Gestión de riesgos y compliance: cómo gestionar el cumplimiento de forma eficaz
Gestión de riesgos y compliance son áreas que aunque avanzan de la mano, parecen entrar en conflicto. Esto es muy evidente en organizaciones en las que la Alta Dirección o los equipos de cumplimiento no tienen muy claro cuál es el alcance y para qué sirve cada una de ellas.
Gestión de riesgos y compliance mantienen una relación colaborativa e indispensable. Si no hay gestión de riesgos, no se puede garantizar el cumplimiento. Sin embargo, acoger solamente la gestión de riegos no asegura que se cumpla con todas las obligaciones.
Visto desde otro punto, compliance necesita de la gestión de riesgos. Pero esta última puede operar aun cuando el cumplimento no sea una prioridad para la organización. ¿Cómo se entiende? Es por ello que es importante conocer y entender las diferencias y las similitudes, y la forma en que colaboran mutuamente gestión de riesgos y compliance.
Gestión de riesgos y compliance – Diferencias
Hay un objetivo común: crear un marco de tranquilidad y transparencia que facilite el logro de los objetivos y el crecimiento de la organización. Para que esto sea así, es preciso contar con los dos: gestión de riesgos y compliance.
¿Cómo se produce la relación entre estas dos áreas? Analicemos las diferencias entre gestión de riesgos y compliance en la siguiente comparativa, con base en cuatro aspectos esenciales:
|
Gestión de Riesgos |
Compliance |
Táctica Vs Estrategia |
Su soporte son la evaluación y el análisis. Con base en ello se adoptan “estrategias” para eliminar o mitigar el impacto negativo de un evento. Es, por lo tanto, en esencia estratégica. |
Reconociendo la importancia de la gestión de cumplimiento es interesante que esta se base en listas de verificación en las que se define si se cumple o no con las obligaciones. Por tanto, es considerada una tarea táctica. |
Prescrito Vs Predicción |
Por su misma naturaleza, la Gestión de Riesgos es un área predictiva antes que reactiva. Se basa en cierto modo en la especulación. Especulación basada en cifras, datos e información, pero igualmente es un ejercicio de predicción. |
La Gestión de Compliance trabaja para que se cumplan unas obligaciones ya prescritas. Es decir, ya establecidas, reales, operativas y actuales. Aunque puede haber lugar para la anticipación, en modo alguno lo habrá para la predicción. |
Aversión al Riesgo Vs Creación de Valor |
Gestión de Riesgos y “oportunidades” tiene la capacidad de reconocer el peligro, pero también los espacios comerciales generadores de valor o de transformar un escenario de incertidumbre en un espacio proclive al logro de objetivos comerciales. |
Los beneficios del cumplimiento son evidentes. Sin embargo, es claro que depende de la gestión de riegos y, eventualmente, preferirá la seguridad sobre la consideración de aprovechar una oportunidad de negocio que requiera dejar de cumplir una norma. |
Silos Vs Integración |
Gestión de Riesgos es un trabajo de equipo que necesita llegar a todas las áreas de la organización e involucrar otros Sistemas como Calidad, SST o Seguridad de la Información, incluyendo Compliance, por supuesto. La integración es entonces un requisito para su efectividad. |
La Gestión de Compliance usualmente es una iniciativa desarrollada desde la oficina del Oficial de Cumplimiento sin requerir el apoyo o la aprobación de otros departamentos. Aunque no es lo ideal, es necesario reconocer que puede funcionar como un silo. |
Ante este panorama, la coexistencia parece un poco difícil. Pero, curiosamente, no es así. Y no lo es porque gestión de riesgos y compliance guardan en cierto modo una relación de dependencia. No se concibe una sin la otra. Sin embargo, será preciso adoptar algunas prácticas que permitan obtener y potenciar los beneficios de cada una de ellas.
