domingo, 30 de septiembre de 2012

La inseguridad de la información: motivador de prácticas de cumplimiento empresarial


Introducción
Cada día con mayor frecuencia se habla de la palabra cumplimiento, como esa nueva práctica empresarial que busca asegurar el respeto y guarda de los procedimientos y aspectos normativos, de las “buenas costumbres” y comportamientos corporativos (éticos e íntegros) que permitan fortalecer una gestión transparente, efectiva y eficiente de las empresas. En este sentido, la función de cumplimiento es la que custodia la operación propia de la corporación, toda vez que ella deberá estar atenta y vigilante para que cualquier intento de alteración de “recto orden” corporativo sea identificado, intervenido y superado.

Esta tendencia nos advierte, que las empresas de clase mundial cada vez más se exigen así mismas niveles de aseguramiento empresarial, que encuentran en las personas y sus procesos el referente natural para que la ejecución de sus actividades, de cara al logro de los objetivos, no se desarrolle de cualquier forma, sino ajustada a las prácticas empresariales abiertas, éticas y transparentes.

En consecuencia con lo anterior y dada la realidad de los escándalos de corrupción que se han presentado a nivel internacional y nacional, se hace necesario insistir en la generación de una cultura que incorpore en su estructura de creencias y valores, estrategias que promuevan comportamientos ajustados a las buenas prácticas de reporte y control empresariales, que sean garantes de los procesos corporativos y responsables frente a los resultados globales de la compañía.

Atributos claves de la función de cumplimiento
Son varias las aproximaciones que se tienen frente a la función de cumplimiento o el oficial de cumplimiento corporativo (en inglés Chief Compliance Officer – CCO), que en una primera revisión, se advierte un tinte inquisitivo o acusador frente a la observancia de las regulaciones, como se describe en la definición del portal Searchcio:

“El Chief Compliance Officer (CCO) es un oficial corporativo a cargo de la supervisión y gestión de las cuestiones de cumplimiento dentro de una organización, asegurando, por ejemplo, que una empresa se ajusta a los requisitos legales y que, ella y sus empleados, están cumpliendo con las políticas y procedimientos internos.”

Esta definición nos presenta un ejecutivo empresarial que toma los referentes empresariales, valida su aplicación y reporta el nivel de observancia de los mismos para determinar las brechas y riesgos que se derivan de una ejecución limitada de aquellos. Esto es, el CCO desarrolla una función de monitoreo proactivo y preventivo que advierte una ejecución inadecuada de las prácticas, reporta las mismas y acompaña a las áreas analizadas, para superar su condición identificada y fortalecer así, el ejercicio de autocontrol que debe ser propio de los procesos y sus participantes.

De otra parte, VICENTE y DA SILVA (2011) acogiendo la definición de la OCEG establecen que:

El cumplimiento es la adherencia a, y la capacidad de demostrar la observancia de los mandatos, los requisitos definidos por la ley y los reglamentos, así como de los requisitos voluntarios, como resultado de las obligaciones contractuales y las políticas internas.

Esta declaración nos circunscribe a una figura legalista y de aseguramiento de compromisos con terceros, que no recaba en los insumos fundamentales requeridos para consolidar prácticas asociadas con los mandatos de obligatorio cumplimiento, como son la cultura y la anticipación de los riesgos que afecten la dinámica empresarial. En este sentido, al igual que la anterior definición, está ceñida a reportes de ejecución de controles definidos en la empresa que indican un nivel de aseguramiento de procesos y dan cuenta de las evidencias que revelan el estado de mitigación de los riesgos identificados.

Habida cuenta de lo previamente detallado, los autores GIRGENTI y HEDLEY (2011) establecen cinco atributos clave para desarrollar una efectiva función de cumplimiento:
  • Autoridad. Debe estar adecuadamente ubicada en la estructura organizacional con nivel de reporte que asegure su independencia e incorporación de prácticas que movilicen a la organización de un nivel de madurez a  otro.
  • Responsabilidad. Movilizar la ejecución del programa de cumplimiento y la implementación de la función, mientras trabaja con profesionales especializados en otras áreas, que atienden riesgos claves identificados y sus impactos.
  • Competencia. El responsable de la función de cumplimiento debe tener las credenciales adecuadas, experiencia y entrenamiento para lograr una adecuada ejecución de su papel.
  • Objetividad. El responsable de la función de cumplimiento deberá soportar las presiones organizacionales sobre situaciones particulares, para mantener el foco en el aseguramiento de las prácticas y en el reporte de sus hallazgos a la instancia correspondiente.
  • Recursos. Asegurar los recursos requeridos para la función, teniendo en consideración el tamaño de la organización y la naturaleza de sus riesgos.
Estos atributos nos indican que la función de cumplimiento, sin perjuicio del ejercicio permanente de monitoreo y control, deberá posicionar un estilo de reporte y seguimiento ejecutivo, concreto y medible, que establezca un referente de madurez, para así, en la interacción con las áreas de negocio pueda ver qué tanto hemos mejorado.

