante?
La definición de cumplimiento empresarial y su significado corporativo es que se trata de un enfoque integrado del cumplimiento que abarca múltiples unidades de negocio y geografías dentro de una organización. Construido de arriba abajo, es posible gracias a su personal, sus procesos y su tecnología, y se mantiene gracias a ellos.
Un programa eficaz de gestión del cumplimiento normativo se centra en los riesgos a los que se enfrenta una organización. Puede basarse en múltiples marcos y tiene como objetivo garantizar que se respeten las normas éticas en toda la organización y que se controle el riesgo de incumplimiento normativo.
El cumplimiento efectivo tiene ventajas de gran alcance. Además de reducir el riesgo normativo y reputacional, puede garantizar que su empresa siga siendo competitiva, proporcionar una cultura integrada para todos los empleados, conducir a una mejor toma de decisiones y garantizar la sostenibilidad a largo plazo.
Según la reciente 15. ª Encuesta Global sobre Fraude de EY,
- El 97 % de los 2550 encuestados reconocen que es importante que su organizaciónopere con integridad.
- El 43 % de los encuestados cree que los cambios en el entorno normativo suponen el mayor riesgo parasu negocio.
- El 36 % de los encuestados consideraba que el fraude y la corrupción suponen el mayor riesgo para su negocio.
Tipos de cumplimiento normativo en las empresas: cumplimiento normativo interno y externo de la empresa.
El cumplimiento externo comprende las leyes y normativas que un gobierno dicta sobre cómo debe una organización llevar a cabo sus operaciones. Un ejemplo de ello sería si una empresa perdiera la información personal de clientes de la UE: tendría que revelar esa violación en un plazo de 72 horas, de acuerdo con el Reglamento General de Protección de Datos (RGPD).
El cumplimiento interno es la forma en que una empresa cumple con estas leyes. Los responsables del cumplimiento, normalmente un responsable de cumplimiento o varios si la empresa es grande, diseñarán los programas de cumplimiento. A continuación, los empleados seguirán estas políticas internas.
¿Quién es el responsable?
El número de responsables de cumplimiento normativo en una organización depende de su tamaño y necesidades. Un responsable de cumplimiento normativo empresarial es un empleado cuya función es garantizar que la empresa cumpla tanto con los requisitos normativos y legales externos como con las políticas y procedimientos internos. Por lo general, el departamento de cumplimiento normativo está dirigido por el director de cumplimiento normativo.
Los responsables de cumplimiento normativo colaboran con la dirección y los empleados para determinar los riesgos y garantizar que la organización cuente con controles internos suficientes para gestionar cualquier tipo de riesgo de cumplimiento normativo al que se enfrente. En caso de incumplimiento, el responsable de cumplimiento normativo debe aplicar medidas disciplinarias para evitar posibles reincidencias.
Las funciones pueden incluir la revisión y el establecimiento de normas para las comunicaciones externas (por ejemplo, los correos electrónicos pueden requerir avisos legales o las instalaciones pueden necesitar una inspección para cumplir con los requisitos de seguridad). Pueden dirigir auditorías internas, diseñar políticas internas para mitigar el riesgo de que la empresa incumpla la normativa y diseñar planes de contingencia en caso de incumplimiento normativo.
Para desempeñar eficazmente estas funciones, los responsables de cumplimiento normativo deben tener un conocimiento detallado de la empresa y sus operaciones, y ser conscientes de dónde pueden producirse incumplimientos normativos. Los principios éticos fundamentales deben comunicarse de manera eficaz y los cambios y actualizaciones normativos deben transmitirse periódicamente a toda la organización, especialmente dado que estos cambios normativos y de políticas son continuos.
¿Más allá del responsable de cumplimiento normativo de la empresa?
Más allá de los responsables de cumplimiento normativo, los altos ejecutivos, los miembros del consejo de administración y la dirección son todos responsables, al igual que, en menor medida, todos los empleados. Comprender el panorama general completo de cómo funciona el cumplimiento normativo en una empresa puede ayudar a evitar confusiones.
La junta directiva desempeña un papel importante, ya que su reputación personal y la de otras empresas que supervisan también pueden verse afectadas por un cumplimiento deficiente.
El equipo directivo debe comunicar claramente todas las expectativas y los valores de la empresa en materia de cumplimiento.
Aquí entran en juego la transparencia y la formación: desde la formación hasta la celebración de asambleas públicas, es fundamental que todos los empleados conozcan claramente los estándares de rendimiento, los objetivos y los criterios de evaluación. Sobre esta base, se pueden incorporar consecuencias y recompensas al marco.
Más allá de las partes interesadas internas, el cumplimiento también debe ser claro para las fuerzas externas, como los reguladores, los accionistas, los medios de comunicación y los socios comerciales. La transparencia puede llevar a estos grupos a generar confianza en la organización, especialmente en lo que respecta a los fundamentos éticos de la empresa. Comprender cómo se inculcan y se aplican estos principios éticos puede hacer que muchos grupos externos se conviertan en defensores de su empresa.
Las diferentes culturas, países e incluso estados pueden tener ideas diferentes sobre el cumplimiento normativo. En Estados Unidos, los estados tienen diferentes normativas y directrices, e incluso las ciudades y los condados pueden añadir sus propios requisitos.
