Obteniendo los máximos beneficios del cumplimiento legal

Generalmente se le resta importancia al tema del cumplimiento legal, bajo la presión de la globalización, la liberalización de los mercados locales y la creciente competitividad. Martin McGuinness presenta los beneficios de integrarlo con la gestión de riesgos y la gestión de los procesos.

Conocer las reglas de juego y obedecerlas es lo que se entiende por cumplimiento legal. Conocer que hay reglas y que hay penalidades por no cumplirlas, da origen a riesgos en los negocios, los que provienen del ambiente donde la organización opera y de los objetivos que se establece a sí misma. Estos riesgos son, entonces, el resultado directo de las actividades dentro de ese ambiente.  

Estos riesgos están directamente relacionados con los objetivos organizacionales y el deseo de correr riesgos en el mercado, lo que lleva al desarrollo de indicadores clave y, a nivel de actividades, a indicadores de desempeño. En el ambiente actual, los riesgos provienen de una cantidad de requisitos legales en continuo aumento. Cada uno de ellos establece sus propias reglas y, a su vez, constituye un foco de interés a partes interesadas individuales. La gestión de esta gran variedad de relaciones requiere el desarrollo de un sistema de control interno, diseñado para asegurar:

  • la eficacia y eficiencia de las operaciones
  • la confiabilidad de los reportes de la empresa
  • cumplimiento con las leyes y regulaciones aplicables.

El cumplimiento legal, por lo tanto, requiere que la organización tenga conocimiento de la legislación pertinente y conozca los riesgos más importantes que enfrenta. Ignorar las leyes no es una excusa. Partes interesadas no son solamente los directores de una empresa, quienes serán los últimos responsables por el no cumplimiento, y los varios reguladores, que quieren saber si sus reglas están siendo implementadas, sino que también lo son los inversores financieros, los socios y las empresas de seguro. En realidad, todas las partes interesadas desean saber que sus inversiones, obligaciones y otros intereses probablemente no serán afectadas por las actividades potencialmente negligentes de la organización.

Logrando el cumplimiento legal

Con el foco de asegurar que la reputación de una organización se mantiene intacta, ¿cómo se autoprotege de no cumplimientos y asegura que ha cumplido, y seguirá cumpliendo, con las reglas de juego?. El caso de una organización que cumple con los requisitos legales permite inferir que tiene disponible información pertinente y verificada que demuestra el logro de los objetivos legales y del negocio. Esto requiere la existencia de un sistema de gestión de la información que asegure que la información es apropiada, actualizada, exacta, accesible y está disponible cuando se la necesita.

Para saber si continúa cumpliendo con los requisitos legales, la organización necesita tener personal competente operando en el marco de políticas y procesos definidos que están produciendo las evidencias necesarias. Además, actividades de auto-evaluación y de verificación independiente serán incorporadas en los procesos, dentro de un programa que también se encuentra sujeto a evaluaciones formales en forma continua. Un cumplimiento permanente a largo plazo requiere de una operación inteligente que permita a la organización reaccionar rápidamente ante cambios en el mercado, identificar las actividades afectadas y encarar rápidamente nuevos riesgos que surjan del ambiente operativo. Esto requiere el desarrollo de políticas claras, procesos y los controles subsecuentes. Los tipos de control implementados variarán según sea el tamaño, la complejidad y el ambiente en que opera la organización, y pueden tomar cualquiera de las siguientes formas:

  • revisiones por la alta dirección del cumplimiento de los objetivos organizacionales, factores críticos de éxito e indicadores clave de desempeño
  • gestión funcional o por actividades, auto-evaluaciones e informes haciendo uso de indicadores de desempeño de los procesos
  • evaluación de sistemas de control de la información para asegurar la seguridad y accesibilidad requeridas de la información
  • segregación de obligaciones para actividades críticas

Riesgos, reglas y procesos

El riesgo en los negocios es una consecuencia directa de toda actividad dentro del mercado seleccionado por la organización. Cuando menos actividades se realicen, menor es la exposición al riesgo. Las actividades de una organización están siempre definidas dentro de sus procesos de negocio y, por lo tanto, su importancia no debería ser subestimada dentro del contexto de la gestión del cumplimiento. Sin procesos bien definidos y aplicados consistentemente, toda organización estaría expuesta a los riesgos del no cumplimiento legal, lo que en el mercado actual puede significar la pérdida de reputación, ingresos y menor valor de las acciones.  

Procesos adecuadamente definidos son importantes en el logro de los objetivos de la organización, en el cumplimiento de la visión a largo plazo y para asegurar una aplicación consistente de la misión. También constituyen el medio por el cual la organización realiza las actividades necesarias para demostrar el cumplimiento con las reglas que les han sido impuestas, de origen tanto interno como externo; por ejemplo: directivas de la Unión Europea (EU), legislación nacional y diferentes normas de productos y servicios.

Además, los procesos proporcionan el propósito y razón de ser a individuos dentro de la organización al definir en detalle sus roles y responsabilidades dentro de los procesos. La clarificación de los roles constituye una demostración clara de la división de responsabilidades requeridas por la legislación internacional, tales como la Sarbanes-Oxley. Estos roles y responsabilidades también  describen las interacciones entre individuos y grupos, permitiendo una comprensión más clara de ciclo de relaciones internas con los clientes. El desarrollo de procesos de negocio definidos que cumplen con los requisitos legales también satisface el requisito legal de proporcionar información a los empleados para realizar sus actividades dentro de un ambiente de riesgo aceptable. Finalmente, los procesos son los que permiten gestionar la información y el conocimiento, al describir su ubicación y manipuleo y al guiar exactamente a los usuarios hacia donde se encuentran almacenados.