La función de cumplimiento y la seguridad de la información
Las actividades asociadas con la función de cumplimiento, tienen en su génesis, la búsqueda de condiciones de limitación o restricción que no nos permite reforzar comportamientos y prácticas que eleven el nivel de aseguramiento de una realidad organizacional. Esto es, como lo detalla DELOITTE (2012) en su informe, entender las prioridades del negocio y su modelo de generación de valor, para liberar a la organización de la cultura de los mínimos y movilizarla hacia la práctica de los máximos.

En este contexto, las funciones de cumplimiento se mantienen vigilantes al riesgo de no cumplimiento, que potencializan escenarios empresariales relacionados con sanciones, errores u omisiones, multas, entre otros y nos advierten, la aplicación sistemática de malas prácticas, que pueden terminar en incidentes que destruyan el valor de la empresa y la saquen de su ruta estratégica de mediano y largo plazo.

Si consideramos lo anteriormente planteado, leído en el contexto de la seguridad de la información, podemos anotar que el ejecutivo de seguridad de la información ejerce una función de cumplimiento, que requiere los cinco atributos claves mencionados (autoridad, responsabilidad, competencia, objetividad y recursos), para lograr la transformación de la empresa y elevar el nivel de resistencia a las fallas, con una respuesta conocida frente a situaciones de excepción.

Así las cosas, cuando en el desarrollo del programa de seguridad de la información nos anticipamos a los riesgos, construimos una cultura de protección y aseguramos la operación, estamos fundando las bases de una función de cumplimiento a nivel empresarial en toda su extensión, toda vez que estos elementos buscan fortalecer comportamientos, prácticas y acciones que custodien sus resultados, salvaguarden su reputación y sobre manera, le permitan predecir el futuro, haciendo que las cosas pasen.

La función de cumplimiento como fuente de buenas prácticas y como sistema de monitorización activo de las empresas, encuentra en la seguridad de la información, una instancia natural de ejecución, pues al ser parte inherente del sistema de control interno de las empresas, define recomendaciones y planes de acción que cumplen con las directrices corporativas y movilizan el colectivo empresarial, hacia una cultura de debido cuidado y responsabilidad en el tratamiento de la información.

La inseguridad de la información: riesgo de no cumplimiento
El riesgo de no cumplimiento lo podríamos entender como la incapacidad de una organización para prevenir, detectar, corregir y mantener el rastro de los riesgos actuales y/o emergentes, que afecten la operación empresarial y/o sus objetivos estratégicos de mediano y largo plazo. En este sentido, se hace necesario desarrollar una estrategia de tratamiento de dicho riesgo que permita, no solo revertir la inminencia de la materialización del mismo, sino promover la preparación y transformación de la organización para anticiparse o visualizar la situación sobreviniente.

Como quiera que los métodos de administración de riesgos establecen ciertas condiciones de ejecución, DELOITTE (2012) propone un método que busca asegurar una vista focalizada de tratamiento para el riesgo de no cumplimiento, siguiendo los estándares internacionales en los cuales considera aspectos como: contexto en el que ocurre, requerimientos o condiciones del riesgo, análisis del riesgo, priorización de acciones, evaluación de efectividad de controles, monitoreo, reporte y comunicación, que si bien brindan un enfoque que moviliza acciones concretas, no advierte la asimetría de la inevitabilidad de la falla, que se escapa al modelo causa-efecto propio de la administración de riesgos tradicional.

En este contexto, el riesgo de no cumplimiento, leído en clave de inseguridad de la información, exige desarrollar la competencia de ver desde las posibilidades de falla, las relaciones estructurales entre la tecnología, los procesos y las personas para condensar escenarios de potenciales amenazas que muestren acciones que anticipen situaciones de excepción, y no solamente adviertan el incumplimiento normativo inherente a los hechos, sino que construya la capacidad de pronóstico que le debe asistir, frente a su contexto de negocio y la responsabilidad frente a sus grupos de interés.

En este sentido, la inseguridad de la información es el concepto base desde donde se entiende el riesgo de no cumplimiento, como referente dual que nos invita a encontrar en la práctica cotidiana, patrones emergentes de malas prácticas que pueden erosionar con el tiempo la posición privilegiada de la empresa en un sector. Esto es, incubar un evento de mayor magnitud que siendo una amenaza predecible, pase desapercibido frente a los tableros de riesgos, toda vez que no se manifiesta de manera concreta ni advierte un peligro evidente.

