La importancia del cumplimiento normativo y las evaluaciones de riesgos

9 de marzo de 2018
Doug Barney
Cumplimiento de la normativa, Riesgos para terceros

El cumplimiento de la normativa es fundamental para muchos sectores. Finanzas, banca, sanidad... Prácticamente todas las empresas, al menos en Estados Unidos, a partir de cierto tamaño o de propiedad pública se enfrentan a normas de cumplimiento. Y con la llegada del GDPR el 25 de mayo y la aparición de nuevas normativas en todo el mundo, el cumplimiento es un problema en todo el mundo.

Las sanciones por infracciones pueden ser enormes, y el incumplimiento es prácticamente una alfombra de bienvenida para la ciberdelincuencia, con la consiguiente pérdida de reputación y desastre financiero.

Tanto si es un profesional de TI como un proveedor de servicios, no podrá elaborar un plan de cumplimiento a menos que conozca la situación actual de su empresa. Para ello, es necesaria una evaluación exhaustiva y rigurosa.

RapidFire Tools ., empresa que ofrece herramientas de evaluación del cumplimiento de la HIPAA,realizó una encuesta entrelos MSP sobre la utilidad de estas evaluaciones. La encuesta reveló que los proveedores de servicios utilizan estas evaluaciones para entablar conversaciones con nuevos clientes potenciales y, en última instancia, conseguir nuevos clientes. Uno de los MSP aumentó sus ingresos en más de 12 000 dólares al mes.

Según la Encuesta MSP de 2018 de Kaseya, el 52% de los MSP de todo el mundo (y el 55% en la región EMEA) ofrecen evaluaciones de cumplimiento normativo. Estas evaluaciones benefician a los MSP y a sus clientes, brindando a los MSP nuevas fuentes de ingresos y le permiten conocer los cambios que deben implementarse para proteger a ambas empresas.

La empresa de contabilidad, consultoría y tecnología Crowe Horwath tiene un proceso paso a paso que empieza por definir los objetivos. "Las evaluaciones sirven para determinar el alcance de las actividades de cumplimiento en toda la organización, la eficacia del programa de cumplimiento y hasta qué punto la cultura de la organización favorece las actividades de cumplimiento. Una evaluación puede dar a la organización una idea de los puntos fuertes y débiles de su programa de cumplimiento y de las áreas en las que puede mejorar", explica la empresa.

Los evaluadores no deben partir de cero, sino basarse en los documentos existentes relacionados con el cumplimiento. "Entre los ejemplos de documentos pertinentes que suelen recopilarse y revisarse durante una evaluación se incluyen:

  • Organigramas de la dirección ejecutiva y de la oficina de conformidad
  • Políticas y procedimientos relacionados con la oficina de cumplimiento o las áreas de alto riesgo
  • Ejemplos de ejercicios de formación de los empleados en materia de cumplimiento y muestras de las comunicaciones realizadas a los empleados sobre el código de conducta en materia de cumplimiento
  • Muestras de planes de trabajo de control y cumplimiento
  • Evaluaciones anteriores del programa de cumplimiento
  • Evaluaciones de riesgos de cumplimiento y políticas de evaluación de riesgos de cumplimiento"

Conocer a los jugadores

Los evaluadores no sólo deben comprender la estructura y las funciones de la organización, sino también conocer a las personas. Esto puede hacerse mediante entrevistas. La revisión de documentos ayuda a preparar a los evaluadores para estas conversaciones. El objetivo es comprender hasta qué punto los principales actores entienden el cumplimiento y si son capaces de definir sus riesgos y tomar medidas para mitigarlos.

Entre las personas que podrían ser entrevistadas se encuentran los responsables directos de la gestión del cumplimiento, los empleados cuyos puestos de trabajo exigen seguir las directrices de cumplimiento y la dirección de la empresa.

Análisis de carencias

Un análisis de deficiencias mostrará en qué aspectos la organización ya cumple la normativa y qué medidas deben adoptarse para garantizar su total cumplimiento. El análisis "debe revelar las tendencias del programa de cumplimiento existentes en la organización, incluidos los puntos fuertes del programa y las oportunidades de mejora. Además, el asesor debe hacer recomendaciones a la organización basadas en las mejores prácticas observadas en organizaciones líderes de tamaño y estructura similares a la evaluada", explica la empresa.

Todo ello debe codificarse en un informe final que defina lo que es bueno y recomiende mejoras concretas.

La empresa de asesoría financiera Deloitte explica por qué la evaluación del cumplimiento no es suficiente en su white paper "Compliance risk assessments: El tercer ingrediente de un programa de ética y cumplimiento de primera clase".

Muchas organizaciones pueden pensar que ya tienen todo bajo control en materia de cumplimiento normativo por el mero hecho de haber realizado una evaluación de riesgos. Sin embargo, el cumplimiento normativo y el riesgo, aunque están relacionados, requieren procesos distintos. «¿En qué se diferencia una evaluación de riesgos de cumplimiento normativo de otras evaluaciones de riesgos? Las organizaciones realizan evaluaciones para identificar diferentes tipos de riesgos organizativos. Por ejemplo, pueden llevar a cabo evaluaciones de riesgos empresariales para identificar los riesgos estratégicos, operativos, financieros y de cumplimiento normativo a los que está expuesta la organización. En la mayoría de los casos, el proceso de evaluación de riesgos empresariales se centra en la identificación de los riesgos que pueden poner en peligro la viabilidad de la empresa, es decir, aquellos que podrían afectar a la capacidad de la organización para alcanzar sus objetivos estratégicos», explica Deloitte.

