Las TI como facilitadores del cumplimiento de la regulación
El CIO debe desarrollar una estrategia global de respeto de la legislación
Cumplir con las numerosas normativas que han ido surgiendo en todo el mundo es uno de los retos principales a los que se enfrentan las organizaciones en la actualidad. La labor del CIO y del departamento de TI es clave para ayudar en esta ardua tarea de mejorar la gestión del riesgo y vigilar globalmente el respeto a dichas regulaciones.
El papel de las Tecnologías de la Información y de su máximo responsable en las organizaciones, el CIO, se ha ido incrementando al tiempo que lo ha ido haciendo también la necesidad de las compañías de cumplir con la regulación, cada vez más abundante. En este sentido, al igual que las áreas de las empresas responsables de la gestión del riesgo y del cumplimiento de la normativa han incrementado su papel en los últimos tiempos, se ha producido un proceso similar en el ámbito de las TI, en especial, tras la aprobación de la Ley Sarbanes-Oxley (SOX), a la que han seguido muchas otras en todos los países. Ahora el departamento de TI y su director comparten la responsabilidad de mejorar el cumplimiento de la regulación de sus empresas. Es el departamento mejor posicionado para ello.
Un vistazo al paisaje normativo
Es más fácil entender cómo está evolucionando el papel de las TI en este sentido si se tiene una visión completa del paisaje normativo. Cada compañía debe seguir unas reglas y normativas que pueden variar según la industria, la geografía, el tamaño y otros factores; incluso estas normativas pueden haber sido autoimpuestas por éstas para mejorar su eficacia operativa. Históricamente, este tipo de normativas se ha centrado en asuntos económicos o medioambientales, o como respuesta a un problema particular. Así, era el área financiera la que se encargaba de ejecutar éstas y vigilarlas a través de hojas de cálculo y otros medios manuales.
Sin embargo, conforme el entorno legislativo ha ido cambiando y haciéndose más complejo, también ha aparecido la necesidad de realizar controles automatizados y repetitivos alrededor de los clásicos parámetros de información para el cumplimiento de normativas: controles internos sobre informes financieros, controles para proteger y administrar el uso de información personal, protección de la propiedad intelectual, administración de registros y reglas para e-discovery. Es más, la globalización está obligando a establecer normas cuya aplicación es mundial: la SOX en Estados Unidos ha producido una legislación similar en Japón, Canadá, Australia, Francia, Italia y Holanda. Asimismo, la incursión de la Autoridad de Servicios Financieros del Reino Unido en las normativas sobre beneficios ha despertado un interés similar en otros países.
El riesgo legal y las implicaciones de no cumplir con la normativa también están creciendo, y sus consecuencias pueden ser catastróficas: desde multas significativas o daños irreparables al nombre y la reputación de la compañía hasta penas de prisión para los ejecutivos. La información en sí misma se ha convertido en un bien regulado, con criterios específicos para su protección, privacidad, uso y retención. Los cambios en las normas que tienen que ver con la retención de documentos están complicando a las compañías llevándoles a ejercer una defensa legal efectiva. Además, el no cumplimiento de la normativa vigente puede generar ineficiencia en los procesos.
La típica organización responde al cumplimiento de normativas a través de diversas áreas con un enfoque global, aunque los departamentos de recursos humanos, seguridad, finanzas, legalidad, riesgos, auditoría interna y otros se ocupen de las normativas de manera diferente. Los accionistas cada vez se muestran más expectantes ante este tipo de problemas cada vez más mayores y que afectan a más áreas de la empresa. No sólo quieren una administración efectiva a la hora de cumplir con las normativas sobre riesgos y transparencia en sus estrategias, sino también unos dividendos razonables de las inversiones significativas que han hecho en Tecnologías de la Información.
Estrategia integral
El CIO proactivo puede aprovechar las utilidades de las TI para ayudar a conseguir un cumplimiento considerable de la normativa, a base de diseñar e implementar un programa convergente, efectivo e integral con componentes que permitan alinear y coordinar las funciones, los procesos y las actividades con dicha normativa, así como ofrecer un control y una cobertura de riesgos adecuada. Sin embargo, esto es más fácil de decir que de hacer.