Cuando entendemos el riesgo de no cumplimiento más allá de ajustarse a las condiciones normativas tanto interna como externas de una organización, le damos paso a una vista estructural y sistémica que nos permite entender y evidenciar las leyes ocultas de la economía, la psicología y el relacionamiento de su sector de negocio, potenciando sus habilidades para identificar disruptores o agentes no identificados que cambien la manera de hacer negocios en su propio sector. (BIRSHAN, M. y KAR, J. 2012)

Reflexiones finales
Reflexionar sobre la función de cumplimiento y su relación con las prácticas de seguridad de la información es redundar sobre las capacidades requeridas por una organización para diferenciarse de su competencia y asegurarse una posición privilegiada en su entorno de negocio. La función de cumplimiento exige de su ejecutivo principal quebrar el molde de la realidad circundante, para encontrar en la interconexión de procesos, conocimiento, tecnologías de información, herramientas y procesos tendencias emergentes que anticipen sus estrategias para avanzar en aquello donde es valioso para sus clientes y grupos de interés.

Si bien la función de cumplimiento está asociada con una vista reducida de sujeción al contexto normativo y promoción de una cultura de integridad y ética, es importante entender que dicha función debe comprender cómo la organización crea, captura y protege el valor, para que reforzando sus capacidades y sensores del entorno, pueda continuar satisfaciendo las necesidades de sus clientes, aún las mismas varíen a lo largo del tiempo.

En consecuencia y entendida la función de seguridad de la información como una aplicación natural del cumplimiento empresarial, se hace necesario caminar por los senderos de la inseguridad de la información como referente base para establecer la potencialidad de los riesgos de no cumplimiento, esto es, detectar los patrones futuros de las amenazas ambientales que permitan prepararla y responder a las mismas, desarrollando nuevas prácticas que generen oportunidades y factores desequilibrantes que cambien la realidad estratégica de la empresa y su entorno.

En línea con lo anterior y de manera complementaria, desarrollar la capacidad de anticipación de la empresa en términos de la inseguridad de la información, que permita identificar sinergias entre riesgos, incrementar la capacidad de monitorización, optimizar los recursos y gestiones operacionales que preparen a la empresa para actuar frente a situaciones inesperadas y se movilice de manera confiable, mientras es capaz de recuperarse frente a la falla total o parcial.

En conclusión y no menos importante, sintonizarse con la dinámica normal (actualidad) de la organización y sus flujos de información, para asegurar las prácticas de seguridad y control propias de los riesgos actuales del negocio y cómo, mantener la vista en el entendimiento constante de las relaciones propias entre las operaciones, los clientes, los procesos y las metas grandes y ambiciosas de la compañía, para ver allí como se contextualiza la inevitabilidad de la falla.

Finalmente, la función de cumplimiento como garante de la gerencia en el aseguramiento de la operación, el desarrollo de la cultura de aseguramiento y el pronóstico de nuevos escenarios de riesgos, encuentra en la seguridad de la información un aliado natural que busca, al igual que los temas de ética, seguridad industrial y reporte financiero, un espacio natural para promover cambios estructurales y alcanzar nuevos niveles de madurez en las relaciones entre personas, procesos y tecnología que vayan más allá de la adherencia a un referente normativo o informes de desviaciones de no cumplimiento.

Referencias
DELOITTE (2012) The Risk Intelligent Chief Compliance Officer. Champion of Risk Intelligent compliance. Disponible en: http://webserver2.deloitte.com.co/Doc%20ERS/No.24%20The%20Risk%20Intelligence%20Compliance%20Officer.pdf (Consultado: 29-09-2012)
VICENTE, P. y MIRA DA SILVA, M. (2011) A conceptual model for integrated governance, risk and compliance. En MOURATIDIS, H. y ROLLAND, C. (2011) Advanced Information Systems Engineering. Lecture Notes in Computer Science. Springer Verlag. Pp 199-213
GIRGENTI, R. y HEDLEY, T. (2011) Managing the risk of fraud and misconduct. Meeting the challenges of a global regulated, and digital environment. McGraw Hill.
BIRSHAN, M. y KAR, J. (2012) Becoming more strategic: three tips for any executive. Mckinsey Quarterly. Julio. Disponible en: http://www.mckinseyquarterly.com/
Definición de Chief Compliance Officer – CCO – Tomada de: http://searchcio.techtarget.com/definition/CCO

No hay comentarios:

Publicar un comentario