Gestión de Riesgos y Compliance – Mejores prácticas para la gestión
Con la proliferación de normas y reglas, que además se produce en un escenario siempre cambiante, las organizaciones necesitan de la Gestión de Cumplimiento. Pero no se puede garantizar el cumplimiento sin una eficaz tarea de Gestión de Riesgos.
Con las diferencias planteadas la cuestión es ¿cómo conciliar la gestión de riesgos con el cumplimiento? Estas buenas prácticas resultarán de mucha ayuda:
Determinar y conocer las obligaciones
Un error recurrente en el que caen muchas organizaciones es tener un programa de cumplimiento reactivo, que entra en funcionamiento sobre la marcha cuando aparecen las obligaciones en el camino.
Es un poco la diferencia entre un hombre que emprende un viaje y toma determinaciones con base en lo que va apareciendo en el camino: un lugar donde aprovisionarse de combustible, un restaurante, hospedaje… Otro hombre, por el contrario, revisa un mapa, establece las paradas con anticipación, determina si lleva alimentos o cuenta con lugares adecuados para adquirirlo, identifica servicios de emergencia…
La tarea es entonces determinar todas y cada una de las obligaciones que le son aplicables a la organización, pero también aquellas que podrían ser aplicables en un momento determinado, y, claro está, los riesgos que pueden afectar la capacidad de cumplimiento sobre ellas.
Definir áreas de interés
En algunos departamentos de la organización bastará con que el equipo de cumplimiento indique qué es preciso cumplir con una u otra regla. En otros, en tanto, las cosas no serán tan fáciles.
Y es en estas áreas de interés en las que resultará de especial importancia la gestión de riesgos. Pero antes de ello, es preciso identificarlas y definirlas con claridad.
Esto puede requerir la incorporación de herramientas tecnológicas específicas, diseñadas para lograr los objetivos de cumplimiento de forma fácil, ágil y oportuna, en colaboración, no en competencia, con la gestión de riesgos.
Adoptar una gestión de cumplimiento basada en el riesgo
Nuevas regulaciones aparecen cada día. Pero el escenario comercial, que también conlleva obligaciones de cumplimiento, es igualmente dinámico. Así es que un modelo reactivo resulta absolutamente improcedente.
Es por ello que, las organizaciones necesitan formas inteligentes de gestionar los riesgos de cumplimiento, apoyadas por supuesto por los profesionales en el área de gestión de riesgos. Pero también se necesitan herramientas tecnológicas que faciliten la integración y aseguren el cumplimiento en todas las áreas de la organización y en todos los niveles.
Implementar una estrategia única de cumplimiento
Así, la organización podrá identificar tendencias y hacer del programa de cumplimiento una ventaja competitiva. La gestión de riesgos no es única. Como ya lo hemos advertido, se enfoca en diferentes áreas y se adapta a las necesidades de cada una de ellas. El cumplimiento, por el contrario, es único. Se cumple o no, y eso requiere un enfoque único.
Aprovechar la tecnología
Incorporar tecnología al Sistema de Gestión de Cumplimiento puede ser el factor determinante para garantizar el logro de los objetivos. Un programa de cumplimiento que necesite mantenerse a la vanguardia necesitará herramientas tecnológicas apropiadas para ese propósito. Una de ellas es la que mencionamos en nuestro apartado final.
Software ISO 37301/19600 de ISOTools
La integración requerida entre la Gestión de Riesgos y Compliance requiere implementar mecanismos de monitoreo y revisión que pueden resultar extenuantes para el equipo de cumplimiento. La automatización de los Sistemas de Gestión de Cumplimiento se convierte en una necesidad.
Muchas organizaciones, que basaron sus programas de cumplimiento en el estándar ISO 19600, aprovecharon las funcionalidades del Software ISO 37301/19600 de ISOTools.
Hoy, esta avanzada herramienta tecnológica se ajusta a los requisitos del nuevo estándar de cumplimiento ISO 37301. ¿Cómo puede esta solución asegurar el cumplimiento en su organización? Conózcalo aquí.