«La evaluación de riesgos de cumplimiento ayudará a la organización a comprender el alcance total de su exposición al riesgo, incluida la probabilidad de que se produzca un evento de riesgo, las causas por las que podría ocurrir y la gravedad potencial de su impacto. Una evaluación de riesgos de cumplimiento diseñada de forma eficaz también ayuda a las organizaciones a priorizar los riesgos, asignarlos a los responsables correspondientes y destinar recursos de manera eficaz a la mitigación de riesgos».

¿Quién hace qué?

Una vez que identifique quién es quién y quién hace qué, podrá definir asignaciones claras. "Establezca una clara titularidad de riesgos específicos e impulse una mayor transparencia: Una evaluación exhaustiva de los riesgos de cumplimiento ayudará a identificar a las personas responsables de gestionar cada tipo de riesgo y facilitará a los ejecutivos el control de las actividades de mitigación de riesgos, los esfuerzos de corrección y las exposiciones a riesgos emergentes", aconseja Deloitte.

Parte de esto consiste en una evaluación que exige medidas concretas. «Haga que la evaluación sea aplicable: la evaluación no solo prioriza los riesgos, sino que también indica cómo deben mitigarse o subsanarse. Las medidas correctivas deben ser comprensibles para todos y viables más allá de las fronteras. Asegúrese de que los resultados de la evaluación de riesgos puedan utilizarse en la planificación operativa para asignar recursos y de que también puedan servir como punto de partida para los programas de pruebas y supervisión», concluye la empresa.

El trabajo de cumplimiento normativo nunca termina, advierte Deloitte. «Considere la evaluación como un documento vivo y en constante evolución: una vez que se asignan recursos para mitigar o subsanar los riesgos de cumplimiento, la gravedad potencial de dichos riesgos cambiará. Lo mismo ocurre con los acontecimientos en el entorno empresarial. Todo ello debería dar lugar a cambios en la propia evaluación», escribe Deloitte. «Repita periódicamente la evaluación de riesgos: las evaluaciones de riesgos de cumplimiento eficaces se esfuerzan por garantizar un enfoque coherente que se siga aplicando a lo largo del tiempo, por ejemplo, cada uno o dos años. Al mismo tiempo, la inteligencia de riesgos requiere un análisis continuo y un seguimiento del entorno para identificar riesgos emergentes o señales de alerta tempranas».

Más información

Para descubrir más prácticas recomendadas para sobrevivir a una auditoría de cumplimiento, descargue el artículo técnico "Cumplimiento: How a Layered Approach Helps you Breeze Through Audits", y para ver cómo los MSP pueden convertir las evaluaciones en un flujo de ingresos, asista al webinar a petición, "Compliance Audits: Oportunidades y riesgos para los MSP".

Acerca del autor
Doug Barney fue el editor fundador de Redmond Magazine, Redmond Channel Partner, Redmond Developer News y Virtualization Review. Doug también fue editor ejecutivo de Network World, redactor jefe de AmigaWorld y redactor jefe de Network Computing.

Una plataforma completa para la gestión de TI y seguridad

Kaseya 365 es la solución integral para gestionar, proteger y automatizar las TI. Gracias a sus integraciones fluidas en todas las funciones críticas de TI, simplifica las operaciones, refuerza la seguridad y aumenta la eficiencia.

Solicite una demostración Descubre Kaseya 365

Una plataforma. Todo en uno para TI.

Los clientes de Kaseya 365 disfrutan de las ventajas de las mejores herramientas de gestión de TI y seguridad en una única solución.

Descubre Kaseya 365

Su éxito es nuestra prioridad número 1

Partner First es un compromiso de condiciones flexibles, riesgo compartido y soporte dedicado a su empresa.

Descubre Partner First Pledge

Informe Global de Referencia para MSP 2025

El Informe Global de Referencia para MSP 2025 de Kaseya es su recurso de referencia para comprender hacia dónde se dirige la industria.

Descargar ahora

Explora las categorías

Cambios en la normativa HIPAA

Todo lo que sabes sobre la HIPAA está cambiando: un primer vistazo a cómo preparar tu MSP

El 27 de diciembre de 2024, la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos de los Estados Unidos (HHS)Seguir leyendo

Leer la entrada del blog

¿Qué es la conformidad NIST? Guía de normas, marco y controles del NIST

La protección de datos es una de las principales preocupaciones de las empresas, tanto grandes como pequeñas, y ahí es donde entra en juego el NIST. El NIST, oSeguir leyendo

Leer la entrada del blog

Cumplimiento informático: Comprender su finalidad y sus ventajas

El cumplimiento normativo en materia de TI se refiere al conjunto de normas y reglamentos legales que las empresas deben cumplir para minimizar el riesgo deSeguir leyendo

Leer la entrada del blog