¿Cuáles son algunas de las regulaciones que afectan al cumplimiento normativo de las empresas?
Existen diversos tipos de auditorías de cumplimiento, en función de los distintos requisitos, pero a continuación se indican algunas de las normativas más comunes.
CCPA
La Ley de Privacidad del Consumidor de California entró en vigor el 1 de enero de 2020. Su objetivo es proteger los derechos de los consumidores y fomentar una mayor transparencia y protección de la privacidad en lo que respecta a su información personal. En virtud de esta ley, los californianos tienen derecho a saber qué datos personales se recopilan, si se comparten, con quién se comparten, y pueden optar por no permitir la venta de sus datos.
Más información sobre el cumplimiento de la CCPA →
GDPR
El Reglamento General de Protección de Datos de la UE entró en vigor en mayo de 2018 y protege la privacidad de los datos de los ciudadanos de la UE. Sin embargo, esta normativa de cumplimiento se aplica a cualquier empresa que procese los datos de ciudadanos europeos, incluso si se encuentran en otros lugares.
Más información sobre el cumplimiento del RGPD →
Ley Sarbanes-Oxley (SOX)
El Gobierno de los Estados Unidos aprobó esta ley federal en 2002 con el fin de establecer normas de auditoría y financieras para las empresas públicas. La legislación tiene por objeto proteger a los accionistas, los empleados y el público en general frente a informes financieros inexactos y errores contables. Aunque regula principalmente a las empresas que cotizan en bolsa, algunas disposiciones se aplican también a las organizaciones privadas y sin ánimo de lucro.
Más información sobre el cumplimiento de la ley SOX →
SOC 2
Una auditoría de cumplimiento definida por el Instituto Americano de Contadores Públicos Certificados, que se aplica a cualquier empresa que almacene o procese datos de clientes en la nube. (Como las empresas SaaS). Hay dos tipos: SOC 2 tipo I se lleva a cabo en un momento determinado, mientras que SOC 2 tipo II generalmente se realiza durante un período de tiempo, que abarca 6 meses la primera vez y un año a partir de entonces.
Infórmese sobre las obligaciones de cumplimiento normativo, como SOC 2 →
ISO 27001
Parte de la serie ISO o IEC 27K, se trata de una norma de cumplimiento de seguridad de la información que ayuda a las empresas a gestionar la seguridad de los activos de datos. Esto puede incluir datos de empleados o de terceros, información financiera y propiedad intelectual.
Cumplimiento normativo específico del sector
Existen varias normativas de cumplimiento específicas del sector, entre las que se incluyen:
HIPAA
También conocida como Ley de Portabilidad y Responsabilidad del Seguro Médico, la HIPAA fue aprobada en 1996 por el Departamento de Salud y Servicios Humanos de los Estados Unidos para el sector sanitario. Protege la información médica de los pacientes.
FINRA
También conocida como la Autoridad Reguladora de la Industria Financiera, la FINRA es una organización independiente y no gubernamental que redacta y aplica normativas para la industria financiera. Su objetivo es proteger a los inversores contra el fraude, y se aplica a los corredores y empresas de corretaje registrados por el gobierno en los Estados Unidos.
Mejores prácticas en la gestión del riesgo de cumplimiento normativo empresarial
¿Cuáles son los pasos adecuados que se deben seguir para garantizar el cumplimiento normativo de la empresa y cuáles son algunas de las soluciones tecnológicas disponibles?
Gestión de contenidos empresariales
Al centralizar los datos y documentos en un repositorio seguro donde se puede gestionar el acceso y garantizar la caducidad obligatoria de los datos, la gran cantidad de información recopilada por una organización moderna se puede gestionar de manera eficaz, cumpliendo con las crecientes leyes de privacidad de datos.
Gestión de políticas digitales
La redacción, distribución y obtención de certificaciones de las actualizaciones de políticas y procedimientos clave es una tarea demasiado compleja como para llevarla a cabo mediante procesos manuales tradicionales. Con el aumento del teletrabajo y la necesidad de adaptarse rápidamente a las fuerzas del mercado o a las perturbaciones, las organizaciones están recurriendo a soluciones automatizadas de gestión de políticas para agilizar estos procesos y reducir los costes.
Automatización de procesos
Mediante el uso de herramientas de automatización de procesos, el cumplimiento normativo puede integrarse literalmente en los flujos de trabajo y los procesos operativos de toda la organización. Estas soluciones también proporcionan una supervisión descendente de todos los procesos, lo que ayuda a optimizar el rendimiento y a mitigar los riesgos de forma proactiva.
Detección de TI en la sombra
Las organizaciones dependen cada vez más de activos informáticos para usuarios finales (EUC), como hojas de cálculo, pero estos quedan fuera del control directo del departamento de TI y pueden plantear diversos riesgos. Con el aumento del número de trabajadores remotos, se trata de un problema cada vez más grave, por lo que las empresas deben identificar, evaluar y supervisar estos activos informáticos «en la sombra».
Gestión de riesgos de proveedores
Para proteger su organización, ya no basta con gestionar los riesgos internos. En virtud de numerosas normativas, usted también es responsable de las infracciones cometidas por sus proveedores y distribuidores. Por lo tanto, es fundamental supervisar y mitigar cualquier riesgo que pueda generar su red de proveedores antes de que afecte a su reputación y a sus resultados.
