French Caldwell, analista senior de Gartner Group, recuerda haber mantenido una conversación con el CIO de una compañía europea después de que la ley Sarbanes-Oxley fue incluida en el código de leyes de Estados Unidos. “El CIO dijo: ‘No tengo tiempo para ocuparme de eso. Voy a ignorarla’. Hoy, el ejecutivo ya no es CIO de la compañía y su sucesor ha implementado un estricto régimen de cumplimiento normativo .
Caldwell no puede garantizar que los dos hechos hayan estado relacionados, pero hoy en día sólo un CIO imprudente trataría de ignorar el torrente de normas y reglamentaciones que toda empresa moderna debe cumplir.
Sarbanes-Oxley, que fue creada hace siete años para proteger a los inversores de Estados Unidos tras una serie de escándalos financieros, es sólo una de las aproximadamente 50 normas que las empresas cotizantes estadounidenses deben observar.
El Reino Unido ha establecido una cantidad similar, y el resto de Europa no se queda atrás. Las compañías internacionales deben cumplir con reglamentaciones globales.
Normas que pesan
“Las reglamentaciones ocupan una gran parte del tiempo de los CIO , señala Caldwell. “Muchos consideran que el cumplimiento de estas normas los distrae de sus funciones principales .
Entonces, ¿es realmente necesaria esta carga extra? “Las normas en realidad son un reemplazo de la moralidad , afirma Mike Small de Computer Associates, el grupo internacional de software.
“Si todos operaran conforme a la ética, las reglamentaciones no serían necesarias. La historia nos demuestra que las personas, ya sea por estupidez o avaricia, hacen cosas que no deberían, y que resultan en fraude o robo. Las normas equilibran la balanza y, en consecuencia, la gente se ve obligada a operar abierta y honestamente , agrega Small. Computer Associates patrocinó un informe global sobre el estado de los procesos de cumplimiento de IT, realizado por el grupo de investigación estadounidense GMG Insight, que concluye que aun las grandes organizaciones están luchando por implementar los procesos de cumplimiento.
El informe dice: “Parecería razonable suponer que la mayor parte de las grandes organizaciones ha optimizado los procesos y adoptado soluciones de tecnología para reducir las obligaciones recurrentes relacionadas con el cumplimiento de estas normas y con las auditorías anuales o trimestrales. Sorprendentemente, este no es el caso .
Lo menos indispensable
A pesar de los cada vez más elevados costos asociados con el cumplimiento y las rigurosas sanciones que implica su incumplimiento, las organizaciones todavía optan por la estrategia de hacer lo mínimo indispensable.
El informe señala: “En nuestra opinión, esta estrategia no puede sostenerse. Las organizaciones enfrentan un crecimiento exponencial en la cantidad de reglamentaciones, y los sistemas afectados por éstas deben ser monitoreados , advirtiendo que un enfoque ad hoc conlleva un riesgo significativo. Y concluye: “El reconocimiento del riesgo organizacional y de los cada vez mayores costos finalmente conducirá a la adopción de soluciones de gestión de cumplimiento normativo que sean más aplicables a toda la empresa .
Cumplir con una norma puede ser una carga muy pesada. Por ejemplo, Brian Pennington, gerente de Desarrollo Comercial de Dimension Data UK, señala que existen 12 requisitos de seguridad diferentes en el Estándar de Seguridad de Datos para la Industria de Tarjetas de Crédito, que protege los datos personales.
Pennington advierte: “Aunque el Estándar de Seguridad de Datos está claramente estructurado, es indudable que a las organizaciones puede exigirles mucho esfuerzo interpretar de qué manera se ajusta al esquema general de seguridad y también a las inversiones anteriores en tecnología. Sólo una violación de uno de los requisitos que integran el estándar es suficiente para declarar el incumplimiento, que puede dar lugar a multas y revocaciónes de los privilegios de procesamiento de tarjetas .
Neil Fisher, director de Soluciones de Seguridad Global en Unisys, señala que la dificultad no es excusa: “Es entendible que muchas compañías culpen a la complejidad regulatoria de su falta de cumplimiento, pero esto también las hace más vulnerables a la pérdida de información, registros digitales comprometidos y problemas relacionados con la recuperación de los datos . Y agrega: “Cualquiera de estas cosas podría causar un pánico innecesario cuando la información no puede ser recuperada, la confiscación de sistemas de computación e incluso procesos criminales.
Sin embargo, aun el panorama regulatorio más sombrío tiene su lado positivo. “Las organizaciones inteligentes se están preparando para el cumplimiento, pero las que son todavía más inteligentes van más allá y apuntan a obtener valor comercial a partir de esta necesidad. Si se aborda de manera estratégica, el cumplimiento normativo no resulta una carga sino una oportunidad , afirma Lynn Collier, director de Soluciones de Hitachi Data Systems en Europa.
El optimismo de Collier está respaldado por un estudio realizado por la Economist Intelligence Unit (EIU) que, a pesar de advertir que el riesgo regulatorio encabeza la lista de inquietudes de los actuales gerentes de riesgos, afirma que la implementación de una política efectiva de administración de riesgos regulatorios tiene beneficios. El estudio afirma que “además de la ventaja obvia de evitar los problemas de la empresa, los participantes de la encuesta de EIU señalaron algunos resultados clave .
Entre los principales figura la capacidad de mejorar la eficiencia de los procesos de negocios en general. El segundo beneficio es la ventaja competitiva que se logra al implementar las mejores prácticas que sugiere que, para muchas compañías, el cumplimiento regulatorio efectivo puede servir como una estampilla dorada para atraer y tranquilizar a los clientes y a los inversores .
Esta tranquilidad es algo que se necesita muy urgentemente. Michael Evans, socio de la firma de abogados Davenport Lyons, observa que la era digital ha hecho posible algunos excesos que han llevado a catalogar al sector de Sistemas como el “nuevo y anárquico Lejano Oeste". La protección de la información, de la que nadie hablaba hace 20 años, ahora es el bastión principal del régimen reglamentario.
Lo menos indispensable
Pero, agrega Evans, los directores de IT deberían argumentar que el cumplimiento de la mayoría de estas reglamentaciones no debería ser responsabilidad de ellos. “Estos son temas de recursos humanos, de ventas o de marketing, pero no de IT , dice. Los directores de IT son los que deben desarrollar sistemas que cumplan con las reglamentaciones, los que controlan el on-switch, los sistemas de ingreso de datos y los flash drives. Entonces, la tecnología tiene un papel importante en la creación de un régimen de cumplimiento normativo efectivo. El software genérico de gestión se utiliza para monitorear el flujo de trabajo. El software de control, por ejemplo, en industrias específicas como Finanzas o Sistemas.
Traducción: Graciela Rey