Según uno de los estudios de Ernst & Young sobre seguridad mundial de los sistemas de información, centrado en este caso en el sector financiero, un ámbito muy habituado a operar con normativas estrictas, apuntaba que éste aún se encuentra en las primeras fases en lo que respecta a este proceso de convergencia en pro del cumplimiento de la regulación. El informe también señala que aunque mejorar la eficacia y reducir gastos son objetivos comunes para los encuestados, sigue siendo fuerte la tendencia natural de las empresas a construir infraestructuras aisladas, lo que es un error. También se observa una resistencia natural de los empleados a cambiar su forma de trabajar, particularmente en aquellas áreas altamente sensibles como la gestión de riesgos y el cumplimiento de normativas.
Las TI facilitan la convergencia
Así las cosas, ¿quién puede ayudar al cumplimiento de la regulación en las organizaciones? Con tantos intereses, funciones y entidades intentando cumplir con las normativas y convergiendo a la vez en este proceso, intencionadamente o no, no es demasiado complicado prever que son varios los conflictos que se pueden producir en estas organizaciones, también pueden darse redundancias en sus procedimientos, etc.
Además, si se observa que la información es el denominador común de este proceso, es fácil darse cuenta del papel que tendrá la administración de dicha información. Y esto conlleva un nuevo papel para el departamento de TI en general y para su CIO en particular.
Las empresas que lideran el mercado están centrando sus recursos en integrar mejor los esfuerzos para cumplir la normativa a lo largo y ancho de la organización como parte de las operaciones financieras y de su toma de decisiones de cada día. Compañías que en su momento hubieran invertido en programas de cumplimiento de normativas sólo porque era su obligación, ahora están empezando a hacerlo por su propia voluntad, al darse cuenta de las ventajas que supone el cumplimiento de normativa a través de la tecnología, pues así también mejoran sus procesos y rendimiento. Las impulsoras de esta nueva mentalidad y su principal procurador son las propias Tecnologías de la Información.
El departamento de TI es a menudo el más experto dentro de una compañía a la hora de facilitar mejoras significativas en procesos empresariales, debido a su papel instrumental en el cumplimiento de SOX, y en la implantación de ERP y de otros proyectos de transformación. Esto justifica que el CIO esté presente en el comité de dirección cuando su empresa planifica la estrategia de cumplimiento de normativas y se fijan los objetivos comerciales estratégicos. Una de las formas con las que este departamento puede ayudar es catalogando qué reglas, normativas y leyes afectan específicamente a la comp
El papel de las Tecnologías de la Información y de su máximo responsable en las organizaciones, el CIO, se ha ido incrementando al tiempo que lo ha ido haciendo también la necesidad de las compañías de cumplir con la regulación, cada vez más abundante. En este sentido, al igual que las áreas de las empresas responsables de la gestión del riesgo y del cumplimiento de la normativa han incrementado su papel en los últimos tiempos, se ha producido un proceso similar en el ámbito de las TI, en especial, tras la aprobación de la Ley Sarbanes-Oxley (SOX), a la que han seguido muchas otras en todos los países. Ahora el departamento de TI y su director comparten la responsabilidad de mejorar el cumplimiento de la regulación de sus empresas. Es el departamento mejor posicionado para ello.
Un vistazo al paisaje normativo
Es más fácil entender cómo está evolucionando el papel de las TI en este sentido si se tiene una visión completa del paisaje normativo. Cada compañía debe seguir unas reglas y normativas que pueden variar según la industria, la geografía, el tamaño y otros factores; incluso estas normativas pueden haber sido autoimpuestas por éstas para mejorar su eficacia operativa. Históricamente, este tipo de normativas se ha centrado en asuntos económicos o medioambientales, o como respuesta a un problema particular. Así, era el área financiera la que se encargaba de ejecutar éstas y vigilarlas a través de hojas de cálculo y otros medios manuales.
Sin embargo, conforme el entorno legislativo ha ido cambiando y haciéndose más complejo, también ha aparecido la necesidad de realizar controles automatizados y repetitivos alrededor de los clásicos parámetros de información para el cumplimiento de normativas: controles internos sobre informes financieros, controles para proteger y administrar el uso de información personal, protección de la propiedad intelectual, administración de registros y reglas para e-discovery. Es más, la globalización está obligando a establecer normas cuya aplicación es mundial: la SOX en Estados Unidos ha producido una legislación similar en Japón, Canadá, Australia, Francia, Italia y Holanda. Asimismo, la incursión de la Autoridad de Servicios Financieros del Reino Unido en las normativas sobre beneficios ha despertado un interés similar en otros países.
