Skip to main content
main content, press tab to continue
Artículo

¿El palíndromo entre la Continuidad y el Cumplimiento?

Por Jorge Mario Gómez Jaramillo | Julio 13, 2021

No es lo mismo la Continuidad del Cumplimiento, que el Cumplimiento de la Continuidad ¡Sin embargo ambos son importantes para la Sostenibilidad Empresarial!
Risk and Analytics|Cyber Risk Management|Property Risk and Insurance Solutions
N/A

Como marco fundamental, el gobierno, el riesgo y el cumplimiento son factores importantes para los líderes empresariales, pero lo verdaderamente importante no es lo punible. En esta línea de pensamiento lo verdaderamente importante es la externalidad de hacer siempre “lo correcto” en cumplimiento, y entiéndase por ello la ética que genera responsabilidad. Sin embargo, la pregunta que nos acecha seria: ¿Qué es lo correcto?

Escribir más de lo técnico y obvio en materia de continuidad y cumplimiento no es el fin de estas reflexiones, que surgieron durante la preparación de una conferencia, donde estaban interesados en escuchar acerca de la Continuidad. Para responder esta incógnita, repasemos estas dos perspectivas:

La continuidad del cumplimiento

Es evidente que a menudo las empresas se centran en la continuidad operativa, financiera y en el servicio de cara al cliente, con un sesgo considerable hacia las actividades generadoras de ingresos del negocio. Sin embargo, como auditor y consultor desde hace más de quince años y entrenador del Disaster Recovery Institute (DRI) podría decir, sin temor a equivocarme, que se pueden ver a menudo sistemas de cumplimiento y riesgo sin prioridad dentro del plan de continuidad del negocio. En este orden de ideas es muy importante tener claridad que las reglas impartidas por los reguladores están escritas para ser cumplidas, independientemente de la interrupción que estén enfrentando las empresas, aun incluyendo situaciones como el COVID19. De ahí la importancia de involucrar dentro de los Análisis de Impacto al Negocio (BIA) una valoración al impacto regulatorio y contractual.

El cumplimiento de la continuidad

A pesar de la abundancia de estándares y buenas prácticas orientadas a que la planificación de la continuidad del negocio (BCP) y la recuperación ante desastres (DRP) son un requisito ineludible de las organizaciones, el cumplimiento de los requisitos evaluados se ve empañado por un juego de palabras con un poderoso mensaje: “el cumplo-miento”.

Como regla general, para probar el cumplimiento de BCP/DRP dentro de una organización, se debe crear un equipo de auditores internos calificados y con buenos conocimientos, que reporte al Comité de Auditoría y Riesgos, diferente al que informa el Comité de Continuidad del Negocio. Este equipo de auditores internos debe realizar pruebas para garantizar que el plan y el proceso de BCP cumplan con los requisitos de cumplimiento que se analizan. Todo ello debe generar cumplimiento regulatorio, mayor eficiencia, reputación y competitividad organizacional, reconocimiento internacional, mejorar la gestión de procesos, estimulo en la moral de los empleados y mejora en los niveles más altos de satisfacción del cliente.

Conclusiones

  1. La continuidad de negocio es una disciplina clave, que permite crear y mejorar la resiliencia organizacional y, como metodología comprobada, evoluciona y potencia la gestión integral de riesgos.
  2. La gestión de la continuidad de negocio permite identificar las prioridades de la organización y, entre ellas, todo lo relacionado con GRC, vinculado a la sostenibilidad empresarial para de este modo preparar estrategias y/o soluciones que permitan responder ante riesgos que puedan generar una posible interrupción.
  3. Este entendimiento respalda el diseño y la implementación de planes, cuyos objetivos serán el de proteger y dar continuidad en caso de una disrupción a todas las operaciones prioritarias de la organización.
  4. Para lograr una buena priorización de las operaciones, es recomendable que, a la luz del criterio de GIR, involucren los impactos relacionados con la pérdida de valor, las interrupciones en las operaciones y/o servicios, la afectación reputacional y el cumplimiento regulatorio/contractual. De este modo se garantiza la continuidad del cumplimiento.
  5. En caso de una posible contratación de la función del Oficial de cumplimiento – SAGRILAFT (Sistema de Autocontrol y Gestión del Riesgo de Lavado de Activos y Financiación del Terrorismo), es menester la preparación de un registro de riesgos con causas, consecuencias y responsabilidades en cada uno de los riesgos. Posteriormente, al contrato se debe adjuntar el registro, junto con los debidos controles para cada uno de los riesgos.
  6. Por último, en caso de que ya exista un plan de continuidad del negocio, es conveniente establecer y/o fortalecer la buena práctica y las capacidades para que el área de auditoría se integre y vele por la eficacia de la gestión de la continuidad y garantice el cumplimiento de la continuidad.
  7. Al respecto cabe recordar las tres líneas del Global IIA (Instituto de Auditores Internos), 2020: La primera conformada por los responsables de las áreas, la segunda conformada por las funciones de soporte relacionadas con el cumplimiento y la gestión de riesgos y continuidad, y en la tercera, la función de aseguramiento independiente realizada por la Auditoria Interna, la cual debería velar por la efectividad de las dos primeras líneas y servir de asesor u orientador.

Bibliografía

  • END-ISO 22300:2020 – Seguridad y resiliencia. Vocabulario
  • GTC-ISO 22313:2020 – Seguridad y resiliencia. Sistemas de gestión de continuidad de negocio. Orientación sobre el uso de la NTC-ISO 22301
  • NTC-ISO 22301:2019 – Seguridad y resiliencia. Sistemas de gestión de continuidad de negocio. Requisitos
  • NTC-ISO 31000:2018 – Gestión del Riesgo – Directrices
  • Global IIA:2020 – El modelo de las tres líneas, una actualización de las tres líneas de defensa
Author

Gerente de riesgos y continuidad
Willis Towers Watson Consultores | Colombia

Gerente de Riesgos y Continuidad de Willis Towers Watson Consultores Colombia, con más de 30 años en el sector asegurador en materia de Consultoría en Gestión de Riesgos, Continuidad y Crisis aplicado a Empresas, Proyectos y otros ámbitos de aplicación. Ingeniero Civil de la Universidad EIA con Posgrados en Mercadeo y en Riesgos y Seguros de la Universidad EAFIT, Magister en Dirección de Proyectos de la Universidad Villa del Mar, Certificado en: Master Business Continuity Professional (MBCP), ISO 31000 Risk Manager (PECB), Auditor Líder BS25999-2 del BSI (transición ISO 22301), Asesor en BCMM (Nivel de Madurez de la Continuidad), Auditor Líder de ISO 28000 y Auditor Líder de ISO 28001 / OEA, Advanced Corporate Risk & Crisis Management, y Change Management Consultant.


Contact us