La relación entre cumplimiento y resiliencia es fundamental en el mundo corporativo actual, donde las organizaciones enfrentan una variedad de riesgos emergentes y desafíos en constante evolución.
Hay que decir, antes de continuar, que nos referimos a la resiliencia en general, y no a su parte que más en boga está hoy en día, que es la resiliencia operacional.
La resiliencia en sí, se refiere a la capacidad de una organización para anticipar, prepararse, responder y adaptarse a incidentes, cambios o desafíos inesperados para continuar sus operaciones de manera efectiva. Aquí entendemos desde desastres naturales hasta ciberataques o cambios regulatorios.
La resiliencia operacional, por su parte, es un subconjunto de la resiliencia general y se centra específicamente en la capacidad de los procesos, sistemas y operaciones clave de una empresa para adaptarse y recuperarse de fallos o perturbaciones.
Mientras que la resiliencia en un sentido más amplio puede incluir aspectos como la resiliencia financiera o la de marca, la operacional se enfoca en mantener y restaurar las operaciones críticas del negocio. En este artículo, hablamos de resiliencia sin adjetivos calificativos, sin apellidos: en su sentido más amplio.
Los reguladores juegan un papel crucial en promover la resiliencia dentro de las industrias que supervisan, estableciendo marcos y requisitos que las organizaciones deben cumplir.
En México, la Comisión Nacional Bancaria y de Valores (CNBV) es un ejemplo de cómo un regulador puede influir en la resiliencia del sector financiero.
La CNBV establece regulaciones que obligan a las instituciones financieras a implementar sistemas de gestión de riesgos robustos, realizar pruebas de estrés regularmente y mantener planes de continuidad de negocio actualizados.
Estas medidas aseguran que las entidades financieras puedan responder y adaptarse a situaciones adversas, protegiendo así a los consumidores y manteniendo la estabilidad del sistema financiero.
Además, está el concepto de cumplimiento, que más veces de las que nos gustaría, es vista simplemente como el ejercicio de estar al día con las obligaciones ante reguladores. Pero no es el único externo ni la única “parte interesada” (traduciendo, también en su sentido amplio, el término inglés stakeholder).
Como tal, el cumplimiento es igualmente más amplio; si bien lo encontramos como cumplimiento normativo, regulatorio y legal también (diferentes cada uno), a nuestros clientes les interesa que nosotros como organización cumplamos con nuestra promesa, nuestra oferta (promesa) de valor: sea este un producto financiero, las funcionalidades de un software o un producto comestible, debemos cumplir.
Lo mismo pasa con nuestros proveedores, que esperan que cumplamos con el monto, en tiempo y forma, del pago por sus servicios, de la misma manera que nosotros esperamos que ellos cumplan con su parte o su nivel de servicio. Y el contrato es el lugar desde el cual nos remitimos a estas promesas, firmadas por ambas partes.
Así que la resiliencia viene desde cimentar, vía contratos, las obligaciones de ambas partes, sean estos reguladores, pero también clientes clave y proveedores. Así, comenzamos a llevar el cumplimiento a un nivel mucho más estratégico que administrativo.
En el contexto actual, hay un mayor escrutinio por parte de reguladores, clientes y socios sobre cómo las organizaciones gestionan sus riesgos y su capacidad de resiliencia. Esto ha llevado a que la resiliencia se convierta en una obligación contractual en muchos acuerdos comerciales.
Los proveedores de servicios, por ejemplo, pueden ser requeridos a demostrar planes de continuidad de negocio y resiliencia operacional como parte de las condiciones para cerrar contratos. Esto asegura que cualquier perturbación en un eslabón de la cadena de suministro o servicio no afecte de manera crítica las operaciones del cliente.
Los cambios regulatorios en materia de resiliencia y cumplimiento no se limitan a un solo país, sino que tienen alcance global y, por ende, impacto regional.
Un ejemplo en Latinoamérica es la implementación de normativas similares a la GDPR (General Data Protection Regulation) de la Unión Europea y de la que ya hemos hablado en este espacio. También por ejemplo, la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados en México, refleja un enfoque en la protección de datos personales como parte de la resiliencia organizacional.
Esta ley no solo busca proteger la privacidad de los individuos sino también asegurar que las organizaciones implementen medidas de seguridad adecuadas para prevenir brechas de datos, lo cual es un componente crucial de la resiliencia en la era digital.
Otros ejemplos incluyen la Ley de Protección de Datos Personales (LPDP) en países como Brasil y hasta la Ley de Protección de Información Personal (PIPL) en China, entre otras. Algo similar puede comenzar a pasar con la DORA (Digital Operational Resilience Act) de la que hablaremos en otro momento.
De modo que ver las regulaciones como una receta de buenas prácticas (a las que que podemos agregar nuestra sazón, dados nuestros ingredientes), estaremos tomando estas obligaciones y transformándolas en oportunidades para mejorar nuestra competitividad; más que la evasión de las multas o parones operativos, incluso ver el porcentaje de cumplimiento como una métrica de adhesión a mejores prácticas, buscando desde ahí impulsar la productividad.
Algunas estadísticas hablan de hasta un 80% de reducción de pérdidas potenciales de utilidad como resultado de un incidente o crisis. Esto da armas para ver a la resiliencia como una inversión estratégica que puede agregar un valor significativo al negocio.
Algunas otras maneras en las que hemos visto la resiliencia traducirse en valor acompañando a nuestros clientes en este proceso, son:
En conclusión, el cumplimiento, desde nuestras propias políticas, hasta aquel con clientes, proveedores y sí, también reguladores, nos puede llevar a la resiliencia; juntas, son componentes centrales de la estrategia empresarial, incorporada en todas las operaciones y decisiones de la organización.
Al hacerlo, no solo se cumplen los requisitos regulatorios de forma más efectiva, sino que también se protege y promueve el valor a largo plazo de la organización.
Al final, todo se reduce a agilidad, y la visibilidad provee de esa agilidad, no solo en la respuesta, pero en los datos que te pueden llevar a esa respuesta. Para ello, es conviene tener un programa, y para que evalúes en dónde está tu organización respecto de su cumplimiento normativo, te invitamos a descargar el ebook ¿Qué tan maduro es tu modelo de control de cumplimiento? Encontrarás 5 niveles y sus características para autoevaluarte.