El riesgo legal y las implicaciones de no cumplir con la normativa también están creciendo, y sus consecuencias pueden ser catastróficas: desde multas significativas o daños irreparables al nombre y la reputación de la compañía hasta penas de prisión para los ejecutivos. La información en sí misma se ha convertido en un bien regulado, con criterios específicos para su protección, privacidad, uso y retención. Los cambios en las normas que tienen que ver con la retención de documentos están complicando a las compañías llevándoles a ejercer una defensa legal efectiva. Además, el no cumplimiento de la normativa vigente puede generar ineficiencia en los procesos.
La típica organización responde al cumplimiento de normativas a través de diversas áreas con un enfoque global, aunque los departamentos de recursos humanos, seguridad, finanzas, legalidad, riesgos, auditoría interna y otros se ocupen de las normativas de manera diferente. Los accionistas cada vez se muestran más expectantes ante este tipo de problemas cada vez más mayores y que afectan a más áreas de la empresa. No sólo quieren una administración efectiva a la hora de cumplir con las normativas sobre riesgos y transparencia en sus estrategias, sino también unos dividendos razonables de las inversiones significativas que han hecho en Tecnologías de la Información.
Estrategia integral
El CIO proactivo puede aprovechar las utilidades de las TI para ayudar a conseguir un cumplimiento considerable de la normativa, a base de diseñar e implementar un programa convergente, efectivo e integral con componentes que permitan alinear y coordinar las funciones, los procesos y las actividades con dicha normativa, así como ofrecer un control y una cobertura de riesgos adecuada. Sin embargo, esto es más fácil de decir que de hacer.
Según uno de los estudios de Ernst & Young sobre seguridad mundial de los sistemas de información, centrado en este caso en el sector financiero, un ámbito muy habituado a operar con normativas estrictas, apuntaba que éste aún se encuentra en las primeras fases en lo que respecta a este proceso de convergencia en pro del cumplimiento de la regulación. El informe también señala que aunque mejorar la eficacia y reducir gastos son objetivos comunes para los encuestados, sigue siendo fuerte la tendencia natural de las empresas a construir infraestructuras aisladas, lo que es un error. También se observa una resistencia natural de los empleados a cambiar su forma de trabajar, particularmente en aquellas áreas altamente sensibles como la gestión de riesgos y el cumplimiento de normativas.
Las TI facilitan la convergencia
Así las cosas, ¿quién puede ayudar al cumplimiento de la regulación en las organizaciones? Con tantos intereses, funciones y entidades intentando cumplir con las normativas y convergiendo a la vez en este proceso, intencionadamente o no, no es demasiado complicado prever que son varios los conflictos que se pueden producir en estas organizaciones, también pueden darse redundancias en sus procedimientos, etc.
Además, si se observa que la información es el denominador común de este proceso, es fácil darse cuenta del papel que tendrá la administración de dicha información. Y esto conlleva un nuevo papel para el departamento de TI en general y para su CIO en particular.
Las empresas que lideran el mercado están centrando sus recursos en integrar mejor los esfuerzos para cumplir la normativa a lo largo y ancho de la organización como parte de las operaciones financieras y de su toma de decisiones de cada día. Compañías que en su momento hubieran invertido en programas de cumplimiento de normativas sólo porque era su obligación, ahora están empezando a hacerlo por su propia voluntad, al darse cuenta de las ventajas que supone el cumplimiento de normativa a través de la tecnología, pues así también mejoran sus procesos y rendimiento. Las impulsoras de esta nueva mentalidad y su principal procurador son las propias Tecnologías de la Información.
El departamento de TI es a menudo el más experto dentro de una compañía a la hora de facilitar mejoras significativas en procesos empresariales, debido a su papel instrumental en el cumplimiento de SOX, y en la implantación de ERP y de otros proyectos de transformación. Esto justifica que el CIO esté presente en el comité de dirección cuando su empresa planifica la estrategia de cumplimiento de normativas y se fijan los objetivos comerciales estratégicos. Una de las formas con las que este departamento puede ayudar es catalogando qué reglas, normativas y leyes afectan específicamente a la comp