Logrando una integración verdadera

Con el fin de integrar reglas, riesgos y procesos de negocio, el conjunto de reglas aplicables a una organización deben ser definidas para poder determinar qué políticas se requieren y dónde, dentro de los procesos, deben estar diseñadas las actividades necesarias para asegurar el cumplimiento legal. Se debe recordar que, muchas veces, procesos individuales pueden demostrar el cumplimento con varios requisitos legales diferentes, por lo que la relación entre requisitos legales y procesos debe ser cuidadosamente mapeada. Adicionalmente, esto proporciona un camino claro para conocer dónde se conservan las evidencias de cumplimiento legal.

El siguiente paso consiste en un análisis crítico de los procesos de negocio de una organización para identificar los riesgos. Estos riesgos deberían ser considerados en elación a las actividades de mitigación, resultando en un riesgo residual aceptable. Una vez identificados, los riesgos deberían ser alineados no solamente con las actividades sino que también con la requisito legal que le dio origen, para poder demostrar que los requisitos fueron considerados en forma completa.  

De acuerdo con el Instituto de Gestión de Riesgos (Institute of Risk Management): “Este proceso permite mapear los riesgos con el área de negocio afectado, describe los procedimientos de control primario implementados e indican áreas donde se deben aumentar, disminuir o re-direccionar las inversiones necesarias para el control del nivel de riesgos”. El mapeo de los procesos, el alineamiento de esos procesos con los requisitos legales y la identificación de riesgos con  las actividades dentro de los procesos, satisface un conjunto de requisitos, tanto legales como de los negocios, y eleva a un nivel alto de relevancia al tema de sistemas de gestión integrados.

Todos los niveles de una organización se benefician de este enfoque, ya que proporciona una línea clara de relación entre la misión, la visión y el rol individual en el logro de los objetivos de la organización. Dentro del contexto del cumplimiento legal, pasado, presente y futuro, este enfoque proporciona a la alta dirección y al personal que trabaja en temas de calidad, de salud y seguridad, de medioambiente y de operaciones, la satisfacción de poder asegurar la generación de información adecuada, con vínculos a controles claros sobre los distintos procesos.

También proporciona la integración a través de la multitud de requisitos, direcciona hacia las fuentes de información sobre el desempeño en relación a los objetivos y define la responsabilidad por actividades individuales en apoyo de esos objetivos, lo que asegura un desempeño consistente de las actividades del negocio. También proporciona la agilidad requerida para reaccionar ante cambios en el mercado.

Este enfoque crea una plataforma para la gestión y la comunicación del cambio, dentro de un ambiente regulatorio, y asegura el mapeo hacia la fuentes de evidencias definitivas en la forma de registros exactos, y auditables en cualquier momento.

También este enfoque direcciona a fuentes no solamente de conocimiento explícito sino también de conocimiento tácito, al identificar a las personas que tienen las calificaciones y experiencias requeridas, y quién puede proporcionar un análisis e interpretación confiable de la información producida como resultado del proceso. Esto es vitalmente importante en un mundo de requisitos cada vez más estrictos, que está siendo gestionado por cada vez menos personas con el conocimiento de las implicaciones a nivel gerencial respecto a la formación, retención y el aseguramiento continuo de las competencias.

 Dentro del contexto de la gestión de riesgos empresariales, este enfoque integrado proporciona a la alta dirección una clara visibilidad de los riesgos y su alineación con las actividades de la organización – asegurando de esa manera una clara identificación de los dueños de los riesgos. Asimismo, pone a los riegos y a las actividades en el contexto de la perspectiva legal local, nacional e internacional, y asegura que este contexto es gestionado acorde al deseo que tiene la organización de exponerse a los riesgos. De es a forma, la reducción de los riesgos es impulsada en forma proactiva por medio de procesos, más bien que esperando la confirmación de los auditores. Además, asegura que los riesgos son considerados a los niveles gerenciales más altos.

Todas las organizaciones deberían aspirar a acceder al estado de integración real, aunque no es poca cosa En el mundo de hoy, globalizado, con legislación nacional e internacional cada vez más estricta, mayor competitividad y expectativas de las partes interesadas cada vez mas exigentes, este enfoque constituye un desafío para la tradicional comunidad de la gestión de la calidad, seguridad y medioambiente.  

Las organizaciones deben ampliar su enfoque hacia el cumplimento legal y reconocer que las políticas y procesos que están impulsando pueden tener una aplicabilidad más amplia.  

Deben educarse ellos mismos en los aspectos globales de los negocios y en el cumplimento legal a nivel nacional e internacional. Deben aprender a lograr esta integración o sufrir las consecuencias cuando aparecen requisitos nuevos y el enfoque tradicional y estrecho, se traduce en el desarrollo de un sistema de gestión nuevo, que el negocio no quiere y, peor aún, ante recursos escasos, no puede implementar.

 

Sobre el autor

Martin McGuiness es un analista senior de negocios en BusinessPort. Para obtener mayor información, contacte a  martinm@business-port.net o visite la página web www.business-port.net